論文——信息技術(shù)安全系統(tǒng)的風(fēng)險(xiǎn)評(píng)估問(wèn)題

1、<p>　　信息技術(shù)安全系統(tǒng)的風(fēng)險(xiǎn)評(píng)估問(wèn)題</p><p><b>　　摘要</b></p><p>　　本文把信息技術(shù)安全系統(tǒng)的風(fēng)險(xiǎn)評(píng)估問(wèn)題歸為一類(lèi)優(yōu)化問(wèn)題。是學(xué)校在以用戶(hù)效率、機(jī)會(huì)成本為約束條件下，尋找能使總成本最小的措施的優(yōu)化組合模型。</p><p>　　通過(guò)對(duì)數(shù)據(jù)的分析和題中所給條件，我們認(rèn)為、、影響機(jī)會(huì)成本，并存在一個(gè)經(jīng)驗(yàn)

2、初始值（均在0到1之間），每項(xiàng)措施會(huì)對(duì)、、產(chǎn)生影響，進(jìn)而會(huì)對(duì)機(jī)會(huì)成本（和它發(fā)生的概率）、總成本產(chǎn)生影響，。在以用戶(hù)效率、機(jī)會(huì)成本為約束條件下，求總成本的最小值。因此我們建立這樣的模型：</p><p><b>　　和 </b></p><p>　　通過(guò)對(duì)結(jié)果的分析，根據(jù)事件的獨(dú)立性，我們把公式（6）、（7）、（8）換成概率并聯(lián)公式并對(duì)用戶(hù)效率加一考慮，得到一個(gè)優(yōu)化模型

3、。</p><p>　　再進(jìn)一步分析，我們把各個(gè)小項(xiàng)獨(dú)立開(kāi)來(lái)研究它們對(duì)系統(tǒng)的影響，首先通過(guò)程序剔除了一些明顯不符合要求的措施。然后，我們?yōu)槊恳粋€(gè)小項(xiàng)，按其對(duì)總成本影響的大小， 賦予不同的優(yōu)先級(jí)，進(jìn)而通過(guò)優(yōu)先選擇的方法來(lái)求解最佳的組合。模型的公式概括如下：</p><p>　　最后，我們將簡(jiǎn)單討論此模型的通用性。</p><p><b>　　一、問(wèn)題重述&l

4、t;/b></p><p>　　一臺(tái)計(jì)算機(jī)如果受到黑客或者病毒攻擊，其中重要的個(gè)人信息和軟件就有可能丟失。為減少黑客或病毒造成的損失，需建立相應(yīng)的信息術(shù)安全系統(tǒng)。通過(guò)對(duì)一個(gè)大學(xué)的相關(guān)IT系統(tǒng)安全措施（包括技術(shù)和政策兩方面）分析，我們的任務(wù)是：</p><p>　　1、建立一個(gè)模型，該模型可以用來(lái)確定一所大學(xué)的IT安全系統(tǒng)所采取的政策和技術(shù)是否適當(dāng)。通過(guò)計(jì)算機(jī)會(huì)成本、采購(gòu)及維護(hù)設(shè)備費(fèi)用

5、以及培訓(xùn)系統(tǒng)管理員等各項(xiàng)費(fèi)用總和，評(píng)估一個(gè)IT安全系統(tǒng)的優(yōu)劣，從而得到防御措施（政策和技術(shù)兩方面）的最佳組合。</p><p>　　2、試討論所給模型的通用性。</p><p>　　二、基本假設(shè)與符號(hào)說(shuō)明</p><p><b>　　1、基本假設(shè)：</b></p><p>　　假設(shè)1：每一項(xiàng)措施都是獨(dú)立的，相互之間沒(méi)有影

6、響；</p><p>　　假設(shè)2：、、之間是獨(dú)立的，相互之間沒(méi)有影響；</p><p>　　假設(shè)3：、、自身效果可以積累，但不是簡(jiǎn)單的線(xiàn)性關(guān)系；</p><p>　　假設(shè)4：生產(chǎn)效率對(duì)其它的影響我們暫時(shí)可以忽略；</p><p>　　假設(shè)5：由于人員薪金固定，故在評(píng)估系統(tǒng)時(shí)可以只考慮變動(dòng)因素（機(jī)會(huì)成本、措施費(fèi)用等），而不考慮薪金的因素。<

