信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理方法研究

1、信息科學(xué)系信息安全專業(yè)畢業(yè)論文 姓名：許劍飛專業(yè)：信息安全研究方向：信息安全風(fēng)險(xiǎn)管理理論與方法指導(dǎo)老師:自斌摘要隨著Internet的普及和全球信息化的不斷推進(jìn)，與組織業(yè)務(wù)相關(guān)的信息系統(tǒng) 已經(jīng)成為了組織賴以生存的主要戰(zhàn)略資源，保障其信息安全的重要性受到廣泛關(guān) 注。在已有的信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理方法將信息系統(tǒng)風(fēng)險(xiǎn)分析與評(píng)佔(zhàn)同具體 的組織環(huán)境和業(yè)務(wù)背景想割裂，缺乏對(duì)風(fēng)險(xiǎn)形成過(guò)程的分析與描繪，進(jìn)行安全決 策時(shí)單純考慮“技術(shù)”因素、缺乏對(duì)組織決策層期望實(shí)現(xiàn)的多個(gè)決策U標(biāo)的全面 表達(dá)。為了彌補(bǔ)上述不足，本文提出了一套信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的新方案 ISISRM,并對(duì)該方法所涉及的關(guān)鍵問(wèn)題進(jìn)行了深入研

2、究，為組織進(jìn)行信息系統(tǒng) 信息安全風(fēng)險(xiǎn)管理提供了一條新途徑。關(guān)鍵詞：信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理 利用圖安全決策模糊多U標(biāo)優(yōu)化目錄第一章緒論41.1國(guó)內(nèi)外信息系統(tǒng)的信息安全現(xiàn)狀 41.2存在的問(wèn)題與研究思路 11第二章 ISISRM 132.1信息安全風(fēng)險(xiǎn)管理理論基礎(chǔ)132.2ISISRM方法的整體框架15第三章信息系統(tǒng)安全決策研究203.1方案組成決策203.2選型決策213.3安全投資決策21第四章ISISRM方法的應(yīng)用驗(yàn)證244.1南方某集團(tuán)信息系統(tǒng)簡(jiǎn)介244.2運(yùn)用ISISRM對(duì)集團(tuán)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)管理的過(guò)程與結(jié)論25 第五章結(jié)論與展望335.1主要結(jié)論335.2研究展望33致謝34參考文獻(xiàn)

3、35第一章緒論1.1國(guó)內(nèi)外信息系統(tǒng)的信息安全現(xiàn)狀政府信息系統(tǒng)關(guān)系到國(guó)家利益，各國(guó)都非常重視政府信息系統(tǒng)的信息安全保障， 許多國(guó)家已經(jīng)采取了大量的措施，保障信息系統(tǒng)安全有效的運(yùn)行。構(gòu)建可信的網(wǎng) 絡(luò)，建設(shè)有效的信息安全保障體系，實(shí)施切實(shí)可行的信息安全保障措施已經(jīng)成為 世界各國(guó)信息化發(fā)展的主要需求。信息化發(fā)展比較好的發(fā)達(dá)國(guó)家，非常重視國(guó)家 信息安全的管理工作，如美、俄、德、日等國(guó)家都已經(jīng)或正在制訂自己的信息安 全發(fā)展戰(zhàn)略和發(fā)展計(jì)劃，確保信息安全沿著正確的方向發(fā)展，他們?cè)谛畔踩I(lǐng) 域進(jìn)行著積極有益的探索。1.11國(guó)外信息系統(tǒng)的安全現(xiàn)狀美國(guó)的信息化程度全球最高，是信息超級(jí)大國(guó)，在信息技術(shù)的主導(dǎo)權(quán)和網(wǎng)絡(luò)

4、上的 話語(yǔ)權(quán)等方面占據(jù)先天優(yōu)勢(shì)，他們?cè)谡畔⑾到y(tǒng)的信息安全體系建設(shè)以及政策 支持方面也走在全球的前列。美國(guó)信息安全管理的最高權(quán)力機(jī)構(gòu)是美國(guó)國(guó)土安全 局，分擔(dān)信息安全管理和執(zhí)行的機(jī)構(gòu)有國(guó)家安全局、聯(lián)邦調(diào)查局、國(guó)防部、商務(wù) 部等，主要根據(jù)相應(yīng)的方針和政策結(jié)合自己部門的情況實(shí)施信息安全保障工作。美國(guó)國(guó)防部?jī)汉跤绊懥巳澜绲男畔踩拍?、觀念和理念。1967年，DOD開(kāi)始 研究訃算機(jī)安全問(wèn)題，1977年提出加強(qiáng)聯(lián)邦政府和國(guó)防系統(tǒng)訃算機(jī)安全的倡議, 1983年提出可信計(jì)算機(jī)系統(tǒng)評(píng)佔(zhàn)準(zhǔn)則（TCSEC） , 1987年對(duì)新發(fā)布的計(jì)算機(jī)安 全法的執(zhí)行情況進(jìn)行部門級(jí)評(píng)佔(zhàn)，1997年發(fā)布國(guó)防部IT安全認(rèn)證認(rèn)可規(guī)

5、程（DITSCAP）,該規(guī)程在2000年由國(guó)家安全委員會(huì)發(fā)布為國(guó)家信息保障認(rèn)證和 認(rèn)可規(guī)程（IACAP）。前，美國(guó)已制定的有關(guān)信息安全的法律有：信息自由 法、個(gè)人隱私法、計(jì)算機(jī)安全法、電信法、聯(lián)邦信息安全管理法案等，形成了較 完備的信息安全保障體系。2002年美國(guó)頒布的聯(lián)邦信息安全管理法案（FISMA）,試圖通過(guò)采取適當(dāng)?shù)?安全控制措施來(lái)保證聯(lián)邦機(jī)構(gòu)的信息系統(tǒng)安全性，是當(dāng)前美國(guó)信息安全領(lǐng)域的一 個(gè)重要發(fā)展計(jì)劃。FISMA的實(shí)施分為三個(gè)階段，分別為開(kāi)發(fā)標(biāo)準(zhǔn)和指南(2003-2008)、形成安全能力(2007-2010)和運(yùn)用自動(dòng)化工具(2008-2009)。 為了有效地實(shí)現(xiàn)FISMA LI標(biāo)，F(xiàn)

6、ISMA指定美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)開(kāi) 發(fā)和發(fā)布相關(guān)的標(biāo)準(zhǔn)、指導(dǎo)方針以及其它出版物，幫助聯(lián)邦機(jī)構(gòu)實(shí)現(xiàn)聯(lián)邦信息安 全管理法案，以保護(hù)其信息和信息系統(tǒng)。作為FISMA第一階段的成果，NIST提 供了一套有效的信息安全保障框架和機(jī)制，提供了保護(hù)信息和信息系統(tǒng)的有效方 法和手段，促成了一套全面權(quán)威的信息安全標(biāo)準(zhǔn)體系，其中包括IT系統(tǒng)安全 自評(píng)估指南(SP 800-26)、IT系統(tǒng)風(fēng)險(xiǎn)管理指南(SP 800-30).聯(lián) 邦I(lǐng)T系統(tǒng)安全認(rèn)證和認(rèn)可指南(SP 800-37)、聯(lián)邦信息和信息系統(tǒng)的安全 分類標(biāo)準(zhǔn)(FIPS 199)、聯(lián)邦I(lǐng)T系統(tǒng)最低安全控制推薦(SP 800-53)、將各種信息和信

7、息系統(tǒng)映射到安全類別的指南(SP 800-60)、IT產(chǎn)品國(guó) 家配置清單項(xiàng)口一配置清單用戶和開(kāi)發(fā)者指南(草案)(SP 800-70 Revision 1) (Draft)等多個(gè)文檔，以風(fēng)險(xiǎn)管理思想為基礎(chǔ)加強(qiáng)聯(lián)邦政府的信息安全，對(duì) 設(shè)計(jì)和實(shí)現(xiàn)有效的信息安全項(xiàng)LI具有十分重要的意義。所有美國(guó)聯(lián)邦政府機(jī)構(gòu)以 及承包商或其他代表聯(lián)邦機(jī)構(gòu)的組織所使用或管理的信息系統(tǒng)都被強(qiáng)制要求遵 循門ST發(fā)表的SP800系列、聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)文件，以及其他聯(lián)邦信 息系統(tǒng)的相關(guān)法律條例。FISMA第二階段的工作LI標(biāo)是要形成安全能力，通過(guò)評(píng)估拿出符合性憑據(jù)，美國(guó) 國(guó)家標(biāo)準(zhǔn)技術(shù)委員會(huì)發(fā)布了若干個(gè)不同的標(biāo)準(zhǔn)，包括

