模糊认知图在信息安全风险评估中的应用研究
1概述
自20世纪80年代起,随着对风险评估问题研究的不断深入,出现了多种风险评估方法和标准。但是,这些方法和标准一般都是针对大型机构或部门的信息系统设计,用于实施风险评估,往往工作量较大,无法适用于中小型信息系统。
因此,在已知的大量实际案例中,风险评估的实施往往没有采用经典的由威胁、脆弱性、资产组成的标准模型,而代之以最佳实践法、资产评估法、基于场景的分析法等方法。其中,最佳实践法侧重于分析对不同类别资产所采取的安全措施;资产评估法重点关注资产在组织层面的价值;基于场景的分析法则依靠测试和分析典型风险场景来实现风险评估。这些方法的问题包括:1、评估过程花费昂贵且耗时过长,评估结果无法及时反应信息系统风险状态;2、安全措施的选择往往并非基于风险模型,而是基于由最佳实践得出的安全措施清单,无法科学地反映被评估系统的问题。
在学术领域,也有不少研究致力于将故障树、事件树、马尔可夫链、FMEA等建模技术应用于风险评估模型的构建。如基于DS证据推理的风险评估模型、基于贝叶斯网络的风险评估模型P]、基于攻击树的风险评估模型等。上述方法的共同缺点包括:假设的主观性较强、风险因素与风险之间关系的识别的复杂性较高、时间较长。
2011年,Lazzerini和Mkrtchyan提出了一种使用具有非线性隶属函数、条件权重及时延权重的扩展模糊认知图(E-FCMs)来分析风险因素和风险之间关系的方法,在该文献中,俩人还提出了一种基于E-FCMs的悲观方法来评估一个系统或项目整体风险的模型,并通过引入适合于风险分析的特殊图示对E-FCMs进行了扩展。但是,本文研究的信息安全风险属于操作类风险,上述方法不能直接用于解决此类风险评估问题。
本文提出了一种基于模糊认知图(FuzzyCognitiveMaps,FCM)的轻量级风险评估方法,方法包括风险模型构建、风险推理两部分。其中,模糊认知图被用于获取资产间依赖关系,基于模糊认知图的推理方法被用于将低级资产(如硬件、软件、信道、人等)的风险整合至高级资产(如服务、数据、业务流程等)。另外,本文还以一个移动办公信息系统为例,对方法的应用进行了研究。
2模糊认知图简介
Kosko最早通过引入模糊值对认知图进行扩展,形成了模糊认知图的概念。大量文献对模糊认知图进行了研究[9],应用范畴包括:系统建模、经济制度发展分析、新技术应用、生态系统分析和医学决策支持等。
FCM是一种有向图,每个节点表示系统中的一个概念,这个概念可以是系统的事件、目标和趋势等,整个模型包含一组概念C={c1,...,c?};有向边表示节点间的因果关系。每个概念节点具有各自的激活水平值,激活水平值一般为[0,1]或[-1,1]的实数,系统状态是各节点激活水平值的n维向量(《=|C|)。
在FCM中,节点间因果关系由边和边的权重表示。连接两个节点C和Cj的边的权重为正,表示c增长将引起C]增长,权重为负则表示c增长将引起c]减小。最简单的FCM仅以值-1,0或1作为边权重,在图中分别用负号㈠边、没有边、正号㈩边表示。为了更精确地定义因果关系,一般会用语言值(如强烈否定、否定、偏否定、中立、偏肯定、肯定、强烈肯定)表示权重,计算时再将这些语言值均匀映射到区间上。
FCM中各节点间的因果关系可以用_的影响力矩阵£=[%]表示,矩阵元素代表连接节点ct和c3的边权重;若两节点间无因果关系,则用0值表示。图1是一个FCM的例子,Cl,C2,C3,C4,C5,C6为概念节点,
带语言值权重的边表示节点间的影响力。影响力矩阵E为:语言值对应的数值选择没有确定的规则,在此采用将语言值均匀映射至区间[-1,1]的选择方式,得到对应的数值为-1,-0.66,-0.33,0,0.33,0.66,1。3基于模糊认知图的风险评估方法各类风险评估标准中均对风险评估的方法的使用方式等有所描述。本文方法与上述方法的主要区别在于,利用FCM模型能够方便快捷地获取资产间的相互影响,并能够在风险的聚合过程中对资产间依赖关系的变化实现追踪。
3.1概念模型
