企業(yè)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究與設(shè)計(jì)

摘 要 本文構(gòu)建了一個(gè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)，該系統(tǒng)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的信息進(jìn)行風(fēng)險(xiǎn)評(píng)估，為如何實(shí)施控制措施以降低風(fēng)險(xiǎn)提供指導(dǎo)。

關(guān)鍵詞 企業(yè)網(wǎng) 信息系統(tǒng) 風(fēng)險(xiǎn)評(píng)估

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

一、引言

信息技術(shù)在商業(yè)上的廣泛應(yīng)用，使得企業(yè)對(duì)信息系統(tǒng)的依賴(lài)性增大。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是辨別各種系統(tǒng)的脆弱性及其對(duì)系統(tǒng)構(gòu)成威脅，識(shí)別系統(tǒng)中存在的風(fēng)險(xiǎn)，并將這些風(fēng)險(xiǎn)進(jìn)行定性，定量的分析，最后制定控制和變更措施的過(guò)程 。通過(guò)安全評(píng)估能夠明確企業(yè)信息系統(tǒng)的安全威脅，了解企業(yè)信息系統(tǒng)的脆弱性，并分析可能由此造成的損失或影響，為滿(mǎn)足企業(yè)信息安全需求和降低風(fēng)險(xiǎn)提供必要的依據(jù)。

二、安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵要素

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的三個(gè)關(guān)鍵要素是信息資產(chǎn)、威脅、弱點(diǎn)（即脆弱性）。每個(gè)要素都有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值。威脅的屬性是威脅發(fā)生的可能性，弱點(diǎn)的屬性是弱點(diǎn)被威脅利用后對(duì)資產(chǎn)帶來(lái)的影響的嚴(yán)重程度。

對(duì)企業(yè)信息系統(tǒng)的本身?xiàng)l件和歷史數(shù)據(jù)進(jìn)行整理分析，得到威脅，脆弱點(diǎn)分析如下：

實(shí)物資產(chǎn)的脆弱性：對(duì)電腦等辦公物品的保護(hù)措施不力，辦公場(chǎng)所防范災(zāi)害措施不力，電纜松動(dòng)，通訊線路保護(hù)缺失。

信息資產(chǎn)的脆弱性：相關(guān)技術(shù)文檔不全，信息傳輸保護(hù)缺失，撥號(hào)線路網(wǎng)絡(luò)訪問(wèn)受限，單點(diǎn)故障，網(wǎng)絡(luò)管理不力，不受控制的拷貝。

軟件資產(chǎn)的脆弱性：未使用正版穩(wěn)定軟件。

人員的脆弱性：對(duì)外來(lái)人員監(jiān)管不力，安全技術(shù)培訓(xùn)不力，授權(quán)使用控制不力，內(nèi)部員工的道德培訓(xùn)不力。

三、風(fēng)險(xiǎn)評(píng)估過(guò)程

風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全保障的核心和關(guān)鍵。風(fēng)險(xiǎn)評(píng)估過(guò)程分為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理。

風(fēng)險(xiǎn)識(shí)別是分析系統(tǒng)，找出系統(tǒng)的薄弱點(diǎn)和在運(yùn)行過(guò)程中可能存在的風(fēng)險(xiǎn)。為了保證風(fēng)險(xiǎn)分析的的及時(shí)性和有效性，管理層面應(yīng)該有具備豐富風(fēng)險(xiǎn)知識(shí)的部門(mén)經(jīng)理、IT人員、關(guān)鍵用戶(hù)、審計(jì)人員和專(zhuān)家顧問(wèn)，他們能夠幫助快速地指出關(guān)鍵風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)分析是對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行分析，確定各個(gè)風(fēng)險(xiǎn)可能造成的影響和損失，并按照其造成的影響和損失大小進(jìn)行排序，得到風(fēng)險(xiǎn)的級(jí)別。風(fēng)險(xiǎn)分析有助于企業(yè)就安全項(xiàng)目和構(gòu)成該項(xiàng)目的安全組成部分編制正確的預(yù)算，有助于將安全項(xiàng)目的目標(biāo)與企業(yè)的業(yè)務(wù)目標(biāo)和要求結(jié)合起來(lái)。

