系统安全风险评估

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇系统安全风险评估范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

系统安全风险评估范文第1篇

[关键词]信息系统；风险评估；基于知识的定性分析；风险管理

中图分类号：F062.5 文献标识码：A 文章编号：1009-914X（2013）06-0100-02

随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用，部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念，并开展了ERP、MES2～PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密，是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。

一、风险评估在信息安全管理体系中的作用

信息安全风险评估是指依据国家风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础，它贯穿信息系统的整个生命周期，是安全策略制定的依据，也是ISMS（Information Security Management System，信息安全管理体系）中的一部分。风险管理是一个建立在计划（Plan）、实施（D0）、检查（Check）、改进（Action）的过程中持续改进和完善的过程。风险评估是对信息系统进行分析，判断其存在的脆弱性以及利用脆弱性可能发生的威胁，评价是否根据威胁采取了适当、有效的安全措施，鉴别存在的风险及风险发生的可能性和影响。

二、信息系统安全风险评估常用方法

风险评估过程中有多种方法，包括基于知识（Knowledge based）的分析方法、基于模型（Model based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，各种方法的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。

1、基于知识的分析方法

在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握，另外评估信息的采集也极其重要，可采用一些辅的自动化工具，包括扫描工具和入侵检测系统等，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的报告。

2、定量分析方法

定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。

3、定性分析方法

定性分析方法是目前采用较为广泛的一种方法，它具有很强的主观性，需要凭借分析者的经验和直觉，或国家的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样，包括讨论、检查列表、问卷、调查等。

4、几种评估方法的比较

采用基于知识的分析方法，组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，最终达到消减和控制风险的目的。

理论上定量分析能对安全风险进行准确的分级，但前提是可供参考的数据指标是准确的，事实上随着信息系统日益复杂多变，定量分析所依据的数据的可靠性也很难保证，且数据统计缺乏长期性，计算过程又极易出错，给分析带来了很大困难，因此目前采用定量分析或者纯定量分析方法的比较少。

定性分析操作起来相对容易，但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据，而定性分析没有这方面的要求，定量分析方法也不方便于后期系统改进与提高。

本文结合以上几种分析方法的特点和不足，在确定评估对象的基础上建立了一种基于知识的定性分析方法，并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。

三、全生命周期的信息系统安全风险评估

由于信息系统生命周期的各阶段的安全防范目的不同，同时不同信息系统所依据的国家标准和要求不一样，使风险评估的目的和方法也不相同，因此每个阶段进行的风险评估的作用也不同。

信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段，每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下：

第一阶段为规划与设计阶段，本阶段提出信息系统的目的、需求、规模和安全要求，如信息系统是否以及等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施，帮助制定有效的安全防范策略，确定安全防范的投入最佳成本，说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。

第二阶段是工程实施阶段，本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价，考察其是否满足要求，并考察系统运行的环境是否是预期设计，有关风险的一系列决策必须在系统运行之前做出。

第三阶段是运行和维护阶段，本阶段的特征是信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和软件，或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时，或者信息系统在其运行性生产环境中做出重大变更时，要对其进行风险评估活动，了解各种安全设备实际的安全防范效果是否有满足安全目标的要求；了解安全防范策略是否切合实际，是否被全面执行；当信息系统因某种原因做出硬件或软件调整后，分析原本的安全措施是否依然有效。

第四阶段是系统报废阶段，可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备，确实已经不能被任何方式所恢复。当要报废或者替换系统组件时，要对其进行风险评估，以确保硬件和软件得到了适当的报废处置，且残留信息也恰当地进行了处理，并且要确保信息系统的更新换代能以一个安全和系统化的方式完成。对于是信息系统的报废处理时，应按照国家相关保密要求进行处理和报废。

四、基于评估对象，知识定性分析的风险评估方法

1、评估方法的总体描述

在信息系统的生命周期中存在四个不同阶段的风险评估过程，其中运行和维护阶段的信息系统风险评估是持续时间最长、评估次数最多的阶段，在本阶段进行安全风险评估，首先应确定评估的具体对象，也就是限制评估的具体物理和技术范围。在信息系统当中，评估对象是与信息系统中的软硬件组成部分相对应的。例如，信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备和产品或应用程序、物理安全保障设备、以及维护管理和使用信息系统的人，这些都构成独立的评估对象，在评估的过程中按照对象依次进行检查、分析和评估。通常将整个计算机信息系统分为七个主要的评估对象：（1）信息安全风险评估；（2）业务流程安全风险评估；（3）网络安全风险评估；（4）通信安全风险评估；（5）无线安全风险评估；（6）物理安全风险评估；（7）使用和管理人员的风险评估。

在对每个对象进行评估时，采用基于知识分析的方法，针对互联网采用等级保护的标准进行合理分析，对于军工企业存在大量的信息系统，采用依据国家相关保密标准进行基线分析，同时在分析的过程中结合定性分析的原则，按照“安全两难定律”、“木桶原理”、“2/8法则”进行定性分析，同时在分析的过程中，设置一些“一票否决项”。对不同的评估对象，按照信息存储的重要程度和数量将对象划分为“高”、“中”、“低”三级，集中处理已知的和最有可能的威胁比花费精力处理未知的和不大可能的威胁更有用，保障系统在关键防护要求上得到落实，提高信息系统的鲁棒性。

