楊明增,李拴保,唐慧林

(1.河南教育學院數(shù)學系,河南鄭州 450046;2.河南財政稅務高等?？茖W校信息工程系,河南鄭州 450002;3.解放軍信息工程大學電子技術學院,河南鄭州 450004)

安全風險評估模型綜述

楊明增1,李拴保2,唐慧林3

(1.河南教育學院數(shù)學系,河南鄭州 450046;2.河南財政稅務高等專科學校信息工程系,河南鄭州 450002;3.解放軍信息工程大學電子技術學院,河南鄭州 450004)

深入分析總結(jié)了信息安全風險模型的研究現(xiàn)狀,給出了信息安全風險評估模型的現(xiàn)有分類,為安全風險研究的深入和具體實施提供了重要基礎.

風險評估;模型;因素;風險分析;綜述

模型是客觀系統(tǒng)某一方面本質(zhì)屬性的描述,它以某種確定的形式提供關于該系統(tǒng)的知識,是我們用來認識客觀世界的有力工具[1].系統(tǒng)的研究目的決定了本質(zhì)屬性的選取,創(chuàng)建模型的目標指導著客觀對象的概念化過程,它決定了模型中必須體現(xiàn)客觀對象的哪些屬性以及如何描述它們.根據(jù)系統(tǒng)風險評估的階段和目標可將評估模型分為風險概念模型、評估過程模型、風險分析模型和風險評價模型,本文通過較常用的模型介紹這 4種風險評估模型.

1 風險概念模型

圖1 系統(tǒng)安全風險簡要模型

圖2 OCTAVE風險評估過程

風險概念模型主要反映風險因素之間的相互關系,對概念進行建模有助于理清評估思路,認清風險的本質(zhì)屬性,同時也為發(fā)現(xiàn)評估指標提供了很好的途徑.圖 1為系統(tǒng)安全風險的簡要示意圖,該模型說明威脅對系統(tǒng)資產(chǎn)構成風險的前提有兩個,一是系統(tǒng)的安全防護存在脆弱點,二是資產(chǎn)存在價值.如果沒有這兩個前提,則無風險可言.風險的存在性可導出安全需求,安全需求通過安全設施的加強而被滿足,而安全設施的加強或者完備可減緩風險.

2 評估過程模型

評估過程模型可以指導評估操作的總體流程,雖然評估方法差異較大,但各種評估過程模型卻有著較大的相似性.OCTAVE(Operationally Critical Threat,Asset and Vulnerability Evaluation)是確認、管理信息安全性風險的框架體系,它定義了全面的評估過程.利用 OCTAVE可以確認組織業(yè)務的關鍵性資產(chǎn),對于這些資產(chǎn)的威脅以及可能為威脅所利用的資產(chǎn)脆弱性,其風險評估實施流程如圖 2所示[2].

文獻[3]認為,首先識別信息在實際運用中困難比較大,所以建議按照某種定義先劃分評估范圍,再對各個部分進行資產(chǎn)識別和評估,同時也可以按照該劃分對評估小組進行分組.資產(chǎn)識別和評估應該以自評估為主,由評估小組共同完成.文獻[4]以安全策略的制定為評估目標,主要突出各階段提交的文檔形式和風險評估的目標,該模型將風險評估分為4個階段:前期準備階段、現(xiàn)場調(diào)查階段、風險分析階段和風險管理階段.

從上述幾個風險評估過程可以總結(jié)出風險評估的一般過程,如圖 3所示.首先要明確評估目標、制定評估計劃,不僅包括識別系統(tǒng)評估邊界、業(yè)務流程、系統(tǒng)網(wǎng)絡結(jié)構、組織機構等,還包括人員分工和制定風險評估準則等;然后采集評估所需的數(shù)據(jù),如威脅調(diào)查、事故記錄、漏洞信息等;信息采集充足之后,可以開始進行綜合分析,評價系統(tǒng)的風險大小;最后,要根據(jù)分析的結(jié)果制定策略,主要考慮成本—效益等方面,接受風險或采取適當?shù)拇胧┓婪讹L險.

圖3 風險評估的一般過程

3 風險分析模型

風險評估過程的重點是風險分析.根據(jù)前期的調(diào)查結(jié)果,分析系統(tǒng)面臨的主要威脅因素、信息系統(tǒng)關鍵資產(chǎn)組件的構成情況以及關鍵資產(chǎn)存在的脆弱性 (包括技術措施和組織措施)等.傳統(tǒng)建模分析方法,如故障樹分析法(FTA)、應用于化工行業(yè)的危害及可操作性研究分析方法(HazOp)、應用于飛機制造業(yè)的失效模式及效果/危害程度分析方法(FMEA&FMECA)和Markov分析法[5-6]等,對于信息系統(tǒng)風險評估也很有借鑒意義.

