潘雪霖 陸佳星 張武軍 孫 偉3,

1(廣州市衛(wèi)生健康技術(shù)鑒定和人才評價中心 廣州 510630)2(中山大學(xué)附屬第一醫(yī)院信息數(shù)據(jù)中心 廣州 510080)3(中山大學(xué)電子信息與工程學(xué)院 廣州 510006)4(信息技術(shù)教育部重點實驗室(中山大學(xué)) 廣州 510006)

(389801667@qq.com)

信息技術(shù)在推動人類社會發(fā)展的同時也帶來了安全隱患，這使得人們在享受互聯(lián)網(wǎng)帶來的便利的同時也必須提高安全防范意識.防范意識筑牢安全保障體系，安全風(fēng)險評估作為整體保障意識的首道防線，也為安全決策機制提供了重要評價[1]依據(jù).安全風(fēng)險評估統(tǒng)籌把握風(fēng)險因素，基于系統(tǒng)的風(fēng)險因子，通過科學(xué)的方法對系統(tǒng)合理地分析，識別潛在的風(fēng)險，提前預(yù)防，以達到保障系統(tǒng)安全的效果[2].信息安全風(fēng)險評估是個復(fù)雜的過程，貫穿于信息系統(tǒng)建設(shè)和實施的整個生命周期中.

GB/T31509—2015《信息安全技術(shù)和風(fēng)險評估實施指南》[3](以下簡稱“指南”)為信息安全評估指明了方向，但該指南涉及到信息化資產(chǎn)、存在脆弱性和潛在威脅的部分卻僅僅是分類和定義，沒有根據(jù)實際情況進行賦值和計算.本文在信息安全等級保護2.0(以下簡稱“等保2.0”)的基礎(chǔ)上，對資產(chǎn)、內(nèi)在的脆弱性和通過脆弱性產(chǎn)生的威脅關(guān)系進行層次分析，計算相應(yīng)的權(quán)重，量化指標，標識風(fēng)險，綜合計算出風(fēng)險值，提出較為客觀的安全風(fēng)險評估模型.

1 基于等保2.0標準的風(fēng)險評估流程

安全風(fēng)險評估是在特定的運行環(huán)境下，對信息系統(tǒng)集成潛在的弱點挖掘的過程，根據(jù)評估報告，以成本-效益權(quán)衡原則[4]，作出相應(yīng)的安全防范措施.安全風(fēng)險評估可分為自評估和檢查評估2種.自評估是根據(jù)自身情況進行檢查的過程，而檢查評估是依據(jù)檢查部門的要求有所側(cè)重的評估.評估過程中涉及到的幾個概念闡述如下：

定義1.信息化資產(chǎn)(information assets).指有效的信息化資源集合，用A表示.

信息化資產(chǎn)一般有硬件、軟件、人員和數(shù)據(jù)等，具有完整性(integrity)、可用性(usability)和保密性(confidentiality)3個安全屬性.完整性是指信息不被破壞和信息未經(jīng)授權(quán)不能改變的特性；可用性是指信息可被授權(quán)實體正常訪問使用的特性；保密性是指不將信息泄露給非授權(quán)主題的特性.

定義2.脆弱性(vulnerability).指信息化資產(chǎn)自身的薄弱環(huán)節(jié)，用V表示.

脆弱性源自于資產(chǎn)內(nèi)部弱點，可能是管理上的漏洞，也可能因為技術(shù)上的缺陷，甚至是安全加固帶來的反噬效應(yīng)引起的不適，如打補丁后對系統(tǒng)的應(yīng)用會產(chǎn)生影響.

定義3.威脅(threaten).利用資產(chǎn)脆弱性產(chǎn)生的挾持，用T表示.

威脅可能是人為因素造成的，也可能受環(huán)境影響引起.如故障、惡意攻擊、誤操作、管理缺位等.

為使安全風(fēng)險評估工作科學(xué)化和規(guī)范化，本文結(jié)合等保2.0標準，按照GB/T 20984—2007標準，提出的風(fēng)險評估流程圖[5],如圖1所示.

