本站原创摘 要:风险评估包含资产、威胁、脆弱性的赋值以及风险的计算等.该文以OCTE评估模型为基础对风险计算三元组识别与赋值进行研究,提出综合使用头脑风暴、德尔菲法、用群体决策方法进行资产、威胁、脆弱性的识别与赋值,对资产风险价值的加权计算参数采用专家咨询法等;采用马尔可夫方法计算动态信息系统威胁发生概率;对风险的计算模型进行研究,增加安全防护措施一个元组,把风险计算的三元组改进为四元组.
关 键 词:电子政务外网;等级保护测评;风险评估;风险评估模型
中图分类号:TP311文献标识码:A文章编号:1009-3044(2014)34-8337-02
1等级保护背景下的电子政务外网风险评估
电子政务外网提供非涉密的社会公共怎么写作业务,全国从中央各部委、到省、市、县,已经形成了一张大庞大的网络系统,有的地方甚至覆盖到了乡镇、社区村委会,有效提高了政府从事行政管理和社会公共怎么写作效率.今后凡属社会管理和公共怎么写作范畴及不需在国家电子政务内网上部署的业务应用,原则上应纳入国家政务外网运行,它按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施.
随着政务外网的网络覆盖的扩大及接入的政务单位越来越多、政务外网应用的不断增加,各级政务移动接入政务外网的需求也在增加,对政务外网的要求和期望越大,网络安全和运维的压力也越大,责任也更大.由于政务外网与互联网逻辑隔离,主要满足各级政务部门社会管理、公共怎么写作、市场监管和经济调节等业务应用及公务人员移动办公、现场执法等各类的需要,网络和电子政务应用也成为境外敌对势力、等攻击目标.随着新技术的不断涌现和大量使用,也对电子政务外网网络的安全防护、监控、管理等带来新的挑战.按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施是必须的.
为保障电子政务外网的安全有效运行,我们应以风险管理理念来统筹建设网络和信息安全保障体系.在国家信息系统安全等级保护的大背景下,2011年国家信息中心下发了《关于加快推进国家电子政务外网安全等级保护工作的通知》,强化了电子政务外网的等级保护制度以及等级测评要求,要求对政务外网开展等级测评,全面了解和掌握安全问题、安全保护状况及与国家安全等级保护制度相关要求存在的差距,分析其中存在的安全风险,并根据风险进行整改[1].
系统安全测评、风险评估、等级测评都是信息系统安全的评判方法[2,3],其实它们本没有本质的区别,目标都是一样的,系统安全测评从系统整体来对系统的安全进行判断,风险评估从风险管理的角度来对系统的安全状况进行评判,而等级测评则是从等级保护的角度对系统的安全进行评判.不管是系统安全测评[1]、风险评估、等级测评,风险的风险与计算都是三者必不可少的部分.
2电子政务主要风险评估方法简介
电子政务外网风险评估有自评估、检查评估、第三方评估(认证)评估模式,都需利用一定的风险评估方法来进行相关风险的评估.从总体上来讲,主要有定量评估、定性评估两类.在进行电子政务系统信息安全风险评估过程中,采用的主要风险评估方法有:OCTE、SSE-CMM、FAT(故障树方法)、AHP(层次分析)以及因素分析法、逻辑分析法、德尔菲法、聚类分析法、决策树法、时许模型、回归模型等方法.研究风险评估模型的方法可以运用马尔可夫法、神经网络、模糊数学、决策树、小波分析等[4-6].OCTE方法是一个系统的方法,它从系统的高度来进行信息安全的安全防护工作,评估系统的安全管理风险、安全技术风险,它提高了利用自评估的方式制定安全防范措施的能力.它通过分析重要资产的安全价值、脆弱性、威胁的情况,制定起风险削减计划,降低重要资产的安全风险.电子政务外网需要从实际出发,不能照搬其它评估方法,根据电子政务外网实际,本设计基于OCTE评估模型,设计了一个电子政务外网风险分析计算模型.
3基于OCTE模型的一个电子政务外网风险计算模型设计
3.1风险评估中的资产、威胁、脆弱性赋值的设计
保密性、完整性和可用性是评价资产的三个安全属性.风险评估中的资产价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的.
