信息安全风险评估模型及其算法研究

摘要：在信息科技日益发展，人类社会对信息的依赖性越来越强，信息资产的安全性受到空前的重视，而当前我国的信息安全水平普遍不高，与西方发达国家存在较大差距。在当前信息安全领域，主要的管理手段是奉行着“三分技术，七分管理”的原则。要想提高整体的信息安全水平，必须从一个组织整体的信息安全管理水平着手，而不仅是依赖于防火墙、入侵检测、漏洞扫描等传统信息安全技术手段，而目前信息安全管理的最起始的工作主要是信息安全风险评估，而信息安全风险评估的手段单一化、多元化、难以定量化。以往的信息安全风险评估多从AHP层析分析法、模糊综合评价及灰色理论入手，而较少采用VAR风险定量分析和概率论等数学方法去分析和评估信息安全的风险。以VAR风险定量分析每个风险源的损失额度，以概率论和数理统计的方法去评估每个风险源在整体信息安全的风险比例，从而便于组织合体调配资源，达到资源的最佳配置，降低组织的整体信息安全风险。

关键词：信息安全；风险评估；VAR分析；数理统计

中图分类号：TP309文献标识码：A文章编号：1006-8937（2011）16-0079-02

1研究背景及现状

随着信息时代的迅速到来，众多的组织机构将重要信息存放在信息系统中，在业务上也越来越依赖信息系统的安全性、可用性、可恢复性。越来越多的组织机构意识到信息安全的重要性，例如金融、电力、通讯等相关涉及公共利益的组织机构投入巨资进行了信息安全能力的提升。而我国以公安部牵头的信息安全等级保护工作也在如火如荼的进行，对不同行业，不同机构进行分类保护，极大的从制度和法规方面促进了我国信息安全保护水平的提升，从国家宏观层面上积极推进了信息安全工作的开展。针对于国家公安部开展的信息安全等级保护工作，不同行业的信息安全等级易于测量，但对于某一行业具体金融机构的信息安全能力定级上难以定量化，不同金融机构所面对的信息安全风险大小不一，来源不同，极具差异化。小型银行在信息安全领域的花费将和大银行完全相同，将加大中小银行的商业负担，造成不必要的浪费，如何运用数量方法定量的而不是定性的去评估信息安全风险成为信息安全领域一个急需解决的学术问题。

①国外的研究现状。目前在国外，最为流行的信息安全风险管理手段莫过于由信息系统审计与控制学会ISACA（InformationSystemsAuditandControl Association）在1996年公布的控制框架COBIT 目前已经更新至第四版，主要研究信息安全的风险管理。这个框架共有34个IT的流程，分成四个控制域：PO（Planning&Organization）、AI（Acquisition&Implementation）、DS （Delivery and Support）、ME（Monitor and Evaluate），共包含214个详细控制目标，提供了自我审计标准及最仕实践，能够指导组织有效利用信息资源。管理信息安全相关风险。文章总结了其中与信息安全管理相关的特点：更清晰的岗位责任划分。为了改善对IT流程模型的理解，COBIT4.0为每个IT流程进行了定义，对每个流程及基木输入/输出及与其他流程的关系进行了描述，确定它从哪个流程来，哪个流程去，或是否有其它路径。

②国内的研究现状。目前我国信息与网络安全的防护能力处于发展的初级阶段，许多应用系统处于不设防状态。我国信息安全标准化工作起步较晚，在国家质量技术监督局领导下，全国信息化标准制定委员会及其下属的信息安全技术委员会在制订我国信息安全标准方面做了大量的工作，完成了许多安全技术标准的制定，如GB 17859、GB/T 18336等。国内的评估现状与国际社会类似，我国所建立的信息安全测评认证体系关注于安全技术和安全产品的认证，并没有提出针对组织安全管理的评估、认证模型和方法。如今国内关于信息安全管理方面的研究也明显滞后于国际同行。

2研究的主要内容和意义

①文章研究的意义。各大金融或国家保密机关在实施的自己的风险管理过程，一般都采取的都是传统意义上的风险管理过程。风险识别→风险评估→风险消减→风险监控，但在实际操作过程中，往往存在以下难点：其一，一些风险因素的信息很难准确获取，黑客攻破系统的可能性和概率。其二，一些损失很难准确量化，例如机密文件或敏感丢失的损失风险量化评估就很难准确获得。其三，尽管安全控制措施本身的代价（如软硬件的成本等）是比较容易确定的，但是它们给系统带来的间接影响却很难估量。其四，采取了信息安全的防火措施，可能带来系统速度和功能的下降。其五，尽管风险评估过程获取的信息是精确的，但是往往因为实际情况的变化使获取的信息失去其价值。例如已经知道系统存在漏洞，也知道应该打补丁；但是黑客已经抢先一步攻破了系统并且种植了木马，于是即便打上了补丁，对黑客的入侵也造不成任何障碍了。