我們可以在風險的不同階段采用合適的方法.在建立環(huán)境環(huán)節(jié),主要使用 HazOp技術識別信息安全風險分析需要關注的領域、資產(chǎn)和安全需求.在風險識別環(huán)節(jié),通常以 HazOp技術為主,FTA、FMECA為輔,標示資產(chǎn)面臨的威脅和脆弱點.在風險分析環(huán)節(jié),通常以 FMECA為主,HazOp、FTA為輔,調(diào)查不期望發(fā)生的事件及其發(fā)生的可能性.在風險評估環(huán)節(jié),主要通過 F MECA技術,確定風險的等級.在風險處理環(huán)節(jié),主要通過 FTA技術,對每項標示的風險提出可供選擇的處理措施.

4 風險評價模型

評價是按預定的目的確定研究對象的屬性(指標),并將這種屬性變?yōu)榭陀^定量的計算值或主觀效用的行為,多指多屬性對象的綜合評價.傳統(tǒng)評價模式的弊端很多,主要有指標體系不全面、不規(guī)范,主觀成分較重,從本質(zhì)上看,是以半定量、半定性或定性分析作為主要分析方式.現(xiàn)代評價模式是新興的一種評價模式,體現(xiàn)了評價發(fā)展的方向.該模式的特點是指標體相對規(guī)范、全面,將定性指標定量化,使指標體系可通過計算機軟件編程計算,得出量化的結(jié)果.

圖4 OCTAVE風險評價模型

如何建立適當?shù)臄?shù)學模型是評價方法的核心問題,在數(shù)學模型中要明確定義目標函數(shù),并詳細說明其形成機理和結(jié)構形式.由于財產(chǎn)、威脅和脆弱性是影響風險的 3個主要方面,也是風險評估關注的重點,文獻[7]提出的OCTAVE風險評價模型以這 3個要素為核心內(nèi)容 (圖 4)[7],該模型是在其后產(chǎn)生的很多模型的根源,即

文獻[8]將系統(tǒng)看做一系列組件的集合,建立了基于組件的信息系統(tǒng)安全度量評估模型,利用組合獨立性安全要素、組合互補性安全要素、組合關聯(lián)性安全要素及規(guī)范路徑的概念進行抽象.筆者提出在安全要素集E上信息系統(tǒng)安全度量的評估規(guī)則:對系統(tǒng)S,安全要素e∈E,若S包含的規(guī)范路徑集為=則

其中fe(p)表示在安全要素e上訪問路徑p的安全性到安全度量偏序集上的映射.

在系統(tǒng)安全中,風險指的是安全風險,是對潛在的事故發(fā)生的可能性及事故后果嚴重性的測度,是系統(tǒng)安全程度的度量.從該觀點出發(fā),系統(tǒng)風險可描述為由事故場景、可能性和嚴重性所組成的三元組的集合[6],即

其中,Si為第i個事故場景,Pri=Pr(Si)為第i個事故場景發(fā)生可能性(頻率或在所考慮時間內(nèi)發(fā)生的概率),Ci=C(Si)為事故對應的嚴重性.

從定量角度,系統(tǒng)的風險又可以表示為可能性和嚴重性的函數(shù),即

該模型以事故場景代替威脅,實質(zhì)是對威脅的進一步描述,采用的仍是威脅、脆弱性和資產(chǎn)的三要素模型.

文獻[2]計算系統(tǒng)的安全風險的公式為

文獻[3]認為風險同威脅發(fā)生的可能性、威脅發(fā)生后對系統(tǒng)造成的影響有關.因此評估風險就要評估威脅發(fā)生的后果及發(fā)生的可能性,而脆弱性、威脅等識別只是評估的基礎,是作為后果和可能性的參考.因此實際風險計算函數(shù)應該是

其中,R為風險,Tp為威脅發(fā)生的可能性,I為威脅發(fā)生的后果.Tp與脆弱性、威脅有關,具體的計算依賴于實際的系統(tǒng)和經(jīng)驗.Tp還與采用的控制措施有關系,適當?shù)目刂拼胧┛梢越档蚑p的值或者等級,即

其中,V為脆弱性,T為威脅,Ct為控制措施.威脅發(fā)生的后果與脆弱性、威脅以及信息的保密性、完整性、可用性的破壞程度有關,具體的后果賦值或定義也依賴于實際的系統(tǒng)和經(jīng)驗.

同樣,I還與采用的控制措施有關系,有效的控制措施可以減少或者降低I的值或者等級,即

其中,Cx為保密性遭到破壞的程度及造成的后果,Ix為完整性遭到破壞的程度及造成的后果,Ax為可用性遭到破壞的程度及造成的后果.文獻[3]認為脆弱性的可能性是威脅發(fā)生可能性的一個因子.

