| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 经济/产业 |
| FMEA信息安全风险评估模型在检验检疫系统内的应用 |
[提要] FMEA风险评估方法是通过资产价值(V)、失效影响(E)、威胁频率(P)和脆弱性(W)四个参数,通过数学方法计算得到风险值(RPN),相对于目前国际通用的传统信息安全风险评估方法ISO13335,FMEA的方法增加了失效影响(E)这一新的参数,可以更准确的反映风险大小。
关键词:风险评估;FMEA;资产价值;威胁;脆弱性;失效影响;风险值
中图分类号:C93 文献标识码:A
原标题:FMEA信息安全风险评估模型在检验检疫系统内的应用
收录日期:2014年8月26日
一、背景
1998年3月,成立了中华人民共和国出入境检验检疫局(国家进出口商品检验局、原农业部动植物检疫局和原卫生部检疫局合并组建)。出入境检验检疫机构全面推行“一次报验、一次取样、一次检验检疫、一次卫生除害处理、一次收费、一次签证放行”六个一的管理模式,对外简化办事手续,避免政出多门、提高工作效率、方便外贸进出口、降低收费、减轻企业负担、强化依法把关力度、促进外贸经济健康发展具有十分重要的意义。
信息化工作是检验检疫业务中一项重要的基础性工作,信息技术的应用提高了检验检疫把关服务能力,为全面履行检验检疫职能提供了强有力的技术支撑和科技保障。在实际工作中,我们看到大量信息技术被应用在检验检疫业务中,如 “预警信息管理系统助力医学媒介生物监测鉴定”、“体温筛查系统助力旅客通关”、“视频监控系统助力口岸防控”、“射频RAID技术助力进出口货物检验检疫跟踪”成为推动检验检疫服务水平与业务高效、创新的重要手段。而在检验检疫系统的内部管理中,“CIQ2000系统数据大集中”、“视频会议系统全覆盖”、“业务无纸化流转”、“政务网站大整合”等,成为提升检验检疫工作质量和工作效率强有力的助推器。
随着检验检疫业务(以下简称“CIQ”业务)对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全管理体系与信息安全等级保护制度建设的重要科学方法之一。
二、风险评估介绍
目前最普遍使用的信息安全风险评估方法就是风险评估的国际标准ISO13335:2005,该标准已被等同转化为中国国家标准《GB/T 20984:2007 信息安全技术 信息安全风险评估规范》(简称《国标GB/T 20984》)。其中,关于风险大小的决定性因素的描述如下:1、业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;2、资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;3、风险是由威胁引发的,资产面临的威胁越多则风险越大;4、资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大;5、脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产。
对以上内容进行归纳,总结出风险分析的原理如图1所示。(图1)即,风险的大小是由风险的可能性和严重性决定的,威胁频率和脆弱性决定风险的可能性(L),资产价值和脆弱性决定了风险的严重性(F),通过识别资产价值(A)、威胁(T)和资产脆弱性(V)就可以计算出该资产的风险值。
因此,风险分析的主要内容就是:1、对资产进行识别,并对资产的价值进行赋值;2、对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;3、对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;4、根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;5、根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;6、根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
风险值=R(V,P,W)=R(O(P,W),S (V,W))。(为了与后文统一,在公式中用V、P、W、O、S替换了《GB/T 20984》5.6.1章节原文中的对应字母符号)
其中,R表示安全风险计算函数;V表示资产价值;P表示威胁频率;W表示脆弱性;O表示威胁利用资产的脆弱性导致安全事件的可能性;S表示安全事件发生后造成的损失。有以下三个关键计算环节:
(一)计算安全事件发生的可能性。根据威胁出现频率及脆弱性的状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:安全事件的可能性=L(威胁出现频率,脆弱性)=O (P,W)。
在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。
(二)计算安全事件发生后造成的损失。根据资产价值及脆弱性严重程度,计算安全事件一旦发生后所造成的损失,即:安全事件造成的损失=F(资产价值,脆弱性严重程度)=S (V,W)。
部分安全事件的发生造成的损失不仅仅是针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织的影响也是不一样的。在计算某个安全事件的损失时,应将对组织的影响也考虑在内。
