基于多目標決策的信息安全風險評估方法研究

薛正 馬婷婷 于洋

摘 要：隨著計算機技術和網絡技術的快速發(fā)展，信息安全問題越來越受到重視。為科學評估信息系統(tǒng)的安全狀態(tài)水平，目前已經提出了一些較為權威的信息安全評估標準，但仍存在安全特性不全、缺乏針對性、計算過程不完整等問題。針對這些問題，該文在把保密性、可用性、完整性等特性作為系統(tǒng)設計或安全策略的實現(xiàn)目標，提出了一種基于多目標決策的信息安全風險評估方法。該方法可以根據(jù)信息系統(tǒng)實際情況，對不同安全特性進行單獨分析評估，通過分級考慮不同特性的重要程度可以得到關于全系統(tǒng)的定量評價結論，為系統(tǒng)不同的設計方案和安全策略的有效性比較提供了數(shù)據(jù)支撐。

關鍵詞：信息安全 風險 評估 目標 決策

中圖分類號：TP309 文獻標識碼：A 文章編號：1672-3791（2019）01（b）-000-03

隨著計算機技術的快速發(fā)展，網絡規(guī)模不斷擴大，實現(xiàn)可靠的信息安全變得越來越復雜。由于信息系統(tǒng)安全脆弱性的存在，網路、操作系統(tǒng)、應用軟件、硬件設備不可避免存在安全漏洞，來自系統(tǒng)外的安全威脅也有了可乘之機，帶來了很多無意的或者人為的安全問題。對信息系統(tǒng)安全風險進行定量評估，能夠有效識別和度量系統(tǒng)所面臨的安全風險，并進一步指導信息系統(tǒng)的安全改進工作。

1 風險評估標準

信息系統(tǒng)呈現(xiàn)網絡化、復雜化的發(fā)展趨勢，使得風險評估工作逐步走上了標準化的道路。國外已經針對某些具體的信息系統(tǒng)產品提出了一系列的評估標準，包括CC/ISO15408《信息技術安全性認證通用標準》、SSE-CMM《系統(tǒng)安全工程能力成熟度模型》、BS-7799/ISO 17799《信息安全管理體系標準》、ISO 13335《信息安全管理標準》等。總體來說[1]，國際上信息安全評估經歷了一個從只重技術到技術、管理并重，從單機到網絡再到信息系統(tǒng)基礎設施，從單一安全屬性到多種安全屬性的發(fā)展過程。國內在等同采用了部分國際標準，提出了GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》[2]。標準文件規(guī)定了信息系統(tǒng)安全風險評估的基本概念、要素關系、原理模型、實施過程和評估方法，但是實施過程中，還存在以下不足。

（1）安全特性不完整。國標只考慮了對非授權主體的控制，包括保密性、可用性和完整性，而沒有考慮對授權主體的不正當行為的控制，如信息的可控性、不可否認性。信息安全的可控性和不可否認性，是通過對授權主體的控制，實現(xiàn)對保密性、可用性和完整性的有效補充，主要強調授權用戶只能在授權范圍內進行合法的訪問，并對其進行監(jiān)督和審查。

（2）評估缺乏針對性。不同行業(yè)的信息系統(tǒng)，對安全特性的偏重程度顯然是不一樣的。以智能信息系統(tǒng)[3]為例，國標沒有充分考慮不同安全指標在工程意義上重要性的不同，同等地看待保密性、完整性和可用性，導致評估結果失實。

（3）評估計算不完整。標準在分析計算了所屬資產的風險值和風險等級后，沒有進一步組合所有資產的評估結果形成全系統(tǒng)的風險值和風險等級。不同的系統(tǒng)結構，組合的計算方式可能不一樣，最終的評估結論將差距很大。此外，在比較同一系統(tǒng)采取不同安全措施的情況下風險水平時，缺乏有效的數(shù)據(jù)支撐。

2 簡單系統(tǒng)的風險評估

對一個特定信息系統(tǒng)進行信息安全風險評估，一方面是為系統(tǒng)管理者提供一個較為系統(tǒng)直觀的系統(tǒng)安全性評價，這種評價可以是定性和也可以是定量；另一方面也是從不同時期風險評價結果的對比中檢驗某些安全措施的有效性。把保密性、可用性、完整性等特性要求看作是信息系統(tǒng)設計或安全策略方面的實現(xiàn)目標，把設計方案或安全策略作為達成目標的方案，那么信息安全風險評估可以轉化為多目標決策問題。

2.1 目標重要性權重分配

多目標決策問題首先需要解決的就是確定不同目標的重要性。由于在信息安全風險評估中，安全特性目標并不具有統(tǒng)一的量綱，且一般采用定性描述，所以在確定不同目標的重要性方面，通常采用加權系數(shù)法[4]。

2.3 評估方法說明

當系統(tǒng)相對簡單，采取專家評分或數(shù)據(jù)統(tǒng)計等方法可以較為容易得到單個安全特性的量化評分時，采取如表2所示的方法進行全系統(tǒng)的評估是有效的。但當系統(tǒng)結構復雜，單個安全特性目標量化評分的合理性很難得到保證時，以上方法得到了關于全系統(tǒng)的評估將缺乏說服力。

定義：信息系統(tǒng)是某安全特性簡單的，即滿足以下條件之一。

（1）系統(tǒng)的某安全特性評估值，已在權威性標準、規(guī)范、文件中明確，或者已被某類實驗驗證，評估人可以通過較為容易的方式獲取。

（2）系統(tǒng)只包括單一或極少數(shù)資產。

顯然，表2所示的系統(tǒng)就是一個簡單的系統(tǒng)。

3 復雜系統(tǒng)的風險評估

信息系統(tǒng)一般由硬件、軟件、信息用戶組成，采用公式（3）可以單獨計算得到具體某個資產的安全目標實現(xiàn)值。但當系統(tǒng)十分復雜時，就必須考慮將多個簡單系統(tǒng)的評估結果進行組合運算的問題，以期得到系統(tǒng)的綜合評估結果。

3.1 組合計算方法

按照系統(tǒng)功能和模塊間的相互關系，把系統(tǒng)細分為若干簡單的子系統(tǒng)，自下而上地進行評估計算。假定子系統(tǒng)的安全特性目標權重分配與系統(tǒng)保持一致，組合計算主要包括兩種思路，見表3。

不同安全目標的信息系統(tǒng)，Ri*的內涵是不一樣的，因此，很難找到一個固定的方法f進行組合運算。而保密性等特性的定義是一定的，根據(jù)其安全特性設計合理的函數(shù)g，在技術上是可行的。

即使針對特定的安全特性集，設計出有效的f，得到系統(tǒng)的綜合評估結果r，但與方法A2相比，還存在評估信息不全的問題。對一個信息系統(tǒng)進行評估，當然是希望得到盡可能多的系統(tǒng)方面的評價結果。顯然，A2方法在得到綜合評估結果之前，就可以單獨計算得到保密性、可用性、完整性的實現(xiàn)值，比A1方法提供了更多的評估信息。因此，該文采取A2方法進行復雜系統(tǒng)的安全評估。

3.2 系統(tǒng)安全特性評估

3.2.1 系統(tǒng)保密性評估

保密性指只有授權用戶可以獲取信息。對其進行評估，可以采取最小法則。只要有一個資產不滿足保密等級要求、發(fā)生失泄密問題，那么就可以認為整個系統(tǒng)的保密性是不滿足的。因此，保密性評估就是找出系統(tǒng)中實現(xiàn)值最小的子系統(tǒng)。

3.2.2 系統(tǒng)可用性評估

可用性指保證合法用戶對信息和資源的使用不會被不正當拒絕。從工程技術角度來說，可用性表示戰(zhàn)備完好，即系統(tǒng)在任一隨機時刻需要開始執(zhí)行任務時，處于工作或可使用狀態(tài)的程度，是系統(tǒng)可靠性和維修性的函數(shù)[5]。在信息安全領域，可用性是指采取身份識別與確認、訪問控制、系統(tǒng)內外部隔離以及審計跟蹤等措施，保證合法用戶按權限訪問和使用信息資源，拒絕非法者進入系統(tǒng)，并防止竊取與破壞信息資源。顯然，如果信息資源暫時被破壞，但能夠及時恢復，不影響正常訪問和使用，那么信息資源依然可以認為是可用的。因此，信息系統(tǒng)的可用性，也應是可靠性和維修性的函數(shù)。如果評估只是針對系統(tǒng)的某一個時間剖面進行的話，即只關心系統(tǒng)“故障”，而不關心“自我恢復”，那么，把可用性等同為可靠性是合理的。

3.2.3 系統(tǒng)完整性評估

4 結語

文章把信息系統(tǒng)的安全特性作為系統(tǒng)設計或安全策略的實現(xiàn)目標，進而基于多目標決策的思想給出了一種新的信息安全風險評估方法。比較了兩種組合計算方法，在分析安全特性與系統(tǒng)結構的基礎上，提出了一種可以量化得到系統(tǒng)綜合評估結論的方法，彌補了國標中計算不完整的問題。但在安全特性評估中，對保密性、可用性和完整性的討論還較為簡單，可控性、不可否認性還未涉及。進一步深入分析這些安全特性與系統(tǒng)結構的關系，是該文后續(xù)的主要工作。

參考文獻

[1] 劉昱.信息安全評估及其指數(shù)研究[D].北京交通大學，2014.

[2] 國家質量監(jiān)督檢驗檢疫總局.信息安全技術 信息安全風險評估規(guī)范[S].2007.

[3] 鐘聲，李志豐.淺談智能建筑中智能化系統(tǒng)的信息安全評估[J].信息安全與通信保密，2016（6）：91-94.

[4] 劉曙陽.C3I系統(tǒng)開發(fā)技術[M].北京：國防工業(yè)出版社，1997.

[5] 曾聲奎.系統(tǒng)可靠性設計分析教程[M].北京：北京航空航天大學出版社，2001.