7、;/p><p><b>　　2、符號(hào)說(shuō)明：</b></p><p>　　---------總成本（包括機(jī)會(huì)成本和總費(fèi)用，不包括雇傭管理員等固定花費(fèi)）；---------某一項(xiàng)風(fēng)險(xiǎn)事件可能產(chǎn)生的最大機(jī)會(huì)成本；</p><p>　　---------某一項(xiàng)風(fēng)險(xiǎn)事件發(fā)生的概率；</p><p>　　------采用各項(xiàng)措施的總費(fèi)用

8、；</p><p>　　------采用項(xiàng)措施等價(jià)為一個(gè)措施后對(duì)系統(tǒng)的累計(jì)影響值；</p><p>　　-----采用項(xiàng)措施等價(jià)為一個(gè)措施后對(duì)系統(tǒng)的累計(jì)影響值；</p><p>　　------采用項(xiàng)措施等價(jià)為一個(gè)措施后對(duì)系統(tǒng)的累計(jì)影響值；</p><p>　　，，------分別為第n項(xiàng)措施的、、值；</p><p>

9、;　　------第項(xiàng)措施的總費(fèi)用（包括維修費(fèi)，培訓(xùn)費(fèi)等）；</p><p>　　-------所采取的措施集；</p><p>　　-------某一項(xiàng)措施。</p><p><b>　　各項(xiàng)措施明細(xì)表：</b></p><p><b>　?。ㄒ?jiàn)下頁(yè)表（一））</b></p><

10、;p><b>　　表（一）</b></p><p>　　三、模型的建立（反正切模型）</p><p>　　在未采取措施時(shí)， C、I、A對(duì)機(jī)會(huì)成本損失的概率有影響，此時(shí)C、I、A應(yīng)存在一個(gè)經(jīng)驗(yàn)初始值、、，從而產(chǎn)生初始的機(jī)會(huì)成本。每個(gè)大項(xiàng)措施中都包含幾個(gè)小項(xiàng)措施，每個(gè)小項(xiàng)措施的采用又都會(huì)對(duì)系統(tǒng)的C、I、A作用，使它們發(fā)生改變，進(jìn)而影響機(jī)會(huì)成本損失的發(fā)生概率Pi，改變

11、機(jī)會(huì)成本值。同時(shí)，措施也將增加費(fèi)用，影響用戶(hù)的效率。把19大項(xiàng)看成是固定的，以機(jī)會(huì)成本、費(fèi)用和效率為約束條件，求總成本最小值。圖：</p><p><b>　　圖（一）</b></p><p>　　根據(jù)以上分析，我們初步建立起一個(gè)模型：</p><p><b>　　和 </b></p><p>　　

12、在（9）式中選取適當(dāng)?shù)腃0、I0、A0，由（5）—（8）式分別得k項(xiàng)措施確定的C、I、A值，再由（2）—（4）式分別得k項(xiàng)措施引起機(jī)會(huì)成本概率、措施總費(fèi)用和總機(jī)會(huì)成本，由（1）式總成本函數(shù)得總成本。</p><p>　　其關(guān)系可以用下面的框圖表示：</p><p><b>　　圖（二）</b></p><p><b>　　四．?dāng)?shù)據(jù)的處

13、理</b></p><p>　　數(shù)據(jù)分析與選?。簩?duì)于表中的各個(gè)improvement概率分布，可以假設(shè)用一個(gè)密度函數(shù)來(lái)表示。由于在Mean處取得最大值，并且數(shù)據(jù)集中于Mean處，則密度函數(shù)的概率分布大致如下圖所示：</p><p><b>　　圖（三）</b></p><p>　　因而大致應(yīng)該在Mean處附近，故而在取用數(shù)據(jù)時(shí)取Me

14、an中的數(shù)據(jù)。</p><p><b>　　五、模型的求解</b></p><p>　　在最初的反正切模型中，我們假設(shè)所有的措施是由19項(xiàng)不變的向量組成的;即表中所列的19個(gè)大項(xiàng);因此我們通過(guò)“反正切模型”求出其中每一大項(xiàng)的等價(jià)項(xiàng),得出對(duì)系統(tǒng)一影響的各項(xiàng)指標(biāo);進(jìn)而通過(guò)反正切模型可求k項(xiàng)措施同時(shí)作用下的等價(jià)的措施，基于此:我們就可以通過(guò)窮舉的方法來(lái)得出最優(yōu)組合的解;&l

