前言:尋找寫(xiě)作靈感?中文期刊網(wǎng)用心挑選的基于結(jié)構(gòu)方程模型信息安全論文,希望能為您的閱讀和創(chuàng)作帶來(lái)靈感,歡迎大家閱讀并分享。
1兩類(lèi)信息安全風(fēng)險(xiǎn)的評(píng)估
傳統(tǒng)信息安全風(fēng)險(xiǎn)主要包括3個(gè)要素:①資產(chǎn),它是信息系統(tǒng)內(nèi)部需要保護(hù)的重要資源或信息;②威脅,它是來(lái)自攻擊者的惡意攻擊,可能造成信息資產(chǎn)重大損失或外流的潛在因素;③脆弱性,它是信息系統(tǒng)內(nèi)部容易被攻擊的薄弱環(huán)節(jié)。實(shí)際的信息安全風(fēng)險(xiǎn)評(píng)估建立的模型對(duì)這3個(gè)要素有所深化和發(fā)展,并應(yīng)用于信息安全的標(biāo)準(zhǔn)化制定中。
(1)國(guó)際標(biāo)準(zhǔn)ISO15408。
該標(biāo)準(zhǔn)強(qiáng)調(diào)人為因素的作用,將信息系統(tǒng)的“屬主”從籠統(tǒng)的“資產(chǎn)”要素中分離出來(lái),將“攻擊者”從籠統(tǒng)的“威脅”要素中分離出來(lái)。該標(biāo)準(zhǔn)除了上述3個(gè)要素以外,還考慮漏洞、風(fēng)險(xiǎn)和措施這3個(gè)要素。
(2)國(guó)際標(biāo)準(zhǔn)ISO13335。
該標(biāo)準(zhǔn)細(xì)化了風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。它除了考慮“資產(chǎn)”要素以外,還考慮“資產(chǎn)價(jià)值”要素;除了考慮“防護(hù)措施”要素以外,還考慮“防護(hù)需求”要素,進(jìn)一步強(qiáng)調(diào)了系統(tǒng)中要素的屬性。此外,該標(biāo)準(zhǔn)還考慮到威脅、脆弱性、風(fēng)險(xiǎn)等3個(gè)一級(jí)指標(biāo),7個(gè)要素。
(3)國(guó)務(wù)院信息化工作辦公室制定的《信息安全風(fēng)險(xiǎn)評(píng)估指南》。
它引入了“使命”要素,從源頭上強(qiáng)調(diào)了信息風(fēng)險(xiǎn)管理工作的驅(qū)動(dòng)力;引入了“殘余風(fēng)險(xiǎn)”要素,強(qiáng)調(diào)了安全防范不可能一蹴而就,需要不斷改進(jìn);同時(shí)引入了“事件”要素,強(qiáng)調(diào)了對(duì)突發(fā)事件的預(yù)判,比ISO13335擴(kuò)展了3個(gè)要素,建立了適合中國(guó)國(guó)情的10個(gè)要素的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。開(kāi)展信息安全風(fēng)險(xiǎn)的評(píng)估一般分為5個(gè)步驟。①評(píng)估準(zhǔn)備階段,主要是明確風(fēng)險(xiǎn)評(píng)估的目的和意義,制定評(píng)估方案,確定評(píng)估模型等。②要素識(shí)別階段,主要是按照上級(jí)制定的標(biāo)準(zhǔn),結(jié)合被評(píng)估對(duì)象的實(shí)際情況,識(shí)別信息安全風(fēng)險(xiǎn)評(píng)估的各個(gè)要素,同時(shí)根據(jù)權(quán)威標(biāo)準(zhǔn)的一級(jí)指標(biāo)體系合理擴(kuò)展為可以測(cè)度的二級(jí)指標(biāo)體系。③測(cè)度匯總階段,主要是使用二級(jí)指標(biāo)體系進(jìn)行測(cè)度,給出評(píng)估分值,并使用合適的數(shù)學(xué)模型進(jìn)行匯總評(píng)分。④風(fēng)險(xiǎn)分析階段,主要是根據(jù)二級(jí)指標(biāo)體系的評(píng)分結(jié)果和數(shù)學(xué)模型計(jì)算分析結(jié)果,綜合進(jìn)行風(fēng)險(xiǎn)判斷,分析外部威脅和內(nèi)部漏洞的危險(xiǎn)程度,計(jì)算各指標(biāo)蘊(yùn)含的安全風(fēng)險(xiǎn)。⑤落實(shí)整改階段,主要是通過(guò)評(píng)估工作的匯報(bào)驗(yàn)收,找到風(fēng)險(xiǎn)根源,落實(shí)整改措施,不斷調(diào)整完善,提高系統(tǒng)抗風(fēng)險(xiǎn)的能力。
2兩類(lèi)信息安全風(fēng)險(xiǎn)綜合評(píng)估指標(biāo)體系
