丘東 官海濱 謝宗曉 王興起

[摘 要] 基于已有的投資回報率（ROI）計算公式，提出了可以用于風(fēng)險處置過程中決策支持的安全投資回報率模型（ROSI），并詳細討論了該模型中變量的數(shù)據(jù)來源，結(jié)果表明，該模型對組織安全資產(chǎn)投資決策可以提供良好的支持。

[關(guān)鍵詞] 風(fēng)險評估；風(fēng)險處置；投資回報率；安全投資回報率

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 12. 031

[中圖分類號] G934 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194（2014）12- 0050- 03

0 引 言

信息安全風(fēng)險評估是信息安全管理中的重要環(huán)節(jié)，評估采用系統(tǒng)化的流程，從識別資產(chǎn)開始，到識別威脅、脆弱性及現(xiàn)有的控制措施，從而估算風(fēng)險發(fā)生的可能性和影響級別，最后得到風(fēng)險值的大小，其結(jié)果實際上是一個相對的等級列表（rank）[1-5]，隨后的信息安全風(fēng)險處置過程，則是根據(jù)這個相對的風(fēng)險等級列表選擇減緩、接受、規(guī)避或轉(zhuǎn)移等選項[6]。

但對組織的決策者而言，僅僅根據(jù)風(fēng)險的相對大小列表，實際上只能決定資源調(diào)配的優(yōu)先級，并不能對某個具體風(fēng)險是否進行處理這類決策有所幫助[7]。例如，信息安全風(fēng)險評估的結(jié)果顯示，沒有IDS（入侵檢測系統(tǒng)）使核心業(yè)務(wù)系統(tǒng)的風(fēng)險值為70（滿分為100，70劃入中風(fēng)險區(qū)域）。這可能告訴決策者應(yīng)該著手處理這個風(fēng)險，但不是最重要的。以組織目前的規(guī)模，購買IDS 的價格可能為30萬元，那么這30萬元的支出是否值得，就必須進行系統(tǒng)分析并確定風(fēng)險造成的損失到底有多大，需要確定實際的財務(wù)價值，而不僅僅是用高、中或低的模糊序列概念來定義。

公司的決策者在選擇購買技術(shù)設(shè)備后用于服務(wù)的時候，通常會以投資回報率、現(xiàn)金凈流量等方法衡量技術(shù)設(shè)備購買支出的必要性，此時技術(shù)人員應(yīng)該提供信息安全投資影響企業(yè)收益的安全度量數(shù)據(jù)。如果解決方法的支出大于風(fēng)險處置的支出時，信息安全應(yīng)對方法是沒有實施必要的，選擇風(fēng)險接受可能就是最優(yōu)的風(fēng)險處置決策。本文借鑒傳統(tǒng)的投資回報率模型（Return On Investment， ROI），提出了安全投資回報率（Return On Security Investment， ROSI）計量模型，并對各個輸入變量的計算方法做詳細的討論，為組織信息安全決策者及信息安全服務(wù)商提供了更為直觀的決策依據(jù)。

1 安全投資回報率（ROSI）模型

目前，公司決策者在評估選擇投資戰(zhàn)略的時候大多采用ROI（投資回報率）模型判斷公司資金支出獲得的收益回報率，見式（1）。ROI模型首先要判斷資金支出后的獲得預(yù)期收入金額，其次就是確定需要的投資成本，在不考慮資金的時間價值前提下，最終確定投資回報的收益率。

ROI=■×100%（1）

ROI模型在引進新技術(shù)及新技術(shù)升級換代方面同樣具有應(yīng)用價值，但是信息安全的預(yù)期收益并不像其他收益能夠清晰地體現(xiàn)在財務(wù)數(shù)據(jù)的增長上，信息安全技術(shù)和服務(wù)的目的是避免信息安全事件發(fā)生的可能性，具體到財務(wù)數(shù)據(jù)上表現(xiàn)為避免公司財務(wù)損失可能性，而不是表現(xiàn)為財務(wù)數(shù)據(jù)的增長[8-9]。因此，信息安全的投資收益回報率的預(yù)期收益應(yīng)該表現(xiàn)為風(fēng)險預(yù)期損失與信息安全風(fēng)險降低預(yù)期比率的乘積，信息安全投資收益回報率可以表述為式（2）。

