信息安全風(fēng)險(xiǎn)評估模型的改進(jìn)

郭 昊，張永忠

GUO Hao,ZHANG Yong-zhong

（太原理工大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，太原 030024）

0 引言

信息安全風(fēng)險(xiǎn)評估可以不斷地、深入地發(fā)現(xiàn)信息系統(tǒng)安全隱患，以便采取積極主動(dòng)的防御措施保障信息系統(tǒng)正?？煽窟\(yùn)行，指導(dǎo)性的提高信息安全的科學(xué)管理水平和信息系統(tǒng)安全保障能力。

目前，信息安全風(fēng)險(xiǎn)評估可以按照等級(jí)劃分量化地評價(jià)信息系統(tǒng)的安全風(fēng)

險(xiǎn)級(jí)別，但科學(xué)的選擇合適的量化評估模型和評估方法可以提高安全風(fēng)險(xiǎn)評估的適應(yīng)性和準(zhǔn)確性；因此，下面我們通過研究資產(chǎn)價(jià)值、脆弱性、威脅和已有安全措施等豐富特征的量化及其相互之間合理關(guān)系，提出一種風(fēng)險(xiǎn)評估要素細(xì)化的、多層次結(jié)構(gòu)和運(yùn)算的風(fēng)險(xiǎn)評估計(jì)算模型，以滿足不同規(guī)模及不同安全關(guān)注程度的信息系統(tǒng)的需要，有效評估信息系統(tǒng)安全風(fēng)險(xiǎn)。

1 現(xiàn)有的風(fēng)險(xiǎn)評估計(jì)算模型

《信息安全風(fēng)險(xiǎn)評估指南》中給出的現(xiàn)有的信息安全風(fēng)險(xiǎn)量化和計(jì)算模型如圖1所示，采用等級(jí)方法進(jìn)行資產(chǎn)價(jià)值、脆弱性和威脅的識(shí)別賦值，以此為輸入值計(jì)算安全事件發(fā)生的可能性和安全事件發(fā)生后的資產(chǎn)損失，又以此兩個(gè)結(jié)果值引入直接計(jì)算得出風(fēng)險(xiǎn)值，并對綜合值按等級(jí)劃分風(fēng)險(xiǎn)結(jié)果。整個(gè)運(yùn)算中，評估者可以采用相應(yīng)的計(jì)算方法構(gòu)造經(jīng)驗(yàn)函數(shù)計(jì)算風(fēng)險(xiǎn)值。

風(fēng)險(xiǎn)值（風(fēng)險(xiǎn)綜合值）計(jì)算的形式化范式為：

風(fēng)險(xiǎn)值＝R (A,T,V)＝R (L (T,V),F (Ia,Va))

圖1 現(xiàn)有風(fēng)險(xiǎn)計(jì)算模型

R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅頻率；V表示脆弱性；Ia表示安全事件所影響的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性所導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。評估過程包含三層計(jì)算。

2 風(fēng)險(xiǎn)評估計(jì)算模型的改進(jìn)

從上面的描述可以發(fā)現(xiàn)：現(xiàn)有的計(jì)算模型對評判要素的選擇和要素運(yùn)算既簡單又僅僅停留在框架層面，并沒有涉及更多的影響安全風(fēng)險(xiǎn)的要素和進(jìn)行合理的量化分析。因此，可以在信息安全風(fēng)險(xiǎn)評估過程中就計(jì)算模型進(jìn)行改進(jìn)。

在風(fēng)險(xiǎn)綜合值評估計(jì)算中應(yīng)考慮加入：攻擊者技術(shù)能力評價(jià)要素；威脅行為的動(dòng)機(jī)強(qiáng)度、威脅時(shí)受懲罰的風(fēng)向程度、脆弱性被利用的難易程度、已有的安全措施有效性等級(jí)以及影響業(yè)務(wù)的連續(xù)性的指標(biāo)，還有不同威脅和脆弱性對組織的影響程度評判因素。同時(shí)，應(yīng)考慮安全事件發(fā)生可能性的結(jié)果；其中要對發(fā)生可能性極小的安全事件可以不計(jì)算其損失。

