基于故障樹分析法的商場(chǎng)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

[摘要] 風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全保證的關(guān)鍵技術(shù)。本文分析了影響信息安全風(fēng)險(xiǎn)的因素，運(yùn)用故障樹分析法對(duì)信息系統(tǒng)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估。并應(yīng)用商場(chǎng)的信息系統(tǒng)為實(shí)例分析，表明了該方法的可行性。

[關(guān)鍵詞] 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估故障樹分析法

一、商場(chǎng)信息系統(tǒng)的風(fēng)險(xiǎn)及其評(píng)估

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的方法主要有故障樹分析法、故障模式影響及危害性分析、層次分析法、線性加權(quán)評(píng)估和德爾斐法等。

商場(chǎng)信息系統(tǒng)是一個(gè)由服務(wù)器和商場(chǎng)各部門的客戶機(jī)構(gòu)成的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，它龐大，復(fù)雜，風(fēng)險(xiǎn)事件更是紛繁多樣。如果采用故障樹分析法可以把商場(chǎng)的信息系統(tǒng)的風(fēng)險(xiǎn)事件分門別類的找出來，并根據(jù)各個(gè)風(fēng)險(xiǎn)的邏輯關(guān)系，構(gòu)造出故障樹。這樣，龐大的商場(chǎng)信息系統(tǒng)中最嚴(yán)重的風(fēng)險(xiǎn)以及引起這些風(fēng)險(xiǎn)發(fā)生的源頭都一目了然。管理基層就能夠相應(yīng)的從最底層最小的疏漏開始加以防范，責(zé)任到每一個(gè)操作的部門或人，防微杜漸，以免小的疏忽造成大錯(cuò)。

信息系統(tǒng)安全風(fēng)險(xiǎn)分析主要針對(duì)信息系統(tǒng)中各種不同范疇、不同性質(zhì)、不同層次的威脅問題，通過歸納、分析、比較、綜合最后形成對(duì)信息系統(tǒng)分析風(fēng)險(xiǎn)的認(rèn)識(shí)過程。大多數(shù)風(fēng)險(xiǎn)分析方法最初都要進(jìn)行對(duì)資產(chǎn)的識(shí)別和評(píng)估，在此以后，采用不同的方法進(jìn)行損失計(jì)算。

首先對(duì)于影響信息安全的要素進(jìn)行分析，引起信息安全風(fēng)險(xiǎn)的要素有，然后運(yùn)用故障樹分析法計(jì)算出風(fēng)險(xiǎn)因子。

二、故障樹分析法

故障樹分析法（Fault Tree Analysis- FTA)是由Bell電話實(shí)驗(yàn)室的WASTON H A 于1961年提出的一種分析系統(tǒng)可靠性的數(shù)學(xué)模型，現(xiàn)在已經(jīng)是比較完善的系統(tǒng)可靠性分析方法。

1.故障樹分析法基本原理

故障樹就是通過求出故障樹的最小割集，得到引起發(fā)生頂事件的所有故障事件，以發(fā)現(xiàn)信息系統(tǒng)中的最薄弱環(huán)節(jié)或最關(guān)鍵部位，由此對(duì)最小割集所發(fā)現(xiàn)的關(guān)鍵部位進(jìn)行強(qiáng)化風(fēng)險(xiǎn)管理。

2.故障樹分析法的步驟

(1)建造故障樹。故障樹分析法就是把信息系統(tǒng)中最不嚴(yán)重的故障狀態(tài)作為故障分析的目標(biāo)，然后一級(jí)一級(jí)尋找導(dǎo)致這一故障發(fā)生的全部事件，一直追查到那些最原始的、都是已知的、勿需深究的因素為止。并且按照它們發(fā)生的因果關(guān)系，把最嚴(yán)重的事件稱為頂事件，勿需深究的事件稱為底事件，介于頂事件和底事件的事件稱為中間事件用相應(yīng)的符號(hào)代表這些事件，用適當(dāng)?shù)倪壿嬮T把頂事件、底事件、中間事件連接成一個(gè)倒立的樹狀的邏輯因果關(guān)系圖，這樣的圖就稱為故障樹。

