安全风险管理模型(精选十篇)
安全风险管理模型 篇1
关键词:信息安全,管理,模型,设计
目前互联网信息技术高速发展并全面普及,与此同时也带来了众多的互联网系统被入侵以及信息安全泄密等相关事件,由此引起了不同领域的各个企业单位对信息安全系统建设的高度重视。因此, 按照一种权威的标准进行有序地规划,构建出科学、合理的信息安全管理体系,进而促进我国整体的信息安全管理建设,成为维护信息安全管理工作的当务之急。
1信息安全管理系统现状
信息安全管理系统作为信息安全的支撑体系以及实施信息安全维护的落脚点,是信息安全管理中的重要组成部分。 目前我国的信息安全管理系统还尚未完善,其不足之处首先表现为缺少统一的存储平台来对众多的文档进行储存,从而导致大量文档的丢失;其次,如果信息安全管理系统不完善,就不能降低资产等的风险评估以及对资产进行集中式的管理;最后,由于信息安全系统中各个报表功能的不完善,文档信息就无法快速、准确地透露出信息安全的实际状况,从而起到有效地保护作用。
信息安全管理系统主要能够通过对关键资产实行定性和定量分析,从而得出资产的精确风险值,识别系统中存在的重要因患资产,并进一步通知信息管理员采取适当地方法来减少隐患事件的发生,通过科学的管理降低企业的资产风险。由此可见,完善的信息安全管理系统是不可或缺的,它一方面决定着信息安全管理体系的具体实施,另一方面也可以促进企业信息安全管理体系的进一步维护与建设。
2信息安全管理系统标准
科学统一的国家信息安全标准,有利于协调与融合各个信息安全管理系统的工作,充分促进信息安全标准系统的功能发挥。我国的信息安全管理标准主要分为ISO/IEC 27000系列标准与信息安全等级保护标准两个部分。
2.1 ISO/IEC 27000系列标准
1995年,英国标准协会(BSI) 发布了BS7799-1和BS7799-2两部标准,随着时代的进步其逐渐发展为ISO/IEC 27001和ISO/IEC 27002两个部分,并进一步成为目前信息安全管理体系的主要核心标准。 BS7799的最初提出目的主要在于建立起一套能够用于开发、实施以及测量的科学信息安全管理惯例,并作为一种通用框架来促进贸易伙伴之间的信任。ISO/IEC 27001重视ISMS的建构以及在PDCA基础之上的进一步循环与完善,这一过程实质上就是在宏观的角度上来指导整个项目的有效实施。它意在风险管理的基础之上,用风险分析的途径,把发生信息风险的概率降到最低程度,同时采取适当地措施来保障主体业务的顺利进行。ISO/IEC 27002主要阐述了133项控制细则,以及11项需要有效控制的项目,其中包括安全策略、安全组织、信息安全事件管理、人力资源安全、符合性物理与环境安全、访问控制、资产管理、系统的开发与维护、业务连续性管理、通信与操作安全等一系列的安全风险评估与控制。
2.2信息安全等级保护
1994年国务院出台了《中华人民共和国计算机信息系统安全保护条例》,该项基本制度的主要目的在于提高信息安全保障能力的水平、保障并促进信息化的健康与发展,从而进一步维护国家安全、社会发展以及人民群众的利益。它的核心标准《GB 17859-1999计算机信息系统安全保护等级划分准则》是在TCSEC的分级保护思想基础之上,针对我国信息安全的发展实际进行改善,最终把安全等级缩减成更具可操作性的5个级别。《GB/T 22239- 2008信息系统安全等级保护基本要求》则把信息安全控制要求进一步整理为管理要求与技术要求两类,其中前者主要包括系统建设管理、安全管理制度、系统运维管理、安全管理机构和人员安全管理;后者主要包括应用安全、网络安全、物理安全、主机安全以及数据安全与备份恢复。 此外,信息安全等级保护的系列标准里还包括《GB/T 20270-2006网络基础安全技术要求》以及《GB/T 20271-2006信息系统安全通用要求》等一些关于信息安全维护细则的具体操作要求。
3信息安全管理系统的模型设计
根据信息安全管理系统标准,结合以往的信息安全管理系统设计,提出一种新型的四层信息安全管理系统:
第一层为信息采集:主要包括人工脆弱性检查、漏洞扫描工具以及日志采集系统三部分。这一信息采集层的主要功能在于采集安全保护对象的漏洞与安全事件。
第二层是数据库层:包括日志、资产库、异常日志以及资产弱点库和资产风险库等。该数据库层的主要功能在于对信息安全管理系统中的数据进行存储。
第三层为功能模块层:包括资产管理、风险管理、弱点管理、信息安全管理规范下载管理资产等级评估管理、拓补管理以及日志分析。
最后一层为展示层:它包含某个具体业务系统中的业务系统整体安全状况、资产安全状况、业务系统拓补以及异常安全事件等相关部分。
上述新型信息安全管理系统模型主要体现出以下六点创新之处:
(1)业务系统的动态建模和系统支持资产,可以把业务系统和资产二者绑定在一起,由此,整个信息安全系统一方面可以准确地体现出在一个具体业务系统环境下,其单独资产的具体安全状况;另一方面该信息安全系统还能够根据IS027001的具体标准,反应出整个资产所承载的整体业务系统的安全状况。
(2)所设计的风险模块管理可以把风险评估常态化、主动化,使其对整个业务周期内的所有资产风险进行动态的跟踪与准确分析;另外,该信息安全系统的日志审计功能也可以实现被动式的安全管理,从而使主动管理与被动管理在信息安全管理系统中充分融合。
(3)该新安全管理系统增加并促进了拓补管理功能的发挥。
(4)该信息安全管理系统模型提供了统一的知识库管理,能够对日志、资产库、 异常日志以及资产弱点库和资产风险库等部分进行更有效的数据存储与管理。
安全风险管理模型 篇2
摘 要:为了提高电子产品的性能,满足更多型号的电子产品要求,电子信息行业需进行很多种类型的电子产品性能试验。在进行电子装备外场试验作业时,往往会由于实验人员缺乏安全意识、不受控因素过多、试验环境条件不佳等理由导致安全生产事故发生,导致试验作业延误或者是延误、财产损失,甚至是人员伤亡等等。所以,通过分析探究外场试验作业事故发生的主要理由,探究试验作业过程以及安全管理之中的安全核心要素,与各种相关的安全管理经验相结合,共同探讨分析安全管理模型的构成建设,有计划的进行安全管理模型构造与建设。本文主要说明了安全生产事故出现理由、外场试验安全生产管理的关键要素以及外场试验(电子装备)安全生产管理模型的构建。
安全风险管理模型 篇3
关键词:信息安全风险评估;模糊评价;EOMS流程
1 信息安全风险评估模型
在风险评估的风险分析阶段主要采用定性的分析方法。由于该阶段所需数据往往很难精确统计或统计成本过高,通常采取结合人员经验的方法进行实施。
R=f (A,T,V,P)
式中:A:资产价值T:威胁事件发生的影响V:薄弱点的严重程度P:威胁利用系统薄弱点的可能性。
从风险分析模式公式中可以看出,风险值是一个多因素函数,由资产价值,威胁事件发生的影响,薄弱点的严重程度以及威胁利用系统薄弱点的可能性四个因素决定,并且这四个因素都不能用很确切的数值表示。作者由此联想到利用模糊平价法进行风险值的计算。因为,模糊评价法是对受多个因素影响的事物做出客观,全面的评价。
1.1 资产价值
此时的资产价值不仅仅为自身的价值,而是它在信息系统中的价值,与资产的机密性、完整性和可用性有关。具体计算过程如下:对于现有信息资产A,评判小组人员分别对每个资产对信息机密性,完整性和可用性的影响打分,得到考核集的隶属度:
2 风险评估模型的应用
2.1 资产价值
3 结论
本文是在信息安全风险评估理论基础上,提出了基于模糊评价法的评估模型,并将该模型付诸实践,取的了良好评估效果。不同于矩阵式的定性分析方法,基于模糊评价法的评估模型更加客观,科学,容易操作。另外,整个评估过程都是使用模糊评价法,保证了评估的一致性,完整性。虽然,本文是针对的EOMS流程管理平台系统进行信息安全风险评估的,但是不代表该评估模型只是适用于这种流程系统,由于该评估模型无论从评估流程到风险计算方法都是建立的通用的理论基础上,因此,该评估模型同样适用于其他的信息系统。
参考文献
[1] Hutt,Arthur E,Bosworth,“Computer Security Handbook [M]”.New York:John Wiley & Sons,Inc,1995.
