信息科学系信息安全专业毕业论文.doc

信息科学系信息安全专业毕业论文姓名：专业：信息安全研究方向：信息安全风险管理理论与方法指导老师：摘要 随着Internet的普及和全球信息化的不断推进，与组织业务相关的信息系统已经成为了组织赖以生存的主要战略资源，保障其信息安全的重要性受到广泛关注。 在已有的信息系统信息安全风险管理方法将信息系统风险分析与评估同具体的组织环境和业务背景想割裂，缺乏对风险形成过程的分析与描绘，进行安全决策时单纯考虑“技术”因素、缺乏对组织决策层期望实现的多个决策目标的全面表达。为了弥补上述不足，本文提出了一套信息系统信息安全风险管理的新方案ISISRM，并对该方法所涉及的关键问题进行了深入研究，为组织进行信息系统信息安全风险管理提供了一条新途径。 关键词：信息系统、信息安全风险管理、利用图、安全决策、模糊多目标优化。 目录第一章 绪论 41.1国内外信息系统的信息安全现状 41.2存在的问题与研究思路 7第二章 ISISRM 92.1信息安全风险管理理论基础 92.2ISISRM方法的整体框架 11第三章 信息系统安全决策研究 153.1 方案组成决策153.2选型决策 163.3安全投资决策 16第四章ISISRM方法的应用验证 194.1南方某集团信息系统简介 194.2运用ISISRM对集团信息系统进行风险管理的过程与结论20第五章 结论与展望 265.1主要结论 265.2研究展望.26致谢27参考文献27第一章 绪论1.1国内外信息系统的信息安全现状政府信息系统关系到国家利益，各国都非常重视政府信息系统的信息安全保障，许多国家已经采取了大量的措施，保障信息系统安全有效的运行。构建可信的网络，建设有效的信息安全保障体系，实施切实可行的信息安全保障措施已经成为世界各国信息化发展的主要需求。信息化发展比较好的发达国家，非常重视国家信息安全的管理工作，如美、俄、德、日等国家都已经或正在制订自己的信息安全发展战略和发展计划，确保信息安全沿着正确的方向发展，他们在信息安全领域进行着积极有益的探索。1.1.1国外信息系统的安全现状美国的信息化程度全球最高，是信息超级大国，在信息技术的主导权和网络上的话语权等方面占据先天优势，他们在政府信息系统的信息安全体系建设以及政策支持方面也走在全球的前列。美国信息安全管理的最高权力机构是美国国土安全局，分担信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务部等，主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。美国国防部几乎影响了全世界的信息安全概念、观念和理念。目前，美国已制定的有关信息安全的法律有：信息自由法、个人隐私法、计算机安全法、电信法、联邦信息安全管理法案等，形成了较完备的信息安全保障体系。美国颁布的联邦信息安全管理法案（FISMA），试图通过采取适当的安全控制措施来保证联邦机构的信息系统安全性，是当前美国信息安全领域的一个重要发展计划。FISMA的实施分为三个阶段，分别为开发标准和指南（2003-2008）、形成安全能力（2007-2010）和运用自动化工具（2008-2009）。为了有效地实现FISMA目标，FISMA指定美国国家标准与技术研究所（NIST）开发和发布相关的标准、指导方针以及其它出版物，帮助联邦机构实现联邦信息安全管理法案，以保护其信息和信息系统。作为FISMA第一阶段的成果，NIST提供了一套有效的信息安全保障框架和机制，提供了保护信息和信息系统的有效方法和手段，促成了一套全面权威的信息安全标准体系，其中包括IT系统安全自评估指南（SP 800-26）、IT系统风险管理指南（SP 800-30）、联邦IT系统安全认证和认可指南（SP 800-37）、联邦信息和信息系统的安全分类标准（FIPS 199）、联邦IT系统最低安全控制推荐（SP 800-53）、将各种信息和信息系统映射到安全类别的指南（SP 800-60）、IT产品国家配置清单项目配置清单用户和开发者指南（草案）（SP 800-70 Revision 1） (Draft)等多个文档，以风险管理思想为基础加强联邦政府的信息安全，对设计和实现有效的信息安全项目具有十分重要的意义。