基于IS027000網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

楊陽(yáng)，張佳鑫，閆雪，黃水清

0 引言

信息技術(shù)在商業(yè)上的廣泛應(yīng)用，使得商業(yè)組織對(duì)信息系統(tǒng)的依賴性增大，信息系統(tǒng)遭到攻擊以及由此引發(fā)的安全事故，會(huì)導(dǎo)致數(shù)據(jù)丟失和服務(wù)中斷，影響企業(yè)正常的業(yè)務(wù)運(yùn)作[1]。網(wǎng)絡(luò)技術(shù)的發(fā)展在加速信息交流與共享的同時(shí)，也加大了網(wǎng)絡(luò)信息安全事故發(fā)生的可能性。對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，可以了解其安全風(fēng)險(xiǎn)，通過(guò)采取適當(dāng)控制措施，從而在源頭上減少信息安全事故的發(fā)生。本文構(gòu)建了一個(gè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估軟件系統(tǒng)，該系統(tǒng)基于ISO/IEC 27000系列標(biāo)準(zhǔn)，對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的信息資產(chǎn)（本文指桌面計(jì)算機(jī)）進(jìn)行風(fēng)險(xiǎn)評(píng)估，得到各資產(chǎn)的風(fēng)險(xiǎn)值、面臨的威脅和存在的薄弱點(diǎn)的詳細(xì)信息，并利用教育模塊為如何實(shí)施控制措施以降低風(fēng)險(xiǎn)提供指導(dǎo)。

1 相關(guān)概念與系統(tǒng)簡(jiǎn)介

1.1 評(píng)估軟件的種類

國(guó)外在風(fēng)險(xiǎn)評(píng)估工具的研究方面起步較早，已知的工具包括COBRA、@RISK、BDSS等，但這些工具多集中應(yīng)用于國(guó)防安全領(lǐng)域，技術(shù)獲取難度大，國(guó)內(nèi)的信息安全測(cè)評(píng)技術(shù)還處于起步階段[2]。評(píng)估軟件呈兩方面的發(fā)展趨勢(shì)：一種是“漏洞掃描型”評(píng)估，利用漏洞掃描工具發(fā)現(xiàn)系統(tǒng)中存在的漏洞，評(píng)估的結(jié)果是生成漏洞報(bào)告并提出修改建議，當(dāng)前絕大多數(shù)安全公司提供的風(fēng)險(xiǎn)評(píng)估軟件便是這種類型；另一種是“政策對(duì)照型”評(píng)估，它吸取現(xiàn)代管理學(xué)的思想，將系統(tǒng)安全看成是管理控制的結(jié)果，管理控制則依靠一系列的法規(guī)、制度和流程來(lái)實(shí)現(xiàn)。通過(guò)發(fā)放調(diào)查問(wèn)卷并分析反饋結(jié)果，驗(yàn)證這些法規(guī)、制度和流程的執(zhí)行情況，評(píng)估的結(jié)果一般給出風(fēng)險(xiǎn)的等級(jí)。

1.2 ISO/IEC 27000系列標(biāo)準(zhǔn)

ISO/IEC 27000系列標(biāo)準(zhǔn)是“風(fēng)險(xiǎn)對(duì)照型”評(píng)估中應(yīng)用較廣泛的對(duì)照標(biāo)準(zhǔn)。它由國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)（IEC）聯(lián)合確認(rèn)發(fā)布，為企業(yè)建立自己的信息安全管理體系（ISMS）提供參考。依據(jù)ISO/IEC 27000系列標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估的核心思想是：信息資產(chǎn)的風(fēng)險(xiǎn)值主要由資產(chǎn)價(jià)值、漏洞值以及薄弱點(diǎn)值3因素決定，評(píng)估過(guò)程首先由信息資產(chǎn)評(píng)估、漏洞評(píng)估和薄弱點(diǎn)評(píng)估確定資產(chǎn)價(jià)值、資產(chǎn)漏洞值和資產(chǎn)薄弱點(diǎn)值，綜合考慮已有控制措施等因素后計(jì)算得出風(fēng)險(xiǎn)值。

