信息安全风险评估模型及方法研究.pdf

《信息安全风险评估模型及方法研究.pdf》由会员分享，可在线阅读，更多相关《信息安全风险评估模型及方法研究.pdf（62页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、代号1 0 7 0 1分类号T P 3 0 9学号0 4 2 3 4 2 1 4 9 6密级公开帚普它手辩毅兜警硕士学位论文题c 中、英文，目一一信息寰全风险谔估燕型承直沏 究一!_ h e 尽e s e a r c h o f _ _ I n f o _ r m a _“o n S e s _ n _ r i t y _ 盹k-一A s s e s s m e n tM o d e Ia n dM e t h o d作者姓名一扬继华一指导教师姓名、职务许蠢蚕熬援一学科门类筻理学学科、专业筻理科堂皇王程提交论文日期三9 9 主圭-旦摘要信息系统安全管理是一项复杂的系统工程管理，在这项系统工程中

2、，信息系统安全风险评估具有核心的地位，它是信息系统安全的基础和前提。论文从整体上可分为三部分：第一部分，论文概述了信息安全以及信息安全风险评估相关标准(包括技术性标准和管理性标准)的基础知识；第二部分，论文利用系统工程的理论和方法建立了一个基于层次结构的信息安全评估模型：第三部分，论文着重研究了一种基于资产、威胁和弱点的信息安全风险评估量化模型。三部分紧密相连，逐层深入的对信息安全风险评估过程中如何量化风险进行了科学的研究。论文对于信息安全风险评估方法进行了以下两个方面创新性的研究：一方面，借鉴灰色理论特性和评估方法，将该理论应用到信息安全风险评价模型的建立上，综合运用层次分析法、灰色评价方法

3、及模糊评价方法，同时考虑安全要素间的相互关系和相对重要度，为信息安全评价体系提供了一种简单、实用、高效的量化评价模型。另一方面，论文在基于资产、威胁、弱点的信息安全风险评估模型中引入金融风险度量领域常用的风险价值模型，即V a R、C V a R 模型，采用P o i s s o n 分布和正态分布模拟信息安全威胁发生频率。讨论了在一定历史时期威胁发生频率较高时P o i s s o n 分布难于计算的情况下，采用正态分布模拟威胁发生频率，并利用C V a R模型对风险的尾部进行分析。模型采用实际资产损失值表示信息安全风险值，依据模型所计算的信息安全风险损失值可直接作为企业决策者关于信息安全风

4、险投资决策的依据。关键词；信息安全风险评估灰色理论V a RC V a RA b s t r a e t5A b s t r a c tT h ei n f o r m a t i o ns e c u r i t ym a n a g e m e n ti sc o m p l i c a t e ds y s t e me n g i n e e r i n g，a n dt h ei n f o r m a t i o ns e c u r i t yr i s ka s s e s s m e n t,w h i c hi st h ef o u n d a t i o na n dp

5、 r e m i s eo ft h ei n f o r m a t i o ns e c u r i t y，p l a y sa ni m p o r t a n tr o l ei nt h i ss y s t e me n g i n e e r i n g T h i sp a p e ri sm a d eu po ft h r e ep a r t s：I nf t r s tp a r t,t h ep a p e ri n t r o d u c e st h eb a s i ck n o w l e d g eo ft h ei n f o r m a t i o n

6、s e c u r i t ya n dt h ec o m m o ns t a n d a r d(i n c l u d et h et e c h n i q u es t a n d a r da n dm a n a g e m e n ts t a n d a r d)r e l a t e st oi n f o r m a t i o ns e c u r i t yr i s ke v a l u a t e；I nt h es e c o n dp a r t，am u l t i l e v e ls y n t h e s i sq u a n t i f i c a

7、 t i o ne v a l u a t i o nm o d e lo fi n f o r m a t i o ns e c u r i t yi sr e c o m m e n d e db a s e do nl a y e rs t r u c t u r ew i mt h et h e o r i e sa n dm e t h o d so ft h es y s t e me n g i n e e r i n g；I nt h et h i r dp a r t，t h ep a p e re m p h a s i z e st h es t u d yo fi n

