时间:2023-06-27 17:58:43
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇资产风险评估,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:安全隐患管理;安全隐患定级;风险管理;风险评估;资产全寿命周期 文献标识码:A
中图分类号:F276 文章编号:1009-2374(2017)02-0186-03 DOI:10.13535/ki.11-4406/n.2017.02.090
现代科学技术和工业生产的迅猛发展,一方面繁荣了经济和人们的生活;另一方面现代化大生产隐藏了众多的潜在危险。就电力系统而言,电力网络不断扩展,网络构成及网络控制更加复杂,自动化程度不断提高,高电压、大电流、长距离输电使电网稳定问题愈加突出。现代化的工业和人民生活对电的依赖程度越来越高,对电力可靠性和电压质量的要求不断提高,对电力设备的安全隐患排查工作的要求也越来越高。
国内电力企业经过多年的发展和总结,已逐渐拥有完善的安全隐患排查治理方式。但是基层工作人员在进行隐患排查时或是根据主观经验判断或是依照范例进行对比,各种方法均存在一定的局限性,无法将隐患的严重程度量化。本文主要是借鉴基于资产全寿命周期的风险评估法,对事件发生可能性和影响程度进行量化分析,以定量方法确定安全隐患分级,可以更准确地反映安全隐患的严重情况。
1 安全隐患概述
1.1 安全隐患定义与分级
安全隐患具体指安全风险程度较高,可能导致事故发生的作I场所、设备设施、电网运行的不安全状态、人的不安全行为和安全管理方面的缺失。
根据可能造成事故后果的影响程度,目前电力企业安全隐患分为Ⅰ级重大事故隐患、Ⅱ级重大事故隐患、一般事故隐患和安全事件隐患四个等级。其中,Ⅰ级重大事故隐患和Ⅱ级重大事故隐患合称为重大事故隐患。
1.2 安全隐患定级方法
1.2.1 主观判断法。主观判断法是指工作人员在汇总现场情况后,征询有关专家(一般是基层骨干)的意见,对意见进行统计、处理、分析和归纳,客观地综合多数专家经验与主观判断,做出合理估算,经过反馈和调整后,对安全隐患进行定级的方法。主观判断法的优点是方法简便易行,定级较快。
但是,由于缺乏统一的“隐患标准”,基层工作人员在隐患判断、认定、分级等具体工作中,往往只能依据自身专业知识进行主观判断,宽严程度随人、随单位而变,造成安全隐患定性不准、分级不当、判定标准不一致、隐患信息不翔实等问题。
1.2.2 范例辨识法。范例辨识法是指工作人员参照安全生产事故隐患范例,依据其中编制在列已确定的安全隐患,对比实例、分类样本、描述、文字说明等形式的表述,在实际工作中排查认定安全隐患。
这种方法有效提高了相关工作人员,特别是一线员工和管理人员排查发现安全隐患、给隐患分级分类的准确性,切实促进了隐患排查治理工作的开展,范例辨识法本质上仍属于一种定性方法。
1.3 借鉴资产全寿命风险管理思路辅助定级
上述定性方法面临的主要问题是,电力企业基层人员对隐患排查治理工作的认知程度有限、生产系统已有设备缺陷管理流程和隐患排查治理流程之间存在差别,所以无论是主观判断法还是范例辨识法均存在一定局限性。我们可以借鉴资产全寿命周期风险管理的思路,采用一种定量方法来辅助安全隐患定级。安全隐患具有安全风险程度较高的特征,因此就可以采用量化风险的基本思路,用资产全寿命周期的风险评估法为安全隐患定级。风险评估法较上述方法,主要在于合理考虑事件发生可能性,同时扩展事件影响程度的维度。
2 基于资产全寿命周期的风险评估方法
2.1 基于资产全寿命周期风险评估方法
按照风险评估标准,采取既定的评估方法,从风险发生的可能性与风险影响程度两个方面进行量化,综合评定风险值和风险等级:
风险(Risk)=风险发生的可能性(P)×风险影响程度(F)
式中:R为风险值;P为风险发生的可能性;F为风险影响程度。
2.2 定量计算风险
在风险评估过程中,各专业也可根据自身的专业特点对风险评估标准进行适当调整,选择不同的维度或者增加风险评估模型进行识别和评估,但不同评估标准对风险等级的划分应保持一致。本文将以全面风险评价为主要模型工具。
2.2.1 风险发生的可能性P。风险发生的可能性分为五个级别,分别是极低、低、中等、高、极高。对应业务发生频率为:可能每5年以上发生该类风险(概率极低);可能每1~5年发生该类风险(概率低);可能每年发生该类风险(概率中等);可能每半年发生该类风险(概率高);可能每月发生该类风险(概率极高)。以上依次对应1~5分。
2.2.2 风险影响程度F。风险影响程度从电网安全、人员伤亡、社会形象、直接经济损失四个维度分析确定,选取四个因素的最高值作为损失度。每个维度的风险影响程度分为五个级别,并依次对应1~5分。该五个级别的取值参照《资产全寿命风险评估模型》所定义的取值范围,结合公司对人身伤亡事故、经济损失的承受能力调整后确定。
即:
F=Fmax=Max(F1,F2,F3,F4)
电网和设备安全。将电网安全风险损失度分为五个级别,分别是较小、一般、较大、重大、严重。具体内容执行国家相关标准法规所定级别划分标准,对应影响程度分别为《国家电网公司安全事故调查规程》中定义的七级至一级电网和设备事件;人员伤亡。将人员伤亡风险损失度分为五个级别,分别是较小、一般、较大、重大、严重。对应影响程度为人员从轻伤至一至四级人身伤亡事故。
社会影响。将社会形象风险损失度分为五个级别,分别为较小、一般、较大、重大、严重。对应影响程度为在县域至国际范围不等;直接经济损失。将直接经济损失风险损失度分为五个级别,分别为较小、一般、较大、重大、严重。对应影响程度为1000万元至数亿元不等。
2.3 确定风险等级
2.3.1 一般风险。风险发生的可能性较低或风险发生后对公司的综合损失度较小的风险(1≤风险值≤4)。
2.3.2 中等风险。介于一般风险与重大风险之间的风险(4
2.3.3 重大风险。风险发生的可能性较高,且发生后对公司的综合损失度较大的风险(9
Y轴:P(可能性)
X轴:F(影响程度)
图1 风险评估矩阵
例如:上图中A点风险值为2,属于一般风险;B和C点风险值都为12,属于重大风险。
2.4 安全隐患与风险分级对应
3 基于资产全寿命的风险评估
以下实例选自某电力企业安全隐患管理平台,将对采用风险评估法定级的结果与传统定级方法的结果做出比较。
3.1 实例简介
某电力公司2014年7月15日检修公司500kV XXXX5322线#45-#47杆塔(15米)100MW光伏项目施工隐患。500kV XXXX5322线#45-#47杆塔(15米)100MW光伏项目施工中,大型作业机具距离带电导线较近,现场作业人员较多,且该隐患可能一定时期内较长时间存在,易造成安全距离不够导致线路故障跳闸和人员群体伤亡事故发生。
3.2 传统评估分级
可能导致后果:依据国家电网公司《安全事故调查规程》2.2.7.1条,35千伏以上输变电设备异常运行或被迫停运,并造成减供负荷者,构成七级电网事件。如果造成人员伤亡依据不同的人数构成不同等级的人身事故。
采用范例辨识法,查询“输电专业”“违章施工”相关条目,条目描述“线路保护区内起重作业,不能保证安全距离:220kV ××线#36~#37,110kV ××线#29~#30塔间通过××钢材市场,导线最低点离地仅15米,钢材市场起吊作业频繁,易造成线路跳闸和人员触电事故”,属于“一般隐患”。
3.3 采用基于资产全寿命的风险评估分级
计算风险值:
P取值4――公司可能每半年发生该类风险(概率低)
F1取值1――符合《国家电网公司安全事故调查规程》的七级及以下级电网事件(风险损失度较小)
F2取值4――3人及以上10人以下死亡或者10人及以上50人以下重伤(风险损失度较大)
F3取值2――在地市范围内受到影响,但该影响需要一定时间、付出一定代价消除(风险损失度一般)
F4取值1――100万元以下(风险损失度较小)
F=Fmax=Max(F1,F2,F3,F4)=Max(1,4,2,1)=4
R=P*F=4*4=16
确定风险等级和隐患分级:风险值为16,介于(9,25),根据附表的划分等级属于重大风险。
3.4 比较和结论
风险评估得出的安全隐患分级和原系统录入时评估的等级不一致,原因是本次事件评估人员未充分考虑事件发生可能性较高、长期存在且现场人员多等因素。同时,本事件可能引起较严重的人身伤亡事故,须引起充分重视,评估人员低估了其影响程度。
4 结语
电力企业安全隐患分级工作,是[患排查治理的基础。安全隐患分级工作,目前普遍采用的主观判断法和范例辨识法,经过不断改良和完善,已经可以较大满足实际工作需要。采用基于资产全寿命的风险评估法,对事件发生可能性和影响程度进行量化分析,定性结合定量能更有效核证,可以更准确地反映实际情况。基于资产全寿命周期的风险评估法,将能重点应用于需要特别关注的、可能成为工作焦点的一些隐患的管理,可以更加准确、科学地对隐患进行定义和定级。
采用基于资产全寿命周期的风险评估法虽然能通过定量计算的方法对安全隐患辅助定级,但仍需注意其局限性:(1)虽然基于资产全寿命周期的风险评估法适用面较广,但由于风险评估所采用的取值范围的局限性和通用性,其评估结果有时不能准确反映出管理者期待的个性化结果,宏观的变量取值可能难以反映微观的事件本质,即客观性和主观性不能完全统一,有时应根据企业承受风险能力和实际情况对理论取值进行调整;(2)基于资产全寿命周期的风险评估法在实际使用过程中工作量较大,无法完全替代现有定级方法,其应用范围受到一定的限制,所以应筛选出有上述特定隐患或存在争议的实例加以运用。
相信在今后电力企业安全隐患分级工作不断总结经验的基础上,基于资产全寿命周期的风险评估法会得到进一步完善,更能确切的指导隐患排查治理工作的全面有效开展。
参考文献
[1] 国家电网公司.国家电网公司安全事故调查规程(国家电网安监[2011]2024号)[S].2011.
[2] 国家电网公司.国家电网公司安全生产事故隐患范例(一)(国家电网安监[2010]68号)[S].2010.
