系統安全風險評估

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇系統安全風險評估范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

系統安全風險評估范文第1篇

[關鍵詞]信息系統；風險評估；基于知識的定性分析；風險管理

中圖分類號：F062.5 文獻標識碼：A 文章編號：1009-914X（2013）06-0100-02

隨著計算機信息系統在各軍工企業的科研、生產和管理的過程中發揮巨大作用，部分單位提出了軍工數字化設計、數字化制造、異地協同設計與制造等概念，并開展了ERP、MES2～PDM等系統的應用與研究。這些信息系統涉及大量的國家秘密和企業的商業秘密，是軍工企業最重要的工作環境。因此各單位在信息系統規劃與設計、工程施工、運行和維護、系統報廢的過程中如何有效的開展信息系統的風險評估是極為重要的。

一、風險評估在信息安全管理體系中的作用

信息安全風險評估是指依據國家風險評估有關管理要求和技術標準，對信息系統及由其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。風險評估是組織內開展基于風險管理的基礎，它貫穿信息系統的整個生命周期，是安全策略制定的依據，也是ISMS（Information Security Management System，信息安全管理體系）中的一部分。風險管理是一個建立在計劃（Plan）、實施（D0）、檢查（Check）、改進（Action）的過程中持續改進和完善的過程。風險評估是對信息系統進行分析，判斷其存在的脆弱性以及利用脆弱性可能發生的威脅，評價是否根據威脅采取了適當、有效的安全措施，鑒別存在的風險及風險發生的可能性和影響。

二、信息系統安全風險評估常用方法

風險評估過程中有多種方法，包括基于知識（Knowledge based）的分析方法、基于模型（Model based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，各種方法的目標都是找出組織信息資產面臨的風險及其影響，以及目前安全水平與組織安全需求之間的差距。

1、基于知識的分析方法

在基線風險評估時采用基于知識的分析方法來找出目前安全狀況和基線安全標準之間的差距。基于知識的分析涉及到對國家標準和要求的把握，另外評估信息的采集也極其重要，可采用一些輔的自動化工具，包括掃描工具和入侵檢測系統等，這些工具可以幫助組織擬訂符合特定標準要求的問卷，然后對解答結果進行綜合分析，在與特定標準比較之后給出最終的報告。

2、定量分析方法

定量分析方法是對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額，當度量風險的所有要素（資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦值，風險評估的整個過程和結果就都可以被量化。定量分析就是從數字上對安全風險進行分析評估的一種方法。定量分析兩個關鍵的指標是事件發生的可能性和威脅事件可能引起的損失。

3、定性分析方法

定性分析方法是目前采用較為廣泛的一種方法，它具有很強的主觀性，需要憑借分析者的經驗和直覺，或國家的標準和慣例，為風險管理諸要素的大小或高低程度定性分級。定性分析的操作方法可以多種多樣，包括討論、檢查列表、問卷、調查等。

4、幾種評估方法的比較

采用基于知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳慣例進行比較，從中找出不符合的地方，最終達到消減和控制風險的目的。

理論上定量分析能對安全風險進行準確的分級，但前提是可供參考的數據指標是準確的，事實上隨著信息系統日益復雜多變，定量分析所依據的數據的可靠性也很難保證，且數據統計缺乏長期性，計算過程又極易出錯，給分析帶來了很大困難，因此目前采用定量分析或者純定量分析方法的比較少。

定性分析操作起來相對容易，但也存在因操作者經驗和直覺的偏差而使分析結果失準。定性分析沒有定量分析那樣繁多的計算負擔，但卻要求分析者具備一定的經驗和能力。定量分析依賴大量的統計數據，而定性分析沒有這方面的要求，定量分析方法也不方便于后期系統改進與提高。

本文結合以上幾種分析方法的特點和不足，在確定評估對象的基礎上建立了一種基于知識的定性分析方法，并且本方法在風險評估結束后給系統的持續改進與提高提供了明確的方法和措施。

三、全生命周期的信息系統安全風險評估

由于信息系統生命周期的各階段的安全防范目的不同，同時不同信息系統所依據的國家標準和要求不一樣，使風險評估的目的和方法也不相同，因此每個階段進行的風險評估的作用也不同。

信息系統按照整個生命周期分為規劃與設計、工程實施、運行和維護、系統報廢這四個主要階段，每個階段進行相應的信息系統安全風險評估的內容、特征以及主要作用如下：

第一階段為規劃與設計階段，本階段提出信息系統的目的、需求、規模和安全要求，如信息系統是否以及等級等。信息系統安全風險評估可以起到了解目前系統到底需要什么樣的安全防范措施，幫助制定有效的安全防范策略，確定安全防范的投入最佳成本，說服機構領導同意安全策略的完全實施等作用。在本階段標識的風險可以用來為信息系統的安全分析提供支持，這可能會影響到信息系統在開發過程中要對體系結構和設計方案進行權衡。

第二階段是工程實施階段，本階段的特征是信息系統的安全特征應該被配、激活、測試并得到驗證。風險評估可支持對系統實現效果的評價，考察其是否滿足要求，并考察系統運行的環境是否是預期設計，有關風險的一系列決策必須在系統運行之前做出。

第三階段是運行和維護階段，本階段的特征是信息系統開始執行其功能，一般情況下系統要不斷修改，添加硬件和軟件，或改變機構的運行規則、策略和流程等。當定期對系統進行重新評估時，或者信息系統在其運行性生產環境中做出重大變更時，要對其進行風險評估活動，了解各種安全設備實際的安全防范效果是否有滿足安全目標的要求；了解安全防范策略是否切合實際，是否被全面執行；當信息系統因某種原因做出硬件或軟件調整后，分析原本的安全措施是否依然有效。

第四階段是系統報廢階段，可以使用信息系統安全風險評估來檢驗應當完全銷毀的數據或設備，確實已經不能被任何方式所恢復。當要報廢或者替換系統組件時，要對其進行風險評估，以確保硬件和軟件得到了適當的報廢處置，且殘留信息也恰當地進行了處理，并且要確保信息系統的更新換代能以一個安全和系統化的方式完成。對于是信息系統的報廢處理時，應按照國家相關保密要求進行處理和報廢。