1.3 系統(tǒng)簡(jiǎn)介

本系統(tǒng)覆蓋了依據(jù)ISO/IEC 27000系列標(biāo)準(zhǔn)進(jìn)行評(píng)估的全過(guò)程，將“漏洞掃描型”評(píng)估和“政策對(duì)照型”評(píng)估結(jié)合在一起，既有漏洞掃描過(guò)程，又有基于ISO27000的評(píng)估功能。在不改變現(xiàn)有技術(shù)條件的前提下，以完備有效的信息安全管理體系解決內(nèi)部網(wǎng)絡(luò)信息安全問(wèn)題，使內(nèi)部網(wǎng)絡(luò)信息安全管理和國(guó)際信息安全管理標(biāo)準(zhǔn)和規(guī)范接軌。

該系統(tǒng)可為管理者和企業(yè)員工提供信息資產(chǎn)（主要指桌面計(jì)算機(jī)）的安全信息，如：感染病毒的情況、已打和未打補(bǔ)丁情況、當(dāng)日和歷史累計(jì)威脅值和薄弱點(diǎn)值，并依據(jù)ISO/IEC 27000給出信息資產(chǎn)的風(fēng)險(xiǎn)值，在教育模塊中給出解決方案，協(xié)助企業(yè)降低風(fēng)險(xiǎn)。

2 系統(tǒng)體系結(jié)構(gòu)與開發(fā)平臺(tái)

2.1 體系結(jié)構(gòu)

該評(píng)估軟件的體系結(jié)構(gòu)可劃分為9個(gè)模塊，分別為：原始數(shù)據(jù)采集模塊、通訊模塊、原始數(shù)據(jù)接收模塊、漏洞檢測(cè)與評(píng)估模塊、風(fēng)險(xiǎn)值計(jì)算模塊、事件處理模塊、報(bào)告生成模塊、WEB模塊、教育模塊。其體系結(jié)構(gòu)如圖1所示：

(1) 原始數(shù)據(jù)采集模塊

該模塊依托一些殺毒軟件的管理平臺(tái)（如Symantec的SAV的Reporting Service，Trend Micro的Control Manager等），對(duì)這些管理平臺(tái)的原始數(shù)據(jù)（包括客戶端產(chǎn)品的信息，以及病毒日志、事件日志、漏洞日志等）進(jìn)行增量采集，并通過(guò)HTTP協(xié)議傳送到系統(tǒng)的服務(wù)器端。

(2) 通訊模塊

該模塊的主要作用是將采集到的原始數(shù)據(jù)，通過(guò)HTTP協(xié)議傳輸?shù)椒?wù)器端，供服務(wù)器進(jìn)行監(jiān)控和分析。

(3) 原始數(shù)據(jù)接收模塊

該模塊將采集代理發(fā)送過(guò)來(lái)的原始數(shù)據(jù)進(jìn)行預(yù)處理，然后插入到數(shù)據(jù)庫(kù)相應(yīng)的表中。

(4) 漏洞檢測(cè)與評(píng)估模塊

該模塊對(duì)采集代理傳上來(lái)的原始數(shù)據(jù)，進(jìn)行挖掘（包括周期性的統(tǒng)計(jì)或者實(shí)時(shí)的監(jiān)控），并根據(jù)用戶設(shè)定的閾值觸發(fā)一個(gè)安全管理事件。檢測(cè)對(duì)象除了調(diào)研獲得的關(guān)鍵性能指標(biāo)外，還包括系統(tǒng)漏洞及主要的安全后門。這些漏洞大多數(shù)源自用戶計(jì)算機(jī)的系統(tǒng)軟件，如操作系統(tǒng)。針對(duì)這些漏洞，用戶計(jì)算機(jī)的系統(tǒng)軟件開發(fā)商，都會(huì)給出一些補(bǔ)丁來(lái)解決問(wèn)題。因此，本系統(tǒng)會(huì)定期查找微軟的補(bǔ)丁數(shù)據(jù)庫(kù)，當(dāng)發(fā)現(xiàn)管理的客戶端沒(méi)有打最新的微軟補(bǔ)丁時(shí)，則認(rèn)為該系統(tǒng)存在安全隱患，從而觸發(fā)事件。

