蔡昌許　蔡昌曙

摘要：風險評估包含資產(chǎn)、威脅、脆弱性的賦值以及風險的計算等。該文以OCTAVE評估模型為基礎對風險計算三元組識別與賦值進行研究，提出綜合使用頭腦風暴、德爾菲法、用群體決策方法進行資產(chǎn)、威脅、脆弱性的識別與賦值，對資產(chǎn)風險價值的加權(quán)計算參數(shù)采用專家咨詢法等；采用馬爾可夫方法計算動態(tài)信息系統(tǒng)威脅發(fā)生概率；對風險的計算模型進行研究，增加安全防護措施一個元組，把風險計算的三元組改進為四元組。

關(guān)鍵詞：電子政務外網(wǎng)；等級保護測評；風險評估；風險評估模型

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）34-8337-02

1 等級保護背景下的電子政務外網(wǎng)風險評估

電子政務外網(wǎng)提供非涉密的社會公共服務業(yè)務，全國從中央各部委、到省、市、縣，已經(jīng)形成了一張大龐大的網(wǎng)絡系統(tǒng)，有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)、社區(qū)村委會，有效提高了政府從事行政管理和社會公共服務效率。今后凡屬社會管理和公共服務范疇及不需在國家電子政務內(nèi)網(wǎng)上部署的業(yè)務應用，原則上應納入國家政務外網(wǎng)運行，它按照國家政務外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡安全防護體系、統(tǒng)一的網(wǎng)絡信任體系和信息安全等級保護措施。

隨著政務外網(wǎng)的網(wǎng)絡覆蓋的擴大及接入的政務單位越來越多、政務外網(wǎng)應用的不斷增加，各級政務移動接入政務外網(wǎng)的需求也在增加，對政務外網(wǎng)的要求和期望越大，網(wǎng)絡安全和運維的壓力也越大，責任也更大。由于政務外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，主要滿足各級政務部門社會管理、公共服務、市場監(jiān)管和經(jīng)濟調(diào)節(jié)等業(yè)務應用及公務人員移動辦公、現(xiàn)場執(zhí)法等各類的需要，網(wǎng)絡和電子政務應用也成為境外敵對勢力、黑客等攻擊目標。隨著新技術(shù)的不斷涌現(xiàn)和大量使用，也對電子政務外網(wǎng)網(wǎng)絡的安全防護、監(jiān)控、管理等帶來新的挑戰(zhàn)。按照國家政務外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡安全防護體系、統(tǒng)一的網(wǎng)絡信任體系和信息安全等級保護措施是必須的。

為保障電子政務外網(wǎng)的安全有效運行，我們應以風險管理理念來統(tǒng)籌建設網(wǎng)絡和信息安全保障體系。在國家信息系統(tǒng)安全等級保護的大背景下，2011年國家信息中心下發(fā)了《關(guān)于加快推進國家電子政務外網(wǎng)安全等級保護工作的通知》，強化了電子政務外網(wǎng)的等級保護制度以及等級測評要求，要求對政務外網(wǎng)開展等級測評，全面了解和掌握安全問題、安全保護狀況及與國家安全等級保護制度相關(guān)要求存在的差距，分析其中存在的安全風險，并根據(jù)風險進行整改[1]。

系統(tǒng)安全測評、風險評估、等級測評都是信息系統(tǒng)安全的評判方法[2，3]，其實它們本沒有本質(zhì)的區(qū)別，目標都是一樣的，系統(tǒng)安全測評從系統(tǒng)整體來對系統(tǒng)的安全進行判斷，風險評估從風險管理的角度來對系統(tǒng)的安全狀況進行評判，而等級測評則是從等級保護的角度對系統(tǒng)的安全進行評判。不管是系統(tǒng)安全測評[1]、風險評估、等級測評，風險的風險與計算都是三者必不可少的部分。

