信息系统信息安全风险管理方法研究

1、信息科学系信息安全专业毕业论文 姓名：许剑飞专业：信息安全研究方向：信息安全风险管理理论与方法指导老师:自斌摘要随着Internet的普及和全球信息化的不断推进，与组织业务相关的信息系统 已经成为了组织赖以生存的主要战略资源，保障其信息安全的重要性受到广泛关 注。在已有的信息系统信息安全风险管理方法将信息系统风险分析与评佔同具体 的组织环境和业务背景想割裂，缺乏对风险形成过程的分析与描绘，进行安全决 策时单纯考虑“技术”因素、缺乏对组织决策层期望实现的多个决策U标的全面 表达。为了弥补上述不足，本文提出了一套信息系统信息安全风险管理的新方案 ISISRM,并对该方法所涉及的关键问题进行了深入研

2、究，为组织进行信息系统 信息安全风险管理提供了一条新途径。关键词：信息系统信息安全风险管理 利用图安全决策模糊多U标优化目录第一章绪论41.1国内外信息系统的信息安全现状 41.2存在的问题与研究思路 11第二章 ISISRM 132.1信息安全风险管理理论基础132.2ISISRM方法的整体框架15第三章信息系统安全决策研究203.1方案组成决策203.2选型决策213.3安全投资决策21第四章ISISRM方法的应用验证244.1南方某集团信息系统简介244.2运用ISISRM对集团信息系统进行风险管理的过程与结论25 第五章结论与展望335.1主要结论335.2研究展望33致谢34参考文献

3、35第一章绪论1.1国内外信息系统的信息安全现状政府信息系统关系到国家利益，各国都非常重视政府信息系统的信息安全保障， 许多国家已经采取了大量的措施，保障信息系统安全有效的运行。构建可信的网 络，建设有效的信息安全保障体系，实施切实可行的信息安全保障措施已经成为 世界各国信息化发展的主要需求。信息化发展比较好的发达国家，非常重视国家 信息安全的管理工作，如美、俄、德、日等国家都已经或正在制订自己的信息安 全发展战略和发展计划，确保信息安全沿着正确的方向发展，他们在信息安全领 域进行着积极有益的探索。1.11国外信息系统的安全现状美国的信息化程度全球最高，是信息超级大国，在信息技术的主导权和网络

4、上的 话语权等方面占据先天优势，他们在政府信息系统的信息安全体系建设以及政策 支持方面也走在全球的前列。美国信息安全管理的最高权力机构是美国国土安全 局，分担信息安全管理和执行的机构有国家安全局、联邦调查局、国防部、商务 部等，主要根据相应的方针和政策结合自己部门的情况实施信息安全保障工作。美国国防部儿乎影响了全世界的信息安全概念、观念和理念。1967年，DOD开始 研究讣算机安全问题，1977年提出加强联邦政府和国防系统讣算机安全的倡议, 1983年提出可信计算机系统评佔准则（TCSEC） , 1987年对新发布的计算机安 全法的执行情况进行部门级评佔，1997年发布国防部IT安全认证认可规

5、程（DITSCAP）,该规程在2000年由国家安全委员会发布为国家信息保障认证和 认可规程（IACAP）。前，美国已制定的有关信息安全的法律有：信息自由 法、个人隐私法、计算机安全法、电信法、联邦信息安全管理法案等，形成了较 完备的信息安全保障体系。2002年美国颁布的联邦信息安全管理法案（FISMA）,试图通过采取适当的 安全控制措施来保证联邦机构的信息系统安全性，是当前美国信息安全领域的一 个重要发展计划。FISMA的实施分为三个阶段，分别为开发标准和指南(2003-2008)、形成安全能力(2007-2010)和运用自动化工具(2008-2009)。 为了有效地实现FISMA LI标，F

6、ISMA指定美国国家标准与技术研究所(NIST)开 发和发布相关的标准、指导方针以及其它出版物，帮助联邦机构实现联邦信息安 全管理法案，以保护其信息和信息系统。作为FISMA第一阶段的成果，NIST提 供了一套有效的信息安全保障框架和机制，提供了保护信息和信息系统的有效方 法和手段，促成了一套全面权威的信息安全标准体系，其中包括IT系统安全 自评估指南(SP 800-26)、IT系统风险管理指南(SP 800-30).联 邦IT系统安全认证和认可指南(SP 800-37)、联邦信息和信息系统的安全 分类标准(FIPS 199)、联邦IT系统最低安全控制推荐(SP 800-53)、将各种信息和信

7、息系统映射到安全类别的指南(SP 800-60)、IT产品国 家配置清单项口一配置清单用户和开发者指南(草案)(SP 800-70 Revision 1) (Draft)等多个文档，以风险管理思想为基础加强联邦政府的信息安全，对 设计和实现有效的信息安全项LI具有十分重要的意义。所有美国联邦政府机构以 及承包商或其他代表联邦机构的组织所使用或管理的信息系统都被强制要求遵 循门ST发表的SP800系列、联邦信息处理标准(FIPS)文件，以及其他联邦信 息系统的相关法律条例。FISMA第二阶段的工作LI标是要形成安全能力，通过评估拿出符合性凭据，美国 国家标准技术委员会发布了若干个不同的标准，包括

