几种信息安全评估模型知识讲解
1基于安全相似域的风险评估模型
本文从评估实体安全属性的相似性出发,提出安全相似域的概念,并在此基础上建立起一种网络风险评估模型SSD-REM
风险评估模型主要分为评估操作模型和风险分析模型。评估操作模型着重为评估过程建立模型,以指导评估的操作规程,安全评估机构通常都有自己的操作模型以增强评估的可实施性和一致性。风险分析模型可概括为两大类:面向入侵的模型和面向对象的模型。
面向入侵的风险分析模型受技术和规模方面的影响较大,不易规范,但操作性强。面向对象的分析模型规范性强,有利于持续评估的执行,但文档管理工作较多,不便于中小企业的执行。针对上述问题,本文从主机安全特征的相似性及网络主体安全的相关性视角出发,提出基于安全相似域的网络风险评估模型SSD-REM(security-similar-domain based riskevaluation model)。该模型将粗粒度与细粒度评估相结合,既注重宏观上的把握,又不失对网络实体安全状况的个别考察,有助于安全管理员发现保护的重点,提高安全保护策略的针对性和有效性。
SSD-REM模型
SSD-REM模型将静态评估与动态评估相结合,考虑到影响系统安全的三个主要因素,较全面地考察了系统的安全。
定义1评估对象。从风险评估的视角出发, 评估对象是信息系统中信息载体的集合。根据抽象层次的不同,评估对象可分为评估实体、安全相似域和评估网络。
定义2独立风险值。独立风险值是在不考虑评估对象之间相互影响的情形下,对某对象进行评定所得出的风险,记为RS。
定义3综合风险值。综合风险值是在考虑同其发生关联的对象对其安全影响的情况下,对某对象进行评定所得出的风险,记为RI。
独立域风险是在不考虑各评估实体安全关联的情况下,所得相似域的风险。独立网络风险是在不考虑外界威胁及各相似域之间安全关联的情况下,所得的网络风险
评估实体是评估网络的基本组成元素,通常立的主机、服务器等。我们以下面的向量来描述{ID,Ai,RS,RI,P,μ}
式中ID是评估实体标识;Ai为安全相似识;RS为该实体的独立风险值;RI为该实体合风险值;P为该实体的信息保护等级,即信产的重要性度量;属性μ为该实体对其所属的域的隶属
度。这里将域i中的实体j记为eij。
定义4安全相似度。安全相似度是指评估实体间安全属性的接近程度,我们以Lij表示实体i与实体j之间的安全相似度。设评估实体的安全属性集为{x1,x2,…,xn},则安全相似度可看作这些属性的函数,即Lij=f(x1,x2,…,xn),我们约定当i=j时,Lij=1,其他情况下0≤Lij<1。
定义5域隶属度。域隶属度反映的是一评估实体隶属于某安全相似域的程度,记为Iij,表示实体j隶属于域i的程度。
定义6安全相似域。安全相似域是由具有相似安全属性的实体组成的集合,其相似性由域隶属度来衡量,我们用Ai来表示第i个安全相似域,那么对域Ai的隶属度大于某个阈值的均被认为是域Ai的成员。设Ai有n(n属于正整数)个成员,即Ai={ei1,ei2,ei3,…,ein},我们称域Ai的规模为n。相似域的划分不一定要用聚类方法,也可以从管理角度划分,如按照部门来划分。
定义7单向安全关联系数。单向安全关联系数表示评估对象i对评估对象j的安全影响程度,记为rij。一般情况下我们认为rij≠rji,且i=j时,rij=1。
我们以域安全关联系数矩阵来表示评估网络中各安全相似域间的安全相互影响程度,记为R。在含有n个域的网络中,域安全关联系数矩阵表示如下:
定理一设网络规模为m,则网络中任两可达评估实体之间距离至多为m步。我们以两评估实体沿有向边(不走重复边)到达对方经过的节点个数为步长。
通过以上定义,我们将目标评估网络划分为有限个安全相似域,它们是由有限个相似度大于某个阈值的评估实体组成的集合。评估网络的抽象示意图如下,其中域之间的有向直线为域之间的安全关联,域内存在不同个数的评估实体。
该模型下的一种网络风险算法:
此算法重点考察对网络风险的计算,故不对主机的安全属性进行具体分析。假设已知主机的安全属性数据,当然在计算安全属性时应考虑财产因素。通过分类若评估目标网络共有m(m为正整数)个安全相似域,通过计算可得域独立风险值向量(RS1,RS2,RS3,…,RSm),我们以域风险的算术平均值作为网络的风险值。那么,网络独立风险值NRI算式如下:
若域安全关联系
数矩阵为Rm×m,rij为矩阵的元素,则域i的一阶综合风险值是自身风险和其他域对该域直接关联造成的风险的综合,其算式如下:
由此可得,该网络的一阶域综合风险向量为域独立风险向量同域安全关联系数矩阵的
乘积一阶网络综合风险值NRV1为各域一阶综合风
险值的算术平均,故求解如下:
式中m为域的个数。由定理一,我们计算网络的风险值时,最多只考虑m步安全关联(m为划分的域的个
数),所以n阶网络综合风险值NRVn可如下推导:
式中0< n < m 2基于未确知测度的信息系统风险评估模型
单指标未确知测度:
在未确知综合评价中,指标权重向量是非常重要的。它的精确度和科学性直接影响评价的结果。权重的确定方法有很多种,典型的方法有熵值法、聚类分析法、德尔菲法、层次分析法等。其中,熵值法由于能够反映指标信息熵值的效用价值,其给出的指标权重有较高的可信度,但是缺乏各指标之间的横向比较。聚类分析法适用于多项指标的重要程度分类,缺点是只能给出指标分类的权重,不能确定单项指标的权重。层次分析法和德尔菲法都是根据专家的知识和经验对评价指标的内涵与外延进行判断,适用范围广,由于层次分析法对指标之间相对重要程度的分析更具逻辑性,刻画的更细致,并对专家的主观判断进行了数学处理,因此其科学性和可信度高于德尔菲法。本文采用专家赋权法事先给出指标的权重。
3一种基于渗透性测试的WEB漏洞扫描系统模型设计与实
现
提出一种基于渗透性测试的Web漏洞扫描系统,给出了Web漏洞扫描系统的总体结构设计,研究了描述Web攻击行为所需要的特征信息及其分类,给出了Web攻击行为特征信息在数据库中的存储表结构。在Web攻击行为信息库中保存了超过230个不同的Web服务器信息,存在于Web服务器与CGI应用程序中的超过3 300个不同的已知漏洞信息,可以识别出绝大多数对未经修补或非安全Web服务器造成威胁的常见漏洞。
Web漏洞扫描方法主要有两类:信息获取和模拟攻击。信息获取就是通过与目标主机TCP/IP的Http服务端口发送连接请求,记录目标主机的应答。通过目标主机应答信息中状态码和返回数据与Http协议相关状态码和预定义返回信息做匹配,如果匹配条件则视为漏洞存在。模拟攻击就是通过使用模拟黑客攻击的方法,对目标主机Web系统进行攻击性的安全漏洞扫描,比如认证与授权攻击、支持文件攻击、包含文件攻击、SQL注入攻击和利用编码技术攻击等对目标系统可能存在的已知漏洞进行逐项进行检查,从而发现系统的漏洞。
Web漏洞扫描原理就是利用上面的扫描方法,通过分析扫描返回信息,来判断在目标系统上与测试代码相关的漏洞是否存在或者相关文件是否可以在某种程度上得以改进,然后把结果反馈给用户端(即浏览端),并给出相关的改进意见。
Web漏洞扫描系统设计与实现:Web漏洞扫描系统设计的基本要求是能够找到Web应用程序的错误以及检测Web服务器以及CGI的安全性,其中也包括认证机制、逻辑错误、无意泄露Web内容以及其环境信息以及传统的二进制应用漏洞(例:缓冲区溢出等)。同时要求漏洞扫描功能能够更新及时。本系统结合国内外其他Web漏洞扫描系统设计思想的优点,采用Browser /Server/ Database(浏览器/服务器/数据库)和模块化的软件开发思路,通过渗透性检测的方法对目标系统进行扫描。
系统总体结构设计:本文设计开发的是一个B/S模式的Web漏洞扫描系统。它包括客户端及服务端两个部分,运行环境为Linux系统。首先:使用B/S结构使得用户的操作不再与系统平台相关,同时使得客户操作更方便、直观。其次,系统把漏洞扫描检测部分从整个系统中分离出来,使用专门的文件库进行存放(称为插件)。如果发现新的漏洞并找到了新的检测方法,只要在相关文件夹中增加一个相应的新的攻击脚本记录,即可以实现对漏洞的渗透性测试,同时也实现了及时的升级功能。最后,系统从多个角度来提高漏洞扫描系统的扫描速度以及减少在用客户端与服务端之间的信息传输量,以提高系统的运行效率。其总体结构设计如图1所示。
