民航信息安全中风险评估模型研究.docVIP

民航信息安全中风险评估模型研究 　　摘#8195;要 民航属于信息化高度依赖行业,为提高民航信息整体安全水平,建成坚固的安全管理体系,只能采用科学有效的模型和方法进行安全评估,遵照国际信息安全管理标准,分析威胁,掌握信息安全状况,采取有效措施。研究适合民航企事业的信息安全风险评估模型,促进民航信息安全管理的不断深化和完善。 　　关键词 信息安全;风险评估 　　中图分类号 V328 文献标识码 A 文章编号 1673-9671-(2010)092-0145-02 　　 　　1 民航信息化背景和现状 　　中国民航业在过去的30年中得到了持续和飞速的发展。民航的信息化水平大大提升,同时随着民航企事业单位信息化程度的不断提高,信息系统成为了民航安全运行的的不可或缺的动力和工具。近些年来民航总局不断加大信息化建设力度,提高信息化的应用水平。民航总局在“十五”和“十一五”期间集中人力、财力,重点实施信息化工程,带动全民航行业基本实现信息化。至此,中国民航信息化建设也进入了一个新的发展高潮期。 　　2 概述 　　风险评估是信息安全管理核心,可是,何谓风险?ISO/IEC TR 13335-1:1996中的解释是:特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。可以用四个要点来描述信息系统的安全风险,第一是系统本身是存在着脆弱性的,如技术上固有的弱点和威胁,以及因为自然或人为威胁而导致某些信息安全事件发生的可能性及其影响。换句话说,就是因为脆弱性和威胁而导致可能性和影响。所谓信息安全风险评估指的就是根据相关信息安全技术标准,对信息系统及其所处理、传输和存储的信息的保密性、完整性和可用性等等安全属性进行识别和评价的整个过程,通过评估信息系统的脆弱性、以及面临的威胁还有其脆弱性被威胁源获得后所出现的负面影响,最后根据不安全事件发生的负面影响的程度和可能性来判别安全风险。 　　3 理论基础 　　3.1 信息安全管理标准BS 7799 　　在信息安全管理的领域里,目前世界上应用最为广泛的信息安全管理标准就是英国标准BS7799。BS7799标准可以为各企事业单位实施切实可行的信息安全管理体系,以加强识别、防止、减少和控制企事业单位信息安全风险的能力。当今世界上已有二十多个国家以标准BS 7799作为国标,BS 7799是目前世界上主流的信息安全管理标准。 　　1)BS 7799-1。标准的第一部分BS 7799-1信息安全管理实施细则包含10个管理领域:安全方针;安全组织;资产的分级与控制;人员安全;物理和环境;通信和操作管理;访问控制;系统开发与维护;业务持续管理;符合性,信息安全管理实施细则的10个管理领域是各个组织实施风险评估和进行信息安全管理的指导手册。 　　2)BS 7799-2。标准的第一部分BS 7799-2信息安全管理体系规范详细阐明建立、实施和维护ISMS(信息安全管理系统)的要求,要求组织遵循风险评估来判定合适的控制对象并采取适当的措施。BS 7799-2:2002版本在关于信息安全管理体系建立、实施和改进过程中引入PDCA模型,所谓PDCA就是指:Plan-Do-Check-Act,也就是把信息安全管理体系分为风险评估、安全设计与执行、安全管理和再评估四个螺旋进步的子过程,PDCA模型的4个子过程分别是: 　　计划(PLAN):风险评估过程,确定范围,鉴别风险; 　　实施(DO):安全设计与执行过程,进行适当的风险控制; 　　检查(CHECK):安全管理过程,检查控制的效果; 　　改进(ACTION):再评估过程,根据检查结果,改进控制。 　　3.2 系统安全工程能力成熟度模型SSE-CMM 　　系统安全工程能力成熟度模型SSE-CMM是指1994年美国国家安全局、美国国防部和加拿大通信安全局协同许多个国际业界厂商,运作了一个项目叫“安全系统工程能力成熟模型”。该项目以原来能力成熟模型(CMM)为基础通过对安全工作的过程进行必要管理,力求达到将系统安全工程向一个成熟的、完好定义的、可测量的先进学科发展的目的。2002年,国际标准化组织正式公布了名为ISO/IEC 21827-2002《Information Technology-System Security Engineering Capability Maturity Model(SSE-CMM) 》系统安全能力成熟度模型的标准。 　　3.3 信息技术安全性评估准则GB/T 18336-2001 　　2001年《信息技术 安全技术 信息技术安全性评估准则》GB/T 18336:2001(即ISO/IEC15408-1999,简称通用准则―CC)正式颁布,这个标准是评估信息技术产品和系统安全性的重要基础准则。该准则