安全風(fēng)險評估模型綜述

楊明增,李拴保,唐慧林

(1.河南教育學(xué)院數(shù)學(xué)系,河南鄭州 450046;2.河南財(cái)政稅務(wù)高等專科學(xué)校信息工程系,河南鄭州 450002;3.解放軍信息工程大學(xué)電子技術(shù)學(xué)院,河南鄭州 450004)

安全風(fēng)險評估模型綜述

楊明增1,李拴保2,唐慧林3

(1.河南教育學(xué)院數(shù)學(xué)系,河南鄭州 450046;2.河南財(cái)政稅務(wù)高等專科學(xué)校信息工程系,河南鄭州 450002;3.解放軍信息工程大學(xué)電子技術(shù)學(xué)院,河南鄭州 450004)

深入分析總結(jié)了信息安全風(fēng)險模型的研究現(xiàn)狀,給出了信息安全風(fēng)險評估模型的現(xiàn)有分類,為安全風(fēng)險研究的深入和具體實(shí)施提供了重要基礎(chǔ).

風(fēng)險評估;模型;因素;風(fēng)險分析;綜述

模型是客觀系統(tǒng)某一方面本質(zhì)屬性的描述,它以某種確定的形式提供關(guān)于該系統(tǒng)的知識,是我們用來認(rèn)識客觀世界的有力工具[1].系統(tǒng)的研究目的決定了本質(zhì)屬性的選取,創(chuàng)建模型的目標(biāo)指導(dǎo)著客觀對象的概念化過程,它決定了模型中必須體現(xiàn)客觀對象的哪些屬性以及如何描述它們.根據(jù)系統(tǒng)風(fēng)險評估的階段和目標(biāo)可將評估模型分為風(fēng)險概念模型、評估過程模型、風(fēng)險分析模型和風(fēng)險評價模型,本文通過較常用的模型介紹這 4種風(fēng)險評估模型.

1 風(fēng)險概念模型

圖1 系統(tǒng)安全風(fēng)險簡要模型

圖2 OCTAVE風(fēng)險評估過程

風(fēng)險概念模型主要反映風(fēng)險因素之間的相互關(guān)系,對概念進(jìn)行建模有助于理清評估思路,認(rèn)清風(fēng)險的本質(zhì)屬性,同時也為發(fā)現(xiàn)評估指標(biāo)提供了很好的途徑.圖 1為系統(tǒng)安全風(fēng)險的簡要示意圖,該模型說明威脅對系統(tǒng)資產(chǎn)構(gòu)成風(fēng)險的前提有兩個,一是系統(tǒng)的安全防護(hù)存在脆弱點(diǎn),二是資產(chǎn)存在價值.如果沒有這兩個前提,則無風(fēng)險可言.風(fēng)險的存在性可導(dǎo)出安全需求,安全需求通過安全設(shè)施的加強(qiáng)而被滿足,而安全設(shè)施的加強(qiáng)或者完備可減緩風(fēng)險.

2 評估過程模型

評估過程模型可以指導(dǎo)評估操作的總體流程,雖然評估方法差異較大,但各種評估過程模型卻有著較大的相似性.OCTAVE(Operationally Critical Threat,Asset and Vulnerability Evaluation)是確認(rèn)、管理信息安全性風(fēng)險的框架體系,它定義了全面的評估過程.利用 OCTAVE可以確認(rèn)組織業(yè)務(wù)的關(guān)鍵性資產(chǎn),對于這些資產(chǎn)的威脅以及可能為威脅所利用的資產(chǎn)脆弱性,其風(fēng)險評估實(shí)施流程如圖 2所示[2].

文獻(xiàn)[3]認(rèn)為,首先識別信息在實(shí)際運(yùn)用中困難比較大,所以建議按照某種定義先劃分評估范圍,再對各個部分進(jìn)行資產(chǎn)識別和評估,同時也可以按照該劃分對評估小組進(jìn)行分組.資產(chǎn)識別和評估應(yīng)該以自評估為主,由評估小組共同完成.文獻(xiàn)[4]以安全策略的制定為評估目標(biāo),主要突出各階段提交的文檔形式和風(fēng)險評估的目標(biāo),該模型將風(fēng)險評估分為4個階段:前期準(zhǔn)備階段、現(xiàn)場調(diào)查階段、風(fēng)險分析階段和風(fēng)險管理階段.