8、150, 150-17和7328等， 主要LI标就是约束相关的信息安全测评机构，需要具备这样的服务能力和服务准 则来为联邦相关机构的信息系统进行测评以确认这些系统是否符合信息安全管 理法案的要求。FISMA最后一个阶段的工作重点是落地，其工作目标就是，推动自动化工具的使 用，从2009年向后的三到五年的时间里，尽可能地把一些规范和标准自动化、 工具化，从而配合安全运维人员更好地工作。NIST推出了 S-CAP协议(安全内 容自动化协议)，它是一种通过明确的标准化的模式使漏洞管理、安全监测和政 策符合性能够与美国联邦信息安全管理法案一致的方法。主要山六个不同的技术 标准(CVE、CCE、CPE、

9、XCCDF、OVAL和CVSS)作为支撑，六个不同的标准分别 从漏洞、配制、系统脆弱性的统一命名，包括脆弱性严重性的评分标准，安全检 查的步骤，检查项U及检查报告等各个方面进行有效地设定，从而保证后期的工 具、软件开发厂商能够有一个明确可落地的标准进行参考。在S-CAP的基础上由 美联邦政府牵头针对一些联邦政府的桌面主机开展了一个FDCC的安全项目，专 门对Windows系统主机的安全漏洞和安全配置进行检查的标准，并由安全厂商开发了对 应的FDCC Scanner设备进行自动化的检查，而FDCC也给通过FDCC认证的Scanner颁发证 书。2007财年，美国IT投资650亿美元，安全投资59

10、亿美元，占9. 2%； 2009年美 国将加大政府信息系统安全投入，IT支出达到709亿美元，其中的10.3%,即总 额约73亿美元将用于提高IT安全性。俄罗斯十分重视信息安全的作用，时时处处以信息安全危机来報策、督促各单位 把信息安全工作做得更好。从法令、机构人员、资金、技术、管理等角度全方位 给信息安全检查工作予以支持和保障。政府发布了许多有关信息安全的法律法 规，例如1995年，俄罗斯宪法把信息安全纳入了国家安全管理范围，颁布了联 邦信息、信息化和信息网络保护法，强调了国家在建立信息资源和信息网络化 中的责任，1997年的俄罗斯国家安全构想明确提出保障国家安全应把保障 经济安全放在笫一位

11、，而信息安全乂是经济安全的重中之重。2002年俄罗斯安 全委员会通过了国家信息安全学说，明确了联邦信息安全建设的LI的、任务、 原则和主要内容，对国家信息网络安全面临的问题及信息网络战武器装备现状、 发展前景和防御方法等进行了详尽的论述，阐明了俄罗斯在信息网络安全方面的 立场、观点和基本方针，提出了在该领域实现国家利益的手段和相关措施。第一 次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信 息安全所要采取的措施等。随着全球信息化步伐的加快，俄罗斯对国家信息安全的重视程度日益提高，信息 网络安全已纳入国家安全战略。普京总统强调：“信息资源和信息基础设施已经 成为争夺世界领先

12、地位的舞台，未来的政治和经济将取决于信息资源。因此，解 决这方面的问题，对国家的前途、国家利益和国家安全至关重要。”俄罗斯建立了完善的信息保护国家系统，通过执行俄罗斯联邦总统直管的国家技 术委员会条例，保证信息保护领域的国家统一政策，同时兼顾国家、社会和个人 利益的均衡。俄罗斯联邦政府从信息安全、经济安全、国防安全、生态安全和社 会安全儿个方面入手，将信息安全策略分为全权安全政策和选择性安全政策两 类，提出了主客体分级访问的构想来控制存取访问，B|J：只有当主体的现时安全 能力不低于客体临界标记时，信息方可“向上”传输。俄罗斯联邦政府联络与情报局为俄罗斯联邦国家政权机关建立了因特网网段一RGI

13、N (Russian Government Internet Network)。他们在保障信息安全方面还 做了大量的丄作。首先建成了高效安全的“阿特拉斯”数据传输，确保俄罗斯联 邦各主体行政中心之间文件的网络传输，在最高国家机关安装了保障加密数据交 换的技术设备，解决了该系统与国内其他通信网协同的技术课题。然后他们还确 立了计算机系统安全评佔标准、产品安全评估软件等一系列完善的系统 安全评估指标。同时，建立了联邦经济信息保护中心，负责政府网络及其他的专 门网络、网络信息配套保护、国家政权机关信息技术保障等。俄罗斯在发展信息安全技术上坚持自主创新、自成体系。强调数学模型与论证发 挥自动控制理论的

14、作用。注重芯片和操作系统的研发。俄罗斯的芯片设计技术独 具风格，LI前已达到世界领先水平。操作系统是俄罗斯大学和科研机构重点攻关 的课题。如圣彼得堡技术大学已研制了自主安全内核的高安全等级操作系统，不 受病毒和黑客的侵犯，是在安全的数学模型基础上进行开发的。在与国外产品兼 容上只局限于外层的功能调用，内核是自己的。此外，俄罗斯联邦政府在保障财政信贷和银行领域信息安全方面做了大量的工 作。中央银行系统研究了保护信息处理技术设备的问题，积极推广使用有安全保 护的信息技术和网络技术。在加密领域，密码学院从事着加密技术研究工作，着 力加强光纤通信加密和量子加密方面的研究。德国是欧洲头号经济大国，也是仅