部分安全事件造成的损失的判断还应参照安全事件发生可能性的结果,对发生可能性极小的安全事件,如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等,可以不计算其损失。
(三)计算风险值。根据计算出的安全事件的可能性以及安全事件造成的损失,计算风险值,即:风险值=R(安全事件的可能性,安全事件造成的损失)=R(O (P,W),S (V,W))。
评估者可根据自身情况选择相应的风险计算方法计算风险值,如矩阵法或相乘法。矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值。
三、什么是FMEA风险评估方法
(一)FMEA的起源和背景。国际标准化组织(ISO)于2002年3月公布了一项行业性的质量体系要求,它的全名是“质量管理体系—汽车行业生产件与相关服务件的组织实施ISO9001:2000的特殊要求”,英文为ISO/TS16949。标准中提供了实施必需的五大工具以保障体系的有效落地,它们分别是:产品质量先期策划(APQP)、测量系统分析(MSA)、统计过程控制(SPC)、生产件批准(PPAP)和潜在失效模式与后果分析(FMEA)。
潜在失效模式与后果分析(FMEA),又称为失效模式与影响后果分析、失效模式与效应分析、故障模式与后果分析或故障模式与效应分析等,是一种操作规程,旨在对系统范围内潜在的失效模式加以分析,以便按照严重程度加以分类,或者确定失效对于该系统的影响。FMEA广泛应用于制造行业产品生命周期、质量控制、风险分析等的各个阶段;而且FMEA在服务行业的应用也在日益增多。失效原因是指业务服务、产品加工处理、设计过程中或项目/物品/信息资产项、本身存在的任何错误或缺陷,尤其是那些将会对业务保障(或具体消费者)造成影响的错误或缺陷;失效原因可分为潜在的和实际的。影响分析指的是对于这些失效之处的调查研究。
FMEA是一种过程评价工具,于1950年起源于美国军方和宇航局,它是通过逐一分析过程中的各种组成因素,找出潜在的失效模式,分析可能产生的后果,并评估其风险,从而提前采取措施,以减少失效后的损失,降低发生的几率,所以在本文中引入FMEA的分析方法来解决传统风险评估方法中存在的一些缺陷。
(二)FMEA风险评估的原理。虽然ISO13335是目前全球使用最广泛的信息安全风险评估方法论,但是由于这份标准是2005年制定的,至今已有十余个年头。而这十年是信息技术蓬勃发展的十年,大量新的技术手段涌现并被人们使用。大数据、物联网、云计算等等这些新技术在带来技术革新和应用便利的同时,也带来了新的安全隐患。我们需要关注的风险除了资产本身的风险之外,还需要关注资产失效后的影响衍生出的风险,而传统方法在这一领域又难以有效地准确评价出风险的大小,因此我们需要一种能够更准确反映风险大小的评估方法。
对于风险值大小,我们还是遵循原有的规律,即严重性越高的风险越高;可能性越大的风险越高,即风险与严重性和可能性成正比。如图2所示。(图2)
在测量风险的严重性和可能性方面,相对于ISO13335:2005,我们多引入了一个参数,失效模式的影响(E),这个参数可能会影响到风险的严重性。因此,FMEA的风险评估方法论可以总结为:1、所有资产自身都有一定的脆弱性;2、威胁利用了资产的脆弱性导致了资产的失效;3、由于资产的失效而产生了风险;4、不同失效的程度导致风险的严重程度不同;5、资产价值和资产失效程度影响风险的严重性;6、威胁的频率和弱点被利用的难易程度影响风险的可能性;7、严重性和可能性决定了最终的风险值。
对已上内容进行归纳,总结出风险分析的原理如图3所示。(图3)
四、FMEA风险评估在CIQ的应用
FMEA风险评估方法自2008年首次被开发在信息安全管理体系中应用并于2009年通过国际第三方权威审核机构的ISO27001认证,经过多年的修订和持续研发,目前在中国检验检疫系统内已经有常州出入境检验检疫局、苏州出入境检验检疫局、江阴出入境检验检疫局等分支局在使用,跟检验检疫业务有关联性的海关、口岸等相关单位也有部分落地的案例。
(一)失效影响的赋值。FMEA风险评估方法的核心是引入了“失效模式的影响(E)”这一评估参数使得得到的风险值更加准确。如何对“失效模式的影响(E)”进行赋值,就是FMEA风险评估方法用于实际风险值计算的关键。
在《国标GB/T 20984》中将风险评估的所有参数(资产保密性、资产完整性、资产可用性、资产等级、威胁频率、脆弱性)均分为5个级别进行赋值,1级最低,5级最高。因为在计算风险值时也需要用到以上参数,为了保持与《国标GB/T 20984》的兼容性,我们将“失效模式的影响(E)”也同样分为5个级别,如表1所示。(表1)
为了方便应用,我们将这五个级别分别对应为下列五种失效程度,如表2所示。(表2)
(二)FMEA风险计算的原理。FMEA风险计算是通过资产价值(V)、失效影响(E)、威胁频率(P)和脆弱性(W)四个参数通过数学方法计算得到风险值(RPN)。
1、建立FMEA风险计算的数学模型首先要满足参数对风险值影响的方向:
(1)因为资产价值(V)、失效影响(E)、威胁频率(P)和脆弱性(W)对最终的风险值(RPN)为正向影响,所以V、E、P、W的数值与RPN数值成正比。
(2)V、E、P、W四个参数都大的风险值必然大,即:若V1>V2;E1>E2;P1>P2;W1>W2,则RPN(V1、E1、P1、W1)>RPN(V2、E2、P2、W2)。