[关键词] 基础地理;信息系统;安全;风险评估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082
[中图分类号] TP315 [文献标识码] A [文章编号] 1673 - 0194(2015)21- 0155- 03
1 引 言
风险是以一定的发生概率的潜在危机形式存在的可能性,而不是已经存在的客观结果或既定事实。风险管理是通过对风险的识别、衡量和控制,以最小的成本将风险导致的各种损失结果减少到最小的管理方法。随着信息化向纵深发展,基础地理信息系统被广泛应用,但信息安全方面的威胁也大大增加,具体到市县级基础地理信息系统中存在各类风险,这些风险有着自身的特点,对系统的影响也随着不同阶段而不同。其中信息安全风险是指系统本身的脆弱性在来自环境的威胁下而产生的风险,这些风险会对信息系统核心资产的安全性、完整性和可用性造成破坏。对测绘行业信息安全风险的评估是进行有效风险管理的基础,是对风险计划和风险控制过程的有力支撑,而如何识别和度量风险成为一个难题,目前测绘地理信息行业没有一个行业性安全评估类或者安全管理类规范标准,通用安全评估规范在很多方面对于测绘地理信息系统复杂性和行业特点缺乏适用性,往往较难落地,为此提出市县级国土资源基础地理信息系统安全风险评估规范研究。
2 国内外信息安全风险评估的研究现状
信息安全风险评估经历了很长一段的发展时期。风险评估的重点也由最初简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到技术与管理相结合的科学方法。由于信息安全问题的突出重要性,以及发生安全问题的后果严重性,目前评估工作已经得到重视和开展。国内外很多学者都在积极投身于信息安全的研究,期望找到保护信息安全的盔甲。美国在信息安全风险管理领域的研究与应用独占鳌头,政府控管体制健全,己经形成了较为完整的风险分析、评估、监督、检查问责的工作机制。DOD作为风险评估的领路者,1970年就已对当时的大型机、远程终端作了第一次比较大规模的风险评估; 1999年,美国总审计局在总结实践的基础上,出版了相关文档,指导美国组织进行风险评估;2001年美国国家标准和技术协会(NIST)推出SP800系列的特别报告中也涉及到风险评估的内容;欧洲各国对信息安全风险一直采取“趋利避害”的安全策略,于2001-2003年完成了安全关键系统的风险分析平台项目CORAS,被誉为欧洲经典。我国信息安全评估起步较晚,2003年7月,国信办信息安全风险评估课题组启动了信息安全风险评估相关标准的编制工作;8月,信息安全评估课题组对我国信息安全工作的现状进行了调研,完成了相关的评估报告,总结了风险评估是信息安全的基础性工作;2004年3月国家《信息安全风险评估指南》与《信息安全风险管理指南》的征求意见稿;2005年2月至9月,开始了国家基础信息网络和重要信息系统的信息安全风险评估试点工作;2007年7月我国颁布了《信息安全技术信息安全风险评估规范》(GB/T 20984一2007)并于2007年11月1日实施;2008年4月22日,在国家信息中心召开了《信息系统风险评估实施指南》预制标准第二次研讨会,此次会议主要就标准工作组制定的《实施指南》目录框架进行了详细研究与讨论,《信息系统风险评估实施指南》作为GB/T 20984-2007《信息安全风险评估规范》和《信息安全风险管理规范》之后又一技术性研究课题,将充实信息安全风险评估和风险管理具体实施工作。
3 市县级基础地理信息系统安全风险评估规范研究方法和手段
3.1 市县级基础地理信息系统安全风险评估规范研究方法
市县级基础地理信息系统安全风险评估规范研究通过综合分析评估后的资产信息、威胁信息、脆弱性信息,最终生成风险信息。资产的评估主要从保密性、完整性、可用性三方面的安全属性进行影响分析,从资产的相对价值中体现了威胁的严重程度;威胁评估是对资产所受威胁发生可能性的评估;脆弱性的评估是对资产脆弱程度的评估;具体如下:
(1)资产评估。资产评估的主要工作就是对市、县、乡三级基础地理信息系统风险评估范围内的资产进行识别,确定所有的评估对象,然后根据评估的资产在业务和应用流程中的作用对资产进行分析,识别出其关键资产并进行重要程度赋值。根据资产评估报告的结果,可以清晰的分析出市、县、乡三级基础地理信息系统中各主要业务的重要性,以及各业务中各种类别的物理资产、软件资产和数据资产的重要程度,从而得出信息系统的安全等级。同时,可以明确各业务系统的关键资产,确定安全评估和保护的重点对象。
在此基础上,建立针对市、县、乡三级基础地理信息系统中的资产配置库,对资产的名称、类型、属性以及相互关系、安全级别、责任主体等信息进行描述。
(2)威胁评估。威胁是指可能对资产或组织造成损害事故的潜在原因。威胁识别的任务主要是识别可能的威胁主体(威胁源)、威胁途径和威胁方式,威胁主体是指可能会对信息资产造成威胁的主体对象,威胁方式是指威胁主体利用脆弱性的威胁形式,威胁主体会采用威胁方法利用资产存在的脆弱性对资产进行破坏。
在此基础上,充分调研,分析现有记录、安全事件、日志及各类告警信息,整理本行业信息系统在物理、网络、主机、应用和数据及管理方面面临的安全威胁,形成风险点列表。
(3)脆弱性评估。脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。
通过研究,将建立本行业的涉及主要终端、服务器、网络设备、安全设备、数据库及应用等主要系统的基线库,从而为脆弱性检测在“安全配置”方面提供指标支撑。
(4)综合风险评估及计算方法。风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。在风险评估模型中,主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性,风险的属性是风险发生的后果。
综合风险计算方法:根据风险计算公式R= f(A,V,T)=f(Ia,L(Va,T)),即:风险值=资产价值×威胁可能性×弱点严重性,下表是综合风险分析的举例:
注:R表示风险;A表示资产;V表示脆弱性;T表示威胁;Ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度);Va表示某一资产本身的脆弱性,L表示威胁利用资产的脆弱性造成安全事件发生的可能性。
风险的级别划分为5级(见表1),等级越高,风险越高。
各信息系统风险值计算及总体风险计算则按照风险的不同级别和各级别风险的个数进行加权计算,具体的加权计算方法如下。
风险级别权重分配:
极高风险 30%
高风险 25%
中风险 20%
低风险 15%
很低风险 10%
各级别风险个数对应关系(即各级别风险相对于很低风险的个数换算):
极高风险 16
高风险 8
中风险 4
低风险 2
很低风险 1
风险计算公式R’=K(av,p,n)=av×p×n,其中,av代表各级别风险求平均后总和,p代表相应的风险级别权重,n代表相应的风险个数权重。
总体风险值=R’(极高)+ R’(高) + R’(中) + R’(低) + R’(很低)
3.2 市县级基础地理信息系统安全风险评估规范研究的手段
(1)专家分析。对于已有的安全管理制度和策略,由经验丰富的安全专家进行管理方面的风险分析,结合江苏省基础地理信息系统安全建设现状,指出当前安全规划和安全管理制度存在的不足,并给出安全建议。
(2)工具检测。采用成熟的扫描或检测工具,对于网络中的服务器、数据库系统、网络设备等进行扫描评估;为了充分了解各业务系统当前的网络安全现状及其安全威胁,因此需要利用基于各种评估侧面的评估工具对评估对象进行扫描评估,对象包括各类主机系统、网络设备等,扫描评估的结果将作为整个评估内容的一个重要参考依据。
(3)基线评估。采用基线风险评估,根据本行业的实际情况,对信息系统进行安全基线检查,拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距,得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。
(4)人工评估。工具扫描因为其固定的模板,适用的范围,特定的运行环境,以及它的缺乏智能性等诸多因素,因而有着很大的局限性;而人工评估与工具扫描相结合,可以完成许多工具所无法完成的事情,从而得出全面的、客观的评估结果。人工检测评估主要是依靠具有丰富经验的安全专家在各服务项目中通过针对不同的评估对象采用顾问访谈,业务流程了解等方式,对评估对象进行全面的评估。
(5)渗透测试。在整个风险评估的过程中,结合外部渗透测试的方式发现系统中可能面临的安全威胁和已经存在的系统脆弱性。
关键词:网络安全;风险评估;模糊综合评价
0 前言
网络安全正逐渐成为一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。
然而,现有的评估方法在科学性、合理性方面存在一定欠缺。例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估;层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法――模糊综合评价法。
模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。
1 关于风险评估的几个重要概念
按照ITSEC的定义对本文涉及的重要概念加以解释:
风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。
威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性。
漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。
资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。
2 网络安全风险评估模型
2.1 网络安全风险评估中的评估要素
从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。
可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念;②根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的;③根据IS0-13335的观点,漏洞是和资产相联系的。漏洞可能为威胁所利用,从而导致对信息系统或者业务对象的损害。同样,也可以通过弥补安全漏洞的方法来降低安全风险。
从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。
即风险R=f(z,t,v)。其中:z为资产的价值,v为网络的脆弱性等级,t为对网络的威胁评估等级。
2.2 资产评估
资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供:①企业内部重要资产信息的管理;②重要资产的价值评估;③资产对企业运作的重要性评估;④确定漏洞扫描器的分布。
2.3 威胁评估
安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。
威胁评估大致来说包括:①确定相对重要的财产,以及其价值等安全要求;②明确每种类型资产的薄弱环节,确定可能存在的威胁类型;③分析利用这些薄弱环节进行某种威胁的可能性;④对每种可能存在的威胁具体分析造成损坏的能力;⑤估计每种攻击的代价;⑥估算出可能的应付措施的费用。
2.4 脆弱性评估
安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。
通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。
3 评估方法
3.1传统的评估方法
关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。即:风险=威胁+脆弱+资产影响
但是,逻辑与计算需要乘积而不是和的数学模型。即:风险=威胁x脆弱x资产影响
3.2 模糊数学评估方法
然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。在风险评估中,出现误差是很普遍的现象。风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。
在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。
(1)确定隶属函数。
在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。
此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。
为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。
威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。
(2)建立关系模糊矩阵。
对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数。同样资产,威胁因子也可以得出一组数,组成一个5×3模糊矩阵,记为关系模糊矩阵R。
(3)权重模糊矩阵。
一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。换句话说,高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视,即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。
(4)模糊综合评价算法。
进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为:Y=B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果,当然也可以对这个结果进行量化。比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。
4 网络安全风险评估示例
以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。
在评估模型中,我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估,得到的风险级别分别为:4、2、2。
那么根据隶属函数的定义,各个因子隶属于各个风险级别的隶属度为:
如果要进行量化,那么最后的评估风险值为:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此时该资产的安全风险值为2.8。
参考文献
[1]郭仲伟.风险分析与决策[M].北京:机械工业出版社,1987.
