導語：如何才能寫好一篇安全信息評估，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

【關鍵詞】信息系統(tǒng) 安全風險評估 定性 定量

隨著社會經濟快速發(fā)展，信息傳遞無論是速度還是容量均不斷創(chuàng)造新的高度。信息傳遞方式與人們的生活、工作、學習息息相關。信息產業(yè)發(fā)展蒸蒸日上，建立在信息技術基礎上的信息系統(tǒng)存在一定風險，易受到黑客攻擊，且信息系統(tǒng)充斥各種病毒，系統(tǒng)運行過程存在一定風險?；诖吮仨氉龊眯畔⑾到y(tǒng)安全建設，進行安全風險評估，奠定安全基礎。

1 風險評估概述

互聯(lián)網快速發(fā)展極大提高人們的生活、工作、學習效率，與此同時發(fā)來一系列安全隱患。人們通過互聯(lián)網可實現(xiàn)信息有效獲取，信息傳遞過程中仍舊可能出現(xiàn)信息被第三方截取情況，信息保密性、完整性、可靠性等均收到影響。網絡環(huán)境雖然方便信息處理方式，但也帶來一系列安全隱患。

從信息安全角度而言，風險評估就是對信息系統(tǒng)自身存在的的種種弱點進行分析，判斷可能存在的威脅、可能造成的影響等。綜合風險可能性，便于更好展開風險管理。風險評估是研究信息安全的重要途徑之一，屬于組織信息安全管理體系策劃過程。

風險評估主要內容包括：識別信息系統(tǒng)可能面對的各種風險、風險出現(xiàn)的概率、風險可能導致的后果、風險消除策略、風險控制策略等。信息系統(tǒng)構成極為復雜，因此信息系統(tǒng)安全風險評估是一項綜合性工作，其組織架構較為繁雜，主要包括技術體系、組織結構、法律體系、標準體系、業(yè)務體系等。

20世紀八十年代，以美國、加拿大為代表的發(fā)達國家已建立起風險評估體系。我國風險評估體系建立較晚，至今只有十幾年時間。目前我國安全風險評估已得到相關部門高度重視，為其快速發(fā)展奠定堅實基礎。

網絡環(huán)境雖然帶來無窮便利，卻也帶來各種安全隱患?；ヂ?lián)網環(huán)境下信息系統(tǒng)易被黑客攻擊。一切社會因素均與信息系統(tǒng)聯(lián)系在一起，人們生活在同一信息系統(tǒng)下總是希望自身隱私得到保護，因此在建設信息系統(tǒng)是必須做好信息安全風險評估，規(guī)避信息系統(tǒng)存在的各種風險，提高信息系統(tǒng)安全性，讓人們生活在安全信息環(huán)境中。

2 信息安全風險評估方法

網絡的出現(xiàn)對人們的生活和思維方式帶來極大變革，信息交流更加方便，資源共享程度無限擴大，但是網絡是一個較為開放的系統(tǒng)，對進入網絡系統(tǒng)的人并未有一定約束，因此必然導致安全隱患的出現(xiàn)。隨著信息系統(tǒng)建設不斷深入，信息系統(tǒng)必將對社會經濟、政治、文化、教育等造成巨大影響?；诖诵枰嵘畔⑾到y(tǒng)安全風險評估合理性，降低安全隱患，讓人們在安全的信息環(huán)境下生活和工作。

2.1 定性評估方法

定性評估是信息安全風險評估使用最頻繁的方法，此法基于評估者通過特有評估方法，總結經驗、歷史等無法量化 因素對系統(tǒng)風險進行綜合評估，從而得出評估結果。該中方法更注重安全風險可能導致的后果，忽略安全時間可能發(fā)生的概率。定性評估中有很多因素無法量化處理，因此其評估結果本身就存在一定不確定性，此種評估方法適用于各項數(shù)據(jù)收集不充分情況。

定性評估雖然在概率上無法保障，但可挖掘出一些較為深刻的思想，其結論主觀性較強，可預判斷一些主觀性結論?；诖诵枰u估人員具較高職業(yè)素養(yǎng)，不受限與數(shù)據(jù)及經驗的束縛。典型定性評估方法有邏輯評估法、歷史比較法、德爾菲法。

德爾菲法是定性評估中較為常見評估方法之一，經過多輪征詢，將專家的意見進行歸結，總結專家預測趨勢，從而做出評估，預測未來市場發(fā)展趨勢，得出預測結論。從本質上來說，德爾菲法是一種匿名預測函詢法，其流程為：征求專家匿名意見――對該項數(shù)據(jù)進行歸納整理――反饋意見給專家――收集專家意見――…――得出一致意見。德爾菲法是一種循環(huán)往復的預測方法可逐漸消除不確定因素，促進預測符合實際。

2.2 定量評估方法

定量評估與定性評估是相互對立的，此種方法需要建立在一切因素均標準化基礎上。定量評估首先需要收集相關數(shù)據(jù)，且需保證數(shù)據(jù)準確性，之后利用數(shù)學方法建立模型，驗證各種過程從而得出結論。定量評估需要準備充足資料，是一種利用公式進行結果推到的方法。從本質上來說定量評估客服定性評估存在的不足，更具備客觀性。定量評估可將復雜評估過程量化，但該種方法需要建立在準確數(shù)據(jù)基礎上。定量評估方法主觀性不足，其結論不夠深刻具體。定量評估方法中具有代表性的方法為故障樹評估法。

故障樹評估法采用邏輯思維進行風險評估，其特點是直觀明了，思路清晰。是一種演繹邏輯推理方法，其推理過程由果及因，即在推理中由結果推到原因，主要運用于風險預測階段，得出風險發(fā)生具體概率，并以此為基礎得出風險控制方法。

2.3 定性評估與定量評結合綜合評價方法

由前文可知定性評估和定量評估各自存在優(yōu)缺點。定性評估主觀性較強，客觀性不足。定量評估主觀性不足，客觀性較強。因此將二者結合起來便可起到互補不足的效果。定性評估需要耗費少量人力、物力、財力成本，建立在評估者資質基礎上。定量評估運用數(shù)學方法展開工作，預測結果較為準確，邏輯性較強，但成本較高。從本質上來看，定性為定量的依據(jù)，定量是對定性的具體化，因此只有將二者結合起來才能實現(xiàn)最佳評估效果。

3 信息安全風險評估過程

信息安全風險評估建立在一定評估標準基礎上，評估標準是評估活動開展的基礎和前提。信息安全風險評估過程需要評估技術、工具、方法等全面支持，在此基礎上展開全面風險評估，結合實際情況選擇合適評估方法。正確的評估方法可提高信息安全風險評估結果準確性，這就要求評估過程中需建立正確評估方法，克服評估過程存在的不足，從而取得最佳結果。

4 結束語

當今信息系統(tǒng)不斷發(fā)展完善，為保證信息系統(tǒng)運行環(huán)境的安全性必須對信息系統(tǒng)進行安全風險評估。信息安全風險評估具有多種方法，實際評估中應該結合實際情況選擇合適方法，提高信息安全風險評估結果準確性，為建立安全信息環(huán)境奠定堅實基礎。

參考文獻

[1]應力.信息安全風險評估標準與方法綜述[J].上海標準化，2014（05）：34-39.

[2]張玉清.信息安全風險評估綜述[J].通信學報，2015（02）：45-53.

[3]溫大順.信息安全風險評估綜述[J].網絡安全技術與應用，2013（01）：16-25.

篇2

我國的信息安全標準化制定工作比歐美國家起步晚。全國信息化標準制定委員會及其下屬的信息安全技術委員會開展了我國信息安全標準方面工作，完成了許多安全技術標準的制定，如GB／T18336、GB17859等。在信息系統(tǒng)的安全管理方面，我國目前在BS7799和ISO17799及CC標準基礎上完成了相關的標準修訂，我國信息安全標準體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產生的損失、危害不斷加劇，信息系統(tǒng)的安全問題越來越受到人們的普遍關注，如今國內高校已經加強關于信息安全管理方面的研究與實踐。

2高校信息安全風險評估模型

2.1信息安全風險評估流程

[2]在實施信息安全風險評估時，河南牧業(yè)經濟學院成立了信息安全風險評估小組，由主抓信息安全的副校長擔任組長，各個相關單位和部門的代表為成員，各自負責與本系部相關的風險評估事務。評估小組及相關人員在風險評估前接受培訓，熟悉運作的流程、理解信息安全管理基本知識，掌握風險評估的方法和技巧。學院的風險評估活動包括以下6方面：建立風險評估準則。建立評估小組，前期調研了解安全需求，確定適用的表格和調查問卷等，制定項目計劃，組織人員培訓，依據(jù)國家標準確定各項安全評估指標，建立風險評估準則。資產識別。學院一卡通管理系統(tǒng)、教務管理系統(tǒng)等關鍵信息資產的標識。威脅識別。識別網絡入侵、網絡病毒、人為錯誤等各種信息威脅，衡量威脅的可發(fā)性與來源。脆弱性識別。識別各類信息資產、各控制流程與管理中的弱點。風險識別。進行風險場景描述，依據(jù)國家標準劃分風險等級評價風險，編寫河南牧業(yè)經濟學院信息安全風險評估報告。風險控制。推薦、評估并確定控制目標和控制，編制風險處理計劃。學院信息安全風險評估流程圖如圖1所示：

2.2基于PDCA循環(huán)的信息安全風險評估模型

PDCA（策劃—實施—檢查—措施）經常被稱為“休哈特環(huán)”或者“戴明環(huán)”，是由休哈特（WalterShewhart）在19世紀30年代構想，隨后被戴明（EdwardsDeming）采納和宣傳。此概念的提出是為了有效控制管理過程和工作質量。隨著管理理念的深入，該循環(huán)在各類管理領域得到廣泛使用，取得良好效果。PDCA循環(huán)將一個過程定義為策劃、實施、檢查、措施四個階段，每個階段都有階段任務和目標，如圖2所示，四個階段為一個循環(huán)，一個持續(xù)的循環(huán)使過程的目標業(yè)績持續(xù)改進，如圖3所示。

3基于PDCA循環(huán)模型的信息安全風險評估的實現(xiàn)

[3-5]河南牧業(yè)經濟學院信息系統(tǒng)安全風險評估的研究經驗積累不足，本著邊實踐邊改進，逐步優(yōu)化的原則，學院決定采用基于PDCA循環(huán)的信息安全評估模型。信息安全風險評估模型為信息安全風險評估奠定了理論依據(jù)，是有效進行信息安全風險評估的前提。學院擁有3個校區(qū)，正在逐步推進數(shù)字化校園的建設。校園網一卡通、教務、資產、檔案等管理系統(tǒng)是學院網絡核心業(yè)務系統(tǒng)，同時各院系有自己的各類教學系統(tǒng)平臺，由于網絡環(huán)境的復雜性，經常會監(jiān)控到信息系統(tǒng)受到內外部的網絡攻擊，信息安全防范問題已經很突出。信息安全風險評估小組依據(jù)自行研發(fā)的管理系統(tǒng)對學院各類信息系統(tǒng)進行全面的風險評估（圖4），以便下一步對存在的風險進行有效的管理，根據(jù)信息系統(tǒng)安全風險評估報告，提出相應的系統(tǒng)安全方案建議，對全院信息系統(tǒng)當前突出的安全問題進行實際解決。

