（计算机系统结构专业论文）基于bs7799的信息安全风险评估研究与设计.pdf

摘要 随羞信息化的发展，信息安全阚题目益薰要，孳l 起广泛载重褪，焉傣悬安全藏 险评估则柱信息安全建设中居于关键性的基础地位。 本文首先奔缀 售惑安全熬鹭豫窝最陵谱售瓣谤究避袋，淹述了倍怠安全弧殓 管理和风险评估的基本概念和理论，并对b s 7 7 9 9 标准进行了分析：然后在此基础 上总结了毫有静羝陵评倍模垩秘风险评信方法静特点，撬出了殷映时变的信息安 全风险周期模型和信息安全纵深风险管理模裂，并提出了“基于b s 7 7 9 9 标准的模 糊触险评恼方法”和“鏊于b s 7 7 9 9 标准的综合风险评估方法”；随后，将产生的 研究成果与实践嚣耍相缝合，以霭愈对象理论戈指撂开发了基予b s 7 7 9 9 标准煞售 息系统安全风险评估辅助工具，包括风险评估信息库和知识库。这些研究成果已 经应用予实践，黢涯了懿鲟溺霹符缝。 关键字：b s 7 7 9 9 檬灌_ | ；i i 陵评倍模型风陵详佑方法风豫评诸辅助工舆 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n f o r m a t i o n l i z a t i o n i n f o r m a t i o ns e c u r i t yi si n c r e a s i n g l y i m p o r t a n t ，c a u s i n g t h ee x t e n s i v ea t t e n t i o n r i s ka s s e s s m e n t o c c u p i e s t h e k e y f u n d a m e n t a lp o s i t i o ni nt h ec o n s t r u c t i o no f i n f o r m a t i o ns e c u r i t y a tf i r s t ，t h i sd i s s e r t a t i o ni n t r o d u c e sg o a la n dr e s e a r c hp r o g r e s so fr i s ka s s e s s ， e x p l m n s t h eb a s i cc o n c e p t i o na n d t h e o r yi nr i s km a n a g e m e n t a n dr i s ka s s e s s m e n to ft h e i n f o r m a t i o ns e c u r i t na n da n a l y s e sb s 7 7 9 9s t a n d a r d ；t h e nt h ec h a r a c t e r i s t i co ft h e e x i 鲢i n gr i s km o d e l sa n d t h ea s s e s s m e n tm e t h o d si ss u m m a r i z e d ，t h er i s kc y c l em o d e lo f i n f o r m a t i o ns e c u r i t y , t h ed e p t hr i s km a n a g e m e n tm o d e lo fi n f o r m a t i o ns e c u r i t y , t h e f u z z yr i s ka s s e s sm e t h o da n dt h ec o m p r e h e n s i v er i s ka s s e s sm e t h o db a s e do nb s 7 7 9 9 s t a n d a r da r e p u tf o r w a r d ；a f i e r w a r d s ，0 1 1t h e f o u n d a f t o n so ft h e s ea c h i e v e m e n t s ，a s o f t w a r ef o rr i s ka s s e s s m e n tb a s e do nb s 7 7 9 9s t a n d a r di sd e v e l o p e dr e g a r dt h et h e o r y o f0 0 pa sg u i d e l i n e s t h er i s kd a t a b a s ei sa l s oe s t a b l i s h e d t h e s er e s e a r c hr e s u l t sh a v e a l r e a d yb e e na p p l i e d t op r a c t i c e ，a n d d e v e l o p e d t h ei n f o r m a t i o ns e c u r i t yo f o u r c 0 1 1 n 乜t y , k e y w o r d s ：b s 7 7 9 9 鬏i s 耘a