畢東旭，林家駿

(華東理工大學(xué)信息科學(xué)與工程學(xué)院，上海200237)

1 概述

復(fù)雜信息系統(tǒng)(Complex Information System，CIS)是多個(gè)信息系統(tǒng)的組合系統(tǒng)，其缺乏統(tǒng)一的框架模型，在系統(tǒng)開發(fā)、風(fēng)險(xiǎn)管理上都因?yàn)榻Y(jié)構(gòu)的復(fù)雜性而存在較大的難度［1］。層次分析法(Analytic Hierarchy Process，AHP)由運(yùn)籌學(xué)專家 Saaty提出［3］，是信息系統(tǒng)風(fēng)險(xiǎn)評估方法中最為常用的，該方法的核心是將經(jīng)驗(yàn)判斷給予量化，提供定量信息依據(jù)。文獻(xiàn)［4］介紹了模糊層次分析法，利用層次分析法的主觀定性判斷形成決策因素權(quán)重和模糊評價(jià)法中解決復(fù)雜關(guān)聯(lián)關(guān)系的處理方法;文獻(xiàn)［5］在信息網(wǎng)絡(luò)的基礎(chǔ)上設(shè)計(jì)了一種基于GB/T20984-2007《信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評估規(guī)范》［6］的風(fēng)險(xiǎn)評估;文獻(xiàn)［7］基于《信息系統(tǒng)安全保障評估框架》的安全保障評估，研究了CAE證據(jù)推理模型;文獻(xiàn)［8］度量了信息系統(tǒng)的安全技術(shù)保障性，使用能力成熟度等級的形式，并定義了保障要素集。文獻(xiàn)［9］對上述工作進(jìn)行梳理與總結(jié)。本文采用企業(yè)架構(gòu)(Enterprise Architecture，EA)對CIS的系統(tǒng)架構(gòu)進(jìn)行研究，并結(jié)合風(fēng)險(xiǎn)管理層次探討基于EA的CIS風(fēng)險(xiǎn)模型。Zachman框架［2］是經(jīng)典的企業(yè)體系結(jié)構(gòu)框架，本文基于Zachman企業(yè)架構(gòu)建立CIS風(fēng)險(xiǎn)評估框架，在風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)要素方面對CIS風(fēng)險(xiǎn)評估方法進(jìn)行研究。

2 CIS風(fēng)險(xiǎn)評估框架

Zachman框架由John A．Zachman提出，是經(jīng)典的企業(yè)體系結(jié)構(gòu)框架［10］。Zachman框架是6行6列的二維關(guān)系矩陣。其中，行代表不同視角提出的觀點(diǎn)，列代表系統(tǒng)的多種抽象描述。矩陣的元素表示觀點(diǎn)和抽象描述的交叉［11］。

基于 Zachman框架，結(jié)合 GB/T20984-2007《信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評估規(guī)范》，建立了CIS風(fēng)險(xiǎn)評估框架。該框架用6行6列的二維關(guān)系矩陣表示。行代表CIS的風(fēng)險(xiǎn)管理層次，列代表風(fēng)險(xiǎn)評估要素，矩陣的元素表示風(fēng)險(xiǎn)管理層次和風(fēng)險(xiǎn)評估要素的交叉。6個(gè)列包含了Zachman框架中的 5W1H，即分別表示:How，What，Where，Who，When，Why。6個(gè)行表示管理層、業(yè)務(wù)層、系統(tǒng)層、網(wǎng)絡(luò)層、數(shù)據(jù)層和物理層。CIS風(fēng)險(xiǎn)評估框架如表1所示。

表1 CIS風(fēng)險(xiǎn)評估框架

3 CIS風(fēng)險(xiǎn)評估流程

依據(jù)CIS風(fēng)險(xiǎn)評估框架與標(biāo)準(zhǔn)，建立了CIS風(fēng)險(xiǎn)評估流程，如圖1所示。

圖1 風(fēng)險(xiǎn)評估實(shí)施流程

對CIS進(jìn)行風(fēng)險(xiǎn)評估，依據(jù)風(fēng)險(xiǎn)管理層次和安全域劃分方法，以安全域?yàn)樵u估邊界;安全域內(nèi)依據(jù)5W1H 6個(gè)風(fēng)險(xiǎn)評估要素進(jìn)行評估，安全域間對互聯(lián)關(guān)系進(jìn)行評估，通過風(fēng)險(xiǎn)計(jì)算得出CIS風(fēng)險(xiǎn)結(jié)果。

