丘东 官海滨 谢宗晓 王兴起

[摘 要] 基于已有的投资回报率（ROI）计算公式，提出了可以用于风险处置过程中决策支持的安全投资回报率模型（ROSI），并详细讨论了该模型中变量的数据来源，结果表明，该模型对组织安全资产投资决策可以提供良好的支持。

[关键词] 风险评估；风险处置；投资回报率；安全投资回报率

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 12. 031

[中图分类号] G934 [文献标识码] A [文章编号] 1673 - 0194（2014）12- 0050- 03

0 引 言

信息安全风险评估是信息安全管理中的重要环节，评估采用系统化的流程，从识别资产开始，到识别威胁、脆弱性及现有的控制措施，从而估算风险发生的可能性和影响级别，最后得到风险值的大小，其结果实际上是一个相对的等级列表（rank）[1-5]，随后的信息安全风险处置过程，则是根据这个相对的风险等级列表选择减缓、接受、规避或转移等选项[6]。

但对组织的决策者而言，仅仅根据风险的相对大小列表，实际上只能决定资源调配的优先级，并不能对某个具体风险是否进行处理这类决策有所帮助[7]。例如，信息安全风险评估的结果显示，没有IDS（入侵检测系统）使核心业务系统的风险值为70（满分为100，70划入中风险区域）。这可能告诉决策者应该着手处理这个风险，但不是最重要的。以组织目前的规模，购买IDS 的价格可能为30万元，那么这30万元的支出是否值得，就必须进行系统分析并确定风险造成的损失到底有多大，需要确定实际的财务价值，而不仅仅是用高、中或低的模糊序列概念来定义。

公司的决策者在选择购买技术设备后用于服务的时候，通常会以投资回报率、现金净流量等方法衡量技术设备购买支出的必要性，此时技术人员应该提供信息安全投资影响企业收益的安全度量数据。如果解决方法的支出大于风险处置的支出时，信息安全应对方法是没有实施必要的，选择风险接受可能就是最优的风险处置决策。本文借鉴传统的投资回报率模型（Return On Investment， ROI），提出了安全投资回报率（Return On Security Investment， ROSI）计量模型，并对各个输入变量的计算方法做详细的讨论，为组织信息安全决策者及信息安全服务商提供了更为直观的决策依据。

1 安全投资回报率（ROSI）模型

目前，公司决策者在评估选择投资战略的时候大多采用ROI（投资回报率）模型判断公司资金支出获得的收益回报率，见式（1）。ROI模型首先要判断资金支出后的获得预期收入金额，其次就是确定需要的投资成本，在不考虑资金的时间价值前提下，最终确定投资回报的收益率。

ROI=■×100%（1）

ROI模型在引进新技术及新技术升级换代方面同样具有应用价值，但是信息安全的预期收益并不像其他收益能够清晰地体现在财务数据的增长上，信息安全技术和服务的目的是避免信息安全事件发生的可能性，具体到财务数据上表现为避免公司财务损失可能性，而不是表现为财务数据的增长[8-9]。因此，信息安全的投资收益回报率的预期收益应该表现为风险预期损失与信息安全风险降低预期比率的乘积，信息安全投资收益回报率可以表述为式（2）。

ROSI=■×100%（2）

案例：某组织的某资产价值为100 000元，一场意外火灾可能损坏其价值的25%，那么火灾的单一风险预期损失为25 000元。按照经验统计这种火灾一般每5年发生一次，那么年发生次数即为1/5，年预期损失为元。

公司可以购买干粉灭火器和火警预警器来降低火灾的发生概率或损害程度。假设购买成本为6 000元，寿命为3年，不需要额外的维护费用。那么年度安全控制支出本为2 000元（6 000/3）。

实施控制后，火灾的损坏程度将为5%，而发生的次数降为1/10次，那么单一风险预期损失将降低为5 000元（100 000*5%），年预期损失为元。

在不考虑关联风险的情况下，其安全投资回报率计算如下：

ROSI=■=125%

从125%的安全投资回报率来看，这个安全控制措施是可以实施的。但是在ROSI的计算过程中存在以下问题：

（1）风险预期损失数据如何获取？目前风险预期损失数据并没有统一的标准，保险索赔、学术研究以及一些独立数据调查公司会零星地发布信息安全事件损失的报告，但大多仅仅汇报信息安全事件事后统计的损失平均值[10]，对发生概率则多只有定性的判断，因此，组织需要计算风险预期损失。

（2）安全控制支出如何获取？虽然安全控制会集中的表现为产品或服务采购，合同额明确，但是安全控制一般不会只针对单一产品的单一风险，不能直接对应到风险预期损失上去，可以选择分解合同金额进行分配，或者将安全控制所影响的风险预期损失进行整合。前者的分配比例显然难以确定，因此，本研究选择后一种方法，式（2）转变为：

