基于多目标决策的信息安全风险评估方法研究

薛正 马婷婷 于洋

摘 要：随着计算机技术和网络技术的快速发展，信息安全问题越来越受到重视。为科学评估信息系统的安全状态水平，目前已经提出了一些较为权威的信息安全评估標准，但仍存在安全特性不全、缺乏针对性、计算过程不完整等问题。针对这些问题，该文在把保密性、可用性、完整性等特性作为系统设计或安全策略的实现目标，提出了一种基于多目标决策的信息安全风险评估方法。该方法可以根据信息系统实际情况，对不同安全特性进行单独分析评估，通过分级考虑不同特性的重要程度可以得到关于全系统的定量评价结论，为系统不同的设计方案和安全策略的有效性比较提供了数据支撑。

关键词：信息安全 风险 评估 目标 决策

中图分类号：TP309 文献标识码：A 文章编号：1672-3791（2019）01（b）-000-03

随着计算机技术的快速发展，网络规模不断扩大，实现可靠的信息安全变得越来越复杂。由于信息系统安全脆弱性的存在，网路、操作系统、应用软件、硬件设备不可避免存在安全漏洞，来自系统外的安全威胁也有了可乘之机，带来了很多无意的或者人为的安全问题。对信息系统安全风险进行定量评估，能够有效识别和度量系统所面临的安全风险，并进一步指导信息系统的安全改进工作。

1 风险评估标准

信息系统呈现网络化、复杂化的发展趋势，使得风险评估工作逐步走上了标准化的道路。国外已经针对某些具体的信息系统产品提出了一系列的评估标准，包括CC/ISO15408《信息技术安全性认证通用标准》、SSE-CMM《系统安全工程能力成熟度模型》、BS-7799/ISO 17799《信息安全管理体系标准》、ISO 13335《信息安全管理标准》等。总体来说[1]，国际上信息安全评估经历了一个从只重技术到技术、管理并重，从单机到网络再到信息系统基础设施，从单一安全属性到多种安全属性的发展过程。国内在等同采用了部分国际标准，提出了GB/T 20984-2007《信息安全技术 信息安全风险评估规范》[2]。标准文件规定了信息系统安全风险评估的基本概念、要素关系、原理模型、实施过程和评估方法，但是实施过程中，还存在以下不足。

（1）安全特性不完整。国标只考虑了对非授权主体的控制，包括保密性、可用性和完整性，而没有考虑对授权主体的不正当行为的控制，如信息的可控性、不可否认性。信息安全的可控性和不可否认性，是通过对授权主体的控制，实现对保密性、可用性和完整性的有效补充，主要强调授权用户只能在授权范围内进行合法的访问，并对其进行监督和审查。

（2）评估缺乏针对性。不同行业的信息系统，对安全特性的偏重程度显然是不一样的。以智能信息系统[3]为例，国标没有充分考虑不同安全指标在工程意义上重要性的不同，同等地看待保密性、完整性和可用性，导致评估结果失实。

（3）评估计算不完整。标准在分析计算了所属资产的风险值和风险等级后，没有进一步组合所有资产的评估结果形成全系统的风险值和风险等级。不同的系统结构，组合的计算方式可能不一样，最终的评估结论将差距很大。此外，在比较同一系统采取不同安全措施的情况下风险水平时，缺乏有效的数据支撑。

2 简单系统的风险评估

对一个特定信息系统进行信息安全风险评估，一方面是为系统管理者提供一个较为系统直观的系统安全性评价，这种评价可以是定性和也可以是定量；另一方面也是从不同时期风险评价结果的对比中检验某些安全措施的有效性。把保密性、可用性、完整性等特性要求看作是信息系统设计或安全策略方面的实现目标，把设计方案或安全策略作为达成目标的方案，那么信息安全风险评估可以转化为多目标决策问题。

2.1 目标重要性权重分配

多目标决策问题首先需要解决的就是确定不同目标的重要性。由于在信息安全风险评估中，安全特性目标并不具有统一的量纲，且一般采用定性描述，所以在确定不同目标的重要性方面，通常采用加权系数法[4]。