[2]韩立岩,汪培庄.应用模糊数学[M].北京:首都经济贸易大学出版社,1998.
[3]徐小琳,龚向阳.网络安全评估软件综述[J].网络信息安全,2001.
信息系统的风险性可以分为人为性风险和非人为性风险,非人为性风险主要包括环境和系统风险。信息系统的脆弱性主要包括硬件、软件、管理以及运行环境等四个方向,从硬件方向讲,指硬件设备存在的漏洞和缺陷。从软件方向讲,在信息系统的研发过程中所产生的错误信息,进而导致系统出现漏洞,对安全造成严重危害。从管理方面讲,是指在日常管理和应急预案管理的过程中存在问题。从运行环境方面讲,指的是办公室、计算机房、温度、湿度以及照明条件等情况导致的系统漏洞。
2信息系统管理中信息安全风险评估方法
2.1信息安全风险评估内容
信息安全风险评估的主要内容包括评估资产的威胁性和脆弱性,对已有安全措施进行风险评估分析。信息资产是指对信息资源产生一定利用价值的总称,是信息安全评估中的重点保护对象,主要分为人员、数据、软件和硬件等资源,根据各种资源的完整性、保密性以及可用性进行等级划分,评估组织系统中资产的威胁性,包括直接威胁和间接威胁等,根本目的在于对安全风险需求的分析,建立风险防范措施,有效降低信息安全的威胁性因素。
2.2风险评估方法
信息系统管理中的信息安全风险评估方法较多,本文主要从人工评估法和定性评估法两方面进行分析。人工评估法。又称为手工评估法,是指在整个风险评估的过程中,运用人工作业的形式进行信息安全风险评估,通过对资产、投资成本的风险的安全需求、威胁性、脆弱性以及安全措施等,进行有效评估,根据其风险效益制定出与之相对应的决策。定性评估法。定性评估法是根据专业机构以及专家等对风险的判断分析,属于一种相对主观的评估方法,该评估方法偏向于关注风险带来的损失,忽略了风险的发生频率。其他评估方法包括工具辅助评估和定量评估等方法。
2.3层次分析方法
通过运用层次分析法对信息安全的评价体系进行构建,进而对风险进行综合性评价。通过运用层次分析法对信息安全的风险作出评估,评价信息安全风险所涉及到的各个要素间的相对重要的权数,根据各个要素的排序,作出横向比较分析,为信息安全的风险评估提供可靠依据。对信息安全的风险评估中,通过运用层次分析法进行有效评估,进而增强风险评估的有效性。通过分析资产、威胁性、脆弱性以及安全措施的四个评价指标体系,对安全风险进行合理性的分析评估,降低安全风险系数。
3结语
电子文件风险评估是电子文件安全管理的重要前提和基础,也是档案信息化建设的重要课题。基于风险评估的电子文件安全管理体系能够对电子文件信息安全状况进行“把脉”,提出针对性的“诊疗”手段,而不是传统管理被动的“头痛医头脚痛医脚”。
一、电子文件风险评估的意义
(一)风险评估是电子文件安全管理的前提和基础。由于自身的特点,电子文件的风险始终客观存在。档案工作者的努力目标就是利用一切先进的技术和方法,把风险降到最低,把损失控制在最小的范围内。运用风险管理的理念和方法,对电子文件进行风险评估,能够对电子文件进行科学、全面的分析,查找可能威胁电子文件的风险,在风险发生之前作出判断,采取措施,及时应对。因此,风险评估对档案工作具有重大意义,是传统档案管理方法的有益补充。
(二)风险评估是进一步完善电子文件安全管理的关键环节。它能够利用科学的量化标准,对风险发生的概率及其可能造成的损失进行预测和分析,并在此基础上对存在风险的环节进行改进和完善。电子文件安全管理实行风险评估能够使管理者全面、清晰地把握电子文件存在的危险和不足,有利于进一步改进管理方法,理清管理思路,完善管理制度,全面提升电子文件管理水平。
(三)风险评估是实施电子文件安全等级保护的必然要求。要对各类电子文件实施安全等级保护,就要在电子文件安全管理中开展风险评估,对电子文件安全管理体系中存在的风险进行安全预测,科学定级,分级管理。
(四)风险评估是实现电子文件管理国际化的重要途径。随着信息安全工作的发展,风险管理在电子文件管理中的作用越来越得到人们的认可,信息安全风险评估也从单一的技术手段发展成为一种科学的管理体系,科学统一的技术规范和评定依据逐渐成为风险评估的必需。由于信息安全事关国家利益,大部分发达国家都制订了电子文件风险评估标准,并将之作为行业的技术性法规。电子文件管理广泛开展风险评估,有利于推广信息技术安全保护标准化,有利于促进国际间技术交流合作,是实现电子文件管理国际化的重要途径。
二、电子文件风险评估工作的困境
(一)风险认识存在偏差。电子文件已经成为档案产生、保存和管理的主要形式,由于其自身特点,各种各样的危险始终紧随着电子文件,但许多人对电子文件风险的认识却存在不同偏差。有的风险意识薄弱,认为传统纸质档案对保存环境要求条件高,需要预防微生物、虫害、啮齿动物等的损害,还要时刻注意光照、温度、湿度、灰尘等因素,而电子文件只需要一台计算机就能解决所有问题,而且保存简单、利用方便,一劳永逸。也有的认为电子文件作为信息技术的产物,必然面临不可读、失真、黑客等威胁,且一旦造成损失,往往是荡然无存又无法挽救,其风险无可避免。也有的认为现代信息技术十分先进,只要建立科学的管理体系,采纳先进的管理技术,绝对能够避免电子文件的风险。正是因为存在对风险认识的各种偏差,导致管理者和利用者没有科学、正确地认识电子文件的风险,或者麻痹大意,或者失去信心,或者陷入一味追求绝对安全的误区。正是因为存在各种对风险认识的偏差,目前我国电子文件风险管理水平较低,尤其缺乏必要的风险评估活动。
(二)安全风险评估工作滞后。一是没有一支专业的风险评估队伍。电子文件风险评估是一项专业化非常强的工作,我国有一些风险意识较强的已经尝试开展风险管理,但仍然没有一支专业的风险评估队伍。二是评估标准亟待完善。根据国家信息安全等级保护“自主定级,自主保护”的原则,应该根据自身情况制订科学的定级标准,严格执行,确保电子文件安全管理。但我国大部分目前尚未制订信息安全保护等级标准,没有真正执行电子文件等级保护的规定。三是风险管理缺乏系统性。电子文件风险管理是一个系统工作,包括风险管理规划、风险评估、风险应对和风险监控等四个基本环节。风险评估是整个风险管理的基础性工作,但评估的结果必须与风险管理的其他环节紧密结合,特别是要具体指导风险应对和风险监控活动。由于电子文件风险管理刚刚起步,还没有建立系统的风险管理机制,无法真正实现风险评估“有理可依,有据可循”。
(三)电子文件管理停留在传统安全保护阶段。电子文件是档案管理的特殊对象,一些档案工作者没有认识到电子文件既是“档案”又是“电子信息”的特点,管理停留在传统安全保护阶段,没有采取先进的风险管理方法,给电子文件管理遗留下不少安全隐患。一是管理过程缺乏全程性,认为保护是电子文件归档后的任务,没有意识到电子文件形成和利用中存在的风险。二是安全管理停留在静态、被动阶段,没有根据电子文件的发展和单位管理体系内部情况的变化实施动态的风险评估和风险应对。三是大多数没有积极引入远程技术、异地备份、云计算等先进的技术加强电子文件安全管理。
(四)信息资产安全形势严峻。信息资产的安全保护和开发利用是提高办学效益、提升影响力的重要途径。电子文件已经逐步取代纸质文件成为主要的档案载体,储存着数量庞大的数据资产、软件资产、师生信息、科研资料等。由于电子文件的特点,信息资产存在着高风险性,往往一被泄漏就失去资产包含的价值。许多资产管理者和档案工作者低估信息资产的价值,忽视电子文件信息保护,导致信息资产安全面临着严峻的形势。
三、基于风险评估的电子文件安全管理体系
(一)以风险管理规划完善安全管理体系。风险管理规划能够对电子文件管理工作进行统筹规划,有利于今后电子文件管理的持续、有序、顺利开展。应根据电子文件管理的需要,制订电子文件风险规划,将电子文件安全管理的实施目标、构建原则、构建方法、工作内容建成一个基本框架,进而确立和完善电子文件安全管理体系。
(二)以风险评估标准规范安全管理策略。电子文件安全管理策略就是针对电子文件安全管理的全局性、基础性、系统性问题所制定的政策和措施,是对电子文件安全管理的总体思路和指导方针。电子文件安全管理策略是否科学、合理、适宜,关系着电子文件管理目标和任务能否顺利实现。风险评估标准是电子文件风险评估的工具,直接决定了安全评估的结果,为风险管理的具体工作提供了操作性指导,因此也影响着电子文件安全管理策略的制定。电子文件风险评估标准的制定既要建立在国际组织和国家政府颁布的信息安全管理标准的基础上,又要结合电子文件信息安全的具体情况,兼顾定性分析和定量分析的方法,从而达到对电子文件安全管理策略的战略指导和操作规范。
(三)以风险评估结果引导安全管理工作。电子文件风险评估之所以能够发挥作用,最主要是评估的结果对整个风险管理工作的指导意义。风险评估能够初步识别出电子文件安全管理工作中的存在风险及造成因素,并根据风险因素的危害程度确定风险等级,提出应对措施,引导今后的管理工作。
(四)以风险应对策略提升安全管理水平。电子文件风险评估的根本目的是预测文件管理的危险因素并采取有效的应对策略,最大限度地减少各种风险因素造成的损失。为了保证电子文件信息的保密性、完整性、真实性和可用性,电子文件风险应对策略必须对信息资产管理、文件管理和业务管理进行统筹规划,根据风险因素选择采用风险预防、风险规避、风险转移、风险减轻或风险接受等五种基本策略应对风险。一个优秀的电子文件安全管理体系能够根据电子文件管理的需要采取风险应对措施,并在此基础上改进文件管理的方法,通过风险应对在实际上不断提高文件管理体系的科学水平。
【 关键词 】 信息安全;等级保护;风险评估
Information Security Hierarchy Protection and Risk Assessment
Dai Lian-fen
(China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725)
【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.
