（管理科学与工程专业论文）基于想定图的信息系统安全定量风险评估方法研究.pdf

国防科学技术大学研究生院学位论文 摘要 从战略方面考虑，信息系统安全战略的建立必须以风险管理为基础，信息系统安全风 险评估是风险管理的关键步骤之一。当前，信息系统安全风险评估方法可信度不高，这主 要表现在风险识别不够全面，风险量化主观因素多。主要原因是目前的信息系统安全风险 评估方法有的只对网络风险因子进行了有效评估，有的虽然进行了整体评估但是无法对复 杂的网络风险进行有效评估；而且目前的评估方法都只考虑了信息系统的安全属性而没有 考虑信息系统的活跃属性；此外信息系统安全风险的特点也决定了风险评估的客观数据很 难获得。 本文提出了一种基于想定图理论的信息系统安全定量风险评估方法，描述了该方法的 评估步骤，并对其中的关键技术进行了研究，包括基于马尔科夫决策过程和多属性决策的 风险值量化计算算法等。该方法能够对信息系统安全进行整体评估，从而具有可重复性； 能够在概率数据不完整的情况下计算出比较可靠的风险评估结果，从而具有更高的客观 性；引入了安全度和危险度的概念，从而使最终的评估结果具有了可对比性。由于该方法 具有可重复性、可对比性和更高的客观性，所以它具有更高的可信度。 基于想定图理论的评估方法的一个关键点是利用b i j c h i 自动机对信息系统安全建立 模型。本文详细地对信息系统的网络风险因子进行了建模，并利用该评估方法对一个实例 进行了具体评估，这样在一定程度上证明该方法的可行性和优越性。 在对信息系统安全网络风险因子评估的基础上，提出了安全措施优化问题，所得到的 结论可以推广到所有攻击图的应用中去，丰富了想定图理论。 关键词：信息系统安全，风险评估，想定图，马尔科夫决策过程，多属性决策，贪 婪算法 国防科学技术大学研究生院学位论文 a b s t r a c t i n f o r m a t i o ns y s t e ms e c u r i t ys h o u l ds t r a t e g i c a l l yb eb a s e do nr i s km a n a g e m e n ti nw h i c hr i s k e v a l u a t i o ni sac r u c i a ls t e p t h e r ea r ec o m p a r a t i v e l yl o wr e l i a b i l i t yi nt h ec u r r e n tr i s ke v a l u a t i o n m e t h o d ，w h i c hm a i n l ye m b o d yt h a tt h e s em e t h o dc a nn o ti d e n t i f ya l lt h er i s ka n di n c l u d et o o m a n ys u b j e c t i v ef a c t o r s t h em a i nr e a s o nl i e si nt h e s em e t h o de i t h e ro n l ye v a l u a t en e t w o r kr i s k o rt h o u g he v a l u a t ea l lr i s kb u tc a nn o te f f e c t i v e l yi d e n t i f yn e t w o r kr i s k ，m o r e o v e r ，c u r r e n t m e t h o d o n l yc o n s i d e rs a f e t yp r o p e r t i e se x c e p tl i v e n e s sp r o p e r t i e s ，i na d d i t i o n a l ，t h er i s k c h a r a c t e r i s t i co fi n f o r m a t i o ns y s t e ms e c u r i t yd e t e r m i n et h a ti t i sv e r yd i f f i c u l t yt og a i nt h e o b j e c t i v ed a t a t h i s p a p e rp r o v i d e s as c e n a r i o - g r a p h b a s e dr i s k q u a n t i t a t i v e e v a l u a t i o nm e t h o do f i n f o r m a t i o ns y s t e m ，a n ds p e c i f i e se v a l u a t i o np r o c e d u r ea n dc r u c i a l t e c h n o l o g yi n c l u d i n ga m a r k o v 。