在图2所示的被测信息系统概念模型中,各项资产按其相互关系被连接形成一个资产增值树。其中,低级资产为其上级资产提供服务,顶部节点一关键业务进程由系统业务确定。各资产间的依赖关系在图中通过箭头表示,如图所示:关键业务进程的效用取决于其使用的数据和服务;数据的可用性由数据源(用户、外部数据提供者)提供;服务则依赖于软件、硬件和信道,同时与人员、物理基础设施(建筑物、房间、电力设施)和外部服务(如PKI)等相关。同时,各节点被赋予一定的安全效用值,效用值是资产的完整性、可靠性、可用性等各种安全属性的集合。低级资产效用值的变化将影响到使用它们的高级资产。
与关注于攻击行为或威胁代理的方法(如攻击树法)不同,本文选择了基于资产的威胁识别方法。在如图3所示的风险基本模型中,资产的效用值可能受威胁的影响而降低,威胁对资产的负面影响可以通过适当的安全措施加以补偿,安全措施本身只能降低风险,而不能增加资产的效用值。图3资产、威胁及安全措施之间的关系
最后,在安全分析的众多领域,被评估风险的大小均与风险可能导致的经济损失有关。作为风险状况的体现,造成损失较小的事件,若数量超过一定值,也需要考虑其效果的累积。
另外,对生命体征监测、航天、铁路管理等安全关键系统而言,部分故障应被视为无法量化的灾难性损失,在评估实施中,应被视作停止系统运行的条件。本文将讨论的移动办公信息系统,安全性要求较为灵活,不将其视为安全关键系统。
为了便于评估的实施,本文作出如下定义:
⑴效用值:一种被赋予资产的数值,取值范围为[-1,1];
⑵风险:与资产相关,预设效用值与推理过程结束时计算出的效用值之间的差值。
3.2 基于模糊认知图的风险评估流程
本文的风险评估流程如图4所示。图中圆角矩形表示流程中的各个环节,实线矩形表示输入输出信息,虚线矩形表示各流程产生的中间结果。
本文基于模糊认知图的风险评估方法由以下六步组成:1、资产识别:此步骤的输入为项目文档、设计方案等能够体现系统现状和体系结构的文件,以及与方案设计人员等的面谈记录。输出为系统的资产列表,包括关键业务、服务、数据、软件模块、硬件、信道、外部数据及服务提供者,以及相关人员及办公场所等。2、构建资产增值树:此步骤的目的是评估低级资产(硬件、软件、信道等)对高级资产(服务和数据)的影响。影响力的大小由与系统建设方讨论确定的语言值来描述。为便于后续推理的实施,此步得出的资产增值树将被表示为FCM影响力矩阵的形式。3、威胁识别:此步骤可使用常见的威胁分类方法(如基于本体),也可根据被评估系统的资产分类来识别威胁。本文采用以资产为基础的威胁识别方法,即所有威胁均针对特定资产。4、单项资产风险评估:此步骤将调査问卷作为基本工具,要求相关人员回答与安全措施相关的问题,同时采用由信息安全领域最佳实践得出的安全措施列表,并对其进行筛选修改,使其适用于特定资产。此步骤的输出是资产的风险值(归一化至[0,1]的实数)。5、风险聚合:此步用FCM推理完成,体现低级资产的风险如何累积影响高级资产的风险状况。此步还包括FCM影响矩阵规范化等其他准备工作。6、结果解析:根据以上计算所得结果,给出系统关键风险的判断并给出安全措施等的建议。
3.3风险聚合一一模糊认知图推理过程
用FCM进行推理的关键在于构建状态序列:a=j(0)j(1),...j(蛛...,该序列以节点激活水平值的初始向量为起点,根据下式算出序列的后续元素:为(+1)=S,(VA.㈨)(2)第(k+1)轮迭代是将矢量A(k)与影响力矩阵E相乘,然后通过一个激活函数将所得到的节点激活水平值映射到预设的范围内。
激活函数的选择与计算模型密切相关,尤其是映射的区间范围以及使用的是连续值还是离散值。本例中,矢量A(k)与各元素绝对值均小于1的n维方阵E相乘,其结果应为一个各元素值均在[-?,?]范围内的向量。因此,激活函数需要满足条件:1、在此区间内的值应被映射至[-1,1](或[0,1])区间;2、应是单调函数,并满足S(0)=0(或S(0)=0.5)。在本文后续的方法应用中,将采用以下两种激活函数:
通常,状态序列a=A(0XA(1),...^4(处...可无限延展。然而,研究表明,在k次迭代后(k是一个接近矩阵E的秩的数字),序列将达到一个稳定状态或产生循环。因此,当推理算法满足下式要求时可停止迭代:2 j<k:d(((k),A(j))<£ (5)其中d是距离,e是一个很小的阈值,如10_2。状态序列a代表了一个非单调的模糊推理过程,推理序列的稳定状态是推理结果。本文的风险聚合过程,就是利用了此推理过程。
4移动办公信息系统风险评估实例
本节将以某移动办公信息系统为例,对本文方法的实施过程及结果进行研究。
4.1 移动办公信息系统介绍
随着移动互联网技术的发展成熟,各行各业的移动办公业务需求不断增长,出现了大量移动办公建设案例。移动办公信息系统的主要应用模式是通过移动终端从业务服务器下载各类业务应用数据,支持移动办公现场业务实施;在上述业务流程中,广泛的信道支持(WiFi、广域网、移动运营商网络等)为其提供了高度的灵活性,TLS等加密协议可以为其提供数据传输的安全性。移动办公人员的地理位置信息等可作为数据库査询的依据,査询结果根据办公人员使用终端类型的不同(个人电脑、平板电脑、智能手机等),用不同的形式自动发送给现场办公人员。另外,从现场采集到的业务相关数据信息作为业务数据库的信息来源被上传并存储在数据库中,为后续的数据统计、业务决策等提供信息支持。
系统中通常也具备为业务管理人员设计的特殊模块,使其能够对系统进行参数配置。此外,系统一般还能够接收其他符合行业数据标准的其他信息系统提供的数据。
系统体系结构如图5所示,(1)移动客户端(智能手机)收集原始数据,通过互联网HTTPS安全通信协议,经(3)SSL认证网关初步验证,并加密发往⑷应用服务器。应用服务器运行系统的主控逻辑,负责授权、数据验证、生成通知,以及与(5)数据库服务器和(6)数据分析服务器之间的通信。数据分析服务器负责完成业务数据的统计分析工作。
4.2 资产识别
本例的资产识别阶段,主要实施方式是组织由被测单位信息部门相关人员参加的访谈及会议,通过对现有的项目文档进行研究,对系统结构进行讨论,明确系统信息安全风险评估所涉及的资产。经研讨,此系统的资产包括:
1、业务过程:现场巡査、业务信息检索、业务信息存储、分析结果获取;
2、服务:数据存储和检索、数据传输、数据分析;
3、数据:现场巡査采集数据、遥感影像数据、配置数据;
4、软件模块:认证代理、业务应用、资源数据库、移动办公客户端、固网客户端、数据分析软件;
5、硬件模块:认证服务器、应用服务器、数据库服务器、数据分析服务器、智能手机及固网用户主机;
6、信道:通过WLAN、LAN和3G等构建的外部网络(HTTPS协议),内部办公网络(HTTP协议);
7、人员:移动办公用户、固网办公用户、技术人员;
8、其他:由第三方提供的基础设施(通信线路、电力线路)。
4.3 构建资产增值树
图6为本系统的资产增值树,图中各节点就是前一步中识别出的资产,业务过程依赖于软件和硬件模块所提供的服务,并与系统中存储及交换的数据相关。图中资产间的相互关系从系统体系结构的角度考虑确定,边的权重值则根据与系统使用维护人员的访谈确定。权重确定后,即可将其描述为FCM影响力矩阵的形式,本例中用于描述的语言值为:高、明显、中、低、无。例如,现场巡査业务受数据存储和检索、数据传输两项服务的高度影响,受数据分析服务的明显影响。
4.4 威胁识别
目前,在信息安全风险评估中,对威胁的识别一般基于以往经验提供的对攻击源的认知。根据以往经验,在本例中,要考虑的所有威胁,可根据其影响的资产类型分为11类,分别为:(1)过程类,如设计缺陷;(2)软件类,如质量缺陷、缺乏维护、恶意软件;(3)硬件类,如质量缺陷、能量耗尽;(4)通信类,如协议缺陷、服务中断;(5)数据类,如破坏机密性、破坏完整性;(6)外部服务类,如有无PKI等安全基础设施;(7)外部数据类,如数据接口错误;(8)基础设施类,如场地、电力、空调;(9)人员类,与移动办公用户、固网办公用户和技术人员相关的威胁;(10)自然灾害类;(11)经济条件,法律等。
4.5 单项资产风险评估
此环节工作包括两方面内容脆弱性分析和安全措施有效性分析。在实施方式上,此部分评估采用能够反应最佳实践的问卷调査的形式。针对此次的被评估系统,关于威胁与安全措施的调査问卷共针对11组资产设计了约140个问题。
