信息系统安全风险的自动识别和量化方法研究

摘要

我国目前正在加速各领域的信息化建设，在此过程中，信息安全保障的需求日益显现出来。目前大部分组织对信息安全的理解还只停留在技术层面上，认为外部网建立了防火墙能防黑客，内部网能杀病毒就达到安全要求了。但事实上，这些安全设施的投资并没有取得预期的效果，主要原因就是多数组织的安全管理缺少风险管理的思想和必要环节。
　　风险管理包括风险评估、风险消减、结果评价三个过程。风险评估是其中的基础环节，它包括资产识别、威胁和弱点识别、风险的量化等过程，是风险管理中最复杂和难以实现的方法。信息系统安全风险评估就是运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁以及存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险、最大限度地保障网络和信息安全提供科学依据。
　　目前的信息安全风险评估体系中，对评估流程和评估内容都有了比较完善的规范，但在具体的评估方法方面缺少科学的、可操作的工具和方法，因此评估的具体实施过程中仍存在着较多的问题。传统的信息安全风险评估往往是一次性的，一般在项目实施之初进行安全风险的评估，用来指导安全设备的配备。而事实上，信息系统所面临的风险是高度动态化，其动态性和复杂来源于网络环境、人员、资源等各方面因素的动态性和复杂性，因此，把风险评估过程相对人为的静态化是不科学的，一次的评估结果的时效很短，不具备长期的指导意义。另外，信息安全风险的量化模型和方法还很不规范，缺乏系统性和客观性。
　　针对以上不足，本文提出风险的周期性评估模型，在威胁和弱点的识别中采用了机器学习的方法进行自动识别，提出复杂风险量化模型和基于VaR的风险度量方法。本文的主要工作及创新如下:
　　(1)提出信息系统风险的周期性评估模型。一个评估周期包括观察期和评估期。观察期主要完成数据的采集任务；评估期完成资产识别、威胁和弱点识别、复杂风险量化等任务。评估结果作为风险控制和风险消减的依据。
　　(2)利用统计学习理论进行风险的自动识别和分类。根据风险评估指标体系，确定风险分析时需要使用的特征，如:事件类别、发生频率、利用哪些脆弱性、危害程度等等，形成符合要求的数据格式；以评估对象实际环境中的IDS、系统日志以及国际安全机构发布的信息等作为数据源，形成训练样本、验证样本和预测样本等数据集。利用SVM进行风险识别，可以对大量的访问数据实现自动地分类和识别，改善风险评估过程的自动化程度，有效地降低成本。
　　(3)提出复杂风险量化模型，并引入基于VaR的风险度量方法。该风险量化模型考虑到多种风险的组合效应，把复杂的网络安全风险量化为资本价值损失。基于VaR的风险度量方法，通过非常直观的预期的最大损失值来表现风险的大小，使得选择最优的安全设施简化为一个标准的成本效益分析过程，对于信息安全建设具有直接的指导价值。
　　(4)运用实例验证了研究成果的科学性和合理性。我们以某政府门户网站为例，利用SVM对从该系统搜集的数据进行风险的识别和分类研究；利用复杂风险量化模型和VAR方法对风险进行量化评估。

目录

封面

声明

目录

中文摘要

英文摘要

第一章 绪论

1.1 研究背景

1.2 研究的意义

1.3 研究现状

1.4 主要研究工作及创新点

1.5 论文的组织及结构

第二章 信息系统风险周期性评估模型

2.1 信息系统安全风险

2.2 标准的风险评估流程

2.3 IS 风险周期性评估模型

第三章 基于 SVM 的威胁自动识别

3.1 机器学习基本原理

3.2 支持向量机—SVM

3.3 基于 SVM 的风险识别

第四章 基于 VaR 的风险度量方法

4.1 传统的 IS 安全风险评估方法

4.2 复杂风险量化模型

4.3 基于 VaR 的风险度量

第五章 风险识别和量化实例分析

5.1 系统风险的人工评估

5.2 威胁自动识别和风险量化

第六章 总结

参考文献

攻读学位期间发表的学术论著

攻读学位期间参与的项目

致谢