郭 昊,張永忠
GUO Hao,ZHANG Yong-zhong
(太原理工大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,太原 030024)
信息安全風(fēng)險(xiǎn)評估可以不斷地、深入地發(fā)現(xiàn)信息系統(tǒng)安全隱患,以便采取積極主動(dòng)的防御措施保障信息系統(tǒng)正??煽窟\(yùn)行,指導(dǎo)性的提高信息安全的科學(xué)管理水平和信息系統(tǒng)安全保障能力。
目前,信息安全風(fēng)險(xiǎn)評估可以按照等級(jí)劃分量化地評價(jià)信息系統(tǒng)的安全風(fēng)
險(xiǎn)級(jí)別,但科學(xué)的選擇合適的量化評估模型和評估方法可以提高安全風(fēng)險(xiǎn)評估的適應(yīng)性和準(zhǔn)確性;因此,下面我們通過研究資產(chǎn)價(jià)值、脆弱性、威脅和已有安全措施等豐富特征的量化及其相互之間合理關(guān)系,提出一種風(fēng)險(xiǎn)評估要素細(xì)化的、多層次結(jié)構(gòu)和運(yùn)算的風(fēng)險(xiǎn)評估計(jì)算模型,以滿足不同規(guī)模及不同安全關(guān)注程度的信息系統(tǒng)的需要,有效評估信息系統(tǒng)安全風(fēng)險(xiǎn)。
《信息安全風(fēng)險(xiǎn)評估指南》中給出的現(xiàn)有的信息安全風(fēng)險(xiǎn)量化和計(jì)算模型如圖1所示,采用等級(jí)方法進(jìn)行資產(chǎn)價(jià)值、脆弱性和威脅的識(shí)別賦值,以此為輸入值計(jì)算安全事件發(fā)生的可能性和安全事件發(fā)生后的資產(chǎn)損失,又以此兩個(gè)結(jié)果值引入直接計(jì)算得出風(fēng)險(xiǎn)值,并對綜合值按等級(jí)劃分風(fēng)險(xiǎn)結(jié)果。整個(gè)運(yùn)算中,評估者可以采用相應(yīng)的計(jì)算方法構(gòu)造經(jīng)驗(yàn)函數(shù)計(jì)算風(fēng)險(xiǎn)值。
風(fēng)險(xiǎn)值(風(fēng)險(xiǎn)綜合值)計(jì)算的形式化范式為:
風(fēng)險(xiǎn)值=R (A,T,V)=R (L (T,V),F (Ia,Va))
圖1 現(xiàn)有風(fēng)險(xiǎn)計(jì)算模型
R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅頻率;V表示脆弱性;Ia表示安全事件所影響的資產(chǎn)價(jià)值;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性所導(dǎo)致安全事件的可能性;F表示安全事件發(fā)生后造成的損失。評估過程包含三層計(jì)算。
從上面的描述可以發(fā)現(xiàn):現(xiàn)有的計(jì)算模型對評判要素的選擇和要素運(yùn)算既簡單又僅僅停留在框架層面,并沒有涉及更多的影響安全風(fēng)險(xiǎn)的要素和進(jìn)行合理的量化分析。因此,可以在信息安全風(fēng)險(xiǎn)評估過程中就計(jì)算模型進(jìn)行改進(jìn)。
在風(fēng)險(xiǎn)綜合值評估計(jì)算中應(yīng)考慮加入:攻擊者技術(shù)能力評價(jià)要素;威脅行為的動(dòng)機(jī)強(qiáng)度、威脅時(shí)受懲罰的風(fēng)向程度、脆弱性被利用的難易程度、已有的安全措施有效性等級(jí)以及影響業(yè)務(wù)的連續(xù)性的指標(biāo),還有不同威脅和脆弱性對組織的影響程度評判因素。同時(shí),應(yīng)考慮安全事件發(fā)生可能性的結(jié)果;其中要對發(fā)生可能性極小的安全事件可以不計(jì)算其損失。
改進(jìn)后的信息安全風(fēng)險(xiǎn)量化和計(jì)算模型如圖2所示。