s s e s s m e n tm o d e l r i s ka s s e s s m e n tm e t h o da 1 o o lf o rr i s ka s s e s s m e n t y6 9 5 7 4 5 独创性( 或翩薪性) 声明 本人声明质呈交的谂文是我个人提导炳搬导下进行的研究王据及段褥的谚究成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包 含箕经久涎经发表或撰写过熬疆究藏栗；壤不惫会秀获譬孽器安瞧子秘技大学或葵 它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任俺贡献均已在论文中傲了萌确酌说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名； 蒜婢 墨联少l 查旦 关于论文使用授权的说明 本人完全了解鼹安曦予科技大学蠢关僳鳃和使躅学位论文懿怒定，鼹：礤究生 在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业 蛮梭嚣，发表论文或谴溺论文工佟戏暴露蓑名单位仍然为嚣安电子稀疆大攀。学 校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部 或部分内容，可戳允许采用影印、缩印或其它复制手段保存论文。( 保密翡论文在 解密后遵守此规定) 。 本夫签名： 蹲蘑签名： 基麓j 型s 壁多 强籁笪：塾：盐姜睁且 第一章概述 理论篇一基于b s 7 7 9 9 标准的信息安全风险评估研究 第一章概述 互联网的迅速发展使信息的传输与加工可以在瞬间跨越地理位置的障碍而遍 布世界各地，信息处理深入到各个部门和领域并已经进入了家庭。这一切使得人 类开始进入信息化社会，不仅生产力得到了极大的提高，人们的生产方式、生活 方式、学习方式，甚至人们的思维方式都发生了改变【1 。但与此同时，人们也认识 到社会信息化蕴涵着巨大的安全风险，随着信息化程度的提高，特别是h t e m e t 的 发展，信息泄漏的危险日益增大，危害日益严重。信息安全成为社会关注的热点 问题，而信息安全风险评估和管理则成为信息安全乃至信息化发展中必须面对的 经常性问题。在这种形势下，针对信息安全风险评估的研究自然就成为了国内外 学术界关注的前沿。 1 1 信息安全与风险评估 1 1 1 信息安全问题的重要性 由于计算机病毒、网络黑客、恐怖分子、间谍、出卖商业机密、内部人员欺诈 与恶意行为、计算机犯罪、信息处理设施滥用、自然灾害等对信息安全的灾害， 致使全球范围内信息安全造成的损失呈上升趋势【2 1 。 自1 9 8 7 年以来，全世界己发现超过5 0 0 0 0 种计算机病毒，2 0 0 0 年5 月爆发的 “爱虫”病毒给全球造成了1 0 0 多亿美元的损失，美国每年因信息与网络安全问 题造成的经济损失高达7 5 亿美元。 2 0 0 1 年2 月2 1 日，美国f b i 逮捕其资深雇员汉森，指控他在过去1 5 年里窃 取了美国联邦调查局大量机密文件，通过磁盘卖给俄罗斯。 美国f b i 统计结果表明，6 5 的攻击来自网络系统内部。黑客的侵扰也是破坏 信息安全的重要因素。目前，i n t e r n e t 有3 万多个黑客网站，攻击手法多达8 0 0 多种。即使防卫森严的美国国防信息系统2 0 0 0 年也受到2 5 万次攻击，且成功进 入率高达6 3 。 我国经济一直保持高速发展，通信技术与网络技术迅猛发展，人员频繁流动， 同样也面临着信息安全问题，信息安全事件也屡见不鲜。 1 9 8 7 年7 月，发现第一起金融计算机犯罪案件，中国银行深圳某支行被 乍骗5 2 基于b s 7 7 9 9 熬臻愚安垒最建译髂研究等淤诗 万元。 1 9 9 6 年1 1 月4 曰，人民银行会国电予联臂系统因局部通信故障，导数2 8 亿 元资金浠留2 5 天，海南等遗困诧出现头寸紧张，支付嚣难的局面。 2 0 0 1 年公安部公共信息网络安全监察局统计，我嗣有熹选7 3 的计算机曾邋 受病毒感染，而且多次感染现象严匿。 1 1 2 信息安全的目标 信息可能以多种形式存在。它可以亨印或写在纸上、以电子方式存储、用郝寄 或电子手段发遴、呈现在胶片上或以谈话说出来。无论信息采用什么形式或者用 什么方法存储或共享，它总诿受到适当的保护。因为信息也涧其他藿要业务资产 一撵，也是一秽瓷声，对一个组织舆鸯馀媳l 。售患安全在戴表瑗为具有下烈特 征； 1 )援密篷：对落惑系绕中信惑静来缀授觳静灌露残破环豹容忍程度。具有较 商傈密性【l i 勺系统，信息不能轻易地敝泄露或破坏，较低保密性的系绕则信息容易 被澄露袋破坏。 2 ) 完整性：对信息系统中信息的未经授权的修改或破坏的容忍程度。具有较 高完整憔的系统，信息不能轻易地被修改或破坏，较低完整性的系统则信息较容 易被修改或跛坏。 3 ) 可用性：对信息系统中信息的存储、传输或处璎延迟的容忍程度，或对服 务被簸环袋被攥绝靛容忍程发。其窍较嵩可灞瞧靛系统，信怨懿存储、嵇输帮处 理不能轻易地或较长时间被延迟，戏者服务轻易地被破坏或被拒绝：较低可用性 豹系统，信息的存储、传输和处理能较轻易施或较长时阀被延迟，或者服务较容易 被破坏或被拒绝。 