ROSI=■（3）

2 风险预期损失的量化

2.1 年度预期损失（ALE）法

在风险预期损失的量化（或信息安全风险评估定量化）领域，文献[11]引入了层次分析法、信息熵、神经网络以及小波分析，文献[12]引入了免疫进化算法、基于区间数和理想点法的决策技术，决策实验和评价实验室法、模糊理论和群体决策法，文献[13]引入了贝叶斯概率风险分析，类似文献还有文献[14-16]等，但上述文献多关注风险的计算过程，并未过多关注数据来源，而数据来源的定量化才是最关键的环节。文献[17]提出了一个利用软件漏洞的网络攻击行为所导致的系统宕机风险模型，在这个模型中，利用MX/G/1队列来预计宕机时间，用脆弱性矩阵和配置矩阵计算攻击发生的可能性，该模型是目前比较好的量化思路，但是该文献的目的是探讨软件多样化所带来的优势，因此应用范围非常窄，对量化的风险处置决策研究贡献有限。

目前，信息安全行业内比较认可的风险预期损失的模型为ALE（Annual Loss Expectancy， ALE）法[17]，即年度预期损失法。

ALE=■SLE[i]×ARO[i]（4）

式中，n为单次风险所影响的资产数量；SLE（Single Loss Expectancy）为单一风险预期损失；ARO（Annual Rate of Occurrence）为年度发生率。

单一风险预期损失又可以细化为资产价值与单一风险的破坏程度的乘积，由于对于组织而言，n是确定的客观数据，式（4）的未知参数为：①资产价值；②破坏程度；③年度发生率。

2.2 几个主要参数的确定

资产的价值不是资产的购置价或者账面价，而是基于对业务的重要性计算出来的虚拟价值。可以认为待评估资产的价值是通过信息安全的途径造成了影响组织业务的假设价值。对于如何参考财务账面价值来得到资产在信息安全中的价值并没有现成的公式可以用。文献[7]中使用美国证券交易委员会（SEC， US Security Exchange Commission）在Staff Accounting Bulletin No. 99（99号专职会计公告）中认可的一般准则，引用参考的一般准则是财务报告净收入值的 5%。按照这个指导原则，如果组织每年约有 20 000 000元的净收入，重要资产可以被指定为1 000 000元的价值。

破坏程度和年度发生率经验数据可以从以下途径获取[7]：

（1）通过组织中发生过的历史信息安全事件报告或记录，统计各种发生过的威胁和其发生频率；

（2）在评估对象的实际环境中，通过IDS等系统获取的威胁发生数据的统计和分析，各种日志中威胁发生的数据的统计和分析；

（3）过去一年或两年来国际公司（如Symantec）或机构（例如：CERT和CNCERT等）、业务关联公司发布的对于整个社会或特定行业安全威胁及其发生频率的统计数据。

2.3 实施前/后风险预期损失

实施前的风险预期损失要根据风险评估的结果及建议的控制措施进行估算，并以此作为风险处置选项的依据，而实施后的风险预期损失则根据残余风险进行估算。

3 安全控制支出的量化

3.1 成本的组成

最明确的安全控制支出表现为产品或服务采购合同，但是安全控制支出的总金额肯定不仅仅表现为合同额，其他相关的因素也应该纳入考虑。当然，安全控制支出的量化除了合同额之外的部分，可能含有一定的主观因素。

文献[17]认为信息系统是信息技术和人类行为的结合体，所以产品的部署会带来的一系列问题，都应该考虑在内。这其中可能包括购买成本、实施成本、持续维护成本、通信成本、培训成本和检查验证有效性的成本等[4，18]。

3.2 购买和实施成本

购买成本在ROSI模型中指产品或服务的合同金额，也是最普遍被认识到的成本。如果安全控制不需要产品，而需要第三方服务，这时候购买成本就体现为服务购买成本。

实施成本指安装或维护所带来的人工成本。某些控制措施可能需要大量的人力来进行正确的指定、设计、测试和部署。

3.3 维护与通信成本

维护成本与新控制措施的持续活动有关，例如管理、监控和维护。这需要考虑：任务需要多少人参与？每周（或每月、每年）需要多少时间？这些成本都需要进行尽量精确的考虑，甚至某些时候比购买成本更加巨大，尤其是咨询服务，更应该注意，内部人员的时间成本必须进行考虑，例如：信息安全规划咨询等。

通信成本与向用户通知新的策略或程序有关。对于只有几百名员工的组织而言，如果组织为其服务器机房安装了电子锁，向 IT 员工和高级经理发送几封电子邮件可能已经足够。 但是对于任何部署智能卡的组织而言，例如，在分发智能卡和读卡器之前、期间和之后，将需要大量的通信，因为用户将必须学习全新的计算机登录方式，并且毫无疑问，会遇到大量新的或不可预计的情形。

3.4 培训成本

这些成本与需要实施、管理、监控和维护新控制措施的员工有关。组织内的各个小组肩负不同的责任，因此需要不同类型的培训。例如：帮助台员工必须知道如何帮助最终用户解决常见问题，例如智能卡或读卡器损坏以及忘记 PIN码；桌面系统支持人员必须知道如何安装、疑难解答、诊断和更换智能卡读卡器等。