圖2 改進(jìn)后的風(fēng)險(xiǎn)計(jì)算模型
從風(fēng)險(xiǎn)狀況識(shí)別到風(fēng)險(xiǎn)綜合評價(jià)值的得出,總體形成了多維多層運(yùn)算的六層評估結(jié)構(gòu)框架。圖中f 為分析計(jì)算經(jīng)驗(yàn)函數(shù)。從圖2可知:安全事件發(fā)生的可能性綜合了威脅行為發(fā)生的可能性、脆弱點(diǎn)被利用的難易程度和安全措施有效性等級(jí)這三個(gè)因素運(yùn)算得到;而僅威脅行為發(fā)生可能性必須通過威脅行為動(dòng)機(jī)、威脅源及攻擊技能等級(jí)、受懲罰風(fēng)險(xiǎn)等級(jí)和威脅頻率這四個(gè)要素才能運(yùn)算得來;安全事件造成的損失通過資產(chǎn)價(jià)值與脆弱性及威脅對組織的影響程度的運(yùn)算得到;而脆弱性和威脅對組織的影響程度又由脆弱點(diǎn)對業(yè)務(wù)持續(xù)性的影響程度和威脅發(fā)生的可能性兩個(gè)要素運(yùn)算得到。
安全風(fēng)險(xiǎn)分析計(jì)算過程遵循改進(jìn)的風(fēng)險(xiǎn)計(jì)算模型,首先要進(jìn)行風(fēng)險(xiǎn)要素識(shí)別,然后,根據(jù)具體對象及其安全事件要素建立的等級(jí)列表,進(jìn)行賦值和綜合賦值運(yùn)算,直到運(yùn)算出風(fēng)險(xiǎn)綜合值,這就是整個(gè)風(fēng)險(xiǎn)分析計(jì)算過程。
資產(chǎn)包括信息系統(tǒng)硬件、軟件、信息本身和人員;資產(chǎn)價(jià)值源于資產(chǎn)在機(jī)密性、完整性和可用性上的等級(jí)賦值的綜合運(yùn)算;資產(chǎn)在機(jī)密性、完整性和可用性上的等級(jí)賦值屬于第一層的風(fēng)險(xiǎn)評判要素,資產(chǎn)價(jià)值屬于第二層風(fēng)險(xiǎn)評判要素。
資產(chǎn)價(jià)值=I(機(jī)密性等級(jí)賦值、完整性等級(jí)賦值、可用性等級(jí)賦值)
由結(jié)果值根據(jù)資產(chǎn)價(jià)值五級(jí)等級(jí)劃分歸納出資產(chǎn)價(jià)值(吸引力)等級(jí)值。
1)威脅基本要素等級(jí)賦值
威脅基本要素屬于第一層的風(fēng)險(xiǎn)評判要素,包括T1:威脅行為動(dòng)機(jī);T2:威脅攻擊技能;T3:受懲罰風(fēng)險(xiǎn)以及原有的;T4:威脅頻率。
(1)要素T1:威脅行為動(dòng)機(jī)。
針對每一個(gè)威脅行為,通過分析其動(dòng)機(jī)強(qiáng)烈程度區(qū)分等級(jí)大小,可以把威脅行為的動(dòng)機(jī)按攻擊欲望的極度強(qiáng)烈、強(qiáng)烈、較為強(qiáng)烈和攻擊出于好奇,無明顯動(dòng)機(jī)由很高、高、中等、低和很低五個(gè)級(jí)別賦值。
(2)要素T2:威脅攻擊技能等級(jí)。
威脅攻擊技能等級(jí)的確定是通過對攻擊者擁有的財(cái)力、借助工具的能力及控制傀儡主機(jī)數(shù)量和技巧衡量,財(cái)力和能力高說明攻擊者的攻擊技能等級(jí)越高,威脅行為所引發(fā)的安全風(fēng)險(xiǎn)就越大??梢园淹{攻擊技能分為以下五級(jí):
很低:威脅源只能使用別人的工具進(jìn)行簡單的掃描和滲透;一般無人資助。
低級(jí):威脅源有較強(qiáng)的技能,綜合使用多種工具進(jìn)行入侵攻擊,有一定規(guī)模。
中等:威脅源有熟練的技能,綜合使用或能編寫攻擊程序,容易得到資助。
高級(jí):威脅具有分析各種漏洞的能力,能設(shè)計(jì)實(shí)現(xiàn)攻擊軟件,帶動(dòng)的規(guī)模大,財(cái)力較大。
很高:威脅具有分析各種漏洞的能力,能設(shè)計(jì)實(shí)現(xiàn)攻擊軟件入侵目標(biāo)主機(jī),和國家組織有關(guān)系,有持續(xù)的財(cái)力物力。
