◆陳 卓

（湖北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院 湖北 430068）

矩陣法在信息安全風(fēng)險值定量計(jì)算中的應(yīng)用研究

◆陳 卓

（湖北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院 湖北 430068）

在信息安全風(fēng)險評估的過程中，需要對信息系統(tǒng)存在的風(fēng)險進(jìn)行定量計(jì)算，信息安全風(fēng)險評估準(zhǔn)則《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》給出了風(fēng)險值的一個宏觀的形式化計(jì)算模型，在實(shí)際的工程應(yīng)用過程中還需要采取不同的方法實(shí)現(xiàn)量化計(jì)算，本文將風(fēng)險矩陣法引入信息安全風(fēng)險評估，將定性的過程量化，并給出一個基于矩陣法進(jìn)行風(fēng)險值定量計(jì)算的實(shí)例。

信息安全風(fēng)險評估；風(fēng)險值計(jì)算；矩陣法

0 前言

根據(jù)我國信息安全風(fēng)險評估準(zhǔn)則《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》，信息安全風(fēng)險評估的基礎(chǔ)包含威脅、脆弱性和資產(chǎn)的識別，在完成了資產(chǎn)識別、威脅識別、脆弱性識別、以及在確認(rèn)已有的安全措施后，應(yīng)采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。現(xiàn)有關(guān)于信息安全風(fēng)險評估的方法總體上可以分為定性和定量分析法[1.2]，定性分析方法是評估的基礎(chǔ)，定性分析方法需要憑借評估分析者的經(jīng)驗(yàn)、知識和直覺，結(jié)合標(biāo)準(zhǔn)和慣例，帶有較強(qiáng)的主觀性。如何在定性的基礎(chǔ)上引入合理的定量分析，是信息安全風(fēng)險評估中一個比較關(guān)鍵的問題。本文在文獻(xiàn)[3-5]基礎(chǔ)上對基于矩陣法的風(fēng)險定量計(jì)算進(jìn)行了重點(diǎn)研究，給出了《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》形式化計(jì)算方法中安全事件可能性函數(shù)、風(fēng)險值計(jì)算函數(shù)和安全事件造成的損失函數(shù)對應(yīng)的矩陣法計(jì)算方法，該方法利用威脅發(fā)生的可能性、脆弱性及資產(chǎn)的相對價值三者預(yù)定義的矩陣來確定風(fēng)險的大小，制定不同的等級。

1 風(fēng)險評估的形式化方法和矩陣法的基本原理

1.1 風(fēng)險評估的形式化方法

信息安全風(fēng)險評估需要綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，《GB/T20984-2007》給出了一個風(fēng)險計(jì)算的形式化計(jì)算方法：

風(fēng)險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））；

R表示安全風(fēng)險計(jì)算函數(shù)；A、T、V分別表示資產(chǎn)、威脅、脆弱性。Ia表示安全事件所作用的資產(chǎn)價值；Va表示脆弱性嚴(yán)重程度。L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F表示安全事件發(fā)生后造成的損失。

風(fēng)險計(jì)算包括以下三個計(jì)算環(huán)節(jié)：

（1）計(jì)算安全事件發(fā)生的可能性。

計(jì)算安全事件發(fā)生的可能性=L（T，V）；

L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度。

（2）計(jì)算安全事件發(fā)生造成的損失。

計(jì)算安全事件發(fā)生造成的損失=F（Ia，Va）；

F表示根據(jù)資產(chǎn)價值及脆弱性嚴(yán)重程度來計(jì)算安全事件一旦發(fā)生后帶來的損失；Ia表示安全事件所作用的資產(chǎn)價值；Va表示脆弱性嚴(yán)重程度。

（3）根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的損失，計(jì)算風(fēng)險值。

風(fēng)險值=R（安全事件的可能性，安全事件造成的損失）=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））；

安全事件可能性函數(shù)L、風(fēng)險值計(jì)算函數(shù)F和安全事件造成的損失函數(shù)R是三個二元函數(shù)。其中二元函數(shù)的構(gòu)造方法，決定了風(fēng)險值的計(jì)算方法。