(5) 風(fēng)險(xiǎn)值計(jì)算模塊

該模塊依據(jù)ISO/IEC 27000的評(píng)估思想，按照預(yù)先設(shè)定的風(fēng)險(xiǎn)計(jì)算模型，計(jì)算得出信息資產(chǎn)的當(dāng)日風(fēng)險(xiǎn)與歷史累計(jì)風(fēng)險(xiǎn)。

當(dāng)風(fēng)險(xiǎn)評(píng)估模塊挖掘出風(fēng)險(xiǎn)或者潛在風(fēng)險(xiǎn)后，必須有一套較為完善的通知機(jī)制提醒相關(guān)的管理人員，并將知識(shí)庫(kù)中相關(guān)的知識(shí)附在通知中，便于管理員找到解決風(fēng)險(xiǎn)的方案。

(7) 報(bào)告生成模塊

報(bào)告生成模塊根據(jù)風(fēng)險(xiǎn)評(píng)估模塊和漏洞檢測(cè)與評(píng)估模塊的結(jié)果生成報(bào)告，報(bào)告包括建議采取的安全措施、解決方案建議、對(duì)系統(tǒng)相關(guān)的各類風(fēng)險(xiǎn)進(jìn)行分析排序、對(duì)風(fēng)險(xiǎn)給系統(tǒng)帶來(lái)的影響分析、風(fēng)險(xiǎn)與潛在影響的聯(lián)系分析。

(8) Web模塊

該模塊是一個(gè)綜合管理模塊，一方面將其他模塊獲得或生成的信息，以既定的方式組織后，展現(xiàn)給管理者；另一方面負(fù)責(zé)客戶、部門、資產(chǎn)等信息的管理和組織。此模塊包括：客戶管理模塊、部門管理模塊、風(fēng)險(xiǎn)視圖總覽模塊、資產(chǎn)管理模塊、顯示補(bǔ)丁庫(kù)信息模塊、補(bǔ)丁管理模塊、防病毒軟件管理模塊、病毒感染管理模塊、密碼管理模塊、權(quán)限管理模塊等。

(9) 教育模塊

該模塊收集并整理網(wǎng)絡(luò)安全、病毒、ISO/IEC 27000的相關(guān)知識(shí)，并將其以多媒體形式展現(xiàn)出來(lái)。

2.2 系統(tǒng)的開發(fā)模式與實(shí)現(xiàn)平臺(tái)

目前軟件系統(tǒng)開發(fā)的模式主要分為兩種：客戶機(jī)/服務(wù)器(C/S)模式和 Web瀏覽器/服務(wù)器(B/S)模式[3]。本系統(tǒng)采用C/S結(jié)構(gòu)與B/S結(jié)構(gòu)相結(jié)合的方式來(lái)實(shí)現(xiàn)。與后臺(tái)風(fēng)險(xiǎn)管理有關(guān)的原始數(shù)據(jù)采集、接收、通信和漏洞檢測(cè)與評(píng)估模塊是基于B/S結(jié)構(gòu)的，其它模塊客戶端則通過(guò)Browser訪問(wèn)Web服務(wù)器以及與之相連的后臺(tái)數(shù)據(jù)庫(kù)。系統(tǒng)采用主流的 J2EE框架 SSH（即 Spring+Struts+Hibernate）進(jìn)行開發(fā)，這是一種三層結(jié)構(gòu)模式的分布式系統(tǒng)，它在TCP/IP的支持下，以HTTP為傳輸協(xié)議。采用該模式具有如下優(yōu)勢(shì)：客戶端不需要安裝軟件，所有的程序和數(shù)據(jù)都放在服務(wù)器端，用戶只需要用IE瀏覽器通過(guò)網(wǎng)絡(luò)正確輸入賬號(hào)和密碼，就可以進(jìn)行信息瀏覽和操作；采用B/S模式的系統(tǒng)容易集成，維護(hù)工作量小，易于升級(jí)，可通過(guò)Internet遠(yuǎn)程訪問(wèn)；能實(shí)現(xiàn)不同的人員從不同的地點(diǎn)以不同的接入方式訪問(wèn)和操作共同的數(shù)據(jù)庫(kù)。數(shù)據(jù)采集模塊則采用C/S結(jié)構(gòu)，利用SWT/JFace進(jìn)行開發(fā)。通過(guò)用戶機(jī)器上裝客戶端軟件，實(shí)現(xiàn)對(duì)用戶機(jī)器上病毒和補(bǔ)丁信息的自動(dòng)檢測(cè)。

