| 标题 | 故障树在校园网信息系统风险评估中的应用 |
| 范文 | 王艳玮 陈恒 [摘要]应用故障树分析法对形成校园网信息系统的三大风险:物理环境安全风险、校内安全风险和网络安全风险建立故障树模型,深入挖掘形成风险的源头,为评估人员提出针对性的风险控制方案奠定良好的基础。同时,量化三大风险的等级大小,并取其中最大值作为校园网信息系统的总体风险级别,有效地完成了校园网信息系统风险评估的过程。 〔关键词〕校园网信息系统;风险评估;故障树模型 DOI:10.3969/j.issn.1008-0821.2011.03.022 〔中图分类号〕G202 〔文献标识码〕B 〔文章编号〕1008-0821(2011)03-0089-04 Using the Model of Failure Tree in the Risk Assessment of the Campus Network Information SystemWang Yanwei Chen Heng (Interanational Business School,Shaanxi Normal University,Xi餫n 710062,China) 〔Abstract〕Use the model of failure tree to analysis the reason of the three major risk of the campus network information system and establish the model to the environment security risks,campus security risks and network security risks,and set a good foundation to assess persons for proposing risk control scheme to deal with the risk in digging deep into the source of it.At the same time,effectively completed the risk assessment process of the campus network information system in quantifying the size of the three major risk and take one of the great value as the risk level of the campus network. 〔Keywords〕campus network information system;the risk assessment;the model of failure tree 随着信息技术的迅速发展及计算机网络化的形成,国内很多高校都建立了自己的校园网络,并将校园网连接到国际互联网中,使高校的教学环境发生了较大的改善。校园网的建成标志着我国信息化基础建设的又一次重大飞跃。但是,校园网开始运行后其面临的信息安全问题却日渐凸现。病毒、恶意代码、服务攻击、黑客入侵等安全事件给校园网日常服务功能的稳定及正常发挥造成了巨大威胁。据统计,在2007-2008年内,某高校共发生网络中断20余次,网页上出现非法、反动言论10余次;因网络原因导致校园网内电子邮件不能使用近70小时;校务系统因停电、设备等问题不能使用5次;主机房由于电力、通风等原因导致无法提供网络服务3~5次;其中计算机病毒影响最为严重,影响时间也较长[1-2]。面对校园网信息系统日趋复杂多样的安全问题,采取有效地预防措施与控制措施才是制胜之道,而实施预防与控制措施的前提是对校园网信息系统风险形成的原因的准确识别。因此,本文应用故障树分析法对校园网信息系统的总体风险建立故障树模型,深入挖掘校园网风险形成的源头,并采用数理方法量化风险大小,为后续风险预防与控制的过程提供一个科学的依据。 1 校园网面临的信息安全风险及评估 校园网信息系统是由复杂的网络设备、通讯介质和通信协议采用科学的组网技术将校园内的的计算机设备及各种终端设备有机的组合起来实现互联、共享及多样化的服务。由于校园网作用的广泛性,使其用户群庞大而密集。并且校园网的环境非常开放,所以在不同的环境下存在多种复杂的风险。