信息安全风险评估的漏洞分析及评估方法改进

摘要

在信息安全保障越来越受业内人士关注的今天,风险评估作为信息安全管理的一个重要环节,对保障企事业单位的基础信息系统安全起着非常重要的作用。但是,目前我国的信息安全风险评估工作刚刚起步,具体的评估方法、指标体系、支撑软件等还很不完善,或者缺乏现实的可操作性。本文针对风险评估中非常重要的部分:技术脆弱性及其对应的威胁的评估,提出了一种新的具有良好可操作性的评估方法。本文的研究工作以“重庆市级部门信息安全风险评估”项目(合同编号:200612002)为基础,对风险评估和漏洞分析的关系作了深入的研究。信息安全风险评估中,有两大关键因素:“脆弱性严重程度”和“威胁出现频率”,但是目前的计算方法对此大多是定性的,简单的以“高”,“中”,“低”概括,难以进行风险值的计算;或者给出的评估标准过于粗糙,对评估人员的经验和水平依赖太大,不同的评估人员对同一对象的评估结果可能相去甚远;或者需要的数据在实际工作中难以获得,可操作性不强。本文在具体分析了漏洞与“脆弱性严重程度”和“威胁出现频率”的关系的基础上,提出了“脆弱性严重程度”和“威胁出现频率”新的赋值方法。同时,提出了对风险评估流程的改进意见,总结了漏洞分析的具体流程。通过使用新的赋值方法,一定程度上改变了以往风险赋值阶段过于依赖评估者经验,评估结果过于主观化,可操作性不强等缺点。最后,通过仿真试验,用具体例证再次说明了漏洞分析与风险评估的关系,并验证了新赋值方法的有效性。

目录

摘要

ABSTRACT

1 绪论

1.1 研究背景

1.2 国内外研究现状及相关标准

1.2.1 信息安全风险评估相关国外标准

1.2.2 信息安全风险评估相关国家标准

1.2.3 风险评估常用方法及其不足

1.3 本文研究内容简介

1.4 本文组织结构

2 相关背景知识

2.1 引言

2.2 风险评估概述

2.2.1 风险评估的目的与意义

2.2.2 风险计算模型

2.2.3 风险实施流程

2.3 风险评估的实施

2.3.1 风险评估的准备

2.3.2 资产识别

2.3.3 威胁识别

2.3.4 脆弱性识别

2.3.5 已有安全措施的确认

2.3.6 风险识别

2.4 漏洞概述

2.4.1 漏洞的定义

2.4.2 漏洞形成的原因

2.4.3 通用漏洞评价体系（CVSS）

2.5 本章小结

3 漏洞分析与评估方法改进

3.1 引言

3.2 风险评估与漏洞分析的关系

3.2.1 风险计算的方法

3.2.2 “脆弱性严重程度”与漏洞分析

3.2.3 “威胁出现的频率”的度量与漏洞分析

3.3 风险评估流程的改进

3.4 漏洞分析流程总结

3.5 本章小结

4 漏洞验证仿真平台的设计与实现

4.1 引言

4.2 需求分析

4.3 总体设计

4.3.1 设计原则

4.3.2 总体框架

4.4 具体实现

4.4.1 实现思路

4.4.2 实现细节

4.5 本章小结

5 漏洞验证仿真试验

5.1 引言

5.2 仿真试验

5.2.1 试验一“Microsoft Windows DCOM RPC 接口长主机名远程缓冲区溢出漏洞”

5.2.2 试验二“snmp 弱口令漏洞”

5.2.3 试验三“Windows MSDTC COM+缓冲区溢出漏洞”

5.3 本章小结

6 总结与展望

6.1 全文总结

6.2 进一步工作与展望

致谢

参考文献

附录