四、基于評估對象，知識定性分析的風險評估方法

1、評估方法的總體描述

在信息系統的生命周期中存在四個不同階段的風險評估過程，其中運行和維護階段的信息系統風險評估是持續時間最長、評估次數最多的階段，在本階段進行安全風險評估，首先應確定評估的具體對象，也就是限制評估的具體物理和技術范圍。在信息系統當中，評估對象是與信息系統中的軟硬件組成部分相對應的。例如，信息系統中包括各種服務器、服務器上運行的操作系統及各種服務程序、各種網絡連接設備、各種安全防范設備和產品或應用程序、物理安全保障設備、以及維護管理和使用信息系統的人，這些都構成獨立的評估對象，在評估的過程中按照對象依次進行檢查、分析和評估。通常將整個計算機信息系統分為七個主要的評估對象：（1）信息安全風險評估；（2）業務流程安全風險評估；（3）網絡安全風險評估；（4）通信安全風險評估；（5）無線安全風險評估；（6）物理安全風險評估；（7）使用和管理人員的風險評估。

在對每個對象進行評估時，采用基于知識分析的方法，針對互聯網采用等級保護的標準進行合理分析，對于軍工企業存在大量的信息系統，采用依據國家相關保密標準進行基線分析，同時在分析的過程中結合定性分析的原則，按照“安全兩難定律”、“木桶原理”、“2/8法則”進行定性分析，同時在分析的過程中，設置一些“一票否決項”。對不同的評估對象，按照信息存儲的重要程度和數量將對象劃分為“高”、“中”、“低”三級，集中處理已知的和最有可能的威脅比花費精力處理未知的和不大可能的威脅更有用，保障系統在關鍵防護要求上得到落實，提高信息系統的魯棒性。

2、基于知識的定性分析

軍工企業大多數信息系統為信息系統，在信息系統基于知識分析時，重點從以下方面進行分析：物理隔離、邊界控制、身份鑒別、信息流向、違規接入、電磁泄漏、動態變更管理、重點人員的管理等。由于重要的信息大多在應用系統中存在，因此針對服務器和用戶終端的風險分析時采用2/8法則進行分析，著重保障服務器和應用系統的安全。在風險評估中以信息系統中的應用系統為關注焦點，分析組織內的縱深防御策略和持續改進的能力，判別技術和管理結合的程度和有效性并且風險評估的思想貫穿于應用的整個生命周期，對信息系統進行全面有效的系統評估。在評估過程中根據運行環境和使用人群，判別技術措施和管理措施互補性，及時調整技術和管理措施的合理性。在技術上無法實現的環節，應特別加強分析管理措施的制定和落實是否到位和存在隱患。

3、注重縱深防御和持續改進

系統安全風險評估范文第2篇

【 關鍵詞 】 移動智能終端；風險評估；AHP理論

【 中圖法分類號 】 TP311 【 文獻標識碼 】 A

Intelligent Mobile Terminal System Security Risk Assessment Based on AHP Algorithm

Tang Jie Lu Quan-fang Wen Hong

（National Key Laboratory of Science and Technology on Communications of UESTC SichuanChengdu 611731）

【 Abstract 】 With the development of mobile communications technology and terminal technology， mobile intelligent terminal has been widely used in people's daily life and will be integrated into a variety of information system in the future. Therefore， the mobile intelligent terminal system security risk assessment is necessary. This article unifies the related standards and the security threats of current mobile intelligent terminal， which aimed to propose a concept of intelligent terminal system safety risk assessment. Because the intelligent terminal system safety assessment lacks of necessary model description， we design a model based on AHP algorithm to evaluate the security risk of intelligent terminal by calculated each evaluation elements of relative risk aversion and the grade of whole intelligent terminal security risk， which will play an important tool to establish the grade system of risk evaluation.

【 Keywords 】 mobile intelligent terminal； risk assessment； AHP algorithm

1 引言

移動智能終端更多地存儲了個人隱私、賬戶信息、工作文件、商業機密甚至是重要情報等。當前對終端的主要攻擊方式還是利用智能終端操作系統安全機制的脆弱性和漏洞制造大量的惡意軟件、病毒和遠程控制程序，對終端安全構成了巨大的威脅，因此對移動智能終端操作系統安全進行風險評估是保證終端安全的基礎。

智能終端操作系統的安全風險評估可以綜合定性和定量的方法分析終端系統的安全性，為軍隊、政府、企業和個人了解某終端系統目前與未來可能存在的威脅、安全風險以及影響程度提供理論依據，對移動信息系統的研發和安全策略的制定提供了重要的參考。

本文參照我國在2007年了專門針對移動終端信息安全的標準YDT1699-2007和安全測評標準YDT1700-2007和風險評估規范 ，借鑒相關安全標準和傳統信息系統的安全風險評估方法，結合目前智能終端操作系統面臨的主要安全威脅與風險，定義了終端系統安全風險評估的概念，并提出了一種基于AHP算法的移動智能終端系統安全風險評估方法。利用該方法并搭建測評工具對當前流行的智能手機HTC野火進行了安全風險評估。

2 智能終端系統安全風險評估

智能終端操作系統的安全風險評估是指：確定在智能終端系統中每一種資源缺失或遭到破壞時，對智能終端或移動通信網絡造成的可能損失和影響，是對威脅、系統安全脆弱性以及由此帶來的風險大小和影響程度的評估。

2.1 評估要素

移動智能終端的安全風險評估要素主要分為資產、威脅行為和脆弱性三個方面。

1）資產 資產就是有價值的東西，是一個抽象的概念。資產的類別非常廣泛，常見的如物理資產、經濟資產、人力資源、知識資源、時間、信譽等。資產是風險存在的根本原因。終端系統的資產主要是存儲在智能終端上的信息資產及重要文件、秘密信息等。

