基于GBT 20984—2007风险评估计算模型的研究

潘雪霖 孙 伟

1(中山大学数据科学与计算机学院 广州 510006)2(广州市计划生育宣传教育中心 广州 510630)3(广州市人口信息中心 广州 510630)4 (信息技术教育部重点实验室(中山大学) 广州 510006)



潘雪霖1,2,3孙 伟1,4

1(中山大学数据科学与计算机学院 广州 510006)2(广州市计划生育宣传教育中心 广州 510630)3(广州市人口信息中心 广州 510630)4(信息技术教育部重点实验室(中山大学) 广州 510006)

(punshellrain@126.com)

互联网时代的信息安全问题已全球化，使信息安全风险评估的系统工程显得尤为重要.为贯彻信息安全风险评估标准，解决GBT 20984—2007信息安全风险评估技术规范中信息安全风险评估计算比较模糊的问题，研究信息安全风险评估相关理论，在原有风险计算的基础上，设计和实现一种改进的信息安全风险评估计算模型.引入安全措施有效性系数，通过对风险资产的价值、威胁和脆弱性细化量化分析，根据相乘法原理计算风险值，使风险计算值更加科学和可靠，进一步明确风险控制措施对风险控制的有效性影响，为风险分析计算提出一种新的解决思路.实践证明，将评估标准与实践相结合，更好地论证了该模型的有效性.

信息安全；风险评估；风险计算；计算模型；风险分析

随着“互联网+”时代的来临和大数据应用的普及，信息系统越来越备受依赖[1].但是，广泛使用的信息系统因其自身的脆弱性等原因存在诸多安全问题.而解决此类安全问题最有效的方法是以信息安全风险评估为前提[2]的体系工程.信息安全风险评估是按照相关信息安全技术管理规范，公正、科学、综合地分析被评估的信息对象及其所涉及的信息保密性、完整性和可用性等方面的安全属性[3]，明确系统的弱点和威胁，计算脆弱性遭威胁驾驭而造成负面影响的概率[4].此举目的在于掌握系统当前状况和不远将来潜在的风险，将风险降低并维持在可接受的范围之内[5]，为确定信息系统的安全运行策略提供依据[6].

1 信息安全风险评估理论研究

信息安全风险评估的对象是信息，而信息是以系统为载体的数据流，与信息相关的宏观对象是资产.资产通常包括硬件和软件，如主机、操作系统、数据库软件、中间件等.

定义1. 资产.一类有价值的实体的集合[8]，用W表示资产的集合.

资产具有保密性、完整性和可用性3个主要的安全属性.其中保密性是对信息未经授权的泄露或破坏的容忍程度；完整性是对信息的未经授权的修改或破坏的容忍程度；可用性是对信息的存储、传输或处理延迟的容忍程度[9].

资产所处的状态由周围环境对其安全属性作用形成.与资产相关的重要因素是资产的脆弱性和利用资产脆弱性的威胁.

定义2. 脆弱性.可能被威胁利用的、资产自身的缺陷[10]，用V表示资产脆弱性的集合.

脆弱性即系统自身的漏洞，可分为管理漏洞和技术漏洞.

定义3. 威胁.可能对资产产生危害的潜在原因[11]，用T表示所有威胁的集合.

威胁来源可能是环境因素，也可能是人的因素，其中人的因素包括恶意和非恶意2种.可以比较直观地认为威胁包括软硬件故障、恶意攻击、人员误操作、管理不到位等.

资产面临着安全隐患，自然有相应的应对措施，即安全措施，而安全措施的有效性需要量化衡量，故引入安全措施有效性系数(SMVC).

定义4. 安全措施有效性系数.衡量利用资产的弱点对资产进行破坏的威胁的严重程度作出安全预防或控制措施的有效度，用S表示所有安全措施有效性程度的集合.

风险评估实施流程主要分为评估前期工作、风险识别(即资产、脆弱性、威胁的识别和已采取安全措施的确认)、风险计算和风险处理4个步骤[13].