改進(jìn)后的信息安全風(fēng)險(xiǎn)量化和計(jì)算模型如圖2所示。

圖2 改進(jìn)后的風(fēng)險(xiǎn)計(jì)算模型

從風(fēng)險(xiǎn)狀況識(shí)別到風(fēng)險(xiǎn)綜合評價(jià)值的得出，總體形成了多維多層運(yùn)算的六層評估結(jié)構(gòu)框架。圖中f 為分析計(jì)算經(jīng)驗(yàn)函數(shù)。從圖2可知：安全事件發(fā)生的可能性綜合了威脅行為發(fā)生的可能性、脆弱點(diǎn)被利用的難易程度和安全措施有效性等級(jí)這三個(gè)因素運(yùn)算得到；而僅威脅行為發(fā)生可能性必須通過威脅行為動(dòng)機(jī)、威脅源及攻擊技能等級(jí)、受懲罰風(fēng)險(xiǎn)等級(jí)和威脅頻率這四個(gè)要素才能運(yùn)算得來；安全事件造成的損失通過資產(chǎn)價(jià)值與脆弱性及威脅對組織的影響程度的運(yùn)算得到；而脆弱性和威脅對組織的影響程度又由脆弱點(diǎn)對業(yè)務(wù)持續(xù)性的影響程度和威脅發(fā)生的可能性兩個(gè)要素運(yùn)算得到。

3 改進(jìn)后的風(fēng)險(xiǎn)分析計(jì)算過程

安全風(fēng)險(xiǎn)分析計(jì)算過程遵循改進(jìn)的風(fēng)險(xiǎn)計(jì)算模型，首先要進(jìn)行風(fēng)險(xiǎn)要素識(shí)別，然后，根據(jù)具體對象及其安全事件要素建立的等級(jí)列表，進(jìn)行賦值和綜合賦值運(yùn)算，直到運(yùn)算出風(fēng)險(xiǎn)綜合值，這就是整個(gè)風(fēng)險(xiǎn)分析計(jì)算過程。

3.1 資產(chǎn)價(jià)值（吸引力）分析

資產(chǎn)包括信息系統(tǒng)硬件、軟件、信息本身和人員；資產(chǎn)價(jià)值源于資產(chǎn)在機(jī)密性、完整性和可用性上的等級(jí)賦值的綜合運(yùn)算；資產(chǎn)在機(jī)密性、完整性和可用性上的等級(jí)賦值屬于第一層的風(fēng)險(xiǎn)評判要素，資產(chǎn)價(jià)值屬于第二層風(fēng)險(xiǎn)評判要素。

資產(chǎn)價(jià)值＝I(機(jī)密性等級(jí)賦值、完整性等級(jí)賦值、可用性等級(jí)賦值)

由結(jié)果值根據(jù)資產(chǎn)價(jià)值五級(jí)等級(jí)劃分歸納出資產(chǎn)價(jià)值（吸引力）等級(jí)值。

3.2 威脅及其可能性分析

1）威脅基本要素等級(jí)賦值

威脅基本要素屬于第一層的風(fēng)險(xiǎn)評判要素，包括T1：威脅行為動(dòng)機(jī)；T2：威脅攻擊技能；T3：受懲罰風(fēng)險(xiǎn)以及原有的；T4：威脅頻率。

（1）要素T1：威脅行為動(dòng)機(jī)。

針對每一個(gè)威脅行為，通過分析其動(dòng)機(jī)強(qiáng)烈程度區(qū)分等級(jí)大小，可以把威脅行為的動(dòng)機(jī)按攻擊欲望的極度強(qiáng)烈、強(qiáng)烈、較為強(qiáng)烈和攻擊出于好奇，無明顯動(dòng)機(jī)由很高、高、中等、低和很低五個(gè)級(jí)別賦值。

（2）要素T2：威脅攻擊技能等級(jí)。

威脅攻擊技能等級(jí)的確定是通過對攻擊者擁有的財(cái)力、借助工具的能力及控制傀儡主機(jī)數(shù)量和技巧衡量，財(cái)力和能力高說明攻擊者的攻擊技能等級(jí)越高，威脅行為所引發(fā)的安全風(fēng)險(xiǎn)就越大?？梢园淹{攻擊技能分為以下五級(jí)：

很低：威脅源只能使用別人的工具進(jìn)行簡單的掃描和滲透；一般無人資助。

低級(jí)：威脅源有較強(qiáng)的技能，綜合使用多種工具進(jìn)行入侵攻擊，有一定規(guī)模。

中等：威脅源有熟練的技能，綜合使用或能編寫攻擊程序，容易得到資助。

高級(jí)：威脅具有分析各種漏洞的能力，能設(shè)計(jì)實(shí)現(xiàn)攻擊軟件，帶動(dòng)的規(guī)模大，財(cái)力較大。

很高：威脅具有分析各種漏洞的能力，能設(shè)計(jì)實(shí)現(xiàn)攻擊軟件入侵目標(biāo)主機(jī)，和國家組織有關(guān)系，有持續(xù)的財(cái)力物力。

