信息系统安全风险的概念模型和评估模型
叶志勇
摘要：本文阐述了信息系统安全风险的概念模型和评估模型，旨在为风险评估工作提供理论指导，使风险评估的过程和结果具有逻辑性和系统性，从而提高风险评估的质量和效果。

风险的概念模型指出，风险由起源、方式、途径、受体和后果五个方面构成，分别是威胁源、威胁行为、脆弱性、资产和影响。

风险的评估模型要求，首先评估构成风险的五个方面，即威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度，然后综合这五方面的评估结果，最后得出风险的级别。

关键词：安全风险、安全事件、风险评估、威胁、脆弱性、资产、信息、信息系统。

一个机构要利用其拥有的资产来完成其使命。

因此，资产的安全是关系到该机构能否完成其使命的大事。

在信息时代，信息成为第一战略资源，更是起着至关重要的作用。

信息资产包括信息自身和信息系统。

本文提到的资产可以泛指各种形态的资产，但主要针对信息资产及其相关资产。

资产与风险是天生的一对矛盾，资产价值越高，面临的风险就越大。

风险管理就是要缓解这一对矛盾，将风险降低的可接受的程度，达到保护资产的目的，最终保障机构能够顺利完成其使命。

风险管理包括三个过程：风险评估、风险减缓和评价与评估。

风险评估是风险管理的第一步。

本文对风险的概念模型和评估模型进行了研究，旨在为风险评估工作提供理论指导，使风险评估的过程和结果具有逻辑性和系统性，从而提高风险评估的质量和效果。

一、风险的概念模型
安全风险（以下简称风险）是一种潜在的、负面的东西，处于未发生的状态。

与之相对应，安全事件（以下简称事件）是一种显在的、负面的东西，处于已发生的状态。

风险是事件产生的前提，事件是在一定条件下由风险演变而来的。

图1给出了风险与事件之间的关系。

图1 风险与事件之间的关系
风险的构成包括五个方面：起源、方式、途径、受体和后果。

它们的相互关系可表述为：风险的一个或多个起源，采用一种或多种方式，通过一种或多种途径，侵害一个或多个受体，造成不良后果。

它们各自的内涵解释如下：
⏹ 风险的起源是威胁的发起方，叫做威胁源。

⏹ 风险的方式是威胁源实施威胁所采取的手段，叫做威胁行为。

⏹ 风险的途径是威胁源实施威胁所利用的薄弱环节，叫做脆弱性或漏洞。

⏹ 风险的受体是威胁的承受方，即资产。

⏹ 风险的后果是威胁源实施威胁所造成的损失，叫做影响。

图2描绘了风险的概念模型，可表述为：威胁源利用脆弱性，对资产实施威胁行为，造成影响。

其中的虚线表示威胁行为和影响是潜在的，虽处于未发生状态，但具有发生的可能性。

潜在
（未发生状态）
显在
（已发生状态）
图2 风险的概念模型
如上所述，当风险由未发生状态变成已发生状态时，风险就演变成了事件。

因此，事件与风险具有完全相同的构成和几乎相同的概念模型。

图3给出了事件的概念模型。

比较图2和图3可以看出，风险概念模型中的虚线在事件概念模型中变成了实线，表示威胁行为和影响已经发生了。

图3 事件的概念模型
二、风险的评估模型
风险评估的目的就是要识别风险，以便采取相应措施来阻止其演变成为事件。

风险评估模型为测定风险大小提供方法和基准。

通过评估风险，可以确定各种风险的级别，进行排序和比较，有利于按照等级保护的策略，实施突出重点的适度安全控制。

评估风险首先要从构成风险的五个方面做起，然后综合各方面的评估结果，最后得出风险的级别。

1．风险起源——威胁源
威胁源的动机是评估对象。

威胁源按其性质一般分为三种：自然威胁、环境威胁和人为威胁。

自然威胁和环境威胁属于偶然触发，不存在动机因素。

人为威胁根据意识有无分为无意的和有意的。

