時間:2022-11-18 18:36:18
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇系統安全風險評估,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:風險評估;信息安全;評估技術
中圖分類號:TP309文獻標識碼: A 文章編號:1007-9599 (2010) 11-0000-01
Information System Security Risk Assessment Methods StudyChen Liandong1,Lv Chunmei2
(1.Hebei Electric Power Research Institute,Shijiazhuang050000,China;2.North China Electric Power University,Baoding071003,China)
Abstract:The scientific risk assessment is essential to the protection of information systems security,the paper on information security risk management has been introduced,and the variety of risk assessment methods are analyzed and compared.
Keywords:Risk assessment;Information security;Assessment techniques
隨著計算機技術的發展,網絡攻擊、病毒破壞、電腦黑客等信息竊取和破壞事件越來越多,信息安全問題日益突出,因此進行信息系統安全管理具有重要意義。風險評估是信息安全管理的依據,信息系統進行科學的風險分析和評估,發現系統存在問題,對于保護和管理信息系統至關重要。
一、信息安全技術風險管理
信息安全是保護信息系統抵御各種威脅的侵害,確保業務保密性和連續性,使系統遭受風險最小化[1]。信息系統安全包括安全管理技術、風險評估、策略標準以及實施控制等多方面的內容。信息安全管理體系(Information Security Management System,ISMS)是信息系統管理體系的一個部分,包括建立、實施、操作、監測、復查、維護和改進信息安全等一系列的管理活動,涉及策略準則、計劃目標、人員責任、過程和方法等諸多因素[1]。ISO27001是英國標準協會的關于建立和維護信息安全管理體系的標準。ISO27001要求建立ISMS框架過程為:確定管理體系范圍,制定安全策略,明確管理責任,通過風險評估確定信息安全控制目標和控制方式[2]。當信息管理體系建立起來,則可以循環實施、維護和持續改進ISMS,保持體系運作的有效性。
二、風險評估方法概述
風險評估能夠檢測系統面臨的威脅、潛在的安全漏洞和脆弱性,針對性地提出防護和整改措施,保障系統安全。完整的風險評估過程包括:前期調研,了解需求;制定項目計劃,明確范圍,確定各項評估指標體系,成立評估小組;識別并評估信息資產;估算威脅發生的可能性;識別脆弱點及其嚴重成度;進行風險描述,計算風險值,劃分風險等級,得出評估分析報告;制定風險控制方法,進行風險處理。
風險計算描述如下:Risk=R(A,T,V)
其中R是安全評估風險函數,A是資產,T是威脅,V是脆弱性。由此公式可以計算風險值,估計信息系統的安全等級,以及風險對系統的破壞程度或者可能造成的損失程度。下面從不同的角度分析風險評估,得到劃分如下。
(一)基于技術評估和基于整體評估
基于技術評估是指對信息系統現有的技術水平進行評估,包括信息安全人員技術水平、網絡防護技術、信息系統抗攻擊能力等方面進行評估。基于整體評估是從信息系統整體分析,確定信息系統所屬等級,參照等級保護劃分規則,在對系統定級的基礎上進行風險評估。
(二)基于知識分析和基于模型分析
基于知識分析的風險評估方法是依靠評估者經驗進行,采用獲取專家評估經驗,對評估指標因素進行分析,評估信息系統安全。基于模型分析的評估方法采用建模的方法,分析系統內部以及和外部交互時可能產生的危險因素,從而完成資產、威脅和脆弱性的分析。
(三)定性評估、定量評估和綜合評估
定性評估是指對評估對象各個因素進行相應價值的判斷。需要評估者對評估對象進行定性描述,如只關注威脅事件帶來的損失,忽略了威脅發生的概率,因此得出的評估結果主觀性強,具有數量化水平低等特點。定量評估主要分析資產的價值,威脅發生概率和脆弱點存在的可能性,用量化的數據進行表示,但是量化數據具有不精確特點。綜合評估方法采用定量和定性結合的方法,通常是先進行總體性質的確定,然后進行定量分析,在量化基礎上再進行定性分析。
三、典型評估方法比較
下面列出幾種典型風險評估方法,有故障樹分析、事件樹分析等,趨于定性分析,BP神經網絡、風險評審技術方法趨于定量分析,還有一些綜合評估方法,如層次分析法[3]。
(一)故障樹分析:通過對可能造成系統危險的各種初始因素進行分析,畫出故障樹,計算整體風險發生概率。特點是簡明形象,邏輯關系復雜,適用于找出各種實效事件之間的關系。
(二)事件樹分析:是一種邏輯演繹法,它在給定的一個初因事件的前提下分析此事件可能導致的各種事件序列的結果,可用于找出一種實效引起的后果或各種不同的后果,提高業務影響分析的全面性和系統性。
(三)BP神經網絡:是一種按誤差逆向傳播算法訓練的多層前饋網絡,具有自學習能力,能夠實現輸入和輸出之間的復雜非線性關系。缺點是風險因素的權值確定較難,優點是有自學能力,問題抽象化,適用于事故預測和方案擇優。
(四)風險評審技術方法:通過模擬實際系統研制時間、費用及性能分布,針對不同條件對信息系統的風險進行預測,需多次訪問,數據準確性要求高。
(五)層次分析法:是一種多指標綜合評價方法。首先將相互關聯、相互制約的因素按它們之間的隸屬關系排成若干層次,再利用數學方法,對各因素層排序,最后對排序結果進行分析。特點是減少了主觀因素中的影響,需求解判斷矩陣的最大特征根以及對應的特征向量。適用于為決策者提供定量形式的決策依據。
四、結束語
本文介紹了信息系統安全管理,分析風險評估的流程,對風險評估方法整體從不同角度的進行劃分,其中對幾種典型的評估方法進行了比較和分析。風險評估對于信息安全管理具有重要的意義,相信以后還會出現新的,更加科學的風險評估方法。
參考文獻:
[1]宋曉莉,王勁松.信息安全風險評估方法研究[J].網絡安全技術與應用,2006,12:67-68
【 關鍵詞 】 移動智能終端;風險評估;AHP理論
【 中圖法分類號 】 TP311 【 文獻標識碼 】 A
Intelligent Mobile Terminal System Security Risk Assessment Based on AHP Algorithm
Tang Jie Lu Quan-fang Wen Hong
(National Key Laboratory of Science and Technology on Communications of UESTC SichuanChengdu 611731)
【 Abstract 】 With the development of mobile communications technology and terminal technology, mobile intelligent terminal has been widely used in people's daily life and will be integrated into a variety of information system in the future. Therefore, the mobile intelligent terminal system security risk assessment is necessary. This article unifies the related standards and the security threats of current mobile intelligent terminal, which aimed to propose a concept of intelligent terminal system safety risk assessment. Because the intelligent terminal system safety assessment lacks of necessary model description, we design a model based on AHP algorithm to evaluate the security risk of intelligent terminal by calculated each evaluation elements of relative risk aversion and the grade of whole intelligent terminal security risk, which will play an important tool to establish the grade system of risk evaluation.
【 Keywords 】 mobile intelligent terminal; risk assessment; AHP algorithm
1 引言
移動智能終端更多地存儲了個人隱私、賬戶信息、工作文件、商業機密甚至是重要情報等。當前對終端的主要攻擊方式還是利用智能終端操作系統安全機制的脆弱性和漏洞制造大量的惡意軟件、病毒和遠程控制程序,對終端安全構成了巨大的威脅,因此對移動智能終端操作系統安全進行風險評估是保證終端安全的基礎。
智能終端操作系統的安全風險評估可以綜合定性和定量的方法分析終端系統的安全性,為軍隊、政府、企業和個人了解某終端系統目前與未來可能存在的威脅、安全風險以及影響程度提供理論依據,對移動信息系統的研發和安全策略的制定提供了重要的參考。
本文參照我國在2007年了專門針對移動終端信息安全的標準YDT1699-2007和安全測評標準YDT1700-2007和風險評估規范 ,借鑒相關安全標準和傳統信息系統的安全風險評估方法,結合目前智能終端操作系統面臨的主要安全威脅與風險,定義了終端系統安全風險評估的概念,并提出了一種基于AHP算法的移動智能終端系統安全風險評估方法。利用該方法并搭建測評工具對當前流行的智能手機HTC野火進行了安全風險評估。
2 智能終端系統安全風險評估
智能終端操作系統的安全風險評估是指:確定在智能終端系統中每一種資源缺失或遭到破壞時,對智能終端或移動通信網絡造成的可能損失和影響,是對威脅、系統安全脆弱性以及由此帶來的風險大小和影響程度的評估。
2.1 評估要素
移動智能終端的安全風險評估要素主要分為資產、威脅行為和脆弱性三個方面。
1)資產 資產就是有價值的東西,是一個抽象的概念。資產的類別非常廣泛,常見的如物理資產、經濟資產、人力資源、知識資源、時間、信譽等。資產是風險存在的根本原因。終端系統的資產主要是存儲在智能終端上的信息資產及重要文件、秘密信息等。
2)威脅行為 威脅行為是可能導致不希望事故的潛在起因,是攻擊者達到特定目的的手段。不同的威脅行為在不同的環境下的攻擊能力是不同的,需要對其進行評估。本文重點研究由智能終端系統某個安全脆弱性所直接導致的威脅行為。
3)脆弱性 脆弱性是評估的對象之一。威脅行為可能利用資產載體存在的薄弱環節和缺陷造成資產的損失。威脅是外因,脆弱性是內因,外因必須通過內因才能起作用。
