論文——信息技術(shù)安全系統(tǒng)的風險評估問題

1、<p>　　信息技術(shù)安全系統(tǒng)的風險評估問題</p><p><b>　　摘要</b></p><p>　　本文把信息技術(shù)安全系統(tǒng)的風險評估問題歸為一類優(yōu)化問題。是學校在以用戶效率、機會成本為約束條件下，尋找能使總成本最小的措施的優(yōu)化組合模型。</p><p>　　通過對數(shù)據(jù)的分析和題中所給條件，我們認為、、影響機會成本，并存在一個經(jīng)驗

2、初始值（均在0到1之間），每項措施會對、、產(chǎn)生影響，進而會對機會成本（和它發(fā)生的概率）、總成本產(chǎn)生影響，。在以用戶效率、機會成本為約束條件下，求總成本的最小值。因此我們建立這樣的模型：</p><p><b>　　和 </b></p><p>　　通過對結(jié)果的分析，根據(jù)事件的獨立性，我們把公式（6）、（7）、（8）換成概率并聯(lián)公式并對用戶效率加一考慮，得到一個優(yōu)化模型

3、。</p><p>　　再進一步分析，我們把各個小項獨立開來研究它們對系統(tǒng)的影響，首先通過程序剔除了一些明顯不符合要求的措施。然后，我們?yōu)槊恳粋€小項，按其對總成本影響的大小， 賦予不同的優(yōu)先級，進而通過優(yōu)先選擇的方法來求解最佳的組合。模型的公式概括如下：</p><p>　　最后，我們將簡單討論此模型的通用性。</p><p><b>　　一、問題重述&l

4、t;/b></p><p>　　一臺計算機如果受到黑客或者病毒攻擊，其中重要的個人信息和軟件就有可能丟失。為減少黑客或病毒造成的損失，需建立相應的信息術(shù)安全系統(tǒng)。通過對一個大學的相關IT系統(tǒng)安全措施（包括技術(shù)和政策兩方面）分析，我們的任務是：</p><p>　　1、建立一個模型，該模型可以用來確定一所大學的IT安全系統(tǒng)所采取的政策和技術(shù)是否適當。通過計算機會成本、采購及維護設備費用

5、以及培訓系統(tǒng)管理員等各項費用總和，評估一個IT安全系統(tǒng)的優(yōu)劣，從而得到防御措施（政策和技術(shù)兩方面）的最佳組合。</p><p>　　2、試討論所給模型的通用性。</p><p>　　二、基本假設與符號說明</p><p><b>　　1、基本假設：</b></p><p>　　假設1：每一項措施都是獨立的，相互之間沒有影

6、響；</p><p>　　假設2：、、之間是獨立的，相互之間沒有影響；</p><p>　　假設3：、、自身效果可以積累，但不是簡單的線性關系；</p><p>　　假設4：生產(chǎn)效率對其它的影響我們暫時可以忽略；</p><p>　　假設5：由于人員薪金固定，故在評估系統(tǒng)時可以只考慮變動因素（機會成本、措施費用等），而不考慮薪金的因素。<

7、;/p><p><b>　　2、符號說明：</b></p><p>　　---------總成本（包括機會成本和總費用，不包括雇傭管理員等固定花費）；---------某一項風險事件可能產(chǎn)生的最大機會成本；</p><p>　　---------某一項風險事件發(fā)生的概率；</p><p>　　------采用各項措施的總費用

8、；</p><p>　　------采用項措施等價為一個措施后對系統(tǒng)的累計影響值；</p><p>　　-----采用項措施等價為一個措施后對系統(tǒng)的累計影響值；</p><p>　　------采用項措施等價為一個措施后對系統(tǒng)的累計影響值；</p><p>　　，，------分別為第n項措施的、、值；</p><p>

9、;　　------第項措施的總費用（包括維修費，培訓費等）；</p><p>　　-------所采取的措施集；</p><p>　　-------某一項措施。</p><p><b>　　各項措施明細表：</b></p><p><b>　?。ㄒ娤马摫恚ㄒ唬?lt;/b></p><