1.2 矩陣法的基本原理

矩陣法通過二維矩陣由兩個要素值確定一個新的要素值。

矩陣法在確定一個新的要素值之前，需要確定二維計(jì)算矩陣，矩陣內(nèi)各要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學(xué)方法確定，將兩個元素的值在矩陣中進(jìn)行比對，行列交叉處即為所確定的計(jì)算結(jié)果。

矩陣法原理是：

二元函數(shù)X=F（X，Y），函數(shù)F采用矩陣法構(gòu)造。

以要素x和要素y的取值構(gòu)建一個如表1所示的二維矩陣，矩陣行值為要素y的所有取值，矩陣的列值為要素x的所有取值，矩陣內(nèi)個值即為要素z的取值其中為正整數(shù)。

表1 矩陣構(gòu)造

矩陣內(nèi)ijz的值的計(jì)算可以采用以下計(jì)算方法：

表2是文獻(xiàn)[6]給出的一個風(fēng)險矩陣，矩陣中資產(chǎn)價值的級別值為0-4級，以此確定合適的行，威脅發(fā)生的可能性（分低、中、高三級）和脆弱性（每種威脅可利用的脆弱性分低、中、高三級）被利用的容易程度則確定合適的列。

表2 一個風(fēng)險矩陣的示例

1.3 基于矩陣法的風(fēng)險值計(jì)算過程

表2給出的威脅等級和脆弱性嚴(yán)重程度的分級只有3個級別，在實(shí)際的應(yīng)用中該矩陣表的大小和具體的構(gòu)造還需根據(jù)實(shí)際的組織的需要進(jìn)行調(diào)整。圖1給出一個改進(jìn)的矩陣法風(fēng)險值計(jì)算方案，在表2的基礎(chǔ)上擴(kuò)展構(gòu)建了三個矩陣，即事件可能性矩陣、事件損失值矩陣和風(fēng)險矩陣。

圖1 基于矩陣法的風(fēng)險值計(jì)算方案

L、F表示事件可能性矩陣和事件損失值矩陣，矩陣L和F的行均代表脆弱性的嚴(yán)重程度，L中的列代表威脅出現(xiàn)頻率，F(xiàn)中的列代表資產(chǎn)賦值。

由事件可能性矩陣L確定風(fēng)險發(fā)生可能性，事件損失值矩陣F確定安全事件損失值。

R為風(fēng)險矩陣，矩陣的行為安全事件發(fā)生可能性等級；矩陣的列為安全事件損失程度；矩陣內(nèi)的值為風(fēng)險值。

2 采用矩陣法進(jìn)行風(fēng)險評估的定量計(jì)算實(shí)例

2.1 實(shí)例背景

共有三個重要資產(chǎn)，資產(chǎn)A1，資產(chǎn)A2和資產(chǎn)A3。

資產(chǎn)A1面臨兩個主要威脅，威脅T1和威脅T2；

資產(chǎn)A2面臨一個主要威脅，威脅T3；

資產(chǎn)A3面臨兩個主要威脅，威脅T4和T5。

威脅T1可以利用資產(chǎn)A1存在的兩個脆弱性，脆弱性V1和脆弱性V2；

威脅T2可以利用資產(chǎn)A1存在的三個脆弱性，脆弱性V3和脆弱性V4和脆弱性V5；

威脅T3可以利用資產(chǎn)A2存在的兩個脆弱性，脆弱性V6和脆弱性V7；

威脅T4可以利用資產(chǎn)A3存在的一個脆弱性，脆弱性V8；

威脅T5可以利用資產(chǎn)A3存在的兩個脆弱性，脆弱性V9。

資產(chǎn)、威脅、威脅可利用的脆弱性如表3所示：

表3 資產(chǎn)、威脅、威脅可利用的脆弱性

資產(chǎn)的價值分別是：資產(chǎn)A1=2，資產(chǎn)A2=3，資產(chǎn)A3=5。

威脅發(fā)生頻率分別是：威脅T1=2，威脅T2=1，T3=2，T4=5，T5=4。

脆弱性嚴(yán)重程度分別是：脆弱性V1=2，脆弱性V2=3，V3=1，V4=4，V5=2，V6=4，V7=2，V8=3，V9=5。

2.2 采用矩陣法的定量計(jì)算流程

（1）計(jì)算安全事件發(fā)生可能性

威脅發(fā)生頻率，威脅T1=2。

脆弱性嚴(yán)重程度：脆弱性V1=2。

首先構(gòu)建安全事件發(fā)生可能性矩陣，如表4所示。

表4 安全事件發(fā)生可能性矩陣L

然后根據(jù)威脅發(fā)生頻率值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對照，確定安全事件發(fā)生可能性值等于6。

