万方数据计算机研究与发展ISN1000一1239/CNll一1777jTPJournalofCbllluPtreResaerchandL随vel叩ment43(S uppl.):594一598,2006定量的信息安全风险评估计算模型的研究孙强,韩有韬,董宇欣‘马光胜‘刘晓晓‘1(哈尔滨工程大学计算机科学与技术学院哈尔滨150001)2(哈尔滨电力职业技术学院信息工程系哈尔滨150001)(阅143@126.moc)ResearchonaQuantitative1nformationSecurityRiskAssessmentModeISunQiang‘,HanyoutZOa,Dongyuxin‘,MaGuangsheng,,andLiuxioaxioal1(侃2邵犷ofo朋如tre&艺encean己T比丙nol卿,场动inE卿n配ring价1二妙,肠动£n150001)2(介加rtnemtofl力jbramt勿nEnginong,价动in厂bwreV比at艺onT沈hnol哪烈〔bll哪粥,Ha动in150001)AbstractThecalculati眼modelofinformatinosecurityriskasessmentisdiscusesd‘Onthebasisofthequalitativemodel,anewquantitatievmodelofinformationsecurityriskassesmsentisprseentedandappliedintheprocessofassessment,makingtheriskvaluemorescientificandaccurate.Thissolvestheoriginalcalculatecurosry,inexactandmanyrisksva1uecentralizingonthesameriskrank,sothattheimportanceofriskcannotbedistinguished.K盯wordsinformationsecurity;riskassessment;quantitativeanalysis;riskcalculationmodel摘要讨论了信息安全风险评佑计算模型相关问题.在原来定性风险评佑计算模型的基础上,提出了一种定量的信息安全风险评估计算模型并将其运用在信息安全风险评估过程中,使信息安全风险评佑分析过程中进行风险值的计算更加科学和准确,解决了以往定性的计算模型的数据计算粗略、不准确和多个风险值集中于一个相同的风险等级中,区分不出风险的重要性等问题.关键词信息安全;风险评佑;定量分析;风险计算模型中图法分类号TP309 随着各类组织信息化程度的提高和业务运作过组织在一个安全的框架下进行组织活动.它通过信程中大量数据的生成,使得信息系统越来越复杂,组息安全风险评估来识别风险大小,制定信息安全方织的发展对信息的依赖程度也越来越大,这样信息针,采取适当的控制目标与控制方式对风险进行控安全风险管理成了组织风险管理的重要组成部分.制,使风险被避免、转移或降至一个可被接受的水如何保障信息的安全是每个组织所面临的共同问平〔‘]。本文讨论了信息安全风险评估计算模型的相题,因此信息安全风险评估逐渐被引人组织的管理关问题.在原来定性的风险评估计算模型的基础体系当中.风险评估是风险管理的最根本依据,是上,提出了一种定量的信息安全风险评估计算模型对现有信息系统的安全性进行分析的第一手资料,并将其运用在信息安全风险评估过程中,可以使信也是信息安全领域内最重要的研究内容之一企业息安全风险评估分析过程中进行风险值的计算更加在进行信息安全设备选型、网络建设、应用系统试运科学和准确,解决了以往基于定性的计算模型的数行、与第三方业务伙伴进行网上业务数据传输和电据计算粗略、不准确和多个风险值集中于一个相同子政务等业务之前,进行信息安全风险评估会帮助的风险等级中,区分不出风险重要性等问题.收稿日期:2006一07一07万方数据孙强等:定量的信息安全风险评估计算模型的研究1信息安全风险评估理论原理 信息安全风险评估(rsikasessmsent)是按照国际和国内有关技术标准对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,确定信息资产的风险等级和优先风险控制顺序.风险评估是信息安全风险管理的一个不可或缺的部分.风险(r si)k是特定的威胁利用资产的一种或一组漏洞,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合.风险的构成包括5个方面:起源、方式、途径、受体和后果.它们的相互关系可表述为风险的一个或多个起源,采用一种或多种方式,通过一种或多种途径,侵害一个或多个受体,造成不良后果.