2）威脅行為 威脅行為是可能導致不希望事故的潛在起因，是攻擊者達到特定目的的手段。不同的威脅行為在不同的環境下的攻擊能力是不同的，需要對其進行評估。本文重點研究由智能終端系統某個安全脆弱性所直接導致的威脅行為。

3）脆弱性 脆弱性是評估的對象之一。威脅行為可能利用資產載體存在的薄弱環節和缺陷造成資產的損失。威脅是外因，脆弱性是內因，外因必須通過內因才能起作用。

結合標準GB/T 20984-2007，根據智能終端風險評估要求，本文將上述三種評估要素分為很高、高、中、低、很低五個級別并在1～9數值域內分別劃分范圍，如表1所示。

2.2 智能終端安全風險分析

與傳統的手機不同，移動智能終端更多地存儲了個人隱私、賬戶信息、工作文件、商業機密等等。這些隱私往往直接影響著終端使用個人或單位的財產和信譽。在各大安全廠商提供的安全報告中將終端威脅行為主要分類為遠程控制、 資費消耗、隱私竊取、系統或用數據破壞、誘騙欺詐、惡意傳播、流氓軟件。其中，遠程控制、 資費消耗、隱私竊取、系統或用數據破壞這四個關鍵威脅行為直接針對終端操作系統安全的脆弱性，并直接造成終端系統的安全風險，因此本文將其作為智能終端威脅主要評估對象。終端系統的脆弱性主要包括操作系統的安全機制的缺陷、實現中的漏洞以及用戶日常軟件管理和不當操作等因素。根據2.1節定義終端系統安全相關的脆弱點，威脅行為和資產如表2所示。

任何一個機制的缺陷將造成多種可能的威脅行為，而任何一個威脅行為將直接造成多種可能的安全風險。比如終端操作系統機密性機制的缺陷可能造成隱私竊取行為，而訪問控制機制的缺陷有可能造成隱私竊取，系統破壞、遠程控制等威脅行為。隱私竊取很可能造成終端使用者信譽損失，但也可能造成終端使用者的經濟損失，比如攻擊者盜取了終端的銀行賬戶信息等。

經以上分析，終端安全風險的各要素之間具有錯綜復雜的層次結構關系，適合運用AHP算法進行分析。

3 基于AHP算法的移動智能終端系統安全風險評估

3.1 AHP算法

AHP（Analytic Hierarchy Process）層次分析法，是由美國運籌學家T.L.Saaty教授于上世紀 70 年代初期提出的一種簡捷、靈活而又實用的多準則決策方法。它把問題分解成層次結構逐步分析，將每層次元素兩兩比較重要性并進行定量描述，然后利用數學方法計算每一層次元素的相對重要性次序的權值，通過層次之間的總排序計算所有元素的相對權重并做一致性檢驗。AHP算法的主要有幾個步驟。

1）建立層次結構模型。

2）構造判斷矩陣。對同一層次的指標兩兩比較其相對重要性得出相對權值的比值，如公式（1）所示。

公式（1）判斷陣A為n×n 的方陣，主對角線元素為1，aij =1/ aij ，i≠j，i ，j =1，2，3，…n ，aij >0，aij為 i 與 j 兩因素相對重要性的比值，一般按 1～9 比例標度法對重要性程度賦值。

3）層次單排序。本文利用和法計算權值。

首先將A的每一列向量歸一化：

（2）

然后對歸一化后的判斷矩陣矩陣按行求和：

（3）

再將向量■=[■1，■2，…■n]T歸一化：

（4）

歸一化后的向量■的分量即為各評估要素的權值。

4）一致性校驗。為了保證判斷矩陣具有比較高的準確度，需要對矩陣進行一致性校驗。計算一致性指標如下：

首先求出矩陣的最大特征根。

然后計算一致性指標。

（6）

最后計算一致性比例。

（7）

如果CR

當CR=0時，判斷矩陣具有完全一致性，CR越大則一致性越差。一般認為CR

3.2 移動智能終端系統安全風險評估

本節將上節介紹的AHP算法運用到移動終端安全測評工具模型建立。在測評工具的判斷矩陣系數確定中結合問卷調查、專家評分的方式，通過算法調用大量的測試用例對終端系統安全功能進行自動測評，得出終端系統主要安全機制脆弱性的評估值，在此基礎上對待測終端系統進行安全風險評估。

1） 建立層次模型 根據表2的分析及AHP算法建立層次模型如圖1，分別給各評估要素編號1～7。

2）構造判斷矩陣與求解 基于上述模型，對HTC手機野火進行風險評估，該型號手機使用Android 2.3操作系統。利用調查問卷的形式和專家意見咨詢方式構造判斷矩陣Ai，用1～9比例標度法構造出各個元素的判斷矩陣Ai。其中第一層對第二層的判斷矩陣為：

分別計算出第一層要素對第二層要素的權值分別為：

W1 =[0.456，0.152，0.068，0.323] T

W2 =[0.076，0.543，0.136，0.244] T

W3 =[0.093，0.093，0594，0.218] T

經計算以上三個矩陣CR

第二層對第三層的判斷矩陣為：

計算出第二層要素對第三層要素的權值分別為：

W4 =[0.462，0.073，0.195，0.737，0.195] T

W5 =[0.360，0.071，0.367，0.104，0.095] T

W6 =[0.137，0.400，0.079，0.277，0.106] T

W7 =[0.329，0.090，0.104，0.071，0.404] T

經計算以上四個矩陣CR

3）風險級別 由上述計算得到權重矩陣？棕1 =[W1， W2， W3]T和？棕2 =[ W4， W5， W6， W7]T。利用安全功能測評工具得到第三層各元素脆弱性度？茁 =[2，6，4，2，7]。計算第二層元素的安全風險權重？滓2=？棕2？茁T =[4.98，3.49，4.29，4.58]。第一層元素的安全風險權重？滓1=？棕1？滓2T =[4.57，3.97，4.33]。對照表1判定各威脅對該終端系統的破壞能力為中，該終端系統面臨的三個安全風險：資產、名譽、時間損失的等級為中。

4 結束語

移動信息安全工作的重要性和緊迫性得到越來越廣泛的重視，本文針對目前移動智能終端信息安全威脅，定義了終端系統安全風險評估的概念并利用AHP算法建立智能終端系統安全風險評估模型，通過此方法可計算出各評估要素的相對風險程度和整個智能終端的安全風險等級，該方法有利于移動智能終端分級安全評估模型的建立，為不同用戶對安全的不同需求提供評估的參考。

參考文獻

[1] C. Dagon， T. Martin， and T. Starner， Mobile Phones as Computing Devices： the Viruses Are Coming[J].IEEE Pervasive Computing，2004（3）：11-15.

