《一种基于模型的信息安全风险评估方法.docx》由会员分享,可在线阅读,更多相关《一种基于模型的信息安全风险评估方法.docx(7页珍藏版)》请在三一办公上搜索。
1、一种基于模型的信息安全风险评估方法李嵩 孟亚平 孙铁 刘海峰摘要 基于模型的评估方法对信息安全风险评估具有重要的意义。该文提出一种基于统一建模语言、攻击树分析事件树分析模型的信息安全风险评估方法,运用面向对象的、半形式化的方法分析和描述安全风险相关要素,基于ATA模型深入分析评估关键信息资产的安全风险,基于ETA分析安全事件对业务的影响,提高风险评估的精确性和客观性。基于模型的方法还有利于风险评估相关要素模式的抽象和复用,以及评估工具的开发和应用,提高风险评估的生产率。关键词 信息安全风险评估 基于模型 统一建模语言 攻击树分析 事件树分析A Model Driven Information
2、Security Risk Assessment ApproachLi Song Memg Yaping Sun Tie Liu Haifeng Beijing Information Security Test and Evaluation CenterAbstract Model-driven assessment approach has significant meaning for information security assessment. This paper presents an information security assessment approach based
3、 on UML, ATA and ETA model, which using object-oriented and semi-formally method to analysis and describe the elements related to risk, thoroughly assessing the risk of critical assets based on ATA model, analysing the security incident impacts on business based on ETA, and improving accuracy and ob
4、jectivity of risk assessment. Model-driven approach also help to abstract and reuse patterns of the elements related to risk , develop and use assessment tools, and increase the productivity of risk assessment.key word Information Security Risk Assessment, Model-driven, UML,ATA,ETA 1 引言为了评估信息系统的安全风险
5、,多种风险评估方法被开发出来并在实践中应用,但由于信息安全具有的高度复杂性和不确定性,这些方法还存在很多难以解决问题。具有共性的问题表现在:1)缺乏形式化的分析和描述方法,无法精确分析和描述风险相关要素,给评估结果带来很大的偏差;2)缺乏对关键信息资产安全风险相关要素的深入分析,评估结果主观性强,有实际价值的内容往往只是系统的脆弱性检测结果;3)缺乏对风险相关要素的抽象、归纳和复用的方法,使风险评估陷入低水平低效率的循环;4)缺乏工具支持,低层次手工作业量较大,风险评估的生产率较低。采用统一建模语言(Unified Modelling Language, UML)分析和描述被评估信息系统及其安
6、全风险相关要素,可以运用面向对象的分析方法,采用图形方式的半形式化建模技术,提高信息系统及其相关安全要素描述的精确性,提高以此为基础的评估结果的质量。UML在系统分析与设计中具有广泛深入的应用,UML在风险评估中的应用,有利于风险评估过程与系统开发过程的相互支持1。故障树分析(Fault Tree Analysis, FTA)2是一种成熟的可靠性和安全性分析技术,攻击树分析(Attack Tree Analysis, ATA)3是其在安全领域的应用。采用ATA技术,分析建立关键信息资产的ATA模型,可以有针对性地分析识别关键信息资产相关的安全事件和安全威胁,并对关键信息资产进行概率风险评估(P