4 架構(gòu)分解

4．1 CIS風(fēng)險(xiǎn)評估層次的劃分

依據(jù)風(fēng)險(xiǎn)管理層次，將CIS分為管理層、業(yè)務(wù)層、系統(tǒng)層、網(wǎng)絡(luò)層、數(shù)據(jù)層和物理層6個(gè)風(fēng)險(xiǎn)評估層次，風(fēng)險(xiǎn)評估層次的每一層都可以進(jìn)行風(fēng)險(xiǎn)評估。每個(gè)層次依據(jù)文獻(xiàn)［12］中安全域劃分的方法和步驟劃分為多個(gè)安全域，安全域的劃分沿用了對非復(fù)雜信息系統(tǒng)的劃分方法，但又考慮了安全域之間的關(guān)系，可細(xì)化地表示CIS中安全域間的關(guān)系以及風(fēng)險(xiǎn)的傳遞。通過架構(gòu)的分解對安全域進(jìn)行風(fēng)險(xiǎn)評估，簡化了復(fù)雜度和不確定度。

4．2 安全域的劃分

安全域是處于同一安全邊界內(nèi)的系統(tǒng)組成部分，既可以是邏輯的也可以是物理的，安全域?yàn)橄到y(tǒng)的描述提供了一種現(xiàn)實(shí)靈活的手段。

CIS中的安全域存在包含與交叉關(guān)系，如圖2所示。CIS安全域的定義是一種相對關(guān)系，例如圖2的安全域包含與交叉關(guān)系，使用分離、合并與屏蔽的方法，將CIS關(guān)聯(lián)的安全域轉(zhuǎn)換為新的互不交叉的安全域［13］。

圖2 域間關(guān)系

下面分別對風(fēng)險(xiǎn)評估中的分離、合并與屏蔽定義了具體的含義。

(1)分離:對目標(biāo)安全域中的子安全域分別進(jìn)行單一風(fēng)險(xiǎn)評估;

(2)合并:確定有互聯(lián)關(guān)系的安全域的表達(dá)方式，對其進(jìn)行風(fēng)險(xiǎn)關(guān)聯(lián)度的評估，得出目標(biāo)安全域的復(fù)合風(fēng)險(xiǎn)評估結(jié)果;

(3)屏蔽:對進(jìn)行完復(fù)合風(fēng)險(xiǎn)評估的各安全域進(jìn)行系統(tǒng)權(quán)重的評估，根據(jù)風(fēng)險(xiǎn)評估結(jié)果與權(quán)重集成為更高層次的安全域。

安全域間的包含和交叉關(guān)系是從理論上將CIS安全域間關(guān)系的形式化表述，可更好地說明安全域間的關(guān)系以及風(fēng)險(xiǎn)的傳遞，便于風(fēng)險(xiǎn)計(jì)算的過程和CIS安全性的研究。

5 安全域內(nèi)的風(fēng)險(xiǎn)評估

安全域內(nèi)的風(fēng)險(xiǎn)評估依據(jù)CIS風(fēng)險(xiǎn)評估框架，對5W1H 6個(gè)風(fēng)險(xiǎn)評估要素進(jìn)行評估。傳統(tǒng)風(fēng)險(xiǎn)評估要素資產(chǎn)、威脅、脆弱性的評估與賦值依據(jù)GB/T 20984-2007《信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評估規(guī)范》［6］具體實(shí)施，并增加了安全措施、安全時(shí)效和資產(chǎn)使命作為新的風(fēng)險(xiǎn)評估要素。

CIS安全域內(nèi)風(fēng)險(xiǎn)評估要素為:安全措施有效性(S)，安全措施時(shí)效性(E)，資產(chǎn)識別賦值(A)，資產(chǎn)使命賦值(M)，威脅發(fā)生頻率(T)，脆弱性嚴(yán)重程度(V)。采用專家系統(tǒng)的方法，用量化評分代表模糊詞語，即量化值評估結(jié)果［14］。