8、150, 150-17和7328等， 主要LI標(biāo)就是約束相關(guān)的信息安全測(cè)評(píng)機(jī)構(gòu)，需要具備這樣的服務(wù)能力和服務(wù)準(zhǔn) 則來(lái)為聯(lián)邦相關(guān)機(jī)構(gòu)的信息系統(tǒng)進(jìn)行測(cè)評(píng)以確認(rèn)這些系統(tǒng)是否符合信息安全管 理法案的要求。FISMA最后一個(gè)階段的工作重點(diǎn)是落地，其工作目標(biāo)就是，推動(dòng)自動(dòng)化工具的使 用，從2009年向后的三到五年的時(shí)間里，盡可能地把一些規(guī)范和標(biāo)準(zhǔn)自動(dòng)化、 工具化，從而配合安全運(yùn)維人員更好地工作。NIST推出了 S-CAP協(xié)議(安全內(nèi) 容自動(dòng)化協(xié)議)，它是一種通過(guò)明確的標(biāo)準(zhǔn)化的模式使漏洞管理、安全監(jiān)測(cè)和政 策符合性能夠與美國(guó)聯(lián)邦信息安全管理法案一致的方法。主要山六個(gè)不同的技術(shù) 標(biāo)準(zhǔn)(CVE、CCE、CPE、

9、XCCDF、OVAL和CVSS)作為支撐，六個(gè)不同的標(biāo)準(zhǔn)分別 從漏洞、配制、系統(tǒng)脆弱性的統(tǒng)一命名，包括脆弱性嚴(yán)重性的評(píng)分標(biāo)準(zhǔn)，安全檢 查的步驟，檢查項(xiàng)U及檢查報(bào)告等各個(gè)方面進(jìn)行有效地設(shè)定，從而保證后期的工 具、軟件開(kāi)發(fā)廠商能夠有一個(gè)明確可落地的標(biāo)準(zhǔn)進(jìn)行參考。在S-CAP的基礎(chǔ)上由 美聯(lián)邦政府牽頭針對(duì)一些聯(lián)邦政府的桌面主機(jī)開(kāi)展了一個(gè)FDCC的安全項(xiàng)目，專 門對(duì)Windows系統(tǒng)主機(jī)的安全漏洞和安全配置進(jìn)行檢查的標(biāo)準(zhǔn)，并由安全廠商開(kāi)發(fā)了對(duì) 應(yīng)的FDCC Scanner設(shè)備進(jìn)行自動(dòng)化的檢查，而FDCC也給通過(guò)FDCC認(rèn)證的Scanner頒發(fā)證 書。2007財(cái)年，美國(guó)IT投資650億美元，安全投資59

10、億美元，占9. 2%； 2009年美 國(guó)將加大政府信息系統(tǒng)安全投入，IT支出達(dá)到709億美元，其中的10.3%,即總 額約73億美元將用于提高IT安全性。俄羅斯十分重視信息安全的作用，時(shí)時(shí)處處以信息安全危機(jī)來(lái)報(bào)策、督促各單位 把信息安全工作做得更好。從法令、機(jī)構(gòu)人員、資金、技術(shù)、管理等角度全方位 給信息安全檢查工作予以支持和保障。政府發(fā)布了許多有關(guān)信息安全的法律法 規(guī)，例如1995年，俄羅斯憲法把信息安全納入了國(guó)家安全管理范圍，頒布了聯(lián) 邦信息、信息化和信息網(wǎng)絡(luò)保護(hù)法，強(qiáng)調(diào)了國(guó)家在建立信息資源和信息網(wǎng)絡(luò)化 中的責(zé)任，1997年的俄羅斯國(guó)家安全構(gòu)想明確提出保障國(guó)家安全應(yīng)把保障 經(jīng)濟(jì)安全放在笫一位

11、，而信息安全乂是經(jīng)濟(jì)安全的重中之重。2002年俄羅斯安 全委員會(huì)通過(guò)了國(guó)家信息安全學(xué)說(shuō)，明確了聯(lián)邦信息安全建設(shè)的LI的、任務(wù)、 原則和主要內(nèi)容，對(duì)國(guó)家信息網(wǎng)絡(luò)安全面臨的問(wèn)題及信息網(wǎng)絡(luò)戰(zhàn)武器裝備現(xiàn)狀、 發(fā)展前景和防御方法等進(jìn)行了詳盡的論述，闡明了俄羅斯在信息網(wǎng)絡(luò)安全方面的 立場(chǎng)、觀點(diǎn)和基本方針，提出了在該領(lǐng)域?qū)崿F(xiàn)國(guó)家利益的手段和相關(guān)措施。第一 次明確指出了俄羅斯在信息領(lǐng)域的利益是什么、受到的威脅是什么以及為確保信 息安全所要采取的措施等。隨著全球信息化步伐的加快，俄羅斯對(duì)國(guó)家信息安全的重視程度日益提高，信息 網(wǎng)絡(luò)安全已納入國(guó)家安全戰(zhàn)略。普京總統(tǒng)強(qiáng)調(diào)：“信息資源和信息基礎(chǔ)設(shè)施已經(jīng) 成為爭(zhēng)奪世界領(lǐng)先

12、地位的舞臺(tái)，未來(lái)的政治和經(jīng)濟(jì)將取決于信息資源。因此，解 決這方面的問(wèn)題，對(duì)國(guó)家的前途、國(guó)家利益和國(guó)家安全至關(guān)重要?！倍砹_斯建立了完善的信息保護(hù)國(guó)家系統(tǒng)，通過(guò)執(zhí)行俄羅斯聯(lián)邦總統(tǒng)直管的國(guó)家技 術(shù)委員會(huì)條例，保證信息保護(hù)領(lǐng)域的國(guó)家統(tǒng)一政策，同時(shí)兼顧國(guó)家、社會(huì)和個(gè)人 利益的均衡。俄羅斯聯(lián)邦政府從信息安全、經(jīng)濟(jì)安全、國(guó)防安全、生態(tài)安全和社 會(huì)安全兒個(gè)方面入手，將信息安全策略分為全權(quán)安全政策和選擇性安全政策兩 類，提出了主客體分級(jí)訪問(wèn)的構(gòu)想來(lái)控制存取訪問(wèn)，B|J：只有當(dāng)主體的現(xiàn)時(shí)安全 能力不低于客體臨界標(biāo)記時(shí)，信息方可“向上”傳輸。俄羅斯聯(lián)邦政府聯(lián)絡(luò)與情報(bào)局為俄羅斯聯(lián)邦國(guó)家政權(quán)機(jī)關(guān)建立了因特網(wǎng)網(wǎng)段一RGI

13、N (Russian Government Internet Network)。他們?cè)诒Ｕ闲畔踩矫孢€ 做了大量的丄作。首先建成了高效安全的“阿特拉斯”數(shù)據(jù)傳輸，確保俄羅斯聯(lián) 邦各主體行政中心之間文件的網(wǎng)絡(luò)傳輸，在最高國(guó)家機(jī)關(guān)安裝了保障加密數(shù)據(jù)交 換的技術(shù)設(shè)備，解決了該系統(tǒng)與國(guó)內(nèi)其他通信網(wǎng)協(xié)同的技術(shù)課題。然后他們還確 立了計(jì)算機(jī)系統(tǒng)安全評(píng)佔(zhàn)標(biāo)準(zhǔn)、產(chǎn)品安全評(píng)估軟件等一系列完善的系統(tǒng) 安全評(píng)估指標(biāo)。同時(shí)，建立了聯(lián)邦經(jīng)濟(jì)信息保護(hù)中心，負(fù)責(zé)政府網(wǎng)絡(luò)及其他的專 門網(wǎng)絡(luò)、網(wǎng)絡(luò)信息配套保護(hù)、國(guó)家政權(quán)機(jī)關(guān)信息技術(shù)保障等。俄羅斯在發(fā)展信息安全技術(shù)上堅(jiān)持自主創(chuàng)新、自成體系。強(qiáng)調(diào)數(shù)學(xué)模型與論證發(fā) 揮自動(dòng)控制理論的