7、robabilistic Risk Assessment, PRA)4,提高风险评估的客观性。ETA(Event Tree Analysis,ETA)4 是一种逻辑演绎法,它在给定的一个初因事件的前提下,分析此初因事件可能导致的各种事件序列的结果。基于ETA方法分析安全事件对系统业务的影响,可以提高业务影响分析的全面性和系统性。基于图形模型的分析与描述方法有利于深入的交流与沟通,防止由于不确切的理解而影响评估质量和效率。基于模型的风险评估方法,有利于对安全风险相关要素进行模式抽象和总结,通过模式的复用,以及开发应用基于模型方法的工具集,提高效率,降低成本,提高风险评估的生产率。2 基于模型的风
8、险评估过程信息系统的风险评估过程与系统开发过程同样具有“V形关系”,如图1所示。系统开发过程可分为三个阶段:需求分析、系统设计和系统实现。在这三个阶段中包括两个不同的建模过程:一是在需求分析阶段建立系统的业务模型,是平台无关建模(Platform Independent Modeling, PIM)5过程;二是在设计阶段建立系统模型,是特定平台建模(Platform Specific Modeling, PSM)5过程。图1 基于模型的风险评估过程而基于模型的风险评估可以概括为业务分析、系统平台分析、风险识别、风险分析和风险评估五个阶段。其中业务分析和系统平台分析阶段使用UML分析方法描述系统
9、业务模型、系统平台(包括安全措施)模型,是风险评估过程中对系统需求分析和系统设计的延续和扩展。风险识别阶段对系统进行安全检测、核查,识别系统面临的威胁和系统的脆弱性。风险分析阶段在风险识别阶段的基础上,基于UML对威胁和脆弱性等风险相关要素进行分析,并建立关键信息资产的ATA模型。该阶段主要关注系统平台的安全风险相关要素。风险评估阶段是基于前面已建立的模型,分析关键信息资产的安全风险概率,分析关键信息资产安全性遭受破坏对系统业务的影响,评估关键信息资产的安全风险。3 业务和系统平台分析业务分析是评估者对系统业务的认识过程,目的是认识并深入理解被评估系统的业务,这是正确认识安全风险的基础。业务分
10、析在系统相关文档和系统调查基础上,运用UML用例图、活动图和状态图来描述系统业务,分析并描述系统业务功能、业务流程和数据,建立系统业务模型。业务分析阶段应识别、分析系统的关键信息资产,也就是决定系统安全性的关键数据和服务。关键信息资产是风险评估的核心。系统平台分析的目的是准确认识被评估系统的平台结构(包括网络拓朴结构、系统单元(节点或构件包)、构件和接口关系等)、安全措施、系统边界以及相关的内部和外部环境(网络环境、物理环境、相关基础设施和相关信息系统),建立系统平台模型。系统平台模型主要采用UML部署图来描述。可根据需要采用类图对构件进行深入描述。对关键的系统过程可以采用活动图、状态图、序列
11、图或协作图来描述。虽然可以从系统设计文档得到很多的系统平台信息,但评估者一般还需要通过系统调查来保证系统平台模型的准确性。对安全措施和机制的分析与描述是系统平建模的重点,要通过分析安全相关系统单元和构件的功能、连接关系和接口关系,准确描述系统的安全措施和机制。系统平台部署图示例如图2所示。图2 系统平台部署图示例系统平台和安全措施的描述粒度一般在包或构件级即可满足风险评估的需要,可以在后续的风险建模阶段根据实际需要进一步深化。4 风险识别风险识别过程是对系统安全状况的数据采集过程。风险识别的主要目的是识别系统面临的威胁、系统平台脆弱性以及安全管理的脆弱性。信息系统面临的威胁与系统的使命、业务功
12、能和流程、用户群体、体系结构以及其内部和外部环境等因素密切相关,威胁可能来自或针对上述这些因素。威胁识别主要有两种方法:一是搜集和分析系统相关入侵检测记录、安全审计数据和安全事件的历史记录,识别已发生和正在发生的威胁;二是采用一个已定义的威胁模式列表(按照网络、主机和应用程序等进行分类的常见威胁的细目列表),对威胁相关要素进行适合性分析,全面地识别系统可能面临的安全威胁。系统相关入侵检测记录、安全审计数据和安全事件的历史记录也是威胁识别也具有重要的参考价值。系统的脆弱性包括系统平台的脆弱性和安全管理的脆弱性两部分。系统平台的脆弱性主要通过系统安全检测来识别,安全检测的对象主要是作为系统单元的节
13、点和构件包。检测方法主要有安全功能测试、系统配置核查、漏洞扫描和渗透测试等。安全管理脆弱性识别主要方法有管理核查、系统配置核查、系统平台脆弱性检测结果分析等。5 风险分析5.1 威胁和脆弱性属性分析风险分析阶段要针对风险识别阶段已识别的安全威胁和脆弱性的相关属性,进行归纳、分析,建立威胁列表和脆弱性列表。威胁类主要属性有:l 标识l 类型l 主体l 来源l 动机l 方法/途径l 相关客体l 方式l 破坏l 能力/强度l 频度脆弱性类属性参考CVE规范并进行扩充,主要属性有:l 标识l 描述l 参考项l 属主l 危险度由于各类威胁、脆弱性并不是独立的,如果威胁之间、脆弱性之间关联过多,属性分析的