8、f o r m a t i o ns e c u r i t yr i s kq u a n t i f i c a t i o na s s e s s m e n tm o d e lb a s e do na s s e t s，t h r e a t sa n dw e a k n e s s e s T h e s et h r e ep a r t sr e l a t ee a c ho t h e rc l o s e l ya n dt h ei n f o r m a t i o ns e c u r i t yr i s kq u a n t i f i c a t i

9、o na s s e s s m e n tm o d e li sr e s e a r c h e dd e e p l y T h ee r e a t i v i t i e so ft h i sp a p e ra b o u tt h em e t h o do fi n f o r m a t i o ns e c u r i t yr i s ke v a l u a t i o nl i ei nt h ef o l l o w i n gt w of a c t o r s：O no n eh a n d，t h eg r a yt h e o r yi sa p p l

10、 i e di nt h i sq u a n t i f i c a t i o ne v a l u a t i o nm o d e la n dt h ep r o p o s e dm o d e li se s t a b l i s h e da p p l y i n gA H P，掣a ye v a l u a t i o nm e t h o da n df u z z ye v a l u a t i o nm e t h o ds y n t h e t i c a l l y，w h i l ec o n s i d e r i n ga b o u tr e l a

11、 t i v ei m p o r t a n c ea n di n t e r r e l a t i o na m o n gs e c u r i t yf a c t o r s A sar e s u l t，t h ep r o p o s e dm o d e lo f f e r sas i m p l e，r e l i a b l ea n de f f e c t i v eq u a n t i f i c a t i o nm o d e lf o ri n f o r m a t i o ns e c u r i t ye v a l u a t i o ns y

12、 s t e m O nt h eo t h e rh a n d,t h ep a p e ra p p l i e st h eV a l u ea tR i s k(v a g)m o d e la n dC o n d i t i o n a lV a l u ea tR i s k(C V a R)m o d e l，u s u a l l yu s e di nt h ef i n a n c er i s ka n a l y s i sf i e l d，i n t oi n f o r m a t i o ns e c u r i t yr i s ka s s e s s

13、m e n t A tt h es a m et i m e，t h et k r e a t e no c c u r r e n c ef r e q u e n c i e sa r es i m u l a t e db yP o i s s o nd i s t r i b u t i o na n dn o r m a ld i s t r i b u t i o ni nt h i sp a p e r B e c a u s eP o i s s o nd i s t r i b u t i o ni sh a r dt oc a l c u l a t ew h e nt h

14、 r e a t e nO c c u r sf r e q u e n t l y，t h eP a p e ru s en o r m a ld i s t r i b u t i o ns i m u l a t e st h et h r e a t e no c c u r r e n c ef r e q u e n c i e si n s t e a do fP o i s s o nd i s t r i b u t i o n S ot h et a i lr i s k sa r ea n a l y z e du s i n gC V a Rm e t h o d T

15、h ep r o p o s e dm o d e lu s e st h er e a lv a l u et om e a s u r et h el o s so fs e c u r i t yr i s k，a n dt h er e s u l tC a nb eu s e di nt h ei n f o r m a t i o ns e c u r i t yr i s ki n v e s t m e n t sd e c i s i o nd i r e c t l y K e y w o r d s：I n f o r m a t i o nS e c u r i t y

16、R i s kA s s e s s m e n tG r a yT h e o r yV a RC V a R西安电子科技大学学位论文创新性声明秉承学校严谨的学风和优良的科学道德，本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处，本人承担一切的法律责任。本人龋磕必、1日期：竺Z：!：望一西

17、安电子科技大学关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证，毕业后结合学位论文研究课题再攥写的文章一律署名单位为西安电子科技大学。(保密的论文在解密后遵守此规定)本学位论文属于保密，在年解密后适用本授权书。17本人签名弛趁车日期：三聋：望、l7一之一导师签名：丛犟(吠、)日期：三：Z：!：羔第一章绪论第一章绪论1 1 论文研究背景在当今全球一体化的商业