10、;p><b>　　表（一）</b></p><p>　　三、模型的建立（反正切模型）</p><p>　　在未采取措施時， C、I、A對機會成本損失的概率有影響，此時C、I、A應存在一個經(jīng)驗初始值、、，從而產(chǎn)生初始的機會成本。每個大項措施中都包含幾個小項措施，每個小項措施的采用又都會對系統(tǒng)的C、I、A作用，使它們發(fā)生改變，進而影響機會成本損失的發(fā)生概率Pi，改變

11、機會成本值。同時，措施也將增加費用，影響用戶的效率。把19大項看成是固定的，以機會成本、費用和效率為約束條件，求總成本最小值。圖：</p><p><b>　　圖（一）</b></p><p>　　根據(jù)以上分析，我們初步建立起一個模型：</p><p><b>　　和 </b></p><p>　　

12、在（9）式中選取適當?shù)腃0、I0、A0，由（5）—（8）式分別得k項措施確定的C、I、A值，再由（2）—（4）式分別得k項措施引起機會成本概率、措施總費用和總機會成本，由（1）式總成本函數(shù)得總成本。</p><p>　　其關系可以用下面的框圖表示：</p><p><b>　　圖（二）</b></p><p><b>　　四．數(shù)據(jù)的處

13、理</b></p><p>　　數(shù)據(jù)分析與選取：對于表中的各個improvement概率分布，可以假設用一個密度函數(shù)來表示。由于在Mean處取得最大值，并且數(shù)據(jù)集中于Mean處，則密度函數(shù)的概率分布大致如下圖所示：</p><p><b>　　圖（三）</b></p><p>　　因而大致應該在Mean處附近，故而在取用數(shù)據(jù)時取Me

14、an中的數(shù)據(jù)。</p><p><b>　　五、模型的求解</b></p><p>　　在最初的反正切模型中，我們假設所有的措施是由19項不變的向量組成的;即表中所列的19個大項;因此我們通過“反正切模型”求出其中每一大項的等價項,得出對系統(tǒng)一影響的各項指標;進而通過反正切模型可求k項措施同時作用下的等價的措施，基于此:我們就可以通過窮舉的方法來得出最優(yōu)組合的解;&l

15、t;/p><p><b>　　算法設計如下:</b></p><p>　　1:申請一個19個元素的數(shù)組,并把各個元素置零;錄入19項措施的各個指標,是數(shù)組的每個元素與一項措施相對應;</p><p>　　2:把數(shù)組看成一個二進制數(shù),對其加1,然后進行二進制加發(fā)運算;得到一個組合,然后求組合的對應措施組合的總成本,并將其放到另一個數(shù)組里;</p

16、><p>　　3:重復第二項措施知道01數(shù)組的所有元素都為為止;此時放總成本的數(shù)組已有了2^19個元素;</p><p>　　4:遍歷總成本數(shù)組,取其最小值;然后計算最小值對應的措施組合，即得到最佳的措施組合;</p><p>　　以此為基礎,我們假定C0=0.4、I0=0.4、A0=0.5,以C++為程序設計語言實現(xiàn)算法并對結(jié)果進行輸出：</p><

17、;p><b>　　表（二）</b></p><p>　　為了使結(jié)果更加真實地反映客觀現(xiàn)實；我們在多種不同的狀態(tài)初值下得到了相應的最佳組合： </p><p><b>　　表（三）</b></p><p>　　從數(shù)據(jù)中我們發(fā)現(xiàn)在不同的初始狀態(tài)下，會得到不同的優(yōu)化組合。因此，我們認為在進行措施優(yōu)化評定的同時，須預先給在無