总体上,校园网信息系统面临的总体风险主要分为三类分别为物理环境安全风险、校园内部安全风险和网络安全风险,且形成这三类风险的原因是多种多样的。对风险形成的原因的准确识别是风险评估的基础,也是采取相应控制措施的关键点。因此我们应用故障树方法对形成校园网总体风险的源头进行深度挖掘,并根据各个风险源之间的逻辑关系建立一个校园网信息系统风险故障树模型。通过故障树我们可以比较清晰的了解形成风险的原因,依此即可明确不同部门或个人在校园网日常防护中的责任与义务。 校园网信息系统的风险评估是在风险识别的基础上,通过确定物理环境安全、校园内部安全和网络安全的风险等级大小,取其中风险等级量化值最高者为校园网信息系统的风险级别。在风险预防与控制阶段可以根据风险大小的不同投入不同的资金﹑技术以及人力支持达到控制或降低风险的目的,且能够有效地降低风险控制的成本和实现资源优化配置的作用。 2 故障树分析法在校园网风险评估中的应用 2.1 故障树分析法介绍 故障树最初是20世纪60年代为便于Minuteman火箭系统的分析而提出的,目前它主要用于分析大型复杂系统的可靠性以安全性,被公认为是对复杂系统可靠性、安全性进行分析的一种有效地方法。 2.2 故障树分析方法的基本原理 故障树分析是一种top-down方法[3],通过对可能造成系统故障的硬件、软件、环境、人为因素进行分析,画出故障原因的各种可能组合方式或其发生的概率,由总体至部分, 按树状结构,逐层细化的一种分析方法。 2.3 故障树分析法步骤 2.3.1 建立故障树 建造故障树就是将校园网信息系统中不希望发生的三类重大风险结果作为“顶事件”;“顶事件”的发生是由若干“中间事件”(形成风险的总体原因)的逻辑组合所导致,“中间事件”又是各个“底事件”(形成风险的具体原因或源头)的逻辑组合所导致。这样就形成一个表征不希望发生的风险结果在上,形成风险原因在下的一个倒立的树状逻辑因果结构。 2.3.2 求故障树的最小割集 割集的定义:是指故障树中一些底事件的集合,当这些底事件发生时顶事件必然发生。最小割集的定义:若在某个割集中将所含的底事件任意去掉一个,余下的底事件构不成割集即不能使顶事件必然发生,则这样的割集就称为“最小割集”。 3.3 定量分析 定量分析是指在掌握了信息安全风险形成的具体原因即最小割集发生的概率后,从下至上按照相互之间的逻辑关系推出信息安全风险(顶事件)发生的概率,我们用pf来表示其发生的概率。 设底事件xi对应的失效概率为qi(i=1,2,3……n),n为底事件的个数,则最小割集失效的概率为:В校ǎ停茫樱=P(x1∩x2K∩xm)=∏mi=1qiВ琺为最小割集阶数。那么顶事件发生的概率为:Pf(top)=P(Y1∪Y2K∪Yk),Yi代表最小割集;k代表最小割集的个数。 计算Pf(top)的情况有3种: (1)当Y1Y2Λ,Yk为独立事件时,В歇f(top)=1-∏ki=1(1-pi)Вpi是最小割集Yi的失效概率。 (2)当Y1Y2Λ,Yk为互斥事件时,В歇f(top)=∑ki=1P(Yi) (3)当Y1Y2Λ,Yk为相容事件时,则有: В歇f(top)=∑ki=1P(Yi)-∑1疲楠疲戟疲耄校ǎ侏iYj)+ΛΛ+(-1)k-1 P∏ki=1Yi 2.3.4 排列各风险事件(顶事件)的大小顺序 我们用Cf表示风险事件一旦发生造成的后果对校园网技术性能发挥的影响。对Cf的定义可以用0~1之间的数值来定量,如表1所示:表1 Cf取值定量表 数 值对技术性能正常发挥的影响Cf=0.1低Cf=0.3一般Cf=0.5中等Cf=0.7严重Cf=0.9非常严重 对风险大小的量化可以用公式r=pf+cf-pfcf来计算。为了准确描述风险等级,可以根据r的取值范围来划分风险的大小。如表2所示:表2 风险等级大小量化取值范围 r数值风险等级采取的策略0.1≤r<0.3低风险接受风险0.3≤r<0.5普通风险注意防范0.5≤r<0.7中等风险加强防范与控制0.7≤r<0.9严重风险告知相关部门进行重点针对 性控制 0.9≤r<1非常严重风险立刻采取控制措施降低风险 或更改系统 3 构造实例校园网信息系统风险故障树 3.1 物理环境安全风险故障树建立 物理环境安全是指由于物理设备的放置不合适或者防范不得力,使得服务器、交换机、路由器等网络设备,光缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受意外事故或人为破坏,造成校园网不能正常运行[4],另外地震、潮湿、高温、洪水等也是构成物理环境安全的一方面。