（计算机软件与理论专业论文）基于重写系统的风险分析模型研究.pdf

硕十学位论文 摘要 计算机安全风险分析随着计算机系统安全问题的臼益严重而受到广泛重视。 因为其处理对象的庞大和复杂，风险分析需要自动化的方法实现以保证其实时性。 风险分析方法的发展目前已经进入了以抽象的模型化方法为指导的阶段。项重写 的风险分析模型以其良好的代数规范为风险分析的实现提供了理论基础。但是现 存项重写的模型忽略了分析和决策之间的推理过程，容易导致潜在威胁的传播。 本文针对项重写风险分析模型中资产的关键性级别，划分出关键资产，通过 分步的风险分析，实现不仅可以降低系统复杂度，还能有效保证关键资产的优先 处理；引入了与或攻击树构建攻击场景，节约了运行所需的空间，为后来的决策 选择打下基础，同时也为以后的图重写的风险分析提供依据。另外将模型中的环 境项作为系统状态，通过状态转移的方法描述了风险分析结果。本文证明了改进 后的模型i t r s r a 是终止的，并且在一定条件下合流。 本文在项重写系统所建立的代数规范的基础上提出了图重写的风险分析模型 g r s r a 。该模型依赖项重写系统所建立的风险签名和重写规则，以项图的方式实 现攻击场景的构建和风险分析过程。同时，利用图重写规则实现了一个决策选择 算法：采用图的最小顶点覆盖集合的算法，首先通过图着色找出着色相异的顶点， 依次将可以使系统效益最大化的决策点加入到决策集合中。本文证明了图重写的 风险分析方法是终止的，同时保持原代数重写系统的合流性。模拟仿真表明新的 决策选择算法在同一时间复杂度内在平均情况下可以获得更大的系统收益。 最后本文给出了一个风险分析系统的总体设计。 关键词：风险分析；项重写；终止；图重写；带权顶点覆盖算法 基于重写系统的风险分析模型研究 a b s t r a c t m o r ea n dm o r ea t t e n t i o ni sp a i dt or i s ka n a l y s i sw i t ht h ei n c r e a s i n g l ys e r i o u s s e c u r i t yp r o b l e mo fc o m p u t e rs y s t e m i ti so fg r e a ti m p o n a n c ea j l dv a l u et os t u d yt h e a u t o m a t i o no ft h ec o m p u t e rr i s ka n a l y s i sb e c a u s eo fi t sc o m p l e x i t ya n dn e e do fr e a l t i m e r i s ka n a l y s i si sn o wi ni t st h i r dp h a s eo fd e v e i o p m e n tc h a r a c t e r i z e db ym o d e l d r i v e n m o d e lb a s e do nt e r mr e w r i t i n gp r o v i d e sa na l g e b r as p e c i f i c a t i o nf b rt h e r e a l i z a t i o no fr i s k a n a l y s i s b u tt h ee x i s t i n gr i s k a n a l y s i sm o d e lb a s e do nt e m r e w r i t i n gi g n o r e st h ei n d u c t i o np r o c e d u r ef r o m “s kt od e c i s i o n ，a n dm a k e si te a s yt o p r o p a g a t et h ep o t e n t i a lv u l n e r a b i l i t y t h i sp a p e ra n a l y z e sa n dd e v e l o p st h ee x i s t i n gr i s ka n a l y s i sm o d e lb a s e so nt e r m r e w r i t i n gs y s t e m i td i v i d e st h eg r o u po fa s s e t si n t oc r i t i c a la n dn o r m a ls u b s e t ，a n d p e r f o r m st h ea n a l y s i si ns e p a r a t ep r o c e d u r e t h i sr e d u c e st h es y s t e mc o m p l e x i t y ， g u a r a n t e et h ep r i o r i t yo ft h ec r i t i c a la s s e t s ；i ta l s oi n t r o