所有美国联邦政府机构以及承包商或其他代表联邦机构的组织所使用或管理的信息系统都被强制要求遵循NIST发表的SP800系列、联邦信息处理标准（FIPS）文件，以及其他联邦信息系统的相关法律条例。 FISMA第二阶段的工作目标是要形成安全能力，通过评估拿出符合性凭据，美国国家标准技术委员会发布了若干个不同的标准，包括150，150-17和7328等，主要目标就是约束相关的信息安全测评机构，需要具备这样的服务能力和服务准则来为联邦相关机构的信息系统进行测评以确认这些系统是否符合信息安全管理法案的要求。FISMA最后一个阶段的工作重点是落地，其工作目标就是，推动自动化工具的使用，从2009年向后的三到五年的时间里，尽可能地把一些规范和标准自动化、工具化，从而配合安全运维人员更好地工作。NIST推出了S-CAP协议（安全内容自动化协议），它是一种通过明确的标准化的模式使漏洞管理、安全监测和政策符合性能够与美国联邦信息安全管理法案一致的方法。主要由六个不同的技术标准（CVE、CCE、CPE、XCCDF、OVAL和CVSS）作为支撑，六个不同的标准分别从漏洞、配制、系统脆弱性的统一命名，包括脆弱性严重性的评分标准，安全检查的步骤，检查项目及检查报告等各个方面进行有效地设定，从而保证后期的工具、软件开发厂商能够有一个明确可落地的标准进行参考。在S-CAP的基础上由美联邦政府牵头针对一些联邦政府的桌面主机开展了一个FDCC的安全项目，专门对Windows系统主机的安全漏洞和安全配置进行检查的标准，并由安全厂商开发了对应的FDCC Scanner设备进行自动化的检查，而FDCC也给通过FDCC认证的Scanner颁发证书。俄罗斯十分重视信息安全的作用，时时处处以信息安全危机来鞭策、督促各单位把信息安全工作做得更好。从法令、机构人员、资金、技术、管理等角度全方位给信息安全检查工作予以支持和保障。随着全球信息化步伐的加快，俄罗斯对国家信息安全的重视程度日益提高，信息网络安全已纳入国家安全战略。普京总统强调：“信息资源和信息基础设施已经成为争夺世界领先地位的舞台，未来的政治和经济将取决于信息资源。因此，解决这方面的问题，对国家的前途、国家利益和国家安全至关重要。”俄罗斯建立了完善的信息保护国家系统，通过执行俄罗斯联邦总统直管的国家技术委员会条例，保证信息保护领域的国家统一政策，同时兼顾国家、社会和个人利益的均衡。俄罗斯联邦政府从信息安全、经济安全、国防安全、生态安全和社会安全几个方面入手，将信息安全策略分为全权安全政策和选择性安全政策两类，提出了主客体分级访问的构想来控制存取访问，即：只有当主体的现时安全能力不低于客体临界标记时，信息方可“向上”传输。俄罗斯联邦政府联络与情报局为俄罗斯联邦国家政权机关建立了因特网网段RGIN（Russian Government Internet Network）。他们在保障信息安全方面还做了大量的工作。首先建成了高效安全的“阿特拉斯”数据传输，确保俄罗斯联邦各主体行政中心之间文件的网络传输，在最高国家机关安装了保障加密数据交换的技术设备，解决了该系统与国内其他通信网协同的技术课题。然后他们还确立了计算机系统安全评估标准、产品安全评估软件等一系列完善的系统安全评估指标。同时，建立了联邦经济信息保护中心，负责政府网络及其他的专门网络、网络信息配套保护、国家政权机关信息技术保障等。俄罗斯在发展信息安全技术上坚持自主创新、自成体系。强调数学模型与论证发挥自动控制理论的作用。注重芯片和操作系统的研发。俄罗斯的芯片设计技术独具风格，目前已达到世界领先水平。操作系统是俄罗斯大学和科研机构重点攻关的课题。如圣彼得堡技术大学已研制了自主安全内核的高安全等级操作系统，不受病毒和黑客的侵犯，是在安全的数学模型基础上进行开发的。在与国外产品兼容上只局限于外层的功能调用，内核是自己的。此外，俄罗斯联邦政府在保障财政信贷和银行领域信息安全方面做了大量的工作。中央银行系统研究了保护信息处理技术设备的问题，积极推广使用有安全保护的信息技术和网络技术。在加密领域，密码学院从事着加密技术研究工作，着力加强光纤通信加密和量子加密方面的研究。德国是欧洲头号经济大国，也是仅次于美国、日本的世界第三经济强国。通过制定和实施信息化发展战略，德国信息化获得了较快的发展。