无意的人为威胁属于疏忽大意，基本没有动机；有意的人为威胁属于故意行为，是有动机的。

按照威胁源动机的强弱程度可分为高、中、低三级，如表1所示。

表1 威胁源动机的级别划分
威胁行为的能力是评估对象。

不同的威胁源有各自的威胁行为，表2对此进行了概括。

表2 威胁源与威胁行为
地区明显要高；洪水的威胁性在沙漠地区显然很低。

越是先进的攻击工具，威胁行为的攻击能力就越强。

比如，网上窃听比物理窃取更加容易和隐蔽。

按威胁行为能力的大小可分为高、中、低三级，如表3所示。

表3 威胁行为能力的级别划分
脆弱性的被利用性是评估对象。

资产的载体和环境存在着薄弱环节或缺陷，可能被威胁源利用。

脆弱性或漏洞存在于管理、运行和技术三个方面。

表4列出了一些脆弱性的例子。

表4 脆弱性示例
表5 脆弱性被利用性的级别划分
资产的价值是评估对象。

资产是有价值的东西。

只要价值存在，就会招致威胁。

因此，资产是风险存在之根源。

资产以各种形态存在。

表6按物理资源、人力资源、知识资源、时间资源和信誉资源分类列出了主要信息资产及其相关资产的形态。

表6 资产类别与形态
就越大。

资产的价值可被划分为高、中、低三级，如表7所示。

表7 资产价值的级别划分
影响的程度是评估对象。

资产受损带来的影响一般与资产的价值成正比。

比如，软件产品源代码是公司最关键和最敏感的资产，如果丢失将给公司带来灾难性的后果，如果失窃也将给公司带来严重的影响。

有些技术可以缓解因重要资产损失所带来的严重影响。

比如，采用双因子认证技术，如USB Key和PIN码组合认证，可以保证其中一个因子的丢失或泄漏，不会导致认证保护的崩溃。

按照影响程度的大小可分为高、中、低三级，如表8所示。

表8 影响程度的级别划分
风险评估的综合结果产生步骤如下：
（1）威胁源动机级别与威胁行为能力级别组合，产生威胁级别，表示威胁自身的潜力。

（2）威胁级别与脆弱性利用级别组合，产生威胁/脆弱性对级别，表示威胁借助脆弱性后的潜力。

（3）资产价值级别与影响程度级别组合，产生资产/影响对级别，表示资产对机构的重要程度。

（4）威胁/脆弱性对级别与资产/影响对级别组合，产生风险级别。

X级别与Y级别组合方法如下：
（1）分别用1、2、3表示低、中、高。

（2）采用表9所示的算法进行组合（注：这只是一种最简单的算法，不排斥其他更有效的算法）。

表9 X级别与Y级别的组合算法
表10 威胁源动机级别与威胁行为能力级别组合
上述的单项评估采用的是“高、中、低”三级，也可根据实际需要采用四级或五级。

单项评估的级别增加了，综合评估结果的级别也会随之增加。

给定可接受的最高风险级别，通过风险评估，一方面可以判断当前的风险状态是否可接受，另一方面可以评判采用的风险控制手段是否适度。

三、总结
风险的概念模型：风险由起源、方式、途径、受体和后果五个方面构成，分别是威胁源、威胁行为、脆弱性、资产和影响。

风险的评估模型：首先评估构成风险的五个方面，即威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度，然后综合这五方面的评估结果，最后得出风险的级别。

风险评估的理论模型不限于概念模型和评估模型，还应包括过程模型、数据模型、计算模型、管理模型等。

由于本文的篇幅所限，不在这里逐一赘述。

风险评估的理论模型需要在实践中得到检验和完善。

北京清华得实科技股份有限公司已经在风险评估的理论和实践中做了大量的工作，积累了不少的成果和经验。

我们会陆续撰写成文，通过各种渠道与业内同行共享和交流，并希望得到各方面的反馈意见和建议。

联系方法
联系人：叶志勇
Email：garrickye@。