它们各自的内涵解释如下: )1风险的起源是威胁的发起方,叫做威胁源;2)风险的方式是威胁源实施威胁所采取的手 段,叫做威胁行为;)3 风险途径是威胁源实施威胁所利用的薄弱环节,叫做脆弱性或漏洞;4)风险的受体是威胁的承受方,即资产; )5 后果是威胁源实施威胁所造成的损失,叫做影响.风险的概念可以描述为威胁源利用漏洞, 对资产实施威胁行为,造成影响.风险的概念模型如图1所示:了威胁源卜一一一一洲长2下: ̄、威胁行为!1漏洞载体环境--图1风险的概念模型 在风险理论中,资产(asste)代表着一种资源、程序、产品、计算模式以及所有企业认为必须得到保护的东西.资产是风险存在之根源,是风险的受体.资产的流失会在无形中影响信息安全的机密性、完整性或可用性【2〕.威胁是指某个特定威胁源利用某个特定系统脆弱性对系统造成损失的潜在能力L”〕.威胁源即风险的起源,是威胁的发起方.威胁行为是风险的方式,不同的威胁源有各自的威胁行为.漏洞是指系统设计、实施、操作和控制过程中存在的可被威胁源利用造成系统安全危害的缺陷或弱点.漏洞往往需要与对应的威胁相结合时才会对系统的安全造成危害.风险分析方法可以采取定性分析、半定量分析 和定量分析,如果从定性分析到定量分析按次序排列,其复杂性和成本则递升.定性分析采用文字形式或描述性的数值范围来描述潜在风险的大小程度,以及这些风险发生的可能性[]4.定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级.在半定量分析中,上述的定性数值范围均为已知值.每项说明所指的数字并不一定能够精确表示风险影响或可能性的实际大小程度.定量分析在影响或可能性等值的分析中采用数值,而不是定性或半定量分析中所使用的叙述性数值范围.定量分析的品质取决于所用的数据精确性和完整性LS].2通用的风险评估计算模型2.1基于ALE的风险评估计算模型在197 9年,美国国家标准局出版了一个联邦信息处理标准的文件,在该文件中为大型的数据处理中心设定了风险评估标准,并且提出了一个新的衡量计算机相关风险的制度:ALE[]6.ALE仅仅是简单地将风险计算为多个潜在损失和发生频率的乘积之和,如式(1)所示:ALE=艺I(0‘)只,(1) 其中,101,…,0。}表示一组有害的后果,1(0‘)表示后果f在金钱上造成的影响,只表示后果‘发生的频繁程度, 虽然,ALE从来都没有成为过标准,但很多人在风险评估计算模型的建立过程中就把ALE当作标准.ALE风险分析法是一种效益价格比(csot-benefti)分析法,在求得每一个“威胁一脆弱性一资产”三联组合的ALE之后,再计算控制措施的价值.它将采取控制措施前后的ALE之差再减去控 制措施的开销,得出控制措施的价值,如果价值较大,则采取该控制措施,否则将不采取该控制措施.ALE方法将所有的风险构成合成为一个单一 计算机研究与发展2006,43(增刊)的数字.这种量化的合成有一个很大的缺点,那就是它不能将高频率、低影响的事件和低频率、高影响的事件区分开来.在很多情况下,高频率、低影响的事件不会造成太大损失,是可以容忍的,但是低频率、高影响的事件却是很严重的、灾难性的.2.2基于风险要素的风险评估计算模型赖于实际系统和经验,几还与采用的控制措施有关系,适当的控制措施可以降低几值或者等级,即如式(4): 几=f(V,T,C,),(4)其中,v表示脆弱性,T表示威胁,t表示控制措施.C 而威胁发生的后果与脆弱性、威胁以及信息的机密性、完整性、可用性的破坏程度有关,具体的后 基于风险要素的风险计算模型是以15013335万方数据中的核心安全风险模型为基础进行系统建模的.安全风险模型各要素的相互关系如图2所示,其中资产、漏洞、威胁和风险是模型的四大要素,它们的关系是,威胁利用资产的漏洞,使资产存在风险,可能造成资产价值的损失;同时可以针对资产存在的风险,提出防护需求,采取防护措施排除漏洞,从而降低资产的风险和减小价值的损失〔5〕.图2安全风险模型各种要素的相互关系 不论采用定量还是定性的分析方法,都必须识别出以上各点内容才能正确地评价信息安全风险。威胁所对应的某一风险与信息及其相关资产的脆弱性、威胁、威胁发生的可能性、威胁发生所造成的后果有关,因此风险的计算应该是式(2)这样的一个函数[7]: R二f(v,T,几,)1,2()其中,R表示风险,v表示脆弱性,T表示威胁,几表示威胁发生的可能性,1表示威胁发生的后果.实际上,几,1和v,T都有关系,因此只需考 虑几和1即可・也就是说风险和威胁发生的可能性和一旦威胁发生以后对系统造成的影响存在直接关系.因此评估风险就是要评估威胁发生的后果及威胁发生的可能性,而脆弱性、威胁等识别只是评估的基础,作为风险评估计算模型的数据来源,是作为后果和可能性的参考.因此实际风险计算函数应该是式(3)这样即可.R=f(几, 1),(3)几与脆弱性、威胁有关,具体的计算或者说定义依果赋值或者定义依赖于实际的系统和经验.