第二章 信息系统安全

2.1 脆弱性和脆弱性科学
脆弱性评价方法 （1）综合指数法 该方法从脆弱性表现特征、发生原因等方面建立评价指标体系, 利用统计 方法或其他数学方法综合成脆弱性指数, 来表示评价单元脆弱性程度的相 对大小, 是目前脆弱性评价中较常用的一种方法。
在综合指数法中较常用的数学统计方法有加权求和(平均)法、主成分分析 法(PCA)、层次分析法(AHP)、模糊综合评价法等。
2.1 脆弱性和脆弱性科学
一、脆弱性研究的起源与发展
脆弱性（Vulnerability）是指任何个体或系统都无法避免的内在本 质特性，即脆弱性是个体或者系统与生俱来的特性。 脆弱性这一概念起源于对自然灾害的研究，最早由加拿大约克大学 的Peter Timmerman 教授于1980年代初期在研究气候变化时提出。
1990年代以后，脆弱性的研究得到了广泛的关注，研究领域也逐步 扩展到诸如灾害管理、生态学、公共健康、土地利用、可持续性科 学、经济、工程、计算机系统等许多领域。 2001年4月，美国布朗大学荣誉教授Robert Kates等在《科学》杂志发表“可持续性科 学”( Sustainability Science) 一文把“特 殊地区的自然-社会系统的脆弱性或恢复力” 研究列为可持续性科学的7个核心问题之一。
2.2 信息系统脆弱性及其分类和识别
对信息系统脆弱性进行分类的目的： (1)提供某种形式的历史记录，便于系统设计和实现人员引以为鉴，避免 新系统中出现旧的脆弱性。 (2)提供一种便于发现和检测的脆弱性形式化描述方法。
(3)提供关联脆弱性之间的共同特征，用于脆弱性预防和消除。 (4)提供一种监控机制，便于发现对脆弱性的利用或意图。
毕晓普（Christopher Bishop，英国爱丁堡大学）教授认为：计算 是一系列状态（包括授权的和非授权的）的转换，脆弱状态是一种 利用合法的转换能够到达非授权状态的授权状态，因此攻击起源于 脆弱状态。“脆弱性是脆弱状态区别非脆弱状态的特征。”
朗利（Dennis Longley，昆士兰理工大学）教授认为：…④在信息 安全领域中，被评价目标所具有的能够被渗透以克服对策的属性或 安全弱点。
信息系统脆弱性的分类，最早可以追溯到1970年代美国RISOS（Research in Secure Operating Systems）和PA( Protection Analysis) 计划。
2.2 信息系统脆弱性及其分类和识别
RISOS分类 RISOS是劳伦斯·利弗莫尔国家实验室（Lawrence Livemore National Laboratory，LLNL）在1970年代中期开始的一项针对IBM S360操作系统 MVT安全漏洞的研究计划。 按照RISOS，计算机脆弱性被分为七种类别： （1）不完整的参数验证: 参数使用前没有正确地检查； （2）不一致的参数验证: 使用不一致的数据格式进行数据有效性检查; （3）固有的机密数据共享: 不能正确地隔离进程和用户; （4) 异步验证错误或不适当的序列: 竞争条件错误; （5) 不适当的鉴别、认证和授权: 不正确地认证用户; （6）可违反的禁止或限制: 处理边界条件错误; （7）可利用的逻辑错误: 不属于上述六类的其他错误。
2.1 脆弱性和脆弱性科学
三、脆弱性评价及其主要方法 脆弱性评价方法是当前脆弱性科学的一个重要研究内容, 同时也 是脆弱性研究面临的一个挑战, 脆弱性科学的发展很大程度上取 决于能否建立一个通用的脆弱性概念框架及切实可行的脆弱性评 价方法。