安全風(fēng)險(xiǎn)評(píng)估和預(yù)警工作中,指標(biāo)體系的建立既很重要,也有很強(qiáng)的科學(xué)性。構(gòu)建信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系需要掌握以下7項(xiàng)原則:①目的性原則。建立評(píng)估指標(biāo)體系的根本目的是有效防范信息安全風(fēng)險(xiǎn)。②科學(xué)性原則。指標(biāo)體系必須科學(xué)有效地反映信息安全風(fēng)險(xiǎn)的所有特點(diǎn)。③系統(tǒng)性原則。建立的評(píng)價(jià)指標(biāo)體系必須協(xié)調(diào)統(tǒng)一,層次合理,最大限度地反映信息安全風(fēng)險(xiǎn)的基本特點(diǎn)。④重要性原則。抓住反映信息安全風(fēng)險(xiǎn)本質(zhì)特點(diǎn)的主要因素來(lái)設(shè)計(jì)指標(biāo),該指標(biāo)體系必須能突出主要風(fēng)險(xiǎn)因素,建立重點(diǎn)突出,簡(jiǎn)明實(shí)用的指標(biāo)體系。⑤互斥性原則。要求指標(biāo)間相互獨(dú)立,避免太多的涵蓋等出現(xiàn)而導(dǎo)致指標(biāo)內(nèi)涵的重復(fù)。同時(shí)指標(biāo)相互間又有密切聯(lián)系,需要一些不同角度指標(biāo)的設(shè)置來(lái)互相檢驗(yàn)、彌補(bǔ)。⑥層次性原則。對(duì)評(píng)估的目標(biāo)進(jìn)行層次分解,使結(jié)構(gòu)清晰,容易分析,邏輯性和科學(xué)性強(qiáng),提高評(píng)估結(jié)論的可信度。⑦操作性原則。指標(biāo)體系的各指標(biāo)必須是可以采集的和可以量化的,數(shù)據(jù)應(yīng)通過(guò)可靠來(lái)源直接或間接的獲取,評(píng)估指標(biāo)應(yīng)盡量避免難以獲得的參數(shù)。根據(jù)上述信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和評(píng)估原則,結(jié)合被評(píng)估對(duì)象的實(shí)際情況,將兩類(lèi)安全風(fēng)險(xiǎn)綜合起來(lái),建立綜合評(píng)估的指標(biāo)體系。技術(shù)風(fēng)險(xiǎn)按照資產(chǎn)/業(yè)務(wù)、技術(shù)脆弱性、威脅3個(gè)方面組織指標(biāo)設(shè)計(jì)。在一般計(jì)算機(jī)系統(tǒng)中,其脆弱性方面也可以進(jìn)行展開(kāi)。之所以列出兩個(gè)表格,旨在指出這方面的指標(biāo)系統(tǒng)設(shè)計(jì)不是唯一的,可以根據(jù)上述原則,結(jié)合具體環(huán)境和條件進(jìn)行設(shè)計(jì)。非傳統(tǒng)的信息安全風(fēng)險(xiǎn)的評(píng)估,主要是指利用人的弱點(diǎn)產(chǎn)生的風(fēng)險(xiǎn),一般體現(xiàn)在內(nèi)部管理上的疏忽與過(guò)失,以及外部的蓄意攻擊和陰謀策劃。一般計(jì)算機(jī)系統(tǒng)可以進(jìn)行展開(kāi)。建立兩類(lèi)信息安全評(píng)估二級(jí)指標(biāo)體系是一個(gè)方面,運(yùn)用數(shù)學(xué)模型進(jìn)行安全風(fēng)險(xiǎn)分析是更重要的一個(gè)方面。李成耀很早就研究了多層協(xié)議和多層結(jié)構(gòu)的網(wǎng)絡(luò)信息安全分層模型;羅帆等運(yùn)用N-K模型分析了安全耦合風(fēng)險(xiǎn);楊亞?wèn)|等使用一般層次分析法(AHP)為安全監(jiān)管系統(tǒng)建立了風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系和綜合評(píng)估模型。結(jié)構(gòu)方程模型在這些模型中獨(dú)樹(shù)一幟,它既可以進(jìn)行指標(biāo)體系的匯總與路徑影響分析,還可以深入分析某些因素之間的中介效應(yīng)、調(diào)和效應(yīng)和交互效應(yīng)。筆者采用結(jié)構(gòu)方程模型(SEM)進(jìn)行兩類(lèi)信息安全風(fēng)險(xiǎn)綜合評(píng)估,其數(shù)學(xué)表達(dá)和計(jì)算可以參見(jiàn)文獻(xiàn)[13]。其提出了一種新的確定性算法,克服了傳統(tǒng)的偏最小二乘算法與協(xié)方差擬合算法需要反復(fù)迭代的弱點(diǎn),并且可以使用DASC軟件實(shí)現(xiàn)計(jì)算。結(jié)構(gòu)方程模型是針對(duì)一般信息系統(tǒng)的非傳統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估而設(shè)立的,它很容易改寫(xiě)為適應(yīng)其他二級(jí)指標(biāo)體系的模型,使用DASC軟件很容易實(shí)現(xiàn)數(shù)學(xué)計(jì)算。