2 電子政務主要風險評估方法簡介

電子政務外網(wǎng)風險評估有自評估、檢查評估、第三方評估（認證）評估模式，都需利用一定的風險評估方法來進行相關(guān)風險的評估。從總體上來講，主要有定量評估、定性評估兩類。在進行電子政務系統(tǒng)信息安全風險評估過程中，采用的主要風險評估方法有：OCTAVE、SSE-CMM、FAT（故障樹方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時許模型、回歸模型等方法。研究風險評估模型的方法可以運用馬爾可夫法、神經(jīng)網(wǎng)絡、模糊數(shù)學、決策樹、小波分析等[4-6]。OCTAVE 方法是一個系統(tǒng)的方法，它從系統(tǒng)的高度來進行信息安全的安全防護工作，評估系統(tǒng)的安全管理風險、安全技術(shù)風險，它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產(chǎn)的安全價值、脆弱性、威脅的情況，制定起風險削減計劃，降低重要資產(chǎn)的安全風險。電子政務外網(wǎng)需要從實際出發(fā)，不能照搬其它評估方法，根據(jù)電子政務外網(wǎng)實際，本設計基于OCTAVE 評估模型，設計了一個電子政務外網(wǎng)風險分析計算模型。

3 基于OCTAVE模型的一個電子政務外網(wǎng)風險計算模型設計

3.1 風險評估中的資產(chǎn)、威脅、脆弱性賦值的設計

保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風險評估中的資產(chǎn)價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。

資產(chǎn)價值應依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點，選擇對資產(chǎn)保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。本設計模型根據(jù)電子政務外網(wǎng)的業(yè)務特點，依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級進行加權(quán)計算（保密性α+完整性β+和可用性γ），α、β、γ為權(quán)重系數(shù)，權(quán)重系數(shù)的確定可以采用專家咨詢法、信息商權(quán)法、獨立性權(quán)數(shù)等。本設計方案采用專家咨詢法。資產(chǎn)、威脅、脆弱性的賦值可以從0-10，賦值越高，等級越高。

脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。脆弱性識別的依據(jù)可以是國際或國家安全標準，也可以是行業(yè)規(guī)范等，如國家信息安全漏洞共享平臺（CNVD）漏洞通報、CVE漏洞、微軟漏洞通報等。

資產(chǎn)、威脅、脆弱性的識別與賦值依賴于專家對三者的理解，不同的人員對三者的賦值可能不同，甚至差別很大，可能會不能真實的反映實際情況。為了識別與賦值能準確反映實際情況，可以采用一定的方法來進行修正。本設計采用頭腦風暴法、德爾菲法去獲取資產(chǎn)、威脅、脆弱性并賦值、最后采用群體決策方法確定資產(chǎn)、威脅、脆弱性的識別與賦值。這樣發(fā)揮了三個方法的特點，得到的賦值準確性大大提高。endprint

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷[7]。判斷威脅出現(xiàn)的頻率是可能性分析的重要內(nèi)容，如果僅僅從近一兩年來各種國內(nèi)、國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警等來判斷是不太準確的，因為它沒有與具體的電子政務外網(wǎng)應用實際聯(lián)系起來，實際環(huán)境中通過檢測工具（如IPS等）以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計也應該考慮進去。

本設計模型采用綜根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷，并結(jié)合具體電子政務外網(wǎng)實際，從歷史生產(chǎn)系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計，并采用馬兒可夫方法計算出某個時段內(nèi)某個威脅發(fā)生的概率。馬爾可夫方法是一種定量的方法，具有無后效性的特點，適用于計算實時的動態(tài)信息系統(tǒng)威脅發(fā)生概率。它利用IPS等統(tǒng)計某一時段的發(fā)生了哪些威脅，構(gòu)建出各種威脅之間的狀態(tài)轉(zhuǎn)移圖，使用馬爾可夫方法計算出該時段內(nèi)某個威脅發(fā)生的概率。計算出的威脅發(fā)生概率結(jié)果可以進行適當?shù)奈⒄{(diào)，該方法要求記錄的樣本具有代表性。

3.2 風險計算模型設計

通常風險值計算涉及的風險要素為資產(chǎn)、威脅、和脆弱性。 在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性，并綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險計算。

