信息安全風險評估模型的改進

郭 昊，張永忠

GUO Hao,ZHANG Yong-zhong

（太原理工大學 計算機科學與技術學院，太原 030024）

0 引言

信息安全風險評估可以不斷地、深入地發現信息系統安全隱患，以便采取積極主動的防御措施保障信息系統正常可靠運行，指導性的提高信息安全的科學管理水平和信息系統安全保障能力。

目前，信息安全風險評估可以按照等級劃分量化地評價信息系統的安全風

險級別，但科學的選擇合適的量化評估模型和評估方法可以提高安全風險評估的適應性和準確性；因此，下面我們通過研究資產價值、脆弱性、威脅和已有安全措施等豐富特征的量化及其相互之間合理關系，提出一種風險評估要素細化的、多層次結構和運算的風險評估計算模型，以滿足不同規模及不同安全關注程度的信息系統的需要，有效評估信息系統安全風險。

1 現有的風險評估計算模型

《信息安全風險評估指南》中給出的現有的信息安全風險量化和計算模型如圖1所示，采用等級方法進行資產價值、脆弱性和威脅的識別賦值，以此為輸入值計算安全事件發生的可能性和安全事件發生后的資產損失，又以此兩個結果值引入直接計算得出風險值，并對綜合值按等級劃分風險結果。整個運算中，評估者可以采用相應的計算方法構造經驗函數計算風險值。

風險值（風險綜合值）計算的形式化范式為：

風險值＝R (A,T,V)＝R (L (T,V),F (Ia,Va))

圖1 現有風險計算模型

R表示安全風險計算函數；A表示資產；T表示威脅頻率；V表示脆弱性；Ia表示安全事件所影響的資產價值；Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性所導致安全事件的可能性；F表示安全事件發生后造成的損失。評估過程包含三層計算。

2 風險評估計算模型的改進

從上面的描述可以發現：現有的計算模型對評判要素的選擇和要素運算既簡單又僅僅停留在框架層面，并沒有涉及更多的影響安全風險的要素和進行合理的量化分析。因此，可以在信息安全風險評估過程中就計算模型進行改進。

在風險綜合值評估計算中應考慮加入：攻擊者技術能力評價要素；威脅行為的動機強度、威脅時受懲罰的風向程度、脆弱性被利用的難易程度、已有的安全措施有效性等級以及影響業務的連續性的指標，還有不同威脅和脆弱性對組織的影響程度評判因素。同時，應考慮安全事件發生可能性的結果；其中要對發生可能性極小的安全事件可以不計算其損失。

改進后的信息安全風險量化和計算模型如圖2所示。

圖2 改進后的風險計算模型

從風險狀況識別到風險綜合評價值的得出，總體形成了多維多層運算的六層評估結構框架。圖中f 為分析計算經驗函數。從圖2可知：安全事件發生的可能性綜合了威脅行為發生的可能性、脆弱點被利用的難易程度和安全措施有效性等級這三個因素運算得到；而僅威脅行為發生可能性必須通過威脅行為動機、威脅源及攻擊技能等級、受懲罰風險等級和威脅頻率這四個要素才能運算得來；安全事件造成的損失通過資產價值與脆弱性及威脅對組織的影響程度的運算得到；而脆弱性和威脅對組織的影響程度又由脆弱點對業務持續性的影響程度和威脅發生的可能性兩個要素運算得到。

3 改進后的風險分析計算過程

安全風險分析計算過程遵循改進的風險計算模型，首先要進行風險要素識別，然后，根據具體對象及其安全事件要素建立的等級列表，進行賦值和綜合賦值運算，直到運算出風險綜合值，這就是整個風險分析計算過程。

3.1 資產價值（吸引力）分析

資產包括信息系統硬件、軟件、信息本身和人員；資產價值源于資產在機密性、完整性和可用性上的等級賦值的綜合運算；資產在機密性、完整性和可用性上的等級賦值屬于第一層的風險評判要素，資產價值屬于第二層風險評判要素。

資產價值＝I(機密性等級賦值、完整性等級賦值、可用性等級賦值)

由結果值根據資產價值五級等級劃分歸納出資產價值（吸引力）等級值。

3.2 威脅及其可能性分析

1）威脅基本要素等級賦值

威脅基本要素屬于第一層的風險評判要素，包括T1：威脅行為動機；T2：威脅攻擊技能；T3：受懲罰風險以及原有的；T4：威脅頻率。

（1）要素T1：威脅行為動機。

針對每一個威脅行為，通過分析其動機強烈程度區分等級大小，可以把威脅行為的動機按攻擊欲望的極度強烈、強烈、較為強烈和攻擊出于好奇，無明顯動機由很高、高、中等、低和很低五個級別賦值。

（2）要素T2：威脅攻擊技能等級。

威脅攻擊技能等級的確定是通過對攻擊者擁有的財力、借助工具的能力及控制傀儡主機數量和技巧衡量，財力和能力高說明攻擊者的攻擊技能等級越高，威脅行為所引發的安全風險就越大。可以把威脅攻擊技能分為以下五級：

很低：威脅源只能使用別人的工具進行簡單的掃描和滲透；一般無人資助。

低級：威脅源有較強的技能，綜合使用多種工具進行入侵攻擊，有一定規模。

中等：威脅源有熟練的技能，綜合使用或能編寫攻擊程序，容易得到資助。

高級：威脅具有分析各種漏洞的能力，能設計實現攻擊軟件，帶動的規模大，財力較大。

很高：威脅具有分析各種漏洞的能力，能設計實現攻擊軟件入侵目標主機，和國家組織有關系，有持續的財力物力。

（3）要素T3：受懲罰風險等級。

如果系統遭受威脅，可以采取安全審計、跟蹤取證等手段，記錄攻擊者的罪行，統計后給予攻擊者具體的法律法規或經濟懲罰,這種等級化的威懾力可以在較大程度上影響威脅發生的可能性。受懲罰風險等級根據力度大小由高到低分為五級；攻擊者受懲罰的風險等級越高，威脅發生的可能性就越小。因此，如果威脅的受懲罰風險等級為i級，則賦值就應當選取（6-i）。