【 Keywords 】 information security;hierarchy protection;risk assessment
1 风险评估是等级保护建设工作的基础
等级保护测评中的差距分析是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。风险评估作为信息安全工作的一种重要技术手段,其目标是深入、详细地检查信息系统的安全风险状况,比差距分析结果在技术上更加深入。为此,等级保护与风险评估之间存在互为依托、互为补充的关系,等级保护是国家一项信息安全政策,而风险评估则是贯彻这项制度的方法和手段,在实施信息安全等级保护周期和层次中发挥着重要作用。
风险评估贯穿等级保护工作的整个流程,只是在不同阶段评估的内容和结果不一样。《信息系统安全等级保护实施指南》将等级保护基本流程分为三个阶段:定级,规划与设计,实施、等级评估与改进。在第一阶段中,风险评估的对象内容是资产评估,并在此基础上进行定级。在第二阶段中,主要是对信息系统可能面临的威胁和潜在的脆弱性进行评估,根据评估结果,综合平衡安全风险和成本,以及各系统特定安全需求,选择和调整安全措施,确定出关键业务系统、子系统和各类保护对象的安全措施。在第三个阶段中,则涉及评估系统是否满足相应的安全等级保护要求、评估系统的安全状况等,同时根据结果进行相应的改进。
等级保护所要完成的工作本质就是根据信息系统的特点和风险状况,对信息系统安全需求进行分级, 实施不同级别的保护措施。实施等级保护的一个重要前提就是了解系统的风险状况和安全等级, 所以风险评估是等级保护的重要基础与依据。
2 等级保护建设过程中如何有效地结合风险评估
2.1 以风险评估中资产安全属性的重要度来划分信息系统等级
在公安部等四部局联合下发了《信息安全等级保护的实施意见》公通字2004第66号文中,根据信息和信息系统的重要程度,将信息和信息系统划分为了五个等级自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。实际上对信息系统的定级过程,也就是对信息资产的识别及赋值的过程。在国家的《信息系统安全等级保护定级指南》中,提出了对信息系统的定级依据,而这些依据基本的思想是根据信息资产的机密性、完整性和可用性重要程度来确定信息系统的安全等级,这正是风险评估中对信息资产进行识别并赋值的过程:对信息资产的机密性进行识别并赋值;对信息资产的完整性进行识别并赋值;对信息资产的可用性进行识别并赋值。从某种意义上来说,信息系统(不是信息)的安全等级划分,实际上也是对残余风险的接受和认可。
2.2 以风险评估中威胁程度来确定安全等级的要求
在等级保护中,对系统定级完成后,应按照信息系统的相应等级提出安全要求,安全要求实际上体现在信息系统在对抗威胁的能力与系统在被破坏后,恢复的速度与恢复的程度方面。而这些在风险评估中,则是对威胁的识别与赋值活动;脆弱性识别与赋值活动;安全措施的识别与确认活动。对于一个安全事件来说,是威胁利用了脆弱性所导致的,在没有威胁的情况下,信息系统的脆弱性不会自己导致安全事件的发生。所以对威胁的分析与识别是等级保护安全要求的基本前提,不同安全等级的信息系统应该能够对抗不同强度和时间长度的安全威胁。
2.3 以风险评估的结果作为等级保护建设的安全设计的依据
在确定信息系统的安全等级和进行风险评估后,应该根据安全等级的要求和风险评估的结果进行安全方案设计,而在安全方案设计中,首要的依据是风险评估的结果,特别是对威胁的识别,在一些不存在的威胁的情况下,对相应的脆弱性应该不予考虑,只作为残余风险来监控。对于两个等级相同的信息系统,由于所承载业务的不同,其信息的安全属性也可能不同,对于需要机密性保护的信息系统,和对于一个需要完整性保护的信息系统,保护的策略必须是不同,虽然它们可能有相同的安全等级,但是保护的方法则不应该是一样的。所以,安全设计首先应该以风险评估的结果作为依据,而将设计的结果与安全等级保护的要求相比较,对于需要保护的必须符合安全等级要求,而对于不需要保护的则可以暂不考虑安全等级的要求,而对于一些必须高于安全等级要求的,则必须依据风险评估的结果,进行相应高标准的设计。
3 结束语
风险评估为等级保护工作的开展提供基础数据,是等级保护定级、建设的实际出发点,通过安全风险评估,可以发现信息系统可能存在的安全风险,判断信息系统的安全状况与安全等级保护要求之间的差距,从而不断完善等级保护措施。文章对等级保护工作中如何结合信息安全风险评估进行了有益的探索,为有效地支撑计算机信息系统等级保护建设的顺利进行提供了参考。
参考文献
[1] 吴贤.信息安全等级保护和风险评估的关系研究.信息网络安全,2007.
[2] 冯登国,张阳,张玉清.信息安全风险评估综述.通信学报,2004.
自20世纪80年代起,随着对风险评估问题研究的不断深入,出现了多种风险评估方法和标准。但是,这些方法和标准一般都是针对大型机构或部门的信息系统设计,用于实施风险评估,往往工作量较大,无法适用于中小型信息系统。
因此,在已知的大量实际案例中,风险评估的实施往往没有采用经典的由威胁、脆弱性、资产组成的标准模型,而代之以最佳实践法、资产评估法、基于场景的分析法等方法。其中,最佳实践法侧重于分析对不同类别资产所采取的安全措施;资产评估法重点关注资产在组织层面的价值;基于场景的分析法则依靠测试和分析典型风险场景来实现风险评估。这些方法的问题包括:1、评估过程花费昂贵且耗时过长,评估结果无法及时反应信息系统风险状态;2、安全措施的选择往往并非基于风险模型,而是基于由最佳实践得出的安全措施清单,无法科学地反映被评估系统的问题。
在学术领域,也有不少研究致力于将故障树、事件树、马尔可夫链、FMEA等建模技术应用于风险评估模型的构建。如基于DS证据推理的风险评估模型、基于贝叶斯网络的风险评估模型P]、基于攻击树的风险评估模型等。上述方法的共同缺点包括:假设的主观性较强、风险因素与风险之间关系的识别的复杂性较高、时间较长。
2011年,Lazzerini和Mkrtchyan提出了一种使用具有非线性隶属函数、条件权重及时延权重的扩展模糊认知图(E-FCMs)来分析风险因素和风险之间关系的方法,在该文献中,俩人还提出了一种基于E-FCMs的悲观方法来评估一个系统或项目整体风险的模型,并通过引入适合于风险分析的特殊图示对E-FCMs进行了扩展。但是,本文研究的信息安全风险属于操作类风险,上述方法不能直接用于解决此类风险评估问题。
本文提出了一种基于模糊认知图(FuzzyCognitiveMaps,FCM)的轻量级风险评估方法,方法包括风险模型构建、风险推理两部分。其中,模糊认知图被用于获取资产间依赖关系,基于模糊认知图的推理方法被用于将低级资产(如硬件、软件、信道、人等)的风险整合至高级资产(如服务、数据、业务流程等)。另外,本文还以一个移动办公信息系统为例,对方法的应用进行了研究。
2模糊认知图简介
Kosko最早通过引入模糊值对认知图进行扩展,形成了模糊认知图的概念。大量文献对模糊认知图进行了研究[9],应用范畴包括:系统建模、经济制度发展分析、新技术应用、生态系统分析和医学决策支持等。
FCM是一种有向图,每个节点表示系统中的一个概念,这个概念可以是系统的事件、目标和趋势等,整个模型包含一组概念C={c1,...,c?};有向边表示节点间的因果关系。每个概念节点具有各自的激活水平值,激活水平值一般为[0,1]或[-1,1]的实数,系统状态是各节点激活水平值的n维向量(《=|C|)。
在FCM中,节点间因果关系由边和边的权重表示。连接两个节点C和Cj的边的权重为正,表示c增长将引起C]增长,权重为负则表示c增长将引起c]减小。最简单的FCM仅以值-1,0或1作为边权重,在图中分别用负号㈠边、没有边、正号㈩边表示。为了更精确地定义因果关系,一般会用语言值(如强烈否定、否定、偏否定、中立、偏肯定、肯定、强烈肯定)表示权重,计算时再将这些语言值均匀映射到区间上。
FCM中各节点间的因果关系可以用_的影响力矩阵£=[%]表示,矩阵元素代表连接节点ct和c3的边权重;若两节点间无因果关系,则用0值表示。图1是一个FCM的例子,Cl,C2,C3,C4,C5,C6为概念节点,
带语言值权重的边表示节点间的影响力。影响力矩阵E为:语言值对应的数值选择没有确定的规则,在此采用将语言值均匀映射至区间[-1,1]的选择方式,得到对应的数值为-1,-0.66,-0.33,0,0.33,0.66,1。3基于模糊认知图的风险评估方法各类风险评估标准中均对风险评估的方法的使用方式等有所描述。本文方法与上述方法的主要区别在于,利用FCM模型能够方便快捷地获取资产间的相互影响,并能够在风险的聚合过程中对资产间依赖关系的变化实现追踪。
3.1概念模型
在图2所示的被测信息系统概念模型中,各项资产按其相互关系被连接形成一个资产增值树。其中,低级资产为其上级资产提供服务,顶部节点一关键业务进程由系统业务确定。各资产间的依赖关系在图中通过箭头表示,如图所示:关键业务进程的效用取决于其使用的数据和服务;数据的可用性由数据源(用户、外部数据提供者)提供;服务则依赖于软件、硬件和信道,同时与人员、物理基础设施(建筑物、房间、电力设施)和外部服务(如PKI)等相关。同时,各节点被赋予一定的安全效用值,效用值是资产的完整性、可靠性、可用性等各种安全属性的集合。低级资产效用值的变化将影响到使用它们的高级资产。
与关注于攻击行为或威胁的方法(如攻击树法)不同,本文选择了基于资产的威胁识别方法。在如图3所示的风险基本模型中,资产的效用值可能受威胁的影响而降低,威胁对资产的负面影响可以通过适当的安全措施加以补偿,安全措施本身只能降低风险,而不能增加资产的效用值。图3资产、威胁及安全措施之间的关系
最后,在安全分析的众多领域,被评估风险的大小均与风险可能导致的经济损失有关。作为风险状况的体现,造成损失较小的事件,若数量超过一定值,也需要考虑其效果的累积。
另外,对生命体征监测、航天、铁路管理等安全关键系统而言,部分故障应被视为无法量化的灾难性损失,在评估实施中,应被视作停止系统运行的条件。本文将讨论的移动办公信息系统,安全性要求较为灵活,不将其视为安全关键系统。
为了便于评估的实施,本文作出如下定义:
⑴效用值:一种被赋予资产的数值,取值范围为[-1,1];
⑵风险:与资产相关,预设效用值与推理过程结束时计算出的效用值之间的差值。
