信息系统安全风险评估模型研究.pdf

《信息系统安全风险评估模型研究.pdf》由会员分享，可在线阅读，更多相关《信息系统安全风险评估模型研究.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、作者简介 陈亮(1979),男,湖北孝感人,讲师,博士。2007年第4期No14 2007Journal of Chinese Peoples Public SecurityUniversity(Science and Technology)总第54期Sum54信息系统安全风险评估模型研究陈 亮(中国人民公安大学公安情报学系,北京 100038)摘 要 保障信息系统安全是信息化社会的一项重要课题,在对信息系统安全风险生成机理的分析基础上,设计了一个信息系统安全风险评估的计算模型。该模型对资产发生安全事件后对组织业务的影响,以及威胁利用资产的脆弱性造成安全事件发生的可能性这两个因素进行了综合评估

2、,科学地衡量和评价了组织的信息系统安全风险,在一定程度上实现了信息系统安全的预警和控制。关键词 信息安全;信息系统安全;风险评估中图分类号 G2030 引言以信息技术为核心的新技术革命的兴起使人类社会步入新经济时代,然而,当我们从信息化、网络化的方便快捷中获得效率和利益的同时,信息安全问题呈现在我们的面前。如何衡量和评价组织的信息系统安全状况,如何预警基础设施、重大行业的信息系统安全,如何在突发事件发生时保护信息系统安全,如何在事前预防、事中控制、事后处理信息系统安全,这些问题都是值得研究者思考的。分析与解决上述问题需要构建一套科学合理、行之有效的信息系统安全风险评估方法。通过风险评估,决策者

3、可以清晰地知道组织的信息系统安全处于何种状况,风险来自何处,系统的脆弱点在哪里,应采取何种处置措施。本文通过对信息系统风险生成机理的分析,提出风险评估因素论,并设计了一个信息系统安全风险评估的计算模型。1 信息系统安全风险的生成机理明确信息系统安全风险的生成机理,是研究信息系统安全风险评估的前提。一般而言,风险是指行动或者事件的结果的不确定性。无论其结果是积极的机会还是消极的威胁,人们只能通过对这些不确定性发生的可能性,以及实际发生以后所产生的影响和后果来评价风险。信息系统安全风险就是指引起信息系统安全问题、事件可能或者实际带来的消极威胁。闵京华等认为信息系统安全风险的构成分为五个方面:起源、

4、方式、途径、受体和后果。起源是威胁的发起方,叫做威胁源;方式是威胁源实施威胁所采取的手段,叫做威胁行为;途径是威胁源实施威胁所利用的薄弱环节,叫做脆弱性或漏洞;受体是威胁的承受方,即资产;后果是威胁源实施威胁所造成的损失,叫做影响。它们之间的相互关系可表述为,风险的一个或多个起源,采用一种或多种方式,通过一种或多种途径,侵害一个或多个受体,造成系统不良后果。图1描绘了信息系统安全风险的生成机理,可表述为,威胁源利用脆弱性,对资产实施威胁行为,造成负面影响。图1 信息系统安全风险生成机理05中国人民公安大学学报(自然科学版)2 风险评估因素论对某事物进行风险评估时,可以根据评估对象本身的特征,总

5、能够找出最为关键的互为关联的几个因素,以获取对事物进行风险评估的方法、途径。在对信息系统安全进行风险评估研究时,作者把资产、威胁、脆弱性、安全措施等统称为风险因素,这些因素之间存在着复杂的相互关系,归纳起来有以下几点:(1)资产具有价值,组织的业务战略对资产的依赖度越高,资产价值就越大。资产价值越大,对组织的影响就越大,从而其面临的风险越大;(2)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;(3)资产本身具有脆弱性。脆弱性越大,威胁利用脆弱性导致安全事件的可能性越大;(4)脆弱性是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;(5)风险的存在及对

6、风险的认识提出安全需求。安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;(6)安全措施可抵御威胁,降低威胁利用脆弱性产生的风险;(7)实施安全措施后仍然会有残余风险存在。有些残余风险来自于安全措施可能不当或无效,以后需要继续控制,有些残余风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的。残余风险应受到密切监视,它可能会在将来诱发新的安全事件。资产、威胁、脆弱性、安全措施等因素,不是一对一的简单对应,而是多对多的复杂映射关系。每项资产可能面临多个威胁,每个威胁可能利用多个脆弱点,特定威胁利用特定脆弱性可能产生多种影响,而针对某特定风险组织也可以选择不同的控制方式。作

7、者认为,信息系统安全风险评估首先应对资产、威胁、脆弱性等风险因素进行识别、赋值,然后抽出关键因素 安全事件发生的可能性(这由威胁、脆弱性因素决定)、资产发生安全事件后对组织业务的影响(这由资产的重要程度决定)进行函数计算得到风险值。3 信息系统安全风险计算模型根据上文对风险因素论的分析,给出一个信息系统安全风险评估的计算模型,如图2所示。图2 信息系统安全风险评估模型R=f(A,V,T)=f(I,L(V,T)(1)注:R表示风险;A表示资产;V表示资产的脆弱性;T表示威胁;I表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度);L表示威胁利用资产的脆弱性造成安全事件发生的可能性。(1

8、)对资产的重要性进行识别,并对资产赋值;(2)对资产的脆弱性进行识别,并对弱点的严重程度赋值;(3)对每一个弱点,识别可能利用此弱点造成安全事件的威胁,并对威胁发生的可能性赋值;(4)分析威胁利用资产脆弱性发生安全事件的可能性,即安全事件发生的可能性=L(威胁,资产脆弱性);(5)根据资产的重要程度以及安全事件发生的可能性计算风险值,即风险值=R(资产重要程度,安全事件发生的可能性)。已知风险是资产发生安全事件后对组织业务的影响(即资产的重要程度)I的函数,也是威胁利用资产的脆弱性造成安全事件发生的可能性L的函数。其中设I和L的域值为区间0,1,用下标f表示安全事件未发生,用下标s表示安全事件