（3）要素T3：受懲罰風(fēng)險(xiǎn)等級(jí)。

如果系統(tǒng)遭受威脅，可以采取安全審計(jì)、跟蹤取證等手段，記錄攻擊者的罪行，統(tǒng)計(jì)后給予攻擊者具體的法律法規(guī)或經(jīng)濟(jì)懲罰,這種等級(jí)化的威懾力可以在較大程度上影響威脅發(fā)生的可能性。受懲罰風(fēng)險(xiǎn)等級(jí)根據(jù)力度大小由高到低分為五級(jí)；攻擊者受懲罰的風(fēng)險(xiǎn)等級(jí)越高，威脅發(fā)生的可能性就越小。因此，如果威脅的受懲罰風(fēng)險(xiǎn)等級(jí)為i級(jí)，則賦值就應(yīng)當(dāng)選?。?-i）。

2）威脅發(fā)生的可能性

威脅發(fā)生的可能性和資產(chǎn)價(jià)值一樣屬于第二層的風(fēng)險(xiǎn)評判要素。其范式為：

威脅發(fā)生可能性=T（威脅行為動(dòng)機(jī)T1、威脅攻擊技能T2、受懲罰風(fēng)險(xiǎn)等級(jí)T3、威脅頻率T4）。其中威脅頻率作為原模型要素。

選取相應(yīng)的計(jì)算方法計(jì)算威脅發(fā)生可能性并根據(jù)等級(jí)劃分賦值。威脅發(fā)生可能性的等級(jí)共劃分為五級(jí)，各級(jí)別反應(yīng)威脅發(fā)生的概率，可以表達(dá)為：經(jīng)常發(fā)生、多次發(fā)生、曾經(jīng)發(fā)生、一般不可能發(fā)生和例外情況發(fā)生的五種可能性。

3.3 脆弱性分析

脆弱性可以引發(fā)威脅，從技術(shù)和管理多個(gè)方面造成對業(yè)務(wù)持續(xù)性的影響和資產(chǎn)的損失和危害。

1)脆弱性基本要素等級(jí)賦值

脆弱性基本要素屬于第一層的風(fēng)險(xiǎn)評判要素。

（1）要素V1：脆弱點(diǎn)對業(yè)務(wù)影響程度

可以用如果脆弱性被威脅利用，對業(yè)務(wù)進(jìn)行造成完全停滯、重大影響、一般影響、較小影響、可以忽略的影響程度由很高、高、中、低、很低五個(gè)級(jí)別來表示。

（2）要素V2：脆弱點(diǎn)被利用難易程度

脆弱點(diǎn)被利用難易程度可以通過多種指標(biāo)體現(xiàn)，如攻擊時(shí)間、檢測時(shí)間等。脆弱點(diǎn)被利用難易程度可以用此脆弱性被威脅利用難度極大、較大、一般、較小、沒有難度，結(jié)合攻擊時(shí)間長短由很高、高、中、低、很低五個(gè)難度級(jí)別來表示。需要注意的是，如果脆弱點(diǎn)被利用的難度等級(jí)為i級(jí)，則賦值應(yīng)當(dāng)選?。?-i）。

2）脆弱性和威脅對組織影響等級(jí)

脆弱性和威脅對組織管理和發(fā)展的影響等級(jí)屬于第三層的風(fēng)險(xiǎn)評判要素。它由威脅發(fā)生的可能性和脆弱點(diǎn)對業(yè)務(wù)影響程度量化評判得出影響等級(jí)值。

對組織影響程度＝V(威脅發(fā)生的可能性T,脆弱點(diǎn)對業(yè)務(wù)影響程度V1)

對組織影響程度等級(jí)可以按此脆弱性被威脅利用對組織的管理和發(fā)展危害極大、較大、一般、較小、可以忽略分為很高、高、中、低、很低的由大到小五個(gè)級(jí)別賦值。

3.4 已有的安全措施有效性分析

已有安全措施要素屬于第一層的風(fēng)險(xiǎn)評判要素，用S表示。對已采取的安全措施的有效性進(jìn)行確認(rèn)評估，看安全措施是否能真正減少系統(tǒng)存在的軟件和協(xié)議等方面的漏洞，是否增強(qiáng)主動(dòng)防御的能力。

