软交换量化风险评估的研究.doc

软交换量化风险评估的研究史敏锐，陈 健 （中国电信股份有限公司上海研究院 上海 200122）摘要 本文通过建立计算方法量化网络风险评估。该方法通过对软交换网络和业务重要性、面临的威胁及自身脆弱性等评估参数的分值计算得到网络的安全等级，以此对网络安全等级进行划分。该方法比较好地解决了定量化评估问题，具有操作性、实用性等特点。关键词量化；软交换；风险评估1引言随着软交换网络的广泛应用，安全威胁和防范成为电信运营商重点关注的问题。常用的风险评估理论可以用来分析软交换网络存在的内在脆弱性和面临的外部威胁及其两者作用的后果，通过评估分析，梳理高风险并实施合适的安全防范措施，制定有效的风险控制策略。这种方法能够找出网络存在的安全问题，却很难反映网络安全的总体情况和发展趋势。因此有必要建立一套量化的衡量网络安全的方法。2风险评估原理风险评估涉及网络和业务、威胁、脆弱性等基本要素，每个要素有各自的属性。网络和业务的属性是价值及收入；威胁的属性是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是网络和业务弱点的严重属性。风险评估的原理如图1所示。风险评估的主要内容为： 对网络和业务进行识别，并对网络的价值进行赋值，赋值主要以重要性为参照； 对威胁进行识别，描述威胁的属性，并对威胁出现的频率或可能造成的危害程度进行赋值； 对网络和业务的脆弱性进行识别，并对其脆弱性严重程度赋值； 根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性； 根据脆弱性的严重程度及安全事件作用于网络和业务的重要性计算安全事件的损失； 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。2.1网络和业务识别网络和业务作为电信运营企业的重要资产，在安全风险评估中处于核心位置，其价值（重要性）不仅要从经济价值方面来衡量，还要从安全属性的达成程度或者其安全属性未达成时造成的影响程度方面来衡量。对网络和业务进行识别，首先需要依据一定的方式对其进行分类和细化，然后在此基础上按一定规则对分类的网络和业务的安全属性进行赋值，给出细化的重要性等级。对网络和业务进行赋值的过程就是对网络和业务重要性等级进行判定的过程。网络和业务的价值（重要性）应依据其机密性、完整性和可用性的综合评定得出，可以从3个属性中选择一个最重要的（如可用性）作为重要性的最终赋值结果。对于软交换网络和业务，应以业务收入价值、社会影响力以及成本等因素作为重要性赋值的主要依据，对3者进行加权计算得出最终赋值结果。表1给出了网络和业务重要性等级及含义描述。2.2威胁识别威胁是一种对网络和业务构成潜在破坏的可能性因素，是客观存在的。威胁的识别可采用事件树分析法，即按照一定规则对威胁进行纵向式的评估和分析，然后将纵深评估结果进行综合比较，从中找出威胁的本质和内容。事件树分析法是一种逻辑演绎法，它是在给定初因事件情况下，分析该初因事件可能导致的各种事件序列结果，从而定性和定量地评价系统的特性。威胁可以分为技术因素、自然因素和人为因素三大类，如表2所示。对威胁的识别主要以威胁出现的频率作为其赋值依据，应根据经验和（或）有关的统计数据来进行判断。可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率高低。等级数值越大，威胁出现的频率越高。表3给出了威胁出现频率的一种赋值方法。2.3脆弱性识别脆弱性是对一个或多个网络和业务及其组件自身弱点的总称。脆弱性识别又称为弱点识别。如果没有被相应的威胁利用，单纯的弱点本身不会对网络和业务造成损害，在系统足够强健的情况下，严重的威胁也不会导致安全事件的发生，也就是说威胁总是要利用网络和业务的弱点才可能造成危害。表4提供了一种脆弱性识别内容供参考。可以根据对网络和业务的损害程度、技术实现难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性严重程度进行赋值。技术脆弱性的严重程度还受组织管理脆弱性的影响，因此脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度，即应急预案方面技术因素管理和组织因素管理脆弱性的严重程度。表5提供了脆弱性严重程度的一种赋值方法。2.4威胁利用脆弱性的关联关系威胁与脆弱性的对应关系因网络状态和环境等的不同而不同，应根据专业、地域、网络状态及环境等的具体情况来制定对应关系。