电信网络风险评估指标体系研究及应用.doc

电信网络风险评估指标体系研究及应用胡 勇，任德斌，吴少华，胡朝浪（四川大学信息安全研究所 成都 610064）摘要 为评估电信网的风险，可通过分析风险与安全事件的关系，以安全事件的组成元素构建电信网的风险评估指标体系，并进行风险的分级量化。本文分析了电信网的风险模糊综合评估方法，并进行了实例计算。该方法可作为电信网风险评估的一种有效方法。关键词电信网；风险评估；风险评估指标体系；多层模糊综合评判1引言电信网络是国民经济的关键基础设施，是众多关系国计民生的重要信息系统不可或缺的支撑平台。由于信息通信技术的不断发展，电信网络规模的不断扩大和电信网络开放性的不断提高，使得电信网络的安全面临着越来越多的威胁，存在着越来越多的风险和安全问题。电信网络安全问题的产生是由于电信网络存在风险，风险是衡量电信网络安全状况的标准。风险大，电信网络就是危险的、不安全的；风险小到可以接受，就可以认为是安全的。电信网络安全问题的产生原因有：互联网与电信网的融合给电信网带来了许多原来存在于互联网的威胁；NGN、3G、WiMAX、IPTV等新技术和新业务的引入增加了电信网络的复杂性、不可控性，也为其安全带来不确定因素；运营商之间网络规划、建设缺乏协调配合，网络一旦出现重大事故时难以迅速恢复；相关法规尚不完善，落实安全保障措施缺乏力度等1。电信网络安全建设的目标就是将电信网络的风险降低到可以接受的程度，使其处于安全状态。电信网络的风险评估是一项艰巨的工作，涉及资源的识别、威胁的识别、脆弱性的识别、风险的识别和风险大小的量化等。其中，对风险大小的量化是非常重要的环节，直接关系到对电信网络风险状况的正确认识，安全投入的多少和安全措施部署的优先顺序。电信网络风险的产生及其大小与资源的重要性、威胁源的动机和能力、脆弱性的暴露时间、脆弱性被利用的难易程度、行为被发现和追究的可能性以及攻击者被发现后受处罚的严重程度等都有内在的联系。电信网络风险的多样性，相关联的影响因素众多，信息不完全等原因使得精确评估电信网络风险存在很大困难。参考文献2对电信网络的安全风险评估原则、流程和电信网络生命周期各阶段的风险评估进行了研究。在标准YD/T 1730-20083中，对电信网和互联网的安全风险评估框架、流程、实施步骤、生命周期各阶段的风险评估内容进行了描述，对风险的计算方法也有提及。但由于标准的某些描述不是很详细，比如，对资产、脆弱性、威胁和风险的等级进行了定义，但评估数据如何得到不够清晰；简单地提出了评估要参考历史数据或各种因素的属性，但哪些数据、哪些属性需要考虑语焉不详。为提高标准的可操作性，本文对风险评估中需要考虑的属性进行了归纳，提出了电信网络风险评估指标体系。本文深入研究了电信网络风险的成因、风险与安全事件的关系，建立了一个电信网络的风险评估指标体系，在现有电信网络风险评估工作中尚未发现类似的成果。在此基础上，采用模糊综合评判方法对风险进行量化，并对其中的一些问题进行了阐述、分析，提出了解决方法。最后，通过示例验证和说明了电信网络风险评估方法的使用方法。该评估指标体系的建立，使得风险评估和安全建设都可以针对其中的各项指标有目的地进行，有很好的现实意义和实用价值。2电信网络风险评估指标体系风险是潜在安全事件发生的可能性和后果。因此，风险的大小包括安全事件发生的可能性大小和安全事件一旦发生后的损失和影响大小。量化风险就是要量化安全事件的可能性和后果，但可能性和后果的影响因素很多，数据也很难获得，直接评估非常困难。只有在建立电信网络风险评估指标体系的基础上，从专家经验、实际测试、调查研究等途径获得一些间接的数据，采用一些评估方法，进行间接的评估。建立风险评估指标体系需要对电信网络的风险本质进行分析。风险是潜在的安全事件发生的可能性和后果。“潜在”说明安全事件有发生的可能性；“后果”说明安全事件发生后会对电信网络造成损失和不利影响，因此，风险是与安全事件紧密相关的。评估量化风险，就是量化安全事件发生的可能性和后果4。通过分析安全事件及其构成要素，可以建立电信网络风险评估指标体系。参考文献5对评估指标进行了初步探讨，参考文献6以安全属性作指标设计了风险评估系统，参考文献7中提出了信息系统的风险评估指标体系。经过进一步分析，本文按照系统分析原理，将某些关联的指标合并，只考虑直接影响因素。比如可能性影响因素中，电信网络的某些特点会引发特定攻击者的攻击动机，而攻击动机可能促使攻击行为发生，则只考虑动机而不考虑电信网络的特点。这样得到的风险评估指标体系层次同样适用于电信网的风险评估，如图1所示。安全事件发生的可能性与攻击主体、行为及脆弱性有关，即攻击者想不想做（动机、兴趣等）、能不能做（能力、资源、脆弱性）、敢不敢做（法律、道德等外部压力），而安全事件的后果仅与安全事件破坏的客体相关，从受破坏的客体资源会带来的直接、间接损失来度量。这样，从安全事件的主体、脆弱性、行为和客体4个方面选定评价指标体系，见表1。在对电信网络风险进行评估时，与信息系统安全保护等级划分准则一致，可以将风险强度的量化值也划分为5级，如：低，较低，中，较高，高。这也与国际通用的5级危机预警管理体系一致。这样，风险的各级影响因素也可分为5级评估8。为计算方便，B11、B12、B13、B14、B15、B21、B22、B23取值逐级增强，B16、B17取值逐级降低，因其对风险的影响是反向的。