d u c e sa n d o ra t t a c kt r e ei n t ot h e a t t a c ks c e n a r i o ，c u td o w nt h es y s t e mr e q u i r e m e n to fs p a c e ，a n dp r o v i d e ss u p p o nf o r b o t ht h ec o m i n gg r a p hr e w r i t i n gm o d e la n dd e c i s i o ns e l e c t i o na l g o r i t h m i nt h ef o r m e r r e w r i t i n gm o d e lt h es y s t e me n v i r o n m e n ti st h ec a u s eo fa c t i o nc h a n g e ，b u ti nt h e i m p r o v e dm o d e li ti su s e da st h es t a t ei n f o r m a t i o n ，w h i c hd e n o t e st h es y s t e mr i s k t h e i m p r o v e dm o d e li t r s r ai ss h o w nt ob et e r m i n a t i n g ，a n dc o n n u e n tu n d e rac e r t a i n c o n d i t i o n b a s e do nt h ea l g e b r as p e c i f i c a t i o no ft e r mr e w r i t i n gm o d e l ，t h i sp a p e rb u i l d st h e a t t a c ks c e n a r i oa n dp e r f o r m st h er i s ka n a l y s i si nt h ew a yo fg r a p hr e w r i t i n g a l s ow i t h t h eh e l po fg r a p hr e w r i t i n g ，an e wd e c i s i o ns e l e c t i o na l g o r i t h mi s p r o p o s e d t h i s a l g o r i t h mt a k e sa d v a n t a g eo ft h ew e i g h t e dv e r t e xc o v e ra l g o r i t h m ，f i n d st h ev e r t e x e s w i t hd i f f e r e n tc o l o r ，a n dp u t st h em i n i m u mo n ei n t ot h eg r o u po fc h o s e nb ys e q u e n c e p r a c t i c a l l yi ti ss h o w nt h a tt h i sd e c i s i o ns e l e c t i o na l g o r i t h mm a k e sb e t t e rc h o i c ei nt h e m e a nc a s e s a 1 s oad e s i g no fr i s ka n a l y s i ss y s t e mi sp r o p o s e df i n a l l y k e y w o r d s ：r i s ka n a l y s i s ；t e r mr e w r i t i n g ；t e r m i n a t i n g ；g r a p hr e w r i t i n g ；w e i g h t e dv e r t e x c o v e ra l g o r i t h m i i 硕士学位论文 插图索引 图2 1i s o i e c1 5 4 0 8 一l 定义的安全关系9 图2 2 简化的系统关系图1 0 图2 3 多种类代数初始模型1 4 图2 4 包含攻击项的多种类代数模型1 4 图2 5 加入了决策选择的多种类代数模型1 5 图2 6 完整的风险分析签名1 6 图3 1 与树的图形表示2 2 图3 2 或树的图形表示2 2 图3 3 与或树构建的攻击场景2 4 图3 4 i t r s r a 的风险分析签名2 4 图3 5 重写规则的多项式解释2 7 图4 1 ( a ) p l 对应的图重写规则( b ) p 2 对应的图重写规则3 2 图4 2 ( a ) p 3 对应的图重写规则( b ) p 4 对应的圈重写规则3 2 图4 - 3p 5 ，p 6 ，p 7 对应的图重写规则3 2 图4 4 决策实例的图释3 5 图4 5 决策优化的图重写规则3 7 图4 6 决策和攻击项个数对新决策选择算法的影响4 0 图4 7 改进后的决策选择算法带来的效率4 0 图5 1 风险分析系统组件4 2 图5 2 主要类图4 3 图5 3 风险分析和决策顺序图，4 5 i i l 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取 得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其 他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果 由本人承担。 