結合標準GB/T 20984-2007,根據智能終端風險評估要求,本文將上述三種評估要素分為很高、高、中、低、很低五個級別并在1~9數值域內分別劃分范圍,如表1所示。
2.2 智能終端安全風險分析
與傳統的手機不同,移動智能終端更多地存儲了個人隱私、賬戶信息、工作文件、商業機密等等。這些隱私往往直接影響著終端使用個人或單位的財產和信譽。在各大安全廠商提供的安全報告中將終端威脅行為主要分類為遠程控制、 資費消耗、隱私竊取、系統或用數據破壞、誘騙欺詐、惡意傳播、流氓軟件。其中,遠程控制、 資費消耗、隱私竊取、系統或用數據破壞這四個關鍵威脅行為直接針對終端操作系統安全的脆弱性,并直接造成終端系統的安全風險,因此本文將其作為智能終端威脅主要評估對象。終端系統的脆弱性主要包括操作系統的安全機制的缺陷、實現中的漏洞以及用戶日常軟件管理和不當操作等因素。根據2.1節定義終端系統安全相關的脆弱點,威脅行為和資產如表2所示。
任何一個機制的缺陷將造成多種可能的威脅行為,而任何一個威脅行為將直接造成多種可能的安全風險。比如終端操作系統機密性機制的缺陷可能造成隱私竊取行為,而訪問控制機制的缺陷有可能造成隱私竊取,系統破壞、遠程控制等威脅行為。隱私竊取很可能造成終端使用者信譽損失,但也可能造成終端使用者的經濟損失,比如攻擊者盜取了終端的銀行賬戶信息等。
經以上分析,終端安全風險的各要素之間具有錯綜復雜的層次結構關系,適合運用AHP算法進行分析。
3 基于AHP算法的移動智能終端系統安全風險評估
3.1 AHP算法
AHP(Analytic Hierarchy Process)層次分析法,是由美國運籌學家T.L.Saaty教授于上世紀 70 年代初期提出的一種簡捷、靈活而又實用的多準則決策方法。它把問題分解成層次結構逐步分析,將每層次元素兩兩比較重要性并進行定量描述,然后利用數學方法計算每一層次元素的相對重要性次序的權值,通過層次之間的總排序計算所有元素的相對權重并做一致性檢驗。AHP算法的主要有幾個步驟。
1)建立層次結構模型。
2)構造判斷矩陣。對同一層次的指標兩兩比較其相對重要性得出相對權值的比值,如公式(1)所示。
公式(1)判斷陣A為n×n 的方陣,主對角線元素為1,aij =1/ aij ,i≠j,i ,j =1,2,3,…n ,aij >0,aij為 i 與 j 兩因素相對重要性的比值,一般按 1~9 比例標度法對重要性程度賦值。
3)層次單排序。本文利用和法計算權值。
首先將A的每一列向量歸一化:
(2)
然后對歸一化后的判斷矩陣矩陣按行求和:
(3)
再將向量■=[■1,■2,…■n]T歸一化:
(4)
歸一化后的向量■的分量即為各評估要素的權值。
4)一致性校驗。為了保證判斷矩陣具有比較高的準確度,需要對矩陣進行一致性校驗。計算一致性指標如下:
首先求出矩陣的最大特征根。
然后計算一致性指標。
(6)
最后計算一致性比例。
(7)
如果CR
當CR=0時,判斷矩陣具有完全一致性,CR越大則一致性越差。一般認為CR
3.2 移動智能終端系統安全風險評估
本節將上節介紹的AHP算法運用到移動終端安全測評工具模型建立。在測評工具的判斷矩陣系數確定中結合問卷調查、專家評分的方式,通過算法調用大量的測試用例對終端系統安全功能進行自動測評,得出終端系統主要安全機制脆弱性的評估值,在此基礎上對待測終端系統進行安全風險評估。
1) 建立層次模型 根據表2的分析及AHP算法建立層次模型如圖1,分別給各評估要素編號1~7。
2)構造判斷矩陣與求解 基于上述模型,對HTC手機野火進行風險評估,該型號手機使用Android 2.3操作系統。利用調查問卷的形式和專家意見咨詢方式構造判斷矩陣Ai,用1~9比例標度法構造出各個元素的判斷矩陣Ai。其中第一層對第二層的判斷矩陣為:
分別計算出第一層要素對第二層要素的權值分別為:
W1 =[0.456,0.152,0.068,0.323] T
W2 =[0.076,0.543,0.136,0.244] T
W3 =[0.093,0.093,0594,0.218] T
經計算以上三個矩陣CR
第二層對第三層的判斷矩陣為:
計算出第二層要素對第三層要素的權值分別為:
W4 =[0.462,0.073,0.195,0.737,0.195] T
W5 =[0.360,0.071,0.367,0.104,0.095] T
W6 =[0.137,0.400,0.079,0.277,0.106] T
W7 =[0.329,0.090,0.104,0.071,0.404] T
經計算以上四個矩陣CR
3)風險級別 由上述計算得到權重矩陣?棕1 =[W1, W2, W3]T和?棕2 =[ W4, W5, W6, W7]T。利用安全功能測評工具得到第三層各元素脆弱性度?茁 =[2,6,4,2,7]。計算第二層元素的安全風險權重?滓2=?棕2?茁T =[4.98,3.49,4.29,4.58]。第一層元素的安全風險權重?滓1=?棕1?滓2T =[4.57,3.97,4.33]。對照表1判定各威脅對該終端系統的破壞能力為中,該終端系統面臨的三個安全風險:資產、名譽、時間損失的等級為中。
4 結束語
移動信息安全工作的重要性和緊迫性得到越來越廣泛的重視,本文針對目前移動智能終端信息安全威脅,定義了終端系統安全風險評估的概念并利用AHP算法建立智能終端系統安全風險評估模型,通過此方法可計算出各評估要素的相對風險程度和整個智能終端的安全風險等級,該方法有利于移動智能終端分級安全評估模型的建立,為不同用戶對安全的不同需求提供評估的參考。
參考文獻
[1] C. Dagon, T. Martin, and T. Starner, Mobile Phones as Computing Devices: the Viruses Are Coming[J].IEEE Pervasive Computing,2004(3):11-15.
[2] Gong lei, zhou chong, Development and Research of mobile terminal application based on Android[J]. Computer and Modernization.2008:86-89.
[3] 馮登國,張陽,張玉清.信息安全風險評估綜[J].通信學報,2004,7(25):10-18.
[4] YD/T 1699-2007[S].移動終端信息安全技術要求,2006.
[5] YD/T 1700-2007[S].移動終端信息安全測試方法,2006.
[6] GB/T20984-2007[S].信息安全風險評估規范,2007.
[7] GB 17859-1999[S].計算機信息系統安全保護等級劃分準則,1999.
[8] Wayne Jansen, Karen Scarfone, Guidelines on Cell Phone and PDA Security. National Institute of Standards and Technology (NIST) Special Publication[S], October 2010.
[9] Thomas L. Saaty. Axiomatic Foundation of the Analytic Hierarchy Process[J].Management Science, 1986,7(32):841-855.
[10] 李楊,韋偉,劉永忠.一種基于AHP的信息安全威脅評估模型研究[J].計算機科學, 2012, 1(39): 61-137.
基金項目:
自然科學基金項目(編號:61032003,61071100和61271172)、四川省科技條件平臺項目( 編號:2011KJPT01)、四川省應用基礎研究項目( 編號:2012JY0001) 和成都市科技計劃項目(編號:12DXYB026JH-002)聯合資助。
作者簡介:
唐杰(1987-),男,電子科技大學通信抗干擾國家級重點實驗室碩士研究生;主要研究方向為通信安全與保密。
安全無小事。隨著國民經濟的發展,信息化程度愈高,信息安全保障工作就愈重要。信息安全風險評估(以下簡稱“風險評估”)是信息安全保障工作的基礎性工作。但是,現在我國在信息系統的風險評估還處于起步階段,亟待規范和提高。
目前,我國很多政府部門和企業的風險評估工作由于沒有與信息系統的生命周期和安全建設聯系起來,僅僅是為評估而評估。在風險評估后,沒有針對風險評估的結果采取對策,安全狀況最終并未取得實質性的增強和改善,這些風險評估工作僅僅起到了應付上級檢查的作用,存在的隱患又有可能會導致新的風險。
風險評估是一項全新的工作,涉及信息安全管理部門、信息系統主管部門、建設單位和運營或應用部門,科學的風險評估需要理論、方法、技術來支撐,那么我國應該如何建立起良好的風險評估機制呢?
建立和完善各項制度
風險評估敏感性很強,如果引導不當,管理不到位,有可能給國家、社會和企業帶來新的安全隱患,當前最重要就是建立和完善風險評估的各項基本制度。
首先,建立和完善風險評估制度,包括信息系統在設計階段要確定系統的安全目標;在建設驗收階段要確定系統的安全目標達到與否;在運行維護階段要針對安全形勢和問題定期或不定期地進行風險評估以確定安全措施的有效性,確保安全保障目標始終如一得以實現。
其次,建立起信息安全檢查制度與自我評估制度。信息安全檢查由信息安全主管機關或信息系統上級主管機關發起,依據國家風險評估的管理規范和技術標準進行檢查評估,通過行政手段加強信息安全。同時,各信息系統運營或應用單位依靠自身力量或委托有資質的評估機構,也要對自身信息系統進行風險評估。
同時,按照誰主管誰負責、誰運營誰負責的要求,信息系統上級主管機關依據自評估或信息安全檢查的結果,決定是否批準信息系統投入建設或運行。信息系統安全認可和批準工作應納入基礎信息網絡和重要信息系統安全管理體系。
最后,建立風險評估機構管理制度。對國家基礎信息網絡和重要信息系統的風險評估,實行資質準入制度,只允許經國家批準的風險評估機構實施風險評估。國家必須加強風險評估工作的管理,建立服務標準、資質認可與資質核查評估制度。
標準規范也是推廣和實施風險評估工作的法律依據和技術保障,要加快風險評估管理與技術標準的制定和完善,盡快出臺國家標準的《信息安全風險評估指南》、《信息系統安全批準規范》和《信息安全風險管理指南》。
加大人才培養與基礎建設
加強風險評估工作隊伍的建設是做好風險評估工作的前提。我國要形成國家基礎信息網絡和重要信息系統的風險評估的骨干力量,負責實施本系統風險評估工作。同時,積極宣傳風險管理的基本知識,增強風險意識,組織開展相關培訓,提高對風險管理與評估工作的認識和重視。
在基礎建設上,要統籌建設國家基礎信息網絡和重要信息系統風險評估的基礎設施和基礎環境,將風險評估國家重點實驗室的建設納入國家信息安全保障基礎設施的建設規劃,構建風險分析試驗環境,組織研制開發科學實用的檢查評估工具,開展風險評估技術、理論、標準的研究;建立國家風險評估數據庫,積累資料,全面提高國家風險評估水平。
關鍵詞:信息安全;信息資產;風險評估;層次分析法
中圖分類號:TP309文獻標識碼:A 文章編號:1009-3044(2010)19-5129-03
The Research for Information Security Risk Assessment Based on AHP Method
ZENG Li-mei, JIANG Wen-hao
(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)
Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.
Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)
計算機網絡技術在當今社會迅猛發展并且得到廣泛應用,使得各行各業對信息系統的依賴日益加深,信息技術幾乎滲透到了社會生活的方方面面。信息系統及其所承載信息的安全問題日益突出,為了在安全風險的預防、減少、轉移、補償和分散等之間做出決策,需要對網絡系統進行信息安全風險評估。
信息安全風險評估,是指依據國家有關信息安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程[1]。風險評估是提高系統安全性的關鍵環節,通過風險評估,了解系統的安全狀況,將信息系統的風險控制在可接受的范圍內。
1信息系統安全風險評估要素
1.1 風險評估的各要素
信息系統安全風險評估要素及其各要素間的關系如圖l所示。
圖1中,整個模型的核心是風險,資產、脆弱性和威脅是風險評估的基本要素。風險評估的工作圍繞其基本要素展開 。
1.2 風險評估各要素之間的關系
風險評估基本要素之間存在以下關系:
資產是信息系統中需要保護的對象,資產完成業務戰略。單位的業務戰略越重要,對資產的依賴度越高,資產的價值就越大,資產的價值越大風險則越大。
風險是由威脅引起的,威脅越大風險就越大,并很有可能演變成安全事件。
脆弱性是資產中的弱點。威脅利用脆弱性,脆弱性越大風險就越大。
安全需求由資產的重要性和對風險的意識導出。安全措施可以抗擊威脅,降低風險,減弱安全事件的不良影響。
風險不可能也沒有必要降為零,在實施了安全措施后還會有殘留下來的風險,稱為殘余風險。殘余風險可以接受,但應受到密切監視,因為它可能會在將來誘發新的安全事件[2]。
2 風險評估方法
目前國內外存在很多風險評估的方法,還沒有統一的信息安全風險分析的方法。在風險評估過程中根據系統的實際情況,選擇合適的風險評估方法。風險評估的方法概括起來可分為三大類:定性分析方法、定量分析方法、定性和定量相結合的分析方法。[3]
2.1定性分析方法
定性分析方法是一種典型的模糊分析方法,可以快捷的對資源、威脅、脆弱性進行系統評估。典型的定性分析方法有邏輯分析法、因素分析法、德爾斐法、歷史比較法[4] 。
定性評估方法的優點是全面、深入,缺點是主觀性太強,對評估者要求高。
2.2 定量分析方法
定量分析方法是在定性分析的邏輯基礎上,通過對風險評估各要素的分析,為信息系統提供系統的分析手段。典型的定量分析方法有決策樹法、回歸模型、因子分析法。
定量分析方法的優點是直觀、明顯、客觀、對比性強,缺點是簡單化、模糊化、會造成誤解和曲解。
2.3 定性和定量結合的綜合評估方法
定量分析是定性分析的基礎和前提,定性分析應該建立在定量分析的基礎上才能揭示客觀事物的內在規律。不能將定性分析方法與定量分析方割裂,而是將這兩種方法融合起來,發揮各自的優勢,采用綜合分析評估方法。主要的綜合分析方法有模糊綜合評價方法、層次分析法、概率風險評估等。[5]
3 AHP方法
3.1 層次分析法簡介
層次分析法(AHP)是美國運籌學家薩蒂(T.L.Saaty)于20世紀70年代初提出的一種定性與定量分析相結合的多準則決策分析方法,該方法簡便、靈活又實用。
層次分析法的基本思想是在決策目標的要求下,將決策對象相對于決策標準的優劣狀況進行兩兩比較,最終獲得各個對象的總體優劣狀況,從而為決策者提供定量形式的決策依據 [6] 。
3.2 系統分解,建立層次結構模型
層次模型的構造是運用分解法的思想,進行對象的系統分解。它的基本層次包括目標層、準則層、方案層三類。目的是建立系統的評估指標體系。層次結構如圖2所示。
3.3 構造判斷矩陣
判斷矩陣的作用是同層次的兩兩元素之間的相對重要性進行比較。層次分析法采用1~9標度方法,對不同情況的評比給出數量標度,如表1所示。[7]
構造判斷矩陣,判斷矩陣A=(aij)n×n有如下性質:①aij>0;②當i≠j時,aji=1/aij;③當i=j時,aij=1。aij為i與j兩因素相對權值的比值。
3.4 層次排序
步驟一:將A的每一列向量歸一化。
步驟二:對按列歸一化的判斷矩陣,再按行求和。
步驟三:將向量歸一化。
3.5 一致性檢驗
步驟一:計算判斷矩陣的最大特征根。
式中(AW)i表示AW的第i個元素。
步驟二:計算一致性指標。
式中,λmax 表示比較判斷矩陣的最大特征根,n表示比較判斷矩陣階數。
步驟三:計算一致性比率。
當 CR
平均隨機一致性標度如表2所示。
4.評估方法實際應用
4.1 建立信息安全風險評估模型
為了突出風險評估的重點,對信息系統風險的評價指標進行適當的簡化,建立某企業信息安全風險評估層次結構模型,如圖3所示。
4.2 風險評估結果
根據圖3各評估因素及其相互關系,建立兩兩比較判斷矩陣,如表3、表4、表5、表6所示,用AHP方法求解一致性比率CR,判斷矩陣是否具有滿意一致性。
表3G-C的判斷矩陣
表4C1-P的判斷矩陣 表5C2-P的判斷矩陣 表6C3-P的判斷矩陣
以上結果CR均小于0.1,表明比較判斷矩陣都滿足一致性檢驗標準。由以上結果求的最終的總層次排序結果如表7所示。
5 結束語
在信息系統風險評估中,風險評估方法一直都是研究的關鍵點。本文采用層次分析法對風險評估的指標進行了分析,通過分析研究可得,層次分析法在風險評估和等級劃分的實際應用中是一種行之有效、可操作性強的方法,可以很好的應用于信息安全風險評估。
參考文獻:
[1] GB/T 20984-2007,信息安全技術信息安全風險評估規[S].中華人民共和國國家標準,2007.
[2] 向宏,傅鵬,詹榜華.信息安全測評與風險評估[M].北京:電子工業出版社,2009:319.
[3] 王偉,李春平,李建彬.信息系統風險評估方法的研究[J].計算機工程與設計,2007,28(14):3473-3474.
[4] 范紅,馮登國,吳亞非.信息安全風險評估方法與應用[M].北京:清華大學出版社,2006:49-50.
[5] 吳亞非,李友新,祿凱.信息安全風險評估[M].北京:清華大學出版社,2007:101-109.
關鍵詞:地理信息系統;風險評估
2006年1月國家網絡與信息安全協調小組發表了“關于開展信息安全風險評估工作的意見”,意見中指出:隨著國民經濟和社會信息化進程的加快,網絡與信息系統的基礎性、全局性作用日益增強,國民經濟和社會發展對網絡和信息系統的依賴性也越來越大。
1什么是GIS
地理信息系統(GeographicInformationSystem,簡稱GIS)是在計算機軟硬件支持下,管理和研究空間數據的技術系統,它可以對空間數據按地理坐標或空間位置進行各種處理、對數據的有效管理、研究各種空間實體及相互關系,并能以地圖、圖形或數據的形式表示處理的結果。
2風險評估簡介
風險評估是在綜合考慮成本效益的前提下,針對確立的風險管理對象所面臨的風險進行識別、分析和評價,即根據資產的實際環境對資產的脆弱性、威脅進行識別,對脆弱性被威脅利用的可能性和所產生的影響進行評估,從而確認該資產的安全風險及其大小,并通過安全措施控制風險,使殘余風險降低到可以控制的程度。
3地理信息系統面臨的威脅
評估開始之前首先要確立評估范圍和對象,地理信息系統需要保護的資產包括物理資產和信息資產兩部分。
3.1物理資產
包括系統中的各種硬件、軟件和物理設施。硬件資產包括計算機、交換機、集線器、網關設備等網絡設備。軟件資產包括計算機操作系統、網絡操作系統、通用應用軟件、網絡管理軟件、數據庫管理軟件和業務應用軟件等。物理設施包括場地、機房、電力供給以及防水、防火、地震、雷擊等的災難應急等設施。
3.2信息資產
包括系統數據信息、系統維護管理信息。系統數據信息主要包括地圖數據。系統維護管理信息包括系統運行、審計日志、系統監督日志、入侵檢測記錄、系統口令、系統權限設置、數據存儲分配、IP地址分配信息等。
從應用的角度,地理信息系統由硬件、軟件、數據、人員和方法五部分組成:硬件和軟件為地理信息系統建設提供環境;數據是GIS的重要內容;方法為GIS建設提供解決方案;人員是系統建設中的關鍵和能動性因素,直接影響和協調其它幾個組成部分。
險評估工作流程
地理信息系統安全風險評估工作一般應遵循如下工作流程。
4.1確定資產列表及信息資產價值
這一步需要對能夠收集、建立、整理出來的、涉及到所有環節的信息資產進行統計。將它們按類型、作用、所屬進行分類,并估算其價值,計算各類信息資產的數量、總量及增長速度,明確它們需要存在的期限或有效期。同時,還應考慮到今后的發展規劃,預算今后的信息資產增長。這里所說的信息資產包括:物理資產(計算機硬件、通訊設備及建筑物等)信息/數據資產(文檔、數據庫等)、軟件資產、制造產品和提供服務能力、人力資源以及無形資產(良好形象等),這些都是確定的對象。
4.2識別威脅
地理信息系統安全威脅是指可以導致安全事件發生和信息資產損失的活動。在實際評估時,威脅來源應主要考慮這幾個方面,并分析這些威脅直接的損失和潛在的影響、數據破壞、喪失數據的完整性、資源不可用等:
(1)系統本身的安全威脅。
非法設備接入、終端病毒感染、軟件跨平臺出錯、操作系統缺陷、有缺陷的地理信息系統體系結構的設計和維護出錯。
(2)人員的安全威脅。
由于內部人員原因導致的信息系統資源不可用、內部人員篡改數據、越權使用或偽裝成授權用戶的操作、未授權外部人員訪問系統資源、內部用戶越權執行未獲準訪問權限的操作。
(3)外部環境的安全威脅。
包括電力系統故障可能導致系統的暫停或服務中斷。
(4)自然界的安全威脅。
包括洪水、颶風、地震等自然災害可能引起系統的暫停或服務中斷。
4.3識別脆弱性
地理信息系統存在的脆弱性(安全漏洞)是地理信息系統自身的一種缺陷,本身并不對地理信息系統構成危害,在一定的條件得以滿足時,就可能被利用并對地理信息系統造成危害。
4.4分析現有的安全措施
對于已采取控制措施的有效性,需要進行確認,繼續保持有效的控制措施,以避免不必要的工作和費用,對于那些確認為不適當的控制,應取消或采用更合適的控制替代。
4.5確定風險
風險是資產所受到的威脅、存在的脆弱點及威脅利用脆弱點所造成的潛在影響三方面共同作用的結果。風險是威脅發生的可能性、脆弱點被威脅利用的可能性和威脅的潛在影響的函數,記為:
Rc=(Pt,Pv,I)
式中:Rc為資產受到威脅的風險系數;Pt為威脅發生的可能性;Pv為脆弱點被威脅利用的可能性;I為威脅的潛在影響(可用資產的相對價值V代替)。為了便于計算,通常將三者相乘或相加,得到風險系數。新晨