風(fēng)險(xiǎn)管理是由以上步驟得到的結(jié)果，制定相應(yīng)的保護(hù)措施。通過(guò)實(shí)施在評(píng)估階段創(chuàng)建的各種計(jì)劃，并用這些計(jì)劃來(lái)創(chuàng)建新的安全策略，在完成補(bǔ)救措施策略的開(kāi)發(fā)和相關(guān)系統(tǒng)管理的更改，并且確定其有效性的策略和過(guò)程已經(jīng)寫(xiě)好之后，即進(jìn)行安全風(fēng)險(xiǎn)補(bǔ)救措施測(cè)試。在測(cè)試過(guò)程中，將按照安全風(fēng)險(xiǎn)的控制效果來(lái)評(píng)估對(duì)策的有效性。

四、評(píng)估系統(tǒng)的設(shè)計(jì)

（一）評(píng)估系統(tǒng)的體系結(jié)構(gòu)和運(yùn)行環(huán)境。

該評(píng)估系統(tǒng)主要采用B/S/S三層體系結(jié)構(gòu)，即包括客戶(hù)端、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器三部分。其結(jié)構(gòu)示意圖如圖1所示：其中，客戶(hù)端通過(guò)Web瀏覽器訪問(wèn)應(yīng)用服務(wù)器，在Web頁(yè)面的引導(dǎo)下指導(dǎo)用戶(hù)與評(píng)估人員進(jìn)行風(fēng)險(xiǎn)識(shí)別、數(shù)據(jù)收集，并顯示最后的評(píng)估結(jié)果。同時(shí)豐富的在線幫助信息又為用戶(hù)及評(píng)估人員參與風(fēng)險(xiǎn)評(píng)估以及管理員進(jìn)行系統(tǒng)維護(hù)提供了很好的在線支持，系統(tǒng)管理員也可以利用任意一臺(tái)客戶(hù)端登錄管理帳號(hào)對(duì)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限范圍內(nèi)的維護(hù)。管理者需了解部門(mén)、員工及資產(chǎn)總體情況，明確風(fēng)險(xiǎn)種類(lèi)及大小，并以知識(shí)庫(kù)的形式，為如何處置風(fēng)險(xiǎn)提供了一些解決方案。面向評(píng)估人員的功能模塊，展示了本部門(mén)目前面臨的威脅和薄弱點(diǎn)情況，幫助評(píng)估人員明確風(fēng)險(xiǎn)。相比而言，該模塊更主要的功能，是協(xié)助上報(bào)本部門(mén)的人員及資產(chǎn)信息，以滿(mǎn)足評(píng)估需要。

圖1 評(píng)估系統(tǒng)體系結(jié)構(gòu)

應(yīng)用服務(wù)器處理收集到的風(fēng)險(xiǎn)信息，并采取多種手段，利用綜合評(píng)估算法 ，完成信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，并實(shí)時(shí)將執(zhí)行結(jié)果返回給客戶(hù)端Web瀏覽器。應(yīng)用服務(wù)器配置了系統(tǒng)運(yùn)行所需要的Web服務(wù)器程序以及Web站點(diǎn)頁(yè)面文件，我們選擇動(dòng)態(tài)網(wǎng)頁(yè)編程技術(shù)對(duì)系統(tǒng)的Web站點(diǎn)頁(yè)面文件進(jìn)行編碼和開(kāi)發(fā)。數(shù)據(jù)庫(kù)服務(wù)器上配置了系統(tǒng)運(yùn)行所需要的SQL Server數(shù)據(jù)庫(kù)管理程序以及系統(tǒng)數(shù)據(jù)庫(kù)資源，通過(guò)Web服務(wù)器與客戶(hù)端實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)交互。

（二）工作流程設(shè)計(jì)

