信息系統(tǒng)安全管理風險評估中的測量方法研究

信息系統(tǒng)安全管理風險評估中的測量方法研究信息系統(tǒng)安全管理是一個綜合的人際系統(tǒng)，它有5個要素：安全、管理、信息、系統(tǒng)、網(wǎng)絡它們之間密不可分：安全是目的，信息是根本，管理是手段，系統(tǒng)是方法，網(wǎng)絡是橋梁。信息是安全管理信息系統(tǒng)的基礎，系統(tǒng)是圍繞信息的生命周期而設計的，如何進行信息采集、處理、存儲、管理、檢索和傳輸使系統(tǒng)設計的主要環(huán)節(jié)。管理是對信息資源的有效組織，使之具有效能的一種手段，管理要素決定了管理信息系統(tǒng)的最優(yōu)結(jié)構是分層次的金字塔結(jié)構，具有不同層次的管理級別，既基層作業(yè)管理，中層戰(zhàn)術管理，上層戰(zhàn)略管理。在設計系統(tǒng)的時候需考慮不同的管理級別擁有不同的系統(tǒng)訪問權限。1、現(xiàn)狀分析信息系統(tǒng)的嚴格管理是一個組織機構及用戶免受攻擊的重要措施。事實上，很多組織機構及用戶的網(wǎng)站或系統(tǒng)都疏于這方面管理。據(jù)IT界組織業(yè)務團體ITAA的調(diào)查顯示，美國90％的IT組織業(yè)務都對黑客攻擊的準備不足。目前，美國75％-85％的網(wǎng)站都抵擋不住黑客的攻擊，約有75％的組織業(yè)務網(wǎng)上信息失竊，其中25％的組織業(yè)務損失在25萬美元以上。而對計算機病毒的攻擊，所有機構幾乎無一幸免。此外，管理的缺陷還可能出現(xiàn)系統(tǒng)內(nèi)部人員泄露機密或外部人員通過非法手段截獲而導致機密信息的泄漏，從而為一些不法分子制造了可乘之機。在信息安全領域，普遍認為信息安全不僅僅是一個技術問題，更是一個管理問題。2、目標信息系統(tǒng)安全管理的目標是：保證信息系統(tǒng)在有充分保護的安全環(huán)境中運行，由可靠的操作人員按規(guī)定規(guī)范使用計算機系統(tǒng)、網(wǎng)絡系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)，以保證信息安全戰(zhàn)略和組織的目標得以實現(xiàn)。信息系統(tǒng)安全管理的主要安全指標包括：物理過程與人員安全、機密性、可計算性、訪問控制、完整性、可用性、質(zhì)量保證、互操作性等。信息系統(tǒng)安全技術應緊緊圍繞信息的輸入、存儲、處理和交換這條鏈。根據(jù)系統(tǒng)自身的特點，將組成系統(tǒng)的各實體系統(tǒng)部件的安全特性‘網(wǎng)絡的安全機制、安全服務等進行集成，構成信息系統(tǒng)的安全框架。除網(wǎng)絡協(xié)議外，計算機信息系統(tǒng)實體既為系統(tǒng)安全框架的部件，是信息賴以生成、存儲、處理和交換的依托。各系統(tǒng)功能模塊的功能指標就是系統(tǒng)安全特性分解到相應功能模塊的安全指標。系統(tǒng)總體安全特性能否實現(xiàn)，完全取決于各功能模塊安全指標的正確設計和實施。通常系統(tǒng)部件在整體上采用冗余配置（如網(wǎng)絡服務器、網(wǎng)絡線路、設備等），以提高其容錯能力。3、意義管理對信息安全等級保護的實現(xiàn)有十分重要的意義和作用。所謂管理是對人的管理。信息安全管理是指，在實現(xiàn)信息安全的全過程中，人應該做什么，如何做。通常用中國工程院何德全院士的話“三分技術，七分管理”來形容管理對信息安全的重要性。管理是貫穿信息安全整個過程的生命線。作為實施信息安全重要途徑的等級保護的管理，這種生命線的作用體現(xiàn)得就更為充分。4、基本安全需求信息系統(tǒng)自身存在著一些固有的脆弱性，如信息資源的分布性、流動性大，系統(tǒng)所存儲與處理的數(shù)據(jù)高度密集、具有可訪問性，信息技術專業(yè)性強、隱蔽程度高，系統(tǒng)內(nèi)部人員的可控性低，等等。這些弱點在信息系統(tǒng)的實際運行中易誘發(fā)各種風險，對其安全性構成了潛在的威脅。（見表一）針對信息系統(tǒng)本身固有的脆弱性和常見的風險，信息系統(tǒng)的基本安全需求包括：用戶身份驗證。系統(tǒng)要識別進入者的身份并確認是否為合法用戶。存取訪問控制。系統(tǒng)要確定合法用戶對哪些資源享有何種授權，可進行什么類型的訪問操作。信息交換的有效性和合法性。信息交換的雙方應能證實所收到的信息內(nèi)容和順序都是正確的；用能檢測出所收到的信息是否過時或重復。軟件和數(shù)據(jù)的完整性。信息系統(tǒng)的軟件和數(shù)據(jù)不可非法復制、修改或破壞，并要保證其真實性和有效性。加密。利用密碼技術對傳輸和存貯的信息進行加密處理以防泄漏。加密的基本要求是，所采用的密碼體制要有足夠的保密強度，要有有效的密鑰管理，包括密鑰的產(chǎn)生、存貯、分配、更換、保管、使用乃至銷毀的全過程。監(jiān)理。為防止系統(tǒng)出現(xiàn)差錯而采取的預防性措施，包括：外部監(jiān)理、管理監(jiān)理、操作監(jiān)理、安全保密監(jiān)理。審計。對使用系統(tǒng)資源、設計信息安全的有關操作，應有一個完整的記錄和徹底的檢查，以便系統(tǒng)出現(xiàn)問題時分析原因、弄清責任。防病毒。計算機病毒是一種惡意程序，它通過不同的途經(jīng)潛伏或寄生在系統(tǒng)的正常程序或存儲媒體里，當某種條件或時機成熟時就會滋生并感染系統(tǒng)，使信息資源受到不同程度的損害。防輻射。計算機系統(tǒng)工作時有輻射和傳導電磁信號泄漏，經(jīng)過提取處理就可恢復出原信息而造成失密。防災。信息系統(tǒng)的災難主要指火災、水災、風災和地震等自然災害和恐怖活動、電力中斷、網(wǎng)絡中斷、軟硬件出錯等人為災難。5、測量體系有句話叫“你不能改進你不能測量的東西”，這充分說明了測量的重要性。我們?yōu)槭裁匆獙SMS的有效性進行測量呢？我們從以下幾個角度來評述。1）對信息安全管理目標的考核

