楊陽，張佳鑫，閆雪，黃水清

0 引言

信息技術(shù)在商業(yè)上的廣泛應用，使得商業(yè)組織對信息系統(tǒng)的依賴性增大，信息系統(tǒng)遭到攻擊以及由此引發(fā)的安全事故，會導致數(shù)據(jù)丟失和服務中斷，影響企業(yè)正常的業(yè)務運作[1]。網(wǎng)絡技術(shù)的發(fā)展在加速信息交流與共享的同時，也加大了網(wǎng)絡信息安全事故發(fā)生的可能性。對信息系統(tǒng)進行風險評估，可以了解其安全風險，通過采取適當控制措施，從而在源頭上減少信息安全事故的發(fā)生。本文構(gòu)建了一個網(wǎng)絡信息安全風險評估軟件系統(tǒng)，該系統(tǒng)基于ISO/IEC 27000系列標準，對企業(yè)內(nèi)部網(wǎng)絡中的信息資產(chǎn)（本文指桌面計算機）進行風險評估，得到各資產(chǎn)的風險值、面臨的威脅和存在的薄弱點的詳細信息，并利用教育模塊為如何實施控制措施以降低風險提供指導。

1 相關(guān)概念與系統(tǒng)簡介

1.1 評估軟件的種類

國外在風險評估工具的研究方面起步較早，已知的工具包括COBRA、@RISK、BDSS等，但這些工具多集中應用于國防安全領(lǐng)域，技術(shù)獲取難度大，國內(nèi)的信息安全測評技術(shù)還處于起步階段[2]。評估軟件呈兩方面的發(fā)展趨勢：一種是“漏洞掃描型”評估，利用漏洞掃描工具發(fā)現(xiàn)系統(tǒng)中存在的漏洞，評估的結(jié)果是生成漏洞報告并提出修改建議，當前絕大多數(shù)安全公司提供的風險評估軟件便是這種類型；另一種是“政策對照型”評估，它吸取現(xiàn)代管理學的思想，將系統(tǒng)安全看成是管理控制的結(jié)果，管理控制則依靠一系列的法規(guī)、制度和流程來實現(xiàn)。通過發(fā)放調(diào)查問卷并分析反饋結(jié)果，驗證這些法規(guī)、制度和流程的執(zhí)行情況，評估的結(jié)果一般給出風險的等級。

1.2 ISO/IEC 27000系列標準

ISO/IEC 27000系列標準是“風險對照型”評估中應用較廣泛的對照標準。它由國際標準化組織(ISO)和國際電工委員會（IEC）聯(lián)合確認發(fā)布，為企業(yè)建立自己的信息安全管理體系（ISMS）提供參考。依據(jù)ISO/IEC 27000系列標準進行風險評估的核心思想是：信息資產(chǎn)的風險值主要由資產(chǎn)價值、漏洞值以及薄弱點值3因素決定，評估過程首先由信息資產(chǎn)評估、漏洞評估和薄弱點評估確定資產(chǎn)價值、資產(chǎn)漏洞值和資產(chǎn)薄弱點值，綜合考慮已有控制措施等因素后計算得出風險值。

1.3 系統(tǒng)簡介

本系統(tǒng)覆蓋了依據(jù)ISO/IEC 27000系列標準進行評估的全過程，將“漏洞掃描型”評估和“政策對照型”評估結(jié)合在一起，既有漏洞掃描過程，又有基于ISO27000的評估功能。在不改變現(xiàn)有技術(shù)條件的前提下，以完備有效的信息安全管理體系解決內(nèi)部網(wǎng)絡信息安全問題，使內(nèi)部網(wǎng)絡信息安全管理和國際信息安全管理標準和規(guī)范接軌。

該系統(tǒng)可為管理者和企業(yè)員工提供信息資產(chǎn)（主要指桌面計算機）的安全信息，如：感染病毒的情況、已打和未打補丁情況、當日和歷史累計威脅值和薄弱點值，并依據(jù)ISO/IEC 27000給出信息資產(chǎn)的風險值，在教育模塊中給出解決方案，協(xié)助企業(yè)降低風險。

2 系統(tǒng)體系結(jié)構(gòu)與開發(fā)平臺

2.1 體系結(jié)構(gòu)

