帥 飛，李俊全，尤 娟

（解放軍信息工程大學(xué) 電子技術(shù)學(xué)院，河南 鄭州450004）

0 引 言

為確保密碼產(chǎn)品的安全、可控、可用，必須對密碼產(chǎn)品進行安全風(fēng)險評估，驗證其是否達到預(yù)期的安全目標(biāo)?，F(xiàn)有的風(fēng)險評估技術(shù)和方法大都是針對信息系統(tǒng)或者信息安全產(chǎn)品的，有關(guān)密碼產(chǎn)品安全風(fēng)險評估方面的研究基本上沒有。總體而言，風(fēng)險評估方法［1－2］主要可分為定量風(fēng)險評估方法和定性風(fēng)險評估方法兩大類。定量風(fēng)險評估方法相比定性風(fēng)險評估方法，其評估結(jié)果更加直觀、客觀，且便于對比，所以為了保證風(fēng)險評估結(jié)果的客觀性和準(zhǔn)確性，現(xiàn)有信息系統(tǒng)或信息安全產(chǎn)品的評估大都采用定量的風(fēng)險評估方法?，F(xiàn)有的定量風(fēng)險評估方法的理論基礎(chǔ)［3］主要有：貝葉斯網(wǎng)絡(luò)、粗糙集理論、模糊理論等等。密碼產(chǎn)品作為一類特殊的信息安全產(chǎn)品，由于其特殊的使命，使得其在安全方面的要求和一般信息安全產(chǎn)品有著很大的不同。本文對密碼產(chǎn)品的風(fēng)險計算模型和風(fēng)險評估過程中關(guān)鍵技術(shù)進行了深入研究，旨在提出一種可以量化的密碼產(chǎn)品安全風(fēng)險評估方法，保證密碼產(chǎn)品安全風(fēng)險評估結(jié)果的客觀性和準(zhǔn)確性。

1 基于威脅分析的密碼產(chǎn)品風(fēng)險計算模型

密碼產(chǎn)品是指為信息提供機密性、完整性、可認(rèn)證性等安全保密功能的設(shè)備或者裝置，是一類特殊的信息安全產(chǎn)品。對于密碼產(chǎn)品而言，其本身存在的脆弱性不一定就導(dǎo)致安全威脅發(fā)生，但是脆弱性一旦被威脅來源利用，就會導(dǎo)致安全威脅發(fā)生。所以，對密碼產(chǎn)品的安全風(fēng)險評估，應(yīng)該從產(chǎn)品安全威脅分析入手，分析產(chǎn)品可能面對的安全威脅，以及安全威脅發(fā)生危害的概率和威脅所導(dǎo)致的危害程度，進而計算產(chǎn)品的安全風(fēng)險。

現(xiàn)有的風(fēng)險評估方法大都是以資產(chǎn)為出發(fā)點，分析資產(chǎn)、威脅和脆弱性的關(guān)聯(lián)，進而計算系統(tǒng)風(fēng)險值，以威脅為出發(fā)點的風(fēng)險評估方法比較少見。文獻 ［4］根據(jù)威脅來源的不同，對網(wǎng)站的安全威脅進行了分析總結(jié)，采用模糊綜合評價的方法，根據(jù)專家經(jīng)驗構(gòu)建安全威脅模糊評價矩陣，計算安全風(fēng)險。文獻 ［5］對安全威脅絕對量化和相對量化兩種方法的優(yōu)缺點進行了對比分析。文獻 ［6］根據(jù)網(wǎng)絡(luò)安全威脅發(fā)生的特點，設(shè)計了包括基于威脅分析的靜態(tài)評估和動態(tài)評估兩種評估模型。文獻 ［7］提出的TMSRA模型，采用德爾菲法確定系統(tǒng)安全威脅及相應(yīng)的威脅后果屬性，引入多屬性決策理論，計算系統(tǒng)風(fēng)險指數(shù)。文獻 ［8］在文獻 ［7］基礎(chǔ)上對風(fēng)險指數(shù)進行了靈敏度分析和優(yōu)化。