德国在信息安全方面是欧洲的典范，其主要做法包括三方面：一是有明确的责任部门。德国联邦经济和劳工部下属的联邦电信和邮政总局主要负责联邦电信基础设施的安全维护工作；内政部和其下属联邦信息安全署主要负责信息技术应用方面的安全问题，如互联网安全管理、防病毒入侵和应急处理计算机问题等。联邦安全署还负责对互联网进行内容监管，对需要跨部门协调的工作制定统一的方案。联邦内政部下属的联邦信息安全署设有计算机紧急反应小组，提供每天24小时的“应急服务”，解决互联网的安全问题，防止计算机病毒和网络攻击。联邦政府专门成立联邦信息安全办公室，负责处理信息安全方面的技术问题。二是重视运用法律手段。德国联邦经济和劳工部下属的联邦电信和邮政总局在为德国联邦其他部门提供基础电信服务的同时，还负责起草和制定电信法和数字签名法等法律，并协调联邦政府各部门有效使用数字签名来保障信息安全。联邦政府制定了具体的计划和措施加强互联网上的安全，包括颁布了电子签名法和电子商务法。三是综合运用相关技术措施。德国联邦政府为加强信息安全采取了一系列的措施，包括重大基础设施的保护，增强社会各界的信息安全意识，通过设立安全门户网站为企业和个人提供相关信息和安全工具，增强互联网上的信息安全，开展信息安全认证，推广新的安全技术，与IT企业合作开展安全技术趋势研究，大力研发和使用密码技术、安全可靠的构件和生物识别技术等。在计算机信息安全规则的制订中，从组织机构、基本方针的设定、风险的预测、对策基准的制定、信息的分类及管理、违反信息安全行为的应对措施几个方面提出了具体要求。对在业务中存在违反信息安全行为的情形，提出了有必要建立依据上级的指示，直接命令其停止使用网络终端机器的体制。1.1.2我国信息系统的安全现状我国已初步建成了国家信息安全组织保障体系。国务院信息办专门成立了网络与信息安全领导小组，各省、市、自治州也设立了相应的管理机构。2003年9月中共中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见（简称27号文），把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度，并提出了“积极防御，综合防范”的信息安全管理方针。2007年6月22日又由四部委联合下发信息安全等级保护管理办法（43号文件），规范了信息安全等级保护的管理。2007年我国基本完成了重要信息系统和基础信息网络的等保定级，等级保护工作即将进入建设整改阶段。制定和引进了一批重要的信息安全管理标准，包括：计算机信息系统安全保护等级划分准则、信息安全技术 信息系统安全管理要求、信息安全技术 信息系统安全工程管理要求、信息安全技术 信息系统安全等级保护基本要求、信息安全技术 信息系统安全等级保护定级指南、信息安全管理实施细则和信息安全管理体系要求等。制定了一系列必需的信息安全管理的法律法规。从20世纪90年代初起，为配合信息安全管理的需要，国家相关部门、行业和地方政府相继制定了中华人民共和国计算机信息网络国际联网管理暂行规定、商用密码管理条例、互联网信息服务管理办法、计算机信息网络国际联网安全保护管理办法、电子签名法等有关信息安全管理的法律法规文件。开展了信息安全风险评估工作，并作为信息安全管理的核心工作之一，由国家信息中心组织先后对四个地区(北京、广州、深圳和上海)，十几个行业的50 多家单位进行了深入细致的调查与研究，最终形成了信息安全风险评估调查报告、信息安全风险评估研究报告和关于加强信息安全风险评估工作的建议。制定了信息安全技术 信息安全风险评估规范。目前我国在信息安全方面存在的问题主要包括：信息安全管理比较混乱，缺乏国家层面上权威、统一的整体组织和策略，缺乏专门的组织、规划、管理和实施协调的立法管理机构，执法主体不明确，多头管理，规则冲突，可操作性差，执行难度较大。实际管理、政策执行和监督力度不够；具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序及相关资源等要素的信息安全管理体系尚未建立起来。