图1中给出了漏洞扫描系统模型的系统结构图该漏洞检测系统主要分成四部分:
(1)主控程序。采用多线程处理方式,它接收多个客户端提交的用户指令后,再次利用多线程技术调用相关的插件脚本,利用渗透性测试对目标系统进行检测,并将结果和进程信息传回客户端显示并保存在客户本地,以方便用户查看详细信息。
(2)客户端,即控制平台。B/S结构比传统的C/S结构优越的地方在于方便性和与平台无关性,用户通过Web浏览器设定扫描参数,提交给服务器端,控制服务器端进行扫描工作。同时,对服务器返回的各种检测结果进行相应的显示、汇总和保存。
(3)插件系统。它保存现在已知各种漏洞检测方法的插件,合理安排插件之间的执行顺序,使扫描按既定的顺序进行,以加快扫描速度提高扫描的效率与准确性。
(4)数据库,即探测数据库,是系统的核心。它保存已知各类Web漏洞的渗透性的探测数据即攻击代码或信息获取代码,比如SQL注入攻击、跨站点脚本攻击、会话攻击或输入验证编码信息等,逐条给目标发送探测数据,通过把返回信息与预先设定的“返回信息”和状态码进行匹配,进而获得目标返回系统的健壮信息。
在规划系统体系组成部分的基础上,如何把这些组成模块有机地集成为一个系统也是设计本系统的重点。我们要求服务器端同时处理多用户的连接,因此首先要进行多线程处理。在进行单用户处理中,当用户登陆时,检测服务器对用户的用户名和密码进行认证,判断用户是否具有使用权限。用户认证通过后,检测服务器给客户端发送可使用的基本检测信息。客户端接收到服务器的这些信息后,根据具体的使用要求选择和填写各种检测脚本要求的参数,或使用默认参数,然后返回给服务器端。服务器端建立新的进程,开始一个新的漏洞检测任务,对目标系统进行扫描。
客户端的实现:网络的发展要求在任何地点进行登陆并进行扫描工作,并且漏洞检测参数繁多、设置扫描参数具有很高的复杂性,所以选择现在流行的Web页面作为客户端。这样就可以在世界的任何地点,任何环境使用客户端,用简单的图形化界面进行参数设定和系统的控制工作。客户端在认证通过后,开始接收服务器发送过来的各种待设定的参数及相关信息以供用户选择。用户根据相关帮助信息及自己相关的要求设定参数,同时设定目标系统的IP 地址(或主机名)和端口号等参数。根据客户端的参数设定,服务端建立扫描任务,对目标系统进行检测扫描。检测过程中,客户可以自行设定是否实时显示服务端扫描状态信息及结果信息,以及在客户端是否保存相关信息,便于用户对扫描任务进行实时的控制,从而制定相应的安全策略。
通信协议设计:Http协议是一种在TCP/IP之上的request/response型协议。多数Http数据传输由请求服务器上的某种资源开始,通过网络上的一些中介,如代理、网关等到达服务器,而后服务器处理请求并送回应答。但是Http 1.0并不完全支持各层代理、缓冲、持续的连接以及虚拟主机等技术。Http请求及应答数据包如图2所示。
特征信息数据库:此漏洞扫描系统的核心就是特征信息数据库,特征信息数据库保存了远程Web系统可能存在的各类Web隐患和漏洞的获取或攻击信息或代码。通过给远程Web系统发送此数据库中的数据以获得目标Web系统的安全性。
Web漏洞扫描系统的实现
4基于灰色理论的网络信息安全评估模型
灰色模型建模机理: 灰色理论基于关联空间、光滑离散函数等概念,定义了灰导数和灰微分方程,进而用离散数据列建立了微分方程型的动态模型。它是本征灰系统的基本模型,而且模型非唯一,故称为灰色模型,记为GM(GreyModel)。
(1)灰色理论将随机量当作在一定范围变化的灰色量;将随机过程当作在一定幅区、一定时区变化的灰色过程。
(2)灰色理论将无规律的原始数据生成为较有规律的生成数列再建模。
(3)灰色理论针对符合光滑离散函数条件的数列建模,而一般原始数据经累加生成后可得到光滑离散函数。
(4)灰色理论在光滑离散函数收敛性与关联空间极限概念的基础上,定义了灰导
(5)灰色理论认为微分方程是背景值与各阶灰导数的某种组合。
(6)灰色理论通过灰数的不同生成、数据的不同取合、不同级别的残差MG模型的补允、调整、修正,提高模型精度。
(7)灰色理论中MG模型一般采用三种方法检验和判断模型精度。即残差检验;关联度检验;后验差检验。