系統(tǒng)后臺(tái)操作系統(tǒng)可以采用目前市面流行的 Windows平臺(tái)中的任意一種，編程語(yǔ)言為面向?qū)ο蟮?java語(yǔ)言，數(shù)據(jù)庫(kù)采用 SQL Server2000，數(shù)據(jù)庫(kù)操縱工具則利用Hibernate。Hibernate是一個(gè)O/R mapping框架，對(duì)JDBC進(jìn)行了非常輕量級(jí)的對(duì)象封裝，可以比較輕松地使用對(duì)象編程思維來(lái)操縱數(shù)據(jù)庫(kù)。

3 功能模塊設(shè)計(jì)

評(píng)估系統(tǒng)面向的對(duì)象分為后臺(tái)管理者和普通用戶兩類，根據(jù)不同用戶可設(shè)置相應(yīng)的功能模塊。面向后臺(tái)管理者的功能模塊，可協(xié)助管理者了解部門、員工及資產(chǎn)總體情況，明確風(fēng)險(xiǎn)種類及大小，并以知識(shí)庫(kù)的形式，為如何處置風(fēng)險(xiǎn)提供了一些解決方案。面向員工的功能模塊，展示了本部門目前面臨的威脅和薄弱點(diǎn)情況，幫助員工明確風(fēng)險(xiǎn)。相比而言，該模塊更主要的功能，是協(xié)助上報(bào)本部門的人員及資產(chǎn)信息，以滿足管理者的評(píng)估需要。

3.1 面向后臺(tái)管理者

(1) 用戶信息管理模塊

該模塊可以顯示、修改和刪除所有接受管理的客戶信息。其中可顯示的內(nèi)容有：用戶名稱、用戶權(quán)限開通情況、電子郵件、聯(lián)系電話、所屬部門等，可修改的信息除包括上述基本信息外，還包括用戶的登錄名稱、登錄密碼、密碼提示問(wèn)題、密碼提示問(wèn)題答案、是否開通用戶權(quán)限等。當(dāng)注冊(cè)用戶不是本機(jī)構(gòu)員工時(shí)，可將其從用戶列表刪除。此模塊可以讓風(fēng)險(xiǎn)控制管理者，對(duì)企業(yè)員工的基本信息有所了解，一旦發(fā)生安全問(wèn)題能夠及時(shí)通知相關(guān)責(zé)任人。同時(shí)，此模塊管理用戶的登陸信息，決定用戶是否有權(quán)限訪問(wèn)該評(píng)估系統(tǒng)，當(dāng)出現(xiàn)用戶忘記密碼等情況時(shí)，可利用此模塊解決。

(2) 部門信息管理模塊

該模塊可以顯示、增加、刪除、修改所有部門信息。通過(guò)此模塊，風(fēng)險(xiǎn)控制管理者可以明確該組織的部門設(shè)置情況，有助于從部門的角度分析資產(chǎn)風(fēng)險(xiǎn)的關(guān)系。

該模塊還可以顯示、修改和刪除所有信息資產(chǎn)的信息，包括：資產(chǎn)名稱、操作系統(tǒng)名稱和版本、IP地址、機(jī)器名稱，資產(chǎn)賦值、資產(chǎn)所屬部門、Agent Code。通過(guò)了解資產(chǎn)的種類和特性，可以更有針對(duì)性地控制資產(chǎn)的風(fēng)險(xiǎn)。此外，該模塊的資產(chǎn)賦值，決定了在風(fēng)險(xiǎn)計(jì)算模塊所需的關(guān)鍵參數(shù)資產(chǎn)價(jià)值，對(duì)整個(gè)評(píng)估系統(tǒng)起十分重要的作用。

