军事信息系统安全风险评估模型与方法

　Ξ 　收稿日期 :2008 - 11 - 07 作者简介 :冯杰 (1959 —) ,男 ,江苏人 ,教授 ,主要从事军事运筹学研究. 军事信息系统安全风险评估模型与方法 Ξ 冯　杰1 ,姜　宁1 ,王志勇1 ,王喜东2 ,董京春2 (1. 大连舰艇学院 作战指挥系 ,辽宁 大连 　116018 ; 2.海军装备部 ,北京 　100841) 摘要 :阐述了军事信息系统安全所面临的风险. 根据信息的重要程度将该类系统分为 5 级 ,在此基础上建立了军 事信息系统安全风险评估模型 ,并给出风险评估的程序和步骤 ,运用该模型和方法对某军事信息系统进行了风 险评估 ,获得了改善系统安全的措施 ,为该类及相关系统的安全风险评估提供参考. 关键词 :军事信息系统 ;安全风险 ;评估模型 ;评估实例 中图分类号 :F224. 9 文献标识码 :A 文章编号 :1006 - 0707(2009) 03 - 0001 - 04 　　随着军队信息化建设的飞速发展 ,各种军事信息系统 已经开发成功并投入使用 ,极大地提高了作战指挥、教育 训练、部队管理和科学研究的水平和效益 ,这是有目共睹 的 ,已经成为国家和军队的关键基础设施. 但是 ,这些信息 系统由于设计、研制、开发和应用管理上的问题 ,经常有失 密和泄密现象的发生 ,系统安全面临着严峻的挑战与考 验[1 ] . 由于核心器件、软硬件关键技术等大多依赖进口和 管理相对滞后等原因 ,信息系统存在着各种各样的安全隐 患或漏洞 ,例如物理隐患、通信隐患、软件隐患和电磁泄漏 等 ,再加上黑客攻击、病毒侵袭和窃听等无时无刻不在威 胁着军事信息系统的安全. 面对着各种隐患和威胁 ,不能 仅利用安全保密检查来解决这些问题 ,传统的安全管理模 式已经变得力不从心 ,需要构建一种技术管理与制度法规 管理相匹配的新管理模式 ,上升到信息系统安全风险评估 高度来解决这些问题. 1 　军事信息系统的安全分级 　　为了对军事信息系统的安全风险进行评估 ,必须对这 类系统根据其所处理的信息重要性的不同 ,将其分为相应 的等级 ,在分级的基础上再对其进行安全风险评估 ,这样 易实现评估的可操作性和可信性. 根据处理信息的密级和 遭受攻击破坏后给军队安全与利益造成损害的不同程度 将该类系统划分为 5 个等级 . 经过仔细研究 ,我们认为军事 信息系统可划分成 Ⅰ～ Ⅴ级系统[2 ] . Ⅰ级系统处理公开信 息 ; Ⅱ级系统处理内部信息 ; Ⅲ级系统处理秘密信息 ; Ⅳ级 系统处理机密信息 ; Ⅴ级系统处理绝密信息. 2 　军事信息系统安全风险评估模型和方法 　　所谓军事信息系统安全风险评估是按照国家和军队有 关技术标准 ,对信息系统的完整性、保密性和可靠性等安全 保障性能进行科学、公正的综合评估活动. 风险评估是对信 息及信息处理系统的威胁、影响和脆弱性 ,以及三者发生可 能性的评估[3 - 4] .它是确定安全风险大小的过程 ,即利用适 当的安全风险评估工具 ,包括定性和定量的模型和方法 ,确 定信息资产的风险等级、风险出现的概率和风险控制的优先 次序 ,以采取适当的安全措施减少损失. 安全风险评估是信 息系统安全风险管理的一个不可或缺的部分. 如上所述 ,根 据军事信息系统所处理的信息密级的不同 ,将其划分成Ⅰ～ Ⅴ级系统.在此基础上 ,运用下面的方法和模型对军事信息 系统进行安全风险评估是可行的. 2. 1 　安全风险综合评价的模型和方法 信息系统安全风险评估的综合评价模型和方法很多 , 例如层次分析模型 (AHP) 、模糊综合评价模型、灰色系统方 法、威胁树分析模型和反馈风险控制模型等[5 - 6 ] . 按照 AHP模型的要求 ,需要将安全风险分为多个层次 ,然后进 行多级的综合评价. 分类方法可以采用 ISO 17799 国际标准 作为风险的分类标准. 由于安全因素众多 ,相互关系复杂 , 可以将复杂关系分解为由局部简单关系构成的多层次结 构. 