b a s e da n dm u t i l a t t r i b u t e - d e c i s i o nb a s e dr i s k q u a n t i t a t i v ec o m p u t i n g s i n c et h i s m e t h o di sr e p e a t a b l e ，c o m p a r a b l e ，o b j e c t i v e ，i ti sh i g h e rr e l i a b i l i t y t h i sm e t h o d sk e ys t e pi st ou t i l i z eb i i c h ia u t o m a t o nt om o d e li n f o r m a t i o ns y s t e ms e c u r i t y t h i sp a p e rd e t a i l e d l ym o d d sn e t w o r kp a r to fi n f o r m a t i o ns y s t e ms e c u r i t y ，a n de v a l u a t ea c o n c r e t ec a s eb yt h em e t h o d t h ew o r kp r o v e st h ef e a s i b i l i t ya n ds u p e r i o r i t yo ft h em e t h o di n s o m ed e g r e e m o r e o v e r ，t h i sp a p e rp u t sf o r w a r dt h eo p t i m i z a t i o np r o b l e mo fs e c u r i t ym e a s u r e ，t h e c o n c l u s i o no fw h i c hc a na p p l yt oa l lt h ea t t a c k - g r a p ha p p l i c a t i o n ss ot h a ti te n r i c h e ss c e n a r i o g r a p ht h e o r y k e yw o r d s ：i n f o r m a t i o ns y s t e ms e c u r i t y ，r i s ke v a l u a t i o n ，s c e n a r i og r a p h ，m a r k o vd e d s i o n p r o c e s s e s ，m u l t i - a t t r i b u t e - d e c i s i o n ，g r e e d ya l g o r i t h m 国防科学技术大学研究生院学位论文 图表目录 图1 1 资产、威胁、弱点以及影响关系2 图1 2i s 0 1 3 3 3 5 中的风险管理关系模型图5 图1 3s s e - - c m m 定义的风险过程6 图2 1b t i c h i 自动机1 2 图2 2 想定自动机的例子1 4 图2 3 生成想定自动机算法1 5 图2 4p s g 等价转换为a p s g 1 7 图2 5 一个a p s g 向m d p 转换的例子1 7 图3 ，l 信息系统安全风险评估流程2 0 表3 2 以层次结构的方式展示的四大分类的脆弱性信息2 2 图3 3 值迭代算法后的概率想定图2 5 表4 1 网络攻击模型2 9 图4 - 2 局域网拓扑结构图3 1 表4 ，36 个表示主机状态的变量。3 1 表4 4 表示入侵者行动的变量3 2 表4 ，5 网络中三个主机之间的连接关系3 2 图4 6 攻击图3 4 图4 7 含有初始数据的攻击图3 5 图4 8 利用值迭代算法得到的概率攻击图3 5 表4 9p 2 受破坏产生的损失3 6 表4 1 0 各个安全需求的权重值3 6 图4 1 1a g 图转化为s a g 图再转化为m g 图的过程3 8 表4 1 2 用贪婪算法求最优安全措施集的过程3 9 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目：基士盟宝圈的笪垦歪箕塞全星量丛睦翌缱虚鎏丛寇 学位论文作者签名：囊卑 日期：，n 中年，月工日 i 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阔；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书，) 学位论文题目基士蛰室圈曲焦皇歪煎塞垒定量凰瞠堑毡直鎏珏窥 学位论文作者签名 作者指导教师签名 日期：如中年f ，月j j 日 日期：如v 年，月2 1 日 国防科学技术大学研究生院学位论文 第一章绪论 1 1 研究背景 信息系统已经成为人们生活中重要组成部分，人们总是希望信息系统能够带来更多的 便利。