一种基于模型的信息安全风险评估方法李嵩孟亚平孙铁刘海峰[摘要]基于模型的评估方法对信息安全风险评估具有重要的意义。该文提出一种基于统一建模语言、攻击树分析事件树分析模型的信息安全风险评估方法，运用面向对象的、半形式化的方法分析和描述安全风险相关要素，基于ATA模型深入分析评估关键信息资产的安全风险，基于ETA分析安全事件对业务的影响，提高风险评估的精确性和客观性。基于模型的方法还有利于风险评估相关要素模式的抽象和复用，以及评估工具的开发和应用，提高风险评估的生产率。[关键词]信息安全风险评估基于模型统一建模语言攻击树分析事件树分析AModelDrivenInformationSecurityRiskAssessmentApproachLiSongMemgYapingSunTieLiuHaifengBeijingInformationSecurityTestandEvaluationCenter[Abstract]Model-drivenassessmentapproachhassignificantmeaningforinformationsecurityassessment.ThispaperpresentsaninformationsecurityassessmentapproachbasedonUML,ATAandETAmodel,whichusingobject-orientedandsemi-formallymethodtoanalysisanddescribetheelementsrelatedtorisk,thoroughlyassessingtheriskofcriticalassetsbasedonATAmodel,analysingthesecurityincidentimpactsonbusinessbasedonETA,andimprovingaccuracyandobjectivityofriskassessment.Model-drivenapproachalsohelptoabstractandreusepatternsoftheelementsrelatedtorisk,developanduseassessmenttools,andincreasetheproductivityofriskassessment.[keyword]InformationSecurityRiskAssessment,Model-driven,UML，ATA，ETA1引言为了评估信息系统的安全风险，多种风险评估方法被开发出来并在实践中应用，但由于信息安全具有的高度复杂性和不确定性，这些方法还存在很多难以解决问题。具有共性的问题表现在：1）缺乏形式化的分析和描述方法，无法精确分析和描述风险相关要素，给评估结果带来很大的偏差；2）缺乏对关键信息资产安全风险相关要素的深入分析，评估结果主观性强，有实际价值的内容往往只是系统的脆弱性检测结果；3）缺乏对风险相关要素的抽象、归纳和复用的方法，使风险评估陷入低水平低效率的循环；4）缺乏工具支持，低层次手工作业量较大，风险评估的生产率较低。采用统一建模语言（UnifiedModellingLanguage,UML）分析和描述被评估信息系统及其安全风险相关要素，可以运用面向对象的分析方法，采用图形方式的半形式化建模技术，提高信息系统及其相关安全要素描述的精确性，提高以此为基础的评估结果的质量。UML在系统分析与设计中具有广泛深入的应用，UML在风险评估中的应用，有利于风险评估过程与系统开发过程的相互支持[1]。故障树分析（FaultTreeAnalysis,FTA）[2]是一种成熟的可靠性和安全性分析技术，攻击树分析（AttackTreeAnalysis,ATA）[3]是其在安全领域的应用。采用ATA技术，分析建立关键信息资产的ATA模型，可以有针对性地分析识别关键信息资产相关的安全事件和安全威胁，并对关键信息资产进行概率风险评估（ProbabilisticRiskAssessment,PRA）[4]，提高风险评估的客观性。ETA（EventTreeAnalysis，ETA）[4]是一种逻辑演绎法，它在给定的一个初因事件的前提下，分析此初因事件可能导致的各种事件序列的结果。基于ETA方法分析安全事件对系统业务的影响，可以提