由于 ISO 17799 的分类比较繁杂 ,本文中提出一种基于 分级的军事信息系统安全风险评估方法 ,将安全风险评估 指标确定为 7 个主题 ,与分级安全保密防护要求中的“物理 安全”、“网络安全”、“系统安全”、“系统软件安全”、“数据安 全”、“应用安全”、“用户安全”和“安全管理”相对应 ,每个 主题又由几个子类构成 ,子类下规定了若干的安全要素. 如图 1 所示 ,该评估方法采用了 4 级层次结构. 第 30 卷 　第 3 期 四 川 兵 工 学 报 2009 年 3 月 © 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net 图 1 　安全风险评估层次结构 　　按照上述对军事信息系统的安全分级 ,对于以上安全 要素分别进行测试和打分 ,运用下面的方法对整个系统的 安全风险进行定量评估 ,以获得系统的风险评级. 2. 1. 1 　层次分析模型 (AHP) AHP是一种整理和综合主观判断的客观方法 ,适用于 多目标、多准则的复杂评价问题 . 它可以将复杂问题分解 为递阶层次结构 . 然后在比原问题简单多的层次上逐步分 析、计算. 该种方法可以同时处理定量和不定量因素 ,也可 以将人的主观判断用定量形式表示和处理 . AHP 方法强调 人的思维判断在决策过程中的作用 ,通过一定模式使决策 思维过程规范化 . 2. 1. 2 　模糊综合评价模型 该种评价方法是以模糊数学为理论基础 ,应用模糊关 系合成原理 ,将一些安全边界不清、不易定量分析的因素 进行定量化 ,使用隶属度来表示这些因素 ,然后进行综合 评价的一种方法. 该种方法非常适合于分层和分级结构 , 例如对于二层结构 ,模糊综合评价模型为 E = W1· W2·R1 其中 : W1 ,2为一、二级因素权重 ; R1 为模糊关系. 2. 1. 3 　灰色系统方法 所谓灰色系统是指部分信息明确 ,部分信息不明确的 系统. 军事信息系统符合灰色系统的特征 ,因此可以使用 灰色评估理论对该系统进行安全风险评估. 2. 2 　安全风险评估程序 风险评估是风险管理的第一步. 通过风险评估可了解 军事信息系统所面临的威胁、本身的脆弱性、实施的控制 措施等信息 ,通过对这些信息的综合分析和评估 ,最终可 计算出系统实际的安全等级. 为使安全风险评估更有效率、更具有可操作性 ,必须 遵循一个科学、合理的程序 ,即安全风险评估应采取的步 骤与流程. 本文中提出的风险评估程序可作为安全风险评 估的程序指南或参考. 一般的风险评估程序由以下几个步 骤组成 . 2. 2. 1 　系统特性分析及分级 首先对系统特性进行分析 ,根据军事信息系统所处理 的信息密级类型可以分为 Ⅰ～ Ⅴ级 ,密级越高的系统所需 要的安全保密要求也越高 ,所处理的信息价值也越高. 在 分级的基础上再对系统进行安全风险评估. 2. 2. 2 　威胁分析 威胁是指某个特定威胁源 (自然、人为、环境) 利用系 统脆弱性对系统造成损失的潜在能力. 如果系统没有脆弱 性 ,威胁源无法对系统造成威胁 ;同样 ,即使系统具有脆弱 性 ,如果没有威胁源 ,也不足于对系统构成威胁. 为对军事 信息系统进行安全风险评估 ,应该对系统所面临危险的可 能性进行分析. 某个威胁发生的可能性与系统存在的脆弱 性、威胁源的强度和系统采取的控制措施有关. 2. 2. 3 　系统脆弱性分析 对军事信息系统安全风险的评估需要对该系统脆弱 性进行分析. 系统脆弱性是指系统在设计、研制、实施、操 作和控制过程中所存在的可被威胁源利用造成系统安全 危害的缺陷或弱点. 系统脆弱性往往与对应的威胁相结合 时才会对系统的安全造成危害. 对系统脆弱性的识别可通 过核查和系统安全测试方法等进行. 例如 ,可以利用前面 对系统分级安全保密要求的项目进行符合性检查 ,形成系 统脆弱性清单. 2. 2. 4 　可能性与危害分析 军事信息系统安全危害发生的可能性和危害等级与 威胁源的动机和能力、系统脆弱性的性质及该系统实施控 制的有效性密切相关. 因此 ,对系统安全危害发生的可能 性和危害分析必须从这 3 个方面综合考虑. 可能性等级和 危害等级可以使用简单的“高、中、低”来表示 ,也可以使用 本文中介绍的模糊综合评价方法的隶属度来表示 ,并赋予 一定的数值 ,便于定量计算. 2. 2. 