信息安全风险评估理论基础

2.4.2　信息安全风险评估理论基础

1.概率风险分析

概率风险分析方法的思想是利用概率论方法来识别和分析风险，这类方法主要包括：故障树分析法（FTA）、故障模式影响和危害程度分析方法（FMECA）、危害及可操作性研究分析方法（HazOp）和马尔可夫分析法。

（1）故障树分析

故障树最初是20世纪60年代为便于Minuteman火箭系统的分析而提出的，后来这种方法在航天工业、电子设备、化学工业、机械制造、核工业及一般电站的可靠性分析中得到了广泛应用，并且取得了不少成果。目前它主要用于分析大型复杂系统的可靠性及安全性，被公认为是对复杂系统可靠性、安全性进行分析的一种有效的方法。

故障树分析（Fault Tree Analysis，FTA）是一种自顶向下（top－down）方法，通过对可能造成系统故障的硬件、软件、环境、人为因素进行分析，画出故障原因的各种可能组合方式和/或其发生概率，由总体至部分，按树状结构，逐层细化的一种分析方法。故障树分析首先以系统不希望发生的事件作为目标（称顶事件），然后，按照演绎分析的原则，从顶事件逐级向下分析各自的直接原因事件（称基本事件），根据彼此间的逻辑关系，用逻辑门符号连接上下事件，直至所要求的分析深度。所以执行故障树分析，首先需要故障树建模。故障树建模，就是寻找所研究系统故障和导致系统故障的诸因素之间逻辑关系，并且用故障树的图形符号（事件符号与逻辑门符号）抽象表示实际系统故障组合和传递的逻辑关系。在故障树模型构造完成之后，为了准确计算顶事件发生的概率，需要简化故障树，消除多余事件，特别是在故障树的不同位置存在同一基本事件时，必须利用布尔代数描述并进行整理，然后才能计算顶上事件的发生概率，否则就会造成定性分析或定量分析的错误。

（2）故障模式影响和危害程度分析

故障模式影响和危害性分析（Failure Mode Effects and Criticality Analysis，FMECA）由两部分工作构成，即故障模式影响分析（Failure Mode and Effects Analysis，FMEA）和危害性分析（Criticality Analysis，CA）。FMECA是一种可靠性、安全性、可维护性分析与设计技术，用来分析、审查系统及其设备的潜在故障模式，确定其对系统和设备工作能力的影响，从而发现设计中潜在的薄弱环节，提出可能采取的预防改进措施，以消除或减少故障发生的可能性，提高系统和设备的可靠性、安全性、维修性、保障性水平。

FMECA是一种自下而上（bottom－up）分析方法，按预定的规则记录产品设计中所有可能的故障模式，分析每种故障模式对系统的工作及状态（包括整体完好、任务成功、维修保障、系统安全等）的影响并确定单点故障，将每种故障模式按其影响的严重度及发生概率排序，从而发现设计中潜在的薄弱环节，提出可能采取的预防改进措施（包括设计、工艺或管理），以消除或减少故障发生的可能性，保证系统的可靠性。

（3）危害及可操作性研究分析

危害及可操作性研究分析（Hazard and Operability study，HazOp）是由专家组来进行的，它是一种系统潜在危害的结构化检查方法。专家们通过脑风暴会议方式，确定系统所有可能偏离正常设计的异常运行问题，并分析这种偏离正常运行的原因、可能性和可能造成的后果及后果的严重性等。而这种偏差是通过将一系列标准的引导词应用到正常的系统设计之上而产生，因此只要分析出造成偏差的原因，采取适当的措施防止偏差的产生就可以防止系统的失效以及进一步可能引起的后果和危害。HazOp分析方法的主要目标是识别出存在的问题，而不是解决问题。其生成结果是一个可能危害的列表。对每个危害，需要对可能的原因及后果进行进一步的评估。

（4）马尔可夫（Markov）分析

马尔可夫理论是由前苏联数学家马尔可夫提出的，描述的是一类随机过程，这类随机过程的特点是无后效性，其思想是，若系统在时刻t₀处于某一种状态，则经过一段时间后系统所处状态与时刻t₀前系统所处状态无关，而是取决于时刻t₀的状态以及系统的状态转移概率。