三维结构化企业安全管理模型 篇4
鉴于此, 笔者结合10 余年安全领域从业过程的感悟, 研究建立了三维结构化安全管理模型, 以期能够全面展示企业安全管理从理论到落地的过程。
模型简介
三维结构化安全管理模型, 顾名思义, 是由3 个维度构成的管理框架。其中, 维度一是专业技术维度, 维度二是管理维度, 维度三是技能维度, 3 个维度纵横交织, 共同构成了立体式管理模型 (如图1所示) 。
维度一专业技术维度
在这个维度中, 主要探讨的是专业技术知识。其中不仅包括众多的跨领域专业知识, 还包括与之相对应的法律法规、国家 (行业) 标准等 (如表1 所示) 。因为每一类专业知识几乎都有相应的法律法规、国家 (行业) 标准, 对相关的设备、工具、环境、人员操作资质等内容作出的详细规定。所以对于企业来说, 技术维度, 就意味着要总结归纳自身所涉及的专业知识, 以及与之相对应的法律法规、国家 (行业) 标准。同时, 技术维度对于安全从业人员来说, 意味着必须要本着严谨的科学态度, 学习相关的专业知识, 精准了解国家 (行业) 标准, 并纵深发展成为业内专家型人才。
维度二管理维度
在这个维度中探讨的是, 系统化管理安全专项要点的能力。在企业运作过程中, 要实现第一维度的专业技术知识与企业的实际情况接轨, 就必须为企业量身定做可持续的安全管理方案, 而要实现管理方案的可持续性, 就必须要借助于类似职业安全健康管理体系一样的系统化管理思路, 通过众所周知的PDCA循环 (如图2 所示) , 让每个安全专项要点都能够持续改进。
其中最为关键的风险识别、评估、控制等, 目前业已存在诸多成熟的工具, 比如作业安全分析 (JSA) , 安全检查表法 (SCA) , 危险和可操作性研究 (HAZOP) , 事故类型和影响分析 (FMEA) , 故障树分析 (FTA) 等, 企业可以通过这些成熟工具, 对安全专项要点进行风险识别分析和风险等级评定。
简而言之, 在管理维度中, 企业应本着系统化管理的宗旨, 辅以各类成熟的操作工具, 以风险识别、隐患排查作为工作的起点, 通过开展风险控制、培训与监督、应急管理等工作进行持续改进, 完成PDCA循环周期, 从而助推各安全专项要点不断进步, 而安全人员在这个维度中, 将锻炼系统化思维, 发展成为系统管理型人才。
维度三技能维度
在这个维度中, 探讨的主要是推进各安全要素的软实力。就如本文开始所述安全学科属于一门交叉学科, 因此, 对于企业全员, 尤其是安全从业人员来说, 知识的积累非常重要, 知识的应用更加重要。在安全知识的应用过程中, 不可避免会遇到种种阻力, 最典型的就是“一时的生产效率” (短期经济利益) 与安全生产相矛盾的时候, 开展安全生产工作的难度会非常大, 这就更需要安全知识之外的技能进行支持。另外, 安全生产工作在企业落地的过程中, 初期的重点主要在于各类安全专业知识的应用, 而之后将逐步转移到解决“非技术”矛盾、改进员工不安全行为等方面。因此, 对于安全从业人员或各级管理人员来说, 想要做好这些工作, 所需要的更多是一些“非技术”类的软技能。具体来说, 主要包括以下几方面:
第一, 基础的心理学知识。人的任何活动都与心理有关, 对于安全从业人员或各级管理人员来说。学习一些基础的心理学知识, 对于了解生产过程中员工的不安全行为、主动引导人的正确安全理念以及安全行为是必不可少的。例如, 安全从业人员可以应用一些基础的心理学知识对员工产生不安全行为的心理因素进行分析, 并对造成这些因素的原因提出相应的对策, 以从根本上改善员工的不良安全心理状态。
第二, 统计学基本知识。众所周知, 美国安全管理学者海因里希曾基于55 万件机械事故的统计, 得出了著名的“海因里希安全法则 (Heinrich's Law) ”, 即在机械事故中, 重伤或死亡事故、轻伤事故、不安全行为的比例为1 :29 :300。对于企业中的安全从业人员或各级管理人员来说, 也应该学习一些统计学基本知识, 以便通过收集、分析本企业或同行业的相关数据, 来确定安全生产工作的重点。
第三, 法学知识。以《安全生产法》《消防法》《职业病防治法》等法律为核心的安全法律法规体系, 从法律层面约定了企业、企业负责人以及劳动者在安全方面的责任和义务, 为企业日常运作过程奠定了法律的基础。这些都是安全从业人员、各级管理人员, 乃至企业全员都要具备的知识。
第四, 安全行为学。安全行为科学是研究人的安全行为规律与控制的学科, 主要研究对象是个体安全行为、群体安全行为和领导安全行为等方面的理论和控制方法, 是安全从业人员研究和改善员工不安全行为、控制习惯性违章、管理群体性违章的必要武器。
第五, 培训技能。培训技能是安全管理工作的基础, 大量的工作指导书、安全规范 (要求) , 都需要通过培训来实现从纸面到行动的转化。因此, 安全从业人员有必要掌握一定的培训技能。
第六, 沟通技能。与培训技能相比, 沟通技能对于安全从业人员更为重要。上至与管理层沟通安全方针、安全制度、安全预算等, 下至与基层员工沟通安全项目的推进实施、不足项推动整改等, 都需要安全人员具备良好的沟通能力。尤其是在发生安全事故 (事件) 之后, 进行事故调查的过程中, 从沟通中捕捉有价值的信息, 是安全从业人员必不可少的基本素质。
第七, 项目管理技能。项目管理技能也是安全从业人员需要掌握的技能之一。在旧的设备设施改进、新项目启动上马的过程中, 安全从业人员都需要充分参与其中, 以保证在项目推动的同时实现安全目标。
在技能维度中, 安全从业人员或各级管理人员, 需要充分融合多项非安全学科、非技术类的知识, 以形成其在开展安全管理工作中的基本软技能。总体来说, 要以充分了解国家法律法规为前提 (这也是完成维度一专业技术维度的基本前提) , 并根据安全心理学和行为学, 分析不安全行为的形成原因, 探讨可能的解决方法, 然后通过提升培训技能、沟通技能以及项目管理技能, 赢得员工的支持理解, 同时与企业管理层和员工形成良性互动关系, 实现安全理念的宣贯和文化的建立, 从而将各项专业知识及各类风险控制措施真正落实到员工的日常行为中去。
在企业中的应用
笔者所在企业属于传统机械加工企业, 主要产品是大型建筑设备的减速机、风能产品齿轮变速箱等, 生产工艺过程如图3 所示。
下面笔者就以此为例, 按照3 个维度展开, 简单说明三维结构化安全管理模型在企业实践中的应用。
维度一专业技术维度
依据专业技术维度, 笔者所在企业涉及的安全专项问题, 主要包括数十台天车 (最大额定载荷32 t) ;使用锅炉;使用压缩空气;热处理过程使用液氨;数千米长度特种气体管路;使用液化天然气叉车;使用货梯;使用大量油漆、稀料、固化剂;使用大量机械加工设备;喷涂工艺;表面处理工艺;建设有以液氮、液氨、丙烷为主的储罐区;建设有危险化学品库房;以化学品暴露、噪声及粉尘为主的职业伤害和预防问题;手工搬运过程的腰椎保护, 等等。由于与之相对应的法律法规过多, 且前文及下文均有举例, 在此就不一一赘述。
维度二管理维度
依据专业技术维度识别出各类安全专题后, 笔者所在企业针对每一个专题, 都按照管理维度的内容进行了充分展开。下面以危险化学品管理为例, 进行介绍 (如表2所示) 。
维度三技能维度
在推进前面工作的过程中, 往往需要各职能部门互相沟通、协调, 尤其对于安全从业人员来说, 更要充分发挥技能维度中的非安全学科、非技术类知识, 以赢得各相关方的支持, 下面仍以危险化学品管理为例进行介绍 (如表3 所示) 。
安全风险管理模型 篇5
DHGF模型在港口装卸作业安全管理评价中的应用
文中以DHGF模型为基础,以某港口P为案例,建立港口装卸作业安全管理评价模型,并求出评价结果,即港口P装卸作业安全管理等级,并对评价结果进行分析.