1) 评估前期工作

评估目标的确立、评估范围的核定、评估方案的策划、评估方法的甄选、评估管理与实施团队的建立等都是风险前期工作的内容.

2) 风险识别

首先需要进行资产分类辨识，然后计算资产价值，即对资产的保密性、可用性和完整性进行分析，以此为基础导出一个量化的结果[14].

威胁是对资产构成潜在破坏的客观可能因素.威胁与资产是多对多的关系，一个资产可能遭受很多威胁，同时一个威胁对多个资产构成影响.威胁识别主要是识别威胁的来源，判断威胁的强度和频率.

脆弱性识别是对资产薄弱环节进行分析，其数据来源于资产的管理者和业务专家等，所采用的方法包括问卷调查、文档查阅、工具检测等.

确认已有的安全措施的时效性，避免重复实施造成不必要的工作及其产生费用.安全措施分为预防性的和保护性的，前者降低脆弱性被威胁利用的可能性，后者减少安全事件对系统的损坏.

3) 风险计算

根据资产重要程度、威胁发生频率和脆弱性被威胁利用的可能性计算资产的风险值.

4) 风险处理

风险处理最好的方式是消除风险，文献[15]在风险分析中采用增强技术消除软件中的高风险.风险处理的方式包括规避、转移、减低和接受风险，考虑是否接受风险，并评价残余风险.

图1 风险评估实施流程图

2 信息安全风险评估计算模型的研究

本文在现有的信息安全风险评估计算方法的基础上，引入安全措施有效性系数(SMVC)的概念，衡量有效的安全措施对信息安全风险的影响，进而将GBT 20984—2007信息安全评估规范中的信息安全风险评估计算模型完善，如图2所示.

从图2可以看出，风险的计算取决于安全事件的损失、发生的可能性和安全措施的确定，风险值的计算涉及到资产的重要性、脆弱性的严重程度、威胁发生的频率和安全措施的有效性4个要素，用公式表示为

R=r(S,W,V,T)=r(S,D(W,V),P(V,T))，

(1)

图2 风险评估计算模型

式(1)中，R为风险值，r为风险计算函数，S为安全措施有效性系数，V表示脆弱性严重程度，T表示威胁的程度，W为资产的价值，D(W，V)表示安全事件导致的损失，而P(V，T)则表示安全事件发生的机会.

3 信息安全风险评估计算模型的实现

按照风险评估实施流程，评估准备工作后进行资产识别，而资产识别关键在于资产赋值.同样，威胁识别关键在于威胁赋值，脆弱性识别在于脆弱性赋值.下面以风险评估计算为中心，从资产赋值、威胁赋值、脆弱性赋值和风险计算4个方面展开论述.

3.1 资产赋值

资产赋值是对资产的保密性、完整性和可用性的赋值情况作详细约束，继而对资产价值的计算作具体的定义.通过不同角度的分析系统调研收集资产相关信息后，确定资产保密、完整和可用属性的赋值方法，进一步明确资产重要度的计算方式.GBT 20984—2007标准按照5个等级的指标体系给资产的保密性、完整性、可用性赋值会产生较大的误差，令人难以判断.为解决该问题，本文将每个赋值都用2个维度X和Y表示[16]，X一般代表资产和后果的关联程度，Y代表后果带来影响的关键程度，X和Y取值均属于区间[1,4]中的自然数.然后再加权综合取得最终值，以减少误差.

C=m×XConf+n×YConf，其中C代表保密性价值，XConf和YConf代表拆分后的量.

I=m×XInt+n×YInt，其中I代表完整性价值，XInt和YInt代表拆分后的量.

A=m×XAvail+n×YAvail，其中A代表可用性价值，XAvail和YAvail代表拆分后的量.

一般认为X是Y的基础，故在权值方面占优，拟取m为0.6，n为0.4.