同样,1还与采用的控制措施有关系,有效的控制措施可以减少或者降低1的值和等级,即如式(5): 1=f(V,T,Cx,Ix,A二),()5其中,Cx表示机密性遭到破坏的程度及造成的后果,xI表示完整性遭到破坏的程度及造成的后果,A二表示可用性遭到破坏的程度及造成的后果.在进行风险评估计算之前必须确定选用定性评 估计算还是定量评估计算,并且还应该确定各计算函数的计算公式和各参数的赋值定义或者分级定义.3定性的信息安全风险评估计算模型 信息系统的风险是由下面两个方面决定的:)1 威胁源在现有的控制措施下利用系统脆弱性的可能性;)2 系统被攻击后产生的危害程度.而威胁发生的可能性则与威胁源的能力和动 机、信息系统的脆弱性和系统已实施的控制措施有关,为了计算信息系统的风险,应通过风险等级矩阵进行.表1显示了一个标准的风险等级矩阵结构.信息系统的风险由风险发生的可能性等级和危害等级相乘得出.表1示意的是一个3x3的矩阵,根据组织的复杂程度,还可采用4x4或5x5的矩阵.矩阵越大,风险等级就越精细.根据计算得出的风险等级数值,表示了风险的危害程度[8]。表1风险等级矩阵危害程度威胁高(100)中(50)低(10)高(1.0)1005010中(0.5)50255低(0.1)1051 可将风险等级矩阵中的数值按照组织的具体情况定性地分成几个风险等级范围,以得到直观的风险状况.例如可将表2中的数值划分为几个范围,万方数据孙强等:定量的信息安全风险评估计算模型的研究这样组织管理者就可以根据等级范围来制定相应的策略,如表2所示:表2风险等级范围及相应对策风险等级范围描述及相应对策如果信息系统的安全被评估为高风险,必须尽快地采取正确的行动方案.如果信息系统的安全被评估为中风险,应制定正确的行动方案,并在确定的时间内进行修补.如果信息系统的安全被评估为低风险,信息系统负责人应确定是采取行动进行修补还是接受4定量的风险评估计算模型4.1基本要素描述模型基本要素为资产价值、威胁、漏洞、风险。 资产价值是指在评估范围内的资产的自身价值和资产在系统内重要性的统一值.威胁是指信息资产的安全可能受到的侵害,因为目前不可能实现事件和漏洞的精确对应,所以采用威胁来关联攻击行为(事件)和漏洞,定量的风险评估计算模型知识库自身定义的威胁邮民务人员根据事件类和漏洞来建立〔9〕.漏洞本身是无害的,是被威胁利用来影响资产的一个必要条件,定量的风险评估计算模型知识库自身定义了具体漏洞。风险是指某个时间范围内企业的安全状况.风险是在考虑事件发生的可能性及其可能造成的影响下,漏洞被威胁所利用后在资产上所产生的实际负面影响.风险是威胁可能性和威胁影响性的函数,前者指威胁源利用一个潜在漏洞的可能性,后者指不利事件对组织机构产生的影响,风险的后果同时也依赖于资产的价值【’“〕.4.2定量计算公式此时的资产价值不仅仅为自身的价值,而是它 在信息系统中的价值,与资产的机密性、完整性和可用性有关,具体计算如式(6):AR=1092ZC+21+ZA3 (6)其中,AR表示资产的价值,C表示资产的机密性值,1表示资产的完整性值,A表示资产的可用性值.漏洞值V是漏洞的一个属性, 具体参见定量的风险评估计算模型知识库中的安全漏洞库‘威胁影响值分为影响初始值和影响资产值.影响初始值几是根据统计和经验判断某个威胁可能造成的影响的大小,固化在系统知识库中(可通过知识库升级修订)[川.597 影响资产值指威胁发生后对特定属性(C,1,A)造成的影响,由3个权重(C权重、1权重、A权重)构成影响资产权重数组,此数组中CIA权重分别与资产的CIA值相乘后求和除以3,再开平方根得到影响资产值.威胁影响值则可以分为威胁初始影响值和威胁影响资产值两部分,可以由式()7计算出来:T:‘....,.,....................-TL十T:,一一尹、,(7)其中,T。表示威胁对资产或者业务系统的影响性,TL表示威胁初始影响值,T。表示威胁影响资产值即威胁影响资产值,可以通过式(8)计算出来:T_=‘/二二竺些‘‘-二二-‘-二二上立 IT。‘xC+Tl。xl+TA。xA‘“一匀 3,(8)其中,T以表示威胁针对资产机密性的权重,TIA表示威胁针对资产完整性的权重,T从表示威胁针对资产可用性的权重,C表示资产的机密性值,1表示资产的完整性值,A表示资产的可用性值.威胁可能性的判断可以确定某安全对象(资产) 上是否面临某个威胁以及这个威胁发生的可能性有多大.威胁可能性的计算包括3个参数:固定经验值、发生条件值和发生次数值.威胁的固定经验值是国际组织长期统计的结果.固化在系统子知识库中,只能在知识库升级时修改.发生条件值的赋予根据具体的应用环境来确定,初始值为固定经验值,在此基础上调整.最后根据威胁、漏洞、资产都会增加风险值,得 到风险值计算公式.