圖1 基于等保2.0標準的風(fēng)險評估實施流程圖

從圖1可以看出，風(fēng)險評估實施流程主要由風(fēng)險評估準備、風(fēng)險分析(即識別信息化資產(chǎn)、尋找脆弱性和追蹤威脅以及基于等保2.0標準確認已采取安全措施的過程)和實施風(fēng)險管理3個子過程組成.

1) 風(fēng)險評估準備

評估前的準備工作會影響到后續(xù)評估的效果，起到基礎(chǔ)作用.預(yù)備評估包括建立評估實施團隊，確定目標、范圍、方案、方法.

2) 風(fēng)險分析

將識別信息化資產(chǎn)歸類，分析資產(chǎn)的完整性、可用性、保密性，然后推出資產(chǎn)價值.通過識別資產(chǎn)脆弱性，追蹤利用脆弱性的威脅.基于等保2.0要求，對系統(tǒng)進行差距測評和整改，制定相關(guān)安全措施，在安全評估時確認這些措施可以節(jié)省評估費用.

3) 實施風(fēng)險管理

計算風(fēng)險、評價風(fēng)險帶來損失的概率，按照風(fēng)險接受準則，決定是否接受風(fēng)險，繼而對殘余風(fēng)險的處置，都需要評估小組討論后決策.

2 基于層次分析的風(fēng)險評估方法

目前，國內(nèi)外有很多風(fēng)險評估方法[6]，可分為定性研究和定量研究.定性研究依賴于評估者的專業(yè)背景知識，根據(jù)掌握的大量統(tǒng)計資料對個案進行經(jīng)驗研究，有因素分析法、德爾菲法、邏輯分析法等.定量研究通過量化指標分析個案存在的風(fēng)險，具有一定的客觀性，但是量化指標的定性分析對風(fēng)險評估結(jié)果起到制約作用.綜上，定性定量相結(jié)合的綜合分析法從一定程度上消除主觀因素，使評估結(jié)果更趨向于客觀科學(xué)事實.

文獻[7]提出一種基于云計算環(huán)境的風(fēng)險評估方法；文獻[8-9]提出的評估方法都是基于遺傳算法的；文獻[10]借助故障樹進行分析；文獻[11]提出一種基于等保2.0的評估方法；文獻[12]從模糊數(shù)學(xué)理論著手研究風(fēng)險評估；文獻[13]更是別開生面從技術(shù)債務(wù)角度度量風(fēng)險；文獻[14-15]則是從層次分析角度去看待風(fēng)險.

層次分析(analytic hierarchy process, AHP)[16]最先是由美國運籌學(xué)家匹茨堡大學(xué)Saaty教授于20世紀70年代初提出，90年代推廣到?jīng)Q策分析應(yīng)用[17]，常用于不易量化因素的處理，是一種定性和定量相結(jié)合的方法.其基本原理是將復(fù)雜問題縱向分解成若干層次，一般都是3層居多；然后自下而上，通過各個因素之間兩兩比較，計算出本層各個因素相對于上層的權(quán)重；最后，運用權(quán)重疊加的方式進行排序，求出各個方案對目標的權(quán)重數(shù)值.針對多準則的決策分析，具有高效快速的特點，其原理是將復(fù)雜的問題分解成較小的模塊，逐一有層次、有條理、有順序地解決，其步驟如圖2所示.

圖2 層次分析步驟

從圖2可以看出，明確方案評價目標后就進入分析步驟.

1) 建立層析結(jié)構(gòu).深入分析被評估對象各個因素之間的內(nèi)在聯(lián)系，針對當前需要解決的問題，按目標、準則、方案3種指標分解問題.具體為：將待解決的問題(目標)橫向細化為準則模塊，繼而將準則模塊按某一屬性或某一特征縱向分解為若干方案，形成方案層.上層操縱下層，下層受上層制約.