15、次于美国、日本的世界第三经济强国。通过制 定和实施信息化发展战略，德国信息化获得了较快的发展。德国在信息安全方面 是欧洲的典范，其主要做法包括三方面：一是有明确的责任部门。德国联邦经济和劳工部下属的联邦电信和邮政总局主要 负责联邦电信基础设施的安全维护工作；内政部和其下属联邦信息安全署主要负 责信息技术应用方面的安全问题，如互联网安全管理、防病毒入侵和应急处理计 算机问题等。联邦安全署还负责对互联网进行内容监管，对需要跨部门协调的工 作制定统一的方案。联邦内政部下属的联邦信息安全署设有计算机紧急反应小 组，提供每天24小时的“应急服务”，解决互联网的安全问题，防止计算机病 毒和网络攻击。联邦政

16、府专门成立联邦信息安全办公室，负责处理信息安全方面 的技术问题。二是重视运用法律手段。德国联邦经济和劳工部下属的联邦电信和邮政总局在为 德国联邦其他部门提供基础电信服务的同时，还负责起草和制定电信法和数 字签名法等法律，并协调联邦政府各部门有效使用数字签名来保障信息安全。 联邦政府制定了具体的讣划和措施加强互联网上的安全，包括颁布了电子签名 法和电子商务法。三是综合运用相关技术措施;德国联邦政府为加强信息安全采取了一系列的措 施，包括重大基础设施的保护，增强社会各界的信息安全意识，通过设立安全门 户网站为企业和个人提供相关信息和安全工具，增强互联网上的信息安全，开展 信息安全认证，推广新的安全

17、技术，与IT企业合作开展安全技术趋势研究，大 力研发和使用密码技术、安全可靠的构件和生物识别技术等。日本自2001年1月IT基本法颁布以来，在根据该法制订的每一年重点发展 计划中，对电子政府以及电子政务相关的具体内容都做出了规定，针对计算机网 络信息安全对策的体制，专门制订了一套相应的规则。以制订一引入一运用一评 价一修正的模式，循环往复周期运行，针对风云变幻计算机信息安全领域出现的 新问题，进行及时有效的应对，可以说是一个值得称道的运作模式。日本中央政府各个部委基于对政府信息系统的安全问题考虑，要求结合本单位、 本部门的具体特点，考虑制定相应的规则、办法。为了确保信息安全制度的有效实施，曰本

18、政府设立了相应的信息安全机构，明确 了包括信息安全中心、政府各个部委在内的多个机构的职责。日本政府要求政府 的各个部委应当依法加强对il算机信息安全的管理与控制，防止利用政府的讣算 机系统对其他的计算机系统进行恶意攻击事件的发生。为了进一步提高日本的计 算机信息安全水平，要求政府不断加强与民间团体、企业研究机关之间的信息交 换，建立官民紧密协作、联动的合作体制。日本总理府办公厅信息安全中心负责制订政府机关关于信息安全的统一基准, 要求各个部委应当结合本部门讣算机信息安全具体规则实施的情况、特点，对来 自外部网络的讣算机技术性的威胁等情况，进行持续不间断的研究、评价，在此 基础上制定相应的规则。

19、在计算机信息安全规则的制订中，从组织机构、基本方针的设定、风险的预测、 对策基准的制定、信息的分类及管理、违反信息安全行为的应对措施儿个方面提 出了具体要求。对在业务中存在违反信息安全行为的情形，提出了有必要建立依据上级的指示， 直接命令其停止使用网络终端机器的体制。1.12我国信息系统的安全现状我国已初步建成了国家信息安全组织保障体系。国务院信息办专门成立了网络与 信息安全领导小组，各省、市、自治州也设立了相应的管理机构。2003年9月 中共中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全 保障工作的意见（简称27号文），把信息安全提到了促进经济发展、维护社 会稳定、保障国家

20、安全、加强精神文明建设的高度，并提出了 “积极防御，综合 防范”的信息安全管理方针。2004年9月15日，由公安部、国家保密局、国家 密码管理局和国信办联合下发的关于信息安全等级保护工作的实施意见（66 号文件），明确了实施等级保护的基本做法。2007年6月22日乂由四部委联合 下发信息安全等级保护管理办法（43号文件），规范了信息安全等级保护 的管理。2007年我国基本完成了重要信息系统和基础信息网络的等保定级，等 级保护工作即将进入建设整改阶段。制定和引进了一批重要的信息安全管理标准，包括：计算机信息系统安全保护 等级划分准则(GB 17895-1999)、信息安全技术信息系统安全管理要求