[2] Gong lei， zhou chong， Development and Research of mobile terminal application based on Android[J]. Computer and Modernization.2008：86-89.

[3] 馮登國，張陽，張玉清.信息安全風險評估綜[J].通信學報，2004，7（25）：10-18.

[4] YD/T 1699-2007[S].移動終端信息安全技術要求，2006.

[5] YD/T 1700-2007[S].移動終端信息安全測試方法，2006.

[6] GB/T20984-2007[S].信息安全風險評估規范，2007.

[7] GB 17859-1999[S].計算機信息系統安全保護等級劃分準則，1999.

[8] Wayne Jansen， Karen Scarfone， Guidelines on Cell Phone and PDA Security. National Institute of Standards and Technology （NIST） Special Publication[S]， October 2010.

[9] Thomas L. Saaty. Axiomatic Foundation of the Analytic Hierarchy Process[J].Management Science， 1986，7（32）：841-855.

[10] 李楊，韋偉，劉永忠.一種基于AHP的信息安全威脅評估模型研究[J].計算機科學， 2012， 1（39）： 61-137.

基金項目：

自然科學基金項目（編號：61032003，61071100和61271172）、四川省科技條件平臺項目（ 編號：2011KJPT01）、四川省應用基礎研究項目（ 編號：2012JY0001） 和成都市科技計劃項目（編號：12DXYB026JH-002）聯合資助。

作者簡介：

唐杰（1987-），男，電子科技大學通信抗干擾國家級重點實驗室碩士研究生；主要研究方向為通信安全與保密。

系統安全風險評估范文第3篇

關鍵詞：信息安全；風險評估；教學

信息安全風險評估是進行信息安全管理的重要依據，通過對信息系統進行系統的風險分析和評估，發現存在的安全問題并提出相應的措施，這對于保護和管理信息系統至關重要。目前國內外都高度重視信息安全風險評估工作。美國政府2002年頒布《聯邦信息安全管理法》，對信息安全風險評估提出了具體的要求；歐盟國家也把開展信息安全風險評估作為提高信息安全保障水平的重要手段；2003年7月23日，國家信息中心組建成立“信息安全風險評估課題組”，提出了我國開展信息安全風險評估的對策和辦法。2004年，國務院信息辦研究制訂了《信息安全風險評估指南》和《信息安全風險管理指南》兩個風險評估的標準；2006年又起草了《關于開展信息安全風險評估工作的意見》[1]。這些工作都對信息安全人才的培養提出了更高的要求，同時也為《信息安全風險評估》課程的開設和講授提供了必要的基礎和條件。《信息安全風險評估》課程教學，是信息安全專業一門重要的專業課程，能全面培養學生綜合運用專業知識，評估并解決信息系統安全問題的能力，是培養符合國家和社會需要的信息安全專業人才的重要課程之一。《信息安全風險評估》課程本身的理論性與實踐性都很強，課程發展十分迅速，涉及的學科范圍也較廣，傳統的教學的模式不能使該課程的特點很好地展示出來，無法適應社會經濟發展對信息安全從業人員的新要求，教學改革勢在必行。

一、現狀與存在的問題

信息安全風險評估是從風險管理角度，運用科學的方法和手段，系統地分析信息系統所面臨的安全威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風險評估的結果可以作為信息安全風險管理的指南，用來確定合適的管理方針和選擇相應的控制措施來保護信息資產，全面提高信息安全保障能力[2]。自2001年信息安全專業建立以來，高校在制訂本科專業教學培養目標和教學計劃時，側重于具體安全理論和技術的教學和講授，特別是重點強調了密碼學、防火墻、入侵檢測、網絡安全等安全理論與技術的傳授。從目前高校的教學內容看，多數側重于對“信息風險管理”、“風險識別”、“風險評估”和“風險控制”等基本內容的介紹上，而且教學課時數也較少，只有十個學時。當前從《信息安全風險評估》課程的教學情況來看，該課程在信息安全教育教學過程中地位有待提高，實踐教學的建設與研究迫切需要深化。

當前該課程的教學實踐中普遍存在以下幾個方面的問題，嚴重制約了《信息安全風險評估》課程教學質量的提高：

1.本科教學大都以理論內容為主體，實驗和課程設計的學時安排較少。一般高校的《信息安全風險評估》課程主要以理論內容的講授為主，實驗和課程設計的學時較少，實驗內容也大多屬于驗證性質，缺少具有研究和探索性質的信息安全風險評估實踐內容和課程設計；

2.教學方法單一，缺乏激勵學生求知欲的教學方法和手段。當前開設《信息安全風險評估》課程的高校還較少，師資力量相對薄弱，教學經驗也比較缺乏，仍以主要由教師講述的傳統教學方式為主，學生進行具體實踐和操作的課時較少，缺乏創新性的教學和研究，基本沒有具有探索性和創新性特點的教學內容，不利于發揮學生主觀能動性，提高其創新能力；

3.實驗環境無法滿足教學需求，缺乏專業的信息安全風險評估師資。我國信息安全風險評估的研究和教學工作起步晚，缺乏相關的實驗設備；而且受到資金和專業發展等多方面因素的制約，難以設立專門的信息安全風險評估實驗室。此外，信息安全風險評估是以計算機技術為核心，涉及管理科學、安全技術、通信和信息工程等多個學科，對于理論和實踐要求都很高。這就要求教師既要學習好各學科的基本知識，又要加強實踐訓練。