2、基于知识的定性分析

军工企业大多数信息系统为信息系统，在信息系统基于知识分析时，重点从以下方面进行分析：物理隔离、边界控制、身份鉴别、信息流向、违规接入、电磁泄漏、动态变更管理、重点人员的管理等。由于重要的信息大多在应用系统中存在，因此针对服务器和用户终端的风险分析时采用2/8法则进行分析，着重保障服务器和应用系统的安全。在风险评估中以信息系统中的应用系统为关注焦点，分析组织内的纵深防御策略和持续改进的能力，判别技术和管理结合的程度和有效性并且风险评估的思想贯穿于应用的整个生命周期，对信息系统进行全面有效的系统评估。在评估过程中根据运行环境和使用人群，判别技术措施和管理措施互补性，及时调整技术和管理措施的合理性。在技术上无法实现的环节，应特别加强分析管理措施的制定和落实是否到位和存在隐患。

3、注重纵深防御和持续改进

系统安全风险评估范文第2篇

【 关键词 】 移动智能终端；风险评估；AHP理论

【 中图法分类号 】 TP311 【 文献标识码 】 A

Intelligent Mobile Terminal System Security Risk Assessment Based on AHP Algorithm

Tang Jie Lu Quan-fang Wen Hong

（National Key Laboratory of Science and Technology on Communications of UESTC SichuanChengdu 611731）

【 Abstract 】 With the development of mobile communications technology and terminal technology， mobile intelligent terminal has been widely used in people's daily life and will be integrated into a variety of information system in the future. Therefore， the mobile intelligent terminal system security risk assessment is necessary. This article unifies the related standards and the security threats of current mobile intelligent terminal， which aimed to propose a concept of intelligent terminal system safety risk assessment. Because the intelligent terminal system safety assessment lacks of necessary model description， we design a model based on AHP algorithm to evaluate the security risk of intelligent terminal by calculated each evaluation elements of relative risk aversion and the grade of whole intelligent terminal security risk， which will play an important tool to establish the grade system of risk evaluation.

【 Keywords 】 mobile intelligent terminal； risk assessment； AHP algorithm

1 引言

移动智能终端更多地存储了个人隐私、账户信息、工作文件、商业机密甚至是重要情报等。当前对终端的主要攻击方式还是利用智能终端操作系统安全机制的脆弱性和漏洞制造大量的恶意软件、病毒和远程控制程序，对终端安全构成了巨大的威胁，因此对移动智能终端操作系统安全进行风险评估是保证终端安全的基础。

智能终端操作系统的安全风险评估可以综合定性和定量的方法分析终端系统的安全性，为军队、政府、企业和个人了解某终端系统目前与未来可能存在的威胁、安全风险以及影响程度提供理论依据，对移动信息系统的研发和安全策略的制定提供了重要的参考。

本文参照我国在2007年了专门针对移动终端信息安全的标准YDT1699-2007和安全测评标准YDT1700-2007和风险评估规范 ，借鉴相关安全标准和传统信息系统的安全风险评估方法，结合目前智能终端操作系统面临的主要安全威胁与风险，定义了终端系统安全风险评估的概念，并提出了一种基于AHP算法的移动智能终端系统安全风险评估方法。利用该方法并搭建测评工具对当前流行的智能手机HTC野火进行了安全风险评估。

2 智能终端系统安全风险评估

智能终端操作系统的安全风险评估是指：确定在智能终端系统中每一种资源缺失或遭到破坏时，对智能终端或移动通信网络造成的可能损失和影响，是对威胁、系统安全脆弱性以及由此带来的风险大小和影响程度的评估。

2.1 评估要素

移动智能终端的安全风险评估要素主要分为资产、威胁行为和脆弱性三个方面。

1）资产 资产就是有价值的东西，是一个抽象的概念。资产的类别非常广泛，常见的如物理资产、经济资产、人力资源、知识资源、时间、信誉等。资产是风险存在的根本原因。终端系统的资产主要是存储在智能终端上的信息资产及重要文件、秘密信息等。

2）威胁行为 威胁行为是可能导致不希望事故的潜在起因，是攻击者达到特定目的的手段。不同的威胁行为在不同的环境下的攻击能力是不同的，需要对其进行评估。本文重点研究由智能终端系统某个安全脆弱性所直接导致的威胁行为。

3）脆弱性 脆弱性是评估的对象之一。威胁行为可能利用资产载体存在的薄弱环节和缺陷造成资产的损失。威胁是外因，脆弱性是内因，外因必须通过内因才能起作用。

结合标准GB/T 20984-2007，根据智能终端风险评估要求，本文将上述三种评估要素分为很高、高、中、低、很低五个级别并在1～9数值域内分别划分范围，如表1所示。