21、 (GB/T 20269-2006)、信息安全技术信息系统安全工程管理要求(GB/T 20282-2006)、信息安全技术信息系统安全等级保护基本要求(GB/T 22239 一2008)、信息安全技术信息系统安全等级保护定级指南(GB/T 22240-2008)、 信息安全管理实施细则(IS017799:2005)和信息安全管理体系要求 (15027001:2005)等。制定了一系列必需的信息安全管理的法律法规。从20世纪90年代初起，为配合 信息安全管理的需要，国家相关部门、行业和地方政府相继制定了中华人民共 和国讣算机信息网络国际联网管理暂行规定、商用密码管理条例、互联 网信息服务管理办法

22、、计算机信息网络国际联网安全保护管理办法、电 子签名法等有关信息安全管理的法律法规文件。开展了信息安全风险评估工作，并作为信息安全管理的核心工作之一，山国家信 息中心组织先后对四个地区(北京、广州、深圳和上海)，十儿个行业的50多家 单位进行了深入细致的调查与研究，最终形成了信息安全风险评估调查报告、 信息安全风险评估研究报告和关于加强信息安全风险评估工作的建议。制定了信息安全技术信息安全风险评估规范(GB/T 20984-2007)。U前我国在信息安全方面存在的问题主要包括：0信息安全管理比较混乱，缺乏国家层面上权威、统一的整体组织和策略，缺乏 专门的组织、规划、管理和实施协调的立法管理机构

23、，执法主体不明确，多头管 理，规则冲突，可操作性差，执行难度较大。实际管理、政策执行和监督力度不 够；0具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序 及相关资源等要素的信息安全管理体系尚未建立起来。为了推动等级保护丄作的 持续发展和深化落实，我们急需提出清晰的等级保护工作和标准体系，准备好评 估检查的能力；0具有我国特点的信息安全风险评估标准体系有待完善，信息安全的需求过于抽 象，缺乏系统、全面的信息安全风险评估和评价体系，以及全面、完善的信息安 全保障体系；0信息安全意识缺乏，普遍存在重产品、轻服务，重技术、轻管理的思想；0专项经费投入不足，管理人才缺乏，基础理论和关

24、键技术研究、标准制定能力 薄弱，严重依靠国外，在国际上缺乏话语权；0整体安全防范技术水平低下，尤其是核心技术方面（如：CPU和操作系统）， 技术创新不够，信息安全管理产品水平和质量不高；0缺乏支撑信息安全管理标准落地的有效手段。总的来说，我国政府信息系统的安全现状不容乐观，政府信息系统存在很多安全 隐患。与西方发达国家相比，我国的信息安全起步很晚，政府部门和民众对网络 认识不深，政府部门对信息系统安全重视程度不够，安全意识淡薄，信息系统的 网络与信息安全防护能力仍处于“初级阶段”，甚至许多外网网站处于“不设防” 状态。12存在的问题与研究思路1.21存在问题（1）现有的信息系统风险管理方法不能

25、处理与风险密切相关的组织信息，如组 织文化、组织业务以及组织信息系统特征等背景信息。（2）现有的信息安全风险管理方法，一般对信息风险的毒了粒度较粗，难以实 现现代管理学所倡导的“精确量化管理”的思想。（3）现有的信息安全风险管理方法，缺乏对风险形成过程的准确刻划。（4）现有的信息安全风险管理方法，难以形成科学的控制信息系统的安全决策。1.22研究思路针对现有的信息系统信息安全风险管理方法的不足，结合信息系统信息安全风 险管理实践，本文的基本研究思路如下所示。第二章一种信息系统信息安全风险管理的新方法ISISRM2.1信息安全风险管理理论基础2.11信息安全的基本属性以及要素信息安全的基本属性是

26、指信息、信息系统及其支撑环境的基本安全特性，包括 保密性、完整性、可用性、不可否认性、可追究性、真实性、可靠性和可控性等。相关国际标准对这些信息安全基本属性的定义归纳如下：保密性(confidentiality)信息不能被未授权的个人、实体或过程利用或 知悉的特性八完整性(integrity) 保护资产的准确和完整的特性。可用性(availability)根据被授权实体的要求可访问和可使用的特性。不可否认性(nonrepudiation)证明行为或事件发生的能力，从而这种事件或行为不能被事后否认。可追究性(accountability)确保实体行为可被唯一跟踪到该实体的特性。 真实性(auth

27、enticity)确保主体或资源的标识是其所声明的特性。真实 性应用于诸如用户、过程、系统和信息等实体。可黑性(reliability)与期望行为和结果一致的特性。可控性(controllability)能够抑制与期望行为和结果偏离的特性。其中，可控性是笔者根据中国国情的需求而引入和定义的。在信息技术领域 中，我国的许多基础网络和重要信息系统中的一些核心或关键技术是引进国外而 非自主研发的，因此，迫切需要对这些核心或关键技术的掌控，以防止因它们的 失控而导致严重后果。信息安全的U标体现为信息安全基本属性的实现和达到的保证级别。每个安 全属性都有相应的保证级别作为其强度的测量尺度。三者之间的关系

