信息系统安全风险的概念模型和评估模型 叶志勇 摘要：本文阐述了信息系统安全风险的概念模型和评估模型，旨在为风险评估工作提供理论 指导，使风险评估的过程和结果具有逻辑性和系统性，从而提高风险评估的质量和效果。风 险的概念模型指出，风险由起源、方式、途径、受体和后果五个方面构成，分别是威胁源、 威胁行为、脆弱性、资产和影响。风险的评估模型要求，首先评估构成风险的五个方面，即 威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度，然后综合 这五方面的评估结果，最后得出风险的级别。 关键词：安全风险、安全事件、风险评估、威胁、脆弱性、资产、信息、信息系统。 一个机构要利用其拥有的资产来完成其使命。因此，资产的安全是关系到该机构能否完 成其使命的大事。在信息时代，信息成为第一战略资源，更是起着至关重要的作用。信息资 产包括信息自身和信息系统。本文提到的资产可以泛指各种形态的资产，但主要针对信息资 产及其相关资产。 资产与风险是天生的一对矛盾，资产价值越高，面临的风险就越大。风险管理就是要缓 解这一对矛盾，将风险降低的可接受的程度，达到保护资产的目的，最终保障机构能够顺利 完成其使命。风险管理包括三个过程：风险评估、风险减缓和评价与评估。风险评估是风险 管理的第一步。本文对风险的概念模型和评估模型进行了研究，旨在为风险评估工作提供理 论指导，使风险评估的过程和结果具有逻辑性和系统性，从而提高风险评估的质量和效果。 一、风险的概念模型 安全风险（以下简称风险）是一种潜在的、负面的东西，处于未发生的状态。与之相对 应，安全事件（以下简称事件）是一种显在的、负面的东西，处于已发生的状态。风险是事 件产生的前提，事件是在一定条件下由风险演变而来的。图1给出了风险与事件之间的关系。 演变 风险事件 潜在显在 （未发生状态）（已发生状态） 图1风险与事件之间的关系 风险的构成包括五个方面：起源、方式、途径、受体和后果。它们的相互关系可表述为： 风险的一个或多个起源，采用一种或多种方式，通过一种或多种途径，侵害一个或多个受体， 造成不良后果。它们各自的内涵解释如下： 风险的起源是威胁的发起方，叫做威胁源。 风险的方式是威胁源实施威胁所采取的手段，叫做威胁行为。 风险的途径是威胁源实施威胁所利用的薄弱环节，叫做脆弱性或漏洞。 风险的受体是威胁的承受方，即资产。 风险的后果是威胁源实施威胁所造成的损失，叫做影响。 图2描绘了风险的概念模型，可表述为：威胁源利用脆弱性，对资产实施威胁行为，造 成影响。其中的虚线表示威胁行为和影响是潜在的，虽处于未发生状态，但具有发生的可能 性。 威胁行为 威胁源影响资产 脆弱性 或漏洞 载体 环境 图2风险的概念模型 如上所述，当风险由未发生状态变成已发生状态时，风险就演变成了事件。因此，事件 与风险具有完全相同的构成和几乎相同的概念模型。图3给出了事件的概念模型。比较图2 和图3可以看出，风险概念模型中的虚线在事件概念模型中变成了实线，表示威胁行为和影 响已经发生了。 威胁行为 威胁源影响资产 脆弱性 或漏洞 载体 环境 图3事件的概念模型 二、风险的评估模型 风险评估的目的就是要识别风险，以便采取相应措施来阻止其演变成为事件。 风险评估模型为测定风险大小提供方法和基准。通过评估风险，可以确定各种风险的级 别，进行排序和比较，有利于按照等级保护的策略，实施突出重点的适度安全控制。 评估风险首先要从构成风险的五个方面做起，然后综合各方面的评估结果，最后得出风 险的级别。 1．风险起源——威胁源 威胁源的动机是评估对象。威胁源按其性质一般分为三种：自然威胁、环境威胁和人为 威胁。自然威胁和环境威胁属于偶然触发，不存在动机因素。人为威胁根据意识有无分为无 意的和有意的。无意的人为威胁属于疏忽大意，基本没有动机；有意的人为威胁属于故意行 为，是有动机的。按照威胁源动机的强弱程度可分为高、中、低三级，如表1所示。 表1威胁源动机的级别划分 威胁源动机级别威胁源动机描述 受利益和复仇等强烈驱使，不管遇到任何威慑和阻力都有强烈和持 高 续的攻击欲望。如恐怖分子、罪犯、间谍、极端黑客等。 受利益和报复等驱使，具有较强的攻击欲望。如一般黑客、失意员 中 工等。 低受好奇和自负等驱使，遇到合适的机会便产生攻击欲望。 2．风险方式——威胁行为 威胁行为的能力是评估对象。不同的威胁源有各自的威胁行为，表2对此进行了概括。 表2威胁源与威胁行为 威胁源威胁行为 自然威 地震、洪水、飓风、雷击、火灾、雪崩、泥石流等。 胁 环境威电力故障、污染、高温、潮湿、化学、液体泄漏、电磁干 胁扰等。 无意设计失误、编程失误、配置失误、操作失误等。 被动攻 窥探、窃听、通信流分析等。 人为威胁击 有意