本文系統地研究了信息系統風險評估的理論及方法，根據國家相關法律法規和標準，結合高安全等級信息系統的特點，融合了十幾年的風險評估經驗和案例，優化了評估指標體系和評估模型，改進了評估過程中每個階段的具體操作步驟，保證了風險評估結果的可信度和實用性，提出了切實可行的高安全等級信息系統安全防護和管理的合理建議，為深入高效的開展高安全等級信息系統風險評估提供有力支撐，為國家相關行政部門對高安全等級信息系統的管理決策提供關鍵依據。

1 引言

1.1 論文背景及意義
高安全等級信息系統安全風險評估主要從信息系統的建設、運行、態勢等方面對高安全等級信息系統的安全保障狀況進行風險評估和判斷，以明確我國信息安全保障體系的建設水平和保障能力，為國家信息安全保障宏觀決策提供支持和依據[3]。
1.1.1 研究背景
隨著信息社會的迅猛發展，信息系統已經被廣泛應用到各個領域，與此同時，信息系統的安全保密問題成為了不可忽視的問題，尤其是高安全等級信息系統，由于其存儲和處理關鍵信息，一旦安全保密工作出現疏忽，就會造成關鍵信息泄露，嚴重危害國家經濟及政治生態安全
（1）信息安全的形勢日益嚴峻
邁入二十一世紀的人類生活在一個嶄新的全球化信息時代，信息的觸角已延伸到國家和社會的每一個角落。人們在享受信息帶來的巨大便利的同時，也承受著空前的信息影響和控制。信息作為支撐社會經濟生活的重要戰略資源，是一個國家政治、經濟、軍事、文化各領域活動開展的必要條件。隨著國民經濟和社會發展對信息和高安全等級信息系統的依賴程度日益增強，電力、電信、交通、銀行等直接關系國計民生的高安全等級信息系統在受到傳統的物理性破壞的同時又面臨新興的虛擬化的攻擊，高安全等級信息系統的安全問題隨之凸顯。高安全等級信息系統隨時面臨遭受無意破壞甚至惡意破壞，輕者導致少量的經濟損失或短時間的不便，重者則威脅人民生命財產安全，甚至危害到國家安全。高安全等級信息系統的安全問題已成為關系國家安全的戰略性問題。
當前，我國信息安全面臨的形勢依然十分嚴峻，維護國家信息安全的任務依然十分艱巨。國外敵對勢力對我國高安全等級信息系統的滲透和顛覆活動從未停止并不斷升級；境內外反動勢力在國外敵對勢力的支持下，對高安全等級信息系統頻繁進行攻擊和破壞；國內網絡違法犯罪持續大幅上升，網絡竊密情況嚴重，計算機病毒傳播和網絡非法入侵十分嚴重，犯罪分子利用一些高安全等級信息系統的安全漏洞進行違法犯罪，給用戶造成嚴重損失，引發諸多社會問題；高安全等級信息系統安全管理不善，安全措施不到位，高安全等級信息系統運行事故時有發生。
高安全等級信息系統軟件的安全漏洞仍是各種安全威脅的主要根源，利用系統漏洞植入的木馬程序對我國互聯網安全構成了嚴重威脅。特別值得注意的是計算機黑客和其它信息安全破壞者的一些高技術行為，例如非授權訪問和種植病毒，表明入侵者具備高端的計算機文化理念，并非常熟悉信息技術的最新發展狀況。他們甚至能夠使用諸如 Modem 追蹤軟件之類的復雜設備和工具，搜索高安全等級信息系統的脆弱點，給全球互聯網安全造成更大范圍和更深程度的威脅和破壞。
...........................

1.2 國內外研究現狀
在信息時代，信息安全內涵進一步豐富，在內容上不僅包括國家秘密，也包括商業秘密、個人隱私等其他情報信息資源。信息安全與國家的政治安全、經濟安全、文化安全和國防安全不可分割，對國家經濟和社會發展基礎性、全局性作用日益凸顯，被稱為“第一安全”。從整個世界范圍看，信息安全的第一地位已經成為各國普遍共識。
總體上看，2017-2018 年度，國際信息安全領域威脅加劇，高安全等級信息系統頻遭受密集攻擊，網絡恐怖主義出現新形勢，斯諾登事件更是將各國政府監聽監控由暗轉明。為了應對日益嚴峻的網絡安全形勢，各國提供巨大的人力、物力、財力開展風險評估研究工作，本文主要研究高安全等級信息系統的風險評估，所以，重點分析了風險評估標準及風險評估方法、虛擬化系統風險評估以及高安全等級信息系統互聯互通方法三個方面的研究現狀。
1.2.1 風險評估標準及方法研究現狀
隨著信息技術的快速發展，信息系統的風險評估標準及方法也發生了巨大的變化，國內外的相關政府及安全組織積極制定標準并研究適用于風險評估標準的評估方法。
1.風險評估標準
信息安全中三分靠技術和七分靠管理，風險評估作為風險管理的必備環節，承擔著發現信息系統風險點的重要作用，國內外專家在充分研究與分析的基礎上，建立了數個標準對風險評估過程進行約束和指導。總體而言，國外開展風險評估的研究較早，風險評估標準更加完善，雖然國內風險評估的相關研究起步較晚，但是成果豐碩，已經形成并建立了完善的風險評估標準體系，極大提高了國內信息系統的安全性。
（1）國外風險評估標準
從 20 世紀 80 年代開始，歐美等國家相繼投入到信息安全風險評估的標準研究及制定工作中，陸續頒布了滿足各自國家實際需求的風險評估標準。美國憑借強大的科技實力和技術儲備，率先于 1983 年制定《可信計算化系統評估準則》（TCSEC）[21]，該標準首次規定了計算機信息系統風險評估的技術細節，將計算機信息系統依次劃分為最低保護等級、自主保護等級、強制保護等級、驗證保護等級等四個安全性等級，對風險評估的相關研究與發展產生了非常重要的影響。參照美國的 TCSEC，英國、法國、德國與荷蘭共同制定《信息技術安全評估準則》（ITSEC）[22]，同樣把安全評估對象劃分了不同的安全等級。在綜合了 TCSEC 和ITSEC 的優點基礎上，美國聯合歐洲等國家制定《信息技術安全通用評估準則》（CC）[23]，用標準化的方法建立安全要求的部件功能集合，對安全評價目標提出了安全評價保證級別。 ...............................