28、如图1所 示。信息安全LI标的这种确立方法体现了等级保护的思想，同时也是对等级保护 制度实施的支持。信息安全风险的基本要素包括山信息、信息系统和支撑环境 组成的信息资产、山威胁主体和威胁行为构成的威胁、山信息资产自身弱点形成 的脆弱性、信息资产受到威胁后可能造成的影响以及保护信息资产所采取的安全 措施。这些基本要素与风险的关系为，信息资产、威胁、脆弱性和影响为风险的 正相要素，即信息资产价值越高、威胁主体动机和威胁行为能力越强、脆弱性越 容易被利用、影响程度越严重，那么风险就越大；而安全措施为风险的负相要素, 即安全措施越完善和越有效，那么风险就越小。资产是核心要素，其他要素都是围绕着资产而产

29、生的。也说就是，威胁是指 资产面临的威胁，脆弱性是指资产自身的脆弱性，影响是指资产损失带来的负面 影响，安全措施是指保护资产的安全措施。2.12信息安全风险管理的一般过程信息安全风险管理遵循风险管理的一般过程。它包括五大过程要素，即背景建立、 风险评估、风险处理、监视与评审和沟通与咨询。风险管理过程遵循一般管理的PDCA模型，包括规划(Pkm)、实施(Do)、 检查(Check)和处置(Act)四个基本阶段，也是一个持续改进和迭代式循环的 过程。背景建立和风险评估对应于P阶段，风险处理对应于D阶段，监视与评 审对应于C阶段，进入下一次风险管理过程周期对应于A阶段。对于风险管理, 监视与评审阶段

30、中提出的任何改进建议都需要经过已建背景的确认和风险的再 次评估才能形成改进措施及其实施计划，然后作为改进的风险处理予以实施。因 此，风险管理的A阶段总是直接进入新的一轮风险管理周期。背景建立是风险管理的准备，为后续过程建立活动背景，其内容包括机构的 外部和内部背景以及风险管理背景。风险评估是风险管理的依据，为其他过程提供决策依据，其过程包括风险识 别、风险分析和风险评价三个子阶段，其中，风险分析乂包括风险估算和风险计 算两个子阶段。直到得出满意的风险评估结果，才能进入下一个阶段，即风险处 理；否则，要进行已建背景的确认和风险的再次评估。U前，被公认为有效的风险评估方法是结合初始评估和详细评估的

31、循环迭代 方法，即，第一次风险评估为初始评估，以识别和分析岀所有的高风险为口的， 覆盖评估范围内的所有资产，并集中在资产的业务价值及其面临的严重威胁上， 这是一种横向评估；如果必要再进行第二次棋至更多次的风险评佔，这些评估一 般为详细评估，以深入评佔面临的高风险为口的，针对具有高风险的资产进行深 入细致的风险识别、分析和评价，这是一种纵深评佔。这种评估方法在评估成本 和确保高风险被适当评估之间提供了良好平衡，使得以合理的评估成本确保最严 重的风险得到最详细的关注。其中，风险计算是山笔者在进行了广泛和深入研究 的基础上引入和定义的。风险计算包括单项风险计算和综合风险计算。单项风险 计算是对某一风

32、险场景（即某一威胁主体，采用某一威胁行为，针对某一资产， 利用该资产的某一脆弱性实施威胁时的风险）的计算；综合风险计算是根据评估 者关注风险的角度对单项风险的讣算结果进行的综合计算，讣算结果包括某一威 胁主体产生的综合风险、某一威胁行为产生的综合风险、某一威胁主体利用某一 威胁行为产生的综合风险、某一资产因某一脆弱性而面临的综合风险、某一资产 面临的综合风险、山若干资产组成的系统面临的综合风险等。 风险处理是风险 管理的主体，为缓解风险做出直接贡献，其手段包括风险规避、风险转移、风险 降低和风险接受四种风险处理方式及其相应活动。首先，对风险评估阶段输出的 关于风险评价的结果，依据背景建立阶段确

33、立的风险接受标准，判定哪些风险是 可接受的，哪些是不可接受。然后，对于那些可接受的风险，只需进行必要的风 险接受处理后，便可进入监视与评审阶段，以保持对其变化的注视；对于那些不 可接受的风险，需要在风险规避、风险转移和风险降低中选择合适的处理方式。 在许多情况下，一种处理方式不太可能是一个完整的解决方案，需要多种处理方 式的组合。在实施了所选处理方式之后，再次进行风险接受判断，即对残余风险 进行是否可接受的判断。如果仍然不可接受，或者继续挖掘风险处理的潜力，以 期风险的进一步缓解；或者重新回到背景建立阶段，以期通过调整背景因素来改 变风险，并经过风险评估后为风险处理提供新的可能。监视与评审是风

34、险管理的监查，为有效管理风险提供保障，其途径是持续监 视所有风险要素、风险管理要素和风险管理过程整体状态的变化，检查这些要 素的符合性和有效性，进而把握风险管理过程的整体状态。沟通与咨询是风险管理的通道，为顺畅管理风险提供保障，其做法是在适当 的时候就风险要素、风险管理要素和风险管理过程整体在机构内部和外部方中进 行沟通和咨询，其途径和作用在于通过畅通的交流和充分的沟通，达成相关人员 认知的相互理解和行动的协调一致；通过有效的培训和便捷的咨询，保证相关人 员具有足够的知识和技能。第一轮风险管理周期的工作是开创性的，应该本着可持续发展的原则全面考 虑，为今后的工作打好基础。风险管理过程是持续的、