9、发生。显然有If=1-Is,Lf=1-Ls,则风险R实际上是安全事件发生和其产生影响的似然估计。R=f(资产发生安全事件后对组织业务的影响,威胁利用资产的脆弱性造成安全事件发生的可能性)=f(资产的重要程度,安全事件发生的可能性)=1-IfLf=1-(1-Is)(1-Ls)=Is+Ls-IsLs(2)311 对安全事件发生可能性的计算造成信息安全事件发生的主要因素是威胁和资产的脆弱性。将这两个因素通过一定的算法,综合15陈 亮:信息系统安全风险评估模型研究于信息资产的风险评估中。设造成信息安全事件发生的影响因素集为U而威胁、脆弱性分别为u1,u2,可按它们在不同类型信息资产安全中的作用分类,赋

10、予相应的不同权值A=(a1,a2)。在对具体信息资产进行评估时,由专家根据威胁赋值表、脆弱性赋值表规定的评价集B=b1,b2,b3,b4,b5(分别对应“很高、高、中、低、很低”)对U中的单因素作评价。其中在威胁评估中,要对组织需要保护的每一项关键资产进行威胁识别。对威胁的评价主要参考7项指标,即资产的吸引力;资产转化成报酬的容易程度;威胁的技术力量;脆弱性被利用的难易程度;通过过去的安全事件报告或记录,统计各种发生过的威胁和其发生频率;在评估体实际环境中,通过入侵检测系统获取的威胁发生数据的统计和分析,各种日志中威胁发生的数据的统计和分析;过去一年或两年来国际机构发布的对于整个社会或特定行业

11、安全威胁。脆弱性评估将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估,即对脆弱性被威胁利用的可能性进行评估,最终为其所赋的相对等级值。对脆弱性的评价主要从技术和管理两个方面进行评估,涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。其中在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和主机等进行人工抽查,以保证技术脆弱性评估的全面性和有效性;管理脆弱性评估方面可以按照英国BS7799标准的安全管理要求对现有的安全管理制度及其执行情况进行检查,发现其中的管理漏洞和不足。那么ui对量级bj的隶属度cij为cij=在i因素j量级

12、打勾的专家数参加评判的专家总数(3)则安全事件发生的可能性=Ls=2i=15j=1(aicijbj)=ACBT(4)其中C为隶属度矩阵,BT为B的转置矩阵。312 对资产的重要程度的计算对资产发生安全事件后对组织业务的影响的评估可以转换为对资产重要程度的评估。对资产重要程度的转换主要考虑保密性、完整性、可用性三个因素,根据模糊综合评判法,设资产重要程度因素集为:U=保密性、完整性、可用性=u1,u2,u3赋予各因素相应的权向量A=a1,a2,a3,其值随所评估系统类型的不同而不同。同时,列出评价集:V=v1,v2,v3,v4,v5,其中v1,v2,v3,v4,v5表示保密性赋值、完整性赋值、可

13、用性赋值规定的五个等级(极高、高、中等、低、可忽略)。采用综合评估的算法估算信息资产的总价值量,具体方法如下:设原始观察矩阵X如下式:X=x11x12x11x21x22x21xn1xn2xn1(5)n为样本数(评估专家人数),l为评价变量数。由专家参照评价集V分别对因素集U中各因素进行评价,即对信息资产的保密性、完整性、可用性进行评价,将原始观察矩阵X(式1-5)转化,可得模糊子集Mi=mi1,mi2,mi3,mi4,mi5(i=1,2,3)。由此得到的评判矩阵为:M=m11m12m13m14m15m21m22m23m24m25m31m32m33m34m35(6)则资产的重要程度(资产发生安全

14、事件后对组织业务的影响)可表示为:Is=AMVT(7)313 风险的计算通过式1、式4、式7可计算风险R。如何根据R的大小来说明系统的安全性呢?我们可以定义R的评估集VR,其相应值为:R70%风险等级 安全低风险中等风险高风险极高风险 一般认为R70%是高风险,若系统为高风险信息系统,说明了实施安全工程组织能力成熟度不够;同时,要分析造成R值偏大的主要因素,并通过管理和技术的手段来降低这些因素,然后再次对R进行评估,直至把风险降低到组织可以接受的程度。值得注意的是,在上述的Ls和Is的评估过程中,各种影响因素权值的确定,在一定程度上25陈 亮:信息系统安全风险评估模型研究反映了专家的主观意向。

15、计算后的风险值可以通过模拟图3表示。图3 信息系统安全风险模拟图4 结语信息系统安全的风险评估需要长期经验的积累,才能构成一组完好定义的操作规范。风险评估的技术方法不能只停留在理论探讨上,还需要通过实践来完善,这样才能使我们的风险评估计算模型更加成熟完善。参 考 文 献1闵京华,等 1信息系统安全风险的概念模型和评估模型J 1信息安全与通信保密,2004(8):26-2812 ISO/IEC 17799:Infor mation technology-security tech2niques-code of practice for infor mation security manage2ment S1200513范红 1信息安全风险评估方法与应用M 1北京:清华大学出版社,2006:1-1014王娜,等 1“5432战略”:国家信息安全保障体系框架研究J 1通信学报,2004(7):1-915魏忠 1系统性信息安全综合集成量化评估体系的研究J 1计算机工程,2005(4):45-481(责任编辑 陈晓明)35陈 亮:信息系统安全风险评估模型研究