浅析信息系统的安全风险评估

摘　要：信息技术是当今世界经济和社会发展的重要驱动力，但信息产业的第一道关口就是信息安全，因为日益发展的互联网犯罪等令信息安全在21世纪越加凸显其研究的意义。本文通过参阅大量文献，研究了电信网的安全风险评估，并对国内外静态风险评估和动态风险评估的研究现状进行了阐述。

关键词：信息系统；安全风险；研究进展
一、国外研究进展
　　国外对动态风险评估研究主要包括动态风险评估的体系架构、工具和关键技术等。在动态风险评估的体系架构方面，1999年Tim Bass首次提出了网络安全态势感知概念，随即又提出了基于多传感器数据融合的入侵检测框架，并把该框架用于下一代入侵检测系统和网络安全态势感知系统，采用该框架实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、态势评估以及威胁评估等功能。StephenG. Batsell，JasonShifflet等人也提出了类似的模型。美国国防部提出了JDL（Joint Director of Laboratories）模型的网络态势感知总体框架结构，此模型主要包括多源异构数据采集、数据预处理、事件关联和目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等功能模块。动态风险评估由于评估频次高，因此应充分使用自动化工具代替人工劳动，力争做到对实时风险的监控和计算，同时抓住最重要风险来分析。在动态风险评估的工具方面，可依托的工具包括评估威胁的入侵检测系统、异常流量分析系统、日志分析系统等，评估脆弱性的网络扫描器、应用扫描工具等。
　　在动态风险评估的技术方面，动态风险评估领域涉及到数据采集、数据融合、态势可视化等多项技术，网络动态风险评估的难点主要集中在对态势的正确理解和合理预测上。关于动态风险评估相关技术研究很多，例如在数据采集技术方面，按照数据源分为基于系统配置信息（服务设置系统中存在的漏洞等）和基于系统运行信息（IDS日志中显示的系统所受攻击状况等）两大类数据采集；在数据融合技术方面，Tim Bass首次提出将JDL模型直接运用到网络态势感知领域，这为以后数据融合技术在网络态势感知领域的应用奠定了基础，Christos Siaterlis等人运用数据融合技术设计出检测DDoS攻击的模型；在态势可视化技术方面，和专门为分析Snort日志以及Syslog数据开发了SnortView系统，可以实现每2min对视图的一次更新，并可以显示4h以内的报警数据。
二、国内研究进展
　　我国对网络和信息安全保障工作高度重视，发布了中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》、中办发[2006]11号《2006—2020年国家信息化发展战略》等文件部署安全风险评估等安全工作，但是由于我国关于安全风险评估研究起步的较晚，目前国内整体处于起步和借鉴阶段，大多数研究主要面向信息系统，针对电信网络的特点进行风险评估的研究和应用较少。
　　在安全风险评估模型、方法和工具方面，我国虽然已经有一些相关的文章和专著，但是也还局限在对已有国际模型、方法和工具的分析和模仿上，缺乏科学、有效、得到广泛认可的方法和工具，尤其针对电信网的业务和网络特点的可操作性强、得到普遍认可的风险评估方法和工具较少。
　　国内对安全动态风险评估的研究还属于起步阶段，相关研究主要包括动态风险评估的体系架构、相关关键技术等。在体系架构方面，西安交通大学研究并实现了基于IDS和防火墙的集成化网络安全监控平台，提出了基于统计分析的层次化（从上到下分为系统、主机、服务和攻击/漏洞4个层次）安全态势量化评估模型，采用了自下而上、先局部后整体的评估策略及相应计算方法，此方面也是在动态风险评估领域普遍采用的方法。北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估系统，由网络安全风险状态评估和网络威胁发展趋势预测两部分组成，用于评估网络设备及结构的脆弱性、安全威胁水平等。在关键技术方面，安全领域专家冯毅从我军信息与网络安全的角度出发，阐述了我军积极开展网络安全态势感知研究的必要性和重要性，指出了多源传感器数据融合和数据挖掘两项关键技术。国防科技大学的胡华平等人提出了面向大规模网络的入侵检测与预警系统的基本框架及其关键技术与难点问题。另外，国内也有一些科研机构尝试把数据融合技术应用到网络安全领域，提出了应用数据融合技术的网络安全分析评估系统、入侵检测系统等。
　　但是总体来说，国内在动态风险评估研究方面取得的成果有限，仍没有成熟的、实用的技术或工具，更缺乏针对电信网进行动态风险评估的相关研究，现有研究成果还存在动态评估的实时性不强、采集的数据不够丰富有效、对风险态势的预测研究不够等诸多问题。
参考文献：
[1] 彭凌西;陈月峰;刘才铭;曾金全;刘孙俊;赵辉;;基于危险理论的网络风险评估模型[J];电子科技大学学报;2007年06期
[2] 李波;;入侵检测技术面临的挑战与未来发展趋势[J];电子科技;2007年07期
[3] 丁丽萍;论计算机取证的原则和步骤[J];中国人民公安大学学报(自然科学版);2005年01期
[4] 赵冬梅;张玉清;马建峰;;网络安全的综合风险评估[J];计算机科学;2004年07期
[5] 陈深龙;张玉清;毛剑;;综合风险评估工具的设计与实现[J];计算机工程;2007年17期
[6] 邢栩嘉,林闯,蒋屹新;计算机系统脆弱性评估研究[J];计算机学报;2004年01期 本文链接：http://www.qk112.com/lwfw/jsjlw/xinxianquan/225195.html