二、教學改革與探索

高校計算機相關專業開設《信息安全風險評估》課程，不是培養網絡信息安全方面的全才或戰略人才，而是培養在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風險評估》課程的特點和教學中存在的不足，我們從以下幾個方面對該課程的教學改革進行了探索：

1.重新確立課程培養目標。①重點培養學生分析和評估信息安全問題的能力：《信息安全風險評估》課程是一門理論性和實踐性緊密結合的課程，目前開設該課程的高校較少，各學校的教學內容也多種多樣。該課程的教學目標即要培養學生發現信息系統存在的安全風險，同時也需要培養他們科學地提出解決安全隱患的方案及能力。如何提高學生分析和評估信息安全問題的能力是該課程教學的首要目標。②培養學生實際操作的能力：信息安全風險評估的關鍵是對信息系統的資產進行分類，對其風險的識別、估計和評價做出全面的、綜合的分析。這就要求學生熟練地掌握目標對象的檢測和評估方法，包括使用各種自動化和半自動化的工具，可在模擬實驗里，通過不斷地訓練實現。③培養學生繼續學習、勇于探索創新的能力：隨著信息化的不斷發展，信息系統所面臨的安全威脅急劇增加，為此各國政府都不斷提出和完善了各類信息安全測評標準。這就要求我們在教學中不斷地學習、理解和解釋最新的國際、國內以及相關的行業標準，培養和提高學生繼續學習的能力。另外，《信息安全風險評估》課程也要求通過課堂教學、課后練習、實驗驗證和考試、考查等教學環節培養學生獨力分析信息系統安全的能力，培養學生對信息安全風險評估領域進行探索和研究的興趣，最終使學生掌握信息安全風險評估的知識和技能，能夠解決具體信息系統的安全問題。

2.增加信息安全風險評估理論和相關標準的教學。信息安全測評標準和相關法律法規是進行信息系統安全風險評估的依據和保障。2006年由原國信辦《關于開展信息安全風險評估工作的意見》（國信辦2006年5號文）；同時，隨著信息安全等級保護制度的推行，公安部會同有關部門出臺了一系列政策文件，主要包括：《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等；國家信息安全標準化委員會頒發了《信息安全風險評估規范》（GB/T 20984~2007）、《信息系統安全等級保護基本要求》（GB/T 22239-2008）等多個國家標準[3]。為了保證《信息安全風險評估》課程目標的實現，我們在教學過程中，增加了《GB/T20984-2007信息安全技術信息安全風險評估規范》、《GB/Z24364-2009信息安全風險管理指南》、《GB/T

22080-2008信息安全管理體系要求》、《GB/T22081-

2008信息安全管理實用規則》、《GB/T20269-2006信息系統安全管理要求》、《GB/T25063-2010?搖信息安全技術服務器安全測評要求》、《GB/T 20010-2005信息安全技術包過濾防火墻評估準則》、《GB/T20011-2005信息安全技術路由器安全評估準則》、《GA/T 672-2006信息安全技術終端計算機系統安全等級評估準則》、《GA/T 712-2007信息安全技術應用軟件系統安全等級保護通用測試指南》等相關評估標準和指南的學習，并編制相關的調查、檢查、測試表，重點強調對脆弱性檢測的理論依據的描述，檢測方法及其步驟的詳細記錄。

3.利用各種測評工具，提高學生實踐能力。在信息安全風險評估過程中，資產賦值、威脅量化分析、安全模型的建立等環節的教學和實踐對教師和學生都提出了較高的專業課程要求。我們在《信息安全風險評估》課程實踐中通過使用風險評估工具，并對具體的信息系統進行自動化或半自動化的分析，加深了學生信息安全風險評估的理論知識理解，同時注重培養學生動手實踐能力和探索新知識的能力。我們增加了主動型風險評估工具Tenable掃描門戶網站系統的實踐性教學內容。通過評估，該系統的服務器存在感染病毒的癥狀，其原因是服務器存在特定漏洞。為此我們使用漏洞掃描器對該服務器進行掃描，發現了“遠程代碼被執行”漏洞，而且該漏洞能被蠕蟲病毒利用，形成針對系統的攻擊。通過案例特征提供了的信息，培養學生使用測評工具對具體信息系統進行安全風險評估的能力，并進一步使其認識到主動型評估工具是信息安全風險評估中快速了解目標系統安全狀況不可或缺的重要手段。

筆者結合自己的教學實踐體會，論述了當前《信息安全風險評估》課程中存在的問題以及解決對策。《信息安全風險評估》課程教學改革和建設是一個長期的、系統化的工程，需要不斷地根據信息系統在新環境下面臨的各種威脅，制定新的評估標準和評估方案，并使得學生在有限的時間和環境下掌握相應的知識和技能，以滿足社會對信息安全人才的需求。

參考文獻：

[1]付沙.加強信息安全風險評估工作的研究[J].微型電腦應用，2010，26（8）：6-8.

[2]楊春暉，張昊，王勇.信息安全風險評估及輔助工具應用[J].信息安全與通信保密，2007，（12）：75-77.

[3]潘平，楊平，羅東梅，何朝霞.信息系統安全風險檢查評估實踐教學探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.