在信息安全领域，安全事件是否会发生取决于系统当前所处的状态，而与过去是否发生过类似事件无关，也具有无后效性，因而马尔可夫理论可用于模拟系统状态变化以及安全事件的预测。

（5）统计推断与判决理论

统计推断与判决理论是定量风险评估方法的支撑，定量的风险评估方法建立在大量的数据之上，数据处理离不开统计方法。定量的风险评估模型中存在部分待定参数，这些参数需要利用统计推断理论来确定，在利用统计推断的结果之前，需要一定的方法对统计推断的结果进行检验或验证，这需要统计判决理论。

统计推断与统计判决理论是数理统计的核心，常用的统计推断方法有点估计、极大似然估计、贝叶斯方法、非参数估计理论等。常用的统计判决理论包括假设检验、回归分析、方差分析等。

2.模糊决策方法

风险评估的对象以及信息系统的状态具有不确定性，经典的数学模型由于其精确性特点使得它很难很好地把握问题的实质，模糊决策方法填补了这方面的不足。1965年美国加利福尼亚大学控制论专家Zadeh L.A.在“Information and Control”杂志上发表一篇开创性论文“Fuzzy Sets”，标志着模糊决策理论的诞生。

模糊决策理论不是把问题变成模糊不清的东西，相反，它具有数学的共性：条理分明、一丝不苟，它是通过规范化的理论体系来描述模糊的对象，使模糊对象能清晰地呈现在决策者面前，这是经典的数学理论所不能做到的。

在经典的集合论中，一个元素要么属于一个集合，要么不属于一个集合，是精确的概念。而实际生活中，很多现象具有模糊性，如需判断一条线段是否在某一圆内，不能简单地回答是或不是，因为有可能线段的一部分在圆内，而另一部分不在圆内，因而经典的集合论对问题的结果不能做准确描述，但模糊数学可以准确地描述这一问题。模糊决策理论通过在经典集合论的基础上，引入隶属度的概念，隶属度扩展了传统的元素与集合间的隶属关系，若元素属于某集合，则隶属度为1，若不属于该集合，则隶属度为0，若部分属于，则根据隶属程度大小，隶属度可取（0，1）中的某一值，其值越大，隶属程度越大。

在风险评估过程中，威胁、脆弱点的存在与安全事件的发生没有确定性的关系，风险事件的影响也不能用确定度量来描述，因而模糊决策理论有广阔的应用。在信息安全风险评估过程中应用模糊决策理论要解决好以下几个问题：

·哪些风险因素用模糊理论来描述；

·选择合理的隶属度函数用以描述现实对象；

·模糊评价模型的选择。

3.人工智能

人工智能是20世纪中期产生的并正在迅速发展的新兴边缘学科，它是探索和模拟人的智能和思维过程的规律，并进而设计出类似人的某些智能化的科学。人工智能现已涉及信息论、控制论、自动化、仿生学、生物学、心理学、数理逻辑、语言学、医学和哲学等多门学科。它的研究领域包括了问题求解、专家系统、模式识别、计算机学习、自动推理、自然语言理解、自动程序设计、智能计算机人和智能决策系统。

进入21世纪以来，知识库专家系统和知识工程成为人工智能领域最有实践意义的成果。专家系统是一种基于知识的系统，其实质是使系统的构造和运行都基于控制对象和控制规律的各种专家知识。这种人工智能的计算机程序系统，具有相当于某个专门领域的专家的知识和经验水平，以及解决专门问题的能力，或者说专家系统是指相当于（领域）专家处理知识和解决问题能力的计算机智能软件系统。根据一个或多个专家提供的特殊领域知识、经验进行推理的判断，模拟专家决策的过程来解决那些需要专家决定的复杂问题。

信息系统状态变化规律的复杂性决定了很难用一确定的数学模型来描述，应综合神经网络、智能推理、知识库等多方面知识，建立一个具有自学习能力的专家系统，目前基于案例的风险评估方法就是这一理论的具体应用。

4.灰色系统理论

部分信息已知、部分信息未知的系统称为灰色系统。灰色系统理论是研究和解决灰色系统分析、建模、预测和控制的理论。在信息世界，由于数据的短缺或事物本身的特性，很多现象是“灰色”的，其意义是指其中含有已知的、未知的与非确定的种种信息。