2.2 智能终端安全风险分析

与传统的手机不同，移动智能终端更多地存储了个人隐私、账户信息、工作文件、商业机密等等。这些隐私往往直接影响着终端使用个人或单位的财产和信誉。在各大安全厂商提供的安全报告中将终端威胁行为主要分类为远程控制、 资费消耗、隐私窃取、系统或用数据破坏、诱骗欺诈、恶意传播、流氓软件。其中，远程控制、 资费消耗、隐私窃取、系统或用数据破坏这四个关键威胁行为直接针对终端操作系统安全的脆弱性，并直接造成终端系统的安全风险，因此本文将其作为智能终端威胁主要评估对象。终端系统的脆弱性主要包括操作系统的安全机制的缺陷、实现中的漏洞以及用户日常软件管理和不当操作等因素。根据2.1节定义终端系统安全相关的脆弱点，威胁行为和资产如表2所示。

任何一个机制的缺陷将造成多种可能的威胁行为，而任何一个威胁行为将直接造成多种可能的安全风险。比如终端操作系统机密性机制的缺陷可能造成隐私窃取行为，而访问控制机制的缺陷有可能造成隐私窃取，系统破坏、远程控制等威胁行为。隐私窃取很可能造成终端使用者信誉损失，但也可能造成终端使用者的经济损失，比如攻击者盗取了终端的银行账户信息等。

经以上分析，终端安全风险的各要素之间具有错综复杂的层次结构关系，适合运用AHP算法进行分析。

3 基于AHP算法的移动智能终端系统安全风险评估

3.1 AHP算法

AHP（Analytic Hierarchy Process）层次分析法，是由美国运筹学家T.L.Saaty教授于上世纪 70 年代初期提出的一种简捷、灵活而又实用的多准则决策方法。它把问题分解成层次结构逐步分析，将每层次元素两两比较重要性并进行定量描述，然后利用数学方法计算每一层次元素的相对重要性次序的权值，通过层次之间的总排序计算所有元素的相对权重并做一致性检验。AHP算法的主要有几个步骤。

1）建立层次结构模型。

2）构造判断矩阵。对同一层次的指标两两比较其相对重要性得出相对权值的比值，如公式（1）所示。

公式（1）判断阵A为n×n 的方阵，主对角线元素为1，aij =1/ aij ，i≠j，i ，j =1，2，3，…n ，aij >0，aij为 i 与 j 两因素相对重要性的比值，一般按 1～9 比例标度法对重要性程度赋值。

3）层次单排序。本文利用和法计算权值。

首先将A的每一列向量归一化：

（2）

然后对归一化后的判断矩阵矩阵按行求和：

（3）

再将向量■=[■1，■2，…■n]T归一化：

（4）

归一化后的向量■的分量即为各评估要素的权值。

4）一致性校验。为了保证判断矩阵具有比较高的准确度，需要对矩阵进行一致性校验。计算一致性指标如下：

首先求出矩阵的最大特征根。

然后计算一致性指标。

（6）

最后计算一致性比例。

（7）

如果CR

当CR=0时，判断矩阵具有完全一致性，CR越大则一致性越差。一般认为CR

3.2 移动智能终端系统安全风险评估

本节将上节介绍的AHP算法运用到移动终端安全测评工具模型建立。在测评工具的判断矩阵系数确定中结合问卷调查、专家评分的方式，通过算法调用大量的测试用例对终端系统安全功能进行自动测评，得出终端系统主要安全机制脆弱性的评估值，在此基础上对待测终端系统进行安全风险评估。

1） 建立层次模型 根据表2的分析及AHP算法建立层次模型如图1，分别给各评估要素编号1～7。

2）构造判断矩阵与求解 基于上述模型，对HTC手机野火进行风险评估，该型号手机使用Android 2.3操作系统。利用调查问卷的形式和专家意见咨询方式构造判断矩阵Ai，用1～9比例标度法构造出各个元素的判断矩阵Ai。其中第一层对第二层的判断矩阵为：

分别计算出第一层要素对第二层要素的权值分别为：

W1 =[0.456，0.152，0.068，0.323] T

W2 =[0.076，0.543，0.136，0.244] T

W3 =[0.093，0.093，0594，0.218] T

经计算以上三个矩阵CR

第二层对第三层的判断矩阵为：

计算出第二层要素对第三层要素的权值分别为：

W4 =[0.462，0.073，0.195，0.737，0.195] T

W5 =[0.360，0.071，0.367，0.104，0.095] T

W6 =[0.137，0.400，0.079，0.277，0.106] T

W7 =[0.329，0.090，0.104，0.071，0.404] T

经计算以上四个矩阵CR

3）风险级别 由上述计算得到权重矩阵？棕1 =[W1， W2， W3]T和？棕2 =[ W4， W5， W6， W7]T。利用安全功能测评工具得到第三层各元素脆弱性度？茁 =[2，6，4，2，7]。计算第二层元素的安全风险权重？滓2=？棕2？茁T =[4.98，3.49，4.29，4.58]。第一层元素的安全风险权重？滓1=？棕1？滓2T =[4.57，3.97，4.33]。对照表1判定各威胁对该终端系统的破坏能力为中，该终端系统面临的三个安全风险：资产、名誉、时间损失的等级为中。