脆弱性评价 脆弱性评价是对某一自然或人造系统自身的结构和功能进行探讨, 预测和评价外部胁迫( 自然的和人为的) 对系统可能造成的影响, 以及评估系统自身对外部胁迫的抵抗力以及从不利影响中恢复的 能力, 其目的是维护系统的可持续发展, 减轻外部胁迫对系统的 不利影响和为退化系统的综合整治提供决策依据。
2.1 脆弱性和脆弱性科学
（2）脆弱性函数模型评价法 该方法基于对脆弱性的理解, 在对脆弱性各构成要素进行定量评价的基 础上,建立反映脆弱性构成要素之间相互作用关系的评价模型。 美国学者A.L.Luers等在2003年提出了一种基于系统适应能力的最小潜 在脆弱性评价方法。Luers认为系统的脆弱性是由系统内某些变量面对 扰动的敏感性与这些变量临近伤害临界值的程度构成的函数，脆弱性的 度量可用二者比值的期望来表示。 这种评价法在评价思想上与脆弱性内涵之间对应较强,能够体现脆弱性构 成要素之间的相互作用关系, 有利于解释脆弱性成因及特征, 评价结果 能够反映系统整体脆弱程度及脆弱性构成要素的情况。 然而关于脆弱性的概念、构成要素及其相互作用关系尚无统一的认识, 脆弱性构成要素的定量表达也较困难,使得该评价方法进展较为缓慢, 但该方法在脆弱性评价研究中已越来越受到学者关注。
2.2 信息系统脆弱性及其分类和识别
二、信息系统脆弱性的分类 分类（Classification）是人类科学进步最重要的手段。 所谓分类实际上就是根据性状（特征、属性）的相似性将要分类的东西加 以整理归类。因此，仔细的分析和评价性状成为分类过程中最重要的工作。 一般地，性状的选择要遵循以下原则：
(1)客观性：分类属性必须从已知对象中获得，是可观察和客观可鉴别的。
2.1 脆弱性和脆弱性科学
2000年，全球环境变化国际人文因素计划 (International Human Dimensions Programme on Global Environmental Change, IHDP) 在其第三份通 讯报告中明确提出了“脆弱性科学”这一新的研究方向, 并初步总结了脆弱性科学的基本特点及研究任务。 脆弱性科学研究关注的焦点主要集中在以下几个方面： 哪些人、哪些事、或哪些地区对正在发生的人文与环境条件的变化 比较脆弱（敏感）? 这些变化及其结果在不同的人与环境条件下是怎样被减弱或增强的?
刘燕华（中国科学院地理科学与资源研究所）研究员的定义：脆 弱性应包含三层含义它表明系统、群体或个体存在内在的不稳定 性，该系统、群体或个体对外界的干扰和变化（自然的或人为的） 比较敏感，在外来干扰或外部环境变化的胁迫下，该系统、群体 或个体易遭受某种程度的损失或损害，并且难以复原（2001年）。 在这个定义中，刘燕华主张分别从内部和外部考察系统本身的稳定 性、对外界变化的敏感性。
2.2 信息系统脆弱性及其分类和识别
中国国家标准《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007 ）的定义：信息系统脆弱性是指可能被威胁所利用的资 产或若干资产的薄弱环节。 无论哪个定义，都认为脆弱性本身并不会对信息系统造成损害，但一旦 被威胁成功利用就可能对信息系统造成损害。 虽然脆弱性本身无害，但却是万恶之源。所有的安全威胁均由于是脆弱 性的存在。如果信息系统足够强壮、没有任何弱点或者漏洞，信息系统 就不会有任何安全威胁之虞。遗憾的时，这样的信息系统注定不存在。 脆弱性是信息安全威胁的内部因素；外部扰动或系统间影响是信息安全 威胁的外部因素，或者说是驱动因素。 千里之堤毁于蚁穴，脆弱性就是信息系统的蚁穴。我们要做的就 是在洪水来临之前，找出可能毁掉堤坝的蚁穴，并将其堵塞。
通过什么措施可以减少对这些变化的脆弱性? 怎样建立更具恢复力和适应性的团体和社会?
