復雜信息系統風險評估框架與流程

畢東旭，林家駿

(華東理工大學信息科學與工程學院，上海200237)

1 概述

復雜信息系統(Complex Information System，CIS)是多個信息系統的組合系統，其缺乏統一的框架模型，在系統開發、風險管理上都因為結構的復雜性而存在較大的難度［1］。層次分析法(Analytic Hierarchy Process，AHP)由運籌學專家 Saaty提出［3］，是信息系統風險評估方法中最為常用的，該方法的核心是將經驗判斷給予量化，提供定量信息依據。文獻［4］介紹了模糊層次分析法，利用層次分析法的主觀定性判斷形成決策因素權重和模糊評價法中解決復雜關聯關系的處理方法;文獻［5］在信息網絡的基礎上設計了一種基于GB/T20984-2007《信息安全技術-信息安全風險評估規范》［6］的風險評估;文獻［7］基于《信息系統安全保障評估框架》的安全保障評估，研究了CAE證據推理模型;文獻［8］度量了信息系統的安全技術保障性，使用能力成熟度等級的形式，并定義了保障要素集。文獻［9］對上述工作進行梳理與總結。本文采用企業架構(Enterprise Architecture，EA)對CIS的系統架構進行研究，并結合風險管理層次探討基于EA的CIS風險模型。Zachman框架［2］是經典的企業體系結構框架，本文基于Zachman企業架構建立CIS風險評估框架，在風險管理和風險要素方面對CIS風險評估方法進行研究。

2 CIS風險評估框架

Zachman框架由John A．Zachman提出，是經典的企業體系結構框架［10］。Zachman框架是6行6列的二維關系矩陣。其中，行代表不同視角提出的觀點，列代表系統的多種抽象描述。矩陣的元素表示觀點和抽象描述的交叉［11］。

基于 Zachman框架，結合 GB/T20984-2007《信息安全技術-信息安全風險評估規范》，建立了CIS風險評估框架。該框架用6行6列的二維關系矩陣表示。行代表CIS的風險管理層次，列代表風險評估要素，矩陣的元素表示風險管理層次和風險評估要素的交叉。6個列包含了Zachman框架中的 5W1H，即分別表示:How，What，Where，Who，When，Why。6個行表示管理層、業務層、系統層、網絡層、數據層和物理層。CIS風險評估框架如表1所示。

表1 CIS風險評估框架

3 CIS風險評估流程

依據CIS風險評估框架與標準，建立了CIS風險評估流程，如圖1所示。

圖1 風險評估實施流程

對CIS進行風險評估，依據風險管理層次和安全域劃分方法，以安全域為評估邊界;安全域內依據5W1H 6個風險評估要素進行評估，安全域間對互聯關系進行評估，通過風險計算得出CIS風險結果。

4 架構分解

4．1 CIS風險評估層次的劃分

依據風險管理層次，將CIS分為管理層、業務層、系統層、網絡層、數據層和物理層6個風險評估層次，風險評估層次的每一層都可以進行風險評估。每個層次依據文獻［12］中安全域劃分的方法和步驟劃分為多個安全域，安全域的劃分沿用了對非復雜信息系統的劃分方法，但又考慮了安全域之間的關系，可細化地表示CIS中安全域間的關系以及風險的傳遞。通過架構的分解對安全域進行風險評估，簡化了復雜度和不確定度。

4．2 安全域的劃分

安全域是處于同一安全邊界內的系統組成部分，既可以是邏輯的也可以是物理的，安全域為系統的描述提供了一種現實靈活的手段。

CIS中的安全域存在包含與交叉關系，如圖2所示。CIS安全域的定義是一種相對關系，例如圖2的安全域包含與交叉關系，使用分離、合并與屏蔽的方法，將CIS關聯的安全域轉換為新的互不交叉的安全域［13］。