ROSI=■×100%（2）

案例：某組織的某資產(chǎn)價值為100 000元，一場意外火災(zāi)可能損壞其價值的25%，那么火災(zāi)的單一風(fēng)險預(yù)期損失為25 000元。按照經(jīng)驗統(tǒng)計這種火災(zāi)一般每5年發(fā)生一次，那么年發(fā)生次數(shù)即為1/5，年預(yù)期損失為元。

公司可以購買干粉滅火器和火警預(yù)警器來降低火災(zāi)的發(fā)生概率或損害程度。假設(shè)購買成本為6 000元，壽命為3年，不需要額外的維護費用。那么年度安全控制支出本為2 000元（6 000/3）。

實施控制后，火災(zāi)的損壞程度將為5%，而發(fā)生的次數(shù)降為1/10次，那么單一風(fēng)險預(yù)期損失將降低為5 000元（100 000*5%），年預(yù)期損失為元。

在不考慮關(guān)聯(lián)風(fēng)險的情況下，其安全投資回報率計算如下：

ROSI=■=125%

從125%的安全投資回報率來看，這個安全控制措施是可以實施的。但是在ROSI的計算過程中存在以下問題：

（1）風(fēng)險預(yù)期損失數(shù)據(jù)如何獲??？目前風(fēng)險預(yù)期損失數(shù)據(jù)并沒有統(tǒng)一的標(biāo)準(zhǔn)，保險索賠、學(xué)術(shù)研究以及一些獨立數(shù)據(jù)調(diào)查公司會零星地發(fā)布信息安全事件損失的報告，但大多僅僅匯報信息安全事件事后統(tǒng)計的損失平均值[10]，對發(fā)生概率則多只有定性的判斷，因此，組織需要計算風(fēng)險預(yù)期損失。

（2）安全控制支出如何獲取？雖然安全控制會集中的表現(xiàn)為產(chǎn)品或服務(wù)采購，合同額明確，但是安全控制一般不會只針對單一產(chǎn)品的單一風(fēng)險，不能直接對應(yīng)到風(fēng)險預(yù)期損失上去，可以選擇分解合同金額進行分配，或者將安全控制所影響的風(fēng)險預(yù)期損失進行整合。前者的分配比例顯然難以確定，因此，本研究選擇后一種方法，式（2）轉(zhuǎn)變?yōu)椋?/p>

ROSI=■（3）

2 風(fēng)險預(yù)期損失的量化

2.1 年度預(yù)期損失（ALE）法

在風(fēng)險預(yù)期損失的量化（或信息安全風(fēng)險評估定量化）領(lǐng)域，文獻[11]引入了層次分析法、信息熵、神經(jīng)網(wǎng)絡(luò)以及小波分析，文獻[12]引入了免疫進化算法、基于區(qū)間數(shù)和理想點法的決策技術(shù)，決策實驗和評價實驗室法、模糊理論和群體決策法，文獻[13]引入了貝葉斯概率風(fēng)險分析，類似文獻還有文獻[14-16]等，但上述文獻多關(guān)注風(fēng)險的計算過程，并未過多關(guān)注數(shù)據(jù)來源，而數(shù)據(jù)來源的定量化才是最關(guān)鍵的環(huán)節(jié)。文獻[17]提出了一個利用軟件漏洞的網(wǎng)絡(luò)攻擊行為所導(dǎo)致的系統(tǒng)宕機風(fēng)險模型，在這個模型中，利用MX/G/1隊列來預(yù)計宕機時間，用脆弱性矩陣和配置矩陣計算攻擊發(fā)生的可能性，該模型是目前比較好的量化思路，但是該文獻的目的是探討軟件多樣化所帶來的優(yōu)勢，因此應(yīng)用范圍非常窄，對量化的風(fēng)險處置決策研究貢獻有限。