4 结束语

移动信息安全工作的重要性和紧迫性得到越来越广泛的重视，本文针对目前移动智能终端信息安全威胁，定义了终端系统安全风险评估的概念并利用AHP算法建立智能终端系统安全风险评估模型，通过此方法可计算出各评估要素的相对风险程度和整个智能终端的安全风险等级，该方法有利于移动智能终端分级安全评估模型的建立，为不同用户对安全的不同需求提供评估的参考。

参考文献

[1] C. Dagon， T. Martin， and T. Starner， Mobile Phones as Computing Devices： the Viruses Are Coming[J].IEEE Pervasive Computing，2004（3）：11-15.

[2] Gong lei， zhou chong， Development and Research of mobile terminal application based on Android[J]. Computer and Modernization.2008：86-89.

[3] 冯登国，张阳，张玉清.信息安全风险评估综[J].通信学报，2004，7（25）：10-18.

[4] YD/T 1699-2007[S].移动终端信息安全技术要求，2006.

[5] YD/T 1700-2007[S].移动终端信息安全测试方法，2006.

[6] GB/T20984-2007[S].信息安全风险评估规范，2007.

[7] GB 17859-1999[S].计算机信息系统安全保护等级划分准则，1999.

[8] Wayne Jansen， Karen Scarfone， Guidelines on Cell Phone and PDA Security. National Institute of Standards and Technology （NIST） Special Publication[S]， October 2010.

[9] Thomas L. Saaty. Axiomatic Foundation of the Analytic Hierarchy Process[J].Management Science， 1986，7（32）：841-855.

[10] 李杨，韦伟，刘永忠.一种基于AHP的信息安全威胁评估模型研究[J].计算机科学， 2012， 1（39）： 61-137.

基金项目：

自然科学基金项目（编号：61032003，61071100和61271172）、四川省科技条件平台项目（ 编号：2011KJPT01）、四川省应用基础研究项目（ 编号：2012JY0001） 和成都市科技计划项目（编号：12DXYB026JH-002）联合资助。

作者简介：

唐杰（1987-），男，电子科技大学通信抗干扰国家级重点实验室硕士研究生；主要研究方向为通信安全与保密。

系统安全风险评估范文第3篇

关键词：信息安全；风险评估；教学

信息安全风险评估是进行信息安全管理的重要依据，通过对信息系统进行系统的风险分析和评估，发现存在的安全问题并提出相应的措施，这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》，对信息安全风险评估提出了具体的要求；欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段；2003年7月23日，国家信息中心组建成立“信息安全风险评估课题组”，提出了我国开展信息安全风险评估的对策和办法。2004年，国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准；2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求，同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学，是信息安全专业一门重要的专业课程，能全面培养学生综合运用专业知识，评估并解决信息系统安全问题的能力，是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强，课程发展十分迅速，涉及的学科范围也较广，传统的教学的模式不能使该课程的特点很好地展示出来，无法适应社会经济发展对信息安全从业人员的新要求，教学改革势在必行。

一、现状与存在的问题

信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的安全威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南，用来确定合适的管理方针和选择相应的控制措施来保护信息资产，全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来，高校在制订本科专业教学培养目标和教学计划时，侧重于具体安全理论和技术的教学和讲授，特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看，多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上，而且教学课时数也较少，只有十个学时。当前从《信息安全风险评估》课程的教学情况来看，该课程在信息安全教育教学过程中地位有待提高，实践教学的建设与研究迫切需要深化。

当前该课程的教学实践中普遍存在以下几个方面的问题，严重制约了《信息安全风险评估》课程教学质量的提高：

1.本科教学大都以理论内容为主体，实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主，实验和课程设计的学时较少，实验内容也大多属于验证性质，缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计；

2.教学方法单一，缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少，师资力量相对薄弱，教学经验也比较缺乏，仍以主要由教师讲述的传统教学方式为主，学生进行具体实践和操作的课时较少，缺乏创新性的教学和研究，基本没有具有探索性和创新性特点的教学内容，不利于发挥学生主观能动性，提高其创新能力；

3.实验环境无法满足教学需求，缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚，缺乏相关的实验设备；而且受到资金和专业发展等多方面因素的制约，难以设立专门的信息安全风险评估实验室。此外，信息安全风险评估是以计算机技术为核心，涉及管理科学、安全技术、通信和信息工程等多个学科，对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识，又要加强实践训练。

二、教学改革与探索

高校计算机相关专业开设《信息安全风险评估》课程，不是培养网络信息安全方面的全才或战略人才，而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足，我们从以下几个方面对该课程的教学改革进行了探索：