2) 構(gòu)造判斷矩陣.由上個步驟確定層與層之間的隸屬關(guān)系，為了確定因素之間的相對重要性，將本層各個因素與上層指定的某個因素的重要性作比較，進行權(quán)重賦值，構(gòu)成成對比較判斷矩陣.按照Saaty[17]提出的9分法，表1提供了一種判斷矩陣的比較方法：

表1 判斷矩陣的比較表

3) 求取權(quán)值及一致性檢驗.針對層析結(jié)構(gòu)，在某一準則的約束下，計算各個因素的權(quán)重大小，并對上一步的判斷矩陣進行一致性檢驗.具體為：根據(jù)判斷矩陣計算權(quán)向量、最大特征值和其對應(yīng)的最大特征向量，目的是針對判斷矩陣的2個因素之間的權(quán)重作比較.一致性檢驗用一致性指標CI(consistent index)衡量，其公式如下：

(1)

其中λmax表示判斷矩陣的最大特征值，n表示判斷矩陣的階數(shù)，當n=1或n=2時，判斷矩陣屬于完全一致，當CI越接近于0，表示越一致.隨機一致性指標RI(random consistency index)為度量CI的大小，Saaty[17]給出的參照表如表2所示:

表2 RI參照表

一致性比率公式如下：

(2)

其中當CR<0.1時，認為一致性檢驗通過，將其對應(yīng)的特征向量歸一化表示為權(quán)向量.反之，當CR>0.1時,需要重新構(gòu)造判斷矩陣.

4) 權(quán)重綜合排序.計算所有元素相對于總目標的權(quán)重，自上而下逐層進行綜合排序.

3 基于GB/T 31509—2015的風(fēng)險評估模型

按照風(fēng)險評估實施指南GB/T 31509—2015，基于等保2.0標準和層次分析的評估方法，本文提出基于GB/T 31509—2015的風(fēng)險評估模型.如圖3所示.

圖3 GB/T31509—2015風(fēng)險評估模型

將威脅與脆弱性關(guān)聯(lián)，分析催生的安全事件及其概率；將脆弱性和信息化資產(chǎn)關(guān)聯(lián)，分析資產(chǎn)內(nèi)部的脆弱性，引發(fā)的安全事件造成的損失概率，逐步建立評估模型，可概括為

R=f(A,V,T),

(3)

其中R表示風(fēng)險，f表示風(fēng)險計算函數(shù)，A表示信息化資產(chǎn)，V表示脆弱性，T表示威脅.

在以上分析模型的基礎(chǔ)上，本文觀察電子政務(wù)私有云上的信息系統(tǒng)，通過電子政務(wù)外網(wǎng)專網(wǎng)傳輸數(shù)據(jù)和等級保護測評，提出基于GB/T 31509—2015的風(fēng)險評價模型.其模型圖如圖4所示：

圖4 風(fēng)險評價模型

風(fēng)險評估預(yù)備工作關(guān)乎風(fēng)險評估結(jié)果的有效性，按照上文提到的層析結(jié)構(gòu)，確定風(fēng)險評價目標.遵照指南，接著進入識別階段，對“信息化資產(chǎn)”“威脅”“脆弱性”這3個關(guān)鍵因素組成的準則層進行一一辨識.方案層則是更加細化的因素，共有“完整性” “可用性” “保密性”3大因子權(quán)重比例確定信息化資產(chǎn)的重要程度；而“人為威脅”和“環(huán)境威脅”則確定威脅的程度；另外，“管理漏洞” “技術(shù)漏洞” “加固反噬”對應(yīng)確認脆弱環(huán)節(jié)，與前文一一對應(yīng).

賦值是量化的過程，在風(fēng)險識別、分析和處理及項目驗收等關(guān)鍵控制階段核查檢驗.

3.1 信息化資產(chǎn)賦值

信息化資產(chǎn)是風(fēng)險評價的首要關(guān)鍵主體，經(jīng)過分類、調(diào)查、核對之后，量化取證為計算風(fēng)險打下基礎(chǔ).資產(chǎn)價值用“很高” “高” “中” “低” “很低”5個等級從定性角度衡量，分別對應(yīng)5，4，3，2，1作定量度量，其相關(guān)說明如表3所示.資產(chǎn)等級代表著重要與否.指南提出資產(chǎn)賦值容易帶入主觀因素，因此本文中，資產(chǎn)價值是對它的完整性、可用性和保密性的權(quán)重分析后的綜合約束，最終形成資產(chǎn)賦值報告.