系統安全風險評估范文第4篇

關鍵詞：民航信息系統安全；風險評估；決策依據；可持續發展

1．引言

目前，世界各國航空公司紛紛從維護信息時代根本利益的高度認識信息安全的重要性，美國、日本、英國、法國等許多國家航空公司也都先后成立了高級別的信息安全機構。與此對比，國內民航企業在信息系統安全保障方面還處在一

個比較初級的階段，基本遵循著“出現事故一解決事故”的傳統模式。因此建設適合民航系統的信息安全管理體系，建立“安全評估一發現漏洞一解決漏洞—制定科學管理措施一預防事故”的新安全模式，已經成為開展民航信息化的當務之急，是民航信息化工作中不可避免的問題。

2．研究方案

本研究方案分作三個階段進行實施：

第一階段，在

國家評估標準

GB／T20984---2007《信息安全技術信息安全風險評估規范》的基礎上，對典型的民航信息系統安全風險進行評估。這一階段的工作內容有：分析并描述民航信息系統內涵，對其

內在拓撲結構、應用系統和業務流程進行分析；劃分評估對象的范圍并對其分類賦值；識別可能由人為因素或環境因素所引發的安全威脅，并將其分類賦值；從技術和管理兩個方面對信息系統

中可能存在

的脆弱點進行識別、分類，并依照其各

自嚴重程度的不同定級賦值；在對信息系統的資產、威脅和脆弱性安全賦值基礎上，計算信息系統的安全風險值；最后對風險結果進行分析，討論現有安全管理規定的隱患和不足之處，制定風險處理計劃，制定出新的更合理的安全管理規定。

第二階段，在現有傳統評估方法和評估模型研

究的基礎上，針對民用航空行業的特殊性需求，提出新的評估模型算法，并加以應用實踐。這一階段的工作內容有：分析傳統評估算法和評估模型，指出其存在的不足；分析民航業信息系統評估的特別的安全需求和評估指標；在傳統評估模型的基礎上，提出新的評估模型，從而更好地符合

民航業信息系統安全評估；利用得出的新的評估模型，對信息系統進行評估應用實踐，并對最終實踐數據進行分析、驗證。

第三個階段，深入開展信息安全知識普及和實施信息安全人才培訓計劃。這一階段的工作內容有：深入到民航公司和相關部門，通過靈活多樣的方式，開展普及信息安全的活動。制定安全人才培訓計劃，培訓信息安全相關規范和有關國

家法律知識，提高民航單位工作人員的信息安全意識，加強規范信息系統工作制度，提高防范意識。

3．實施方案

3．1民航信息系統安全評估

內容：如圖

l所示，確定評估范圍、目標；

指定評估方案：資產評估；威脅識別；脆弱性識別；風險計算；已有安全措施的確認；評估結論。

風險值=R

(A，1．，V)=

(L(T，V)，F(Ia，Va))。

其中，R

表示安全風險計算函數；A

表示資

產；T表示威脅：V表示脆弱性；Ia表示安全事件

所作用的資產價值；Va表示脆弱性嚴重程度；L

表示威脅利用資產的脆弱性導致安全事件的可能性；F表示安全事件發生后造成的損失。

指標：評估出民航信息系統中的安全風險，清楚地了解系統中目前的安全現狀，找到潛在的威脅和安全隱患。

圖

1民航信息安全的評估內容

3．2民航信息系統安全管理分析

內容：風險等級劃分：評估已有的安全控制

措施是否可接受；對不可接受的部分提出相應的

整改建議；對殘余風險的評估。

指標：根據風險評估結果，指出現有安全管

理規范中不合理的因素，制定出更加有效的安全

管理規范。

3.3傳統評估算法模型的研究

內容：定性的評估方法研究；定量的評估方

法研究；綜合的評估方法研究；傳統評估方法和模型的不足之處；改進的思路。

（1）概率風險評估

概率風險評估(PRA)以定性評估和定量計算相結合，將系統逐步分解轉化為初始事件進行分析。確定系統失效的事件組合及失效概率。能識別風險及原因，給出導致風險的事故序列和事故發生的概率。

（2）費用．效益分析

費用．效益分析是系統評價的經典方法之一。

在學術界、福利經濟學理論的基礎上，該方法要求從經濟總體上考慮費用和效益的關系，以達到資源的最優化分配。

（3）關聯矩陣法

關聯矩陣法應用于多目標系統。它是用矩陣形式來表示各替代方案有關評價項目的平均值。

然后計算各方案評估值的加權和，再通過分析比較，綜合評估價值、評估值加權和最大的方案即為最優方案。

（4）關聯樹法

關聯樹法是作為一種有助于對復雜問題進行評價的方法而產生的。最初它是用來對國家戰略性的技術預測和設計的評價，后來在開拓市場、

投資分析等不確定狀態下進行評價時也廣泛應用起來。

指標：現有傳統評估方法應用與民航信息系統安全評估中所存在的問題，并指出其不足之處。

3．4新的評估模型算法的研究

內容：民航信息系統的評估需求分析：改進傳統評估模型的方法研究；新的評估模型框架；新的評估算法；新的評估模型應用實踐；實踐數據的驗證。

（1）層次分析法

層次分析法對系統進行分層次、定量、規范化處理。為決策者提供定量形式的決策依據。

（2）動態風險評估法

動態風險評估法，能夠與時間緊密結合，確定系統失效的事件組合及失效概率。

指標：新算法模型更符合民航業信息系統的

實際需求，具有良好的科學性、合理性和可操作性。

3．5安全人才培訓計劃

內容：培訓對象為民航公司相關單位工作人員。開展信息安全普及活動；開展信息安全技術

培訓班：編寫信息安全培訓教材：設立信息安全培訓實驗室。

指標：通過該計劃，能切實提高民航單位工作人員的信息安全意識，規范信息安全操作，提高保障信息安全的能力。

本文涵蓋了民航信息系統保障機制的 各個方面，與民航日常工作和安全保障密切相關，有著非常重要的學術意義和應用意義。在提高民航安全管理質量，評估民航安全信息系統，制定民航安全管理規范，培訓

民航安全管理素質等各方面，都有著重要的意義。

參考文獻：

[1]范紅．信息安全風險評估規范國家標準理解與實施【M】．北京：中國標準出版社，2008：l—49

系統安全風險評估范文第5篇

【 關鍵詞 】 工控設備；風險評估；安全隱患；安全防護

Security Risk Assessment and Practice for Industrial Equipment

Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li

（Institute of Computer Application， China Academy of Engineering Physics SichuanMianyang 621900）

【 Abstract 】 Security information incidents occur recently shows， industrial system has become the main target of foreign information security attacks， safety protection for industrial control system must be strengthen. Industrial control system， is not office system， it has many intelligent devices、embedded operating system with various special protocols， especially intelligent equipments which has more high integration、specialty-industry， private kernel and lack efficient control technology for data interface， security risk assessment method and standard for industrial control system has not informed. In this paper， security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system， security risk assessment method is given to assess the full life of 840D.Last，some safety protections for confidential security is advised to adopted to protect industrial system.