5.综合评价方法

信息安全风险评估对象是多指标的复杂系统，对于多指标系统，评价指标有多个，不同指标有不同的量纲。多指标系统的评价过程中必须解决以下两个问题：其一是采用什么方法将不同量纲指标无量纲化；其二是采用何种方式确定不同指标的相对重要性，通常是引入权向量来描述。不同综合评价方法有不同的处理方法，常用的综合评价方法有综合指数法、功效评分法、TOPSIS法、层次分析法、主成分分析法、聚类分析法等。

下面介绍不同综合评价方法的处理方法。

（1）综合指数法

综合指数法是多指标系统的一种评价方法。综合指数法通过计算各评价对象对每个指标折算指数值来实现不同指标值的无量纲化，并通过加权平均方法计算综合指数值，用综合指数值来评价不同对象，权值的选取没有确定的规则，应采用其他方法。若评价的对象有n个，评价指标有p个，x_ij为第i个对象的第j个指标取值，折算指数k_ij与综合指数k_i的计算公式如下：

其中，， 分别表示所有评估对象的第j个指标正值与负值的平均值，wj∈［0，1］为各指标的权值，用以度量各指标的重要程度，要求。

若评价指标为负效应指标（即取值越小越好），应采取一定的方式进行处理，将负效应指标转化为正效应指标。

（2）功效评分法

功效评分法通过功效系数来实现不同指标的无量纲化，然后在利用其他方法来确定功效权值，如均权法、层次分析法、离差权法等。在计算各评价对象的功效系数d_ij时，首先对各评价对象的指标值按大小排序，不妨设x_1j≤x_2j≤…≤x_nj，然后按下面方法分别计算：

（3）TOPSIS法

若评价的对象有n个，评价指标有p个，x_ij为第i个对象的第j个指标取值，TOPSIS方法计算步骤如下：

a）生成初始决策矩阵X＝（x_ij），若某些指标为负效应指标，应进行适当处理，如取将原来取值取相反数或倒数；

b）构造规范化决策阵Y＝（y_ij），其中y_ij＝；

c）选取适当的权向量w＝（w1，w2，…，wp），构造加权规范化决策阵U＝（u_ij），其中u_ij＝w_jy_ij；

d）计算正理想（最优）点u＋和负理想（最劣）点u－，分别代表最喜欢的对象和最不喜欢的对象，其中：

e）计算各评价对象与正理想点和负理想点的欧式距离d＋_i和d－_i，并在此基础上计算各方评价对象与最喜欢的对象的接近程度d_i，根据其取值大小来评价各对象，其中：

易知d_i越大，表明与最优对象越接近，相应的评价对象越优。

（4）层次分析法

层次分析法是将决策问题的有关元素分解成目标、准则、方案等层次，在此基础上进行定量和定性分析的一种决策方法。这一方法的特点是在对复杂决策问题的本质、影响因素及其内在关系等进行深入分析后，构建一个层次模型，然后利用较少的定量信息，把决策的思维过程数学化，从而求解多目标、多准则的复杂决策问题。层次分析法的决策过程如下：

①分析各影响因素间的关系，建立层次模型

层次分析法建立的层次模型如图2－8所示，层次模型至少包含三层。最高层是目标层，为决策目标，只有一个元素；最低层为方案层或措施层，为供选择的评价方案或措施；中间各层为准则层，为评价准则、子准则，多为影响因素。

图2－8　层次结构模型

层次间的支配关系不一定是完全的，即每层元素不一定与支配下一层的所有元素，多数情况下只是支配下一层的部分元素。一般要求，每个元素支配的元素个数不超过9个，元素过多应进一步分组。

②构建两两比较判断矩阵

层次模型建立后，上下元素间的依赖关系就建立了起来，为考察下层的各支配元素对上层元素重要性程度，需对同一层次的各元素关于上一层次中某一准则的重要性进行两两比较，建立两两比较判断矩阵A＝（a_ij）。a_ij是第i元素与第j元素重要性比较标度，其值越大说明第i元素越重要，一般要求a_ij＞0，a_ii＝1，且a_ji＝1/a_ij。

