蔡昌許　蔡昌曙

摘要：風(fēng)險評估包含資產(chǎn)、威脅、脆弱性的賦值以及風(fēng)險的計算等。該文以O(shè)CTAVE評估模型為基礎(chǔ)對風(fēng)險計算三元組識別與賦值進行研究，提出綜合使用頭腦風(fēng)暴、德爾菲法、用群體決策方法進行資產(chǎn)、威脅、脆弱性的識別與賦值，對資產(chǎn)風(fēng)險價值的加權(quán)計算參數(shù)采用專家咨詢法等；采用馬爾可夫方法計算動態(tài)信息系統(tǒng)威脅發(fā)生概率；對風(fēng)險的計算模型進行研究，增加安全防護措施一個元組，把風(fēng)險計算的三元組改進為四元組。

關(guān)鍵詞：電子政務(wù)外網(wǎng)；等級保護測評；風(fēng)險評估；風(fēng)險評估模型

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）34-8337-02

1 等級保護背景下的電子政務(wù)外網(wǎng)風(fēng)險評估

電子政務(wù)外網(wǎng)提供非涉密的社會公共服務(wù)業(yè)務(wù)，全國從中央各部委、到省、市、縣，已經(jīng)形成了一張大龐大的網(wǎng)絡(luò)系統(tǒng)，有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)、社區(qū)村委會，有效提高了政府從事行政管理和社會公共服務(wù)效率。今后凡屬社會管理和公共服務(wù)范疇及不需在國家電子政務(wù)內(nèi)網(wǎng)上部署的業(yè)務(wù)應(yīng)用，原則上應(yīng)納入國家政務(wù)外網(wǎng)運行，它按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護措施。

隨著政務(wù)外網(wǎng)的網(wǎng)絡(luò)覆蓋的擴大及接入的政務(wù)單位越來越多、政務(wù)外網(wǎng)應(yīng)用的不斷增加，各級政務(wù)移動接入政務(wù)外網(wǎng)的需求也在增加，對政務(wù)外網(wǎng)的要求和期望越大，網(wǎng)絡(luò)安全和運維的壓力也越大，責(zé)任也更大。由于政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，主要滿足各級政務(wù)部門社會管理、公共服務(wù)、市場監(jiān)管和經(jīng)濟調(diào)節(jié)等業(yè)務(wù)應(yīng)用及公務(wù)人員移動辦公、現(xiàn)場執(zhí)法等各類的需要，網(wǎng)絡(luò)和電子政務(wù)應(yīng)用也成為境外敵對勢力、黑客等攻擊目標。隨著新技術(shù)的不斷涌現(xiàn)和大量使用，也對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全防護、監(jiān)控、管理等帶來新的挑戰(zhàn)。按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護措施是必須的。

為保障電子政務(wù)外網(wǎng)的安全有效運行，我們應(yīng)以風(fēng)險管理理念來統(tǒng)籌建設(shè)網(wǎng)絡(luò)和信息安全保障體系。在國家信息系統(tǒng)安全等級保護的大背景下，2011年國家信息中心下發(fā)了《關(guān)于加快推進國家電子政務(wù)外網(wǎng)安全等級保護工作的通知》，強化了電子政務(wù)外網(wǎng)的等級保護制度以及等級測評要求，要求對政務(wù)外網(wǎng)開展等級測評，全面了解和掌握安全問題、安全保護狀況及與國家安全等級保護制度相關(guān)要求存在的差距，分析其中存在的安全風(fēng)險，并根據(jù)風(fēng)險進行整改[1]。

系統(tǒng)安全測評、風(fēng)險評估、等級測評都是信息系統(tǒng)安全的評判方法[2，3]，其實它們本沒有本質(zhì)的區(qū)別，目標都是一樣的，系統(tǒng)安全測評從系統(tǒng)整體來對系統(tǒng)的安全進行判斷，風(fēng)險評估從風(fēng)險管理的角度來對系統(tǒng)的安全狀況進行評判，而等級測評則是從等級保護的角度對系統(tǒng)的安全進行評判。不管是系統(tǒng)安全測評[1]、風(fēng)險評估、等級測評，風(fēng)險的風(fēng)險與計算都是三者必不可少的部分。