3.1建立信息安全管理體系環(huán)境風險評估（P策劃）

風險規(guī)劃是高校開展風險評估管理活動的首要步驟。學院分析內外環(huán)境及管理現(xiàn)狀，制定包括準確的目標定位、具體的應對實施計劃、合理的經費預算、科學的技術手段等風險評估管理規(guī)劃。風險規(guī)劃內容包括確定范圍和方針、定義風險評估的系統(tǒng)性方法、識別風險、評估風險、識別并評價風險處理的方法。信息安全評估風險評估管理工作獲得院領導批準，評估小組開始實施和運作信息安全管理體系。

3.2實施并運行信息安全管理體系（D實施）

該階段的任務是管理運作適當?shù)膬?yōu)先權，執(zhí)行選擇控制，以管理識別的信息安全風險。學院通過自行研發(fā)的信息安全風險管理工具，將常見的風險評估方法集成到軟件之中，包括有信息資產和應用系統(tǒng)識別、風險識別與評估、風險處置措施及監(jiān)測、風險匯總與報告生成等功能。通過使用信息安全風險管理工具，安全風險評估工作都得到了簡化，減輕人員的工作量，幫助信息安全管理人員完成復雜的風險評估工作，從而提高學院的信息安全管理水平。

3.3監(jiān)視并評審信息安全管理體系（C檢查）

檢查階段是尋求改進機會的階段，是PDCA循環(huán)的關鍵階段。信息安全管理體系分析運行效果，檢查到不合理、不充分的控制措施，采取不同的糾正措施。學院在系統(tǒng)實施過程中，規(guī)劃各院系的信息安全風險評估由本系專門人員上傳數(shù)據(jù)，但在具體項目實施中，發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰，嚴重影響學院整體信息系統(tǒng)安全評估的可靠性，為了強化人員責任意識，除了加強風險評估的培訓外，還制定相應的懲罰獎勵制度，實時進行監(jiān)督檢查，盡最大可能保證風險評估數(shù)據(jù)的準確性[6]。

3.4改進信息安全管理體系（A措施）

經過以上3個步驟之后，評估小組報告該階段所策劃的方案，確定該循環(huán)給管理體系是否帶來明顯的效果，是繼續(xù)執(zhí)行，還是升級改進、放棄重新進行新的策劃。學院在項目具體實施后，信息安全狀況有了明顯的改善，信息管理人員安全責任意識明顯提升，遭受到的內外網絡攻擊、網絡病毒等風險因素能及時發(fā)現(xiàn)處理。評估小組考慮將成果具體擴大到學院其他的部門或領域，開始了新一輪的PDCA循環(huán)持續(xù)改進信息安全風險評估。

4結語

篇3

[關鍵詞]信息系統(tǒng)；風險評估；基于知識的定性分析；風險管理

中圖分類號：F062.5 文獻標識碼：A 文章編號：1009-914X（2013）06-0100-02

隨著計算機信息系統(tǒng)在各軍工企業(yè)的科研、生產和管理的過程中發(fā)揮巨大作用，部分單位提出了軍工數(shù)字化設計、數(shù)字化制造、異地協(xié)同設計與制造等概念，并開展了ERP、MES2～PDM等系統(tǒng)的應用與研究。這些信息系統(tǒng)涉及大量的國家秘密和企業(yè)的商業(yè)秘密，是軍工企業(yè)最重要的工作環(huán)境。因此各單位在信息系統(tǒng)規(guī)劃與設計、工程施工、運行和維護、系統(tǒng)報廢的過程中如何有效的開展信息系統(tǒng)的風險評估是極為重要的。

一、風險評估在信息安全管理體系中的作用

信息安全風險評估是指依據(jù)國家風險評估有關管理要求和技術標準，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。風險評估是組織內開展基于風險管理的基礎，它貫穿信息系統(tǒng)的整個生命周期，是安全策略制定的依據(jù)，也是ISMS（Information Security Management System，信息安全管理體系）中的一部分。風險管理是一個建立在計劃（Plan）、實施（D0）、檢查（Check）、改進（Action）的過程中持續(xù)改進和完善的過程。風險評估是對信息系統(tǒng)進行分析，判斷其存在的脆弱性以及利用脆弱性可能發(fā)生的威脅，評價是否根據(jù)威脅采取了適當、有效的安全措施，鑒別存在的風險及風險發(fā)生的可能性和影響。

二、信息系統(tǒng)安全風險評估常用方法

風險評估過程中有多種方法，包括基于知識（Knowledge based）的分析方法、基于模型（Model based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，各種方法的目標都是找出組織信息資產面臨的風險及其影響，以及目前安全水平與組織安全需求之間的差距。

1、基于知識的分析方法

在基線風險評估時采用基于知識的分析方法來找出目前安全狀況和基線安全標準之間的差距?；谥R的分析涉及到對國家標準和要求的把握，另外評估信息的采集也極其重要，可采用一些輔的自動化工具，包括掃描工具和入侵檢測系統(tǒng)等，這些工具可以幫助組織擬訂符合特定標準要求的問卷，然后對解答結果進行綜合分析，在與特定標準比較之后給出最終的報告。

2、定量分析方法

定量分析方法是對構成風險的各個要素和潛在損失的水平賦予數(shù)值或貨幣金額，當度量風險的所有要素（資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦值，風險評估的整個過程和結果就都可以被量化。定量分析就是從數(shù)字上對安全風險進行分析評估的一種方法。定量分析兩個關鍵的指標是事件發(fā)生的可能性和威脅事件可能引起的損失。

3、定性分析方法

定性分析方法是目前采用較為廣泛的一種方法，它具有很強的主觀性，需要憑借分析者的經驗和直覺，或國家的標準和慣例，為風險管理諸要素的大小或高低程度定性分級。定性分析的操作方法可以多種多樣，包括討論、檢查列表、問卷、調查等。

4、幾種評估方法的比較

采用基于知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳慣例進行比較，從中找出不符合的地方，最終達到消減和控制風險的目的。

理論上定量分析能對安全風險進行準確的分級，但前提是可供參考的數(shù)據(jù)指標是準確的，事實上隨著信息系統(tǒng)日益復雜多變，定量分析所依據(jù)的數(shù)據(jù)的可靠性也很難保證，且數(shù)據(jù)統(tǒng)計缺乏長期性，計算過程又極易出錯，給分析帶來了很大困難，因此目前采用定量分析或者純定量分析方法的比較少。

定性分析操作起來相對容易，但也存在因操作者經驗和直覺的偏差而使分析結果失準。定性分析沒有定量分析那樣繁多的計算負擔，但卻要求分析者具備一定的經驗和能力。定量分析依賴大量的統(tǒng)計數(shù)據(jù)，而定性分析沒有這方面的要求，定量分析方法也不方便于后期系統(tǒng)改進與提高。

本文結合以上幾種分析方法的特點和不足，在確定評估對象的基礎上建立了一種基于知識的定性分析方法，并且本方法在風險評估結束后給系統(tǒng)的持續(xù)改進與提高提供了明確的方法和措施。

三、全生命周期的信息系統(tǒng)安全風險評估

由于信息系統(tǒng)生命周期的各階段的安全防范目的不同，同時不同信息系統(tǒng)所依據(jù)的國家標準和要求不一樣，使風險評估的目的和方法也不相同，因此每個階段進行的風險評估的作用也不同。

信息系統(tǒng)按照整個生命周期分為規(guī)劃與設計、工程實施、運行和維護、系統(tǒng)報廢這四個主要階段，每個階段進行相應的信息系統(tǒng)安全風險評估的內容、特征以及主要作用如下：

第一階段為規(guī)劃與設計階段，本階段提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求，如信息系統(tǒng)是否以及等級等。信息系統(tǒng)安全風險評估可以起到了解目前系統(tǒng)到底需要什么樣的安全防范措施，幫助制定有效的安全防范策略，確定安全防范的投入最佳成本，說服機構領導同意安全策略的完全實施等作用。在本階段標識的風險可以用來為信息系統(tǒng)的安全分析提供支持，這可能會影響到信息系統(tǒng)在開發(fā)過程中要對體系結構和設計方案進行權衡。

第二階段是工程實施階段，本階段的特征是信息系統(tǒng)的安全特征應該被配、激活、測試并得到驗證。風險評估可支持對系統(tǒng)實現(xiàn)效果的評價，考察其是否滿足要求，并考察系統(tǒng)運行的環(huán)境是否是預期設計，有關風險的一系列決策必須在系統(tǒng)運行之前做出。

第三階段是運行和維護階段，本階段的特征是信息系統(tǒng)開始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機構的運行規(guī)則、策略和流程等。當定期對系統(tǒng)進行重新評估時，或者信息系統(tǒng)在其運行性生產環(huán)境中做出重大變更時，要對其進行風險評估活動，了解各種安全設備實際的安全防范效果是否有滿足安全目標的要求；了解安全防范策略是否切合實際，是否被全面執(zhí)行；當信息系統(tǒng)因某種原因做出硬件或軟件調整后，分析原本的安全措施是否依然有效。

第四階段是系統(tǒng)報廢階段，可以使用信息系統(tǒng)安全風險評估來檢驗應當完全銷毀的數(shù)據(jù)或設備，確實已經不能被任何方式所恢復。當要報廢或者替換系統(tǒng)組件時，要對其進行風險評估，以確保硬件和軟件得到了適當?shù)膱髲U處置，且殘留信息也恰當?shù)剡M行了處理，并且要確保信息系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。對于是信息系統(tǒng)的報廢處理時，應按照國家相關保密要求進行處理和報廢。

四、基于評估對象，知識定性分析的風險評估方法

1、評估方法的總體描述

在信息系統(tǒng)的生命周期中存在四個不同階段的風險評估過程，其中運行和維護階段的信息系統(tǒng)風險評估是持續(xù)時間最長、評估次數(shù)最多的階段，在本階段進行安全風險評估，首先應確定評估的具體對象，也就是限制評估的具體物理和技術范圍。在信息系統(tǒng)當中，評估對象是與信息系統(tǒng)中的軟硬件組成部分相對應的。例如，信息系統(tǒng)中包括各種服務器、服務器上運行的操作系統(tǒng)及各種服務程序、各種網絡連接設備、各種安全防范設備和產品或應用程序、物理安全保障設備、以及維護管理和使用信息系統(tǒng)的人，這些都構成獨立的評估對象，在評估的過程中按照對象依次進行檢查、分析和評估。通常將整個計算機信息系統(tǒng)分為七個主要的評估對象：（1）信息安全風險評估；（2）業(yè)務流程安全風險評估；（3）網絡安全風險評估；（4）通信安全風險評估；（5）無線安全風險評估；（6）物理安全風險評估；（7）使用和管理人員的風險評估。