作 者:卢新 刘文歌 LU Xin LIU Wen-ge 作者单位:卢新,LU Xin(交通部水运科学研究院,北京,100088)刘文歌,LIU Wen-ge(大连交通大学管理学院,大连,116028)
刊 名:商品储运与养护 英文刊名:STORAGE TRANSPORTATION & PRESERVATION OF COMMODITIES 年,卷(期):2008 30(5) 分类号:X736.1 关键词:港口装卸 安全管理 评价 DHGF模型安全风险管理模型 篇6
摘 要:一卡通作为高校重要的应用系统,每天产生大量的刷卡消费、圈存等金融交易行为,同时面临着各类攻击风险,通过应用IATF的安全模型,从宏观角度对一卡通系统安全体系进行整体设计,按照IATF模型的焦点域、纵深防御、安全强健性等规范,对网络和基础设施、区域边界、计算环境等进行防护,从整体上达到降低被攻击风险的目的。
关键词:IATF;一卡通安全;安全体系设计
中图分类号:TP311.1 文献标志码:A 文章编号:1673-8454(2016)21-0085-05
一、安全体系模型的选取
当前存在多种信息安全体系,主要有以下几类:
(1)P2DR模型是最先发展起来的一个动态安全模型[1]。P2DR模型主要包括安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)四个主要组成部分。
(2)美国国防部提出了信息安全保障体系,即PDR2模型[2],其内容涵盖了涉及安全的各个环节,即 防护(Protection)、检测(Detection)、响应(Response)和恢复(Restore)。
(3)葛方斌提出动态的可适应性安全模型ANSM(Adaptive Network Security Model),即P2DR2模型,是在P2DR和PDR2模型中综合建立起来的,它综合了从核心的“安全策略”到“恢复”的闭环控制动态安全体系模型,全方位地保护了数据信息和网络资源的安全性[3]。
(4)方滨兴所在“一二三四五国家信息安全保障体系”所提到的:积极防御、综合防范等多个原则,完善信息安全等级保护制度;加强信息安全风险评估工作、完善信息安全监控体系建设、高度重视应急处理工作、重视灾备建设[4]。
(5)信息保障技术框架模型(Information Assurance Technical Framework 简称IATF模型),IATF模型由美国国家安全局制定,用以描述信息保障的指导性文件。我国国家973“信息与网络安全体系研究”课题组于2002年将IATF3.0版首次引入国内,IATF对我国信息安全工作和信息安全保障体系建设起着重要的指导和参考作用[5]。
2002年9月出版了IATF3.1版,扩展了“纵深防御”概念,强调信息保障战略的重要性,补充了语音安全的内容。由于信息技术快速发展,新问题不断涌现,IATF深度和广度也处在不断完善之中。
一卡通管理系统之所以选择IATF模型作为信息安全的指导,因为IATF经过了多方验证证明其有效性,另外IATF系统提出的边界防御、纵深防御等思想耳目一新,比较契合一卡通信息安全的安全需求,能够按照规范制定出较为细致的安全技术防范方案。
二、IATF的内容框架
IATF将信息保障划分为四个技术框架焦点域:(1)网络和基础设施;(2)区域边界;(3)计算环境;(4)支撑性基础设施。在每个焦点域中,IATF描述了安全需求和可供选择的技术措施[6]。这四个框架域可以让人理解系统安全的不同重要方面,通过全面剖析安全需求,再制定合理的安全防御机制。
纵深防御(Defense in Depth)是IATF的核心思想之一。即采用多层次、有纵深安全措施来保障系统安全。其中人、技术和操作是三个主要核心因素。系统安全不可能仅靠几种技术或者设备能实现,通过在各层次、各框架焦点域中实施保障,有利于最大限度降低风险。
此外,IATF高度重视“人”这一要素的重要性,技术是安全手段和基础,而管理是安全的灵魂,在重视安全技术的同时,也须加强安全管理。
IATF提出的信息安全原则,对指导建立信息安全体系具有重要意义:
1.保护基础设施、计算环境、区域边界等重要位置
仅仅在信息重要部位设置保护是不够的,系统的整体性决定了任何一个漏洞都有可能招致严重的后果,所以在系统各位置尽可能设置有防御,才能有效降低风险。
2.分层防御
即纵向防御,是纵深防御思想的一个具体实现。分层防御在攻击者和攻击目标之间部署有多层防御,每层防御都为攻击者设置了屏障。分层防御还包括保护、检测、反击措施,用于定位攻击者并采取相应的反击措施,这些手段使得攻击者权衡可能攻击多带来的代价。
3.安全强健性
信息对不同组织具有不同的价值,信息被破坏、被窃取影响后果不同。有必要对信息相关安全组件具备健壮性,健壮性越高成本也高,需要在设计安全体系时,考虑好信息价值和保护成本关系问题。
三、IATF安全模型在一卡通系统中的应用
虽然IATF是在军事需求的推动下由NSA组织开发,但如今的IATF已经可以广泛应用于各行业的信息安全工作,它所包含的内容和思想可以给信息安全工作提供指导和启示作用。
围绕IATF的核心思想,展开一卡通信息安全框架设计工作。一卡通应用功能庞杂,并与中国银行、交通银行及南京市民卡公司存在圈存等合作关系,同时与校园网等存在数据交换,根据一卡通业务现状设计出关系结构如图1所示。
1.四个技术框架焦点域
IATF所定义的四个技术框架焦点域,包含四个方面:网络和基础设施、区域边界、计算环境和支撑性基础设施。一卡通系统环境较为复杂,涉及焦点域内容较多,通过梳理可以明确需要重点防范的区域,以及系统可能存在的薄弱点。一卡通的相关焦点域情况总结如下:
(1)焦点域1:网络和基础设施。涉及有一卡通专网、校园网;银行专线;市民卡专线;数据库 Oracle RAC;对于基础设施的管理;一卡通相关应用。
(2)焦点域2:区域边界。包括:
1)一卡通专网边界:与校园网的边界、与市民卡、与银行之间的边界;
2)一卡通校园网DMZ区边界:与校内外边界;
3)校园网DMZ区内部边界划分;
4)一卡通专网内部边界。
(3)焦点域3:计算环境。包括:
1)服务器类;
2)一卡通相关应用软件;
3)OS类;
4)Web服务;
5)目录服务;
6)打印服务;
7)电子业务;
8)数据库访问。
(4)焦点域4:支撑性基础设施。包括:
1)密钥管理基础设施 KMI;
2)检测与响应: 设备检测与服务监控平台。
2.纵深防御
纵深防御保护网络和基础设施、区域边界、计算环境等多个重要位置。并且按照系统层次性对每层都定义了防范规范和策略,把分散的局部安全策略进行整体规划,是IATF安全规范的核心组成部分。
(1)网络和基础设施防护
一卡通专网和校园网物理设备的保护:1)校园网和一卡通专网属于三层的网络架构,核心层和汇聚层都部署在校园网络核心交换机房,有充分的安全管理机制和防护保障设备,如动力监控系统,设备监控系统,视频监控系统等。2)对于接入层交换机的控制,接入到校园网或者一卡通专网都有专门的授权保护体系,防止非法的设备接入到网络体系中来。
数据库的防护:数据库采用了Oracle RAC机制,双机能一定程度上提升系统的服务可靠性; 基于AIX平台的权限管理和Oracle的权限管理体系, 包括表空间管理、日志管理、端口管理等。
存储设备的防护:加密和认证是安全存储的基础, 首先通过接入管理,对数据的读写访问权限进行认证;其次,对敏感关键数据进行加密;在具体入口管理上有控制器管理,业务通讯管理。数据是信息系统的核心资产,存储系统数据保护的重要防线;随着存储系统向着网络化和分布式的方向发展,并被特定服务器共享,使存储系统存在受到攻击的可能性大大增加。存储安全变得至关重要,安全存储主要包括存储安全技术、重复数据删除技术、数据备份及灾难恢复技术等[7]。
存储控制器管理:控制器是存储设备的重要设备,存储控制器具有逻辑构成有I/O处理器、硬盘接口控制器、内外连接接口等安全模块。存储控制器软件实现如下三个重要功能:传送I/O操作进/出磁盘、管理和控制磁盘集合(阵列)、使用校验值恢复丢失的数据和为数据冗余计算校验值[8]。存储控制器设定业务数据访问的通道,管理目标磁盘及LUN,设定对应关系,对访问的源地址/MAC进行控制。
存储设备的数据加密功能。如EMCVNX 静态数据加密功能,对敏感信息进行控制,防止未授权数据访问事故。VNX静态数据加密用保护写入磁盘的数据,并防止非法拆卸硬盘中获取数据。VNX静态数据加密基于控制器的加密技术,支持常见各类型的硬盘[9]。
(2)区域边界防护