2 電子政務(wù)主要風(fēng)險評估方法簡介

電子政務(wù)外網(wǎng)風(fēng)險評估有自評估、檢查評估、第三方評估（認證）評估模式，都需利用一定的風(fēng)險評估方法來進行相關(guān)風(fēng)險的評估。從總體上來講，主要有定量評估、定性評估兩類。在進行電子政務(wù)系統(tǒng)信息安全風(fēng)險評估過程中，采用的主要風(fēng)險評估方法有：OCTAVE、SSE-CMM、FAT（故障樹方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時許模型、回歸模型等方法。研究風(fēng)險評估模型的方法可以運用馬爾可夫法、神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹、小波分析等[4-6]。OCTAVE 方法是一個系統(tǒng)的方法，它從系統(tǒng)的高度來進行信息安全的安全防護工作，評估系統(tǒng)的安全管理風(fēng)險、安全技術(shù)風(fēng)險，它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產(chǎn)的安全價值、脆弱性、威脅的情況，制定起風(fēng)險削減計劃，降低重要資產(chǎn)的安全風(fēng)險。電子政務(wù)外網(wǎng)需要從實際出發(fā)，不能照搬其它評估方法，根據(jù)電子政務(wù)外網(wǎng)實際，本設(shè)計基于OCTAVE 評估模型，設(shè)計了一個電子政務(wù)外網(wǎng)風(fēng)險分析計算模型。

3 基于OCTAVE模型的一個電子政務(wù)外網(wǎng)風(fēng)險計算模型設(shè)計

3.1 風(fēng)險評估中的資產(chǎn)、威脅、脆弱性賦值的設(shè)計

保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風(fēng)險評估中的資產(chǎn)價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。

資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點，選擇對資產(chǎn)保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。本設(shè)計模型根據(jù)電子政務(wù)外網(wǎng)的業(yè)務(wù)特點，依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級進行加權(quán)計算（保密性α+完整性β+和可用性γ），α、β、γ為權(quán)重系數(shù)，權(quán)重系數(shù)的確定可以采用專家咨詢法、信息商權(quán)法、獨立性權(quán)數(shù)等。本設(shè)計方案采用專家咨詢法。資產(chǎn)、威脅、脆弱性的賦值可以從0-10，賦值越高，等級越高。

脆弱性識別是風(fēng)險評估中最重要的一個環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。脆弱性識別的依據(jù)可以是國際或國家安全標準，也可以是行業(yè)規(guī)范等，如國家信息安全漏洞共享平臺（CNVD）漏洞通報、CVE漏洞、微軟漏洞通報等。

資產(chǎn)、威脅、脆弱性的識別與賦值依賴于專家對三者的理解，不同的人員對三者的賦值可能不同，甚至差別很大，可能會不能真實的反映實際情況。為了識別與賦值能準確反映實際情況，可以采用一定的方法來進行修正。本設(shè)計采用頭腦風(fēng)暴法、德爾菲法去獲取資產(chǎn)、威脅、脆弱性并賦值、最后采用群體決策方法確定資產(chǎn)、威脅、脆弱性的識別與賦值。這樣發(fā)揮了三個方法的特點，得到的賦值準確性大大提高。endprint

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷[7]。判斷威脅出現(xiàn)的頻率是可能性分析的重要內(nèi)容，如果僅僅從近一兩年來各種國內(nèi)、國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預(yù)警等來判斷是不太準確的，因為它沒有與具體的電子政務(wù)外網(wǎng)應(yīng)用實際聯(lián)系起來，實際環(huán)境中通過檢測工具（如IPS等）以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計也應(yīng)該考慮進去。

本設(shè)計模型采用綜根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷，并結(jié)合具體電子政務(wù)外網(wǎng)實際，從歷史生產(chǎn)系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計，并采用馬兒可夫方法計算出某個時段內(nèi)某個威脅發(fā)生的概率。馬爾可夫方法是一種定量的方法，具有無后效性的特點，適用于計算實時的動態(tài)信息系統(tǒng)威脅發(fā)生概率。它利用IPS等統(tǒng)計某一時段的發(fā)生了哪些威脅，構(gòu)建出各種威脅之間的狀態(tài)轉(zhuǎn)移圖，使用馬爾可夫方法計算出該時段內(nèi)某個威脅發(fā)生的概率。計算出的威脅發(fā)生概率結(jié)果可以進行適當?shù)奈⒄{(diào)，該方法要求記錄的樣本具有代表性。

3.2 風(fēng)險計算模型設(shè)計

通常風(fēng)險值計算涉及的風(fēng)險要素為資產(chǎn)、威脅、和脆弱性。 在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，并綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險計算。