(3)要素T3:受懲罰風(fēng)險(xiǎn)等級(jí)。
如果系統(tǒng)遭受威脅,可以采取安全審計(jì)、跟蹤取證等手段,記錄攻擊者的罪行,統(tǒng)計(jì)后給予攻擊者具體的法律法規(guī)或經(jīng)濟(jì)懲罰,這種等級(jí)化的威懾力可以在較大程度上影響威脅發(fā)生的可能性。受懲罰風(fēng)險(xiǎn)等級(jí)根據(jù)力度大小由高到低分為五級(jí);攻擊者受懲罰的風(fēng)險(xiǎn)等級(jí)越高,威脅發(fā)生的可能性就越小。因此,如果威脅的受懲罰風(fēng)險(xiǎn)等級(jí)為i級(jí),則賦值就應(yīng)當(dāng)選?。?-i)。
2)威脅發(fā)生的可能性
威脅發(fā)生的可能性和資產(chǎn)價(jià)值一樣屬于第二層的風(fēng)險(xiǎn)評判要素。其范式為:
威脅發(fā)生可能性=T(威脅行為動(dòng)機(jī)T1、威脅攻擊技能T2、受懲罰風(fēng)險(xiǎn)等級(jí)T3、威脅頻率T4)。其中威脅頻率作為原模型要素。
選取相應(yīng)的計(jì)算方法計(jì)算威脅發(fā)生可能性并根據(jù)等級(jí)劃分賦值。威脅發(fā)生可能性的等級(jí)共劃分為五級(jí),各級(jí)別反應(yīng)威脅發(fā)生的概率,可以表達(dá)為:經(jīng)常發(fā)生、多次發(fā)生、曾經(jīng)發(fā)生、一般不可能發(fā)生和例外情況發(fā)生的五種可能性。
脆弱性可以引發(fā)威脅,從技術(shù)和管理多個(gè)方面造成對業(yè)務(wù)持續(xù)性的影響和資產(chǎn)的損失和危害。
1)脆弱性基本要素等級(jí)賦值
脆弱性基本要素屬于第一層的風(fēng)險(xiǎn)評判要素。
(1)要素V1:脆弱點(diǎn)對業(yè)務(wù)影響程度
可以用如果脆弱性被威脅利用,對業(yè)務(wù)進(jìn)行造成完全停滯、重大影響、一般影響、較小影響、可以忽略的影響程度由很高、高、中、低、很低五個(gè)級(jí)別來表示。
(2)要素V2:脆弱點(diǎn)被利用難易程度
脆弱點(diǎn)被利用難易程度可以通過多種指標(biāo)體現(xiàn),如攻擊時(shí)間、檢測時(shí)間等。脆弱點(diǎn)被利用難易程度可以用此脆弱性被威脅利用難度極大、較大、一般、較小、沒有難度,結(jié)合攻擊時(shí)間長短由很高、高、中、低、很低五個(gè)難度級(jí)別來表示。需要注意的是,如果脆弱點(diǎn)被利用的難度等級(jí)為i級(jí),則賦值應(yīng)當(dāng)選?。?-i)。
2)脆弱性和威脅對組織影響等級(jí)
脆弱性和威脅對組織管理和發(fā)展的影響等級(jí)屬于第三層的風(fēng)險(xiǎn)評判要素。它由威脅發(fā)生的可能性和脆弱點(diǎn)對業(yè)務(wù)影響程度量化評判得出影響等級(jí)值。
對組織影響程度=V(威脅發(fā)生的可能性T,脆弱點(diǎn)對業(yè)務(wù)影響程度V1)
對組織影響程度等級(jí)可以按此脆弱性被威脅利用對組織的管理和發(fā)展危害極大、較大、一般、較小、可以忽略分為很高、高、中、低、很低的由大到小五個(gè)級(jí)別賦值。
已有安全措施要素屬于第一層的風(fēng)險(xiǎn)評判要素,用S表示。對已采取的安全措施的有效性進(jìn)行確認(rèn)評估,看安全措施是否能真正減少系統(tǒng)存在的軟件和協(xié)議等方面的漏洞,是否增強(qiáng)主動(dòng)防御的能力。