在對每個對象進行評估時，采用基于知識分析的方法，針對互聯(lián)網采用等級保護的標準進行合理分析，對于軍工企業(yè)存在大量的信息系統(tǒng)，采用依據(jù)國家相關保密標準進行基線分析，同時在分析的過程中結合定性分析的原則，按照“安全兩難定律”、“木桶原理”、“2/8法則”進行定性分析，同時在分析的過程中，設置一些“一票否決項”。對不同的評估對象，按照信息存儲的重要程度和數(shù)量將對象劃分為“高”、“中”、“低”三級，集中處理已知的和最有可能的威脅比花費精力處理未知的和不大可能的威脅更有用，保障系統(tǒng)在關鍵防護要求上得到落實，提高信息系統(tǒng)的魯棒性。

2、基于知識的定性分析

軍工企業(yè)大多數(shù)信息系統(tǒng)為信息系統(tǒng)，在信息系統(tǒng)基于知識分析時，重點從以下方面進行分析：物理隔離、邊界控制、身份鑒別、信息流向、違規(guī)接入、電磁泄漏、動態(tài)變更管理、重點人員的管理等。由于重要的信息大多在應用系統(tǒng)中存在，因此針對服務器和用戶終端的風險分析時采用2/8法則進行分析，著重保障服務器和應用系統(tǒng)的安全。在風險評估中以信息系統(tǒng)中的應用系統(tǒng)為關注焦點，分析組織內的縱深防御策略和持續(xù)改進的能力，判別技術和管理結合的程度和有效性并且風險評估的思想貫穿于應用的整個生命周期，對信息系統(tǒng)進行全面有效的系統(tǒng)評估。在評估過程中根據(jù)運行環(huán)境和使用人群，判別技術措施和管理措施互補性，及時調整技術和管理措施的合理性。在技術上無法實現(xiàn)的環(huán)節(jié)，應特別加強分析管理措施的制定和落實是否到位和存在隱患。

3、注重縱深防御和持續(xù)改進

篇4

關鍵詞：網絡系統(tǒng)；安全測試；安全評估

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)13-3019-04

1 網絡安全評估技術簡介

當前，隨著網絡技術和信息技術的發(fā)展與應用，人們對于網絡的安全性能越來越關注，網絡安全技術已從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認性，進而又發(fā)展為“攻、防、測、控、管、評”等多方面的基礎理論和實施技術。信息安全是一個綜合、交叉學科領域，它要綜合利用數(shù)學、物理、通信和計算機諸多學科的長期知識積累和最新發(fā)展成果，進行自主創(chuàng)新研究、加強頂層設計，提出系統(tǒng)的、完整的解決方案。

網絡信息系統(tǒng)安全評估的目的是為了讓決策者進行風險處置，即運用綜合的策略來解決風險。信息系統(tǒng)可根據(jù)安全評估結果來定義安全需求，最終采用適當?shù)陌踩刂撇呗詠砉芾戆踩L險。

安全評估的結果就是對信息保護系統(tǒng)的某種程度上的確信，開展網絡安全系統(tǒng)評估技術研究，可以對國防軍工制造業(yè)數(shù)字化網絡系統(tǒng)、國家電子政務信息系統(tǒng)、各類信息安全系統(tǒng)等的規(guī)劃、設計、建設、運行等各階段進行系統(tǒng)級的測試評估，找出網絡系統(tǒng)的薄弱環(huán)節(jié)，發(fā)現(xiàn)并修正系統(tǒng)存在的弱點和漏洞，保證網絡系統(tǒng)的安全性，提出安全解決方案。

2 網絡安全評估理論體系和標準規(guī)范

2.1 網絡安全評估所要進行的工作是：

通過對實際網絡的半實物仿真，進行測試和安全評估技術的研究，參考國際相關技術標準，建立網絡安全評估模型，歸納安全評估指標，研制可操作性強的信息系統(tǒng)安全評測準則，并形成網絡信息安全的評估標準體系。

2.2 當前在網絡技術上主要的、通用的、主流的信息安全評估標準規(guī)范

2.2.1 歐美等西方國家的通用安全標準準則

1) 美國可信計算機安全評價標準（TCSEC）

2) 歐洲網絡安全評價標準（ITSEC）

3) 國際網絡安全通用準則（CC）

2.2.2 我國制定的網絡系統(tǒng)安全評估標準準則

1) 《國家信息技術安全性評估的通用準則》GB/T 18336標準

2) 公安部《信息網絡安全等級管理辦法》

3) BMZ1-2000《信息系統(tǒng)分級保護技術要求》

4) 《GJB 2646-96軍用計算機安全評估準則》

5) 《計算機信息系統(tǒng)安全保護等級劃分準則》等

3 安全評估過程模型

目前比較通用的對網絡信息系統(tǒng)進行安全評估的流程主要包括信息系統(tǒng)的資產（需保護的目標）識別、威脅識別、脆弱性識別、安全措施分析、安全事件影響分析以及綜合風險判定等。

對測評流程基本邏輯模型的構想如圖1所示。

在這個測試評估模型中，主要包括6方面的內容：

1) 系統(tǒng)分析：對信息系統(tǒng)的安全需求進行分析；

2) 識別關鍵資產：根據(jù)系統(tǒng)分析的結果識別出系統(tǒng)的重要資產；

3) 識別威脅：識別出系統(tǒng)主要的安全威脅以及威脅的途徑和方式；

4) 識別脆弱性：識別出系統(tǒng)在技術上的缺陷、漏洞、薄弱環(huán)節(jié)等；

5) 分析影響：分析安全事件對系統(tǒng)可能造成的影響；

6) 風險評估：綜合關鍵資產、威脅因素、脆弱性及控制措施，綜合事件影響，評估系統(tǒng)面臨的風險。

4 網絡系統(tǒng)安全態(tài)勢評估

安全態(tài)勢評估是進行網絡系統(tǒng)級安全評估的重要環(huán)節(jié)，合理的安全態(tài)勢評估方法可以有效地評定威脅級別不同的安全事件。對系統(tǒng)安全進行評估通常與攻擊給網絡帶來的損失是相對應的，造成的損失越大，說明攻擊越嚴重、網絡安全狀況越差。通過攻擊的損失可以評估攻擊的嚴重程度，從而評估網絡安全狀況。

結合網絡資產安全價值進行評估的具體算法如下：

設SERG為待評估安全事件關聯(lián)圖：

定義

IF(threatTa){AddSERGTToHighigh ImpactSetAndReport}

其中，SERG表示安全事件關聯(lián)，SERGStatei表示攻擊者獲取的直接資源列表；ASV(a)表示對應資產a的資產安全價值；Ta表示可以接受的威脅閥值；HighImpactSet表示高風險事件集合。

常用的對一個網絡信息系統(tǒng)進行安全態(tài)勢評估的算法有如下幾種。

4.1 專家評估法（Delphi法）

專家法也稱專家征詢法（Delphi法），其基本步驟如下：

1) 選擇專家：這是很重要的一步，選的好與不好將直接影響到結果的準確性，一般情況下，應有網絡安全領域中既有實際工作經驗又有較深理論修養(yǎng)的專家10人以上參與評估，專家數(shù)目太少時則影響此方法的準確性；

2) 確定出與網絡系統(tǒng)安全相關的m個被評估指標，將這些指標以及統(tǒng)一的權數(shù)確定規(guī)則發(fā)給選定的各位專家，由他們各自獨立地給出自己所認為的對每一個指標的安全態(tài)勢評價（Xi）以及每一個評價指標在網絡系統(tǒng)整體安全態(tài)勢評估中所占有的比重權值（Wi）；

3) 回收專家們的評估結果并計算各安全態(tài)勢指標及指標權數(shù)的均值和標準差：

計算估計值和平均估計值的偏差

4) 將計算結果及補充材料返還給各位專家，要求所有的專家在新的基礎上重新確定各指標安全態(tài)勢及所占有的安全評價權重；

5) 重復上面兩步，直至各指標權數(shù)與其均值的離差不超過預先給定的標準為止，也就是各專家的意見基本趨于一致，以此時對該指標的安全評價作為系統(tǒng)最終安全評價，并以此時各指標權數(shù)的均值作為該指標的權數(shù)。

歸納起來，專家法評估的核心思想就是采用匿名的方式，收集和征詢該領域專家們的意見，將其答復作統(tǒng)計分析，再將分析結果反饋給領域專家，同時進一步就同一問題再次征詢專家意見，如此反復多輪，使專家們的意見逐漸集中到某個有限的范圍內，然后將此結果用中位數(shù)和四分位數(shù)來表示。對各個征詢意見做統(tǒng)計分析和綜合歸納時，如果發(fā)現(xiàn)專家的評價意見離散度太大，很難取得一致意見時，可以再進行幾輪征詢，然后再按照上述方法進行統(tǒng)計分析，直至取得較為一致的意見為止。該方法適用于各種評價指標之間相互獨立的場合，各指標對綜合評價值的貢獻彼此沒有什么影響。若評價指標之間不互相獨立，專家們比較分析的結果必然導致信息的重復，就難以得到符合客觀實際的綜合評價值。

4.2 基于“熵”的網絡系統(tǒng)安全態(tài)勢評估

網絡安全性能評價指標選取后，用一定的方法對其進行量化，即可得到對網絡系統(tǒng)的安全性度量，而可把網絡系統(tǒng)受攻擊前后的安全性差值作為攻擊效果的一個測度?？紤]到進行網絡攻擊效果評估時，我們關心的只是網絡系統(tǒng)遭受攻擊前后安全性能的變化，借鑒信息論中“熵”的概念，可以提出評價網絡性能的“網絡熵”理論?！熬W絡熵”是對網絡安全性能的一種描述，“網絡熵”值越小，表明該網絡系統(tǒng)的安全性越好。對于網絡系統(tǒng)的某一項性能指標來說，其熵值可以定義為：

Hi=-log2Vi

式中：Vi指網絡第i項指標的歸一化參數(shù)。

網絡信息系統(tǒng)受到攻擊后，其安全功能下降，系統(tǒng)穩(wěn)定性變差，這些變化必然在某些網絡性能指標上有所體現(xiàn)，相應的網絡熵值也應該有所變化。因此，可以用攻擊前后網絡熵值的變化量對攻擊效果進行描述。

