一种基于威胁分析的信息安全风险评估方法.pdf

Computer Engineering and Applications计算机工程与应用2009，45（3）1引言目前，我国信息化建设不断发展，人们的生活、工作与信息系统密切相关，信息系统风险评估和以其为基础和前提的信息系统安全工程越来越受到政府、军队、企业、科研机构的重视。信息安全风险评估是依据有关信息安全测评标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行科学识别和评价的过程1，是保证信息系统安全的重要手段。总体而言，风险评估方法可分为两种：定性的评估方法、定量的评估方法。定性的评估方法是指在风险评估过程中，对评估因素的测量仅用如定性的等级描述方式实现；而定量的评估方法是指对评估因素的测量通过数值体现，并且根据上述因素的测量值，利用一定的算法计算得到最终的风险值。定量分析方法的采用，可以使研究结果更科学、更严密、更深刻。要探讨的是定量的风险评估，旨在提出一种具有可操作性的量化的信息安全风险评估方法。2信息安全评估标准与流程2.1评估标准信息安全评估标准是信息安全技术的基础，也是信息安全评估的行动指南。从 20 世纪 80 年代开始，世界各国相继制定了多个信息技术安全评估标准。美国、加拿大等 IT 发达国家建立了国家认证机构和风险评估认证体系负责研究并开发相关的评估标准、认证方法和评估技术，并进行基于评估标准的信息安全评估和认证2。目前这些国家与信息系统风险评估相关的标准体系（如 TCSEC、ITSEC、BS7799、NIST SP800-30）、技术体系、组织架构等已比较成熟，相应的评估工具也陆续被开发，如 CRAMM、COBRA、ASSET、RISK 等。我国信息系统风险评估的研究近几年才起步，目前主要工作集中于组织架构和业务体系的建立。国家信息中心成立了信一种基于威胁分析的信息安全风险评估方法杨洋，姚淑珍YANG Yang，YAO Shu-zhen北京航空航天大学 计算机学院，北京 100083School of Computer Science and Engineering，Beihang University，Beijing 100083，ChinaE-mail：YANGYang，YAOShu-zhen.Riskassessmentmethodofinformationsecuritybasedonthreatanalysis.ComputerEngineering and Applications，2009，45（3）：94-96.Abstract：In the field of information security，risk assessment is the core of the risk management and control，also is the foundation and premises that builds up the safe system of the information system.This paper analyses the standards and process of information security risk assessment，and proposes a quantitative security risk method ISSREM（Information System Security Risk Evaluation Method），based on threat analysis.ISSREM has features such as easily operative，independent，practical and the evaluation results comparable.And the sensitivity analysis of threaten frequency is presented，which makes the evaluation results moreobjective.This paper gives the calculation model of the method and the main procedures of risk evaluation using the method.Finally，with examples to analyze the quantitative assessment method，this paper validates the rationality and effectiveness of themethod.Key words：information system；risk assessment；threat analysis；quantitative analysis；sensitivity analysis摘要：在信息安全领域中，信息风险评估是风险管理和控制的核心组成部分，是建立信息系统安全体系的基础和前提。分析了信息安全风险评估的标准及流程，提出一种基于威胁分析的量化风险评估方法 ISSREM。该方法采用多属性决策理论，计算信息系统相对威胁程度，有利于评估者进行比较和选择，通过对威胁频率的灵敏度分析，使评估结果更具客观性和准确性。给出 ISSREM 的计算模型及用该方法进行风险评估的主要步骤，并结合实例对该定量评估方法进行分析，验证了该方法的合理性与有效性。关键词：信息系统；风险评估；威胁分析；定量分析；灵敏度分析DOI：10.3778/j.issn.1002-8331.2009.03.027文章编号：10028331（2009）03-0094-03文献标识码：A中图分类号：TP309网络、通信、安全基金项目：“十一五”国家部委基础科研项目。