6 安全域間的風(fēng)險(xiǎn)評估

6．1 互聯(lián)關(guān)系評估流程

對于一般信息系統(tǒng)風(fēng)險(xiǎn)評估，不需要考慮信息系統(tǒng)間的互聯(lián)關(guān)系與風(fēng)險(xiǎn)傳遞，定義為單一風(fēng)險(xiǎn)評估，安全域內(nèi)風(fēng)險(xiǎn)評估即為單一風(fēng)險(xiǎn)評估。CIS中安全域存在不同的互聯(lián)關(guān)系，考慮互聯(lián)關(guān)系風(fēng)險(xiǎn)要素的風(fēng)險(xiǎn)評估定義為復(fù)合風(fēng)險(xiǎn)評估。圖3是以安全域表示包含單一風(fēng)險(xiǎn)評估與復(fù)合風(fēng)險(xiǎn)評估的互聯(lián)關(guān)系評估流程。

圖3 互聯(lián)關(guān)系評估流程

6．2 風(fēng)險(xiǎn)關(guān)聯(lián)度的計(jì)算方法

文獻(xiàn)［15］提出一種成員關(guān)聯(lián)度計(jì)算方法，基于平均互信息量，該算法具有明確的理論背景且易于實(shí)現(xiàn)，平均互信息量是互信息量在聯(lián)合概率空間中的統(tǒng)計(jì)平均值，隨機(jī)變量X，Y的平均互信息公式為:

其中，X和Y的關(guān)聯(lián)度與互信息成正比，CIS風(fēng)險(xiǎn)評估中用平均互信息表征各關(guān)聯(lián)安全域與目標(biāo)安全域的風(fēng)險(xiǎn)關(guān)聯(lián)度。

6．3 權(quán)重的評估

采用層次分析法(AHP)來確定安全域的權(quán)重。AHP是將與決策總是有關(guān)的元素分解成目標(biāo)、準(zhǔn)則、方案等層次，在此基礎(chǔ)之上進(jìn)行定性和定量分析的決策方法;AHP將模糊量化通過定性指標(biāo)的方法計(jì)算出層次單排序和總排序，確定各指標(biāo)的權(quán)重;AHP由很多底層元素構(gòu)成，該模型通過對目標(biāo)風(fēng)險(xiǎn)的分層，得底層風(fēng)險(xiǎn)的權(quán)重，再通過對底層進(jìn)行評估，得到最終的權(quán)重值［16］。

6．4 風(fēng)險(xiǎn)集成

確定安全域的關(guān)聯(lián)度，結(jié)合安全域的單一風(fēng)險(xiǎn)評估結(jié)果，得到了目標(biāo)安全域的復(fù)合風(fēng)險(xiǎn)評估結(jié)果。對完成復(fù)合風(fēng)險(xiǎn)評估的各安全域進(jìn)行系統(tǒng)權(quán)重的評估，根據(jù)風(fēng)險(xiǎn)評估結(jié)果與權(quán)重集的綜合作為更高層次安全域的風(fēng)險(xiǎn)評估。式(2)為風(fēng)險(xiǎn)集成公式:

7 風(fēng)險(xiǎn)等級劃分

評估者根據(jù)相應(yīng)的風(fēng)險(xiǎn)評估的計(jì)算方法，計(jì)算出CIS風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)值是一個(gè)數(shù)字化的表征，可根據(jù)相關(guān)的風(fēng)險(xiǎn)評估規(guī)范對風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行等級化處理，即將風(fēng)險(xiǎn)值等級化。等級化的風(fēng)險(xiǎn)表征，可有利于CIS的管理者對CIS風(fēng)險(xiǎn)的控制與管理。CIS評估者可根據(jù)風(fēng)險(xiǎn)值的分布情況，設(shè)定風(fēng)險(xiǎn)值范圍，增加相應(yīng)風(fēng)險(xiǎn)等級的文字描述。