3兩類(lèi)信息安全風(fēng)險(xiǎn)的綜合防范
信息安全風(fēng)險(xiǎn)評(píng)估的目的在于防范,不同的信息系統(tǒng)在不同的環(huán)境下,風(fēng)險(xiǎn)防范措施很不一樣。最近制定的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的國(guó)內(nèi)標(biāo)準(zhǔn)(GB/T9387-2)以及國(guó)際標(biāo)準(zhǔn)(ISO7498-2)都明確規(guī)定,信息安全實(shí)現(xiàn)主要以構(gòu)筑防火墻、建立入侵檢測(cè)系統(tǒng)、災(zāi)難備份和應(yīng)急響應(yīng)系統(tǒng)、物理隔離系統(tǒng)、殺毒軟件包等方式實(shí)現(xiàn)。物理隔離系統(tǒng)是絕對(duì)的隔離,效果比較理想。防火墻以及網(wǎng)關(guān)主要應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)節(jié),技術(shù)復(fù)雜并在不斷改進(jìn)更新。入侵檢測(cè)系統(tǒng)把系統(tǒng)的安全管理能力擴(kuò)展到新的范圍,引入了模式匹配、實(shí)時(shí)檢測(cè)與響應(yīng)等技術(shù),使得信息系統(tǒng)建設(shè)得越來(lái)越復(fù)雜和龐大。非傳統(tǒng)信息安全風(fēng)險(xiǎn)的防范,從宏觀管理的角度主要考慮如下幾個(gè)方面:①健全法規(guī)標(biāo)準(zhǔn),加強(qiáng)高層對(duì)于信息安全的統(tǒng)一協(xié)調(diào),加快安全標(biāo)準(zhǔn)制定。②建立信任機(jī)制,建立服務(wù)商之間、服務(wù)商與用戶(hù)之間的信任關(guān)系,將是解決信息系統(tǒng)外部交流安全問(wèn)題的根本。③發(fā)展關(guān)鍵技術(shù),建立保證信息安全的技術(shù)體系,包括數(shù)據(jù)安全、可信計(jì)算和隱私保護(hù)技術(shù)等關(guān)鍵技術(shù)。④加強(qiáng)監(jiān)督管理,著眼長(zhǎng)效監(jiān)管,完善應(yīng)急機(jī)制,強(qiáng)化日志審計(jì)管理,提高溯源審查能力。非傳統(tǒng)信息安全風(fēng)險(xiǎn)的防范,從個(gè)體心理的角度主要考慮如下幾個(gè)方面:①加強(qiáng)心理防范,主要克服攻擊者往往利用人的好奇心和虛榮心等弱點(diǎn)。②定期安全培訓(xùn),讓全體員工熟悉了解新的攻擊者利用社會(huì)工程學(xué)的伎倆,學(xué)會(huì)防范非傳統(tǒng)信息安全風(fēng)險(xiǎn)。③區(qū)分友誼責(zé)任,明確友誼必須有一定的信任基礎(chǔ)。④提高安全意識(shí),管理部門(mén)要制定更為嚴(yán)格的安全方案,同時(shí)落實(shí)到每一個(gè)員工。⑤實(shí)時(shí)事故響應(yīng),一旦發(fā)生信息安全事故,立即啟動(dòng)應(yīng)急方案,除了檢查技術(shù)漏洞和損失以外,特別要對(duì)利用社會(huì)工程學(xué)的攻擊做出實(shí)時(shí)反應(yīng)。
4結(jié)論
傳統(tǒng)的信息安全技術(shù)和昂貴的信息安全系統(tǒng)是確保信息安全的必不可少的物質(zhì)基礎(chǔ),而針對(duì)非傳統(tǒng)信息安全的防范措施是保證信息安全的又一個(gè)重要方面。及時(shí)的安全風(fēng)險(xiǎn)評(píng)估可以為防范措施提供正確的決策參考,而建立科學(xué)的信息風(fēng)險(xiǎn)評(píng)估指標(biāo)體系是安全風(fēng)險(xiǎn)評(píng)估最基礎(chǔ)性的工作。指標(biāo)體系評(píng)估結(jié)果的匯總具有科學(xué)性,值得重視,而結(jié)構(gòu)方程模型及其確定性新算法是指標(biāo)匯總的新方法,值得推廣。基于信息安全評(píng)估的風(fēng)險(xiǎn)防范可以提供最大的安全保障,而將兩類(lèi)信息安全風(fēng)險(xiǎn)結(jié)合起來(lái)考慮,綜合評(píng)估,綜合防范,是正確的決策方向。
作者:丁倩 劉天楨 單位:武漢大學(xué)城市設(shè)計(jì)學(xué)院