作者简介：杨洋（1983），女，硕士生，主要研究方向：信息安全、网络安全；姚淑珍（1965），女，教授，博士，主要研究方向：软件工程、Petri 网、信息安全。收稿日期：2008-05-27修回日期：2008-08-04942009，45（3）威胁编号123456威胁名称管理不到位物理攻击恶意代码和病毒内部人员泄密篡改内部人员攻击说明安全管理落实不到位，安全管理不规范，破坏信息系统正常运行物理接触、物理破坏、盗窃具有自我复制、自我传播能力，对信息系统构成破坏的程序代码组织内部人员有意或无意的泄露系统信息机密非法修改信息破坏信息的完整性授权用户执行未授权行为导致组织受损的行为表 1被评估信息系统的威胁列表?选择适当的安全措施并评估残余风险风险评估准备资产识别脆弱性识别威胁识别已有安全措施的确认风险计算是否接受风险接受残余风险实施风险管理保持已有安全措施是否否是图 1风险评估流程?资产所有者安全风险（风险值）安全事件威胁来源威胁弱点资产图 2资产的风险计算模型息安全风险评估课题组进行相关研究和标准制定工作。2004年 9 月完成了 信息安全风险评估指南 和 信息安全风险管理指南 两个标准草案的制定初稿，并于 2005 年在人民银行、国家税务总局、国家信息中心与国家电力总公司等地开展了验证信息安全风险评估指南 可行性与可用性的试点工作，2006年上报国家标准管理部门批准，2007 年 6 月正式发布 GB/T20984-2007 信息安全风险评估规范国家标准。与国外相比，我国相关风险评估基础理论、算法还比较薄弱，市场上关于漏洞扫描、防火墙等都有比较成熟的产品，但与信息系统风险评估相关的工具比较缺乏。2.2风险评估流程风险评估流程包括风险评估准备、风险因素识别、风险分析和风险控制 4 个阶段，具体可见图 1 所示的风险评估流程。在具体操作中可分为 6 个步骤：（1）确立评估对象：明确信息系统数据、软硬件资产等，给出系统功能、边界、关键资产和敏感资产，确立评估范围。（2）评估准备：按要求制定评估计划，确定评估程序，选择合适的评估方法和工具，组建系统小组。（3）风险识别：识别评估范围内的关键资产与一般资产，识别运行环境威胁、资产自身存在的脆弱性及现有安全措施。（4）风险分析：结合资产的属性，分析脆弱性被威胁利用的可能性及后果，计算评估结果。分析现有安全措施的有效性与合理性。（5）风险评估：评价分析结果，结合专家组意见，形成风险评估报告。（6）风险控制：评估报告通过审批后，按批示要求采取有效措施，转移、规避或降低风险，使系统中的风险得到有效控制。在以上几个步骤中，风险分析是一个重要的环节。风险分析中计算方法的客观性和准确性将直接影响风险评估的结果。提出的风险评估方法能够真实地反映出信息系统风险值，从而制定出更切实际的风险控制策略。下文将予与详细介绍。3基于威胁分析的风险计算模型提出一种量化的基于威胁分析的信息系统安全评估方法ISSREM（Information System Security Risk Evaluation Method），ISSREM 就是评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的影响，并根据安全事件发生的可能性和影响程度来识别信息系统的安全风险。ISSREM 方法主要特点是给出信息系统相对安全程度，以利于评估者进行比较和选择，量化的评估结果支持安全技术的比较和选择，可以辅助安全评估和安全管理的实施。由上所述，信息系统风险评估涉及到资产、威胁、弱点和风险 4 个要素。基于这 4 个要素，给出风险计算模型，如图 2 所示。风险计算公式为：R=f（A，V，T）=f（I，L（V，T）（1）其中：R 表示风险；A 表示资产；V 表示资产的脆弱性；T 表示威胁；I 表示资产发生安全事件后对组织业务的影响；L 表示威胁利用资产的脆弱性造成安全事件发生的可能性。由公式（1）可以看出，ISSREM 方法是通过分析威胁发生的可能性 L 及威胁发生的可能后果 I 来确定安全风险大小及其优先控制顺序。4ISSREM 风险评估过程ISSREM 风险评估方法的评估过程主要包括风险识别、确定安全风险的后果属性、提取安全威胁发生频率确定后果属性值、计算威胁指数、灵敏度分析与结果优化等 5 个步骤。不失一般性，这里加以实例对 ISSREM 风险评估方法的评估步骤进行详细说明。4.1风险识别为有效评估信息系统的安全风险，首先需明确可能对信息系统造成风险的威胁。确定信息系统面临威胁的方法很多，如德尔菲集体讨论法（Delphi Method），故障树分析法（Fault TreeAnalysis）、层次分析法（Analysis Hierarchy Process）等3。ISSREM 采用德尔菲集体讨论。经过讨论，确定被评估信息系统所面临的主要威胁，生成威胁集 T：ti|i=1，2，n，其中ti为第 i 种威胁，n 为信息系统所面临的威胁种类数。例如，经讨论，最终确定某内部信息系统的威胁如表 1 所杨洋，姚淑珍：一种基于威胁分析的信息安全风险评估方法95Computer Engineering and Applications计算机工程与应用2009，45（3）威胁编号123456概率概率 P0.550.200.130.060.040.02v1/h151061410v1*1.000.670.400.070.270.67v2/级543221v2*1.00.80.60.40.40.2v3/Y10 0001 5002 0003 5005 50010 000v3*1.000.150.200.350.551.00LPw=0.55PRw=0.25LRw=0.20后果属性值表 3风险概率与后果属性值威胁编号123456威胁名称管理不到位物理攻击恶意代码和病毒内部人员泄密篡改内部人员攻击相对威胁指数 RTI100158631.6表 4威胁指数及排序序号123后果属性 X损失收入（Lost Revenue）损失生产力（Lost Productivity）损害公共信誉（Public Reputation）后果属性的权重 W0.200.550.25表 2风险后果属性及其权重示。