由于安全事件發(fā)生可能性將參與風(fēng)險事件值的計(jì)算，為了構(gòu)建風(fēng)險矩陣，對上述計(jì)算的到的安全風(fēng)險事件發(fā)生可能性進(jìn)行等級劃分，如表5所示，安全事件發(fā)生可能性等級等于2。

表5 安全事件可能性等級劃分

（2）計(jì)算安全事件的損失

資產(chǎn)價值：資產(chǎn)A1=2

脆弱性嚴(yán)重程度：脆弱性V1=2

首先構(gòu)建安全事件損失矩陣，如表6所示。

然后根據(jù)資產(chǎn)價值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對照，確定安全事件損失值等于5。

表6 安全事件損失矩陣F

5 6 10 16 21 25

由于安全事件損失將參與風(fēng)險事件值的計(jì)算，為了構(gòu)建風(fēng)險矩陣，對上述計(jì)算得到的安全事件損失進(jìn)行等級劃分，如表7所示，安全事件損失等級等于1。

表7 安全時間損失等級劃分

（3）計(jì)算風(fēng)險值

安全事件發(fā)生可能性=2，安全事件損失等級=1

首先構(gòu)建風(fēng)險矩陣，如表8：

表8 風(fēng)險矩陣R

然后根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進(jìn)行對照，確定安全事件風(fēng)險等于6。

按照上述方法進(jìn)行計(jì)算，得到資產(chǎn)A1的及其的風(fēng)險值，以及資產(chǎn)A2和資產(chǎn)A3的風(fēng)險。然后再進(jìn)行風(fēng)險結(jié)果等級判斷。

（4）結(jié)果判斷

確定風(fēng)險等級劃分如表9。

表9 風(fēng)險等級劃分

根據(jù)上述計(jì)算方法，并根據(jù)風(fēng)險等級劃分，確定風(fēng)險等級，如表10。

表10 風(fēng)險結(jié)果

3 結(jié)束語

矩陣法的特點(diǎn)在于通過構(gòu)造兩兩要素計(jì)算矩陣，本文給出了《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》形式化計(jì)算方法中安全事件可能性函數(shù)、風(fēng)險值計(jì)算函數(shù)和安全事件造成的損失函數(shù)對應(yīng)的矩陣法計(jì)算方法，該方法利用威脅發(fā)生的可能性、脆弱性及資產(chǎn)的相對價值三者預(yù)定義的矩陣來確定風(fēng)險的大小，制定不同的等級，該方案可以清晰羅列要素的變化趨勢，具備良好的實(shí)用性。

[1]Ruth Breu,Frank Innerhofer-Oberperfler．Quantitative assessment of enterprise security system．Availability，Reliability and Security，2008．ARES 08．Third International Conference,4-7 March 2008．

[2]Sherif M．Yacoub,Hany H．Ammar,and Tom Robinson,Methodology for Architectural-Level Risk Assessment using Dynamic Metrics,Proceedings．11th International Symposium on Volume,Issue，2000．

[3]張弢等．一種基于風(fēng)險矩陣法的信息安全風(fēng)險評估模型．計(jì)算機(jī)工程與應(yīng)用，2010．

[4]向宏．信息安全測評與風(fēng)險評估．電子工業(yè)出版社，2014．

[5]趙剛．信息安全風(fēng)險管理與風(fēng)險評估．清華大學(xué)出版社，2014．

[6]ISO/IEC 27005：2008．信息安全風(fēng)險管理．

[7]GB/T 20984-2007信息安全技術(shù)．信息安全風(fēng)險評估規(guī)范．

湖北省自然基金（2014CFB484）；湖北省科技支撐項(xiàng)目項(xiàng)目（2015BAA118）。