18、环境中，随着整个社会信息化程度的不断提高，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正广泛的应用，计算机网络和信息系统已经成为社会经济发展和人们日常生活中不可或缺的动力和工具。信息网络技术为人们带来惊喜的同时，也为各类社会组织带来了前所未有的威胁。这些网络和信息系统自身的开放性决定了它们的发展和应用必将遭受网络黑客、木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁，信息安全所导致的问题日益突出且逐渐开始被重视。据美国计算机紧急事件响应小组协调中心C E R T C 的统计，2 0 0 3 年报告的安全事件(s e c u r i t yi n c i d e n t)数量

19、达到1 3 7 5 2 9 件，远远高于2 0 0 1 年的5 2 6 5 8 件和2 0 0 2 年的8 2 0 9 4 件。2 0 0 5 年信息网络安全与病毒疫情调查分析报告【1】结果表明，信息网络使用单位信息化程度与2 0 0 4 年相比有较大提高，但是信息网络安全管理人员缺乏培训、相关安全信息难以及时掌握、安全防范技术措施和投入不足等问题比较突出，信息网络安全管理工作仍需要进一步重视和加强。中国金融认证中心(c F c A)发布的2 0 0 6 中国网上银行调查报告【2 J 显示，虽然在过去的一年中网上银行快速发展，但超过6 0 的受访者仍然不敢使用网上银行，安全问题仍然是非网银用户

20、最担心的事情。信息安全管理是一个过程，而不是一个产品，不能期望通过一个安全产品就能把所有的安全问题都解决。安全管理的本质是风险管理，这是因为安全与风险是一对与生俱来又密不可分的矛盾因素，没有绝对的安全，也没有彻底的危险。需要基于风险管理来建立信息安全战略，最适宜的信息安全战略实际上就是最优的风险管理对策。信息安全的风险管理可以看成是一个不断降低安全风险的过程，其最终目的是使安全风险降低到一个可接受的程度，使用户和决策者可以接受剩余的风险，而风险评估则是风险管理的基础。对企业来说，解决信息安全的首要问题就是要识别企业自身信息系统所面临的风险，包括这些风险可能带来的安全威胁与影响的程度，进行最充分

21、的分析与评估。面对日益尖锐的信息安全矛盾，人们在不断的探索和研究防范信息系统威胁的手段和方法，并且在杀毒软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而，这没有从根本上解决信息系统的安全问题，来自计算机网络的威胁更2信息安全风险评估模型及方法研究加多样化和隐蔽化，黑客、病毒等攻击事件也越来越多。于是人们不再只关注单一安全产品的研究，而是着力于建设以风险管理为核心的信息安全管理体系，建立完善的信息安全服务机制。如何获得信息系统的安全状态，以及如何对信息系统受到的威胁进行有效、客观、科学的分析和评估是信息安全风险管理的第一步。只有遵照权威的信息安全相关标准，采用科学有效的模型和方法进行全面的

22、安全评估，才能真正掌握企业内部信息系统的整体安全状况，分析各种存在的威胁，以便针对高风险的威胁采取有效的安全措施，提高整体安全水平，逐步建成坚固的信息安全管理体系。1 2 1 国外的研究现状1 2 国内外研究现状国外，信息安全领域的研究最早开始于军事领域，随后逐渐发展成一门通用学科。世界各国信息安全领域的研究，已经从最初的通讯安全(C O M S E C)，经过信息安全(I n f o r m a t i o ns e c u r i t y)，发展到了当前的信息保障(I n f o r m a t i o n A s s u r a n c e)。信息安全保障工作包括技术和管理两个方面，在这

23、一理念下，安全已经被作为一个管理过程来看待。信息安全的一切研究和实践，都希望能以可度量的准则作为结果的评价指标，从而直接导致信息安全标准和评估、认证的产生。1)相关信息安全标准研究信息安全标准是对信息系统进行评估和认证的基础。国外最早开展的是关于安全技术方面的标准研究，随着安全保障概念的提出和发展，人们认识到安全管理与安全技术同样重要，于是各类管理标准纷纷出台。1 9 9 8 年，国际会计师联合会发表了一个有关信息安全管理的文件，认为信息系统安全的目标有三个：数据和信息只透露给有权知道该数据和信息的人(机密性)；数据和信息保护不受未经授权的修改(完整性)；信息系统在需要时可用和有用(可用性)。