(8)通过GM模型得到的数据,需经逆生成作还原后才能用。
(9)灰色理论对高阶系统建模,采取一阶MG模型群建立状态方程的方法解决。
(10)灰色模型在考虑残差MG模型的补充后,变成了差分微分模型。
(11)灰色理论根据关联子空间某种特定关联映射下的关联收敛来选择参考模型。关联收敛是一种有限范围的近似收敛。
五步建模思想与方法: 在本征性灰色系统中,包括哪些变量?变量间有什么关系?人们并不很清楚,因而建立模型很困难。对此,灰色理论采用定性分析与定量分析相结合的方法。即建模时,不仅运用控制理论的数学模型,而且还直接利用经验判断知识,综合概括为一个“五步建模”的过程。
所谓“五步建模”即将建模分为几个阶段,每个阶段都用一定的方式加以表达,这些表达式
称为阶段模型。所处的阶段不同,模型的性质也不同。这五个阶段模型分别称为语言模型、网络模型、量化模型、动态模型、优化模型。通过这五步建模,就可逐步得到系统中各因素间,前因与后果间,作用与响应间等关系。这是一个由定性到定量,由粗到细、由灰变白的建模过程。
模型的建立:灰色系统是部分信息明确,部分信息不明确的系统。信息安全评估系统符合灰色系统的特征,因此灰色评估理论适用于对信息安全系统进行安全风险评估。本文采用基于三角白化权函数的灰色评估法来建立信息安全风险评估模型
评价指标权重的确定:
对于评价指标权重的确定,通常可利用AHP法、嫡值法、主成分分析法等方法。本文主要是应用了主成分分析法来分析系统的权重。
主成分分析法计算步骤
评价指标的评分等级标准;
对安全措施等级的定义是标准的另一个重点。根据我们国家的《计算机信息系统安全保护等级划分准则》,安全措施应该划分成5个等级:
(1)第一级:用户自主保护级;
(2)第二级:系统审计保护级;
(3)第三级:安全标记保护级;
(4)第四级:结构化保护级;
(5)第五级:访问验证保护级。
信息系统中存在不确定性干扰因素,就是系统中存在摄动,但是整个系统仍然正常工作,这一特点符合控制系统中的鲁棒性特征,所以在这里引入鲁棒性测量。鲁棒性策略针对某种信息价值和可能遭到的威胁水平,提供一种在确定信息安全机制强度下的指导思想。这种策略还定义了对技术性反制措施的测量及评估其鲁棒性不同等级的策略。在鲁棒性策略中把信息的价值分为5级(Vl~VS),其价值依次递升;威胁分为7级(Tl一T7),其大小也依次递升。表4一1根据待保护信息的价值及威胁程度,给出了对应安全强度的安全机制。
模型的描述与评估步骤:
有了标准化后的指标值及对应的权重后,我们就可以将标准化值进行综合合成,从而得到网络信息安全评估的综合值,需要建立评估模型。同时建立了评估模型后,对新的评价对象进行评估时,也可直接输入模型得到对应的综合评价值,为今后评估提供方便。设有n个对象,m个评估指标,s个不同的灰类,对象i关于指标j的样本观测值为xij,i=,12,…,从j=1,2,…,m。我们要根据凡的值对相应的对象i进行评估诊断、具体步骤如下:
步骤一建立络信息安全评估的指标体系主要依据相关的络信息安全评估标准。根据我们国家的《计算机信息系统安全保护等级划分准则》(GB17589一1999),安全措施应该划分5个等级,依据评估的目的和要求,确定影响信息系统安全风险等级的因素和信息安全风险等级,然后采用专家咨询法确定信息安全风险评估的指标{XI,XZ,…,X,,…,X二}及其相应权重{K,,KZ,…,K,,…,K,,}然后根据信息安全风险评估要求的风险等级灰类数s,将各个指标的取值范围也相应地划分为
这一步骤是将信息安全风险从定性到定量转化的关键,为了指标体系的准确,
应当挑选对信息系统了解、经验丰富的专家参加评估,并且要适当保证参与评估的
专家人数。
步骤二通过定性和定量相结合的方式在被评估信息系统中测出各安全风险评估指
标的样本值{X,,X2,…,Xj…,Xm}。
定性分析是建模的前提,定量模型是定性分析的具体化,定性与定量紧密结合
相互补充能够测出比较合理的样本值。明确系统因素,弄清因素间关系及因素与系统的关系是系统研究的核心。
步骤三、根据如下规则建立三角白化权函数。
信息安全风险评估模型及其算法研究