【 Keywords 】 industrial equipment； risk assessment； security threat； safety protection

1 引言

近年來，越來越多的數控設備和工控系統應用到工業生產中，它們更多地采用了開放性和透明性較強的通用協議、通用硬件和通用軟件，并通過各種方式與企業管理網、互聯網等公共網絡連接。根據CNNVD搜集的漏洞數據和CNCERT的網絡安全態勢報告，這些工控系統中存在的各種漏洞、病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。

近期披露的信息安全事件表明，信息安全問題已經從軟件延伸至硬件，從傳統的網絡信息系統延伸至工業控制系統、大型科研裝置、基礎設施等諸多領域。對于工控系統以及工控設備的安全性測試和風險評估也變得重要起來。

工控系統與辦公系統不同，系統中使用智能設備、嵌入式操作系統和各種專用協議，尤其是智能設備具有集成度高、行業性強、內核不對外開放、數據交互接口無法進行技術管控等特點，工控系統的安全風險不能直接參照辦公系統的風險評估標準，其評估方法、標準還在不斷研究和探索中。

2 工控設備風險評估模型和流程

2.1 工控設備風險評估模型

工控設備安全保密風險需求主要涉及到三大方面：一是工控設備所處的物理環境安全，如防偷竊、非授權接觸、是否有竊聽竊視裝置等；二是工控設備自身的安全，主要分析包括硬件、軟件、網絡和電磁等方面的安全；三是工控設備的安全保密管理問題，包括其管理機構、人員、制度、流程等。在對工控設備安全保密需求分析的基礎上，本文結合工控設備安全檢測的需求，提出了工控設備安全風險評估框架，如圖1所示。

2.2 工控設備安全保密風險評估流程

針對上述評估模型，本文按照檢測對象、風險分析、檢測方案、結果評估的流程開展工控設備安全保密風險評估，如圖2所示。

1）檢測對象：確定設備用途，分析基本組成；

2）風險分析：根據不同設備類型，按照風險評估模型進行風險分析；

3）檢測方案：依據根據風險分析結果制定檢測方案，準備檢測工具、環境，明確檢測項目、要求和方法；

4）結果評估：依據檢測方案執行檢測，完成所有檢測項，依據檢測結果進行評估，對發現的可疑風險點進行深入檢測，修訂檢測方案，綜合評估。

3 數控設備安全保密風險評估實踐

3.1 檢測對象

數控機床主要用于各種零部件的生產加工，機床包括機床主體和核心控制系統。840D控制系統是西門子公司推出的一款功能強大、簡單開放的數控系統，本次數控設備安全保密風險評估的主要內容也是針對該控制系統。

840D sl將數控系統（NC、PLC、HMI）與驅動控制系統集成在一起，可與全數控鍵盤（垂直型或水平型）直接連接，通過PROFIBUS總線與PLC I/O連接通訊，基于工業以太網的標準通訊方式，可實現工業組網。其各部分硬件組成結構、拓撲結構、軟件系結構統如圖3、4、5所示。

3.2 風險分析及評估

3.2.1 物理安全

通過對840D數控機床設備所處的房間進行物理安全檢查，區域控制符合要求；竊聽竊照檢測，未發現有竊聽竊照裝置；通過對房間的進行聲光泄漏檢測，符合相關安全要求。

3.3.2 系統自身安全

1） 操作系統

脆弱點分析：

* 基本情況

> SINUMERIK 840D PCU采用Windows XP平臺

> 一般不會對Windows平臺安裝任何補丁

> 微軟停止對Windows XP的技術服務

> NCU系統為黑盒系統

* PCU

> RPC遠程執行漏洞（MS08-067）

> 快捷方式文件解析漏洞（MS10-046）

> 打印機后臺程序服務漏洞（MS10-061）

> 系統未安裝任何防火墻軟件和殺毒軟件

* NCU（CF卡）

> SINUMERIK 840D系統的NCU采用的西門子自有的內嵌式Linux系統，該系統在編譯時經過特殊設計，只能在SINUMERIK系統環境下運行；

> 可以對CF卡進行映像和重建，而且新建的CF卡可以在SINUMERIK 840D系統上成功啟動；

> NCU系統中設定了不同的用戶及權限，但內置的用戶及口令均以默認狀態存在系統存在默認用戶及口令；

> SNMP服務存在可讀口令，遠程攻擊者可以通過SNMP獲取系統的很多細節信息。密碼可暴力猜解，snmp服務密碼為弱口令“public”。

風險：

* 攻擊者可以利用漏洞入侵和控制SINUMERIK 840D系統的PCU，獲取到相應操作權限，對下位機下達相應指令；

* 由于在CF卡上有用戶數據的存放、HMI應用程序顯示的數據以及系統日志文件，因此通過對CF卡的復制和研究可還原用戶存放數據、PLC加工代碼等信息；

* 只要通過PCU或者直接使用PC安裝相應的管理軟件，通過網絡連接到NCU，即可使用以上用戶和口令進行各類操作；

* 攻擊者一旦得到了可寫口令，可以修改系統文件或者執行系統命令。

2） 應用系統

* 基本情況

> 應用軟件多種多樣，很難形成統一的防范規范；

> 開放應用端口，常規IT防火墻很難保障其安全性；

> 利用一些應用軟件的安全漏洞獲取設備的控制權。

* 重要應用――Winscp

脆弱點分析：是一款遠程管理軟件，其可通過ssh、SCP、SFTP等加密協議對下位機進行一定權限的系統命令操作； 通過winscp軟件可以對NCU進行遠程管理，需要相應的用戶賬戶和密碼。賬戶和密碼可通過協議漏洞獲取，如表1所示。

