信息安全風險評估模型及研究方法

林 明

（格拉斯哥大學，蘇格蘭 格拉斯哥 G12 8QQ）

0 引言

信息系統是我國國民經濟體系重要的組成部分，我國信息化建設始于20 世紀60 年代初，至今已有60多年的歷史。目前，信息與網絡技術在信息系統中得到了廣泛的應用，已成為各級企業生產、運營與管理的基礎設施。因此，信息系統的安全、可靠和穩定運行也成為企業、機構信息化建設中的重要內容。信息安全風險評估是信息安全保護與管理的基礎工作，是信息系統風險管理中最重要的環節。通過風險評估來確定信息系統的安全性，并在此基礎上對信息安全保障體系的建設進行有序規劃，是各級企業與機構在信息安全工作中避免防護不當、提高防護效果和收益的主要方法。

信息安全的目標主要體現在機密性、完整性和可用性等方面。風險評估是信息安全保障體系建設的出發點，它的重要意義在于可以改變傳統的以技術驅動為主導的安全體系結構設計以及進行詳細的安全方案的制訂。然而想要在一個廣泛的范圍中對復雜的系統進行全面的風險評估，需要建立各方面都很完善的評估指標體系。只有對每一項指標都有一個深刻的認識，才能有效地對系統進行風險評估，才能及時發現問題，才能為最高管理層制訂安全風險管理的計劃與實施提供參考措施和基礎數據，并輔助其做出正確決策。

1 風險評估過程

信息安全風險評估是信息安全管理的核心內容，對信息安全管理有重大意義。一方面信息安全風險評估可以明確組織信息安全現狀，另一方面信息安全風險評估可以確定信息系統的主要安全風險，以便管理員及時采取相應措施應對。全面分析各種安全風險因素，更有利于指導信息系統安全管理體系的建設，制定全面可靠的安全策略。

信息安全組成要素主要有：資產價值、對資產的威脅以及威脅發生的可能性、資產的脆弱性、現有的安全保護。風險評估的過程就是綜合以上因素而導出風險的過程。

信息安全風險評估需要循序漸進，由表及里。因此在信息安全風險評估中首先應當對系統進行初步評估分析，以此了解系統中的關鍵資產及其面對的首要威脅。然后對關鍵資產與其首要威脅進行詳細評估，在此基礎上確定安全保護措施，并且完成評估結果、分析、總結等后續工作。圖1 即為具體評估過程。

圖1 信息安全風險評估過程

1.1 初步的評估分析

進行風險評估時，首先應該進行一個初步的風險評估分析，用以確定組織機構中每一個具體系統應該采用的評估方法（定量的方法、定性的方法）。主要目的是確定信息系統及其處理的業務系統的價值以及從組織機構的業務角度觀察到的風險。因此需要考慮以下因素。

（1）信息系統要達到的業務目的；

（2）組織對該信息系統的依賴程度；

（3）對此信息系統投入的成本。

初步評估后就可以選擇對組織機構較為重要的信息系統進行詳細的風險評估。

1.2 詳細的風險評估分析

詳細的安全風險評估分析包括對風險的鑒別與度量。詳細的風險評估可以通過事件發生的概率與后果的嚴重性來鑒別。其分析結果可以作為決定具體安全防范措施的依據，達到把風險降低到可接受程度的目的。

1.3 選擇適合的安全防護措施

經過了詳細的安全風險評估后根據評估結果選擇最合適的安全防護措施，如果安全防護措施需要對整個系統進行重大調整或者系統產生新的安全問題則需要對詳細的風險評估結果進行全面的反饋，并重新考慮評估結果。

1.4 保存評估結果

在進行風險評估分析時會借助結構分析、計算機輔助或是人工等多種定性或定量的方法。當詳細的風險評估分析完成后，所有的分析結果都應被妥善保存。這對未來評估相似系統時也有借鑒作用。

1.5 界定系統邊界

對系統的邊界進行評估分析界定同樣也是風險評估中一項重要的工作。一個明確定義的邊界有助于減少不必要的工作及提高評估結果質量。一個清晰的系統邊界描述的內容包括：

（1）信息資產（硬件、軟件和信息等）；

（2）人員（組織雇員和外部人員等）；

（3）環境（建筑、設備等）；

（4）活動（對設備操作等）。

1.6 制定系統安全防范措施

合適的安全防范措施應當遵循的基本原則如下：

（1）所采用安全防范措施成本不高于風險發生時的損失。

（2）所采用的安全防范措施不應包括已經存在于安全計劃但還未實施的安全措施。

（3）經過安全評估分析確定的不合理的安全措施極易成為新的安全漏洞，應當予以替換或取消。

1.7 風險評估總結

對系統進行風險分析后，應將相應數據予以匯總，并形成清晰明了的文檔或圖表。數值化和可視化的評估報告更易于非專業人士的閱讀和理解。

2 安全風險評估量化模型

2.1 安全風險基本數學模型

國際標準化組織（ISO／IEC JTCl）為了對IT 安全管理提供有效的建議和支持提出了ISO 13335：信息安全管理指南。其中第一部分提供了基本的信息評估要素模型，以風險為中心，根據信息與相關設施的威脅、影響和資產脆弱性評估其發生的可能性。資產風險評估及量化計算的關系模型如圖2 所示。

圖2 資產風險評估及量化計算的關系模型

由此可得信息安全風險值（R）與威脅發生的可能性（Pt.）、資產的脆弱性（Pv.）、受威脅影響的資產價值（V）的基本量化模型如下：

2.2 風險度量標準

為了度量信息安全風險，需要對以上要素進行定量的度量標準。

2.2.1 V（資產價值）

基本量化評估模型中的資產所指的是有價值的目標資產。在風險評估中，資產的實際價值為絕對價值，可以用貨幣來表示；相反，由主體依據資產重要性等給定的則為相對的資產價值。出于客觀考慮，模型中的資產價值更傾向于使用絕對價值。

2.2.2 TRO（威脅發生的頻率）

這里所述的TRO 以年計算。例如，數據存儲設備發生故障的頻率為5 年一次，其TRO＝1／5；而被黑客攻擊的頻率為一年300 次，則其TRO＝300。

2.2.3 TEF（威脅的曝光系數）

TEF 被用來描述某一具體威脅發生后資產價值的損失程度，取值范圍為0 至100%。

2.2.4 SME（安全措施的有效性系數）

采取安全措施可以被認為是減少了信息資產的脆弱性，以此來降低威脅的曝光系數。取值范圍為0 到100%。

2.2.5 SME（安全措施成本）

SME 指實施安全措施需付出的成本，其計量方式與資產的絕對價值相同，用貨幣來表示。

2.3 安全風險定量評估模型

根據資產風險評估及量化計算的關系模型（圖2），威脅i 帶來的安全風險R可量化為：

當采取安全措施m 后將會引發新的威脅j，則安全風險R的量化公式為：

其中R＝V×TRO×TEF為采取安全措施后引發的新安全風險。

如果公式（2）與公式（3）中的要素都被客觀地度量，那么風險評估就可以完全被量化。

2.4 信息系統安全風險度量

因為信息系統安全風險是由于系統本身面臨的威脅以及系統自身弱點而產生并最終造成資產損失的風險，與傳統風險管理類似，并且信息安全風險也有安全事件發生的隨機性以及風險損失具有統計規律性等特點，所以，在信息安全風險評估領域也可以使用VaR模型度量風險。

VaR（Value at Risk）是由G30 集團在研究衍生品種的基礎上，于1993 年發表的《衍生產品的實踐和規則》報告中提出的度量市場風險的方法。其含義為在市場正常波動下，金融資產或證券組合可能的最大損失。更確切地指，在一定概率水平（置信度）下，金融資產或證券組合價值在未來特定時期內的最大可能損失。

用公式表示為：

其中P 為資產價值損失小于可能損失上限的概率，ΔP 為某一金融資產在持有期Δt 的損失額，VaR 為可能的損失上限，α 為給定的置信水平。

將經計算得出的R 帶入公式中得到適用于信息系統安全風險的VaR 公式：

使用VaR 模型測量風險結論簡潔明了。方法是建立在概率論與數理統計的基礎上，不但具有很強的科學性，又表現出方法操作上的簡便性。即使是沒有任何專業背景的管理者都可以通過VaR 值對風險進行判斷。

3 總結

隨著信息技術的不斷發展，信息系統覆蓋的范圍越來越大，其安全問題也越來越嚴重，愈演愈烈的信息安全威脅導致的災難性事件也充分表明了信息安全風險管理的重要性。信息安全風險評估是信息安全風險管理的重要組成部分，探討如何進行信息安全風險評估，在理論上和實際應用上都有十分重要的意義。

本文以信息安全風險評估流程圖為中心，分步敘述了信息安全風險評估流程，并以此引出資產風險評估及量化計算的關系模型，導出基本量化模型公式，并引入傳統風險管理與金融風險投資領域常用的風險度量技術VaR 模型，將信息安全風險量化模型變成一個能將風險量化的、簡單、直觀、科學合理的宜用模型。