對現(xiàn)有的安全措施的有效性按五個(gè)級(jí)別賦值，這五個(gè)級(jí)別分別以受害資產(chǎn)沒有相應(yīng)的安全措施、受害資產(chǎn)有簡單的安全措施、安全措施對降低風(fēng)險(xiǎn)事件發(fā)生有一定效力、安全措施大大降低某些安全風(fēng)險(xiǎn)事件的發(fā)生、安全措施完全杜絕了某些安全風(fēng)險(xiǎn)事件的發(fā)生這五種情況的不同，從很低、低、中等、高、很高分為1到5個(gè)級(jí)別值。如果等級(jí)值越大，安全措施就越有效，風(fēng)險(xiǎn)事件發(fā)生可能性就會(huì)變小。所以，風(fēng)險(xiǎn)的可能性與安全措施取值正好相反，如果某資產(chǎn)安全措施等級(jí)為i級(jí)，則賦值應(yīng)當(dāng)是（6-i）。

3.5 風(fēng)險(xiǎn)綜合值的分析

1）風(fēng)險(xiǎn)事件發(fā)生可能性

（1）風(fēng)險(xiǎn)事件發(fā)生可能性屬于第三層評判；算法

風(fēng)險(xiǎn)事件發(fā)生可能性=L（威脅發(fā)生的可能性T，6-脆弱點(diǎn)被利用難易程度V2，6-已有安全措施有效等級(jí)S）

（2）風(fēng)險(xiǎn)事件發(fā)生可能性賦值

風(fēng)險(xiǎn)事件發(fā)生可能性按等級(jí)賦值；事件發(fā)生可能性的等級(jí)可以按取值范圍0.85到1、0.65到0.85、0.4到0.65、0.1到0.4、0到0.1從很高、高、中等、低、很低分為五個(gè)級(jí)別。

2）風(fēng)險(xiǎn)事件造成的損失

（1）風(fēng)險(xiǎn)事件造成的損失屬于第四層評判；范式：

風(fēng)險(xiǎn)事件造成的損失=F（資產(chǎn)價(jià)值吸引力I，對組織的影響程度V）

（2）風(fēng)險(xiǎn)事件造成的損失賦值可以參考事件發(fā)生可能性的取值范圍等級(jí)列表。

3）風(fēng)險(xiǎn)綜合值運(yùn)算

（1）風(fēng)險(xiǎn)綜合值運(yùn)算屬于第五層評判；范式：

風(fēng)險(xiǎn)綜合值H=R（風(fēng)險(xiǎn)事件發(fā)生可能性L，風(fēng)險(xiǎn)事件造成的損失F）；

H＝R (T (T1,T2,6-T3,T4),6-V2,6-S),F (I,V(T (T1,T2,6-T3,T4),V1)))；

計(jì)算包含了第一層到第四層的評判要素。

（2）風(fēng)險(xiǎn)綜合賦值也可以參考事件發(fā)生可能性的取值范圍等級(jí)列表。

4）風(fēng)險(xiǎn)值計(jì)算的方法

可以采用相乘法、模糊評判矩陣、神經(jīng)元網(wǎng)絡(luò)等相應(yīng)的評估計(jì)算方法建立R（L，F(xiàn)）、F（I,V）等運(yùn)算函數(shù)模型，計(jì)算獲得各級(jí)風(fēng)險(xiǎn)值。

4 結(jié)束語

本文在現(xiàn)有信息安全風(fēng)險(xiǎn)計(jì)算模型的基礎(chǔ)之上進(jìn)行了改進(jìn)，提出了一種多層次結(jié)構(gòu)和多維度運(yùn)算的信息安全風(fēng)險(xiǎn)評估量化和計(jì)算模型，該模型細(xì)化了評判要素，調(diào)整了風(fēng)險(xiǎn)評判關(guān)系；采用此模型，對部分OA信息系統(tǒng)和不同中小企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)評估的結(jié)果來看，較為合理的反映了信息系統(tǒng)安全風(fēng)險(xiǎn)狀況和安全措施的現(xiàn)實(shí)作用，提高了評估的準(zhǔn)確性，同時(shí)，也檢驗(yàn)了此模型適應(yīng)不同應(yīng)用重點(diǎn)的信息系統(tǒng)安全風(fēng)險(xiǎn)評估，能夠利用來合理的管理和控制安全風(fēng)險(xiǎn)。

[1] 張恒雙. 信息安全評估算法研究[J]. 計(jì)算機(jī)與現(xiàn)代化,2011,(04).

[2] 張鑫,顧慶,陳道蓄. 面向?qū)Ρ仍u估的軟件系統(tǒng)安全度量研究[J]. 計(jì)算機(jī)科學(xué),2009,(09).

[3] 張濤,胡銘曾,云曉春,張永錚. 計(jì)算機(jī)網(wǎng)絡(luò)安全性分析建模研究[J]. 通信學(xué)報(bào),2005,(12).