此外，培训成本可能不但与员工相关，还可能涉及到用户，需要支付用户培训成本。

3.5 有效性检验成本

安全控制应该称为一个有效的闭环，就必须有检验和持续改进的过程。组织必须能够证明没有人已经无意地或恶意地修改或禁用控制措施，并且必须确定由谁负责此验证工作。 对于极其敏感的资产，有必要由多人负责验证结果。这些都会增加额外的成本支出。

4 考虑净现值以及其他因素

由于资金使用是有时间价值的，因此在一般的投资收益率测算过程中，应该考虑其时间价值，以努力实现收益计算的最大化和精确化。在信息安全投资决策中，由于其损失本来就是潜在的，而且随着计算机的使用时间，这种潜在损失的发生率会越来越显著，因此在决策时，需要考虑净现值NPV（Net Present Value）等更多因素。由于本文的重点是初步建立ROSI模型，因此净现值等因素不是本研究考虑的重点，这将在后续研究中继续讨论。

5 确定风险处置选项

计算安全投资回报率的最终目的是为了给决策者提供者提供决策依据，在本研究中沿用文献[6]中给出的风险处置选项：风险减缓、风险接受、风险规避和风险转移。例如，在本文案例中，如果选择干粉灭火器和火警预警器是作为风险减缓的选项，也可以采取资产托管的方式，即将重要设备托管到写字楼的统一机房中，假设租费为2 000元/年，这样该资产的风险就被转移到写字楼物业，在不考虑关联风险的情况下，其安全投资回报率计算如下：

ROSI=■=150%

在本案例中，风险减缓的ROSI值为125%，风险转移的ROSI值为150%，显然应该选择后者。

无论选择上述4个选项中的哪一项，由于控制前风险预期损失用的值都是一致的，因此就决策选择而言，控制前风险预期损失不会影响风险处置选项的选择过程，这是本模型的一个重要优势。

6 结束语

为了解决信息安全风险处置阶段的投资决策问题，本文给出了基于投资回报率（ROI）改进的安全投资回报率（ROSI）模型，ROSI模型是基于财务的风险价值测算模型，作为目前通用的六因素（资产、威胁、脆弱性、控制措施、可能性和影响）信息安全风险评估方法的辅助。计算过程中主要依据安全控制实施前后的风险预期损失差额和安全控制支出的估算值的比较，首先，ROSI模型是全定量数据模型，可以直观地表达投资与回报的比率，有利于组织快速做出投资决策；其次，该模型中数据来源相对比较客观，而且有效地利用了专家知识库数据，有利于组织做出正确的投资决策；最后，该模型中利用了风险预期损失在控制措施实施前后的差额，使得ROSI模型在使用过程中，实际上取决于风险处置选项的比较值，而不是绝对值，使投资决策更加准确有效。

主要参考文献

[1]ISO/IEC. ISO/IEC 27005：2011 Information Security Risk Management [S]. 2011.

[2]NIST. NIST Special Publication 800-30 Revision 1. Guide for Conducting Risk Assessments [S]. 2011.

[3]Alberts Christopher， Dorofee Audrey， James Stevens，etc.Introduction to the OCTAVE ■ Approach[EB/OL]. http：//www.cert.org/octave/approach_intro.pdf.

[4]Microsoft. the security risk management guide1.1[R].2004.

[5]GB/T 20984-2007 信息安全风险评估规范[S].2007.

[6]ISO/IEC. ISO/IEC 27001：2005 Information Security Management System Requirments[S]. 2005.

[7]赵战生，谢宗晓. 信息安全风险评估概念、方法与实践[M]. 北京：中国标准出版社，2007.

[8]M Bishop.计算机安全学[M].王立斌，译. 北京：电子工业出版社，2005.

[9]谢宗晓.信息安全管理体系实施指南[M].北京：中国标准出版社，2012.

[10]W Sonnenreich，J Albanese，B Stout. Return on Security Investment （ROSI）： A Practical Quantitative Model [J]. Journal of Research and Practice in Information Technology，2005， 38（1）： 45-56.

[11]赵冬梅. 信息安全风险评估量化方法研究[D]. 西安：西安电子科技大学，2007.

[12]黄景文. 基于知识的信息安全风险评估研究[D].沈阳：东华大学，2008.

[13]谷勇浩. 信息系统风险管理理论及关键问题研究[D]. 北京：北京邮电大学，2007.

[14]程建华. 信息系统管理、评估与控制研究[D]. 长春：吉林大学，2008.

[15]李志伟. 信息系统风险评估及风险管理对策研究[D]. 北京：北京交通大学，2010.

[16]彭俊好. 信息安全风险评估及网络蠕虫传播模型[D].北京：北京邮电大学，2007.

[17]Chen，et al. Correlated Failures， Diversification， and Information Security Risk Management [J].MIS Quarterly，2011，（35：2）：397-422.

[18]谢宗晓，刘振华，张文卿. VaR法在信息安全风险评估中的应用探讨[J]. 微计算机信息，2006，22（6-3）.