圖2 域間關系

下面分別對風險評估中的分離、合并與屏蔽定義了具體的含義。

(1)分離:對目標安全域中的子安全域分別進行單一風險評估;

(2)合并:確定有互聯關系的安全域的表達方式，對其進行風險關聯度的評估，得出目標安全域的復合風險評估結果;

(3)屏蔽:對進行完復合風險評估的各安全域進行系統權重的評估，根據風險評估結果與權重集成為更高層次的安全域。

安全域間的包含和交叉關系是從理論上將CIS安全域間關系的形式化表述，可更好地說明安全域間的關系以及風險的傳遞，便于風險計算的過程和CIS安全性的研究。

5 安全域內的風險評估

安全域內的風險評估依據CIS風險評估框架，對5W1H 6個風險評估要素進行評估。傳統風險評估要素資產、威脅、脆弱性的評估與賦值依據GB/T 20984-2007《信息安全技術-信息安全風險評估規范》［6］具體實施，并增加了安全措施、安全時效和資產使命作為新的風險評估要素。

CIS安全域內風險評估要素為:安全措施有效性(S)，安全措施時效性(E)，資產識別賦值(A)，資產使命賦值(M)，威脅發生頻率(T)，脆弱性嚴重程度(V)。采用專家系統的方法，用量化評分代表模糊詞語，即量化值評估結果［14］。

6 安全域間的風險評估

6．1 互聯關系評估流程

對于一般信息系統風險評估，不需要考慮信息系統間的互聯關系與風險傳遞，定義為單一風險評估，安全域內風險評估即為單一風險評估。CIS中安全域存在不同的互聯關系，考慮互聯關系風險要素的風險評估定義為復合風險評估。圖3是以安全域表示包含單一風險評估與復合風險評估的互聯關系評估流程。

圖3 互聯關系評估流程

6．2 風險關聯度的計算方法

文獻［15］提出一種成員關聯度計算方法，基于平均互信息量，該算法具有明確的理論背景且易于實現，平均互信息量是互信息量在聯合概率空間中的統計平均值，隨機變量X，Y的平均互信息公式為:

其中，X和Y的關聯度與互信息成正比，CIS風險評估中用平均互信息表征各關聯安全域與目標安全域的風險關聯度。

6．3 權重的評估

采用層次分析法(AHP)來確定安全域的權重。AHP是將與決策總是有關的元素分解成目標、準則、方案等層次，在此基礎之上進行定性和定量分析的決策方法;AHP將模糊量化通過定性指標的方法計算出層次單排序和總排序，確定各指標的權重;AHP由很多底層元素構成，該模型通過對目標風險的分層，得底層風險的權重，再通過對底層進行評估，得到最終的權重值［16］。

6．4 風險集成

確定安全域的關聯度，結合安全域的單一風險評估結果，得到了目標安全域的復合風險評估結果。對完成復合風險評估的各安全域進行系統權重的評估，根據風險評估結果與權重集的綜合作為更高層次安全域的風險評估。式(2)為風險集成公式:

7 風險等級劃分

評估者根據相應的風險評估的計算方法，計算出CIS風險值。風險值是一個數字化的表征，可根據相關的風險評估規范對風險評估的結果進行等級化處理，即將風險值等級化。等級化的風險表征，可有利于CIS的管理者對CIS風險的控制與管理。CIS評估者可根據風險值的分布情況，設定風險值范圍，增加相應風險等級的文字描述。

CIS風險評估是在GB/T 20984-2007《信息安全技術-信息安全風險評估規范》［6］信息系統風險評估流程的基礎上，增加了安全域中關聯關系的賦值與加權計算，該賦值可由測評專家確定或通過實際測試加以調整，并對風險要素和風險計算過程進行符合CIS特性的擴充。按此流程進行的風險評估方法、風險計算方法、得出的風險值以及風險等級劃分符合該風險評估標準。

8 實例分析

為驗證本文提出的CIS風險評估方法的有效性，本節將以橫向分解的三層架構所組成的CIS為實例，進行風險評估。具體評估過程如下:

步驟1分別對6個風險評估層次內的安全域進行單一風險評估，以網絡層為例說明。網絡層一共有 5 個安全域，分別記為安全域 a，b，c，d，e。本例對安全域d進行單一風險評估，其他安全域同理。

通過專家系統對安全域內安全要素的評估，得出要素的風險值分別為:安全措施有效性S=2，安全措施時效性E=3，資產識別賦值A=4，資產使命賦值M=3，威脅發生頻率 T=2，脆弱性嚴重程度V=1。

(1)計算安全措施保障程度(L)

安全措施有效性:S=2，安全措施時效性:E=3，構建安全措施保障矩陣，如表2所示。

表2 安全措施保障程度賦值

根據安全措施有效性和時效性賦值在矩陣中進行對照，確定安全措施保障程度值為10。

由于安全措施保障程度值將參與風險值的計算，為構建風險矩陣，對上述計算得到的安全措施保障程度進行等級劃分，如表3所示，安全措施保障程度等級為2。

表3 安全措施保障程度等級劃分

(2)計算資產價值(T)

資產識別賦值:A=4，資產使命賦值:M=3，構建資產價值矩陣，過程同理，此處略。得出資產價值等級為3。

(3)計算安全事件發生的可能性(U)

威脅發生頻率:T=2，脆弱性嚴重程度:V=1，構建安全事件發生可能性矩陣，過程同理，此處略。得出安全事件發生可能性等級為1。

(4)計算安全域單一風險評估值

風險值計算采用相乘法，由安全措施保障程度等級、資產價值等級和安全事件發生可能性等級確定。安全措施保障程度等級為2;資產價值等級為3;安全事件發生可能性等級為1。安全域單一風險評估值為

同理，依照同樣的步驟，對網絡層的其他安全域進行單一風險評估，得到的網絡層安全域風險值集合為［2．12，3．06，2．57，1．82，1．35］。

步驟2分別對6個風險評估層次內的安全域建立互聯關系模型，用互聯關系網示意圖表示，并對風險關聯度進行評估并計算，以網絡層的安全域關系為例說明。

圖4為網絡層安全域間互聯關系網示意圖，頂點表示安全域，邊的權值表示聯系頻度，聯系頻度由專家系統［15］評估得出。

圖4 網絡層安全域間互聯關系網示意圖

風險關聯度計算方法采用Ad-Ch算法，用隨機變量 ξ1，ξ2，ξ3，ξ4，ξ5來表示安全域 a，b，c，d，e。

根據圖4繪出事件表，即若兩隨機變量有關聯，在表中分別記“1”，否則記“0”。根據事件表計算隨機變量間的關聯度。作為示例，這里選擇安全域d作為中心成員，即目標安全域，其余安全域為關聯安全域。計算得到 ξ1，ξ2，ξ3，ξ5與 ξ4的關聯度如表4 所示。

表 4 ξ1，ξ2，ξ3，ξ5 與 ξ4 的關聯度

通過步驟1，得到安全域的單一風險評估值集合為［2．12，3．06，2．57，1．82，1．35］，其中目標安全域 d的單一風險評估值為1．82。經過關聯度的計算后，目標安全域d的復合風險評估值為2．12。

其他安全域復合風險評估值利用同樣的方式進行迭代運算，得到網絡層安全域復合風險評估值集合為［2．43，4．02，2．74，2．12，1．89］。

步驟3權重集評估。利用專家系統對CIS網絡層安全域進行風險權重評估，評估值依據Saaty1～9級判斷矩陣標準度［3］來評定，根據評估值構造判斷矩陣。對網絡層的安全域兩兩比較其相對重要性得出相對權值的比值，以此來構造網絡層的判斷矩陣，如式(3)所示:

通過列向量歸一化、按行求和、權重向量歸一化等過程，計算出此CIS網絡層單一風險評估值為2．84。

步驟4風險評估層次權重的評估與計算。通過前3個步驟，可以得到各風險評估層次的單一風險評估值。以某CIS為例，風險評估層次的單一風險評估值集合(以管理層、業務層、系統層、網絡層、數據層和物理層順序)為 RL=［1．37，3．09，2．25，2．84，2．01，3．48］。

構造CIS風險評估層次的判斷矩陣，如式(4)所示:

通過列向量歸一化、按行求和、權重向量歸一化等過程，計算出此CIS單一風險評估值為2．48。

步驟5 風險等級判定。根據GB/T 20984-2007《信息安全技術-信息安全風險評估規范》［6］標準提供的風險等級劃分方法，風險值2．48屬于集合［2，3］的范疇，此CIS風險等級為中等，一旦發生會造成一定的經濟、社會或生產經營影響，但影響面和影響程度不大。

9 結束語

本文在信息系統風險評估的基礎上對復雜信息系統(CIS)風險評估進行研究。基于企業架構Zachman框架建立了CIS風險評估框架，該框架可克服CIS在結構上具有高復雜度和高不確定度帶來的評估流程的不確定性。根據GB/T 20984-2007《信息安全技術-信息安全風險評估規范》［6］建立CIS風險評估流程，并對該流程進行驗證，結果符合該風險評估標準。

［1］ 吳曉平，付 鈺．信息系統安全風險評估理論與方法［M］．北京:科學出版社，2011．

［2］ Zachman J A．A Framework for Information Systems Architecture［J］．IBM Systems Journal，1999，38(2):454-470．

［3］ Saaty T L．The Analytic Hierarchy Process:Planning，Priority Setting，Resource Allocation［M］．New York，USA:McGraw-Hill，1980．

［4］ Peng Xuning，Dai Feng．Information Systems Risk Evaluation Based on the AHP-fuzzy Algorithm［C］//Proceedings of International Conference on Networking and Digital Society．Washington D．C．，USA:IEEE Press，2009:178-180．

［5］ Hou Zherui．Application of GB/T20984 in Electric Power Information Security Risk Assessment［C］//Proceedings of International Conference on Measuring Technology and Mechatronics Automation．Washington D．C．，USA:IEEE Press，2010:616-619．

［6］ 國家質檢總局．GB/T 20984-2007信息安全技術信息安全風險評估規范［S］．2007．

［7］ 王 雨，江常青，林家駿，等．基于《信息系統安全保障評估框架》的CAE證據推理評估模型［J］．清華大學學報，2011，51(10):1240-1245．

［8］ 安 偉，江常青，林家駿，等．基于GB/T 20274的信息系統安全技術保障評估及計算機實現［J］．華東理工大學學報，2012，38(5):645-651．

［9］ 吳世忠，江常青，林家駿．信息系統安全保障評估［M］．上海:華東理工大學出版社，2014．

［10］ 周建魁．SaaS應用構建方法的研究與實現［D］．鄭州:鄭州大學，2011．

［11］ 王元放．基于三大要素系統的上海城市管理信息系統基本框架研究［D］．上海:上海交通大學，2009．

［12］ 于慧龍，李 萍．大型信息系統安全域劃分和等級保護［J］．計算機安全，2006，(7):7-8．

［13］ 李守鵬，孫紅波．信息系統安全模型研究［J］．電子學報，2003，31(10):1491-1495．

［14］ 鄧紅莉，楊 韜，邵晨曦，等．一種對仿真可信度評估的智能專家系統［J］．計算機仿真，2011，28(8):90-93．

［15］ 徐詩恒，聶幼三，柳 波，等．網絡成員關聯度計算方法研究［J］．計算機工程與應用，2009，45(12):138-140．

［16］ 馬海娟，高廣闊．確定指標權重的統計方法比較［J］．統計與咨詢，2011，(6):30-31．