4.6評估結果的處置措施
在確定了地理信息系統安全風險后,就應設計一定的策略來處置評估得到的信息系統安全風險。根據風險計算得出風險值,確定風險等級,對不可接受的風險選擇適當的處理方式及控制措施,并形成風險處理計劃。風險處理的方式包括:回避風險、降低風險(降低發生的可能性或減小后果)、轉移風險和接受風險。
究竟采取何種風險處置措施,需要對地理信息系統進行安全需求分析,但采取了上述風險處置措施,仍然不是十全十美,絕對不存在風險的信息系統,人們追求的所謂安全的地理信息系統,實際是指地理信息系統在風險評估并做出風險控制后,仍然存在的殘余風險可被接受的地理信息系統。所謂安全的地理信息系統是相對的。
4.7殘余風險的評價
對于不可接受范圍內的風險,應在選擇了適當的控制措施后,對殘余風險進行評價,判定風險是否已經降低到可接受的水平,為風險管理提供輸入。殘余風險的評價可以依據組織風險評估的準則進行,考慮選擇的控制措施和已有的控制措施對于威脅發生可能性的降低。某些風險可能在選擇了適當的控制措施后仍處于不可接受的風險范圍內,應通過管理層依據風險接受的原則,考慮是否接受此類風險或增加控制措施。
關鍵詞 信息工程安全系統 風險評估 控制
中圖分類號:X92 文獻標識碼:A
對項目風險管理來說,風險評估是對信息工程安全資產所面臨的威脅、存在的弱點、造成的影響及三者綜合作用所帶來風險的可能性的評估。作為項目風險管理的基礎,風險評估是確定信息工程安全需求的一個重要途徑,屬于信息工程安全管理體系策劃的過程。
1 風險評估概述
風險評估是在綜合考慮成本效益的前提下,通過安全措施控制風險,使殘余風險降低到可以控制的程度。因為任何信息系統都會有安全風險,所謂安全信息系統,實際上指信息系統在實施了風險評估以后做出了風險控制,仍然存在殘余風險是可被接受的信息系統我們就稱為安全信息系統。追求信息系統安全就不能脫離全面完整的信息系統安全評估,就必須運用信息系統安全風險評估的思想和規范對信息系統進行安全評估。
風險評估的主要任務包括:(1)識別面臨的各種風險。(2)評估風險概率和可能帶來的負面影響。(3)確定承受風險的能力。(4)確定風險消減和控制的優先等級。(5)推薦風險消減對策。
1.1 信息工程安全系統項目風險評估概述
信息工程安全系統項目風險管理是圍繞信息工程安全系統項目風險而展開的評估、處理和控制的活動。其中最重要的基本要素是風險評估,因為基于風險評估可以對政府部門信息工程安全系統項目有系統全面的了解,找出潛在問題,分析原因,判斷嚴重性和相關影響,以此確定信息工程安全系統建設的需求。項目是一個過程,從項目的開始到結束,風險評估要求風險評估貫穿到信息系統的整個生命周期提出了三個環節要進行風險評估:一是信息系統規劃設計階段,二是系統驗收階段,三是信息系統運維階段。管理的不確定性,有限的資源和千變萬化的危險和漏洞,使得所有的風險不可能完全緩解。一個信息系統的項目專業人員必須要協同用戶、項目經理對信息系統各種潛在的影響進行評估,使其達到一個合理水平。
由于種種原因,信息安全系統存在著很多漏洞及缺陷,如黑客攻擊或系統本身的原因,會造成系統安全事件,給系統帶來不好的影響。因此,要對項目的信息安全風險進行相應的評估,評估的主要內容包括系統的安全漏洞和系統可能帶來的負面影響,根據相應的等級來進行劃分,評估出可能發生的安全風險。
1.2 信息工程安全系統項目風險評估過程
一般來說,系統信息工程安全項目風險評估分為四個不同的階段。
第一個階段:風險評估準備階段。
(1)根據相應的風險評估準則,調研項目的實際情況,然后制定風險評估的計劃表。按照實際操作來看,計劃通常要由三個重要的表格組成,這三個表分別是:《信息工程安全系統的描述報告》、《信息工程安全系統的分析報告》和《信息工程安全系統的安全要求報告》。通過這些表格及具體的計劃表,要對項目的風險評價進行計劃。計劃的內容一般要設計如下范圍:目的、范圍、目標、組織架構、經費預算、進度安排。制定好計劃書后要及時匯報給決策層。如果決策層有異議,應該及時根據意見加以修改。只有獲得決策層的審核和同意后,計劃書才能獲得批準,才能夠獲得相應的資源加以執行。
(2)結合項目的具體實際,對整個風險評估流程加以確定。不同的項目風險評估流程是不一樣的,必須要結合具體的項目實際對評估的流程加以確定,如何工作,如何評估,評估結果如何衡量等。這個步驟,通常應該形成一個書面的《風險評估程序》,便于后面工作人員的具體操作。
(3)根據項目具體實際,選擇特定的風險評估方法和工具。風險評估方法和工具千差萬別,具體的某個項目,有針對性地 選擇成本低,效果好,結合項目實際的具體方法和工具。
第二個階段:風險因素識別。
(1)對所有需要保護的信息資產加以清點。根據上文確定的三個相關報告,對單位或項目所有的資產加以清點,找出重要的、對安全有重大影響的信息資產并造冊,形成書面的《需要保護的資產清單》。(2)結合相關工具,識別出可能面臨的威脅。一般來說,目前信息安全行業都有相應的較為全面的威脅或漏洞庫,結合這些數據庫,對單位的具體資產進行詳細的清點和評估,就能找出可能面臨的威脅,編制書面的《威脅列表》。(3)根據上面的工作,參照漏洞庫,可以對整個單位信息資產面臨的脆弱性加以評估,形成書面的《脆弱性列表》。
第三個階段:風險程度分析。
(1)確認單位目前已經采用的安全防范措施。通過書面形式,對單位目前已經有的具體防范措施加以總結,填寫到《已有安全措施分析報告》。(2)對可能面臨的威脅的動機加以分析。面臨的威脅的動機一般分為:涉及利益者的攻擊、對系統好奇、對自己的技術自負等,要形成書面的《威脅動機分析報告》。(3)分析單位可能面臨的威脅行為的能力。這一步主要是對可能面臨威脅的具體評估,包括強度、廣度、深度等。(4)分析信息資產的價值。信息自查的價值主要從以下幾個方面來評估:關鍵性,價格,敏感性等。(5)分析可能面臨的影響的程度。具體包括:資產損失,任務妨害,人員傷亡等。
第四個階段:風險等級評價階段。
(1)對威脅的動機加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(2)對威脅的行為能力加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(3)對系統脆弱性加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(4)對資產價值加以評估,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(5)對影響程度加以評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。(6)對所有因素加以綜合評價,采用五級劃分,分別是:“很高、較高、中等、較低、很低”。
一般來說,有公認的具體算法。但各單位具體實際情況不一而足。所以,對于公認的算法可以進行修改,或者提出自己認為更符合實際情況的算法。
2 信息工程安全系統項目風險控制
2. 1 風險控制概述
風險評估的目的是進行風險控制,進而最大可能排除系統面臨的風險。所以,在信息風險評估之后,就要進行風險控制,其目的是為了盡可能降低系統面臨的風險和漏洞。而系統的風險和漏洞,是不可能完全排除的,不論下多么大的成本。只能在一定范圍內,盡可能控制在可以接受的范圍。一般來說,為了控制可能發生的風險,主要采用以下幾種方式:(1)規避風險。規避就是避免使用。例如有一些信息資產面臨很大的風險,如果完全消除風險,需要很大的成本,需要更多的經濟投入等。那么,一個比較可行的辦法就是避免使用這樣的資產,或者一些敏感的、需要保密的數據,不在這些資產上使用,從而規避掉可能發生的風險。(2)轉移風險。這種方式的思路,就是將已經面臨風險的資產轉移到風險較低,或者沒有風險的資產上。如某單位需要處理技術上足夠復雜,沒有能力處理的業務時,可以通過尋求外包給第三方專業機構的形式,要求對方做好風險處理,從而達到轉移風險的目的。(3)降低風險。降低風險就是在資產面臨風險時,通過各種手段和方法來降低其面臨的風險。
2.2 信息工程安全系統項目風險控制過程
在信息工程安全項目管理中,風險控制可以劃分為四個階段,分別是:現有風險判斷、確定風險控制目標、采取選擇和實施具體的風險控制措施。
在不同的階段,進行不同的工作流程和具體內容,分別如下:
第一階段:預備階段。在本階段,主要是對單位現有的信息資產激進型識別、編號、評估并造冊,形成書面報告。
第二階段:現存風險判斷。在本階段,通過各種工具和方法,對系統信息資產面臨的風險加以評級。一般來說,風險的評級主要分為兩種:可接受的系統風險和不可接受的系統風險。然后,對系統目前存在的一些風險加以判斷,到底是否能夠接受。
第三階段:確定風險控制目標。本階段主要的工作流程和內容包括:(1)分析風險控制需求。針對上面提出的不可接受的風險,分析其具體需求;并分析哪些是可以做到,哪些不能做到;如果做到,需要具體的成本和措施等。(2)確立風險控制目標。完全搞清楚其具體需求后,就可以確定風險控制的目標。
第四階段:控制措施選擇與實施。
控制措施選擇階段的工作流程和內容如下:(1)選擇風險控制方式。確定目標后,就可以采用具體的風險控制方式。選擇方式時必須考慮到單位的具體情況,能否實現以及經濟投入成本、投入產出比等。(2)選擇風險控制措施。控制措施實施階段的工作流程和內容如下:①制定風險控制實施計劃:選擇好相應的風險控制方式后,即可制定具體的實施計劃。實施計劃必須為書面,便于后面的審查以及對照。②實施風險控制措施:采用規避、降低、轉移等具體方式來控制。實施過程應該遵循相應的工作流程和標準,并書面記錄在案。
3 結語
當前網絡信息安全技術發展迅速,任何信息系統都會有安全風險。沒有任何一種解決方案可以防御所有危及網絡信息安全的攻擊。因此我們需要不斷跟蹤新技術,對所采用的網絡信息安全防范技術進行升級完善,以確保相關利益不受侵犯。
參考文獻
[1] Stuart McClure 等.黑客大曝光――網絡安全機密與解決方案[M].北京:清華大學出版社,2006:140.
[2] 魏仕民等.信息安全概論[M].北京:高等教育出版社,2005:40-41.
[3] 曲平.安全信息管理技術的研發與運用[J].信息通信,2013.