4 ) 可控性：对信息系统中信息的未经授权的控制关系的改变的容忍程度，或 对服务鲍未经援奴款控割关袈戆改变懿容忍程魔。具蠢较高可控- 睦豹系绞，售惑 的控制关系不能轻易进行末授权的改变，较低可控性的系统则信息的控制关系容 易避行蓍乏授权懿改变。 5 ) 不可否认性：对信息系统中网上信息交换的双方否认避行信息交换宰实的 容忍程凌。其有较高的不可褥认性的系统不能轻易否认交换攀实，较低不可否认 性的系统则较容易否认交换事实。 1 1 3 风险评惯是信息安全的起点 信息的安全，总是依赖于对信息进行加工、处理、传输和褥储的信息系镜的安 全。而信恿系统的安全婶稍，在某种程度上，总是与处避风险和管理风险相菠。目 第一章概述 前的操作系统、应用系统甚至网络协议都存在重大安全隐患，如果不对它们进行 相应的提高，则会是漏洞百出，掌握一般攻击技术的人都可能攻击得手。但是， 降低风险、预防损失决不只是配置一系列安全设备那样简单。一个完整的信息系 统安全体系和安全解决方案是根据网络体系结构和网络安全的具体情况来确定 的，安全的提高是以一定的资源和资产为代价的。因此我们不应该毫无根据地提 高安全性，而应该正确估价自己的信息安全风险并根据自己的风险大小做出相应 的安全解决方案。否则有可能付出了很大的代价而不能收到相应的安全效果。可 以说，信息安全建设的起点和基础是全面有效的风险评估。 信息安全风险评估主要内容 9 1 是信息资产识别、估价，脆弱性识别和评价，威 胁识别和评价，安全措施确认，建立风险测量的方法及风险等级评价原则，确定 风险大小与等级。风险评估是解决信息安全的首要问题，没有进行透彻的风险分 析和评佶而实施的安全策略就好像先建房屋后画图纸一样，会导致资金和人力资 源的巨大消耗和浪费。 1 2 国内外信息安全( 风险评估) 的发展 1 2 1 国内外信息安全( 风险评估) 的发展阶段 美国是国际上对信息安全和风险评估研究历史最长和工作最丰富的国家。随着 信息化应用需求的牵引，安全事件的驱动和信息安全技术、信息安全概念的发展 变化，他们对信息安全和风险评估的认识也逐步加深。从最初关注计算机保密发 展到目前关注信息系统基础设施的信息保障。大体经历了以下三个阶段 1 0 j ： 第一阶段( 6 0 一7 0 年代) 以计算机为对象的信息保密阶段。1 9 6 7 年美国国防 部委托兰德公司、迈特公司开始研究计算机安全问题，当时主要对大型机、远程 终端进行了研究。其重点针对了计算机系统的保密性问题，对安全的评估只限于 保密性。 第二阶段( 8 0 一9 0 年代) 以计算机和网络为对象的信息安全保护阶段。此阶 段出现了初期的针对美国军方的计算机黑客行为。在此期间逐步认识到了更多的 信息安全属性( 保密性、完整性、可用性) ，从关注操作系统安全发展到关注操作 系统、网络和数据库，试图通过对安全产品的质量保证和安全测评来保障系统安 全，但实际上仅仅奠定了安全产品测评认证的基础和工作程序。 第三阶段( 9 0 年代末，2 1 世纪初) 以信息系统关键基础设施为对象的信息保 障阶段。计算机网络成为关键基础设施的核心。各个行业也逐步提出了本行业的 信息安全战略，风险评估思想在其中得到了重要的贯彻。 目前，美国已经建立了国家风险评估认证体系】，负责研究并开发相关的评估 4 基于b s 7 7 9 9 的信息安企风黢评估研究与设计 拣撵、评嵇谈诞方法秘评传技术，并进行基予评信标准静信怠安全评嵇和议证， 焚最耨豹发震谤絮是f i s m a 计矧。关于美国懿译嵇浚诞终系结椽，露霆| 。l 掰 i s 0 1 5 4 0 8 ( c c ) 及其通 用评储方法( c e m ) 闻家非官方盛验蛊认 日，计划( n v l a p ) 5 0 e c f 罄 n 2 5 ) 要求 认可 n i a p 认证机构 援术 合作 评估 结果 方案 霭求 技术 峻磐 广芭磊溪丽奚疆瓣署可 4 巴批准的评饿方法耳录l ；认证撤衡 l 叫避用准则涯罄l 0 十 _ h _ 。_ _ _ _ 。_ h _ 。_ 。- _ 。- 一 峰i 评估发起者 i 。一 捌t 。l 黄瀚的评估议证体系始 示，工作流程翔强l ，2 新示。 舔缝蜷 瓣 聃硇郸趟1 纠确定 髓仑汁剁椭“ 协艇；的窘盘城酶确执 盘巾掩栅稚诫和枯说 懈崩 ， 狰能滤斑辨缃他 蠢仝测试带许估 敢终们 l 漪中 s 一 虫仓汁鲫的她祈 认鹾绌谂 认哪跤滚 - 贼除详能瓣避麟 最缆皋| 环境帕嚣新 确执l 叮 最绒j 班牟 豳l 。2 美匡的评壤认迁认霹溅狴圈 我零弱信愚安全译嵇工传是慈著辩信惑嶷全阉蔻豹认谈匏逐步深化不瑟笈激 的。攀烂款信惑安垒王佟孛心是售崽保密。8 0 年仪磊，撬爨了计算祝安全阉题， 开展了计算机安全检查工作。但由于缺乏风除意识，遐褰寻求绝对安全的接旌。 9 0 年代后，我阕提融了计算机信息系统实行嶷全等级保护的要求。蔟感，提出了 系列的稍关技术标准和管理规范。信息发全的风险意识开始建立，并逐步加强。 1 , 2 。2 国内外风睃评健标准体蓉螅发展 潮外关于信恩安全风险评信静研究已经二十多年了，楣关的稀凇体系、组织架 鞫和、监务体系都眈较成熬。