3.2 基于模糊认知图的风险评估流程
本文的风险评估流程如图4所示。图中圆角矩形表示流程中的各个环节,实线矩形表示输入输出信息,虚线矩形表示各流程产生的中间结果。
本文基于模糊认知图的风险评估方法由以下六步组成:1、资产识别:此步骤的输入为项目文档、设计方案等能够体现系统现状和体系结构的文件,以及与方案设计人员等的面谈记录。输出为系统的资产列表,包括关键业务、服务、数据、软件模块、硬件、信道、外部数据及服务提供者,以及相关人员及办公场所等。2、构建资产增值树:此步骤的目的是评估低级资产(硬件、软件、信道等)对高级资产(服务和数据)的影响。影响力的大小由与系统建设方讨论确定的语言值来描述。为便于后续推理的实施,此步得出的资产增值树将被表示为FCM影响力矩阵的形式。3、威胁识别:此步骤可使用常见的威胁分类方法(如基于本体),也可根据被评估系统的资产分类来识别威胁。本文采用以资产为基础的威胁识别方法,即所有威胁均针对特定资产。4、单项资产风险评估:此步骤将调査问卷作为基本工具,要求相关人员回答与安全措施相关的问题,同时采用由信息安全领域最佳实践得出的安全措施列表,并对其进行筛选修改,使其适用于特定资产。此步骤的输出是资产的风险值(归一化至[0,1]的实数)。5、风险聚合:此步用FCM推理完成,体现低级资产的风险如何累积影响高级资产的风险状况。此步还包括FCM影响矩阵规范化等其他准备工作。6、结果解析:根据以上计算所得结果,给出系统关键风险的判断并给出安全措施等的建议。
3.3风险聚合一一模糊认知图推理过程
用FCM进行推理的关键在于构建状态序列:a=j(0)j(1),...j(蛛...,该序列以节点激活水平值的初始向量为起点,根据下式算出序列的后续元素:为(+1)=S,(VA.㈨)(2)第(k+1)轮迭代是将矢量A(k)与影响力矩阵E相乘,然后通过一个激活函数将所得到的节点激活水平值映射到预设的范围内。
激活函数的选择与计算模型密切相关,尤其是映射的区间范围以及使用的是连续值还是离散值。本例中,矢量A(k)与各元素绝对值均小于1的n维方阵E相乘,其结果应为一个各元素值均在[-?,?]范围内的向量。因此,激活函数需要满足条件:1、在此区间内的值应被映射至[-1,1](或[0,1])区间;2、应是单调函数,并满足S(0)=0(或S(0)=0.5)。在本文后续的方法应用中,将采用以下两种激活函数:
通常,状态序列a=A(0XA(1),...^4(处...可无限延展。然而,研究表明,在k次迭代后(k是一个接近矩阵E的秩的数字),序列将达到一个稳定状态或产生循环。因此,当推理算法满足下式要求时可停止迭代:2 j<k:d(((k),A(j))<£ (5)其中d是距离,e是一个很小的阈值,如10_2。状态序列a代表了一个非单调的模糊推理过程,推理序列的稳定状态是推理结果。本文的风险聚合过程,就是利用了此推理过程。
4移动办公信息系统风险评估实例
本节将以某移动办公信息系统为例,对本文方法的实施过程及结果进行研究。
4.1 移动办公信息系统介绍
随着移动互联网技术的发展成熟,各行各业的移动办公业务需求不断增长,出现了大量移动办公建设案例。移动办公信息系统的主要应用模式是通过移动终端从业务服务器下载各类业务应用数据,支持移动办公现场业务实施;在上述业务流程中,广泛的信道支持(WiFi、广域网、移动运营商网络等)为其提供了高度的灵活性,TLS等加密协议可以为其提供数据传输的安全性。移动办公人员的地理位置信息等可作为数据库査询的依据,査询结果根据办公人员使用终端类型的不同(个人电脑、平板电脑、智能手机等),用不同的形式自动发送给现场办公人员。另外,从现场采集到的业务相关数据信息作为业务数据库的信息来源被上传并存储在数据库中,为后续的数据统计、业务决策等提供信息支持。
系统中通常也具备为业务管理人员设计的特殊模块,使其能够对系统进行参数配置。此外,系统一般还能够接收其他符合行业数据标准的其他信息系统提供的数据。
系统体系结构如图5所示,(1)移动客户端(智能手机)收集原始数据,通过互联网HTTPS安全通信协议,经(3)SSL认证网关初步验证,并加密发往⑷应用服务器。应用服务器运行系统的主控逻辑,负责授权、数据验证、生成通知,以及与(5)数据库服务器和(6)数据分析服务器之间的通信。数据分析服务器负责完成业务数据的统计分析工作。
4.2 资产识别
本例的资产识别阶段,主要实施方式是组织由被测单位信息部门相关人员参加的访谈及会议,通过对现有的项目文档进行研究,对系统结构进行讨论,明确系统信息安全风险评估所涉及的资产。经研讨,此系统的资产包括:
1、业务过程:现场巡査、业务信息检索、业务信息存储、分析结果获取;
2、服务:数据存储和检索、数据传输、数据分析;
3、数据:现场巡査采集数据、遥感影像数据、配置数据;
4、软件模块:认证、业务应用、资源数据库、移动办公客户端、固网客户端、数据分析软件;
5、硬件模块:认证服务器、应用服务器、数据库服务器、数据分析服务器、智能手机及固网用户主机;
6、信道:通过WLAN、LAN和3G等构建的外部网络(HTTPS协议),内部办公网络(HTTP协议);
7、人员:移动办公用户、固网办公用户、技术人员;
8、其他:由第三方提供的基础设施(通信线路、电力线路)。
4.3 构建资产增值树
图6为本系统的资产增值树,图中各节点就是前一步中识别出的资产,业务过程依赖于软件和硬件模块所提供的服务,并与系统中存储及交换的数据相关。图中资产间的相互关系从系统体系结构的角度考虑确定,边的权重值则根据与系统使用维护人员的访谈确定。权重确定后,即可将其描述为FCM影响力矩阵的形式,本例中用于描述的语言值为:高、明显、中、低、无。例如,现场巡査业务受数据存储和检索、数据传输两项服务的高度影响,受数据分析服务的明显影响。
4.4 威胁识别
目前,在信息安全风险评估中,对威胁的识别一般基于以往经验提供的对攻击源的认知。根据以往经验,在本例中,要考虑的所有威胁,可根据其影响的资产类型分为11类,分别为:(1)过程类,如设计缺陷;(2)软件类,如质量缺陷、缺乏维护、恶意软件;(3)硬件类,如质量缺陷、能量耗尽;(4)通信类,如协议缺陷、服务中断;(5)数据类,如破坏机密性、破坏完整性;(6)外部服务类,如有无PKI等安全基础设施;(7)外部数据类,如数据接口错误;(8)基础设施类,如场地、电力、空调;(9)人员类,与移动办公用户、固网办公用户和技术人员相关的威胁;(10)自然灾害类;(11)经济条件,法律等。
4.5 单项资产风险评估
此环节工作包括两方面内容脆弱性分析和安全措施有效性分析。在实施方式上,此部分评估采用能够反应最佳实践的问卷调査的形式。针对此次的被评估系统,关于威胁与安全措施的调査问卷共针对11组资产设计了约140个问题。
表1为与移动办公客户端相关的风险评估调査问卷。问题根据各类资产的最佳安全实践确定,每个问题涉及一项安全特性。各项问题均根据其对资产整体风险的影响被赋予问题权重^。每个问题最多给出三个答案,各答案均被赋予代表其对资产风险影响程度的风险影响系数qije[0,1]。问题权重W,_及风险影响系数qy利用专家法由专家评分决定。这些权重信息对被调査人员是不可见的。表中星号项为此次问卷调査的回答结果。
至此,资产S的风险值RS可通过将ks个问题a(i=1,...,ks)的答案ay代入式(6)得出。值1和0分别表示是或不是某项答案,即若问题i的答案是答案.则%=1,否则%=0。
其中,w是归一化因子。计算可得,移动办公客户端的资产风险值Rs=0.404,风险值不为0,表明资产面临的威胁不能完全被安全措施控制。
采用上述方法,计算所有低级资产的单项资产风险值,可明确系统中风险值为高、中、低的各类资产,并对高风险资产采取针对性安全措施。
在实际操作中,问卷调査内容的设计过程与模糊认知图的构建过程是同步进行的,问卷中的权重值w,即反映了FCM图中影响值的大小,以数据资产“现场巡査采集数据”为例,在与其有因果关系的下级资产(移动办公客户端、智能手机、移动办公用户)的问卷调査中,选择可能影响上级资产的问题,取其权重的均值,即得到其影响值。
4.6 风险聚合
针对业务过程、服务、数据等高级资产类别,由于其自身的复杂性,无法采用4.5节中的问卷调査方式实施风险评估,因此,本文采用FCM推理实现的风险聚合来完成高级资产的风险计算。
在计算前需先进行影响力矩阵的归一化操作。本例中,原始矩阵用5个语言值(高、较高、中、低、无)来描述,分别对应影响力值{1,0.75,0.5,0,25,0}。对每一行i=1,...,n,影响力值的归一化可按下式完成:
其中,且m是一个正常数(实际计算中常使用m=1.0)。上述归一化过程给出了一个概率分布。假设的分布形式源于博弈论,假设高级资产ah受低级资产an,...,aik的影响,影响系数为em,…,em。如果攻击者选择从一个低级资产发起攻击,那么它应该在能够影响ah的低级元素中选择影响力eMm最高的元素am但是,攻击者对影响力可能作出错误的估计。由此所得的攻击行为概率与错误估计的分布相关,而错误估计一般没有明显的规律。因此,假设错误估计服从双指数分布,就可得到式(7)给出的logit(对数成败比率)模型。
最终,聚合风险的计算需要通过连续使用FCM状态方程(2),构建两个向量序列:无风险序列anr的初始向量为A^(0),在此向量中,表述资产风险属性的所有向量元素都被置为1。而风险序列d的初始向量A\0)是资产风险属性向量A10)与式(6)计算出的风险值RA的差,艮P:Ar'(0)=A'(0)-R4。最后,将anr和d中的相应元素相减,即R(i)=Anr(i)-Ar(i),即可得到聚合风险值序列p=R(0),...,R(i),...。此序列将收敛于表示资产聚合风险的数值。
图7为系统中数据、服务、业务进程三组资产的风险计算的结果。结果分别采用式(3)和式(4)定义的激励函数S-(图(a))和SeXp(图(b))得到。对于函数SeXp,式中常数m的值采用2.0。结果比较表明,两个函数的计算结果趋势一致。
4.7结果解析分析表明,低级资产的风险会影响高级资产。在本文的评估实例中,大量资产(如移动客户端)的风险是由于系统尚未部署在实际生产环境中,实验环境下大量安全措施(PKI、UPS、物理访问控制措施等)尚未部署所导致的。在实际部署中,需要将这些安全措施启用。
5结束语
ISMS的范围在哪?
