2006年10月四川大学学报(自然科学版)ctO.2006 第43卷第5期JournalofsichuanUniversity(NaturalscienceEdition)V61.‘No.5 文章编号:0490一6756【2006)05一1048一05 信息系统风险量化评估指标体系 胡勇‘，漆刚“，陈麟‘，杨炜” (1.四川大学信息安全研究所，成都610064;2.四川省公安厅信息通信处，成都610041; 3.四川省信息安全测评中心，成都610041) .摘要:信息系统风险评估包括识别风险和量化风险.量化风险时，需要明确量化的因素和量化 的方法.通过分析风险与安全事件的关系，提出风险的影响因素指标体系框架，举例描述了风 险大小的各种影响因素. 关键词:信息系统风险评佑;影响因素;评佑指标体系;层次分析法;多级模糊综合评判 中图分类号:TP393文献标识码:A 1引言 风险是潜在安全事件发生的可能性和发生后造成的损失与影响.在生产生活的各个领域中都存在风 险.对风险的重视程度取决于风险的大小，因此需要量化风险.金融投资、自然灾害侧算、工程项目管理 的风险量化评估研究比较多.常见的是提出风险评估指标体系，采用层次分析法(AHP)或多级模糊综合 评判法等对风险的影响因素逐层进行量化评估.对信息系统安全风险的量化评估，也可以借鉴这些方法. 首先要研究信息安全风险的各种影响因素，建立信息安全风险评估指标体系.这是信息系统风险量化评 估的基础.但风险的影响因素众多，如果不统一，评估结果会有很大差异，评估结论也不具有可比性.从 国内外文献看，还没有构建信息系统风险评估指标体系的方法，也没有发现一个比较完整和系统的信息安 全风险评估指标体系.文【1]从实体与环境安全、组织管理与安全制度、安全技术措施、网络通信安全和软 件与信息安全等方面建立了网络与信息系统安全性评估指标体系，但实际上是安全评估指标体系，不是风 险评估指标体系.文〔2，3〕对风险的影响因素有简略的阐述，但讨论不完整，更不深人，两篇文章对风险影 响因素的理解也不同，在选择和处理风险影响因素的方法上有很大差异，导致不同的评估结果.一个逻辑 清楚、内容全面的风险评估指标体系将使风险评估具有全面性、一致性和客观性. 2信息系统风险评估指标体系 在分析信息系统风险时，往往将脆弱性、威胁或潜在的攻击都视作风险.这种理解将风险的外因、内 因混在一起，逻辑不是很清晰，不利于认识风险的本质.另一方面，脆弱性、威胁诚然是风险的主要影响因 素，但脆弱性和威胁都包含了很多内容.脆弱性有脆弱性曝露程度，利用脆弱性的难易程度等.而威胁暗 示了潜在安全事件及其涉及的主体、客体和行为.这些因素又包含了许多影响因素.如就主体而言，就包 括其意图、能力和资源等.因此，对主体直接进行评估存在困难，对威胁直接进行评估就更加笼统和困难 了.直接评估虽然表面上简化了评估的繁杂度，实际_匕掩盖了更深人和细致的影响因素评估，容易使评估 产生很大的主观性.为了对风险的影响因素进行清晰的刻画，需要提出有层次的、更细的、更具体的风险 影响因素集—风险评估指标体系. 2.1风险与安全事件 风险是潜在的安全事件发生的可能性和后果[’，5].潜在，说明了安全事件有发生的可能性，后果，说明 收稿日期2006一06一15 基金项目国家863高技术研究发展计划项目(863一104一01一03，2001AA142171) 第5期胡勇等:信息系统风险量化评佑指标体系1049 了安全事件发生后会对信息系统造成损失和不利影响.因此，风险是与安全事件紧密相关的.从风险的 定义来看，量化风险，实际上就是量化安全事件发生的可能性和后果.这为建立风险评估指标体系提供了 思路，通过分析安全事件及其构成要素可以建立信息系统风险评估指标体系. 2.2安全事件的影响因素 安全事件构成要素应有主体、条件(途径)、客体、行为等.这里的条件(途径)是信息系统的脆弱性. 由于互联网网络的时间连续性和空间分布的广泛性，一般不考虑安全事件的时间和地点要素(特殊的信息 系统可以加上)，而只考虑主体、脆弱性、客体和行为.很明显，潜在安全事件的主体、脆弱性、客体、行为都 是集合.用5表示主体的集合，V表示脆弱性的集合，0表示客体的集合，A表示主体对客体的行为集 合.这些集合包含很多元素:5二}信息战军人，间谍，黑客，内部恶意操作人员，内部误操作人员，外部攻 击者，自然灾害，⋯}，v=}硬件缺陷，系统软件漏洞，应用软件漏洞，协议漏洞，管理漏洞，⋯}，0={硬件 设施，操作系统，应用软件，业务数据，业务文档，⋯{，A=}扫描系统，读取信息，删改数据，影响系统正常 运行，破坏系统软件设施，摧毁系统硬件设施，⋯}. 安全事件要素的某些属性影响安全事件发生的可能性和后果，而且安