院较藩名的稼准体系 1 3 - 1 9 】脊： 1 9 8 3 年美强霪耱部( d o d ) 饕次公毒了“哥信诗算钒系统评佶准籍( t c s e c ) ” 以愿予对攥 毒系绞麴译信，这是l t 魇变上熬第一个安全评健标准。 信息技术安全性谔估凇则( t t s e c ) 是法凰、德国、荧兰秘荚黧四个歇溯 三 一 第一章檄述 国家安全评估标准的统与扩展。 1 9 9 2 雄4 月，加拿大可倍计算讥产品详估准则( c t c p e c ) 草案公布。 1 9 9 2 年8 胃，霜本魄予工渡发震终会( j e n 3 a ) 公枣了联零计算规安垒谔信 准则一功能要求( j c s e c f r ) 。 信惑技术安全缝评倍逶耀准戴( 鬻髂逶瓣准裂，c c ) 是j 8 美稻歉整联 合开发的个统一的国际互认的安全准则。c c 取代了美蹦的i t s e c 、欧洲的i t s e c 以及加拿大的c t c p e c ，成为事实土的国舔安全评估准潮。1 9 9 9 年c c 被i s o 抿 准为国际标准i s o f l e c l 5 4 0 8 1 9 9 9 劳正式颁布发行，其版本为2 1 版。 信息安全管理标准b s 7 7 9 9 由英溺标准协会( b s i ) 于1 9 9 5 年2 玛首次公布， 1 9 9 9 年5 月避雩亍了修订，现已成为国际公认黪安全譬理投威标准。b s 7 7 9 9 熬第一 部分b s 7 7 9 9 1 ：1 9 9 9 已于2 0 0 0 年1 2 周被i s o 接纳为国际标准( i s o i e c 1 7 7 9 9 ：2 0 0 0 ) 。 国际标准化组织在傣息安全管理方面，1 9 9 6 年开始制定信息技术信息安全 管毽指南( i s o i e c l 3 3 3 5 ) 。其后，又通过了依攥b s 7 7 9 9 - - 1 带定酶信怠安全 管理实施指南( i s o i e c l 7 7 9 9 ：2 0 0 0 ) ，提出了壤于风险管理的信息安全管理体 系。 戏晷痿息安全方亟的梅准建设建造几每才开始载。曩瓣豹工作圭要集中农组织 架檎和业务体系的建立，相应的标准体系和技术体系还处于研究阶段。现融颁布 貔稳关标漆专： 1 9 9 9 年9 月国家质量技术监督局发布了强制性国家标准计算机信息安全保 护等级巅分准刚，它怒建立安全等级保护制度、蜜施安全等缀管瑾的重要蘩磴性 标准【2 。它将计算机信息系统安全保护等级划分为五个等级，澍每级别的具体 要求则是通过对蓿干安全要素要求的描述来完成。 2 0 0 1 年3 胃8 尽，溷家痿攫技术监督强正式颁蠢了援弓 c c 戆重裳标准理 1 8 3 3 6 2 0 0 1 信息技术安全技术信息技术安全性评估准则。 由于 s 饼毽c 1 7 7 9 9 标准农信意安全警瓒中豹黧要撼经，我鬻已礁备将蓑纳入 国家标准，目前正在进行国标的转换工作。 总体上来说，信意系统风险评话领域和懿该领域为基础和前提的倍患系统安全 工稷在我围已经得到了政府、军队、企业和科研机构的麓度重视，但目前还处于 初步阶段，具有广阔的研究和发展空间。 1 3 本文的研究内容 信息安全风险评估悬信息安全的起点和着眼点【2 1 l ，只有首先经过风险评饿，识 爨安全静薄弱点，方髓裔针辩缆酶群次信惠安全串翡有关阔题。然雨，信息安全 基十b s 7 7 9 9 的信息安全风险t 警估研究与设计 菇狳译镄耱穗关褥究工俸还遴没春令人满懑，特剐怒崧谣蠹，还处予翻弼起步翡 黔羧。在这耪溥凝下嬲强瓣绩患安全菇陵评嵇豹磷究裁廷春特剐鬟簧鼹意义，其 商爨裹浆学术傍毽，劳会冀雩落患安全鲍建设起剃攫犬懿澎噻，奏韵予挺毫我蓬落 息安全的整体程度和水平。 本文正是针对这一现状和要求，崧总结和借鉴盼人工作成果秘憩想的基础上， 完成了如下几项正作： 1 ) 在总结以往风险模型和对风险的深袤0 认识的蒺础上，提出了信息安全风险 溺鬟模黧窝信怠系统缀深安全警毽模登； 2 ) 蒸予瓣“绩患安全管壤”风险浮继靛要求，辩溺际氧名懿信惫安全管瓒轹 准b s 7 7 9 9 进行硬究积分捉； 3 1 研究系统安全风险评估的分类葶风险评估溅程； 4 ) 研究备种风险分聿厅方法，菸投撼b s 7 7 9 9 标礁的特点，提穗会逶粒安全风 险弹估方法一基于b s 7 7 9 9 艨次结构的模糊评估方法和基于b s 7 7 9 9 标准的 综合风险评倍方法； 5 ) 摄摅囊动纯风险评倍豹需要，对b s 7 7 9 9 标准进行量纯； 6 辑究霹建立溅除译德麓信惑簿鞫躲 = 库； 7 在这魑磷突戆莲溅之上，实现一套针对缀绞然怠安全管理现状送行综合评 估的工具。该正具可以从管理体系、物理结构、主机系统和嘲络环境等多 个方蕊对系统的安全性进行定性、怒量的分辑，黉从全局的热度上对系统 进行综合评估。 为歼展桶关研究、解决拽术难题，本谦题得到以下项目的支持： l 鬻家离技术骚究发展诗划( 8 6 3 计巅) 项西，渫题名称：系统安全风陵分 撰稿评 骞穷法羲秀究，谦题编号：2 0 0 2 a a l 4 2 1 5 l ； 2 ，鼹家傣惑芙醛与蹒终安全绦障持续获聂诗鲻矮爨，课题名称：安全蓉绕风 险评估工具，项目编号：2 0 0 2 研i a 0 0 7 ； 3 ) 北京市科技计划项目，课题名称；刚络安全防护关键技术与赡菠实验乎螽， 课题编号：h 0 2 0 1 2 0 0 9 0 5 3 0 。 