網絡熵的計算應該綜合考慮影響網絡安全性能的各項指標，其值為各單項指標熵的加權和：

式中：n-影響網絡性能的指標個數(shù)；

?Ai-第i項指標的權重；

Hi第i項指標的網絡熵。

在如何設定各網絡單項指標的權重以逼真地反映其對整個網絡熵的貢獻時，設定的普遍通用的原則是根據(jù)網絡防護的目的和網絡服務的類型確定?Ai的值，在實際應用中，?Ai值可以通過對各項指標建立判斷矩陣，采用層次分析法逐層計算得出。一般而言，對網絡熵的設定時主要考慮以下三項指標的網絡熵：

1) 網絡吞吐量：單位時間內網絡結點之間成功傳送的無差錯的數(shù)據(jù)量；

2) 網絡響應時間：網絡服務請求和響應該請求之間的時間間隔；

3) 網絡延遲抖動：指平均延遲變化的時間量。

設網絡攻擊發(fā)生前，系統(tǒng)各指標的網絡熵為H攻擊發(fā)生后，系統(tǒng)各指標的網絡熵為 ,則網絡攻擊的效果可以表示為：

EH=H'-H

則有：

利用上式，僅需測得攻擊前后網絡的各項性能指標參數(shù)（Vi,Vi'），并設定好各指標的權重（?Ai），即可計算出網絡系統(tǒng)性能的損失，評估網絡系統(tǒng)受攻擊后的結果。EH是對網絡攻擊效果的定量描述，其值越大，表明網絡遭受攻擊后安全性能下降的越厲害，也就是說網絡安全性能越差。

國際標準中較為通用的根據(jù)EH值對網絡安全性能進行評估的參考標準值如表1所示。

4.3模糊綜合評判法

模糊綜合評判法也是常用的一種對網絡系統(tǒng)的安全態(tài)勢進行綜合評判的方法，它是根據(jù)模糊數(shù)學的基本理論，先選定被評估網絡系統(tǒng)的各評估指標域，而后利用模糊關系合成原理，通過構造等級模糊子集把反映被評事物的模糊指標進行量化（即確定隸屬度），然后利用模糊變換原理對各指標進行綜合。

模糊綜合評判法一般按以下程序進行：

1) 確定評價對象的因素論域U

U={u1,u2,…,un}

也就是首先確定被評估網絡系統(tǒng)的n個網絡安全領域的評價指標。

這一步主要是確定評價指標體系，解決從哪些方面和用哪些因素來評價客觀對象的問題。

2) 確定評語等級論域V

V={v1,v2,…,vm}

也就是對確定的各個評價指標的等級評定程度，即等級集合，每一個等級可對應一個模糊子集。正是由于這一論域的確定，才使得模糊綜合評價得到一個模糊評判向量，被評價對象對評語等級隸屬度的信息通過這個模糊向量表示出來，體現(xiàn)出評判的模糊性。

從技術處理的角度來看，評語等級數(shù)m通常取3≤m≤7，若m過大會超過人的語義能力，不易判斷對象的等級歸屬；若m過小又可能不符合模糊綜合評判的質量要求，故其取值以適中為宜。 取奇數(shù)的情況較多，因為這樣可以有一個中間等級，便于判斷被評事物的等級歸屬，具體等級可以依據(jù)評價內容用適當?shù)恼Z言描述，比如評價數(shù)據(jù)管理制度，可取V={號，較好，一般，較差，差}；評價防黑客入侵設施，可取V={強，中，弱}等。

3) 進行單因素評價，建立模糊關系矩陣R

在構造了等級模糊子集后，就要逐個對各被評價指標ui確定其對各等級模糊子集vi的隸屬程度。這樣，可得到一個ui與vi間的模糊關系數(shù)據(jù)矩陣：

R=|r21r22…r2m|

式中：

rij表示U中因素ui對應V中等級vi的隸屬關系，即因素ui隸屬于vi的等級程度。

4) 確定評判因素的模糊權向量集

一般說來，所確定的網絡安全的n個評價指標對于網絡整體的安全態(tài)勢評估作用是不同的，各方面因素的表現(xiàn)在整體中所占的比重是不同的。

因此，定義了一個所謂模糊權向量集A的概念，該要素權向量集就是反映被評價指標的各因素相對于整體評價指標的重要程度。權向量的確定與其他評估方法相同，可采用層次分析等方法獲得。權向量集A可表示為：

A=(a1,a2,…,an)

并滿足如下關系：

5) 將A與R合成，得到被評估網絡系統(tǒng)的模糊綜合評判向量B

B=A?R

B=A?R= (a1,a2,…,an) |r21r22…r2m|

式中：

rij表示的是模糊關系數(shù)據(jù)矩陣R經過與模糊權向量集A矩陣運算后，得到的修正關系向量。

這樣做的意義在于使用模糊權向量集A矩陣來對關系隸屬矩陣R進行修正，使得到的綜合評判向量更為客觀準確。

6) 對模糊綜合評判結果B的歸一化處理

根據(jù)上一步的計算，得到了對網絡各安全評價指標的評判結果向量集B=(b1,b2,…,bn)

由于對每個評價指標的評判結果都是一個模糊向量，不便于各評價指標間的排序評優(yōu)，因而還需要進一步的分析處理。

對模糊綜合評判結果向量 進行歸一化處理：

bj'=bj/n

從而得到各安全評價指標的歸一化向量，從而對各歸一化向量進行相應。

5 結束語

本論文首先介紹了網絡安全評估技術的基本知識，然后對安全評估模型進行了分析計算，闡述了網絡安全技術措施的有效性；最后對網絡安全態(tài)勢的評估給出了具體的算法和公式。通過本文的技術研究，基本上對網絡信息系統(tǒng)的安全評估技術有了初步的了解，下一步還將對安全評估的風險、安全評估中相關聯(lián)的各項因素進行研究。

參考文獻：

[1] 逮昭義.計算機通信網信息量理論[M].北京:電子工業(yè)出版社,1997:57-58.

[2] 張義榮.計算機網絡攻擊效果評估技術研究[J].國防科技大學學報,2002(5).

篇5

 

1 信息安全風險評估基本理論

 

1.1 信息安全風險

 

信息安全風險具有客觀性、多樣性、損失性、可變性、不確定性和可測性等多個特點?？陀^性是因為信息安全風險在信息系統(tǒng)中普遍存在;多樣性是指信息系統(tǒng)安全涉及多個方面;損失性是指任何一種信息安全風險，都會對信息系統(tǒng)造成或大或小的損失;可變性是指信息安全風險在系統(tǒng)生命周期的各個階段動態(tài)變化;不確定性是一個安全事件可以有多種風險;可測試性是預測和計算信息安全風險的方法。

 

1.2 信息安全風險評估

 

信息安全風險評估，采用科學的方法和技術和脆弱性分析信息系統(tǒng)面臨的威脅，利用系統(tǒng)，評估安全事件可能會造成的影響，提出了防御威脅和保護策略，從而防止和解決信息安全風險，或控制在可接受范圍內的風險，最大限度地保護系統(tǒng)的信息安全。通過評價過程對信息系統(tǒng)的脆弱性進行評價，面臨威脅和漏洞威脅利用的負面影響，并根據(jù)信息安全事件的可能性和嚴重程度，確定信息系統(tǒng)的安全風險。

 

2 信息安全風險評估原理

 

2.1 風險評估要素及其關系

 

一般說來，信息安全風險評估要素有五個，除以上介紹的安全風險外，還有資產、威脅、脆弱性、安全措施等。信息安全風評估工作都是圍繞這些基本評估要素展開的。

 

2.1.1 資產

 

資產是在系統(tǒng)中有價值的信息或資源，是安全措施的對象。資產價值是資產的財產，也是資產識別的主要內容。它是資產的重要程度或敏感性。

 

2.1.2 威脅

 

威脅是導致不期望事件發(fā)生的潛在起因，這些不期望事件可能危害系統(tǒng)。

 

2.1.3 脆弱性

 

脆弱性是資產存在的弱點，利用這些弱點威脅資產的使用。

 

2.1.4 安全措施

 

安全措施是系統(tǒng)實施的各種保護機制，這種機制能有效地保護資產、減少脆弱性、抵御威脅、減少安全事件的發(fā)生或降低影響。風險評估圍繞上述基本要素。各要素之間存在著這樣的關系：

 

(1)資產是風險評估的對象，資產價值是由資產價值計量的，資產價值越高，證券需求越高，風險越小。

 

(2)漏洞可能會暴露資產的價值，使其被破壞，資產的脆弱性越大，風險越大;

 

(3)威脅引發(fā)風險事件的發(fā)生，威脅越多風險越大;

 

(4)威脅利用脆弱性來危害資產;

 

(5)安全措施可以防御威脅，減小安全風險，從而保護資產。

 

2.2 風險分析模型及算法

 

在信息安全風險評估標準中，風險分析涉及資產的三個基本要素，威脅和脆弱性。每個元素都有它自己的屬性，并由它的屬性決定。資產的屬性是資產的價值，而財產的威脅可以是主體、客體、頻率、動機等。財產的脆弱性是資產脆弱性的嚴重性。在風險分析模型中，資產的價值、威脅的可能性、脆弱性的嚴重程度、安全事件的可能性和安全事件造成的損失，兩者是整合的，它是風險的價值。

 

風險分析的主要內容為：

 

(1)識別資產并分配資產;

 

(2)確定威脅，并分配潛在的威脅;

 

(3)確定漏洞，并分配資產的脆弱性的嚴重程度;

 

(4)判斷安全事件的可能性。根據(jù)漏洞的威脅和使用的漏洞來計算安全事件的可能性。

 

安全事件發(fā)生可能性=L(威脅可能性，脆弱性)=L(T，V)

 

(5)計算安全事件損失。根據(jù)脆弱性嚴重程度和資產價值計算安全事件的損失。

 

安全事件造成的損失=F(資產價值，脆弱性嚴重程度)=F(Ia，Va);

 

(6)確定風險值。根據(jù)安全事件發(fā)生可能性和安全事件造成的損失，計算安全事件發(fā)生對組織的影響。

 

風險值=R(A，T，V)=R(F(Ia，Va)，L(T，V))

 

其中，A是資產;T是威脅可能性;V是脆弱性;Ia是資產價值;Va是脆弱性的嚴重程度;L是威脅利用脆弱性發(fā)生安全事件的可能性;F是安全事件造成的損失，R是風險計算函數(shù)。

 

3 信息風險分析方法探析

 

作為保障信息安全的重要措施，信息安全系統(tǒng)是信息安全的重要組成部分，而信息安全風險評估的算法分析方法，風險評估作為風險分析的重要手段，早已被提出并做了大量的研究工作和一些算法已成為正式信息安全標準的一部分。從定性定量的角度可以將風險分析方法分為三類，也就是定性方法、定量方法和定性定量相結合。

 

3.1 定性的風險分析方法

 