作者签名：鸯出婶日期：矽，年，月f 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查 阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位 论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密口。 ( 请在以上相应方框内打“”) 作者签名： 导师签名： 日期：瑚6 年朋日 日期：妒年，月1 日 硕士学位论文 1 1 引言 第1 章绪论 计算机系统由实体和信息两大部分组成。时至今日，网络技术的高速发展使 得通信和信息共享极为方便。但是网络模型有其固有的安全脆弱性，也导致了众 多不安全因索的进入，信息系统遭受的攻击日趋频繁。由于通讯设施和协议的内 在特点使得计算机网络环境不可避免的具有大量风险，如何评估和规避这些风险 具有重要的意义。然而传统的方法，如杀毒、防火墙、入侵检测等防护措施多属 于事后、被动、单一韵防护方法，往往只是针对出现的问题予以暂时解决，缺少 系统的考虑，带有很大的盲目性。计算机系统的安全问题越来越受到人们的关注 和重视。 安全事件很大部分归因于技术管理的缺乏带来的弱点。因为系统结构过于复 杂并且频繁、动态的变化，管理者很难做出决策，而且服务之间互相依赖，管理 操作可能潜在的控制网络中的所有组件，攻击之间的交互、管理的不足可能出现 大量的潜在弱点的传播，导致更多潜在威胁【1 】。近来，风险分析成为研究的热点。 因此计算机系统的安全越来越受到人们的广泛重视。安全的概念发生了较大的变 化：安全不仅局限于信息的保护，人们需要的是对整个信息系统的保护和防御： 安全和应用的结合紧密，其动态性和相对性日趋重要，追求适度风险的信息安全 成为共识【2 】。因此计算机系统的风险分析日趋重要。 风险就是不利事件发生的可能性。风险分析是评估风险、采取步骤将风险消 减到可接受的水平并且维持这一风险级别的过程。风险作为威胁、弱点和资产价 值的函数，反映了系统当前所处的安全状态。风险管理根据风险分析的结果建立 风险决策，风险分析是风险管理的最根本依据。尤其重要的是，系统风险评估是 一个复杂的过程，需要确定计算机系统和网络中每一种资源的缺失或遭到破坏对 整个系统造成的预计损失数量【3j ，即对威胁、脆弱点以及由此带来的风险大小的评 估，其中涉及系统中包括物理环境、管理体系、主机安全、网络安全和应急体系 等方面，要在这么广泛的范围内对一个复杂的系统进行一个全面的风险评估，传 统的手工方法就不能满足要求了。自动化的风险分析方法的实现对于系统安全全 面彻底的执行和相应安全决策的制定具有重要意义【4 1 。 1 2 安全风险分析的研究现状 信息安全风险评估是指对信息系统及其处理的传输和存储的信息的保密性、 基于重写系统的风险分析模型研究 完整性和可用性、安全属性进行科学识别和评价的过程。从2 0 世纪7 0 年代起关 于安全风险评估研究已经开始了。美国、加拿大等国家已经建立了国家认证和风 险评估认证体系，研究并开发出了相关评估标准、评估认证方法和评估技术，并 进行基于评估标准的信息安全评估和认证，对风险进行控制，研究出了用于风险 管理的多种方法。现存的计算机风险安全分析有很多种分类方法，可以分为按照 量化程度划分，可以按照基本技术划分，也可以按照发展阶段划分。 按照量化程度划分可以分为定性方法、定量方法和定性定量混合等几种方法。 定性分析主要是把风险元素划分为若干主观项，检查目标系统中的对应子项是否 存在。风险分析作为重要的信息安全保障原则已经很长时间。早期的风险分析方 法大部分是定性的，如危险及可操作性研究法【5 h a z o p 、故障模式及效应分析法 【6 】f m e a f m e c a 一一也就是，他们对风险产生的可能性和风险产生的后果基于 低、中、高这种表达方式，而不是量化的可能性和损失量。定量分析方法主要是 依据大量风险下系统在消极事件下暴露程度的量化。风险评估工具根据对各要素 的指标量化以及计算方法不同也可以划分为定性和定量的风险分析工具。人们希 望用定量的风险分析方法反映事故方式的可能性。好的数据是采用定量风险分析 的先决条件。因为计算机安全风险可获得的数据经常是有限的，但是风险因素持 续改变，所以可靠的评估信息安全风险非常困难。由美国海军部发起的a n s s r 原 形【7 j ，明确分析了由网络产生的风险，包括模拟主动和被动搭线攻击，还分析了攻 击者利用网络寻找宿主机的分析过程。