信息工程學院學年論文題目信息安全分析及研究方法學生姓名專業班級所在學部管理學部指導教師職稱助教摘要信息系統是我國國民經濟最重要組成部分，我國信息化建設始于20世紀60年代初，至今已有40多年的歷史。目前，信息與網絡技術在信息系統中得到了廣泛的應用，已成為各級企業生產、運營與管理的基礎設施。因此，信息系統的安全、可靠和穩定運行也成為企業、機構信息化建設的重要內容。為了認真貫徹落實中共中央辦公廳、國務院辦公廳轉發《國家信息化領導小組關于加強信息安全保障工作的意見》的通知（中辦發［2003］27號）的精神，立足我國信息系統的特性，以我為主，突出重點、整合資源，逐步建成符合信息系統信息安全保障體系是當前信息系統信息安全工作的重點內容。信息安全風險評估是信息安全等級保護管理的基礎工作，是信息系統風險管理的重要環節。通過風險評估來確定信息系統的安全現狀，提取信息系統安全需求，并在此基礎上對信息安全保障體系建設進行有序的規劃，是各級企業在信息安全工作中避免防護不當、提高防護效果和效益的主要手段。關鍵詞：信息信息安全信息系統風險AbstractInformationsystemsarethemostimportantcomponentofChina'snationaleconomy,China'sinformationconstructionbeganintheearly20thcentury,60,hasbeenmorethan40yearsofhistory.Atpresent,informationandnetworktechnologyininformationsystemshasbeenwidelyused,hasbecomeatalllevelsofproduction,operationsandmanagementofinfrastructure.Therefore,theinformationsystemsecurity,reliabilityandstableoperationhasbecomeabusiness,institutionbuildingofanimportantcontentoftheinformation.InordertoearnestlyimplementtheCPCCentralCommitteeandStateCounciltransmittedthe"NationalInformatizationLeadingGrouponstrengtheninginformationsecuritywork,theviewsof"notice(Zhongbanfa[2003]27)thespirit,basedonthecharacteristicsofChina'sinformationsystems,ourselvesandfocused,integrateresources,andgraduallybuildinformationsystemscomplywithinformationsecuritysystemisthecurrentinformationsystem,informationsecurity'smainfocus.Informationsecurityriskassessmentistheinformationlevelofsecurityprotectionandmanagementofthefoundationwork,informationsystemsriskmanagementessential.Throughriskassessmenttodeterminethesecuritystatusofinformationsystemstoextractinformationsystemsecurityrequirements,andonthisbasedontheinformationsecuritysystemfororderlyplanning,enterpriseinformationsecurityatalllevelsworktoavoidundueprotectiontoenhanceprotectiveeffectandeffectivenessoftheprincipalmeans.Keywords:informationsystemsinformationsecurityinformationsystemsrisk目錄摘要.....................................................................................................................................IABSTRACT..............................................................................................................................II一、概述(2)二、資產評估(3)1.資產(3)2.資產屬性(3)三、威脅評估(3)1.威脅(3)2.