24、1 9 9 9 年2 月，英国标准协会(B r i t i s hS t a n d a r d sI n s t i t u t i o n，简称B S I)出版了信息安全管理体系标准(B S7 7 9 9 1)，并于1 9 9 8 年2 月出版B S7 7 9 9 2。2 0 0 0 年1 2 月，B S 7 7 9 9 一l正式被I S O(国际标准化组织)和I E C(国际电工委员会)接纳，成为国际标准I S O1 7 7 9 9。I S O1 7 7 9 9 是信息安全管理标准，它主要提供了有效地实施I T 安全管理的建议，介绍了安全管理的方法和程序。从1 9 9 6 年开始，I S

25、 O 制定并发布信息技术一安全技术一信息产业安全管理指导方针(I S O1 3 3 3 5)系列(第一至第五部分)。此标准已经在国际社会中开发了很多年，目前仍处于论证修订阶段。I S O第一章绪论1 3 3 3 5 是类似于B S7 7 9 9 的另一种关于信息安全管理的标准规范，在北美应用得比较广泛，且具有很强的可操作性。2)信息安全评估现状各国政府当前所建立的信息安全认证机构仍局限于对安全技术和安全产品的认证，在安全管理方面还没有一套行之有效的办法可以客观准确地对一个组织的信息系统现状进行评估、认证。当前只有英国B S I 在开展基于B S7 7 9 9-2 的信息安全管理体系(I S M

26、 S)的认证工作，但其代价昂贵、评估周期长、评估结果可信度差，难以在全世界范围内推广。同时，1 9 9 9 年6 月，美国卡内基梅隆大学的软件工程研究所(C M U S E T)下属的C E R T 协调中心发布了O C T A V E(O p e r a t i o n a l l yC r i t i c a lT h r e a t，A s s e t,a n dV u l n e r a b i l i t yE v a l u a t i o n)3 1。这是一种从系统的、组织的角度开发的新型信息安全保护方法，主要针对大型组织。O C T A V EM e t h o d 使用一种三

27、阶段方法对组织问题和技术问题进行研究，从而使组织人员能够全面把握组织的信息安全需求。该方法由一系列循序渐进的讨论会组成，每个讨论会都需要其参与者之间交互。这种方法虽然提出了一套完整、可操作的信息安全评估方法，但是由于该方法建立在讨论会的基础上，因此也存在代价高、周期长，讨论结果难免存在人为因素影响，没有解决评估的量化问题。1 2 2 国内的研究现状目前我国信息与网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态。我国信息安全标准化工作起步较晚，在国家质量技术监督局领导下，全国信息化标准制定委员会及其下属的信息安全技术委员会在制订我国信息安全标准方面做了大量的工作，完成了许多安全技

28、术标准的制定，如G B1 7 8 5 9、G B T1 8 3 3 6 等。在信息系统的安全管理方面，我国目前在B S7 7 9 9 和I S O1 7 7 9 9及C C 标准基础上完成了相关的标准修订。信息系统安全性评价准则及测试规范、信息安全服务评估准则、信息安全工程质量管理要求等标准己经在制定日程之中，我国信息安全标准体系的框架也正在逐步形成之中。国内的评估现状与国际社会类似，我国所建立的信息安全测评认证体系关注于安全技术和安全产品的认证，并没有提出针对组织安全管理的评估、认证模型和方法。如今国内关于信息安全管理方面的研究也明显滞后于国际同行。4信息安全风险评估模型及方法研究1 3 本

