信息系统安全风险评估综述 (1)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
家有关的政策法规及信息技术标准 , 对信息系统及由其处 理 、传输和存储的信息的保密性 、完整性和可用性等安全 属性进行科学 、公正的综合评估的活动过程 [3 ] 。
风险评估是个复杂的过程 , 其中包含很多因素 。最主 要的因素包括系统的业务战略及安全需求 , 系统的资产及 其拥有的价值 、资产的脆弱性 、资产面临的威胁 , 威胁利 用脆弱性而引发的安全事件并由此而给系统带来的风险 , 为降低风险而采取的安全措施以及在安全措施下仍然存在 的残余风险等 。这些要素之间的关系如图 1[4 ]所示 。图 1
在此资产上发 生 安 全 事 件 的 可 能 性 计 算 信 息 资 产 的 风 险 值 。第三步记录风险评估的结果 。风险评估的一般流程如 图 2[4 ]所示 。
图 1 风险评估要素关系模型 这些要素之间存在以下关系 : 业务战略依赖于资产去 完成 , 资产拥有价值 , 单位的业务战略越重要 , 对资产的 依赖度越高 , 资产的价值就越大 , 资产的价值越大则风险 越大 ; 风险是由威胁发起的 , 威胁越大则风险越大 , 并可 能演变安全事件 ; 威胁都要利用脆弱性 , 脆弱性越大则风 险越大 。脆弱性使资产暴露 , 是未被满足的安全需求 , 威 胁利用脆弱性来危害资产 , 从而形成风险 。 资产的重要性和对风险的意识会导致安全需求 , 安全 需求通过安全措施来得以满足 , 且是有成本的 ; 安全措施 可以抗击威胁 , 降低风险 , 减弱安全事件的影响 ; 风险不 可能也没必要降为零 , 在实施了安全措施后还会有残留下 来的风险 。一部分残余风险来自于安全措施不当或无效 , 在以后需要继续控制这部分风险 ; 另一部分残余风险则是 在综合考虑了安全的成本与资产价值后 , 有意去控制的风 险 , 这部分风险是可以被接受的 。残余风险应受到密切监 视 , 因为它可能会在将来诱发新的安全事件 。 212 风险评估过程模型 信息系统风险评估 ( Information System Security Evalu2 ation) 是一个动态的复杂过程 , 它贯穿于信息资产和信息 系统的整个生命周期 , 即在评估标准的指导下 , 综合利用 相关评估技术 、评估方法 , 针对信息系统展开评估工作的 完整历程 。对信息系统进行风险评估 , 首先是风险评估的 准备阶段 , 进行组织准备 、技术准备 、人员准备和资金的 准备 。第二步对风险评估要素的识别与赋值 : 对威胁进行 分析 , 并对威胁发生的可能性赋值 ; 识别信息资产的脆弱 性 , 并对弱点的严重程度赋值 ; 结合信息资产的重要性和
3 本文为黑龙江省软科学攻关项目 (项目编号 : GZ08D201 ) 和 黑龙江省社会科学基金项目 (项目编号 : 05B0018) 资助的成果 。
— 114 —
的定义 。一个基本的理由就是信息系统安全的概念是随着 信息系统的发展 , 随着信息系统在社会生活中地位的变 化 , 随着人们对信息系统安全的重视和理解不多深化的 。 了解人们对于信息系统安全概念的认识过程 , 对于每个学 习或从事信息系统安全的人是很有必要的 。
系统风险评估是一个复杂的过程 , 需要考虑的因素很 多 , 有些评估要素可以用量化的形式来表达 , 而对有些要 素的量化很困难甚至是不可能的 , 所以在复杂的信息系统 风险评估过程中 , 应该将这两种方法融合起来 。定量分析 是定性分析的基础和前提 , 定性分析建立在定量分析的基 础上才能揭示客观事物的内在规律 。主要的综合分析方法 有层次分析法 、概率风险评估和模糊综合评价法等 。表 1 给出了定量分析方法 、定性分析方法和综合分析方法的比 较 , 便于组织可以根据具体的情况来选择适当的分析方法 。
·第 32卷 2009年第 5期 ·
ITA
综述与述评
中方框部分的内容为风险评估的基本要素 , 椭圆部分的内 容是与这些要素相关的属性 , 也是风险评估要素的一部 分 。风险评估工作是围绕着基本要素展开的 , 在对这些要 素的评估过程中需要充分考虑业务战略 、资产价值 、安全 事件 、残余风险等与这些基本要素相关的各类因素 。
定性分析方法是目前采用最为广泛的一种方法 , 优点 是避免了定量方法的缺点 , 可以挖掘出一些蕴藏很深的思 想 , 使评估的结论更全面 、更深刻 。但是它的主观性很 强 , 往往需要凭借分析者的经验和直觉 , 或者业界的标准 和惯例 , 为风险管理诸要素 (资产价值 , 威胁的可能性 , 弱点被利用的难易程度 , 现有控制措施的效力等 ) 的大 小或高低程度定性分级 , 例如 “高 ”、“中 ”、“低 ”三级 。
与定量分析相比 , 定性分析的准确性稍好但精确性不 够 , 定量分析则相反 。定性分析法没有定量分析那样繁多 的计算负担 , 但要求分析者具备一定的经验和能力 。定量 分析依赖大量的统计数据 , 而定性分析没有这方面的要 求 。定性分析较为主观 , 定量分析基于客观 。此外定量分 析的结果很直观 , 容易理解 , 而定性分析的结果则很难有 统一的解释 。 313 综合评估方法