2.3 评估方法说明

当系统相对简单，采取专家评分或数据统计等方法可以较为容易得到单个安全特性的量化评分时，采取如表2所示的方法进行全系统的评估是有效的。但当系统结构复杂，单个安全特性目标量化评分的合理性很难得到保证时，以上方法得到了关于全系统的评估将缺乏说服力。

定义：信息系统是某安全特性简单的，即满足以下条件之一。

（1）系统的某安全特性评估值，已在权威性标准、规范、文件中明确，或者已被某类实验验证，评估人可以通过较为容易的方式获取。

（2）系统只包括单一或极少数资产。

显然，表2所示的系统就是一个简单的系统。

3 复杂系统的风险评估

信息系统一般由硬件、软件、信息用户组成，采用公式（3）可以单独计算得到具体某个资产的安全目标实现值。但当系统十分复杂时，就必须考虑将多个简单系统的评估结果进行组合运算的问题，以期得到系统的综合评估结果。

3.1 组合计算方法

按照系统功能和模块间的相互关系，把系统细分为若干简单的子系统，自下而上地进行评估计算。假定子系统的安全特性目标权重分配与系统保持一致，组合计算主要包括两种思路，见表3。

不同安全目标的信息系统，Ri*的内涵是不一样的，因此，很难找到一个固定的方法f进行组合运算。而保密性等特性的定义是一定的，根据其安全特性设计合理的函数g，在技术上是可行的。

即使针对特定的安全特性集，设计出有效的f，得到系统的综合评估结果r，但与方法A2相比，还存在评估信息不全的问题。对一个信息系统进行评估，当然是希望得到尽可能多的系统方面的评价结果。显然，A2方法在得到综合评估结果之前，就可以单独计算得到保密性、可用性、完整性的实现值，比A1方法提供了更多的评估信息。因此，该文采取A2方法进行复杂系统的安全评估。

3.2 系统安全特性评估

3.2.1 系统保密性评估

保密性指只有授权用户可以获取信息。对其进行评估，可以采取最小法则。只要有一个资产不满足保密等级要求、发生失泄密问题，那么就可以认为整个系统的保密性是不满足的。因此，保密性评估就是找出系统中实现值最小的子系统。

3.2.2 系统可用性评估

可用性指保证合法用户对信息和资源的使用不会被不正当拒绝。从工程技术角度来说，可用性表示战备完好，即系统在任一随机时刻需要开始执行任务时，处于工作或可使用状态的程度，是系统可靠性和维修性的函数[5]。在信息安全领域，可用性是指采取身份识别与确认、访问控制、系统内外部隔离以及审计跟踪等措施，保证合法用户按权限访问和使用信息资源，拒绝非法者进入系统，并防止窃取与破坏信息资源。显然，如果信息资源暂时被破坏，但能够及时恢复，不影响正常访问和使用，那么信息資源依然可以认为是可用的。因此，信息系统的可用性，也应是可靠性和维修性的函数。如果评估只是针对系统的某一个时间剖面进行的话，即只关心系统“故障”，而不关心“自我恢复”，那么，把可用性等同为可靠性是合理的。

3.2.3 系统完整性评估

4 结语

文章把信息系统的安全特性作为系统设计或安全策略的实现目标，进而基于多目标决策的思想给出了一种新的信息安全风险评估方法。比较了两种组合计算方法，在分析安全特性与系统结构的基础上，提出了一种可以量化得到系统综合评估结论的方法，弥补了国标中计算不完整的问题。但在安全特性评估中，对保密性、可用性和完整性的讨论还较为简单，可控性、不可否认性还未涉及。进一步深入分析这些安全特性与系统结构的关系，是该文后续的主要工作。

参考文献

[1] 刘昱.信息安全评估及其指数研究[D].北京交通大学，2014.

[2] 国家质量监督检验检疫总局.信息安全技术 信息安全风险评估规范[S].2007.

[3] 钟声，李志丰.浅谈智能建筑中智能化系统的信息安全评估[J].信息安全与通信保密，2016（6）：91-94.

[4] 刘曙阳.C3I系统开发技术[M].北京：国防工业出版社，1997.

[5] 曾声奎.系统可靠性设计分析教程[M].北京：北京航空航天大学出版社，2001.