信息系统安全风险的概念模型和评估模型

信息系统安全风险的概念模型和评估模型

叶志勇

摘要：本文阐述了信息系统安全风险的概念模型和评估模型，旨在为风险评估工作提供理论指导，使风险评估的过程和结果具有逻辑性和系统性，从而提高风险评估的质量和效果。风险的概念模型指出，风险由起源、方式、途径、受体和后果五个方面构成，分别是威胁源、威胁行为、脆弱性、资产和影响。风险的评估模型要求，首先评估构成风险的五个方面，即威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度，然后综合这五方面的评估结果，最后得出风险的级别。

关键词：安全风险、安全事件、风险评估、威胁、脆弱性、资产、信息、信息系统。

一个机构要利用其拥有的资产来完成其使命。因此，资产的安全是关系到该机构能否完成其使命的大事。在信息时代，信息成为第一战略资源，更是起着至关重要的作用。信息资产包括信息自身和信息系统。本文提到的资产可以泛指各种形态的资产，但主要针对信息资产及其相关资产。

资产与风险是天生的一对矛盾，资产价值越高，面临的风险就越大。风险管理就是要缓解这一对矛盾，将风险降低的可接受的程度，达到保护资产的目的，最终保障机构能够顺利完成其使命。风险管理包括三个过程：风险评估、风险减缓和评价与评估。风险评估是风险管理的第一步。本文对风险的概念模型和评估模型进行了研究，旨在为风险评估工作提供理论指导，使风险评估的过程和结果具有逻辑性和系统性，从而提高风险评估的质量和效果。 一、风险的概念模型

安全风险（以下简称风险）是一种潜在的、负面的东西，处于未发生的状态。与之相对应，安全事件（以下简称事件）是一种显在的、负面的东西，处于已发生的状态。风险是事件产生的前提，事件是在一定条件下由风险演变而来的。图1给出了风险与事件之间的关系。

图1 风险与事件之间的关系

风险的构成包括五个方面：起源、方式、途径、受体和后果。它们的相互关系可表述为：风险的一个或多个起源，采用一种或多种方式，通过一种或多种途径，侵害一个或多个受体，造成不良后果。它们各自的内涵解释如下：

⏹ 风险的起源是威胁的发起方，叫做威胁源。

⏹ 风险的方式是威胁源实施威胁所采取的手段，叫做威胁行为。 ⏹ 风险的途径是威胁源实施威胁所利用的薄弱环节，叫做脆弱性或漏洞。 ⏹ 风险的受体是威胁的承受方，即资产。

⏹ 风险的后果是威胁源实施威胁所造成的损失，叫做影响。

图2描绘了风险的概念模型，可表述为：威胁源利用脆弱性，对资产实施威胁行为，造成影响。其中的虚线表示威胁行为和影响是潜在的，虽处于未发生状态，但具有发生的可能性。

潜在

（未发生状态）

显在

（已发生状态）

图2 风险的概念模型

如上所述，当风险由未发生状态变成已发生状态时，风险就演变成了事件。因此，事件与风险具有完全相同的构成和几乎相同的概念模型。图3给出了事件的概念模型。比较图2和图3可以看出，风险概念模型中的虚线在事件概念模型中变成了实线，表示威胁行为和影响已经发生了。

图3 事件的概念模型

二、风险的评估模型

风险评估的目的就是要识别风险，以便采取相应措施来阻止其演变成为事件。

风险评估模型为测定风险大小提供方法和基准。通过评估风险，可以确定各种风险的级别，进行排序和比较，有利于按照等级保护的策略，实施突出重点的适度安全控制。

评估风险首先要从构成风险的五个方面做起，然后综合各方面的评估结果，最后得出风险的级别。

1．风险起源——威胁源

威胁源的动机是评估对象。威胁源按其性质一般分为三种：自然威胁、环境威胁和人为威胁。自然威胁和环境威胁属于偶然触发，不存在动机因素。人为威胁根据意识有无分为无意的和有意的。无意的人为威胁属于疏忽大意，基本没有动机；有意的人为威胁属于故意行为，是有动机的。按照威胁源动机的强弱程度可分为高、中、低三级，如表1所示。

表1 威胁源动机的级别划分

威胁行为的能力是评估对象。不同的威胁源有各自的威胁行为，表2对此进行了概括。

表2 威胁源与威胁行为

地区明显要高；洪水的威胁性在沙漠地区显然很低。越是先进的攻击工具，威胁行为的攻击能力就越强。比如，网上窃听比物理窃取更加容易和隐蔽。按威胁行为能力的大小可分为高、中、低三级，如表3所示。

表3 威胁行为能力的级别划分

脆弱性的被利用性是评估对象。资产的载体和环境存在着薄弱环节或缺陷，可能被威胁源利用。脆弱性或漏洞存在于管理、运行和技术三个方面。表4列出了一些脆弱性的例子。

表4 脆弱性示例

表5 脆弱性被利用性的级别划分

资产的价值是评估对象。资产是有价值的东西。只要价值存在，就会招致威胁。因此，资产是风险存在之根源。资产以各种形态存在。表6按物理资源、人力资源、知识资源、时间资源和信誉资源分类列出了主要信息资产及其相关资产的形态。

表6 资产类别与形态

就越大。资产的价值可被划分为高、中、低三级，如表7所示。

表7 资产价值的级别划分

影响的程度是评估对象。资产受损带来的影响一般与资产的价值成正比。比如，软件产品源代码是公司最关键和最敏感的资产，如果丢失将给公司带来灾难性的后果，如果失窃也将给公司带来严重的影响。有些技术可以缓解因重要资产损失所带来的严重影响。比如，采用双因子认证技术，如USB Key和PIN码组合认证，可以保证其中一个因子的丢失或泄漏，不会导致认证保护的崩溃。按照影响程度的大小可分为高、中、低三级，如表8所示。

表8 影响程度的级别划分

风险评估的综合结果产生步骤如下：

（1）威胁源动机级别与威胁行为能力级别组合，产生威胁级别，表示威胁自身的潜力。（2）威胁级别与脆弱性利用级别组合，产生威胁/脆弱性对级别，表示威胁借助脆弱性后的潜力。

（3）资产价值级别与影响程度级别组合，产生资产/影响对级别，表示资产对机构的重要程度。

（4）威胁/脆弱性对级别与资产/影响对级别组合，产生风险级别。

X级别与Y级别组合方法如下：

（1）分别用1、2、3表示低、中、高。

（2）采用表9所示的算法进行组合（注：这只是一种最简单的算法，不排斥其他更有效的算法）。

表9 X级别与Y级别的组合算法

表10 威胁源动机级别与威胁行为能力级别组合