·情报理论与实践 ·
图 2 风险评估过程模型
根据图 2可以对风险评估的过程有一个清晰的理解 , 但在风险评估的具体实施过程中存在着以下难点 。
1) 评估前评估范围和资产的确定 。风险评估范围和 评估资产的确 定 是 否 恰 当 是 风 险 评 估 质 量 的 决 定 因 素 之 一 , 而由于信息系统的复杂和多样性 , 对评估范围和评估 资产的确定还没有统一的标准 。
3 风险评估方法
311 定量分析方法 定量评估方法是指运用数量指标来对风险进行评估 ,
即对构成风险的要素和潜在损失的水平赋予数值或货币金
— 115 —
综述与述评
ITA
额 , 当度量风险的要素 (资产价值 、威胁频率 、弱点利用 程度 、安全措施的效率和成本等 ) 都被赋值 , 风险评估的 整个过程和结果就都可以被量化了 [5 ] 。典型的定量分析 方法有因子分析法 、聚类分析法 、时序模型 、回归模型 、 等风险图法 、决策树法等 。定量评估方法的优点是用直观 的数据来表述评估的结果 , 可以对安全风险进行准确的分 级 , 但这有个前提 , 那就是可供参考的数据指标是准确 的 , 然而在信息环境日益复杂多变的今天 , 定量分析所依 据的数据的可靠性是很难保证的 。此外 , 常常为了量化 , 使本来比较复杂的事物简单化 、模糊化了 , 有的风险因素 被量化以后还可能被误解 。 312 定性分析方法
信息系统安全 , 也常称为信息安全 ( Information Secu2 rity) 或网络安全 (Cyber Security) 。名词不同 , 反映了认 识的出发点不同 。例如信息安全强调内容的安全 , 包括了 知识产权与数据两个方面的安全 。网络安全强调保护信息 网络基础设施 , 而不是强调人们或企业在处理他们个人的 信息中如何发挥作用 。布什政府公布的 《保护网络空间 国家安全战略 》报告中就适用了 “Cyber Security”。信息 系统安全不仅强调了内容上的概念 , 而且强调了设施的安 全 , 具有比较广泛的含义 。不过 , 目前人们在许多场合下 也将它们混用 , 并且还没有一个权威 、公认的解释和标准
Keywords: information system; information security; risk assessment
1 信息系统安全
信息系统安全是一门涉及计算机科学 、网络技术 、通 信技术 、密码技术 、信息安全技术 、应用数学 、数论 、信 息论等多种学科的综合性学科 。它主要是指网络系统的硬 件 、软件及其系统中的数据受到保护 , 不受偶然的或恶意 的原因而遭到破坏 、更改 、泄露 , 系统连续可靠正常地运 行 , 网络服务不中断 [1 ] 。
关键词 : 信息系统 ; 信息安全 ; 风险评估
Abstract: W ith the rap id development of information technology and network technology, the dependence of national economy and social life on information system gets higher and higher, and its security p roblem becomes in2 creasingly distinct. A s an important means to determ ine the security of information system , information system secur2 ity risk assessment has p rovided an important basis for the construction of information system and for the decision making of management. This paper gives a definition of information system security and tells its difference from infor2 mation security. The model of risk assessment is described. The classical assessment methods are compared in ac2 cordance w ith the qualitative and quantitative analysis methods. Finally, the paper discusses the p roblem s in infor2 mation system security risk assessment in China and its future development.