对ISMS范围的正确确定是整个实施的基础和成败关键。它涵盖了业务流程、信息流和相关资产,因而也确定了BS7799信息安全管理体系的边界和目标,这对于实施周期、实施受益的信息管理环节都将产生影响。
仅就认证目的而言,企业可以选择任何部门和系统,但显然只有与业务目标一致的范围定义才有助于体现安全管理对于核心业务的促进作用。
在本项目中,最终选择了企业的核心业务系统作为此次认证的范围,其ISMS边界包括数据安全实验室及所有与“数据销毁和数据恢复服务”相关的信息资产,从而确保了BS 7799实施与预期目标的一致性。
评估风险
风险评估被公认为是ISMS实施过程最关键和难以操作环节。因此,BS7799实施并不限定客户使用风险评估的方法。
风险评估成功与否关键不在于技术问题,而在于良好的客户沟通和会议组织技巧,包括让管理层和业务人员理解风险评估的重要性和方法,提供必要的配合和支持,并通过高效的会议组织获得较全面的和客观的调查反馈信息。
应避免风险评估仅限于IT部门和安全专家的参与。风险评估既然服务于企业的业务目标,就应当得到业务部门的支持。事实上,只有他们最理解需要保护什么、保护的程度如何,哪些是安全问题,发生过什么安全事件,是否值得以特定成本实施安全控制而降低某项风险。
因此,在一开始就应把业务骨干纳入到风险评估小组,通过培训让所有成员理解风险评估的目的、流程和方法。
风险评估应始终围绕企业的目标和方针进行。比如说,在评估资产和威胁的影响时,都要做BIA(业务影响分析),其中制定的参考指标就应当依据企业安全目标。当发生各成员评估结果不一致的情况时,项目经理也应参照安全目标的定义进行裁决。
成功的风险评估应避免片面性、主观性,避免与漏洞扫描或穿透测试混为一谈。客户可能认为只有后者才是值得尊重的专业服务,但事实上风险不仅来自技术弱点,还包括组织弱点,如业务流程、人员和资产管理等。
此外,完整的风险评估应涵盖物理和逻辑两方面的因素,我们这个案例就很明显地体现了这点。
由于既定的范围不包括复杂的网络和IT资产,因此在进行弱点分析时主要考虑组织和物理方面的技术弱点,例如客户介质在交递、保管、处理、返还等环节的安全隐患,以及安全实验室的实物与环境安全等。
企业应和客户详细讨论各种细微的业务流程隐患,甚至以用户身份参观公司,以了解这项服务存在的外部隐患,例如客户交来介质时如何接待,对包装如何检查、标记、存放,当实验室工作人员暂时离开,如何确保环境和客户介质的安全等。
我们还检查了实验室的装修环境,与其他区域的分隔,以及门禁、监控等措施的有效性。弱点识别往往包括内、外两方面不同的观点,但在资产和威胁分析时,顾问公司只是教给客户标准和方法,让客户自己分析、判断、纪录和整理最终的结果。
评断风险评估的好坏不局限于采用定性或定量的风险评估方法,还在于能否为安全控制决策提供足够的参考依据。
如果将资产价值、安全威胁和弱点对企业业务的影响等评估活动结果严格数字化,不仅可能导致实施进度的失控,而且可能因为缺乏足够的参考标准和过于繁复的过程导致不可操作。在此情况下,基于特定的指标进行范围分级往往是值得推荐的评估方法。
此外,为了提高评估的效率,还可以采用专业化评估软件以减少评估的人为失误和文档编制时间。
人是安全管理体系的灵魂
安全管理体系的良好运作依赖于制度和组织机制,更依赖于各种角色的安全意识和对安全方针的理解与遵守程度。所有这些,需要有有效的培训和管理层的支持。
办好培训最好的方式是案例分析,其次是高层动员。如果在安全手册的扉页有CEO对安全的评论和签名,显然会增加该文档的权威性。
关键词:信用风险评估;指标体系;履约意愿;履约能力
引言
随着中国加入wto,《新巴塞尔资本协议》正式,金融全球化进程不断加快,中国商业银行业除了要与国内同业展开竞争之外,还要面对国际先进的商业银行的挑战,因此对金融风险管理的要求更高、更紧迫。在商业银行所面临的各类金融风险中,信用风险是最古老也是最重要的一类风险,商业银行必须对自己的信用风险进行更加科学有效的评估和防范。
商业银行信用风险评估是一个较为复杂的系统,信用风险的评估指标作为此复杂系统的输入项,对于评估结果的有效性和准确性起着举足轻重的作用。因此,商业银行进行信用风险评估及管理的首要任务是以指标选择原则为指引,以对信用风险的影响因素分析为依据,构建信用风险评估指标体系,为商业银行的风险评估及管理工作奠定基础。
一、商业银行信用风险评估指标的选取原则
1.科学性原则。即评估指标的选择、数据的选取和计算必须以公认的科学理论为依据。
2.全面性和独立性原则。即评估指标具有较强的概括性,既能综合反映商业银行信用风险的程度,各指标间又相互独立,相关性小。
3.可行性原则。即评估指标所涉及的数据容易获取和计算。
4.可量化原则。即指标的选择及表述要尽量做到以量化研究为主,从而避免主观评价所带来的不确定性。
二、商业银行信用风险的影响因素分析
商业银行信用风险的影响因素有很多,经过研究发现可以将其概括为两个方面:贷款企业的履约能力及履约意愿。贷款企业履约就意味着银行能够在规定期限内收回贷款本息,该贷款企业不会令银行遭受因贷款而带来的损失。
1.履约能力。企业的履约能力是企业经营管理情况及发展实力的综合体现,通常可以通过其财务情况体现。财务指标是企业财务状况的客观反映,与一般技术经济指标相比,它具有更强的灵敏度和综合性。企业的管理模式及有效性各不相同,也很难评判,但都会不同程度地反映在其财务指标的发展变动上,因此信用风险评估的一个中心内容就是对企业财务指标的提炼和分析。
2.履约意愿。企业的履约意愿包括企业管理者的道德修养、宏观经济环境变化对管理者履约心理的影响、金融监管环境的好坏对管理者履约投机心理的影响等等。基于以下两点考虑,本研究将履约意愿暂不作为指标体系构建的考虑因素。
其一,履约能力与履约意愿并不是相互独立存在的,而是相互影响、相互作用的。在经济环境稳定、法制健全、讲求商业信誉的社会中,贷款企业有履约能力而不愿履约的可能性较小,此时,履约意愿可以内化于对履约能力的考察。其二,由指标选取的基本原则出发,所选指标要尽可能量化和标准化,履约意愿以中国目前的社会信用管理状况来讲,还不能达到对各贷款企业精确量取。
综上所述,商业银行信用风险评估指标的选取就集中于对企业履约能力的研究,即企业财务指标的选取。
三、商业银行信用风险评估指标体系构建
由以上的分析及对企业财务指标的归纳,商业银行信用风险指标体系可由以下四个方面,14个指标构成。
1.偿债能力。(1)流动比率:比率越高,说明偿还短期负债的能力越强,一般认为,对于大部分企业来说,流动比率为200%是比较合适的比率。(2)速动比率:比率越高,说明偿还短期负债的能力越强,但不宜过高,一般应维持在100%的水平。(3)资产负债率:反映在总资产中有多大比例是通过借债来筹资的,一般情况下,资产负债率越小,表明企业长期偿债能力越强。(4)超速动比率:比率越高,说明变现能力越强,较速动比率能够更确切地反映立即变现能力。
2.营运能力。(1)应收账款周转率:反映应收账款周转速度。比率越高,说明发生坏账损失的可能性越小。(2)存货周转率:综合衡量企业生产经营各环节中存货运营效率。比率越高,说明借款人存货从资金投入到销售收回的时间越短。在销售利润率相同的情况下,比率越高,获利越多。(3)流动资产周转率:比率越高,说明以相同的流动资产完成的周转额越多,流动资产利用效果越好。(4)固定资产周转率:比率越高,说明企业固定资产利用充分,结构合理,能够充分发挥效率。(5)总资产周转率:比率越高,说明企业全部资产
的使用效率越高。
3.盈利能力。(1)销售利润率:反映企业一定时期的获利能力。比率越高,说明销售净收入中的利润越高。(2)净资产收益率:衡量企业运用自有资本的效率。比率越高,说明投资带来的收益越高。(3)成本费用利润率:反映经营耗费所带来的经营成果。比率越高,说明企业的经济效益越好。(4)资产收益率:衡量每单位资产创造的净利润大小。比率越高,说明企业在增加收入和节约资金方面的能力越强。
4.贷款方式。贷款方式虽非企业的财务指标,但在信用风险研究领域越来越受到各专家学者的重视。贷款方式不仅影响贷款企业的履约意愿,更为重要的是,在企业履约能力不足以偿还贷款本息的时候不同程度的补偿银行因此所遭受的损失。从这个意义上来讲,贷款方式是影响银行信用风险的一个重要指标。
结论
1.商业银行信用风险评估指标体系的应用。商业银行信用风险评估作为一个具有系统性、非线性等的复杂系统问题,传统的比例分析方法、统计分析方法等线性方法已经不足以客观、准确地反映银行所面临的信用风险。指标体系的结构以及指标权数的确定应以基于复杂、非线性理论的人工智能方法为主,通过建立合理完善的信用风险评估模型对银行信用风险进行评估。
2.商业银行信用风险评估指标体系的不足。对信用风险评估指标的选取主要集中于定量的财务指标范畴,这一方面是基于对信用风险影响因素之间相互作用的理论分析,一方面是源于中国金融信用体系的限制。这种评估体系结构,虽在一定的理论及实际条件下是科学、合理的,但是从长远考虑,中国商业银行在不断加强金融管制、健全金融法制的同时,对信用风险评估指标的选择应不断纳入环境因素、企业信用因素等更多非财务指标,不断提高商业银行信用风险评估的前瞻性和科学性。
参考文献:
[1]夏红芳.商业银行信用风险度量与管理研究[m].杭州:浙江大学出版社,2009.