为了推动等级保护工作的持续发展和深化落实，我们急需提出清晰的等级保护工作和标准体系，准备好评估检查的能力；具有我国特点的信息安全风险评估标准体系有待完善，信息安全的需求过于抽象，缺乏系统、全面的信息安全风险评估和评价体系，以及全面、完善的信息安全保障体系；信息安全意识缺乏，普遍存在重产品、轻服务，重技术、轻管理的思想；专项经费投入不足，管理人才缺乏，基础理论和关键技术研究、标准制定能力薄弱，严重依靠国外，在国际上缺乏话语权；整体安全防范技术水平低下，尤其是核心技术方面（如：CPU 和操作系统），技术创新不够，信息安全管理产品水平和质量不高；缺乏支撑信息安全管理标准落地的有效手段。总的来说，我国政府信息系统的安全现状不容乐观，政府信息系统存在很多安全隐患。与西方发达国家相比，我国的信息安全起步很晚，政府部门和民众对网络认识不深，政府部门对信息系统安全重视程度不够，安全意识淡薄，信息系统的网络与信息安全防护能力仍处于“初级阶段”，甚至许多外网网站处于“不设防”状态。1.2存在的问题与研究思路1.2.1存在问题（1）现有的信息系统风险管理方法不能处理与风险密切相关的组织信息，如组织文化、组织业务以及组织信息系统特征等背景信息。（2）现有的信息安全风险管理方法，一般对信息风险的毒了粒度较粗，难以实现现代管理学所倡导的“精确量化管理”的思想。（3）现有的信息安全风险管理方法，缺乏对风险形成过程的准确刻划。（4）现有的信息安全风险管理方法，难以形成科学的控制信息系统的安全决策。1.2.2研究思路 针对现有的信息系统信息安全风险管理方法的不足，结合信息系统信息安全风险管理实践，本文的基本研究思路如下所示。信息系统安全现状信息安全风险管理研究成果需要研究符合单签信息系统安全保障要求的信息系统信息安全风险管理方法信息系统信息安全风险管理方法ISISRMISISRM方法关键词研究信息安全风险计算模型 基于EG的风险事件过程建模与风险频率计算 基于模糊NCIC方法的风险事件损失评估应用ISISRM方法对具体信息系统进行信息安全风险管理 信息系统安全决策框架与算法提出问题解决问题应用验证第二章 一种信息系统信息安全风险管理的新方法 ISISRM2.1信息安全风险管理理论基础2.1.1 信息安全的基本属性以及要素 信息安全的基本属性是指信息、信息系统及其支撑环境的基本安全特性，包括保密性、完整性、可用性、不可否认性、可追究性、真实性、可靠性和可控性等。 相关国际标准对这些信息安全基本属性的定义归纳如下： 保密性（confidentiality）信息不能被未授权的个人、实体或过程利用或知悉的特性。 完整性（integrity）保护资产的准确和完整的特性。 可用性（availability）根据被授权实体的要求可访问和可使用的特性。 不可否认性（non-repudiation）证明行为或事件发生的能力，从而这种事件或行为不能被事后否认。 可追究性（accountability）确保实体行为可被唯一跟踪到该实体的特性。 真实性（authenticity）确保主体或资源的标识是其所声明的特性。真实性应用于诸如用户、过程、系统和信息等实体。 可靠性（reliability）与期望行为和结果一致的特性。 可控性（controllability）能够抑制与期望行为和结果偏离的特性。 其中，可控性是笔者根据中国国情的需求而引入和定义的。在信息技术领域中，我国的许多基础网络和重要信息系统中的一些核心或关键技术是引进国外而非自主研发的，因此，迫切需要对这些核心或关键技术的掌控，以防止因它们的失控而导致严重后果。 信息安全的目标体现为信息安全基本属性的实现和达到的保证级别。每个安全属性都有相应的保证级别作为其强度的测量尺度。三者之间的关系如图1所示。信息安全目标的这种确立方法体现了等级保护的思想，同时也是对等级保护制度实施的支持。 信息安全风险的基本要素包括由信息、信息系统和支撑环境组成的信息资产、由威胁主体和威胁行为构成的威胁、由信息资产自身弱点形成的脆弱性、信息资产受到威胁后可能造成的影响以及保护信息资产所采取的安全措施。这些基本要素与风险的关系为，信息资产、威胁、脆弱性和影响为风险的正相要素，即信息资产价值越高、威胁主体动机和威胁行为能力越强、脆弱性越容易被利用、影响程度越严重，那么风险就越大；而安全措施为风险的负相要素，即安全措施越完善和越有效，那么风险就越小。 资产是核心要素，其他要素都是围绕着资产而产生的。