2）威脅發生的可能性

威脅發生的可能性和資產價值一樣屬于第二層的風險評判要素。其范式為：

威脅發生可能性=T（威脅行為動機T1、威脅攻擊技能T2、受懲罰風險等級T3、威脅頻率T4）。其中威脅頻率作為原模型要素。

選取相應的計算方法計算威脅發生可能性并根據等級劃分賦值。威脅發生可能性的等級共劃分為五級，各級別反應威脅發生的概率，可以表達為：經常發生、多次發生、曾經發生、一般不可能發生和例外情況發生的五種可能性。

3.3 脆弱性分析

脆弱性可以引發威脅，從技術和管理多個方面造成對業務持續性的影響和資產的損失和危害。

1)脆弱性基本要素等級賦值

脆弱性基本要素屬于第一層的風險評判要素。

（1）要素V1：脆弱點對業務影響程度

可以用如果脆弱性被威脅利用，對業務進行造成完全停滯、重大影響、一般影響、較小影響、可以忽略的影響程度由很高、高、中、低、很低五個級別來表示。

（2）要素V2：脆弱點被利用難易程度

脆弱點被利用難易程度可以通過多種指標體現，如攻擊時間、檢測時間等。脆弱點被利用難易程度可以用此脆弱性被威脅利用難度極大、較大、一般、較小、沒有難度，結合攻擊時間長短由很高、高、中、低、很低五個難度級別來表示。需要注意的是，如果脆弱點被利用的難度等級為i級，則賦值應當選取（6-i）。

2）脆弱性和威脅對組織影響等級

脆弱性和威脅對組織管理和發展的影響等級屬于第三層的風險評判要素。它由威脅發生的可能性和脆弱點對業務影響程度量化評判得出影響等級值。

對組織影響程度＝V(威脅發生的可能性T,脆弱點對業務影響程度V1)

對組織影響程度等級可以按此脆弱性被威脅利用對組織的管理和發展危害極大、較大、一般、較小、可以忽略分為很高、高、中、低、很低的由大到小五個級別賦值。

3.4 已有的安全措施有效性分析

已有安全措施要素屬于第一層的風險評判要素，用S表示。對已采取的安全措施的有效性進行確認評估，看安全措施是否能真正減少系統存在的軟件和協議等方面的漏洞，是否增強主動防御的能力。

對現有的安全措施的有效性按五個級別賦值，這五個級別分別以受害資產沒有相應的安全措施、受害資產有簡單的安全措施、安全措施對降低風險事件發生有一定效力、安全措施大大降低某些安全風險事件的發生、安全措施完全杜絕了某些安全風險事件的發生這五種情況的不同，從很低、低、中等、高、很高分為1到5個級別值。如果等級值越大，安全措施就越有效，風險事件發生可能性就會變小。所以，風險的可能性與安全措施取值正好相反，如果某資產安全措施等級為i級，則賦值應當是（6-i）。

3.5 風險綜合值的分析

1）風險事件發生可能性

（1）風險事件發生可能性屬于第三層評判；算法

風險事件發生可能性=L（威脅發生的可能性T，6-脆弱點被利用難易程度V2，6-已有安全措施有效等級S）

（2）風險事件發生可能性賦值

風險事件發生可能性按等級賦值；事件發生可能性的等級可以按取值范圍0.85到1、0.65到0.85、0.4到0.65、0.1到0.4、0到0.1從很高、高、中等、低、很低分為五個級別。

2）風險事件造成的損失

（1）風險事件造成的損失屬于第四層評判；范式：

風險事件造成的損失=F（資產價值吸引力I，對組織的影響程度V）

（2）風險事件造成的損失賦值可以參考事件發生可能性的取值范圍等級列表。

3）風險綜合值運算

（1）風險綜合值運算屬于第五層評判；范式：

風險綜合值H=R（風險事件發生可能性L，風險事件造成的損失F）；

H＝R (T (T1,T2,6-T3,T4),6-V2,6-S),F (I,V(T (T1,T2,6-T3,T4),V1)))；

計算包含了第一層到第四層的評判要素。

（2）風險綜合賦值也可以參考事件發生可能性的取值范圍等級列表。

4）風險值計算的方法

可以采用相乘法、模糊評判矩陣、神經元網絡等相應的評估計算方法建立R（L，F）、F（I,V）等運算函數模型，計算獲得各級風險值。

4 結束語

本文在現有信息安全風險計算模型的基礎之上進行了改進，提出了一種多層次結構和多維度運算的信息安全風險評估量化和計算模型，該模型細化了評判要素，調整了風險評判關系；采用此模型，對部分OA信息系統和不同中小企業信息系統安全風險評估的結果來看，較為合理的反映了信息系統安全風險狀況和安全措施的現實作用，提高了評估的準確性，同時，也檢驗了此模型適應不同應用重點的信息系統安全風險評估，能夠利用來合理的管理和控制安全風險。

[1] 張恒雙. 信息安全評估算法研究[J]. 計算機與現代化,2011,(04).

[2] 張鑫,顧慶,陳道蓄. 面向對比評估的軟件系統安全度量研究[J]. 計算機科學,2009,(09).

[3] 張濤,胡銘曾,云曉春,張永錚. 計算機網絡安全性分析建模研究[J]. 通信學報,2005,(12).