首先通过式(9)计算出风险中漏洞所能利用威胁的数值: T=了几XTs,9()其中,T表示风险中漏洞所能利用威胁的数值,几表示风险中漏洞所能利用威胁产生的可能性,Ts表示风险中漏洞所能利用威胁产生的严重程度,也就是影响值.再利用前几节介绍的资产价值、漏洞值和风险中漏洞所能利用威胁的数值,使用式(10)计算出最终的风险值 RR二ARXVxT,(10)其中,RR表示该风险的风险值,T表示风险中漏洞所能利用威胁的数值,V表示风险中漏洞所能利用威胁的数值(漏洞值),AR表示资产的价值. 根据定量的风险评估计算模型的计算,得出了每个风险的具体数值,我们可以根据这个风险值对风险进行等级划分.参考国家标准,定义严重程度4级,如表3所示[“].万方数据598表3风险严重程度及其描述风险严重程度描述及相应对策 告知[0,25]正常网络状态,没有显著的网络攻击事件,只存在零星攻击.网络大多数情况下都处在此状态.此时保持普通安全策略.预警[26,70]有一些严重漏洞发布或网络攻击事件有增多迹象.此时需对网络和主机进行安全评估、安全升级以及进行必要的监控.报警[71,100]某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加.此时需要立刻采取防御措施,紧急[101,125]网络安全态势非常严峻,对全球互联网造成严重影响.此时需要与其他网络协作采取防御措施.5结束语 本文以信息安全风险评估计算模型研究为背景,对信息安全和安全风险评估的发展背景和风险理论相关的概念和方法做了详细介绍.对信息安全风险评估的通用计算模型和定性风险计算模型进行了深人的学习和研究,总结它们的缺点和不足。在此基础上提出了一种定量的风险评估计算模型,解决了以往定性风险评估计算模型的缺点,提高了风险值的准确性和精度,并将此模型应用到了安全风险评估工具集当中,取得了满意的效果.与本文所描述的定量的信息安全风险评估计算模型搭配使用的还有一个风险评估知识库,由于篇幅,在此不参考文献【1]段海新,杨家海,吴建平.基于Web和数据库的网络管理系统的设计与实现.软件学报,2000,11( )4:468一72【幻向继,等.安全风险管理.见:信息安全国家重点实验室文集.第3辑.北京:中国科学出版社,2002计算机研究与发展2006,43(增刊)[3]Nl 盯.SP800一30.Riskmansgentent,idefroinfomratnoit cehno】gOysystnte,VerisonZ.0.2001[4]GBa rtoc.Riskmanagemetn.IEEEE吃inee五nginMedicienandBi olgoyMagaZien,2003,22(4):166一172【5 ]冯登国,等.信息安全风险评估综述.通信学报,2004,25(7):10一18 [ 6]UnitdesttaseGenerlaAccoutni吧Office,Accounti昭andI nfonnatnoiMan昭ementDiviisno.GA0lAIMD,00一33.I nformatoinsceurityriskasses6们nent:Prcaticesoflaedignor gan滋tions,1999[7]MGr a昭erMotgna,MaxHenrino.unceratinty:^cuidetoDe all飞withUncertaintyinQuantiattievRiksandPolicy六。al ”15.Cambri电e,UK:CambridgeUniversityPres,1990【 ]8孙强.陈伟,等.信息安全管理:全球最佳实务与实施指南.北京:清华大学出版社,200 4【 9]李篙,等.一种基于模型的信息安全风险评估方法.计算机1程与应用,2005,41(29):159一162 [10]MattBisllop,oavid压iely.Achtilacanal”1。ofvlunerbailityxat onmoise.http://二汕.sc.ucsd呛.目侧pn代回明』ner曲ilit回cs ri/vuc己ec,96一11.pdf,1996【11]孙强,郭江鸿,王慧.基于消息通信的安全管理系统的设计与实现.计算机工程与应用,2 006,42(10):134一139 孙强男,1979年生,博士研究生,主要研究方向为电子设计自动化、计算机网络安全等. 韩有韬男,1966年生,高级讲师,主要研究方向为新一代互联网核心技术、网络和多媒体技术等.盖宇欣女,1947年生,硕士,讲师,主要研究方向为新一代互联网核心技术IPV6、移动数据库、仿真智能机器人等.马光胜男,1944年生,教授,博士生导师,主要研究方向为EDA理论与算法.刘晓晓女,1981年生,博士研究生,主要研究方向为电子设计自动化和计算机网络安全等.做描述.
