基于可拓方法的信息系统安全风险评估模型探讨.pdfVIP

模型，定量分析的，定性分析的，或是定量与定性相结合的，它们依据的标准也各不相同， 著名的有COBRAn 1，CRAMMⅢ等等。 本文提出一种结合应用可拓评判方法的安全风险评估模型。可拓学是一门用形式化的模 型研究事物拓展的可能性和开拓创新的规律与方法，并用于解决矛盾问题的学科，它是用形 式化的工具，从定性和定量两个角度去研究解决矛盾问题的规律和方法卜41。可拓评判方法 以定量的数值表示评定结果，因而该评估模型能较客观地得到信息系统的综合安全风险等 级。 2、信息系统安全风险可拓评估模型 根据信息系统的安全特点，目前我们采用单描述的基本评价思路是：将待评信息系统各 项评估指标值代入信息系统各安全风险等级的数据范围中进行评估计算，得到结果按它与各 安全等级的数据范围的关联度大小进行分析比较。关联度越大，它与该安全等级的符合程度 就越佳，则这一安全等级为该待评信息系统的安全等级。 2．1评估指标集及信息系统安全保护等级 2．1。l评估指标集 参考 ISO／IEC 17799—2000信息技术信息安全管理实用规则》，具体针对各种信息系 统安全风险，根据系统实际情况考虑这十个大类的评估指标：安全策略、组织安全、资产分 类与控制、人员安全、物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业 务持续性管理、符合性等内容。而这十个大类总共划分为35个类，35个类又再细分为121 个小类，呈三级的表现形式。其中既有包含偏重于管理方面的指标，如安全策略，组织安全 等，也有偏重于技术方面的指标，如访问控制，系统开发与维护等，它们分别从不同的角度 反映被测对象系统安全策略、责任、保证、连接、安全服务方面的特性。这些单项内容和参 数，它们是客观、全面评估被测对象系统安全保护能力的依据。 由于评估指标多，以下仅以评估指标中的一个大类：通信与操作管理为例，介绍可拓评 估方法的具体应用。 2．1．2信息系统安全保护等级划分 《计算机信息系统安全保护等级划分准则GB 17859-1999把计算机系统安全保护能力 划分为五个等级： 第一级：用户自主保护级： 第二级：系统审计保护级； 第三级：安全标记保护级； 第四级：结构化保护级； 第五级：访问验证保护级。 依据上述划分，显然，随着安全保护等级的增高，安全程度逐渐增强。下面结合实际计 算机系统安全保护能力的作用，给出一种评判安全作用等级的影响因索，如表1所示。 表1 经典域 信息系统安全评估指标 节域 等级一 等级二 等级三 等级四 等级五 操作规 操作规程文件化(m。) (0．0．5) O (0．抚0．7)(0．7，0．9) (0．9．1) (0，1) 通 程和职 操作变更控制‰) (O．O．4) O (0．4，0．7)(0．7，0．9)(O．9，1) (0，1) 信 员 事故管理‰) (1，4) O (5，9) (10。12) (13，16) (1，16) 和 责任分离(1n4) 操 开发与运行设施分离 作 (IIl5) S35 管 外部设施管理(Ill。) 理 系统规 能力规化(m，) 0 (0，0．6) (0．6．0，7)(0．7．0．9) (0．9．1) (0，1) 化验收 系统验收(Ill。) 0 0 (1．5) (1，5) (5，6) (1，6) 防止恶 控制恶意软件(Ill。)(O．1，0．8)(0．8，0．85)(O．85，0．9)(0．9．0．97)(0．97，1) (