2009年11月情报探索第t1期(总145期)信息安全风险评估的几种典型方法剖析串陈龙海(莆田市公安局科技科福建351100)摘要介绍信息安全风险评估的几种常用方法。并结合其他学者的研究成果分析它们的长、短处。信息安全风险评估技术方法文献标识码:B关键词剖析文章编号:1005—8095(2009)11-0007-03中图分类号:G350信息安全风险评估是对信息风险加以识别、评估并作出综合分析的过程.是科学地分析和理解信息系统在保密性、完整性、可用性等方面所面临的风险,并在减少、转移、规避等风险控制方法之间做出分析方法。既可以用于定性的情况下,也可以用于定量的情况下。不仅可以分析由单一构件所引起的系统故障。也可以分析多个构件不同模式故障所产生的系统故障情况。该方法遵循从结果找原因的原则,即在前期预测和识别各种潜在风险因素的基础上,沿着风险产生的路径,运用逻辑推理的方法,求出风险发生的概率.并最终提出各种控制风险因素的方案。故障树分析具有逻辑性强、形象化等特点,分析结果也比较具有系统性、准确性和预测性。但是,故障树逻辑关系比较复杂、难以理解,另外与流程图毫无相似之处。在数学上往往非单一解,包含复杂的逻决策的过程。近年来,国内外信息安全风险评估的研究工作取得突飞猛进的进展。各种评估方法层出不穷,大大缩短了评估所花费的时间、资源,提高了评估的效率,改善了评估的效果。无论何种方法。基本上都遵循了风险评估流程.只是在具体实施手段和风险计算方面有所不同.其共同的目标都是找出组织信息资产面临的风险及其影响。以及目前安全水平与组织安全需求之间的差距。本文对信息安全风险评估中比较典型的几种方法进行介绍和剖析。l层次分析法层次分析法是美国运筹学家萨蒂(T.LSaaty)于20世纪70年代初提出的一种定性与定量分析相结合的多准则决策分析方法。其基本思想是在决策目标的要求下.将决策对象相对于决策标准的优劣状况进行两两比较。最终获得各个对象的总体优劣状况,为决策和评选优先级别提供依据。层次分析法通过构造风险矩阵评价总体风险,在风险评估的实际应用中是一种行之有效、可操作性强的方法,其应用性也较为灵活,既适用于机构信息安全风险的自评估.也适用于专门提供安全服务组织的他评估。但此方法不适合分析风险因素较多的多层次结构模型。另外风险因素比较时专家经验不同易出现一致性检验不符合的情况。2故障树分析法故障树分析模型是由美国Bell电话试验室的WastonH.A.于1961年提出的。作为分析系统可靠性辑关系,逻辑运算易发生错误导致安全事件(顶事件)的原因事件(底事件)发生的概率难以求出,所以,构造故障树的工作量相当繁重,对分析人员的要求也比较高。也因而限制了故障树分析法的推广和普及。传统的故障树分析方法是一种基于静态逻辑和静态故障机理的分析方法。对于具有动态随机性故障的容错系统、顺序相关性冗余系统、具有共用资源库的系统.传统的故障树分析方法是无能为力的。许多专家对此方法的改进做了许多研究。如近年来发展起来的贝叶斯网络技术。承继了故障树的状态描述及推理方式。而且还具备描述事件多态性和故障逻辑关系非确定性的能力,既能用于推理,还能用于诊断.非常适合于可靠性、安全性分析。周忠宝等(2008年)在前人研究的基础上,研究了基于离散时间及动态贝叶斯网络的动态故障树分析方法。3风险模式影响及危害性分析法风险模式影响及危害性分析(RMECA)是按规定的规则记录系统中所有可能的风险模式,分析每种风险模式对系统的工作及状态的影响并确定单点风险。将每种风险模式按其影响的严重程度及发生的数学模型.现已成为比较完善的系统可靠性分析技术。故障树分析法是一种“下降形”的、演绎的逻辑收稿日期:2009-07-23概率排序。从而发现系统中潜在的薄弱环节,提出可・本文系莆田市科技局科研项目(项目编号:莆*-g[2008】26号)研究成果。作者简介:陈龙海(1973一),男。福州大学物理与信息工程学院2004级电子与通信专业硕士研究生,主要研究方向为通信及信息安全。7万方数据2009年11月情报探索第11期(总145期)能采取的预防改进措施.以消除或减少风险发生的可能性.保证系统的可靠性。RMECA由两部分工作构成。即风险模式影响分析(RMEA)和危害性分析(CA)。在进行这种分析时应把所研究的每一种分析看作是系统唯一的风险。