(4) 風(fēng)險(xiǎn)值顯示模塊

該模塊可以顯示所有資產(chǎn)的當(dāng)日風(fēng)險(xiǎn)值和歷史累計(jì)風(fēng)險(xiǎn)值。它綜合了系統(tǒng)整個(gè)評(píng)估流程中各個(gè)階段的成果，利用計(jì)算模型最終得出風(fēng)險(xiǎn)大小的直觀數(shù)值。當(dāng)日風(fēng)險(xiǎn)值有助于即時(shí)控制信息資產(chǎn)的安全風(fēng)險(xiǎn)，一旦發(fā)現(xiàn)風(fēng)險(xiǎn)值過(guò)高，應(yīng)立即采取措施。歷史累計(jì)風(fēng)險(xiǎn)，值則有助于了解信息資產(chǎn)的歷史風(fēng)險(xiǎn)，如若歷史風(fēng)險(xiǎn)過(guò)高，則應(yīng)查明風(fēng)險(xiǎn)值過(guò)高的原因，在風(fēng)險(xiǎn)管理中加大對(duì)該資產(chǎn)的重視程度。通過(guò)風(fēng)險(xiǎn)排序，可以明確風(fēng)險(xiǎn)管理的優(yōu)先級(jí)。

(5) 風(fēng)險(xiǎn)視圖縱覽模塊

該模塊可顯示信息資產(chǎn)當(dāng)日與歷史累計(jì)感染病毒的數(shù)目、名稱、感染路徑和感染時(shí)間，當(dāng)日和歷史累計(jì)未打補(bǔ)丁的數(shù)目、名稱、簡(jiǎn)單描述及發(fā)布時(shí)間，還可顯示微軟補(bǔ)丁服務(wù)器上最近30天最新發(fā)布的補(bǔ)丁信息。當(dāng)發(fā)現(xiàn)某機(jī)器的風(fēng)險(xiǎn)值過(guò)高或需要控制時(shí)，可從該模塊了解資產(chǎn)威脅和薄弱點(diǎn)的詳細(xì)信息，以便進(jìn)一步采取措施。

(6) 教育模塊

該模塊包括3部分，分別為：網(wǎng)絡(luò)安全知識(shí)庫(kù)、病毒知識(shí)庫(kù)、ISO/IEC 27000知識(shí)庫(kù)，均以多媒體形式展示。信息安全管理僅僅做到發(fā)現(xiàn)風(fēng)險(xiǎn)是不夠的，還需要知道如何控制風(fēng)險(xiǎn)，當(dāng)安全問(wèn)題發(fā)生時(shí)，應(yīng)尋求解決方案將損失降到最低。這3個(gè)知識(shí)庫(kù)即為信息安全控制提供知識(shí)支持，管理者可從中尋求解決方案。

3.2 面向普通用戶

(1) 部門信息修改模塊

在該模塊員工可以更改本部門信息，如登陸密碼，部門負(fù)責(zé)人，登陸標(biāo)志，聯(lián)系方式等，以便管理者準(zhǔn)確了解各部門信息。

(2) 資產(chǎn)信息顯示

可顯示本部門資產(chǎn)的詳細(xì)信息，如：資產(chǎn)名稱、操作系統(tǒng)名稱和版本、IP地址、機(jī)器名稱、資產(chǎn)賦值等，也包括該資產(chǎn)目前安裝的防病毒產(chǎn)品信息，已經(jīng)或還未安裝的補(bǔ)丁信息等。員工可以修改上述信息，也可以增加或刪除資產(chǎn)。通過(guò)瀏覽病毒和補(bǔ)丁情況，還可了解部門資產(chǎn)面臨的威脅和存在的薄弱點(diǎn)。

(3) 風(fēng)險(xiǎn)報(bào)告模塊

在該模塊中員工可以獲取管理者發(fā)出的風(fēng)險(xiǎn)報(bào)告，包括：風(fēng)險(xiǎn)值及控制措施等。根據(jù)管理者給出的指導(dǎo)意見(jiàn)，實(shí)施風(fēng)險(xiǎn)管理。

