基于GB/T 31509—2015的风险评估模型设计
2022-01-12潘雪霖陆佳星张武军伟3
潘雪霖 陆佳星 张武军 孙 伟3,
1(广州市卫生健康技术鉴定和人才评价中心 广州 510630)2(中山大学附属第一医院信息数据中心 广州 510080)3(中山大学电子信息与工程学院 广州 510006)4(信息技术教育部重点实验室(中山大学) 广州 510006)
(389801667@qq.com)
信息技术在推动人类社会发展的同时也带来了安全隐患,这使得人们在享受互联网带来的便利的同时也必须提高安全防范意识.防范意识筑牢安全保障体系,安全风险评估作为整体保障意识的首道防线,也为安全决策机制提供了重要评价[1]依据.安全风险评估统筹把握风险因素,基于系统的风险因子,通过科学的方法对系统合理地分析,识别潜在的风险,提前预防,以达到保障系统安全的效果[2].信息安全风险评估是个复杂的过程,贯穿于信息系统建设和实施的整个生命周期中.
GB/T31509—2015《信息安全技术和风险评估实施指南》[3](以下简称“指南”)为信息安全评估指明了方向,但该指南涉及到信息化资产、存在脆弱性和潜在威胁的部分却仅仅是分类和定义,没有根据实际情况进行赋值和计算.本文在信息安全等级保护2.0(以下简称“等保2.0”)的基础上,对资产、内在的脆弱性和通过脆弱性产生的威胁关系进行层次分析,计算相应的权重,量化指标,标识风险,综合计算出风险值,提出较为客观的安全风险评估模型.
1 基于等保2.0标准的风险评估流程
安全风险评估是在特定的运行环境下,对信息系统集成潜在的弱点挖掘的过程,根据评估报告,以成本-效益权衡原则[4],作出相应的安全防范措施.安全风险评估可分为自评估和检查评估2种.自评估是根据自身情况进行检查的过程,而检查评估是依据检查部门的要求有所侧重的评估.评估过程中涉及到的几个概念阐述如下:
定义1.信息化资产(information assets).指有效的信息化资源集合,用A表示.
信息化资产一般有硬件、软件、人员和数据等,具有完整性(integrity)、可用性(usability)和保密性(confidentiality)3个安全属性.完整性是指信息不被破坏和信息未经授权不能改变的特性;可用性是指信息可被授权实体正常访问使用的特性;保密性是指不将信息泄露给非授权主题的特性.
定义2.脆弱性(vulnerability).指信息化资产自身的薄弱环节,用V表示.
脆弱性源自于资产内部弱点,可能是管理上的漏洞,也可能因为技术上的缺陷,甚至是安全加固带来的反噬效应引起的不适,如打补丁后对系统的应用会产生影响.
定义3.威胁(threaten).利用资产脆弱性产生的挟持,用T表示.
威胁可能是人为因素造成的,也可能受环境影响引起.如故障、恶意攻击、误操作、管理缺位等.
为使安全风险评估工作科学化和规范化,本文结合等保2.0标准,按照GB/T 20984—2007标准,提出的风险评估流程图[5],如图1所示.
图1 基于等保2.0标准的风险评估实施流程图
从图1可以看出,风险评估实施流程主要由风险评估准备、风险分析(即识别信息化资产、寻找脆弱性和追踪威胁以及基于等保2.0标准确认已采取安全措施的过程)和实施风险管理3个子过程组成.
1) 风险评估准备
评估前的准备工作会影响到后续评估的效果,起到基础作用.预备评估包括建立评估实施团队,确定目标、范围、方案、方法.
2) 风险分析
将识别信息化资产归类,分析资产的完整性、可用性、保密性,然后推出资产价值.通过识别资产脆弱性,追踪利用脆弱性的威胁.基于等保2.0要求,对系统进行差距测评和整改,制定相关安全措施,在安全评估时确认这些措施可以节省评估费用.