關鍵詞:信息安全;風險評估;脆弱性;威脅
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007—9599 (2012) 14—0000—02
一、引言
隨著信息技術的飛速發展,關系國計民生的關鍵信息資源的規模越來越大,信息系統的復雜程度越來越高,保障信息資源、信息系統的安全是國民經濟發展和信息化建設的需要。信息安全的目標主要體現在機密性、完整性、可用性等方面。風險評估是安全建設的出發點,它的重要意義在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案的制定,以成本一效益平衡的原則,通過評估信息系統面臨的威脅以及脆弱性被威脅源利用后安全事件發生的可能性,并結合資產的重要程度來識別信息系統的安全風險。信息安全風險評估就是從風險管理角度,運用科學的分析方法和手段,系統地分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解風險,或者將殘余風險控制在可接受的水平,從而最大限度地保障網絡與信息安全。
二、網絡信息安全的內容和主要因素分析
“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全,而從廣義的角度考慮,還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。
網絡信息安全具有如下5個特征:1.保密性。即信息不泄露給非授權的個人或實體。2.完整性。即信息未經授權不能被修改、破壞。3.可用性。即能保證合法的用戶正常訪問相關的信息。4.可控性。即信息的內容及傳播過程能夠被有效地合法控制。5.可審查性。即信息的使用過程都有相關的記錄可供事后查詢核對。網絡信息安全的研究內容非常廣泛,根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。
而通過有效的網絡信息安全風險因素分析,就能夠為此復雜問題的解決找到一個考慮問題的立足點,能夠將復雜的問題量化,同時,也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎。
網絡信息安全的風險因素主要有以下6大類:1.自然界因素,如地震、火災、風災、水災、雷電等;2.社會因素,主要是人類社會的各種活動,如暴力、戰爭、盜竊等;3.網絡硬件的因素,如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響;4.軟件的因素,包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等;5.人為的因素,主要包括網絡信息使用者和參與者的各種行為帶來的影響因素,如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等;6.其他因素,包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。
三、安全風險評估方法
(一)定制個性化的評估方法
雖然已經有許多標準評估方法和流程,但在實踐過程中,不應只是這些方法的套用和拷貝,而是以他們作為參考,根據企業的特點及安全風險評估的能力,進行“基因”重組,定制個性化的評估方法,使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網絡結構評估、脆弱性掃描、策略評估、應用風險評估等。
(二)安全整體框架的設計
風險評估的目的,不僅在于明確風險,更重要的是為管理風險提供基礎和依據。作為評估直接輸出,用于進行風險管理的安全整體框架。但是由于不同企業環境差異、需求差異,加上在操作層面可參考的模板很少,使得整體框架應用較少。但是,企業至少應該完成近期1~2年內框架,這樣才能做到有律可依。
(三)多用戶決策評估
不同層面的用戶能看到不同的問題,要全面了解風險,必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程,對于了解風險、理解風險、管理風險、落實行動,具有極大的意義。事實證明,多用戶參與的效果非常明顯。多用戶“決策”評估,也需要一個具體的流程和方法。
(四)敏感性分析
由于企業的系統越發復雜且互相關聯,使得風險越來越隱蔽。要提高評估效果,必須進行深入關聯分析,比如對一個老漏洞,不是簡單地分析它的影響和解決措施,而是要推斷出可能相關的其他技術和管理漏洞,找出病“根”,開出有效的“處方”。這需要強大的評估經驗知識庫支撐,同時要求評估者具有敏銳的分析能力。
(五)集中化決策管理
安全風險評估需要具有多種知識和能力的人參與,對這些能力和知識的管理,有助于提高評估的效果。集中化決策管理,是評估項目成功的保障條件之一,它不僅是項目管理問題,而且是知識、能力等“基因”的組合運用。必須選用具有特殊技能的人,去執行相應的關鍵任務。如控制臺審計和滲透性測試,由不具備攻防經驗和知識的人執行,就達不到任何效果。
(六)評估結果管理
安全風險評估的輸出,不應是文檔的堆砌,而是一套能夠進行記錄、管理的系統。它可能不是一個完整的風險管理系統,但至少是一個非常重要的可管理的風險表述系統。企業需要這樣的評估管理系統,使用它來指導評估過程,管理評估結果,以便在管理層面提高評估效果。
四、風險評估的過程
(一)前期準備階段
主要任務是明確評估目標,確定評估所涉及的業務范圍,簽署相關合同及協議,接收被評估對象已存在的相關資料。展開對被評估對象的調查研究工作。
(二)中期現場階段
編寫測評方案,準備現場測試表、管理問卷,展開現場階段的測試和調查研究階段。
(三)后期評估階段
撰寫系統測試報告。進行補充調查研究,評估組依據系統測試報告和補充調研結果形成最終的系統風險評估報告。
五、風險評估的錯誤理解
1.不能把最終的系統風險評估報告認為是結果唯一。
2.不能認為風險評估可以發現所有的安全問題。
3.不能認為風險評估可以一勞永逸的解決安全問題。
4.不能認為風險評估就是漏洞掃描。
5.不能認為風險評估就是 IT部門的工作,與其它部門無關。
6.不能認為風險評估是對所有信息資產都進行評估。
六、結語
總之,風險評估可以明確信息系統的安全狀況和主要安全風險。風險評估是信息系統安全技術體系與管理體系建設的基礎。通過風險評估及早發現安全隱患并采取相應的加固方案是信息系統安全工程的重要組成部分,是建立信息系統安全體系的基礎和前提。加強信息安全風險評估工作是當前信息安全工作的客觀需要和緊迫需求,但是,信息安全評估工作的實施也存在一定的難題,涉及信息安全評估的行業或系統各不相同,并不是所有的評估方法都適用于任何一個行業,要選擇合適的評估方法,或開發適合于某一特定行業或系統的特定評估方法,是當前很現實的問題,也會成為下一步研究的重點。
參考文獻:
[1]剛,吳昌倫.信息安全風險評估的策劃[J].信息技術與標準化,2004,09
[2]賈穎禾.信息安全風險評估[J].中國計算機用戶,2004,24
[3]楊潔.層次化的企業信息系統風險分析方法研究[J].軟件導刊,2007,03
關鍵詞:信息系統;風險;評估;管理
在當前迅猛的科技信息技術傳播更新下,對于信息安全管理的工作也發生了重大的改變,其從傳統單一的技術管理手段改變為技術與管理兩者相結合的較全面綜合管理手段;其從局部的管理模式改變到對于全局管理的系統管理模式;從最初存在較多問題的不完善經驗式管理改變到目前具有著分明的安全等級科學管理模式等。在風險評估上也從評估對象的綜合評估轉變到個因評估、從目前的現今評估發展到對未來趨勢的評估;又從靜態的評估方式轉變到動態評估方式;從最初的手動風險評估轉變到今天的全自動技術自動評估;從信息風險的定量評估改變到定性與定量兩者相結合等,以上的改變都證實了我國在信息安全管理上不斷努力的成效。結合目前我國信息系統的現狀來說,在現有基礎上對于相關信息系統科學理論、方法的更進一步完善與創新,是勢在必行的,也是確保信息系統風險評估與管理工作不斷完善的必要前提。
一、信息系統風險評估方法的研究現狀
1.基于專家系統的風險評估工具
這種方法經常利用專家系統建立規則和外部知識庫,通過調查問卷的方式收集組織內部信息安全的狀態。對重要資產的威脅和脆弱點進行評估,產生專家推薦的安全控制措施。這種工具通常會自動形成風險評估報告,安全風險的嚴重程度提供風險指數,同時分析可能存在的問題,以及處理辦法。
2.基于定性或定量算法的風險分析工具。
風險評估根據對各要素的指標量化以及計算方法不同分為定性和定量的風險分析工具。風險分析作為重要的信息安全保障原則已經很長時間。信息安全風險分析算法在很久以前就提出來,而且一些算法被作為正式的信息安全標準。這些標準大部分是定性的――也就是,他們對風險產生的可能性和風險產生的后果基于“低/中/高”這種表達方式,而不是準確的可能性和損失量。隨著人們對信息安全風險了解的不斷深入,獲得了更多的經驗數據,因此人們越來越希望用定量的風險分析方法反映事故方式的可能性。
二、信息系統風險評估方法
1.對于定性評估來說,其主要的評估途徑是根據研究者在其所掌握的知識和所具備的經驗吸取以及政策走向等非量化的資料來對信息系統的狀況做出不同風險情況等級的判斷。在信息系統風險的評測中,定性分析乃是被使用較多的分析方法,其特點主要是只關注那些構成危險事件可能會帶來的損失,而不計算該威脅是否會發生。在實施定性評估的過程中并不使用具體的數據進行評測,而是使用指定期望值來進行評測,如,假設每一種存在的風險其風險影響度和預期風險的發生概率為低等、中等和高等,而不是確切的數字。總的來說,定性評估的優點在于其可以使評估的結果更加深入、廣泛,但是很大的一個缺點在于其具有較強的主觀性,因此,對于定性評估來說,對評估者自身的專業素養和分析能力的要求是非常高的。
2.其次是定量評估,它去定性評估的區別是:定量評估是使用數量指標來對風險進行評測的,它在評估過程中,重點分析風險可能發生的概率和發生的風險危害程度所形成的比值,這與定性來說是截然相反的。因此,定量評估在進行評測的同時大大增加了運行機制和各項規范、制度等緊密結合的可操作性。定量評估的特點在于其使分析評估的目標的對目標采取的補救措施更加明確,在一目了然、清晰的數據中看到直觀的評測數據。美中不足的是,定量評估在其量化過程中容易將復雜的事物簡單化,容易造成疏漏。
3.就目前來說,將定性評估與定量評估兩者的有機結合是得到客觀、公正的評估結果最合適不過的方法,而且通過其兩者的相互融入,此消彼長,取長補短是非常科學的。因此,在對于信息系統的風險評估中,需要因地制宜,做到具體問題具體分析,如,在進行風險評估時,遇到關于結構化問題相對很強的時候可采用定量分析;反之,可使用定性分析;如問題的顯示既兼有結構化又帶有非結構化時,就可以采用定性評估與定量評估兩者結合的評測;這樣就能使遇到的問題復雜變簡單,簡單變迎刃而解。
三、信息系統動態風險管理模型與對策建議
1.基于態勢評估的風險預警、防范與控制
信息系統安全風險態勢評估值表示系統當前是否安全,即通過當前態勢值和正常情況下的態勢值比較可以判斷系統是否安全;也可以提供可能收到的信息系統威脅程度有多大的信息。通過評估己能夠得到過去和當前的信息系統安全狀況,能給信息系統管理者預警。這些使得信息系統管理員能明確獲知信息系統攻擊的威脅程度,清晰的把握信息系統安全狀態,從而對信息系統現實的情況做出相應的防范與控制措施。基于態勢評估的信息系統風險預警、防范與控制模型圖如下:
2.信息系統風險評估信息安全保障體系的建立
為有效控制信息系統面臨的安全風險,確保信息系統的安全、高效和可靠運行,迫切需要構建基于信息系統風險評估的整體信息安全保障體系,建立貫穿信息系統各個應用環節的立體式安全防護,使其得到有效的安全保障,從而確保信息系統業務的順利進行。
信息安全管理體系是組織整個管理體系的一部分,它基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進信息安全的。建立信息安全管理體系是“需求導向型的信息安全解決方案”的典型體現,通過體系的建設,可以有效解決組織面臨的信息安全問題,提高組織的信息安全防護能力。
風險評估是等級保護的出發點,也是安全建設的出發點,風險評估的結果可作為實施等級保護、等級安全建設的出發點和參考點,它為信息安全管理體系的控制目標和控制措施的選擇提供依據,也是安全控制效果進行測量評估的主要方法。等級保護是指導我國信息安全保障體系建設的一項基本管理制度,它是安全管理體系建設的基本原則,它的核心內容是對信息系統安全分等級、按標準進行建設、管理和監督。
3.信息系統風險評估對于保護對象的有效識別
從目前國內外信息系統的安全實踐看,信息系統存在許多威脅和潛在的風險。這些潛在的風險屬于信息安全管理范疇的問題。實施信息系統風險評估能夠有效識別需要保護的對象,知道了要保護什么,就會分析保護對象的特點、屬性,分析保護對象存在的脆弱性(既包括技術脆弱性,也包括管理脆弱性)和面臨的安全威脅,從而有針對性地選擇控制措施來應對具體的風險,尤其對于管理脆弱性,可以通過制定相應的策略和程序來加以控制,這正適合于解決信息系統中存在的信息安全問題。
總結:
1、提高企業信息系統的策略及措施解決企業信息安全方案分析