但是信息系统自身以及与信息系统相连的网络环境的特点与局限性决定了信息系统 的发展和应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁。由于 这个原因，人们在不断地探索和研究防止信息系统威胁的手段和方法，并且迅速在杀毒软 件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而，这并没有从根本上解决信息 系统的安全问题，来自计算机网络的威胁更加多样化和隐蔽化，黑客、病毒等攻击事件也 越来越多。据c e r t c c 的统计，2 0 0 3 年报告的安全事件( s e c u r i t yi n c i d e n t ) 的数量达到 1 3 7 5 2 9 件，远远高于2 0 0 1 年的5 2 6 5 8 件和2 0 0 2 年的8 2 0 9 4 件1 1 j o 怎样确保信息系统能够在长时间内处于较高的安全水平，是目前急需解决的问题。安 全管理是一个过程，而不是一个产品，不能期望通过一个安全产品就能把所有的安全问题 都解决。从战略方面考虑，信息系统安全战略的建立必须以风险管理为基础：安全不必是 完美无缺、面面俱到的但是风险必须是能够管理的。最适宜的信息安全战略实际上就是 最优的风险管理对策。 信息系统的安全是相对的，不是绝对的。“绝对安全”不存在，实现“相对安全”的 安全解决方案取决于安全目标、投资能力、系统规模等与信息系统本身相关的因素。因此， 信息安全防范对策上，人们面临的是一个在有限资源前提下的最优选择问题：防范不足会 造成直接的损失，防范过多又会造成间接的损失。根据安全目标审查安全手段，为保护信 息系统的价值，寻求一个信息系统安全开销( 资金、效率、易用性) 与风险承受能力之问 的最佳平衡点是信息系统安全构建中遇到的关键任务。 我们对信息系统进行风险管理的关键一步是对信息系统所面临的风险进行评估。目 前，人们提出了许多信息系统安全风险评估的方法，这些评估方法在信息系统安全风险管 理中发挥了很大的作用。但是这些评估方法都有着明显的不足：分析结果的可信度不高。 一般来说，一个风险评估方法只有具有以下三个性质才具有较高的可信性：客观性，即分 析数据是量化的客观数据；可重复性，即不同的主体用同一方法对相同信息系统分析产生 的结果是相同的；可比性，即这个方法对不同信息系统的安全分析结果是可比的。而目前 的信息系统安全风险评估方法都没有完全具有这些性质。根本原因是信息系统所面的风险 复杂多变，我们对它的本质和规律还没有很好地了解和把握。 1 2 信息系统安全风险评估研究现状 与信息系统安全有关的概念，包括威胁、脆弱性、影响、资产、风险等，目前没有统 一严格的定义。不同的文献和组织给出的定义具有不同的内涵和外延。本节将主要以i s o 组织对这些概念的定义为标准，并且在此基础上对信息系统安全风险评估现状进行研究。 国防科学技术大学研究生院学位论文 1 2 1 信息系统安全风险相关概念 信息系统安全风险与威胁、脆弱性、影响、资产等概念相关，i s o1 3 3 3 5 2 】给出了它 们的定义。 资产：指的是所有对组织有价值的东西。它包括：计算机硬件、软件、网络、建筑、 信息( 电子的和非电子的) 、电源供应、共调系统和人员等。在信息安全风险评估中，资 产以信息资产为中心。 影响：有害事件( 偶尔的、蓄意的或者自然的) 影响一个或者多个资产集的后果。这 个后果可以是资产的可用性、完整性、机密性、真实性的毁坏。这些后果将会导致组织的 直接损失，包括经济损失或者声誉损失等。 脆弱性：可以被威胁利用l 使威胁可以容易产生) 引起资产损失的特征或属性。威胁： 潜在的安全破坏。 风险：威胁利用资产的脆弱性对资产产生损坏的潜力。 安全措施：减少风险的机制或程序。注意，在安全管理的上下文中，术语“安全措施”、 “对策”、“控制”都有相同的意思。 资产、威胁、弱点以及影响之间的关系【3 】如图1 1 ： j 脆 。一控j 弱 l 点 图1 1 资产、威胁、弱点以及影响关系 残余风险：在实施安全措施后，系统存在的风险。 风险评估：识别风险，确定风险的大小，确立防护范围的过程。 风险评估的方法很多，有些评估方法很复杂，但是任何一种方法都隐含下面的一般意 义的两个范例【4 】： 如果( 1 ) 含一个对组织价值高的资产集合( 2 ) 威胁发生的可能性高( 3 ) 有一个能 被威胁容易利用的脆弱点，那么风险的级别高。 如果( 1 ) 只有一个对组织价值低的资产集合( 2 ) 威胁发生的可能性低( 3 ) 没有可 以被威胁利用的脆弱点，那么风险的级别低。 信息系统的安全问题具有如下几个特点1 5 t 6 ，7 】： ( 1 ) 信息系统是一个人机系统，所以又是一个社会系统，因此其安全不仅涉及 技术问题，还涉及管理问题。 ( 2 ) 信息系统的安全问题涉及的内容非常广泛，既包括系统资源，还包括信息资源。 ( 3 ) 信息系统的安全具有过程性或生命周期性。