高安全等级信息系统的风险评估探究

本文是管理论文，本文系统地研究了信息系统风险评估的理论及方法，根据国家相关法律法规和标准，结合高安全等级信息系统的特点，融合了十几年的风险评估经验和案例，优化了评估指标体系和评估模型，改进了评估过程中每个阶段的具体操作步骤，保证了风险评估结果的可信度和实用性，提出了切实可行的高安全等级信息系统安全防护和管理的合理建议，为深入高效的开展高安全等级信息系统风险评估提供有力支撑，为国家相关行政部门对高安全等级信息系统的管理决策提供关键依据。本文分析了三种不同的风险评估应用场景，分别是传统的高安全等级信息系统、基于虚拟化技术的高安全等级信息系统和面向互联互通的高安全等级信息系统，针对不同的应用场景，本文分别设计了不同的风险评估模型和方法。（1）传统的高安全等级信息系统在传统的高安全等级信息系统中，网络环境由服务器、计算机、交换机、服务器等基础网络设备组成，尚未引入虚拟化技术或互联互通功能，网络结构比较单一。针对传统的高安全等级信息系统，在实际评估过程中，评估指标的重要性差异是客观存在的，并受到决策者的主观意愿影响。在确定评估指标的权重时，都是依据专家评估经验来设定，很容易使评估结果出现偏差。所以风险评估方法需要及时更新，研制出切实可靠实用的高安全等级信息系统风险评估的方法。

1引言

本文针对高安全等级信息系统风险评估中存在的问题，对高安全等级信息系统风险评估理论和风险评估技术进行了研究，本文的研究内容主要有以下几个方面：（1）依据高安全等级信息系统的特点及防护要求，选取了风险评估指标，并构建了多层次指标体系。然后基于该指标体系，将博弈理论引入到风险评估中，把评估人员的防御方法与攻击人员的攻击方法作为攻防博弈的基础，通过构建攻防博弈模型，分析了评估人员及攻击人员在攻防过程中获得的收益及付出的开销，并结合高安全等级信息系统的安全等级，计算得到信息系统的风险值，使得风险评估过程更加科学合理。（2）从虚拟化体系结构入手，全面分析了虚拟化系统在高安全等级网络环境中存在的脆弱性和引入的安全威胁，在传统矩阵法的基础上融入了序值法、层次分析法，利用基于风险矩阵的信息安全风险模型将分析结果进行量化，引入了合理的权重分配策略，得到虚拟化系统在高安全等级网络环境中的定量安全评估结果，为虚拟化系统在高安全等级网络环境中的定量安全评估提供有力参考[2]。（3）分析了网络互联互通采用的安全防护技术以及存在的安全问题，在高安全等级信息系统风险评估以及虚拟化系统风险评估的基础上，研究了高安全等级信息系统之间、高安全等级信息系统与虚拟化系统、高安全等级信息系统与工业控制系统等互联互通的风险评估，提出了不同互联互通情况下的风险评估模型，极大地提高了网络互联互通环境的风险控制能力。另外，提出了针对高安全等级信息系统与工业控制系统互联互通环境的信息交换体系架构，为网络的互联互通提供了技术支撑并促进了风险评估的发展。