解決信息系統安全要有以下幾點認識:要解決信息系統要有統籌全局的觀念。解決信息系統的安全問題要樹立系統觀念,不能光靠一個面。從系統的角度分析信息系統是由用戶和計算機系統兩者組成,這包括人和技術兩點因素。使用和維護計算機安全信息系統可以根據信息系統具有動態性和變化性等特點進行調整。信息系統是一項長期屬于相對安全的工作,必須制訂長銷機制,絕不能以逸待勞。企業信息系統安全可以采取的策略是采用一套先進、科學及適用的安全技術系統,在對系統進行監控和防護,及時適當的分析信息系統的安全因素,使這套系統具有靈敏性和迅速性等響應機制,配合智能型動態調整功能體系。需要緊記的是系統安全來自于風險評估、安全策略、自我防御、實時監測、恢復數據、動態調整七個方面。其中,通過風險評估可以找出影響信息系統安全存在的技術和管理等因素產生的問題。在經過分析對即將產生問題的信息系統進行報告。
安全策略體現著系統安全的總體規劃指導具體措施的進行。是保障整個安全體系運行的核心。防御體系根據系統中出現的問題采用相關的技術防護措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過監測系統實時檢測運行各種情況。在安全防護機制下及時發現并且制止各種對系統攻擊的可能性,假設安全防護機制失效必須進行應急處理,立刻實現數據恢復。盡量縮小計算機系統被攻擊破壞的程度。可以采取自主備份,數據恢復,確保恢復,快速恢復等手段。并且分析和審理安全數據,適時跟蹤,排查系統有可能出現的違歸行為,檢查企業信息系統的安全保障體系是否超出違反規定。
通過改善系統性能引入一套先進的動態調整智能反饋機制,可以促進系統自動產生安全保護,取得良好的安全防護效果。可以對一臺安全體系模型進行分析,在管理方面,對安全策略和風險評估進行測評,在技術層面,實時監測和數據恢復形成一套防御體系。在制度方面,結合安全跟蹤進行系統排查工作。系統還應具備一套完整的完整的動態自主調整的反饋機制,促進該體系模型更好的與系統動態性能結合。
信息安全管理在風險評估和安全策略中均有體現,將這些管理因素應用與安全保障體系保護信息安全系統十分重要。企業必須設立專門的信息系統安全管理部門,保障企業信息系統的安全。由企業主要領導帶頭,組織信息安全領導小組,專門負責企業的信息安全實行總體規劃及管理。在設立信息主管部門實施具體的管理步驟。企業應該制訂關于保證信息系統安全管理的標準。標準中應該明確規定信息系統中各類用戶的職責和權限、必須嚴格遵守操作系統過程中的規范、信息安全事件的報告和處理流程、對保密信息進行嚴格存儲、系統的帳號及密碼管理、數據庫中信息管理、中心機房設備維護、檢查與評估信息安全工作等等信息安全的相關標準。而且在實際運用過程中不斷地總結及完善信息系統安全管理的標準。
相關部門應該積極開展信息風險評估工作。通過維護信息網的網絡基礎設施有拓撲、網絡設備和安全設備,對系統安全定期的進行評估工作,主動發現系統存在的安全問題。主要針對企業支撐的信息網和應用IT系統資產進行全方位檢查,對管理存在的弱點進行技術識別。對于企業的信息安全現狀進行全面的評估,可以制作一張風險視圖表現企業全面存在的問題。為安全建設提供指導方向和參考價值。為企業信息安全建設打下堅實的基礎。
最后,加強信息系統的運行管理。可以通過以下措施進行:規范系統電子臺帳、設備的軟件及硬件配置管理、建立完善的設備以及相關的技術文檔。系統日常各項工作進行閉環管理,系統安裝、設備運營管理等。還要對用戶工作進行規范管理,分配足夠的資源和應用權限。防御體系、實時檢測和數據恢復三方面都體現了技術因素,信息安全管理系統技術應用于安全保障體系中。在建設和維護信息安全保障體系過程中,需要多方面,多角度的進行綜合考慮。采用分步實施,逐步實現的手法。在信息安全方面采取必要的技術手段,加強系統采取冗余的配置,提高系統的安全性。
對中心數據庫系統、核心交換機、數據中心的存儲系統、關鍵應用系統服務器等。為了避免重要系統的單點故障可以采取雙機甚至群集的配置。另外,加強對網絡系統的管理。企業信息系統安全的核心內容之一是網絡系統。同樣也是影響系統安全因素最多的環節。網絡系統的不安全給系統安全帶來風險。接下來重點談網絡安全方面需要采取的技術手段。網絡安全的最基礎工作,是加強網絡的接入管理。
與公用網絡系統存在區別的是,企業在網絡系統中有專門的網絡,系統只準許規定的用戶接入,因此必須實現管理接入。在實際操作過程中,可以采取邊緣認證的方式。筆者在實際工作經驗總結出公司的網絡系統是通過對網絡系統進行改造實現支持802.1X或MAC地址兩種安全認證的方式。不斷實現企業內網絡系統的安全接入管理。網絡端口接入網絡系統時所有的工作站設備必須經過安全認證,從而保證只有登記的、授權記錄在冊的設備才能介入企業的網絡系統,從而保證系統安全。根據物理分布可以利用VLAN技術及使用情況劃分系統子網。這樣的劃分有以下益處:首先,隔離了網絡廣播流量,整個系統避免被人為或者系統故障引起的網絡風暴。其次是提高系統的管理性。通過劃分子網可以實現對不同子網采取不同安全策略,可以將故障縮小到最低范圍。根據一些應用的需要實現某些應用系統中的相對隔離。
2、結語
本文結合了筆者實際工作經驗對企業信息系統的安全問題提出了系統性的思考,對長期存在相對動態的信息系統安全解決的方法進行探討。可以用一句話進行概括總結:系統安全六要素是組成的系統安全的必要因素。同時,抓好規范管理,實現信息系統的安全技術。
[關鍵詞] 信息系統安全風險評估故障樹分析法
一、商場信息系統的風險及其評估
信息系統風險評估的方法主要有故障樹分析法、故障模式影響及危害性分析、層次分析法、線性加權評估和德爾斐法等。
商場信息系統是一個由服務器和商場各部門的客戶機構成的計算機網絡系統,它龐大,復雜,風險事件更是紛繁多樣。如果采用故障樹分析法可以把商場的信息系統的風險事件分門別類的找出來,并根據各個風險的邏輯關系,構造出故障樹。這樣,龐大的商場信息系統中最嚴重的風險以及引起這些風險發生的源頭都一目了然。管理基層就能夠相應的從最底層最小的疏漏開始加以防范,責任到每一個操作的部門或人,防微杜漸,以免小的疏忽造成大錯。
信息系統安全風險分析主要針對信息系統中各種不同范疇、不同性質、不同層次的威脅問題,通過歸納、分析、比較、綜合最后形成對信息系統分析風險的認識過程。大多數風險分析方法最初都要進行對資產的識別和評估,在此以后,采用不同的方法進行損失計算。
首先對于影響信息安全的要素進行分析,引起信息安全風險的要素有,然后運用故障樹分析法計算出風險因子。
二、故障樹分析法
故障樹分析法(Fault Tree Analysis- FTA)是由Bell電話實驗室的WASTON H A 于1961年提出的一種分析系統可靠性的數學模型,現在已經是比較完善的系統可靠性分析方法。
1.故障樹分析法基本原理
故障樹就是通過求出故障樹的最小割集,得到引起發生頂事件的所有故障事件,以發現信息系統中的最薄弱環節或最關鍵部位,由此對最小割集所發現的關鍵部位進行強化風險管理。
2.故障樹分析法的步驟
(1)建造故障樹。故障樹分析法就是把信息系統中最不嚴重的故障狀態作為故障分析的目標,然后一級一級尋找導致這一故障發生的全部事件,一直追查到那些最原始的、都是已知的、勿需深究的因素為止。并且按照它們發生的因果關系,把最嚴重的事件稱為頂事件,勿需深究的事件稱為底事件,介于頂事件和底事件的事件稱為中間事件用相應的符號代表這些事件,用適當的邏輯門把頂事件、底事件、中間事件連接成一個倒立的樹狀的邏輯因果關系圖,這樣的圖就稱為故障樹。
(2)求最小割集。
定義1:在由故障樹的某幾個底事件組成的集合中,如果該集合的底事件同時發生時將引起頂事件的發生,這個集合就稱為割集 (cut sets. CS)。
定義2:假設故障樹中存在這樣一個割集,如果任意去掉一個底事件后,就不再是割集,則這個割集被稱為最小割集(minimal cut sets. MCS)。
(3)定量定性分析。首先我們來計算頂事件的失效概率,在掌握了“底事件”的發生概率的情況下,“頂事件”即所分析的重大風險事件的發生概率(用Pf表示)就可以通過邏輯關系得到。
設底事件xi對應的失效概率為qi(i =1,2,..,n),n為底事件個數最小割集的失效概率為各個底事件失效概率的積P(mcs)=P(x1∩x2∩…∩xn)=,其中m為最小割集階數,而頂事件發生概率為各個底事件失效概率的和:Pf(top)=P(y1∪y2∪…∪yk)其中,yi為最小割集,k為最小割集個數。而由于最小割集時事件的關系,Pf(top)的計算要分為以下三種情況:
①當y1,y2m,yk為獨立事件時則有:
其中,Pi為最小割集yi的失效概率。
②當y1,y2m,yk為互斥事件時,則有;。
③當Pf(top)為相容事件時,則有:
我們根據以上公式可知,如果階數越少的最小割級就是越重要的,而在這些階數少的最小割級里出現的底事件也是比較重要的底事件,而在階數相同的最小割級中,重復次數越多的底事件越重要。
(4)各頂事件危害等級。則可用:風險因子:r=Pf+Cf-PfCf來定量的表示風險的大小。
三、商場信息系統實例分析
1.建造故障樹
(1)管理不善帶來的風險。
X11.由于系統管理員的無意錯誤,直接危害到了系統安全。
X12.管理員沒有按照安全操作規程啟動系統安全的保護體系。
X13.管理員沒有按照安全操作規程啟動關鍵性的系統組件。
X14.由于管理員的疏忽或是管理員自己利用系統物理環境的脆弱點,物理破壞網絡硬件資源。
X15.攻擊者利用社會關系學原理,非法獲取進入和控制系統資源的方法和手段。
X16.某些未授權用戶非法使用資源和授權用戶越權使用資源造成對系統資源的誤用,濫用或使系統運行出現混亂,而危及或破壞系統。
(2)被動威脅。
X21.非法截取(獲)用戶數據,攻擊者通過對通信線路竊聽等非法手段獲取用戶信息或交易數據等。
X22.密碼分析,攻擊者通過非法手段獲取了信息后,通過破譯加密的數據獲得敏感性和控制信息。
X23.信息流和信息流向分析,攻擊者通過對信息或其流向的分析,獲到信息。
(3)主動威脅。
X31. 使網絡資源拒絕服務,攻擊者通過對系統和系統中的一些資源的頻繁存取甚至非法占有,使系統資源對系統喪失或減低正常的服務能力。使之不能正常工作。
X32.假冒合法用戶或系統進程欺騙系統,攻擊者假冒成已經授權的用戶行使一些受權限控制的操作,使系統混亂。
X33.篡改信息內容,攻擊者篡改一些確定的信息或者數據,使用戶因為獲得篡改過的信息而受騙。
X34.惡意代碼攻擊,假冒授權用戶的身份執行惡意代碼,是系統產生異常進程,破壞系統資源。
X35.抵賴,在接受到信息數據后,為了因避免接受信息所要承擔的責任而否認接受過信息,或者在發送一條信息后,為了因避免發送信息所要承擔的責任而否認發送過信息。
X36.信息重放,非法獲取用戶的識別和鑒別等數據后,攻擊者使用這些安全控制數據欺騙系統或訪問系統資源。
X37.偽造合法系統服務,攻擊者偽造系統服務與授權用戶交互。
2.故障樹的定量分析
電子商務模塊出現故障為頂事件,管理不善,被動威脅,主動威脅為中間事件,余下的為底事件,設頂事件和底事件發生的概率分別為Pf,q,q2,Λq16,則最小割集的失效概率為:P(mcs)=P(x1∩x2∩Λ∩x16),而頂事件發生的概率:Pf(top)=P(y1∪y2∪y3)。
然后可由前面的系統分析知道,y1,y2,y3是相互獨立的事件,則有
其中,Pi為最小割集yi的失效概率。
我們假設yi在每一年或不到一年發生的概率Pi分別是0.2,0.3,0.4。計算出Pf(top)=0.024。我們假設Cf=0.1,再根據r=Pf+Cf-PfCf進行計算,可以得到r=0.1216。r<0.3,說明我們所假設的倉儲式商場的信息系統電子商務模塊中的風險評估為低風險。
〔關鍵詞〕信息系統;風險評估;熵;信息系統風險熵
DOI:10.3969/j.issn.1008-0821.2011.12.008
〔中圖分類號〕G203 〔文獻標識碼〕A 〔文章編號〕1008-0821(2011)12-0030-04
Research of Computational Models of Information System“Risk Entropy”Fan Jianhua Zhao Wen
(International Business School,Shanxi Normal University,Xian 710062,China)
〔Abstract〕Based on the theories of the“entropy”,this article researched the quantitative analysis of information system risk assessment in the view of“entropy”,proposed the concept of“risk entropy”and built two kinds computational models of information system“risk entropy”,which could give quantitative assessment about the safe of the information system.
