该体系分为四级:第一级是评估的目标即安全事件风险等级;第二级从安全事件发生可能性和安全事件危害性这两个大的方面对安全风险进行大的评估;第三级列出了安全事件发生可能性和安全事件危害性的考虑因素(威胁性、脆弱性和资产价值);第四级则是影响安全风险的每一个属性的若干因素,它是细化了的安全风险影响因素。根据这些因素对信息安全风险的影响程度,可采用类似于很高、高、中、低和很低等的度量元。根据影响的高低程度,可以知道安全风险分别隶属于与之对应的很高、高、中、低和很低的程度。信息系统安全风险受影响的等级程度越高,其安全性就越低。由于影响安全风险的因素很多,各因素问又有主、次之分,所以可通过权重分配,突出主要因素的影响,做到轻重有别。
2.2威胁性识别
安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者事件。即使安全性级别再高的信息系统,安全威胁始终是存在的。威胁分类的方式有很多种,威胁的来源主要是环境因素和人为因素两大类,人为因素又分恶意人员和非恶意人员。依据威胁来源和表现形式可将威胁分为9类:
软硬件故障:设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障和开发环境故障等;
无作为或操作失误:维护错误、操作失误等;
恶意代码:网络病毒、间谍软件、窃听软件、蠕虫、陷门等;
越权或滥用:非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等;
网络攻击:网络探测和信息采集、漏洞探测、嗅探、用户身份伪造和欺骗、用户或数据业务的窃取和破坏、系统运行的控制和破坏等;
物理攻击:物理接触、物理破坏和盗窃等;
泄密:内部信息泄露、外部信息泄露等:
篡改:篡改网络配置信息、系统配置信息、安全配置信息、用户身份或业务数据信息等;
抵赖:原发抵赖、接收抵赖和第三方抵赖等。
2.3脆弱性识别
脆弱性是资产本身存在的,如果不被相应的威胁利用,单纯的脆弱性本身不会对系统造成损害。而且如果系统足够强健,信捷职称论文写作发表网,严重的威胁也不会导致安全事件的发生进而带来损失。威胁总是利用资产的脆弱性才能造成伤害。
脆弱性识别数据应来自与资产的所有者、使用者以及相关业务领域和软硬件方的专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工:核查、文档审阅、渗透性测试等。脆弱性的识别主要从技术和管理两个方面进行,其主要因素分为技术脆弱性和管理脆弱性,进一步细分则又可以划分为:物理环境、网络结构、系统软件、数据库软件、应用中问件应用系统、技术管理和组织管理等方面。
脆弱性严重程度可以采用类似威胁性的度量元进行等级化处理,不同的等级代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。
2.4资产识别
风险评估需要对资产的价值进行识别,因为价值不同将导致风险值不同。风险评估中资产的价值不仅仅是以资产的经济价值来衡量,还与资产的机密性(Confidentiality)、完整性(Integrity)和可用性(Avail—ability)这三个安全属性有关。资产在CIA三性上的要求不同,则资产的最终价值也是不同。根据《信息安全风险评估规范》中给出的基于表现形式的资产分类方式,将资产分为6类:
(1)数据资产:包括保存在信息存储介质上的各种数据资料,如源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等。
(2)硬件资产:包括网络设备、计算机设备、存储设备、传输线路、保障设备、安全保障设备等。
(3)软件资产:系统软件、应用软件和源程序等。
(4)服务资产:办公服务、网络服务和信息服务等。
(5)文档资产:传真、电报、财务报告、发展计划等。
(6)人员资产:主机维护主管、网络维护主管和应用项目经理等。
3模糊综合安全风险分析评估方法
3.1模糊综合安全风险分析评估方法概述
采用AHP的方法来构造判断矩阵,按照1—9比例标度对安全风险因素的重要性程度赋值,采用专家打分的方法构造出影响因素的两两比较评判矩阵。为了使得到的评判矩阵满足一致性条件,对评判矩阵进行一致性检验。通过一致性检验后,得到其评判矩阵的最大特征根和特征向量w,将得到的特征向量归一化后就能够得到权重集.即可以得到信息系统的安全风险评估等级。
3.2安全事件发生可能性
安全事件发生可能性的实质就是威胁成功利朋资产存在的脆弱性导致安全事件发生的概率。可以使用以下的范式说明安全事件发生可能性的原理:
Mp二F(T,C)
其中:Mp表示安全事件发生的可能性,T表示信息存在的威胁性,C表示信息的脆弱性,F表示安全事件发生可能性计算的函数。
令威胁性和脆弱性的评语集V={很高(V5)、高(V4)、中(V3)、低(V2)、很低(V)}。假设威胁性和脆弱性各有八个影响因素,分别为(R1,R2,R3,R4,R5R6,R7,R8)和(R9,R10,Rl1,R12,R13,Rl4,R15,R16)则其威胁性的评判矩阵为:
