基于GBT 20984—2007風險評估計算模型的研究

潘雪霖 孫 偉

1(中山大學數據科學與計算機學院 廣州 510006)2(廣州市計劃生育宣傳教育中心 廣州 510630)3(廣州市人口信息中心 廣州 510630)4 (信息技術教育部重點實驗室(中山大學) 廣州 510006)

?

潘雪霖1,2,3孫 偉1,4

1(中山大學數據科學與計算機學院 廣州 510006)2(廣州市計劃生育宣傳教育中心 廣州 510630)3(廣州市人口信息中心 廣州 510630)4(信息技術教育部重點實驗室(中山大學) 廣州 510006)

(punshellrain@126.com)

互聯網時代的信息安全問題已全球化，使信息安全風險評估的系統工程顯得尤為重要.為貫徹信息安全風險評估標準，解決GBT 20984—2007信息安全風險評估技術規范中信息安全風險評估計算比較模糊的問題，研究信息安全風險評估相關理論，在原有風險計算的基礎上，設計和實現一種改進的信息安全風險評估計算模型.引入安全措施有效性系數，通過對風險資產的價值、威脅和脆弱性細化量化分析，根據相乘法原理計算風險值，使風險計算值更加科學和可靠，進一步明確風險控制措施對風險控制的有效性影響，為風險分析計算提出一種新的解決思路.實踐證明，將評估標準與實踐相結合，更好地論證了該模型的有效性.

信息安全；風險評估；風險計算；計算模型；風險分析

隨著“互聯網+”時代的來臨和大數據應用的普及，信息系統越來越備受依賴[1].但是，廣泛使用的信息系統因其自身的脆弱性等原因存在諸多安全問題.而解決此類安全問題最有效的方法是以信息安全風險評估為前提[2]的體系工程.信息安全風險評估是按照相關信息安全技術管理規范，公正、科學、綜合地分析被評估的信息對象及其所涉及的信息保密性、完整性和可用性等方面的安全屬性[3]，明確系統的弱點和威脅，計算脆弱性遭威脅駕馭而造成負面影響的概率[4].此舉目的在于掌握系統當前狀況和不遠將來潛在的風險，將風險降低并維持在可接受的范圍之內[5]，為確定信息系統的安全運行策略提供依據[6].

1 信息安全風險評估理論研究

信息安全風險評估的對象是信息，而信息是以系統為載體的數據流，與信息相關的宏觀對象是資產.資產通常包括硬件和軟件，如主機、操作系統、數據庫軟件、中間件等.

定義1. 資產.一類有價值的實體的集合[8]，用W表示資產的集合.

資產具有保密性、完整性和可用性3個主要的安全屬性.其中保密性是對信息未經授權的泄露或破壞的容忍程度；完整性是對信息的未經授權的修改或破壞的容忍程度；可用性是對信息的存儲、傳輸或處理延遲的容忍程度[9].

資產所處的狀態由周圍環境對其安全屬性作用形成.與資產相關的重要因素是資產的脆弱性和利用資產脆弱性的威脅.

定義2. 脆弱性.可能被威脅利用的、資產自身的缺陷[10]，用V表示資產脆弱性的集合.

脆弱性即系統自身的漏洞，可分為管理漏洞和技術漏洞.

定義3. 威脅.可能對資產產生危害的潛在原因[11]，用T表示所有威脅的集合.

威脅來源可能是環境因素，也可能是人的因素，其中人的因素包括惡意和非惡意2種.可以比較直觀地認為威脅包括軟硬件故障、惡意攻擊、人員誤操作、管理不到位等.

資產面臨著安全隱患，自然有相應的應對措施，即安全措施，而安全措施的有效性需要量化衡量，故引入安全措施有效性系數(SMVC).

定義4. 安全措施有效性系數.衡量利用資產的弱點對資產進行破壞的威脅的嚴重程度作出安全預防或控制措施的有效度，用S表示所有安全措施有效性程度的集合.

風險評估實施流程主要分為評估前期工作、風險識別(即資產、脆弱性、威脅的識別和已采取安全措施的確認)、風險計算和風險處理4個步驟[13].

1) 評估前期工作

評估目標的確立、評估范圍的核定、評估方案的策劃、評估方法的甄選、評估管理與實施團隊的建立等都是風險前期工作的內容.

2) 風險識別

首先需要進行資產分類辨識，然后計算資產價值，即對資產的保密性、可用性和完整性進行分析，以此為基礎導出一個量化的結果[14].

威脅是對資產構成潛在破壞的客觀可能因素.威脅與資產是多對多的關系，一個資產可能遭受很多威脅，同時一個威脅對多個資產構成影響.威脅識別主要是識別威脅的來源，判斷威脅的強度和頻率.

脆弱性識別是對資產薄弱環節進行分析，其數據來源于資產的管理者和業務專家等，所采用的方法包括問卷調查、文檔查閱、工具檢測等.

確認已有的安全措施的時效性，避免重復實施造成不必要的工作及其產生費用.安全措施分為預防性的和保護性的，前者降低脆弱性被威脅利用的可能性，后者減少安全事件對系統的損壞.

3) 風險計算

根據資產重要程度、威脅發生頻率和脆弱性被威脅利用的可能性計算資產的風險值.

4) 風險處理

風險處理最好的方式是消除風險，文獻[15]在風險分析中采用增強技術消除軟件中的高風險.風險處理的方式包括規避、轉移、減低和接受風險，考慮是否接受風險，并評價殘余風險.

圖1 風險評估實施流程圖

2 信息安全風險評估計算模型的研究

本文在現有的信息安全風險評估計算方法的基礎上，引入安全措施有效性系數(SMVC)的概念，衡量有效的安全措施對信息安全風險的影響，進而將GBT 20984—2007信息安全評估規范中的信息安全風險評估計算模型完善，如圖2所示.

從圖2可以看出，風險的計算取決于安全事件的損失、發生的可能性和安全措施的確定，風險值的計算涉及到資產的重要性、脆弱性的嚴重程度、威脅發生的頻率和安全措施的有效性4個要素，用公式表示為

R=r(S,W,V,T)=r(S,D(W,V),P(V,T))，

(1)

圖2 風險評估計算模型

式(1)中，R為風險值，r為風險計算函數，S為安全措施有效性系數，V表示脆弱性嚴重程度，T表示威脅的程度，W為資產的價值，D(W，V)表示安全事件導致的損失，而P(V，T)則表示安全事件發生的機會.

3 信息安全風險評估計算模型的實現

按照風險評估實施流程，評估準備工作后進行資產識別，而資產識別關鍵在于資產賦值.同樣，威脅識別關鍵在于威脅賦值，脆弱性識別在于脆弱性賦值.下面以風險評估計算為中心，從資產賦值、威脅賦值、脆弱性賦值和風險計算4個方面展開論述.

3.1 資產賦值

資產賦值是對資產的保密性、完整性和可用性的賦值情況作詳細約束，繼而對資產價值的計算作具體的定義.通過不同角度的分析系統調研收集資產相關信息后，確定資產保密、完整和可用屬性的賦值方法，進一步明確資產重要度的計算方式.GBT 20984—2007標準按照5個等級的指標體系給資產的保密性、完整性、可用性賦值會產生較大的誤差，令人難以判斷.為解決該問題，本文將每個賦值都用2個維度X和Y表示[16]，X一般代表資產和后果的關聯程度，Y代表后果帶來影響的關鍵程度，X和Y取值均屬于區間[1,4]中的自然數.然后再加權綜合取得最終值，以減少誤差.

C=m×XConf+n×YConf，其中C代表保密性價值，XConf和YConf代表拆分后的量.

I=m×XInt+n×YInt，其中I代表完整性價值，XInt和YInt代表拆分后的量.

A=m×XAvail+n×YAvail，其中A代表可用性價值，XAvail和YAvail代表拆分后的量.

一般認為X是Y的基礎，故在權值方面占優，擬取m為0.6，n為0.4.

保密性關聯程度XConf指資產暴露后與所造成的最嚴重后果的關系.XConf=4代表直接泄密，XConf=3代表容易泄密，XConf=2代表可能泄密，XConf=1代表難以泄密.保密性關鍵程度YConf=4指資產暴露后對組織造成的影響.YConf=4代表極大損失,YConf=3代表中等損失,YConf=2代表一般損失，YConf=1代表輕微損失.一般來說，保密性的2個分量取值如下.數據資產：XConf=4，YConf=4；應用軟件：XConf=3，YConf=3；關鍵的網絡設備和服務器：XConf=2，YConf=2；一般設備：XConf=1，YConf=1.

完整性關聯程度XInt指資產處于不準確或非完整的狀態下與所造成的最嚴重后果的關系.XInt=4代表不可依賴，XInt=3代表部分依賴，XInt=2代表可能依賴，XInt=1代表可以依賴.完整性關鍵程度YInt指資產暴露后對組織造成的影響.YInt=4代表極大損失，YInt=3代表中等損失，YInt=2代表一般損失，YInt=1代表輕微損失.一般來說，完整性的2個分量取值如下.數據資產：XInt=4，YInt=4；應用軟件：XInt=3，YInt=3；關鍵的網絡設備和服務器：XInt=2，YInt=2；一般設備：XInt=1，YInt=1.

可用性關聯程度XAvail指資產不可用時與所造成的最嚴重后果的關系.XAvail=4代表直接廢棄，XAvail=3代表部分可用，XAvail=2代表可能有用，XAvail=1代表基本可用.完整性關鍵程度YAvail指資產暴露后對組織造成的影響.YAvail=4代表極大損失，YAvail=3代表中等損失，YAvail=2代表一般損失，YAvail=1代表輕微損失.一般來說，可用性的2個分量取值如下.數據資產：XAvail=4，YAvail=4；核心設備：XAvail=3，YAvail=3；非核心設備：XAvail=2，YAvail=2；一般設備：XAvail=1，YAvail=1.資產賦值表如表1所示.

資產的安全屬性賦值后，我們根據式(2)計算資產的價值.

W=lb((x×2c+y×2i+z×2a)3)，

(2)

式(2)中，c為保密性等級，i為完整性等級，a為可用性的等級，由關聯程度和關鍵程度決定.x,y,z分別代表保密性權值、完整性權值、可用性權值，x,y,z取值范圍為0～3之間的常數，且x+y+z=3.權值由被評估對象的行業背景和特點決定：比較關注保密性的部門，如政府涉密部門，x會稍微占大份量；比較關注完整性部門，如金融機構，y會稍微取大值；比較關注可用性部門，如網絡運營商，z會稍微有大比例.一般部門x,y,z都取值1(以下資產價值統計均按此比例).W為計算得到資產大概價值，其取值范圍為1～5中的自然數，分別對應級別很低、低、中、高、最高.資產賦值細化后形成的資產價值統計表如表2所示：

表1 資產賦值參照表

表2是一般情況下資產的賦值參考標準，實際中評估團隊要作相應改動.

3.2 威脅賦值

T=TV×TP，

(3)

其中，TV和TP取值屬于區間[1,5]中自然數.

威脅等級劃分為5個級別，與威脅的負面影響成正比.威脅等級賦值表見表3所示：

表3 威脅等級賦值表

3.3 脆弱性賦值

脆弱性是以系統漏洞作為依據來衡量的，故可以細化為未安裝的系統漏洞補丁個數.結合標準，將未安裝的系統漏洞補丁個數和脆弱性等級聯系起來，未安裝的補丁個數與脆弱性等級成正比.未安裝的補丁大于6個，可視為等級5，表示很高；未安裝的補丁介于5～6個，可視為等級4，表示高；未安裝的補丁介于3～4個，可視為等級3，表示中等；未安裝的補丁介于1～2個，可視為等級2，表示低；未安裝的補丁等于0，可視為等級1，表示很低.

3.4 風險計算

為了體現風險安全控制措施的有效性，本文將風險計算表述如式(4)所示：

(4)

其中，i為有效的安全措施個數.當i=0時，S=1.

結合相乘法原理，則風險值計算方法可表示為式(5)：

(5)

式(5)中R為風險值，T為威脅的評估等級，V為脆弱性的評估等級，W為資產的評估價值.T取值范圍為1≤T≤5，V取值范圍為1≤V≤5，W取值范圍為1≤W≤5，S的取值范圍為0

表4 風險等級劃分表

4 結 語

[1]王喆, 趙剛, 吳天水. 一種信息安全風險評估可視化模型[J]. 通信技術, 2014, 47(3): 314-318

[2]廖年冬.信息安全動態風險評估模型的研究[D]. 北京: 北京交通大學, 2009

[3]呂俊杰, 董紅. 基于區間數判斷矩陣的模糊信息安全風險評估模型[J]. 統計與決策, 2010(16): 22-25

[4]Bernard R. Information lifecycle security risk assessment: A tool for closing security gaps [J]. Computers & Security, 2007, 26(1): 26-30

[5]楊繼華. 信息安全風險評估模型及方法研究[D].西安: 西安電子科技大學, 2007

[6]梁永謙. 電子政務信息安全風險評估技術研究及應用[D].成都: 電子科技大學, 2010

[7]全國信息安全標準化技術委員會. GBT20984—2007 信息安全技術 信息安全風險評估規范[S]. 北京: 中國標準出版社, 2007

[8]趙越. 基于灰色系統理論的信息安全風險評估方法的研究與應用[D].長沙: 國防科學技術大學, 2011

[9]肖龍. 基于CORAS框架的信息安全風險評估方法[D].南京: 南京理工大學, 2009

[10]鄭毅. 基于灰色理論的信息系統安全風險評估研究[D].成都: 成都理工大學, 2013

[11]李波. 基于灰色系統理論的信息安全風險評估方法的研究[D].杭州: 浙江大學, 2009

[12]黃芳芳. 信息安全風險評估量化模型的研究與應用[D].武漢: 湖北工業大學, 2009

[13]潘宏偉. 基于模糊層次分析法的信息安全風險評估研究[D].南京: 南京師范大學, 2007

[14]范紅, 馮登國, 吳亞非. 信息安全風險評估方法與應用法[M]. 北京: 清華大學出版社, 2006

[15]Neumann D E. An enhanced neural network technique for software risk analysis[J]. IEEE Trans on Software Engineering, 2002, 28(9): 904-912

[16]趙冬梅. 信息安全風險評估量化方法研究[D].西安: 西安電子科技大學, 2007

潘雪霖

碩士，主要研究方向為信息安全.

punshellrain@126.com

孫 偉

教授，博士生導師，主要研究方向為網絡安全和多媒體技術.

sunwei@mail.sysu.edu.cn

Research of Risk Assessment Model Based on GBT 20984─2007

Pan Xuelin1,2,3and Sun Wei1,4

1(SchoolofDataScienceandComputer,SunYet-senUniversity,Guangzhou510006)2(GuangzhouFamilyPlanningPublicityandEducationCenter,Guangzhou510630)3(GuangzhouPopulationInformationCenter,Guangzhou510630)4(KeyLaboratoryofInformationTechnology(SunYat-senUniversity),MinistryofEducation,Guangzhou510006)

Information security has been globalized in the Internet era, which is also one of the socially focused concerns. It makes the information security risk assessment system particularly important. Security incidents often usedthe diversification of vulnerabilities to make the security of systems improved in the past. Information security is dependent on the integrated system engineering involving technology and management. Risk assessment is a process which identifies the weaknesses of the information system andanalyses the threat level of eventsusing the weakness above. At last, risk assessment need to evaluate the possibility of negative impacts for the threats. The implementary specification for risk assessmentis not specific enough, so it is necessary to refine related theory according tomore practise. Based on the original risk calculationa improved information security risk assessment model is designed in this paper.The improved assessment will solve the problem of information security risk calculation in the GBT 20984—2007 technical specification better. Through the analysis of the value of risk assets, threat and vulnerability of risk assets, the risk value is calculated.The value will be used to clarify the effectiveness of risk control measures. Through the risk analysis, the risk calculation value becomes more scientific and reliable, presentinga new approach to risk analysis and calculation. It has proved thatthe combination of standard for assessment and practise will prove the validity of the model better.

information security; risk assessment; risk calculation; computational model; risk analysis

2015-07-18

TP309