保密性关联程度XConf指资产暴露后与所造成的最严重后果的关系.XConf=4代表直接泄密，XConf=3代表容易泄密，XConf=2代表可能泄密，XConf=1代表难以泄密.保密性关键程度YConf=4指资产暴露后对组织造成的影响.YConf=4代表极大损失,YConf=3代表中等损失,YConf=2代表一般损失，YConf=1代表轻微损失.一般来说，保密性的2个分量取值如下.数据资产：XConf=4，YConf=4；应用软件：XConf=3，YConf=3；关键的网络设备和服务器：XConf=2，YConf=2；一般设备：XConf=1，YConf=1.

完整性关联程度XInt指资产处于不准确或非完整的状态下与所造成的最严重后果的关系.XInt=4代表不可依赖，XInt=3代表部分依赖，XInt=2代表可能依赖，XInt=1代表可以依赖.完整性关键程度YInt指资产暴露后对组织造成的影响.YInt=4代表极大损失，YInt=3代表中等损失，YInt=2代表一般损失，YInt=1代表轻微损失.一般来说，完整性的2个分量取值如下.数据资产：XInt=4，YInt=4；应用软件：XInt=3，YInt=3；关键的网络设备和服务器：XInt=2，YInt=2；一般设备：XInt=1，YInt=1.

可用性关联程度XAvail指资产不可用时与所造成的最严重后果的关系.XAvail=4代表直接废弃，XAvail=3代表部分可用，XAvail=2代表可能有用，XAvail=1代表基本可用.完整性关键程度YAvail指资产暴露后对组织造成的影响.YAvail=4代表极大损失，YAvail=3代表中等损失，YAvail=2代表一般损失，YAvail=1代表轻微损失.一般来说，可用性的2个分量取值如下.数据资产：XAvail=4，YAvail=4；核心设备：XAvail=3，YAvail=3；非核心设备：XAvail=2，YAvail=2；一般设备：XAvail=1，YAvail=1.资产赋值表如表1所示.

资产的安全属性赋值后，我们根据式(2)计算资产的价值.

W=lb((x×2c+y×2i+z×2a)3)，

(2)

式(2)中，c为保密性等级，i为完整性等级，a为可用性的等级，由关联程度和关键程度决定.x,y,z分别代表保密性权值、完整性权值、可用性权值，x,y,z取值范围为0～3之间的常数，且x+y+z=3.权值由被评估对象的行业背景和特点决定：比较关注保密性的部门，如政府涉密部门，x会稍微占大份量；比较关注完整性部门，如金融机构，y会稍微取大值；比较关注可用性部门，如网络运营商，z会稍微有大比例.一般部门x,y,z都取值1(以下资产价值统计均按此比例).W为计算得到资产大概价值，其取值范围为1～5中的自然数，分别对应级别很低、低、中、高、最高.资产赋值细化后形成的资产价值统计表如表2所示：

表1 资产赋值参照表

表2是一般情况下资产的赋值参考标准，实际中评估团队要作相应改动.

3.2 威胁赋值

T=TV×TP，

(3)

其中，TV和TP取值属于区间[1,5]中自然数.

威胁等级划分为5个级别，与威胁的负面影响成正比.威胁等级赋值表见表3所示：

表3 威胁等级赋值表

3.3 脆弱性赋值

脆弱性是以系统漏洞作为依据来衡量的，故可以细化为未安装的系统漏洞补丁个数.结合标准，将未安装的系统漏洞补丁个数和脆弱性等级联系起来，未安装的补丁个数与脆弱性等级成正比.未安装的补丁大于6个，可视为等级5，表示很高；未安装的补丁介于5～6个，可视为等级4，表示高；未安装的补丁介于3～4个，可视为等级3，表示中等；未安装的补丁介于1～2个，可视为等级2，表示低；未安装的补丁等于0，可视为等级1，表示很低.

3.4 风险计算

为了体现风险安全控制措施的有效性，本文将风险计算表述如式(4)所示：

(4)

其中，i为有效的安全措施个数.当i=0时，S=1.