CIS風(fēng)險(xiǎn)評估是在GB/T 20984-2007《信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評估規(guī)范》［6］信息系統(tǒng)風(fēng)險(xiǎn)評估流程的基礎(chǔ)上，增加了安全域中關(guān)聯(lián)關(guān)系的賦值與加權(quán)計(jì)算，該賦值可由測評專家確定或通過實(shí)際測試加以調(diào)整，并對風(fēng)險(xiǎn)要素和風(fēng)險(xiǎn)計(jì)算過程進(jìn)行符合CIS特性的擴(kuò)充。按此流程進(jìn)行的風(fēng)險(xiǎn)評估方法、風(fēng)險(xiǎn)計(jì)算方法、得出的風(fēng)險(xiǎn)值以及風(fēng)險(xiǎn)等級劃分符合該風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)。

8 實(shí)例分析

為驗(yàn)證本文提出的CIS風(fēng)險(xiǎn)評估方法的有效性，本節(jié)將以橫向分解的三層架構(gòu)所組成的CIS為實(shí)例，進(jìn)行風(fēng)險(xiǎn)評估。具體評估過程如下:

步驟1分別對6個(gè)風(fēng)險(xiǎn)評估層次內(nèi)的安全域進(jìn)行單一風(fēng)險(xiǎn)評估，以網(wǎng)絡(luò)層為例說明。網(wǎng)絡(luò)層一共有 5 個(gè)安全域，分別記為安全域 a，b，c，d，e。本例對安全域d進(jìn)行單一風(fēng)險(xiǎn)評估，其他安全域同理。

通過專家系統(tǒng)對安全域內(nèi)安全要素的評估，得出要素的風(fēng)險(xiǎn)值分別為:安全措施有效性S=2，安全措施時(shí)效性E=3，資產(chǎn)識別賦值A(chǔ)=4，資產(chǎn)使命賦值M=3，威脅發(fā)生頻率 T=2，脆弱性嚴(yán)重程度V=1。

(1)計(jì)算安全措施保障程度(L)

安全措施有效性:S=2，安全措施時(shí)效性:E=3，構(gòu)建安全措施保障矩陣，如表2所示。

表2 安全措施保障程度賦值

根據(jù)安全措施有效性和時(shí)效性賦值在矩陣中進(jìn)行對照，確定安全措施保障程度值為10。

由于安全措施保障程度值將參與風(fēng)險(xiǎn)值的計(jì)算，為構(gòu)建風(fēng)險(xiǎn)矩陣，對上述計(jì)算得到的安全措施保障程度進(jìn)行等級劃分，如表3所示，安全措施保障程度等級為2。

表3 安全措施保障程度等級劃分

(2)計(jì)算資產(chǎn)價(jià)值(T)

資產(chǎn)識別賦值:A=4，資產(chǎn)使命賦值:M=3，構(gòu)建資產(chǎn)價(jià)值矩陣，過程同理，此處略。得出資產(chǎn)價(jià)值等級為3。

(3)計(jì)算安全事件發(fā)生的可能性(U)

威脅發(fā)生頻率:T=2，脆弱性嚴(yán)重程度:V=1，構(gòu)建安全事件發(fā)生可能性矩陣，過程同理，此處略。得出安全事件發(fā)生可能性等級為1。

(4)計(jì)算安全域單一風(fēng)險(xiǎn)評估值

風(fēng)險(xiǎn)值計(jì)算采用相乘法，由安全措施保障程度等級、資產(chǎn)價(jià)值等級和安全事件發(fā)生可能性等級確定。安全措施保障程度等級為2;資產(chǎn)價(jià)值等級為3;安全事件發(fā)生可能性等級為1。安全域單一風(fēng)險(xiǎn)評估值為

同理，依照同樣的步驟，對網(wǎng)絡(luò)層的其他安全域進(jìn)行單一風(fēng)險(xiǎn)評估，得到的網(wǎng)絡(luò)層安全域風(fēng)險(xiǎn)值集合為［2．12，3．06，2．57，1．82，1．35］。