18、防御狀態(tài)下的初值進行客觀的定量的評定。有于時間的關系，我們在這里并未給出具體的解決方案，但我們認為，定量的評定應保證所的值是在0和1區(qū)間的數(shù)。</p><p><b>　　六、模型的分析</b></p><p>　　首先，通過對模型的求解，我們發(fā)現(xiàn)所得結(jié)果是比較可行的；因為：一，通過措施的優(yōu)化組合，使總成本有了很大的降低；二，在一定的初值下，優(yōu)化的結(jié)果可以讓人接受。比

19、如，{M1，M3，M10，M18，M19}的措施組合也是切實可行的。</p><p>　　其次，我們預先設的初值對優(yōu)化結(jié)果不僅對無防御下的機會成本，采取后的機會成本、總成本有影響 ，而且對措施的組合也有影響。對總成本的影響主要表現(xiàn)在，總成本是、、的函數(shù)，應存在一個關系，況且隨著、、的提高而降低。其實際意義是很顯然的。而對組合的影響也是有一定規(guī)律的，但是并不是特敏感的。比如，初始值微?。ǎ┑牟顒e基本不會帶來組合措施

20、的變化。</p><p>　　第三，問題的出現(xiàn)。我們對所得表（二）進行分析,發(fā)現(xiàn)這個最優(yōu)組合和現(xiàn)實中我們所認可的有些出入,比如，我們所得到的最小總成本小的有些不可思議；這說明我們的模型還存在一些問題,有待于進一步的改進。</p><p>　　我們認為一起這樣結(jié)果的原因是:</p><p>　　1：反正切公式只是通過定性分析得出的，并不準確；</p>&

21、lt;p>　　2：把一大項看成一個固定向量的也并不一定可行；</p><p>　　由以上分析,我們對公式進行了進一步的優(yōu)化。</p><p>　　1：依據(jù)假設中措施間相互的獨立性，并根據(jù)系統(tǒng)可靠性理論，提出了基于系統(tǒng)并聯(lián)的優(yōu)化模型。</p><p>　　2：通過合適的方法，手工剔除了一些明顯不符合要求的小項(從83項中選出62項)；避免了把大項看成固定向量的簡

22、單性和不客觀性,去求剩余小項的最優(yōu)組合。 對于小項，我們進一步引如了系統(tǒng)并聯(lián)的模型。</p><p><b>　　七、模型的優(yōu)化</b></p><p>　　方案一：基于系統(tǒng)并聯(lián)的優(yōu)化模型</p><p><b>　　模型的重建：</b></p><p>　　為了防止反正切模型的問題的發(fā)生，我們引進

23、了系統(tǒng)并聯(lián)的模型，如下圖所示;在一個系統(tǒng)中個元件對系統(tǒng)的影響可分為串聯(lián)和并聯(lián)兩種。而在我們的系統(tǒng)中，每一項措施對系統(tǒng)的影響不能被看做是串聯(lián)的，因為他們并不是相互依賴的；那么，我們不防把起看成并聯(lián)的。</p><p><b>　　圖（四）</b></p><p>　　依據(jù)系統(tǒng)并聯(lián)原理，我們得到優(yōu)化模型為： </p><p><b>　　

24、二：模型的求解：</b></p><p>　　同樣我們還是在措施為19項的前提下;但與之不同的是這次我們把每一大項中的措施也按照并聯(lián)的方法來等價成一個措施；基于此，同樣可通過窮舉的方法的得出最優(yōu)解：</p><p>　　我們在初始值C0=0.4,I0=0.4,A0=0.5的情況下：</p><p><b>　　表（四）</b><

25、;/p><p>　　方案二：基于試探法的逐步回代模型</p><p><b>　　一、模型的建立</b></p><p>　　從前兩個模型中我們會發(fā)現(xiàn)這樣一個問題。那就是我們把一項大的措施看成了一個不變的向量，這雖然在簡化模型求解中行之有效。但它確不能代表客觀的現(xiàn)實，顯然，我們可能會采用host-based firewall 中的幾項而不去選擇所有