(2)求最小割集。

定義1:在由故障樹的某幾個(gè)底事件組成的集合中，如果該集合的底事件同時(shí)發(fā)生時(shí)將引起頂事件的發(fā)生，這個(gè)集合就稱為割集 （cut sets. CS)。

定義2:假設(shè)故障樹中存在這樣一個(gè)割集，如果任意去掉一個(gè)底事件后，就不再是割集，則這個(gè)割集被稱為最小割集(minimal cut sets. MCS)。

(3)定量定性分析。首先我們來計(jì)算頂事件的失效概率，在掌握了“底事件”的發(fā)生概率的情況下，“頂事件”即所分析的重大風(fēng)險(xiǎn)事件的發(fā)生概率（用Pf表示）就可以通過邏輯關(guān)系得到。

設(shè)底事件xi對(duì)應(yīng)的失效概率為qi(i =1，2，..，n)，n為底事件個(gè)數(shù)最小割集的失效概率為各個(gè)底事件失效概率的積P(mcs)=P(x1∩x2∩…∩xn)=，其中m為最小割集階數(shù)，而頂事件發(fā)生概率為各個(gè)底事件失效概率的和:Pf(top)=P(y1∪y2∪…∪yk)其中，yi為最小割集，k為最小割集個(gè)數(shù)。而由于最小割集時(shí)事件的關(guān)系，Pf(top)的計(jì)算要分為以下三種情況:

①當(dāng)y1，y2m，yk為獨(dú)立事件時(shí)則有:

其中，Pi為最小割集yi的失效概率。

②當(dāng)y1，y2m，yk為互斥事件時(shí)，則有;。

③當(dāng)Pf(top)為相容事件時(shí)，則有:

我們根據(jù)以上公式可知，如果階數(shù)越少的最小割級(jí)就是越重要的，而在這些階數(shù)少的最小割級(jí)里出現(xiàn)的底事件也是比較重要的底事件，而在階數(shù)相同的最小割級(jí)中，重復(fù)次數(shù)越多的底事件越重要。

(4)各頂事件危害等級(jí)。則可用:風(fēng)險(xiǎn)因子:r=Pf+Cf-PfCf來定量的表示風(fēng)險(xiǎn)的大小。

三、商場(chǎng)信息系統(tǒng)實(shí)例分析

1.建造故障樹

(1)管理不善帶來的風(fēng)險(xiǎn)。

X11.由于系統(tǒng)管理員的無意錯(cuò)誤，直接危害到了系統(tǒng)安全。

X12.管理員沒有按照安全操作規(guī)程啟動(dòng)系統(tǒng)安全的保護(hù)體系。

X13.管理員沒有按照安全操作規(guī)程啟動(dòng)關(guān)鍵性的系統(tǒng)組件。

X14.由于管理員的疏忽或是管理員自己利用系統(tǒng)物理環(huán)境的脆弱點(diǎn)，物理破壞網(wǎng)絡(luò)硬件資源。

X15.攻擊者利用社會(huì)關(guān)系學(xué)原理，非法獲取進(jìn)入和控制系統(tǒng)資源的方法和手段。

X16.某些未授權(quán)用戶非法使用資源和授權(quán)用戶越權(quán)使用資源造成對(duì)系統(tǒng)資源的誤用，濫用或使系統(tǒng)運(yùn)行出現(xiàn)混亂，而危及或破壞系統(tǒng)。