也说就是，威胁是指资产面临的威胁，脆弱性是指资产自身的脆弱性，影响是指资产损失带来的负面影响，安全措施是指保护资产的安全措施。2.1.2信息安全风险管理的一般过程信息安全风险管理遵循风险管理的一般过程。它包括五大过程要素，即背景建立、风险评估、风险处理、监视与评审和沟通与咨询。 风险管理过程遵循一般管理的PDCA模型，包括规划（Plan）、实施（Do）、检查（Check）和处置（Act）四个基本阶段，也是一个持续改进和迭代式循环的过程。背景建立和风险评估对应于P阶段，风险处理对应于D阶段，监视与评审对应于C阶段，进入下一次风险管理过程周期对应于A阶段。对于风险管理，监视与评审阶段中提出的任何改进建议都需要经过已建背景的确认和风险的再次评估才能形成改进措施及其实施计划，然后作为改进的风险处理予以实施。因此，风险管理的A阶段总是直接进入新的一轮风险管理周期。 背景建立是风险管理的准备，为后续过程建立活动背景，其内容包括机构的外部和内部背景以及风险管理背景。 风险评估是风险管理的依据，为其他过程提供决策依据，其过程包括风险识别、风险分析和风险评价三个子阶段，其中，风险分析又包括风险估算和风险计算两个子阶段。直到得出满意的风险评估结果，才能进入下一个阶段，即风险处理；否则，要进行已建背景的确认和风险的再次评估。 目前，被公认为有效的风险评估方法是结合初始评估和详细评估的循环迭代方法，即，第一次风险评估为初始评估，以识别和分析出所有的高风险为目的，覆盖评估范围内的所有资产，并集中在资产的业务价值及其面临的严重威胁上，这是一种横向评估；如果必要再进行第二次甚至更多次的风险评估，这些评估一般为详细评估，以深入评估面临的高风险为目的，针对具有高风险的资产进行深入细致的风险识别、分析和评价，这是一种纵深评估。这种评估方法在评估成本和确保高风险被适当评估之间提供了良好平衡，使得以合理的评估成本确保最严重的风险得到最详细的关注。其中，风险计算是由笔者在进行了广泛和深入研究的基础上引入和定义的。风险计算包括单项风险计算和综合风险计算。单项风险计算是对某一风险场景（即某一威胁主体，采用某一威胁行为，针对某一资产，利用该资产的某一脆弱性实施威胁时的风险）的计算；综合风险计算是根据评估者关注风险的角度对单项风险的计算结果进行的综合计算，计算结果包括某一威胁主体产生的综合风险、某一威胁行为产生的综合风险、某一威胁主体利用某一威胁行为产生的综合风险、某一资产因某一脆弱性而面临的综合风险、某一资产面临的综合风险、由若干资产组成的系统面临的综合风险等。 风险处理是风险管理的主体，为缓解风险做出直接贡献，其手段包括风险规避、风险转移、风险降低和风险接受四种风险处理方式及其相应活动。首先，对风险评估阶段输出的关于风险评价的结果，依据背景建立阶段确立的风险接受标准，判定哪些风险是可接受的，哪些是不可接受。然后，对于那些可接受的风险，只需进行必要的风险接受处理后，便可进入监视与评审阶段，以保持对其变化的注视；对于那些不可接受的风险，需要在风险规避、风险转移和风险降低中选择合适的处理方式。在许多情况下，一种处理方式不太可能是一个完整的解决方案，需要多种处理方式的组合。在实施了所选处理方式之后，再次进行风险接受判断，即对残余风险进行是否可接受的判断。如果仍然不可接受，或者继续挖掘风险处理的潜力，以期风险的进一步缓解；或者重新回到背景建立阶段，以期通过调整背景因素来改变风险，并经过风险评估后为风险处理提供新的可能。 监视与评审是风险管理的监查，为有效管理风险提供保障，其途径是持续监视所有风险要素、 风险管理要素和风险管理过程整体状态的变化，检查这些要素的符合性和有效性，进而把握风险管理过程的整体状态。 沟通与咨询是风险管理的通道，为顺畅管理风险提供保障，其做法是在适当的时候就风险要素、风险管理要素和风险管理过程整体在机构内部和外部方中进行沟通和咨询，其途径和作用在于通过畅通的交流和充分的沟通，达成相关人员认知的相互理解和行动的协调一致；通过有效的培训和便捷的咨询，保证相关人员具有足够的知识和技能。 第一轮风险管理周期的工作是开创性的，应该本着可持续发展的原则全面考虑，为今后的工作打好基础。风险管理过程是持续的、循序渐进的过程，不是一两轮就能解决全部问题，况且新的问题会不断出现。