步驟2分別對6個(gè)風(fēng)險(xiǎn)評估層次內(nèi)的安全域建立互聯(lián)關(guān)系模型，用互聯(lián)關(guān)系網(wǎng)示意圖表示，并對風(fēng)險(xiǎn)關(guān)聯(lián)度進(jìn)行評估并計(jì)算，以網(wǎng)絡(luò)層的安全域關(guān)系為例說明。

圖4為網(wǎng)絡(luò)層安全域間互聯(lián)關(guān)系網(wǎng)示意圖，頂點(diǎn)表示安全域，邊的權(quán)值表示聯(lián)系頻度，聯(lián)系頻度由專家系統(tǒng)［15］評估得出。

圖4 網(wǎng)絡(luò)層安全域間互聯(lián)關(guān)系網(wǎng)示意圖

風(fēng)險(xiǎn)關(guān)聯(lián)度計(jì)算方法采用Ad-Ch算法，用隨機(jī)變量 ξ1，ξ2，ξ3，ξ4，ξ5來表示安全域 a，b，c，d，e。

根據(jù)圖4繪出事件表，即若兩隨機(jī)變量有關(guān)聯(lián)，在表中分別記“1”，否則記“0”。根據(jù)事件表計(jì)算隨機(jī)變量間的關(guān)聯(lián)度。作為示例，這里選擇安全域d作為中心成員，即目標(biāo)安全域，其余安全域?yàn)殛P(guān)聯(lián)安全域。計(jì)算得到 ξ1，ξ2，ξ3，ξ5與 ξ4的關(guān)聯(lián)度如表4 所示。

表 4 ξ1，ξ2，ξ3，ξ5 與 ξ4 的關(guān)聯(lián)度

通過步驟1，得到安全域的單一風(fēng)險(xiǎn)評估值集合為［2．12，3．06，2．57，1．82，1．35］，其中目標(biāo)安全域 d的單一風(fēng)險(xiǎn)評估值為1．82。經(jīng)過關(guān)聯(lián)度的計(jì)算后，目標(biāo)安全域d的復(fù)合風(fēng)險(xiǎn)評估值為2．12。

其他安全域復(fù)合風(fēng)險(xiǎn)評估值利用同樣的方式進(jìn)行迭代運(yùn)算，得到網(wǎng)絡(luò)層安全域復(fù)合風(fēng)險(xiǎn)評估值集合為［2．43，4．02，2．74，2．12，1．89］。

步驟3權(quán)重集評估。利用專家系統(tǒng)對CIS網(wǎng)絡(luò)層安全域進(jìn)行風(fēng)險(xiǎn)權(quán)重評估，評估值依據(jù)Saaty1～9級判斷矩陣標(biāo)準(zhǔn)度［3］來評定，根據(jù)評估值構(gòu)造判斷矩陣。對網(wǎng)絡(luò)層的安全域兩兩比較其相對重要性得出相對權(quán)值的比值，以此來構(gòu)造網(wǎng)絡(luò)層的判斷矩陣，如式(3)所示:

通過列向量歸一化、按行求和、權(quán)重向量歸一化等過程，計(jì)算出此CIS網(wǎng)絡(luò)層單一風(fēng)險(xiǎn)評估值為2．84。

步驟4風(fēng)險(xiǎn)評估層次權(quán)重的評估與計(jì)算。通過前3個(gè)步驟，可以得到各風(fēng)險(xiǎn)評估層次的單一風(fēng)險(xiǎn)評估值。以某CIS為例，風(fēng)險(xiǎn)評估層次的單一風(fēng)險(xiǎn)評估值集合(以管理層、業(yè)務(wù)層、系統(tǒng)層、網(wǎng)絡(luò)層、數(shù)據(jù)層和物理層順序)為 RL=［1．37，3．09，2．25，2．84，2．01，3．48］。

構(gòu)造CIS風(fēng)險(xiǎn)評估層次的判斷矩陣，如式(4)所示:

通過列向量歸一化、按行求和、權(quán)重向量歸一化等過程，計(jì)算出此CIS單一風(fēng)險(xiǎn)評估值為2．48。

步驟5 風(fēng)險(xiǎn)等級判定。根據(jù)GB/T 20984-2007《信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評估規(guī)范》［6］標(biāo)準(zhǔn)提供的風(fēng)險(xiǎn)等級劃分方法，風(fēng)險(xiǎn)值2．48屬于集合［2，3］的范疇，此CIS風(fēng)險(xiǎn)等級為中等，一旦發(fā)生會造成一定的經(jīng)濟(jì)、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大。