这里有必要指出，由于内部信息系统的网络系统一般要求与外网相隔离，因此，其面临的安全威胁，特别是网络攻击和泄密主要来自内部人员。此特征在内部信息系统风险识别中应给予充分重视。4.2确定安全风险后果属性根据被评估信息系统的实际情况，确定风险后果的属性类型，即可能在哪些方面造成安全损害。通常的后果属性类型有不能进行关键操作、损失生产力、损失收入、损害公共信誉、危害公共安全等。在评估威胁对信息系统的危害程度时，要充分考虑不同后果属性的权重，才能真正得到切合被评估对象实际情况的安全风险评价结果。最终确定的风险后果属性类型可表示为 X：xj|j=1，2，m，其中 xj为第 j 种后果属性，m 是后果属性的种类数；并确定风险后果属性相应的权重 W：wj|j=1，2，m，其中 wj为第 j 种后果属性的权重。例如，针对被评估的信息系统的实际情况，以及表 1 所示的威胁，定义如表 2 所示的风险后果属性及其权重。4.3确定后果属性值在确定被评估信息系统的后果属性后，对每种威胁发生的可能性和可能造成的后果值进行分析。通过调查、收集历史上发生的有关该类威胁事件的资料数据为风险评估提供可靠依据。最终确定威胁发生概率 P：pi|i=1，2，n及其相应后果属性值集合 V：vij|i=1，2，n；j=1，2，n，其中 pi是威胁集合 T中第 i 种威胁 ti的发生概率，vij为威胁 ti在后果属性 xj上可能造成的影响值。由于威胁对信息系统造成的后果影响是多方面的，多种后果属性类型有不同的量纲，难以用统一标准进行度量。为度量方便，消除了不同后果属性的量纲，得到后果影响的相对值V*：v*ij|i=1，2，n；j=1，2，m，其中 v*ij是无量纲的，它表示威胁 ti在后果属性 xj方面造成的相对后果影响值：v*ij=vijmaxnk=1vkj（2）式中，maxnk=1=vkj表示对于后果属性 xj威胁集 T 中所有的威胁造成后果影响的最大值。例如，针对被评估信息系统的实际情况，以及表 1 所示的威胁和所示的风险后果属性，最终确定的风险发生概率和后果属性值如表 3 所示。4.4计算威胁指数由公式（1）可知，系统评估风险就是通过威胁发生的可能性及威胁发生的后果来综合确定，并用某一指标表示其大小，如期望值、风险度等。在 ISSREM 评估方法中，运用多属性决策原理，将风险概率、风险后果属性值、后果属性权重结合起来，得到各个风险的威胁指数 TI（Threat Index），用于表示该威胁可能造成风险的严重程度。对于威胁 ti，定义对应的相对威胁指数为：TIi=Pi*mj=1=（wjvij）（3）pi是威胁 ti可能发生的概率，mj=1=（wjvij）是威胁 ti可能造成的总的后果影响，wj为后果属性 xj的权重，vij为威胁 ti在后果属性 xj上可能造成的影响值。如前所述，安全风险评价的主要目标不是为了给出某个威胁的严重程度的绝对值，而是为了度量出各个威胁的相对严重程度，并对其进行排序，以利于进行安全决策。因此，为使评估结果更加清晰和便于比较，这里用相对威胁指数 RTI（RelativeThreat Index）来表示威胁的相对严重程度。RTIi是对 TIi进行归一化的结果：RTIi=（TIi/maxnk=1TIk）100（4）由公式（4）和表 3 中的数据，可以得到如表 4 所示的各威胁的相对威胁指数。4.5灵敏度分析与结果优化灵敏度分析应用于多属性决策中。决策中的综合平均值和最终的决策结果是在一定的决策要素下取得的，它们对这些要素变动反应如何是灵敏度分析的内容4。其一般方法是让某些条件作微小变动后，计算问题输出结果的相应变化量，并给出参数在什么范围内变化时可以保持决策排序不变5。ISSREM 中采用了多属性决策理论和方法。但由于在安全风险评价过程中，所用到的很多输入数据都是由评估小组根据历史数据和专家经验确定的，带有主观性，通过灵敏度分析，可分析主观上判断误差对最终结果的影响程度，进行正确的判断。对安全风险评估阶段的威胁概率值进行灵敏度分析，结果如表 5 所示。扰动范围表明了威胁概率在什么范围内变化时可以保持威胁排序结果不变，如在表 5 中，过管理不到位和物理攻击这两种威胁对应的威胁概率具有较大的扰动范围。（下转 100 页）96Computer Engineering and Applications计算机工程与应用2009，45（3）序号123456威胁名称管理不到位物理攻击恶意代码和病毒内部人员泄密篡改内部人员攻击威胁概率0.550.200.130.060.040.02扰动范围0.306，1.0000.026，0.4900.032，0.0660.019，0.1540.011，0.0930.003，0.030表 5灵敏度分析通过对信息系统安全评估结果进行灵敏度分析，对于在某个权重系数和属性值下的各个安全方案的优劣排序结果，当权重系数、属性值做微小扰动时，只要扰动量在保序扰动范围内，评估结果将保持不变。通过灵敏度分析，掌握决策参数的变化对决策结果的影响，分析决策结果的稳定性和可靠性，有利于提高信息系统安全评估结果的准确性。5结论对信息系统的安全风险评估的标准与安全评估具体实施方法做出探讨。