〔Key words〕information system;risk assessment;entropy;information system risk entropy
隨著信息化在全球的快速發展,世界對信息的需求快速增長,信息的傳遞、交流和共享已成為現代科技和經濟發展的重要前提,信息產品和信息服務對于各個國家、地區、企業、單位、家庭、個人都不可缺少,信息技術也已成為支撐當今經濟活動和社會生活的基石,然而就在整個信息化不斷深入發展、信息網絡技術為人們不斷帶來驚喜的同時,信息安全所導致的問題也在日益突出,逐漸升級。一方面,已為各類社會組織帶來了前所未有的威脅與破壞。另一方面,迫使計算機信息系統的安全狀況不斷面臨著日趨復雜的挑戰。本文針對當前分析解決信息系統安全問題有效方法之一的信息安全風險評估,在其已有的多種定性、定量分析方法基礎之上考慮用“熵”來對信息系統安全問題再做新視角的定量分析。
1 信息系統安全研究現狀
為了加強信息系統的安全性,不少科研技術人員,管理人員從技術手段及管理措施都對信息系統做出了相應的努力,也取得了不少成果。
對信息系統安全模型研究較為典型的有:BLP模型:它是專門針對軍方需求設計的訪問控制模型,也是最早的和迄今為止最為常用的安全模型。Bita模型:該模型用完整性等級取代了BLP模型中的安全等級,用一個結構化網絡來表示授權用戶和提供用戶類型級別的劃分。這些屬性可以防止非授權用戶的修改。對信息系統安全技術手段研究較為典型的有:加解密算法,安全協議和安全防護技術等。除此之外,各國許多專家在信息系統安全評估這一重要研究領域,經過多年研究,也已形成了廣泛接受,普遍適用的標準和評估細則。
然而正如引言所述,伴隨著科技的飛速發展,計算機技術不斷的創新升級,信息系統的安全問題勢必愈演愈烈,這就需要我們盡可能的從多方面多角度去觀察問題,描述問題,繼而解決問題。
2 熵理論
熵作為一個概念,在希臘文中的字義是發展演化。從對熵概念的研究歷史來看,熵是由1865年由德國物理學家克勞休斯(K.Clausius)在熱之唯動說一書中,為了將熱力學第二定律格式化而提出的。他發現,熵(S)是一個狀態函數,用它可以表征熱力學第二定律:
dS=dQ/T
ds0
上式表明:在孤立系統中,不可逆過程使熵值增加,可逆過程則熵值不變,即為著名的熵增加原理。
除此之外,對熵的認識理解還有兩種主要思路,一種是來自統計力學。1870年玻爾茲曼(L.Boltzmann)研究發現某物質系統的微觀單元的運動狀態共有Ω種,那么該物質系統的lnΩ與熱力學熵S成正比。由此提出:熵是形容分子運動的無序程度和混亂程度的狀態量。公式表示為:
S=KlnΩ
另一種是來自信息論[1-2]。香農(C.E.Shannon)在1948年將熱力學熵引進信息論,在信息論中,熵表示的是不確定性的量度。一個系統X的信息量大小H(即信息熵)與該系統的狀態概率P緊密聯系在一起。若該系統由狀態集{a1,a2,…,an}組成,每個狀態對應的概率分別為p1,p2,…,pn,且∑ni=1pi=1。則系統X的信息熵為:
H[X]=H(p1,p2,…,pn)=k∑ni=1PilnPi
在自然科學和社會科學的各個領域中存在著大量的不同層次不同類別的隨機事件的集合,由于熵對不確定性和無序度的描述可以不受各個學科內容的限制,因此熵概念能夠廣泛應用于眾多學科[3]。如在物理學領域有量子熵、黑洞熵等;在化學領域有電離熵、遷移熵等;在數學領域有拓撲熵、樣本熵等等[4]。
信息系統“風險熵”計算模型的研究3 信息系統“風險熵”模型的構建
3.1 信息系統“風險熵”的提出
在參考了上述對熵的不同認識理解以及將熵應用于眾多學科,定義出多種熵學科的基礎上,本文結合熵原理對信息系統提出“風險熵”的概念和定義,同時構建并分析研究不同角度下的信息系統“風險熵”模型。
3.2 基于“系統狀態豐富程度”的信息系統“風險熵”模型3.2.1 模型的引入
從對熵理論的3種成功認識思路中可以看出[5],雖然它們彼此對應用熵理論的原理不一樣,但是在分析中也有一個共同點,即都涉及對象的狀態。不妨認為熵就是計量狀態的標尺。所謂狀態的多少具體是說狀態的豐富程度。一個系統內部的狀態越多也就是狀態越豐富、越復雜。反之,狀態越少就是狀態越不豐富、越簡單,越單調。
豐富程度這個詞在科學中較為嚴格,但通俗一些而又不歪曲本質的提法是復雜程度。這樣就把熵直接理解為物質系統的狀態的豐富程度或稱為復雜程度的度量。由此這里定義信息系統“風險熵”為對信息系統面臨風險的狀態豐富程度的度量。
根據風險的產生來考慮,只有系統資產本身的脆弱性面臨與之相對應的威脅時,才能構成風險。在這里考慮構建風險熵模型就是找資產脆弱性和威脅的對應關系。這種判斷等同于已有風險評估方法里求風險值。即假設某資產為A1,它面臨2個威脅,其威脅發生頻率值分別為T1和T2,T1可以利用A1存在的2個脆弱性,分別為V1和V2;T2可以利用用A1存在的3個脆弱性,分別為V3、V4和V5,因此資產A1面臨的風險值共有5個。
3.2.2 模型的定義與計算
根據上述的解釋,構架信息系統“風險熵”數量化模型如下:
Hi=clnΩi①
其中,Ωi=f(Vi,Ti),(i=1,2,3…n)
Ωi為某信息資產的風險態個數,其數值由威脅與脆弱性決定;
C是一個比例常數;
Vi是信息資產存在的脆弱性個數;
Ti是信息資產面臨的威脅個數。
3.2.3 模型的分析
客觀地說,信息系統之間如果不發生信息的交流,傳遞,即它處于一種相對的靜態時,它所面臨的風險會低于信息在各個信息系統之間交流、傳遞時的狀態,從極限角度分析此模型存在兩個極限狀態值。
H=0:信息系統處于相對靜態,即各實體資產處于無用狀態。
H=HMAX:信息系統處于相對動態,即各資產處在應用當中,同時信息系統處于裸保護。
為了方便對此模型的理解,現選取某公司信息系統的“物理環境”為要評估的資產,對其所面臨的威脅及自身脆弱性識別列舉如下圖1:
威脅脆弱性 斷電靜電灰塵潮濕溫度鼠疫蟲害電磁干擾洪災火災地震雷擊機房場地機房防火機房供配電機房防靜電機房接地與防雷電磁防護通信線路的保護機房區域的防護機房設備圖1 “物理環境”面臨的威脅與自身脆弱性對應關系圖
圖1中連線表示左側威脅與右側脆弱性相對應的關系,可以看出“物理環境”的Ω=f(V,T)=14,H=ClnΩ=Cln14=3C。因為C是比例常數,可以根據不同的信息系統需要確定數值,由此可計算出信息系統里每一個需要評估的信息資產的風險熵值。由熵的基本原理知道,信息系統內某資產熵值越大,即其所呈現“風險態”的豐富程度就越高,相比其它資產來說越危險,從做好信息系統安全管理的角度來看,可依據此模型求出的風險熵值高低有主次的采取相應保護措施降低信息系統內熵值高的資產,將資產的風險弱化,故而達到降低信息系統風險目的。
這種模型要求計算出需要判別的信息資產的風險熵值,而熵值計算的模型中需要識別列舉所關注信息資產面臨的威脅和自身脆弱性,而目前在信息安全管理研究進展中,威脅的窮舉是個暫時還未解決的難題,導致該模型公式計算信息系統風險熵集中表現在對信息資產的主要風險態的豐富程度做到定量計算,不能窮盡資產的所有風險態,自然計算結果并非完全精確。所以只有對信息系統資產面臨的威脅和自身脆弱性認識越全面詳盡,其“風險熵”計算結果越能準確反映該資產“風險態”的豐富程度,繼而為后續信息系統的安全管理提供更可靠依據。
3.3 基于“信息系統損失分析數量度量”的信息系統“風險熵”模型 與上述的信息系統“風險熵”模型的含義理解不同的是,以下建立的信息系統的“風險熵”模型是從另一角度研究的。即構建數量化模型力求計算出信息系統內實體資產與信息資產的熵值,旨在對信息系統遭遇風險的損失有個數量度量。
3.3.1 信息系統安全的考量因素
有文獻[6]定義信息系統是指用于采集、處理、存儲、傳輸、分布和部署信息的整個基礎設施、組織結構、人員和組件的總和。其基本構成元素如下:計算機硬件、軟件、網絡、人員和信息流程。這些元素彼此合作,為組織的運營和管理提供有價值的信息,因此信息系統的安全性分析是基于上述元素以及其提供信息的綜合分析。
從信息安全的屬性來看,被學術界普遍認可的是信息安全金三角CIA的框架,而與CIA三元組相反的是DAD三元組的概念,即泄漏(Disclosure)、篡改(Alteration)和破壞(Destruction),實際上DAD就是信息安全面臨的最普遍的3類風險,是信息安全實踐活動最終應該解決的問題[7]。
文獻[8]對信息系統安全的定義:信息系統安全是指確保信息系統結構安全、與信息系統相關的元素安全以及與此相關的各項安全技術、安全服務和安全管理的總和。由此分析信息系統的安全從以下兩項內容考慮:(1)信息系統各實體資產安全;(2)信息系統所傳遞的信息安全。
3.3.2 模型的定義與計算
在有了前述對“熵”、信息系統安全相關考量因素的認識理解后,從計算信息系統遭遇風險損失后的數量表征結果出發,構建信息系統“風險熵”計算模型,以定期時間為檢測單位,對信息系統安全所涉及的對象分別計算出“風險熵”值,用數量結果分析信息系統遭遇風險損失情況,為信息系統安全管理的后續研究提供某些數量化參考對象,提高信息系統安全管理工作效率。
在此模型中,一個相對完整的信息系統“風險熵”從構成來講包括:信息系統實體資產風險熵:SA和信息系統信息風險熵:SR。同時定義信息系統資產風險熵是指對信息系統中信息實體資產發生風險導致安全損益的度量;信息系統風險熵是對信息系統中的信息遭遇的最普遍的3類風險的影響的度量。