35、循序渐进的过程，不是一 两轮就能解决全部问题，况且新的问题会不断出现。任何新的一轮风险管理周期 的工作都是建立的前面各轮工作结果的基础上，是对现有风险管理的改进和完 善。监视与评审和沟通与咨询自始至终贯穿于整个风险管理周期，是风险管理得 以有效发挥和顺畅进行的保障。2.2信息系统安全风险管理ISISRM方法的整体框架2.21ISISRM的基本思想及管理周期ISISRM方法体现了一种“定制”的思想，其风险管理的目标、范围、过程 与方法都具有相当的灵活性且具有“开放性S其在识别风险因素一一威胁发起 者和信息系统脆弱性的过程中，并不拘泥于某一种方法，而是根据特定原则建立 起的一座开放式的方法体系，该

36、体系能纳入多种已有的游戏手段和工具，这些手 段和方法互为并从，提高了识别的全面性和可靠性。它能将风险管理过程同具体 的组织环境与业务背景紧密地联系在一起。它能模拟威胁发起者的行为特征，对 风险事件的形成过程，及威胁发起者实现特定攻击的步骤间的时序关系作岀准确 的截图，在此基础上实现对特定类别的风险事件最大成功概率的定量计算。它体 系了 “适度量化”的原则。它将经济学原理引入到安全基础过程中，不再将信息 系统信息安全风险控制与可接受范围的安全解决方案视为一种单纯的“技术上” 的考量，而是就爱那个求解和实施安全方案也视为组织的一种“投资”行为。它 分为风险概率准备阶段、信息安全风险因素识别阶段、信

37、息安全风险分析与评价 阶段、信息系统安全保障分析阶段、信息系统安全决策阶段、信息安全风险动态 监控阶段六个阶段。ionII闻鮮ra斥备风险因*识别风险分析与评估安全保津分析安全决策«息产别lis护2. 22 一般流程下表列岀某公司对风险发生可能性的定性、定量评估标准及其相互对应关 系，供实际操作中参考。定址方法一评分12345定量方法二一定时期发生的槪率10%以下10% - 30%30% - 70%70% - 90%90%以上定 性 方 法文字描述一极低低中等商极商文字描述二一般情况下不会发生极少情况下才发生某些情况下发生较多情况下发生常常会发生文字描述三今后10年内 发生的可能少于

38、1次今后5-10年内可能发生1次今后2-5 年内可能发生1次今后1年内可能发生1今后1年内至少发生1次下表列出某公司关于风险发生后对目标影响程度的定性、定量评 估标准及其相互对应关系，供实际操作中参考。定童方法一评分12315定量方法企业财务损失占税曲临以下1%-5%6%-10%11%-20%20%以上适 用 于 所 有 行 业二利润的百分比“）定性方法文字描述一极轻微的轻微的中等的重大的灾难性的文字描述二极低低中等高极高文 字 描 述企业日常运行不受影响轻度影响 （造成轻微 的人身伤 害，情况立 刻受到控 制）中度影响 （造成一定 人身伤害， 需要医疗 救援情况 需要外部 支持才能 得到控制

39、）严重影响 （企业失去 一些业务 能力，造成 严重人身 伤害，情况 失控，但无 致命影响）重大影响（重大业 务失误， 造成重大 人身伤 亡，情况 失控，给 企业致命 影响）财务擴失较低的财 务损失轻微的财 务损失中等的财 务损失重大的财 务损失极大的财 务损失企业声誉负面消息 在企业内 部流传，企 业声誉没 有受损负面消息 在十地局 部流传，对 企业声誉 造成轻微 损害负面消息 在某区域 流传，对企 业声誉造 成中等损 害负面消息 在全国各 地流传对 企业声誉 造成重大 损害负而消息 流传世界 各地，政 府或监管 机构进行 调查，引 起公众关 注，对企 业声誉造 成无法弥 补的损害适 用 于

40、开 采 业制 造 业定 性 与 定 量 结 合安全短暂影响 职工或公 民的健康严重影响 一位职工 或公民健 庾严重影响 多位职工 或公民健 康导致一位 职工或公 民死亡引致多位 职工或公 民死亡营运-对营运影 响微弱-在时间. 人力或成 木方面不 超出预算 1%-对营运影 响轻微受到监管 者责难-在时间. 人力或成 本方ifii超 出预算 1%-5%减慢营业 运作-受到法规 惩罚或被 罚款等-在时间、 人力或成 本方面超 出侦算 6%-10%无法达到 部分营运 目标或关 键业绩指 标-受到监管 者的限制-在时间、 人力或成 本方面超 出预算 11%-20%-无法达 到所有的 营运目标 或关键业