2 基礎理論及方法

2.1 相關概念
本文的研究對象是高安全等級信息系統，所涉及的相關概念主要包括高安全等級信息系統、虛擬化技術、工業控制系統、風險評估。
2.1.1 高安全等級信息系統
信息系統風險評估根據信息系統在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，由低到高劃分為五個安全保護等級[1]。本文的研究對象為高安全等級信息系統，特指第三級、第四級和和第五級信息系統。
高安全等級環境是指應用于某些領域的，具有特殊安全需求的相對獨立的網絡環境，該網絡環境特點如下：
（1）網絡中存儲、處理和傳輸的信息涉及國家安全與利益；
（2）網絡與國際互聯網、或其他公共信息網絡之間不存在物理上的連接；
（3）網絡依據嚴格的安全防護要求建設、管理與使用。因此，高安全等級網絡環境中處理關系國家安全利益的信息，一般處于孤立的網絡環境之中，網絡規模相對有限，多數情況是以局域網或城域網的形式存在。在高安全等級信息系統投入使用后，保密行政管理部門對其進行指導、監督和檢查。其中國家保密行政管理部門負責全國高安全等級信息系統風險評估工作的指導、監督和檢查；地方各級保密行政管理部門負責本行政區域高安全等級信息系統風險評估工作的指導、監督和檢查。
2.1.2 虛擬化技術
虛擬化技術作為云計算的主要支撐技術之一，實現了以服務的方式為用戶提供各種軟硬件資源，同時也引入一系列新的安全問題。
虛擬化（Virtualization）的概念在 20 世紀 60 年代首次出現，利用它可以對屬于稀有而昂貴資源的大型機硬件進行分區。近年來，隨著云計算的全面落地實踐，虛擬化技術在商業應用上的優勢日益體現，不僅降低了 IT 成本，而且增強了系統安全性和可靠性，虛擬化的概念也逐漸深入到人們日常的工作與生活中。
虛擬化技術主要分為以下幾類：硬件虛擬化（Hardware virtualization），即利用物理主機的硬件及相關虛擬化軟件，創建一個能夠運行操作系統的虛擬機；桌面虛擬化（Desktop Virtualization），旨在將邏輯桌面與物理主機分開；其他一些針對不同對象的虛擬化技術，包括應用軟件、內存、存儲、數據、網絡等。 ............................

2.2 方法理論概述
本文在研究過程中所應用的方法理論主要包括層次分析法、模糊綜合評判法以及博弈論。
2.2.1 層次分析法
層次分析法（AHP）是美國匹茲堡大學教授薩泰（A.L.Saaty）首次提出，用于對系統問題進行分析。
（1）建立層次分析結構
分析系統問題，依據一定的規則將其從頂向下拆分為不同的層次結構，通常會拆分為三個層次，第一層為需要實現的目的，第二層為需要遵守的規則，第三層為采取的具體措施。
（2）構造判斷矩陣
在層次分析結構中，每一個元素的重要性是不一樣的，以每一個元素的權重值為基礎構造判斷矩陣。
2.2.2 模糊綜合評判法
在風險評估過程中，評估的因素會存在很多，特別容易忽略掉某些因素，從而使評估結果出現偏差，而模糊綜合評判法利用模糊數學及隸屬度等理論，綜合考慮所有評估因素，使評估結果更加科學全面。具體實現步驟如下：
（1）選取評估指標
基于評估對象的特點及環境，綜合分析能夠對評估對象產生影響的所有因素，并將這些因素構成一個集合。
（2）設定指標權重
依據評估指標對評估對象的影響程度的大小，這里的影響大小是指標之間相對而言，為所有的評估指標設定權重，記為 Q。
................................