近幾年的風險評價研究文獻中,把重心放在如何處理評價中的不確定因素上,如貝葉斯理論、模糊理論、粗糙集理論、D-S證據(jù)理論、BP神經(jīng)網(wǎng)絡技術等[9-11].模糊理論中隸屬函數(shù)的確定、貝葉斯理論中概率的獲取等都是這些方法的核心,直接關系到風險評價模型的合理性,而神經(jīng)網(wǎng)絡中學習樣本的正確性、學習規(guī)則則是束縛該方法的瓶頸.還有一些文獻從人工免疫原理出發(fā),提出了基于危險的安全風險評價模型[12],但模型的適用性和可行性仍值得探討.

上述評價模型通過引入其他領域的模型,對風險評價方法進行了有意義的探討,但常常忽略了對風險因素的基本分析,習慣了威脅、脆弱性和資產(chǎn)的基本范式.威脅是外部環(huán)境對系統(tǒng)造成危害的潛在來源,脆弱性則來自于系統(tǒng)內(nèi)部.威脅發(fā)生的可能性與威脅源的特性有關,而威脅對系統(tǒng)造成破壞的可能性才與脆弱性的可能性有關.

5 結(jié)束語

風險相關模型是風險管理的基礎,本文通過系統(tǒng)分析和總結(jié)已有的模型,提出了合理的分類方法,建立了風險評估模型體系.解決了現(xiàn)有風險評估研究中模型混雜的問題,為風險評估的研究提供了重要的知識框架.在此框架下我們?nèi)孕鑼Ω鞣N模型的合理性和適應性進行更深入研究和驗證,從而使風險管理工作能夠更加有效地開展.

[1] 曹謝東.模糊信息處理及應用[M].北京:科學出版社,2003.

[2] 楊泉.風險評估定量與定性方法[C]//中國信息協(xié)會信息安全專業(yè)委員會.中國信息協(xié)會信息安全專業(yè)委員會年會文集.北京:中國水利水電出版社,2004.

[3] 仲維國.信息安全風險評估與管理工具研究[C]//中國信息協(xié)會信息安全專業(yè)委員會.中國信息協(xié)會信息安全專業(yè)委員會年會文集.北京:中國水利水電出版社,2004.

[4] 汪楚嬌,蔣志雄,王拓,等.基于模糊數(shù)學的網(wǎng)絡安全網(wǎng)絡評估模型[J].網(wǎng)絡安全技術與應用,2003(10):22-25.

[5] 張利,江常青,陳曉樺.傳統(tǒng)風險分析方法在信息系統(tǒng)安全風險管理過程中的應用[C]//中國信息協(xié)會信息安全專業(yè)委員會.中國信息協(xié)會信息安全專業(yè)委員會年會文集.北京:中國水利水電出版社,2004.

[6] 羅鵬程.基于 Petri網(wǎng)的系統(tǒng)安全性建模與分析技術研究[D].長沙:國防科學技術大學,2001.

[7] ChristopherA.信息安全管理[M].吳唏,譯.北京:清華大學出版社,2003.

[8] 閆強,陳鐘,段云所,等.信息系統(tǒng)安全度量與評估模型[J].電子學報,2003,31(9):1351-1355.

[9] 王英梅,劉增良.基于 PRA的網(wǎng)絡安全風險評估模型[J].計算機工程,2006,32(1):40-42.

[10]高會生,朱靜.基于D-S證據(jù)理論的網(wǎng)絡安全風險評估模型[J].計算機工程與應用,2008,44(6):157-159,168.

[11]趙冬梅,劉海峰,劉晨光.基于BP神經(jīng)網(wǎng)絡的信息安全風險評估[J].計算機工程與應用,2007,43(1):139-141.

[12]彭凌西,陳月峰,劉才銘,等.基于危險理論的網(wǎng)絡風險評估模型[J].電子科技大學學報,2007,36(6):1198-1201.

Summary on Models of Assess ment of Security Risk

YANGMing-zeng1,L I Shuan-bao2,TANG Hui-lin3

(1.Departm ent of M athem atics,Henan Institute of Education,Zhengzhou450046,China;2.Depar tm ent of Infor mation Engineer,Henan Finance&Tax College,Zhengzhou450002,China;3.Institute of Electronic Technology,the PLA Infor mation Engineering University,Zhengzhou450004,China)

Analyzed and summarized the present research condition of asses sment of information security risk,classified these models,built up important foundation for further study and implementation of security risk.

risk assessment;model;factor;risk analysis;summary

O159;TP393.08

A

1007-0834(2010)04-0006-03

10.3969/j.issn.1007-0834.2010.04.003

2010-09-10

楊明增(1965—),男,河南林州人,河南教育學院數(shù)學系副教授,研究方向:代數(shù)學.