[2]于立勇.商业银行信用风险评估[m].北京:北京大学出版社,2007.
[3]李小燕,钱建豪.中国企业信用风险评价指标的有效性研究[j].中国软科学,2005,(9).
关键词:商业银行;信息系统;风险评估
中图分类号:TP311
文献标识码:A
1引言
商业银行作为现代经济的核心,在加快实现银行信息化建设的过程中,越来越关注信息化项目的合理性、有效性、经济性、可用性和安全性。在这种需求的推动下,银行信息系统风险评估走上了银行风险控制的前台,成为商业银行信息化项目治理的重要组成部分。运用先进的评估方法,逐步完善信息系统风险评估的流程,建立适合商业银行风险特征的评估的模型,并通过信息系统风险评估的手段,保障信息资产的安全、数据的完整、提高信息系统的效率,可以使商业银行不断加强信息系统风险管理和内部控制,以适应风险环境日益复杂化的需要,以确保信息系统安全、稳定、有效运行。
2商业银行信息系统风险分析
2.1商业银行信息系统基本特征
随着我国经济的飞速发展及加入WTO后和世界经济一体化进程的加快,企业以及个人相互之间的资金往来需要一个安全高效的资金划拨、支付结算手段及环境,银行不断完善信息管理系统,实现信息系统的电子化、网络化,使商业银行的信息系统具有了新的特点。
1)商业银行的业务系统的特点
网点虚拟化,将帐户的核算与管辖分开,会计核算由总行统一处理,各行处负责具体业务的经办,使业务处理打破了分支机构界限。通过帐务与业务的结合,使得会计系统和银行业务的联系更加紧密,客户的数据在各系统内可以共享,并通过流程的控制使业务操作更加安全、可靠。
面向业务设计银行业务处理,所有功能都由交易来驱动,记帐部分位于业务的底层,业务层通过调用统一的记帐核心来完成帐务处理。通过实施业务流程再造,实现银行业务的重组,更好地配置现有的资源。
2)商业银行信息系统的业务结构分析商业银行主要业务包括存款、贷款、信用卡、中间业务、国际业务、结算、代收代付、ATM、POS、网上银行等。商业银行信息系统为银行业务提供一个支撑平台,结构如图1所示。图1商业银行信息系统业务结构
3)商业银行信息系统结构分析商业银行信息系统构架为三个层次,第一层核心业务系统,主要提供帐务记录、主要业务支撑和业务报表;第二层中间业务平台,是核心数据与外部接口的交换平台,提供数据接口的转换功能;第三层系统,提供外部数据的接口,如图2所示。图2商业银行信息系统层次结构
2.2商业银行信息系统风险的特点
银行业务处理中对及时性和可靠性的特殊需求,使得商业银行信息系统风险体现出明显的行业特征。
1)商用银行信息系统风险的业务特点
网络和安全技术的飞速发展,使得商业银行已成为商品交易的电子平台和电子金库。因此商业银行对数据完整性要求极高,对业务和数据的可用性、安全性,以及对业务中断和数据丢失等事故的防范和处理要求十分严格。
2)商业银行信息系统风险的技术特点
银行开展信息化的时间较长,其应用系统较为普及,但长期来,银行信息系统相对较为封闭。近年来,随着网银、中间业务等银行新型业务和金融产品的出现,对开放信息系统的要求越来越高,银行的信息系统均开始不同程度向外界开放。
由于各商业银行实行数据大集中,导致单笔交易所跨越的网络环节越来越多,银行信息系统 对网络依赖程度越来越高。
3)商业银行信息系统风险的现状
信息系统本身固有的风险在加大。银行业是信息化技术与产品相对密集的行业,由于信息化规模的不断扩大,信息技术迅速发展,银行信息系统所采用信息技术与信息系统软硬件本身存在着很大的脆弱性,如果这些脆弱性被特定的威胁所利用,就会产生风险,从而对银行信息系统的机密性、完整性及可用性产生损害。
银行数据集中后使信息系统风险不易分解。目前各家商业银行已陆续完成数据大集中,实现银行账务数据与营业机构的分离,使银行从以账务和产品为中心转变为以客户为中心。但是,数据集中后信息系统风险增大,系统一旦出现问题,将影响到整个银行的正常运营。
电子金融服务的发展,使商业银行随时面对来自公共网络的威胁。近年来,网上银行、移动银行、电子商务等银行新业务,在成为商业银行利润增长点的同时,使商业银行的网络风险日益凸现。
人员的风险成为最大的风险。统计结果表明,在商业银行信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的。
3商业银行信息系统风险评估模型设计
3.1商业银行信息系统风险评估的现状与趋势
信息系统风险评估已得到国际社会的普遍重视,风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现,风险评估作为保证信息安全的重要基石发挥着关键作用。在信息安全、安全技术的相关标准中,风险评估均作为关键步骤进行阐述,如ISO13335、COBIT、BS7799-3等。
我国的信息系统风险评估工作目前还处于起步阶段,还没有形成一套成形的专业规范,缺少一支能够全面开展信息系统风险评估的人才队伍。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动的应用范围,运用传统的信息技术和风险评估知识已经不能实现真正意义上的"风险基础模式"的风险评估,这些都影响到我国IT治理和信息系统风险控制的实施。
随着商业银行经营管理活动对信息技术的高度依存,信息科技风险控制已成为商业银行风险管理的重要内容,并需要从战略的角度将信息系统与实现公司治理的总体目标紧密联系在一起。因此,解析国内银行信息系统风险评估的现状及存在的问题,并根据国际经验与我国实际情况进行差异性分析,最后,找到我国银行业信息系统风险评估的有效方法,由此,实现信息系统风险评估在国内银行业质的飞跃。
3.2商业银行信息系统风险评估模型的设计
在目前所应用的风险控制与评估模型中,基本区分为两类,一类是基于业务风险控制的风险评估模型,这类模型的基础是传统的风险评估理论,因此更加注重于业务流程的控制和业务的风险管理;另一类是关注于技术控制的风险评估模型,这类模型建立在相关的信息安全标准之上,主要考虑的是技术的实现架构和实现方式,评估系统的技术风险。
银行在面对实际的信息风险时,需要建立定位于信息全面管理的风险评估模型。因此,必须结合业务风险模型和技术风险模型的相关方法,通过分析系统自身内部控制机制中存在的薄弱环节和危险因素,发现系统与外界环境交互中不正常和有害的行为,完成系统弱点和安全威胁的定性分析,在银行信息系统内部风险各要素之间建立风险评估模型,如图3所示。
商业银行信息系统风险评估模型信息系统的风险评估模型由三个基本元素组成,分别是银行核心业务系统、银行信息系统风险管理和风险评估的方法和技术。
银行核心业务系统是业务运转的基础,是商业银行固有风险的体现,它通过硬件平台的支撑、应用软件的设计、数据资源的管理,实现银行业务职能。
银行信息系统风险管理,是商业银行控制剩余风险的能力。它主要包括系统建设风险控制、系统数据完备性、系统功能实现、业务流程风险控制、数据迁移等6个方面。
风险评估的方法和技术,是风险评估和控制的手段。它针对信息系统风险管理的需求和特点,采用不同的风险评估方法和技术,识别固有风险和剩余风险,对银行信息系统进行整体风险的评估。
4商业银行信息系统风险评估模型的实现
4.1风险评估的实现框架
商业银行随时面对遭遇伤害和损失的可能性,而这些风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点来确定。实现信息系统风险评估模型,需对信息资产的识别,进行威胁分析和弱点分析,实现框架如图4所示。
信息资产不仅包括硬件设备,还包括应用软件和信息系统的相关人员。信息资产的识别与赋值可以通过普查和调查的方式实现。
信息系统的威胁来源于内部风险的管理和外部风险环境的变化,通常使用的手段包括:用户访谈、异常行为检测、日志分析等方法进行分析。
弱点来源于信息系统的安全与业务安全需求的不匹配,弱点分析的方法有:应用软件评估、网络构架评估、人工评估、工具扫描、安全管理审计、策略评估等。
图险评估模型实现框架
4.2风险评估的实施步骤
商业银行信息系统风险评估的实施主要有如下步骤:
1)对信息系统风险战略进行分析
商业银行首先应建立信息系统风险战略,并在内部和维护,以对信息安全的支持与承诺,使其与银行的业务发展相一致。
信息系统风险评估必须对信息系统业务支持的可行性进行分析,了解技术发展的内外部状况和管理层对信息技术的支持度等情况,评价信息系统风险战略是否与业务发展战略相一致。如图5所示,首先需要确定总风险和剩余风险;其次把确认的风险进行排序,建立战略风险和流程风险项目;最后确定流程执行的效力。
2)对风险评估内容进行详细定义。
建立信息系统风险评估范围的表格,如该项评估所包含的系统、人员、资源等。对信息系统的运行进行评估,如主机系统、硬件设备、人员管理、灾难备份、权限管理等。建立信息系统流程评估表格,如主流程、次流程、流程所对应的操作;流程中的主要固有风险、风险的控制手段等。
3)明确审计的技术和步骤。
确定信息系统审计需要使用的技术和技术使用的步骤,常用的测试技术有现场观察、访谈、审阅、再执行、知识评估等。
4)出具审计报告。
对信息系统进行测试后,出具评估报告。评估报告应包括信息系统的基本情况、面临的内外部风险、评估所发现的问题、对评估发现事项提出的建议。
5)风险问题的跟踪和跟进。
评估完成后,对发现的问题需根据问题的重要性和对象,提出报告并跟踪解决。图5 信息系统风险战略及流程分析
5结束
1.1安全风险评估应用模型三阶段。
在电子政务系统设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
1.2安全风险分析的应用模型。
在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素。