威脅屬性(3)四、弱點評估(4)1.弱點(4)2.弱點分類(4)3.弱點屬性(4)4.獲取弱點(4)五、資產識別和賦值(5)1.信息資產分類(5)1.1服務(5)1.2數據(6)1.3軟件(6)2.信息資產賦值(6)2.1機密性（Confidentiality）(6)2.2完整性（Integrity）(7)2.3可用性（Availability）(7)2.4資產價值（AssetValue）(7)六、弱點管理信息的管理(8)七、結束語(8)參考文獻(9)一、概述風險評估是開發適當的保護輪廓和安全規范的基礎，可以幫助實現更為精確的安全方案。在安全方案花費和安全提升帶來的資產獲益之間取得平衡。安全水平的提升和相應的開銷不是線性的關系，在較高的安全水平上面，獲得微小的提高可能需要巨大的投入，甚至投入超出了所保護資產的價值。經過精細的資產評估和風險評估，企業就可以在投資提升安全、承受風險、投資保險轉移風險等作出正確的選擇。但是，風險的量化是一件非常復雜的工作，風險的來源、表現形式、造成的后果、出現的概率千差萬別，需要非常精細的考慮和數學模型。一個資產（評估對象）可能有多個系統或組件構成，每個系統組件存在各種各樣的多個風險，每個風險具有多個不同的屬性值（例如：威脅的可能性、損失以及弱點等，參見后面的描述），該屬性值可能存在復雜的依賴關系，可能與時間有關，可能與資產的配置環境密切相關（例如：安全控制、策略和實際的運行情況等）。所以，將所有因素綜合考慮在一起，科學地反映資產當前面臨的實際風險是一件非常復雜的工作。接下來將描述、定義適用于信息系統的理論和使用的模型。根據國際通行的有關信息安全管理與評估標準，筆者給出如下圖所示的資產風險評估及量化計算的關系模型。資產風險評估及量化計算的關系模型圖一般來說，風險評估是對信息資產進行的，該信息資產最終的風險狀況與該資產的價值，現存的弱點，現有的安全措施，所面對的威脅，威脅發生的概率及風險發生的可能性及預計產生的后果都有關系。二、資產評估1.資產資產是企業、機構直接賦予了價值因而需要保護的東西。它可能是以多種形式存在，有無形的、有形的，有硬件，有軟件，有文檔、代碼，也有服務、企業形象等。它們分別具有不同的價值屬性和存在特點，存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同。由于資產在企業信息系統中的角色不同，完成使命的重要程度不同，信息資產價值的概念應該更偏重于資產對于企業完成使命的重要程度，而并不是僅僅考慮其設備價值。2.資產屬性信息系統信息資產分別具有不同的安全屬性，機密性、完整性和可用性分別反映了資產在3個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察3種不同安全屬性，可以得出一個能夠基本反映資產價值的數值。對信息系統信息資產進行賦值的目的是為了更好地反映資產的價值，以便于進一步考察資產相關的弱點、威脅和風險屬性，并進行量化。三、威脅評估1.威脅威脅是對信息系統的資產引起不期望事件而造成的損害的潛在可能性。威脅可能源于對信息系統直接或間接的攻擊，例如：非授權的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害。威脅也可能源于偶發的或蓄意的事件。一般來說，威脅總是要利用信息系統中的系統、應用或服務的弱點才可能成功地對資產造成傷害。從宏觀上講，威脅按照產生的來源可以分為非授權蓄意行為、不可抗力、人為錯誤以及設施#設備錯誤等。2.威脅屬性威脅具有兩個屬性即可能性（Likelihood）、影響（Impact）。進一步，可能性和損失可以被賦予一個數值，來表示該屬性。分別是：很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且從高到低分別賦值為4-0。可能性屬性非常難以度量，它依賴于具體的資產、弱點和影響。該屬性還和時間有關系。所以，在威脅評估中，評估者的專家經驗非常重要。最終表現出來的威脅是兩個屬性的共同作用。四、弱點評估1.弱點弱點和資產緊密相連，它可能被威脅利用、引起信息系統資產損失或傷害。值得注意的是，弱點本身不會造成損失，它只是一種條件或環境、可能導致被威脅利用而造成資產損失。弱點的出現有各種原因，例如：可能是軟件開發過程中的質量問題，也可能是系統管理員配置方面的，也可能是管理方面的。但是，它們的共同特性就是給攻擊者提供了機會。2.弱點分類對弱點進行分類的方式有多種多樣，最主要的是根據弱點產生的來源和原因。3.弱點屬性參照國際通行做法和專家經驗，將資產存在的弱點分為5個等級，分別是很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且從高到低分別賦值4-0。4.獲取弱點弱點的獲取可以有多種方式，例如：掃描工具掃描（Sacanning）、白客測試（Penetration）、管理規范文件審核、人員面談審核等。評審員（專家）可以根據具體的評估對象、評估目的選擇具體的弱點獲取方式。五、資產識別和賦值企業中的資產類別不同，資產在企業中所擔負的使命不同，不同的資產存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同。