一卡通系统基于对外部环境不信任原则进行设计,通过梳理区域边界关系,并进行边界防护策略的设计,是一卡通安全的重要环节,整体边界防护如图2所示。
1)一卡通专网边界:与校园网的边界,一卡通专网与市民卡,与银行之间的边界。配备有防火墙进行一卡通专网和校园网的逻辑隔离。同时配备有网闸设备进行一卡通专网和校园网的硬件隔离。
2)一卡通校园网DMZ区边界:定义一卡通专网去与校内外边界关系。
(3)计算环境防护
计算环境包含种类很多,重点围绕下面几项展开说明:
1)服务器类防护:对IBM P650小型机、刀片服务器等服务器启用自带安全模块,合理配置安全策略,防范对服务器硬件的攻击。
2)OS类防护:Windows Server系列,Aix,Linux,通过合理授权,启用安全策略和审计功能防范对于操作系统的攻击。
3)一卡通相关应用软件防护:采取严格的授权体系,同时结合防火墙等防范对一卡通结算平台,短信平台等应用层的攻击。
4)Web服务防护:一卡通Web提供各类查询类服务,由于直接暴露在校园网上,通过最小开放原则,并启用Web防火墙抵御常见的攻击行为。
5)数据交换服务防护:与数据中心、银行、市民卡之间的数据交换采用专线连接,并用防火墙进行业务隔离;与校园网数据中心的数据交换采用通用数据交换接口类服务等,并启用授权可信IP接入访问等原则。并尽可能采取数据上传下发数据管道分离,防范不当获取数据。
(4)分层防御:对于外部攻击和入侵,具有鲜明的层次性,由外而内,可分为Internet攻击、校园攻击、一卡通专网攻击。
1)来自于Internet攻击: 由于一卡通只对校内开放服务,关闭所有对外网的入口。
2)来自于校园网攻击: 设置防火墙,开放制定的80端口等服务;并设置Web防火墙,防护常见的服务端口;设置网闸从逻辑上隔离校园网与一卡通专网,网闸业务控制设计如图3所示。一卡通专网内数据通过网闸单向传到数据交换中心。
3)一卡通专网的防护: 由于一卡通内网在校园内铺设广,为防止恶意物理介入一卡通专网,内部划分了多个Vlan,不同Vlan之间不能进行相互通讯,涉及相互的通讯通过指定安全策略来实现。
Vlan类划分为3大类。多媒体机类:只能访问中间层应用对应的Ip地址,DCOM应用;商务网关类:只能访问中间层应用的对应的Ip地址,DCOM应用。商务网关之间不直接进行数据通讯;管理机类:只能访问中间层应用对应的IP地址,DCOM应用。
DCOM服务器具有服务之间的负载均衡,及业务自动接管服务。
配合对于终端设备的认证管理,实现了对于非法设备接入进行了认证,拒绝服务,即便欺骗了认证,也只能在指定的区域访问不能介入其他的Vlan区域,更不能与核心数据库发生直接关联,保障了账务和交易的安全。
4)一卡通与银行/市民卡服务器的安全防护:在一卡通核心服务器不与市民卡及银行直接通讯,中间采用一卡通前置服务器与之通讯,并且在中间设置有防火墙,对制定端口和源IP,及目标IP进行相关策略限制。关闭所有其他无关服务。由于银行和和市民卡前置机本身具有相当的安全考虑,总体评估一卡通与之对接安全型较高,银行专网边界设计如图4所示。
3.安全强健性
一卡通信息涉及用户的个人消费行为,消费能力等信息,某种程度上涉及到个人隐私,在利益驱动下,出现针对敏感数据的非法窃取行为,甚至篡改数据方式变相盗取现金、直接导致一卡通系统收支亏损。另外,数据中心承载大量重要业务数据和用户个人信息,新型网络威胁的技术复杂性和隐蔽性越来越高,数据泄露危害范围不断扩大[10]。
一卡通的安全的健壮性。IATF为安全机制的强度提出三个强健度等级(SML),并对信息价值分为5个等级,威胁环境按强弱分为7个等级,并以矩阵表的形式列出了35种情况下可选择的强健度等级。可根据其信息价值、面临的威胁环境、需要的安保强健度等级进行选择。
一卡通针对用户的个人信息,消费信息,圈存信息作为保护的内容,进行针对性的防护,分三个层次:
(1)服务器难攻破
通过最小化权限原则,对防火墙设置,Web防火墙,服务器安全设置,OS安全设置。使得对外公布的服务接口小,并且对访问源进行技术控制,以减少受攻击的可能性;同时利用防火墙、Web防火墙对典型的攻击行为进行拦截。通过服务器本身设计登录和访问控制策略,进一步提高服务器的安全性,达到攻不破的效果。
(2)数据难窃取
1)防止远程下载数据库文件。避免将数据库文件直接放到了Web目录下,而Web目录是没有权限控制的,黑客会利用扫描工具很容易被找到,从而被黑客下载到本地。
2)防止利用Web应用漏洞拖库。各种Web应用本身存在问题,黑客们对其进行深入的分析和研究,当高危的零日漏洞发现时,这些Web应用就会遭到拖库的危险。
3)防止利用Web服务器(Apache,IIS,Tomcat等)漏洞拖库。Web安全实际上是Web应用和Web服务器安全的结合体;而Web服务器的安全则是由Web容器和系统安全两部分组成,系统安全通常会通过外加防火墙和屏蔽对外服务端口进行处理,但Web容器却是必须对外开发,因此如果Web容器爆出漏洞的时候,网站也会遭到拖库的危险。
4)规范数据库Schema的权限设置,合理设计表空间管理,对于防止数据窃取也非常重要。
(3)敏感数据难打开
对敏感数据进行加密,由于进行硬件和软件层面的数据加密,即便获取数据也无法打开。又分为卡数据加密、Pos机读卡器加密、交易数据传输加密、数据库敏感信息加密。
(4)业务数据难篡改
对于业务层面篡改数据保护(不同于容灾),又称作“业务数据保护”。传统数据备份方法无法解决非法的删改数据问题。通过CDP(Continuous Data Protection)数据安全保护技术来实现。CDP是一种连续时间点的数据保护技术,能在故障瞬间完成任意时间点的数据故障恢复,达到业务系统的快速连续运行的作用,具体CDP数据保护功能如图5所示。
为了应对数据纂改而未被及时发现的情况,采取每天进行数据备份并进行历史存档的办法,并保存6个月以上,通过脚本自动备份方式实现。
以上形成立体的数据保护方案,使得攻击者难度太大而放弃,或者时间精力等代价太大而放弃。
四、小结
目前一卡通系统在实际运行中面临各种风险,通过引入IATF安全模型,梳理出需要保护的资源及防范薄弱点,明确需要重点防范的焦点区域。通过应用纵深防御技术手段、合理制定安全强健性可以较好地抵御各类网络层面、应用层面的攻击;通过各种技术手段监控、较好地防范了数据泄露与篡改行为[11]。从实践效果来看,较好地保证了一卡通核心应用的信息安全和稳定运行。
另外,IATF提供了较为完备信息安全评估与防范的技术规范,整个规范涉及面较为广泛,接下来还需要进一步研究IATF模型并应用于一卡通安全的指导工作,以更好地提升一卡通系统的安全性。
参考文献:
[1]孟学军,石岗.基于P2DR的网络安全体系结构[J].计算机工程,2005(4).
[2]张建东,陈金鹰,朱军.PDRR 网络安全模型[J].四川省通信学会二零零四年学术年会论文集(2),2004.
[3]Zhaoyang Qu,Jia Yan. The Design of the Network Security Model of Active Defense[J]. Wireless Communications,Networking and Mobile Computing.2008.10.
[4]http://www.miit.gov.cn/n11293472/n11295344/n11297007/12425553.html.
[5]赵战生.美国信息保障技术框架——IATF简介(一)[J].信息网络安全,2003(4).
[6]IATF3.1中文版(IATF Release 3.1)[S].2003(9):52.
[7]http://baike.baidu.com/link?url=7W4lGgowOfl-ZzzoibFSjKtBrBwZNS6E98tKwWv3Xys28ZhDNCZIyz-9AFkjV17b0wr1-Exjd-2cjEhnB_N4BwSa.
[8]http://tech.watchstor.com/storage-systems-114257.htm.
[9]http://storage.it168.com/a2014/0504/1619/000001619413.shtm.
[10]http://tech.xinmin.cn/2015/06/25/27958435.html.
[11]http://tech.sina.com.cn/t/2014-06-27/10469463198.shtml.
