系统性信息安全量化评估体系的研究
VIP免费
摘 要
信息安全的概念内涵在不同的时代是不同的,从英文词汇保密学向信息安全
保障体系的变化的同时,如何保证信息系统的信息安全也逐步走向从整体和整个
系统来考虑;与此同时,信息安全保护体系也逐步从唯技术的还原论向着基于其
技术、基于管理和基于过程的系统论发展,系统性信息安全保障体系就是区别于
产品性和技术性信息安全阶段而言。信息安全的发展,单一技术和单一产品的发
展已经逐步成熟,系统性信息安全的概念和思想也已经逐渐被认可,然而,如何
在系统性信息安全体系上进行量化分析,却还是一个相对空白,国内外这方面的
研究主要还停留在定性的阶段或者整个体系某一方面的定量研究。然而,一个信
息系统的用户最关心的和最重要的却是这个信息系统从整体上或者整个系统角度
安全性如何,这就需要对系统性信息安全给出一个整体的度量体系,这个体系就
是本研究的内容:系统性信息安全量化评估体系。
针对这个论题,静态的评估就是对已有的信息系统进行安全度就绪状况评估,
在实践的过程中,我们更需要对全生命周期和整体上对一个信息系统建立一个动
态的评估体系,以便我们可以知道某种安全因素对于整个信息安全量化体系的敏
感度、信息安全策略本身的有效性、信息安全实施过程对系统安全性的影响和设
定可承受的安全情况下成本最低等等。本研究因此是针对信息安全技术、信息安
全管理和信息安全过程的,运用了系统学、管理学、数学和计算机科学等的一些
理论,建立了基于系统性的信息安全保障体系的量化评估体系,主要观点如下:
信息安全的发展逐步从机密性单一性质向基于过程、基于技术和基于管理的
三维以及机密性、完整性、可用性的价值体系发展,一个完整的信息安全保障体
系是建立在动态、系统、全面基础之上的,本文根据实际工程评估经验归纳了系
统性信息安全量化评估体系的包含对一个工程、双因素保护、三维向量、四大工
具和五级层面的全面指标体系,这个指标体系具体表现形式就是量化模型、量化
工具、量化流程。
本文系统研究了五种基本的量化模型方法:基于分析威胁的威胁树模型,这
个模型是全面理解和分析研究信息安全机密性、完整性和可用性量化的基础;基
于层次分析方法的模型充分考虑专家组的作用,具有效率高和实践性强的特点;
基于动态权重的模型适用于多目标信息安全量化评估系统的建立;基于保护轮廓
的量表模型可以简便利用计算机数据库技术高效率地进行量化计算,是一种比较
综合的方法;控制反馈模型是为了适应在线评估和信息安发展需要而提出的,使
得信息安全量化评估更具有动态性和可控性。在实际评估实践中,往往是综合使
用以上模型,因此,以上模型的研究和总结,对于量化评估提供了坚实的基础。
本文在综合使用量化模型的基础上,开发了整体量化评估的评估工具方法和
评估工具软件。量化工具和量化软件的开发,将基于管理的、基于过程的和基于
技术的信息安全标准与五种信息安全模型之间通过数据库技术和数据挖掘数据融
合技术建立起了一种有机的联系,本研究工具的成果已经在上海市公务网评估中
得到使用。
Abstract
The meaning of Information Security is variation at different times, developing
from cryptography to information security assurance system. Accordingly, how to
ensure the security of information system should be considered from complete
technology framework and whole system; at the same time, the assurance system of
information security has changed from technology-only reductionism to systematicism
based on technology, management and process, where systematic assurance framework
of information security compared with information security of production and
technology. With the developing of information security, single technology and product
has become well-developed, and the idea of systematic information security has been
accepted gradually. However, how to give the systematic information security a
quantitative analysis is still a vacancy. The research in this field stays in qualitative level
or quantitative analysis in some aspects. Whereas, what the users of information system
care most and the most important problem is the security level of whole information
system. So we need to design a total measurement of systematic information security,
which is studied in this dissertation: systematic quantitative assessment framework of
information security.
Comparing with static assessment, which is assessment of security level of
information system, dynamic assessment is considering the whole life cycle of
information system. With dynamic assessment, we can find out the sensitivity of
security factor to whole information security quantitative system, the availability of
information security policy, the effect of assurance process to system security, and the
minimal cost of endurable security level. We use the theory of Systematic, Management,
Mathematics and Computer Science in studying the technology, management and
process of information security, to build quantitative assessment system of information
security assurance framework. The main points are listed below:
A complete information security assurance system is dynamic, systematic, and
complete, for information security is developing from single confidentiality to
confidentiality, integrity and availability based on the 3-D system of process,
technology and management. Based on the engineering practice, we conclude a
direction system of “one project, two factor assurance, three dimension vectors, four
tools, and five level” about systematic information quantitative assessment framework.