組織在建立ISMS時都會依據(jù)組織業(yè)務的發(fā)展、各利益相關方安全要求及組織的信息安全管理水平等，來設定自身信息安全管理的目標，通過測量，不但可以很好的對信息安全目標達到的程度進行考核，準確的衡量ISMS的績效，而且還能夠為管理層對信息安全管理的資源投入提供數(shù)據(jù)依據(jù)。

2）

ISMS持續(xù)改進的重要依據(jù)

在建立ISMS時，通常都會進行風險評估及風險處理措施的實施，如果不進行測量，就不能反映出當前組織的各安全措施的效果如何，即無法表現(xiàn)出信息安全的改進在哪些方面。通過測量，能夠更充分的反映出當前組織的信息安全存在問題及問題的嚴重程度，為今后的信息安全的工作重點提供有力的依據(jù)。

3）信息安全管理工作的績效考核

測量結(jié)果不僅是衡量ISMS績效的重要標準，也是對信息安全管理組織工作績效的一個有利的側(cè)面展示，通過測量的數(shù)據(jù)，不但可以使管理者清晰的了解信息安全管理工作，而且還能增強信息安全管理工作人員的信心。

4）滿足標準（ISO

27001）的符合性要求

眾所周知，ISO

27001標準中明確要求組織定義測量體系，并實施之獲得數(shù)據(jù)，衡量所實施ISMS的有效性。通過ISMS測量工作，不僅充分的滿足了標準的要求，而且是推動ISMS持續(xù)改進的動力。在對ISMS進行測量的時候，我們應該遵循什么樣的原則呢？我認為只要遵循“有依據(jù)、可操作、能比較”這三點原則，那么設計出來的測量體系就是比較好的。這三點原則說明如下：