1 4 本文章节安捧 本文瓣主要工作与内容安撑如下： 篇二奄讲述了信息安全风黢管理和风险评估的相关概念，叙述了风险评估过 程，对风险评估过程中的察施疆点进行了研究，介缓了b s 7 7 9 9 标准的内容，并 对葜迸行了分析和评价。 箔三章介绍了典型的安全风险管理模型：p 2 d r 模澄、p d c a 模型，p a d i m e e t m 第一章概述 模型及p d r r 模溅，在这些模澄的基础上，提出了反应时变的信息安全风险周期 模型，以及基于b s 7 7 9 9 的信惠系统纵深安众管理模型；本章还介绍了般典疆的 风险评估方法，如失效树分析、故簿模式影响及魑害性分析、德尔斐法等，在这 些研究的基础上提出了罄于b s 7 7 9 9 标准朦次结构的模糊风除评估方法和基于 b s 7 7 9 9 标准茨综合风验湃撼方法。 第四章在前三章研究的基础上开发了一个信息蜜全风险评估辅助工具，指出本 评镄系统的蠢标与总体终梅，觚j c | 蒙模鳖、动态摸鳌稻麓能模鍪三方鬻给姿了分 析；提供了所涉及到的关键方面的设计方案，给出了信息库和知识库的结构图， 并给出了b s 7 7 9 9 标准程数据库中的实现方式。 论文的纂五章指出了姥评然系统的开发环境和缡程工熟，并提供了系统的一些 典型的交互界面。 沦文数第六章避季亍了总结，并撂懑了遴一步戆王露。 基手8 s 7 7 9 9 熟信息安垒风殓译镳疆究与璇诗 第- - i信息安全风险评估与b s 7 7 9 9 标准 风险在现代信息安金建设中层于一个关键的位置。通过风险，可以识别信息系 统的薄弱点，加强安全建设：通过风险，可以暴露出信息安众管理的不足，改进 售感安全管理。在本豢孛，褥分缨缓患安全风险喾理移风黢谬佳约定义与关系， 介绍相关概念，阐述风险评估中的安旌要点，井对b s 7 7 9 9 标准进行分析。 2 1 1 基本檄念 2 1 信息安全风险管理 溉陵管理是搬隧可羰受戆黎愿淤爨、按测、辫低或游除霹筑影螭绥惠系统翡安 全风险的过程e “。其，旧关概念简单介绍如下： 藏耱( t h r e a t ) ，是指可麓对资产或缀织造成损害静事故豹潜在原萄。铡如。 组织的网络系统可能受到来囱计算机病毒和黑客攻击的威胁。 薄弱点( v u l n e r a b i l i t y ) ，是指资产或资产缀中能被成胁利用的弱点。威胁是 利用薄弱点丽对资产戴组织遗成损害的。 影响( i m p a c t ) ：指戡胁一旦发生给组织所带来的直接和i h j 接损失。 融浚( r i s k ) ，特定鼓藏胁裂怒资产豹一穆或一缎薄弱点，导致资产翡丢失 或损害的潜在可能性。即特定威胁事件发焦的可能性与后果的结合。 藏陵译结( r i s ka s s e s s m e n t ) ，对信崽帮僖惫处璎设施的藏胁、影编稻薄弱 点及三者发生的可能性的评债，是确认安企风险及其大小的过程，即利用 适当的飙陵评储模型，采用科学的评估方法，包括定性和定擞的方法，确 定资产风险等级和优先控制烦序。 i s 0 1 3 3 3 5 中掇出的以风险为核心的安全模型f 2 2 】可以将上述概念紧密地联系在 一怒，熟鬟2 1 掰示。 幽2 ti s 0 t 3 3 3 5 以风险为核心的信息安全风险模型 该模型的特点是以风险为中心，震点描述了风险、脆弱点、威胁、安全措施、 信息安全风险评估坷b s 7 7 9 9 标准 信怠资产的关系。信息资产本身存程脆弱点和价值，脆弱点将信息资产暴辫给了 藏黪，嚣藏黪是鄹用黪弱点对售息资产遥簸豢塞，影威风险。藏胁、脆弱点、售 息资产的价值都增加了风险。由风险可以引出安企需求。又由安全需求来确定所 需簧靛安垒捂麓，安全缮麓在对菰了藏魏懿弱瓣墩降低了风险n 薹2 1 2 信意安全风黢管理滚程 评审和梭爵 丽套司笙至f 翁去耐 图2 2 信息安全风险管理流程 对子倦意安全风险管理静实施滚程器1 2 t - 2 5 1 ，蟊靛匹经澎成了统一静谈识，可分 为风险评估、风险控制( 或风险消解) 和风险处理三个模块。通过风险评估束识别风 险大小、识别隐患的存在、湃佶己翁控制精施的效果；然后选取适当的控制目标 并采取一定的控制措施对风险进彳亍控制，竣后在风险处理阶段对残余风殓进行分 斤，使风险被避免、转移或降至一个可被接受的水平。菸流程如图2 2 所示。 踅2 2 概括了信惠安全熨黢警理麴基本流疆。可以嚣蹬，风殓管理是双接患安 全的策略和政策为出发点，它的三个部分之间互相依赖，互棚作用。风险评估为 飙除控嗣提供依耀帮鏊锯，风险茬翩又爰俸用评健。颤栗风除控锈静努，鬻会缩 短下一轮风险评估的周期并减轻其责任。同样，风险处理也会对风险控制和风险 评估产生定的反作用。 图2 ，2 列出了风险管理过稳的主要环节，其中风险的谬售是本文的藿点。风险 控制和降低风险两部分与本文所讨论内容的关系不大，将不作详细介绍。 2 2 信息安全风险评估 信息安全风险评估，是信息安全风险管理的基础，是组织确定信息安全要求的 主黉途径，是信惫安全管理体系( i s m s ) 建立帮改进的蓬要依据2 翻。 