定性的方法是憑借分析師的經驗和知識的國際和國內的標準或做法，風險管理因素的大小或程度的定性分類，以確定風險概率和風險的后果。定性的方法的優(yōu)點是，信息系統(tǒng)是不容易得到的具體數(shù)據(jù)的相對值計算，沒有太多的計算負擔。它有一定的缺陷，是很主觀的，要求分析有一定的經驗和能力。比較著名的定性分析方法有歷史比較法、因素分析方法、邏輯分析法、Delphi法等，這些方法的成敗與執(zhí)行者的經驗有很大的關系。

 

3.2 定量的風險分析方法

 

定量方法是用數(shù)字來描述風險，通過數(shù)學和統(tǒng)計的援助，對一些指標進行處理和處理，來量化安全風險的結果。定量方法的優(yōu)點是評價結果直觀，使用數(shù)據(jù)表示，使分析結果更加客觀、科學、嚴謹、更有說服力。缺點是，計算過程復雜，數(shù)據(jù)詳細，可靠的數(shù)據(jù)難以獲得。正式且嚴格的評估方法的數(shù)據(jù)一般是估計而來的，風險分析達到完全的量化也不太可能。與著名的定時模型定量分析方法、聚類分析法、因子分析法、回歸模型、決策樹等方法相比較，這些方法都是具有數(shù)學或統(tǒng)計工具的風險模型。

 

3.3 定性定量相結合的風險分析方法

 

是因為有優(yōu)點和缺點的定量和定量的方法，只使用定性的方法，太主觀，但只有使用定量方法，數(shù)據(jù)是難以獲得的，所以目前常用的是定性和定量的風險分析方法相結合。這樣，既能克服定性方法主觀性太強的缺點，又能解決數(shù)據(jù)不好獲取的困難。典型的定性定量相結合的風險評估工具有@Risk、CORA等。

篇6

【 關鍵詞 】 信息安全；等級保護；風險評估

Information Security Hierarchy Protection and Risk Assessment

Dai Lian-fen

（China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725）

【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.

【 Keywords 】 information security;hierarchy protection;risk assessment

1 風險評估是等級保護建設工作的基礎

等級保護測評中的差距分析是按照等保的所有要求進行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度。風險評估作為信息安全工作的一種重要技術手段，其目標是深入、詳細地檢查信息系統(tǒng)的安全風險狀況，比差距分析結果在技術上更加深入。為此，等級保護與風險評估之間存在互為依托、互為補充的關系，等級保護是國家一項信息安全政策，而風險評估則是貫徹這項制度的方法和手段，在實施信息安全等級保護周期和層次中發(fā)揮著重要作用。

風險評估貫穿等級保護工作的整個流程，只是在不同階段評估的內容和結果不一樣?！缎畔⑾到y(tǒng)安全等級保護實施指南》將等級保護基本流程分為三個階段：定級，規(guī)劃與設計，實施、等級評估與改進。在第一階段中，風險評估的對象內容是資產評估，并在此基礎上進行定級。在第二階段中，主要是對信息系統(tǒng)可能面臨的威脅和潛在的脆弱性進行評估，根據(jù)評估結果，綜合平衡安全風險和成本，以及各系統(tǒng)特定安全需求，選擇和調整安全措施，確定出關鍵業(yè)務系統(tǒng)、子系統(tǒng)和各類保護對象的安全措施。在第三個階段中，則涉及評估系統(tǒng)是否滿足相應的安全等級保護要求、評估系統(tǒng)的安全狀況等，同時根據(jù)結果進行相應的改進。

等級保護所要完成的工作本質就是根據(jù)信息系統(tǒng)的特點和風險狀況,對信息系統(tǒng)安全需求進行分級, 實施不同級別的保護措施。實施等級保護的一個重要前提就是了解系統(tǒng)的風險狀況和安全等級, 所以風險評估是等級保護的重要基礎與依據(jù)。

2 等級保護建設過程中如何有效地結合風險評估

2.1 以風險評估中資產安全屬性的重要度來劃分信息系統(tǒng)等級

在公安部等四部局聯(lián)合下發(fā)了《信息安全等級保護的實施意見》公通字2004第66號文中，根據(jù)信息和信息系統(tǒng)的重要程度，將信息和信息系統(tǒng)劃分為了五個等級自主保護級、指導保護級、監(jiān)督保護級、強制保護級和?？乇Ｗo級。實際上對信息系統(tǒng)的定級過程，也就是對信息資產的識別及賦值的過程。在國家的《信息系統(tǒng)安全等級保護定級指南》中，提出了對信息系統(tǒng)的定級依據(jù)，而這些依據(jù)基本的思想是根據(jù)信息資產的機密性、完整性和可用性重要程度來確定信息系統(tǒng)的安全等級，這正是風險評估中對信息資產進行識別并賦值的過程：對信息資產的機密性進行識別并賦值；對信息資產的完整性進行識別并賦值；對信息資產的可用性進行識別并賦值。從某種意義上來說，信息系統(tǒng)(不是信息)的安全等級劃分，實際上也是對殘余風險的接受和認可。

2.2 以風險評估中威脅程度來確定安全等級的要求

在等級保護中，對系統(tǒng)定級完成后，應按照信息系統(tǒng)的相應等級提出安全要求，安全要求實際上體現(xiàn)在信息系統(tǒng)在對抗威脅的能力與系統(tǒng)在被破壞后，恢復的速度與恢復的程度方面。而這些在風險評估中，則是對威脅的識別與賦值活動；脆弱性識別與賦值活動；安全措施的識別與確認活動。對于一個安全事件來說，是威脅利用了脆弱性所導致的，在沒有威脅的情況下，信息系統(tǒng)的脆弱性不會自己導致安全事件的發(fā)生。所以對威脅的分析與識別是等級保護安全要求的基本前提，不同安全等級的信息系統(tǒng)應該能夠對抗不同強度和時間長度的安全威脅。

2.3 以風險評估的結果作為等級保護建設的安全設計的依據(jù)

在確定信息系統(tǒng)的安全等級和進行風險評估后，應該根據(jù)安全等級的要求和風險評估的結果進行安全方案設計，而在安全方案設計中，首要的依據(jù)是風險評估的結果，特別是對威脅的識別，在一些不存在的威脅的情況下，對相應的脆弱性應該不予考慮，只作為殘余風險來監(jiān)控。對于兩個等級相同的信息系統(tǒng)，由于所承載業(yè)務的不同，其信息的安全屬性也可能不同，對于需要機密性保護的信息系統(tǒng)，和對于一個需要完整性保護的信息系統(tǒng)，保護的策略必須是不同，雖然它們可能有相同的安全等級，但是保護的方法則不應該是一樣的。所以，安全設計首先應該以風險評估的結果作為依據(jù)，而將設計的結果與安全等級保護的要求相比較，對于需要保護的必須符合安全等級要求，而對于不需要保護的則可以暫不考慮安全等級的要求，而對于一些必須高于安全等級要求的，則必須依據(jù)風險評估的結果，進行相應高標準的設計。

3 結束語

風險評估為等級保護工作的開展提供基礎數(shù)據(jù)，是等級保護定級、建設的實際出發(fā)點，通過安全風險評估，可以發(fā)現(xiàn)信息系統(tǒng)可能存在的安全風險，判斷信息系統(tǒng)的安全狀況與安全等級保護要求之間的差距，從而不斷完善等級保護措施。文章對等級保護工作中如何結合信息安全風險評估進行了有益的探索，為有效地支撐計算機信息系統(tǒng)等級保護建設的順利進行提供了參考。

參考文獻

[1] 吳賢.信息安全等級保護和風險評估的關系研究.信息網絡安全，2007.

[2] 馮登國,張陽,張玉清.信息安全風險評估綜述.通信學報，2004.

篇7

【關鍵詞】智慧城市；安全風險；風險識別；風險評估

1.引言

自IBM于2009提出“智慧地球”理念以來，國內外已經有眾多城市以網絡為基礎，打造數(shù)字化、泛在互聯(lián)的新型智慧型城市。在智慧城市的建設和研究過程中，將新興的物聯(lián)網、云計算、超級計算，以及基礎通信網絡、軟件服務化、數(shù)據(jù)共享、整合、挖掘與分析等技術全面應用。同時也對信息安全帶來了全角度的沖擊。

建設智慧城市必將面臨各種風險，本文主要研究和討論智慧城市工程信息系統(tǒng)的風險和評估方法。并且為建設智慧城市信息安全提供設計思路。

目前信息安全風險評估的方法主要有層次分析法[1]、神經網絡方法[2]和模糊理論[3]等；信息安全要求是通過對安全風險的系統(tǒng)評估予以識別的[4]。風險評估是依據(jù)有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。

2.建設智慧城市面臨的信息安全風險

2.1 智慧城市信息系統(tǒng)的基本結構

智慧城市主要由三部分組成，底層為基礎設施平臺，主要包括互聯(lián)網絡和感知網絡；數(shù)據(jù)共享平臺主要包括基礎信息資源庫，例如人口信息、地理信息等；應用服務平臺是面向公眾、企業(yè)及政府的綜合服務門戶平臺。

2.2 智慧城市面臨的信息安全風險

信息安全風險是認為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響[5]。如表1所示，智慧城市面臨的信息安全風險主要有物理破壞、人為破壞、設備故障、內部與外部攻擊、數(shù)據(jù)誤用、數(shù)據(jù)丟失以及應用程序錯誤等風險。智慧城市服務面廣、影響廣泛，面對大眾，其持續(xù)服務能力和流暢服務能力直接關系到智慧城市建設的成敗。而這兩個服務能力又取決于管理者和建設者對以上風險的認知和處理程度。

3.信息安全風險識別

信息安全風險識別的基本依據(jù)就是客觀世界的因果關聯(lián)性和可認識性[5]。在建設智慧城市的過程中，信息系統(tǒng)必將面臨各種安全風險。明確識別風險，評估風險，并合理的管理風險，是參與智慧城市項目建設中每個人的責任和義務。

風險識別主要有兩種方法，一種是從主觀信息源出發(fā)的識別方法。主要利用頭腦風暴法，德爾菲方法（Delphi method）和情景分析法（Scenarios analysis）。前兩種方法在我國使用的較多，情景分析法是一種定性預測方法，對預測對象可能出現(xiàn)的情況或引起的后果做出預測的方法，操作過程復雜，目前在我國的具體應用較少。另外一種風險識別的方法是從客觀信息源出發(fā)的識別方法。主要利用核對表法、流程圖法、數(shù)據(jù)或結果實驗法、工作結構分解分析法和財務報表法等。

信息安全風險管理是識別并評估風險、將風險降低至可接受級別、執(zhí)行適當機制來維護這種級別的過程。沒有絕對安全的環(huán)境，每種環(huán)境都會存在某種程度的脆弱性，都會面臨一定的威脅。問題的關鍵在于識別威脅，估計它們實際發(fā)生的可能性以及可能造成的破壞，并采取恰當?shù)拇胧⑾到y(tǒng)環(huán)境的總體風險降低至組織機構認為可以接受的級別。