安全风险管理模型 篇7
随着中国经济的快速发展, 民航客货运输量急剧增加, 新建、改建、扩建机场规模的迅速扩大[1], 机场面临的安全风险也越来越大。民航局正在全面推广机场安全管理体系 (SMS) , 也出台了相应的咨询公告[2]。但各机场在建设SMS的过程中, 对如何运用有效的安全风险管理工具, 在机场日常安全运行管理中, 识别危险源和风险分析。
目前, 安全风险分析方法至少有几十种。一般的分析方法只是从定性定量的角度对危险源进行分析[3], 而Bowtie模型 (蝴蝶结模型, 见图1) 把安全风险分析的重点集中在风险控制和管理系统之间的联系上。因此, 它不仅能定性定量地分析安全风险, 而且能够真正地管理安全风险。它可以帮助安全管理者系统地、全面地分析安全风险。
根据加拿大运输部的一项研究, 一个机场的交通量增加20%将使跑道侵入可能性增大140%[4]。跑道侵入越来越成为影响跑道安全的最大也是最频繁的不安全事件[5]。跑道侵入在国际上已被认为是在机场发生的主要不安全事件类别之一[6]。本文以机场原因导致的跑道侵入为例, 探讨如何运用Bowtie模型分析机场安全风险。
2 Bowtie模型在跑道侵入中的应用
跑道侵入, 是指在机场发生的任何航空器、车辆或人员错误进入指定用于航空器着陆和起飞的地面保护区的情况[7], 保护区还包括航行道位于适用的跑道等待位置和实际跑道之间的部分[8]。
2.1 Bowtie模型的事故原因分析
2.1.1 事故原因分析
在不考虑飞机和空地通讯设备存在故障, 飞行员和管制员存在失误的情况下, 利用事故树, 详细分析车辆、人员跑道侵入的原因, 如图2所示。
通过编制成功树, 求成功树的最小割集, 便得到原故障树的最小径集。
这样就得到成功树中的3个最小割集, 即故障树的3个最小径集:
将成功树最后化简的结果转化为故障树结构, 则表达式为:
2.1.2 结构重要度
可用下面的近似判别式计算结构重要度:
undefined
式中:I (o) 为基本事件Xi结构重要度系数的近似判别式;
Xi∈Kj为基本事件Xi属于Kj最小割 (径) 集;
ni为基本事件Xi所在最小割 (径) 集中包含的基本事件的个数。求得:
undefined
根据比较原则和计算结果, 得出各基本事件的结构重要度排序为:
结构重要度分析的结果表明, 在发生车辆人员跑道侵入事件中, 天气原因、标识牌放置不当、使用非标准用语、语言水平差、通讯阻塞存在问题优先于其它因素。利用事故树识别出危险接近的原因, 按照其性质分类, 主要包括:安全政策:X5, X6, X10;安全目标:X4, X5, X6, X10;不安全事件调查X2;组织机构及职责:X4, X5, X6, X8, X10, X11, X13;文件管理:X2, X9;安全教育与培训:X2, X5, X6, X7, X8, X11, X13;安全信息管理:X4, X9;风险管理:X2, X4, X5, X6, X7, X8, X9, X10;安全监督:X2, X4, X10;其它原因:X1, X3, X12。根据结构重要度, 简化Bowtie图。
2.2 Bowtie模型的事故后果预测
2.2.1 事故后果分析
下面通过事件树分析来确定危险接近所造成的各种后果以及其风险等级, 见图3。
对于管制员和机场工作人员预测人员对异常状态反应失误的概率, 本文采用认知可靠性模型 (HCR) , 如下:
undefined
式中:t为可供选择、执行恰当行为的时间;T0.5为选择、执行恰当行为必要时间的平均值;A、B、C为与人员行为层次有关的系数, 相关系数见表1[9]。
可供选择、执行恰当行为的时间可以通过模拟试验和分析得到;选择、执行恰当行为必要时间的平均值T0.5可以按下式计算:
undefined
式中:T0.5为标准状态下选择、执行恰当行为必要时间平均值;k1为操作者能力系数;k2为操作者紧张度系数;k3为人机匹配情况系数。可以查表2获得。
有关资料表明经过大量统计数据后表明, 管制员视线由窗外→窗内仪表区→窗外, 需要2.35s的反应时间, 具体细节见表3。
另外, 据国外资料显示, 管制员经过判断, 采取最佳方案, 指挥肌肉动作, 直至切换通话频率, 这个过程大约需要2~5s完成, 反应长短取决于管制员的水平高低, 水平最高的至少需要2~3s完成, 水平低最少需要4~5s, 鉴于本例实际情况取4s。针对本实例, 管制员发现跑道有车辆或人员, 而后, 管制员判断、告警, 约为4s左右, 则
undefined
因此, 根据管制员操作特点, 人员的行为层次为规则性, 参考飞行员测试的数据得表3[10], 各系数取值如下:即A=0.601, B=0.6, C=0.9。
表3 从窗外转向仪表再从仪表转向窗外的时间
假定管制员认知能力, 业务熟练程度都为一般, 在未报警管制员较为紧张, 人机匹配良好, 依据表4取值如下:
undefined
假定由于管制员没有及时发现, 已经告警或是解决冲突时间减少, 机场工作人员处于极度紧张状态, k2=0.44, 假定管制员延误解决冲突时间为1s, 其它条件不变, 则
t=21-1=20.6s
undefined
undefined
如果管制员没有告警, 假定在天气良好的情况下, 飞行员自己解决避让, 没有时间与管制员沟通, 处于极度紧张状态, 人机匹配值降到一般, 则
undefined
2.2.2 事故后果预测
本文中采用的ICAO《SMM》的严重性和可能性表, 确定风险评估矩阵, 如表4所示。
利用事件树分析后果为跑道侵入, 飞机复飞, 航空器与地面设备相撞, 考虑到每种后果的概率, 依据表4, 各种后果的风险等级见图3。
根据上述事故树分析的原因和事件树分析的结果, 绘制Bowtie图 (见图4) 。
图4说明由机场原因导致的跑道侵入事件是我们不能接受的。究其原因, 主要是安全政策不落实、安全目标不明确、组织机构职责不清楚、安全教育培训不到位、安全信息不畅通、风险管理不及时、安全监督不力等诸多因素造成。而这些因素正是机场安全管理体系的重要组成部分。
3 结论
(1) 针对跑道侵入的特点, 采用Bowtie模型计算结构重要度和人的可靠性, 得出由机场原因导致跑道侵入的3种可能后果和导致跑道侵入发生的8个关键因素, 反映了跑道侵入的后果严重度和机场组织管理的缺陷。
(2) 机场安全风险分析, Bowtie模型具有有效、迅速、直观、准确等特点, 适合机场风险管理, 为机场安全管理体系的建设提供有力的技术支持。
(3) 通过分析影响跑道侵入的风险管理和组织控制, 可为机场安全管理人员进行跑道管理提供理论依据, 为以后的探讨和研究提供客观可行的思路。
摘要:运用Bowtie模型对隐患、可能的事故原因以及后果进行评判, 分析重点放在风险控制和组织控制的薄弱环节上。利用Bowtie模型, 分析机场安全风险, 以跑道侵入事件为算例进行深入分析, 探讨影响机场安全风险的组织因素。量化影响跑道侵入的结构重要度, 计算不同阶段、不同条件下, 可能导致跑道侵入事件发生的概率。从风险管理和组织安全的角度, 预防跑道侵入事件的发生提供理论依据和实际指导。
关键词:民用机场,Bowtie模型,风险分析,跑道侵入
参考文献
[1]新浪.http://info.yidaba.com/zxzx/zxyw/12582322.shtml[EB/OL].2008:11~21
[2]中国民用航空局机场司.机场安全管理体系建设指南[Z].咨询通告.2008:1~3Airport Department, CAAC.Guildline of Building Airportsafety management system[Z].Advisory Circular:2008:1~3
[3]马平.跑道侵入研究[D].2008:5~6MA Ping.Study on Runway Incursion[D].2008:5~6
[4]Transport Canada.National Civil Aviation Safety Commit-tee Sub-Committee on Runway Incursions, Final Report[R].September14, 2000:7~12
[5]高扬, 李阳.利用ARIMA (自回归移动平均) 模型对跑道侵入事件的分析及预测[J].中国安全科学学报.2008, (11) :25~30GAO Yang, LI Yang.Analysis and Prediction of Runway Incurison Event Base on ARIMA Model.CHINA SAFETY SCIENCE JOURNAL.2008, (11) :25~30
[6]《2009-2013FAA FLIGHTPLAN》.FAA.2008.P14
[7]ICAO.Doc9870AN/463, Manual for Preventing Run-way Incursions[M].First Edition.2006:1~1
[8]ICAO Procedures for Air Navigation Services-Rule of the air and air traffic services (PANS-ATM, Doc4444) .ICAO.1996:20