風險評估：攻擊者機器上直接登錄winscp遠程控制NCU。進一步，可對下位機NCU進行信息的竊取（G代碼等相關數據均存于此）、系統破壞、上傳病毒、木馬、后門等作進一步攻擊。

* 重要應用――VNC Viewer

脆弱點分析：VNC是一款功能強大的遠程管理軟件。可接受管理人員鍵盤、鼠標等幾乎全部本地的控制操作；840d工控系統上位機所采用的VNC遠程管理軟件為通用軟件，不需要登錄認證。

風險評估：在內網的攻擊者只需一款普通VNC就可以實現對下位機的遠程的、完全的控制。

* 重要應用――HMI

脆弱點分析：HMI（直接發出指令操控機器的計算機軟件），可裝在任何符合條件的PC上，通過工程調試模式（直連管理口）連接NCU，進行配置信息的查看修改。

風險評估：物理接觸、調試，不僅存在信息泄露、甚至可能存在致使系統崩潰，或者植入軟件后門的風險。也可通過網絡配置實現對下位機的控制操作 。

3） 通信協議

> SINUMERIK 840D采用TCP/IP 協議和OPC 協議等通信，通信協議存在潛在威脅；

> 網絡傳輸的信息是否安全；

> 容易讀取到網絡上傳輸的消息，也可以冒充其它的結點。

* 協議――MPI

脆弱點分析：MPI MPI是一種適用于少數站點間通信的多點網絡通信協議，用于連接上位機和少量PLC之間近距離通信。MPI協議為西門子公司內部協議，不對外公開。

風險評估：尚未發現MPI多點通訊協議的安全問題。

* 協議――G代碼傳輸協議

脆弱點分析：G代碼是數控程序中的指令，它是數控系統中人與制造機床的最本質橋梁，是上位機對下位機及加工部件最直接最根本控制；G代碼傳輸采用的是基于TCP/IP協議之上的自定義協議，其傳輸過程中的G代碼裝載、卸載，PC_Panel上按鍵操作等都是進行明文傳輸。

風險評估：攻擊者不僅可以嗅探到完全的G代碼及上位機操作信息。而且可以對傳輸過程中的G代碼進行篡改、重放，致使下位機接收錯誤的命令和數據，從而使得工業控制系統不可控，生產制造不合格甚至帶有蓄意破壞性的工件。

4） 其他部分

* 數據存儲

脆弱點分析：生產加工數據明文存放于PCU上，缺少必要的安全增加及保護措施。

風險評估：數據存在被非法獲取的隱患。

* 特定部件

脆弱點分析：G代碼在CF卡上有臨時備份，通過數據處理，有可能獲取到加工參數。

風險評估：可通過非法拷貝等方式對加工數據進行獲取。

* 硬件安全

脆弱點分析：是否存在危險的硬件陷阱，如邏輯鎖等安全問題。

風險評估：目前尚未發現。

3.3.3 管理安全

1）人員安全意識 工業控制系統在設計時多考慮系統的可用性，普遍對安全性問題的考慮不足，缺乏相應的安全政策、管理制度以及對人員的安全意識培養。

2）安全審計 缺少對系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性等方面的安全審計。

3）安全運維與管理 缺少對賬號與口令安全、惡意代碼管理、安全更新（補丁管理）、業務連續性管理等關鍵控制領域實施制度化/流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設。

4）核心部件使用管理 缺乏對類似NCU的CF卡這些核心部件的使用、復制和保管進行安全管理，防止非信任人員的接觸的管理規定。

4 工控設備安全防護建議

1）建立縱深防御安全體系，提高工控系統安全性； 2）針對核心部件加強安全管理，進行嚴格的訪問控制；3）加強網絡脆弱性的防護、采用安全的相關應用軟件 、嚴格控制NCU服務； 4）加強對工業控制系統的安全運維管理； 5）建立有效的安全應急體系；6）從設備采購、使用、維修、報廢全生命周期關注其信息安全，定期開展風險評估，工控系統全生命周期如圖6所示。

5 結束語

隨著信息技術的廣泛應用，工控系統已經從封閉、孤立的系統走向互聯體系的IT系統，安全風險在不斷增加。做好工控系統安全保密風險評估非常重要，研究工控設備的風險評估模型、流程，開展數控設備的安全保密風險評估實踐，可以為工控系統的安全保密風險評估奠定重要的基礎。

參考文獻

[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. （2011205221）， http： //.cn/.

[2] CNCERT. 2010年中國互聯網安全態勢報告[Z/OL].（2011205221）， CERT. 2010 report on the Internet Security Situation of China [Z/OL]. （2011205221）， .cn.（in Chinese）.

[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner， Alice Goguen， and Alexis Feringa. National Institute of Standards and Technology（NIST），2002.

[4] GB/T 20984―2007.信息安全技術信息安全風險評估規范[S].北京：中華人民共和國國家質量監督檢驗檢疫總局，2007.

[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing： General Administration of Quality Supervision，Inspection and Quarantine of the Peopleps Republic of China，2007. （in Chinese）

[6] 趙冬梅，張玉清，馬建峰.網絡安全的綜合風險評估[J].計算機科學， 2004，31（7）： 66-69.

作者簡介：

謝彬（1966-），女，四川安岳人，中國紡織大學，大學本科，副主任，高級工程師；長期從事信息系統軟件測評、信息系統安全保密相關的技術研究，負責了多個項目的技術安全保密檢測、安全保密防護方案設計以及相關技術研究工作；主要研究方向和關注領域：信息安全相關技術、信息系統安全、工控系統安全。

賀志強（1983-），男，四川綿陽人，四川大學，碩士，測評工程師，工程師；主要研究方向和關注領域：信息安全技術、信息安全及相關技術。