4.終端面臨安全風險

用戶訪問智慧城市信息數(shù)據(jù)的終端雖然不屬于智能城市建設的范疇，但面對大量的用戶終端，智慧城市工程相關管理和技術人員必須要考慮智慧城市系統(tǒng)對用戶終端的影響。

根據(jù)CATR 2013年3月4日的研究數(shù)據(jù)顯示，預計2013年中國3G用戶將增長1.5-1.8億戶，用戶規(guī)模突破3億戶。也就是說會有很大量用戶通過3G智能終端獲取信息。智慧城市的信息數(shù)據(jù)，也將通過3G移動互聯(lián)網送至用戶的智能手機上。會存在黑客利用智慧城市信息服務平臺攻擊用戶智能終端的情況。

另外一部分用戶將使用個人計算機機通過互聯(lián)網訪問智慧城市信息數(shù)據(jù)。同樣黑客也有機會利用智慧城市信息服務平臺攻擊用戶的個人計算機。

最后，由于智能電視、網絡機頂盒的出現(xiàn)，還將會有部分用戶通過電視機訪問智慧城市的信息數(shù)據(jù)，黑客也有攻擊智能電視機網絡機頂盒等電視機接入設備。

智慧城市工程的建設，要應對網絡犯罪和黑客攻擊，維護移動互聯(lián)網安全，需要將移動網絡、后臺服務以及個體終端結合起來，從全局角度提出一個完整的綜合性解決方案，這就對普通用戶、移動運營商、網絡安全供應商、手機制造商、第三方軟件開發(fā)商以及網絡信息提供商都提出了更高的要求。同時，還需要政府監(jiān)管部門完善響應的監(jiān)管體系，加強相關法律法規(guī)的建設。

5.信息安全風險評估

信息安全風險評估是依據(jù)有關信息安全技術與管理標準，對信息系統(tǒng)及其由處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發(fā)生對組織造成的影響，并提出有針對性的抵御威脅的防護對策和整改措施。進行信息安全風險評估，就是要防范和化解信息安全風險，或者將風險控制在可接受的水平，從而為最大限度的保障網絡和信息安全提供科學依據(jù)。[6]

通過風險評估后，就可以針對信息系統(tǒng)中的高危風險進行風險管理。風險評估目前主要有定量風險分析方法和定性風險分析方法。國內外研究人員又在此基礎上提出了層次分析法（AHP），故障樹分析法和基于模糊數(shù)學的分析方法。另外就是基于科研機構頒布的標準或指南的信息安全風險評估方法，比較傳統(tǒng)的方法有BS7799標準、CC標準、ISO13335信息和通信技術安全管理指南和NIST相關標準等。這些標準或指南對信息安全風險評估具有很好的指導作用，且大多數(shù)是基于定性的風險評估，對評估者的能力要求高，評估具有很大的主觀性。

對于智慧城市工程的信息系統(tǒng)，可以采用多種不同的方法對信息系統(tǒng)進行綜合風險評估，將不同風險評估方法得出的結果系統(tǒng)分析，實施全方位、多角度的風險管理。只有通過對信息系統(tǒng)的安全風險評估才能對智慧城市工程存在的風險進行合理、科學和有效的管理。

6.結束語

在建設智慧城市工程的過程中，信息安全風險評估以及風險管理勢在必行。在規(guī)劃設計階段根據(jù)實際投資和項目情況，以國家相關標準為基礎進行規(guī)劃設計，并參照《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）對信息系統(tǒng)進行安全保護。正確識別和評估安全風險要始終貫穿到工程項目建設的每一個環(huán)節(jié)中。在項目建設初期從多角度、全方位識別風險，不留風險盲區(qū)；在項目建設過程中，通過風險評估的結論，將風險降低到可以接受的程度；在后期的使用維護過程中，始終使用PDCA方法，不斷的去識別、評估和降低安全風險。動態(tài)將風險識別和風險評估方法貫徹到智慧城市工程的每一個階段，確保實現(xiàn)安全可靠的智慧型政府、智慧型民生和智慧型產業(yè)。

參考文獻

[1]王奕，費洪曉，蔣蘋.FAHP方法在信息安全風險評估中的研究[J].計算機工程與科學，2006，28（9）：4-6.

[2]趙冬梅，劉海峰，劉晨光.基于BP神經網絡的信息安全風險評估[J].計算機工程與應用，2007，43（1）：139-141.

[3]陳光，匡光華.信息安全風險評估的模糊多準則決策方法[J].信息安全域通信保密，2006，7：23-25.

[4]信息安全管理實施指南（ISO17799：2005C）.

[5]信息安全風險評估規(guī)范（GB/T20984-2007）.

篇8

【關鍵詞】 政務信息安全 信息安全評估 指標體系

1 引言

近年來，我國電子政務網絡體系和信息系統(tǒng)建設加快推進，建設了大量的政務門戶網站、電子公文系統(tǒng)等。隨之而來的是政務安全威脅也與日俱增。根據(jù)統(tǒng)計，政府網站和信息系統(tǒng)依然是黑客攻擊的主要目標之一。大量政府網站被掛馬和惡意篡改，重要數(shù)據(jù)庫信息被竊取，這些都嚴重影響到了政府部門的信息安全和自身公信力。

在政府單位信息安全日常檢查工作中，由于缺乏系統(tǒng)、全面、統(tǒng)一的信息安全評估機制和評估標準，導致評估結果可量化程度低，無法直觀反映評估結果和存在問題，一定程度上削弱了信息安全檢查結果對整改工作的指導價值。因此，探索建立適用于政府單位的一整套信息安全評估指標體系，變信息安全“一事一議”為長效機制，對于增強政務信息安全防護水平，帶動信息安全產業(yè)發(fā)展具有重要意義。

2 政務信息安全評估

信息安全評估就是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及存在的漏洞，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。信息安全評估的重要意義在于，通過對政府部門關心的重要信息資產的評估分級，推斷出用戶關心的重要資產當前的安全風險，并根據(jù)風險的嚴重級別制定后期處理計劃，從而建立一套完整的、健壯的安全風險防御體系，為進一步制定安全風險投資預算計劃、安全風險投資回報分析、人員組織計劃和建立安全體系、制定安全政策、引入安全控制措施而提供基礎數(shù)據(jù)，輔助最高管理層對政務信息安全管理的計劃與實踐做出正確決策。

目前，在信息安全領域較為通用的信息安全評估技術標準包括《信息技術安全評價通用準則》（ISO/IEC 15408 CC標準）、《國際信息安全管理標準體系》（BS 7799標準）、《信息技術 安全技術 信息安全管理體系 要求》（GB/T 22080-2008 ISO/IEC 27001：2005）、《信息技術 安全技術 信息安全管理 實用規(guī)則》（GB/T 22081-2008 ISO/IEC 27002：2005）、《系統(tǒng)安全工程能力成熟度模型》（SSE-CMM）等。

3 政務信息安全評估指標體系

本文結合上述各項信息安全評估技術標準，考慮政務信息安全各項技術要求，結合政務信息系統(tǒng)建設的成本、效益等操作層面問題，給出了一套包含以下七大類一級指標的政務信息安全評估三級指標體系。

（1）“信息安全保障機構”：為確保信息安全日常工作，政府部門應成立信息安全領導機構小組，建立相關制度，明確信息安全主管領導和信息安全專業(yè)，按照“誰主管、誰負責”的原則，全面落實工作責任制。

（2）“日常信息安全管理”：應根據(jù)組織的信息安全方針，規(guī)定崗位信息安全責職責并形成文件，對重要崗位應制定重要崗位安全保密責任書，對信息崗位，員工離崗離職時應按照單位規(guī)定，對人員使用的計算機、存儲設備、訪問密碼等進行管理。外部人員訪問時，應確保在外部人員訪問受控區(qū)域前得到授權或審批。對重大的安全責任事件有相應的問責機制。

（3）“系統(tǒng)信息安全管理”：對于政府部門信息安全等級保護，應按照等保的要求進行評測、定級、備案與安全整改。在系統(tǒng)運行維護方面，應明確制定每個系統(tǒng)的運維內容、運維方式、運維職責，對系統(tǒng)的用戶權限和管理員權限進行管理。對于系統(tǒng)功能流程的變更需要建立變更審批制度，并進行變更記錄。系統(tǒng)應具備日志和備份功能，對系統(tǒng)的日常操作進行安全審計。

（4）“信息安全技術防護”：信息安全技術防護是信息安全保障工作的重要內容，針對目前政府部門整體信息化建設和應用系統(tǒng)使用情況，應該注重的技術防護方面包括：網絡安全、終端與介質防護、數(shù)據(jù)安全、應用安全、門戶網站防護、郵件系統(tǒng)防護、機房環(huán)境安全等。

（5）“信息安全應急響應”：系統(tǒng)運維應急方案是對中斷或嚴重影響業(yè)務的故障，如宕機、數(shù)據(jù)丟失、業(yè)務中斷等，進行快速響應和處理，在最短時間內恢復業(yè)務系統(tǒng)，將損失降到最低。政府部門應針對各類突發(fā)事件，如硬件損壞、操作失誤、配置丟失、數(shù)據(jù)丟失等設計相應的預防與解決措施，同時提供完整的應急預案處理流程，定期進行預案演練。

（6）“信息安全教育培訓”：對各級安全負責人員、系統(tǒng)使用人員應定期進行安全教育培訓，提升信息安全意識，提高信息安全管理水平。對于專業(yè)信息安全人員開展定期考核測評

（7）“信息安全檢測評測”：通過信息自查、抽查等方式開展政府部門的信息安全檢查工作，各單位應配合檢查工作建立檢查小組，對檢查實施過程進行監(jiān)督指導。對關鍵網絡環(huán)境、硬件服務器、計算機終端、應用系統(tǒng)等開展技術性檢測。詳細記錄檢查結果，對安全問題環(huán)節(jié)進行通報、上報、整改，并追究相關人員責任。

4 指標數(shù)據(jù)采集方法

在實際工作中可采用以下四種指標數(shù)據(jù)采集方法：一是問卷調查，即通過問題表的形式，事先將需要了解的問題列舉出來，通過讓相關人員回答有關問題而獲取數(shù)據(jù)信息。二是實地收集，即通過深入現(xiàn)場，親自參與系統(tǒng)的運行維護活動，并運用觀察、操作等方法直接從信息系統(tǒng)中收集資料和數(shù)據(jù)。三是利用輔助工具，借助網絡和系統(tǒng)檢測、掃描、監(jiān)控工具發(fā)現(xiàn)系統(tǒng)某些內在的弱點和可能存在的威脅。四是文檔審查，即通過文檔和資料的查閱，獲取較完整的系統(tǒng)信息和歷史經驗。