29、文研究的主要内容论文依据国际和国内信息安全相关标准，研究各种风险评估模型、风险分析方法基础上，根据当前信息安全评估方法研究的主要方向，提出并实现了两种综合的量化评估模型，模型在生产企业的范围内具有通用性，并能从管理角度及全局的角度对系统的安全性进行定量的分析和综合评价。1 3 1 信息安全风险评估现状分析安全评估必须依据一定的标准来进行，安全评估的发展很大程度上是受到安全评估标准的发展所影响和决定的。迄今为止，许多国家根据信息安全的需要推出了一些安全评估标准。主要分为C C 系列评估标准和I S O1 7 7 9 9 系列的风险评估标准。C C 系列评估标准主要包括：美国可信计算机系统评估标准

30、(T C S E C)、欧洲信息技术安全性评估标准(I T S E C)、加拿大可信计算机产品评估准则(C T C P E D)、美国联邦准则(F C)和通用准N(c c)。这一系列标准主要偏重于从技术角度对安全风险进行评估，但是随着信息系统的复杂化，信息安全问题与系统中其他各方面的安全问题紧密相连，比如网络安全、设备安全、人员安全、法律法规的符合性、安全的管理体制等等。因此，它涉及的范围非常广泛和全面，除了技术还涉及管理方面的问题。而I S O1 7 7 9 9 系列的评估标准(详细介绍见3 2)主要侧重于管理的角度对安全风险进行管理，没有提出具体的定量或半定量的风险评估方法、模型。关于当前

31、流行的系列风险评估工具总体上可分为以下两大类：监控扫描类，其主要功能是计算机、网络、通讯系统的漏洞扫描或监控；标准符合性评估类，其主要功能是以I S O1 7 7 9 9 系列为标准条款进行系统符合性验证评估。总体上来看，这些工具都具有片面性，不易独立完成大型信息系统综合评估，因此，结合管理和技术因素综合的对信息安全风险进行评估才能正确反映信息系统的安全现状。1 3 2 论文研究主要内容基于以上讨论和分析，要实现信息安全风险评估，需要综合考虑技术和管理因素，三分技术七分管理原则虽然不甚确切，但是却能定性的说明在实行信息安全风险评估中综合考虑技术因素和管理因素的情况。论文在此思路上对信息安全风险

32、评估量化模型进行研究，根据各种管理和技术相关标准，分析各种普遍存在第一章绪论的信息安全问题的共同特性，研究适合各种组织实施的信息安全风险评估模型及其方法，结合实际应用效果，促进信息安全管理的不断深化和完善。1 4 论文的章节安排本文共分六章，内容组织如下：第一章绪论介绍选题的背景、国内外研究现状等，简单分析了目前社会各领域在进行信息化建设过程中的信息安全问题，从而引出开展风险评估活动和研究风险评估模型及其方法的必要性。第二章信息安全风险评估概述介绍信息安全风险评估的概念、评估方法分类、评估过程步骤、评估的意义和作用等，从整体上认识信息安全风险评估。第三章信息安全风险评估相关标准进行信息安全风险

33、评估离不开相关标准，本章主要介绍信息安全相关标准的发展状况，并将目前业界流行的相关国内国外标准分为信息安全管理性标准和信息安全技术性评估标准分别予以介绍，介绍的主要标准有I S O1 7 7 9 9、I S O1 3 3 3 5、C C。最后，对我国信息的信息安全标准化发展状况以及标准制定情况做了简要的阐述。第四章基于层次结构的信息安全风险评估方法以G B 1 7 8 5 9：1 9 9 9 为依据建立信息安全评估指标体系，综合运用A I-I P、灰色评价及模糊评价建立信息安全评价模型，同时考虑到安全因素的相对重要度和相互关系，为信息安全评价体系提供了一种简单、实用、高效的量化评估模型。第五章

34、基于资产、威胁和弱点的信息安全风险评估模型本章主要对基于资产、威胁和弱点的信息安全风险评估模型进行了研究，在风险评估模型中，引入了V a R 和C V a R 模型方法，并采用P o i s s o n 分布和正态分布来模拟威胁发生频率，对信息安全风险进行度量，最后采用实际算例对模型方法以及风险投资决策平衡进行了分析。第六章总结与展望。6信息安全风险评估模型及方法研究借助于前面介绍的评估模型和方法，对信息安全风险评估理论与方法进行总结，并提出进一步研究的方向和内容，同时还根据实际存在的问题，提出解决方案和完善评估模型的方法。第二章信息安全风险评估概述7第二章信息安全风险评估概述2 1 引言信息