在具体构造故障树模型时,可以根据本地实际情况将一些发生概率非常小的如地震、洪水等原因剔除,能够使评估人员集中精力挖掘潜在与校园网信息系统风险具有紧密相关的因素,这样可以有效地降低风险评估的时间成本。故障树模型中我们将物理环境安全风险作为顶事件即不希望发生的结果。 校园网信息系统中构成物理环境安全风险的成因主要由3个方面引起:(1)电源故障导致软硬件设备在校园网中不能运行;(2)软硬件设备被盗或被毁导致校园网服务不能开展;(3)软硬件设备被非法访问造成重要信息泄露。在故障树中,可以将这3个主要构成风险的原因作为中间事件,进一步还要根据中间事件深挖造成风险发生的更深层原因即最小割集中的底事件。通过对校园网实际状况调查我们得到的结果如下: 3.1.1 导致电源故障的具体原因有: A.电源设备损坏。电源设备损坏的成因又分为3个:a.电源设备自身自然损耗;b.人员破坏。人员破坏分为:(1)内部人员蓄意不满破坏或盗窃;(2)内部人员操作不当、缺乏责任感,不关心等。c.没有派专业维修人员进行定期检查;B.未安装UPS电源。 3.1.2 导致软硬件设备被盗或被毁的具体原因有: C.设备管理不善。管理不善具体原因是:d.未设置人员看管设备;e. 没有将设备放置在安全地点;D.门窗不牢固;E.设备管理人员缺乏责任心。 3.1.3 导致软硬件设备被非法访问的原因有: F.未设置登陆密码;G.登陆密码强度不够,导致密码被分析后破解;H.未设置使用权限;K.非法人员通过社会工程获取密码进行访问。 通过以上对造成物理环境安全风险的3个主要成因的深度分析我们建立一个校园网信息系统的物理环境风险故障树模型如图1所示。 3.2 校园内部安全风险故障树建立 校园内部安全风险是指校内用户或管理人员由于故意或疏忽而做出某些危害校园网信息系统功能正常发挥或者有损学校声誉的一些行为。目前,校园网内部安全风险的成因主要由3个方面构成:(1)人为操作失误导致系统崩溃;(2)内部人员恶意破坏主机设备或盗取重要网络数据;(3)校内用户借助校园网发布一些不良信息。我们可以将校园网内部安全风险作为故障树的顶事件,将构成风险的3种主要成因作为中间事件,为了深层了解导致这3种风险的具体原因还需要继续挖掘寻找风险的源头。通过分析我们识别出导致风险发生的具体原因如下: 3.2.1 造成人为操作失误的具体原因有: A.缺乏专业技术知识;B.人员的安全意识不强;C.采取的技术措施不当。 3.2.2 造成内部人员恶意破坏主机设备或盗取重要网络数据的具体原因有: D.内部对主机设备的使用权限设置不到位;E.内部缺乏主机设备管理规定;F.对网络重要数据未设置访问权限或权限不明;G.内部缺乏对人员破坏行为的有效约束机制。 3.2.3 造成校内用户借助校园网发布一些不良信息的具体原因有: H.校园网用户缺乏信息安全教育;I.学校未设置必要行政或经济处罚手段进行约束;G.未设置安全审计系统。 图1 物理环境风险故障树模型 通过上述对造成校园网内部安全风险主要成因的深度分析,按照我们分析的结果可以构造一个校园网内部安全风险的故障树模型如图2所示: 图2 校园网内部安全风险故障树模型 3.3 网络安全风险故障树的建立 校园网的主要用户群是在校的大学生,由于学校将校园网连接到Internet后,校内用户通过校园网也可以连接互联网进行下载、浏览、游戏等活动,在这个过程中一些计算机病毒、木马等恶意程序会随着校内用户的疏忽而下载到个人电脑或校园网计算机设备中,如果校园网预警系统未及时防范,那么计算机病毒等恶意程序就会肆意蔓延到整个校园网络中导致校园网信息系统故障。另外,当校内用户登入互联网时,一些恶意黑客会利用专业工具进行网络扫描,如果发现用户所使用的计算机设备具有系统漏洞,就会利用漏洞侵入整个校园网,造成学校或学生的重要数据信息丢失或损毁。 在实际调查中我们发现构成网络安全风险的原因主要有3种:(1)计算机病毒导致校园网信息系统崩溃或数据丢失损毁;(2)外网用户通过公网进入校园网进行非法活动;(3)未经授权人进入校园网信息系统进行非法操作。我们将这3种构成风险的成因作为故障树的中间事件。