信息技术安全系统的风险评估问题

1信息技术安全系统的风险评估问题计算机：焦世斗物理：宋世巍电子：张弘摘要本文把信息技术安全系统的风险评估问题归为一类优化问题。是学校在以用户效率、机会成本为约束条件下，寻找能使总成本最小的措施的优化组合模型。通过对数据的分析和题中所给条件，我们认为C、I、A影响机会成本，并存在一个经验初始值000,,CIA（均在0到1之间），每项措施会对C、I、A产生影响，进而会对机会成本（和它发生的概率）、总成本产生影响，。在以用户效率、机会成本为约束条件下，求总成本的最小值。因此我们建立这样的模型：1(,)1(,,)(019)23(,)4kkkiiiiMMMklliiiiYfxpCostpgCIAkCostCostfxpxp（）（）（）（）和k12M0C00000000,,,5C=1-{[arctan(CM)]2/}(6)1{[arctan()]2/}(7)1{[arctan()]2/}(8),,(0,,1)(9)kkkkMIMAMmmmIIMAAMCIACIA（）通过对结果的分析，根据事件的独立性，我们把公式（6）、（7）、（8）换成概率并联公式0101011(1)1(1)1(1)kkkkMnnkMnnkMnnCCCIIIAAA并对用户效率加一考虑11(1)kkMnnUU，得到一个优化模型。再进一步分析，我们把各个小项独立开来研究它们对系统的影响，首先通过程序剔除了一些明显不符合要求的措施。然后，我们为每一个小项，按其对总成本影响的大小，赋予不同的优先级，进而通过优先选择的方法来求解最佳的组合。模型的公式概括如下：1111(1,2,3,...,;)iikkiiMMkkMMYYikAAYYAA最后，我们将简单讨论此模型的通用性。2一、问题重述一台计算机如果受到黑客或者病毒攻击，其中重要的个人信息和软件就有可能丢失。为减少黑客或病毒造成的损失，需建立相应的信息术安全系统。通过对一个大学的相关IT系统安全措施（包括技术和政策两方面）分析，我们的任务是：1、建立一个模型，该模型可以用来确定一所大学的IT安全系统所采取的政策和技术是否适当。通过计算机会成本、采购及维护设备费用以及培训系统管理员等各项费用总和，评估一个IT安全系统的优劣，从而得到防御措施（政策和技术两方面）的最佳组合。2、试讨论所给模型的通用性。二、基本假设与符号说明1、基本假设：假设1：每一项措施都是独立的，相互之间没有影响；假设2：C、I、A之间是独立的，相互之间没有影响；假设3：C、I、A自身效果可以积累，但不是简单的线性关系；假设4：生产效率对其它的影响我们暂时可以忽略；假设5：由于人员薪金固定，故在评估系统时可以只考虑变动因素（机会成本、措施费用等），而不考虑薪金的因素。2、符号说明：Y---------总成本（包括机会成本和总费用，不包括雇佣管理员等固定花费）；ix---------某一项风险事件可能产生的最大机会成本；ip---------某一项风险事件发生的概率；Cost------采用各项措施的总费用；kMC------采用k项措施等价为一个措施后对系统的累计影响C值；kMI-----采用k项措施等价为一个措施后对系统的累计影响I值；kMA------采用k项措施等价为一个措施后对系统的累计影响A值；nC，nI，nA------分别为第n项措施的C、I、A值；lCost------第l项措施的总费用（包括维修费，培训费等）；kM-------所采取的措施集；km-------某一项措施。各项措施明细表：（见下页表（一））3M1Host-basedFirewallM2Network-basedFirewallM3Host-basedAnti-VirusM4Network-basedAnti-VirusM5Network-basedIntrusionDetectionSystemM6Network-basedSPAMFilterM7Network-basedVulnerabilityScanningM8DataRedundancyM9ServiceRedundancyM10StrongPasswordsM11NoPasswordPolicyM12FormalSecurityAuditsM13DisallowWirelessM14AllowWirelessM15RestrictRemovableMediaM16UnmonitoredPersonalUseM17RestrictedPersonalUse/DetailedUserTrackingM18UserTrainingRequiredM19SysAdmiTrainingRequired表（一）三、模型的建立（反正切模型）在未采取措施时，C、I、A对机会成本损失的概率有影响，此时C、I、A应存在一个经验初始值0C、0I、0A，从而产生初始的机会成本。每个大项措施中都包含几个小项措施，每个小项措施的采用又都会对系统的C、I、A作用，使它们发生改变，进而影响机会成本损失的发生概率Pi，改变机会成本值。同时，措施也将增加费用，影响用户的效率。把19大项看成是固定的，以机会成本、费用和效率为约束条件，求总成本最小值。图：4图（一）根据以上分析，我们初步建立起一个模型：1(,)1(,,)(019)23(,)4kkkiiiiMMMklliiiiYfxpCostpgCIAkCostCostfxpxp（）（）（）（）和k12M0C00000000,,,5C=1-{[arctan(CM)]2/}(6)1{[arctan()]2/}(7)1{[arctan()]2/}(8),,(0,,1)(9)kkkkMIMAMmmmIIMAAMCIACIA（）在（9）式中选取适当的C0、I0、A0，由（5）—（8）式分别得k项措施确定的C、I、A值，再由（2）—（4）式分别得k项措施引起机会成本概率、措施总费用和总机会成本，由（1）式总成本函数得总成本。