[9]刘馨忆.Bowtie模型在飞行安全风险分析中的应用研究[D].2009:33~38LIUXin-Yi.Study and Apply Bowtie Model in Safety Risk Analysis[D].2009:33~38
电力企业信息安全风险评估模型研究 篇8
如今,信息技术的安全问题日益突出,信息系统固有的脆弱性和面临的众多威胁,直接影响到企事业单位的经济利益,电力企业也毫不例外。信息安全风险评估是信息安全管理体系的基础,通过风险评估可以识别企业或组织面临的安全风险并确定风险控制的优先等级,从而对安全风险实施有效控制,将安全风险控制在可以接受的范围内。各企事业单位正积极进行系统安全评估并改进安全措施保障信息系统安全。
信息安全评估的基础主要是评估准则、评估方法和评估认证体系。信息系统安全评估方法的优劣直接关系到评估结果。信息安全管理标准ISO17799包含了10个方面安全控制措施来帮助组织识别在运作过程中对信息安全有影响的因素,是目前普遍接受的标准;但是它没有给出具体的评价分析方法和模型,这给实际的安全风险评估带来了困难。因此,有必要引入合适的评估方法来建立信息安全评估模型。从现状来看,目前国内外对信息安全风险量化问题的研究方法可归纳为四类:一是基于概率论的风险量化方法;二是基于专家知识的风险量化方法,如AHP、Delphi法等;三是模糊逻辑法,如模糊综合评判法;四是某些方法的组合,如模糊层次分析法。本文综合运用熵权法和BP神经网络建立模型,熵权法确定评估指标权重,可以规避主观因素的影响,客观性较强。近年来.神经网络的理论研究和应用取得了令人瞩目的进展,人工神经网络具有自适应、自组织与自学习等能力。特别适用于从不精确的、模糊的,甚至相互矛盾的知识环境中做出评价决策,一些作者已将神经网络应用于投资评估、管理信息系统综合评价等领域中取得了较好的结果。
本文采用信息安全管理标准ISO17799作为评价指标体系标准,运用熵权法确定系数权重,并应用BP网络方法,建立评估模型.进行信息安全风险评估。
1 评价指标体系的构建
在一个广泛的范围内对复杂的系统进行全面的风险评估,就需要建立完善的评估指标体系。只有对各项指标有一个明确的认识,才能为有效地实施风险评估奠定坚实的基础。ISO 17799(BS 7799)为目前国际上最知名的安全规范,BS 7799是由英国标准协会British Standards Institution于1995年提出的,在2000年进行了修订改版,并于当年10月提交国际标准组织。国际标准组织于2001年2月正式将该标准转化为国际标准。
ISO 17799(BS 7799)得到世界范围的关注,被认为是主要的信息安全标准。现在已经为英国、澳大利亚、德国、芬兰、印度、日本、中国香港特区以及台湾省等29个国家和地区广泛采用。BS7799广泛涵盖了所有的信息安全议题,如安全方针的制定、安全责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病毒的相关策略等,适用于各种产业与组织。许多国家的政府机构、银行、保险公司、电信及电力企业、网络公司及跨国公司均已纷纷采用,并收到了良好的效果和回报。可以预测它的发展前景必将是不可限量。根据这个标准可以结合本单位的实际需求和安全状况,建立适合本单位的指标体系。ISO17799(BS7799)结构体系如表1所列。
2 信息安全风险评估模型的建立
2.1 评价指标熵权系数的确定
熵(Entropy)的概念源于热力学,用来描述离子或分子运动的不可逆现象,之后用来在信息论中度量事物出现的不确定性;现在被许多学者用来作为多元综合评价中权重的确定方法。信息熵权的原理为:对于某项指标,指标值间的差距越大,表明该指标在综合评价中所起的作用越大;如果差异为零,表明该指标在综合评价中不起作用。
2.1.1 评估的可行性
在实际活动中,信息系统安全由几个方面决定,各方面又由指标构成,具有系统特征。因此,本文引入较符合这些要求的熵权法来确定信息安全风险评估的指标权重。
(1)在熵权法中,指标值变异程度较大的指标在信息安全风险评估中所起作用较大;而指标值变异程度小的指标所起作用较小。
(2)熵权法是一种根据指标数据提供的信息量进行赋权的方法,能实现数据处理的全自动化,不需要人为确定各指标的权重系数,避免了其它评价方法的结果可能因人而异的缺点。
(3)熵权法是在定性的打分值和定量的数值中已经含有“权”的全部信息这一假设下应用的,当各指标间具有一定的相关性和数据存在偶然性时,这一假设不成立,因而熵权法并非在任何领域都适用。
在信息安全风险评估中,所设指标相互间是独立的,不存在任何相关性,指标值均是一定时期内的平稳数据,因此,可以认为定性的打分值和定量的数值中已经含有“权”的全部信息,熵权法完全可以用于信息安全风险评估。
2.1.2 评估的过程
设二级评价指标集为F={F1,F2,…,Fn}(n=1,2,……,36),若考虑m个信息系统,按定性和定量相结合的原则得到关于m个信息系统的评价指标矩阵:
则利用熵技术确定各指标的权系数步骤如下:
(1)由标准化决策矩阵R=(rij)m×36求Pij:
(2)求指标fj输出的熵:
其中:K=(lnm)-1,由于0(Ej(1,所以:
由此可见:0(Ej(1 j=1,2,…,36
(3)求偏差度。
dj=1-Ejj=1,2,…36
(4)求各目标的权系数wj,当决策者没有明显偏好时的权系数为:
(5)利用wj求修正权系数λj。
假设决策者对指标fj已有一偏好的权系数λj,则可利用wj进一步修正权重λj,得到较准确地估计:
2.2 BP网络评价模型
神经网络有多种类型,其中BP网络是使用最广泛的一种网络。BP网络通常由输入层、若干隐含层和输出层组成。BP算法属于δ算法,是一种监督式的学习算法,主要思想是对已知的学习样本对,采用梯度搜索技术,以期使网络的实际输出值与期望输出值的均方值误差为最小。
其计算步骤如下:
(1)网络状态初始化:对连接权值wij、vji和阈值θj、γi赋予(-1,+1)间的随机数;
(2)输入第1个学习样本;
(3)计算中间层各神经元的输入uj和输出hj,即:
式中:f采用Sigmoid函数,即:f(u)=1 1+exp(-uj)。
(4)计算输出层各神经元的输入和输出。即:
(5)计算连接到输出层单元t上的权值误差δt:δt=(ct-yt)yt(1-yt);式中ct为样本的期望值。
(6)计算连接到中间层单元j上的权值误差σj:
(7)更新连接权值vjt和阈值γi,即:
vjt(N+1)=vjt(N)+aδihj
γi(N+1)=γi(N)-βδi
(8)更新连接权值wij和阈值θj,即:
wij(N+1)=wij(N)+ασjxi
θj(N+1)=θj(N)-βσj
(9)输入下一个学习样本对,返回(3),直至全部z个模式对训练完毕。
(10)开始新一轮学习训练,直至满足下列条件:
式中:ε为预给精度,Ek为均方值误差,即:
3 算例仿真
电力企业信息安全的风险评估评价指标共36项.每项指标由专家进行考评,运用定性和定量相结合的方法,选取若干企业的信息安全系统作为评价对象,构造决策矩阵,求得各指标的熵权系数,以这36项熵权系数值作为BP网络的输入,BP网络的期望输出只有一项,即信息安全风险评估分值,按分值高低可分为四个安全等级:很高(1~0.85)、较高(0.85~0.7)、一般(O.7~0.6)、较低(0.6~0)。BP神经网络需要一定数量的已知样本来训练,然后才能用训练好的数据进行评价。
本文以10家电力企业信息安全的有关数据进行了仿真,1-6序列号的企业作为训练样本集,7-8序列号的企业作为测试样本集,算法用Matlab语言实现。输入层取36个界电,网络隐含层节点数选为73,去1个节点,输出层权值调整参数,阈值调整参数,学习精度。网络经1 000次训练,收敛于所要求的误差,输出安全等级与期望输出基本相同,输出结果如表2。
根据训练样本和测试样本值,本文以熵权法为基础,所构建的BP神经网络模型,可以用于信息安全风险评估,误判个数为0,误判率为0.00%,评价结果是令人满意的。
摘要:以信息安全管理标准ISO17799的规定为基础构建了电力企业信息安全风险评估指标体系,运用熵权法确定评价指标权重,并以此作为BP神经网络输入的初始权重,提出了BP神经网络信息安全风险评估模型,仿真结果显示,评价结果是令人满意的。
关键词:信息安全,风险评估,熵权法,BP神经网络
参考文献
①CMS(Centers for Mediceare & Medicaid Services).CMS Information Security Risk Assessment Methodology.2002-09-12.
②Dutta S,Shekhar S.Bond rating:a non-conservative application of neural networks[J].Proc IEEE Int Cont on Neural Networks,1988;(2):443~450.
③KERMANI BG,SCHIFFMANB SS,NAGLE HT.Performance of the.Levenberg—Marquardt neural network training method in electronic nose applications[J].Sensors and Actuators,2005,(1):1~10.