2 2 1 信息安全风陵评语过程 翟 o 攀手b s 7 7 9 9 鹩信纛安全最缝译健研究与瑷谤 参考5 e 献 9 2 1 2 7 3 】，霹黻将一个宠熬豹菇黢译绩j 霪程攒述热甏2 3 爨示。 蕊曛蠹磊忑一 ：= ”、 。燮! 婴垫夕一 l 第一步：描述系 l 境，界定边界 上 i 第二步：识别成 i 耱 l 第三步；激翮糖 l 弱点 r 蕊孺驴1 陌西再而羽 ：翟嚣鏊冀篓；。一l 点塑! ! ! 些| i 可以斌过班下几个古面来“l 州f i ( 1 ) 脯弱点费潭雌l i ( 2 ) 薰撼壹垒月试i l 瓣躺惟一十童龟嚣求烈丧l = = = 孑7 一 i i 在潮嗣崎列莳) 焉：i ：i ：蠹景习f 蕞盆嘉；| 】藩麓聚| 一遥疆夏受擞 二3m 栅t 桃掉婶：托t ，蒂蜡他虑hfj k tll 嫩的控制措施i 。= l 一 ；l l l g 翟箍嫠1 ：| r 一协m 上 箍锚持摊墨取g 蚺衍m 女士性和，# 性时 第九步：评估补 粜义柏 i ，嬲銎蔷瀚：一斛m * 一m l ：强器黎嚣器墨翳露瑶两椭逑 塑2 3 甄殓评继进程篷 图2 1 3 将风险评估过程分为9 步，左边描述了相对应予每一步的输入，右边描 述了萁输出。 2 。2 2 信息安全风险评依实施蔡点 下丽依据髑2 3 ，讨论一下风险评估的实施要点【3 甜。 缝极化译健擐强；阁2 3 撼述了一个搂察化鲍浮偿滤程，为了蠖予实施，本 节将其结构化和并行化，抽象如图2 4 所示。 袋握蚕2 _ 4 ，本文涛风险评佶懿过稔概括翔下： 麴而啪饼鳓鬯 萤 懵息安垒风脸评储与b $ 7 7 9 9 标准 i 资产识别和评价卜叫赍产评价原则i l 0毒 i 威胁识别和评价il 薄弱点识别和评价il 已有安全措施的确认i ji i 风险评价竹原则 1 li 风险等数汁算方法l 、 ，、i p ”“1 ”“划 l 风除评估和风险等级 l的涮量萃娃划分 图2 + 4 最黢详结结秘纯框图 1 ) 酋先按照商务流程进行资产识别并对资产进行饿价； 2 ) 其次进行系统的分析和评价，包括对系统所处环境威胁的识潮和评估、系 统存在的薄弱点的识别和谬 砉以及对已鸯安全控制爨施款确认； 3 ) 根据安全政策的要求和系统评价的结果，建立风险评价原则，确定风险的 级剽秘大，l 、； 4 ) 完成了个风险评估的流秘后，进入风除管理的下一个环节。 资产、藏耪耪澈清静关系：在迸行资产、藏胁和漏螽鼋僖惠识羽靖，本文认 为需要考虑以下的对成关系： 1 ) 簿一项资产可能存在多个威胁： 2 ) 贼胁的来源可能不止个，应从人员( 包括内部和外部) 、环境( 始自然 灾害) 、资产本身( 如设备故障) 等方面加以考虑： 3 ) 镶一令藏黪可缝联曩一个或是数个漠弱焱； 4 ) 每个薄弱点对系统的威胁稷度和等级有报大的不同，有的威胁不能消除， 只能采敬降低藏胁程度豹策培； ： 5 ) 要考虑各种威胁之间的相互依赖关系和交叉关感： 6 ) 考虑威胁、薄弱点等的随时间和储患系统的进化而变化的特点，对其醴发 媵的观点进行分析。 资产、威胁和薄弱点之间的对成关系 3 6 j 可用阁2 5 来说明。 辫2 ，5 中，藏粉a 县骞多令泉源一大虽、琢境、资产本身等，它可以裁薅 多个薄弱点，如口令的设置过短、密钥明文传播等。而在这些威胁源和薄弱点 之闯，又存在复杂蠡拿交囊关系，如路螽器鸯定是楚予一定的环凌之中工作虢， 环境的破坏很可能引起路由器的故障，而路由器的故障很w 能引起业务的干扰 和中断，造成资产的重大损失。可见各种因素之闻存在着复杂的交互和依赖关 系。 2 基予b s 7 7 9 9 的信息安垒风险评估研究与 跫计 圈2 5 资产、威胁和薄弱点对应关系 威胁的分类：对于备种威胁目前遥没有统一的方法加以区别和分类，各种 威胁蛉存在鄢重耍睦是随环竣兹变纯露交使鹣，且各游威胁之闽透露在羞棱互联 象。借鉴b s 7 7 9 9 标准中掰筏出的控制措施和安全建议，露将安全藏胁和薄弱点分 为“主机方面、网络方而、物理方面和管瑕方面”四类m i ，如图2 6 所示。 豳2 , 6 威胁和灞漏信息分类 风险接魏结籀静选取：风险控翎绩施静建议要谨签风险测量的结果，爱数 是选择适宜且合理的控制目标和措施来降低风险。合理的安全控制措施的选择不 信息安全风睑评估与b s 7 7 9 9 标准 仅包括管璎方面的措施，如人力资源管理是否完饕；还包括针对技术上的缺陷所 采取夔缮麓，& 如薅火壤等熬琵登，慧蒋主，髹攥羲麓强殓镄失纛控裁撸薅豹我 价相比较的原则，衡登得失，需要采取的措施都威当得到很好的实施。 选择安全控制措施时，本文认为需要考虑到以下原则： 1 )控制的易用性秘控制措施黪椽对强度； 2 )控铡为用户摄供帮韵班发挥浚潮豹律弱； 3 )控制实现的功能类型包括预防，阻挡，探测，恢复，纠正，监控和意识等。 4 )对控制措施可以递行优先级的排序，以确定侧重点； 5 )默“我徐平囊”潦裂馋秀窭发患，比较实藏控翻蘩施瀚伐徐露藏耱资产翡 大小，进行统筹安排，实现以较小的代价来像护重要的资产安全： 6 )控制措施需要兼顾管理和技术两个方面的内容。 风除处理方式黪建议：当识嬲了风险的移在以后，就= | 辩要裰据风险谤售黔 结桑迸罩亍鞠应的试验熊疆瞄辫i 。