信息安全风险评估模型及其算法研究 摘要:在信息科技日益发展,人类社会对信息的依赖性越来越强,信息资产的安全性受到空前的重视,而当前我国的信息安全水平普遍不高,与西方发达国家存在较大差距。在当前信息安全领域,主要的管理手段是奉行着“三分技术,七分管理”的原则。要想提高整体的信息安全水平,必须从一个组织整体的信息安全管理水平着手,而不仅是依赖于防火墙、入侵检测、漏洞扫描等传统信息安全技术手段,而目前信息安全管理的最起始的工作主要是信息安全风险评估,而信息安全风险评估的手段单一化、多元化、难以定量化。以往的信息安全风险评估多从AHP层析分析法、模糊综合评价及灰色理论入手,而较少采用V AR风险定量分析和概率论等数学方法去分析和评估信息安全的风险。以V AR风险定量分析每个风险源的损失额度,以概率论和数理统计的方法去评估每个风险源在整体信息安全的风险比例,从而便于组织合体调配资源,达到资源的最佳配置,降低组织的整体信息安全风险。 关键词:信息安全;风险评估;V AR分析;数理统计 1研究背景及现状 随着信息时代的迅速到来,众多的组织机构将重要信息存放在信息系统中,在业务上也越来越依赖信息系统的安全性、可用性、可恢复性。越来越多的组织机构意识到信息安全的重要性,例如金融、电力、通讯等相关涉及公共利益的组织机构投入巨资进行了信息安全能力的提升。而我国以公安部牵头的信息安全等级保护工作也在如火如荼的进行,对不同行业,不同机构进行分类保护,极大的从制度和法规方面促进了我国信息安全保护水平的提升,从国家宏观层面上积极推进了信息安全工作的开展。针对于国家公安部开展的信息安全等级保护工作,不同行业的信息安全等级易于测量,但对于某一行业具体金融机构的信息安全能力定级上难以定量化,不同金融机构所面对的信息安全风险大小不一,来源不同,极具差异化。小型银行在信息安全领域的花费将和大银行完全相同,将加大中小银行的商业负担,造成不必要的浪费,如何运用数量方法定量的而不是定性的去评估信息安全风险成为信息安全领域一个急需解决的学术问题。 ①国外的研究现状。目前在国外,最为流行的信息安全风险管理手段莫过于由信息系统审计与控制学会ISACA(InformationSystemsAuditandControl Association)在1996年公布的控制框架COBIT 目前已经更新至第四版,主要研究信息安全的风险管理。这个框架共有34个IT的流程,分成四个控制域:PO (Planning&Organization)、AI(Acquisition&Implementation)、DS (Delivery and Support)、ME(Monitor and Evaluate),共包含214个详细控制目标,提供了自我审计标准及最仕实践,能够指导组织有效利用信息资源。管理信息安全相关风险。文章总结了其中与信息安全管理相关的特点:更清晰的岗位责任划分。为了改善对IT流程模型的理解,COBIT4.0为每个IT流程进行了定义,对每个流程及基木输入/输出及与其他流程的关系进行了描述,确定它从哪个流程来,哪个
信息安全保障指标体系及评价方法第1部分概念和模型
国家标准《信息安全保障指标体系及评价方法第1部分 概念和模型》(送审稿)编制说明 1.工作简况 1.1. 任务来源 根据国家标准化管理委员会2009年下达的国家标准制修订计划,国家标准《信息安全技术信息安全保障指标体系及评价方法》由国家信息中心负责主办,标准计划号为20090326-T-469。 为回答“中办27号[2003] 文件”《国家信息化领导小组关于加强信息安全保障工作的意见》提出的各项任务的建设情况,包括所建设的信息安全保障体系处于什么水平,是否达到了预期的目标,基础信息网络和重要信息系统的综合保障态势等内容。原国务院信息办、国家信息化专家委提出开展“信息安全保障评价指标体系”研究的构想。2005年7月,原国务院信息办、国家信息化专家咨询委员会成立了“信息安全保障评价指标体系研究”课题组,开始着手对这一问题开展研究。总体组设在国家信息中心,另设有广电、电信、移动、电力、金融、互联网、涉密信息系统、电子政务门户网站等八个子课题组。2009年,项目在全国信息安全标准化委员会立项编制成国家标准。