復雜信息系統(tǒng)風險評估框架與流程

畢東旭，林家駿

(華東理工大學信息科學與工程學院，上海200237)

1 概述

復雜信息系統(tǒng)(Complex Information System，CIS)是多個信息系統(tǒng)的組合系統(tǒng)，其缺乏統(tǒng)一的框架模型，在系統(tǒng)開發(fā)、風險管理上都因為結(jié)構(gòu)的復雜性而存在較大的難度［1］。層次分析法(Analytic Hierarchy Process，AHP)由運籌學專家 Saaty提出［3］，是信息系統(tǒng)風險評估方法中最為常用的，該方法的核心是將經(jīng)驗判斷給予量化，提供定量信息依據(jù)。文獻［4］介紹了模糊層次分析法，利用層次分析法的主觀定性判斷形成決策因素權(quán)重和模糊評價法中解決復雜關(guān)聯(lián)關(guān)系的處理方法;文獻［5］在信息網(wǎng)絡的基礎上設計了一種基于GB/T20984-2007《信息安全技術(shù)-信息安全風險評估規(guī)范》［6］的風險評估;文獻［7］基于《信息系統(tǒng)安全保障評估框架》的安全保障評估，研究了CAE證據(jù)推理模型;文獻［8］度量了信息系統(tǒng)的安全技術(shù)保障性，使用能力成熟度等級的形式，并定義了保障要素集。文獻［9］對上述工作進行梳理與總結(jié)。本文采用企業(yè)架構(gòu)(Enterprise Architecture，EA)對CIS的系統(tǒng)架構(gòu)進行研究，并結(jié)合風險管理層次探討基于EA的CIS風險模型。Zachman框架［2］是經(jīng)典的企業(yè)體系結(jié)構(gòu)框架，本文基于Zachman企業(yè)架構(gòu)建立CIS風險評估框架，在風險管理和風險要素方面對CIS風險評估方法進行研究。

2 CIS風險評估框架

Zachman框架由John A．Zachman提出，是經(jīng)典的企業(yè)體系結(jié)構(gòu)框架［10］。Zachman框架是6行6列的二維關(guān)系矩陣。其中，行代表不同視角提出的觀點，列代表系統(tǒng)的多種抽象描述。矩陣的元素表示觀點和抽象描述的交叉［11］。

基于 Zachman框架，結(jié)合 GB/T20984-2007《信息安全技術(shù)-信息安全風險評估規(guī)范》，建立了CIS風險評估框架。該框架用6行6列的二維關(guān)系矩陣表示。行代表CIS的風險管理層次，列代表風險評估要素，矩陣的元素表示風險管理層次和風險評估要素的交叉。6個列包含了Zachman框架中的 5W1H，即分別表示:How，What，Where，Who，When，Why。6個行表示管理層、業(yè)務層、系統(tǒng)層、網(wǎng)絡層、數(shù)據(jù)層和物理層。CIS風險評估框架如表1所示。

表1 CIS風險評估框架

3 CIS風險評估流程

依據(jù)CIS風險評估框架與標準，建立了CIS風險評估流程，如圖1所示。

圖1 風險評估實施流程

對CIS進行風險評估，依據(jù)風險管理層次和安全域劃分方法，以安全域為評估邊界;安全域內(nèi)依據(jù)5W1H 6個風險評估要素進行評估，安全域間對互聯(lián)關(guān)系進行評估，通過風險計算得出CIS風險結(jié)果。

4 架構(gòu)分解

4．1 CIS風險評估層次的劃分

依據(jù)風險管理層次，將CIS分為管理層、業(yè)務層、系統(tǒng)層、網(wǎng)絡層、數(shù)據(jù)層和物理層6個風險評估層次，風險評估層次的每一層都可以進行風險評估。每個層次依據(jù)文獻［12］中安全域劃分的方法和步驟劃分為多個安全域，安全域的劃分沿用了對非復雜信息系統(tǒng)的劃分方法，但又考慮了安全域之間的關(guān)系，可細化地表示CIS中安全域間的關(guān)系以及風險的傳遞。通過架構(gòu)的分解對安全域進行風險評估，簡化了復雜度和不確定度。

4．2 安全域的劃分

安全域是處于同一安全邊界內(nèi)的系統(tǒng)組成部分，既可以是邏輯的也可以是物理的，安全域為系統(tǒng)的描述提供了一種現(xiàn)實靈活的手段。

CIS中的安全域存在包含與交叉關(guān)系，如圖2所示。CIS安全域的定義是一種相對關(guān)系，例如圖2的安全域包含與交叉關(guān)系，使用分離、合并與屏蔽的方法，將CIS關(guān)聯(lián)的安全域轉(zhuǎn)換為新的互不交叉的安全域［13］。