②信息安全风险评估的模型建立。文章所采用的方法主要是：首先明晰各风险因素，并采用VAR方法确定各风险的期望损失额度，然后根据损失越大，则风险越大，权重因素越大，从而确定各风险的权重，建立模型。最后根据考核指标，反复调整原模型，直到原模型出来的数据到达考核指标的要求，才认为原模型成立。但该模型的时效性是有限的，最终计算出来的模型可能只能适用于某一段时间，由于外部环境急剧变化，则需要根据新形势下的新情况依据本模型的流程重新计算得出新的模型。

③文章构建的模型和相关算法思路。分析风险因素，用VAR计算其各自损失，然后再分别计算出其各自的权重（即该因素在整体信息安全风险中所占的比例）以评价标准来检验原假设，使模型尽量贴近于评价标准。寻找偏差的因素来源，调整偏差。产生新假设，继续检验新假设，继续寻找偏差因素来源，调整偏差，如此反复循环。直到上述模型反复循环调整的结果达到评价加权指标的接受范围内，便认为原模型成立。

3信息安全风险评估概述

①信息安全风险评估概念。风险评估概念“You cannot control what you cannot measure，and you cannot measure what you can not define”。所以只有明确除信息安全的风险因素，我们才能更好的去控制信息安全风险，信息安全风险评估是信息安全保障体系过程中的重要的评价方法和决策机制，大致要经历准备、资产识别、威胁识别、已有安全措施的确认、风险识别、风险评估结果记录等几个流程。准确及时的风险评估，是相关机构对安全状况做出准确判断的前提条件。

②信息安全风险的评估过程。在对信息安全风险进行评估之初，需要一个循序渐进的过程，从而达到对信息安全由浅入深、由表及里的认识。因此，信息安全风险评估首先应当采用一种初步的评估分析，了解系统的关键资产以及关键资产面对的关键威胁，随后对这些关键资产以及关键威胁进行进一步详细的评估，并在进一步评估的基础上确定安全保护措施的实施以及评估结果分析总结等后续工作。只有在初步和详细的评估分析中得出各风险的权重和重要程度，才能抓住主次，明确优先顺序，在资源有限性的情况下，尽最小的资源去降低整体组织的信息安全风险。

4VAR风险模型的应用和算法实现

①金融领域应用广泛的VaR方法简介。VaR的英文全称是Value at Risk，即“处于风险中的价值”，是指市场正常波动下，某一金融资产或证券组合的最大可能损失。

②VAR方法在信息安全风险评估中的应用。在信息安全中，表示信息安全评估和管理的成功并非是能为企业带来多少价值，而是因为好的风险管理和内部控制，可以避免企业或组织因各种风险导致的巨大损失。

③用VAR来衡量信息安全风险。而在不同情况下计算VAR的方法不同，大体可以分为三大类：历史模拟法、分析方法和Monte Carlo模拟法，从而得到每个风险因素的损失值和损失概率。

5基于概率论和数理统计的权重因素计量

5.1方法简述

在现实生活中寻找一个“风险”的例子，说明其中的威胁、脆弱点、影响分别是什么。假设有n个相互独立的威胁事件，其发生概率（可能性）为p1, p2……pn，每个事件单独造成的资产损失为e1, e2……en，根据前面的介绍，风险可以定义为：∑piei。那么如果n个事件相互不独立，那么风险公式该怎么定义，定义如下：

∑piei=e1×p1+e2×p2+e3×p3+e4×p4+……+en×pn

5.2模型的前提假设

文章从简化模型角度考虑，假定各风险因素是相互独立以及互不影响的。衡量风险的指标，主要是基于其期望损失，并且模型假定资源是有限的，不可能把所有安全标准达到最高级，事实上，所有安全标准达到最高级是不现实的，也是没有必要的。

5.3模型建立

假设风险因素分别有n个，分别为1,2,3,…..n,其权重为：x1，x2，x3，x4，…xn设立模型：x1+x2+x3+x4+…+xn=1，去掉x1, 产生的损失大概在y1（VAR风险模型计量），设立x1为基准。

则：=……=

于是：x1(1+++……+)=1

则有：x1=.Xn=

5.4模型检验

得出来的权重比例看是否具有现实意义和准确性，一般以下列指标进行评判：同等水平的企业影响信息安全权重值应该近似相同（同城市，同规模）；不同层次间的企业影响信息安全权重值应成趋势变动；测量的数值与企业或行业过往历史记录无太大偏差，应成线性吻合。

6结语

文章从VAR风险分析方法和数学上的数理统计方法入手，用以定量化的去分析信息安全的风险，改变了以往只是定性的去分析风险，难以科学化和可证明性。开始介绍了信息安全评估的一般流程，然后用基于VAR的方法去衡量每个风险的损失值和损失大小，以数理统计的方法去测算出每个风险因素在整体信息安全风险的比重，但是这个得出来的模型也许并非正确，所以必须通过设定的若干条件检验，如果不通过，则调整风险估值或者概率，从而使最后的结果更加趋向于衡量指标，使得最后得到的模型在更大程度上满足各项评价指标，从而使模型更具现实意义和可行性。

参考文献：

[1] GB 17859-1999,计算机信息安全保护等级划分标准[S].

[2] GB/T18336-2001,信息技术-安全技术-信息技术安全性 评估准90[S].

推荐访问:信息安全 算法 模型 风险评估 研究