14、作用。注重芯片和操作系統(tǒng)的研發(fā)。俄羅斯的芯片設(shè)計(jì)技術(shù)獨(dú) 具風(fēng)格，LI前已達(dá)到世界領(lǐng)先水平。操作系統(tǒng)是俄羅斯大學(xué)和科研機(jī)構(gòu)重點(diǎn)攻關(guān) 的課題。如圣彼得堡技術(shù)大學(xué)已研制了自主安全內(nèi)核的高安全等級(jí)操作系統(tǒng)，不 受病毒和黑客的侵犯，是在安全的數(shù)學(xué)模型基礎(chǔ)上進(jìn)行開(kāi)發(fā)的。在與國(guó)外產(chǎn)品兼 容上只局限于外層的功能調(diào)用，內(nèi)核是自己的。此外，俄羅斯聯(lián)邦政府在保障財(cái)政信貸和銀行領(lǐng)域信息安全方面做了大量的工 作。中央銀行系統(tǒng)研究了保護(hù)信息處理技術(shù)設(shè)備的問(wèn)題，積極推廣使用有安全保 護(hù)的信息技術(shù)和網(wǎng)絡(luò)技術(shù)。在加密領(lǐng)域，密碼學(xué)院從事著加密技術(shù)研究工作，著 力加強(qiáng)光纖通信加密和量子加密方面的研究。德國(guó)是歐洲頭號(hào)經(jīng)濟(jì)大國(guó)，也是僅

15、次于美國(guó)、日本的世界第三經(jīng)濟(jì)強(qiáng)國(guó)。通過(guò)制 定和實(shí)施信息化發(fā)展戰(zhàn)略，德國(guó)信息化獲得了較快的發(fā)展。德國(guó)在信息安全方面 是歐洲的典范，其主要做法包括三方面：一是有明確的責(zé)任部門。德國(guó)聯(lián)邦經(jīng)濟(jì)和勞工部下屬的聯(lián)邦電信和郵政總局主要 負(fù)責(zé)聯(lián)邦電信基礎(chǔ)設(shè)施的安全維護(hù)工作；內(nèi)政部和其下屬聯(lián)邦信息安全署主要負(fù) 責(zé)信息技術(shù)應(yīng)用方面的安全問(wèn)題，如互聯(lián)網(wǎng)安全管理、防病毒入侵和應(yīng)急處理計(jì) 算機(jī)問(wèn)題等。聯(lián)邦安全署還負(fù)責(zé)對(duì)互聯(lián)網(wǎng)進(jìn)行內(nèi)容監(jiān)管，對(duì)需要跨部門協(xié)調(diào)的工 作制定統(tǒng)一的方案。聯(lián)邦內(nèi)政部下屬的聯(lián)邦信息安全署設(shè)有計(jì)算機(jī)緊急反應(yīng)小 組，提供每天24小時(shí)的“應(yīng)急服務(wù)”，解決互聯(lián)網(wǎng)的安全問(wèn)題，防止計(jì)算機(jī)病 毒和網(wǎng)絡(luò)攻擊。聯(lián)邦政

16、府專門成立聯(lián)邦信息安全辦公室，負(fù)責(zé)處理信息安全方面 的技術(shù)問(wèn)題。二是重視運(yùn)用法律手段。德國(guó)聯(lián)邦經(jīng)濟(jì)和勞工部下屬的聯(lián)邦電信和郵政總局在為 德國(guó)聯(lián)邦其他部門提供基礎(chǔ)電信服務(wù)的同時(shí)，還負(fù)責(zé)起草和制定電信法和數(shù) 字簽名法等法律，并協(xié)調(diào)聯(lián)邦政府各部門有效使用數(shù)字簽名來(lái)保障信息安全。 聯(lián)邦政府制定了具體的訃劃和措施加強(qiáng)互聯(lián)網(wǎng)上的安全，包括頒布了電子簽名 法和電子商務(wù)法。三是綜合運(yùn)用相關(guān)技術(shù)措施;德國(guó)聯(lián)邦政府為加強(qiáng)信息安全采取了一系列的措 施，包括重大基礎(chǔ)設(shè)施的保護(hù)，增強(qiáng)社會(huì)各界的信息安全意識(shí)，通過(guò)設(shè)立安全門 戶網(wǎng)站為企業(yè)和個(gè)人提供相關(guān)信息和安全工具，增強(qiáng)互聯(lián)網(wǎng)上的信息安全，開(kāi)展 信息安全認(rèn)證，推廣新的安全

17、技術(shù)，與IT企業(yè)合作開(kāi)展安全技術(shù)趨勢(shì)研究，大 力研發(fā)和使用密碼技術(shù)、安全可靠的構(gòu)件和生物識(shí)別技術(shù)等。日本自2001年1月IT基本法頒布以來(lái)，在根據(jù)該法制訂的每一年重點(diǎn)發(fā)展 計(jì)劃中，對(duì)電子政府以及電子政務(wù)相關(guān)的具體內(nèi)容都做出了規(guī)定，針對(duì)計(jì)算機(jī)網(wǎng) 絡(luò)信息安全對(duì)策的體制，專門制訂了一套相應(yīng)的規(guī)則。以制訂一引入一運(yùn)用一評(píng) 價(jià)一修正的模式，循環(huán)往復(fù)周期運(yùn)行，針對(duì)風(fēng)云變幻計(jì)算機(jī)信息安全領(lǐng)域出現(xiàn)的 新問(wèn)題，進(jìn)行及時(shí)有效的應(yīng)對(duì)，可以說(shuō)是一個(gè)值得稱道的運(yùn)作模式。日本中央政府各個(gè)部委基于對(duì)政府信息系統(tǒng)的安全問(wèn)題考慮，要求結(jié)合本單位、 本部門的具體特點(diǎn)，考慮制定相應(yīng)的規(guī)則、辦法。為了確保信息安全制度的有效實(shí)施，曰本

18、政府設(shè)立了相應(yīng)的信息安全機(jī)構(gòu)，明確 了包括信息安全中心、政府各個(gè)部委在內(nèi)的多個(gè)機(jī)構(gòu)的職責(zé)。日本政府要求政府 的各個(gè)部委應(yīng)當(dāng)依法加強(qiáng)對(duì)il算機(jī)信息安全的管理與控制，防止利用政府的訃算 機(jī)系統(tǒng)對(duì)其他的計(jì)算機(jī)系統(tǒng)進(jìn)行惡意攻擊事件的發(fā)生。為了進(jìn)一步提高日本的計(jì) 算機(jī)信息安全水平，要求政府不斷加強(qiáng)與民間團(tuán)體、企業(yè)研究機(jī)關(guān)之間的信息交 換，建立官民緊密協(xié)作、聯(lián)動(dòng)的合作體制。日本總理府辦公廳信息安全中心負(fù)責(zé)制訂政府機(jī)關(guān)關(guān)于信息安全的統(tǒng)一基準(zhǔn), 要求各個(gè)部委應(yīng)當(dāng)結(jié)合本部門訃算機(jī)信息安全具體規(guī)則實(shí)施的情況、特點(diǎn)，對(duì)來(lái) 自外部網(wǎng)絡(luò)的訃算機(jī)技術(shù)性的威脅等情況，進(jìn)行持續(xù)不間斷的研究、評(píng)價(jià)，在此 基礎(chǔ)上制定相應(yīng)的規(guī)則。

19、在計(jì)算機(jī)信息安全規(guī)則的制訂中，從組織機(jī)構(gòu)、基本方針的設(shè)定、風(fēng)險(xiǎn)的預(yù)測(cè)、 對(duì)策基準(zhǔn)的制定、信息的分類及管理、違反信息安全行為的應(yīng)對(duì)措施兒個(gè)方面提 出了具體要求。對(duì)在業(yè)務(wù)中存在違反信息安全行為的情形，提出了有必要建立依據(jù)上級(jí)的指示， 直接命令其停止使用網(wǎng)絡(luò)終端機(jī)器的體制。1.12我國(guó)信息系統(tǒng)的安全現(xiàn)狀我國(guó)已初步建成了國(guó)家信息安全組織保障體系。國(guó)務(wù)院信息辦專門成立了網(wǎng)絡(luò)與 信息安全領(lǐng)導(dǎo)小組，各省、市、自治州也設(shè)立了相應(yīng)的管理機(jī)構(gòu)。2003年9月 中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)的國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全 保障工作的意見(jiàn)（簡(jiǎn)稱27號(hào)文），把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展、維護(hù)社 會(huì)穩(wěn)定、保障國(guó)家

20、安全、加強(qiáng)精神文明建設(shè)的高度，并提出了 “積極防御，綜合 防范”的信息安全管理方針。2004年9月15日，由公安部、國(guó)家保密局、國(guó)家 密碼管理局和國(guó)信辦聯(lián)合下發(fā)的關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（66 號(hào)文件），明確了實(shí)施等級(jí)保護(hù)的基本做法。2007年6月22日乂由四部委聯(lián)合 下發(fā)信息安全等級(jí)保護(hù)管理辦法（43號(hào)文件），規(guī)范了信息安全等級(jí)保護(hù) 的管理。2007年我國(guó)基本完成了重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)的等保定級(jí)，等 級(jí)保護(hù)工作即將進(jìn)入建設(shè)整改階段。制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)，包括：計(jì)算機(jī)信息系統(tǒng)安全保護(hù) 等級(jí)劃分準(zhǔn)則(GB 17895-1999)、信息安全技術(shù)信息系統(tǒng)安全管理要求