綜上所述，現(xiàn)有的基于安全威脅分析的風(fēng)險評估方法大都是依靠專家經(jīng)驗確定系統(tǒng)或產(chǎn)品的安全威脅及其發(fā)生概率，然后采用模糊評價、多屬性決策等方法計算其風(fēng)險指數(shù)，確定系統(tǒng)或產(chǎn)品的安全風(fēng)險。其缺點在于安全威脅發(fā)生概率都是通過歷史統(tǒng)計數(shù)據(jù)或者專家經(jīng)驗來確定，在缺乏有效的歷史統(tǒng)計數(shù)據(jù)的情況下，難以保證所得數(shù)據(jù)的客觀準(zhǔn)確性。

在上述研究基礎(chǔ)上，本文提出一種基于威脅分析的密碼產(chǎn)品安全風(fēng)險評估方法。在安全威脅分析的基礎(chǔ)上，構(gòu)建安全威脅和產(chǎn)品安全防護措施的貝葉斯網(wǎng)絡(luò)，根據(jù)安全防護措施的有效率，推斷安全威脅生效概率；然后，根據(jù)安全威脅生效概率和安全威脅對產(chǎn)品所造成的影響，確定產(chǎn)品的安全風(fēng)險。這個方法的主要優(yōu)點是安全威脅生效概率不是通過統(tǒng)計數(shù)據(jù)得到的，而是通過貝葉斯網(wǎng)絡(luò)推斷而來，所得的評估結(jié)果比較客觀，實施的難度較小，具有較好的實際效果。其風(fēng)險計算模型如圖1所示。

如圖1所示，對于密碼產(chǎn)品而言，其安全風(fēng)險主要是指威脅來源利用資產(chǎn)的脆弱性或者采用其它攻擊方法所產(chǎn)生的安全威脅對密碼產(chǎn)品安全所造成的影響，其由安全威脅生效的概率和安全威脅所造成的后果屬性兩者決定，表示方法如下

式中：R——產(chǎn)品的風(fēng)險值，C——安全威脅對產(chǎn)品造成的后果屬性，P——安全威脅生效概率。

2 基于威脅分析的密碼產(chǎn)品安全風(fēng)險評估過程

2.1 密碼產(chǎn)品安全威脅描述

密碼產(chǎn)品的一個安全威脅T可用一個四元組：T＝（cause，name，method，impact）來表示。其中：cause表示威脅來源。這里主要是指可能對產(chǎn)品產(chǎn)生的危害的人為因素以及環(huán)境等其它因素，主要包括惡意攻擊人員，如網(wǎng)絡(luò)攻擊者、無線信號接收者、專業(yè)解剖人員等；內(nèi)部人員，如管理人員、審計人員、操作人員、維護人員等；其它因素，如電力故障、電磁泄露、硬件故障等。name表示威脅名稱。通過諸如專門技術(shù)、可用資源和動機等來描述，如非授權(quán)使用、電磁攻擊等。method表示攻擊的方法或者產(chǎn)品脆弱性。主要指威脅來源可能利用的脆弱性，如操作系統(tǒng)漏洞、軟硬件缺陷等；或者威脅來源采取的攻擊手段等如暴力破解、利于工具探測等。impact表示威脅造成的影響。主要指威脅對密碼產(chǎn)品產(chǎn)生的危害描述，按照危害重要程度從高到底，依次分為關(guān)鍵安全參數(shù)泄露、敏感信息泄露、產(chǎn)品故障3個等級。

一般情況下，現(xiàn)有密碼產(chǎn)品所采用的算法和協(xié)議都是安全的，在本文中不考慮由密碼算法及協(xié)議安全性所導(dǎo)致的安全威脅。密碼產(chǎn)品常用威脅描述如表1所示。

