基于博弈地信息安全风险处理决策研究.pdfVIP

基于博弈的信息安全风险处理决策研究 陈永刚，贾春福 (南开大学信息技术科学学院，天津3嗍O) 吕述望，刘振华 (信息安全国家重点实验室，北京100049) 摘要s按照意识形态的不同，文章将威胁源划分为理性威胁源和非理性威胁源，并基于博 弈理论建立了理性威胁源与决策者之间的攻防模型。通过对参与双方的成本和收益状况分 析，得到决策者在理性威胁源发动攻击时，控制收益、攻击损益等因素之间的函数关系，从 而给出能够动态调整安全控制策略的决策方案。 关键字·风险处理，博弈，控制措施 1 引言 风险处理是信息安全风险管理流程中最重要的一个环节，是信息得以安全的基础和保 障。在风险管理中，如果把风险评估比喻为“对症”的过程，那么风险处理就是“下药”的 过程。无论风险评估的流程多么科学，评估结果多么精确，如果没有合理、有效的风险处理 过程，那么所有的工作都是纸上谈兵，组织的信息安全问题也根本不可能得到妥善解决。 目前，信息安全风险处理主要是基于风险评估的结果，采用成本效益分析法对控制收益 和风险损失进行分析和比较，控制高风险、对于小风险或控制成本大于损失的风险则不予处 理【l】。这种风险处理方式在一定程度上满足了组织的安全收益，但是，它是从静态的角度处 理组织面临的风险，并没有考虑到风险的动态变化性，也没有考虑控制措施实施的成功性及 实施控制措施后对信息资产的影响(如可用性)，因此，这种风险处理方式并不能保证组织 获取最大的安全收益。 2博弈决策模型 2．1模型基础 能性、I(Impact)删J¨J。 由计算公式可以看出，风险的动态性与威胁源的动机密切相关，因此，针对不同的威胁 源应采用不同的风险处理策略。 按照意识形态的区别，威胁源可以划分为理性威胁源和非理性威胁源。理性威胁源是指 威胁源能根据组织信息资产的安全和防护状况动态地调整自己的攻击策略，以期最大化攻击 收益(如黑客)口4J；非理性威胁源是指威胁源的攻击策略不因信息资产安全和防护状况的 变化而变化，始终采取相同的攻击策略，行为具有非理性的性质(如地震)。 对非理性威胁源，考虑到风险的稳定性，文章仍沿用以前的风险处理方法进行处理，对 188 于理性威胁源，则采取了基于博弈的风险处理模型(为阐述方便，文中稍后提到的威胁源， 如无特别说明，均指理性威胁源)。 2．2博弈模型 博弈模型采用二人博弈，局中人是威胁源和组织决策者·威胁源有两种策略sI和＆， 分别表不发动和不发动攻击，组织决策看有两种策略fl和t2，分别表不采取和不采取控制措 施，设威胁源和组织决策者的效用矩阵分别为： p^lpfl2 TM-I l (1) Lpt=,pt=J 叫置笼] ㈤ TM、DM中的行向量分别对应于组织决策者的策略fl和t2，列向量分别对应于威胁 源的策略墨和屯·TM中的元素p勺(f，j=l，2)表示决策者选择策略‘、威胁源选择策略sJ 时威胁源获取的攻击效用，DM中的元素p略(f，j=l，2)表示决策者选择策略‘、威胁源选 择策略sJ时决策者获取的控制效用·效用的详细描述请见式(3)、(4)： o l (3) TM=Ic耐+q’一p竺-q)k L c0一p屯 oj 删=P+心≯一九％二九]㈩ 其中，％是执行控制措施所需要的成本：，删指执行控制措施后，对信息资产安全性 能的改善(可为负值)；‰指威胁源攻击成功后对信息资产造成的损害；R矾是威胁源攻 击成功所获得的效用；c甜是威胁源发动攻击所需要的成本；如指执行控制措施成功对信 息资产的恢复(或使信息资产减少的损失)；匕是执行控制措施对威胁源带来的惩罚；P是 威胁源攻击成功的概率；留是控制措施成功实施的概率，且匕，％o，k‰o， 屯乞0，0≤P，q≤1。