1、1信息技术安全系统的风险评估问题计算机:焦世斗 物理:宋世巍 电子:张弘摘 要本文把信息技术安全系统的风险评估问题归为一类优化问题。是学校在以用户效率、机会成本为约束条件下,寻找能使总成本最小的措施的优化组合模型。通过对数据的分析和题中所给条件,我们认为 、 、 影响机会成本,CIA并存在一个经验初始值 (均在 0 到 1 之间) ,每项措施会对 、 、0,CIAIA产生影响,进而会对机会成本(和它发生的概率) 、总成本产生影响, 。在以用户效率、机会成本为约束条件下,求总成本的最小值。因此我们建立这样的模型:和 1(,)1(09)23(,)4kkkiiiMklliiYfxpostpgCIAo
2、ststfxp( )( )( )( ) k12M0C00, 5C=-arctn()2/(6)71rt()/(8),(,19kk kIAmIMAII ( )通过对结果的分析,根据事件的独立性,我们把公式(6) 、 (7) 、 (8)换成概率并联公式 并对用户效率加一考虑0101()()kkkkMnnkkMnnCCIIAA,得到一个优化模型。1()kkMnnU再进一步分析,我们把各个小项独立开来研究它们对系统的影响,首先通过程序剔除了一些明显不符合要求的措施。然后,我们为每一个小项,按其对总成本影响的大小, 赋予不同的优先级,进而通过优先选择的方法来求解最佳的组合。模型的公式概括如下:2111(,
3、23.,;)i ikkiiMYkAY最后,我们将简单讨论此模型的通用性。一、问题重述一台计算机如果受到黑客或者病毒攻击,其中重要的个人信息和软件就有可能丢失。为减少黑客或病毒造成的损失,需建立相应的信息术安全系统。通过对一个大学的相关 IT 系统安全措施(包括技术和政策两方面)分析,我们的任务是:1、建立一个模型,该模型可以用来确定一所大学的 IT 安全系统所采取的政策和技术是否适当。通过计算机会成本、采购及维护设备费用以及培训系统管理员等各项费用总和,评估一个 IT 安全系统的优劣,从而得到防御措施(政策和技术两方面)的最佳组合。2、试讨论所给模型的通用性。二、基本假设与符号说明1、基本假设
4、:假设 1:每一项措施都是独立的,相互之间没有影响;假设 2: 、 、 之间是独立的,相互之间没有影响;CIA假设 3: 、 、 自身效果可以积累,但不是简单的线性关系;假设 4:生产效率对其它的影响我们暂时可以忽略;假设 5:由于人员薪金固定,故在评估系统时可以只考虑变动因素(机会成本、措施费用等) ,而不考虑薪金的因素。2、符号说明:-总成本(包括机会成本和总费用,不包括雇佣管理员等固定花费)Y; -某一项风险事件可能产生的最大机会成本;ix-某一项风险事件发生的概率;ip-采用各项措施的总费用;Cost-采用 项措施等价为一个措施后对系统的累计影响 值;kM C-采用 项措施等价为一个措
5、施后对系统的累计影响 值;kI I-采用 项措施等价为一个措施后对系统的累计影响 值;kMA A3, , -分别为第 n 项措施的 、 、 值;nCInACIA-第 项措施的总费用(包括维修费,培训费等) ;lostl-所采取的措施集;kM-某一项措施。m各项措施明细表:(见下页表(一) )M1 Host-based FirewallM2 Network-based FirewallM3 Host-based Anti-VirusM4 Network-based Anti-VirusM5 Network-based Intrusion Detection SystemM6 Network-ba
6、sed SPAM FilterM7 Network-based Vulnerability ScanningM8 Data RedundancyM9 Service RedundancyM10 Strong PasswordsM11 No Password PolicyM12 Formal Security AuditsM13 Disallow WirelessM14 Allow WirelessM15 Restrict Removable MediaM16 Unmonitored Personal UseM17 Restricted Personal Use/ Detailed User T
7、rackingM18 User Training RequiredM19 Sys Admi Training Required表(一)三、模型的建立(反正切模型)在未采取措施时, C、I、A 对机会成本损失的概率有影响,此时 C、I、A应存在一个经验初始值 、 、 ,从而产生初始的机会成本。每个大项措施00中都包含几个小项措施,每个小项措施的采用又都会对系统的 C、I、A 作用,使它们发生改变,进而影响机会成本损失的发生概率 Pi,改变机会成本值。同时,措施也将增加费用,影响用户的效率。把 19 大项看成是固定的,以机会成本、费用和效率为约束条件,求总成本最小值。图:4图(一)根据以上分析,我