结合相乘法原理，则风险值计算方法可表示为式(5)：

(5)

式(5)中R为风险值，T为威胁的评估等级，V为脆弱性的评估等级，W为资产的评估价值.T取值范围为1≤T≤5，V取值范围为1≤V≤5，W取值范围为1≤W≤5，S的取值范围为0

表4 风险等级划分表

4 结 语

[1]王喆, 赵刚, 吴天水. 一种信息安全风险评估可视化模型[J]. 通信技术, 2014, 47(3): 314-318

[2]廖年冬.信息安全动态风险评估模型的研究[D]. 北京: 北京交通大学, 2009

[3]吕俊杰, 董红. 基于区间数判断矩阵的模糊信息安全风险评估模型[J]. 统计与决策, 2010(16): 22-25

[4]Bernard R. Information lifecycle security risk assessment: A tool for closing security gaps [J]. Computers & Security, 2007, 26(1): 26-30

[5]杨继华. 信息安全风险评估模型及方法研究[D].西安: 西安电子科技大学, 2007

[6]梁永谦. 电子政务信息安全风险评估技术研究及应用[D].成都: 电子科技大学, 2010

[7]全国信息安全标准化技术委员会. GBT20984—2007 信息安全技术 信息安全风险评估规范[S]. 北京: 中国标准出版社, 2007

[8]赵越. 基于灰色系统理论的信息安全风险评估方法的研究与应用[D].长沙: 国防科学技术大学, 2011

[9]肖龙. 基于CORAS框架的信息安全风险评估方法[D].南京: 南京理工大学, 2009

[10]郑毅. 基于灰色理论的信息系统安全风险评估研究[D].成都: 成都理工大学, 2013

[11]李波. 基于灰色系统理论的信息安全风险评估方法的研究[D].杭州: 浙江大学, 2009

[12]黄芳芳. 信息安全风险评估量化模型的研究与应用[D].武汉: 湖北工业大学, 2009

[13]潘宏伟. 基于模糊层次分析法的信息安全风险评估研究[D].南京: 南京师范大学, 2007

[14]范红, 冯登国, 吴亚非. 信息安全风险评估方法与应用法[M]. 北京: 清华大学出版社, 2006

[15]Neumann D E. An enhanced neural network technique for software risk analysis[J]. IEEE Trans on Software Engineering, 2002, 28(9): 904-912

[16]赵冬梅. 信息安全风险评估量化方法研究[D].西安: 西安电子科技大学, 2007

潘雪霖

硕士，主要研究方向为信息安全.

punshellrain@126.com

孙 伟

教授，博士生导师，主要研究方向为网络安全和多媒体技术.

sunwei@mail.sysu.edu.cn

Research of Risk Assessment Model Based on GBT 20984─2007

Pan Xuelin1,2,3and Sun Wei1,4

1(SchoolofDataScienceandComputer,SunYet-senUniversity,Guangzhou510006)2(GuangzhouFamilyPlanningPublicityandEducationCenter,Guangzhou510630)3(GuangzhouPopulationInformationCenter,Guangzhou510630)4(KeyLaboratoryofInformationTechnology(SunYat-senUniversity),MinistryofEducation,Guangzhou510006)

Information security has been globalized in the Internet era, which is also one of the socially focused concerns. It makes the information security risk assessment system particularly important. Security incidents often usedthe diversification of vulnerabilities to make the security of systems improved in the past. Information security is dependent on the integrated system engineering involving technology and management. Risk assessment is a process which identifies the weaknesses of the information system andanalyses the threat level of eventsusing the weakness above. At last, risk assessment need to evaluate the possibility of negative impacts for the threats. The implementary specification for risk assessmentis not specific enough, so it is necessary to refine related theory according tomore practise. Based on the original risk calculationa improved information security risk assessment model is designed in this paper.The improved assessment will solve the problem of information security risk calculation in the GBT 20984—2007 technical specification better. Through the analysis of the value of risk assets, threat and vulnerability of risk assets, the risk value is calculated.The value will be used to clarify the effectiveness of risk control measures. Through the risk analysis, the risk calculation value becomes more scientific and reliable, presentinga new approach to risk analysis and calculation. It has proved thatthe combination of standard for assessment and practise will prove the validity of the model better.

information security; risk assessment; risk calculation; computational model; risk analysis

2015-07-18

TP309