其中SA、SR計算公式分別如下:
SA:信息系統實體資產風險熵
SA=∑ni=1dli/p②
dli:信息系統各信息資產的損益比,其中dli=vi/ci,vi為信息系統實體資產的意義價值,ci為信息系統實體資產的實際購買價值。
P:信息系統中實體資產抵御風險最低防護能力等級。
對②式的含義理解如下:分子、分母分別代表廣延量和強度量,即廣延量與強度量之比得廣義熵,由于廣義熵具有勢函數的品格,故可作為系統的判據。(廣延量:整體的值是2個或2個以上部分值的和,如:長度 ;強度量:整體和部分相同,如:壓強)。例如信息系統中實體資產“液晶顯示器”的購買價格為1 000元,它的意義價值為200元(在信息系統的運作中,液晶顯示器不能正常工作并不影響硬盤里的數據信息,故其意義價值低于出售價格),損益比dl1=0.2,p的取值決定于信息系統實體資產中防護能力最弱的資產,即信息系統的防護能力由防護能力最弱的資產定。依據相對取值的原理:一個信息系統當中總有抵御風險能力最薄弱的實體資產,這個薄弱處資產的取值在本信息系統中量化取1,即②式中的P值為1。
SR:信息系統信息風險熵
SR=∑ni=1p(xi)log1p(xi)=-∑ni=1p(xi)logp(xi) (i=1,2,3)③
③式中,令B(x1,x2,x3)為信息系統中信息可能遭遇的3類風險,其中xi為對應某類風險的相關信息,P(xi)是關于此類風險的相關信息的確知度,在實際信息系統計算應用時,P(xi)是信息在一定時間內發生上述3類風險的統計概率值,且P(xi)≤1。
3.3.3 模型的分析
如同前述熵理論中所說的,在熱力學中,物理系統的熵在不可逆過程中隨著時間的變化總是在單調遞增的,除非有外界能量介入才會導致它的熵值減小。信息系統也是如此,隨著各種實體資產的增加以及數據信息的不斷產生、傳遞,信息系統實體資產風險熵和信息系統信息風險熵的熵值是逐步單調增加的,只有借助外界的防護措施,才有可能降低各熵值。
一旦信息系統發生風險勢必造成損失,而即便最大程度的彌補信息系統的損失,從某種意義上講也不能使其恢復如初,即發生風險導致損失決定了信息系統運行的不可逆。此模型求得的各熵值在量化表述信息系統風險損失程度的前提下也反映出信息系統運行過程不可逆性的大小,亦即可作為不可逆性的量度。但是正如“一枚硬幣的兩面性”一樣,此種模型在其具有創新性意義的前提下也有些許不足,例如對信息系統實體資產意義價值的確定還有待精確化、客觀化等。
4 結 語
由于信息系統所面臨的安全問題的復雜性,多樣性,不可預見性等特征,決定了對一個實際信息系統進行安全分析是一項艱巨的任務。本文是在對“熵”基本原理的理解上,從本著最大限度保護信息系統安全這一原則出發,從不同角度,不同側重點出發構建本質意義不同的信息系統“風險熵”模型,這不僅是對信息安全風險評估增加定量分析的評估方法,也是對信息系統實體資產與數據信息在遭遇風險后損失的數量化度量,更是對“熵”這一概念廣泛應用的又一跨越。但由于熵理論本身十分豐富和復雜,信息系統遭遇風險也有眾多不可估量的因素,故上述兩個信息系統“風險熵”模型也都分別存在一些未考慮完善的問題。需要在后續研究中,不斷努力,理論上更好的詮釋代表不同意義的信息系統“風險熵”熵值分析方法,解決模型存在的某些不足,實證上更好的驗證不同信息系統“風險熵”的實用性,方便不同企業依據各自系統特點、業務需求等做好按需選取分析模型,以求有效,經濟的做好信息系統安全管理。
參考文獻
[1]賈世樓,等.信息論理論基礎(第二版)[M].哈爾濱:哈爾濱工業大學出版社,2004.
[2]傅祖蕓.信息論――基礎理論與應用[M].北京:電子工業出版社,2001.
[3]朱耀鎧.信息系統安全熵值分析方法研究[D].國防科學技術大學,2008.
[4]何西培,何坤振.信息熵辨析與熵的泛化[J].情報雜志,2006,(1):110-112.
[5]張學文.熵究竟是什么.熵與交叉學科[M].北京:氣象出版社,1988.
[6]全國信息安全標準化技術委員會,TC260 N0001,信息技術安全技術信息系統安全保障等級評估準則第一部分:簡介和一般模型[S].2004.
[7]戴宗坤,羅萬伯,等.信息系統安全[M].北京:電子工業出版社,2002.
【關鍵詞】數字化 醫院 信息管理系統 安全風險
伴隨著信息化技術的飛速發展,數字化開始受到了人們的普遍關注,在越來越多的領域得到了應用。現階段,醫院普遍都建立起了相應的信息管理系統,并且其正逐漸由單純的信息管理向其它業務延伸,在醫院正常運轉中發揮著越來越重要的作用。針對當前醫院信息管理系統中存在的安全風險,管理人員應該制定切實可行的風險應對策略,保障系統的運行的安全性和可靠性。
一、醫院信息管理系統的安全風險
醫院信息管理系統是指在醫院管理以及醫療活動中,進行信息管理和聯機操作的計算機應用系統,同時也是覆蓋醫院所有業務以及業務所有流程的信息管理系統,能夠利用計算機以及通訊設備,為醫院各部門提供病人診療信息、行政管理信息等,實現信息的收集、存儲、整理、提取以及交換,可以滿足授權用戶功能需求的平臺。醫院信息管理系統的安全直接影響著醫院網絡服務的質量,關系著醫院的正常運轉,其重要性不言而喻。
從目前來看,在醫院信息管理系統中,存在著大量的安全風險,包括了硬件風險、軟件風險、管理風險以及環境風險四個方面的內容,之所以會如此,一方面,醫院管理人員并沒有認識到信息管理系統安全的重要性,將目光更多的放在了系統的實用性而非安全性上,因此并沒有投入相應的經費去進行系統安全防護模塊的建設及維護,導致系統中存在著較大的缺陷和漏洞,給系統安全帶來很大的隱患;另一方面,醫院病沒有制定與信息管理系統密切相關的制度和措施,導致在系統管理方面缺乏嚴謹性與可靠性,加上缺乏先進的技術支撐,在系統的安全維護方面相對薄弱,影響了系統的運行安全。
二、醫院信息管理系統安全風險的應對策略
(一)提高系統安全意識
只有意識到了信息管理系統安全的重要性,樹立起了相應的系統安全意識,才能夠真正確保風險防范措施的有效落實。因此,對于醫院而言,應該加強信息系統的安全教育,成立相應的安全領導小組,對任務進行分配和落實,確保其都能夠認識到系統安全的重要性。同時,應該制定出切實可行的管理制度,對領導小組和管理團隊的行為進行約束,確保其能夠全身心地投入到各自的工作中去,強化責任意識。另外,醫院財政管理部門應該設置專門的系統安全管理資金,對一些影響系統安全的薄弱環節進行統計,增大設備、技術以及管理方面的資金投入力度,避免由于設備缺陷、技術不足以及管理漏洞影響系統安全管理工作的成效。
(二)構筑風險評估機制
相關統計數據顯示,在醫院信息管理系統中,多數安全風險都可能會帶來難以估量和彌補的損失,嚴重時甚至可能會間接導致病患的傷亡。而對安全風險進行分析,其多數都是由于沒有能夠及時發現和排除風險因素。對此,醫院應該結合自身實際,構筑相應的風險評估與檢測機制,及時做好系統檢測工作,發現其中存在的不足和漏洞,尋找問題的解決策略。對于一些尚未表現出的問題,應該通過系統的日常維護管理,發現其潛在風險,做好必要的預防和規避措施,盡可能消除其對于醫院的影響[2]。從機制的落實層面考慮,應該設置完整的安全檢測計劃,安排專門的計劃執行人員,成立系統安全管理小組,確保其能夠在醫院各部門的配合下,對安全檢測計劃進行有效落實,確保各項工作的有序、規范進行。
(三)選擇可靠硬件設備
硬件設備的質量在很大程度上關系著系統的運行安全,要想確保醫院信息管理系統的安全運行,離開了高穩定、高可靠和高性能的硬件設備的支持是不可能的。對于醫院而言,應該認識到這一點,不能為了縮減資金而使用一些缺乏保障的產品。對于一些關鍵性設備,如交換機等,不僅需要確保其可靠性,還必須設置備用,確保設備出現突發性故障時可以迅速替換,保障信息管理系統的正常運行。應該做好硬件設備的維護管理和檢測工作,及時對一些老化的設備和部件進行更換,對設備內部的積塵進行清理,對設備運行的環境進行優化,確保硬件設備的穩定可靠運行。
(四)重視數據備份管理
數據備份在應對系統風險方面發揮著非常關鍵的作用,可以有效減少數據丟失對于醫院運轉造成的影響。當前,許多醫院在數據備份上往往只能做到定期備份或者針對某個時點的備份,而無法做到實時備份,這樣并不能有效規避風險。從目前的技術條件分析,數據庫的實時備份包括了硬件同步和軟件同步兩種,可以在同一時刻將數據寫在兩個甚至多個不同的位置,從而避免了數據的損壞或者丟失。對于系統管理人員而言,應該對數據庫備份策略做到心中有數,并在模擬機上進行數據恢復試驗,以確保備份數據的有效性。
(五)完善網絡防護措施
在當前數字化、網絡化的環境下,醫院信息管理系統面臨著病毒、木馬以及非法入侵的威脅,必須設置完善的網絡防護系統。從目前來看,比較有效的防護措施,一是物理隔離,將醫院信息管理系統運行的網絡獨立出來,切斷病毒傳播的途徑;二是防毒軟件,減少和預防病毒的傳播與擴散;三是端口控制,防止設備非法接入網絡,減少網絡遭受攻擊的機率。
三、結語
醫院信息管理系統的安全關系著醫院的信息安全,也關系著醫院自身的運行安全,應該得到足夠的重視,做好相應的風險評估和檢測,及時發現系統中存在的安全風險和風險隱患,采取切實有效的預防和應對措施,對風險進行規避和處理,保障醫院信息管理系統的安全可靠運行。
參考文獻:
[1]陳寧,李成華,李暉,曾永杰.醫院信息系統安全風險規避管理策略研究[J].電腦知識與技術,2015,(28).