依据中间事件我们挖掘出形成风险结果的具体条件如下: 3.3.1 计算机病毒导致校园网信息系统崩溃或数据丢失损毁的具体原因有: A.未在校园网与互联网之间放置防病毒网关;B新病毒出现时未及时更新防病毒网关;C.未对与主流平台相适应的杀毒软件进行升级或从新配置;D.未启用灾难恢复计划。 3.3.2 造成外网用户能够通过公网进入校园网进行非法的活动的具体原因有: E.未启用防火墙技术;F.未设置入侵检测系统;G.网络软件缺陷。网络软件缺陷又分为:a.网络协议缺陷b软件实现缺陷;c.木马或恶意代码。H.系统管理员或用户安全意识差引起。由系统管理员或用户引起的原因主要由以下原因构成:d.软件升级不及时造成系统漏洞;e.用户将账号转接或与他人共享;f.管理员设置不恰当。 3.3.2 造成未经授权人进入校园网信息系统进行非法操作的原因有: I.用户身份认证系统设置不当。引起用户身份认证系统设置不当的原因有:g.未按照个人角色分配权限;h.未定期对用户权限进行检查。G.访问控制系统故障;K.未启用代理服务器。 通过对造成网络安全风险的三大主要原因的深入分析我们构造一个网络安全风险故障树模型如图3所示。 图3 网络安全风险故障树模型 4 校园网信息系统风险等级评定 在实践中对校园网信息系统风险等级量化的过程需要收集故障树中各底事件发生的概率,假设我们通过实际调查收集并获得了某大学校园网物理环境安全、校内安全及网络安全风险的故障树模型中各底事件发生的概率,通过各底事件发生的概率最终计算出这三类风险发生的可能性。 在物理环境安全风险等级计算过程中,我们假设顶事件发生的概率为pf1,通过底事件中最小割集发生的概率我们推出中间事件:电源故障、软硬件设备被盗或被毁、软硬件设备被非法访问的失效概率分别为Y1Y2Y3,经过分析得知Y1Y2Y3分别为独立事件,且Y1Y2Y3在我们设定的周期内比如说1年内发生的概率为:0.1、0.2、0.3,因此物理环境安全风险发生的概率为:pf1(Top)=P(Y1∪Y2∪Y3),经过计算此风险发生的概率为0.006。假定物理环境安全风险的Cf为0.3,通过风险大小计算公式r=pf+cf-pfcf推出校园网信息系统物理环境安全风险等级大小的量化值为0.2998,将量化数值与风险等级取值表进行对比,我们得知0.2998<0.3为低风险,因此应该采用的风险策略为接受风险。 应用相同的方法假设我们计算出校内安全风险故障树中各中间事件发生的概率分别为:0.2、0.2、0.3,依此计算出顶事件发生的概率为0.012。假定校内安全风险的Cf为0.5,通过风险计算公式r=pf+cf-pfcf得到校内安全风险大小的量化值为0.4952,因为0.3<0.4952<0.5为普通风险,所以应该采取注意防范的风险控制策略。 最后我们通过计算获得网络安全风险故障树模型的中间事件发生的概率分别为:0.3、0.3、0.2,且Cf为0.7。通过风险量化公式计算得到网络安全风险的等级大小是0.6892,为中等风险。应该采用加强防范与控制的策略应对风险。 综合上述我们得到的校园网信息系统三大主要风险的级别大小,我们取其中风险等级量化值最高的0.6892为校园网信息系统的总体风险级别,这样我们就完成了校园网信息系统的风险评估,并且得到了风险评估的结果为中等风险。为我们后续具体所采用的风险控制方法及使用的工具奠定了基础性条件。 5 结束语 故障树分析法是目前在系统安全可靠性分析中最重要的方法,其应用的范围非常的广泛。我们将故障树模型应用到校园网信息系统风险评估中,成功的分析了形成校园网信息系统风险的原因并对校园网信息系统的风险等级进行了评定,在实践中能够使评估人员比较清晰的按照形成风险的具体原因提出针对性的风险控制方案,有效地保护了校园网信息系统的稳定及安全。 参考文献 [1]王艳玮,汪洋.ISO/IEC 17799在校园网信息安全管理中的应用[J].科学与管理,2009,(1):51-54. [2]某高校校园网信息安全问题报告[R].2008. [3]张鉴,范红.信息安全风险分析中的故障树方法研究[C].理论探讨 第21次全国计算机安全学术交流会,33-35. [4]李小志.高校校园网络安全分析及解决方案[J].现代教育技术,2008,18(3):91-93. |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。