The representation of this direction system is quantitative model, quantitative tools, and
quantitative process.
We study five basis quantitative models: threat-tree model based on threat analysis,
which is the basis of quantitative information confidentiality, integrity and availability;
AHP model, which has high efficiency and practice with fully consider the effect of
expert group; dynamic weight model, which is fit for multi-target information security
quantitative assurance system; quantitative table model based on assurance framework,
which can simply quantities using database technology; control-feedback model, which
is fit for online assessment to make quantitative assessment more dynamic and
controllable. We often interactively use these models in our assessment practice. Our
research and summarization on the models found the basis of quantitative assessment.
Based on the quantitative model, we develop assessment tools and software
prototype for quantitative assessment. The assessment tools and software’s are
developed on the relationship of information security standards about management,
process, and technology and models by database technology, data mining and data
fusion. The tools have been used successfully in Shanghai Official Network.
During the systemic information security quantitative framework, numerous
technology and management process is needed in the static and dynamic collection,
process and control. We develop basis quantitative table and qualitative/quantitative
transform table basing on OCTAVE. We make a quantitative assessment to the security
situation of a large information system and draw the conclusion and suggestion, using
our process and assurance framework model.
Keywords: information security, systematism, information system, quantitative assessment,
information security assurance framework
目 录
第 1 章 导论 ................................................................................................................. 1
1.1 项目来源和研究的意义 ................................................................................. 1
1.2 信息系统和信息系统的基本特性 ................................................................. 2
1.3 信息安全和信息安全保障体系 ..................................................................... 3
1.4 系统性信息安全的基本特性 ......................................................................... 8
1.5 信息安全评估和方法 ................................................................................... 12
1.6 本文研究的逻辑思路和主要研究内容 ....................................................... 16
第 2 章 系统性信息安全保障和评估的基础研究 ................................................... 21
2.1 信息安全内涵的发展趋势 ........................................................................... 21
2.2 三维信息安全保障体系模型的建立 ........................................................... 24
2.3 信息安全度量基准和评估技术的现状 ....................................................... 25
2.4 评估和保障系统性信息安全的基本要素 ................................................... 38
第 3 章 系统性信息安全量化评估模型的研究 ....................................................... 41
3.1 威胁树分析模型 ........................................................................................... 41
3.2 层次分析模型 AHP ...................................................................................... 53
3.3 基于威胁树工程的模糊数学评估方法 ....................................................... 58
3.4 基于资产威胁轮廓的量表评估模型 ........................................................... 74
3.5 基于反馈调节的网络通信风险控制模型 ................................................... 81
3.6 结语 ............................................................................................................... 90
第 4 章 系统性信息安全量化评估工具的研究 ....................................................... 92
4.1 国内外安全测评工具的现状 ....................................................................... 92
4.2 量化工具整体模型 ....................................................................................... 92
4.3 量化评估工具模型的使用方法 ................................................................... 95
4.4 量化评估工具的几项重要技术研究 ........................................................... 97
4.5 软件研制 ..................................................................................................... 100
第 5 章 系统性安全量化评估流程的研究 ............................................................. 103
5.1 基于项目的量化分析和控制流程 ............................................................. 103
5.2 一个大型系统性评估流程的量化实例 ..................................................... 123
5.3 结语 ............................................................................................................. 142
第 6 章 总结与展望 ................................................................................................. 143
6.1 本文总结 ..................................................................................................... 143
6.2 研究与展望 ................................................................................................. 144
结束语...........................................................................................................................146
参考文献.......................................................................................................................147
博士就读期间发表的论文和参加的项目...................................................................152
一、发表的论文....................................................................................................152
二、参加的项目....................................................................................................152
附录 基于管理的控制方法汇总.................................................................................154
第1章 导论
1
第 1 章 导论
本研究的内容是系统性信息安全量化评估体系的建立,为了研究这个内容,
本章首先是针对几个关键词:信息系统、信息安全和信息安全保障体系、系统性、
评估进行了相关阐述:首先研究了信息系统的基本特性;然后再研究信息安全的
基本特性;之后,在紧扣系统性概念对信息安全的几个原理进行了说明;再后我
们说明了一般评估的几种类型。针对这些关键词汇的相关说明引出了本研究的论
题:系统性信息安全量化评估体系的建设。最后,本章提出了本研究的逻辑思路。
1.1 项目来源和研究的意义
随着人类进入数字化时代,世界上安全事件的发生以每年到每 1.5 年是以往历
史总合在发展2,信息安全问题已经日益成为人们重视问题,。随着人们使用信息的
内容和关注点不同,对信息安全的着眼点也发生着变化。最早的信息安全来自于
对信息保密的重视,随着整体系统的重要性凸现和对系统的依赖逐渐人们开始重
视可用性、机密性和可控性。这些还只是对信息安全单一属性的需求,目前的信
息安全发展已经开始发展到对整体信息安全的重视也就是系统性的信息安全的重
视,而未来的信息安全更是整个社会应急体系的一个重要组成部分,如何保障系
统性信息安全成为各个国家、各个研究机构和各大公司研究的方向和重点。
要保障信息系统的安全,就要对信息系统的特性进行分析。最早的信息系统
保障主要的是技术保障,然而人们发现针对这个人机系统许多问题单靠技术是没
有办法解决的,必须依靠管理和过程进行控制,因此,基于技术保障、管理保障、
过程控制的系统性信息安全保障体系就应运而生了。
信息安全保障体系是一个逐步发展起来的科学,同时帮助人们进行安全规划
和建设中进行科学地决策,另外一方面未来的发展信息安全向着动态应急和专家
系统发展,科学决策和未来发展的要求都对信息安全保障体系提出了一个量化的
要求既如何度量一个信息系统是否是安全的?