目前，信息安全行業(yè)內(nèi)比較認(rèn)可的風(fēng)險預(yù)期損失的模型為ALE（Annual Loss Expectancy， ALE）法[17]，即年度預(yù)期損失法。

ALE=■SLE[i]×ARO[i]（4）

式中，n為單次風(fēng)險所影響的資產(chǎn)數(shù)量；SLE（Single Loss Expectancy）為單一風(fēng)險預(yù)期損失；ARO（Annual Rate of Occurrence）為年度發(fā)生率。

單一風(fēng)險預(yù)期損失又可以細化為資產(chǎn)價值與單一風(fēng)險的破壞程度的乘積，由于對于組織而言，n是確定的客觀數(shù)據(jù)，式（4）的未知參數(shù)為：①資產(chǎn)價值；②破壞程度；③年度發(fā)生率。

2.2 幾個主要參數(shù)的確定

資產(chǎn)的價值不是資產(chǎn)的購置價或者賬面價，而是基于對業(yè)務(wù)的重要性計算出來的虛擬價值?？梢哉J(rèn)為待評估資產(chǎn)的價值是通過信息安全的途徑造成了影響組織業(yè)務(wù)的假設(shè)價值。對于如何參考財務(wù)賬面價值來得到資產(chǎn)在信息安全中的價值并沒有現(xiàn)成的公式可以用。文獻[7]中使用美國證券交易委員會（SEC， US Security Exchange Commission）在Staff Accounting Bulletin No. 99（99號專職會計公告）中認(rèn)可的一般準(zhǔn)則，引用參考的一般準(zhǔn)則是財務(wù)報告凈收入值的 5%。按照這個指導(dǎo)原則，如果組織每年約有 20 000 000元的凈收入，重要資產(chǎn)可以被指定為1 000 000元的價值。

破壞程度和年度發(fā)生率經(jīng)驗數(shù)據(jù)可以從以下途徑獲取[7]：

（1）通過組織中發(fā)生過的歷史信息安全事件報告或記錄，統(tǒng)計各種發(fā)生過的威脅和其發(fā)生頻率；

（2）在評估對象的實際環(huán)境中，通過IDS等系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計和分析，各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計和分析；

（3）過去一年或兩年來國際公司（如Symantec）或機構(gòu)（例如：CERT和CNCERT等）、業(yè)務(wù)關(guān)聯(lián)公司發(fā)布的對于整個社會或特定行業(yè)安全威脅及其發(fā)生頻率的統(tǒng)計數(shù)據(jù)。

2.3 實施前/后風(fēng)險預(yù)期損失

實施前的風(fēng)險預(yù)期損失要根據(jù)風(fēng)險評估的結(jié)果及建議的控制措施進行估算，并以此作為風(fēng)險處置選項的依據(jù)，而實施后的風(fēng)險預(yù)期損失則根據(jù)殘余風(fēng)險進行估算。

3 安全控制支出的量化

3.1 成本的組成

最明確的安全控制支出表現(xiàn)為產(chǎn)品或服務(wù)采購合同，但是安全控制支出的總金額肯定不僅僅表現(xiàn)為合同額，其他相關(guān)的因素也應(yīng)該納入考慮。當(dāng)然，安全控制支出的量化除了合同額之外的部分，可能含有一定的主觀因素。

文獻[17]認(rèn)為信息系統(tǒng)是信息技術(shù)和人類行為的結(jié)合體，所以產(chǎn)品的部署會帶來的一系列問題，都應(yīng)該考慮在內(nèi)。這其中可能包括購買成本、實施成本、持續(xù)維護成本、通信成本、培訓(xùn)成本和檢查驗證有效性的成本等[4，18]。

3.2 購買和實施成本

購買成本在ROSI模型中指產(chǎn)品或服務(wù)的合同金額，也是最普遍被認(rèn)識到的成本。如果安全控制不需要產(chǎn)品，而需要第三方服務(wù)，這時候購買成本就體現(xiàn)為服務(wù)購買成本。