圖1 風(fēng)險計算模型

表1 密碼產(chǎn)品常用安全威脅描述

2.2 安全威脅生效概率計算

本文根據(jù)安全威脅和安全措施之間的因果關(guān)系，引入貝葉斯網(wǎng)絡(luò)來計算安全威脅生效概率。貝葉斯網(wǎng)絡(luò)是一個有向無環(huán)圖，由代表變量節(jié)點及連接這些節(jié)點的有向邊構(gòu)成。圖中的每個節(jié)點代表一個有現(xiàn)實意義的變量 （比如一個安全威脅或者一個安全措施等），而圖中的弧線則表示相連的兩個變量間的因果關(guān)系。變量間的因果關(guān)系強度由與之對應(yīng)的條件概率來表示。所以，貝葉斯網(wǎng)絡(luò)由貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)和條件概率表兩部分組成。貝葉斯網(wǎng)絡(luò)以概率論和圖論為基礎(chǔ)，是處理不確定性問題上的有效方法之一，所以當(dāng)前應(yīng)用貝葉斯網(wǎng)絡(luò)構(gòu)造風(fēng)險評估模型的研究有很多［9－13］，其基本方法原理是利用貝葉斯網(wǎng)絡(luò)將產(chǎn)品的安全威脅、安全措施之間的因果關(guān)系用有向圖直觀地表示出來；同時也將安全威脅生效概率、安全措施有效率等數(shù)據(jù)以條件概率的形式與模型相融合，使得專家的先驗知識和后驗數(shù)據(jù)實現(xiàn)無縫結(jié)合，完成產(chǎn)品風(fēng)險的定量評估。

產(chǎn)品安全威脅和安全防護措施之間屬于一種因果關(guān)系，存在安全威脅，就必然要采用相應(yīng)的安全防護措施來應(yīng)對安全威脅。一個安全威脅可能需要一個或者多個安全防護措施來應(yīng)對，一個安全防護措施也可能同時應(yīng)對一個或者多個安全威脅。

假設(shè)密碼產(chǎn)品所面臨的安全威脅集T＝ ｛tj｜j＝1.2，…，m｝，安全防護措施集，SR＝ ｛srk｜k＝1，2，…，q｝，根據(jù)安全威脅和安全防護措施之間的映射關(guān)系，由此構(gòu)建密碼產(chǎn)品的貝葉斯評估網(wǎng)絡(luò)。

如圖2所示，當(dāng)密碼產(chǎn)品的安全威脅集為T＝ ｛tj｜j＝1.2，…，m｝時，由式 （1）可得密碼產(chǎn)品的風(fēng)險

圖2 密碼產(chǎn)品貝葉斯評估網(wǎng)絡(luò)

因為各安全措施集合中的各安全措施相對于其它安全措施而言，是相互獨立的，因此可得，P（tj）示安全威脅tj對應(yīng)的安全防護措施集為SR＝ ｛srk｜k＝1，2，…，p｝時，安全威脅tj生效的概率

式中：P（tj｜srk）——在安全措施為srk時，安全威脅tj生效概率。對于密碼產(chǎn)品而言，其安全威脅產(chǎn)生危害的情況，正是安全措施沒有達到預(yù)期的目標(biāo)，即為安全措施不生效的概率。由此可得

式中：P（srk）——安全措施srk生效的概率，由產(chǎn)品所使用的物理和邏輯防護措施的強度確定。

由式 （2）、式 （3）、式 （4）可得，密碼產(chǎn)品的風(fēng)險為

2.3 安全防護措施有效率確定

FIPS140系列標(biāo)準(zhǔn)是NIST發(fā)布的有關(guān)密碼模塊安全要求的標(biāo)準(zhǔn)，現(xiàn)更新的最新版本為2009年11月發(fā)布的FIPS140－3［14］的draft版。FIPS140－3從密碼模塊描述、密碼模塊接口、軟／固件安全、操作使用環(huán)境、身份認(rèn)證與鑒別、物理安全、電磁安全、敏感安全參數(shù)管理、自檢、生命周期保證、減緩其它攻擊等11個方面將密碼模塊劃分為4個安全等級。