其关系可以用下面的框图表示：图（二）四．数据的处理数据分析与选取：对于表中的各个improvement概率分布，可以假设用一个密度函数()fx来表示。由于()fx在Mean处取得最大值，并且数据集中于Mean处，则密度函数()fx的概率分布大致如下图所示：图（三）因而()()Exxfxdx大致应该在Mean处附近，故而在取用数据时取Mean中的数据。kM，000,,CIAC，I，A，CostipF(x,p),Y5五、模型的求解在最初的反正切模型中，我们假设所有的措施是由19项不变的向量组成的;即表中所列的19个大项;因此我们通过“反正切模型”求出其中每一大项的等价项,得出对系统一影响的各项指标;进而通过反正切模型可求k项措施同时作用下的等价的措施，基于此:我们就可以通过穷举的方法来得出最优组合的解;算法设计如下:1:申请一个19个元素的数组,并把各个元素置零;录入19项措施的各个指标,是数组的每个元素与一项措施相对应;2:把数组看成一个二进制数,对其加1,然后进行二进制加发运算;得到一个组合,然后求组合的对应措施组合的总成本,并将其放到另一个数组里;3:重复第二项措施知道01数组的所有元素都为为止;此时放总成本的数组已有了2^19个元素;4:遍历总成本数组,取其最小值;然后计算最小值对应的措施组合，即得到最佳的措施组合;以此为基础,我们假定C0=0.4、I0=0.4、A0=0.5,以C++为程序设计语言实现算法并对结果进行输出：表（二）为了使结果更加真实地反映客观现实；我们在多种不同的状态初值下得到了相应的最佳组合：表（三）从数据中我们发现在不同的初始状态下，会得到不同的优化组合。因此，我们认为在进行措施优化评定的同时，须预先给在无防御状态下的初值进行客观的定量的评定。有于时间的关系，我们在这里并未给出具体的解决方案，但我们认为，定量的评定应保证所的值是在0和1区间的数。六、模型的分析P10.036605机会成本（元）365957P20.0350023P30.0475497总成本（元）918942P40.0424815P50.0424815最优组合M1,M3,M10,M18，M19P60.0642795初始值无防御成本机会成本总成本最佳组合C0I0A00.20.30.267855002294591090430M1，M3，M40.30.30.362510001730511034020M1，M3，M40.40.40.45358000384952937937M1，M3，M10，M18，M190.50.50.54465000308251861236M1，M3，M10，M18，M190.30.40.45788000358970980955M1，M3，M10，M12，M18，M190.40.30.352810003895421011530M1，M3，M10，M18，M190.40.50.35104000385854938839M1，M3，M10，M18，M190.40.50.64790500322828875813M1，M3，M10，M18，M196首先，通过对模型的求解，我们发现所得结果是比较可行的；因为：一，通过措施的优化组合，使总成本有了很大的降低；二，在一定的初值下，优化的结果可以让人接受。比如，{M1，M3，M10，M18，M19}的措施组合也是切实可行的。其次，我们预先设的初值对优化结果不仅对无防御下的机会成本，采取后的机会成本、总成本有影响，而且对措施的组合也有影响。对总成本的影响主要表现在，总成本Y是0C、0I、0A的函数，应存在一个关系(0,0,0)YCIA，况且Y随着0C、0I、0A的提高而降低。其实际意义是很显然的。而对组合的影响也是有一定规律的，但是并不是特敏感的。比如，初始值微小（0.1）的差别基本不会带来组合措施的变化。第三，问题的出现。我们对所得表（二）进行分析,发现这个最优组合和现实中我们所认可的有些出入,比如，我们所得到的最小总成本小的有些不可思议；这说明我们的模型还存在一些问题,有待于进一步的改进。我们认为一起这样结果的原因是:1：反正切公式只是通过定性分析得出的，并不准确；2：把一大项看成一个固定向量的也并不一定可行；由以上分析,我们对公式进行了进一步的优化。1：依据假设中措施间相互的独立性，并根据系统可靠性理论，提出了基于系统并联的优化模型。2：通过合适的方法，手工剔除了一些明显不符合要求的小项(从83项中选出62项)；避免了把大项看成固定向量的简单性和不客观性,去求剩余小项的最优组合。对于小项，我们进一步引如了系统并联的模型。七、模型的优化方案一：基于系统并联的优化模型一、模型的重建：为了防止反正切模型的问题的发生，我们引进了系统并联的模型，如下图所示;在一个系统中个元件对系统的影响可分为串联和并联两种。而在我们的系统中，每一项措施对系统的影响不能被看做是串联的，因为他们并不是相互依赖的；那么，我们不防把起看成并联的。图（四）7依据系统并联原理，我们得到优化模型为：6101010101112000000,(,,)(019)1(1)1(1)1(1)1(1)(,),,,,,(0,,1)kkkkkkkiiiiiMMMkMnnkMnnkMnnkMnnklliiiikkYfxpCostpgCIAkCCCIIIAAAUUUCostCostfxpxpMmmmCIAC