故障樹在校園網信息系統風險評估中的應用

[摘要]應用故障樹分析法對形成校園網信息系統的三大風險：物理環境安全風險、校內安全風險和網絡安全風險建立故障樹模型，深入挖掘形成風險的源頭，為評估人員提出針對性的風險控制方案奠定良好的基礎。同時，量化三大風險的等級大小，并取其中最大值作為校園網信息系統的總體風險級別，有效地完成了校園網信息系統風險評估的過程。

〔關鍵詞〕校園網信息系統；風險評估；故障樹模型

ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１００８－０８２１．２０１１．０３．０２２

〔中圖分類號〕Ｇ２０２ 〔文獻標識碼〕Ｂ 〔文章編號〕１００８－０８２１（２０１１）０３－００８９－０４

Using the Model of Failure Tree in the Risk Assessment

of the Campus Network Information SystemWang Yanwei Chen Heng

（Interanational Business School，Shaanxi Normal University，Xian 710062，China）

〔Ａｂｓｔｒａｃｔ〕Use the model of failure tree to analysis the reason of the three major risk of the campus network information system and establish the model to the environment security risks，campus security risks and network security risks，and set a good foundation to assess persons for proposing risk control scheme to deal with the risk in digging deep into the source of it.At the same time，effectively completed the risk assessment process of the campus network information system in quantifying the size of the three major risk and take one of the great value as the risk level of the campus network.

〔Ｋｅｙｗｏｒｄｓ〕campus network information system;the risk assessment;the model of failure tree

隨著信息技術的迅速發展及計算機網絡化的形成，國內很多高校都建立了自己的校園網絡，并將校園網連接到國際互聯網中，使高校的教學環境發生了較大的改善。校園網的建成標志著我國信息化基礎建設的又一次重大飛躍。但是，校園網開始運行后其面臨的信息安全問題卻日漸凸現。病毒、惡意代碼、服務攻擊、黑客入侵等安全事件給校園網日常服務功能的穩定及正常發揮造成了巨大威脅。據統計，在2007-2008年內，某高校共發生網絡中斷20余次，網頁上出現非法、反動言論10余次；因網絡原因導致校園網內電子郵件不能使用近70小時；校務系統因停電、設備等問題不能使用5次；主機房由于電力、通風等原因導致無法提供網絡服務3～5次；其中計算機病毒影響最為嚴重，影響時間也較長［１－２］。面對校園網信息系統日趨復雜多樣的安全問題，采取有效地預防措施與控制措施才是制勝之道，而實施預防與控制措施的前提是對校園網信息系統風險形成的原因的準確識別。因此，本文應用故障樹分析法對校園網信息系統的總體風險建立故障樹模型，深入挖掘校園網風險形成的源頭，并采用數理方法量化風險大小，為后續風險預防與控制的過程提供一個科學的依據。

１ 校園網面臨的信息安全風險及評估

校園網信息系統是由復雜的網絡設備、通訊介質和通信協議采用科學的組網技術將校園內的的計算機設備及各種終端設備有機的組合起來實現互聯、共享及多樣化的服務。由于校園網作用的廣泛性，使其用戶群龐大而密集。并且校園網的環境非常開放，所以在不同的環境下存在多種復雜的風險。總體上，校園網信息系統面臨的總體風險主要分為三類分別為物理環境安全風險、校園內部安全風險和網絡安全風險，且形成這三類風險的原因是多種多樣的。對風險形成的原因的準確識別是風險評估的基礎，也是采取相應控制措施的關鍵點。因此我們應用故障樹方法對形成校園網總體風險的源頭進行深度挖掘，并根據各個風險源之間的邏輯關系建立一個校園網信息系統風險故障樹模型。通過故障樹我們可以比較清晰的了解形成風險的原因，依此即可明確不同部門或個人在校園網日常防護中的責任與義務。

校園網信息系統的風險評估是在風險識別的基礎上，通過確定物理環境安全、校園內部安全和網絡安全的風險等級大小，取其中風險等級量化值最高者為校園網信息系統的風險級別。在風險預防與控制階段可以根據風險大小的不同投入不同的資金﹑技術以及人力支持達到控制或降低風險的目的，且能夠有效地降低風險控制的成本和實現資源優化配置的作用。

２ 故障樹分析法在校園網風險評估中的應用

２.１ 故障樹分析法介紹

故障樹最初是20世紀60年代為便于Minuteman火箭系統的分析而提出的，目前它主要用于分析大型復雜系統的可靠性以安全性，被公認為是對復雜系統可靠性、安全性進行分析的一種有效地方法。

２.２ 故障樹分析方法的基本原理

故障樹分析是一種top-down方法［３］，通過對可能造成系統故障的硬件、軟件、環境、人為因素進行分析，畫出故障原因的各種可能組合方式或其發生的概率，由總體至部分， 按樹狀結構，逐層細化的一種分析方法。