表3 資產(chǎn)價值賦值表

3.2 威脅賦值

基于安全需求，對威脅客體的資產(chǎn)價值作評價可以反映出威脅的程度，價值越高，威脅就越大.對客觀存在的威脅進行辨識、分類、調(diào)查、分析，最終形成威脅分析報告.威脅等級劃分為5個級別，其級別賦值如表4所示：

表4 威脅等級賦值表

3.3 脆弱性賦值

脆弱性識別中，核查是重要手段.確認后形成脆弱性報告，在報告中，脆弱性對信息化資產(chǎn)的暴露程度也可以從賦值中體現(xiàn)，等級越高表示它對應(yīng)資產(chǎn)的暴露程度越大.脆弱性量化指標如表5所示：

表5 脆弱性等級賦值表

3.4 風(fēng)險計算

風(fēng)險計算是在信息化資產(chǎn)、威脅和脆弱性量化的基礎(chǔ)上，通過層次分析，加以權(quán)重得出的綜合計算.而本文認為信息化資產(chǎn)是處于一個經(jīng)過等級保護測評的云環(huán)境下.即已做好有效的風(fēng)險安全控制措施，故在計算風(fēng)險中忽略安全措施.

按照圖3風(fēng)險分析原理，風(fēng)險值是由安全事件發(fā)生的概率和安全事件造成的損失決定的.風(fēng)險值根據(jù)相乘法計算，細化式(3)可推出式(4)：

R=R1×R2，

(4)

(5)

(6)

式(4)中，R表示風(fēng)險值，R1表示安全事件的發(fā)生概率，而R2表示安全事件帶來的損失.式(5)和式(6)中，T表示威脅賦值，WT表示威脅權(quán)重；V表示脆弱性賦值，WV表示脆弱性權(quán)重；A表示信息化資產(chǎn)價值，WA表示信息化資產(chǎn)權(quán)重.T取值介于 1～5之間，即1≤T≤5 ；V取值介于1～5之間，即1≤V≤5；A取值介于1～5之間，即1≤A≤5；權(quán)重都是介于0～1之間，由層次分析計算得出，風(fēng)險值的計算范圍是0

表6 風(fēng)險等級對應(yīng)劃分表

3.5 實驗結(jié)果

本文實驗中，運用Python計算機開發(fā)語言，基于Pycharm開發(fā)環(huán)境實現(xiàn)層次分析風(fēng)險評估算法，對新型冠狀肺炎病毒接種疫苗接種預(yù)約系統(tǒng)(以下簡稱“疫苗接種系統(tǒng)”)的風(fēng)險進行評價.幾個核心函數(shù)包括：

get_special(self,array);

#獲取特征值和特征向量.

vectorNormalize(max_vector);

#特征向量歸一化.

matrixInput();

#判別矩陣的一致性檢驗.

對照圖4風(fēng)險評價模型，目標層R表示風(fēng)險評價，資產(chǎn)S1、威脅S2、脆弱性S3構(gòu)成準則層，完整性P1、可用性P2、保密性P3、人為威脅P4、環(huán)境威脅P5、管理漏洞P6、技術(shù)漏洞P7、加固反噬P8構(gòu)成方案層.實驗結(jié)果如表7～11所示.

表7 S1-S2-S3判斷矩陣及相關(guān)參數(shù)列表

由最頂目標層R與中間準則層S之間的S1-S2-S3判斷矩陣分析，CR<0.1表示通過一致性檢驗，數(shù)據(jù)是可接受的.

表8 P1-P2-P3判斷矩陣及相關(guān)參數(shù)列表

由中間準則層資產(chǎn)S1與最低方案層P之間的P1-P2-P3判斷矩陣分析，CR<0.1表示通過一致性檢驗，數(shù)據(jù)是可接受的.