4 風(fēng)險(xiǎn)計(jì)算方法

目前關(guān)于風(fēng)險(xiǎn)評(píng)估的計(jì)算模型很多，并無(wú)統(tǒng)一定論。根據(jù)ISO27001的風(fēng)險(xiǎn)評(píng)估實(shí)施步驟以及ISO13335-3中，風(fēng)險(xiǎn)分析方法的說(shuō)明，本文采用線性相乘法與定性的相對(duì)等級(jí)法相結(jié)合的方式，確定風(fēng)險(xiǎn)評(píng)估的計(jì)算模型。該系統(tǒng)計(jì)算模型如下：R=f(A,V,T)=Ia*L(Va,T)=Ia*Va*T。其中，R表示風(fēng)險(xiǎn)；A表示資產(chǎn)；V表示薄弱點(diǎn)；T表示威脅；Ia是資產(chǎn)價(jià)值，表示資產(chǎn)的重要程度，即資產(chǎn)在發(fā)生安全事件后對(duì)業(yè)務(wù)的影響；Va表示目前存在的薄弱點(diǎn)，L表示威脅利用資產(chǎn)的薄弱點(diǎn)造成安全事件發(fā)生的可能性。

資產(chǎn)、薄弱點(diǎn)及威脅的賦值采用定性的相對(duì)等級(jí)法予以賦值，資產(chǎn)價(jià)值由業(yè)務(wù)人員直接給出，威脅和薄弱點(diǎn)由系統(tǒng)掃描而得。下面將詳述如何確定3因素值。

資產(chǎn)（指桌面機(jī)器）的價(jià)值，由資產(chǎn)負(fù)責(zé)人（指業(yè)務(wù)員工）參照既定規(guī)則人工賦予，給資產(chǎn)價(jià)值進(jìn)行賦值，除需考慮資產(chǎn)本身的價(jià)值及其對(duì)組織的重要性外，還需考慮資產(chǎn)的完整性、保密性和可用性?？紤]到用戶賦值的直觀與方便，系統(tǒng)不設(shè)置各因素的單獨(dú)賦值，而是給出提示信息，由用戶綜合考慮各特性后，給出一個(gè)關(guān)于資產(chǎn)重要性的最終結(jié)果。具體做法是：系統(tǒng)提供給用戶一個(gè)下拉列表框，將資產(chǎn)的相對(duì)重要程度分為5級(jí)，分別為：很重要、重要、一般、不重要、很不重要，其相對(duì)應(yīng)的資產(chǎn)值分別為5、4、3、2、1。假如某信息資產(chǎn)的相對(duì)重要程度為重要時(shí)，則資產(chǎn)值相應(yīng)賦予4。

(2) 資產(chǎn)威脅值

如果把病毒和其他類型攻擊相比較，從造成損失的排名來(lái)看，病毒在所有安全攻擊中所占比例最高[4]。因此，該評(píng)估系統(tǒng)的資產(chǎn)威脅值，由用戶機(jī)器所感染的病毒的情況決定。當(dāng)殺毒軟件檢測(cè)到病毒后，安裝在客戶機(jī)上病毒監(jiān)測(cè)器，自動(dòng)將病毒日志傳送給服務(wù)器，由于技術(shù)上的限制，本系統(tǒng)忽略了病毒危害的差異性，單純依據(jù)病毒數(shù)量確定威脅的數(shù)值。賦值方式如下：設(shè)客戶機(jī)感染病毒數(shù)量為N，當(dāng)0=4時(shí)，威脅值為5。比如，客戶機(jī)感染病毒數(shù)量為3，則為該資產(chǎn)的威脅賦值為4。

(3) 資產(chǎn)薄弱點(diǎn)值

薄弱點(diǎn)指能夠被威脅利用從而對(duì)資產(chǎn)造成損害的漏洞，薄弱點(diǎn)可能存在于操作系統(tǒng)、應(yīng)用軟件、計(jì)算機(jī)服務(wù)硬件、系統(tǒng)的不合理設(shè)置及用戶的錯(cuò)誤使用，利用這些薄弱點(diǎn)，攻擊者可以進(jìn)入、篡改、關(guān)閉計(jì)算機(jī)系統(tǒng)[5]。解決系統(tǒng)漏洞的最佳方法是為其打補(bǔ)丁，補(bǔ)丁多由系統(tǒng)開發(fā)商發(fā)布[1]。由于技術(shù)上的限制，本系統(tǒng)只考慮操作系統(tǒng)的漏洞，資產(chǎn)薄弱點(diǎn)值，由客戶機(jī)上安裝補(bǔ)丁的情況決定，當(dāng)客戶機(jī)上存在未安裝的補(bǔ)?。ㄎ④浺寻l(fā)布的），則認(rèn)為該客戶機(jī)存在薄弱點(diǎn)。具體做法是在客戶機(jī)上裝一個(gè)補(bǔ)丁監(jiān)控，采集客戶機(jī)上所打的補(bǔ)丁情況，傳送個(gè)服務(wù)器。服務(wù)器端也會(huì)定期從微軟的補(bǔ)丁服務(wù)器下載最新的補(bǔ)丁信息，然后通過(guò)比對(duì)，得到客戶機(jī)未打補(bǔ)丁的情況。該值同樣采用5級(jí)分類法，假設(shè)客戶機(jī)上未安裝的補(bǔ)丁數(shù)目為N，當(dāng)0=4時(shí)，薄弱點(diǎn)值為5。比如，客戶機(jī)未安裝補(bǔ)丁數(shù)目為6，則為該資產(chǎn)的薄弱點(diǎn)值為5。