２.３ 故障樹分析法步驟

２.３.１ 建立故障樹

建造故障樹就是將校園網信息系統中不希望發生的三類重大風險結果作為“頂事件”；“頂事件”的發生是由若干“中間事件”（形成風險的總體原因）的邏輯組合所導致，“中間事件”又是各個“底事件”（形成風險的具體原因或源頭）的邏輯組合所導致。這樣就形成一個表征不希望發生的風險結果在上，形成風險原因在下的一個倒立的樹狀邏輯因果結構。

２.３.２ 求故障樹的最小割集

割集的定義：是指故障樹中一些底事件的集合，當這些底事件發生時頂事件必然發生。最小割集的定義：若在某個割集中將所含的底事件任意去掉一個，余下的底事件構不成割集即不能使頂事件必然發生，則這樣的割集就稱為“最小割集”。

３.３ 定量分析

定量分析是指在掌握了信息安全風險形成的具體原因即最小割集發生的概率后，從下至上按照相互之間的邏輯關系推出信息安全風險（頂事件）發生的概率，我們用ｐｆ來表示其發生的概率。

設底事件ｘｉ對應的失效概率為ｑｉ（i=1，2，3……n），ｎ為底事件的個數，則最小割集失效的概率為：Ｐ（ＭＣＳ）＝Ｐ（ｘ１∩ｘ２Ｋ∩ｘｍ）＝∏ｍｉ＝１ｑｉ，m為最小割集階數。那么頂事件發生的概率為：Ｐｆ（ｔｏｐ）＝Ｐ（Ｙ１∪Ｙ２Ｋ∪Ｙｋ），Ｙｉ代表最小割集；k代表最小割集的個數。

計算Ｐｆ（ｔｏｐ）的情況有3種：

（１）當Ｙ１Ｙ２Λ，Ｙｋ為獨立事件時，Ｐｆ（ｔｏｐ）＝１－∏ｋｉ＝１（１－ｐｉ），ｐｉ是最小割集Ｙｉ的失效概率。

（２）當Ｙ１Ｙ２Λ，Ｙｋ為互斥事件時，Ｐｆ（ｔｏｐ）＝∑ｋｉ＝１Ｐ（Ｙｉ）

（３）當Ｙ１Ｙ２Λ，Ｙｋ為相容事件時，則有：

Ｐｆ（ｔｏｐ）＝∑ｋｉ＝１Ｐ（Ｙｉ）－∑１ｉｊｋＰ（ＹｉＹｊ）＋ΛΛ＋（－１）ｋ－１

Ｐ∏ｋｉ＝１Ｙｉ

２.３.４ 排列各風險事件（頂事件）的大小順序

我們用Ｃｆ表示風險事件一旦發生造成的后果對校園網技術性能發揮的影響。對Ｃｆ的定義可以用0～1之間的數值來定量，如表１所示：表１ Ｃｆ取值定量表

數 值對技術性能正常發揮的影響Ｃｆ=0.1低Ｃｆ=0.3一般Ｃｆ=0.5中等Ｃｆ=0.7嚴重Ｃｆ=0.9非常嚴重

對風險大小的量化可以用公式ｒ＝ｐｆ＋ｃｆ－ｐｆｃｆ來計算。為了準確描述風險等級，可以根據ｒ的取值范圍來劃分風險的大小。如表２所示：表２ 風險等級大小量化取值范圍

ｒ數值風險等級采取的策略0.1≤ｒ＜0.3低風險接受風險0.3≤ｒ＜0.5普通風險注意防范0.5≤ｒ＜0.7中等風險加強防范與控制0.7≤ｒ＜0.9嚴重風險告知相關部門進行重點針對

性控制 0.9≤ｒ＜1非常嚴重風險立刻采取控制措施降低風險

或更改系統 ３ 構造實例校園網信息系統風險故障樹

３.１ 物理環境安全風險故障樹建立

物理環境安全是指由于物理設備的放置不合適或者防范不得力，使得服務器、交換機、路由器等網絡設備，光纜和雙絞線等網絡線路以及UPS和電纜線等電源設備遭受意外事故或人為破壞，造成校園網不能正常運行［４］，另外地震、潮濕、高溫、洪水等也是構成物理環境安全的一方面。在具體構造故障樹模型時，可以根據本地實際情況將一些發生概率非常小的如地震、洪水等原因剔除，能夠使評估人員集中精力挖掘潛在與校園網信息系統風險具有緊密相關的因素，這樣可以有效地降低風險評估的時間成本。故障樹模型中我們將物理環境安全風險作為頂事件即不希望發生的結果。