表6给出了技术类威胁利用脆弱性的关联关系。2.5已有安全措施的确认在识别脆弱性的同时，应对已采取的安全措施的有效性进行确认，即评估其是否真正降低了系统的脆弱性，抵御了威胁。有效的安全措施应继续保持，以避免不必要的工作和费用，防止安全措施的重复实施；对确认为不适当的安全措施，应核实是否被取消或对其进行修正，或用更合适的安全措施替代。安全措施可分为预防性和保护性两种。预防性措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性措施，如有效的应急预案（业务持续性计划），可以减小安全事件对组织或系统造成的影响。3软交换网络风险分析3.1网络和业务识别根据软交换网络及运行的业务、不同等级的重要性，在网络和业务识别方面需考虑如下因素。 网络层次：对网络层次进行分类，根据软交换网元所处的层次和功能一般可以划分为省际骨干网、省网、汇接、端局等，各种网络层次的重要性赋值见表7。 业务种类：业务分类在网络分类的基础上进行，以具体的网元承载的业务为准进行分类。软交换网络目前主要承载语音业务，其业务一般划分为长途业也可以实际承载的业务量为依据，这里以软交换设计容量为依据划分为特大、大、中、小4个等级，各等级的重要性赋值见表9。 服务用户：用户等级决定了安全等级。一般将用户分为公众用户、大客户、重要用户等，各种用户等级的重要性赋值见表10。综合以上因素，结合各自的权重可计算出网络和业务的重要性。权重可采用AHP（analytical hierarchy process）法，即通过指标的平均化处理形成一个判断矩阵，再对判断矩阵做归一化处理得到每个评价指标的影响力大小。AHP是一种定性与定量相结合的决策分析法，是将复杂系统的决策思维过程模型化、数量化的过程。运用AHP 法进行决策分析，可使决策者的思维过程条理化、数量化。该方法所需的定量化数据较少，但对问题的本质、问题涉及的因素及其内在的关系分析的比较透彻、清楚，可以为决策者提供思路清晰、较能反映实际情况的决策依据。AHP算法的关键问题是如何得到影响因素的权值。AHP法的分析步骤如下。（1）确定影响各级指标的评分标准为了定量比较网络层次、业务量、业务种类、服务用户对其权重确定的影响，必须确定各因素的分值计算办法或者评分标准。美国学者Saaty根据各因素对目标层影响的大小划分为9个标度，具体见表11。（2）构建两两比较的判断矩阵根据标度表可以建立表12所示的两两比较的判断矩阵。判断矩阵A=(Aij)nn是一个方阵。Aij 具有如下性质：Aij 0，Aij=1/Aij，Aij =Aji （称为正的互反矩阵）。（3）计算各因素指标的权重值即计算网络层次、业务量、业务种类、服务用户的权重值。通过归一化处理就可得出各因素指标的权重值： ，n为判断矩阵的行数3.2威胁识别软交换安全威胁的主要因素有设备故障、电源故障、自然灾害、人为攻击、传送网故障、高话务冲击等。在对威胁识别因素进行赋值时，可以参考的统计数据包括：以往安全事件报告中出现过的威胁及其频率统计；实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。表13为软交换威胁识别和赋值实例。3.3脆弱性识别脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以资产为核心，针对每一项需要保护的资产，识别可能被利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理环境、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别采用的方法主要有问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。脆弱性赋值方法前面已经介绍，表14为软交换网络脆弱性识别和赋值实例。3.4风险分析与评估3.4.1风险计算方法采用相乘法计算风险。相乘法主要用于两个或多个要素值确定一个要素值的情形。计算方法如下。 计算安全事件的可能性：安全事件可能性。 计算安全事件的损失：安全事件的损失。 计算风险值：安全事件风险值。式中，A为资产赋值，T为威胁赋值，V为脆弱性赋值。.4.2风险等级的划分为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理。可以将风