2基础理论及方法

2.1相关概念

每个虚拟计算机系统都拥有自己的虚拟硬件，来提供一个独立的虚拟机执行环境。引入硬件虚拟化技术的计算机架构与传统架构产生很大的区别，最大的区别就是虚拟机监控器（VirtualMachineMonitor）这一软件层，它位于宿主机的裸机之上、客户机操作系统之下，如图2-1所示。虚拟机监控器一层的应用对客户机具备隔离能力、洞察能力和干涉能力。因此，目前ICS存在的问题主要包括：（1）各类特种木马、恶意文件等对ICS造成了重大的隐患，如何在保证业务系统正常运转的情况下，对非法文件进行分析、检测和取证是未来一段时间工作的难点。（2）工控系统与企业网交互的网络中间设备安全隐患非常大，由于工控系统采用的协议与企业网的协议不同，需要在网络中间设备上进行协议转换，一旦防火墙或者路由器等网络中间设备被攻击，控制层向设备层发送指令时容易遭受中间人攻击使上传至上位机的监控信息及下发的命令遭篡改，给系统带来严重的安全事故。（3）工控系统运转的业务系统都是水电气等重要的国家基础设施，实时性要求非常高，因此，几乎很难对工控系统进行漏洞扫描、威胁发现等。同时，对传输的数据的加密解密也要在保证实时性的基础上去设计，这就对加解密算法的快速认证等方面提出了新的挑战，如何平衡算法的实时性和复杂性，需要进一步研究。（4）国外工控系统已存在成体系的安全标准规范，而我国目前该方面严重缺失，没有有效的安全标准来为工控系统的安全防御建设、风险测评、操作使用、运维服务等进行指导和复返，导致工控系统安全防御方面存在重大安全隐患。

2.2方法理论概述

在攻防博弈过程中，攻防双方获得的收益是可以进行量化的，攻击者的收益为攻破的信息系统的数量以及所获取的关键信息，而防御者的收益为发现并抵消的攻击者的数量以及所保护的关键信息。另外，在攻防过程中，攻击者和防御者都要付出一定的开销。本章对信息系统风险评估的相关概念作了详细论述，对容易混淆的概念进行了界定，并介绍了它们之间的相互关系，有利于明确论文的研究范围。对论文涉及的层次分析法、模糊风险评估法等方法进行了阐述，这些理论和方法为论文后续研究工作的开展奠定了良好的基础。然而，近年来工业控制系统的安全事件频发，而且攻击行为也呈现出精准化、先进化、持续化等特点，给工业控制系统的安全提出新的要求，尤其是针对ICS的木马呈现出越来越频繁的趋势。据报道，自2016年以来，就至少爆发了“食尸鬼”攻击行动、乌克兰断电事故、伊朗黑客攻击美国大坝事件等多起严重的ICS攻击事件，其中木马病毒都是其中重要攻击方式。工业控制系统是国家基础设施的重要组成部分，也是工业基础设施的核心，随着互联网的广泛应用，工业控制系统与互联网的结合也越来越紧密。

传统架构和虚拟化架构

3传统高安全等级信息系统风险评估的挑战.........................................................17

3.1传统的高安全等级信息系统风险评估......................................................18

3.2虚拟化技术带来的变化..............................................................................20

3.3互联互通带来的变化..................................................................................25

3.4研究问题及解决办法..................................................................................27

3.5本章小结......................................................................................................28

4基于博弈论的高安全等级信息系统风险评估模型构建.....................................30

4.1高安全等级信息系统风险评估的界定及特点..........................................31

4.2高安全等级信息系统风险评估指标选取..................................................35

4.3基于博弈论的风险评估模型构建..............................................................38

4.4高安全等级信息系统评估结果判定..........................................................44

5基于虚拟化技术的高安全等级信息系统风险评估模型构建.............................50

5.1虚拟化系统风险评估相关工作..................................................................51

5.2虚拟化系统脆弱性分析..............................................................................51