從上述幾個風(fēng)險評估過程可以總結(jié)出風(fēng)險評估的一般過程,如圖 3所示.首先要明確評估目標(biāo)、制定評估計(jì)劃,不僅包括識別系統(tǒng)評估邊界、業(yè)務(wù)流程、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、組織機(jī)構(gòu)等,還包括人員分工和制定風(fēng)險評估準(zhǔn)則等;然后采集評估所需的數(shù)據(jù),如威脅調(diào)查、事故記錄、漏洞信息等;信息采集充足之后,可以開始進(jìn)行綜合分析,評價系統(tǒng)的風(fēng)險大小;最后,要根據(jù)分析的結(jié)果制定策略,主要考慮成本—效益等方面,接受風(fēng)險或采取適當(dāng)?shù)拇胧┓婪讹L(fēng)險.

圖3 風(fēng)險評估的一般過程

3 風(fēng)險分析模型

風(fēng)險評估過程的重點(diǎn)是風(fēng)險分析.根據(jù)前期的調(diào)查結(jié)果,分析系統(tǒng)面臨的主要威脅因素、信息系統(tǒng)關(guān)鍵資產(chǎn)組件的構(gòu)成情況以及關(guān)鍵資產(chǎn)存在的脆弱性 (包括技術(shù)措施和組織措施)等.傳統(tǒng)建模分析方法,如故障樹分析法(FTA)、應(yīng)用于化工行業(yè)的危害及可操作性研究分析方法(HazOp)、應(yīng)用于飛機(jī)制造業(yè)的失效模式及效果/危害程度分析方法(FMEA&FMECA)和Markov分析法[5-6]等,對于信息系統(tǒng)風(fēng)險評估也很有借鑒意義.

我們可以在風(fēng)險的不同階段采用合適的方法.在建立環(huán)境環(huán)節(jié),主要使用 HazOp技術(shù)識別信息安全風(fēng)險分析需要關(guān)注的領(lǐng)域、資產(chǎn)和安全需求.在風(fēng)險識別環(huán)節(jié),通常以 HazOp技術(shù)為主,FTA、FMECA為輔,標(biāo)示資產(chǎn)面臨的威脅和脆弱點(diǎn).在風(fēng)險分析環(huán)節(jié),通常以 FMECA為主,HazOp、FTA為輔,調(diào)查不期望發(fā)生的事件及其發(fā)生的可能性.在風(fēng)險評估環(huán)節(jié),主要通過 F MECA技術(shù),確定風(fēng)險的等級.在風(fēng)險處理環(huán)節(jié),主要通過 FTA技術(shù),對每項(xiàng)標(biāo)示的風(fēng)險提出可供選擇的處理措施.

4 風(fēng)險評價模型

評價是按預(yù)定的目的確定研究對象的屬性(指標(biāo)),并將這種屬性變?yōu)榭陀^定量的計(jì)算值或主觀效用的行為,多指多屬性對象的綜合評價.傳統(tǒng)評價模式的弊端很多,主要有指標(biāo)體系不全面、不規(guī)范,主觀成分較重,從本質(zhì)上看,是以半定量、半定性或定性分析作為主要分析方式.現(xiàn)代評價模式是新興的一種評價模式,體現(xiàn)了評價發(fā)展的方向.該模式的特點(diǎn)是指標(biāo)體相對規(guī)范、全面,將定性指標(biāo)定量化,使指標(biāo)體系可通過計(jì)算機(jī)軟件編程計(jì)算,得出量化的結(jié)果.

圖4 OCTAVE風(fēng)險評價模型

如何建立適當(dāng)?shù)臄?shù)學(xué)模型是評價方法的核心問題,在數(shù)學(xué)模型中要明確定義目標(biāo)函數(shù),并詳細(xì)說明其形成機(jī)理和結(jié)構(gòu)形式.由于財(cái)產(chǎn)、威脅和脆弱性是影響風(fēng)險的 3個主要方面,也是風(fēng)險評估關(guān)注的重點(diǎn),文獻(xiàn)[7]提出的OCTAVE風(fēng)險評價模型以這 3個要素為核心內(nèi)容 (圖 4)[7],該模型是在其后產(chǎn)生的很多模型的根源,即

文獻(xiàn)[8]將系統(tǒng)看做一系列組件的集合,建立了基于組件的信息系統(tǒng)安全度量評估模型,利用組合獨(dú)立性安全要素、組合互補(bǔ)性安全要素、組合關(guān)聯(lián)性安全要素及規(guī)范路徑的概念進(jìn)行抽象.筆者提出在安全要素集E上信息系統(tǒng)安全度量的評估規(guī)則:對系統(tǒng)S,安全要素e∈E,若S包含的規(guī)范路徑集為=則

其中fe(p)表示在安全要素e上訪問路徑p的安全性到安全度量偏序集上的映射.