在計(jì)算風(fēng)險(xiǎn)時(shí)，系統(tǒng)考慮兩種風(fēng)險(xiǎn)值，一是當(dāng)日風(fēng)險(xiǎn)，一是歷史累計(jì)風(fēng)險(xiǎn)。兩種風(fēng)險(xiǎn)計(jì)算原理相同，當(dāng)日風(fēng)險(xiǎn)僅考慮當(dāng)日感染病毒數(shù)及未打補(bǔ)丁數(shù)，歷史累計(jì)風(fēng)險(xiǎn)則考慮以往所有感染的病毒數(shù)及未打補(bǔ)丁數(shù)。

5 結(jié)束語(yǔ)

本文設(shè)計(jì)了一種“漏洞掃描”與“政策對(duì)照”相結(jié)合的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估軟件，建立了一個(gè)比較可靠的風(fēng)險(xiǎn)計(jì)算模型，實(shí)現(xiàn)了對(duì)桌面機(jī)器的自動(dòng)化風(fēng)險(xiǎn)評(píng)估。系統(tǒng)操作簡(jiǎn)單，容易理解?？蓱?yīng)用于企業(yè)日常業(yè)務(wù)工作中，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的實(shí)時(shí)評(píng)估，當(dāng)風(fēng)險(xiǎn)發(fā)生時(shí)能夠及時(shí)發(fā)現(xiàn)從而對(duì)其進(jìn)行控制。系統(tǒng)提供的教育模塊，可以提高員工的信息安全意識(shí)，為實(shí)施風(fēng)險(xiǎn)控制提供參考。當(dāng)企業(yè)進(jìn)行大規(guī)模全面風(fēng)險(xiǎn)評(píng)估時(shí)，該系統(tǒng)可作為輔助工具參與評(píng)估。

該評(píng)估軟件還存在一些有待改進(jìn)的地方，比如，目前風(fēng)險(xiǎn)的計(jì)算模型采用定性分級(jí)法；資產(chǎn)的賦值存在一定程度的主觀性；威脅值僅考慮了病毒的數(shù)量，忽略了病毒危害的差異性；薄弱點(diǎn)值僅考慮了操作系統(tǒng)的漏洞，忽略了其他因素；這些都對(duì)評(píng)估結(jié)果的準(zhǔn)確性帶來(lái)一定影響，因此將評(píng)估軟件的風(fēng)險(xiǎn)計(jì)算模型進(jìn)一步優(yōu)化，是后續(xù)研究的重點(diǎn)。

[1]Rok Bojanc,Borka Jerman-Bla?i?.Towards a standard approach for quantifying an ICT security investment[ J ].Computer standards&Interfaces.2008,30(04):216-222.

[2]齊俊鵬,孫四明,王化鵬.信息安全風(fēng)險(xiǎn)評(píng)估專家系統(tǒng)技術(shù)研究[J].計(jì)算機(jī)仿真,2008,25(09):127-129.

[3]裴小斐,羅驅(qū)波.煤礦超市化物料管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].工況自動(dòng)化,2008，(03):65-67.

[4]Gartner Inc..Gartner says number of identity theft victims has increased more than 50 percent since 2003[R/OL].(2007-3-6).[2009-6-6]. http://www.gartner.com/it/page.jsp?id=501912.

[5]Yeu-Pong Lai,Po-Lun Hsia.Using the vulnerability information of computer systems to improve the network security[J].Computer Communications,2007,30(09):2032-2047.