7高安全等级信息系统安全保密风险评估系统的设计

7.1信息系统评估内容的关联分析

为了保持高安全等级信息系统风险评估的准确性和高效性，建设了多个评估团队，用来对建设的高安全等级信息系统进行评估。为了解各个评估团队的能力，评估他们能够承担的业务量，并便于评估机构对其统一管理，需要构建一个统一的评估团队能力评估模型。通过人员水平、管理水平、业务量、物理设备这四个维度，构造评估团队能力评估模型。关键评估项是高安全等级信息系统信息安全中最重要、最基本的评估内容，对于这些关键评估项的扣分会引入非常严重的安全隐患。因此本节将对关键评估项对应的安全隐患，进行分析与感知。首先分析关键评估项的扣分频次，发现那些扣分频次较高的评估小项，定位这些高频关键评估项对应的安全隐患；随后，从评估团队、网络规模、网络信息资源和应用系统等维度，提取了50多个特征，并用卡方检验的方法量化不同特征与关键评估项是否扣分的关联关系；最后，利用关联性较高的特征，对高安全等级信息系统的扣分情况进行预测。1.重要特征选择风险特征提取技术是通过一系列数学方法处理，将大规模网络安全信息归并融合成一组或者几组特征因子，表示网络的一系列运行状况，用以量化网络安全状况和受威胁程度。本文依据高安全等级信息系统的特点及防护要求，选取风险评估指标，并构建多层次指标体系。基于该指标体系，将博弈理论引入到风险评估中，把评估人员的防御方法与攻击人员的攻击方法作为攻防博弈的基础，通过构建攻防博弈模型，分析评估人员及攻击人员在攻防过程中获得的收益及付出的开销，一方面证明纳什均衡点的存在，另一方面为攻防博弈模型提供理论基础。

不同评估项扣分频次分布

7.2评估团队能力评估

风险特征提取是关键评估项分析与感知的基础，为了准确描述网络特征与关键评估项扣分的关联分析，需要挑选那些关联性较高的特征。因此，本节首先利用卡方检验的特征选择的方法，计算每个网络特征与评估方法是否扣分的卡方值Score。图7-17和图7-18分别描述了连续特征和离散特征卡方值的频数分布。随着信息技术的不断发展以及网络规模的不断扩大，评估人员对信息系统进行风险评估的难度越来越大，为了适当降低评估人员的工作量，本章在前几章构建的风险评估模型的基础上，设计并实现高安全等级信息系统安全保密风险评估系统。高安全等级信息系统安全保密风险评估系统是研究项目的关键平台，在评估数据采集管理平台的支撑下，需要结合具体业务场景，分析数量特征与特性，构建全国高安全等级信息系统风险评估模型，实现高安全等级信息系统安全业务的深层次多维度的挖掘与分析，对指定范围内的高安全等级信息系统风险进行综合分析、趋势评估和态势感知。

........

结论

为了达到此目的，信息安全风险评估模型解决了如下几个问题：（1）对高安全等级信息系统进行评估时，对应的评估标准定义了多种评估内容及评估方法，形成了丰富的评估指标，如日常管理、安全审计、异常事件等，旨在从多个维度描述高安全等级信息系统的风险状况，并指导信息系统建设人员对高安全等级信息系统进行有针对性地修正。然而，不同指标可能对应了相似甚至相同的评估方法，从而出现针对某些评估内容的重复测量的问题。因而，将基于历史评估数据，从整体上了解各个评估指标的关联关系，定位那些强关联的评估项，一方面可以辅助对评估项包含的评估小项进行修正（删除、调整等），避免重复测量，另一方面将辅助生成可靠的评估知识体系，指导评估人员工作。（2）评估机构建设了多个评估团队，用来对建设的网络进行评估。为了了解各个评估团队的能力，评估他们能够承担的业务量，并且便于评估机构对其统一管理，需要构建一个统一的评估团队能力评估模型。结合高安全等级信息系统的安全等级，计算得到信息系统的风险值，使得风险评估过程更加科学合理。（2）基于虚拟化技术的高安全等级信息系统在传统的高安全等级信息系统中尚未采用虚拟化技术，但是随着虚拟化技术的不断发展，在高安全等级信息系统中应用虚拟化技术变得愈加成熟和普遍，利用它可以对硬件资源进行分区从而节省系统建设成本，虚拟化技术的应用为用户的信息系统建设和管理带来诸多积极影响，但在其应用过程中也给高安全等级信息系统引入了一些新的风险，例如终端风险、接入风险、数据风险、虚拟化资源管理系统本身的风险、运维风险等，需要引起高度重视。

参考文献（略）