14、工作量将成指数上升,因此通过对已识别的威胁、脆弱性进行简化、归纳,可以显著降低风险分析阶段的复杂度。5.2 风险相关要素关系模型信息系统安全风险相关的要素具有复杂的关系,用UML类图描述的风险相关要素关系6,7模型如图3所示。信息系统的主要价值表现为关键信息资产价值,信息系统风险评估主要是对关键信息资产的风险评估。系统单元是系统平台的构成元素,是关键信息资产的载体,脆弱性、威胁和安全措施都与系统单元密切相关,它们之间的相互作用,可能使系统单元发生安全事件,系统单元的一系列安全事件形成关系信息资产的安全风险。图3 风险相关要素关系模型风险相关要素关系模型是信息安全风险评估的基础数据结构,风险分析
15、过程将在业务和系统平台分析基础上,对关键信息资产、系统单元、安全措施类进行实例化;在威胁和脆弱性属性分析分析基础上,对威胁和脆弱性类实例化;安全事件和安全风险通过ATA模型进行分析,最后形成与类模型相对应的对象模型。由于很多信息系统在业务和架构方面是相似的,它们的风险相关要素也具有相似性,对风险相关要素类的对象进行泛化分析,将典型的对象抽象为子类,是对风险相关要素的“模式”进行抽象、积累,和重用的重要方法。5.3 关键信息资产ATA模型信息系统安全风险程度主要取决于对关键信息资产安全属性(保密性、完整性和可用性)的影响。分析系统平台的威胁、脆弱性和安全措施,目的是分析系统单元可能发生的安全事件
16、,并进一步分析这些安全事件与关键信息资产的安全风险的关系,信息系统的风险评估最终关注于关键信息资产的安全性。采用ATA方法分析关键信息资产安全风险与安全事件以及系统单元的关系,可以降低模型的复杂性,有利于焦点集中于关键信息资产的安全风险。攻击树是一种描述一个系统内引发可预期的安全事件的路径的图形模型,是一种特殊的倒立树状逻辑因果关系图,它用事件符号、逻辑门符号和转移符号描述系统中各种事件和条件之间的因果关系。图4 攻击树结构和分析过程攻击树的结构和分析过程如图4所示2。攻击树分析把系统最关键的安全事件状态作为逻辑分析的目标,也就是关键信息资产的安全性受到破坏的安全事件,在攻击树中称为顶事件,继
17、而找出导致这一安全事件状态发生的所有可能直接原因,在攻击树中称为中间事件。再跟踪找出导致这些中间事件发生的所有可能直接原因。直追寻到引起中间事件发生的基本事件状态,在攻击树中称为底事件。底事件一般为可识别的安全威胁和中间事件或顶事件的发生条件。中间事件是发生于系统单元的对关键信息资产安全有直接或间接影响的安全事件。对已识别的关键信息资产要分保密性、完整性和可用性分别建立ATA模型。建模后要进行攻击树割集(底事件集合,这些事件发生时,顶事件必然发生)和路集(底事件集合,这些事件不发生时,顶事件必然不发生)的分析,求出最小割集和最小路集,对关键信息资产的安全风险进行定性的分析。ATA模型的攻击路径
18、描述了威胁作用于一个或多个系统单元,最终破坏关键信息资产安全性的过程,这一过程与系统单元的安全性密切相关8,如图5所示。可以对ATA模型进行扩展,建立攻击路径与系统单元(节点或构件包)的关联关系,可以从系统平台视角以系统单元为中心分析威胁、脆弱性、安全措施与安全事件的关系,这样有利于从系统平台安全到关键信息资产安全的归纳。图5 攻击路径与系统单元的关系可以对关键信息资产的ATA模型进行“模式”抽象,对攻击模式进行积累和重用。6 风险评估6.1 关键信息资产概率风险评估可以引入定量的底事件概率(可能性),并通过其在ATA模型中的延续来评估顶事件发生的概率(可能性)4,即关键信息资产的风险的可能性
19、。设攻击树底事件状态为xi,顶事件状态为,则攻击树结构函数为: = (x1, x2,xn)式中 X = (x1 x2xn) 攻击树中典型结构函数,“与门”结构为: n(X) = xi i =1,2,n i =1“或门”结构为: n(X) = xi i =1,2,n i =1设顶事件概率为PT,通过底事件概率求顶事件概率的数学表达式为:PT = P(X)“与门”结构:n nPT = Pxi = P(xi) i =1,2,n i =1 i =1“或门”结构:n n n nPT = Pxi = P(xi) -P(xixj) + P(xi i =1 i=1 ij=2 ijk=3xjxk)+ + (-1
