基于组织层面信息安全漏洞分析.docVIP

基于组织层面信息安全漏洞分析 　　［摘要］ 安全漏洞的长期和客观存在已成为引发企业各种信息安全问题的根本原因之一，针对信息安全漏洞的研究对企业的信息安全有着重要意义。而漏洞的产生，也与一些组织因素息息相关。本文通过专家访谈和调查分析，运用因果网络分析法，识别并描述了一些影响计算机信息安全漏洞产生的组织因素，讨论了这些因素之间的相互关系及其对漏洞的影响路径。 　　［关键词］ 信息安全；漏洞；组织因素；因果网络分析 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 23. 028 　　［中图分类号］TP309 ［文献标识码］A ［文章编号］1673 - 0194（2011）23- 0056- 03 　　 　　１引 言 　　漏洞是信息技术、信息产品、信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷，这些缺陷以不同形式存在于信息系统的各个层次和环节之中［1］。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误，也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用，从而对一个组织的资产或运行造成不利影响，如信息系统被攻击或控制，重要资料被窃取，用户数据被篡改，系统被作为入侵其他主机系统的跳板。２００８年ＣＩＳ／ＦＢＩ通过对５２２位来自美国的公司、政府机构、金融机构、医疗机构和大学的计算机安全从业人员进行调查，其结果显示，由于各种类型的计算机安全事件，导致这一年每个被调查者平均损失达到２８８ ６１８美元。这项调查还报告了１２个月内的漏洞和攻击趋势，即５９％的人受到病毒攻击，２９％的人未经授权使用计算机系统，４４％的人报告称内部人员滥用。 　　计算机信息安全（ＣＩＳ）中最大的问题就是对信息安全漏洞和攻击的有效补救。但是，企业和组织通常强调用技术方法来防范漏洞和攻击，以此来保护信息资产，而忽略了从漏洞产生的路径和根源上来解决问题。技术固然是不可忽视的因素，但技术控制得再好，一旦组织的各种因素影响其实施和应用，同样会造成严重的后果。漏洞的产生可能源于组织的政策和个人实践，扎根于早期设计的假设或者管理决策，从漏洞产生的原因入手解决系统的漏洞问题必将是信息安全漏洞研究的发展趋势。 　　２问题的提出 　　从目前已有的文献来看，已经识别了一些对ＣＩＳ系统性能有影响的组织因素，如安全管理、组织文化和员工参与程度等。但是，在ＣＩＳ中组织因素的概念化以及它们如何导致漏洞方面，还研究不足。关于这些因素对具体类型的ＣＩＳ系统性能指标的具体影响机制和路径也没有详尽的研究。因此，本研究的成果有助于扩大和完善ＣＩＳ中组织因素的定义，描述它们之间关系和机制的本质，并确定它们可能如何影响ＣＩＳ系统性能，即对不同类型的漏洞产生的影响。 　　因此，本研究针对以下两个问题进行调查和分析： 　　（１）哪些组织因素可能导致信息安全漏洞的产生。 　　（２）这些因素之间有什么关系，它们又是如何导致各种安全漏洞的。 　　３ 引起漏洞的组织因素及路径的因果网络分析 　　３．１ 漏洞的分类 　　漏洞的分类可以根据很多方面来进行，如漏洞可能造成的直接威胁、漏洞的形成原因、漏洞的严重性、漏洞被利用的方式等。 　　漏洞发生在系统设计、实施和配置的过程中，因此，本文将漏洞分为：设计漏洞、实施漏洞、配置漏洞。在这些过程中，如果一个过程不明确或被遗忘，或违规操作，就会出现操作漏洞，从而导致信息安全系统中产生不安全因素。所以，本文将操作漏洞作为漏洞分类中的第四类漏洞。 　　３．２ 建立因果网络分析图 　　因果网络中每个节点表示一个因素，箭头表示因果方向。一个网络描述多因素之间相互联系和相互影响的关系。因果网络方法可以将复杂的问题简化为几个主要部分，使问题可以从更广的角度来分析。 　　本研究选取５位有着丰富的经验和背景的计算机信息安全方面的专家，先对他们分别进行个人访谈，以此来确定并描述通常情况下影响ＣＩＳ的组织因素。在对每个专家的访谈结果进行总结之后，再反馈给他们，并将因果网络图的绘制方法介绍给各位专家，让其用线条和箭头表示这些组织因素与ＣＩＳ漏洞之间可能的关系。最后，将各图进行汇总，得到因果网络分析图，如图１所示。 　　这些专家共确定了２１个影响ＣＩＳ的组织因素，３７条影响路径，其中有９条路径通向设计漏洞，１０条路径通向实施漏洞，１０条路径通向配置漏洞，８条路径通向操作漏洞，如图１所示。 　　３．２．１ 识别的组织影响因素 　　根据图１中的因果网络分析，可将这些因素进行分类，见表1。 　　对以上影响信息安全漏洞产生的组织因素分析如下： 　　（１）人为错误。人为错误是由于操作者本人的原因所造成的错误。人的执行技