21、 (GB/T 20269-2006)、信息安全技術(shù)信息系統(tǒng)安全工程管理要求(GB/T 20282-2006)、信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T 22239 一2008)、信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2008)、 信息安全管理實(shí)施細(xì)則(IS017799:2005)和信息安全管理體系要求 (15027001:2005)等。制定了一系列必需的信息安全管理的法律法規(guī)。從20世紀(jì)90年代初起，為配合 信息安全管理的需要，國(guó)家相關(guān)部門、行業(yè)和地方政府相繼制定了中華人民共 和國(guó)訃算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定、商用密碼管理?xiàng)l例、互聯(lián) 網(wǎng)信息服務(wù)管理辦法

22、、計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法、電 子簽名法等有關(guān)信息安全管理的法律法規(guī)文件。開(kāi)展了信息安全風(fēng)險(xiǎn)評(píng)估工作，并作為信息安全管理的核心工作之一，山國(guó)家信 息中心組織先后對(duì)四個(gè)地區(qū)(北京、廣州、深圳和上海)，十兒個(gè)行業(yè)的50多家 單位進(jìn)行了深入細(xì)致的調(diào)查與研究，最終形成了信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告、 信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告和關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的建議。制定了信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范(GB/T 20984-2007)。U前我國(guó)在信息安全方面存在的問(wèn)題主要包括：0信息安全管理比較混亂，缺乏國(guó)家層面上權(quán)威、統(tǒng)一的整體組織和策略，缺乏 專門的組織、規(guī)劃、管理和實(shí)施協(xié)調(diào)的立法管理機(jī)構(gòu)

23、，執(zhí)法主體不明確，多頭管 理，規(guī)則沖突，可操作性差，執(zhí)行難度較大。實(shí)際管理、政策執(zhí)行和監(jiān)督力度不 夠；0具有我國(guó)特點(diǎn)的、動(dòng)態(tài)的和涵蓋組織機(jī)構(gòu)、文件、控制措施、操作過(guò)程和程序 及相關(guān)資源等要素的信息安全管理體系尚未建立起來(lái)。為了推動(dòng)等級(jí)保護(hù)丄作的 持續(xù)發(fā)展和深化落實(shí)，我們急需提出清晰的等級(jí)保護(hù)工作和標(biāo)準(zhǔn)體系，準(zhǔn)備好評(píng) 估檢查的能力；0具有我國(guó)特點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)體系有待完善，信息安全的需求過(guò)于抽 象，缺乏系統(tǒng)、全面的信息安全風(fēng)險(xiǎn)評(píng)估和評(píng)價(jià)體系，以及全面、完善的信息安 全保障體系；0信息安全意識(shí)缺乏，普遍存在重產(chǎn)品、輕服務(wù)，重技術(shù)、輕管理的思想；0專項(xiàng)經(jīng)費(fèi)投入不足，管理人才缺乏，基礎(chǔ)理論和關(guān)

24、鍵技術(shù)研究、標(biāo)準(zhǔn)制定能力 薄弱，嚴(yán)重依靠國(guó)外，在國(guó)際上缺乏話語(yǔ)權(quán)；0整體安全防范技術(shù)水平低下，尤其是核心技術(shù)方面（如：CPU和操作系統(tǒng)）， 技術(shù)創(chuàng)新不夠，信息安全管理產(chǎn)品水平和質(zhì)量不高；0缺乏支撐信息安全管理標(biāo)準(zhǔn)落地的有效手段?？偟膩?lái)說(shuō)，我國(guó)政府信息系統(tǒng)的安全現(xiàn)狀不容樂(lè)觀，政府信息系統(tǒng)存在很多安全 隱患。與西方發(fā)達(dá)國(guó)家相比，我國(guó)的信息安全起步很晚，政府部門和民眾對(duì)網(wǎng)絡(luò) 認(rèn)識(shí)不深，政府部門對(duì)信息系統(tǒng)安全重視程度不夠，安全意識(shí)淡薄，信息系統(tǒng)的 網(wǎng)絡(luò)與信息安全防護(hù)能力仍處于“初級(jí)階段”，甚至許多外網(wǎng)網(wǎng)站處于“不設(shè)防” 狀態(tài)。12存在的問(wèn)題與研究思路1.21存在問(wèn)題（1）現(xiàn)有的信息系統(tǒng)風(fēng)險(xiǎn)管理方法不能

25、處理與風(fēng)險(xiǎn)密切相關(guān)的組織信息，如組 織文化、組織業(yè)務(wù)以及組織信息系統(tǒng)特征等背景信息。（2）現(xiàn)有的信息安全風(fēng)險(xiǎn)管理方法，一般對(duì)信息風(fēng)險(xiǎn)的毒了粒度較粗，難以實(shí) 現(xiàn)現(xiàn)代管理學(xué)所倡導(dǎo)的“精確量化管理”的思想。（3）現(xiàn)有的信息安全風(fēng)險(xiǎn)管理方法，缺乏對(duì)風(fēng)險(xiǎn)形成過(guò)程的準(zhǔn)確刻劃。（4）現(xiàn)有的信息安全風(fēng)險(xiǎn)管理方法，難以形成科學(xué)的控制信息系統(tǒng)的安全決策。1.22研究思路針對(duì)現(xiàn)有的信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理方法的不足，結(jié)合信息系統(tǒng)信息安全風(fēng) 險(xiǎn)管理實(shí)踐，本文的基本研究思路如下所示。第二章一種信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的新方法ISISRM2.1信息安全風(fēng)險(xiǎn)管理理論基礎(chǔ)2.11信息安全的基本屬性以及要素信息安全的基本屬性是

26、指信息、信息系統(tǒng)及其支撐環(huán)境的基本安全特性，包括 保密性、完整性、可用性、不可否認(rèn)性、可追究性、真實(shí)性、可靠性和可控性等。相關(guān)國(guó)際標(biāo)準(zhǔn)對(duì)這些信息安全基本屬性的定義歸納如下：保密性(confidentiality)信息不能被未授權(quán)的個(gè)人、實(shí)體或過(guò)程利用或 知悉的特性八完整性(integrity) 保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。可用性(availability)根據(jù)被授權(quán)實(shí)體的要求可訪問(wèn)和可使用的特性。不可否認(rèn)性(nonrepudiation)證明行為或事件發(fā)生的能力，從而這種事件或行為不能被事后否認(rèn)?？勺肪啃?accountability)確保實(shí)體行為可被唯一跟蹤到該實(shí)體的特性。 真實(shí)性(auth

27、enticity)確保主體或資源的標(biāo)識(shí)是其所聲明的特性。真實(shí) 性應(yīng)用于諸如用戶、過(guò)程、系統(tǒng)和信息等實(shí)體。可黑性(reliability)與期望行為和結(jié)果一致的特性?？煽匦?controllability)能夠抑制與期望行為和結(jié)果偏離的特性。其中，可控性是筆者根據(jù)中國(guó)國(guó)情的需求而引入和定義的。在信息技術(shù)領(lǐng)域 中，我國(guó)的許多基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)中的一些核心或關(guān)鍵技術(shù)是引進(jìn)國(guó)外而 非自主研發(fā)的，因此，迫切需要對(duì)這些核心或關(guān)鍵技術(shù)的掌控，以防止因它們的 失控而導(dǎo)致嚴(yán)重后果。信息安全的U標(biāo)體現(xiàn)為信息安全基本屬性的實(shí)現(xiàn)和達(dá)到的保證級(jí)別。每個(gè)安 全屬性都有相應(yīng)的保證級(jí)別作為其強(qiáng)度的測(cè)量尺度。三者之間的關(guān)系

28、如圖1所 示。信息安全LI標(biāo)的這種確立方法體現(xiàn)了等級(jí)保護(hù)的思想，同時(shí)也是對(duì)等級(jí)保護(hù) 制度實(shí)施的支持。信息安全風(fēng)險(xiǎn)的基本要素包括山信息、信息系統(tǒng)和支撐環(huán)境 組成的信息資產(chǎn)、山威脅主體和威脅行為構(gòu)成的威脅、山信息資產(chǎn)自身弱點(diǎn)形成 的脆弱性、信息資產(chǎn)受到威脅后可能造成的影響以及保護(hù)信息資產(chǎn)所采取的安全 措施。這些基本要素與風(fēng)險(xiǎn)的關(guān)系為，信息資產(chǎn)、威脅、脆弱性和影響為風(fēng)險(xiǎn)的 正相要素，即信息資產(chǎn)價(jià)值越高、威脅主體動(dòng)機(jī)和威脅行為能力越強(qiáng)、脆弱性越 容易被利用、影響程度越嚴(yán)重，那么風(fēng)險(xiǎn)就越大；而安全措施為風(fēng)險(xiǎn)的負(fù)相要素, 即安全措施越完善和越有效，那么風(fēng)險(xiǎn)就越小。資產(chǎn)是核心要素，其他要素都是圍繞著資產(chǎn)而產(chǎn)