8、们初步建立起一个模型:和 1(,)1(09)23(,)4kkkiiiMklliiYfxpCostpgIACoststfxp( )( )( )( ) k12M0C00, 5C=-arctn()2/(6)71rt()/(8),(,19k kIAmIMAII ( )在(9)式中选取适当的 C0、I0、A0,由(5) (8)式分别得 k 项措施确定的 C、I、A 值,再由(2)(4)式分别得 k 项措施引起机会成本概率、措施总费用和总机会成本,由(1)式总成本函数得总成本。其关系可以用下面的框图表示:图(二)四数据的处理数据分析与选取:对于表中的各个 improvement 概率分布,可以假设用一个密
9、度函数 来表示。由于 在 Mean 处取得最大值,并且数据集中于()fx()fxMean 处,则密度函数 的概率分布大致如下图所示:()f,kM0,IC,I,A,Cost ipF(x,p),Y5图(三)因而 大致应该在 Mean 处附近,故而在取用数据时取()()ExfdxMean 中的数据。五、模型的求解在最初的反正切模型中,我们假设所有的措施是由 19 项不变的向量组成的;即表中所列的 19 个大项;因此我们通过“反正切模型”求出其中每一大项的等价项,得出对系统一影响的各项指标;进而通过反正切模型可求 k 项措施同时作用下的等价的措施,基于此:我们就可以通过穷举的方法来得出最优组合的解;算
10、法设计如下:1:申请一个 19 个元素的数组,并把各个元素置零;录入 19 项措施的各个指标,是数组的每个元素与一项措施相对应;2:把数组看成一个二进制数,对其加 1,然后进行二进制加发运算;得到一个组合,然后求组合的对应措施组合的总成本,并将其放到另一个数组里;3:重复第二项措施知道 01 数组的所有元素都为为止;此时放总成本的数组已有了 219 个元素;4:遍历总成本数组,取其最小值;然后计算最小值对应的措施组合,即得到最佳的措施组合;以此为基础,我们假定 C0=0.4、I0=0.4、A0=0.5,以 C+为程序设计语言实现算法并对结果进行输出:表(二)为了使结果更加真实地反映客观现实;我
11、们在多种不同的状态初值下得到了相应的最佳组合: P1 0.036605P2 0.0350023机会成本(元)365957P3 0.0475497P4 0.0424815总成本(元)918942P5 0.0424815P6 0.0642795最优组合 M1,M3, M10,M18,M196表(三)从数据中我们发现在不同的初始状态下,会得到不同的优化组合。因此,我们认为在进行措施优化评定的同时,须预先给在无防御状态下的初值进行客观的定量的评定。有于时间的关系,我们在这里并未给出具体的解决方案,但我们认为,定量的评定应保证所的值是在 0 和 1 区间的数。六、模型的分析首先,通过对模型的求解,我们发
12、现所得结果是比较可行的;因为:一,通过措施的优化组合,使总成本有了很大的降低;二,在一定的初值下,优化的结果可以让人接受。比如,M1,M3,M10,M18,M19的措施组合也是切实可行的。其次,我们预先设的初值对优化结果不仅对无防御下的机会成本,采取后的机会成本、总成本有影响 ,而且对措施的组合也有影响。对总成本的影响主要表现在,总成本 是 、 、 的函数,应存在一个关系 ,Y0CI0A(0,)YCIA况且 随着 、 、 的提高而降低。其实际意义是很显然的。而对组合的影Y0I响也是有一定规律的,但是并不是特敏感的。比如,初始值微小( )的.1差别基本不会带来组合措施的变化。第三,问题的出现。我
13、们对所得表(二)进行分析,发现这个最优组合和现实中我们所认可的有些出入,比如,我们所得到的最小总成本小的有些不可思议;这说明我们的模型还存在一些问题,有待于进一步的改进。我们认为一起这样结果的原因是:1:反正切公式只是通过定性分析得出的,并不准确;2:把一大项看成一个固定向量的也并不一定可行;由以上分析,我们对公式进行了进一步的优化。1:依据假设中措施间相互的独立性,并根据系统可靠性理论,提出了基于系统并联的优化模型。2:通过合适的方法,手工剔除了一些明显不符合要求的小项(从83项中选出62项);避免了把大项看成固定向量的简单性和不客观性,去求剩余小项的最优组合。 对于小项,我们进一步引如了系
14、统并联的模型。七、模型的优化初始值C0 I0 A0无防御成本机会成本总成本 最佳组合0.2 0.3 0.2 6785500 229459 1090430 M1,M3,M40.3 0.3 0.3 6251000 173051 1034020 M1,M3,M40.4 0.4 0.4 5358000 384952 937937 M1,M3,M10,M18,M190.5 0.5 0.5 4465000 308251 861236 M1,M3,M10,M18,M190.3 0.4 0.4 5788000 358970 980955 M1,M3,M10,M12,M18,M190.4 0.3 0.3 528