2011年,标准研制工作得到了国家发改委信息安全专项《国家信息安全保障评价指标标准体系建设项目》的支持。 1.2. 编制目的 本标准主要解决国家信息安全保障工作的评价问题。 1.3. 主要工作过程 1、2005年6月-2008年2月,国家信息化专家咨询委员会对“信息安全保障评价指标体系”进行立项研究,开始信息安全保障评价指标体系的研究和标准的建设工作。在前期研究过程中,项目组研究人员团结协作,为标准体系建设奠定了坚实的基础: ①为基础信息网络和重要信息系统评价提出了一个理论框架,各系统在此框架下展开具体指标的设计工作; ②给出了国家宏观指标的设计方案; ③各系统根据自身特点,在统一框架下初步完成各自的指标设计,完成了
信息安全-深入分析比较八个信息安全模型
深入分析比较八个信息安全模型 信息安全体系结构的设计并没有严格统一的标准,不同领域不同时期,人们对信息安全的认识都不尽相同,对解决信息安全问题的侧重也有所差别。早期人们对信息安全体系的关注焦点,即以防护技术为主的静态的信息安全体系。随着人们对信息安全认识的深入,其动态性和过程性的发展要求愈显重要。 国际标准化组织(ISO)于1989年对OSI开放系统互联环境的安全性进行了深入研究,在此基础上提出了OSI安全体系结构:ISO 7498-2:1989,该标准被我国等同采用,即《信息处理系统-开放系统互连-基本参考模型-第二部分:安全体系结构GB/T 9387.2-1995》。ISO 7498-2 安全体系结构由5类安全服务(认证、访问控制、数据保密性、数据完整性和抗抵赖性)及用来支持安全服务的8种安全机制(加密机制、数字签名、访问控制机制、数据完整性机制、认证交换、业务流填充、路由控制和公证)构成。ISO 7498-2 安全体系结构针对的是基于OSI 参考模型的网络通信系统,它所定义的安全服务也只是解决网络通信安全性的技术措施,其他信息安全相关领域,包括系统安全、物理安全、人员安全等方面都没有涉及。此外,ISO 7498-2 体系关注的是静态的防护技术,它并没有考虑到信息安全动态性和生命周期性的发展特点,缺乏检测、响应和恢复这些重要的环节,因而无法满足更复杂更全面的信息保障的要求。 P2DR 模型源自美国国际互联网安全系统公司(ISS)提出的自适应网络安全模型ANSM(Adaptive NetworkSe cur ity Mode l)。P2DR 代表的分别是Polic y (策略)、Protection(防护)、Detection(检测)和Response(响应)的首字母。按照P2DR的观点,一个良好的完整的动态安全体系,不仅需要恰当的防护(比如操作系统访问控制、防火墙、加密等),而且需要动态的检测机制(比如入侵检测、漏洞扫描等),在发现问题时还需要及时做出响应,这样的一个体系需要在统一的安全策略指导下进行实施,由此形成一个完备的、闭环的动态自适应安全体系。P2DR模型是建立在基于时间的安全理论基础之上的。该理论的基本思想是:信息安全相关的所有活动,无论是攻击行为、防护行为、检测行为还是响应行为,都要消耗时间,因而可以用时间尺度来衡量一个体系的能力和安全性。 PDRR 模型,或者叫PPDRR(或者P2DR2),与P2DR非常相似,唯一的区别就在于把恢复环节提到了和防护、检测、响应等环节同等的高度。在PDRR
几种信息安全评估模型
1基于安全相似域的风险评估模型 本文从评估实体安全属性的相似性出发,提出安全相似域的概念,并在此基础上建立起一种网络风险评估模型SSD-REM 风险评估模型主要分为评估操作模型和风险分析模型。评估操作模型着重为评估过程建立模型,以指导评估的操作规程,安全评估机构通常都有自己的操作模型以增强评估的可实施性和一致性。风险分析模型可概括为两大类:面向入侵的模型和面向对象的模型。 面向入侵的风险分析模型受技术和规模方面的影响较大,不易规范,但操作性强。面向对象的分析模型规范性强,有利于持续评估的执行,但文档管理工作较多,不便于中小企业的执行。针对上述问题,本文从主机安全特征的相似性及网络主体安全的相关性视角出发,提出基于安全相似域的网络风险评估模型SSD-REM(security-similar-domain based riskevaluation model)。