信息安全風險評估模型及其算法研究

摘要：在信息科技日益發展，人類社會對信息的依賴性越來越強，信息資產的安全性受到空前的重視，而當前我國的信息安全水平普遍不高，與西方發達國家存在較大差距。在當前信息安全領域，主要的管理手段是奉行著“三分技術，七分管理”的原則。要想提高整體的信息安全水平，必須從一個組織整體的信息安全管理水平著手，而不僅是依賴于防火墻、入侵檢測、漏洞掃描等傳統信息安全技術手段，而目前信息安全管理的最起始的工作主要是信息安全風險評估，而信息安全風險評估的手段單一化、多元化、難以定量化。以往的信息安全風險評估多從AHP層析分析法、模糊綜合評價及灰色理論入手，而較少采用VAR風險定量分析和概率論等數學方法去分析和評估信息安全的風險。以VAR風險定量分析每個風險源的損失額度，以概率論和數理統計的方法去評估每個風險源在整體信息安全的風險比例，從而便于組織合體調配資源，達到資源的最佳配置，降低組織的整體信息安全風險。

關鍵詞：信息安全；風險評估；VAR分析；數理統計

中圖分類號：TP309文獻標識碼：A文章編號：1006-8937（2011）16-0079-02

1研究背景及現狀

隨著信息時代的迅速到來，眾多的組織機構將重要信息存放在信息系統中，在業務上也越來越依賴信息系統的安全性、可用性、可恢復性。越來越多的組織機構意識到信息安全的重要性，例如金融、電力、通訊等相關涉及公共利益的組織機構投入巨資進行了信息安全能力的提升。而我國以公安部牽頭的信息安全等級保護工作也在如火如荼的進行，對不同行業，不同機構進行分類保護，極大的從制度和法規方面促進了我國信息安全保護水平的提升，從國家宏觀層面上積極推進了信息安全工作的開展。針對于國家公安部開展的信息安全等級保護工作，不同行業的信息安全等級易于測量，但對于某一行業具體金融機構的信息安全能力定級上難以定量化，不同金融機構所面對的信息安全風險大小不一，來源不同，極具差異化。小型銀行在信息安全領域的花費將和大銀行完全相同，將加大中小銀行的商業負擔，造成不必要的浪費，如何運用數量方法定量的而不是定性的去評估信息安全風險成為信息安全領域一個急需解決的學術問題。

①國外的研究現狀。目前在國外，最為流行的信息安全風險管理手段莫過于由信息系統審計與控制學會ISACA（InformationSystemsAuditandControl Association）在1996年公布的控制框架COBIT 目前已經更新至第四版，主要研究信息安全的風險管理。這個框架共有34個IT的流程，分成四個控制域：PO（PlanningOrganization）、AI（AcquisitionImplementation）、DS （Delivery and Support）、ME（Monitor and Evaluate），共包含214個詳細控制目標，提供了自我審計標準及最仕實踐，能夠指導組織有效利用信息資源。管理信息安全相關風險。文章總結了其中與信息安全管理相關的特點：更清晰的崗位責任劃分。為了改善對IT流程模型的理解，COBIT4.0為每個IT流程進行了定義，對每個流程及基木輸入/輸出及與其他流程的關系進行了描述，確定它從哪個流程來，哪個流程去，或是否有其它路徑。

②國內的研究現狀。目前我國信息與網絡安全的防護能力處于發展的初級階段，許多應用系統處于不設防狀態。我國信息安全標準化工作起步較晚，在國家質量技術監督局領導下，全國信息化標準制定委員會及其下屬的信息安全技術委員會在制訂我國信息安全標準方面做了大量的工作，完成了許多安全技術標準的制定，如GB 17859、GB/T 18336等。國內的評估現狀與國際社會類似，我國所建立的信息安全測評認證體系關注于安全技術和安全產品的認證，并沒有提出針對組織安全管理的評估、認證模型和方法。如今國內關于信息安全管理方面的研究也明顯滯后于國際同行。

2研究的主要內容和意義

①文章研究的意義。各大金融或國家保密機關在實施的自己的風險管理過程，一般都采取的都是傳統意義上的風險管理過程。風險識別→風險評估→風險消減→風險監控，但在實際操作過程中，往往存在以下難點：其一，一些風險因素的信息很難準確獲取，黑客攻破系統的可能性和概率。其二，一些損失很難準確量化，例如機密文件或敏感丟失的損失風險量化評估就很難準確獲得。其三，盡管安全控制措施本身的代價（如軟硬件的成本等）是比較容易確定的，但是它們給系統帶來的間接影響卻很難估量。其四，采取了信息安全的防火措施，可能帶來系統速度和功能的下降。其五，盡管風險評估過程獲取的信息是精確的，但是往往因為實際情況的變化使獲取的信息失去其價值。例如已經知道系統存在漏洞，也知道應該打補??；但是黑客已經搶先一步攻破了系統并且種植了木馬，于是即便打上了補丁，對黑客的入侵也造不成任何障礙了。