另外，在风险评估实施中，如果能够直接给出每个风险（安全事件）的后果（包括直接的和潜在的后果）的量化值，就可省略对后果的各级影响因素的评估，而直接采用该量化值，因为我们最终的关注点是后果大小。对安全事件的可能性亦然。比如，通过对一段时间安全事件发生的频率及成功率来估测其可能性，实现对可能性的直接评估。风险评估指标体系则可用于对上层影响因素的量化评估难以直接进行的情形，或用于对评估结果进行验证。3电信网络风险综合评估示例基于上述指标体系可对电信网络风险采用综合评估方法进行评估。如采用层次分析法获取各级指标的权值，采用Delphi法获得最低层指标的模糊隶属度值，采用多级模糊综合评判方法计算上层指标的模糊隶属度值及结果值9。应用示例：运营商的某项增值电信业务基于IIS5.0提供的WWW服务，但IIS5.0存在Unicode编码漏洞，外部攻击者可利用该漏洞篡改主页和相关内容，影响运营商的形象和正常开展业务。分析该风险大小，运用Delphi和层次分析法分别确定风险的可能性和后果的影响因素指标值和权重值，相应的数据如表2所示（计算过程略）。评价指标值构成评价矩阵R，权值构成权重矩阵A，利用这两个矩阵对安全事件发生的可能性和后果进行评价并归一化，得到初级模糊评价向量，如表3所示。以初级模糊评价向量构成二级评价矩阵，结合二级权重矩阵，计算安全事件发生的可能性和后果的模糊评价并归一化，得到二级模糊综合评价向量，如表4所示。对评价集“赋值”，定义V=0,0.2,0.4,0.6,0.8，针对这一标准，对应的风险等级分别为低、较低、中、较高、高。利用加权平均法分别对安全事件发生的可能性和后果进行综合评价，其中，fi为可能性评估值，ri为后果评估值：f=(f1,f2,f3,f4,f5)=（0,0.045,0.205,0.395,0.355），r=(r1,r2,r3,r4,r5)=(0.067, 0.167,0.100,0.267,0.399)，则安全事件发生的可能性Lf和后果Lr分别为：该风险发生的可能性为较高，因为可能性0.612仅比“较高”的下限值0.6多0.012；后果为“中”，风险值0.58在0.40.6段，属于“中”的风险，符合实际情况。在这里，之所以要对可能性和后果的乘积计算平方根作为风险值，是因为可能性和后果都在01取值，相乘将会小于或等于其原来的值，与现实情况不合。比如，可能性和后果都为“高”的值0.62，显然风险等级也应该处于“高”等级，但乘积为0.384，是“低”段，与实际不一致。而且Lf与Lr的乘积是评估值的相乘，风险值同可能性和后果一样，是一个评估值，量纲也不一致，所以需要对乘积开平方。上述的计算是假设风险的可能性和后果的权重是一样的。对于不同的风险，对风险的可能性和后果的关注程度不一样。这时，需要在计算风险值时引入可能性和后果的权重。对表4的可能性和后果分别赋权重0.3和0.7，同样用评价向量矩阵和权重矩阵计算得到风险的评价向量（0.0469，0.1304，0.1315，0.3054，0.3858）。再依据类似的算法，得到风险值： 风险居于“中”等级。对于电信网络这样的复杂巨系统，并不只存在单一的风险。在不同的风险域有不同的多个风险点存在。对每一个风险，根据本文所述的多级模糊综合评判得到其风险度量值Ri(i=1,2,，n)后，然后运用综合评价的理论与方法（仍可采用模糊综合评价模型或其他评价函数）评价整个电信网络的风险，最终得到系统风险的综合评价值和风险等级：R=f(w,R)。其中，f( )为待定的综合评价函数，w=w1,w2,，wnT为电信网络各风险的权重向量，该权重向量与风险危害的安全性（各电信网络对保密性、可用性、完整性等的要求不同）有关，R=R1,R2,，RnT为电信网络的风险向量。4结束语本文提出的电信网络风险评估指标体系是一个初步的框架，更完善和更详细的指标体系需要更深入的研究，并有针对性地对具体电信网络进行分析得到。进一步地，对于电信网络来说，风险是随时间变化的，通过层次分析法只能得到系统某一时刻（=1，2,，N）的风险状况，而无法综合比较系统在不同时刻的风险整体水平10，可在对多个时刻进行赋值的基础上，通过BP神经网络或小波神经网络对权重系数wi(tk)模拟估值，得到风险xij在t1,tN上的权重系数wij(t),i=1,2,3;j=1,2,，n，进而计算以获得该段时间的风险总体值。另外，还要进一步研究如何减少评估中的主观性。参考文献1熊四皓. 电信网网络安全问题浅析. 电信网技术，2006（5）：132魏薇. 对电信网络安全风险评估的研究. 电信科学，2007，23（2）：52553YD/T 1730-2008. 电信网和互联网安全风险评估实施指南. 电信行业标准，20084Clark K, Tyree S, Dawkins J, et al. Qualitative and quantitative analytical techniques for network security assessment. In: Procedings of the 2004 IEEE Workshop on Information Assurance and Security, United States Military Academy, West Point, June 20045肖龙，戴宗坤. 信息系统风险的多级模糊综合评判模型. 四川大学学报（工程科学版），2004，36（5）：981026胡万兵，赵彬，周明等