15、t;/p><p><b>　　算法設(shè)計(jì)如下:</b></p><p>　　1:申請(qǐng)一個(gè)19個(gè)元素的數(shù)組,并把各個(gè)元素置零;錄入19項(xiàng)措施的各個(gè)指標(biāo),是數(shù)組的每個(gè)元素與一項(xiàng)措施相對(duì)應(yīng);</p><p>　　2:把數(shù)組看成一個(gè)二進(jìn)制數(shù),對(duì)其加1,然后進(jìn)行二進(jìn)制加發(fā)運(yùn)算;得到一個(gè)組合,然后求組合的對(duì)應(yīng)措施組合的總成本,并將其放到另一個(gè)數(shù)組里;</p

16、><p>　　3:重復(fù)第二項(xiàng)措施知道01數(shù)組的所有元素都為為止;此時(shí)放總成本的數(shù)組已有了2^19個(gè)元素;</p><p>　　4:遍歷總成本數(shù)組,取其最小值;然后計(jì)算最小值對(duì)應(yīng)的措施組合，即得到最佳的措施組合;</p><p>　　以此為基礎(chǔ),我們假定C0=0.4、I0=0.4、A0=0.5,以C++為程序設(shè)計(jì)語(yǔ)言實(shí)現(xiàn)算法并對(duì)結(jié)果進(jìn)行輸出：</p><

17、;p><b>　　表（二）</b></p><p>　　為了使結(jié)果更加真實(shí)地反映客觀現(xiàn)實(shí)；我們?cè)诙喾N不同的狀態(tài)初值下得到了相應(yīng)的最佳組合： </p><p><b>　　表（三）</b></p><p>　　從數(shù)據(jù)中我們發(fā)現(xiàn)在不同的初始狀態(tài)下，會(huì)得到不同的優(yōu)化組合。因此，我們認(rèn)為在進(jìn)行措施優(yōu)化評(píng)定的同時(shí)，須預(yù)先給在無(wú)

18、防御狀態(tài)下的初值進(jìn)行客觀的定量的評(píng)定。有于時(shí)間的關(guān)系，我們?cè)谶@里并未給出具體的解決方案，但我們認(rèn)為，定量的評(píng)定應(yīng)保證所的值是在0和1區(qū)間的數(shù)。</p><p><b>　　六、模型的分析</b></p><p>　　首先，通過(guò)對(duì)模型的求解，我們發(fā)現(xiàn)所得結(jié)果是比較可行的；因?yàn)椋阂唬ㄟ^(guò)措施的優(yōu)化組合，使總成本有了很大的降低；二，在一定的初值下，優(yōu)化的結(jié)果可以讓人接受。比

19、如，{M1，M3，M10，M18，M19}的措施組合也是切實(shí)可行的。</p><p>　　其次，我們預(yù)先設(shè)的初值對(duì)優(yōu)化結(jié)果不僅對(duì)無(wú)防御下的機(jī)會(huì)成本，采取后的機(jī)會(huì)成本、總成本有影響 ，而且對(duì)措施的組合也有影響。對(duì)總成本的影響主要表現(xiàn)在，總成本是、、的函數(shù)，應(yīng)存在一個(gè)關(guān)系，況且隨著、、的提高而降低。其實(shí)際意義是很顯然的。而對(duì)組合的影響也是有一定規(guī)律的，但是并不是特敏感的。比如，初始值微?。ǎ┑牟顒e基本不會(huì)帶來(lái)組合措施

20、的變化。</p><p>　　第三，問(wèn)題的出現(xiàn)。我們對(duì)所得表（二）進(jìn)行分析,發(fā)現(xiàn)這個(gè)最優(yōu)組合和現(xiàn)實(shí)中我們所認(rèn)可的有些出入,比如，我們所得到的最小總成本小的有些不可思議；這說(shuō)明我們的模型還存在一些問(wèn)題,有待于進(jìn)一步的改進(jìn)。</p><p>　　我們認(rèn)為一起這樣結(jié)果的原因是:</p><p>　　1：反正切公式只是通過(guò)定性分析得出的，并不準(zhǔn)確；</p>&