35、安全风险评估是解决信息系统安全问题的有效方法之一，有效的风险评估可以明确信息系统的安全现状、确定信息系统的主要安全风险、指导信息系统安全技术体系与管理体系的建设。风险评估中核心的问题是风险评估方法的选择，它是对获取到的风险评估数据依据一定的准则进行分析、计算、综合，最终得到系统、客观、准确的风险状况。目前一些有实力的专业信息安全公司都在开展信息安全风险评估服务，政府关键部门、银行、电信企业等信息化程度较高的单位也通过风险评估发现和解决了许多潜在的安全风险。信息安全风险评估工作的重要性越来越被人们所认识，大力推广和开展信息安全风险评估活动是保障信息安全的迫切需求和必然的市场选择。因此，研究风险评

36、估的模型和方法是十分必要的。2 2 风险评估概念“Y o uc a n n o tc o n t r o lw h a ty o uc a n n o tm e a s u r e，a n dy o uc a n n o tm e a s u r ew h a ty o uc a n n o td e f m e”4 1。在对信息系统进行风险评估之前，我们必须了解什么使信息安全评估，只有充分了解了信息安全风险评估的含义，才能有效的进行风险评估活动。安全管理是信息安全中非常重要的环节，要实现较完善的安全管理，必须分析、评估安全需求，建立满足安全需求的计划，实施这些计划，并进行日常维护和管理。因此

37、，安全管理的第一步就是要建立一个全局安全目标，然后将其整合到机构或组织的安全策略中去，而要实现这一要求的关键是对风险的评估，只有完全识别当前信息系统面临的风险，才能有计划的消除风险或将风险降低到可以接受的程度。由此可见，风险评估是信息安全管理实施的前提条件，也是信息安全管理的核心内容。信息系统的安全风险，是指由于系统存在的脆弱性、人为或自然威胁导致安全事件发生所造成的影响。基于以上讨论，我们给出信息安全风险评估的如下定义：信息安全风险评估是指依据有关信息安全技术和管理的权威标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性

38、、信息系统面临的威胁以及脆弱性被信息安全风险评估模型及方法研究威胁利用后产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统所处的安全等级以及所面临的安全风险。信息安全风险评估是信息安全保障体系过程中的重要的评价方法和决策机制，大致要经历准备、资产识别、威胁识别、已有安全措施的确认、风险识别、风险评估结果记录等几个流程。准确及时的风险评估，是相关机构对安全状况做出准确判断的重要保障。2 3 风险分析方法为了对信息系统安全性进行评估，必须选择一个适合本系统的方法体系，要有较高的可信度，同时要保证评估指标尽可能的量化以支持评估方法的应用。风险分析的方法按照定性和定量的原则可

39、以分为定性分析方法、定量分析方法和定性与定量结合分析方法【5】。现有的信息安全评估标准主要采用定性分析法对风险进行分析，目前的信息安全评估标准都不能对信息安全风险进行定量分析，而在没有一个统一的信息安全评估标准的情况下，各专业评估公司大多数是凭借各自积累的经验来解决评估中的定量问题。2 3 1 定性分析方法定性的评估分析方法主要依据评估专家的知识和经验、系统发生安全事件的历史记录以及损失情况、组织内外环境变化情况等非量化因素的综合考虑，对系统安全现状做出评估判断的过程。它主要以与被调查对象的深入访谈、各种安全调查表格作为评估基本资料，然后通过一个既定的理论分析框架，依据相关信息安全标准和法规对