為此，有必要對企業、機構中的信息資產進行科學分類，以便于進行后期的信息資產抽樣、制定風險評估策略、分析安全功能需求等活動。資產還具有很強的時間特性，它的價值和安全屬性都會隨著時間的推移發生變化，所以應該根據時間變化的頻度制定資產相關的評估和安全策略的頻度。例如：某公司重要的市場活動策劃方案（數據資產），在活動開始之前，為達成市場目標，需要對該數據資產進行機密性、完整性和可用性方面的保護。但是在該活動之后，策劃已經基本上都傳達給了大眾，所以資產價值已經大部分消失，相關的安全屬性也失去保護意義。1.信息資產分類參照ISO027001對信息資產的描述和定義，將信息相關資產分為：服務（Service）、數據（Data）、軟件（Software）、硬件（Hardware）、文檔（Document）、設備（Facility）、人員（HR）、其他（Other）1.1服務服務在信息資產中占有非常重要的地位，通常作為企業運行管理、商業業務實現等形式存在。屬于需要重點評估、保護的對象。通常服務類資產最為需要保護的安全屬性是可用性。但是，對于某些服務資產，完整性和機密性也可能成為重要的保護對象。例如：通常的門戶站點的新聞瀏覽、計算環境等的可用性最為重要。但是，完整性也同樣重要，門戶站點的主頁被修改，造成的損失也可能是災難性的。另外，對于重要的軟件下載服務，完整性也同樣重要。例如：著名安全軟件TCPWapper作者的站點被入侵，軟件被植入木馬程序后被廣泛下載使用，造成非常重大的影響和損失。服務分為NT操作系統、Unix操作系統、數據庫、Domino服務、通用服務、MIS、網絡服務、安全服務等。1.2數據數據在信息資產中占有非常重要的地位，通常作為企業知識產權、競爭優勢、商業秘密的載體。屬于需要重點評估、保護的對象。通常，數據類資產需要保護的安全屬性是機密性。例如：公司的財務信息和薪酬數據就是屬于高度機密性的數據。但是，完整性的重要性會隨著機密性的提高而提高。企業內部對于數據類資產的分類方法通常根據數據的敏感性（Sensitivity）來進行，與機密性非常類似。例如：常用的一種數據分類方法為：公開、內部、秘密、機密、絕密。1.3軟件軟件是現代企業中最為重要的固定資產之一，與硬件資產一起構成了企業的服務資產以及整個的IT信息環境。一般情況下，軟件資產與所在媒體的硬件的價值，也不依賴于媒體而存在，而是經常體現在軟件本身的許可證、序列號、軟件伴隨的服務等無形資產上面。按照軟件所處的層次和功能，可以將軟件資產分為系統、應用軟件、開發環境、數據庫、工具類。2.信息資產賦值信息資產分別具有不同的安全屬性，而機密性、完整性和可用性分別反映了資產在3個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護功能需求的不同，通過考察3種不同安全屬性，可以得出一個能夠基本反映資產價值的數值。對信息資產進行賦值的目的是為了更好地反映資產的價值，以便于進一步考察資產相關的弱點、威脅和風險屬性，并進行量化。2.1機密性（Confidentiality）根據資產機密性屬性的不同，將它分為5個不同的等級，分別對應資產在機密性方面的價值或者在機密性方面受到損失時對資產價值的影響，分別是很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且從高到低分別賦值4-0。2.2完整性（Integrity）根據資產完整性屬性的不同，將它分為5個不同的等級，分別對應資產在完整性方面的價值或者在完整性方面受到損失時對資產價值的影響，分別是很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且從高到低分別賦值4-0。2.3可用性（Availability）根據資產可用性屬性的不同，將它分為5個不同的等級，分別對應資產在可用性方面的價值或者在可用性方面受到損失時對資產價值的影響。分別很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且從高到低分別賦值4-0。2.4資產價值（AssetValue）資產價值用于反映某個資產作為一個整體的價值，綜合了機密性、完整性和可用性3個屬性。通常，考察實際經驗，3個安全屬性中最高的一個對最終的資產價值影響最大。換而言之，整體安全屬性的賦值并不隨著3個屬性值的增加而線性增加，較高的屬性值具有較大的權重。為此，用以下公式來計算資產價值賦值：上述算式表達的背后含義是：3個屬性值每相差一，則影響相差兩倍，以差異來體現最高賦值屬性的主導作用。需要聲明的是：該算式屬于經驗算式，使用與否、使用的方式都由評估者根據經驗來決定。六、弱點管理信息的管理根據資產使用，價值，弱點情況，周期性地更新資產弱點信息庫，是安全評估的一個重要目標，也是企業風險管理的一個基礎，因此，采用適當的技術手段，維護一個完整，準確，及時的弱點信息庫，是安全評估的一個重要工作內容。資產弱點信息庫應該包含（但不限于如下內容）：1）資產的自然屬性：①資產編號；②資產描述（CPU、內存、外存、網卡、操作系統、數據庫、應用軟件等）；③資產的價值；④資產管理責任人；⑤其他資產