5 結論

在電子政務建設過程中不可避免的涉及到信息安全保障工作，而信息安全評估作為信息安全保障工作的重要環(huán)節(jié)，制定相應的安全評估標準，能夠為信息安全各個職能部門提供檢測依據(jù)，進而妥善處理政務信息安全中存在的不同層面問題。通過對評估指標、評估模式、評估方法的不斷創(chuàng)新完善，安全評估在信息安全體系建設中的支撐引領作用將得到更充分的認識，并成為信息安全工作的重要規(guī)劃指導依據(jù)和評價考核標準。

參考文獻：

篇9

關鍵詞：多屬性群決策；熵權法；TOPSIS；信息安全；風險評估

一、 引言

從20世紀90年代后期起，我國信息化建設得到飛速發(fā)展，金融、電力、能源、交通等各種網絡及信息系統(tǒng)成為了國家非常重要的基礎設施。隨著信息化應用的逐漸深入，越來越多領域的業(yè)務實施依賴于網絡及相應信息系統(tǒng)的穩(wěn)定而可靠的運行，因此，有效保障國家重要信息系統(tǒng)的安全，加強信息安全風險管理成為國家政治穩(wěn)定、社會安定、經濟有序運行的全局性問題。

信息安全風險評估方法主要分為定性評估方法、定量評估方法和定性與定量相結合的評估方法三大類。定性評估方法的優(yōu)點是使評估的結論更全面、深刻；缺點是主觀性很強，對評估者本身的要求高。典型的定性評估方法有：因素分析法、邏輯分析法、歷史比較法、德爾斐法等。定量的評估方法是運用相應的數(shù)量指標來對風險進行評估。其優(yōu)點是用直觀數(shù)據(jù)來表述評估結果，非常清晰，缺點是量化過程中容易將本來復雜的事物簡單化。典型的定量分析方法有：聚類分析法、時序模型、回歸模型等。定性與定量相結合的評估方法就是將定性分析方法和定量分析方法這兩種方法有機結合起來，做到彼此之間揚長避短，使評估結果更加客觀、公正。

本文針對風險評估主觀性強，要素眾多，各因素較難量化等特殊性，將多屬性群決策方法引入到風險評估當中。多屬性決策方法能夠較有效解決多屬性問題中權重未知的難題，而群決策方法能較好地綜合專家、評估方、被評估方以及其他相關人員的評估意見。該方法可解決風險評估中評估要素屬性的權重賦值問題，同時群決策理論的引入可提高風險評估的準確性和客觀性。本文用熵權法來確定屬性權重，用TOPSIS作為評價模型，對風險集進行排序選擇，并運用實例來進行驗證分析。

二、 相關理論研究

1. 信息安全風險分析原理。信息安全風險評估是指依據(jù)信息安全相關的技術和管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性進行評價的過程。它要對組織資產面臨的威脅進行評估以及確定威脅利用脆弱性導致安全事件的可能性，并結合相應安全事件所涉及的資產價值來判定當安全事件發(fā)生時對組織會造成的影響。文獻中提出了一種改進的風險分析流程及原理，該模型對風險分析基本流程的屬性進行了細分，如圖1所示。

根據(jù)上述原理，總結出信息安全風險評估的基本步驟，可以描述如下： （1）首先調查組織的相關業(yè)務，分析識別出組織需要保護的重要資產，以及資產本身存在的脆弱性、面臨的威脅，形成風險集。（2）組織各領域專家對風險集中各屬性進行評估并賦權值，得到每個風險的屬性值。（3）通過一定的算法對所有屬性進行綜合分析，得到最后的結果，進一步推算出組織面臨的風險值。

2. 多屬性群決策理論。多屬性群決策，是指決策主體是群體的多屬性決策。多屬性決策是利用已有的決策信息，通過一定的方式對一組（這一組是有限個）備擇方案進行排序并選擇，群決策是多個決策者根據(jù)自己的專業(yè)水平、知識面、經驗和綜合能力等對方案的重要性程度進行評價。在多屬性群決策過程中，需要事先確定各專家權重和屬性權重，再通過不同集結算法計算各方案的綜合屬性值，從而對方案進行評價或擇優(yōu)。

3. 熵權法原理。香農在1948年將熵的概念應用到信息領域用來表示信源的不確定性，根據(jù)熵的思想，人們在決策中獲取信息的數(shù)量和質量是提高決策精度和可靠性的重要因素。而熵在應用于不同決策過程的評價時是一個很理想的方法。熵權法是確定多屬性決策問題中各屬性權系數(shù)的一種有效方法。它是利用決策矩陣和各指標的輸出熵來確定各指標的權系數(shù)。

試考慮一個評估問題，它有m個待評估方案，n個評估屬性，（簡稱m，n評估問題）。先將評估對象的實際狀況可以得到初始的決策矩陣R′=（′ij）m×n，′ij為第i個對象在第j個指標上的狀態(tài)，對R′進行標準化處理，得到標準狀態(tài)矩陣：R=（ij）m×n，用M={1，2，…，m}表示方案的下標集，用 N={1，2，…，n}表示屬性的下標集，以下同。其中，當評估屬性取值越大越好，即為效益型數(shù)據(jù)時：

ij=（1）

當評估屬性取值越小越好，即為成本型數(shù)據(jù)時：

ij=（2）

（1）評估屬性的熵：

Hj=-kij×lnij j∈N（3）

其中ij=ij/ij k=1/lnm，并假定，當ij=0時，ijlnij=0，Hj越大，事件的不確定性越大，Hj越小，事件的不確定性越小。

（2）評估屬性的熵權：在（m，n）評估問題中，第j個評估屬性的熵權j定義為：

j=（1-Hj）/（n-Hj），j∈N，顯然0j1且j=1

3. TOPSIS方法。TOPSIS（Technique for Order Preference by Similarity to Ideal Solution）法是一種逼近理想解的排序方法，適用于多屬性決策中方案的排序和優(yōu)選問題，它的基本原理描述如下：（1）界定理想解和負理想解，（2）以各方案與“理想解”和“負理想解”的歐氏距離作為排序標準，尋找距“理想解”的歐氏距離最小，（3）距“負理想解”的歐氏距離最大的方案作為最優(yōu)方案。理想解是一個方案集中虛擬的最佳方案，它的每個屬性值都是決策矩陣中該屬性的最好的值；而負理想解則是虛擬的最差方案，它的每個屬性值都是決策矩陣中該屬性的最差的值。最優(yōu)方案是通過需要評估的方案與理想解和負理想解之間的歐氏距離構造的接近度指標來進行判斷的。假設決策矩陣R=（ij）m×n已進行過標準化處理。具體步驟如下：

（1）構造加權標準狀態(tài)矩陣X=（xij），其中：xij=j×ij，i∈M；j∈N，j為第j個屬性的權重；xij為標準狀態(tài)矩陣的元素。

（2）確定理想解x+和負理想解x-。設理想解x+的第j個屬性值為x+j，負理想解x-的第j個屬性值位x-j，則

x+j={xij|j∈J1）），xij|j∈J2）}

x-j={xij|j∈J1）），xij|j∈J2）}

J1為效益型指標，J2為成本型指標。

（3）計算各方案到理想解的Euclid距離di+與負理想解的距離di-

di+=；di-=；i∈M

（4）計算各方案的接近度C+i，并按照其大小排列方案的優(yōu)劣次序。其中

C+i=，i∈M

三、 基于TOPSIS的多屬性群決策信息安全風險評估模型

1. 方法的采用。本文將基于TOPSIS的多屬性群決策方法應用于信息安全風險評估中，有以下幾點考慮：

（1）組織成本問題。組織需要對分析出來的風險嚴重程度進行排序比較，從而利用有限的成本將風險控制到適當范圍內。因此，組織可以將被評估方所面臨的風險集，看作是決策問題中的方案集，決策目的就是要衡量各風險值的大小及其排序，從中找出最需要控制的風險。

（2）風險評估中的復雜性問題。風險評估的復雜性，適合用多屬性群決策方法來解決。如圖1所示，信息安全風險評估中涉及多個評估指標，通過評估指標u1，u2，…，u7的取值來計算風險值z。風險值z的計算適用于多屬性決策的方法。而由于風險評估的復雜性和主觀依賴性決定了風險評估需要綜合多人的智慧，因此風險評估的決策者在各方面優(yōu)勢互補，實現(xiàn)群決策的優(yōu)勢。

2. 評估過程。

（1）構造決策矩陣，并將決策矩陣標準化為R=（ij）m×n，由于風險評估屬性都是成本型屬性，所以用公式（2）標準化。

（2）專家dk權重的確定。為確定專家權重，由風險評估負責人構造專家判斷矩陣，假設共有r個專家，Eij表示第i位專家對第j專家的相對重要性，利用Saaty（1980）給出了屬性間相對重要性等級表，計算判斷矩陣的特征向量，即可得到專家的主觀權重：=（1，2，3，…，r）。

（3）指標權重的確定。指標權重由熵權法確定，得到專家dk各指標權重（k）=（1（k），2（k），3（k），…，n（k））。

（4）利用屬性權重對決策矩陣R（k）進行加權，得到屬性加權規(guī)范化決策矩陣X（k）=（xij（k））m×n，其中，xij（k）=ij（k）·j（k），i∈M；j∈N。

（5）利用加權算術平均（WAA）算子將不同決策者的加權規(guī)范矩陣X（k）集結合成，得到綜合加權規(guī)范化矩陣X=（xij）m×n，其中xij=xij（k）k。

（6）在綜合加權規(guī)范化矩陣X=（xij）m×n中尋找理想解x+=（x1+，x2+，…，xn+） 和負理想解x-=（x1-，x2-，…，xn-）， 因為風險評估屬性類型為成本型，故x+j=xij，x-j=xij，j∈N。

（7）計算各風險集分別與正理想解的Euclid距離di+和di-。

（8）計算各風險集的接近度C+i，按照C+i的降序排列風險集的大小順序。

四、 實例分析

1. 假設條件。為了計算上的方便，本文作以下假設：

（1）假設共有兩個資產，資產A1，A2。

（2）資產A1面臨2個主要威脅T1和T2，資產A2面臨1個主要威脅T3。

（3）威脅T1可以利用資產A1存在的1個脆弱性V1，分別形成風險X1（A1，V1，T1）；威脅T2可以利用資產A1存在的1個脆弱性V2，形成風險X2（A1，V2，T2）；威脅T3可以利用資產A2存在的1個脆弱性V3，形成風險X3（A2，V3，T3）。以上假設條件參照文獻“7”。

（4）參與風險評估的人員來自不同領域的專家3名，分別是行業(yè)專家d1，評估人員d2和組織管理者d3，系統(tǒng)所面臨的風險已知，分別是X1，X2，X3。