综述与述评
ITA
பைடு நூலகம்
●宋 艳 , 陈冬华 (哈尔滨工程大学 , 黑龙江 哈尔滨 150001)
信息系统安全风险评估综述 3
摘 要 : 随着信息技术和网络技术的飞速发展 , 国民经济 、社会生活的各个方面对信息系统的依赖程 度越来越高 , 安全问题也日益凸显 。信息系统安全风险评估作为衡量系统安全性的重要手段 , 为信息系统 的建设和管理决策提供了重要依据 。本文对信息系统安全进行了定义 , 并与信息安全加以区别 。描述了风 险评估的模型 , 按照定量分析和定性分析方法介绍了典型的评估方法并做了具体的比较 。最后探讨了当前 我国信息系统安全风险评估中存在的问题及发展方向 。
2) 风险评价过程中对风险发生可能性及其影响的评 价 。风险评价过程中不可避免地需要分析者进行主观判 断 , 怎样减少评估结果的主观性增加其客观因素是风险评 价过程的难点 , 另外风险发生造成的影响也很难用一种标 准度量 , 例如声誉损失就很难准确地用金钱来度量 。
3) 风险评估过程中评估方和被评估信息系统所在组 织之间的交互常常存在问题 。被评估信息系统所在组织的 高层管理人员可能因为利益 、隐私等原因在评估过程中不 愿意提供一些评估所需资料或者对评估过程实行限制 , 这 样将导致风险评估所搜集的信息可能不完整和不准确 , 导 致风险评估的质量不高 。
一般来说 , 信息系统安全概念分为 3个层次 : 通信保 密 (Communication Security) 、信息防护 ( Information Pro2 tection) 和信息保障 ( Information A ssurance, IA ) [2 ] 。
2 风险评估模型
211 风险评估要素关系模型 信息系统安全风险评估 (R isk A ssessment) 是依据国
定性的评估方法是依据评估者的知识 、经验 、历史教 训 、政策走向及特殊情况等非量化资料对系统风险状况做 出判断的过程 。定性分析的操作方法可以多种多样 , 包括 小组讨论 (如德尔斐法 ) 、检查列表 ( Checklist) 、问卷 (Questionnaire) 、人 员 访 谈 ( Interview ) 、调 查 ( Sruvey) 等 [5 ] 。在此基础上 , 通过一个理论推断演绎的分析框架做 出调查结论 。典型的定性分析方法有因素分析法 、逻辑分 析法 、历史比较法 、德尔斐法 。
风险评估是个复杂的过程 , 其中包含很多因素 。最主 要的因素包括系统的业务战略及安全需求 , 系统的资产及 其拥有的价值 、资产的脆弱性 、资产面临的威胁 , 威胁利 用脆弱性而引发的安全事件并由此而给系统带来的风险 , 为降低风险而采取的安全措施以及在安全措施下仍然存在 的残余风险等 。这些要素之间的关系如图 1[4 ]所示 。图 1
在此资产上发 生 安 全 事 件 的 可 能 性 计 算 信 息 资 产 的 风 险 值 。第三步记录风险评估的结果 。风险评估的一般流程如 图 2[4 ]所示 。
图 1 风险评估要素关系模型 这些要素之间存在以下关系 : 业务战略依赖于资产去 完成 , 资产拥有价值 , 单位的业务战略越重要 , 对资产的 依赖度越高 , 资产的价值就越大 , 资产的价值越大则风险 越大 ; 风险是由威胁发起的 , 威胁越大则风险越大 , 并可 能演变安全事件 ; 威胁都要利用脆弱性 , 脆弱性越大则风 险越大 。脆弱性使资产暴露 , 是未被满足的安全需求 , 威 胁利用脆弱性来危害资产 , 从而形成风险 。 资产的重要性和对风险的意识会导致安全需求 , 安全 需求通过安全措施来得以满足 , 且是有成本的 ; 安全措施 可以抗击威胁 , 降低风险 , 减弱安全事件的影响 ; 风险不 可能也没必要降为零 , 在实施了安全措施后还会有残留下 来的风险 。一部分残余风险来自于安全措施不当或无效 , 在以后需要继续控制这部分风险 ; 另一部分残余风险则是 在综合考虑了安全的成本与资产价值后 , 有意去控制的风 险 , 这部分风险是可以被接受的 。残余风险应受到密切监 视 , 因为它可能会在将来诱发新的安全事件 。 212 风险评估过程模型 信息系统风险评估 ( Information System Security Evalu2 ation) 是一个动态的复杂过程 , 它贯穿于信息资产和信息 系统的整个生命周期 , 即在评估标准的指导下 , 综合利用 相关评估技术 、评估方法 , 针对信息系统展开评估工作的 完整历程 。对信息系统进行风险评估 , 首先是风险评估的 准备阶段 , 进行组织准备 、技术准备 、人员准备和资金的 准备 。第二步对风险评估要素的识别与赋值 : 对威胁进行 分析 , 并对威胁发生的可能性赋值 ; 识别信息资产的脆弱 性 , 并对弱点的严重程度赋值 ; 结合信息资产的重要性和