3) 实施风险管理
计算风险、评价风险带来损失的概率,按照风险接受准则,决定是否接受风险,继而对残余风险的处置,都需要评估小组讨论后决策.
2 基于层次分析的风险评估方法
目前,国内外有很多风险评估方法[6],可分为定性研究和定量研究.定性研究依赖于评估者的专业背景知识,根据掌握的大量统计资料对个案进行经验研究,有因素分析法、德尔菲法、逻辑分析法等.定量研究通过量化指标分析个案存在的风险,具有一定的客观性,但是量化指标的定性分析对风险评估结果起到制约作用.综上,定性定量相结合的综合分析法从一定程度上消除主观因素,使评估结果更趋向于客观科学事实.
文献[7]提出一种基于云计算环境的风险评估方法;文献[8-9]提出的评估方法都是基于遗传算法的;文献[10]借助故障树进行分析;文献[11]提出一种基于等保2.0的评估方法;文献[12]从模糊数学理论着手研究风险评估;文献[13]更是别开生面从技术债务角度度量风险;文献[14-15]则是从层次分析角度去看待风险.
层次分析(analytic hierarchy process, AHP)[16]最先是由美国运筹学家匹茨堡大学Saaty教授于20世纪70年代初提出,90年代推广到决策分析应用[17],常用于不易量化因素的处理,是一种定性和定量相结合的方法.其基本原理是将复杂问题纵向分解成若干层次,一般都是3层居多;然后自下而上,通过各个因素之间两两比较,计算出本层各个因素相对于上层的权重;最后,运用权重叠加的方式进行排序,求出各个方案对目标的权重数值.针对多准则的决策分析,具有高效快速的特点,其原理是将复杂的问题分解成较小的模块,逐一有层次、有条理、有顺序地解决,其步骤如图2所示.
图2 层次分析步骤
从图2可以看出,明确方案评价目标后就进入分析步骤.
1) 建立层析结构.深入分析被评估对象各个因素之间的内在联系,针对当前需要解决的问题,按目标、准则、方案3种指标分解问题.具体为:将待解决的问题(目标)横向细化为准则模块,继而将准则模块按某一属性或某一特征纵向分解为若干方案,形成方案层.上层操纵下层,下层受上层制约.
2) 构造判断矩阵.由上个步骤确定层与层之间的隶属关系,为了确定因素之间的相对重要性,将本层各个因素与上层指定的某个因素的重要性作比较,进行权重赋值,构成成对比较判断矩阵.按照Saaty[17]提出的9分法,表1提供了一种判断矩阵的比较方法:
表1 判断矩阵的比较表
3) 求取权值及一致性检验.针对层析结构,在某一准则的约束下,计算各个因素的权重大小,并对上一步的判断矩阵进行一致性检验.具体为:根据判断矩阵计算权向量、最大特征值和其对应的最大特征向量,目的是针对判断矩阵的2个因素之间的权重作比较.一致性检验用一致性指标CI(consistent index)衡量,其公式如下:
(1)
其中λmax表示判断矩阵的最大特征值,n表示判断矩阵的阶数,当n=1或n=2时,判断矩阵属于完全一致,当CI越接近于0,表示越一致.随机一致性指标RI(random consistency index)为度量CI的大小,Saaty[17]给出的参照表如表2所示:
表2 RI参照表
一致性比率公式如下:
(2)
其中当CR<0.1时,认为一致性检验通过,将其对应的特征向量归一化表示为权向量.反之,当CR>0.1时,需要重新构造判断矩阵.
4) 权重综合排序.计算所有元素相对于总目标的权重,自上而下逐层进行综合排序.
3 基于GB/T 31509—2015的风险评估模型
按照风险评估实施指南GB/T 31509—2015,基于等保2.0标准和层次分析的评估方法,本文提出基于GB/T 31509—2015的风险评估模型.如图3所示.