校園網信息系統中構成物理環境安全風險的成因主要由3個方面引起：（１）電源故障導致軟硬件設備在校園網中不能運行；（２）軟硬件設備被盜或被毀導致校園網服務不能開展；（３）軟硬件設備被非法訪問造成重要信息泄露。在故障樹中，可以將這3個主要構成風險的原因作為中間事件，進一步還要根據中間事件深挖造成風險發生的更深層原因即最小割集中的底事件。通過對校園網實際狀況調查我們得到的結果如下：

３.１.１ 導致電源故障的具體原因有：

A.電源設備損壞。電源設備損壞的成因又分為3個：a.電源設備自身自然損耗；b.人員破壞。人員破壞分為：（１）內部人員蓄意不滿破壞或盜竊；（２）內部人員操作不當、缺乏責任感，不關心等。c.沒有派專業維修人員進行定期檢查；B.未安裝UPS電源。

３.１.２ 導致軟硬件設備被盜或被毀的具體原因有：

C.設備管理不善。管理不善具體原因是：d.未設置人員看管設備；e. 沒有將設備放置在安全地點；D.門窗不牢固；E.設備管理人員缺乏責任心。

３.１.３ 導致軟硬件設備被非法訪問的原因有：

F.未設置登陸密碼；G.登陸密碼強度不夠，導致密碼被分析后破解；H.未設置使用權限；K.非法人員通過社會工程獲取密碼進行訪問。

通過以上對造成物理環境安全風險的3個主要成因的深度分析我們建立一個校園網信息系統的物理環境風險故障樹模型如圖１所示。

３.２ 校園內部安全風險故障樹建立

校園內部安全風險是指校內用戶或管理人員由于故意或疏忽而做出某些危害校園網信息系統功能正常發揮或者有損學校聲譽的一些行為。目前，校園網內部安全風險的成因主要由3個方面構成：（１）人為操作失誤導致系統崩潰；（２）內部人員惡意破壞主機設備或盜取重要網絡數據；（３）校內用戶借助校園網發布一些不良信息。我們可以將校園網內部安全風險作為故障樹的頂事件，將構成風險的3種主要成因作為中間事件，為了深層了解導致這3種風險的具體原因還需要繼續挖掘尋找風險的源頭。通過分析我們識別出導致風險發生的具體原因如下：

３.２.１ 造成人為操作失誤的具體原因有：

A.缺乏專業技術知識；B.人員的安全意識不強；C.采取的技術措施不當。

３.２.２ 造成內部人員惡意破壞主機設備或盜取重要網絡數據的具體原因有：

D.內部對主機設備的使用權限設置不到位；E.內部缺乏主機設備管理規定；F.對網絡重要數據未設置訪問權限或權限不明；G.內部缺乏對人員破壞行為的有效約束機制。

３.２.３ 造成校內用戶借助校園網發布一些不良信息的具體原因有：

H.校園網用戶缺乏信息安全教育；I.學校未設置必要行政或經濟處罰手段進行約束；G.未設置安全審計系統。

圖１ 物理環境風險故障樹模型

通過上述對造成校園網內部安全風險主要成因的深度分析，按照我們分析的結果可以構造一個校園網內部安全風險的故障樹模型如圖２所示：

圖２ 校園網內部安全風險故障樹模型

３.３ 網絡安全風險故障樹的建立

校園網的主要用戶群是在校的大學生，由于學校將校園網連接到Internet后，校內用戶通過校園網也可以連接互聯網進行下載、瀏覽、游戲等活動，在這個過程中一些計算機病毒、木馬等惡意程序會隨著校內用戶的疏忽而下載到個人電腦或校園網計算機設備中，如果校園網預警系統未及時防范，那么計算機病毒等惡意程序就會肆意蔓延到整個校園網絡中導致校園網信息系統故障。另外，當校內用戶登入互聯網時，一些惡意黑客會利用專業工具進行網絡掃描，如果發現用戶所使用的計算機設備具有系統漏洞，就會利用漏洞侵入整個校園網，造成學校或學生的重要數據信息丟失或損毀。

在實際調查中我們發現構成網絡安全風險的原因主要有3種：（１）計算機病毒導致校園網信息系統崩潰或數據丟失損毀；（２）外網用戶通過公網進入校園網進行非法活動；（３）未經授權人進入校園網信息系統進行非法操作。我們將這3種構成風險的成因作為故障樹的中間事件。依據中間事件我們挖掘出形成風險結果的具體條件如下：