任何新的一轮风险管理周期的工作都是建立的前面各轮工作结果的基础上，是对现有风险管理的改进和完善。监视与评审和沟通与咨询自始至终贯穿于整个风险管理周期，是风险管理得以有效发挥和顺畅进行的保障。 2.2信息系统安全风险管理ISISRM方法的整体框架2.2.1ISISRM的基本思想及管理周期ISISRM方法体现了一种“定制”的思想，其风险管理的目标、范围、过程与方法都具有相当的灵活性且具有“开放性”，其在识别风险因素威胁发起者和信息系统脆弱性的过程中，并不拘泥于某一种方法，而是根据特定原则建立起的一座开放式的方法体系，该体系能纳入多种已有的游戏手段和工具，这些手段和方法互为并从，提高了识别的全面性和可靠性。它能将风险管理过程同具体的组织环境与业务背景紧密地联系在一起。它能模拟威胁发起者的行为特征，对风险事件的形成过程，及威胁发起者实现特定攻击的步骤间的时序关系作出准确的截图，在此基础上实现对特定类别的风险事件最大成功概率的定量计算。它体系了“适度量化”的原则。它将经济学原理引入到安全基础过程中,不再将信息系统信息安全风险控制与可接受范围的安全解决方案视为一种单纯的“技术上”的考量，而是就爱那个求解和实施安全方案也视为组织的一种“投资”行为。它分为风险概率准备阶段、信息安全风险因素识别阶段、信息安全风险分析与评价阶段、信息系统安全保障分析阶段、信息系统安全决策阶段、信息安全风险动态监控阶段六个阶段。2.2.2 一般流程下表列出某公司对风险发生可能性的定性、定量评估标准及其相互对应关系，供实际操作中参考。定量方法一评分12345定量方法二一定时期发生的概率10%以下10% - 30%30% - 70%70% - 90%90%以上定性方法文字描述一极低低中等高极高文字描述二一般情况下不会发生极少情况下才发生某些情况下发生较多情况下发生常常会发生文字描述三今后10年内发生的可能少于1次今后510年内可能发生1次今后25年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次下表列出某公司关于风险发生后对目标影响程度的定性、定量评估标准及其相互对应关系，供实际操作中参考。适用于所有行业定量方法一评分12345定量方法二企业财务损失占税前利润的百分比(%）1%以下1%-5%6%-10%11%-20%20%以上定性方法文字描述一极轻微的轻微的中等的重大的灾难性的文字描述二极低低中等高极高文字描述三企业日常运行不受影响轻度影响(造成轻微的人身伤害，情况立刻受到控制)中度影响(造成一定人身伤害，需要医疗救援，情况需要外部支持才能得到控制)严重影响(企业失去一些业务能力，造成严重人身伤害，情况失控，但无致命影响)重大影响(重大业务失误，造成重大人身伤亡，情况失控，给企业致命影响)财务损失较低的财务损失轻微的财务损失中等的财务损失重大的财务损失极大的财务损失企业声誉负面消息在企业内部流传，企业声誉没有受损负面消息在当地局部流传，对企业声誉造成轻微损害负面消息在某区域流传，对企业声誉造成中等损害负面消息在全国各地流传，对企业声誉造成重大损害负面消息流传世界各地，政府或监管机构进行调查，引起公众关注，对企业声誉造成无法弥补的损害适用于开采业、制造业定性与定量结合安 全短暂影响职工或公民的健康严重影响一位职工或公民健康严重影响多位职工或公民健康导致一位职工或公民死亡引致多位职工或公民死亡营 运-对营运影响微弱-在时间、人力或成本方面不超出预算1%-对营运影响轻微-受到监管者责难-在时间、人力或成本方面超出预算1%-5%-减慢营业运作-受到法规惩罚或被罚款等-在时间、人力或成本方面超出预算6%-10%-无法达到部分营运目标或关键业绩指标-受到监管者的限制-在时间、人力或成本方面超出预算11%-20%-无法达到所有的营运目标或关键业绩指标-违规操作使业务受到中止-时间、人力或成本方面超出预算20%环 境-对环境或社会造成短暂的影响-可不采取行动-对环境或社会造成一定的影响-应通知政府有关部门-对环境造成中等影响-需一定时间才能恢复-出现个别投诉事件-应执行一定程度的补救措施-造成主要环境損害-需要相当长的时间来恢复-大规模的公众投诉-应执行重大的补救措施-无法弥补的灾难性环境損害-激起公众的愤怒-潜在的大规模的公众法律投诉对风险发生可能性的高低和风险对目标影响程度进行定性或定量评估后，依据评估结果绘制风险坐标图。