26、。</p><p>　　因此，我們需要一個更加完善的模型；它可以對所有的小項進行分析，進而求出最有效，最符合事實的措施組合。</p><p>　　我們首先可以先那來一項措施，如,那么我們就可以對把此項加到系統(tǒng)中的結(jié)果去分析，這顯然是很簡單的，我們也回很快的算出采取此項措施之后的總成本A1；那它去和無防御下的系統(tǒng)的總成本（亦即總機會成本，因為 cost為0）A0去比較，如果A1〈A0，那么，

27、毫無疑問，這想措施是永遠不會被采用的。因此，我們就可以把它從83項小的措施中將其剔除。</p><p>　　由此，我們可以剔除原來措施中的21項，我們將剔除剩余的措施那來。</p><p>　　在初始值C0=0.4,I0=0.4, A0=0.5的狀態(tài)下，計算剩下每一項單獨作用于系統(tǒng)時的總成本，計算出每一項對系統(tǒng)的貢獻為，然后把他們按降冪排列。</p><p>　　那

28、么，排在最前面的肯定回被采用，因為它對系統(tǒng)優(yōu)化成本的貢獻最大。在基于并聯(lián)的模型下，我們按從大到小的順序逐步把剩余的貢獻最大的措施加到當前系統(tǒng)中。根據(jù)并聯(lián)模型，可以以同樣的方法求出k項措施加入系統(tǒng)后的總成本。</p><p>　　則在開始情況下，應有；而當k的數(shù)值達到一定程度后，肯定回出現(xiàn)的情況；此時，先前加入的k項措施即是最佳的組合。</p><p>　　由此，模型可進一步有化為：<

29、/p><p>　　若為系統(tǒng)優(yōu)化的最佳組合，則有；</p><p>　　二、 模型的求解算法</p><p><b>　　模型求解算法如下：</b></p><p>　　1：求出剩余63項的每一個，放入一個63項的一維數(shù)組array_m[63]l里；</p><p>　　2：對數(shù)組進行排序，另設一個相同

30、大小的數(shù)組存放排序后新數(shù)組每一項和原來的對應關系；</p><p>　　3：逐步加入剩余數(shù)組元素的第一項，按并聯(lián)原理求出；</p><p>　　4：判斷是否滿足條件，如果滿足，則停機；否則，繼續(xù)進行第三步，知道求解滿足為止，因為不可能是在所用的措施都加上后是最優(yōu)化的。</p><p>　　由于時間的有限，我們在這里并未給出真正的求解，但我們堅信這是肯定能夠求出最優(yōu)解

31、的。</p><p>　　八、模型的通用性的討論</p><p>　　我們通過對模型的一步步優(yōu)化，最后得出了一個基于試探法的逐步回代模型。因為其數(shù)據(jù)處理的方便，模型的簡潔，數(shù)據(jù)計算的量小等優(yōu)點，所以具有較大通用性。</p><p>　　我們可以和前兩個模型進行比較；首先，模型一，二的求解是用窮舉法來解的，所以一旦措施加大的話，計算量是成指數(shù)性增長的，其時間復雜度為，

32、如果k在六十以上的話，那么在我們有生之年，是看不到不同計算機求出最優(yōu)解的；而模型三的時間復雜度應為，其優(yōu)越性可見一斑。</p><p>　　通過對安全措施費用占總投入的比重計算，發(fā)現(xiàn)其基本在10%--20%之間，這比較符合目前國際上企業(yè)安全投入比例，因此該模型具有一定的通用性。</p><p>　　但是，三個模型的建立都沒有太過考慮到各項措施的內(nèi)部聯(lián)系，這也是模型的不足之處。另一個不足之處

33、就是我們并未考慮user productivity對系統(tǒng)的影響；因為一般情況下措施對user productivity的影響可以忽略，只有在政策措施下影響較顯著，但user productivity又不對c,I,a產(chǎn)生影響。我們并未考慮這個問題。當然，由于時間和知識的限度，這個模型一定還有很多紕漏與不足，需繼續(xù)許完善。</p><p><b>　　參考文獻：</b></p>&