1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力：《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程，目前开设该课程的高校较少，各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险，同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力：信息安全风险评估的关键是对信息系统的资产进行分类，对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法，包括使用各种自动化和半自动化的工具，可在模拟实验里，通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力：随着信息化的不断发展，信息系统所面临的安全威胁急剧增加，为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准，培养和提高学生继续学习的能力。另外，《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力，培养学生对信息安全风险评估领域进行探索和研究的兴趣，最终使学生掌握信息安全风险评估的知识和技能，能够解决具体信息系统的安全问题。

2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办《关于开展信息安全风险评估工作的意见》（国信办2006年5号文）；同时，随着信息安全等级保护制度的推行，公安部会同有关部门出台了一系列政策文件，主要包括：《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等；国家信息安全标准化委员会颁发了《信息安全风险评估规范》（GB/T 20984~2007）、《信息系统安全等级保护基本要求》（GB/T 22239-2008）等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现，我们在教学过程中，增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T

22080-2008信息安全管理体系要求》、《GB/T22081-

2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T 672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T 712-2007信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习，并编制相关的调查、检查、测试表，重点强调对脆弱性检测的理论依据的描述，检测方法及其步骤的详细记录。

3.利用各种测评工具，提高学生实践能力。在信息安全风险评估过程中，资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具，并对具体的信息系统进行自动化或半自动化的分析，加深了学生信息安全风险评估的理论知识理解，同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估，该系统的服务器存在感染病毒的症状，其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描，发现了“远程代码被执行”漏洞，而且该漏洞能被蠕虫病毒利用，形成针对系统的攻击。通过案例特征提供了的信息，培养学生使用测评工具对具体信息系统进行安全风险评估的能力，并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。

笔者结合自己的教学实践体会，论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程，需要不断地根据信息系统在新环境下面临的各种威胁，制定新的评估标准和评估方案，并使得学生在有限的时间和环境下掌握相应的知识和技能，以满足社会对信息安全人才的需求。

参考文献：

[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用，2010，26（8）：6-8.

[2]杨春晖，张昊，王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密，2007，（12）：75-77.

[3]潘平，杨平，罗东梅，何朝霞.信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.

系统安全风险评估范文第4篇

关键词：民航信息系统安全；风险评估；决策依据；可持续发展

1．引言

目前，世界各国航空公司纷纷从维护信息时代根本利益的高度认识信息安全的重要性，美国、日本、英国、法国等许多国家航空公司也都先后成立了高级别的信息安全机构。与此对比，国内民航企业在信息系统安全保障方面还处在一

个比较初级的阶段，基本遵循着“出现事故一解决事故”的传统模式。因此建设适合民航系统的信息安全管理体系，建立“安全评估一发现漏洞一解决漏洞—制定科学管理措施一预防事故”的新安全模式，已经成为开展民航信息化的当务之急，是民航信息化工作中不可避免的问题。

2．研究方案

本研究方案分作三个阶段进行实施：

第一阶段，在

国家评估标准

GB／T20984---2007《信息安全技术信息安全风险评估规范》的基础上，对典型的民航信息系统安全风险进行评估。这一阶段的工作内容有：分析并描述民航信息系统内涵，对其

内在拓扑结构、应用系统和业务流程进行分析；划分评估对象的范围并对其分类赋值；识别可能由人为因素或环境因素所引发的安全威胁，并将其分类赋值；从技术和管理两个方面对信息系统

中可能存在

的脆弱点进行识别、分类，并依照其各

自严重程度的不同定级赋值；在对信息系统的资产、威胁和脆弱性安全赋值基础上，计算信息系统的安全风险值；最后对风险结果进行分析，讨论现有安全管理规定的隐患和不足之处，制定风险处理计划，制定出新的更合理的安全管理规定。

第二阶段，在现有传统评估方法和评估模型研

究的基础上，针对民用航空行业的特殊性需求，提出新的评估模型算法，并加以应用实践。这一阶段的工作内容有：分析传统评估算法和评估模型，指出其存在的不足；分析民航业信息系统评估的特别的安全需求和评估指标；在传统评估模型的基础上，提出新的评估模型，从而更好地符合

民航业信息系统安全评估；利用得出的新的评估模型，对信息系统进行评估应用实践，并对最终实践数据进行分析、验证。

第三个阶段，深入开展信息安全知识普及和实施信息安全人才培训计划。这一阶段的工作内容有：深入到民航公司和相关部门，通过灵活多样的方式，开展普及信息安全的活动。制定安全人才培训计划，培训信息安全相关规范和有关国