29、生的。也說(shuō)就是，威脅是指 資產(chǎn)面臨的威脅，脆弱性是指資產(chǎn)自身的脆弱性，影響是指資產(chǎn)損失帶來(lái)的負(fù)面 影響，安全措施是指保護(hù)資產(chǎn)的安全措施。2.12信息安全風(fēng)險(xiǎn)管理的一般過(guò)程信息安全風(fēng)險(xiǎn)管理遵循風(fēng)險(xiǎn)管理的一般過(guò)程。它包括五大過(guò)程要素，即背景建立、 風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、監(jiān)視與評(píng)審和溝通與咨詢。風(fēng)險(xiǎn)管理過(guò)程遵循一般管理的PDCA模型，包括規(guī)劃(Pkm)、實(shí)施(Do)、 檢查(Check)和處置(Act)四個(gè)基本階段，也是一個(gè)持續(xù)改進(jìn)和迭代式循環(huán)的 過(guò)程。背景建立和風(fēng)險(xiǎn)評(píng)估對(duì)應(yīng)于P階段，風(fēng)險(xiǎn)處理對(duì)應(yīng)于D階段，監(jiān)視與評(píng) 審對(duì)應(yīng)于C階段，進(jìn)入下一次風(fēng)險(xiǎn)管理過(guò)程周期對(duì)應(yīng)于A階段。對(duì)于風(fēng)險(xiǎn)管理, 監(jiān)視與評(píng)審階段

30、中提出的任何改進(jìn)建議都需要經(jīng)過(guò)已建背景的確認(rèn)和風(fēng)險(xiǎn)的再 次評(píng)估才能形成改進(jìn)措施及其實(shí)施計(jì)劃，然后作為改進(jìn)的風(fēng)險(xiǎn)處理予以實(shí)施。因 此，風(fēng)險(xiǎn)管理的A階段總是直接進(jìn)入新的一輪風(fēng)險(xiǎn)管理周期。背景建立是風(fēng)險(xiǎn)管理的準(zhǔn)備，為后續(xù)過(guò)程建立活動(dòng)背景，其內(nèi)容包括機(jī)構(gòu)的 外部和內(nèi)部背景以及風(fēng)險(xiǎn)管理背景。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的依據(jù)，為其他過(guò)程提供決策依據(jù)，其過(guò)程包括風(fēng)險(xiǎn)識(shí) 別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)三個(gè)子階段，其中，風(fēng)險(xiǎn)分析乂包括風(fēng)險(xiǎn)估算和風(fēng)險(xiǎn)計(jì) 算兩個(gè)子階段。直到得出滿意的風(fēng)險(xiǎn)評(píng)估結(jié)果，才能進(jìn)入下一個(gè)階段，即風(fēng)險(xiǎn)處 理；否則，要進(jìn)行已建背景的確認(rèn)和風(fēng)險(xiǎn)的再次評(píng)估。U前，被公認(rèn)為有效的風(fēng)險(xiǎn)評(píng)估方法是結(jié)合初始評(píng)估和詳細(xì)評(píng)估的

31、循環(huán)迭代 方法，即，第一次風(fēng)險(xiǎn)評(píng)估為初始評(píng)估，以識(shí)別和分析岀所有的高風(fēng)險(xiǎn)為口的， 覆蓋評(píng)估范圍內(nèi)的所有資產(chǎn)，并集中在資產(chǎn)的業(yè)務(wù)價(jià)值及其面臨的嚴(yán)重威脅上， 這是一種橫向評(píng)估；如果必要再進(jìn)行第二次棋至更多次的風(fēng)險(xiǎn)評(píng)佔(zhàn)，這些評(píng)估一 般為詳細(xì)評(píng)估，以深入評(píng)佔(zhàn)面臨的高風(fēng)險(xiǎn)為口的，針對(duì)具有高風(fēng)險(xiǎn)的資產(chǎn)進(jìn)行深 入細(xì)致的風(fēng)險(xiǎn)識(shí)別、分析和評(píng)價(jià)，這是一種縱深評(píng)佔(zhàn)。這種評(píng)估方法在評(píng)估成本 和確保高風(fēng)險(xiǎn)被適當(dāng)評(píng)估之間提供了良好平衡，使得以合理的評(píng)估成本確保最嚴(yán) 重的風(fēng)險(xiǎn)得到最詳細(xì)的關(guān)注。其中，風(fēng)險(xiǎn)計(jì)算是山筆者在進(jìn)行了廣泛和深入研究 的基礎(chǔ)上引入和定義的。風(fēng)險(xiǎn)計(jì)算包括單項(xiàng)風(fēng)險(xiǎn)計(jì)算和綜合風(fēng)險(xiǎn)計(jì)算。單項(xiàng)風(fēng)險(xiǎn) 計(jì)算是對(duì)某一風(fēng)

32、險(xiǎn)場(chǎng)景（即某一威脅主體，采用某一威脅行為，針對(duì)某一資產(chǎn)， 利用該資產(chǎn)的某一脆弱性實(shí)施威脅時(shí)的風(fēng)險(xiǎn)）的計(jì)算；綜合風(fēng)險(xiǎn)計(jì)算是根據(jù)評(píng)估 者關(guān)注風(fēng)險(xiǎn)的角度對(duì)單項(xiàng)風(fēng)險(xiǎn)的訃算結(jié)果進(jìn)行的綜合計(jì)算，訃算結(jié)果包括某一威 脅主體產(chǎn)生的綜合風(fēng)險(xiǎn)、某一威脅行為產(chǎn)生的綜合風(fēng)險(xiǎn)、某一威脅主體利用某一 威脅行為產(chǎn)生的綜合風(fēng)險(xiǎn)、某一資產(chǎn)因某一脆弱性而面臨的綜合風(fēng)險(xiǎn)、某一資產(chǎn) 面臨的綜合風(fēng)險(xiǎn)、山若干資產(chǎn)組成的系統(tǒng)面臨的綜合風(fēng)險(xiǎn)等。 風(fēng)險(xiǎn)處理是風(fēng)險(xiǎn) 管理的主體，為緩解風(fēng)險(xiǎn)做出直接貢獻(xiàn)，其手段包括風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn) 降低和風(fēng)險(xiǎn)接受四種風(fēng)險(xiǎn)處理方式及其相應(yīng)活動(dòng)。首先，對(duì)風(fēng)險(xiǎn)評(píng)估階段輸出的 關(guān)于風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果，依據(jù)背景建立階段確

33、立的風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)，判定哪些風(fēng)險(xiǎn)是 可接受的，哪些是不可接受。然后，對(duì)于那些可接受的風(fēng)險(xiǎn)，只需進(jìn)行必要的風(fēng) 險(xiǎn)接受處理后，便可進(jìn)入監(jiān)視與評(píng)審階段，以保持對(duì)其變化的注視；對(duì)于那些不 可接受的風(fēng)險(xiǎn)，需要在風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)降低中選擇合適的處理方式。 在許多情況下，一種處理方式不太可能是一個(gè)完整的解決方案，需要多種處理方 式的組合。在實(shí)施了所選處理方式之后，再次進(jìn)行風(fēng)險(xiǎn)接受判斷，即對(duì)殘余風(fēng)險(xiǎn) 進(jìn)行是否可接受的判斷。如果仍然不可接受，或者繼續(xù)挖掘風(fēng)險(xiǎn)處理的潛力，以 期風(fēng)險(xiǎn)的進(jìn)一步緩解；或者重新回到背景建立階段，以期通過(guò)調(diào)整背景因素來(lái)改 變風(fēng)險(xiǎn)，并經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估后為風(fēng)險(xiǎn)處理提供新的可能。監(jiān)視與評(píng)審是風(fēng)

