一种基于模型的信息安全风险评估方法.doc

第47卷 第1期 2002年1月 简 报 □□□ □□□□□□ PAGE 2 作者单位：100037 北京 北京信息安全测评中心 PAGE 6 一种基于模型的信息安全风险评估方法 [摘要] 基于模型的评估方法对信息安全风险评估具有重要的意义。该文提出一种基于统一建模语言、攻击树分析事件树分析模型的信息安全风险评估方法，运用面向对象的、半形式化的方法分析和描述安全风险相关要素，基于ATA模型深入分析评估关键信息资产的安全风险，基于ETA分析安全事件对业务的影响，提高风险评估的精确性和客观性。基于模型的方法还有利于风险评估相关要素模式的抽象和复用，以及评估工具的开发和应用，提高风险评估的生产率。 [关键词] 信息安全风险评估 基于模型 统一建模语言 攻击树分析 事件树分析 A Model Driven Information Security Risk Assessment Approach [Abstract] Model-driven assessment approach has significant meaning for information security assessment. This paper presents an information security assessment approach based on UML, ATA and ETA model, which using object-oriented and semi-formally method to analysis and describe the elements related to risk, thoroughly assessing the risk of critical assets based on ATA model, analysing the security incident impacts on business based on ETA, and improving accuracy and objectivity of risk assessment. Model-driven approach also help to abstract and reuse patterns of the elements related to risk , develop and use assessment tools, and increase the productivity of risk assessment. [key word] Information Security Risk Assessment, Model-driven, UML，ATA，ETA 1 引言 为了评估信息系统的安全风险，多种风险评估方法被开发出来并在实践中应用，但由于信息安全具有的高度复杂性和不确定性，这些方法还存在很多难以解决问题。具有共性的问题表现在：1）缺乏形式化的分析和描述方法，无法精确分析和描述风险相关要素，给评估结果带来很大的偏差；2）缺乏对关键信息资产安全风险相关要素的深入分析，评估结果主观性强，有实际价值的内容往往只是系统的脆弱性检测结果；3）缺乏对风险相关要素的抽象、归纳和复用的方法，使风险评估陷入低水平低效率的循环；4）缺乏工具支持，低层次手工作业量较大，风险评估的生产率较低。 采用统一建模语言（Unified Modelling Language, UML）分析和描述被评估信息系统及其安全风险相关要素，可以运用面向对象的分析方法，采用图形方式的半形式化建模技术，提高信息系统及其相关安全要素描述的精确性，提高以此为基础的评估结果的质量。UML在系统分析与设计中具有广泛深入的应用，UML在风险评估中的应用，有利于风险评估过程与系统开发过程的相互支持[1]。 故障树分析（Fault Tree Analysis, FTA）[2]是一种成熟的可靠性和安全性分析技术，攻击树分析（Attack Tree Analysis, ATA）[3]是其在安全领域的应用。采用ATA技术，分析建立关键信息资产的ATA模型，可以有针对性地分析识别关键信息资产相关的安全事件和安全威胁，并对关键信息资产进行概率风险评估（Probabilistic Risk Assessment, PRA）[4]，提高风险评估的客观性。 ETA（Event Tree Analysis，ETA）[4] 是一种逻辑演绎法，它在给定的一个初因事件的前提下，分析此初因事件可能导致的各种事件序列的结果。基于ETA方法分析安全事件对系统业务的影响，可以提高业务影响分析的全面性和系统性。 基于图形模型的分析与描述方法有