家法律知识，提高民航单位工作人员的信息安全意识，加强规范信息系统工作制度，提高防范意识。

3．实施方案

3．1民航信息系统安全评估

内容：如图

l所示，确定评估范围、目标；

指定评估方案：资产评估；威胁识别；脆弱性识别；风险计算；已有安全措施的确认；评估结论。

风险值=R

(A，1．，V)=

(L(T，V)，F(Ia，Va))。

其中，R

表示安全风险计算函数；A

表示资

产；T表示威胁：V表示脆弱性；Ia表示安全事件

所作用的资产价值；Va表示脆弱性严重程度；L

表示威胁利用资产的脆弱性导致安全事件的可能性；F表示安全事件发生后造成的损失。

指标：评估出民航信息系统中的安全风险，清楚地了解系统中目前的安全现状，找到潜在的威胁和安全隐患。

图

1民航信息安全的评估内容

3．2民航信息系统安全管理分析

内容：风险等级划分：评估已有的安全控制

措施是否可接受；对不可接受的部分提出相应的

整改建议；对残余风险的评估。

指标：根据风险评估结果，指出现有安全管

理规范中不合理的因素，制定出更加有效的安全

管理规范。

3.3传统评估算法模型的研究

内容：定性的评估方法研究；定量的评估方

法研究；综合的评估方法研究；传统评估方法和模型的不足之处；改进的思路。

（1）概率风险评估

概率风险评估(PRA)以定性评估和定量计算相结合，将系统逐步分解转化为初始事件进行分析。确定系统失效的事件组合及失效概率。能识别风险及原因，给出导致风险的事故序列和事故发生的概率。

（2）费用．效益分析

费用．效益分析是系统评价的经典方法之一。

在学术界、福利经济学理论的基础上，该方法要求从经济总体上考虑费用和效益的关系，以达到资源的最优化分配。

（3）关联矩阵法

关联矩阵法应用于多目标系统。它是用矩阵形式来表示各替代方案有关评价项目的平均值。

然后计算各方案评估值的加权和，再通过分析比较，综合评估价值、评估值加权和最大的方案即为最优方案。

（4）关联树法

关联树法是作为一种有助于对复杂问题进行评价的方法而产生的。最初它是用来对国家战略性的技术预测和设计的评价，后来在开拓市场、

投资分析等不确定状态下进行评价时也广泛应用起来。

指标：现有传统评估方法应用与民航信息系统安全评估中所存在的问题，并指出其不足之处。

3．4新的评估模型算法的研究

内容：民航信息系统的评估需求分析：改进传统评估模型的方法研究；新的评估模型框架；新的评估算法；新的评估模型应用实践；实践数据的验证。

（1）层次分析法

层次分析法对系统进行分层次、定量、规范化处理。为决策者提供定量形式的决策依据。

（2）动态风险评估法

动态风险评估法，能够与时间紧密结合，确定系统失效的事件组合及失效概率。

指标：新算法模型更符合民航业信息系统的

实际需求，具有良好的科学性、合理性和可操作性。

3．5安全人才培训计划

内容：培训对象为民航公司相关单位工作人员。开展信息安全普及活动；开展信息安全技术

培训班：编写信息安全培训教材：设立信息安全培训实验室。

指标：通过该计划，能切实提高民航单位工作人员的信息安全意识，规范信息安全操作，提高保障信息安全的能力。

本文涵盖了民航信息系统保障机制的 各个方面，与民航日常工作和安全保障密切相关，有着非常重要的学术意义和应用意义。在提高民航安全管理质量，评估民航安全信息系统，制定民航安全管理规范，培训

民航安全管理素质等各方面，都有着重要的意义。

参考文献：

[1]范红．信息安全风险评估规范国家标准理解与实施【M】．北京：中国标准出版社，2008：l—49

系统安全风险评估范文第5篇

【 关键词 】 工控设备；风险评估；安全隐患；安全防护

Security Risk Assessment and Practice for Industrial Equipment

Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li

（Institute of Computer Application， China Academy of Engineering Physics SichuanMianyang 621900）

【 Abstract 】 Security information incidents occur recently shows， industrial system has become the main target of foreign information security attacks， safety protection for industrial control system must be strengthen. Industrial control system， is not office system， it has many intelligent devices、embedded operating system with various special protocols， especially intelligent equipments which has more high integration、specialty-industry， private kernel and lack efficient control technology for data interface， security risk assessment method and standard for industrial control system has not informed. In this paper， security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system， security risk assessment method is given to assess the full life of 840D.Last，some safety protections for confidential security is advised to adopted to protect industrial system.

【 Keywords 】 industrial equipment； risk assessment； security threat； safety protection

1 引言

近年来，越来越多的数控设备和工控系统应用到工业生产中，它们更多地采用了开放性和透明性较强的通用协议、通用硬件和通用软件，并通过各种方式与企业管理网、互联网等公共网络连接。根据CNNVD搜集的漏洞数据和CNCERT的网络安全态势报告，这些工控系统中存在的各种漏洞、病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

近期披露的信息安全事件表明，信息安全问题已经从软件延伸至硬件，从传统的网络信息系统延伸至工业控制系统、大型科研装置、基础设施等诸多领域。对于工控系统以及工控设备的安全性测试和风险评估也变得重要起来。

工控系统与办公系统不同，系统中使用智能设备、嵌入式操作系统和各种专用协议，尤其是智能设备具有集成度高、行业性强、内核不对外开放、数据交互接口无法进行技术管控等特点，工控系统的安全风险不能直接参照办公系统的风险评估标准，其评估方法、标准还在不断研究和探索中。

