发生后广生的后果,米用 "非常严重(VS)、严重(S)、一般(G)、不严重(US)、极不严重(VUS) "五个等级表示,?&1为危 害事件%可能发生的概率,用百分比表示。
[0064] (2)对危害事故集合中的每种危害事故根据专家评估结果采用模糊综合评估方法 评估其发生后产生的后果。
[0065] 首先构造判断矩阵J如下:
[0066]
[0067] 其中jxy · jyx= I ;x, y = 1,2, · · ·,n。j xy表示危险事件ax相对于ay产生的后果 的重要程度,其评判标准如下表2所示。
[0068] 表2判断矩阵中元素的标度表
[0071] 完成判断矩阵J后,对其进行一致性验证,验证指标为
[0073] 其中λ为判断矩阵J的最大特征根。一致性指标Cl的含义为:
[0074] ?当Cl = 0时,表示有完全的一致性
[0075] ?当CI接近于0时,表示有满意的一致性
[0076] ?当Cl = 1时,表示完全不具有一致性
[0077] 为使评估更为科学,可以采用多组评分结果进行评估,分别构造判断矩阵,求取对 应一致性指标CI 1, CI2, ...,CIk,计算随机一致性指标RI如下
[0081] 一般的,当一致性比率CR < 0. 1时,认为对应J的不一致性在容许的范围内,有满 意的一致性,通过一致性检验。如果CR多0. 1时,认为对应J的不一致性不再允许范围内, 需要重新选择矩阵的数值,直到通过一致性检验。
[0082] 通过一致性检验的判断矩阵J,计算其特征根,设最大特征根对于的特征向量为A =(ω ω 2, . . .,ω n),在ω ω 2, . . .,ω n最大、最小值的区间内,将η个值进彳丁均勾的五等 分模糊化,最终得到危害事故%发生后产生的后果Ca 1<3
[0083] (3)依据系统资产间的依赖关系,结合资产的失效概率,确定危害事故集合中的每 种危害可能发生的概率。
[0084] 计算危害事件&1可能发生的概率,依据系统的资产清单,分析危害事故与资产之 间的关系,这种关系包括:(a)几种资产同时失效引发某一危害事故,(b)几种资产中,只要 有一种资产失效,则引发危险事件,(c)前两种情况的混合。如图2所示示例中,对情况(a) 危害事件%可能发生的概率为
其中为图2(a)中第i个资产的失效概 率;对于情况(b)危害事件可能发生的概率为
;对于情况(c)危害事 件%可能发生的概率为
[0085] 步骤三:根据危害事故的分析结果,评估其功能安全方面的潜在风险,结合行业对 系统的风险承受能力,确定哪些危害事件需要进一步采取功能安全保障措施,进而确定对 系统中功能安全保护需求(即功能安全需求R saf_)
[0086] (1)结合危害事故发生造成的后果和可能发生的概率,评估各类危险事件的功能 安全风险。
[0087] 将危害事件可能发生的概率进行等级化(一般采用三等级、五等级或七等级),这 里以分为五等级为例(极有可能发生HL、较有可能发生VL、可能发生L、较不可能发生VUL、 极不可能发生HUL),一般是在区间[0,1]内均匀划分。功能安全风险与危害事件可能发生 的概率和其后果相关,将功能安全风险分等级,一般可分为三等级(可视行业要求进行修 改)。
[0088] 表3风险等级划分
[0089]
[0090] 结合危害事件发生后可能,构建风险评估表如下表4所示,进而得到对应危害事 件的功能安全风险等级。
[0091] 表4风险等级评估表
[0092]
[0093] (2)结合各类危险事件的应对措施,根据各类危险事件功能安全风险等级,判断是 否需要施加对应的功能安全保障措施来降低或消除风险。
[0094] 依据行业或系统对危险事件的风险承受能力(例如行业要求系统本能出现危害 事件的高于L的情况),确定不满足要求的危害事件。分别针对不满足要求的危害事件,从 功能安全组件库选取合适的安全组件,缓解功能安全风险。
[0095] (3)将整个系统所需的功能安全保障综合起来,形成系统的功能安全需求集 Rsafety 0
[0096] 系统所有的功能安全组件构成了系统对功能安全的需求,即可获得系统的功能安 Rsafety0