一个完整的安全过程至少应该包括 国防科学技术大学研究生院学位论文 安全目标与原则的确定、风险评估、需求分析、安全策略研究、安全体系结构的研究、安 全实旌领域的确定、安全技术与产品的测试与选型、安全工程的实施、安全工程的实施监 理、安全工程的测试与运行、安全意识的教育与技术培训、安全稽核与检查、应急响应等， 这一个过程是一个完整的信息安全工程的生命周期，经过安全稽核与检查后，又形成薪一 轮的生命周期，是一个不断往复和不断上升的螺旋式安全模型。 ( 4 ) 信息系统的安全具有动态性。信息系统的安全状态是处于不断的变化之中的。 这里既有安全需求的变化，也有安全环境和安全威胁的变化，其中对系统安全状态影响最 大的是人的因素，例如用户不按照规范使用和操作系统，往往会破坏系统的安全状态；黑 客水平的不断提高，会造成系统安全威胁环境的改变：新应用服务系统的投入，往往会产 生新的安全漏洞等等。为此，安全策略、安全体系、安全技术也必须动态地调整，在最大 程度上使安全系统能够跟上实际情况的变化并发挥效用。 ( 5 ) 信息系统的安全具有相对性。安全是相对的，没有绝对的安全可言。安全措旖 应该与保护的信息和系统的价值相称。因此，安全系统的开发过程中要充分权衡风险威胁 与防御措施的利弊与得失，在安全级别与投资代价之间取得一个用户能够接受的平衡点。 这样实施的安全才是真正的安全。 ( 6 ) 信息系统的安全要求全面性和均匀性。由于信息系统以网络化为特征，环节多， 成分复杂，所以其安全问题需要进行全面的考虑，并遵循木桶原则一木桶的容量是由最 短的那块木板长度决定的，即系统的安全强度取决于它最薄弱环节的安全强度。按照系统 平衡的观点，分布式信息系统的安全保障追求并强调均匀性，因此要求安全保障中各个环 节的强度要互相协调，这也是系统论的观点。 ( 7 ) 信息系统的安全具有层次性。信息系统自身结构的复杂性要求用多层次的安全 技术、方法与手段，分层次地化解其面临的安全风险。 ( 8 ) 信息系统软件和其他非软件产品的一个显著的不同点在于它的开发阶段潜在的 脆弱性不能在交付前完全消除，许多脆弱性都是使用中逐渐暴露出来的。非软件产品的脆 弱性主要是生产阶段引入的( 如原材料不合格等) ，开发阶段潜在的脆弱性基本上都能在 生产阶段前完全消除。 ( 9 ) 威胁发展迅速、传播快。在网络上，每天都有新的攻击方式不断出现，并且通 过互联网迅速传播到世界各地。 ( 1 0 ) 信息系统包含的信息的种类，数量很多，它们的安全需求各不相同。比如，有 的信息的安全需求只需要保持信息的可用性，不关心信息的保密性；有的虽然都关注信息 的可用性，但是它们的关心程度却可能不一样。 ( 1 1 ) 威胁利用信息系统的脆弱性对信息系统进行渗透、破坏的行为具有层次性，步 骤性。比如，网络黑客攻击，一般具有探测( 寻找漏洞的目标) 、渗透( 利用特定的攻击 手法将攻击程序送到攻击目的地，然后执行它) 、常驻( 攻击程序常驻目标上) 、扩张( 利 用已经常驻的受害主机，在网络中寻找邻近主机攻击) 、瘫痪( 删除受害主机上的资料， 关机，开始d d o s 攻击等) 五个步骤。每个步骤都利用了系统的不同脆弱点。在传统的 信息系统风险评估方法中，评估者孤立地看待威胁和脆弱点之间的关系，因此很难对最终 的影响进行评估。比如，一个系统的管理员级密码可能被泄漏，对于这个脆弱点，不同的 威胁利用这个脆弱点，会产生不同的后果和影响；另外，不同的威胁利用这个脆弱点产生 的影响虽然比较小，但是几个威胁之间相互组合，就可能产生严重的后果。没有充分考虑 威胁与威胁、脆弱点与脆弱点以及脆弱点与威胁之间的关联，是传统信息系统风险评估结 国防科学技术大学研究生院学位论文 果可信度不高的重要原因。 1 2 2 风险种类 信息系统可能面临安全风险的分类【8 】： ( 1 ) 物理风险 除人为破坏基础设施外，常见的物理风险有：自然灾难( 水灾、火灾、地震、台风、 海啸等) 直接破坏分布式信息系统中的各种基础设施以及备份数据的存储介质：电力供应 不足或中断等相关支持能力的丧失：静电、强磁场可能会破坏硬件设备，毁坏存储介质； 存储介质、计算机设备、网络设备、传输介质等自身的老化和损坏。 ( 2 ) 无意错误风险 在信息系统的信息存储、传输、处理和维护过程中，由于人为或系统原因造成的错 误影d i j j n 信息的完整性，有时也会影响信息的机密性和可用性。在一些情况下，错误是一 种j x l 险( 如操作员数据输入或存取错误将导致信息的泄露、篡改和丢失) ；而在另些情 况下，错误可能带来新的脆弱性( 如错误地将信息存取权提供给未授权者) 。 常见的错误包括：在数据输入和文档编排过程中相应人员出现了操作失误，而应用 软件又缺乏必要的输入数据合法性和有效性检查机制，从而导致处理结果的错误；数据在 传输过程中出现错误，例如传输数据中途被篡改或传输的目的地错误，可能导致信息完整 性遭到破坏或将信息传输给未授权者；信息存储时出现错误，例如将不同密级的数据存储 在同一介质上或同一目录下；相应的软件系统在安装和维护时处理不当而引发的错误，例 如操作系统由于维护不当或不及时而逐渐失灵，造成功能不能完全执行或者根本不能执 行，最终引发系统的失效，导致许多安全特性无法实现。 ( 3 ) 有意破坏风险 有意破坏是指内部和外部人员有意地通过物理手段对信息系统的组件、结构和信息 进行更改、移动和销毁等，直接危及信息的机密性、完整性、可用性和可控性，严重时会 引起整个系统的瘫痪和不可恢复。由于进行有意破坏的人员特别是内部人员可能熟悉整个 系统的情况并拥有某些操作权限和信任关系，因此这种风险带来的破坏一般而言都是巨大 的。 常见的有意破坏包括：破坏基础设旌、电磁干扰、蓄意备份未授权信息、蓄意删除 修改信息、扩散病毒、窃听、侦听、截包、电子欺骗、窃密、伪造、恶意代码( 病毒、特 洛伊木马、逻辑炸弹、时间炸弹、蠕虫) 等等。 ( 4 ) 管理风险 信息系统作为一个软硬件集成的有机整体，除了采用一些安全技术手段来保护其安 全外，重要的还是要对其进行有效的管理。如若管理不当，再好的安全措施也形同虚设。 例如就操作系统而言，即使其安全特性再好，但如果相应的安全管理不善，其运行时的安 全性能也会大大降低。如针对u n i x 的口令攻击，就是攻击者利用管理的漏洞获得存放口 令的文件，然后对系统进行的攻击。 常见的管理不当和失控包括：对口令、密钥的管理不严格或保管不妥当，而造成其 直接丢失、泄露给未授权者或易被猜测等安全隐患：管理制度的相关内容缺乏、制度遗漏， 而造成分布式信息系统的无序运行，严重时导致雪崩式的安全漏洞和脆弱性：安全岗位及 其职责设鼍不全面、岗位与职责对应关系混乱，从而导致管理中某些环节多重控制，而某 国防科学技术大学研究生院学位论文 些环节缺乏控制；对分布式信息系统的系统管理员、安全管理员、机密信息操作员和存储 介质管理员等的审查、录用、培养、调离和解聘各个环节中，管理制度及执行中出现的漏 洞和疏忽，而导致人为操作错误、有意破坏信息和系统的可用性、以及直接窃取信息等安 全事故；信息系统未建立和健全审计岗位、审计制度和审计系统，而导致不能及时发现系 统运行中的故障和安全隐患，出现安全事故时无据可查或无追踪和审查能力，无法落实安 全责任和责任人；分布式信息系统建设或设备更换期间，没有从系统安全的整体角度出发 来进行设备的选型或采购，或者未按照国家有关部门的规定和政策的要求来选择、配雹和 采购安全设备，例如选择了未经我国认证和准予销售的防火墙产品等，这些都容易引发系 统的安全问题。 ( 5 ) 其他风险 除了上述列举的这些风险外，其他可能危及信息系统中信息和系统安全的风险，也是 需要考虑的问题。 1 2 3 信息系统安全风险管理 安全风险是由于系统脆弱性与外部威胁而可能对系统造成损失的潜在危险。风险管 理( r i s k m a n a g e m e n t ) 是指确定、控制、消除或缩减影响系统资源的不确定事件的总过程， 它包括风险评估、费效分析、风险评估及安全防护评估等。信息系统安全管理可以看成是 一个不断降低安全风险的过程，其最终目的是使安全风险降低到一个可接受的程度，使用 户和决策者可以接受剩余的风险。c c ”、s s e c m m l l 0 1 、i s o i e c1 7 7 9 9 1 1 】( b s7 7 9 9 1 2 】) 、 i s o1 3 3 3 5 ”剐和i a l f “】中均把风险管理作为安全管理的一个主要分支来进行讨论【1 5 】。 c c 标准中定义了风险管理涉及的主要安全概念和它们之间的相互关系。它强调对防 护措施进行评估，评估的结果是对防护措施保障程度的描述，即防护措施能够降低安全风 险的可信度。资产所有者可以根据它来决定是否接受将资产暴露给威胁所冒的风险。 类似地，i s o1 3 3 3 5 给出的风险管理关系模型如图1 2 所示，它认为安全管理中的主 要部件包括资产、威胁、脆弱性、影响、风险、防护措施和剩余风险；主要的安全管理过 程包括风险管理、风险评估、安全意识、监控与一致性检验等。 图1 2i s 0 1 3 3 3 5 中的风险管理关系模型图 国防科学技术大学研究生院学位论文 s s e c m m 模型则定义了四个风险过程：p a 0 4 一评估安全威胁，p a 0 5 一评估系统脆 弱性，n 0 2 评估事件的影响和p a 0 3 一评估安全风险，它们之间的关系如图1 3 所示。 它要求在信息系统安全工程的初始阶段，开发人员首先应该根据风险管理过程进行风险评 估和评估。 相比较而言，i a t f 更进一步，它要求将风险管理贯穿于系统开发和维护的整个生命 过程。它认为，风险管理过程的本质是一个循环的过程，随着系统的设计、配置、任务或 操作环境等诸多相关因素的改变，风险管理过程需要相应地做出调整和反应。 i 譬囊鞭蝴黔。：i 卜 - i - 函i _ 影响信息 图1 _ 3s s e - - c m m 定义的风险过程 风险信息 此外，i s o i e c1 7 7 9 9 ( b s7 7 9 9 ) 的安全模型也主要是建立在风险管理的基础上。对 于不同的组织，它主要是针对资产、威胁、脆弱性以及对组织的影响等要素之问的关系进 行分析，得出潜在的损失，从而确定风险的大小，选出适用于自身组织的目标、控制和安 全措施，以减小组织承受的安全风险，并采取措施保证业务不会因为风险的发生而中断。 