风险模式影响及危害性分析考虑每一部件的所有失效模式,确定各部件的相对重要性。以便改进系统性能。其优点是易于理解,不用数学,广泛采用。如李红等(2008年)应用该方法,通过对信息系统各组成单元和要素潜在的各种风险模式及其对信息系统安全的影响进行分析,提出可以采取的预防、改进措施。为风险管理提供有效支持.以提高信息系统的可靠性。该方法的缺点是只能用于非危险性失效.花费时间,一般不能考虑各种失效的综合效应与人的因素。4事件树分析法事件树分析(ETA)又称决策树分析。是风险分析的一种重要方法。它是在给定系统风险事件的情况下,分析此风险事件可能导致的各种事件的一系列结果。从而定性与定量地评价系统的特征。并可帮助人们做出处理或防范的决策。事件树描述了初始风险事件一切可能的发展方式与途径。事件树的每个环事件(除顶事件外)均执行一定的功能措施以预防风险事故的发生。且其均具有二元性结果(成功或失败),在事件树建立过程中可以吸收专家知识。事件树虽然列举了导致风险事故发生的各种事故序列组,但这只是中间步骤。并非最后结果,有了这个中间步骤就可以进一步来整理初始风险事件与减少系统风险概率措施之间的复杂关系。并识别出风险事故序列组所对应的事故场景。进行事件树分析可以获得定量结果。即计算每项风险事件序列发生的概率。计算时必须有大量统计数据。事件树分析从初因事件出发考察因此引起的不同事件链.优点是可用于找出由于一种失效多引起的总后果或各种不同后果。缺点是不能分析平行产生的后果,不适用于详细分析。5线性加权评估法线性加权评估模型是在科技评估中应用得较多模型之一,是将每个底层指标进行分别评价。并将评价值量化.再将评价值与表述该指标相对重要性的权重系数相乘,同时对上一级指标求和。得到上一级指标的评价值,重复以上操作,直至达到顶层指标,就得到了综合评估的结果。线性加权模型直观性强,物理意义清晰,模型运算简单,且速度快,易程序化,所以在科技评估中采用频率较高。。线性加权评估的缺点是假设为指标之间的线性关系,要求指标之间不能线性相关,有些对现实情况8万方数据的理想化。科技评估对象多为复杂的客体,指标之间的相互作用错综繁杂,如研究条件和环境的变化有很强的动态性.主要研究人员的变更和设备或仪器的状态都将使研究条件产生移动。一旦这种扰动的幅度大到影响系统稳定性的时候.其他的评价指标如项目前景.项目的技术可行性就会发生相应的变化,从而产生完全不同的结果。因此.在使用线性加权模型时。应对评估指标间的相互关系予以足够的重视。6模糊分析法模糊分析是建立在模糊集合基础上的一种预测和评价方法。由于信息安全风险评估中存在大量的不确定性.对不确定性的处理成为风险评估的一个关键因素.安全事故发生的可能性很难通过统计数据得到准确的先验概率以及信息资产尤其是无形资产的价值难以准确估计。模糊分析评价方式与人们的正常思维模式很接近,用程度语言描述对象。该方法也被采用来评估信息安全风险,如那丽春等在信息安全风险评估过程中引入模糊集的风险聚类预测方法、张锟等引入模糊影响图方法。模糊分析的优点是比较接近人们的思考模式。可以比较方便的确定指标集和评语集。缺点是不太好确定模糊评价矩阵。评估的结果不是很具体。如宋晓莉等认为模糊综合评价法,对各风险因素权值的确定一般采用专家主观评定.权值误差的积累会导致风险分析结果偏离实际。7德尔斐法德尔斐法也被称之为专家咨询法.是一种定性预测方法,通过背对背群体决策咨询的方法,群体成员各自独立工作,然后以系统的、独立的方式综合他们的判断,克服了为某些权威所左右的缺点,减少调查对象的心理压力.使预测的可靠性增加。德尔斐法的缺点是评估时间比较长.并且缺乏群体成员之间讨论的机会。事实上,德尔斐法从来不让群体成员面对面地聚在一起。8基于D—S证据理论的信息安全风险评估法基于D—S证据理论的信息安全险评估可以更好地克服评估过程中的不确定.与其他方法相比使用证据理论能够更加确定信息系统所处的安全风险等级。可以提高信息安全风险评估的效率和可靠性。目前D—S证据理论主要用于人工智能。模式识别和数据融合技术中.近年来在风险评估中的应用逐渐增多,如朱静等(2008年)将证据理论用于信息安全风险评估,来减少信息安全评估中的不确定性,提高评估的准确性。