5 　风险等级计算 军事信息系统安全风险等级与系统安全危害发生的 可能性等级和危害等级密切相关. 其计算方法可以通过风 险等级矩阵来完成 ,它由系统安全危害发生的可能性等级 和危害等级相乘得到 ;或者利用模糊综合评价方法的模糊 关系合成得到. 系统的风险等级可以使用简单的“高 (0. 5～ 1. 0) 、中 (0. 1～0. 5) 、低 (0. 0～0. 1)”来表示 ,也可以根据需 要划分成更细的等级. 2. 2. 6 　安全风险评估结果文档与 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 如果军事信息系统安全风险评估工作全部结束 ,最终 必须产生安全风险评估结果文档. 该文档不仅作为此次评 2 四 川 兵 工 学 报 © 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net 估的资料保存 ,也为以后的安全风险评估提供参考与比 较.结果文档应该包括威胁源清单、系统脆弱性清单、系统 实施的控制措施清单、系统的风险等级和推荐的控制措施 清单等 . 此外 ,还应形成一份详细的安全风险评估报告 ,提 出增强系统安全、消除风险隐患的建议和措施 ,供系统管 理和使用人员参考. 2. 3 　安全风险评估工具和标准 军事信息系统安全风险评估是一项非常复杂和繁琐 的工作 ,仅靠一两次安全保密检查是难于胜任的 ,必须依 靠一定的技术工具和遵循严格的标准才能完成. 例如在进 行网络安全测试的时候 ,可以使用网络嗅探程序、网络扫 描程序等来发现网络是否存在着安全隐患和漏洞. 关于安 全风险评估标准 ,目前国家正在进行信息安全风险评估的 管理规范与技术要求的制定 ,已经完成《信息安全风险评 估指南》、《信息安全风险管理指南》等 2 项国标的制定 ,正 在进行国家重要信息系统和关键基础设施的安全风险评 估试点工作. 军队也非常重视军事信息系统安全工作 ,正 在进行《军队计算机信息系统安全保密防护要求及检测评 估方法》等标准的制定工作 ,但对军事信息系统安全风险 评估、标准研究尚处于起步阶段 ,许多工作有待于今后进 一步研究. 3 　安全风险评估模型与实例 　　对于一个军事信息系统来讲 ,可从系统所处理的信息 密级 M (0～4)分别对应 I、Ⅱ、Ⅲ、Ⅳ和 Ⅴ级信息、系统的脆 弱性 C (0～4) 分别对应无脆弱性、脆弱性低、脆弱性较低、 脆弱性较高和脆弱威性高以及系统的威胁等级 W (0～4) 分别对应无威胁、威胁较低、威胁低、威胁较高和威胁高出 发 ,运用定性和定量相结合的方法对该系统进行安全风险 评估. 3. 1 　安全风险评估模型 可以使用前面提出的层次分析法、模糊综合评估方法 和灰色系统评估方法对其进行评估. 本文中提出一个简单 实用的评估模型 ,用以说明系统信息 M、系统脆弱性 C、系 统威胁 W 和安全风险 A 之间的关系. 即 : A = MCW (1) 　　定义安全风险等级 :A 在 0～1 ,无风险 ; A 在 2～16 ,风 险低 ; A 在 17～32 ,风险较低 ; A 在 33～48 ,风险较高 ; A 在 49～64 ,风险高 ,因此安全风险评估结果如表 1 所示 . 表 1 　安全风险评估结果 风险等级 无风险 风险低 风险较低 风险较高 风险高 M 0～1 1～3 2～4 2～4 3～4 C 0～1 1～3 2～4 2～4 3～4 W 0～1 1～3 2～4 2～4 3～4 A 0～1 2～16 17～32 33～48 49～64 　　从表 1可以看出 ,系统信息、系统脆弱性、系统威胁和安全 风险、影响和安全措施这些基本要素之间存在如下关系 : 1) 威胁主体因某种客观原因或利益驱动 ,采取特定的 威胁行为对资产实施威胁 ,可见 ,威胁主体动机和威胁行 为能力构成威胁自身的潜力 (简称威胁潜力) . 威胁潜力与 威胁主体动机和威胁行为能力成正相关系 . 如果威胁较大 ( W 在 3～4 取值) ,对于机密信息 ( M = 3) 而言 ,即使系统脆 弱性较低 ( C 在 1～2 取值) ;则安全风险 A 在 9～12 ,属于 低风险范畴. 