②信息安全風險評估的模型建立。文章所采用的方法主要是：首先明晰各風險因素，并采用VAR方法確定各風險的期望損失額度，然后根據損失越大，則風險越大，權重因素越大，從而確定各風險的權重，建立模型。最后根據考核指標，反復調整原模型，直到原模型出來的數據到達考核指標的要求，才認為原模型成立。但該模型的時效性是有限的，最終計算出來的模型可能只能適用于某一段時間，由于外部環境急劇變化，則需要根據新形勢下的新情況依據本模型的流程重新計算得出新的模型。

③文章構建的模型和相關算法思路。分析風險因素，用VAR計算其各自損失，然后再分別計算出其各自的權重（即該因素在整體信息安全風險中所占的比例）以評價標準來檢驗原假設，使模型盡量貼近于評價標準。尋找偏差的因素來源，調整偏差。產生新假設，繼續檢驗新假設，繼續尋找偏差因素來源，調整偏差，如此反復循環。直到上述模型反復循環調整的結果達到評價加權指標的接受范圍內，便認為原模型成立。

3信息安全風險評估概述

①信息安全風險評估概念。風險評估概念“You cannot control what you cannot measure，and you cannot measure what you can not define”。所以只有明確除信息安全的風險因素，我們才能更好的去控制信息安全風險，信息安全風險評估是信息安全保障體系過程中的重要的評價方法和決策機制，大致要經歷準備、資產識別、威脅識別、已有安全措施的確認、風險識別、風險評估結果記錄等幾個流程。準確及時的風險評估，是相關機構對安全狀況做出準確判斷的前提條件。

②信息安全風險的評估過程。在對信息安全風險進行評估之初，需要一個循序漸進的過程，從而達到對信息安全由淺入深、由表及里的認識。因此，信息安全風險評估首先應當采用一種初步的評估分析，了解系統的關鍵資產以及關鍵資產面對的關鍵威脅，隨后對這些關鍵資產以及關鍵威脅進行進一步詳細的評估，并在進一步評估的基礎上確定安全保護措施的實施以及評估結果分析總結等后續工作。只有在初步和詳細的評估分析中得出各風險的權重和重要程度，才能抓住主次，明確優先順序，在資源有限性的情況下，盡最小的資源去降低整體組織的信息安全風險。

4VAR風險模型的應用和算法實現

①金融領域應用廣泛的VaR方法簡介。VaR的英文全稱是Value at Risk，即“處于風險中的價值”，是指市場正常波動下，某一金融資產或證券組合的最大可能損失。

②VAR方法在信息安全風險評估中的應用。在信息安全中，表示信息安全評估和管理的成功并非是能為企業帶來多少價值，而是因為好的風險管理和內部控制，可以避免企業或組織因各種風險導致的巨大損失。

③用VAR來衡量信息安全風險。而在不同情況下計算VAR的方法不同，大體可以分為三大類：歷史模擬法、分析方法和Monte Carlo模擬法，從而得到每個風險因素的損失值和損失概率。

5基于概率論和數理統計的權重因素計量

5.1方法簡述

在現實生活中尋找一個“風險”的例子，說明其中的威脅、脆弱點、影響分別是什么。假設有n個相互獨立的威脅事件，其發生概率（可能性）為p1， p2……pn，每個事件單獨造成的資產損失為e1， e2……en，根據前面的介紹，風險可以定義為：∑piei。那么如果n個事件相互不獨立，那么風險公式該怎么定義，定義如下：

∑piei=e1×p1+e2×p2+e3×p3+e4×p4+……+en×pn

5.2模型的前提假設

文章從簡化模型角度考慮，假定各風險因素是相互獨立以及互不影響的。衡量風險的指標，主要是基于其期望損失，并且模型假定資源是有限的，不可能把所有安全標準達到最高級，事實上，所有安全標準達到最高級是不現實的，也是沒有必要的。

5.3模型建立

假設風險因素分別有n個，分別為1，2，3，…..n，其權重為：x1，x2，x3，x4，…xn設立模型：x1+x2+x3+x4+…+xn=1，去掉x1， 產生的損失大概在y1（VAR風險模型計量），設立x1為基準。

則：=……=

于是：x1(1+++……+)=1

則有：x1=.Xn=

5.4模型檢驗

得出來的權重比例看是否具有現實意義和準確性，一般以下列指標進行評判：同等水平的企業影響信息安全權重值應該近似相同（同城市，同規模）；不同層次間的企業影響信息安全權重值應成趨勢變動；測量的數值與企業或行業過往歷史記錄無太大偏差，應成線性吻合。

6結語

文章從VAR風險分析方法和數學上的數理統計方法入手，用以定量化的去分析信息安全的風險，改變了以往只是定性的去分析風險，難以科學化和可證明性。開始介紹了信息安全評估的一般流程，然后用基于VAR的方法去衡量每個風險的損失值和損失大小，以數理統計的方法去測算出每個風險因素在整體信息安全風險的比重，但是這個得出來的模型也許并非正確，所以必須通過設定的若干條件檢驗，如果不通過，則調整風險估值或者概率，從而使最后的結果更加趨向于衡量指標，使得最后得到的模型在更大程度上滿足各項評價指標，從而使模型更具現實意義和可行性。

參考文獻：

[1] GB 17859-1999，計算機信息安全保護等級劃分標準[S].

[2] GB/T18336-2001，信息技術-安全技術-信息技術安全性 評估準90[S].