40、资料进行搜集和整理，在此基础上做出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法等。定性分析方法具有操作简单并易于理解和实施、可以迅速找出系统风险的重要领域并重点分析等优点。缺点在于分析结果过于主观性，很难完全反映安全现实情况，并且对评估者自身要求较高。另外，当所有分析方法都是主观的时候，操作者便很难客观的跟踪观察风险管理的性能。2 3 2 定量分析方法定量的分析方法是指运用量化的指标对信息系统风险进行评估分析，对经过第二章信息安全风险评估概述9量化后的指标采用数学的统计分析方法进行加工、处理，最后得出系统安全风险的量化评估结果。典型的定量分析方法有因子分析法、聚类

41、分析法、时序模型、回归模型、等风险图法、决策树法等。定量分析方法的优点是风险及其结果充分地建立在独立客观的方法和衡量标准之上，提供了富有意义的统计分析；对风险缓解措施的成本效益分析提供了可靠的依据，以数量表示的评估结果更加易于理解。但是，完全量化评估是很难实现的，也是不切实际的，通常我们采用的量化评估模型均在某些方面简化了评估因素间的复杂关系。2 3 3 定性与定量结合分析方法由于信息系统风险评估是一个复杂的过程，整个信息系统又是一个庞大的系统工程，需要考虑的安全因素众多，而完全量化这些因素是不切实际的。对于这种情况，就需要找出一个即能反映信息系统的客观性，又能考虑各种安全因素的方法。因此，将

42、定性分析方法和定量分析方法有机结合起来，共同完成信息安全风险评估，在定量的基础上采用定性的方法进行抽象，在定性的基础上采用定量的方法进行分析综合，定性与定量结合，而不能简单的将定量分析方法和定性分析方法对立起来。采用定性分析方法与定量分析方法有机结合，才能真正做到信息安全风险评估的客观、准确和高效。O C T A V EM e t h o d 就使一种典型的定性定量结合的分析方法。2 4 风险评估过程信息安全各组成要素有：资产的价值、对资产的威胁和威胁发生的可能性、资产的脆弱性、现有控制提供的安全保护。风险评估的过程就是综合以上因素而导出风险的过程，信息安全组成要素见图1 1。1 0信息安全风

43、险评估模型及方法研究图2 1 风险评估组成要素在对信息安全风险进行评估之初，需要一个循序渐进的过程，从而达到对信息安全由浅入深、由表及里的认识。因此，信息安全风险评估首先应当采用一种初步的评估分析，了解系统的关键资产以及关键资产面对的关键威胁，随后对这些关键资产以及关键威胁进行进一步详细的评估，并在进一步评估的基础上确定安全保护措施的实施以及评估结果分析总结等后续工作 6 1。图2 2 是具体评估过程。2 4 1 初步的评估分析图2 2 风险评估过程进行风险评估之初，首先应该进行一个初步的风险评估分析，以确定对一个组织机构中每一个具体系统及其组成部分应该采用那种评估方法(定量的方法还是定性的方

44、法)。这种初步的评估分析是为了确定信息系统及其处理的业务系统价值以及从机构的业务角度来看的风险。这一步需要考虑如下三个因素：1)信息系统所要达到的业务目的。第二章信息安全风险评估概述2)组织业务对这个信息系统的依赖程度。3)对此信息系统投入成本的高低。对以上几点进行初步评估之后，就可以选择对组织机构比较重要的信息系统进行详细的风险评估。2 4 2 详细的风险评估分析详细的安全风险评估分析包括了对相关风险的鉴别及对他们在度量上的评估。详细的风险评估可以通过事件发生的概率以及可能造成的后果来鉴别。意外事件可能影响到组织机构的业务、人员等有价值的资产，他们发生的概率依赖于这些资产对他们的影响力、引发

45、安全威胁的概率以及资产弱点被威胁利用的可能性。这样的分析结果可以用来决定采用什么样的安全防范措施，以把风险降低到可以接受的程度。2 4 3 选择适合的安全防护措施通过详细的风险评估分析，可以选择合适的安全防护措施作为风险管理程序中的一部分，而对这些安全防护措施的需求已经存在于组织的安全计划及策略中。而对于一些可能影响系统的安全需求事件或外部事件，有时候需要对整个风险评估分析进行重新考虑。这些影响包括最近对信息系统所做的较为重大的调整以及一些影响较为严重的事件所引起的后果等。2 4 4 保存评估结果在进行风险评估分析时的各种具体的方法，包括基于清单的方法、基于结构分析的方法、计算机辅助方法或人工