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程。
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。识别并估价安全区域内的信息资产。识别与评价安全区域内的环境对资产的威胁。识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法。
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
2结语
关键词:安全风险 模糊AHP算法 无线通信链路
中图分类号:V249.1 文献标识码:A 文章编号:1007-9416(2013)10-0196-03
随着信息技术的发展与信息网络系统的广泛应用,信息网络系统的安全变得尤为重要。信息系统安全风险评估作为信息安全管理工作中的重要组成部分和基础性工作,是掌握信息系统安全状况,合理建立信息安全保障措施的重要手段。无线通信链路因具有开放性,使得攻击者进行监听、篡改、伪造等非授权访问成为可能,对无线通信链路进行安全风险评估,可以为无线通信系统安全防护措施的选择提供参考。
现有的文献中,文献[1]通过确定资产价值并利用公式法对通信网单个资产威胁类风险值进行了研究;文献[2]提出了利用层次分析法对战术通信网进行威胁评估的办法。但很少有文献将无线通信链路安全风险作为具体的评估对象进行研究,大多使用单一的AHP算法进行风险评估,评估结果具有很强的主观性,且缺少有效的风险等级计算方法。针对上述问题,本文结合实际工程背景,将无线通信链路安全风险作为具体的评估对象,通过对无线通信链路进行安全性分析,构建了无线通信链路安全风险评估指标体系,采用模糊AHP算法实现对资产、威胁、脆弱性的综合评估,最后利用矩阵法完成风险值的计算。
1 模糊AHP法原理
1.1 AHP法
AHP(analytic hierarchy process,层次分析法)是美国运筹学家T L Saaty教授提出的一种简便灵活而又实用的多准则决策方法,它是一种定性和定量相结合的多目标决策方法。其主要步骤为:
Step1:构造递阶层次结构。
Step2:构造判断矩阵。根据1-9比例标度[3]对同一层次的各元素相对上一层次中某一准则的重要性进行两两比较,构造比较判断矩阵A。
Step3:计算判断矩阵特征向量和最大特征值。判断矩阵特征向量W的计算一般采用方根法进行,其公式为:
(1)
特征向量W=[w1,w2,…,wn]T。最大特征值公式为:
(2)
其中,A为判断矩阵,(AW)i为AW的第i个元素。
Step4:判断矩阵一致性检验。
首先,计算一致性指标CI
(3)
然后,从平均随机一致性指标表中查出相对应的RI,对于1-9阶判断矩阵,RI值如下表所示:
最后,计算一致性比例CR。
(4)
当CR
层次分析法对于解决多层次、多目标的大系统优化问题行之有效,但它也存在着一定的局限性,主要表现在:衡量相邻两个指标重要性的标度值一般采取专家打分法确定,具有一定的主观性;在综合指标的合成中,局限于线形加权的情形,且层次分析法得出的权值虽然以精确量的形式给出,但是其本身具有模糊性[4]。因此,本文将模糊评价法与层次分析法结合,可降低构造判断矩阵的主观性。
1.2 模糊综合评价法
模糊综合评判法是对多种属性的事物,或者说其总体优劣受多种因素影响的事物,做出一个能合理地综合这些属性或因素的总体评判。其具体步骤是[4]:
Step1:构造指标因素集和评判集。因素集记为U={u1,…,un},评判集记为V={v1,…,vn}。
Step2:进行单因素评判,确定模糊关系矩阵R。
模糊关系矩阵为:
(5)
其中,rij为U中因素ui对V中等级vj的隶属关系。
Step3:多因素模糊综合评判。先从最低层属性指标层开始,以子目标属性指标权值向量Ai和单因素模糊评价矩阵尺 进行模糊矩阵合并运算,得到子目标的综合评价向量,即Bi=Wi*Ri,从而得到单因素模糊评价矩阵,再依层次往上评价,直到最高层,得出总目标层的综合评价结果。
Step4:分析处理并综合评价。对模糊综合评判结果Bi做分析处理,再根据最大隶属度原则即可得出综合。
2 无线通信链路安全风险指标体系设计
安全风险评估包括3个要素,即:资产、威胁和脆弱性[5]。以无线通信链路为例,整个链路可以看作一个单一资产,其安全风险评估则是基于整条通信链路实施。因此,我们重点分析无线通信链路的威胁及脆弱性。
机密性、完整性和可用性是评价资产的三个安全属性,资产的识别就是通过分析统计信息系统的各种类型资产及资产信息,确定资产的机密性、完整性和可用性。无线通信链路中的典型资产包括编解码器、加密机、调制解调器、发射机、接收机等硬件设备以及相关的应用软件。任何一个资产受到威胁都将对整个通信链路造成严重的损失。资产按其重要性分为5个等级,由高到低依次用数字5-1表示[5]。本文将整个链路结构定义为一个组合的资产,安全风险评估也是基于整条通信链路实施。无线通信链路资产递阶层次结构如图1所示。
威胁按表现形式来分包括三个方面:技术威胁、人员威胁和环境威胁。通过调研,无线通信链路中技术威胁有:物理攻击、干扰、篡改、监听;人员威胁有:无恶意人员误操作、恶意人员误操作;环境威胁有:恶劣环境、设备故障。威胁发生可能性分为5个等级,由高到低依次用数字5-1表示[5],其递阶层次结构如图2所示。
脆弱性一般为三大类,即技术类脆弱性、管理类脆弱性、操作类脆弱性。经问卷调查、文档查阅、人侵检测、渗透测试等方法可识别脆弱性。无线通信链路存在的技术类脆弱性有:加密算法简单、缺乏防病毒措施;管理类脆弱性有:管理制度不健全、电磁环境复杂、设备老化;操作类脆弱性有:设备配置不当、工作人员业务不熟练。脆弱性发生可能性同样分为5个等级,由高到低依次用数字5-1表示[5],其递阶层次结构如图3所示。
3 基于模糊AHP法安全风险评估
3.1 AHP法计算权值
以资产评估为例,根据图1中各评估要素及其相互关系,通过专家赋值建立各级判断矩阵并采用方根法分别计算个体排序向量、最大特征值λmax和一致性比例CR。各判断矩阵的计算结果如表1-表4所示,通过计算可知,各判断矩阵中CR均小于0.1,一致性检验通过。
3.2 模糊综合评判
根据资产价值指标结构,准则层相对于总目标的权重仍采用传统的AHP方法计算,第三层各指标因素相对于准则层的权重由于关系比较复杂而采用模糊综合评判方法,应用模糊数学模型进行综合评价,步骤如下:
将各指标因素的评语分为5个等级,分别为:很高、高、中、低、很低,通过专家评价的方式,邀请10名专家根据确定的评语级对各指标予以隶属度评价,可以确定一个从因素集到评价集的模糊关系矩阵。从而得出对应的机密性、完整性、可用性模糊关系矩阵为:
由Bi=Wi·Ri得模糊综合评价矩阵如下:
B1=W1·R1=(0.4234,0.333,0.1853,0.0365,0.0218);
B2=W2·R2=(0.5896,0.2487,0.1029,0.0402,0.0186);
B3=W3·R3=(0.2886,0.3801,0.267,0.0365,0.0278)。
根据最大隶属度原则,机密性、完整性、可用性综合评判等级分别为:5、5、4。
3.3 确定资产价值
由资产机密性、完整性、可用性综合评判等级及三者相对权重可得资产价值为:
A=W·(5,5,4)T=(0.311,0.196,0.493)·(5,5,4)T=4.507>4.5
参照资产重要性等级表可知,该资产价值等级为5。
3.4 威胁及脆弱性评估
参照前文资产评估方法,经计算可知,该链路威胁等级综合赋值为3,脆弱性严重程度综合赋值为3。
4 风险等级计算
本文采用矩阵法[5]计算风险值。步骤如下:
Step1:计算安全事件发生可能性等级。
首先,构建安全事件发生可能性矩阵如表5所示,A表示威胁发生频率,B表示脆弱性严重程度。
然后,根据经评估得到的该通信链路脆弱性的严重程度以及威胁发生的频率,由表对照得出安全事件可能性数值为12。最后,根据下表可得安全事件发生可能性等级为3。
Step2:计算安全事件损失等级。
首先,构建安全事件损失矩阵如表7所示,C表示资产价值。
然后,根据经评估得到的脆弱性严重程度以及资产价值,由表对照可以得出安全事件损失数值为16,再由根据下表得出安全事件损失等级为4。
Step3:计算安全事件风险值。
构建风险矩阵如表9所示,D表示损失等级,E表示可能性等级。
根据前两步计算出的安全事件发生的可能性等级以及所造成的损失等级,由上表对照得出安全事件风险数值为16,再根据下表可判断得出该系统无线通信链路安全风险等级为3,即中度风险值。
通过威胁和脆弱性评估过程可知,该链路存在的主要风险是电磁环境复杂引起的干扰威胁和加密算法简单引起的非授权访问,我们可以通过增加抗干扰手段和更换复杂加密算法的方式降低安全风险。
5 结语
文章在详细分析无线通信链路安全性的基础上构建了一套安全风险评估的指标体系,并运用模糊综合评价与AHP相结合的算法全面综合地评估了无线通信链路资产、威胁、脆弱性等级,最终通过矩阵法计算得出安全风险值。评估方法思路清晰、结果准确、可操作性强、便于推广,为今后各类通信网安全风险评估提供了参考。
参考文献
[1]李振富,韩彬霞,李晓鹏,鲍池.基于AHP的通信网风险评估[J].现代电子技术,2011.34(19):111-113.
[2]宋国春,刘忠,黄金才.AHP方法的敌地域通信网通信链路威胁评估[J].火力与指挥控制,2008.33(2):16-20.
[3]孙宏才,田平,王莲芬.层次分析法引论[M].北京:国防工业出版社,2011.
[4]王程,王睿,齐博会.基于模糊AHP法的机载指控系统效能评估[J].指挥控制与仿真,2008.30(6):65.