34、險(xiǎn)管理的監(jiān)查，為有效管理風(fēng)險(xiǎn)提供保障，其途徑是持續(xù)監(jiān) 視所有風(fēng)險(xiǎn)要素、風(fēng)險(xiǎn)管理要素和風(fēng)險(xiǎn)管理過(guò)程整體狀態(tài)的變化，檢查這些要 素的符合性和有效性，進(jìn)而把握風(fēng)險(xiǎn)管理過(guò)程的整體狀態(tài)。溝通與咨詢是風(fēng)險(xiǎn)管理的通道，為順暢管理風(fēng)險(xiǎn)提供保障，其做法是在適當(dāng) 的時(shí)候就風(fēng)險(xiǎn)要素、風(fēng)險(xiǎn)管理要素和風(fēng)險(xiǎn)管理過(guò)程整體在機(jī)構(gòu)內(nèi)部和外部方中進(jìn) 行溝通和咨詢，其途徑和作用在于通過(guò)暢通的交流和充分的溝通，達(dá)成相關(guān)人員 認(rèn)知的相互理解和行動(dòng)的協(xié)調(diào)一致；通過(guò)有效的培訓(xùn)和便捷的咨詢，保證相關(guān)人 員具有足夠的知識(shí)和技能。第一輪風(fēng)險(xiǎn)管理周期的工作是開(kāi)創(chuàng)性的，應(yīng)該本著可持續(xù)發(fā)展的原則全面考 慮，為今后的工作打好基礎(chǔ)。風(fēng)險(xiǎn)管理過(guò)程是持續(xù)的、

35、循序漸進(jìn)的過(guò)程，不是一 兩輪就能解決全部問(wèn)題，況且新的問(wèn)題會(huì)不斷出現(xiàn)。任何新的一輪風(fēng)險(xiǎn)管理周期 的工作都是建立的前面各輪工作結(jié)果的基礎(chǔ)上，是對(duì)現(xiàn)有風(fēng)險(xiǎn)管理的改進(jìn)和完 善。監(jiān)視與評(píng)審和溝通與咨詢自始至終貫穿于整個(gè)風(fēng)險(xiǎn)管理周期，是風(fēng)險(xiǎn)管理得 以有效發(fā)揮和順暢進(jìn)行的保障。2.2信息系統(tǒng)安全風(fēng)險(xiǎn)管理ISISRM方法的整體框架2.21ISISRM的基本思想及管理周期ISISRM方法體現(xiàn)了一種“定制”的思想，其風(fēng)險(xiǎn)管理的目標(biāo)、范圍、過(guò)程 與方法都具有相當(dāng)?shù)撵`活性且具有“開(kāi)放性S其在識(shí)別風(fēng)險(xiǎn)因素一一威脅發(fā)起 者和信息系統(tǒng)脆弱性的過(guò)程中，并不拘泥于某一種方法，而是根據(jù)特定原則建立 起的一座開(kāi)放式的方法體系，該

36、體系能納入多種已有的游戲手段和工具，這些手 段和方法互為并從，提高了識(shí)別的全面性和可靠性。它能將風(fēng)險(xiǎn)管理過(guò)程同具體 的組織環(huán)境與業(yè)務(wù)背景緊密地聯(lián)系在一起。它能模擬威脅發(fā)起者的行為特征，對(duì) 風(fēng)險(xiǎn)事件的形成過(guò)程，及威脅發(fā)起者實(shí)現(xiàn)特定攻擊的步驟間的時(shí)序關(guān)系作岀準(zhǔn)確 的截圖，在此基礎(chǔ)上實(shí)現(xiàn)對(duì)特定類別的風(fēng)險(xiǎn)事件最大成功概率的定量計(jì)算。它體 系了 “適度量化”的原則。它將經(jīng)濟(jì)學(xué)原理引入到安全基礎(chǔ)過(guò)程中，不再將信息 系統(tǒng)信息安全風(fēng)險(xiǎn)控制與可接受范圍的安全解決方案視為一種單純的“技術(shù)上” 的考量，而是就愛(ài)那個(gè)求解和實(shí)施安全方案也視為組織的一種“投資”行為。它 分為風(fēng)險(xiǎn)概率準(zhǔn)備階段、信息安全風(fēng)險(xiǎn)因素識(shí)別階段、信

37、息安全風(fēng)險(xiǎn)分析與評(píng)價(jià) 階段、信息系統(tǒng)安全保障分析階段、信息系統(tǒng)安全決策階段、信息安全風(fēng)險(xiǎn)動(dòng)態(tài) 監(jiān)控階段六個(gè)階段。ionII聞鮮ra斥備風(fēng)險(xiǎn)因*識(shí)別風(fēng)險(xiǎn)分析與評(píng)估安全保津分析安全決策«息產(chǎn)別lis護(hù)2. 22 一般流程下表列岀某公司對(duì)風(fēng)險(xiǎn)發(fā)生可能性的定性、定量評(píng)估標(biāo)準(zhǔn)及其相互對(duì)應(yīng)關(guān) 系，供實(shí)際操作中參考。定址方法一評(píng)分12345定量方法二一定時(shí)期發(fā)生的槪率10%以下10% - 30%30% - 70%70% - 90%90%以上定 性 方 法文字描述一極低低中等商極商文字描述二一般情況下不會(huì)發(fā)生極少情況下才發(fā)生某些情況下發(fā)生較多情況下發(fā)生常常會(huì)發(fā)生文字描述三今后10年內(nèi) 發(fā)生的可能少于

38、1次今后5-10年內(nèi)可能發(fā)生1次今后2-5 年內(nèi)可能發(fā)生1次今后1年內(nèi)可能發(fā)生1今后1年內(nèi)至少發(fā)生1次下表列出某公司關(guān)于風(fēng)險(xiǎn)發(fā)生后對(duì)目標(biāo)影響程度的定性、定量評(píng) 估標(biāo)準(zhǔn)及其相互對(duì)應(yīng)關(guān)系，供實(shí)際操作中參考。定童方法一評(píng)分12315定量方法企業(yè)財(cái)務(wù)損失占稅曲臨以下1%-5%6%-10%11%-20%20%以上適 用 于 所 有 行 業(yè)二利潤(rùn)的百分比“）定性方法文字描述一極輕微的輕微的中等的重大的災(zāi)難性的文字描述二極低低中等高極高文 字 描 述企業(yè)日常運(yùn)行不受影響輕度影響 （造成輕微 的人身傷 害，情況立 刻受到控 制）中度影響 （造成一定 人身傷害， 需要醫(yī)療 救援情況 需要外部 支持才能 得到控制

39、）嚴(yán)重影響 （企業(yè)失去 一些業(yè)務(wù) 能力，造成 嚴(yán)重人身 傷害，情況 失控，但無(wú) 致命影響）重大影響（重大業(yè) 務(wù)失誤， 造成重大 人身傷 亡，情況 失控，給 企業(yè)致命 影響）財(cái)務(wù)擴(kuò)失較低的財(cái) 務(wù)損失輕微的財(cái) 務(wù)損失中等的財(cái) 務(wù)損失重大的財(cái) 務(wù)損失極大的財(cái) 務(wù)損失企業(yè)聲譽(yù)負(fù)面消息 在企業(yè)內(nèi) 部流傳，企 業(yè)聲譽(yù)沒(méi) 有受損負(fù)面消息 在十地局 部流傳，對(duì) 企業(yè)聲譽(yù) 造成輕微 損害負(fù)面消息 在某區(qū)域 流傳，對(duì)企 業(yè)聲譽(yù)造 成中等損 害負(fù)面消息 在全國(guó)各 地流傳對(duì) 企業(yè)聲譽(yù) 造成重大 損害負(fù)而消息 流傳世界 各地，政 府或監(jiān)管 機(jī)構(gòu)進(jìn)行 調(diào)查，引 起公眾關(guān) 注，對(duì)企 業(yè)聲譽(yù)造 成無(wú)法彌 補(bǔ)的損害適 用 于

40、開(kāi) 采 業(yè)制 造 業(yè)定 性 與 定 量 結(jié) 合安全短暫影響 職工或公 民的健康嚴(yán)重影響 一位職工 或公民健 庾嚴(yán)重影響 多位職工 或公民健 康導(dǎo)致一位 職工或公 民死亡引致多位 職工或公 民死亡營(yíng)運(yùn)-對(duì)營(yíng)運(yùn)影 響微弱-在時(shí)間. 人力或成 木方面不 超出預(yù)算 1%-對(duì)營(yíng)運(yùn)影 響輕微受到監(jiān)管 者責(zé)難-在時(shí)間. 人力或成 本方ifii超 出預(yù)算 1%-5%減慢營(yíng)業(yè) 運(yùn)作-受到法規(guī) 懲罰或被 罰款等-在時(shí)間、 人力或成 本方面超 出偵算 6%-10%無(wú)法達(dá)到 部分營(yíng)運(yùn) 目標(biāo)或關(guān) 鍵業(yè)績(jī)指 標(biāo)-受到監(jiān)管 者的限制-在時(shí)間、 人力或成 本方面超 出預(yù)算 11%-20%-無(wú)法達(dá) 到所有的 營(yíng)運(yùn)目標(biāo) 或關(guān)鍵業(yè)