實施成本指安裝或維護所帶來的人工成本。某些控制措施可能需要大量的人力來進行正確的指定、設(shè)計、測試和部署。

3.3 維護與通信成本

維護成本與新控制措施的持續(xù)活動有關(guān)，例如管理、監(jiān)控和維護。這需要考慮：任務(wù)需要多少人參與？每周（或每月、每年）需要多少時間？這些成本都需要進行盡量精確的考慮，甚至某些時候比購買成本更加巨大，尤其是咨詢服務(wù)，更應(yīng)該注意，內(nèi)部人員的時間成本必須進行考慮，例如：信息安全規(guī)劃咨詢等。

通信成本與向用戶通知新的策略或程序有關(guān)。對于只有幾百名員工的組織而言，如果組織為其服務(wù)器機房安裝了電子鎖，向 IT 員工和高級經(jīng)理發(fā)送幾封電子郵件可能已經(jīng)足夠。 但是對于任何部署智能卡的組織而言，例如，在分發(fā)智能卡和讀卡器之前、期間和之后，將需要大量的通信，因為用戶將必須學(xué)習(xí)全新的計算機登錄方式，并且毫無疑問，會遇到大量新的或不可預(yù)計的情形。

3.4 培訓(xùn)成本

這些成本與需要實施、管理、監(jiān)控和維護新控制措施的員工有關(guān)。組織內(nèi)的各個小組肩負不同的責(zé)任，因此需要不同類型的培訓(xùn)。例如：幫助臺員工必須知道如何幫助最終用戶解決常見問題，例如智能卡或讀卡器損壞以及忘記 PIN碼；桌面系統(tǒng)支持人員必須知道如何安裝、疑難解答、診斷和更換智能卡讀卡器等。

此外，培訓(xùn)成本可能不但與員工相關(guān)，還可能涉及到用戶，需要支付用戶培訓(xùn)成本。

3.5 有效性檢驗成本

安全控制應(yīng)該稱為一個有效的閉環(huán)，就必須有檢驗和持續(xù)改進的過程。組織必須能夠證明沒有人已經(jīng)無意地或惡意地修改或禁用控制措施，并且必須確定由誰負責(zé)此驗證工作。 對于極其敏感的資產(chǎn)，有必要由多人負責(zé)驗證結(jié)果。這些都會增加額外的成本支出。

4 考慮凈現(xiàn)值以及其他因素

由于資金使用是有時間價值的，因此在一般的投資收益率測算過程中，應(yīng)該考慮其時間價值，以努力實現(xiàn)收益計算的最大化和精確化。在信息安全投資決策中，由于其損失本來就是潛在的，而且隨著計算機的使用時間，這種潛在損失的發(fā)生率會越來越顯著，因此在決策時，需要考慮凈現(xiàn)值NPV（Net Present Value）等更多因素。由于本文的重點是初步建立ROSI模型，因此凈現(xiàn)值等因素不是本研究考慮的重點，這將在后續(xù)研究中繼續(xù)討論。

5 確定風(fēng)險處置選項

計算安全投資回報率的最終目的是為了給決策者提供者提供決策依據(jù)，在本研究中沿用文獻[6]中給出的風(fēng)險處置選項：風(fēng)險減緩、風(fēng)險接受、風(fēng)險規(guī)避和風(fēng)險轉(zhuǎn)移。例如，在本文案例中，如果選擇干粉滅火器和火警預(yù)警器是作為風(fēng)險減緩的選項，也可以采取資產(chǎn)托管的方式，即將重要設(shè)備托管到寫字樓的統(tǒng)一機房中，假設(shè)租費為2 000元/年，這樣該資產(chǎn)的風(fēng)險就被轉(zhuǎn)移到寫字樓物業(yè)，在不考慮關(guān)聯(lián)風(fēng)險的情況下，其安全投資回報率計算如下：