2) 威胁需要利用目标信息的脆弱性才可能成功地实 施威胁 ,由此可见 ,威胁潜力 (即威胁自身的潜力) 和脆弱 程度 (即脆弱性的被利用难易程度) 构成威胁借助脆弱性 后的效力 ,也就是安全事件发生的可能性. 安全事件发生 的可能性与威胁潜力和脆弱程度成正相关系 . 例如 ,如果 威胁较大 ( W 在 3～4) ,对于机密信息 ( M = 3) 而言 ,系统脆 弱性较高 ( C 在 3～4) ;则安全风险 A 在 27～48 ,属于较高 风险范畴 . 3) 一旦安全事件发生 ,目标信息就会受到一定程度的 影响 ,由此可见 ,信息价值和受影响程度构成安全事件后 果的严重性. 安全事件后果的严重性与信息价值和影响程 度成正相关系. 4) 风险出自于上述各正相要素 ,归结于安全事件发生 的可能性和安全事件后果的严重性 ,而安全措施作为负相 要素对风险具有抑制作用 ,由此可见 ,安全事件发生的可 能性、安全事件后果的严重性和安全措施的有效性构成风 险值. 风险值与安全事件发生的可能性和安全事件后果的 严重性成正相关系 ,与安全措施的有效性成负相关系. 根据上述信息安全风险评估原理 ,我们编制了信息安 全风险评估软件系统 ,用于系统安全风险等级的计算 . 3. 2 　安全风险评估实例 下面给出一个实际的军事信息系统安全风险评估实例. 在信息等级一定的前提下 ,脆弱性是系统内部人员 , 在处理、存储、传输和使用信息系统中 ,由于技术安全措施 和机制不健全 ,管理不落实 ,所发生的被病毒感染、泄露、 窃取、篡改、破坏等事件的综合表现. 威胁则主要是恶意的 人进行非法访问及恶意代码攻击等操作对信息系统产生 的威胁 . 　　针对以上脆弱性分析 ,由安全防护措施产生对脆弱性 的作用和影响 ,如表 2 所示. 3冯 　杰 ,等 :军事信息系统安全风险评估模型与方法 © 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net 表 2 　安全防护措施对脆弱性的作用和影响 序号 安全防护措施 作用 影响 1 物理访问控制 防止关键软硬件被破坏 可控性完整性 2 系统访问控制 防止软件被破坏 可控性完整性 3 网络访问控制 防止黑客攻击网络 可控性完整性 4 用户权限控制 防止文件越权访问 可控性完整性 5 加密机制 防止源代码泄密 保密性完整性 6 鉴别机制 防止非法用户访问 保密性完整性 7 归档备份机制 防文件丢失 完整性 8 预警机制 安全漏洞扫描 可用性 9 监控机制 入侵检测、端口控制 可控性 10 防病毒机制 防病毒感染 完整性 11 审计机制 操作跟踪记录 不可否认性 12 组织管理 加强制度和人的管理 可控性 13 安全培训 提高职业道德和技能 可控性 14 安全策略 增强安全使用规范 可控性 　　根据安全防护措施对脆弱性的作用和影响 ,我们调查 了一个实际的军事信息系统的安全防护措施 ,它分别处在 2 种比较极端的情况 . 一种情况是除了常用的、简单的防护 措施之外几乎不采取安全防护措施 ;另一种情况是采取比 较严格的安全防护措施 ,如表 3 所示. 表 3 　采取安全防护措施情况统计 序号 安全防护措施 第 1 次 第 2 次 有 (0) / 无 (1) 有 (0) / 无 (1) 1 物理访问控制 1 0 2 系统访问控制 0 0 3 网络访问控制 1 0 4 用户权限控制 0 0 5 加密机制 1 1 6 鉴别机制 1 0 7 归档备份机制 1 0 8 预警机制 1 1 9 监控机制 1 0 10 防病毒机制 0 0 11 审计机制 1 0 12 组织管理 1 0 13 安全培训 1 1 14 安全策略 1 0 合计 11 3 　　根据以上安全检查 ,定义安全防护措施计数器为 J i = 0 　有安全措施 1 　无安全措施 (2) 　　求和得到未采取安全防护措施总数为 J = ∑ 14 i =1 J i (3) 　　然后将未采取安全防护措施总数转化为系统的脆弱 性 C ,它们之间的映射关系为 C = 0 , 　J = 0 1 , 　J = 1 ～ 3 2 , 　J = 4 ～ 6 3 , 　J = 7 ～ 9 4 , 　J = 10 ～ 14 (4) 　　信息系统在第 1 次配置时 ,由于采用少量的安全防护 技术措施 ,累计数字为 J = 11 ,系统的脆弱性 C 换算为 C = 4 (脆弱性较高) . 