(2)被動(dòng)威脅。

X21.非法截取（獲）用戶數(shù)據(jù)，攻擊者通過對(duì)通信線路竊聽等非法手段獲取用戶信息或交易數(shù)據(jù)等。

X22.密碼分析，攻擊者通過非法手段獲取了信息后，通過破譯加密的數(shù)據(jù)獲得敏感性和控制信息。

X23.信息流和信息流向分析，攻擊者通過對(duì)信息或其流向的分析，獲到信息。

(3)主動(dòng)威脅。

X31. 使網(wǎng)絡(luò)資源拒絕服務(wù)，攻擊者通過對(duì)系統(tǒng)和系統(tǒng)中的一些資源的頻繁存取甚至非法占有，使系統(tǒng)資源對(duì)系統(tǒng)喪失或減低正常的服務(wù)能力。使之不能正常工作。

X32.假冒合法用戶或系統(tǒng)進(jìn)程欺騙系統(tǒng)，攻擊者假冒成已經(jīng)授權(quán)的用戶行使一些受權(quán)限控制的操作，使系統(tǒng)混亂。

X33.篡改信息內(nèi)容，攻擊者篡改一些確定的信息或者數(shù)據(jù)，使用戶因?yàn)楂@得篡改過的信息而受騙。

X34.惡意代碼攻擊，假冒授權(quán)用戶的身份執(zhí)行惡意代碼，是系統(tǒng)產(chǎn)生異常進(jìn)程，破壞系統(tǒng)資源。

X35.抵賴，在接受到信息數(shù)據(jù)后，為了因避免接受信息所要承擔(dān)的責(zé)任而否認(rèn)接受過信息，或者在發(fā)送一條信息后，為了因避免發(fā)送信息所要承擔(dān)的責(zé)任而否認(rèn)發(fā)送過信息。

X36.信息重放，非法獲取用戶的識(shí)別和鑒別等數(shù)據(jù)后，攻擊者使用這些安全控制數(shù)據(jù)欺騙系統(tǒng)或訪問系統(tǒng)資源。

X37.偽造合法系統(tǒng)服務(wù)，攻擊者偽造系統(tǒng)服務(wù)與授權(quán)用戶交互。

2.故障樹的定量分析

電子商務(wù)模塊出現(xiàn)故障為頂事件，管理不善，被動(dòng)威脅，主動(dòng)威脅為中間事件，余下的為底事件，設(shè)頂事件和底事件發(fā)生的概率分別為Pf，q，q2，Λq16，則最小割集的失效概率為:P(mcs)=P(x1∩x2∩Λ∩x16)，而頂事件發(fā)生的概率:Pf(top)=P(y1∪y2∪y3)。

然后可由前面的系統(tǒng)分析知道，y1，y2，y3是相互獨(dú)立的事件，則有

其中，Pi為最小割集yi的失效概率。

我們假設(shè)yi在每一年或不到一年發(fā)生的概率Pi分別是0.2，0.3，0.4。計(jì)算出Pf(top)=0.024。我們假設(shè)Cf=0.1，再根據(jù)r=Pf+Cf-PfCf進(jìn)行計(jì)算，可以得到r=0.1216。r＜0.3，說明我們所假設(shè)的倉儲(chǔ)式商場(chǎng)的信息系統(tǒng)電子商務(wù)模塊中的風(fēng)險(xiǎn)評(píng)估為低風(fēng)險(xiǎn)。

四、結(jié)論

由此可見，故障樹分析法是進(jìn)行系統(tǒng)可靠性和安全性分析的一種重要方法。利用故障樹較好的找出各種失效時(shí)間之間的關(guān)系，找出各種失效事件的可能方式以及這些風(fēng)險(xiǎn)的排序，以及對(duì)最小割集進(jìn)行定性分析和定量計(jì)算，可以使安全管理人員對(duì)系統(tǒng)存在的故障有一個(gè)準(zhǔn)確的定位，集中精力排除主要故障。本文得出了倉儲(chǔ)式商場(chǎng)的信息系統(tǒng)電子商務(wù)模塊的故障樹及其故障樹分析法的一系列公式，說明本文提出的故障樹分析法有較強(qiáng)的實(shí)用價(jià)值。