在系統(tǒng)安全中,風(fēng)險指的是安全風(fēng)險,是對潛在的事故發(fā)生的可能性及事故后果嚴(yán)重性的測度,是系統(tǒng)安全程度的度量.從該觀點(diǎn)出發(fā),系統(tǒng)風(fēng)險可描述為由事故場景、可能性和嚴(yán)重性所組成的三元組的集合[6],即

其中,Si為第i個事故場景,Pri=Pr(Si)為第i個事故場景發(fā)生可能性(頻率或在所考慮時間內(nèi)發(fā)生的概率),Ci=C(Si)為事故對應(yīng)的嚴(yán)重性.

從定量角度,系統(tǒng)的風(fēng)險又可以表示為可能性和嚴(yán)重性的函數(shù),即

該模型以事故場景代替威脅,實(shí)質(zhì)是對威脅的進(jìn)一步描述,采用的仍是威脅、脆弱性和資產(chǎn)的三要素模型.

文獻(xiàn)[2]計(jì)算系統(tǒng)的安全風(fēng)險的公式為

文獻(xiàn)[3]認(rèn)為風(fēng)險同威脅發(fā)生的可能性、威脅發(fā)生后對系統(tǒng)造成的影響有關(guān).因此評估風(fēng)險就要評估威脅發(fā)生的后果及發(fā)生的可能性,而脆弱性、威脅等識別只是評估的基礎(chǔ),是作為后果和可能性的參考.因此實(shí)際風(fēng)險計(jì)算函數(shù)應(yīng)該是

其中,R為風(fēng)險,Tp為威脅發(fā)生的可能性,I為威脅發(fā)生的后果.Tp與脆弱性、威脅有關(guān),具體的計(jì)算依賴于實(shí)際的系統(tǒng)和經(jīng)驗(yàn).Tp還與采用的控制措施有關(guān)系,適當(dāng)?shù)目刂拼胧┛梢越档蚑p的值或者等級,即

其中,V為脆弱性,T為威脅,Ct為控制措施.威脅發(fā)生的后果與脆弱性、威脅以及信息的保密性、完整性、可用性的破壞程度有關(guān),具體的后果賦值或定義也依賴于實(shí)際的系統(tǒng)和經(jīng)驗(yàn).

同樣,I還與采用的控制措施有關(guān)系,有效的控制措施可以減少或者降低I的值或者等級,即

其中,Cx為保密性遭到破壞的程度及造成的后果,Ix為完整性遭到破壞的程度及造成的后果,Ax為可用性遭到破壞的程度及造成的后果.文獻(xiàn)[3]認(rèn)為脆弱性的可能性是威脅發(fā)生可能性的一個因子.

近幾年的風(fēng)險評價研究文獻(xiàn)中,把重心放在如何處理評價中的不確定因素上,如貝葉斯理論、模糊理論、粗糙集理論、D-S證據(jù)理論、BP神經(jīng)網(wǎng)絡(luò)技術(shù)等[9-11].模糊理論中隸屬函數(shù)的確定、貝葉斯理論中概率的獲取等都是這些方法的核心,直接關(guān)系到風(fēng)險評價模型的合理性,而神經(jīng)網(wǎng)絡(luò)中學(xué)習(xí)樣本的正確性、學(xué)習(xí)規(guī)則則是束縛該方法的瓶頸.還有一些文獻(xiàn)從人工免疫原理出發(fā),提出了基于危險的安全風(fēng)險評價模型[12],但模型的適用性和可行性仍值得探討.