(3)若任意三个参数相同,第四个参数大的风险值大,即:若V1>V2,则RPN(V1、E1、P1、W1)>RPN(V2、E1、P1、W1);若E1>E2,则RPN(V1、E1、P1、W1)>RPN(V1、E2、P1、W1);若P1>P2,则RPN(V1、E1、P1、W1)>RPN(V1、E1、P2、W1);若W1>W2,则RPN(V1、E1、P1、W1)>RPN(V1、E1、P1、W2)。
2、为了准确评价数学模型的有效性,应将模型计算值的影响因素减至最少,提供一个不受权重等因素影响的纯净模型,以便于及时调整。
(1)风险计算的四个参数,资产价值(V)、失效影响(E)、威胁频率(P)和脆弱性(W)对最终的风险值(RPN)的影响应该是相同的,即:RPN(V、E、P、W)=RPN(2、3、3、2)=RPN(2、2、3、3)=RPN(3、2、2、3)=RPN(3、3、2、2)。
(2)风险计算的四个参数,资产价值(V)、失效影响(E)、威胁频率(P)和脆弱性(W)的增幅对最终的风险值(RPN)的影响应该是相同的,即:RPN(V1、E1、P1、W1)-RPN(V2、E2、P2、W2)=RPN(5、5、5、5)-RPN(4、4、4、4)=RPN(4、4、4、4)-RPN(3、3、3、3)=RPN(3、3、3、3)-RPN(2、2、2、2)=RPN(2、2、2、2)-RPN(1、1、1、1)。
(3)在纯净风险模型计算结果的基础上,通过对比风险计算结果和实际风险差距,对风险分析的各个维度权重进行调整。
(三)FMEA风险计算公式。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在保密性、完整性、可用性这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性,以及已采用的安全措施都将对资产安全属性的达成程度产生影响。
风险计算方法:1、保密性、完整性和可用性决定资产价值:(1)保密性越高,资产价值越大;(2)完整性越高,资产价值越大;(3)可用性越高,资产价值越大。2、资产价值、资产失效程度决定风险严重性。3、威胁频率和资产脆弱性决定风险可能性。4、风险严重性与风险可能性决定风险值:(1)资产价值越高,资产失效后风险越大;(2)资产失效越严重则风险越大;(3)风险是由威胁引发的,资产面临的威胁越多则风险越大;(4)资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大。
风险计算公式:
资产价值V=■
严重性S=■
可能性O=■
风险值RPN=■
RPN=
■
其中,C、I、A、E、P、W是风险值RPN的计算参数,x、y、z、m、n、i、j、α、β是以上计算参数的权重。
假设权重系数全部为1的情况下,风险计算公式为:
RPN=■
若在风险分析中,我们更侧重于某项参数对风险值的影响,则可以调整该参数的权重值,如我们将权重参数设置为x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1,则表示失效影响(E)对风险值的影响更大,我们优先降低失效影响,可以更高效控制风险。
(四)FMEA风险评估在CIQ的应用成果。2012年末,常州出入境检验检疫局顺利通过中国信息安全认证中心(简称ISCCC)的ISO27001信息安全管理体系现场审核,成为国内首家实施信息安全管理体系并通过ISO27001认证的政府机构。2012年中国合格评定国家认可委员会(简称CNAS)信息安全认证专业委员会年会上,该项目被选为推荐案例,并受邀出席会议现场介绍体系建设、推广的成功经验,其中FMEA风险评估法作为该项目的重要创新点,受到与会专家的特别关注,并受到与会专家的一致好评。通过对FMEA风险评估方法论的原理和分析模型的详细介绍,经与会专家论证,均认可该方法的先进性已经超越了ISO13335:2005(国标GB/T 20984:2007),在全球信息安全风险评估方法论的理论研究和实践中处于领先水平。
五、结束语
随着中国加入世贸组织,对外贸易和活动日益频繁,出入境检验检疫业务量激增,对信息系统的依赖程度也越来越大,因此对信息安全的要求也逐年提高,风险评估是信息安全管理的基础,其重要性不言而喻。本文系统地阐述了作者在信息安全风险管理领域的研究成果及在检验检疫系统内单位的实施经验,对检验检疫系统内其他单位在信息安全风险评估方面工作具有很好的参考性。
本文在研究的深度上还有待进一步挖掘。特别是对于如何得到“失效模式的影响(E)”这一参数的精确值,作者设想可以从对“失效时间范围”、“失效空间范围”、“失效方式”、“失效程度”、“失效恢复能力”等方面进行分析,通过一个数学模型计算得到以上失效因素对最终“失效模式的影响(E)”变化的影响,以便于分析结果更精准。
(作者单位:1.中国信息安全认证中心江苏中心;2.常州出入境检验检疫局)
主要参考文献:
[1]嵇国光,王大禹,严庆峰.ISO\TS16949五大核心工具应用手册.中国标准出版社,2010.11.1.
[2]孙远志,吴文忠.检验检疫风险管理研究.中国计量出版社,2014.1.1.
[3]GB7826-87系统可靠性分析技术,失效模式和效应分析(FMEA)程序.
[4]GB/T 20984-2007信息安全技术、信息安全风险评估规范.中国标准出版社,2007.8.1.
[5]GB/T22080-2008信息技术安全技术信息安全管理体系要求.中国标准出版社,2008.6.2.
[6]李宗,华菊.对检验检疫风险防范管理的认识.中国检验检疫,2011.3. |
|
|
|