1 2 4 信息系统安全风险评估 1 2 4 1 信息系统安全风险评估现状 目前信息系统安全风险评估很多，主要由以下三类：传统风险评估方法、o c t a v e 评估方法、基于模型的评估方法。下面将分别对这三类方法进行介绍： 1 传统风险评估方法 风险管理的概念已经存在了很长的时间，在很多传统行业，形成了许多种成熟的风险 评估方法，如上世纪5 0 年代应用于飞机制造业的失效模式及效果危害程度分析方法 ( 刚e a & e c a ) 1 1 6 1 , 上世纪7 0 年代应用于化工行业的危害及可操作性研究分析方法 ( h a z o p ) 1 1 7 】，故障树分析法( f t a ) 1 1 8 】等。 随着信息系统技术的发展，人们逐步将这些方法引入到信息系统的安全风险评估中 去，如基于故障树的信息系统安全风险评估方法【1 9 】： 。 故障树最初是2 0 世纪6 0 年代为便于m i n u t e m a n 火箭系统的分析而提出的，后来这 种方法在航天工业、电子设备、化学工业、机械制造、核工业及一般电站的可靠性分析中 得到了广泛应用，并且取得了不少成果。目前它主要用于分析大型复杂系统的可靠性及安 全性， 被公认为是对复杂系统可靠性、安全性进行分析的一种有效的方法。 国防科学技术大学研究生院学位论文 故障树分析是一种t o p d o w n 方法，通过对可能造成系统故障的硬件、软件、环境、 人为因素进行分析，画出故障原因的各种可能组合方式和或其发生概率，由总体至部分， 按树状结构，逐层细化的一种评估方法。故障树分析采用树形图的形式，把系统的故障与 组成系统的部件的故障有机地联系在一起。故障树分析首先以系统不希望发生的事件作为 目标( 称顶事件) ，然后，按照演绎分析的原则，从顶事件逐级向下分析各自的直接原因 事件( 称基本事件) ，根据彼此间的逻辑关系，用逻辑门符号连接上下事件，直至所要求 的分析深度。所以执行故障树分析，首先需要故障树建模。故障树建模，就是寻找所研究 系统故障和导致系统故障的诸因素之间逻辑关系，并且用故障树的图形符号( 事件符号与 逻辑门符号) ，抽象表示实际系统故障组合和传递的逻辑关系。在故障树模型构造完成之 后，为了准确计算顶事件发生的概率，需要简化故障树，消除多余事件，特别是在故障树 的不同位置存在同一基本事件时，必须利用布尔代数描述并进行整理，然后才能计算顶上 事件的发生概率，否则就会造成定性分析或定量分析的错误。 这些方法虽然有很成熟的理论，但是出于它们主要产生于其他领域，不能完全反映信 息系统安全的规律和本质，特别是在对信息系统安全的网络风险因子进行分析时尤其显得 不足。 2 0 c t a v e 评估方法 1 9 9 9 年，卡内基梅隆大学的s e i 发布了o c t a v e 框架，这是一种自主型信息安全j x l 险评估方法1 2 0 l 。o c f a v e 方法是a l b e r t s 和d o r o f e e 共同研究的成果，这是一种从系统的、 组织的角度开发的新型信息安全保护方法，主要针对大型组织，中小型组织也可以对其适 当裁剪，以满足自身需要。它的实施分为三个阶段：( 1 ) 建立基于资产的威胁配置文件 ( t h r e a tp r o f i l e ) 。这是从组织的角度进行的评估。组织的全体员工阐述他们的看法，如 什么对组织重要( 与信息相关的资产) ，应当采取什么样的措施保护这些资产等。分析团 队整理这些信息，确定对组织最重要的资产( 关键资产) 并标识对这些资产的威胁。( 2 ) 标识基础结构的弱点。对计算基础结构进行的评估。分析团队标识出与每种关键资产相关 的关键信息技术系统和组件，然后对这些关键组件进行分析，找出导致对关键资产产生未 授权行为的弱点( 技术弱点) 。( 3 ) 开发安全策略和计划。分析团队标识出组织关键资产 的风险，并确定要采取的措施。根据对收集到的信息所做的分析，为组织开发保护策略和 缓和计划，以解决关键资产的风险。 o c t a v e 方法主要提供了一个信息系统的评估框架，它虽然对信息系统的风险进行 了综合分析评估，但是它主要关注评估流程，没有对评估细节尤其是复杂的网络风险识别 没有进行详细描述。 3 基于模型的评估方法 要对整个信息系统进行有效的安全性评估，使用基于模型的评估技术是一个有效的 方法。信息系统安全模型方面的研究已经开展了很长时间，比如成熟的有访问控制模型、 信息流模型、基于角色的访问控制模型等，这些研究成果对研究信息系统的安全评估模型 有很大的借鉴意义，通过模型可获得系统所有可能的行为和状态，利用模型分析工具产生 测试用例，对系统整体的安全进行评估。这种方法的优点在于：模型的建立比规则的抽取 简单，能够全面地反映系统中存在的安全隐患，而且能够发现未知的攻击模式和系统脆弱 性，因而特别适合于对系统进行整体评估。这种方法已经逐步成为国内外许多研究者的重 国防科学技术大学研究生院学位论文 点研究方向。 ( 1 ) 特权图模型 d e s w a r t e 使用特权图来表示系统漏洞带来的攻击者对系统控制权限的变化，然后对 系统的安全性进行评估。