3 本文为黑龙江省软科学攻关项目 (项目编号 : GZ08D201 ) 和 黑龙江省社会科学基金项目 (项目编号 : 05B0018) 资助的成果 。
— 114 —
的定义 。一个基本的理由就是信息系统安全的概念是随着 信息系统的发展 , 随着信息系统在社会生活中地位的变 化 , 随着人们对信息系统安全的重视和理解不多深化的 。 了解人们对于信息系统安全概念的认识过程 , 对于每个学 习或从事信息系统安全的人是很有必要的 。
系统风险评估是一个复杂的过程 , 需要考虑的因素很 多 , 有些评估要素可以用量化的形式来表达 , 而对有些要 素的量化很困难甚至是不可能的 , 所以在复杂的信息系统 风险评估过程中 , 应该将这两种方法融合起来 。定量分析 是定性分析的基础和前提 , 定性分析建立在定量分析的基 础上才能揭示客观事物的内在规律 。主要的综合分析方法 有层次分析法 、概率风险评估和模糊综合评价法等 。表 1 给出了定量分析方法 、定性分析方法和综合分析方法的比 较 , 便于组织可以根据具体的情况来选择适当的分析方法 。
·第 32卷 2009年第 5期 ·
ITA
综述与述评
中方框部分的内容为风险评估的基本要素 , 椭圆部分的内 容是与这些要素相关的属性 , 也是风险评估要素的一部 分 。风险评估工作是围绕着基本要素展开的 , 在对这些要 素的评估过程中需要充分考虑业务战略 、资产价值 、安全 事件 、残余风险等与这些基本要素相关的各类因素 。
定性分析方法是目前采用最为广泛的一种方法 , 优点 是避免了定量方法的缺点 , 可以挖掘出一些蕴藏很深的思 想 , 使评估的结论更全面 、更深刻 。但是它的主观性很 强 , 往往需要凭借分析者的经验和直觉 , 或者业界的标准 和惯例 , 为风险管理诸要素 (资产价值 , 威胁的可能性 , 弱点被利用的难易程度 , 现有控制措施的效力等 ) 的大 小或高低程度定性分级 , 例如 “高 ”、“中 ”、“低 ”三级 。
与定量分析相比 , 定性分析的准确性稍好但精确性不 够 , 定量分析则相反 。定性分析法没有定量分析那样繁多 的计算负担 , 但要求分析者具备一定的经验和能力 。定量 分析依赖大量的统计数据 , 而定性分析没有这方面的要 求 。定性分析较为主观 , 定量分析基于客观 。此外定量分 析的结果很直观 , 容易理解 , 而定性分析的结果则很难有 统一的解释 。 313 综合评估方法
·情报理论与实践 ·
图 2 风险评估过程模型
根据图 2可以对风险评估的过程有一个清晰的理解 , 但在风险评估的具体实施过程中存在着以下难点 。
1) 评估前评估范围和资产的确定 。风险评估范围和 评估资产的确 定 是 否 恰 当 是 风 险 评 估 质 量 的 决 定 因 素 之 一 , 而由于信息系统的复杂和多样性 , 对评估范围和评估 资产的确定还没有统一的标准 。
3 风险评估方法
311 定量分析方法 定量评估方法是指运用数量指标来对风险进行评估 ,
即对构成风险的要素和潜在损失的水平赋予数值或货币金
— 115 —
综述与述评
ITA
额 , 当度量风险的要素 (资产价值 、威胁频率 、弱点利用 程度 、安全措施的效率和成本等 ) 都被赋值 , 风险评估的 整个过程和结果就都可以被量化了 [5 ] 。典型的定量分析 方法有因子分析法 、聚类分析法 、时序模型 、回归模型 、 等风险图法 、决策树法等 。定量评估方法的优点是用直观 的数据来表述评估的结果 , 可以对安全风险进行准确的分 级 , 但这有个前提 , 那就是可供参考的数据指标是准确 的 , 然而在信息环境日益复杂多变的今天 , 定量分析所依 据的数据的可靠性是很难保证的 。此外 , 常常为了量化 , 使本来比较复杂的事物简单化 、模糊化了 , 有的风险因素 被量化以后还可能被误解 。 312 定性分析方法
信息系统安全 , 也常称为信息安全 ( Information Secu2 rity) 或网络安全 (Cyber Security) 。名词不同 , 反映了认 识的出发点不同 。例如信息安全强调内容的安全 , 包括了 知识产权与数据两个方面的安全 。网络安全强调保护信息 网络基础设施 , 而不是强调人们或企业在处理他们个人的 信息中如何发挥作用 。布什政府公布的 《保护网络空间 国家安全战略 》报告中就适用了 “Cyber Security”。信息 系统安全不仅强调了内容上的概念 , 而且强调了设施的安 全 , 具有比较广泛的含义 。不过 , 目前人们在许多场合下 也将它们混用 , 并且还没有一个权威 、公认的解释和标准
Keywords: information system; information security; risk assessment
1 信息系统安全