41、 绩指标-违规操 作使业务 受到中止-时间.人 力或成木 方面超出 预算20%环境对环境或 社会造成 短暂的影 响-可不采収 行动-对环境或 社会造成 一定的影 响应通知政 府有关部 门-对环境造 成中等影 响-需一定时 间才能恢-出现个别 投诉事件-应执行一 定程度的 补救措施-造成主要 环境損害-需要相当 长的时间 來恢复-大规模的 公众投诉应执行重 大的补救 措施-无法弥 补的灾难 性环境損激起公 众的愤怒 -潜在的 大规模的 公众法律 投诉对风险发生可能性的高低和风险对U标影响程度进行定性或定量评估后，依 据评估结果绘制风险坐标图。如：某公司对9项风险进行了定性评估，风险发生的可能性为

42、“低S风险发生后对LI标的影响程度为“极低”；风险发 生的可能性为“极低S对H标的影响程度为“高S则绘制风险坐标图如下： 可能性如某公司对7项风险进行定量评估，其中：风险发生的可能性为83%,发 生后对企业造成的损失为2100万元；风险发生的可能性为40%,发生后对企 业造成的损失为3800万元；.；而风险发生的可能性在55%到62%之间， 发生后对企业造成的损失在7500万元到9100万元之间，在风险坐标图上用一个 区域来表示，则绘制风险坐标图如下：绘制风险坐标图的U的在于对多项风险进行直观的比较，从而确定各风险管 理的优先顺序和策略。如：某公司绘制了如下风险坐标图，并将该图划分为A、 B、

43、C三个区域，公司决定承担A区域中的各项风险且不再增加控制措施；严格 控制B区域中的各项风险且专门补充制定各项控制措施：确保规避和转移C区域 中的各项风险且优先安排实施各项防范措施。C区域A区域 B区域第三章信息系统安全决策研究模型3. 1方案组成决策故障树的最小割集是引起顶事件发生的一种故障模式，可 以认为是系统的一种风险模式，它们构成了信息系统的风险来源。最小割集是导 致正规故障树顶事件发生的数目不可再少的底事件的组合。任何正规故障树均山有限数LI的最小割集组成，它们对给定的正规故障树来说是 唯一的。因此，某个安全产品m只要能防止组成风险模式n的某个底事件的发生，就防止 了风险模式n的发生，

44、如图1所示。图1方案的组成设信息系统的风险模式依危害度（最小割集的发生概率X 后果严重性系数）从大至小的顺序为风险模式1、风险模式2、 风险模式nl ；安全产品按其所能减少的危害度Cm从大至小依 次为安全产品1、安全产品2、安全产品m可供选择组成安 全方案。那么一个可以接受的方案组成的决策步骤如下： （1）制定安全投资目标，确定等风险线R，m=l, T=0（2）选择安全产品T=T+1；计算各故障事件和顶事件的危害度Cm（ni=ln） c;（4）如果“ eiWR（耐二z）”或“ CW，决策过程结束；否则III二m+1转 至。其中，等风险线是由用户根据信息系统的规模、安全需求 等实际因素而确定的可

45、以接受的风险程度，比如可以取等风险 案线R二500元/月；“ Cm W R或“ Cs W R”为决策判断条件，“ Cm W R ”是指将根据故障事件的发生后果和发生概率画岀的 法默（F R FaHner）风险曲线和等风险线进行判断。如果法默风 险曲线的大部分点都在等风险线之下，仅有个别点超过等风险 线R,那么采用由已选安全产品组成的安全方案后系统的安全 设计是基本上可以接受的c。W 是指将信息系统的安全风 险e与等风险线慰如：500元/月）进行数值比较，该不等式成 立则说明系统的安全设计可以接受。具体釆取哪种决策判断条 件，需要考虑用户信息系统的安全投资能力.安全需求等而定。 T为最后所选安全

46、产品的类别的总数。3. 2选型决策安全方案的组成决策，决定了该信息系统实施由安全产品1-T 组成安全方案后可以使系统的安全达到可以接受的程度。 在此基础上，还需对具体的每一类安全产品f进行选型决策。产品选型在不影响安全方案的整体安全效能的前提下，主 炸二竺哗_ 要取决于该安全产品t在该信息系统实施的效益/投资比气 ，因其可以集中反映安全决策的效益目标。需要注 意的是，上式中的效益，仅仅是该安全产品的实施所能减少的 危害度所占的比例，实际上还需考虑该安全产品的运行维护成 本，比如人力资源成本、维护升级费用等，应将这些后期投入's 一 y从中除去。即其中，ct是安全产品t的运行维护成本，v

47、t为安全产品t的投资额。3. 3安全投资决策方案组成决策和产品选型决策给出了经济的、风险适可的 安全方案的决策模型。当不考虑其它条件限制时，不同的系统规模、投资能力、 投资LI的，其决策意向也会不同。如有的信息系统对安全有很高的要求，但基本 上不必考虑安全投资额；有的信息系统则可能要求在风险可接受的前提下，追求 高的效益投资比。这就需要在方案组成决策和产品选型决策的基础 上，进一步采用AHP层次分析法进行决策。3. 1.1建立层次结采用AHP法进行投资决策，首先建立层次结构模型，如图2所示。其中准则 层R是集中安全方案决策的关键原则，可以请专家提出其他准则，在此只举例三 个准则：安全效益R1、