圖2 域間關(guān)系

下面分別對風險評估中的分離、合并與屏蔽定義了具體的含義。

(1)分離:對目標安全域中的子安全域分別進行單一風險評估;

(2)合并:確定有互聯(lián)關(guān)系的安全域的表達方式，對其進行風險關(guān)聯(lián)度的評估，得出目標安全域的復合風險評估結(jié)果;

(3)屏蔽:對進行完復合風險評估的各安全域進行系統(tǒng)權(quán)重的評估，根據(jù)風險評估結(jié)果與權(quán)重集成為更高層次的安全域。

安全域間的包含和交叉關(guān)系是從理論上將CIS安全域間關(guān)系的形式化表述，可更好地說明安全域間的關(guān)系以及風險的傳遞，便于風險計算的過程和CIS安全性的研究。

5 安全域內(nèi)的風險評估

安全域內(nèi)的風險評估依據(jù)CIS風險評估框架，對5W1H 6個風險評估要素進行評估。傳統(tǒng)風險評估要素資產(chǎn)、威脅、脆弱性的評估與賦值依據(jù)GB/T 20984-2007《信息安全技術(shù)-信息安全風險評估規(guī)范》［6］具體實施，并增加了安全措施、安全時效和資產(chǎn)使命作為新的風險評估要素。

CIS安全域內(nèi)風險評估要素為:安全措施有效性(S)，安全措施時效性(E)，資產(chǎn)識別賦值(A)，資產(chǎn)使命賦值(M)，威脅發(fā)生頻率(T)，脆弱性嚴重程度(V)。采用專家系統(tǒng)的方法，用量化評分代表模糊詞語，即量化值評估結(jié)果［14］。

6 安全域間的風險評估

6．1 互聯(lián)關(guān)系評估流程

對于一般信息系統(tǒng)風險評估，不需要考慮信息系統(tǒng)間的互聯(lián)關(guān)系與風險傳遞，定義為單一風險評估，安全域內(nèi)風險評估即為單一風險評估。CIS中安全域存在不同的互聯(lián)關(guān)系，考慮互聯(lián)關(guān)系風險要素的風險評估定義為復合風險評估。圖3是以安全域表示包含單一風險評估與復合風險評估的互聯(lián)關(guān)系評估流程。

圖3 互聯(lián)關(guān)系評估流程

6．2 風險關(guān)聯(lián)度的計算方法

文獻［15］提出一種成員關(guān)聯(lián)度計算方法，基于平均互信息量，該算法具有明確的理論背景且易于實現(xiàn)，平均互信息量是互信息量在聯(lián)合概率空間中的統(tǒng)計平均值，隨機變量X，Y的平均互信息公式為:

其中，X和Y的關(guān)聯(lián)度與互信息成正比，CIS風險評估中用平均互信息表征各關(guān)聯(lián)安全域與目標安全域的風險關(guān)聯(lián)度。

6．3 權(quán)重的評估

采用層次分析法(AHP)來確定安全域的權(quán)重。AHP是將與決策總是有關(guān)的元素分解成目標、準則、方案等層次，在此基礎之上進行定性和定量分析的決策方法;AHP將模糊量化通過定性指標的方法計算出層次單排序和總排序，確定各指標的權(quán)重;AHP由很多底層元素構(gòu)成，該模型通過對目標風險的分層，得底層風險的權(quán)重，再通過對底層進行評估，得到最終的權(quán)重值［16］。

6．4 風險集成

確定安全域的關(guān)聯(lián)度，結(jié)合安全域的單一風險評估結(jié)果，得到了目標安全域的復合風險評估結(jié)果。對完成復合風險評估的各安全域進行系統(tǒng)權(quán)重的評估，根據(jù)風險評估結(jié)果與權(quán)重集的綜合作為更高層次安全域的風險評估。式(2)為風險集成公式:

7 風險等級劃分

評估者根據(jù)相應的風險評估的計算方法，計算出CIS風險值。風險值是一個數(shù)字化的表征，可根據(jù)相關(guān)的風險評估規(guī)范對風險評估的結(jié)果進行等級化處理，即將風險值等級化。等級化的風險表征，可有利于CIS的管理者對CIS風險的控制與管理。CIS評估者可根據(jù)風險值的分布情況，設定風險值范圍，增加相應風險等級的文字描述。

CIS風險評估是在GB/T 20984-2007《信息安全技術(shù)-信息安全風險評估規(guī)范》［6］信息系統(tǒng)風險評估流程的基礎上，增加了安全域中關(guān)聯(lián)關(guān)系的賦值與加權(quán)計算，該賦值可由測評專家確定或通過實際測試加以調(diào)整，并對風險要素和風險計算過程進行符合CIS特性的擴充。按此流程進行的風險評估方法、風險計算方法、得出的風險值以及風險等級劃分符合該風險評估標準。