21、lt;p>　　2：把一大項(xiàng)看成一個(gè)固定向量的也并不一定可行；</p><p>　　由以上分析,我們對(duì)公式進(jìn)行了進(jìn)一步的優(yōu)化。</p><p>　　1：依據(jù)假設(shè)中措施間相互的獨(dú)立性，并根據(jù)系統(tǒng)可靠性理論，提出了基于系統(tǒng)并聯(lián)的優(yōu)化模型。</p><p>　　2：通過(guò)合適的方法，手工剔除了一些明顯不符合要求的小項(xiàng)(從83項(xiàng)中選出62項(xiàng))；避免了把大項(xiàng)看成固定向量的簡(jiǎn)

22、單性和不客觀性,去求剩余小項(xiàng)的最優(yōu)組合。 對(duì)于小項(xiàng)，我們進(jìn)一步引如了系統(tǒng)并聯(lián)的模型。</p><p><b>　　七、模型的優(yōu)化</b></p><p>　　方案一：基于系統(tǒng)并聯(lián)的優(yōu)化模型</p><p><b>　　模型的重建：</b></p><p>　　為了防止反正切模型的問(wèn)題的發(fā)生，我們引進(jìn)

23、了系統(tǒng)并聯(lián)的模型，如下圖所示;在一個(gè)系統(tǒng)中個(gè)元件對(duì)系統(tǒng)的影響可分為串聯(lián)和并聯(lián)兩種。而在我們的系統(tǒng)中，每一項(xiàng)措施對(duì)系統(tǒng)的影響不能被看做是串聯(lián)的，因?yàn)樗麄儾⒉皇窍嗷ヒ蕾?lài)的；那么，我們不防把起看成并聯(lián)的。</p><p><b>　　圖（四）</b></p><p>　　依據(jù)系統(tǒng)并聯(lián)原理，我們得到優(yōu)化模型為： </p><p><b>　　

24、二：模型的求解：</b></p><p>　　同樣我們還是在措施為19項(xiàng)的前提下;但與之不同的是這次我們把每一大項(xiàng)中的措施也按照并聯(lián)的方法來(lái)等價(jià)成一個(gè)措施；基于此，同樣可通過(guò)窮舉的方法的得出最優(yōu)解：</p><p>　　我們?cè)诔跏贾礐0=0.4,I0=0.4,A0=0.5的情況下：</p><p><b>　　表（四）</b><

25、;/p><p>　　方案二：基于試探法的逐步回代模型</p><p><b>　　一、模型的建立</b></p><p>　　從前兩個(gè)模型中我們會(huì)發(fā)現(xiàn)這樣一個(gè)問(wèn)題。那就是我們把一項(xiàng)大的措施看成了一個(gè)不變的向量，這雖然在簡(jiǎn)化模型求解中行之有效。但它確不能代表客觀的現(xiàn)實(shí)，顯然，我們可能會(huì)采用host-based firewall 中的幾項(xiàng)而不去選擇所有

26、。</p><p>　　因此，我們需要一個(gè)更加完善的模型；它可以對(duì)所有的小項(xiàng)進(jìn)行分析，進(jìn)而求出最有效，最符合事實(shí)的措施組合。</p><p>　　我們首先可以先那來(lái)一項(xiàng)措施，如,那么我們就可以對(duì)把此項(xiàng)加到系統(tǒng)中的結(jié)果去分析，這顯然是很簡(jiǎn)單的，我們也回很快的算出采取此項(xiàng)措施之后的總成本A1；那它去和無(wú)防御下的系統(tǒng)的總成本（亦即總機(jī)會(huì)成本，因?yàn)?cost為0）A0去比較，如果A1〈A0，那么，

27、毫無(wú)疑問(wèn)，這想措施是永遠(yuǎn)不會(huì)被采用的。因此，我們就可以把它從83項(xiàng)小的措施中將其剔除。</p><p>　　由此，我們可以剔除原來(lái)措施中的21項(xiàng)，我們將剔除剩余的措施那來(lái)。</p><p>　　在初始值C0=0.4,I0=0.4, A0=0.5的狀態(tài)下，計(jì)算剩下每一項(xiàng)單獨(dú)作用于系統(tǒng)時(shí)的總成本，計(jì)算出每一項(xiàng)對(duì)系統(tǒng)的貢獻(xiàn)為，然后把他們按降冪排列。</p><p>　　那