首先确定系统的安全策略，也就是攻击者的攻击目标，然后建立 系统漏洞的模型特权图：根据攻击者的动机、立场和行为，建立两种攻击过程和路径， 根据马尔可夫过程，计算出攻击者在不同情况下破坏系统的安全策略所需要付出的“努力” 【2 1 】。 该模型类似于本文提出的评估方法中引入的退化后的想定图攻击图，但是该模型 不能创建具有大量状态空间的特权图，所以具有很大的局限性。 ( 2 ) 基于图论的风险评估方法 中国科技大学汪渊博士等入提出了一种基于图论的网络安全风险评估方法并且实现 了一个原型，这种方法以一个网络信息系统作为分析对象，利用信息采集系统中收集的各 种网络安全信息，建立系统的各种入侵模式库以及网络安全漏洞威胁量化库，构造出网络 入侵关系图。研究人员同时给出了网络入侵关系图模型以及相关数学定义。 ( 3 ) 基于特权提升的量化评估方法 汪立东博士在其博士论文罩提出了一种基于特权提升模型的计算机安全风险量化评 估方法【2 2 j ，首先对目前流行的弱点分类法进行了研究，并因可比性量化评估的需要，在 自己的弱点分类中对弱点的多个属性进行了分级和量化，确定弱点在机密性、完整性和可 用性上可能造成的影响和它的攻击复杂性，提出特权提升原子的概念来表达了弱点的本质 属性。 攻击者使用一系列特权提升原子使自己经过一条特权提升路径而到达自己的攻击目 标。通过对攻击者的特权提升特点进行分析，作者发现特权提升可以分成5 类模式，并且 每个弱点都能被归入相应的特权提升模式。每种模式的风险由属于此模型的各种复杂攻击 的特权提升原子的权值和个数决定，而系统的本地和远程风险分别由相应模式的风险和权 值决定。作者采用此模式对选定的三种操作系统在机密性、完整性和可用性等安全属性上 的安全风险进行了计算和比较，并且分别引入版本、时间、保护措施等因素来考察系统的 动态变化，对计算结果也结合当前因特网的一些安全事实进行了分析。通过周期性地使用 这种评估，可以动态地反应系统安全性的变迁。 此外，还有从攻击树的角度出发，以逻辑分析的方法对网络环境下的漏洞进行量化评 估i ”】；以“电路理论”为基础，将目标网络的拓扑结构图转变为等价的电路分析图，对 目标网络的安全性进行量化评估 2 4 1 ；以图论为基础，根据目标网络的相关知识生成权限 关系图，并在此基础上建立数学模型进行不同角度的安全量化分析【2 5 ，2 6 l ；基于层次入侵关 系图进行入侵成功率的量化评估【2 7 】：基于模糊矩阵博弈的网络安全威胁评估f 2 8 肄等。 1 2 4 2 当前评估方法的不足 目前的这些评估方法在信息系统安全风险管理中发挥了很大的作用，但是都具有很大 的不足：可信度不高，这主要表现在风险识别和风险量化上。 在风险识别上，传统风险评估方法，虽然可以对信息系统的各类风险因子进行整体风 险评估，但是由于这些方法产生于其他领域，不能完全反映信息系统安全的规律和本质， 特别是在对信息系统安全的网络风险因子进行分析时尤其显得不足。o c t a v e 评估方法 主要关注评估流程，也没有对评估细节尤其是复杂的网络风险识别没有进行详细描述。基 国防科学技术大学研究生院学位论文 于模型的评估方法，虽然能够很好地识别信息系统网络风险因子，但是它们不包括其他风 险因子，因此不能对信息系统安全进行整体风险评估。 另外，目前的这些评估方法都只是考虑了信息系统的安全属性，并没有考虑活跃属性。 一个信息的安全需求应该包括安全属性和活跃属性两个方面。安全属性描述了系统中不期 望发生的事情，如入侵者不能通过网络获得系统用户级和管理员级的访问权限。活跃属性 描述了系统所要完成的任务，如一个w e b 网站必须要对外提供信息访问服务，而拒绝服 务攻击就可能阻止这种服务。这在目前的评估方法中几乎没有考虑到。 在风险量化上，与这类风险相关的数据如病毒、攻击的种类虽然能够通过某些专门组 织如c e r t 等得到，但是与组织密切相关的具体数据却很难得到，有些甚至是保密的。比 如组织受到某种网络攻击的频率，以及产生的损失等。这些数据一般的组织不愿意提供， 因为他们担一t l , 这会损害组织的信誉，并且害怕遭受同样的类似攻击。这种信息的不透明性 增加了信息安全风险评估的困难。在目前的许多信息系统安全风险评估方法中，主要通过 问卷调查、专家打分等方式获得主观数据来进行评估，这种做法很大程度上削弱了评估结 果的可信度。 本文将从入侵者的角度出发，利用想定图理论提出一种新的信息系统安全定量风险评 估方法，并且对信息安全风险评估中的关键技术进行了研究。该方法在考虑了系统安全属 性和活跃属性的基础上，覆盖了信息系统中包括复杂的网络风险的几乎全部的风险因子， 能够对信息系统进行整体评估，并且它具有可重复性，可对比性，和有比传统方法更高的 客观性，因此具有更高可信度。另外，该方法考虑了与网络相关的数据( 尤其是网络威胁 成功发生的概率数据) 很难获得，它能够在这些数据不完整的情况下也能计算出比较可靠 的风险评估结果。 