8 實例分析

為驗證本文提出的CIS風險評估方法的有效性，本節(jié)將以橫向分解的三層架構(gòu)所組成的CIS為實例，進行風險評估。具體評估過程如下:

步驟1分別對6個風險評估層次內(nèi)的安全域進行單一風險評估，以網(wǎng)絡層為例說明。網(wǎng)絡層一共有 5 個安全域，分別記為安全域 a，b，c，d，e。本例對安全域d進行單一風險評估，其他安全域同理。

通過專家系統(tǒng)對安全域內(nèi)安全要素的評估，得出要素的風險值分別為:安全措施有效性S=2，安全措施時效性E=3，資產(chǎn)識別賦值A=4，資產(chǎn)使命賦值M=3，威脅發(fā)生頻率 T=2，脆弱性嚴重程度V=1。

(1)計算安全措施保障程度(L)

安全措施有效性:S=2，安全措施時效性:E=3，構(gòu)建安全措施保障矩陣，如表2所示。

表2 安全措施保障程度賦值

根據(jù)安全措施有效性和時效性賦值在矩陣中進行對照，確定安全措施保障程度值為10。

由于安全措施保障程度值將參與風險值的計算，為構(gòu)建風險矩陣，對上述計算得到的安全措施保障程度進行等級劃分，如表3所示，安全措施保障程度等級為2。

表3 安全措施保障程度等級劃分

(2)計算資產(chǎn)價值(T)

資產(chǎn)識別賦值:A=4，資產(chǎn)使命賦值:M=3，構(gòu)建資產(chǎn)價值矩陣，過程同理，此處略。得出資產(chǎn)價值等級為3。

(3)計算安全事件發(fā)生的可能性(U)

威脅發(fā)生頻率:T=2，脆弱性嚴重程度:V=1，構(gòu)建安全事件發(fā)生可能性矩陣，過程同理，此處略。得出安全事件發(fā)生可能性等級為1。

(4)計算安全域單一風險評估值

風險值計算采用相乘法，由安全措施保障程度等級、資產(chǎn)價值等級和安全事件發(fā)生可能性等級確定。安全措施保障程度等級為2;資產(chǎn)價值等級為3;安全事件發(fā)生可能性等級為1。安全域單一風險評估值為

同理，依照同樣的步驟，對網(wǎng)絡層的其他安全域進行單一風險評估，得到的網(wǎng)絡層安全域風險值集合為［2．12，3．06，2．57，1．82，1．35］。

步驟2分別對6個風險評估層次內(nèi)的安全域建立互聯(lián)關(guān)系模型，用互聯(lián)關(guān)系網(wǎng)示意圖表示，并對風險關(guān)聯(lián)度進行評估并計算，以網(wǎng)絡層的安全域關(guān)系為例說明。

圖4為網(wǎng)絡層安全域間互聯(lián)關(guān)系網(wǎng)示意圖，頂點表示安全域，邊的權(quán)值表示聯(lián)系頻度，聯(lián)系頻度由專家系統(tǒng)［15］評估得出。

圖4 網(wǎng)絡層安全域間互聯(lián)關(guān)系網(wǎng)示意圖

風險關(guān)聯(lián)度計算方法采用Ad-Ch算法，用隨機變量 ξ1，ξ2，ξ3，ξ4，ξ5來表示安全域 a，b，c，d，e。

根據(jù)圖4繪出事件表，即若兩隨機變量有關(guān)聯(lián)，在表中分別記“1”，否則記“0”。根據(jù)事件表計算隨機變量間的關(guān)聯(lián)度。作為示例，這里選擇安全域d作為中心成員，即目標安全域，其余安全域為關(guān)聯(lián)安全域。計算得到 ξ1，ξ2，ξ3，ξ5與 ξ4的關(guān)聯(lián)度如表4 所示。

表 4 ξ1，ξ2，ξ3，ξ5 與 ξ4 的關(guān)聯(lián)度

通過步驟1，得到安全域的單一風險評估值集合為［2．12，3．06，2．57，1．82，1．35］，其中目標安全域 d的單一風險評估值為1．82。經(jīng)過關(guān)聯(lián)度的計算后，目標安全域d的復合風險評估值為2．12。

其他安全域復合風險評估值利用同樣的方式進行迭代運算，得到網(wǎng)絡層安全域復合風險評估值集合為［2．43，4．02，2．74，2．12，1．89］。

步驟3權(quán)重集評估。利用專家系統(tǒng)對CIS網(wǎng)絡層安全域進行風險權(quán)重評估，評估值依據(jù)Saaty1～9級判斷矩陣標準度［3］來評定，根據(jù)評估值構(gòu)造判斷矩陣。對網(wǎng)絡層的安全域兩兩比較其相對重要性得出相對權(quán)值的比值，以此來構(gòu)造網(wǎng)絡層的判斷矩陣，如式(3)所示:

通過列向量歸一化、按行求和、權(quán)重向量歸一化等過程，計算出此CIS網(wǎng)絡層單一風險評估值為2．84。

步驟4風險評估層次權(quán)重的評估與計算。通過前3個步驟，可以得到各風險評估層次的單一風險評估值。以某CIS為例，風險評估層次的單一風險評估值集合(以管理層、業(yè)務層、系統(tǒng)層、網(wǎng)絡層、數(shù)據(jù)層和物理層順序)為 RL=［1．37，3．09，2．25，2．84，2．01，3．48］。

構(gòu)造CIS風險評估層次的判斷矩陣，如式(4)所示:

通過列向量歸一化、按行求和、權(quán)重向量歸一化等過程，計算出此CIS單一風險評估值為2．48。

步驟5 風險等級判定。根據(jù)GB/T 20984-2007《信息安全技術(shù)-信息安全風險評估規(guī)范》［6］標準提供的風險等級劃分方法，風險值2．48屬于集合［2，3］的范疇，此CIS風險等級為中等，一旦發(fā)生會造成一定的經(jīng)濟、社會或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大。

9 結(jié)束語

本文在信息系統(tǒng)風險評估的基礎上對復雜信息系統(tǒng)(CIS)風險評估進行研究。基于企業(yè)架構(gòu)Zachman框架建立了CIS風險評估框架，該框架可克服CIS在結(jié)構(gòu)上具有高復雜度和高不確定度帶來的評估流程的不確定性。根據(jù)GB/T 20984-2007《信息安全技術(shù)-信息安全風險評估規(guī)范》［6］建立CIS風險評估流程，并對該流程進行驗證，結(jié)果符合該風險評估標準。

［1］ 吳曉平，付 鈺．信息系統(tǒng)安全風險評估理論與方法［M］．北京:科學出版社，2011．

［2］ Zachman J A．A Framework for Information Systems Architecture［J］．IBM Systems Journal，1999，38(2):454-470．

［3］ Saaty T L．The Analytic Hierarchy Process:Planning，Priority Setting，Resource Allocation［M］．New York，USA:McGraw-Hill，1980．

［4］ Peng Xuning，Dai Feng．Information Systems Risk Evaluation Based on the AHP-fuzzy Algorithm［C］//Proceedings of International Conference on Networking and Digital Society．Washington D．C．，USA:IEEE Press，2009:178-180．

［5］ Hou Zherui．Application of GB/T20984 in Electric Power Information Security Risk Assessment［C］//Proceedings of International Conference on Measuring Technology and Mechatronics Automation．Washington D．C．，USA:IEEE Press，2010:616-619．

［6］ 國家質(zhì)檢總局．GB/T 20984-2007信息安全技術(shù)信息安全風險評估規(guī)范［S］．2007．

［7］ 王 雨，江常青，林家駿，等．基于《信息系統(tǒng)安全保障評估框架》的CAE證據(jù)推理評估模型［J］．清華大學學報，2011，51(10):1240-1245．

［8］ 安 偉，江常青，林家駿，等．基于GB/T 20274的信息系統(tǒng)安全技術(shù)保障評估及計算機實現(xiàn)［J］．華東理工大學學報，2012，38(5):645-651．

［9］ 吳世忠，江常青，林家駿．信息系統(tǒng)安全保障評估［M］．上海:華東理工大學出版社，2014．

［10］ 周建魁．SaaS應用構(gòu)建方法的研究與實現(xiàn)［D］．鄭州:鄭州大學，2011．

［11］ 王元放．基于三大要素系統(tǒng)的上海城市管理信息系統(tǒng)基本框架研究［D］．上海:上海交通大學，2009．

［12］ 于慧龍，李 萍．大型信息系統(tǒng)安全域劃分和等級保護［J］．計算機安全，2006，(7):7-8．

［13］ 李守鵬，孫紅波．信息系統(tǒng)安全模型研究［J］．電子學報，2003，31(10):1491-1495．

［14］ 鄧紅莉，楊 韜，邵晨曦，等．一種對仿真可信度評估的智能專家系統(tǒng)［J］．計算機仿真，2011，28(8):90-93．

［15］ 徐詩恒，聶幼三，柳 波，等．網(wǎng)絡成員關(guān)聯(lián)度計算方法研究［J］．計算機工程與應用，2009，45(12):138-140．

［16］ 馬海娟，高廣闊．確定指標權(quán)重的統(tǒng)計方法比較［J］．統(tǒng)計與咨詢，2011，(6):30-31．