资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出.综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果.本设计模型根据电子政务外网的业务特点,依据资产在保密性、完整性和可用性上的赋值等级进行加权计算(保密性α+完整性β+和可用性γ),α、β、γ为权重系数,权重系数的确定可以采用专家咨询法、信息商权法、独立性权数等.本设计方案采用专家咨询法.资产、威胁、脆弱性的赋值可以从0-10,赋值越高,等级越高.
脆弱性识别是风险评估中最重要的一个环节.脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害.脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范等,如国家信息安全漏洞共享平台(CNVD)漏洞通报、CVE漏洞、微软漏洞通报等.
资产、威胁、脆弱性的识别与赋值依赖于专家对三者的理解,不同的人员对三者的赋值可能不同,甚至差别很大,可能会不能真实的反映实际情况.为了识别与赋值能准确反映实际情况,可以采用一定的方法来进行修正.本设计采用头脑风暴法、德尔菲法去获取资产、威胁、脆弱性并赋值、最后采用群体决策方法确定资产、威胁、脆弱性的识别与赋值.这样发挥了三个方法的特点,得到的赋值准确性大大提高.判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断[7].判断威胁出现的频率是可能性分析的重要内容,如果仅仅从近一两年来各种国内、国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警等来判断是不太准确的,因为它没有与具体的电子政务外网应用实际联系起来,实际环境中通过检测工具(如IPS等)以及各种日志发现的威胁及其频率的统计也应该考虑进去.
本设计模型采用综根据经验和(或)有关的统计数据来进行判断,并结合具体电子政务外网实际,从历史生产系统的IPS等获取各种威胁及其频率的统计,并采用马儿可夫方法计算出某个时段内某个威胁发生的概率.马尔可夫方法是一种定量的方法,具有无后效性的特点,适用于计算实时的动态信息系统威胁发生概率.它利用IPS等统计某一时段的发生了哪些威胁,构建出各种威胁之间的状态转移图,使用马尔可夫方法计算出该时段内某个威胁发生的概率.计算出的威胁发生概率结果可以进行适当的微调,该方法要求记录的样本具有代表性.
3.2风险计算模型设计
通常风险值计算涉及的风险要素为资产、威胁、和脆弱性.在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,并综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险计算.
风险值等于R(资产,威胁,脆弱性)等于R(可能性(威胁,脆弱性),损失(资产价值,脆弱性严重程度)).可根据自身电子政务外网实际情况选择相应的风险计算方法计算风险值,如目前最常用的矩阵法或相乘法等.矩阵法主要用于两个要素值确定一个要素值的情形,相乘法主要用于两个或多个要素值确定一个要素值的情形.
本设计模型采用风险计算矩阵方法.矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值.
在使用矩阵法分别计算出某个资产对应某个威胁i,某个脆弱性j的风险系数[Ri,j],还应对某个资产的总体安全威胁风险值进行计算,某个资产总体风险威胁风险等于Max([Ri,j]),i,j等于1,2,3等.组织所有资产的威胁风险值为所有资产的风险值之和.
3.3对风险计算模型的改进
在风险值等于R(A,T,V)的计算模型中,由资产赋值、危险、脆弱性三元组计算出风险值,并没有把安全防护措施因素对风险计算的影响考虑在内,该文把风险值等于R(A,T,V)改进为风险值等于R(A,T,V,P),其中P为安全防护措施因素.P因素不仅影响安全事件的可能性,也影响安全事件造成的损失,把上面的公式改进为风险值等于R(L(T,V,P),F(Ia,Va,P)).对于L(T,V,P),F(Ia,Va,P)的计算可以采用相乘法等.如果采用矩阵法,对L(T,V,P)的可以拆分计算L(T,V,P)等于L(L(T,V),L(V,P)).
在计算出单个资产对应某个脆弱性、某个威胁、某个防护措施后的风险值后,还应总体上计算组织内整体资产面临的整体风险.单个风险(一组风险)对其它风险(一组风险)的影响是必须考虑的,风险之间的影响有风险之间的叠加、消减等.有必要对风险的叠加效应、叠加原理、叠加模型进行研究.
3.4风险结果判定
为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理.可将风险划分为10,等级越高,风险越高.
风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略.组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围.对某些资产面临的安全风险,如果风险计算值在可接受的范围内,则该风险是可接受的,应保持已有的安全措施;如果风险计算值高于可接受范围的上限值,则该风险是不可接受的,需要采取安全措施以降低、控制或转移风险.另一种确定不可接受的风险的办法是根据等级化处理的结果,不设定可接受风险值的基准,对达到相应等级的风险都进行处理.