该模型将粗粒度与细粒度评估相结合,既注重宏观上的把握,又不失对网络实体安全状况的个别考察,有助于安全管理员发现保护的重点,提高安全保护策略的针对性和有效性。 SSD-REM模型 SSD-REM模型将静态评估与动态评估相结合,考虑到影响系统安全的三个主要因素,较全面地考察了系统的安全。 定义1评估对象。从风险评估的视角出发, 评估对象是信息系统中信息载体的集合。根据抽象层次的不同,评估对象可分为评估实体、安全相似域和评估网络。 定义2独立风险值。独立风险值是在不考虑评估对象之间相互影响的情形下,对某对象进行评定所得出的风险,记为RS。 定义3综合风险值。综合风险值是在考虑同其发生关联的对象对其安全影响的情况下,对某对象进行评定所得出的风险,记为RI。 独立域风险是在不考虑各评估实体安全关联的情况下,所得相似域的风险。独立网络风险是在不考虑外界威胁及各相似域之间安全关联的情况下,所得的网络风险 评估实体是评估网络的基本组成元素,通常立的主机、服务器等。我们以下面的向量来描述{ID,Ai,RS,RI,P,μ} 式中ID是评估实体标识;Ai为安全相似识;RS为该实体的独立风险值;RI为该实体合风险值;P为该实体的信息保护等级,即信产的重要性度量;属性μ为该实体对其所属的域的隶属
信息安全风险评估方案学习资料
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
信息安全风险评估技术
信息安全风险评估技术手段综述 王英梅1 (北京科技大学信息工程学院北京 100101) 摘要:信息安全成为国家安全的重要组成部分,因此为保证信息安全,建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础,在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具,本文在对风险评估工具进行分类的基础上,探讨了目前主要的风险评估工具的研究现状及发展方向。 关键词:风险评估综合风险评估信息基础设施工具 引言 当今时代,信息是一个国家最重要的资源之一,信息与网络的运用亦是二十一世纪国力的象征,以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式,没有各种信息的支持,企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战,因此,需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说:“没有安全的工程就是豆腐渣工程”。信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。 如何保证组织一直保持一个比较安全的状态,保证企业的信息安全管理手段和安全技术发挥最大的作用,是企业最关心的问题。同时企业高层开始意识到信息安全策略的重要性。突然间,IT专业人员发现自己面临着挑战:设计信息安全政策该从何处着手?如何拟订具有约束力的安全政策?如何让公司员工真正接受安全策略并在日常工作中执行?借助于信息安全风险评估和风险评估工具,能够回答以上的问题。 一.信息安全风险评估与评估工具 风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。 风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也 1作者介绍:王英梅(1974-),博士研究生,研究方向为信息安全、风险评估。国家信息中心《信息安全风险评估指南》编写小组成员。
信息安全风险评估
***软件有限公司 信息安全风险评估指南
变更记录