46、方法等定性及定量的方法。一旦完成详细的风险评估分析，那么资产及其价值评估结果、安全威胁评估结果、资产脆弱性评估结果、风险水平的评估结果以及针对风险所采取的缓解措施等都应该被妥善的保存下来。这样做的一个好处就是在以后的评估分析中可以随时调用以前的评估历史记录，在对相似系统进行风险评估时也可以得到借鉴。2 4 5 界定系统边界在进行具体的风险评估中还有一个重要的工作就是对系统的边界进行评估分信息安全风险评估模型及方法研究析界定。在这个阶段，一个明确定义的边界对于防止不必要的工作及改进评估质量都有重大意义。对一个系统进行风险评估先要有一个清晰的系统边界描述，内容包括：1)信息资产(如硬件、软件和信息

47、等)；2)人员(如组织的雇员、附属单位的人员和外部人员等)；3)环境(如建筑、设备等)；4)活动(如对设备的操作等)。2 4 6 制定系统安全防范措施针对风险评估结果，采用成本效益分析法制定合适的安全防范措施，原则是所采用的安全防范措施的成本不能高于风险发生时系统的损失值。在对安全防范措施进行选择时同时应当参考成本效益逻辑。所采用的安全防范措施不应该包括已经存在于安全计划但还没有实施的安全措施，这样可以避免不必要的工作及消耗。对于已经存在于计划中但经过安全评估分析后已经确定存在不可接受风险的安全措施应该进行取消或用其他更加安全的措施替代，因为不适合的安全措施本身也可能会成为新的安全漏洞。2 4

48、 7 风险评估总结无论实际采用那种风险分析方法，最终结果都是要包括一份各种风险及与其相关的资产的机密性、完整性和可用性遭到破坏所产生的影响清单，而且在评估报告中应该对风险的优先级进行排序，并列出所选择的相应的安全防范措施。2 5 风险评估的意义和作用信息安全风险评估作为信息安全管理的核心内容，对组织信息安全以及管理的意义重大。首先，通过信息安全风险评估可以明确组织信息安全现状，进行信息安全评估后，可以让组织准确的了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而明确组织的安全需求。其次，信息安全风险评估可以确定信息系统的主要安全风险，在对信息系统进行安全评估并进行风险分级后，可以确定

49、企业信息系统的主要安全风险，并让企业选择避免、降低、接受等风险处置措施。第二章信息安全风险评估概述最后，通过分析各种安全风险因素，有利于指导信息系统安全技术体系和管理体系的建设，对组织进行信息安全评估后，可以制定其网络和系统的安全策略及安全解决方案，从而指导信息系统安全体系(如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施P K I 等)与管理体系(安全组织保证、安全管理制度及安全培训机制等)的建设。2 6 本章小结本章主要介绍信息安全风险评估的基本概念、方法分类、进行风险评估的一般步骤以及风险评估的重要意义和在现实经济生活中的重要性等概念性问题，通过本章介绍可

50、了解信息安全风险评估基本概况。第三章信息安全风险评估相关标准第三章信息安全风险评估相关标准随着信息技术的飞速发展，网络互联以及信息化建设已经深入到社会各个组织具体业务之中，信息技术的普及为企业带来了高效率、低成本的运作和沟通。同时，电子商务和电子政务的广泛应用也在现实生活中随处可见。但是，在这些信息技术为我们带来巨大商机和便利的同时，也使我们不得不面对前所未有的挑战，信息安全问题日益突出。为了应对日益突出的信息安全问题，国际及国内各种信息安全相关组织、政府部门纷纷开始制定自己的信息安全标准。信息安全标准化工作对于解决信息安全问题具有重要的技术支撑作用。信息安全标准化工作不仅关系到国家安全，同时