3 傳統高安全等級信息系統風險評估的挑戰..........................17
3.1 傳統的高安全等級信息系統風險評估..............................18
3.1.1 風險評估基本原理.............................18
3.1.2 存在的不足之處........................19
4 基于博弈論的高安全等級信息系統風險評估模型構建...........................30
4.1 高安全等級信息系統風險評估的界定及特點.............................31
4.1.1 高安全等級信息系統風險評估的界定.............................31
4.1.2 高安全等級信息系統風險評估的特點...............................32
5 基于虛擬化技術的高安全等級信息系統風險評估模型構建.............................50
5.1 虛擬化系統風險評估相關工作............................51
5.2 虛擬化系統脆弱性分析...................................51

7 高安全等級信息系統安全保密風險評估系統的設計

7.1 信息系統評估內容的關聯分析
對高安全等級信息系統進行評估時，對應的評估標準定義了多種評估內容，形成了豐富的評估指標，如日常管理、安全審計、異常事件等，旨在從多個維度描述高安全等級信息系統的風險狀況，并指導信息系統建設人員對高安全等級信息系統進行有針對性地修正。然而，不同指標可能對應了相似甚至相同的評估內容，從而出現針對某些評估內容的重復測量的問題。
因而，本問題將基于歷史評估數據，從整體上了解各個評估指標的關聯關系，定位那些強關聯的評估項，一方面輔助隊評估項包含的評估小項進行修正（刪除、調整等），避免重復測量，另一方面將輔助生成可靠的評估指標體系，指導評估人員工作。
7.1.1 模型構
為了挖掘評估內容的之間的關聯特性，本文設計了關聯分析模型。該模型旨在為所有評估內容，發現與之相關的其他評估內容。此外，模型構建時，仍然考慮了模型運行時的時間復雜度。本節首先描述了關聯分析時的部分名詞定義，隨后描述了具體的建模方法。
2.建模方法
（1）將每個由評估小項構成的評估記錄轉化為一個向量，并且過濾掉那些評估小項值為滿足的指標。向量中的每個元素 ele 由評估小項的唯一標識 sign 和評估結果 result 構成，即 ele ＝｛sign，result｝。其中 result 可以為滿足（由 2 表示）、基本滿足（由 1 表示）、不滿足（由 0 表示）。此外，通過過濾一方面能夠降低計算的復雜度，另一方面減少滿足的評估指標對于評估小項頻繁項挖掘的影響。
（2）利用關聯分析方法，從由多個向量組成序列中，挖掘由多個元素組成的具有強關聯的頻繁項 xi={ele1,ele2,…,elen}。由于元素在序列中出現的頻次 c(ele)，直接影響了頻繁項的提取結果。為了保證算法的運行時間，以及發現出現頻次不同的元素 elei的頻繁項，對于那些在序列中出現頻率不同的元素，在挖掘其頻繁項時做了如下處理：
.......................

8 總結與展望

8.1 研究總結
風險評估是指對威脅、漏洞、資產及由此帶來的風險大小進行評估，通過對高安全等級信息系統進行風險評估，能夠及時發現高安全等級信息系統中存在的風險及安全隱患，安全管理人員依據風險等級采取必要的安全防護措施，確保高安全等級信息系統的安全、穩定、可靠運行。
本文系統地研究了信息系統風險評估的理論及方法，根據國家相關法律法規和標準，結合高安全等級信息系統的特點，融合了十幾年的風險評估經驗和案例，優化了評估指標體系和評估模型，改進了評估過程中每個階段的具體操作步驟，保證了風險評估結果的可信度和實用性，提出了切實可行的高安全等級信息系統安全防護和管理的合理建議，為深入高效的開展高安全等級信息系統風險評估提供有力支撐，為國家相關行政部門對高安全等級信息系統的管理決策提供關鍵依據。
8.1.1 風險評估模型總結分析本文分析了三種不同的風險評估應用場景，分別是傳統的高安全等級信息系統、基于虛擬化技術的高安全等級信息系統和面向互聯互通的高安全等級信息系統，針對不同的應用場景，本文分別設計了不同的風險評估模型和方法。
（1）傳統的高安全等級信息系統
在傳統的高安全等級信息系統中，網絡環境由服務器、計算機、交換機、服務器等基礎網絡設備組成，尚未引入虛擬化技術或互聯互通功能，網絡結構比較單一。針對傳統的高安全等級信息系統，在實際評估過程中，評估指標的重要性差異是客觀存在的，并受到決策者的主觀意愿影響。在確定評估指標的權重時，都是依據專家評估經驗來設定，很容易使評估結果出現偏差。所以風險評估方法需要及時更新，研制出切實可靠實用的高安全等級信息系統風險評估的方法。
本文依據高安全等級信息系統的特點及防護要求，選取風險評估指標，并構建多層次指標體系?；谠撝笜梭w系，將博弈理論引入到風險評估中，把評估人員的防御方法與攻擊人員的攻擊方法作為攻防博弈的基礎，通過構建攻防博弈模型，分析評估人員及攻擊人員在攻防過程中獲得的收益及付出的開銷，一方面證明納什均衡點的存在，另一方面為攻防博弈模型提供理論基礎。結合高安全等級信息系統的安全等級，計算得到信息系統的風險值，使得風險評估過程更加科學合理。
參考文獻（略）