風險值=R（資產(chǎn)，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產(chǎn)價值，脆弱性嚴重程度））。可根據(jù)自身電子政務外網(wǎng)實際情況選擇相應的風險計算方法計算風險值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個要素值確定一個要素值的情形，相乘法主要用于兩個或多個要素值確定一個要素值的情形。

本設計模型采用風險計算矩陣方法。矩陣法通過構(gòu)造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗函數(shù)，將安全事件的可能性與安全事件造成的損失進行運算得到風險值。

在使用矩陣法分別計算出某個資產(chǎn)對應某個威脅i，某個脆弱性j的風險系數(shù)[Ri，j]，還應對某個資產(chǎn)的總體安全威脅風險值進行計算，某個資產(chǎn)總體風險威脅風險=Max（[Ri，j]），i，j=1，2，3…。組織所有資產(chǎn)的威脅風險值為所有資產(chǎn)的風險值之和。

3.3 對風險計算模型的改進

在風險值=R（A，T，V）的計算模型中，由資產(chǎn)賦值、危險、脆弱性三元組計算出風險值， 并沒有把安全防護措施因素對風險計算的影響考慮在內(nèi)，該文把風險值=R（A，T，V）改進為風險值=R（A，T，V，P），其中P為安全防護措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進為風險值=R（L（T，V，P），F(xiàn)（Ia，Va，P ））。對于L（T，V，P），F(xiàn)（Ia，Va，P ）的計算可以采用相乘法等。如果采用矩陣法，對L（T，V，P）的可以拆分計算L（T，V，P）=L（L（T，V），L（V，P））。

在計算出單個資產(chǎn)對應某個脆弱性、某個威脅、某個防護措施后的風險值后，還應總體上計算組織內(nèi)整體資產(chǎn)面臨的整體風險。單個風險（一組風險）對其它風險（一組風險）的影響是必須考慮的，風險之間的影響有風險之間的疊加、消減等。有必要對風險的疊加效應、疊加原理、疊加模型進行研究。

3.4 風險結(jié)果判定

為實現(xiàn)對風險的控制與管理，可以對風險評估的結(jié)果進行等級化處理?？蓪L險劃分為10，等級越高，風險越高。

風險等級處理的目的是為風險管理過程中對不同風險的直觀比較，以確定組織安全策略。組織應當綜合考慮風險控制成本與風險造成的影響，提出一個可接受的風險范圍。對某些資產(chǎn)面臨的安全風險，如果風險計算值在可接受的范圍內(nèi)，則該風險是可接受的，應保持已有的安全措施；如果風險計算值高于可接受范圍的上限值，則該風險是不可接受的，需要采取安全措施以降低、控制或轉(zhuǎn)移風險。另一種確定不可接受的風險的辦法是根據(jù)等級化處理的結(jié)果，不設定可接受風險值的基準，對達到相應等級的風險都進行處理。

參考文獻：

[1] 國家電子政務外網(wǎng)管理中心.關(guān)于加快推進國家電子政務外網(wǎng)安全等級保護工作的通知[政務外網(wǎng)[2011]15號][Z].2011.

[2] 等級保護、風險評估和安全測評三者之間的區(qū)別與聯(lián)系[EB/OL].http：//www.gshfns.com/faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級保護、風險評估、安全測評三者的內(nèi)在聯(lián)系及實施建議[C].第二十次全國計算機安全學術(shù)交流會論文集，2005.

[4] 李煜川.電子政務系統(tǒng)信息安全風險評估研究——以數(shù)字檔案館為例[D].蘇州：蘇州大學，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務信息安全風險評估模型研究[J].情報雜志，2011（8）：94-99.

[6] 趙冬梅.信息安全風險評估量化方法研究[D]. 西安：西安電子科技大學，2007.

[7] 云南省電子政務網(wǎng)絡管理中心.云南省電子政務網(wǎng)管中心網(wǎng)絡與信息安全風險評估實施規(guī)范[Z].2012.endprint