信息系统安全是一门涉及计算机科学 、网络技术 、通 信技术 、密码技术 、信息安全技术 、应用数学 、数论 、信 息论等多种学科的综合性学科 。它主要是指网络系统的硬 件 、软件及其系统中的数据受到保护 , 不受偶然的或恶意 的原因而遭到破坏 、更改 、泄露 , 系统连续可靠正常地运 行 , 网络服务不中断 [1 ] 。
关键词 : 信息系统 ; 信息安全 ; 风险评估
Abstract: W ith the rap id development of information technology and network technology, the dependence of national economy and social life on information system gets higher and higher, and its security p roblem becomes in2 creasingly distinct. A s an important means to determ ine the security of information system , information system secur2 ity risk assessment has p rovided an important basis for the construction of information system and for the decision making of management. This paper gives a definition of information system security and tells its difference from infor2 mation security. The model of risk assessment is described. The classical assessment methods are compared in ac2 cordance w ith the qualitative and quantitative analysis methods. Finally, the paper discusses the p roblem s in infor2 mation system security risk assessment in China and its future development.
综述与述评
ITA
பைடு நூலகம்
●宋 艳 , 陈冬华 (哈尔滨工程大学 , 黑龙江 哈尔滨 150001)
信息系统安全风险评估综述 3
摘 要 : 随着信息技术和网络技术的飞速发展 , 国民经济 、社会生活的各个方面对信息系统的依赖程 度越来越高 , 安全问题也日益凸显 。信息系统安全风险评估作为衡量系统安全性的重要手段 , 为信息系统 的建设和管理决策提供了重要依据 。本文对信息系统安全进行了定义 , 并与信息安全加以区别 。描述了风 险评估的模型 , 按照定量分析和定性分析方法介绍了典型的评估方法并做了具体的比较 。最后探讨了当前 我国信息系统安全风险评估中存在的问题及发展方向 。
2) 风险评价过程中对风险发生可能性及其影响的评 价 。风险评价过程中不可避免地需要分析者进行主观判 断 , 怎样减少评估结果的主观性增加其客观因素是风险评 价过程的难点 , 另外风险发生造成的影响也很难用一种标 准度量 , 例如声誉损失就很难准确地用金钱来度量 。
3) 风险评估过程中评估方和被评估信息系统所在组 织之间的交互常常存在问题 。被评估信息系统所在组织的 高层管理人员可能因为利益 、隐私等原因在评估过程中不 愿意提供一些评估所需资料或者对评估过程实行限制 , 这 样将导致风险评估所搜集的信息可能不完整和不准确 , 导 致风险评估的质量不高 。
一般来说 , 信息系统安全概念分为 3个层次 : 通信保 密 (Communication Security) 、信息防护 ( Information Pro2 tection) 和信息保障 ( Information A ssurance, IA ) [2 ] 。
2 风险评估模型
211 风险评估要素关系模型 信息系统安全风险评估 (R isk A ssessment) 是依据国
定性的评估方法是依据评估者的知识 、经验 、历史教 训 、政策走向及特殊情况等非量化资料对系统风险状况做 出判断的过程 。定性分析的操作方法可以多种多样 , 包括 小组讨论 (如德尔斐法 ) 、检查列表 ( Checklist) 、问卷 (Questionnaire) 、人 员 访 谈 ( Interview ) 、调 查 ( Sruvey) 等 [5 ] 。在此基础上 , 通过一个理论推断演绎的分析框架做 出调查结论 。典型的定性分析方法有因素分析法 、逻辑分 析法 、历史比较法 、德尔斐法 。