倍感安全风险的鲶理方式主要镪括以下几种： 1 ) 降低风险：在考虑转嫁风险前，应首先考虑采取措施降低风险： 2 ) 避免风险：有然风险很容易溅兔，例如通过采甩不同的技术、更改操作流 臻、采曩l 菠擎懿缓求猎薤等； 3 ) 转嫁风险：通常只有当风险不能被降低或谶免、且被第三方( 被转嫁方) 接受 时巧被采用。般用于那些低概率、但一臌风险发生时会对组织产生踅大 影响盼风险： 4 ) 臻爱飙殓：孺予那些在采取了降羝风险帮游免风险措施后，出于实繇和经 济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。应该 意识到要解决所商风险可能怒不实际的，所以应该对那魑可能给目标借来 严震怒害影璃豹藏耪，弱点对遴行饶先撵黟。銎2 。7 瑟豕麓是甄黢应对示意 图。在图中，标有y e s 的地方是应该实现安全控制的合适点。 、 ( 竺卜 兮萤一申 出出 l 玲埝与匿 i 营i 晋 图2 7 风险应对示意图 戴狳评倍戆韵泰挂愿裂_ 帮挎绥往覆羹辇：考惑戮信息系统风险豹动态变化的 特点，并结合以上对信息安全风险评估的分析，本文提出了信息系统安全风险评 基于b 8 7 7 9 9 戆信悬安垒菇戆谤镳磺究与嫒译 估戮遵循的动态，陛原则和持续性原则。 信息安全撤险评估的动态性原则来源予飙险的动态蚀。信息系统的风险并不照 戎不变静，它怒蘧善嚣耀露动态交纯懿。琵懿搡终系统育薪懿藏耱豹产生、携 理设备随着运转时间的延长熬失效的概率加大、信息系统的各组成部分的风险比 重随着组织业务的变化而使总的风险构成发生变化等。风险的这些变化促使采取 媚黩靛安全评嵇，帮动态的安全译售，懿当、韭务变更和优先投变化辩要遴季亍瓶静 风险评倍等。 信息安全管理的持续性原则包括信息安全管理各个环节之间的滤续性和信息 安全管理的持之以恒性。各个环节之间的持续性要求安众评估的各个环节形成一 个绞一戆整诲，繇褛紧密：露跨之鞋藿爨婺求安全鹜疆戆生存麓终楚蟹痿怠系绞 的生命周期，双方共存共消。当新的信息系统建立运转时，随之要建立信息安全 管蠼系统：只有当信息系统消亡时，安全臀理才会随之消亡。 动念性琢剐秘持续蛙原则足售患安垒风羧谖售豹一般原则。组织凌建藏信惑系 统，完成了由飙陵评住、风除控常与风险羧受三部分所搦成盼一个安全管理流程 之艏，将风险控制在一个可以接受的水平，并不意味着信息安全风险评估工作的 结束。安全风险的动态变化的过程特性和持续性原则，爱求组织继绥实施动态的 巍除译绉，瑷霞及时浚嗣毫稳的溅陵并遴行餐效熬楚毽。 关于讨沦所依据的风险的动态陛，可参见本文的风险周期模型的讨论。 2 3b s 7 7 9 9 信惠安全管理标准 与其他标准样，b s 7 7 9 9 标准也有其自身的约定和规则。下面简单介绍b s 7 7 9 9 标凇的基本内容，并进行简单的分析。 2 3 1b s 7 7 9 9 标准的基本内容 作为典型的信息安全管理标准，英国标准b s 7 7 9 9 1 2 【1 8 j 【2 6 是由焚爨标准协会 ( b s i ) 制定的傣怠安全管瑾繇准。它予1 9 9 5 由英莺标准组织b s i 援舞，在2 0 0 0 年，标准的第一部分b s 7 7 9 9 一l ：1 9 9 9 ( b s l 7 7 9 9 ) 通过了i s o 的认可，成为国际标准 i s o i i e c1 7 7 9 9 1 ：2 0 0 0 ，全名为信息技术信息安全管瑷实施规则。 售愚安全繁褒实燕蕊翳楚缝缀建立并实藏蕊惠安全管理落系熬一个揍导缝 的凇则，主要为组织制定其僚患安全策略和进行有效的信息安全控制提供的一个 大众化的最佳惯例。虽然，实施细则中的指南内容尽可能趋于全面，并提供一套 固黪现行安全控制的最佳嫒恻，但是，实施缨则中所提供鸵基线控制嶷著非对每 个缀绫都是充分懿，也不是对每个缀织郝燕缺一不可麓，它没育考虑实际信患系 信息安全风险评估与8 s 7 7 9 9 标准 统农环境和技术上的限制因素，标准假设条款的燕施是由具有合适资格和经验的 天采承桎或指导懿。 信息安全管理实施规则由十犬独立的管理器项、3 6 个管理目标和1 2 7 条控 制措施组成，每个管毽要磺覆盖了不丽瓣主题和区域，如图2 8 所示。 一、安全薤酶 s e c u r i t yp o l i c y ) 二、蛾织安全( o r g a n i z a t i o ns e c u r i t y ) 三、瓷产势娄与控魏( _ | i s s e tc l a s s i f i c a t i o na n dc e n t 勰1 ) 肌、凡员安企 五、物理和环境安奄六、通信岛操作管理八、最统开发与维护 p e r s o n a ls e c u r i t y ) p h y s i c a la n dc o 瓣m i c a t i o n sa n d( s y s t e md e v e l o p m e n t e n v i r o n m e n t a ls e c u r i t y ) o p e r a t i o n sm a n a g e m e n t ) a 们拖t n c e n a n c e ) 。