主要是在需求定义阶段评估信息系统暴露 的风险，分析了计算机安全特性但是没有实现完整的风险分析。定性定量混合的 方法有0 c t a v e 、g a o 等。o c t a v e 从信息安全风险评估的组织问题、技术问题 和分析问题中形成了一个三阶段方法，即建立基于资产的威胁配黄文件、标志基 础结构的弱点和开发安全策略和计划。通过可裁减的八个步骤描述了自主评估的 实施过程1 8j 。g a o 方法通过代表了风险可能性和严重性的量化描述矩阵实现连续 的风险监控。其中利用的定性方法的典型代表有故障树分析法f t a 、事件树分 析法【lo 】e t a 等方法。但无论如何，目前产生的一系列风险评估工具都在定量和定 性方面各有侧重。如c 0 n t r o l i t 、d e f i n i t i v es c e n a r i o 、j a n b e r 都是定性的风 险评估工具。而 r i s k 、t h eb u d d ys y s t e m 、r i s k c a l c 、c o r a ( c o s t o f - r i s ka n a l y s i s ) 是半定量( 定性与定量方法相结合) 的风险评估工具。 计算机风险包含众多因素，这也造成了风险分析的复杂性。计算机安全风险 评估方法经历了如下的发展阶段【l ”，安全风险分析已经进入了以表达问题和方法 空间的高度抽象为特征的第三个阶段。 1 2 1 核查表法 早期的风险分析方法中仅存在很少风险决策方法，而且这些方法主要出自计算 硕士学位论文 机系统中的某些集中的单元。因此，核查表法主要是研究整个系统。并制定出可 以降低风险的所有可用方法，然后从多个不同的解决方案选择出理想的解决方案。 因为可以提供的解决方法数量极为有限，所以系统管理者核查所有的已知的风险 管理方法，以表格的形式列举在具体环境中可以实施的风险决策，逐一检查是否 都已经存在。这种技术上的限制决定了这种方法通常着眼于具体的物理说明，也 决定了早期的核查表法存在的缺点，如难读、难以理解，甚至很难维护。 核查表法从可选的计算机软、硬件系统中选出可以优化、改善系统的性能方案， 但是这无法确定从选出的解决方案中将会获得多大的收益。所以系统管理者需要 理性的分析方法。就此引入风险收益分析。 c o u r t n e y 提出了安全控制方案中使用最为广泛的风险分析描述方法t ”i 。定义 两个主要的风险元素分别是该风险每年出现的次数达到一定数量的机率，和由于 该风险的存在可能导致的开销或者损失，那么风险计算就是该二者的乘积。 核查表式风险分析方法的标志是：基于预先定义的系统解决方法的集合，在其 中选取子集。主要的特点是对每一个可考察的部分通过大量的调查获得核查表， 所以对每个可能的系统安全组件都是一个彻底的检查。同时，这种方法不依赖于 深入的风险分析知识，没有物理或者逻辑模型，没有依赖性分析，从而减低了对 分析者的要求，仅需要较低的安全分析费用。引入权值和风险分析因子，为该过 程提供了基于计算机的工具。但是，这种方法过度简化了在复杂的计算机系统中 的风险分析过程。一个单一的安全决策可能涉及到多个系统部件，以及随之而来 的安全盲点。另外，这种方法没有结构化的详尽的安全说明，因此很难保存和维 护文档。 1 2 2 基于工程的风险分析法 这是风险分析方法发展的第二个阶段。在这个阶段，作为风险分析对象的计 算机系统开始更加复杂，同时在大量软硬件和外设的参与下，风险管理的控制方 法更多而且更加复杂。如何利用计算机辅助或者完全实现风险分析成为研究的方 向。第二阶段风险分析方法的目标是利用复杂的风险评估和管理手段，识别并且 解决每一个风险的方法，然后再将离散的解决方法组成统一的系统。在如何把这 些离散的解决方案组成矩阵或者单个的解决系统方面，开始考虑建立概念化的解 决方法而不仅仅是从可以实施的风险管理中选择出最适合的管理方法，着重整体 的概念化的规则设计。这个阶段的风险分析方法很多采用了量化的分析方法。 c l 认m m 是c c t a 于1 9 8 5 年开发的一种定量风险分析工具【1 3 】，同时支持定性 分析。c r a m m 是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用 于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。 c r a m m 的安全模型数据库基于著名的资产威胁弱点模型。c r a m m 与b s 7 7 9 9 基于重写系统的风险分析模型研究 标准保持一致，它提供的可供选择的安全控制多达3 0 0 0 个。这种方法分为三个步 骤，首先定义研究范围，然后资产分组，进行分别的风险分析，最后制定决策方 案。每个步骤都有相应的c r a m m 软件支持。 b d s s 是一种直接采用了量化分析的分析方法”。通过数据收集，针对不同 的资产建立包括频度和暴露分布的量化分析，经过严格正规的统计形成风险曲线， 经过安全防范分析，最后产生结果。 c o r a 是由国际安全技术公司开发的一种风险管理决策支持系统，它采用典型 的定量分析方法，可以方便的采集、组织、分析并存储风险数据，为组织机构的 风险管理决策支持提供准确的依据。 