上述評價模型通過引入其他領(lǐng)域的模型,對風(fēng)險評價方法進(jìn)行了有意義的探討,但常常忽略了對風(fēng)險因素的基本分析,習(xí)慣了威脅、脆弱性和資產(chǎn)的基本范式.威脅是外部環(huán)境對系統(tǒng)造成危害的潛在來源,脆弱性則來自于系統(tǒng)內(nèi)部.威脅發(fā)生的可能性與威脅源的特性有關(guān),而威脅對系統(tǒng)造成破壞的可能性才與脆弱性的可能性有關(guān).

5 結(jié)束語

風(fēng)險相關(guān)模型是風(fēng)險管理的基礎(chǔ),本文通過系統(tǒng)分析和總結(jié)已有的模型,提出了合理的分類方法,建立了風(fēng)險評估模型體系.解決了現(xiàn)有風(fēng)險評估研究中模型混雜的問題,為風(fēng)險評估的研究提供了重要的知識框架.在此框架下我們?nèi)孕鑼Ω鞣N模型的合理性和適應(yīng)性進(jìn)行更深入研究和驗(yàn)證,從而使風(fēng)險管理工作能夠更加有效地開展.

[1] 曹謝東.模糊信息處理及應(yīng)用[M].北京:科學(xué)出版社,2003.

[2] 楊泉.風(fēng)險評估定量與定性方法[C]//中國信息協(xié)會信息安全專業(yè)委員會.中國信息協(xié)會信息安全專業(yè)委員會年會文集.北京:中國水利水電出版社,2004.

[3] 仲維國.信息安全風(fēng)險評估與管理工具研究[C]//中國信息協(xié)會信息安全專業(yè)委員會.中國信息協(xié)會信息安全專業(yè)委員會年會文集.北京:中國水利水電出版社,2004.

[4] 汪楚嬌,蔣志雄,王拓,等.基于模糊數(shù)學(xué)的網(wǎng)絡(luò)安全網(wǎng)絡(luò)評估模型[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2003(10):22-25.

[5] 張利,江常青,陳曉樺.傳統(tǒng)風(fēng)險分析方法在信息系統(tǒng)安全風(fēng)險管理過程中的應(yīng)用[C]//中國信息協(xié)會信息安全專業(yè)委員會.中國信息協(xié)會信息安全專業(yè)委員會年會文集.北京:中國水利水電出版社,2004.

[6] 羅鵬程.基于 Petri網(wǎng)的系統(tǒng)安全性建模與分析技術(shù)研究[D].長沙:國防科學(xué)技術(shù)大學(xué),2001.

[7] ChristopherA.信息安全管理[M].吳唏,譯.北京:清華大學(xué)出版社,2003.

[8] 閆強(qiáng),陳鐘,段云所,等.信息系統(tǒng)安全度量與評估模型[J].電子學(xué)報(bào),2003,31(9):1351-1355.

[9] 王英梅,劉增良.基于 PRA的網(wǎng)絡(luò)安全風(fēng)險評估模型[J].計(jì)算機(jī)工程,2006,32(1):40-42.

[10]高會生,朱靜.基于D-S證據(jù)理論的網(wǎng)絡(luò)安全風(fēng)險評估模型[J].計(jì)算機(jī)工程與應(yīng)用,2008,44(6):157-159,168.

[11]趙冬梅,劉海峰,劉晨光.基于BP神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險評估[J].計(jì)算機(jī)工程與應(yīng)用,2007,43(1):139-141.

[12]彭凌西,陳月峰,劉才銘,等.基于危險理論的網(wǎng)絡(luò)風(fēng)險評估模型[J].電子科技大學(xué)學(xué)報(bào),2007,36(6):1198-1201.

Summary on Models of Assess ment of Security Risk

YANGMing-zeng1,L I Shuan-bao2,TANG Hui-lin3

(1.Departm ent of M athem atics,Henan Institute of Education,Zhengzhou450046,China;2.Depar tm ent of Infor mation Engineer,Henan Finance&Tax College,Zhengzhou450002,China;3.Institute of Electronic Technology,the PLA Infor mation Engineering University,Zhengzhou450004,China)

Analyzed and summarized the present research condition of asses sment of information security risk,classified these models,built up important foundation for further study and implementation of security risk.

risk assessment;model;factor;risk analysis;summary

O159;TP393.08

A

1007-0834(2010)04-0006-03

10.3969/j.issn.1007-0834.2010.04.003

2010-09-10

楊明增(1965—),男,河南林州人,河南教育學(xué)院數(shù)學(xué)系副教授,研究方向:代數(shù)學(xué).