３.３.１ 計算機病毒導致校園網信息系統崩潰或數據丟失損毀的具體原因有：

A.未在校園網與互聯網之間放置防病毒網關；B新病毒出現時未及時更新防病毒網關；C.未對與主流平臺相適應的殺毒軟件進行升級或從新配置；D.未啟用災難恢復計劃。

３.３.２ 造成外網用戶能夠通過公網進入校園網進行非法的活動的具體原因有：

E.未啟用防火墻技術；F.未設置入侵檢測系統；G.網絡軟件缺陷。網絡軟件缺陷又分為：a.網絡協議缺陷b軟件實現缺陷；c.木馬或惡意代碼。H.系統管理員或用戶安全意識差引起。由系統管理員或用戶引起的原因主要由以下原因構成：d.軟件升級不及時造成系統漏洞；e.用戶將賬號轉接或與他人共享；f.管理員設置不恰當。

３.３.２ 造成未經授權人進入校園網信息系統進行非法操作的原因有：

I.用戶身份認證系統設置不當。引起用戶身份認證系統設置不當的原因有：g.未按照個人角色分配權限；h.未定期對用戶權限進行檢查。G.訪問控制系統故障；K.未啟用代理服務器。

通過對造成網絡安全風險的三大主要原因的深入分析我們構造一個網絡安全風險故障樹模型如圖３所示。

圖３ 網絡安全風險故障樹模型

４ 校園網信息系統風險等級評定

在實踐中對校園網信息系統風險等級量化的過程需要收集故障樹中各底事件發生的概率，假設我們通過實際調查收集并獲得了某大學校園網物理環境安全、校內安全及網絡安全風險的故障樹模型中各底事件發生的概率，通過各底事件發生的概率最終計算出這三類風險發生的可能性。

在物理環境安全風險等級計算過程中，我們假設頂事件發生的概率為ｐｆ１，通過底事件中最小割集發生的概率我們推出中間事件：電源故障、軟硬件設備被盜或被毀、軟硬件設備被非法訪問的失效概率分別為Ｙ１Ｙ２Ｙ３，經過分析得知Ｙ１Ｙ２Ｙ３分別為獨立事件，且Ｙ１Ｙ２Ｙ３在我們設定的周期內比如說1年內發生的概率為：0.1、0.2、0.3，因此物理環境安全風險發生的概率為：ｐｆ１（Ｔｏｐ）＝Ｐ（Ｙ１∪Ｙ２∪Ｙ３），經過計算此風險發生的概率為0.006。假定物理環境安全風險的Ｃｆ為0.3，通過風險大小計算公式ｒ＝ｐｆ＋ｃｆ－ｐｆｃｆ推出校園網信息系統物理環境安全風險等級大小的量化值為0.2998，將量化數值與風險等級取值表進行對比，我們得知0.2998＜0.3為低風險，因此應該采用的風險策略為接受風險。

應用相同的方法假設我們計算出校內安全風險故障樹中各中間事件發生的概率分別為：0.2、0.2、0.3，依此計算出頂事件發生的概率為0.012。假定校內安全風險的Ｃｆ為0.5，通過風險計算公式ｒ＝ｐｆ＋ｃｆ－ｐｆｃｆ得到校內安全風險大小的量化值為0.4952，因為0.3＜0.4952＜0.5為普通風險，所以應該采取注意防范的風險控制策略。

最后我們通過計算獲得網絡安全風險故障樹模型的中間事件發生的概率分別為：0.3、0.3、0.2，且Ｃｆ為0.7。通過風險量化公式計算得到網絡安全風險的等級大小是0.6892，為中等風險。應該采用加強防范與控制的策略應對風險。

綜合上述我們得到的校園網信息系統三大主要風險的級別大小，我們取其中風險等級量化值最高的0.6892為校園網信息系統的總體風險級別，這樣我們就完成了校園網信息系統的風險評估，并且得到了風險評估的結果為中等風險。為我們后續具體所采用的風險控制方法及使用的工具奠定了基礎性條件。

５ 結束語

故障樹分析法是目前在系統安全可靠性分析中最重要的方法，其應用的范圍非常的廣泛。我們將故障樹模型應用到校園網信息系統風險評估中，成功的分析了形成校園網信息系統風險的原因并對校園網信息系統的風險等級進行了評定，在實踐中能夠使評估人員比較清晰的按照形成風險的具體原因提出針對性的風險控制方案，有效地保護了校園網信息系統的穩定及安全。

參考文獻

［１］王艷瑋，汪洋．ISO/IEC 17799在校園網信息安全管理中的應用［Ｊ］．科學與管理，2009，（1）：51-54．

［２］某高校校園網信息安全問題報告［Ｒ］．2008．

［３］張鑒，范紅．信息安全風險分析中的故障樹方法研究［Ｃ］．理論探討 第21次全國計算機安全學術交流會，33-35．

［４］李小志．高校校園網絡安全分析及解決方案［Ｊ］．現代教育技術，2008，18（3）：91-93．