1 3 论文研究的主要问题和成果 1 3 1 研究的主要问题 目前的信息系统安全风险评估方法不具有较高的可信度，这主要表现在对风险的识别 不够全面，以及风险量化主观因素多。主要原因是目前的信息系统安全风险评估方法有的 只对网络风险因子进行了评估，有的虽然进行了整体评估但是无法对复杂的网络风险进行 有效识别，而且目前的评估方法都只考虑了信息系统的安全属性而没有考虑信息系统的活 跃属性；此外信息系统安全风险的特点也决定了风险评估的客观数据很难获得。刚刚发展 起来的想定图理论利用b i i c h i 自动机从系统的安全需求出发对系统的行为和功能进行建 模，然后根据正确属性产生包含所有违反正确性属性的想定集合想定图，并且把想定 图转换成了马尔科夫决策过程。 本文的目的是将想定图引入信息系统安全定量风险评估中，提出一种具有较高可信性 的信息安全定量风险评估方法，并且对其中的关键技术进行研究，包括风险值量化计算算 法等。该方法既要能够很好地识别网络风险因子，又要能够对信息系统的安全风险进行整 体评估。此外，由于获取准确的威胁成功发生的概率比较困难，在很多情况下，我们不能 够获得全部的数据。我们希望提出的方法能够在数据不完整的情况下，计算出比较可靠的 国防科学技术大学研究生院学位论文 风险评估结果。 信息安全风险因子种类多，网络风险因子是目前越来越重要的风险因子，也是目前信 息安全评估方法在分析时显得最为不足的地方。本文将详细描述我们所提出的评估方法在 这类风险上的运用以证明该方法的可行性和优越性。在对网络风险因子评估的基础上，本 文进一步提出了基于费效分析的安全措施优化算法，从而以最少的成本消除己识别的风 险。 1 3 2 主要成果 本文的成果主要有： ( 1 ) 将想定图引入信息系统安全定量风险评估中，提出一种新的信息系统安全定量 风险评估方法，并且对信息安全风险评估中的关键技术进行了研究。该方法考虑了系统安 全属性和活跃属性，能够对信息系统进行整体评估，具有可重复性。在风险评估过程中引 入了马尔可夫决策理论和多属性决策技术，从而使该方法能够在概率数据不完整的情况下 计算出比较可靠的风险评估结果，因此具有更高的客观性。在风险量化计算中，引入了安 全度和危险度的概念，使晟终的评估结果具有了可对比性。由于该方法具有可重复性、可 对比性和更高的客观性，所以它具有更高的可信度。 ( 2 ) 基于想定图理论的评估方法的一个关键点是利用b t l c h i 自动机对信息系统安全 建立模型。本文详细地对信息系统的网络风险因子进行了建模，并利用该评估方法对一个 实例进行了具体评估，这样在一定程度上证明该方法的可行性和优越性。 ( 3 ) 在对信息系统安全网络风险因子评估的基础上，本文提出了安全措施优化问题， 即如何根据攻击图以最少的成本来消除所有识别出来的风险。本文证明了它属于n p 完全 性问题，给出它的多项式近似算法，并且证明了该近似算法的复杂度为o 伽2 e ) ，近似算 法性能比上界不超过日( f ) 。该结论可以推广到所有攻击图的应用中去，因此丰富了想定 图理论。 1 4 本文的组织 本文共分五章。 第一章介绍了本文研究的背景、信息系统安全风险的相关概念以及信息系统安全风险 的研究现状和目前方法的不足、研究的主要问题和主要成果。 第二章介绍了想定图理论。想定图理论包括想定图的定义、想定图的生成、概率想定 图、概率想定图的值迭代算法等。 第三章提出了基于想定图的信息系统定量风险评估方法，并且对其中的关键技术和步 骤进行了研究和阐述。 第四章利用想定图理论，我们对信息系统网络风险因子进行了量化分析，并且在此基 础上我们提出并解决了网络安全措施优化问题。另外，我们对一个实例进行了分析。 第五章总结了本文的研究成果并提出了进一步需要研究的工作。 国防科学技术大学研究生院学位论文 第二章想定图理论 想定图，又称故障想定图，是由o l e gs h e y n e r 在2 0 0 4 年的博士论文【2 9 】中提出来的。 它是由网络攻击图【3 0 1 发展和扩展而来的，主要目的是为了给用户发现系统设计错误提供 便利。模型检测是比较传统的检测系统是否存在错误的有效方法。它有两个输入：系统 模型和正确属性。模型检测技术不断检测系统行为是否违反正确属性，如果发现有违反 的行为，就产生这样的一个反例，帮助用户理解错误和修改。一旦纠正了已发现的错误， 用户继续重复使用这个技术，直到系统的行为完全满足了系统的正确属性。但是这种不 断重复的模型检测技术一个个查找错误，然后纠正在某些场合并不是工作得很好。有时 候，它不可能消除系统所有不期望的行为。比如在网络安全中就不可以。主要是因为以下 几个因素相结合造成的：软件的复杂性，新技术不断产生以及修复系统脆弱性的代价昂贵 等。尽管有这些困难，网络管理者还是希望能把必要的时间和资源投入到寻找和阻止最严 重的入侵想定上。但是传统的利用模型检测“找到一个问题，解决一个问题”的方式很难 使用户对问题进行优先级排序。o l e gs h e y n e r 修改了传统的模型检测技术来适应这种情况 ( 系统本身不可能完全正确的) 。从形式上说，想定图是一个系统违反了某个正确条件的 所有执行路径的集合。