41、 績(jī)指標(biāo)-違規(guī)操 作使業(yè)務(wù) 受到中止-時(shí)間.人 力或成木 方面超出 預(yù)算20%環(huán)境對(duì)環(huán)境或 社會(huì)造成 短暫的影 響-可不采収 行動(dòng)-對(duì)環(huán)境或 社會(huì)造成 一定的影 響應(yīng)通知政 府有關(guān)部 門-對(duì)環(huán)境造 成中等影 響-需一定時(shí) 間才能恢-出現(xiàn)個(gè)別 投訴事件-應(yīng)執(zhí)行一 定程度的 補(bǔ)救措施-造成主要 環(huán)境損害-需要相當(dāng) 長(zhǎng)的時(shí)間 來(lái)恢復(fù)-大規(guī)模的 公眾投訴應(yīng)執(zhí)行重 大的補(bǔ)救 措施-無(wú)法彌 補(bǔ)的災(zāi)難 性環(huán)境損激起公 眾的憤怒 -潛在的 大規(guī)模的 公眾法律 投訴對(duì)風(fēng)險(xiǎn)發(fā)生可能性的高低和風(fēng)險(xiǎn)對(duì)U標(biāo)影響程度進(jìn)行定性或定量評(píng)估后，依 據(jù)評(píng)估結(jié)果繪制風(fēng)險(xiǎn)坐標(biāo)圖。如：某公司對(duì)9項(xiàng)風(fēng)險(xiǎn)進(jìn)行了定性評(píng)估，風(fēng)險(xiǎn)發(fā)生的可能性為

42、“低S風(fēng)險(xiǎn)發(fā)生后對(duì)LI標(biāo)的影響程度為“極低”；風(fēng)險(xiǎn)發(fā) 生的可能性為“極低S對(duì)H標(biāo)的影響程度為“高S則繪制風(fēng)險(xiǎn)坐標(biāo)圖如下： 可能性如某公司對(duì)7項(xiàng)風(fēng)險(xiǎn)進(jìn)行定量評(píng)估，其中：風(fēng)險(xiǎn)發(fā)生的可能性為83%,發(fā) 生后對(duì)企業(yè)造成的損失為2100萬(wàn)元；風(fēng)險(xiǎn)發(fā)生的可能性為40%,發(fā)生后對(duì)企 業(yè)造成的損失為3800萬(wàn)元；.；而風(fēng)險(xiǎn)發(fā)生的可能性在55%到62%之間， 發(fā)生后對(duì)企業(yè)造成的損失在7500萬(wàn)元到9100萬(wàn)元之間，在風(fēng)險(xiǎn)坐標(biāo)圖上用一個(gè) 區(qū)域來(lái)表示，則繪制風(fēng)險(xiǎn)坐標(biāo)圖如下：繪制風(fēng)險(xiǎn)坐標(biāo)圖的U的在于對(duì)多項(xiàng)風(fēng)險(xiǎn)進(jìn)行直觀的比較，從而確定各風(fēng)險(xiǎn)管 理的優(yōu)先順序和策略。如：某公司繪制了如下風(fēng)險(xiǎn)坐標(biāo)圖，并將該圖劃分為A、 B、

43、C三個(gè)區(qū)域，公司決定承擔(dān)A區(qū)域中的各項(xiàng)風(fēng)險(xiǎn)且不再增加控制措施；嚴(yán)格 控制B區(qū)域中的各項(xiàng)風(fēng)險(xiǎn)且專門補(bǔ)充制定各項(xiàng)控制措施：確保規(guī)避和轉(zhuǎn)移C區(qū)域 中的各項(xiàng)風(fēng)險(xiǎn)且優(yōu)先安排實(shí)施各項(xiàng)防范措施。C區(qū)域A區(qū)域 B區(qū)域第三章信息系統(tǒng)安全決策研究模型3. 1方案組成決策故障樹(shù)的最小割集是引起頂事件發(fā)生的一種故障模式，可 以認(rèn)為是系統(tǒng)的一種風(fēng)險(xiǎn)模式，它們構(gòu)成了信息系統(tǒng)的風(fēng)險(xiǎn)來(lái)源。最小割集是導(dǎo) 致正規(guī)故障樹(shù)頂事件發(fā)生的數(shù)目不可再少的底事件的組合。任何正規(guī)故障樹(shù)均山有限數(shù)LI的最小割集組成，它們對(duì)給定的正規(guī)故障樹(shù)來(lái)說(shuō)是 唯一的。因此，某個(gè)安全產(chǎn)品m只要能防止組成風(fēng)險(xiǎn)模式n的某個(gè)底事件的發(fā)生，就防止 了風(fēng)險(xiǎn)模式n的發(fā)生，

44、如圖1所示。圖1方案的組成設(shè)信息系統(tǒng)的風(fēng)險(xiǎn)模式依危害度（最小割集的發(fā)生概率X 后果嚴(yán)重性系數(shù)）從大至小的順序?yàn)轱L(fēng)險(xiǎn)模式1、風(fēng)險(xiǎn)模式2、 風(fēng)險(xiǎn)模式nl ；安全產(chǎn)品按其所能減少的危害度Cm從大至小依 次為安全產(chǎn)品1、安全產(chǎn)品2、安全產(chǎn)品m可供選擇組成安 全方案。那么一個(gè)可以接受的方案組成的決策步驟如下： （1）制定安全投資目標(biāo)，確定等風(fēng)險(xiǎn)線R，m=l, T=0（2）選擇安全產(chǎn)品T=T+1；計(jì)算各故障事件和頂事件的危害度Cm（ni=ln） c;（4）如果“ eiWR（耐二z）”或“ CW，決策過(guò)程結(jié)束；否則III二m+1轉(zhuǎn) 至。其中，等風(fēng)險(xiǎn)線是由用戶根據(jù)信息系統(tǒng)的規(guī)模、安全需求 等實(shí)際因素而確定的可

45、以接受的風(fēng)險(xiǎn)程度，比如可以取等風(fēng)險(xiǎn) 案線R二500元/月；“ Cm W R或“ Cs W R”為決策判斷條件，“ Cm W R ”是指將根據(jù)故障事件的發(fā)生后果和發(fā)生概率畫岀的 法默（F R FaHner）風(fēng)險(xiǎn)曲線和等風(fēng)險(xiǎn)線進(jìn)行判斷。如果法默風(fēng) 險(xiǎn)曲線的大部分點(diǎn)都在等風(fēng)險(xiǎn)線之下，僅有個(gè)別點(diǎn)超過(guò)等風(fēng)險(xiǎn) 線R,那么采用由已選安全產(chǎn)品組成的安全方案后系統(tǒng)的安全 設(shè)計(jì)是基本上可以接受的c。W 是指將信息系統(tǒng)的安全風(fēng) 險(xiǎn)e與等風(fēng)險(xiǎn)線慰如：500元/月）進(jìn)行數(shù)值比較，該不等式成 立則說(shuō)明系統(tǒng)的安全設(shè)計(jì)可以接受。具體釆取哪種決策判斷條 件，需要考慮用戶信息系統(tǒng)的安全投資能力.安全需求等而定。 T為最后所選安全

46、產(chǎn)品的類別的總數(shù)。3. 2選型決策安全方案的組成決策，決定了該信息系統(tǒng)實(shí)施由安全產(chǎn)品1-T 組成安全方案后可以使系統(tǒng)的安全達(dá)到可以接受的程度。 在此基礎(chǔ)上，還需對(duì)具體的每一類安全產(chǎn)品f進(jìn)行選型決策。產(chǎn)品選型在不影響安全方案的整體安全效能的前提下，主 炸二竺嘩_ 要取決于該安全產(chǎn)品t在該信息系統(tǒng)實(shí)施的效益/投資比氣 ，因其可以集中反映安全決策的效益目標(biāo)。需要注 意的是，上式中的效益，僅僅是該安全產(chǎn)品的實(shí)施所能減少的 危害度所占的比例，實(shí)際上還需考慮該安全產(chǎn)品的運(yùn)行維護(hù)成 本，比如人力資源成本、維護(hù)升級(jí)費(fèi)用等，應(yīng)將這些后期投入's 一 y從中除去。即其中，ct是安全產(chǎn)品t的運(yùn)行維護(hù)成本，v