图3 GB/T31509—2015风险评估模型
将威胁与脆弱性关联,分析催生的安全事件及其概率;将脆弱性和信息化资产关联,分析资产内部的脆弱性,引发的安全事件造成的损失概率,逐步建立评估模型,可概括为
R=f(A,V,T),
(3)
其中R表示风险,f表示风险计算函数,A表示信息化资产,V表示脆弱性,T表示威胁.
在以上分析模型的基础上,本文观察电子政务私有云上的信息系统,通过电子政务外网专网传输数据和等级保护测评,提出基于GB/T 31509—2015的风险评价模型.其模型图如图4所示:
图4 风险评价模型
风险评估预备工作关乎风险评估结果的有效性,按照上文提到的层析结构,确定风险评价目标.遵照指南,接着进入识别阶段,对“信息化资产”“威胁”“脆弱性”这3个关键因素组成的准则层进行一一辨识.方案层则是更加细化的因素,共有“完整性” “可用性” “保密性”3大因子权重比例确定信息化资产的重要程度;而“人为威胁”和“环境威胁”则确定威胁的程度;另外,“管理漏洞” “技术漏洞” “加固反噬”对应确认脆弱环节,与前文一一对应.
赋值是量化的过程,在风险识别、分析和处理及项目验收等关键控制阶段核查检验.
3.1 信息化资产赋值
信息化资产是风险评价的首要关键主体,经过分类、调查、核对之后,量化取证为计算风险打下基础.资产价值用“很高” “高” “中” “低” “很低”5个等级从定性角度衡量,分别对应5,4,3,2,1作定量度量,其相关说明如表3所示.资产等级代表着重要与否.指南提出资产赋值容易带入主观因素,因此本文中,资产价值是对它的完整性、可用性和保密性的权重分析后的综合约束,最终形成资产赋值报告.
表3 资产价值赋值表
3.2 威胁赋值
基于安全需求,对威胁客体的资产价值作评价可以反映出威胁的程度,价值越高,威胁就越大.对客观存在的威胁进行辨识、分类、调查、分析,最终形成威胁分析报告.威胁等级划分为5个级别,其级别赋值如表4所示:
表4 威胁等级赋值表
3.3 脆弱性赋值
脆弱性识别中,核查是重要手段.确认后形成脆弱性报告,在报告中,脆弱性对信息化资产的暴露程度也可以从赋值中体现,等级越高表示它对应资产的暴露程度越大.脆弱性量化指标如表5所示:
表5 脆弱性等级赋值表
3.4 风险计算
风险计算是在信息化资产、威胁和脆弱性量化的基础上,通过层次分析,加以权重得出的综合计算.而本文认为信息化资产是处于一个经过等级保护测评的云环境下.即已做好有效的风险安全控制措施,故在计算风险中忽略安全措施.