該評估軟件的體系結(jié)構(gòu)可劃分為9個模塊，分別為：原始數(shù)據(jù)采集模塊、通訊模塊、原始數(shù)據(jù)接收模塊、漏洞檢測與評估模塊、風險值計算模塊、事件處理模塊、報告生成模塊、WEB模塊、教育模塊。其體系結(jié)構(gòu)如圖1所示：

(1) 原始數(shù)據(jù)采集模塊

該模塊依托一些殺毒軟件的管理平臺（如Symantec的SAV的Reporting Service，Trend Micro的Control Manager等），對這些管理平臺的原始數(shù)據(jù)（包括客戶端產(chǎn)品的信息，以及病毒日志、事件日志、漏洞日志等）進行增量采集，并通過HTTP協(xié)議傳送到系統(tǒng)的服務器端。

(2) 通訊模塊

該模塊的主要作用是將采集到的原始數(shù)據(jù)，通過HTTP協(xié)議傳輸?shù)椒掌鞫耍┓掌鬟M行監(jiān)控和分析。

(3) 原始數(shù)據(jù)接收模塊

該模塊將采集代理發(fā)送過來的原始數(shù)據(jù)進行預處理，然后插入到數(shù)據(jù)庫相應的表中。

(4) 漏洞檢測與評估模塊

該模塊對采集代理傳上來的原始數(shù)據(jù)，進行挖掘（包括周期性的統(tǒng)計或者實時的監(jiān)控），并根據(jù)用戶設定的閾值觸發(fā)一個安全管理事件。檢測對象除了調(diào)研獲得的關(guān)鍵性能指標外，還包括系統(tǒng)漏洞及主要的安全后門。這些漏洞大多數(shù)源自用戶計算機的系統(tǒng)軟件，如操作系統(tǒng)。針對這些漏洞，用戶計算機的系統(tǒng)軟件開發(fā)商，都會給出一些補丁來解決問題。因此，本系統(tǒng)會定期查找微軟的補丁數(shù)據(jù)庫，當發(fā)現(xiàn)管理的客戶端沒有打最新的微軟補丁時，則認為該系統(tǒng)存在安全隱患，從而觸發(fā)事件。

(5) 風險值計算模塊

該模塊依據(jù)ISO/IEC 27000的評估思想，按照預先設定的風險計算模型，計算得出信息資產(chǎn)的當日風險與歷史累計風險。

當風險評估模塊挖掘出風險或者潛在風險后，必須有一套較為完善的通知機制提醒相關(guān)的管理人員，并將知識庫中相關(guān)的知識附在通知中，便于管理員找到解決風險的方案。

(7) 報告生成模塊

報告生成模塊根據(jù)風險評估模塊和漏洞檢測與評估模塊的結(jié)果生成報告，報告包括建議采取的安全措施、解決方案建議、對系統(tǒng)相關(guān)的各類風險進行分析排序、對風險給系統(tǒng)帶來的影響分析、風險與潛在影響的聯(lián)系分析。

(8) Web模塊

該模塊是一個綜合管理模塊，一方面將其他模塊獲得或生成的信息，以既定的方式組織后，展現(xiàn)給管理者；另一方面負責客戶、部門、資產(chǎn)等信息的管理和組織。此模塊包括：客戶管理模塊、部門管理模塊、風險視圖總覽模塊、資產(chǎn)管理模塊、顯示補丁庫信息模塊、補丁管理模塊、防病毒軟件管理模塊、病毒感染管理模塊、密碼管理模塊、權(quán)限管理模塊等。