2. 信息安全風險評估。

（1）構造決策矩陣。如表1，決策屬性為u1，u2，…，u7，決策者d1，d2，d3依據(jù)這些指標對三個風險X1，X2，X3進行評估給出的風險值（范圍從1～5）。

（2）決策矩陣規(guī)范化，由于上述數(shù)值屬成本型，用公式（2）進行標準化。

（3）專家權重的確定，評估負責人給出3個專家的判斷矩陣。

計算出各專家權重=（0.717，0.201，0.082），最大特征值為3.054 2，C.I=0.027，R.I=0.58，C.R=0.0470.1，判斷矩陣滿足一致性檢驗。

（3）指標權重的確定

w1=（0.193，0.090，0.152，0.028，0.255，0.090，0.193）

w2=（0.024，0.312，0.024，0.223，0.024，0.168，0.223）

w3=（0.024，0.024，0.312，0.168，0.168，0.223，0.079）

（4）得到綜合加權規(guī)范矩陣X

X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026

（5）求出理想解x+=（0.002，0.017，0.063，0.013，0.006，0.045，0.026） 負理想解x-=（0.072，0.080，0.084，0.039，0.146，0.101，0.107）。

（6）計算d+i、d-i和C+i及對結果排序，見表5。

從排序結果可以看出，風險大小依次為X3X2X1，因此，組織要按此順序根據(jù)企業(yè)的經濟實力加強風險控制。與參考文獻“8”中的風險計算方法比較，提高了風險計算的準確性。

五、 結論

通過對信息安全風險評估特點分析，將多屬性群決策用于信息安全風險評估當中，多屬性群決策中最重要的就是權重的確定，本文對專家權重采用兩兩成對比較矩陣來獲得，對屬性權重采用熵權法來確定，最后采用TOPSIS方法進行結果的排序和選擇。這種方法可以從一定程度上消除專家主觀因素的影響，提高信息安全風險評估的準確性，為信息系統(tǒng)安全風險評估提供一種研究新思路。

參考文獻：

1.趙亮.信息系統(tǒng)安全評估理論及其群決策方法研究.上海交通大學博士論文，2011.

2.中國國家標準化管理委員會.GB/T20984-2007信息安全技術信息安全風險評估規(guī)范，2007.

3.陳曉軍.多屬性決策方法及其在供應商選擇上的應用研究.合肥工業(yè)大學碩士論文，2008.

4.周輝仁，鄭丕諤，秦萬峰等.基于熵權與離差最大化的多屬性群決策方法.軟科學，2008，22（3）.

5.管述學，莊宇.熵權TOPSIS模型在商業(yè)銀行信用風險評估中的應用.情報雜志，2008，（12）.

6.郭凱紅，李文立.權重信息未知情況下的多屬性群決策方法及其拓展.中國管理科學，2011，19（5）.

7.唐作其，陳選文等.多屬性群決策理論信息安全風險評估方法研究.計算機工程與應用，2011，47（15）.

8. 中國國家標準化管理委員會.GB/T20984-2007信息安全技術信息安全風險評估規(guī)范.北京：中國標準出版社，2007.

基金項目：國家自然科學基金資助項目（項目號：60970143，70872120）；教育部科學技術研究基金資助重點項目（項目號：109016）。

篇10

【 關鍵詞 】 第三方支付系統(tǒng)；風險評估；支付流程；威脅樹；最小威脅樹

【 中圖分類號 】 TP393 【 文獻標識碼 】 A

1 引言

第三方支付行業(yè)在近幾年迎來了快速發(fā)展，特別是2011年對于我國的第三方支付行業(yè)來說是具有里程碑意義的一年，央行在2011年開始頒發(fā)非金融機構支付業(yè)務許可證，支付許可證的頒發(fā)反映出國家開始從制度政策層面規(guī)范第三方支付行業(yè)的發(fā)展，同時也對第三方支付行業(yè)的安全性提出了要求。因此，如何從信息系統(tǒng)安全角度對諸多第三方支付工具進行全面的評價，這將對網上支付以及網絡購物的發(fā)展具有十分重要的現(xiàn)實意義。

當前國內外第三方支付行業(yè)的發(fā)展存在巨大差異，國外專門針對第三方支付安全的研究較少，而國內也只是部分學者在進行研究時內容會涉及到第三方支付的信息安全。趙德志基于項目管理視角對第三方支付進行了風險識別，認為第三方支付系統(tǒng)存在幾種風險，分別是外部風險、組織風險、項目管理風險、技術管理風險，并對風險來源進行了細化，但該研究并未深入對第三方支付系統(tǒng)的安全風險進行有效評價。

以上研究對第三方支付市場存在的風險進行了一定的分析，但上述研究仍存在著一定的不足，主要體現(xiàn)在相關研究并未從信息安全的角度深入剖析第三方支付平臺自身支付業(yè)務流程所可能存在的脆弱性以及防范重點，也沒有對第三方支付進行流程再造提出相關建議，因此對于第三方支付安全事件的發(fā)生無法起到實質性的遏制，本文將從信息安全風險評估的角度對第三方支付系統(tǒng)進行深入研究。

下文將基于對第三方支付平臺的一般支付流程和相關案例的定性分析，運用威脅樹方法學，構建針對第三方支付的威脅樹分析模型，并基于德爾菲法選擇當前主流第三方支付平臺進行信息安全評估，從而為用戶從安全視角對第三方支付平臺進行選擇提供參考依據(jù)。

2 威脅樹模型

2.1 威脅樹定義及基本結構

2.2 威脅樹的修剪

一個威脅的實現(xiàn)需要威脅即攻擊者具有一定級別的能力。攻擊者取決于下列因素：攻擊成本、專門技術知識或工具、被逮捕和懲罰的概率等。葉子結點的指標值由分析者直接輸入，數(shù)據(jù)來源可以是調研數(shù)據(jù)，歷史事件資料以及方法評估獲取，非葉子結點通過指標函數(shù)獲取，根據(jù)并聯(lián)關系和串聯(lián)關系的不同而不同?？梢愿鶕?jù)結點某一指標作為閾值對威脅樹進行修剪，“剪去”所有超過或低于某一閾值的路徑，修剪過的樹的集合（可以認為是圖形的覆蓋圖）代表著所有威脅可能使用的可行的威脅完全集，從攻擊的角度來講是一個可行的攻擊集，也就是最小威脅樹。從預防的角度講，是采取安全策略時應重點考慮的。

3 威脅樹模型

3.1 基于威脅樹的第三方支付系統(tǒng)信息安全評價模型構建

通過第三方支付業(yè)務流程以及對收集到的大量安全事件的定性分析，第三方支付系統(tǒng)信息安全事件的典型特征有幾點：

1）第三方支付系統(tǒng)面臨的最大風險是賬戶操作過程中的可支付余額；

2）第三方支付系統(tǒng)安全事件的發(fā)生一般是該兩項密碼通過各種手段如釣魚網站、促銷信息、升級提醒等手段被盜取；

3）某些木馬病毒如支付寶大盜、浮云木馬病毒，在支付環(huán)節(jié)通過篡改支付協(xié)議交換過程中的付款賬戶和金額等方式實現(xiàn)更具隱蔽性盜??；

4）部分案例顯示數(shù)字證書可以通過一定手段繞過從而盜取用戶資金，此環(huán)節(jié)可能存在重大安全隱患。

因此，根據(jù)威脅樹方法學，可得到以下第三方支付的威脅樹分析模型。

a） 第三方支付系統(tǒng)威脅樹的修剪

根據(jù)威脅樹方法學，可以通過某種指標比如攻擊成本、攻擊能力、成功概率等對威脅樹進行修剪，本文擬采取德爾菲法的形式，邀請相關業(yè)內專家針對威脅攻擊系統(tǒng)的可能性進行打分，從而對第三方支付系統(tǒng)的威脅樹進行修剪，具體實施將在下文討論。

4 第三方支付系統(tǒng)信息安全風險評估的實施

根據(jù)易觀國際的最新數(shù)據(jù)顯示，本文擬選取兩個典型的第三方支付工具，支付寶和快錢進行對比分析。

5 第三方支付平臺的風險管理

結合上述兩個具體的第三方支付工具的最小威脅樹，提出若干風險管理建議。

第一，加強用戶操作的主體性認證，增加實時性主體認證手段，如手機短信，動態(tài)口令等手段。特別改變賬戶操作僅依靠密碼進行的流程，從而增強安全性；目前一些主流的第三方支付工具，僅在安裝數(shù)字證書，快捷支付等情況下才使用手機驗證碼，因此建議在轉賬、更換手機、提現(xiàn)等操作關鍵操作時，額外增加實時身份驗證手段。

第二，針對數(shù)字證書用戶，應加強對數(shù)字證書申請、取消環(huán)節(jié)的管理，進行必要的身份認證；并且建議增加對賬戶登錄、異地操作的實時提醒，以提高賬戶的安全性，而此種服務目前多數(shù)第三方支付工具尚未提供。

第三，加強對用戶的教育，提醒用戶識別常用的詐騙手段，如圖5中所示的“防冒客服”以及“短信升級”等手段。

6 結束語

本文運用威脅樹分析模型對第三方支付系統(tǒng)的安全性進行了全面評估，并選擇當前主流的第三方支付平臺進行的評估實施，并基于評估提出了針對性的安全建議和對策，從而為用戶識別和選擇第三方支付工具提供了一定的參考依據(jù)。本文的數(shù)據(jù)采用德爾菲法獲取，該方法存在著一定的主觀性，是未來研究應當著力改進的地方。

參考文獻

[1] 中國互聯(lián)網絡研究中心.中國網絡支付安全狀況報告[Z].北京，2012.

[2] 金山網絡公司.2011-2012中國互聯(lián)網安全研究報告[Z].

[3] 中國人民銀行.《支付機構互聯(lián)網支付業(yè)務管理辦法》征求意見稿[R]，2012.

[4] 趙德志.第三方支付公司的發(fā)展與風險研究[D].北京：北京郵電大學，2007.

[5] GB/T 20984-2007 信息安全技術信息安全風險評估規(guī)范[S].2007.

[6] 王孝良，崔保紅，李思其.關于工控系統(tǒng)信息安全的思考與建議[J].信息網絡安全，2012，（08）： 36-37..

[7] 許春，李濤，陳興蜀，劉念，楊進.危險信號在實時網絡安全風險評估中的應用[J].電子科技大學學報，2007， （S3）：74-77.

[8] 李良.中國電子銀行風險評估研究[D].大連：大連理工大學，2010.

[9] 曹子建，趙宇峰，容曉峰.網絡入侵檢測與防火墻聯(lián)動平臺設計[J].信息網絡安全，2012，（09）：12-14.

[10] Schneier B."Attack Trees"，Secrets and Lies[M].New York：John Wiley and Sons，2000：318-333.

基金項目：

河南省教育廳人文社會科學青年項目（2012-QN-063）。