如：某公司对9项风险进行了定性评估，风险发生的可能性为“低”，风险发生后对目标的影响程度为“极低”；风险发生的可能性为“极低”，对目标的影响程度为“高”，则绘制风险坐标图如下： 可能性 极高高中等低极低 极低 低 中等 高 极高 影响程度如某公司对7项风险进行定量评估，其中：风险发生的可能性为83%，发生后对企业造成的损失为2100万元；风险发生的可能性为40%，发生后对企业造成的损失为3800万元；.；而风险发生的可能性在55%到62%之间，发生后对企业造成的损失在7500万元到9100万元之间，在风险坐标图上用一个区域来表示，则绘制风险坐标图如下：风险1风险21 可能性（%） 0.80.60.40.2风险7影响损失（亿元） 40201006080绘制风险坐标图的目的在于对多项风险进行直观的比较，从而确定各风险管理的优先顺序和策略。如：某公司绘制了如下风险坐标图，并将该图划分为A、B、C三个区域，公司决定承担A区域中的各项风险且不再增加控制措施；严格控制B区域中的各项风险且专门补充制定各项控制措施；确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。B区域 可能性A区域C区域B区域 C区域 极高高中等 低极低 极低 低 中等 高 极高 影响程度 第三章 信息系统安全决策研究模型3.1 方案组成决策 故障树的最小割集是引起顶事件发生的一种故障模式，可 以认为是系统的一种风险模式，它们构成了信息系统的风险来源。最小割集是导致正规故障树顶事件发生的数目不可再少的底事件的组合。任何正规故障树均由有限数目的最小割集组成，它们对给定的正规故障树来说是唯一的。 因此，某个安全产品m只要能防止组成风险模式n的某个底事件的发生，就防止了风险模式n的发生，如图1所示。 设信息系统的风险模式依危害度(最小割集的发生概率 后果严重性系数)从大至小的顺序为风险模式1、风险模式2、 风险模式nl；安全产品按其所能减少的危害度Cm从大至小依 次为安全产品1、安全产品2、安全产品m可供选择组成安 全方案。那么一个可以接受的方案组成的决策步骤如下： （1）制定安全投资目标，确定等风险线R，m=1，T=0（2）选择安全产品m；T=T+1； （3）计算各故障事件和顶事件的危害度Cm(ni=1n)c;（4）如果“eiR(耐=1，z)”或“CR，决策过程结束；否则m=m+1转至(2)。 其中，等风险线是由用户根据信息系统的规模、安全需求 等实际因素而确定的可以接受的风险程度，比如可以取等风险 案线R=500元月；“CmR或“CsR”为决策判断条件， “CmR”是指将根据故障事件的发生后果和发生概率画出的 法默(FRFaHner)风险曲线和等风险线进行判断。如果法默风 险曲线的大部分点都在等风险线之下，仅有个别点超过等风险 线R，那么采用由已选安全产品组成的安全方案后系统的安全 设计是基本上可以接受的。“CR”是指将信息系统的安全风 险e与等风险线慰如：500元月)进行数值比较，该不等式成 立则说明系统的安全设计可以接受。具体采取哪种决策判断条 件，需要考虑用户信息系统的安全投资能力、安全需求等而定。 T为最后所选安全产品的类别的总数。 3.2选型决策安全方案的组成决策，决定了该信息系统实施由安全产品 1-T 组成安全方案后可以使系统的安全达到可以接受的程度。 在此基础上，还需对具体的每一类安全产品f进行选型决策。 产品选型在不影响安全方案的整体安全效能的前提下，主 要取决于该安全产品t在该信息系统实施的效益投资比 , 因其可以集中反映安全决策的效益目标。需要注 意的是，上式中的效益，仅仅是该安全产品的实施所能减少的 危害度所占的比例，实际上还需考虑该安全产品的运行维护成 本，比如人力资源成本、维护升级费用等，应将这些后期投入 从中除去。 即 。 其中，Ct是安全产品t的运行维护成本，Vt为安全产品t的投资额。3.3安全投资决策 方案组成决策和产品选型决策给出了经济的、风险适可的 安全方案的决策模型。当不考虑其它条件限制时，不同的系统 规模、投资能力、投资目的，其决策意向也会不同。