④韩权印、张玉清、聂晓伟:《BS7799风险评估的评估方法设计》[J];《计算机工程》2006:32(2):140~143。
⑤卢金秋、叶枫:《基于BP神经网络的海关企业风险评估研究与应用》[J];《计算机应用》2005(25):334~338。
⑥胡伟、李铁克、崔健双:《基于模糊层次分析法的信息安全风险评估》[J];《网络安全技术与应用》2005(6)32~35。
⑦张新红、郑丕谔:《基于神经网络的管理信息系统综合评价方法》[J];《系统工程学报》2002:l7(5):445~450。
⑧钱刚、达庆利:《基于系统安全工程能力成熟模型的信息系统风险评估》[J];《管理工程学报》2001.15(4):58~60。
⑨张勇、张莉、张德栋等:《神经网络在企业信用评估中的应用研究》[J];《计算机时代》2004,(4):22~23。
基于分布式管理的安全组件模型研究 篇9
随着信息安全技术的发展,来源于不同的信息安全产品厂商,类别多样的信息安全产品并存于同一个系统中。管理者一方面要面对不断增加或变更的安全产品,另一方面则要确保系统的安全风险达到组织业务开展的要求。因此,信息系统的管理者应该对信息系统中的安全产品进行统一的管理。通过统一的管理,可以维护信息系统的安全防护资源,有机地协同不同厂商的各种信息安全产品,构建一致的信息系统安全防护体系,形成一体的安全防护能力,有效确保目标信息系统的安全防护需求。分布式安全组件管理模型是为了满足以上需求而提出的。模型以组件分类管理为基础,把安全组件分成了功能相互独立的七大类,包括了所有的安全组件产品。每一大类又细分出若干子类,子类位于模型的第二层,子类继承或覆盖大类的功能。模型的第三层为具体的安全组件产品。每个产品归属于一个子类,继承或覆盖子类的功能。该模型还考虑了系统安全性评估的需要,给组件添加了完整性,可用性,保密性参数,用于扩展评估功能。
1 关键术语解释
1.1 信息系统
信息系统是一个对信息进行采集、处理、存储、传输和利用的系统,它由软件、硬件组成。通常信息系统是分布式的,即采用异种的软硬件(如不同计算机、不同操作系统),地理上分散,利用网络连接。
1.2 安全组件
具有特定信息安全功能的信息安全产品,特定信息安全功能如认证,加密,审计等。一个安全组件指已安装到目标信息系统中的一个实例,即同一信息安全产品在目标信息系统中可能有多个不同的实例。
1.3 安全组件管理
对目标信息系统中安全组件进行的管理行为,其目的是有机协同各种安全组件,以有效确保目标系统的安全需求。管理行为包括:安全组件发现,生命周期管理,冲突检测,故障检测,监控和配置,组件协同,组件策略管理等。管理行为可以是由低到高的不同层次上的管理行为。
2 安全组件模型
2.1 模型中组件的分类方法
安全组件可以按功能划分,也可以按完整性需求、保密性需求和可用性需求划分,即CIA标准划分。
2.1.1 按安全组件的功能划分
1)操作系统安全:本类产品提供对计算机信息系统的硬件和软件资源的有效控制,能够为所管理的资源提供相应的安全保护。它们或是以底层操作系统所提供的安全机制为基础构造安全模块,或者完全取代底层操作系统,目的是为建立安全信息系统提供一个可信的安全平台,它又可以细分为安全操作系统和操作系统安全部件。
2)数据库安全:本类产品对数据库系统所管理的数据和资源提供安全保护,它一般采用多种安全机制与操作系统相结合,实现数据库的安全保护,又可以细分为安全数据库系统和数据库系统安全部件。
3)网络安全:本类产品提供访问网络资源或使用网络服务的安全保护,它可以细分为网络安全管理和安全网络系统,网络系统安全部件。
4)计算机病毒防护:本类产品提供对计算机病毒的防护,病毒防护包括单机系统的防护和网络系统的防护。单机系统的防护侧重于防护本地计算机资源,而网络系统的防护侧重于防护网络系统资源。计算机病毒防护产品是通过建立系统保护机制,预防、检测和消除病毒,它又可以细分为单机系统病毒防护和网络系统病毒防护。
5)访问控制:本类产品保证系统的外部用户或内部用户对系统资源的访问以及对敏感信息的访问方式符合组织安全策略,主要包括出入控制和存取控制。
6)加密:本类产品提供数据加密和密钥管理,数据加密产品提供的安全功能主要是对文字、语音图像、图形的加密,密钥管理产品提供对密钥的管理,例如证书授权中心(提供对用户的公开密钥的管理)和密钥恢复。
7)鉴别:本类产品提供身份鉴别和信息鉴别,身份鉴别是提供对信息收发方(包括用户,设备和进程)真实身份的鉴别,信息鉴别是提供对信息的正确性、完整性和不可否认性的鉴别。
2.1.2 按CIA标准划分
信息安全的目标就是要确保信息资产的保密性,完整性和可用性,这三个要素也是安全信息系统评估的主要参数,因此可以把组件划分为:
1)完整性组件:确保信息不被内部人员修改或者篡改或者被意外地修改的组件,不管这些信息是程序还是数据。
2)可用性组件:它能确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
3)保密性组件:通过这些组件完成保密功能,只有授权人员才能够查看信息数据。
2.2 管理模型的数据结构
功能分类方法可以把组件具体的细分,便于按功能查找、管理;CIA标准划分方便开发系统安全性评估。在结合了以上两种分类方法的基础上,以功能分类法为主,完整性、保密性和可用性为属性参数,建立起组件的分层树状结构模型如图1所示。
模型的各个层次对象都包含有一组属性和方法,其中第一和第二层的对象为抽象对象,所以其方法为纯虚函数,并不实现具体的方法;从第三层开始为具体的对象,实现具体的方法。在管理模型中,子节点的方法继承或覆盖父节点派生出更适合自己的具体的操作。由于子节点的方法都继承自父节点,利用这个模型,可以在父节点上对多个子节点进行操作,形成统一的管理调用方法。同时,在模型的每个节点对象中加入了完整性、保密性和可用性参数作为它的属性值,为日后开发安全评估系统留下了接口,也可以给已有的评估系统一个反馈值,形成管理,评估,再管理的良性循环。安全组件管理模型的数据结构如下所示:
3 Xfilter防火墙的实现
实现防火墙的核心技术是封包过滤,常用的方法有TDI和NDIS驱动程序。Winsock 2 SPI是一种新的实现方法,它是一个Dll程序,工作在API和Driver之间,为上层应用程序提供服务。Xfilter防火墙使用Winsock 2 SPI实现,它的一级工作流程如图2所示。
4 结论
该模型便于对安全组件的统一管理,它的主要特点:1)扩展性较好,可以方便的添加新的安全组件并让其接受管理;2)层次性管理,可以在不同的层次对组件进行管理。例如可以一次性的替换所以加密组件的加密算法,这是高层的行为;也可以替换单个加密组件的加密算法,这属于低层的行为;3)便于开发统一的管理界面,对位于同一个层次的安全组件给出了统一的管理界面,方便管理员操作;4)便于开发系统安全评估产品,加入完整性,可用性,保密性参数可以方便的在管理平台上开发安全评估产品。
参考文献
[1]汪跃,沈明玉,吕建勇.基于组件服务器的主动网络安全策略及实现[J].合肥工业大学计算机与信息学院学报,2002.
[2]Robert Orfali,Dan Harkey.Java与CORBA客户/服务器编程[M].北京:电子工业出版社,2004.
[3]戈尔曼,华蓓.计算机安全[M].北京:人民邮电出版社,2002.
[4]朱雁辉,朱雁冰.Windows防火墙与网络封包截获技术[M].北京:电子工业出版社,2002,7.