風(fēng)險值=R（資產(chǎn)，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產(chǎn)價值，脆弱性嚴重程度））。可根據(jù)自身電子政務(wù)外網(wǎng)實際情況選擇相應(yīng)的風(fēng)險計算方法計算風(fēng)險值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個要素值確定一個要素值的情形，相乘法主要用于兩個或多個要素值確定一個要素值的情形。

本設(shè)計模型采用風(fēng)險計算矩陣方法。矩陣法通過構(gòu)造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗函數(shù)，將安全事件的可能性與安全事件造成的損失進行運算得到風(fēng)險值。

在使用矩陣法分別計算出某個資產(chǎn)對應(yīng)某個威脅i，某個脆弱性j的風(fēng)險系數(shù)[Ri，j]，還應(yīng)對某個資產(chǎn)的總體安全威脅風(fēng)險值進行計算，某個資產(chǎn)總體風(fēng)險威脅風(fēng)險=Max（[Ri，j]），i，j=1，2，3…。組織所有資產(chǎn)的威脅風(fēng)險值為所有資產(chǎn)的風(fēng)險值之和。

3.3 對風(fēng)險計算模型的改進

在風(fēng)險值=R（A，T，V）的計算模型中，由資產(chǎn)賦值、危險、脆弱性三元組計算出風(fēng)險值， 并沒有把安全防護措施因素對風(fēng)險計算的影響考慮在內(nèi)，該文把風(fēng)險值=R（A，T，V）改進為風(fēng)險值=R（A，T，V，P），其中P為安全防護措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進為風(fēng)險值=R（L（T，V，P），F(xiàn)（Ia，Va，P ））。對于L（T，V，P），F(xiàn)（Ia，Va，P ）的計算可以采用相乘法等。如果采用矩陣法，對L（T，V，P）的可以拆分計算L（T，V，P）=L（L（T，V），L（V，P））。

在計算出單個資產(chǎn)對應(yīng)某個脆弱性、某個威脅、某個防護措施后的風(fēng)險值后，還應(yīng)總體上計算組織內(nèi)整體資產(chǎn)面臨的整體風(fēng)險。單個風(fēng)險（一組風(fēng)險）對其它風(fēng)險（一組風(fēng)險）的影響是必須考慮的，風(fēng)險之間的影響有風(fēng)險之間的疊加、消減等。有必要對風(fēng)險的疊加效應(yīng)、疊加原理、疊加模型進行研究。

3.4 風(fēng)險結(jié)果判定

為實現(xiàn)對風(fēng)險的控制與管理，可以對風(fēng)險評估的結(jié)果進行等級化處理?？蓪L(fēng)險劃分為10，等級越高，風(fēng)險越高。

風(fēng)險等級處理的目的是為風(fēng)險管理過程中對不同風(fēng)險的直觀比較，以確定組織安全策略。組織應(yīng)當綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受的風(fēng)險范圍。對某些資產(chǎn)面臨的安全風(fēng)險，如果風(fēng)險計算值在可接受的范圍內(nèi)，則該風(fēng)險是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險計算值高于可接受范圍的上限值，則該風(fēng)險是不可接受的，需要采取安全措施以降低、控制或轉(zhuǎn)移風(fēng)險。另一種確定不可接受的風(fēng)險的辦法是根據(jù)等級化處理的結(jié)果，不設(shè)定可接受風(fēng)險值的基準，對達到相應(yīng)等級的風(fēng)險都進行處理。

參考文獻：

[1] 國家電子政務(wù)外網(wǎng)管理中心.關(guān)于加快推進國家電子政務(wù)外網(wǎng)安全等級保護工作的通知[政務(wù)外網(wǎng)[2011]15號][Z].2011.

[2] 等級保護、風(fēng)險評估和安全測評三者之間的區(qū)別與聯(lián)系[EB/OL].http：//www.gshfns.com/faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級保護、風(fēng)險評估、安全測評三者的內(nèi)在聯(lián)系及實施建議[C].第二十次全國計算機安全學(xué)術(shù)交流會論文集，2005.

[4] 李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險評估研究——以數(shù)字檔案館為例[D].蘇州：蘇州大學(xué)，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務(wù)信息安全風(fēng)險評估模型研究[J].情報雜志，2011（8）：94-99.

[6] 趙冬梅.信息安全風(fēng)險評估量化方法研究[D]. 西安：西安電子科技大學(xué)，2007.

[7] 云南省電子政務(wù)網(wǎng)絡(luò)管理中心.云南省電子政務(wù)網(wǎng)管中心網(wǎng)絡(luò)與信息安全風(fēng)險評估實施規(guī)范[Z].2012.endprint