如有的信息系统对安全有很高的要求，但基本上不必考虑安全投资额；有的信息系统则可能要求在风险可接受的前提下，追求高的效益投资比。这就需要在方案组成决策和产品选型决策的基础 上，进一步采用AHP一层次分析法进行决策。 3.3.1建立层次结 采用AHP法进行投资决策，首先建立层次结构模型，如 图2所示。其中准则层R是集中安全方案决策的关键原则，可以请专家提出其他准则，在此只举例三个准则：安全效益R1、投资额度R2、效益投资比R3。方案层s是可供选择的安全方案集。 3.3.2构造判断矩阵并进行层次单排序 如表1所示，其中“kK。表示准则艘与准则R1的相对重要性的主观比值，w般为取1，2，3，9及它们的倒数。依此类推，再建立判断矩阵：准则R2(投资额度)方案s和准则R1(安全效益)方案S，并求出相应的一致f生检验量，如表 2所示。需要指出的是，在判断矩阵目标A一准则R中，集中反映了决策者所考虑的关键原则及其重要性；而在判断矩阵准则层R一方案层S中，其数值取决于前文安全解决方案效益评估的结果和方案的实际投资概算额度等。因此，AHP安全决策，是在对安全方案进行基于故障树模型的安全效益评估的基础上，并在确定评估准则及其相对重要洼的前提下，进行的决策过程。 3.3.3一致性检验 最后考察层次总排序中一致性检验量，若判断矩阵的随机一致性比例：。 那么，判断矩阵具有满意的一致性，否则必须对判断矩阵进行调整。当判断矩阵的阶数小于等于15时，平均一致性指RI由表4给出3.3.4决策结论 根据上述分析结果，安全解决方案sl、 s2、s3在主要考虑方案的安全效益、投资额度、效益投资比时，其总排序结果即为层次总排序中的排序结果。 第四章 ISISRM方法的应用验证4.1南方某集团信息系统简介 南方某高科技电子产品集团有限公司（以下简称集团），为了全面通过集团的经营管理水平，增强企业竞争能力，以2008年启动了覆盖取取暖集团各个职能部门的管理信息系统项目。系统的整体目标是以知识管理信息，以信息管理数据，通过数据控制科技开发、生产和经营的思想实现知识、信息和数据在全集团范围内的集成，提高全集团的整体运作效率。集团Intranet信息系统的网络环境。1 网络平台 网络平台在机构上分为三级：第一级为位于集团总部大厦的主干网络；第二级为本地生产基地局域网络；第三级为位于一地的二级生产基地、三级生产基地以及集团深圳营销分部各自的局域网络。2 集团信息系统的体系机构 图4.2 信息系统的四层体系结构利用该四层体系结构的第一、三、四层，集团信息系统构建起一个面向用户和企业和集团业务运行的应用服务平台，高平台供分为三个部分：首先为食物处理部分，即科研u生产管理MIS系统，包括计划、科研、生产运行、安全、设备、物资供应、财务、销售等子系统，主要负责管理信息的收集、存储和处理；其次为办公室自动化部分，主要分部办公信息和办公文件资料，管理如此办公活动和工作计划，这一应用平台的整体选用Lotus Notes办公套件，主要功能有E-mail、公文系统、会议系统、档案系统、如此办公管理系统；最后为信息资源管理平台，这一平台用WEB技术首先综合查询，提供界面一致、手段丰富的信息检索与查询功能以及FIP、远程登陆等服务，通过防火墙向外分部集团信息并接入Internet，4.2 运用ISISRM对集团信息系统进行风险管理的过程与结论4.2.1 信息系统描述过程由于集团主干网络周界信息系统域模型ISDM很大，下面仅对ISDM的部分域元素展开说明：（1）Dh、Dos和Das三个域中的元素如下表。（2）业务流程域Dp如下表。4.2.2关键信息资产识别基于对集团关键业务流程以及集团信息系统的体系机构和应用服务平台的分析，运用ISISRM方法中关键信息资产识别流程，得到集团信息系统的关键信息资产如下表。4.2.3脆弱性识别 运用ISISRM方法中脆弱性识别流程分析集团信息系统，得到下表。4.2.4威胁识别由于集团信息系统的特殊性，可以将集团中可能对信息资产构成威胁发起者按其初始身份分为六类。运用ISISRM方法中威胁识别流程分析集团信息系统，得到下表。4.2.5集团信息资产的风险评估结果关键信息资产第r类风险ATTr（0）Pr(0)Vr(0)(万元)OGRVr(0)(万元)OGRVr(0)（万元）11