[摘要] 风险评估是信息系统安全保证的关键技术。本文分析了影响信息安全风险的因素,运用故障树分析法对信息系统安全进行风险评估。并应用商场的信息系统为实例分析,表明了该方法的可行性。
[关键词] 信息系统安全风险评估故障树分析法
一、商场信息系统的风险及其评估
信息系统风险评估的方法主要有故障树分析法、故障模式影响及危害性分析、层次分析法、线性加权评估和德尔斐法等。
商场信息系统是一个由服务器和商场各部门的客户机构成的计算机网络系统,它庞大,复杂,风险事件更是纷繁多样。如果采用故障树分析法可以把商场的信息系统的风险事件分门别类的找出来,并根据各个风险的逻辑关系,构造出故障树。这样,庞大的商场信息系统中最严重的风险以及引起这些风险发生的源头都一目了然。管理基层就能够相应的从最底层最小的疏漏开始加以防范,责任到每一个操作的部门或人,防微杜渐,以免小的疏忽造成大错。
信息系统安全风险分析主要针对信息系统中各种不同范畴、不同性质、不同层次的威胁问题,通过归纳、分析、比较、综合最后形成对信息系统分析风险的认识过程。大多数风险分析方法最初都要进行对资产的识别和评估,在此以后,采用不同的方法进行损失计算。
首先对于影响信息安全的要素进行分析,引起信息安全风险的要素有,然后运用故障树分析法计算出风险因子。
二、故障树分析法
故障树分析法(Fault Tree Analysis- FTA)是由Bell电话实验室的WASTON H A 于1961年提出的一种分析系统可靠性的数学模型,现在已经是比较完善的系统可靠性分析方法。
1.故障树分析法基本原理
故障树就是通过求出故障树的最小割集,得到引起发生顶事件的所有故障事件,以发现信息系统中的最薄弱环节或最关键部位,由此对最小割集所发现的关键部位进行强化风险管理。
2.故障树分析法的步骤
(1)建造故障树。故障树分析法就是把信息系统中最不严重的故障状态作为故障分析的目标,然后一级一级寻找导致这一故障发生的全部事件,一直追查到那些最原始的、都是已知的、勿需深究的因素为止。并且按照它们发生的因果关系,把最严重的事件称为顶事件,勿需深究的事件称为底事件,介于顶事件和底事件的事件称为中间事件用相应的符号代表这些事件,用适当的逻辑门把顶事件、底事件、中间事件连接成一个倒立的树状的逻辑因果关系图,这样的图就称为故障树。
(2)求最小割集。
定义1:在由故障树的某几个底事件组成的集合中,如果该集合的底事件同时发生时将引起顶事件的发生,这个集合就称为割集 (cut sets. CS)。
定义2:假设故障树中存在这样一个割集,如果任意去掉一个底事件后,就不再是割集,则这个割集被称为最小割集(minimal cut sets. MCS)。
(3)定量定性分析。首先我们来计算顶事件的失效概率,在掌握了“底事件”的发生概率的情况下,“顶事件”即所分析的重大风险事件的发生概率(用Pf表示)就可以通过逻辑关系得到。
设底事件xi对应的失效概率为qi(i =1,2,..,n),n为底事件个数最小割集的失效概率为各个底事件失效概率的积P(mcs)=P(x1∩x2∩…∩xn)=,其中m为最小割集阶数,而顶事件发生概率为各个底事件失效概率的和:Pf(top)=P(y1∪y2∪…∪yk)其中,yi为最小割集,k为最小割集个数。而由于最小割集时事件的关系,Pf(top)的计算要分为以下三种情况:
①当y1,y2m,yk为独立事件时则有:
其中,Pi为最小割集yi的失效概率。
②当y1,y2m,yk为互斥事件时,则有;。
③当Pf(top)为相容事件时,则有:
我们根据以上公式可知,如果阶数越少的最小割级就是越重要的,而在这些阶数少的最小割级里出现的底事件也是比较重要的底事件,而在阶数相同的最小割级中,重复次数越多的底事件越重要。
(4)各顶事件危害等级。则可用:风险因子:r=Pf+Cf-PfCf来定量的表示风险的大小。
三、商场信息系统实例分析
1.建造故障树
(1)管理不善带来的风险。
X11.由于系统管理员的无意错误,直接危害到了系统安全。
X12.管理员没有按照安全操作规程启动系统安全的保护体系。
X13.管理员没有按照安全操作规程启动关键性的系统组件。
X14.由于管理员的疏忽或是管理员自己利用系统物理环境的脆弱点,物理破坏网络硬件资源。
X15.攻击者利用社会关系学原理,非法获取进入和控制系统资源的方法和手段。
X16.某些未授权用户非法使用资源和授权用户越权使用资源造成对系统资源的误用,滥用或使系统运行出现混乱,而危及或破坏系统。
(2)被动威胁。
X21.非法截取(获)用户数据,攻击者通过对通信线路窃听等非法手段获取用户信息或交易数据等。
X22.密码分析,攻击者通过非法手段获取了信息后,通过破译加密的数据获得敏感性和控制信息。
X23.信息流和信息流向分析,攻击者通过对信息或其流向的分析,获到信息。
(3)主动威胁。
X31. 使网络资源拒绝服务,攻击者通过对系统和系统中的一些资源的频繁存取甚至非法占有,使系统资源对系统丧失或减低正常的服务能力。使之不能正常工作。
X32.假冒合法用户或系统进程欺骗系统,攻击者假冒成已经授权的用户行使一些受权限控制的操作,使系统混乱。
X33.篡改信息内容,攻击者篡改一些确定的信息或者数据,使用户因为获得篡改过的信息而受骗。
X34.恶意代码攻击,假冒授权用户的身份执行恶意代码,是系统产生异常进程,破坏系统资源。
X35.抵赖,在接受到信息数据后,为了因避免接受信息所要承担的责任而否认接受过信息,或者在发送一条信息后,为了因避免发送信息所要承担的责任而否认发送过信息。
X36.信息重放,非法获取用户的识别和鉴别等数据后,攻击者使用这些安全控制数据欺骗系统或访问系统资源。
X37.伪造合法系统服务,攻击者伪造系统服务与授权用户交互。
2.故障树的定量分析
电子商务模块出现故障为顶事件,管理不善,被动威胁,主动威胁为中间事件,余下的为底事件,设顶事件和底事件发生的概率分别为Pf,q,q2,Λq16,则最小割集的失效概率为:P(mcs)=P(x1∩x2∩Λ∩x16),而顶事件发生的概率:Pf(top)=P(y1∪y2∪y3)。
然后可由前面的系统分析知道,y1,y2,y3是相互独立的事件,则有
其中,Pi为最小割集yi的失效概率。
我们假设yi在每一年或不到一年发生的概率Pi分别是0.2,0.3,0.4。计算出Pf(top)=0.024。我们假设Cf=0.1,再根据r=Pf+Cf-PfCf进行计算,可以得到r=0.1216。r<0.3,说明我们所假设的仓储式商场的信息系统电子商务模块中的风险评估为低风险。
四、结论
由此可见,故障树分析法是进行系统可靠性和安全性分析的一种重要方法。利用故障树较好的找出各种失效时间之间的关系,找出各种失效事件的可能方式以及这些风险的排序,以及对最小割集进行定性分析和定量计算,可以使安全管理人员对系统存在的故障有一个准确的定位,集中精力排除主要故障。本文得出了仓储式商场的信息系统电子商务模块的故障树及其故障树分析法的一系列公式,说明本文提出的故障树分析法有较强的实用价值。