15、1000 389542 1011530 M1,M3,M10,M18,M190.4 0.5 0.3 5104000 385854 938839 M1,M3,M10,M18,M190.4 0.5 0.6 4790500 322828 875813 M1,M3,M10,M18,M197方案一:基于系统并联的优化模型一、 模型的重建:为了防止反正切模型的问题的发生,我们引进了系统并联的模型,如下图所示;在一个系统中个元件对系统的影响可分为串联和并联两种。而在我们的系统中,每一项措施对系统的影响不能被看做是串联的,因为他们并不是相互依赖的;那么,我们不防把起看成并联的。图(四)依据系统并联原理,我们得到
16、优化模型为: 61010111200,()(19)()()(,), 1)kkkkkkiiMnnkMknnkMlliikkYfxpCostgIACIIAAUUCosttfxpmIAI二:模型的求解:同样我们还是在措施为 19 项的前提下;但与之不同的是这次我们把每一大项中的措施也按照并联的方法来等价成一个措施;基于此,同样可通过穷举的方法的得出最优解:8我们在初始值 C0=0.4,I0=0.4,A0=0.5 的情况下:P1 0.154787P2 0.153682机会成本 1361230P3 0.148563P4 0.15884总成本 2589220P5 0.15884P6 0.141738最优组
17、合 M1,M3,M4,M10,M12,M17,M18,M19表(四)方案二:基于试探法的逐步回代模型一、模型的建立从前两个模型中我们会发现这样一个问题。那就是我们把一项大的措施看成了一个不变的向量,这虽然在简化模型求解中行之有效。但它确不能代表客观的现实,显然,我们可能会采用 host-based firewall 中的几项而不去选择所有。因此,我们需要一个更加完善的模型;它可以对所有的小项进行分析,进而求出最有效,最符合事实的措施组合。我们首先可以先那来一项措施,如 ,那么我们就可以对把此(,)TiMCostcia项加到系统中的结果去分析,这显然是很简单的,我们也回很快的算出采取此项措施之后
18、的总成本 A1;那它去和无防御下的系统的总成本(亦即总机会成本,因为 cost 为 0)A0 去比较,如果 A1A0,那么,毫无疑问,这想措施是永远不会被采用的。因此,我们就可以把它从 83 项小的措施中将其剔除。由此,我们可以剔除原来措施中的 21 项,我们将剔除剩余的措施那来。在初始值 C0=0.4,I0=0.4, A0=0.5 的状态下,计算剩下每一项单独作用于系统时的总成本 ,计算出每一项对系统的贡献为 ,然后把他iMA0i iMA们按降幂排列。那么,排在最前面的肯定回被采用,因为它对系统优化成本的贡献最大。在基于并联的模型下,我们按从大到小的顺序逐步把剩余的贡献最大的措施加到当前系统
19、中。根据并联模型,可以以同样的方法求出 k 项措施加入系统后的总成本 。kY则在开始情况下,应有 ;而当 k 的数值达到一定程度后,肯定回1kY出现 的情况;此时,先前加入的 k 项措施即是最佳的组合。1k由此,模型可进一步有化为:若 为系统优化的最佳组合,则有;12,kkMm9111(,23.,;)i ikkiiMYkAY二、 模型的求解算法模型求解算法如下:1:求出剩余 63 项的每一个 ,放入一个 63 项的一维数组0i iMAarray_m63l 里;2:对数组进行排序,另设一个相同大小的数组存放排序后新数组每一项和原来的对应关系;3:逐步加入剩余数组元素的第一项,按并联原理求出 ;k
20、Y4:判断是否满足条件 ,如果满足,则停机;否则,继续进行第三1kY步,知道求解满足为止,因为不可能是在所用的措施都加上后是最优化的。由于时间的有限,我们在这里并未给出真正的求解,但我们坚信这是肯定能够求出最优解的。八、模型的通用性的讨论我们通过对模型的一步步优化,最后得出了一个基于试探法的逐步回代模型。因为其数据处理的方便,模型的简洁,数据计算的量小等优点,所以具有较大通用性。我们可以和前两个模型进行比较;首先,模型一,二的求解是用穷举法来解的,所以一旦措施加大的话,计算量是成指数性增长的,其时间复杂度为,如果 k 在六十以上的话,那么在我们有生之年,是看不到不同计算机(2)kO求出最优解的
21、;而模型三的时间复杂度应为 ,其优越性可见一斑。()Ok通过对安全措施费用占总投入的比重计算,发现其基本在 10%-20%之间,这比较符合目前国际上企业安全投入比例,因此该模型具有一定的通用性。但是,三个模型的建立都没有太过考虑到各项措施的内部联系,这也是模型的不足之处。另一个不足之处就是我们并未考虑 user productivity 对系统的影响;因为一般情况下措施对 user productivity 的影响可以忽略,只有在政策措施下影响较显著,但 user productivity 又不对 c,I,a 产生影响。我们并未考虑这个问题。当然,由于时间和知识的限度,这个模型一定还有很多纰漏与不足,需继续许完善。10参考文献:1:姜启源,谢金星,叶俊 数学模型(第三版) 北京:高等教育出版社,2003;2;盛骤,谢式千,潘承毅 概率论与数理统计北京:高等教育出版社,2003;3:钱刚,达庆利 基于系统安全工程能力成熟模型的信息系统风险评估 ,管理工程学报 ,2001 年第 4 期;