本文依據(jù)FIPS140－3中有關(guān)安全措施的分級要求，結(jié)合產(chǎn)品安全措施測試結(jié)果，確定產(chǎn)品安全措施安全等級及其有效率。如果某項安全措施的測試結(jié)果為安全措施失效，則該安全措施有效率為0，如果安全措施滿足FIPS140－3中安全1級要求，則其有效率為25%。對應(yīng)的2級為50%，3級為75%，4級為100%。

以模塊物理安全防護要求為例，F(xiàn)IPS140－3的4.6節(jié)中對密碼模塊物理防護要求進行了分級描述：

（1）安全一級要求：密碼模塊應(yīng)當(dāng)具有產(chǎn)品級品質(zhì)，包括標(biāo)準(zhǔn)的鈍化技術(shù) （如在密碼模塊電路上使用敷形涂層或封印，以保護其免遭環(huán)境的或其它物理性的破壞）。當(dāng)物理維護時，密碼模塊內(nèi)的明文形式的秘密密鑰、私有密鑰、其它未受保護的關(guān)鍵安全參數(shù)應(yīng)被零化。零化可以由操作者依程序進行，也可以由模塊自動執(zhí)行。

（2）安全2級要求：在安全一級的基礎(chǔ)上，密碼模塊應(yīng)當(dāng)在試圖物理進入模塊時提供篡改留痕措施。

（3）安全3級要求：在安全一、二級基礎(chǔ)上，如果密碼模塊有門或可拆卸的封蓋，或提到了維護訪問接口，則模塊應(yīng)包含篡改響應(yīng)和零化電路。當(dāng)打開門或拆去封蓋時，或當(dāng)維護訪問接口被訪問時，該電路應(yīng)當(dāng)立即零化所有明文形式的秘密密鑰、私有密鑰、其它未受保護的關(guān)鍵安全參數(shù)。

只要密碼模塊內(nèi)包含明文形式的秘密密鑰、私有密鑰或關(guān)鍵安全參數(shù)，篡改響應(yīng)和零化電路就應(yīng)當(dāng)處于工作狀態(tài)。如果密碼模塊帶有任何通風(fēng)口或縫隙，那么它們須設(shè)計成可防止對封裝內(nèi)部進行不可察覺的物理探測。

（4）安全4級要求：在安全一、二、三級基礎(chǔ)上，密碼模塊要么應(yīng)包括環(huán)境失效保護 （EFP）特性，要么應(yīng)經(jīng)受環(huán)境失效測試 （EFT）。

如某個密碼產(chǎn)品的物理要求為：使用不透明、堅固的外殼封裝，能夠防止利用可見光通過通風(fēng)孔或門等縫隙采用直視的方法搜集內(nèi)部結(jié)構(gòu)或器件的信息；設(shè)置了緊急銷毀按鈕等應(yīng)急銷毀措施，當(dāng)啟用該措施時，能夠自動對產(chǎn)品內(nèi)部的敏感數(shù)據(jù)進行零化處理。該物理防護措施滿足FIPS140－3中物理防護安全3級要求，則對應(yīng)的其有效率為75%。依次類推，可以確定整個密碼產(chǎn)品的安全防護措施有效率。

2.4 應(yīng)用實例

下面以高保障IP密碼機 （HAIPE）的安全風(fēng)險計算為例，驗證本文提出的風(fēng)險評估方法的合理性和有效性。

高保障IP密碼機 （HAIPE）［15］是美軍研制的下一代網(wǎng)絡(luò)密碼設(shè)備，是美軍實現(xiàn)全球信息柵格的關(guān)鍵設(shè)備，其主要功能有：隔離明文網(wǎng) （紅網(wǎng)）和密文網(wǎng) （黑網(wǎng)），作為紅黑邊界對數(shù)據(jù)包進行無條件加解密，保證端到端的安全性；支持實時狀態(tài)監(jiān)控、遠(yuǎn)程管理操作，在無人值守環(huán)境下的正常工作；支持密鑰的在線注入、更新、銷毀。