9 結(jié)束語

本文在信息系統(tǒng)風(fēng)險(xiǎn)評估的基礎(chǔ)上對復(fù)雜信息系統(tǒng)(CIS)風(fēng)險(xiǎn)評估進(jìn)行研究?；谄髽I(yè)架構(gòu)Zachman框架建立了CIS風(fēng)險(xiǎn)評估框架，該框架可克服CIS在結(jié)構(gòu)上具有高復(fù)雜度和高不確定度帶來的評估流程的不確定性。根據(jù)GB/T 20984-2007《信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評估規(guī)范》［6］建立CIS風(fēng)險(xiǎn)評估流程，并對該流程進(jìn)行驗(yàn)證，結(jié)果符合該風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)。

［1］ 吳曉平，付 鈺．信息系統(tǒng)安全風(fēng)險(xiǎn)評估理論與方法［M］．北京:科學(xué)出版社，2011．

［2］ Zachman J A．A Framework for Information Systems Architecture［J］．IBM Systems Journal，1999，38(2):454-470．

［3］ Saaty T L．The Analytic Hierarchy Process:Planning，Priority Setting，Resource Allocation［M］．New York，USA:McGraw-Hill，1980．

［4］ Peng Xuning，Dai Feng．Information Systems Risk Evaluation Based on the AHP-fuzzy Algorithm［C］//Proceedings of International Conference on Networking and Digital Society．Washington D．C．，USA:IEEE Press，2009:178-180．

［5］ Hou Zherui．Application of GB/T20984 in Electric Power Information Security Risk Assessment［C］//Proceedings of International Conference on Measuring Technology and Mechatronics Automation．Washington D．C．，USA:IEEE Press，2010:616-619．

［6］ 國家質(zhì)檢總局．GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范［S］．2007．

［7］ 王 雨，江常青，林家駿，等．基于《信息系統(tǒng)安全保障評估框架》的CAE證據(jù)推理評估模型［J］．清華大學(xué)學(xué)報(bào)，2011，51(10):1240-1245．

［8］ 安 偉，江常青，林家駿，等．基于GB/T 20274的信息系統(tǒng)安全技術(shù)保障評估及計(jì)算機(jī)實(shí)現(xiàn)［J］．華東理工大學(xué)學(xué)報(bào)，2012，38(5):645-651．

［9］ 吳世忠，江常青，林家駿．信息系統(tǒng)安全保障評估［M］．上海:華東理工大學(xué)出版社，2014．

［10］ 周建魁．SaaS應(yīng)用構(gòu)建方法的研究與實(shí)現(xiàn)［D］．鄭州:鄭州大學(xué)，2011．

［11］ 王元放．基于三大要素系統(tǒng)的上海城市管理信息系統(tǒng)基本框架研究［D］．上海:上海交通大學(xué)，2009．

［12］ 于慧龍，李 萍．大型信息系統(tǒng)安全域劃分和等級保護(hù)［J］．計(jì)算機(jī)安全，2006，(7):7-8．

［13］ 李守鵬，孫紅波．信息系統(tǒng)安全模型研究［J］．電子學(xué)報(bào)，2003，31(10):1491-1495．

［14］ 鄧紅莉，楊 韜，邵晨曦，等．一種對仿真可信度評估的智能專家系統(tǒng)［J］．計(jì)算機(jī)仿真，2011，28(8):90-93．

［15］ 徐詩恒，聶幼三，柳 波，等．網(wǎng)絡(luò)成員關(guān)聯(lián)度計(jì)算方法研究［J］．計(jì)算機(jī)工程與應(yīng)用，2009，45(12):138-140．

［16］ 馬海娟，高廣闊．確定指標(biāo)權(quán)重的統(tǒng)計(jì)方法比較［J］．統(tǒng)計(jì)與咨詢，2011，(6):30-31．