按照图3风险分析原理,风险值是由安全事件发生的概率和安全事件造成的损失决定的.风险值根据相乘法计算,细化式(3)可推出式(4):
R=R1×R2,
(4)
(5)
(6)
式(4)中,R表示风险值,R1表示安全事件的发生概率,而R2表示安全事件带来的损失.式(5)和式(6)中,T表示威胁赋值,WT表示威胁权重;V表示脆弱性赋值,WV表示脆弱性权重;A表示信息化资产价值,WA表示信息化资产权重.T取值介于 1~5之间,即1≤T≤5 ;V取值介于1~5之间,即1≤V≤5;A取值介于1~5之间,即1≤A≤5;权重都是介于0~1之间,由层次分析计算得出,风险值的计算范围是0 表6 风险等级对应划分表 本文实验中,运用Python计算机开发语言,基于Pycharm开发环境实现层次分析风险评估算法,对新型冠状肺炎病毒接种疫苗接种预约系统(以下简称“疫苗接种系统”)的风险进行评价.几个核心函数包括: get_special(self,array); #获取特征值和特征向量. vectorNormalize(max_vector); #特征向量归一化. matrixInput(); #判别矩阵的一致性检验. 对照图4风险评价模型,目标层R表示风险评价,资产S1、威胁S2、脆弱性S3构成准则层,完整性P1、可用性P2、保密性P3、人为威胁P4、环境威胁P5、管理漏洞P6、技术漏洞P7、加固反噬P8构成方案层.实验结果如表7~11所示. 表7 S1-S2-S3判断矩阵及相关参数列表 由最顶目标层R与中间准则层S之间的S1-S2-S3判断矩阵分析,CR<0.1表示通过一致性检验,数据是可接受的. 表8 P1-P2-P3判断矩阵及相关参数列表 由中间准则层资产S1与最低方案层P之间的P1-P2-P3判断矩阵分析,CR<0.1表示通过一致性检验,数据是可接受的. 表9 P4-P5的判断矩阵及相关参数列表 由中间准则层威胁S2与最低方案层P之间的P4-P5判断矩阵分析,CR<0.1表示通过一致性检验,数据是可接受的. 表10 P6-P7-P8的判断矩阵及相关参数列表 由中间准则层脆弱性S3与最低方案层P之间的P6-P7-P8判断矩阵分析,CR<0.1表示通过一致性检验,数据是可接受的.对方案层的每个因素进行权重排序,得出如表11所示的单层次排序和总排序: 表11 权重总排序 如前文所述,安全风险评估的资产对象是主机、网络、硬件、软件、人员等,而本实验中,因网络和硬件基础设施,包括人员都是通过安全等级测评的,所以重点研究对象是信息系统,而资产可定为功能模块,针对疫苗接种系统的统一登录模块进行研究.统一登录模块的资产研究对象是登录功能,其完整性是指登录功能从登录到退出的闭环管理,而可用性是功能全流程应用畅通,保密性是指数据加密传输和存储.在威胁方面,人为威胁是人员误操作、程序员后台处理失误、系统人为更新出错等;环境因素在于系统迁移后运行环境不适应、访问带宽受限、系统软件升级后对应用的影响等.至于脆弱性,管理漏洞一般是因为系统安全制度不完善等引起的,技术漏洞在于安全渗透检查后发现的漏洞未整改的情况,加固反噬指的是安全加固后对应用的影响.未作安全措施前,登录功能资产价值为5,威胁等级值为5,脆弱性级别为5,根据式(4)~(6),结合表11得到权重比值,算出风险值为0.887 1,对照表6,属于中风险,有可能造成大损失.经过等保2.0测评,根据差距分析对登录功能模块作了安全整改,登录功能因其属于系统的重要模块,资产价值依然是5,威胁减少了人为因素的影响,赋值4;而脆弱性方面,排除做好的安全防护措施,主要定为技术漏洞,可用打补丁的个数衡量漏洞的程度,取值为4.根据式(4)~(6),结合表11得到权重比值,算出风险值为0.635,对照表6,属于低风险,是可接受的,属于可控范围内.对安全整改后的功能进行实验分析得出有效的安全措施降低了风险,而实验模型也检验了其有效性.通过对疫苗接种系统的每个功能模块进行风险分析与评价,最终形成风险评估报告,为评估团队作决策提供数据支撑,使疫苗接种系统在后期投入运行中更加顺畅. 本文基于等保2.0标准的风险评估流程,运用层次分析评估方法,提出基于GB/T 31509—2015信息安全风险评估指南的风险评估模型,并得到实验有效验证.本文提出的模型在疫苗接种系统中发挥了重要作用.在疫苗接种系统上线前的压力测试中,通过研究模型预测到疫苗接种登录模块面临着巨大压力,提前加大物理机、虚拟机和负载均衡等云资源的支撑;提出疫苗预约登记制度,有效地避免巨大访问压力导致系统瘫痪.3.5 实验结果
4 结 语