③计算单个判断矩阵对应的权重向量

判断矩阵记录了下层元素相对于上层某一元素重要性的比较结果，下面的问题就是根据判断矩阵确定下层元素相对于上层元素的影响权重向量，同时对判断矩阵进行一致性检验，考察判断矩阵的合理性。权重向量的计算方法有和法、根法、对数最小二乘法、特征根法等。和法是取判断矩阵各列归一化后的算术平均值为权重向量；根法是取判断矩阵各列归一化后的几何平均值为权重向量；对数最小二乘法是通过数据拟合方法，选取使得对数残差平方和最小的向量作为权重向量；特征根法是以判断矩阵的最大特征根对应的特征向量归一化后的结果作为权重向量。

在计算权重向量前，为考察判断矩阵的合理性，应进行一致性检验。

④计算各层元素对目标层的合成权重向量

以上得到的是下层一组元素对上层某一元素的权重向量，但综合评价最终要得到各元素对最上层的决策目标的影响权重，应自上而下合成各层元素对决策目标的总的权重向量。合成方法如下所述：

若第k－1层上各元素对决策目标的权重向量（列向量）为W_k－1，第k层各元素对第k－1层各元素的权重向量（列向量）为P₁，P₂，…，P_nk－1。其中n_k－1为第k－1层元素个数，P_i对应为第k层所有元素相对于k－1层第i个元素的权重向量。则第k层各元素对决策目标的权重向量为

W_k＝（P₁，P₂，…，P_nk－1）W_k－1

（5）主成分分析法

主成分分析是一种多元统计分析方法，对于多指标的复杂评价系统，由于指标多，数据处理相当复杂，由于指标之间存在一定的关系，可以适当简化。主成分分析的思想是通过一定的变换，用较少的指标来代替原先较多的指标，从而达到简化问题的处理与分析的目的。若评价的对象有n个，评价指标有p个（要求n＞p），x_ij为第i个对象的第j个指标取值，主成分分析过程如下：

a）构造样本矩阵X＝（x_ij）_n×p；

b）处理负效应指标，得到矩阵Y＝（y_ij）_n×p，其中y_ij＝

c）生成标准化矩阵Z＝（z_ij）_n×p，其中z_ij＝（y_ij－）/s_j，＝y_ij/n，s_j＝；

d）计算相关系数阵R＝（r_ij）_p×p，其中r_ij＝（z_ki×z_kj）/（n－1）；

e）求解R的p个特征根λ₁≥λ₂≥…≥λ_p≥0以及对应的规范化的特征向量b_j（向量的模长‖b_j‖＝1），然后选择一定的阈值f，并求解最小的m，使得≥f；

f）确定主成分分量，得到主成分决策阵U＝（u_ij）_m×m，其中u_ij＝（z_ik×b_kj），b_kj为b_j的第k个元素；

g）选择适当的主成分价值模型，进一步把m维系统降为一维系统。

（6）聚类分析法

聚类分析法是解决“物以类聚”，解决事务分类的一种数学方法。它是在没有或不用样品所述类别信息的情况下，依据对样品采集的数据的内在结构以及相互间的关系，在样品间相似性度量的基础上，对样品进行分类的一种方法。

从整体上看，有两类聚类分析问题，分别是样品聚类分析和变量聚类分析，前者依据样品不同指标的取值，对n个样品进行分类；后者是根据样品评价指标（变量）间的相互关系或相似性，将这些指标分成若干类。

聚类分析的关键是选取适当的距离函数，用以度量不同样品、不同指标间的距离或相似度，用距离或相似度作为聚类的依据。聚类分析的方法有很多，典型的系统聚类分析方法过程如下：

a）把每一样品作为一类，记做G₁，G₂，…，G_n；

b）计算所有类与类之间的距离d_ij，生成距离矩阵D＝（d_ij）_n×n；

c）按照预定的阈值t检验D中每一元素，若所有元素d_ij＞t，则聚类结束，若存在某个d_ij＜t，则继续；

d）把距离最小的类合并成新类，记做G_n＋1，同时取消原来的两个类，若这样的类不止两个，可同时合并；

e）计算新类与剩余各类的距离，剩余各类间的距离不变，得到降一阶的距离矩阵D；

f）对D重复c）～e）各步，直到各类间距离大于预定阈值t为止。