1)

有依據(jù)：測量的過程中，不是為了測量而測量，不是為了標準而測量，各項指標的設定一定要有理有據(jù)，每個測量的指標都應當能夠具體反映出ISMS的運行狀態(tài)。

2)

可操作：一個不能操作的測量指標體系是沒有意義的，所以測量指標體系一定是清晰、明確，具體可操作的，而同時又是容易收集、不能花費太大的成本的，否則設計再好的測量指標體系都無法真正的貫徹執(zhí)行。

3)

能比較：測量的結(jié)果一定是可比較的，可以通過量化的數(shù)值、圖形化的參考來展現(xiàn)測量的結(jié)果，這樣能夠清晰、直觀的觀察到ISMS的狀態(tài)趨勢。6、測量體系的設計前面我們談到了進行測量的必要性以及建立測量指標體系的原則，那么如何建立一個測量的體系呢？下面我結(jié)合ISMS建設的PDCA四個階段來做一個說明各階段的重要活動。1）ISMS的Plan策劃階段隨著整個ISMS的策劃，有效性測量的工作其實已經(jīng)可以開展，這個階段主要是收集有效性測量的需求，為有效性測量提供輸入，是進行有效性測量指標體系設計的基礎。具體的活動如下：ISMS 目標建立：測量一定要與組織的業(yè)務目標相關，是為了組織的核心業(yè)務目標而測量的，這是進行測量的第一要點。在ISMS策劃階段建立組織ISMS的業(yè)務目標時，一定使ISMS的目標能夠反映組織的業(yè)務目標，并且這個目標需要遵守SMART原則，即要具體(Specific)，可量化(Measurable)，可達成(Achievable

or

Attainable)，現(xiàn)實的(Realistic)，并且有限定的時間期限(Timely)。利害相關方關注收集：在ISMS的策劃階段，可以收集各利害相關人的關注點，比如：客戶的信息安全關注點、股東或高層的信息安全關注點、上級或監(jiān)管機構的信息安全關注點等，這些都是建設ISMS的重要信息輸入，同時也是有效性測量的重點關注內(nèi)容。歷年安全事件的總結(jié)：信息安全事件的頻次，能夠在一定程度上反映出組織信息安全的薄弱環(huán)節(jié)，這些高頻次的安全事件可作為測量的一個重點，來跟蹤驗證針對信息安全事件的安全措施是否有效。如以往病毒發(fā)作的安全事件比較高，那么可以將病毒的發(fā)作次數(shù)、病毒軟件的安裝率、操作系統(tǒng)的補丁更新率作為測量的指標來進行測量，以反映出防病毒控制措施的有效性。信息安全高風險歸納：在策劃階段進行風險評估中的信息安全高風險，是需要組織必須要處理的，而且這些高風險同時是需要被重點跟蹤的，因此所有的信息安全高風險必須能夠反映到有效性測量的指標體系中去，來驗證信息安全高風險的控制措施是否有效。