ROSI=■=150%

在本案例中，風(fēng)險減緩的ROSI值為125%，風(fēng)險轉(zhuǎn)移的ROSI值為150%，顯然應(yīng)該選擇后者。

無論選擇上述4個選項中的哪一項，由于控制前風(fēng)險預(yù)期損失用的值都是一致的，因此就決策選擇而言，控制前風(fēng)險預(yù)期損失不會影響風(fēng)險處置選項的選擇過程，這是本模型的一個重要優(yōu)勢。

6 結(jié)束語

為了解決信息安全風(fēng)險處置階段的投資決策問題，本文給出了基于投資回報率（ROI）改進的安全投資回報率（ROSI）模型，ROSI模型是基于財務(wù)的風(fēng)險價值測算模型，作為目前通用的六因素（資產(chǎn)、威脅、脆弱性、控制措施、可能性和影響）信息安全風(fēng)險評估方法的輔助。計算過程中主要依據(jù)安全控制實施前后的風(fēng)險預(yù)期損失差額和安全控制支出的估算值的比較，首先，ROSI模型是全定量數(shù)據(jù)模型，可以直觀地表達投資與回報的比率，有利于組織快速做出投資決策；其次，該模型中數(shù)據(jù)來源相對比較客觀，而且有效地利用了專家知識庫數(shù)據(jù)，有利于組織做出正確的投資決策；最后，該模型中利用了風(fēng)險預(yù)期損失在控制措施實施前后的差額，使得ROSI模型在使用過程中，實際上取決于風(fēng)險處置選項的比較值，而不是絕對值，使投資決策更加準(zhǔn)確有效。

主要參考文獻

[1]ISO/IEC. ISO/IEC 27005：2011 Information Security Risk Management [S]. 2011.

[2]NIST. NIST Special Publication 800-30 Revision 1. Guide for Conducting Risk Assessments [S]. 2011.

[3]Alberts Christopher， Dorofee Audrey， James Stevens，etc.Introduction to the OCTAVE ■ Approach[EB/OL]. http：//www.cert.org/octave/approach_intro.pdf.

[4]Microsoft. the security risk management guide1.1[R].2004.

[5]GB/T 20984-2007 信息安全風(fēng)險評估規(guī)范[S].2007.

[6]ISO/IEC. ISO/IEC 27001：2005 Information Security Management System Requirments[S]. 2005.

[7]趙戰(zhàn)生，謝宗曉. 信息安全風(fēng)險評估概念、方法與實踐[M]. 北京：中國標(biāo)準(zhǔn)出版社，2007.

[8]M Bishop.計算機安全學(xué)[M].王立斌，譯. 北京：電子工業(yè)出版社，2005.

[9]謝宗曉.信息安全管理體系實施指南[M].北京：中國標(biāo)準(zhǔn)出版社，2012.

[10]W Sonnenreich，J Albanese，B Stout. Return on Security Investment （ROSI）： A Practical Quantitative Model [J]. Journal of Research and Practice in Information Technology，2005， 38（1）： 45-56.

[11]趙冬梅. 信息安全風(fēng)險評估量化方法研究[D]. 西安：西安電子科技大學(xué)，2007.

[12]黃景文. 基于知識的信息安全風(fēng)險評估研究[D].沈陽：東華大學(xué)，2008.

[13]谷勇浩. 信息系統(tǒng)風(fēng)險管理理論及關(guān)鍵問題研究[D]. 北京：北京郵電大學(xué)，2007.

[14]程建華. 信息系統(tǒng)管理、評估與控制研究[D]. 長春：吉林大學(xué)，2008.

[15]李志偉. 信息系統(tǒng)風(fēng)險評估及風(fēng)險管理對策研究[D]. 北京：北京交通大學(xué)，2010.

[16]彭俊好. 信息安全風(fēng)險評估及網(wǎng)絡(luò)蠕蟲傳播模型[D].北京：北京郵電大學(xué)，2007.

[17]Chen，et al. Correlated Failures， Diversification， and Information Security Risk Management [J].MIS Quarterly，2011，（35：2）：397-422.

[18]謝宗曉，劉振華，張文卿. VaR法在信息安全風(fēng)險評估中的應(yīng)用探討[J]. 微計算機信息，2006，22（6-3）.