针对这个问题,国内外近年来开始进行多方面研究,
CC3、
BS77994、
SSE-CMM5
近5年陆续成为 ISO 标准,各国也陆续建立起测评机构。然而,在整体体系研究
和量化方面还没有公认的架构。本研究就是想在这方面有一些进展。
2000 年上海开始启动国家 863 信息安全应用示范工程应急计划 S219 工程,开
始对系统性信息安全重视起来,本人也是从那时开始研究和参与工程实践;2002
年,国家 863 启动了应急响应和事件恢复研究,本人作为副组长负责研究的体系
研究,将本研究课题有机会深入下去,与此同时国家信息化办公室成立,推进了
国家信息安全标准化计划,在此计划的带动下,启动和带动了信息安全相关的六
2参见 2002 信息安全动态,赵战生,信息安全国家重点实验室,2002 年信息安全协会论坛发言稿
3一种由美国军方提出的技术安全评估框架,被采用为 ISO/IEC15408
4一种由英国提出的管理安全惯例,被采用为 ISO/IEC17799
5一种由美国提出的能力成熟安全工程标准,正在被采用为 Iiso/iec21827
摘要:
展开>>
收起<<
摘要信息安全的概念内涵在不同的时代是不同的,从英文词汇保密学向信息安全保障体系的变化的同时,如何保证信息系统的信息安全也逐步走向从整体和整个系统来考虑;与此同时,信息安全保护体系也逐步从唯技术的还原论向着基于其技术、基于管理和基于过程的系统论发展,系统性信息安全保障体系就是区别于产品性和技术性信息安全阶段而言。信息安全的发展,单一技术和单一产品的发展已经逐步成熟,系统性信息安全的概念和思想也已经逐渐被认可,然而,如何在系统性信息安全体系上进行量化分析,却还是一个相对空白,国内外这方面的研究主要还停留在定性的阶段或者整个体系某一方面的定量研究。然而,一个信息系统的用户最关心的和最重要的却是这个信...
相关推荐
-
我国基层财政困难的制度成因分析与对策研究VIP免费
2024-09-20 25 -
我国煤电产业链纵向交易合约机制研究VIP免费
2024-09-20 23 -
生产要素视角下的上海市产业结构优化研究VIP免费
2025-01-09 6 -
我国银行业结构与经济结构关系研究VIP免费
2025-01-09 7 -
大数据视角下农业供应链金融研究VIP免费
2025-01-09 6 -
跨国大型综合超市的规划研究VIP免费
2025-01-09 6 -
跨境电商农产品质量安全问题研究VIP免费
2025-01-09 6 -
世界市场的虚拟化与我国国际电子商务发展方向研究VIP免费
2025-01-09 6 -
中国政府对电力行业的价格规制问题研究VIP免费
2025-01-09 6 -
中小企业信息化系统集成技术研究VIP免费
2025-01-09 11
作者:陈辉
分类:高等教育资料
价格:15积分
属性:159 页
大小:4.22MB
格式:PDF
时间:2024-11-19
相关内容
-
跨国大型综合超市的规划研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
跨境电商农产品质量安全问题研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
世界市场的虚拟化与我国国际电子商务发展方向研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
中国政府对电力行业的价格规制问题研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
中小企业信息化系统集成技术研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