按照上面所講的方面進行有效性測量的需求信息收集，來為有效性測量提供有力的輸入信息，這樣在進行有效性測量指標的設計時，就能夠做到有理有據(jù)。2）ISMS的Do策劃階段在ISMS的運作階段，需要對測量體系進行詳細的設計，主要是解決測量什么、如何測量、測量結(jié)果如何展示的問題。我們從以下幾個方面進行分析：分析測量需求：對于策劃階段的各類有效性測量的輸入進行歸納整理，在這個基礎上還可以考慮加入一些其它方面的只要指標，比如ISMS的重要活動、信息安全管理的日常操作等，這些方面統(tǒng)一分析整理，最終得出一套需要進行測量的重要指標。測量指標分解：對歸納出來的各項重要指標做進一步分解，對應到ISMS的各項具體度量項，并為每項設定度量目標的閥值。測量指標采集方案設計：測量指標采集方案的設計是將各項指標如何測量進行定義，包括測量指標的計算方法、指標采集頻度、測量責任人及采集方式等。測量方案一定要具體可行，指標采集頻度可以根據(jù)不同的指標區(qū)別對待，在制定責任人時應盡量避免由操作者直接測量自己工作的指標。測量指標的記錄：按照測量指標采集方案的頻率進行檢查，并且按照時間線進行記錄，記錄的數(shù)據(jù)應客觀準確，這樣才能真正的反映問題。在此階段的過程中，測量指標的選取是一個重點，同時也是一個難點，不能測量的指標過少，但同時也沒有比較所有的控制點全部進行測量，下面是一個測量指標分類的參考，可根據(jù)實際情況選取一些關鍵的指標進行度量。管理控制措施：如安全目標、安全意識等方面。業(yè)務流程：如風險評估和處理、選擇控制措施等。運營措施：如備份、防范惡意代碼、存儲介質(zhì)等。技術控制措施：如防火墻、入侵檢測、補丁管理等。審核、回顧和測試：如內(nèi)審、外審、技術符合性檢查等。3）ISMS的Check策劃階段在ISMS的控制階段，需要做的事情有兩個方面，一是根據(jù)有效性測量的結(jié)果對ISMS進行評價，另外一個需要對有效性測量體系進行評價，兩方面的工作具體來說為：評價ISMS運作：體系管理組根據(jù)指標分解的層次，對指標進行計算、整合及分析，檢查各層次指標是否滿足目標要求，并對整體狀況進行評估，得出ISMS做的好的方面以及需要改進的方面。