(9) 教育模塊

該模塊收集并整理網(wǎng)絡安全、病毒、ISO/IEC 27000的相關(guān)知識，并將其以多媒體形式展現(xiàn)出來。

2.2 系統(tǒng)的開發(fā)模式與實現(xiàn)平臺

目前軟件系統(tǒng)開發(fā)的模式主要分為兩種：客戶機/服務器(C/S)模式和 Web瀏覽器/服務器(B/S)模式[3]。本系統(tǒng)采用C/S結(jié)構(gòu)與B/S結(jié)構(gòu)相結(jié)合的方式來實現(xiàn)。與后臺風險管理有關(guān)的原始數(shù)據(jù)采集、接收、通信和漏洞檢測與評估模塊是基于B/S結(jié)構(gòu)的，其它模塊客戶端則通過Browser訪問Web服務器以及與之相連的后臺數(shù)據(jù)庫。系統(tǒng)采用主流的 J2EE框架 SSH（即 Spring+Struts+Hibernate）進行開發(fā)，這是一種三層結(jié)構(gòu)模式的分布式系統(tǒng)，它在TCP/IP的支持下，以HTTP為傳輸協(xié)議。采用該模式具有如下優(yōu)勢：客戶端不需要安裝軟件，所有的程序和數(shù)據(jù)都放在服務器端，用戶只需要用IE瀏覽器通過網(wǎng)絡正確輸入賬號和密碼，就可以進行信息瀏覽和操作；采用B/S模式的系統(tǒng)容易集成，維護工作量小，易于升級，可通過Internet遠程訪問；能實現(xiàn)不同的人員從不同的地點以不同的接入方式訪問和操作共同的數(shù)據(jù)庫。數(shù)據(jù)采集模塊則采用C/S結(jié)構(gòu)，利用SWT/JFace進行開發(fā)。通過用戶機器上裝客戶端軟件，實現(xiàn)對用戶機器上病毒和補丁信息的自動檢測。

系統(tǒng)后臺操作系統(tǒng)可以采用目前市面流行的 Windows平臺中的任意一種，編程語言為面向?qū)ο蟮?java語言，數(shù)據(jù)庫采用 SQL Server2000，數(shù)據(jù)庫操縱工具則利用Hibernate。Hibernate是一個O/R mapping框架，對JDBC進行了非常輕量級的對象封裝，可以比較輕松地使用對象編程思維來操縱數(shù)據(jù)庫。

3 功能模塊設計

評估系統(tǒng)面向的對象分為后臺管理者和普通用戶兩類，根據(jù)不同用戶可設置相應的功能模塊。面向后臺管理者的功能模塊，可協(xié)助管理者了解部門、員工及資產(chǎn)總體情況，明確風險種類及大小，并以知識庫的形式，為如何處置風險提供了一些解決方案。面向員工的功能模塊，展示了本部門目前面臨的威脅和薄弱點情況，幫助員工明確風險。相比而言，該模塊更主要的功能，是協(xié)助上報本部門的人員及資產(chǎn)信息，以滿足管理者的評估需要。

3.1 面向后臺管理者

(1) 用戶信息管理模塊

該模塊可以顯示、修改和刪除所有接受管理的客戶信息。其中可顯示的內(nèi)容有：用戶名稱、用戶權(quán)限開通情況、電子郵件、聯(lián)系電話、所屬部門等，可修改的信息除包括上述基本信息外，還包括用戶的登錄名稱、登錄密碼、密碼提示問題、密碼提示問題答案、是否開通用戶權(quán)限等。當注冊用戶不是本機構(gòu)員工時，可將其從用戶列表刪除。此模塊可以讓風險控制管理者，對企業(yè)員工的基本信息有所了解，一旦發(fā)生安全問題能夠及時通知相關(guān)責任人。同時，此模塊管理用戶的登陸信息，決定用戶是否有權(quán)限訪問該評估系統(tǒng)，當出現(xiàn)用戶忘記密碼等情況時，可利用此模塊解決。

(2) 部門信息管理模塊

該模塊可以顯示、增加、刪除、修改所有部門信息。通過此模塊，風險控制管理者可以明確該組織的部門設置情況，有助于從部門的角度分析資產(chǎn)風險的關(guān)系。

該模塊還可以顯示、修改和刪除所有信息資產(chǎn)的信息，包括：資產(chǎn)名稱、操作系統(tǒng)名稱和版本、IP地址、機器名稱，資產(chǎn)賦值、資產(chǎn)所屬部門、Agent Code。通過了解資產(chǎn)的種類和特性，可以更有針對性地控制資產(chǎn)的風險。此外，該模塊的資產(chǎn)賦值，決定了在風險計算模塊所需的關(guān)鍵參數(shù)資產(chǎn)價值，對整個評估系統(tǒng)起十分重要的作用。

(4) 風險值顯示模塊

該模塊可以顯示所有資產(chǎn)的當日風險值和歷史累計風險值。它綜合了系統(tǒng)整個評估流程中各個階段的成果，利用計算模型最終得出風險大小的直觀數(shù)值。當日風險值有助于即時控制信息資產(chǎn)的安全風險，一旦發(fā)現(xiàn)風險值過高，應立即采取措施。歷史累計風險，值則有助于了解信息資產(chǎn)的歷史風險，如若歷史風險過高，則應查明風險值過高的原因，在風險管理中加大對該資產(chǎn)的重視程度。通過風險排序，可以明確風險管理的優(yōu)先級。