信息安全风险评估指南 1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了 无锡新世纪信息科技有限公司的大力支持。 1.1政策法规: ?《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) ?《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号) 1.2国际标准: ?ISO/IEC 17799:2005《信息安全管理实施指南》 ?ISO/IEC 27001:2005《信息安全管理体系要求》 ?ISO/IEC TR 13335《信息技术安全管理指南》 1.3国内标准: ?《信息安全风险评估指南》(国信办综[2006]9号) ?《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005年4月) ?GB 17859—1999《计算机信息系统安全保护等级划分准则》 ?GB/T 18336 1-3:2001《信息技术安全性评估准则》 ?GB/T 5271.8--2001 《信息技术词汇第8部分:安全》 ?GB/T 19715.1—2005 《信息技术安全管理指南第1部分:信息技术安全概念和模型》 ?GB/T 19716—2005 《信息安全管理实用规则》 1.4其它 ?《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA147070)) 2、风险评估 2.1、风险评估要素关系模型 风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系:
网络安全评估指标体系研究范文
研究报告二网络安全评估标准研究报告 一、研究现状 随着网络技术的发展,计算机病毒、网络入侵与攻击等各种网络安全事件给网络带来的威胁和危害越来越大,需对网络数据流进行特征分析,得出网络入侵、攻击和病毒的行为模式,以采取相应的预防措施。宏观网络的数据流日趋增大,其特征在多方面都有体现。为了系统效率,只需对能体现网络安全事件发生程度与危害的重点特征进行分析,并得出反映网络安全事件的重点特征,形成安全评估指标。 随着信息技术与网络技术的迅猛发展, 信息安全已经成为全球共同关注的话题, 信息安全管理体系逐渐成为确保组织信息安全的基本要求, 同时网络与信息安全标准化工作是信息安全保障体系建设的重要组成部分。网络与信息安全标准研究与制定为管理信息安全设备提供了有效的技术依据, 这对于保证安全设备的正常运行和网络信息系统的运行安全和信息安全具有非常重要的意义。本文将介绍当前网络信息安全标准研究的现状, 并着重介绍几个现阶段国内外较流行的安全标准。 近年来,面对日益严峻的网络安全形式,网络安全技术成为国内外网络安全专家研究的焦点。长期以来,防火墙、入侵检测技术和病毒检测技术被作为网络安全防护的主要手段,但随着安全事件的日益增多,被动防御已经不能满足我们的需要。这种情况下,系统化、自动化的网络安全管理需求逐渐升温,其中,如何实现网络安全信息融合,如何真实、准确的评估对网络系统的安全态势已经成为网络安全领域的一个研究热点。 对网络安全评估主要集中在漏洞的探测和发现上,而对发现的漏洞如何进行安全级别的评估分析还十分有限,大多采用基于专家经验的评估方法,定性地对漏洞的严重性等级进行划分,其评估结果并不随着时间、地点的变化而变化,不能真实地反映系统实际存在的安全隐患状况。再加上现在的漏洞评估产品存在误报、漏报现象,使得安全管理员很难确定到底哪个漏洞对系统的危害性比较大,以便采取措施降低系统的风险水平。因此,我们认为:漏洞的评估应该充分考虑漏洞本身的有关参数及系统的实际运行数据两方面信息,在此基础上,建立一个基于信息融合的网络安全评估分析模型,得到准确的评估结果 2相关工作 现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSE-CMM ( Systems Security Engineering Capability MaturityModel)等。大部分通用的信息安全标准,如ISO 17799,ISO13335等,其核心思想都是基于风险的安全理念[4-6]。信息技术先进的国家,例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。特别是美国,利用卡内基梅