并基于评估的关键要素提出了一种定量的基于威胁分析的评估方法，给出该方法计算模型及评估主要步骤，得出信息系统的相对威胁程度，为安全评估结果的可比性提供了基础，并给出威胁概率的灵敏度分析，使评估结果更具客观性和准确性。进一步的工作设计实现基于 ISSREM 方法的信息系统安全评估辅助系统，继续丰富 ISSREM 评估方法，加入安全保障和安全决策部分，更好的促进信息系统安全管理的实施。参考文献：1 范红，闵京华.信息安全风险管理指南D.北京：国务院信息化工作办公室，2006.2 冯登国，张阳，张玉清.信息安全风险评估综述J.通信学报，2004，25（7）.3 Saaty T L.How to make a decision：the analytic hierarchy processJ.European Journal of Operation Research，1990，48（1）：9-12.4 Wanner P C H，Weber R F.Fault injection tool for network security evaluationC/LNCS 2847：LADC 2003.Berlin：Springer-Verlag，2003：127-131.5 Une M，Matsumoto T.A framework to evaluate security and cost oftime stamping schemesJ.IEICE Transaction on Fundamental ofElectronicsCommunicationsandComputerSciences，2002，E85A（1）：125.（上接 96 页）5总结以宽带接入网的逻辑链路进行流量整形为主要内容，设计了多逻辑链路共享令牌缓冲池模型，提出了基于反馈信息的共享令牌缓冲池流量调度算法，通过实验结果证明该算法是和传统的无反馈信息调度算法相比，该算法提高了网络出口利用率，有较好的速率调控能力，并且在数据传送时延方面的性能有明显的改善，达到了减少延时、提高链路利用率和流量均衡的目的。参考文献：1 Wang H，Xie H Y，Qiu L L.COPE：traffic engineering in dynamicnetworksC/Proceedings of ACM SIGCOMM.Pisa，Italy：ACM Computer Communication Review，2006，36（4）：99-110.2 TE Working group.A framework for internet traffic engineering.EB/OL.（2001-11）http：/tools.ietf.org/id/draft-ietf-tewg-frame-work-05.txt.3 焦利，林宇，王文东，等.一种负载均衡网络中内部链路时延推测算法J.软件学报，2005，16（5）：886-893.4 David S J.The NP-completeness column：the many limits on approximationJ.ACM Transactions on Algorithms，2006，2（3）：473-489.5 Cetinkaya C，Knightly E.Opportunistic traffic scheduling over multiple network pathsC/Proceedings of the IEEE INFOCOM 2004.HK，China：IEEE INFOCOM，2004：1928-1937.6 Lu P，Gao Q Y，Liu X D，et al.Routing and load balancing techniques for a content-based publish/subscribe systemJ.Transactionof Beijing Institute of Technology，2006，26（11）：969-973.7 Menno D，Ger K，Der Mei R V.Dynamic load balancing experiments in a gridC/Proceedings of CCGrid 2005，IEEE InternationalSymposium on Cluster Computing and the Grid，2005（2）：1063-1070.8 ThorupmF B.Internet traffic engineering by optimizing OSPFweightsC/INFOCOM 2000，Israel，2000：519-528.9 Elwalid A，Jin C，Low S，et al.MATE：MPLS adaptive traffic engineeringC/Proceedings-IEEE INFOCOM，2001（3）：1300-1309.10 Dinan E，Awduche D，Jabbari B.Analytical framework for dynamictraffic partitioning in MPLS networksC/Proceedings of IEEE International Conference on Communications，2000，（3）：1604-1608.11 陈志刚，李登，曾志文.分布式系统中一种动态负载均衡策略、相关模型及算法研究J.小型微型计算机系统，2002，23（12）：1434-1437.12 张卫东，王伟，韩维桓.网络流量测量与监控系统的设计与实现J.计算机工程与应用，2005，41（32）：160-163.100