基于免疫的网络安全风险评估模型 篇10
1 网络安全风险概述
1.1 网络安全的定义
所谓网络安全就是指网络系统的软件、硬件以及系统中的数据受到保护,不会因为恶意的或者偶然的原因而遭到更改、破坏和泄漏,所有网络服务均不中断,系统连续可靠正常地运行。
1.2 网络安全风险检测办法
从目前的发展情况来看,实时检测和静态评估是最常用的两种网络安全风险检测办法。其中实时检测这一办法还正在探索之中,有学者利用状态机模型去描述遭受攻击时系统处在怎样的状态当中,同时根据这种状态来研究评估系统的可靠程度以及还存在哪些漏洞等方面的内容。还有一种是静态评估,主要是指能够通过静态评判遭到破坏的网络的安全漏洞、自身价值以及安全事件发生的频率等方面的问题对网络的风险等级进行一个综合评价。
2 网络安全风险出现的原因
2.1 运行软件出现漏洞
从目前的发展情况来看,每一种操作系统或者软件都会出现漏洞。因此,网络安全问题就无法得到保障,因为所有人的IP地址都是公布于众的,这时就会有人利用这一缺陷来进行攻击。
2.2 计算机中病毒过多
随着科学技术的快速发展,计算机病毒的种类也越来越多。所谓的计算机病毒是一种程序,它会感染所经过的每一个地方,再加上目前网络系统通讯功能越来越厉害,计算机病毒的传播速度变得更快,无形中加大了病毒检测工作的难度。计算机感染病毒主要是由于互联网上的文件传输、硬件设备里固有的病毒程序以及移动硬盘拷贝等方面的内容造成的。
2.3 人为因素的影响
人为因素的影响可以分为有意攻击和无意攻击,无意攻击是指电脑操作员由于设置的口令过于简单以及安全配置不当和网络操作失误等方面的原因所造成的网络安全风险的出现。有意攻击是指攻击者运用各种方式去破坏信息,使其变得支离破碎。还有一种是攻击者能够在对网络工作不产生任何影响的情况下对一些重要机密信息进行窃取,产生十分严重的后果。
3 网络安全风险评估模型框架
在构建有关网络安全风险评估模型的框架时,会用到NREMBI这种理论,该理论是根据抗体指令系统进行工作的,而且此系统中所有免疫细胞的抗体集合基本上可以覆盖整个抗体集合,这样的好处就是记忆细胞集合能够记录目前正在使用的系统所遭受到的所有异常或者带有攻击性的种类[1],在记录工作完成以后,就能实现对监控对象的免疫细胞进行分类,例如我们可以利用免疫细胞中的血亲关系进行分类。利用血亲关系分类的好处就是我们能够对所有已知和未知的异常情况进行自动分类,而且还可以适应不断变化的环境,但是需要注意的是,这种方法一般是在一两个人的操作下来实时反应网络状况的,这样才能够及时根据问题提出解决方案。经过研究我们发现,计算机的安全问题与生物免疫系统平时所遇到的一些问题是有很多相似之处的,最显著的一个特点就是计算机和生物免疫系统都需要在不断变化的环境中保持系统的稳定性。针对这个问题,有的学者提出了否定选择算法,有的学者针对人工免疫系统创造了一种通用的实现架构,而且根据此架构设计了一个计算机免疫系统,这种系统主要是运用仿真免疫细胞对所有网络活动进行监控,尽量避免网络安全问题的发生。
4 免疫系统在网络安全风险评估模型中的应用
4.1 免疫系统在网络安全风险评估实现过程
免疫细胞、器官、免疫活性分子以及免疫组织所构成的复杂系统称为人体免疫系统,它的作用就是能够区分对人体有害以及对人体无害的物质,从而消灭有害物质的系统,也可以称为非自体和自体,消灭有害物质主要是借助分布人全身的各种淋巴细胞实现的,其中淋巴细胞主要分为T细胞和B细胞等。实现的过程可以简述为:当抗原和淋巴细胞二者之间的亲和力超过所规定的数值以后就会使免疫细胞克隆增扩,从而通过释放大量的抗体来捕捉抗原,在获得大量抗原以后,我们会发现抗体的浓度迅速增加,这时免疫系统就会处于一个稳定的状态,可以借助免疫系统的原理开展网络安全工作,主要是将病原体入侵轻度和人体免疫系统抗体浓度变化情况的对应关系作为依据,在基于免疫的情况下来构建网络安全环境下的免疫系统,抗体、自体、抗原以及免疫细胞和非自体等内容相对比较抽象的数学模型构成了网络安全免疫系统[2],根据免疫系统的基本原理,例如免疫细胞的生命周期、免疫监视以及克隆选择等方面的内容来实现数学建模,确保网络安全运行。与此同时,在模型建立的基础上慢慢推算出基于抗体浓度的网络安全风险定量计算模型,构建计算模型的好处就是可以通过这一模型实时计算出网络目前所遭受攻击的强度、数量以及风险指标和种类等内容。
4.2 网络安全风险评估模型构建
由于网络安全系统与人体免疫系统有很多相似之处,由此分析得出了一个基于免疫的网络安全风险动态评估模型。风险计算部分和输入部分构成了该风险评估模型的主体,其中风险计算部分主要是指计算信息安全风险评估结果,而输入部分则指主机脆弱性分析、浓度计算以及攻击危害性分析。在这个模型中,网络攻击强度、浓度变化以及记忆检测器构成一个部分,网络攻击危害性评估构成一个部分,最后还有网络资产脆弱性评估,这三个部分针对的都是主机风险计算,通过计算主机风险来推算网络的整体风险。在该模型中,主要是以抗原和抗体的对应关系作为依据,根据实时的反应系统来推测出网络目前所受到的攻击的强度以及种类,检测出以后,就可以借助粗糙集理论对当前网络系统在遭受攻击后会产生哪些严重的后果进行计算。需要注意的是,攻击所造成的危害以及攻击强度与时间是有很大关系的。除此之外,我们可以通过漏洞扫描来判断主机的脆弱性,而且可以反映出一段时间内主机漏洞情况。在这个模型中,所采用的是层次化分析方法,其中逻辑层主要分为网络层、指标层和主机层,从而能够更加全面地评估信息系统的安全风险值[3]。之所以使用层次化分析方法,主要是因为每个主机的重要性和脆弱性是不同的,而且他们所遭受的网络攻击的强度和种类也是不同的,层次化地分析能够使我们针对不同情况提出相对应的解决方案,以便用最快的速度解决出现的网络问题,保证网络安全运行。
4.3 网络安全风险评估计算
本文讨论的主要是基于粗糙集进行风险评估计算的,粗糙集是一种分析数据的数学理论,它的优势就是能够分析各种不一致、不完整以及不精确的信息,从而发现其中所隐含的知识,并揭示其中潜在的规律。而且非常重要的一点就是它对所有问题不确定性的描述以及处理上相对来说是比较客观的。在所构造的模型中,网络攻击的强度和抗体浓度是成正比的,主要是统计和检测同类攻击的记忆检测器中抗体浓度的大小。网络安全风险评估计算主要是三个方面:第一,网络攻击强度。可以将网络中的正常活动定义为自体集合S,非法活动可以定义为N,网络中的所有行为可以定义为集合U,所以可以得出正常活动与正常活动的交集就是网络中的所有行为。然后再把抗体和抗原定义为二进制字符串,端口号、IP地址、以及MAC地址等所形成的二进制串作为提呈抗原。除此之外,亲和力计算是以距离公式作为基础的,从而测算出抗体浓度的大小,还能够计算在遭受网络攻击时所产生的网络安全风险,对网络攻击所产生的危害进行评估。检测器通过生成初始的检测器集合D,在经过自体耐受过程成熟以后,需要注意的是,耐受过程中如果发现其与任意自体匹配后,检测器将无法使用。但是当检测器自体耐受后,就会进入免疫循环的阶段,同时当匹配次数达到给定值以后,就会发现成熟检测器已经变为记忆检测器,而且还会对目前网络攻击的强度进行控制。第二,有关粗糙集权重计算的问题。粗糙集在权重计算中发挥的作用主要是它能够对指标体系中的指标权重进行计算,还能够构建权重计算的指标信息表。在该项模型中,计算步骤为设定信息表,然后是属性离散化,接着计算指标权重,最后计算出综合权重[4]。其中设定信息表的目的是利用粗糙集需要分析的数据过多,这时就需要找出一种建立数据的方法。属性离散化是指对信息表中的数据进行汇总以后,需要对等待处理的数据进行离散化。一般会用聚类分析的方法将信息表离散化。接下来就是计算指标权重,可以根据粗糙集理论中属性重要程度思想对不同属性的重要程度进行计算。最后是计算综合权重,这项计算是基于指标原始数据评价值的计算,具体做法是可以把指标的原始数据列成一个矩阵,这主要是因为各个指标的单位都有所不同,在将各个指标进行归纳处理以后,就可以得出每个对象的评价值。第三,模型检验工作,检验过程中可以发现随着攻击强度的增加,网络风险也会发生变化,但当第一次攻击完成后会发现攻击强度又下降了,这对于网络环境来说具有非常重要的意义。
5 结束语
综上所述,基于免疫的网络安全风险评估模型是可行的,由于计算机所遇到的安全问题与人体免疫系统有很多相似之处,所以当网络安全风险评估模型出现问题时,可以根据人体免疫系统的原理不断改善风险评估模型,从而确保网络安全运行。
参考文献
[1]纪元,蒋玉明,胡大裟,等.基于免疫的网络安全风险评估模型[J].计算机工程与设计,2011(2).
[2]胡强,刘孙俊.基于免疫的网络风险分布式定量评估模型[J].成都大学学报(自然科学版),2011(9).
[3]黄欢,庄毅,许斌.基于免疫网络的信息安全风险评估模型[J].计算机工程,2008(12).