對HAIPE進行威脅分析，并構(gòu)建其安全威脅和安全措施之間的貝葉斯網(wǎng)絡(luò)如圖3所示。

圖3 HAIPE安全評估貝葉斯網(wǎng)絡(luò)

根據(jù)安全威脅描述表1，對圖3中HAIPE的安全威脅后果屬性進行賦值，造成關(guān)鍵安全參數(shù)泄露的安全威脅后果屬性為3，造成敏感信息泄露的安全威脅后果屬性為2，造成產(chǎn)品故障的安全威脅后果屬性為1。在此我們假設(shè)HAIPE沒有采用安全措施，即為此時安全威脅生效率為100%的情況，計算其風(fēng)險最大值，代入式 （5）可得，HAIPE的風(fēng)險最大值

將產(chǎn)品安全風(fēng)險等級劃分為較低、低、中、較高、高5個風(fēng)險等級，那么其風(fēng)險范圍依次為 （0，0.4）， （0.4，0.8），（0.8，1.2），1.2，1.6），（1.6，2.0）。

依次將HAIPE的安全措施分別處于安全1級，2級，3級，4級情況下所得的風(fēng)險值計算出來，得到如圖4所示的HAIPE風(fēng)險變化圖。

圖4 HAIPE風(fēng)險變化曲線

由圖4可以看出，當(dāng)HAIPE的安全措施都達到FIPS140－3中的安全1級要求，其風(fēng)險值R＝1.16，處于中等風(fēng)險等級的臨界上限，接近于較高風(fēng)險等級。達到安全2級時，風(fēng)險值R＝0.5625，處于低風(fēng)險等級。達到安全3級時，風(fēng)險值為R＝0.184，處于較低風(fēng)險等級。達到安全4級時，其風(fēng)險值為0，即為HAIPE的安全措施能夠應(yīng)對所有的安全威脅。其風(fēng)險變化基本符合HAIPE的實際應(yīng)用情況，結(jié)果證明了本文提出的密碼產(chǎn)品安全風(fēng)險評估方法的有效性。

3 結(jié)束語

本文對密碼產(chǎn)品安全風(fēng)險評估的具體實施方法進行了研究。提出了一種基于威脅分析的定量風(fēng)險評估方法，給出了該方法的風(fēng)險計算模型及評估主要步驟。該方法依據(jù)NIST發(fā)布的密碼模塊安全要求FIPS140－3，對安全措施有效率進行了分級確定。根據(jù)安全措施和安全威脅之間的因果關(guān)系，構(gòu)建貝葉斯評估網(wǎng)絡(luò)，計算安全威脅生效概率和產(chǎn)品安全風(fēng)險值，使得評估結(jié)果更具客觀性和準(zhǔn)確性。最后結(jié)合實例證明了該方法有著很好的適用性。

［1］FENG Dengguo，ZHANG Yang，ZHANG Yuqing.Survey of information security risk assessment［J］.Journal of China In－stitute of Communications，2004，29 （7）：10－18 （in Chinese）. ［馮登國，張陽，張玉清.信息安全風(fēng)險評估綜述［J］.通信學(xué)報，2004，29 （7）：10－18.］

［2］LI Hetian，LIU Yun，HE Dequan.Review on study of risk evaluation for IT system security ［J］Journal of China Safety Science，2006，16 （1）：108－113 （in Chinese）. ［李鶴田，劉云，何德全.信息系統(tǒng)安全風(fēng)險評估研究綜述 ［J］.中國安全科學(xué)學(xué)報，2006，16 （1）：108－113.］