[0097] 步骤四:根据系统的资产,分析资产的固有漏洞及其可能面临的信息安全威胁及 对应的防护措施。
[0098] (1)针对资产清单中的各种资产,依据其固有的漏洞,分析可能面临的威胁列表、 以及所有可用的保护措施。
[0099] 首先,将系统中涉及到的漏洞收集形成漏洞集V = Iv1, v2, ...,V1, ... vp},其中V1 为第i个漏洞,P为漏洞集中漏洞的个数。
[0100] 然后,针对漏洞集中的每个漏洞分析其保护措施,面临的威胁,将漏洞形式化的表 示为如下所示:
[0101] Vi= (protectlist i,Pvi, [threat; 0 Pvi J,[threat; 2, Pvi 2],· · ·,[threat; " Pvi j ],· · ·)
[0102] 其中Protectlisti为针对漏洞v ;的防护措施列表,pv ;为漏洞被利用的概率, [threat ,,pVl ,]分别为漏洞\面临的第j个威胁以及漏洞V i被威胁threat i ,利用的概 率。其中防护措施列表和威胁通过分析调研获得。
[0103] (2)分析资产的固有漏洞和可能面临的信息安全威胁,依据行业的历史数据,利用 专家评估的数据通过模糊评估方法判断各种漏洞可能被威胁所利用的概率。
[0104] 首先分析资产的固有漏洞和可能面临的信息安全威胁,然后依据行业的历史数 据,利用专家评估的数据通过模糊评估方法判断各种漏洞可能被威胁所利用的概率。针对 一个漏洞存在多个威胁的情况,通过多个威胁于漏洞之间的关系获得漏洞被利用的概率 pVi,其计算方式类同图2所示。
[0105] 步骤五:根据资产的重要性等级、其漏洞被利用的可能性,采用模糊评估的方法评 估资产的信息安全风险等级,结合系统能够承受的信息安全风险等级,判断需要加强保护 的系统资产,进而确定资产的信息安全防护措施,所有资产需要的保护措施形成了系统的 信息安全防护需求(即信息安全需求集R s_"ty)
[0106] (1)将资产对应的漏洞列表中的每个漏洞可能被利用的概率进行模糊化得到对应 的模糊向量。
[0107] 将漏洞被利用的概率在区间[0, 1]上均匀划分为五等级,分别为"非常高(VH)、高 (H)、中等(M)、低(L)、非常低(VL) ",并且将pVl进行模糊化的到模糊向量;H。
[0108] (2)根据系统的资产列表获得其在系统中的重要性程度(如表1所示,分为三个等 级),并同样将其进行模糊化,得到对应的模糊向量。
[0109] 针对资产&1,评定其重要性程度Ia1,一般将其分为三个等级:重要资产(CA)、一般 资产(M)、非重要资产(NCA),并将其进行模糊化的到自残的重要性程度的模糊量7^;。
[0110] (3)将信息安全风险按照行业或系统要求划分等级,例如划分"高(HR)、中(MR)、 低(LR) "三个等级。
[0111] (4)设计系统的信息安全风险模糊评估的隶属度矩阵,其一般原则是资产越重要 而且漏洞被利用的概率也越大,则风险等级越高;资产越不重要而且漏洞被利用的概率也 越小,则风险等级越低。具体依据行业和系统的具体情况而定。然后,结合资产重要性的模 糊向量和对应漏洞被利用可能性的模糊向量,计算出该漏洞的风险模糊向量。并通过模糊 向量的方模糊化得到该漏洞的风险等级。
[0112] 首先,构造由资产重要性程度$:和漏洞被利用程度^组成的信息安全风险模 糊评估的隶属度矩阵,表5为一个信息安全风险模糊评估的隶属度矩阵实例。
[0113] 表5信息安全风险模糊评估的隶属度矩阵
[0114]
[0115] 然后,通过资产重要性程度7?.和漏洞被利用程度:?以及信息安全风险模糊评 估的隶属度矩阵求取资产%的风险模糊向量^,按照隶属度最大原则进行反模糊化,得 到资产a;的风险等级Risk i。
[0116] (5)根据系统中资产对信息安全风险的承受能力,判断该漏洞是否需要进行防护, 若是给出防护措施。
[0117] 依据行业或系统对信息安全风险等级的要求,判断资产是否需要添加防护,对于 需要添加防护的资产,从其对应漏洞的保护列表选取保护措施。
[0118] (6)形成系统的信息安全需求集。