(5) 風險視圖縱覽模塊

該模塊可顯示信息資產(chǎn)當日與歷史累計感染病毒的數(shù)目、名稱、感染路徑和感染時間，當日和歷史累計未打補丁的數(shù)目、名稱、簡單描述及發(fā)布時間，還可顯示微軟補丁服務器上最近30天最新發(fā)布的補丁信息。當發(fā)現(xiàn)某機器的風險值過高或需要控制時，可從該模塊了解資產(chǎn)威脅和薄弱點的詳細信息，以便進一步采取措施。

(6) 教育模塊

該模塊包括3部分，分別為：網(wǎng)絡安全知識庫、病毒知識庫、ISO/IEC 27000知識庫，均以多媒體形式展示。信息安全管理僅僅做到發(fā)現(xiàn)風險是不夠的，還需要知道如何控制風險，當安全問題發(fā)生時，應尋求解決方案將損失降到最低。這3個知識庫即為信息安全控制提供知識支持，管理者可從中尋求解決方案。

3.2 面向普通用戶

(1) 部門信息修改模塊

在該模塊員工可以更改本部門信息，如登陸密碼，部門負責人，登陸標志，聯(lián)系方式等，以便管理者準確了解各部門信息。

(2) 資產(chǎn)信息顯示

可顯示本部門資產(chǎn)的詳細信息，如：資產(chǎn)名稱、操作系統(tǒng)名稱和版本、IP地址、機器名稱、資產(chǎn)賦值等，也包括該資產(chǎn)目前安裝的防病毒產(chǎn)品信息，已經(jīng)或還未安裝的補丁信息等。員工可以修改上述信息，也可以增加或刪除資產(chǎn)。通過瀏覽病毒和補丁情況，還可了解部門資產(chǎn)面臨的威脅和存在的薄弱點。

(3) 風險報告模塊

在該模塊中員工可以獲取管理者發(fā)出的風險報告，包括：風險值及控制措施等。根據(jù)管理者給出的指導意見，實施風險管理。

4 風險計算方法

目前關(guān)于風險評估的計算模型很多，并無統(tǒng)一定論。根據(jù)ISO27001的風險評估實施步驟以及ISO13335-3中，風險分析方法的說明，本文采用線性相乘法與定性的相對等級法相結(jié)合的方式，確定風險評估的計算模型。該系統(tǒng)計算模型如下：R=f(A,V,T)=Ia*L(Va,T)=Ia*Va*T。其中，R表示風險；A表示資產(chǎn)；V表示薄弱點；T表示威脅；Ia是資產(chǎn)價值，表示資產(chǎn)的重要程度，即資產(chǎn)在發(fā)生安全事件后對業(yè)務的影響；Va表示目前存在的薄弱點，L表示威脅利用資產(chǎn)的薄弱點造成安全事件發(fā)生的可能性。

資產(chǎn)、薄弱點及威脅的賦值采用定性的相對等級法予以賦值，資產(chǎn)價值由業(yè)務人員直接給出，威脅和薄弱點由系統(tǒng)掃描而得。下面將詳述如何確定3因素值。

資產(chǎn)（指桌面機器）的價值，由資產(chǎn)負責人（指業(yè)務員工）參照既定規(guī)則人工賦予，給資產(chǎn)價值進行賦值，除需考慮資產(chǎn)本身的價值及其對組織的重要性外，還需考慮資產(chǎn)的完整性、保密性和可用性?？紤]到用戶賦值的直觀與方便，系統(tǒng)不設置各因素的單獨賦值，而是給出提示信息，由用戶綜合考慮各特性后，給出一個關(guān)于資產(chǎn)重要性的最終結(jié)果。具體做法是：系統(tǒng)提供給用戶一個下拉列表框，將資產(chǎn)的相對重要程度分為5級，分別為：很重要、重要、一般、不重要、很不重要，其相對應的資產(chǎn)值分別為5、4、3、2、1。假如某信息資產(chǎn)的相對重要程度為重要時，則資產(chǎn)值相應賦予4。