第二代风险分析方法具有以下特点：目标系统的各组成部件复杂并且彼此联 系，资产威胁和安全措施必须经过分类以便处理；系统需要精确的控制，要求控 制方法唯一并且合理。可能的对象系统和技术复杂易变，导致解决方案没有规模 的限制，不能由单一数据库和核查表得出。 基于工程的风险分析法将详细的系统安全需求作为安全设计的基础，强调系 统中物理节点的关键暴露。由于其设计的系统原则性，这种方法具有良好的包容 性，不仅适合于普通的系统，对于特殊的或者较复杂的系统也有良好的适用性。 同时，这种方法避免了对庞大的核查表进行逐一核查的过程，具有相对较高的效 率。详细的、组织良好的安全档案将会降低系统的安全费用。 1 2 3 逻辑转换模型方法 逻辑转换模型方法通过建立高度抽象化的方法实现风险描述和分析。首先是 将风险问题和管理方法属性描述为抽象的模型，然后通过匹配获得最终的解决方 法。这种方法将分析的重点从详细的项目说明上转移到了逻辑上，更加注重逻辑 转换的方法来获得风险管理的最终决策。如何在这些抽象模型的基础上自动实现 风险分析过程也是现在研究的热点。 形式化实现的风险评估方法，最大的优点就是能够实现自动化的处理，产生 确定的结果。主要成果有： 状态机模型【l5 】用状态机语言将安全系统描绘成抽象的状态机，用状态变量表 示系统的状态，转换规则描述变量变化的过程。但是状态机安全模型通常只能描 述安全操作系统中若干个安全性相关的状态变量。存取矩阵模型是一个状态机模 型，将系统的安全状态描述为一个长方形矩阵。通过转换函数来描述如何使存取 矩阵和其他变量发生变化。b l p 模型 1 6 】是另外一种系统安全状态模型。形式化定 义了系统状态机状态问的转换规则，并制定了一组约束系统状态转换的公理。系 统状态是由主体集、客体集、访问权限对，存取控制矩阵，安全级函数，和当前 层次结构构成的四元组1 1 7 】。 硕士学位论文 信息流模型用于描述系统中客体之间信息传输的安全需求，根据客体的安全 属性决定主体的存取操作是否可行。信息流模型不是检查主体对客体的存取，而 是试图控制从一个客体到一个客体的信息传输过程。他根据两个客体的安全属性 确定存取操作是否可行l l ”。 当然已有的一些风险管理方法中很好的体现了对风险的评估。比如 s t o n e b u m e r 编写的信息安全风险分析指南l ”】，详细地介绍了信息系统的风险 管理。这为抽象化描述风险评价模型建立基础。已有的一些风险管理方法在此基 础上很好的体现了对风险的评估，比如n e t r a m 的方法【2 0 】。 多特蒙德大学的g e r r i tr o t h m a i e f ，a n d r ep 0 h l 和h e i k ok r u m m 通过s p i n 与 c t l a 分析网络管理的效果提供了一种风险分析模型1 2 1 1 。这里，s p i n 是一种模型 校验工具；而c t l a 是基于t l a 的一种规范语言。c t l a 的优点是，在形式化分 析过程中可以借助于符号推理。此外，可以进行自动分析。作者论述了如何将c t l a 规范变换为s p i n 的模型描述，并通过i p 劫持( i ph i j a c k i g ) 说明基于s p i n 的模 拟与分析。 突尼斯十一月七日大学计算机网络与安全研究室的m o h 眦e dh 锄d i 和 n o u r e d d i n e b o u d r i g a 2 0 0 3 提出的一个网络安全抽象代数说明【2 2 】是形式化风险分析 的一个新的进展。现在的风险分析技术由于计算的复杂性很难直接处理现实世界 中的事物。所以需要一个风险分析的自动化工具，来判断攻击，做出安全决策。 m o h a m e d h 啪d i 和n o u r e d d i n e b o u d r i g a 在2 0 0 4 年提出了一种在计算机网络 环境中对安全风险进行决策判定的方法【23 1 。该方法的基础是多种类代数签名 ( m 蛐ys o n e da l g e b r a i cs i g n a t u r e ) 与重写系统( r e w r i t i n gs y s t e m ) 。论文证明了， 该重写系统是中止的，且产生一个法式( n o 咖a lf o m ) ，作者称之为风险分析方程， 可以模拟代价利益比。该文的贡献在于，通过严格的理论上的探讨和形式化的论 述，帮助风险分析人员自动选择最佳的安全解决方法，最大程度地降低风险。现 在的风险分析技术由于计算的复杂性很难直接处理现实世界中事物。所以需要一 个风险分析的自动化工具，来判断攻击，做出安全决策。文献【2 3 】所提出的网络安 全风险管理活动的代数描述，构造了个在不考虑实现细节的情况下自动化的风 险评估过程模型。 抽象的模型阐明了系统中存在的风险，并同样通过模型化方法获得管理方法， 这样带来了更高的效率。基于模型的风险分析方法更加灵活并且可以适用于更复 杂的系统，所以，第三代风险分析方法具有很大的灵活性，用模型化的方法分析 系统安全，在一定程度上与单独的技术无关，另外建立良好的文档说明，将明显 的降低风险分析的安全开销。