2 工控设备风险评估模型和流程

2.1 工控设备风险评估模型

工控设备安全保密风险需求主要涉及到三大方面：一是工控设备所处的物理环境安全，如防偷窃、非授权接触、是否有窃听窃视装置等；二是工控设备自身的安全，主要分析包括硬件、软件、网络和电磁等方面的安全；三是工控设备的安全保密管理问题，包括其管理机构、人员、制度、流程等。在对工控设备安全保密需求分析的基础上，本文结合工控设备安全检测的需求，提出了工控设备安全风险评估框架，如图1所示。

2.2 工控设备安全保密风险评估流程

针对上述评估模型，本文按照检测对象、风险分析、检测方案、结果评估的流程开展工控设备安全保密风险评估，如图2所示。

1）检测对象：确定设备用途，分析基本组成；

2）风险分析：根据不同设备类型，按照风险评估模型进行风险分析；

3）检测方案：依据根据风险分析结果制定检测方案，准备检测工具、环境，明确检测项目、要求和方法；

4）结果评估：依据检测方案执行检测，完成所有检测项，依据检测结果进行评估，对发现的可疑风险点进行深入检测，修订检测方案，综合评估。

3 数控设备安全保密风险评估实践

3.1 检测对象

数控机床主要用于各种零部件的生产加工，机床包括机床主体和核心控制系统。840D控制系统是西门子公司推出的一款功能强大、简单开放的数控系统，本次数控设备安全保密风险评估的主要内容也是针对该控制系统。

840D sl将数控系统（NC、PLC、HMI）与驱动控制系统集成在一起，可与全数控键盘（垂直型或水平型）直接连接，通过PROFIBUS总线与PLC I/O连接通讯，基于工业以太网的标准通讯方式，可实现工业组网。其各部分硬件组成结构、拓扑结构、软件系结构统如图3、4、5所示。

3.2 风险分析及评估

3.2.1 物理安全

通过对840D数控机床设备所处的房间进行物理安全检查，区域控制符合要求；窃听窃照检测，未发现有窃听窃照装置；通过对房间的进行声光泄漏检测，符合相关安全要求。

3.3.2 系统自身安全

1） 操作系统

脆弱点分析：

* 基本情况

> SINUMERIK 840D PCU采用Windows XP平台

> 一般不会对Windows平台安装任何补丁

> 微软停止对Windows XP的技术服务

> NCU系统为黑盒系统

* PCU

> RPC远程执行漏洞（MS08-067）

> 快捷方式文件解析漏洞（MS10-046）

> 打印机后台程序服务漏洞（MS10-061）

> 系统未安装任何防火墙软件和杀毒软件

* NCU（CF卡）

> SINUMERIK 840D系统的NCU采用的西门子自有的内嵌式Linux系统，该系统在编译时经过特殊设计，只能在SINUMERIK系统环境下运行；

> 可以对CF卡进行映像和重建，而且新建的CF卡可以在SINUMERIK 840D系统上成功启动；

> NCU系统中设定了不同的用户及权限，但内置的用户及口令均以默认状态存在系统存在默认用户及口令；

> SNMP服务存在可读口令，远程攻击者可以通过SNMP获取系统的很多细节信息。密码可暴力猜解，snmp服务密码为弱口令“public”。

风险：

* 攻击者可以利用漏洞入侵和控制SINUMERIK 840D系统的PCU，获取到相应操作权限，对下位机下达相应指令；

* 由于在CF卡上有用户数据的存放、HMI应用程序显示的数据以及系统日志文件，因此通过对CF卡的复制和研究可还原用户存放数据、PLC加工代码等信息；

* 只要通过PCU或者直接使用PC安装相应的管理软件，通过网络连接到NCU，即可使用以上用户和口令进行各类操作；

* 攻击者一旦得到了可写口令，可以修改系统文件或者执行系统命令。

2） 应用系统

* 基本情况

> 应用软件多种多样，很难形成统一的防范规范；

> 开放应用端口，常规IT防火墙很难保障其安全性；

> 利用一些应用软件的安全漏洞获取设备的控制权。

* 重要应用――Winscp

脆弱点分析：是一款远程管理软件，其可通过ssh、SCP、SFTP等加密协议对下位机进行一定权限的系统命令操作； 通过winscp软件可以对NCU进行远程管理，需要相应的用户账户和密码。账户和密码可通过协议漏洞获取，如表1所示。

风险评估：攻击者机器上直接登录winscp远程控制NCU。进一步，可对下位机NCU进行信息的窃取（G代码等相关数据均存于此）、系统破坏、上传病毒、木马、后门等作进一步攻击。

* 重要应用――VNC Viewer

脆弱点分析：VNC是一款功能强大的远程管理软件。可接受管理人员键盘、鼠标等几乎全部本地的控制操作；840d工控系统上位机所采用的VNC远程管理软件为通用软件，不需要登录认证。