對現(xiàn)有的安全措施的有效性按五個(gè)級(jí)別賦值,這五個(gè)級(jí)別分別以受害資產(chǎn)沒有相應(yīng)的安全措施、受害資產(chǎn)有簡單的安全措施、安全措施對降低風(fēng)險(xiǎn)事件發(fā)生有一定效力、安全措施大大降低某些安全風(fēng)險(xiǎn)事件的發(fā)生、安全措施完全杜絕了某些安全風(fēng)險(xiǎn)事件的發(fā)生這五種情況的不同,從很低、低、中等、高、很高分為1到5個(gè)級(jí)別值。如果等級(jí)值越大,安全措施就越有效,風(fēng)險(xiǎn)事件發(fā)生可能性就會(huì)變小。所以,風(fēng)險(xiǎn)的可能性與安全措施取值正好相反,如果某資產(chǎn)安全措施等級(jí)為i級(jí),則賦值應(yīng)當(dāng)是(6-i)。
1)風(fēng)險(xiǎn)事件發(fā)生可能性
(1)風(fēng)險(xiǎn)事件發(fā)生可能性屬于第三層評判;算法
風(fēng)險(xiǎn)事件發(fā)生可能性=L(威脅發(fā)生的可能性T,6-脆弱點(diǎn)被利用難易程度V2,6-已有安全措施有效等級(jí)S)
(2)風(fēng)險(xiǎn)事件發(fā)生可能性賦值
風(fēng)險(xiǎn)事件發(fā)生可能性按等級(jí)賦值;事件發(fā)生可能性的等級(jí)可以按取值范圍0.85到1、0.65到0.85、0.4到0.65、0.1到0.4、0到0.1從很高、高、中等、低、很低分為五個(gè)級(jí)別。
2)風(fēng)險(xiǎn)事件造成的損失
(1)風(fēng)險(xiǎn)事件造成的損失屬于第四層評判;范式:
風(fēng)險(xiǎn)事件造成的損失=F(資產(chǎn)價(jià)值吸引力I,對組織的影響程度V)
(2)風(fēng)險(xiǎn)事件造成的損失賦值可以參考事件發(fā)生可能性的取值范圍等級(jí)列表。
3)風(fēng)險(xiǎn)綜合值運(yùn)算
(1)風(fēng)險(xiǎn)綜合值運(yùn)算屬于第五層評判;范式:
風(fēng)險(xiǎn)綜合值H=R(風(fēng)險(xiǎn)事件發(fā)生可能性L,風(fēng)險(xiǎn)事件造成的損失F);
H=R (T (T1,T2,6-T3,T4),6-V2,6-S),F (I,V(T (T1,T2,6-T3,T4),V1)));
計(jì)算包含了第一層到第四層的評判要素。
(2)風(fēng)險(xiǎn)綜合賦值也可以參考事件發(fā)生可能性的取值范圍等級(jí)列表。
4)風(fēng)險(xiǎn)值計(jì)算的方法
可以采用相乘法、模糊評判矩陣、神經(jīng)元網(wǎng)絡(luò)等相應(yīng)的評估計(jì)算方法建立R(L,F(xiàn))、F(I,V)等運(yùn)算函數(shù)模型,計(jì)算獲得各級(jí)風(fēng)險(xiǎn)值。
本文在現(xiàn)有信息安全風(fēng)險(xiǎn)計(jì)算模型的基礎(chǔ)之上進(jìn)行了改進(jìn),提出了一種多層次結(jié)構(gòu)和多維度運(yùn)算的信息安全風(fēng)險(xiǎn)評估量化和計(jì)算模型,該模型細(xì)化了評判要素,調(diào)整了風(fēng)險(xiǎn)評判關(guān)系;采用此模型,對部分OA信息系統(tǒng)和不同中小企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)評估的結(jié)果來看,較為合理的反映了信息系統(tǒng)安全風(fēng)險(xiǎn)狀況和安全措施的現(xiàn)實(shí)作用,提高了評估的準(zhǔn)確性,同時(shí),也檢驗(yàn)了此模型適應(yīng)不同應(yīng)用重點(diǎn)的信息系統(tǒng)安全風(fēng)險(xiǎn)評估,能夠利用來合理的管理和控制安全風(fēng)險(xiǎn)。
[1] 張恒雙. 信息安全評估算法研究[J]. 計(jì)算機(jī)與現(xiàn)代化,2011,(04).
[2] 張鑫,顧慶,陳道蓄. 面向?qū)Ρ仍u估的軟件系統(tǒng)安全度量研究[J]. 計(jì)算機(jī)科學(xué),2009,(09).
[3] 張濤,胡銘曾,云曉春,張永錚. 計(jì)算機(jī)網(wǎng)絡(luò)安全性分析建模研究[J]. 通信學(xué)報(bào),2005,(12).