28、么，排在最前面的肯定回被采用，因?yàn)樗鼘?duì)系統(tǒng)優(yōu)化成本的貢獻(xiàn)最大。在基于并聯(lián)的模型下，我們按從大到小的順序逐步把剩余的貢獻(xiàn)最大的措施加到當(dāng)前系統(tǒng)中。根據(jù)并聯(lián)模型，可以以同樣的方法求出k項(xiàng)措施加入系統(tǒng)后的總成本。</p><p>　　則在開(kāi)始情況下，應(yīng)有；而當(dāng)k的數(shù)值達(dá)到一定程度后，肯定回出現(xiàn)的情況；此時(shí)，先前加入的k項(xiàng)措施即是最佳的組合。</p><p>　　由此，模型可進(jìn)一步有化為：<

29、/p><p>　　若為系統(tǒng)優(yōu)化的最佳組合，則有；</p><p>　　二、 模型的求解算法</p><p><b>　　模型求解算法如下：</b></p><p>　　1：求出剩余63項(xiàng)的每一個(gè)，放入一個(gè)63項(xiàng)的一維數(shù)組array_m[63]l里；</p><p>　　2：對(duì)數(shù)組進(jìn)行排序，另設(shè)一個(gè)相同

30、大小的數(shù)組存放排序后新數(shù)組每一項(xiàng)和原來(lái)的對(duì)應(yīng)關(guān)系；</p><p>　　3：逐步加入剩余數(shù)組元素的第一項(xiàng)，按并聯(lián)原理求出；</p><p>　　4：判斷是否滿(mǎn)足條件，如果滿(mǎn)足，則停機(jī)；否則，繼續(xù)進(jìn)行第三步，知道求解滿(mǎn)足為止，因?yàn)椴豢赡苁窃谒玫拇胧┒技由虾笫亲顑?yōu)化的。</p><p>　　由于時(shí)間的有限，我們?cè)谶@里并未給出真正的求解，但我們堅(jiān)信這是肯定能夠求出最優(yōu)解

31、的。</p><p>　　八、模型的通用性的討論</p><p>　　我們通過(guò)對(duì)模型的一步步優(yōu)化，最后得出了一個(gè)基于試探法的逐步回代模型。因?yàn)槠鋽?shù)據(jù)處理的方便，模型的簡(jiǎn)潔，數(shù)據(jù)計(jì)算的量小等優(yōu)點(diǎn)，所以具有較大通用性。</p><p>　　我們可以和前兩個(gè)模型進(jìn)行比較；首先，模型一，二的求解是用窮舉法來(lái)解的，所以一旦措施加大的話(huà)，計(jì)算量是成指數(shù)性增長(zhǎng)的，其時(shí)間復(fù)雜度為，

32、如果k在六十以上的話(huà)，那么在我們有生之年，是看不到不同計(jì)算機(jī)求出最優(yōu)解的；而模型三的時(shí)間復(fù)雜度應(yīng)為，其優(yōu)越性可見(jiàn)一斑。</p><p>　　通過(guò)對(duì)安全措施費(fèi)用占總投入的比重計(jì)算，發(fā)現(xiàn)其基本在10%--20%之間，這比較符合目前國(guó)際上企業(yè)安全投入比例，因此該模型具有一定的通用性。</p><p>　　但是，三個(gè)模型的建立都沒(méi)有太過(guò)考慮到各項(xiàng)措施的內(nèi)部聯(lián)系，這也是模型的不足之處。另一個(gè)不足之處

33、就是我們并未考慮user productivity對(duì)系統(tǒng)的影響；因?yàn)橐话闱闆r下措施對(duì)user productivity的影響可以忽略，只有在政策措施下影響較顯著，但user productivity又不對(duì)c,I,a產(chǎn)生影響。我們并未考慮這個(gè)問(wèn)題。當(dāng)然，由于時(shí)間和知識(shí)的限度，這個(gè)模型一定還有很多紕漏與不足，需繼續(xù)許完善。</p><p><b>　　參考文獻(xiàn)：</b></p>&