評價測量指標：根據(jù)測量、分析結(jié)果，評價有效性測量體系的貢獻，并從中找到需要改進的區(qū)域，調(diào)整測量指標體系，為ISMS有效性的測量更好的提供服務。4）ISMS的Act策劃階段在ISMS的改進階段，基于控制階段的分析，對ISMS及測量指標體系分別進行改進，使之鞥好的為ISMS服務。7、信息系統(tǒng)安全管理度量度量乃管理之基石，在信息系統(tǒng)開發(fā)中，我們很難管理不能明確度量的事物。信息安全管理度量是一個持續(xù)進行的收集并估計數(shù)據(jù)和信息的過程，用來對當前性能和一段時間的性能趨勢進行評估。它是確定和描述信息安全管理系統(tǒng)的度量，是通過資源和活動來處理信息安全的過程和程序。安全度量分為技術性安全度量、組織性安全度量以及操作性安全度量。技術性安全度量用于描述、比較技術方面的對象，如算法、規(guī)格說明書、體系結(jié)構、設計、產(chǎn)品以及實施的系統(tǒng)等；組織性安全度量用于描述組織過程、規(guī)程的有效性；操作性安全度量用于描述操作環(huán)境方面的風險。對于什么是信息系統(tǒng)安全度量，有人認為，它是以科學法則為基礎進行測量的結(jié)果，有人認為它還應包括在主觀判斷基礎上做出的度量結(jié)論。目前這方面還存在爭議，有人還使用了具有類似含義的其他詞，如：measure，score，rating，rank，assessment，result等。在對這些詞做出區(qū)別前，它們統(tǒng)一做了如下定義：信息系統(tǒng)安全度量是通過度量過程從一個偏序集中選擇的一個值，它表示了信息系統(tǒng)的信息安全相關的質(zhì)量，它提供或用于產(chǎn)生一種關于信任程度的描述、預言或比較。信息安全管理度量的基本思路框架圖8、信息系統(tǒng)安全管理度量的一般方法在度量過程中使用何種方法對度量的有效性有著舉足輕重的影響。度量方法的選擇直接影響到度量過程中的每個環(huán)節(jié)，甚至可以左右最終的度量結(jié)果，所以需要根據(jù)系統(tǒng)的具體情況，選擇合適的度量方法。度量的方法有很多種，概括起來可以分為三大類：定量的度量方法、定性的度量方法、定性與定量相結(jié)合的度量方法。傳統(tǒng)的分析方法主要有：故障樹分析法、失效模式與后果分析法、模糊分析法、事件樹分析法等等。9、一種基于最小割集的信息系統(tǒng)安全管理度量方法故障樹分析的基本概念故障樹分析法(FaultTreeAnalysis-FTA)是1961年由美國貝爾實驗室的H.A.Watson和D.F.Hassl在研究民兵導彈時首先提出的。隨后,FTA不斷得到應用與發(fā)展,被公認為是可靠性分析和故障診斷的一種簡單有效的方法,是對復雜系統(tǒng)安全性和可靠性進行分析的一種有效方法。FTA法是一種由果到因的分析方法,既可以用來對整個系統(tǒng)進行定性分析(即應用數(shù)理邏輯找到故障樹的結(jié)構函數(shù)),也可以用來對整個系統(tǒng)進行定量分析(即確定頂事件發(fā)生的概率和底事件的重要度)。故障樹定性分析的內(nèi)容主要有:①確定最小割集。最小割集代表系統(tǒng)故障模式,是由基本事件的集合組成。②確定最小徑集。最小徑集代表系統(tǒng)正常工作模式,也是由基本事件的集合組成。(1)最小割集。最小割集在事故樹分析法中占有很重要的地位。在故障樹分析中,把能使頂事件發(fā)生的基本事件集合叫做割集。最小割集是導致頂上事件發(fā)生的最低限度的基本事件的組合。由此可知,它是系統(tǒng)發(fā)生故障的充要條件。有多少個割集,頂上事件就有多少種發(fā)生的可能。所以確定最小割集在故障樹分析中顯得很重要。(2)最小徑集。最小徑集與最小割集相對,它是保證頂事件不發(fā)生的最小的不發(fā)生事件的組合。即頂事件不發(fā)生所必需的最低限度的基本事件不發(fā)生的集合。最小割集的傳統(tǒng)求法求解故障樹最小割集的傳統(tǒng)方法有2種:1種是下行法,1種是上行法。下行法。(Fussel2Vesely算法),從頂事件開始,順次把邏輯門的輸出事件用輸入事件置換。經(jīng)過‘或’門輸入事件豎向?qū)懗?經(jīng)過‘與’門輸入事件橫向?qū)懗?直到全部門事件均置換為底事件(基本事件)為止。每行由若干個底事件組成,構成一個割集。再吸收、簡化掉互相完全包含和冗余的割集,最后得到全部最小割集。上行法(Semanderes算法)。它由下向上進行,每1步都利用集合運算規(guī)則進行簡化、吸收,最后得到全部最小割集。在簡單故障樹中,最小割集也可以通過觀察直接找到。但在復雜的故障樹中,這樣求最小割集比較復雜,甚至是無法求解。這時借助計算機來求解。常用的計算機算法有兩類:模擬方法和決定的方法。模擬方法有蒙特卡羅法,該方法的主要優(yōu)點在于,它能使用于任意邏輯關系復雜的故障樹。決定的方法有3種:W.E.維斯利和R.E.納盧母最早用決定性方法研究了PRER程序。該程序使用一種直接的組合試算法。福塞爾等人研究了1種不用組合試算的方法。它的基本出發(fā)點是:邏輯‘與’門使最小割集內(nèi)包含的基本事件數(shù)增加,邏輯‘或’門使最小割集數(shù)目增加,其采用自上而下的方法。塞門德爾斯用素數(shù)代表各基本事件,這樣便于存儲割集和除去非最小的割集。該方法也采用自上而下方法。10、實例分析以下是秦山核電站的事件分析手冊中一個關于設冷泵不能手動啟動的故障樹?？梢杂霉收蠘滢D(zhuǎn)化為串并聯(lián)或并串聯(lián)系統(tǒng)形式的方法求出最小割集。轉(zhuǎn)化過程：此故障樹比較簡單,只有2層。從第2層開始分解轉(zhuǎn)化,第2層有3個部分轉(zhuǎn)化中間過程通過第1層的‘或’門,把這3部分并聯(lián)起來依據(jù)故障樹分析原理,對故障樹中最小割集的算法嘗試了一種新方法。應用實例把故障樹轉(zhuǎn)換為串并聯(lián)系統(tǒng)或并串聯(lián)系統(tǒng)的形式,結(jié)果一目了然,很容易就求出了最小割集和最小徑集。參考文獻：金星,沈懷榮,文明,等.故障樹定性分析的優(yōu)化方法.指揮技術學院學報,2001金星,洪延姬,文明,等.大型武器裝備安全可靠性分析優(yōu)化方法.彈箭與制導學報,20