20、)n+1P(x1x2xn) i =1,2,n底事件概率是系统单元ci 相关的威胁Tci,威胁频度Fci,脆弱性Vci和安全措施Sci的函数:P(xi) = P(Tci , Fci, Vci , Sci)底事件概率通过对系统单元的安全分析得到,底事件概率准确性对关键信息资产风险概率的准确性至关重要。6.2 业务影响分析信息系统的安全风险最终表现为关键信息资产安全事件对系统业务的影响。业务影响分析可以采用事件树分析(ETA)方法,以关键信息资产保密性、完整性和可用性受到破坏为初因事件,分析影响业务的后续事件,建立业务影响事件树。根据后续事件对业务影响的程度,确定定量的业务影响严重度等级,业务影响分
21、析的目的是的找出初因事件所造成的影响等级最严重的后续事件。6.3 信息系统风险评估信息系统的安全风险由关键信息资产安全事件发生可能性(概率)和安全事件对业务的影响严重度等级确定。设信息系统保密性、完整性和可用性风险为RC,RI,RA,关键信息资产i保密性、完整性和可用性事件概率为pCi,pIi,pAi,关键信息资产i保密性、完整性和可用性事件影响最高严重度等级为cCi,cIi,cAi,则信息系统安全风险的数学表达式为:nRC = (pCicCi) i =1nRI = (pIicIi) i =1nRA = (pAicAi) i =1i =1,2,n系统总的安全风险为:R = C RC + I R
22、I + A RA式中C , I , A 分别为保密性、完整性和可用性的权重系数。可以通过系统单元的安全事件对信息系统安全风险的概率重要度,得到系统单元安全事件的影响等级,从而确定各系统单元的安全风险。7 结束语本文针对目前风险评估实践中存在的典型问题,提出了基于模型的风险评估方法,在采用多种模型技术提高风险评估的精确性、客观性和生产率方面做了深入探索。参 考 文 献 1 Fredrik Vraalsen, Folker den Braber, Ida Hogganvik. The CORAS Tool-Supported Methodology for UML-Based Security A
23、nalysis. 2 P.L.Clemens.Fault Tree Analysis.JE Jacobs Sverdrup. February 2002. 3 Andrew P. Moore, Robert J. Ellison, Richard C. Linger. Attack Modeling for Information Security and Survivability. http:/ www.cert.org/archive/pdf/01tn001.pdf 4 曾声奎,赵廷弟,张建国,康锐,石君友.系统可靠性设计分析教程M.北京航空航天大学出版社,2001-15 Peter R
24、ichardson.Model Driven Architecture. http:/www.ejv.org.- au/presentations/new/MDA_ObjectConsulting.pdf 6 Mass Soldal Lund, Lda Hogganvik,Fredrik Seehusen,Ketil Stlen.UML profile for security assessment.Technical report STF40 A03066, SINTEF Telecom and Informatics, December 2003. http:/heim.ifi.uio.n
25、o/massl/uml-sa/uml-sa-report1.pdf7 Mass Soldal Lund,Forker den Braber, Ketil Stlen,Fredrik Vraalsen.A UML profile for the identification and analysis of security risks during structured brainstorming. Technical report STF40 A03067, SINTEF ICT, May 2004. http:/heim.ifi.uio.no /massl/uml-sa/uml-sa-report2.pdf8 Guy Helmer,JohnnyWong,Mark Slagell,Vasant Honavar,Les Miller, Robyn Lutz.A Software Fault Tree Approach to Requirements Analysis of an Intrusion Detection System. http:/www.cs.iastate.- edu/honavar/Papers/SFTA-TD.pdf