48、投资额度R2、效益投资比R3。方案层s是可供选择的安 全方案集。3. 2. 2构造判断矩阵并进行层次单排序如表1所示，其中Uk/Ko表示准则艘与准则R1的相对重要性的主观比值，w般为取1, 2, 3,，9及它们的倒数。依此类推，再建 立判断矩阵：准则R2（投资额度）方案s和准则R1 （安全效益）方案S,并求出 相应的一致f生检验量，如表2所示。需要指出的是，在判断矩阵1_1标A准则R中，集中反映了决策者所考虑的关键原则及其重要性；而在判断矩阵准则层 R方案层S中，其数值取决于前文安全解决方案效益评估的结果和方案的实际 投资概算额度等。因此,AHP安全决策，是在对安全方案进行基于故障树模型的 安

49、全效益评估的基础上，并在确定评佔准则及其相对重要洼的前提下，进行的决决策过程表1判断矩阵：目标A-准则R目标A安全效益R1投资额度R2效益投资比R3权重一致性检验量安全效益R11叶 1WRl *刚Xinax=CI=Rl-0.58CR=投资额度R2%叫1叭2 %效益投资比R3-.”肿 /ua1表2判断矩阵（举例' 准则R3-方案S则 R3效益投资龙、方案S1方案S2方案S3权重一致性检验量方案S11儿】/心A max=CI=RI=0.58CR-方案S27 Jr a1乙“人3略2方案S3儿3九&仅21略3表3决策结论、决R层淤、安全效益Rl投资额废R2效益投资比R3层次 总排序一致

50、性检验量%叭3方案SI陷3Mla=RI-O.58CR=方案S2方篆S3>13. 3. 3 致性检验最后考察层次总排序中一致性检验量，若判断矩阵的随机一致性比例：C1CR = <OARI 。那么，判断矩阵具有满意的一致性，否则必须对判断矩阵进行调整。当判断矩阵的阶数小于等于15时，平均一致性指RI山表4给出表4平均随机一致性指标阶数13$6 18910112BLI15-0 W0 000.580 901.121.2414!1 %1491.521.541 5611 593. 3. 4决策结论根据上述分析结果，安全解决方案 S1 、 s2、s3在主要考虑方案的安全效益、投资额度、效益投资比

51、时，其总排序结果 即为层次总排序中的排序结果。第四章ISISRM方法的应用验证4.1南方某集团信息系统简介南方某高科技电子产品集团有限公司（以下简称集团），为了全面通过集团 的经营管理水平，增强企业竞争能力，以1999年启动了覆盖取取暖集团各个职 能部门的管理信息系统项LI。系统的整体口标是以知识管理信息，以信息管理数 据，通过数据控制科技开发、主产和经营的思想实现知识、信息和数据在全集团 范圉内的集成，提高全集团的整体运作效率。集团Intranet信息系统的网络环 境。1网络平台网络平台在机构上分为三级：第一级为位于集团总部大厦的主干网络；第 二级为本地生产基地局域网络；第三级为位于一地的二

52、级生产基地、三级生产基 地以及集团深圳营销分部各自的局域网络。2集团信息系统的体系机构第四层D&诚映Sever第三层 Application Sever第二层 WebSew0应用连粗繼WebK务功能wwwifl®! wwwiflKS« a »wwwass 1wwwMK#客户机客户机客户机图4.2信息系统的四层体系结构利用该四层体系结构的第一、三、四层，集团信息系统构建起一个面向用户 和企业和集团业务运行的应用服务平台，高平台供分为三个部分：首先为食物处 理部分,即科研u生产管理MIS系统,包括计划、科研、生产运行、安全、设备、 物资供应、财务、销售等子系统

53、，主要负责管理信息的收集、存储和处理；其次 为办公室自动化部分，主要分部办公信息和办公文件资料，管理如此办公活动和 工作计划，这一应用平台的整体选用Lotus Notes办公套件，主要功能有E-mail. 公文系统、会议系统、档案系统、如此办公管理系统；最后为信息资源管理平台, 这一平台用WEB技术首先综合查询，提供界面一致、手段丰富的信息检索与查询 功能以及FIP、远程登陆等服务，通过防火墙向外分部集团信息并接入Internet, 4.2运用ISISRM对集团信息系统进行风险管理的过程与结论4.21信息系统描述过程由于集团主干网络周界信息系统域模型ISDM很大，下面仅对ISDM的部分 域元素

54、展开说明：(1) Dh、Dos和Das三个域中的元素如下表。主机域D”操作系统域应用轶件域6敷据库服务SSCYCTIWindows 2000 ServerSQL 7.0应用服务晶SCVCT2Windows 2000 Server定制的MIS系统内部Web»务容Sever3Windows 2000 ServerMicrosoft IIS 5.0Lotus Notes 服务器 Scver4Window 2000 ServerLotus Noto 系统综合服务器ScvcrfWindow? 2000 ServerAAA认证务霸ScvcrtWindows 2000 ServerAAA认还系统DNSSeva?Windows 2000 Server帚服务B Se