脆弱性科学已经成为分析人地相互作用程度、机理与过程、区域可持 续发展的一个非常基础性的科学知识体系。
2.1 脆弱性和脆弱性科学ຫໍສະໝຸດ Baidu
二、脆弱性的定义 脆弱性科学目前正处于起步研究阶段, 不同研究领域对“脆弱性”这 一概念的理解尚存在许多差异，对脆弱性的定义并不统一。 Susan L.Cutter （南卡罗来纳大学）教授的定义：脆弱性是指个 体或群体暴露于灾害及其不利影响的可能性（1993年）。 在这个定义中， Cutter侧重于灾害产生的潜在影响，与自然灾害中 的“风险”类似。 Peter Timmerman （加拿大约克大学）教授的定义：脆弱性是指 系统或系统的一部分在灾害事件发生时所产生的不利响应的程度 （1981年）。 在这个定义中， Timmerman侧重于遭受灾害时，系统或系统的一部分 做出响应后的结果。
2.1 脆弱性和脆弱性科学
Coleen Vogel（南非金山大学，University of the Witwatersrand）教授的定义：脆弱性是指社会个体或社会群体预 测、处理、抵抗不利影响（气候变化），并从不利影响中恢复的 能力（1998年）。
在这个定义中， Vogel强调的是系统抵御灾害的能力，以及遭受损 失后系统所拥有的恢复能力。
(2)确定性：存在一个明确的过程或步骤来确定是否有分类特性，且能用 于对属性的提取。 (3)可重复性：不同的人对相同脆弱性所独立提取的属性是相同的。
(4)特定性：属性的特性值应是唯一、无歧义的。
由于没有统一的规范，上述属性选取原则仅是衡量一个分类法是否有效可行 的关键。此外，还需考虑可适应性、可理解性等因素。
2.2 信息系统脆弱性及其分类和识别
PA分类 PA项目主要研究操作系统中与安全保护相关的缺陷。PA将6个操作系统 (GCOS, MULTICS, Unix, OS/MVT,UNIVAC1100 Series以及TENEX)中的 100多个缺陷分为4个主要类别： （1）保护不当：包括初始保护域选择不当，实现细节分离不当，变更 不当，命名不当，释放内存不当。 （2）有效性验证不当：例如没有检查关键条件和参数，致使一个进程 引用越界的指针等。 （3）同步操作不当：包括不可分割性保持不当和次序保持不当。 （4）操作数或操作符选择不当：例如使用了不公平的调度算法，使 用错误函数或错误参数。
第2章 信息系统脆弱性
2.1 脆弱性和脆弱性科学 2.2 信息系统脆弱性及其分类和识别
2.3 信息系统脆弱性的评价方法 2.4 通用脆弱性评价系统
2.2 信息系统脆弱性及其分类和识别
一、信息系统脆弱性 信息系统脆弱性（也称为弱点或者漏洞）可能存在于组成信息系统的 各个要素（包括物理、网络、系统、应用与管理等）中。信息系统脆 弱性也有许多千差万别的定义： 国际标准化组织（ISO）的定义（ISO/IEC 27005）：脆弱性是一 个或一组资产具有的能够被威胁利用的漏洞。 IETF（Internet Engineering Task Force，Internet工程任务组） 的定义（ RFC 2828 ）：脆弱性是指系统在设计、实施、或者运行 和管理中存在的能够被利用来干扰系统安全策略的漏洞或瑕疵。
综合指数法的优点是原理简单、容易操作,因此在脆弱性评价中广泛应用。 综合指数法的缺点也非常明显。第一，由于脆弱性形成原因及表现特征在 空间结构差异和时间跨度上的动态性，因此建立与空间结构和时间跨度无 关的统一的脆弱性评价指标体系非常困难；第二，缺乏系统观点, 忽略脆 弱性各构成要素间的相互作用；第三，指标的选择和权重的确定上缺乏有 效的权威方法。
信息系统安全
周健 zhoujian@hfut.edu.cn
《信息系统安全》目录
第1章 绪论
第2章 信息系统脆弱性
第3章 软件系统安全 第4章 WEB安全
第5章 可信计算
第6章 信息保障体系
第2章 信息系统脆弱性
2.1 脆弱性和脆弱性科学 2.2 信息系统脆弱性及其分类和识别
2.3 信息系统脆弱性的评价方法 2.4 通用脆弱性评价系统
2.1 脆弱性和脆弱性科学
（3）危险度分析法 这种方法的一个基本假设是存在一个没有任何干扰的理想状态。 在这个理想状态下，认为系统脆弱性最小。 在评价时，计算系统各变量的矢量值与自然状态下各变量矢量值之 间的欧氏距离,距离越大系统越脆弱,越容易使系统的结构和功能发 生彻底的改变。 脆弱性最小，系统受到威胁的程度就越低，也就越安全。因此，这 种方法是一种衡量系统危险程度的方法。 这个方法最大的不足主要体现在：第一，自然状态的选取，事实上， 很难说哪种状态是系统的自然状态；第二，没有给出系统发生相变 的临界值。