47、t為安全產(chǎn)品t的投資額。3. 3安全投資決策方案組成決策和產(chǎn)品選型決策給出了經(jīng)濟(jì)的、風(fēng)險(xiǎn)適可的 安全方案的決策模型。當(dāng)不考慮其它條件限制時(shí)，不同的系統(tǒng)規(guī)模、投資能力、 投資LI的，其決策意向也會(huì)不同。如有的信息系統(tǒng)對(duì)安全有很高的要求，但基本 上不必考慮安全投資額；有的信息系統(tǒng)則可能要求在風(fēng)險(xiǎn)可接受的前提下，追求 高的效益投資比。這就需要在方案組成決策和產(chǎn)品選型決策的基礎(chǔ) 上，進(jìn)一步采用AHP層次分析法進(jìn)行決策。3. 1.1建立層次結(jié)采用AHP法進(jìn)行投資決策，首先建立層次結(jié)構(gòu)模型，如圖2所示。其中準(zhǔn)則 層R是集中安全方案決策的關(guān)鍵原則，可以請(qǐng)專家提出其他準(zhǔn)則，在此只舉例三 個(gè)準(zhǔn)則：安全效益R1、

48、投資額度R2、效益投資比R3。方案層s是可供選擇的安 全方案集。3. 2. 2構(gòu)造判斷矩陣并進(jìn)行層次單排序如表1所示，其中Uk/Ko表示準(zhǔn)則艘與準(zhǔn)則R1的相對(duì)重要性的主觀比值，w般為取1, 2, 3,，9及它們的倒數(shù)。依此類推，再建 立判斷矩陣：準(zhǔn)則R2（投資額度）方案s和準(zhǔn)則R1 （安全效益）方案S,并求出 相應(yīng)的一致f生檢驗(yàn)量，如表2所示。需要指出的是，在判斷矩陣1_1標(biāo)A準(zhǔn)則R中，集中反映了決策者所考慮的關(guān)鍵原則及其重要性；而在判斷矩陣準(zhǔn)則層 R方案層S中，其數(shù)值取決于前文安全解決方案效益評(píng)估的結(jié)果和方案的實(shí)際 投資概算額度等。因此,AHP安全決策，是在對(duì)安全方案進(jìn)行基于故障樹(shù)模型的 安

49、全效益評(píng)估的基礎(chǔ)上，并在確定評(píng)佔(zhàn)準(zhǔn)則及其相對(duì)重要洼的前提下，進(jìn)行的決決策過(guò)程表1判斷矩陣：目標(biāo)A-準(zhǔn)則R目標(biāo)A安全效益R1投資額度R2效益投資比R3權(quán)重一致性檢驗(yàn)量安全效益R11葉 1WRl *剛Xinax=CI=Rl-0.58CR=投資額度R2%叫1叭2 %效益投資比R3-.”腫 /ua1表2判斷矩陣（舉例' 準(zhǔn)則R3-方案S則 R3效益投資龍、方案S1方案S2方案S3權(quán)重一致性檢驗(yàn)量方案S11兒】/心A max=CI=RI=0.58CR-方案S27 Jr a1乙“人3略2方案S3兒3九&僅21略3表3決策結(jié)論、決R層淤、安全效益Rl投資額廢R2效益投資比R3層次 總排序一致

50、性檢驗(yàn)量%叭3方案SI陷3Mla=RI-O.58CR=方案S2方篆S3>13. 3. 3 致性檢驗(yàn)最后考察層次總排序中一致性檢驗(yàn)量，若判斷矩陣的隨機(jī)一致性比例：C1CR = <OARI 。那么，判斷矩陣具有滿意的一致性，否則必須對(duì)判斷矩陣進(jìn)行調(diào)整。當(dāng)判斷矩陣的階數(shù)小于等于15時(shí)，平均一致性指RI山表4給出表4平均隨機(jī)一致性指標(biāo)階數(shù)13$6 18910112BLI15-0 W0 000.580 901.121.2414!1 %1491.521.541 5611 593. 3. 4決策結(jié)論根據(jù)上述分析結(jié)果，安全解決方案 S1 、 s2、s3在主要考慮方案的安全效益、投資額度、效益投資比

51、時(shí)，其總排序結(jié)果 即為層次總排序中的排序結(jié)果。第四章ISISRM方法的應(yīng)用驗(yàn)證4.1南方某集團(tuán)信息系統(tǒng)簡(jiǎn)介南方某高科技電子產(chǎn)品集團(tuán)有限公司（以下簡(jiǎn)稱集團(tuán)），為了全面通過(guò)集團(tuán) 的經(jīng)營(yíng)管理水平，增強(qiáng)企業(yè)競(jìng)爭(zhēng)能力，以1999年啟動(dòng)了覆蓋取取暖集團(tuán)各個(gè)職 能部門的管理信息系統(tǒng)項(xiàng)LI。系統(tǒng)的整體口標(biāo)是以知識(shí)管理信息，以信息管理數(shù) 據(jù)，通過(guò)數(shù)據(jù)控制科技開(kāi)發(fā)、主產(chǎn)和經(jīng)營(yíng)的思想實(shí)現(xiàn)知識(shí)、信息和數(shù)據(jù)在全集團(tuán) 范圉內(nèi)的集成，提高全集團(tuán)的整體運(yùn)作效率。集團(tuán)Intranet信息系統(tǒng)的網(wǎng)絡(luò)環(huán) 境。1網(wǎng)絡(luò)平臺(tái)網(wǎng)絡(luò)平臺(tái)在機(jī)構(gòu)上分為三級(jí)：第一級(jí)為位于集團(tuán)總部大廈的主干網(wǎng)絡(luò)；第 二級(jí)為本地生產(chǎn)基地局域網(wǎng)絡(luò)；第三級(jí)為位于一地的二

52、級(jí)生產(chǎn)基地、三級(jí)生產(chǎn)基 地以及集團(tuán)深圳營(yíng)銷分部各自的局域網(wǎng)絡(luò)。2集團(tuán)信息系統(tǒng)的體系機(jī)構(gòu)第四層D&誠(chéng)映Sever第三層 Application Sever第二層 WebSew0應(yīng)用連粗繼WebK務(wù)功能wwwifl®! wwwiflKS« a »wwwass 1wwwMK#客戶機(jī)客戶機(jī)客戶機(jī)圖4.2信息系統(tǒng)的四層體系結(jié)構(gòu)利用該四層體系結(jié)構(gòu)的第一、三、四層，集團(tuán)信息系統(tǒng)構(gòu)建起一個(gè)面向用戶 和企業(yè)和集團(tuán)業(yè)務(wù)運(yùn)行的應(yīng)用服務(wù)平臺(tái)，高平臺(tái)供分為三個(gè)部分：首先為食物處 理部分,即科研u生產(chǎn)管理MIS系統(tǒng),包括計(jì)劃、科研、生產(chǎn)運(yùn)行、安全、設(shè)備、 物資供應(yīng)、財(cái)務(wù)、銷售等子系統(tǒng)

53、，主要負(fù)責(zé)管理信息的收集、存儲(chǔ)和處理；其次 為辦公室自動(dòng)化部分，主要分部辦公信息和辦公文件資料，管理如此辦公活動(dòng)和 工作計(jì)劃，這一應(yīng)用平臺(tái)的整體選用Lotus Notes辦公套件，主要功能有E-mail. 公文系統(tǒng)、會(huì)議系統(tǒng)、檔案系統(tǒng)、如此辦公管理系統(tǒng)；最后為信息資源管理平臺(tái), 這一平臺(tái)用WEB技術(shù)首先綜合查詢，提供界面一致、手段豐富的信息檢索與查詢 功能以及FIP、遠(yuǎn)程登陸等服務(wù)，通過(guò)防火墻向外分部集團(tuán)信息并接入Internet, 4.2運(yùn)用ISISRM對(duì)集團(tuán)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)管理的過(guò)程與結(jié)論4.21信息系統(tǒng)描述過(guò)程由于集團(tuán)主干網(wǎng)絡(luò)周界信息系統(tǒng)域模型ISDM很大，下面僅對(duì)ISDM的部分 域元素

54、展開(kāi)說(shuō)明：(1) Dh、Dos和Das三個(gè)域中的元素如下表。主機(jī)域D”操作系統(tǒng)域應(yīng)用軼件域6敷據(jù)庫(kù)服務(wù)SSCYCTIWindows 2000 ServerSQL 7.0應(yīng)用服務(wù)晶SCVCT2Windows 2000 Server定制的MIS系統(tǒng)內(nèi)部Web»務(wù)容Sever3Windows 2000 ServerMicrosoft IIS 5.0Lotus Notes 服務(wù)器 Scver4Window 2000 ServerLotus Noto 系統(tǒng)綜合服務(wù)器ScvcrfWindow? 2000 ServerAAA認(rèn)證務(wù)霸ScvcrtWindows 2000 ServerAAA認(rèn)還系統(tǒng)DNSSeva?Windows 2000 Server帚服務(wù)B Se