七、访问控铡( a c s e s c o n t r 0 1 ) l i j九商务持续性管理( b u s i n e s sc o n t i “u 1 y ”8 “8 9 8 “e n t s ) l十，荐台 耋( 幻帮l i 8 n e $ ) l 鹜2 ，8b s l 7 7 9 9 肉释要瑗蓑系图 幽图2 8 可以着到，b s l 7 7 9 9 内容包括十大管理要项( 其中的七个方面偏重于 管璎，三个方面偏重于披术) 、三十六个管骥蟊称和一百= 十七个控制措施。其中 十大管理要项分别是： 1 ) 安全策略：为信息安念提供管理指导和支持； 2 安垒组织：在公霹内鹫理痿爨安全； 3 ) 资产分类与管理：对公司的倍息资产采取适当的保护措施； 4 ) 入燕安全：减少久建袋误、徐窈、欺诈或滋磊落惑及楚璞设蕊豹菇陵； 5 ) 物理和环境安全：肪止对商业场所及信息朱经授投的访闯、损坏及干扰： 6 ) 通讯与运作管瑾：确保信怠簸理设施正确和安全运彳亍； 7 ) 访阅控制：管理对信息的访闽； 8 ) 系统的开发和维护：确保将安全纳入信息繇统； 9 ) 业务连续牲管理：防止囊业溪动熬中叛，并保护关键豹业务过程兔受薹大 故障或灾难的影响； l 国簿含注：避免遘笈 王俺爨法翻嚣法、法律法麓或合同义务良及经餐安全要 求。 必须指出静燕，b s i 挺舞的b s 7 7 9 9 标凇包括鼹个部分：b s 7 7 9 9 一l 信患安全 管理实施规则和b s 7 7 9 9 2 信息安全管理体系靓范。其中b s 7 7 9 9 2 规定了建 立、实施和文件化信息安全管理体系( i s m s ) 的要求，规定了根据独立组织的需要 应实麓安全控制黟要求。组织按照b s 7 7 9 9 2 建立稼息安全营理传系，进行有效豹 信息安全风险管聩，确保商务可持续性发展；作为寻求信息安全管理体系第三方 基于b s 7 7 9 9 的信息安全风险评估研究与设计 认证的标准。对于b s 7 7 9 9 标准两部分的关系，可以这样描述：第二部分明确提出 安全控制要求，标准第一部分对应给出了通用的控制方法( 措施) ，为第二部分的 具体实施提供了指南。但标准中的控制目标、控制方式的要求并非信息安全管理 的全部组织可以根据需要考虑另外的控制目标和控制方式。 本文的研究工作主要是以b s 7 7 9 9 标准的第一部分为依据展开的。 2 3 2b s 7 7 9 9 标准的结构模型 b s 7 7 9 9 包括了信息安全策略、组织安全等1 0 个大项，在这1 0 个大项下面， 又细分为3 6 个管理目标，1 2 7 个控制措施。依据b s 7 7 9 9 标准的这种结构，并结 合具体内容和功能作用，本文将b s 7 7 9 9 的结构模型构建为会字塔形，如图2 , 9 所 不a 图2 9b s 7 7 9 9 的结构模型 在图2 9 中金字塔的最顶端为b s 7 7 9 9 标准，它的下面各层分别是管理要项、 管理目标、控制措施。同时，在每一层之中，又存在着若干条目，如管理目标就 并列的存在着3 6 个，不分级别和权重。金字塔最下端是控制措施，它是标准的底 层部分。 2 3 3b s 7 7 9 9 标准的分析 从前面的标准介绍中可以看到，推出b s 7 7 9 9 这个标准的目的是为了提供一个 比较全面的风险管理标准，所以比较侧重于管理方面。在采用此标准时就需要注 意其适用的领域，例如想从偏重技术方面对系统安全进行风险评估的话，就不能 采用此标准。 对于指导那些存在于大多数中小型组织和企业中的日常业务领域( 如人事、财 务等) 来讲，b s 7 7 9 9 的通用性已经足够。而且与企业一般的安全计划不同，b s 7 7 9 9 情息安全风险评估姆b s 7 7 9 9 标准 已被大量的实践证明悬切实可行的。企业可直接引用这魑定义好的通用安全要求， 这意味着企监秃需从蒸本原瓒开始麓新定义信惫安全，也不必重定义关毽藏务流 程以满足b s 7 7 9 9 安全控制的要求。这就使褥企业在开始引入时能够做到更完善、 更容易控管且有较好的经济效益。通过对标准的分析，本文认为对b s 7 7 9 9 的使用 通鬻可竣骞以下三葶中攮形： 1 ) 将信息安全管理实施准则看作是一个起点，组织可根据需要考虑另外的控 翻鹜标帮控锎方式，双嚣开发凄缝缎特定瓣安全繁莲指导。 2 )达到b s 7 7 9 9 的要求并通过独立认证机构的评他，以获得b s 7 7 9 9 信息安 全认证，觚而掇升企鼗螽身黯安全w 信度。 3 )依照标准的规定执行，不以获取证书为目的，只是将其作为安全指导原则。 尽管如此，b s 7 7 9 9 标准还未臻完美，本文认为主要体现在以下几点： 1 ) b s 7 7 9 9 数各管联要项、警理髫标和控制接旄中，没有个控到项墨其袁任 何程度的项目权重，会让人误以为它们同锋重要，而事实并非如此。 2 ) 褒许多安全繁理文禚中列出斡大量鸯奔l 魏安全警罐售息均束黩含亵 b s 7 7 9 9 之中，作为国际标准，这种不全面导致了它不能被完全接受。 3 ) b s 7 7 9 9 作为蠢我评倍帮改瞧靛工矮是颇有价佼静，稳它不鬃有一个按术 标准所必濡的测量精度。 4 ) 标准中没有给出风险等级的如分参考或者兢定，而这一点在风险评储中是 必不；霹少的。 5 ) 标准对控制措施的描述和规定是通过