《一种基于模型的信息安全风险评估方法》由会员分享,可在线阅读,更多相关《一种基于模型的信息安全风险评估方法(15页珍藏版)》请在金锄头文库上搜索。
1、一种基于模型的信息安全风险评估方法李嵩 孟亚平 孙铁 刘海峰摘要 基于于模型的的评估方方法对信信息安全全风险评评估具有有重要的的意义。该文提出一种基于统一建模语言、攻击树分析事件树分析模型的信息安全风险评估方法,运用面向对象的、半形式化的方法分析和描述安全风险相关要素,基于ATA模型深入分析评估关键信息资产的安全风险,基于ETA分析安全事件对业务的影响,提高风险评估的精确性和客观性。基于模型的方法还有利于风险评估相关要素模式的抽象和复用,以及评估工具的开发和应用,提高风险评估的生产率。关键词 信息安安全风险险评估 基于模模型 统统一建模模语言 攻击树树分析 事件树树分析A Moddel Dri
2、ivenn Innforrmattionn Seecurrityy Riskk Asssesssmeent AppproaachLi Soong Meemg Yappingg Sunn Tiie Liuu Haaifeeng Beijiing Infformmatiion Seccuriity Tesst aand Evaaluaatioon CennterrAbsttracct Moodell-drriveen aasseessmmentt appprooachh haas ssignnifiicannt mmeanningg foor iinfoormaatioon ssecuuritty
3、 aasseessmmentt. TThiss paaperr prreseentss ann innforrmattionn seecurrityy asssesssmeent appproaach bassed on UMLL, AATA andd ETTA mmodeel, whiich usiing objjectt-orrienntedd annd ssemii-foormaallyy meethood tto aanallysiis aand desscriibe thee ellemeentss reelatted to rissk, thoorouughlly aasseess
4、iing thee riisk of criiticcal asssetss baasedd onn ATTA mmodeel, anaalyssingg thhe ssecuuritty iinciidennt iimpaactss onn buusinnesss baasedd onn ETTA, andd immproovinng aaccuuraccy aand objjecttiviity of rissk aasseessmmentt. MModeel-ddrivven appproaach alsso hhelpp too abbstrractt annd rreusse ppa
5、ttternns oof tthe eleemennts rellateed tto rriskk , deevellop andd usse aasseessmmentt tooolss, aand inccreaase thee prroduuctiivitty oof rriskk asssesssmeent.key worrd Innforrmattionn Seecurrityy Riisk Asssesssmennt, Moddel-driivenn, UUML,AATA,ETA 1 引言言为了评估信信息系统统的安全全风险,多多种风险险评估方方法被开开发出来来并在实实践中应应用,但
6、但由于信信息安全全具有的的高度复复杂性和和不确定定性,这这些方法法还存在在很多难难以解决决问题。具具有共性性的问题题表现在在:1)缺缺乏形式式化的分分析和描描述方法法,无法法精确分分析和描描述风险险相关要要素,给给评估结结果带来来很大的的偏差;2)缺缺乏对关关键信息息资产安安全风险险相关要要素的深深入分析析,评估估结果主主观性强强,有实实际价值值的内容容往往只只是系统统的脆弱弱性检测测结果;3)缺缺乏对风风险相关关要素的的抽象、归归纳和复复用的方方法,使使风险评评估陷入入低水平平低效率率的循环环;4)缺缺乏工具具支持,低低层次手手工作业业量较大大,风险险评估的的生产率率较低。采用统一建建模语言
7、言(Uniifieed MModeelliing Lannguaage, UMML)分分析和描描述被评评估信息息系统及及其安全全风险相相关要素素,可以以运用面面向对象象的分析析方法,采采用图形形方式的的半形式式化建模模技术,提提高信息息系统及及其相关关安全要要素描述述的精确确性,提提高以此此为基础础的评估估结果的的质量。UUML在在系统分分析与设设计中具具有广泛泛深入的的应用,UUML在在风险评评估中的的应用,有有利于风风险评估估过程与与系统开开发过程程的相互互支持1。故障树分析析(Faaultt Trree Anaalyssis, FTTA)2是是一种成成熟的可可靠性和和安全性性分析技技术,
8、攻攻击树分分析(AAttaack Treee AAnallysiis, ATAA)33是其其在安全全领域的的应用。采采用ATTA技术术,分析析建立关关键信息息资产的的ATAA模型,可可以有针针对性地地分析识识别关键键信息资资产相关关的安全全事件和和安全威威胁,并并对关键键信息资资产进行行概率风风险评估估(Prrobaabillisttic Rissk AAsseessmmentt, PPRA)4,提高风险评估的客观性。ETA(EEvennt TTreee Annalyysiss,ETTA)4 是一一种逻辑辑演绎法法,它在在给定的的一个初初因事件件的前提提下,分分析此初初因事件件可能导导致的各各