风险评估：在内网的攻击者只需一款普通VNC就可以实现对下位机的远程的、完全的控制。

* 重要应用――HMI

脆弱点分析：HMI（直接发出指令操控机器的计算机软件），可装在任何符合条件的PC上，通过工程调试模式（直连管理口）连接NCU，进行配置信息的查看修改。

风险评估：物理接触、调试，不仅存在信息泄露、甚至可能存在致使系统崩溃，或者植入软件后门的风险。也可通过网络配置实现对下位机的控制操作 。

3） 通信协议

> SINUMERIK 840D采用TCP/IP 协议和OPC 协议等通信，通信协议存在潜在威胁；

> 网络传输的信息是否安全；

> 容易读取到网络上传输的消息，也可以冒充其它的结点。

* 协议――MPI

脆弱点分析：MPI MPI是一种适用于少数站点间通信的多点网络通信协议，用于连接上位机和少量PLC之间近距离通信。MPI协议为西门子公司内部协议，不对外公开。

风险评估：尚未发现MPI多点通讯协议的安全问题。

* 协议――G代码传输协议

脆弱点分析：G代码是数控程序中的指令，它是数控系统中人与制造机床的最本质桥梁，是上位机对下位机及加工部件最直接最根本控制；G代码传输采用的是基于TCP/IP协议之上的自定义协议，其传输过程中的G代码装载、卸载，PC_Panel上按键操作等都是进行明文传输。

风险评估：攻击者不仅可以嗅探到完全的G代码及上位机操作信息。而且可以对传输过程中的G代码进行篡改、重放，致使下位机接收错误的命令和数据，从而使得工业控制系统不可控，生产制造不合格甚至带有蓄意破坏性的工件。

4） 其他部分

* 数据存储

脆弱点分析：生产加工数据明文存放于PCU上，缺少必要的安全增加及保护措施。

风险评估：数据存在被非法获取的隐患。

* 特定部件

脆弱点分析：G代码在CF卡上有临时备份，通过数据处理，有可能获取到加工参数。

风险评估：可通过非法拷贝等方式对加工数据进行获取。

* 硬件安全

脆弱点分析：是否存在危险的硬件陷阱，如逻辑锁等安全问题。

风险评估：目前尚未发现。

3.3.3 管理安全

1）人员安全意识 工业控制系统在设计时多考虑系统的可用性，普遍对安全性问题的考虑不足，缺乏相应的安全政策、管理制度以及对人员的安全意识培养。

2）安全审计 缺少对系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性等方面的安全审计。

3）安全运维与管理 缺少对账号与口令安全、恶意代码管理、安全更新（补丁管理）、业务连续性管理等关键控制领域实施制度化/流程化、可落地的、具有多层次纵深防御能力的安全保障体系建设。

4）核心部件使用管理 缺乏对类似NCU的CF卡这些核心部件的使用、复制和保管进行安全管理，防止非信任人员的接触的管理规定。

4 工控设备安全防护建议

1）建立纵深防御安全体系，提高工控系统安全性； 2）针对核心部件加强安全管理，进行严格的访问控制；3）加强网络脆弱性的防护、采用安全的相关应用软件 、严格控制NCU服务； 4）加强对工业控制系统的安全运维管理； 5）建立有效的安全应急体系；6）从设备采购、使用、维修、报废全生命周期关注其信息安全，定期开展风险评估，工控系统全生命周期如图6所示。

5 结束语

随着信息技术的广泛应用，工控系统已经从封闭、孤立的系统走向互联体系的IT系统，安全风险在不断增加。做好工控系统安全保密风险评估非常重要，研究工控设备的风险评估模型、流程，开展数控设备的安全保密风险评估实践，可以为工控系统的安全保密风险评估奠定重要的基础。

参考文献

[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. （2011205221）， http： //.cn/.

[2] CNCERT. 2010年中国互联网安全态势报告[Z/OL].（2011205221）， CERT. 2010 report on the Internet Security Situation of China [Z/OL]. （2011205221）， .cn.（in Chinese）.

[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner， Alice Goguen， and Alexis Feringa. National Institute of Standards and Technology（NIST），2002.

[4] GB/T 20984―2007.信息安全技术信息安全风险评估规范[S].北京：中华人民共和国国家质量监督检验检疫总局，2007.

[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing： General Administration of Quality Supervision，Inspection and Quarantine of the Peopleps Republic of China，2007. （in Chinese）

[6] 赵冬梅，张玉清，马建峰.网络安全的综合风险评估[J].计算机科学， 2004，31（7）： 66-69.

作者简介：

谢彬（1966-），女，四川安岳人，中国纺织大学，大学本科，副主任，高级工程师；长期从事信息系统软件测评、信息系统安全保密相关的技术研究，负责了多个项目的技术安全保密检测、安全保密防护方案设计以及相关技术研究工作；主要研究方向和关注领域：信息安全相关技术、信息系统安全、工控系统安全。

贺志强（1983-），男，四川绵阳人，四川大学，硕士，测评工程师，工程师；主要研究方向和关注领域：信息安全技术、信息安全及相关技术。