表9 P4-P5的判斷矩陣及相關(guān)參數(shù)列表

由中間準則層威脅S2與最低方案層P之間的P4-P5判斷矩陣分析，CR<0.1表示通過一致性檢驗，數(shù)據(jù)是可接受的.

表10 P6-P7-P8的判斷矩陣及相關(guān)參數(shù)列表

由中間準則層脆弱性S3與最低方案層P之間的P6-P7-P8判斷矩陣分析，CR<0.1表示通過一致性檢驗，數(shù)據(jù)是可接受的.對方案層的每個因素進行權(quán)重排序，得出如表11所示的單層次排序和總排序：

表11 權(quán)重總排序

如前文所述，安全風(fēng)險評估的資產(chǎn)對象是主機、網(wǎng)絡(luò)、硬件、軟件、人員等，而本實驗中，因網(wǎng)絡(luò)和硬件基礎(chǔ)設(shè)施，包括人員都是通過安全等級測評的，所以重點研究對象是信息系統(tǒng)，而資產(chǎn)可定為功能模塊，針對疫苗接種系統(tǒng)的統(tǒng)一登錄模塊進行研究.統(tǒng)一登錄模塊的資產(chǎn)研究對象是登錄功能，其完整性是指登錄功能從登錄到退出的閉環(huán)管理，而可用性是功能全流程應(yīng)用暢通，保密性是指數(shù)據(jù)加密傳輸和存儲.在威脅方面，人為威脅是人員誤操作、程序員后臺處理失誤、系統(tǒng)人為更新出錯等；環(huán)境因素在于系統(tǒng)遷移后運行環(huán)境不適應(yīng)、訪問帶寬受限、系統(tǒng)軟件升級后對應(yīng)用的影響等.至于脆弱性，管理漏洞一般是因為系統(tǒng)安全制度不完善等引起的，技術(shù)漏洞在于安全滲透檢查后發(fā)現(xiàn)的漏洞未整改的情況，加固反噬指的是安全加固后對應(yīng)用的影響.未作安全措施前，登錄功能資產(chǎn)價值為5，威脅等級值為5，脆弱性級別為5，根據(jù)式(4)～(6)，結(jié)合表11得到權(quán)重比值，算出風(fēng)險值為0.887 1，對照表6，屬于中風(fēng)險，有可能造成大損失.經(jīng)過等保2.0測評，根據(jù)差距分析對登錄功能模塊作了安全整改，登錄功能因其屬于系統(tǒng)的重要模塊，資產(chǎn)價值依然是5，威脅減少了人為因素的影響，賦值4；而脆弱性方面，排除做好的安全防護措施，主要定為技術(shù)漏洞，可用打補丁的個數(shù)衡量漏洞的程度，取值為4.根據(jù)式(4)～(6)，結(jié)合表11得到權(quán)重比值，算出風(fēng)險值為0.635，對照表6，屬于低風(fēng)險，是可接受的，屬于可控范圍內(nèi).對安全整改后的功能進行實驗分析得出有效的安全措施降低了風(fēng)險，而實驗?zāi)Ｐ鸵矙z驗了其有效性.通過對疫苗接種系統(tǒng)的每個功能模塊進行風(fēng)險分析與評價，最終形成風(fēng)險評估報告，為評估團隊作決策提供數(shù)據(jù)支撐，使疫苗接種系統(tǒng)在后期投入運行中更加順暢.

4 結(jié) 語

本文基于等保2.0標準的風(fēng)險評估流程，運用層次分析評估方法，提出基于GB/T 31509—2015信息安全風(fēng)險評估指南的風(fēng)險評估模型，并得到實驗有效驗證.本文提出的模型在疫苗接種系統(tǒng)中發(fā)揮了重要作用.在疫苗接種系統(tǒng)上線前的壓力測試中，通過研究模型預(yù)測到疫苗接種登錄模塊面臨著巨大壓力，提前加大物理機、虛擬機和負載均衡等云資源的支撐；提出疫苗預(yù)約登記制度，有效地避免巨大訪問壓力導(dǎo)致系統(tǒng)癱瘓.