在信息等级、威胁等级一定的前提下 ,假设 M = 3 (机 密信息) , W = 3 (威胁较高) , 用以上评估模型测算 , A = MCW = 4 ×3 ×3 = 36 ,即系统安全处于“风险较高”等级. 然而 ,信息系统在第 2 次配置时 ,由于采用了大量的安 全防护技术措施 ,累计数字为 J = 3 ,系统的脆弱性 C 换算 为 C = 1 (脆弱性低) . 在信息等级、威胁等级相同的情况下 , 即 M = 3 (机密信息) , W = 3 (威胁较高) ,用以上评估模型测 算 , A = MCW = 3 ×3 ×1 = 9 ,即系统安全处于“风险低”等 级. 即在第 2 次采取了安全技术手段与措施之后 ,随着脆弱 性的减弱 ,在信息等级和威胁程度相同的前提下 ,安全风 险从“风险较高”降低为“风险低”等级. 因此 ,为了降低整 体信息系统的安全风险 ,必须采取相应的安全技术措施和 管理手段 . 4 　结束语 　　阐述了军事信息系统安全所面临的风险 ,根据信息的 重要程度将该类系统分为 5 级 ,在此基础上建立了军事信 息系统安全风险评估模型 ,并给出风险评估的程序和步 骤 ,运用该模型对 ×××军事信息系统进行了风险评估 , 获得了改善系统安全的措施 ,对该类及相关系统的安全风 险评估具有一定的指导意义和参考价值. (下转第 7 页) 4 四 川 兵 工 学 报 © 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net 图 3 　利用 ST2DFT分析 DTMF信号的流程 3 　结束语　　采用 ST2DFT对 DTMF 信号进行分析 ,原理简单 ,实时性好 ,能够满足在线监测的要求. 同时 ,ST2DFT也适合于对各种电话信号进行分析. 本文中所述方法已经在某指挥控制系统的在线监测中应用 ,效果良好.参考文献 :[1 ] 　科恩 L ,白居宪 . 时 - 频分析 :理论与应用 [M] . 西安 :西安交通大学出版社 ,1998.[2 ] 　魏泽峰 . 基于傅里叶短时分析的敏感语音信号提取[J ] .微计算机信息 ,2007(2/ 3) :246 - 247.[3 ] 　冯金成 . 现代通信设备[M] . 武汉 :华中理工大学出版社 ,1997.[4 ] 　刘庆云 . 时频分析技术及研究现状 [J ] . 计算机工程 ,2004 ( 1) :171 - 173.[5 ] 　赵永平 . 利用改进时频分析算法检测 TWACS 调制信号[J ] .哈尔滨工业大学学报 ,2007(3) :471 - 473. (上接第 4 页) 参考文献 : [1 ] 　陆驿. 实施信息安全风险评估的探讨 [ C]/ / 全国信息 安全会议 论文 政研论文下载论文大学下载论文大学下载关于长拳的论文浙大论文封面下载 集 . 北京 : [出版者不详 ] ,2004. [2 ] 　欧阳平 ,董京春 ,冯杰. 基于分级的军队信息系统风险 评估研究[J ] .海军装备 ,2006(2) :12 - 15. [3 ] 　范红 ,吕俊杰 . 信息安全风险评估指标采集的几点考 虑[ C]/ / 全国信息安全会议论文集. 北京 : [出版者不 详 ] ,2004. [4 ] 　王兴芬 ,崔宝灵 ,李一军 . 以风险分析为中心的信息系 统安全工程模型 [J ] . 运筹与管理 ,2004 ,13 (2) :45 - 48. [5 ] 　闵京华 . 信息系统安全风险的概念模型和评估模型 [C]/ / 全国信息安全会议论文集. 北京 : [出版者不 详 ] ,2004. [6 ] 　丛友贵 . 信息安全保密概论 [M] . 北京 :金城出版社 , 2001. 7段修生 ,等 :基于 ST2DFT的 DTMF 信号在线监测技术 © 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net