［3］WU Xiaoping，F(xiàn)U Yu.Security risk assessment theory and methods for information systems［M］.Beijing：Science Press，2010：100－219（in Chinese）.［吳曉平，付鈺.信息系統(tǒng)安全風(fēng)險評估理論與方法 ［M］.北京：科學(xué)出版社，2010：100－219.］

［4］LU Xiangyan，ZHONG Cheng，YANG Liu.Security risk assessment method of website based on threat analysis ［J］.Journal of China Computer Applications，2009，29 （B12）：94－96 （in Chinese）.［陸向艷，鐘誠，楊柳.基于威脅分析的網(wǎng)站安全風(fēng)險評估方法 ［J］.計算機應(yīng)用，2009，29 （B12）：94－96.］

［5］ZHANG Jing，XUE Zhi，LIN Mengquan.Risk assessment method of information system based on threat analysis ［J］.Journal of China Computer Engineering，2004，30 （18）：56－58（in Chinese）.［張竟，薛質(zhì)，林夢泉.基于威脅分析的信息系統(tǒng)風(fēng)險評估方法 ［J］.計算機工程，2004，30 （18）：56－58.］

［6］TU Guoyong.Security evaluation of network system based on threat analysis［J］.Journal of China Information Security and Communications Privacy，2009，31 （4）：50－52 （in Chinese）.［涂國勇.基于威脅分析的網(wǎng)絡(luò)系統(tǒng)安全評估 ［J］.信息安全與通信保密，2009，31 （4）：50－52.］

［7］CHEN Xin，WANG Xiaohan，HUANG He.Research on multi－attribute information security risk assessment method based on threat analysis ［J］.Journal of China Computer Engineering and Design，2009，30 （1）：38－40 （in Chinese）.［陳鑫，王曉晗，黃河.基于威脅分析的多屬性信息安全風(fēng)險評估方法 研 究 ［J］.計 算 機 工 程 與 設(shè) 計，2009，30 （1）：38－40.］

［8］YANG yang，YAO Shuzhen.Risk assessment method of information security based on threat analysis ［J］.Journal of China Computer Engineering and Applications，2009，45 （3）：94－96（in Chinese）.［楊洋，姚淑珍.一種基于威脅分析的信息安全風(fēng)險評估方法 ［J］.計算機工程與應(yīng)用，2009，45 （3）：94－96.］

［9］Kondakci S.A causal model for information security risk assessment［C］.Sixth International Conference on Information Assurance and Security，2010：143－148.

［10］Kondakci S.Network security risk assessment using Bayesian belief networks［C］.IEEE International Conference on Social Computing／IEEE International Conference on Privacy Security Risk and Trust，2010：952－960.

［11］Kondakci S.A composite network security assessment ［C］.Fourth International Conference on Information Assurance and Security，2008：249－254.

［12］FU Yu，WU Xiaoping，YAN Chenghua.The method of information security risk assessment using Bayesian networks［J］.Journal of Wuhan University （Natural Science Edition），2006，52 （5）：631－634 （in Chinese）.［付鈺，吳曉平，嚴(yán)承華.基于貝葉斯網(wǎng)絡(luò)的信息安全風(fēng)險評估方法 ［J］.武漢大學(xué)學(xué)報 （理學(xué)版），2006，52 （5）：631－634.］

［13］ZHAO Junge，ZHANG Qi，F(xiàn)U Yu.Application of Bayesian network in security risk assessment of information systems［J］.Journal of Naval University of Engineering，2007，19（6）：67－70 （in Chinese）. ［趙俊閣，張琪，付鈺.貝葉斯網(wǎng)絡(luò)推理在信息系統(tǒng)安全風(fēng)險評估中的應(yīng)用 ［J］.海軍工程大學(xué)學(xué)報，2007，19 （6）：67－70.］

［14］FIPS 140－3draft revised ［Z］.Federal Information Processing Standards Publication，2009.

［15］GLEN Nakamoto.Scalable HAIPE discovery ［R］.Meeting Proceedings RTO－MP－IST－063，2006：1－14.