同时，模型化方法体现了关键部件和安全决策之间 的密切关系。但是，一些现有的技术不容易通过建立模型的方法实现，代价，利益 比在模型中的具体实现也各有不同。 基于重写系统的风险分析模型研究 1 3 风险分析标准 基于国家或政府颁布的信息安全管理标准或指南建立风险评估工具也是现在 风险分析的常用方法。目前世界上存在多种不同的风险分析指南和方法。 2 0 0 0 年4 月，美国国家安全系统委员会发布了专门针对国家安全系统的国家 信息保障认证和认可过程( n i a c a p ) f 24 1 。2 0 0 0 年1 1 月，美国国家标准技术研 究所( n i s t ) 在为c 1 0 委员会制定的联邦i t 安全评估框架中提出了自主评 估的5 个级别；2 0 0 1 年1 1 月，颁布了i t 系统安全自评估指南( s e c u r i t y s e l f 二a s s e s s m e n tg u i d ef o ri n f o r m a t i o nt e c h n o l o g ys y s t e m s ) ( s p 8 0 0 2 6 ) ，提出 了针对三大类1 7 项安全控制的1 7 张调查表；1 2 月发布了i t 安全基础技术模 型( s p8 0 0 3 3 ) ，提出了信息系统安全的目标、安全服务的模型、安全目标的 实现和安全控制措施在风险管理中的作用；2 0 0 2 年1 月，发布了i t 系统风险管 理指南( s p8 0 0 3 0 ) ，概述了风险评估的重要性、风险评估在系统生命周期中 的地位、进行风险评估的角色和任务，阐明了风险评估的步骤、风险缓解的控制 和风险评价的方法【l 。2 0 0 2 年，美国颁布了联邦信息安全管理法案( f i s m a ) ， 提出联邦各机构的信息安全项目必须包括定期风险评估、安全意识培训等九个方 面的内容口5 】；美国国家安全局( n s a ) 颁布了信息安全评估能力成熟度模型 ( i a c m m ) 2 1 版。提出了包括评估信息安全风险在内的9 个过程域和2 9 个子域。 描述了与之有关的能力成熟度的五个级别。2 0 0 3 年，n i s t 发布了联邦i t 系统安 全认证和认可指南( s p8 0 0 3 7 ) 的第2 o 版。 同时，除了美国以外，其他国家也纷纷制定自己的国家评估标准和发布技术 文献，如澳大利亚新西兰风险管理准则联合委员会于1 9 9 5 年颁布了世界上第一部 风险管理的正式标准：a s n z s 4 3 6 0 。其中风险评估研究中比较突出的是英国标准 化协会( b s i ) 1 9 9 5 年颁布了信息安全管理指南( b s7 7 9 9 ) 。b s 7 7 9 9 分为两个 部分：b s 7 7 9 9 1 信息安全管理实施规则和b s 7 7 9 9 2 信息安全管理体系规范。 2 0 0 2 年又颁布了信息安全管理系统规范说明f b s7 7 9 9 2 ：2 0 0 2 ) 。在b s 7 7 9 9 2 f 2 6 j 中，提出如何建立信息安全管理体系的步骤。b s 7 7 9 9 将信息安全管理的有关问题 划分成了l o 个控制要项、3 6 个控制目标和1 2 7 个控制措施。英国推行基于b s 7 7 9 9 的认证产业，b s 7 7 9 9 是一个信息安全管理标准与规定，在建立信息安全管理体系 过程中要进行风险评估，根据其p d 3 0 0 0 中提供风险评估的方法，建立了c r a m m 、 r a 等风险分析工具。针对风险评估的工程实现，s s e c m m 、g a 0 2 7 等标准和方 法对评估过程给予了较好的指导。 在各国研究的基础上，国际标准化组织在1 9 9 6 年开始制定i t 信息安全管理 指南( i s o ，i e c1 3 3 3 5 ) m j ，i s 0 13 3 3 5 是由国际标准化组织颁布的一个信息安全管 理指南，这个标准的主要目的是要给出如何有效地实施i t 安全管理的建议和指 6 硕士学位论文 南。用户完全可以参照这个完整的标准制订出自己的安全管理计划和实施步骤。 许多国家也在使用或发展国际标准化组织的i s 0 i e c 信息技术安全管理指南的基 础上建立自己的风险评估工具。 在国内，为推动计算机安全风险分析的发展，国家也做出了诸多努力1 2 。国 务院信息化工作办公室颁布了信息安全风险评估指南，指出威胁所对应的某一风 险和信息及其相关资产的脆弱性、威胁、威胁发生的可能性、威胁发生所造成的 后果有关。这为国内的风险分析的发展起到了促进作用。 1 4 本文的主要工作 本文对基于重写系统的风险分析方法展开了研究，改进了现有的项重写分析 模型，并提出了一种基于图重写系统的方法实现风险评估和决策选择。这种模型 化的方法为风险分析的自动化实现提供了理论依据。本文主要工作如下： ( 1 ) 对现有的基于项重写的风险分析方法进行了综合分析，针对其中存在的关 于威胁场景构建和资产优先级设定上存在的不足，提出了按照资产优先级分别迸 行重写的分步执行过程，降低了计算复杂度：提出了基于与或攻击树的威胁场景 构建方法；证明了改进后的模型中与或运算形成的代数结构分别是独异点和半群： 证明了改进后的模型是终止的，并且给出了该系统合流的条件。 ( 2 ) 在基于项重写的风险分析方法所建立的代数规范的基础上，本文引入了图 重写的风险分析方案。利用图重写的方法更方便和清晰地描述了攻击场景的构建， 提高了系统的整体性。本文引入了回归路径序列证明图重写的风险分析方法是终 止的。 ( 3 ) 分析了传统的决策选择算法。针对按照出现顺序先到先处理的方法往往不 能获得最大的系统收益的问题，本文根据图的带权顶点最小覆盖集合的算法，通 过图重写规则，利用图着色的算法实现了一个新的决策选择算法。实验证明该算 法在平均情况下可以使系统获得更大的收益。 ( 4 ) 对计算机系统安全风险分析方法的实现进行了详细的设计。 1 5 文章组织结构 本文主要探讨基于重写系统的风险分析模型，涉及对项重写和图重写的风险 分析模型的性质分析，决策选择算法的分析和改进。 第一章，针对风险分析的发展历程和主要方法，分别列举了各个阶段的风险 分析方法和工具，对现存的计算机安全风险分析标准进行综述。最后指明了本文 的主要工作和论文的总体结构。 第二章，主要介绍了本文的研究基础，即风险分析的研究要素和结构关系， 基于重写系统的风险分析模型研究 基于项重写的风险分析方法的概念和分析方法。这是后续章节的基础知识和理论 依据。 第三章，在第二章的基础上，分析了现存的基于项重写的风险分析方法中存 在的缺陷，在此基础上提出了改进的风险分析模型，是对于项重写的分析方法的 扩充和改进。 第四章，利用项重写方法提供的代数规范，在改进的分析模型的基础上，提 出了基于图重写的风险分析方法，证明了其可终止性。同样利用图重写规则，在 图的最小覆盖算法的基础上提出了一种新的决策选择算法，从理论和实验上证明 了其可以获得更优决策集合，为系统带来更大效率。 第五章，在前文的基础上，利用现有的自动化弱点扫描工具和入侵检测工具， 设计了一个基于图重写的风险分析模型。 最后是论文的结论部分，对论文的主要工作进行了总结，并指出了今后进一 步研究工作的展望和设想。 8 第2 章基于项重写的风险分析模型 2 1 风险分析概述 2 1 1 风险分析中的要素 计算机系统的风险分析包括风险评估和风险管理。风险评估是在计算机系统 中的每一种资源缺失或者遭到破坏对系统造成的预计损失数量。是对威胁、脆弱 点以及由此带来的风险的大小的评估。风险管理是在风险评估结果的基础上，制 定相应决策以减小风险，使其达到系统要求的过程。 对系统进行风险分析和评估的目的就是：了解系统目前与未来的风险所在 评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的 建立及安全运行提供依据。 l s o i e c1 5 4 0 8 1 中定义了安全关系 ”】。其中，所有者拥有资产，希望能够通 过制定防范措施，控制脆弱性以最小化风险；威胁作用物以威胁的形式作用于资产， 引起滥用或者损害。 圈2 ，1i s 0 4 e c1 5 4 0 8 1 定义的安全关系 所以，从风险评估的角度看，主要考虑威胁行为、脆弱性、资产、影响四个 方面进行评估。而资产受损带来的影响一般与资产的价值成正比。 风险评估中常用的几个概念界定如下： 风险：威胁主体利用资产的脆弱点对其造成损失或破坏的可能性。风险的三 个要素为威胁、脆弱点和资产，风险评估就是对这三个要素的分析，而降低风险 个要素为威胁、脆弱点和资产，风险评估就是对这三个要素的分析，而降低风险 基于重写系统的风险分析模型研究 采取的安全措施也要考虑这三个要素。 资产：资产是属于某个组织的有价值的信息或者资源，分为有形资产和无形 资产，也就是需要制定对应决策保护的信息或资源。 威胁：导致损失的未预料的事件发生的可能性。可以分为自然灾难、人为的 无意识错误、故意的人为攻击，和能够通过未授权访问、毁坏、揭露、数据修改 或拒绝服务对系统造成潜在危害的任何环境或事件。 脆弱点：指的是可以被威胁利用的系统缺陷，能够增加系统被攻击的可能性。 系统资产在相关环境中体现出来的，可以被威胁利用从而引发资产或商业目标损 害的弱点和漏洞。例如系统中存在的各种漏洞，可能的威胁就可以利用漏洞给系 统造成损失。系统遭受损失，最根本的原因在于本身存在脆弱性。因为攻击者只 有利用了系统的脆弱性，攻击才能成功。系统的脆弱性包括系统最初存在的脆弱 性和后来增加的安全措施存在的脆弱性。脆弱点也称为弱点。 风险的后果是威胁源实施威胁所造成的损失，叫做影响。 图2 2 简化的系统关系图 由此，可以粗略的理解为风险评估包括威胁、资产和脆弱点评估。 由于计算机系统的风险涉及到的面非常广，讨论存在的风险问题首先必须对 其影响要素进行评估分析，才能相应的讨论系统安全的其它方面。风险评估作为 风险分析的基础，其首要工作就是识另日系统中的各种风险要素。 2 1 2 资产评估 资产评估是风险评估过程中的重要因素。资产评估一方面是资产的价值评估 主要是针对有形资产，另一方面是资产的重要性评估，主要是从资产的安全属性 分析资产对整个系统运作的影响。