表1为与移动办公客户端相关的风险评估调査问卷。问题根据各类资产的最佳安全实践确定,每个问题涉及一项安全特性。各项问题均根据其对资产整体风险的影响被赋予问题权重^。每个问题最多给出三个答案,各答案均被赋予代表其对资产风险影响程度的风险影响系数qije[0,1]。问题权重W,_及风险影响系数qy利用专家法由专家评分决定。这些权重信息对被调査人员是不可见的。表中星号项为此次问卷调査的回答结果。
至此,资产S的风险值RS可通过将ks个问题a(i=1,...,ks)的答案ay代入式(6)得出。值1和0分别表示是或不是某项答案,即若问题i的答案是答案.则%=1,否则%=0。
其中,w是归一化因子。计算可得,移动办公客户端的资产风险值Rs=0.404,风险值不为0,表明资产面临的威胁不能完全被安全措施控制。
采用上述方法,计算所有低级资产的单项资产风险值,可明确系统中风险值为高、中、低的各类资产,并对高风险资产采取针对性安全措施。
在实际操作中,问卷调査内容的设计过程与模糊认知图的构建过程是同步进行的,问卷中的权重值w,即反映了FCM图中影响值的大小,以数据资产“现场巡査采集数据”为例,在与其有因果关系的下级资产(移动办公客户端、智能手机、移动办公用户)的问卷调査中,选择可能影响上级资产的问题,取其权重的均值,即得到其影响值。
4.6 风险聚合
针对业务过程、服务、数据等高级资产类别,由于其自身的复杂性,无法采用4.5节中的问卷调査方式实施风险评估,因此,本文采用FCM推理实现的风险聚合来完成高级资产的风险计算。
在计算前需先进行影响力矩阵的归一化操作。本例中,原始矩阵用5个语言值(高、较高、中、低、无)来描述,分别对应影响力值{1,0.75,0.5,0,25,0}。对每一行i=1,...,n,影响力值的归一化可按下式完成:
其中,且m是一个正常数(实际计算中常使用m=1.0)。上述归一化过程给出了一个概率分布。假设的分布形式源于博弈论,假设高级资产ah受低级资产an,...,aik的影响,影响系数为em,…,em。如果攻击者选择从一个低级资产发起攻击,那么它应该在能够影响ah的低级元素中选择影响力eMm最高的元素am但是,攻击者对影响力可能作出错误的估计。由此所得的攻击行为概率与错误估计的分布相关,而错误估计一般没有明显的规律。因此,假设错误估计服从双指数分布,就可得到式(7)给出的logit(对数成败比率)模型。
最终,聚合风险的计算需要通过连续使用FCM状态方程(2),构建两个向量序列:无风险序列anr的初始向量为A^(0),在此向量中,表述资产风险属性的所有向量元素都被置为1。而风险序列d的初始向量A\0)是资产风险属性向量A10)与式(6)计算出的风险值RA的差,艮P:Ar'(0)=A'(0)-R4。最后,将anr和d中的相应元素相减,即R(i)=Anr(i)-Ar(i),即可得到聚合风险值序列p=R(0),...,R(i),...。此序列将收敛于表示资产聚合风险的数值。
图7为系统中数据、服务、业务进程三组资产的风险计算的结果。结果分别采用式(3)和式(4)定义的激励函数S-(图(a))和SeXp(图(b))得到。对于函数SeXp,式中常数m的值采用2.0。结果比较表明,两个函数的计算结果趋势一致。
4.7结果解析分析表明,低级资产的风险会影响高级资产。在本文的评估实例中,大量资产(如移动客户端)的风险是由于系统尚未部署在实际生产环境中,实验环境下大量安全措施(PKI、UPS、物理访问控制措施等)尚未部署所导致的。在实际部署中,需要将这些安全措施启用。
5结束语
本文提出了一种基于模糊认知图的信息系统风险评估方法,方法的应用基础是构建表达资产间依赖关系的资产增值树;在低层资产风险评估方面,采用了能够反应最佳实践的问卷调查法;在高层资产风险评估方面,本文提出了基于模糊认知图推理过程的风险聚合计算方法。
本文还以移动办公信息系统为例对方法进行了应用研究,实践表明,本文的风险评估方法效率高、成本低,能够实时反馈系统现状,是一种适用于中小型信息系统风险评估的轻量级方法。