风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作。通常,这项工作由专业的顾问来完成.这些顾问可以是来自被评估的2009年11月情报探索第11期(总145期)图书馆参考咨询工作两种手段之探究——从问题库到Wild知识库王勇北京100024)(北京第二外国语学院图书馆摘要介绍了图书馆问题库的特点与作用。探讨了Wild知识库的优势以及知识库和图书馆问题库的关系,重点分析了图书馆问题库对Wiki知识库条目的结构、选择和分类的影响。并结合经验和实例,对如何利用Wild建设图书馆知识库的相关问题进行了阐述。关键词参考咨询中图分类号:G252.6问题库Wild知识库条目文献标识码:A文章编号:1005-8095(2009)11-0009-03l图书馆问题库概述收集读者提出的问题。或者站在读者角度考虑设置问题,日积月累就会形成图书馆问题库(简称:问题库)。问题库既包含FAQ,即常见问题,也包含内容较为广泛和深入的问题。如案例的归纳总结。目前。很多图书馆的FAQ已经在逐步积累和深化,包含着许多非常见的问题。目前,问题库的作用和特点主要有:(1)简单扼要,解答读者问题。为了帮助读者迅速答疑解惑,问题库的提问设置通常主题明确。而答案则精简明确。这样,读者就能够在最短的时间内解决遇到的问题,提高使用图书馆的效率。(2)分门别类,引导读者找到答案。在问题库已经拥有一定量的基础上,对问题进行归类整理,使得读者在查询时更具针对性,节约时间。组织也可以来自顾问公司.这些具有专业素质的顾问在风险评估中发挥重要的作用。为了使风险评估工作能够在各行各业中广泛开展。风险评估方法被称为不可或缺的技术支持手段。目前.多种的风险评估方法,为风险评估的进行提供了便利条件。同时风险评估方法还存在许多问题.我们应在加强风险评估理论研究的基础上,选择适用的风险评估方法。另外在信息风险评估过程中。可以采用多种操作方法,以获得更合理的评估结果。参考文献1林雅金。张旭东。林雪仁.信息安全中技术安全风险评估的层次分析法.黑龙江科技信息,2007(7)2朱岩,杨永田,张玉清等.基于层次结构的信息安全评估模型研究.计算机工程与应用,2004(6)3王奕.费洪晓.基于AHP的信息安全风险评估方法研究.湖南城市学院学报,2006(3)4周忠宝,马超群,周经伦等.基于离散时间贝叶斯网络的动态故障树分析方法.西安交通大学学报,2007,41(6)5周忠宝,马超群,周经伦等.基于动态贝叶斯网络的(3)全文检索,快速消除读者疑问。除了能够进行标题检索。好的问题管理系统还能够实现全文检索。当读者对自己的疑问还不太明确时,可以尝试用相关的词语检索问题库。并判断结果是否满足自己的需求。然而.作为一种目前被广泛使用的参考咨询工作手段。问题库还无法全面深入地解决读者遇到的或可能遇到的问题。经过大量的试用,笔者发现问题库主要存在以下几个方面的问题。(1)问题设置少,不足以涵盖图书馆的各个方面。问题设置一般由图书馆的信息咨询部门承担,限于人手等因素。问题量很难迅速增加。因而不足以涵盖图书馆的所有方面。无法解答读者的所有疑问。(2)回答过于简单,不能系统阐述。限于问题库的形式。答案不能太长,因而不能对某一知识点进行动态故障树分析.系统工程理论与实践,2008(2)6李红.崔丽霜.基于RMECA的风险控制.河北省科学院学报,2008,25(2)7那丽春。刘念祖,张明.基于模糊集的风险聚类预测方法.计算机工程与设计,2008,29(14)8宋晓莉,余静,孙海传等.模糊综合评价法在风险评估中的应用.微计算机信息,2006,22(12)9朱静.高会生,李聪聪.基于D—S证据理论的信息安全风险评估.华北电力大学学报,2008,35(4)lO张泽虹.基于评估流程的信息安全风险的综合评估.计算机工程与应用,2008,44(10)11杨宏宇,李勇,陈创希.基于模糊理论的信息系统风险计算.计算机工程,2007,33(16)12艾明。向宏,康冶平.风险评估中威胁发生可能性的定量分析方法.微计算机信息,2007,2313赵冬梅,马建峰,王跃生.信息系统的模糊风险评估模型.通信学报,2007,28(4)14汤永利。徐国爱,钮心忻等.基于信息嫡的信息安全风险分析模型.北京邮电大学学报。2008,31(2)(责任编辑:黄浩海)9万方数据