(2) 資產(chǎn)威脅值

如果把病毒和其他類型攻擊相比較，從造成損失的排名來看，病毒在所有安全攻擊中所占比例最高[4]。因此，該評估系統(tǒng)的資產(chǎn)威脅值，由用戶機器所感染的病毒的情況決定。當殺毒軟件檢測到病毒后，安裝在客戶機上病毒監(jiān)測器，自動將病毒日志傳送給服務器，由于技術(shù)上的限制，本系統(tǒng)忽略了病毒危害的差異性，單純依據(jù)病毒數(shù)量確定威脅的數(shù)值。賦值方式如下：設客戶機感染病毒數(shù)量為N，當0=4時，威脅值為5。比如，客戶機感染病毒數(shù)量為3，則為該資產(chǎn)的威脅賦值為4。

(3) 資產(chǎn)薄弱點值

薄弱點指能夠被威脅利用從而對資產(chǎn)造成損害的漏洞，薄弱點可能存在于操作系統(tǒng)、應用軟件、計算機服務硬件、系統(tǒng)的不合理設置及用戶的錯誤使用，利用這些薄弱點，攻擊者可以進入、篡改、關(guān)閉計算機系統(tǒng)[5]。解決系統(tǒng)漏洞的最佳方法是為其打補丁，補丁多由系統(tǒng)開發(fā)商發(fā)布[1]。由于技術(shù)上的限制，本系統(tǒng)只考慮操作系統(tǒng)的漏洞，資產(chǎn)薄弱點值，由客戶機上安裝補丁的情況決定，當客戶機上存在未安裝的補丁（微軟已發(fā)布的），則認為該客戶機存在薄弱點。具體做法是在客戶機上裝一個補丁監(jiān)控，采集客戶機上所打的補丁情況，傳送個服務器。服務器端也會定期從微軟的補丁服務器下載最新的補丁信息，然后通過比對，得到客戶機未打補丁的情況。該值同樣采用5級分類法，假設客戶機上未安裝的補丁數(shù)目為N，當0=4時，薄弱點值為5。比如，客戶機未安裝補丁數(shù)目為6，則為該資產(chǎn)的薄弱點值為5。

在計算風險時，系統(tǒng)考慮兩種風險值，一是當日風險，一是歷史累計風險。兩種風險計算原理相同，當日風險僅考慮當日感染病毒數(shù)及未打補丁數(shù)，歷史累計風險則考慮以往所有感染的病毒數(shù)及未打補丁數(shù)。

5 結(jié)束語

本文設計了一種“漏洞掃描”與“政策對照”相結(jié)合的網(wǎng)絡信息安全風險評估軟件，建立了一個比較可靠的風險計算模型，實現(xiàn)了對桌面機器的自動化風險評估。系統(tǒng)操作簡單，容易理解?？蓱糜谄髽I(yè)日常業(yè)務工作中，實現(xiàn)對風險的實時評估，當風險發(fā)生時能夠及時發(fā)現(xiàn)從而對其進行控制。系統(tǒng)提供的教育模塊，可以提高員工的信息安全意識，為實施風險控制提供參考。當企業(yè)進行大規(guī)模全面風險評估時，該系統(tǒng)可作為輔助工具參與評估。

該評估軟件還存在一些有待改進的地方，比如，目前風險的計算模型采用定性分級法；資產(chǎn)的賦值存在一定程度的主觀性；威脅值僅考慮了病毒的數(shù)量，忽略了病毒危害的差異性；薄弱點值僅考慮了操作系統(tǒng)的漏洞，忽略了其他因素；這些都對評估結(jié)果的準確性帶來一定影響，因此將評估軟件的風險計算模型進一步優(yōu)化，是后續(xù)研究的重點。

[1]Rok Bojanc,Borka Jerman-Bla?i?.Towards a standard approach for quantifying an ICT security investment[ J ].Computer standards&Interfaces.2008,30(04):216-222.

[2]齊俊鵬,孫四明,王化鵬.信息安全風險評估專家系統(tǒng)技術(shù)研究[J].計算機仿真,2008,25(09):127-129.

[3]裴小斐,羅驅(qū)波.煤礦超市化物料管理系統(tǒng)的設計與實現(xiàn)[J].工況自動化,2008，(03):65-67.

[4]Gartner Inc..Gartner says number of identity theft victims has increased more than 50 percent since 2003[R/OL].(2007-3-6).[2009-6-6]. http://www.gartner.com/it/page.jsp?id=501912.

[5]Yeu-Pong Lai,Po-Lun Hsia.Using the vulnerability information of computer systems to improve the network security[J].Computer Communications,2007,30(09):2032-2047.