9、种事件件序列的的结果。基于EETA方方法分析析安全事事件对系系统业务务的影响响,可以以提高业业务影响响分析的的全面性性和系统统性。基于图形模模型的分分析与描描述方法法有利于于深入的的交流与与沟通,防防止由于于不确切切的理解解而影响响评估质质量和效效率。基基于模型型的风险险评估方方法,有有利于对对安全风风险相关关要素进进行模式式抽象和和总结,通通过模式式的复用用,以及及开发应应用基于于模型方方法的工工具集,提提高效率率,降低低成本,提提高风险险评估的的生产率率。2 基于于模型的的风险评评估过程程信息系统的的风险评评估过程程与系统统开发过过程同样样具有“V形关关系”,如图图1所示示。系统统开发过过
10、程可分分为三个个阶段:需求分分析、系系统设计计和系统统实现。在在这三个个阶段中中包括两两个不同同的建模模过程:一是在在需求分分析阶段段建立系系统的业业务模型型,是平平台无关关建模(PPlattforrm Inddepeendeent Moddeliing, PIIM)5过过程;二二是在设设计阶段段建立系系统模型型,是特特定平台台建模(PPlattforrm SSpeccifiic MModeelinng, PSMM)55过程程。图1 基于于模型的的风险评评估过程程而基于模型型的风险险评估可可以概括括为业务务分析、系系统平台台分析、风风险识别别、风险险分析和和风险评评估五个个阶段。其其中业务务分
11、析和和系统平平台分析析阶段使使用UMML分析析方法描描述系统统业务模模型、系系统平台台(包括括安全措措施)模模型,是是风险评评估过程程中对系系统需求求分析和和系统设设计的延延续和扩扩展。风风险识别别阶段对对系统进进行安全全检测、核核查,识识别系统统面临的的威胁和和系统的的脆弱性性。风险险分析阶阶段在风风险识别别阶段的的基础上上,基于于UMLL对威胁胁和脆弱弱性等风风险相关关要素进进行分析析,并建建立关键键信息资资产的AATA模模型。该该阶段主主要关注注系统平平台的安安全风险险相关要要素。风风险评估估阶段是是基于前前面已建建立的模模型,分分析关键键信息资资产的安安全风险险概率,分分析关键键信息资
12、资产安全全性遭受受破坏对对系统业业务的影影响,评评估关键键信息资资产的安安全风险险。3 业务务和系统统平台分分析业务分析是是评估者者对系统统业务的的认识过过程,目目的是认认识并深深入理解解被评估估系统的的业务,这这是正确确认识安安全风险险的基础础。业务务分析在在系统相相关文档档和系统统调查基基础上,运运用UMML用例例图、活活动图和和状态图图来描述述系统业业务,分分析并描描述系统统业务功功能、业业务流程程和数据据,建立立系统业业务模型型。业务务分析阶阶段应识识别、分分析系统统的关键键信息资资产,也也就是决决定系统统安全性性的关键键数据和和服务。关关键信息息资产是是风险评评估的核核心。系统平台分
13、分析的目目的是准准确认识识被评估估系统的的平台结结构(包包括网络络拓朴结结构、系系统单元元(节点点或构件件包)、构构件和接接口关系系等)、安安全措施施、系统统边界以以及相关关的内部部和外部部环境(网网络环境境、物理理环境、相相关基础础设施和和相关信信息系统统),建建立系统统平台模模型。系系统平台台模型主主要采用用UMLL部署图图来描述述。可根根据需要要采用类类图对构构件进行行深入描描述。对对关键的的系统过过程可以以采用活活动图、状状态图、序序列图或或协作图图来描述述。虽然然可以从从系统设设计文档档得到很很多的系系统平台台信息,但但评估者者一般还还需要通通过系统统调查来来保证系系统平台台模型的的
14、准确性性。对安安全措施施和机制制的分析析与描述述是系统统平建模模的重点点,要通通过分析析安全相相关系统统单元和和构件的的功能、连连接关系系和接口口关系,准准确描述述系统的的安全措措施和机机制。系系统平台台部署图图示例如如图2所所示。图2 系统统平台部部署图示示例系统平台和和安全措措施的描描述粒度度一般在在包或构构件级即即可满足足风险评评估的需需要,可可以在后后续的风风险建模模阶段根根据实际际需要进进一步深深化。4 风险险识别风险识别过过程是对对系统安安全状况况的数据据采集过过程。风风险识别别的主要要目的是是识别系系统面临临的威胁胁、系统统平台脆脆弱性以以及安全全管理的的脆弱性性。信息系统面面临
15、的威威胁与系系统的使使命、业业务功能能和流程程、用户户群体、体体系结构构以及其其内部和和外部环环境等因因素密切切相关,威威胁可能能来自或或针对上上述这些些因素。威威胁识别别主要有有两种方方法:一一是搜集集和分析析系统相相关入侵侵检测记记录、安安全审计计数据和和安全事事件的历历史记录录,识别别已发生生和正在在发生的的威胁;二是采采用一个个已定义义的威胁胁模式列列表(按按照网络络、主机机和应用用程序等等进行分分类的常常见威胁胁的细目目列表),对对威胁相相关要素素进行适适合性分分析,全全面地识识别系统统可能面面临的安安全威胁胁。系统统相关入入侵检测测记录、安安全审计计数据和和安全事事件的历历史记录录也是威威胁识别别也具有有重要的的参考价价值。系统的脆弱弱性包括括系统平平台的脆脆弱性和和安全管管理的脆脆弱性两两部分。系系统平台台的脆弱弱性主要要通过系系统安全全检测来来识别,安安全检测测的对象象主要是是作为系系统单元元的节点点和构件件包。检检测方法法主要有有安全功功能测试试、系统统配置核核查、漏漏洞扫描描和渗透透测试等等。安全全管理脆脆弱性识识别主要要方法有有管理核核查、系系统配置置核查、系系统平台台脆弱性性检测结结果分析析等。5 风险险分析5.1 威胁和和脆弱性性属性分分析风险分析阶阶段要针针对风险险识别阶阶段已识识别的安安全威胁胁和脆弱弱性的相相关属性性,进行行归纳、分分析,建