首先，對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)數(shù)據(jù)采集，用戶(hù)填寫(xiě)由評(píng)估單位制定的評(píng)估申請(qǐng)，將信息系統(tǒng)按具體情況進(jìn)行分類(lèi)，同時(shí)利用漏洞掃描器、正反向工具從技術(shù)角度了解系統(tǒng)的安全配置和運(yùn)行的應(yīng)用服務(wù)，使得評(píng)估人員從整體上了解該信息系統(tǒng)及其評(píng)估重點(diǎn)，并針對(duì)系統(tǒng)業(yè)務(wù)特點(diǎn)進(jìn)行裁剪；接下來(lái)，在前面所做的工作的基礎(chǔ)上，圍繞著系統(tǒng)所承載的業(yè)務(wù)對(duì)數(shù)據(jù)進(jìn)行資產(chǎn)、威脅、脆弱性分析；最后，依據(jù)發(fā)生的可能性及對(duì)系統(tǒng)業(yè)務(wù)造成的影響對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行分類(lèi)，利用定性和定量的評(píng)估算法以及消除主觀性的各種算法，對(duì)風(fēng)險(xiǎn)識(shí)別中獲得的風(fēng)險(xiǎn)信息進(jìn)行風(fēng)險(xiǎn)綜合評(píng)估，并在整體和局部、管理和技術(shù)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，生成評(píng)估報(bào)告。

（三）數(shù)據(jù)庫(kù)設(shè)計(jì)

該系統(tǒng)的數(shù)據(jù)庫(kù)由企業(yè)信息庫(kù)、知識(shí)庫(kù)、評(píng)估標(biāo)準(zhǔn)庫(kù)和評(píng)估方法庫(kù)組成，采用SQL Server數(shù)據(jù)庫(kù)管理系統(tǒng)作為該數(shù)據(jù)庫(kù)的開(kāi)發(fā)和運(yùn)行平臺(tái)，其中：企業(yè)信息庫(kù)存儲(chǔ)的是有關(guān)企業(yè)信息系統(tǒng)的基本信息；評(píng)估方法庫(kù)存儲(chǔ)了針對(duì)所設(shè)計(jì)的評(píng)估結(jié)構(gòu)所采用的評(píng)估方法集合；知識(shí)庫(kù)存儲(chǔ)的是以往已評(píng)估系統(tǒng)的完整評(píng)估資料，可以為當(dāng)前的風(fēng)險(xiǎn)評(píng)估提供可借鑒的經(jīng)驗(yàn)；在數(shù)據(jù)庫(kù)設(shè)計(jì)中評(píng)估標(biāo)準(zhǔn)庫(kù)是幾個(gè)庫(kù)中最重要也是工作量最大的部分，該庫(kù)涵蓋了各評(píng)估標(biāo)準(zhǔn)的評(píng)估要素，即遵從標(biāo)準(zhǔn)，又針對(duì)各行業(yè)的業(yè)務(wù)特點(diǎn)，提供了靈活的數(shù)據(jù)結(jié)構(gòu)。

（四）網(wǎng)站內(nèi)容風(fēng)險(xiǎn)算法。

對(duì)風(fēng)險(xiǎn)進(jìn)行計(jì)算，需要確定影響的風(fēng)險(xiǎn)要素、要素之間的組合方式、以及具體的計(jì)算方法。將風(fēng)險(xiǎn)要素按照組合方式使用具體的計(jì)算方法進(jìn)行計(jì)算，得到風(fēng)險(xiǎn)值。目前通用的風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素一般為資產(chǎn)、威脅、和脆弱性。由威脅和脆弱性確定安全事件發(fā)生的可能性，由資產(chǎn)和脆弱性確定安全事件的損失；由安全事件發(fā)生的可能性和安全事件的損失確定風(fēng)險(xiǎn)值。目前，常用的計(jì)算方法是矩陣法和相乘法。

五、總結(jié)

網(wǎng)絡(luò)技術(shù)的發(fā)展在加速信息交流與共享的同時(shí)，也加大了網(wǎng)絡(luò)信息安全事故發(fā)生的可能性。對(duì)企業(yè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，可以了解其安全風(fēng)險(xiǎn)，評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的安全威脅與影響程度，為安全策略的確定、信息系統(tǒng)的建立及安全運(yùn)行提供依據(jù)，給用戶(hù)提供信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心，增強(qiáng)產(chǎn)品、企業(yè)的競(jìng)爭(zhēng)力。

（作者：武漢職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系教師，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)及其應(yīng)用、信息安全）

注釋?zhuān)?/p>

范紅，馮登國(guó)等.信息安全風(fēng)險(xiǎn)評(píng)估方法及應(yīng)用[M] .北京：清華大學(xué)出版社，2006

楊曉明，羅衡峰等.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估技術(shù)分析[J].計(jì)算機(jī)應(yīng)用，2008