资产评估就是根据组织的安全需求，筛选出重 要资产，即可能会威胁到企业运作的资产。 一般来说，基于资产价值的风险评估可以看作是一种量化的风险评估，通常 需要估计以下因素： 损坏事件发生的可能性； 潜在的损失的代价； 硕士学位论文 损坏事件真正引起潜在损失的可能性； 减轻风险所需的代价。 量化的风险分析根据上述这些因素，形成称为预期年度损失( a l e ) 或估计 的年度代价( e a c ) 的评估项，就是通过用可能的损失乘上特定事件的概率即可 计算出此事件的代价，因此a l e 可被用来对风险分级并据此决策。 另外，采用目录结构记录资产实体以及之间的关系也是一种常用的方法。建 立完备的资产管理目录，而且详细规整地记录资产实体的分属以及相互关系，不 仅对于了解整个系统、对于量化风险分析以及形式化分析模型的建立都有很大棒 益。对于资产的评估是为了收集详尽的资产信息，然后按照所有不同属性，例如 是否关键资产以及资产价值，建立详尽的目录。这是通常的建立安全档案的第一 步，也是非常重要的风险分析步骤。组织良好的安全文件，可以清晰的显示整体 的资产安全状况，同时减少数据重复带来的复杂性。 但量化的风险评估有两大问题：计算所有的故障代价非常困难；计算事件概 率不仅困难而且需要引入许多主观结论，这就影响了资产评估甚至整个风险评估 结果的精确度。所以本文的工作中对资产的评估采取对其价值和重要性这两个方 面进行评估。这样，虽然在资产评估中没有直接考虑各种可能性因素，但是在形 式化的评估方法中，以规约方法可以最终达到同样的目的。 2 1 3 脆弱性评估 网络协议本身的缺陷给系统带来隐患。网络协议是计算机之间为了互联共同 遵守的规则。目前计算机网络所采用的主流协议t c p i p 。由于在其设计初期过分 强调其开放性，并没有仔细考虑其安全性，因此存在着许多原始的安全漏洞，留 下了许多安全隐患。 设计实现时，由于程序员编程的疏忽或为了自身方便而设计一些后门，这类 漏洞很难发现，同时也很难弥补，是威胁极大的安全漏洞。这种漏洞只有依靠重 新设计和实现。 同样系统中也存在配置漏洞。这是攻击者最常利用的漏洞，配置漏洞来源于 管理员或用户错误的设置。 检测系统弱点是为了发现所描述资产的弱点，目前有很多用于检测系统弱点 的工具，包括自动化的扫描工具。比如以模式识别为主，主要是分析包内容，并 采用规则集、专家系统和启发式反馈技术，代表系统如c 0 p s ，e x p e r t 等；还有采用 弱点和风险评估专家知识库，快速鉴定网络系统、w e b 服务器、防火墙和应用程序 中的弱点，如用于鉴别o s 和服务类型的n m a p 程序等；以及采用适应性安全管理， 开始着重予将安全策略和解决方案集成在己有的信息系统中，在提高产品易用性 的同时，开始将己知问题修复、自动反馈等知识进行集成，如i s s 系列等。还有最 基于重写系统的风险分析模型研究 常用的核查表调查常用来识别人为造成的弱点。还有综合了各种技术的专家意见 在发现步骤性的弱点方面具有重要作用。 威胁的识别主要是识别可能对目标系统造成损害的恶意事件，量化分析中一 般包含了威胁的可能性、频度和严重性等因素。 美国计算机紧急事件反应小组协调中心( c e r t c c ) 建立了常见脆弱点( c v e ) 列表 3 1 1 来对所有公开的已知安全漏洞建立单一的独有名称以相互区别。n i s t 的 i c a t 项目也是用来标志脆弱点的。本文在后续的工作中采用了c v e 列表中的名称 标志系统中的脆弱点。 2 2 风险分析的代数签名 为了评估信息系统的安全风险，多种风险评估方法被开发出来并应用于实践， 但由于信息安全具有的高度复杂性和不确定性，这些方法还存在很多难以解决问 题。具有共性的问题表现在：1 缺乏形式化的分析和描述方法，无法精确分析和 描述风险相关要素，给评估结果带来很大的偏差：2 缺乏对关键信息资产安全风 险相关要素的深入分析，评估结果主观性强，有实际价值的内容往往只是系统的 脆弱性检测结果；3 缺乏对风险相关要素的抽象、归纳和复用的方法，使风险评 估陷入低水平低效率的循环；4 缺乏工具支持，低层次手工作业量较大，风险评 估的效率较低。 现存的风险分析技术由于计算的复杂性很难直接处理现实世界中事物，为此 文献【2 2 ，2 3 】提出了一种形式化的风险分析方法，来判断攻击，做出安全决策，为 风险分析的自动化实现提供了理论基础。 等式推理在形式语义、自动化推理、高级编程语言、人工智能等方面都有很 重要的应用。推理包含从已知的等式中演绎出结论、找到符合给定等式的变量值。 重写是处理等式的一个有用工具。重写存在于很多领域，在项代数中的重写系统 被称为项重写。 2 2 1 相关概念 一个代数数据类型包括一个或多个类型集合，再加上一组在这些集合上的函 数。其中的基本类型符号，就是类别。 根据文献【3 2 】，给出定义如下： 定义2 1 ：签名( s i g n a t u r e ) = ( s ，f ) 由下列两部分组成： 1 集合s ，其元素叫做类别； 2 二元组瓴s l s t _ j ) 的集合f ，其中，s ，s l ，船s 。- 厂是函数的名称。后 项s 指明了函数变元和函数项