所謂風險管理(risk management)指的是可以接受的成本,確認、控制、排除 可能影響資訊系統的安全風險或將其帶來的危害最小化的過程。於風險管理上,
主要包括風險評鑑(risk assessment)、風險處理(risk treatment)、風險承受(risk acceptance)及風險溝通(risk communication)等四項。
所謂風險評鑑指的是評估資訊安全漏洞對資訊處理設備帶來的威脅和影響 及其發生的可能性。風險評鑑主要又包含:風險分析(risk analysis)及風險評估(risk evaluation)。其中風險分析,指的是以有系統的方式利用資訊,以識別來源並估 計 風 險 的 行 為 , 它 包 括 風 險 的 識 別(risk identification) 及 風 險 估 計 (risk estimation);換句話說,藉由風險識別及評估風險所帶來的衝擊等程序,以提出 如何降低風險的建議方案。而風險分析是風險管理的基礎,它主要探討資產 (Asset)、弱點(Vulnerability)與威脅(Threat)三要素間的關係。所謂的資產,即是 對組織有價值的任何事物;所謂的弱點,即是一項或一組資產能夠被威脅利用的 脆弱處。而所謂的威脅,即是一個意外事件可能導致系統或組織的損害的潛在原 因。而三要素與風險分析間的相依圖,如下圖3。
圖 3:風險分析中各要素的關聯
由於風險分析是風險管理架構的基礎,因此,本論文將先介紹幾種現有的風 險分析模式,現有的風險分析法包括:
(一) HazOp
HazOp 是 Hazard and Operability 的縮寫,中文是危害及可操作性分析。如同 What-If 分析,是一種強調腦力激盪,集眾智產生新認識、新觀念的分析方法。
不同於 What-If 的是 HazOp 跨越 What-If 分析結構鬆散的門檻,藉著引導詞 (Guide word)與製程參數的結合,進一步探索系統設計與操作程序內潛藏的缺 陷。因為是集體創造,HazOp 必需集合各種不同經驗、知識,和專業訓練的人 在小組會議中相互研討設計及操作上的問題。這些問題通常是與設計的預期目 標生歧異之情事。分析小組設法找出偏差或偏離(deviation)的原因,以及其可能 造成的後果。藉由危害後果評估,可進一步實施量化風險分析。但量化風險分 析不是HazOp 小組的工作。HazOp 僅是定性地搜尋危害來源而己,並建議改善 對策。
(二) 失誤樹分析
失誤樹分析((Fault Tree Analysis, FTA),於 1961 年 H.A. Watson、A.B.
Mearns(1965)研究出一種邏輯圖形的方法,以追溯系統中所有可能導致不幸結 果的失誤原因群,由於分析出來的形狀如樹,因此稱失誤樹。失誤樹分析的概 念是藉由目前產生之錯誤紀錄,逆向推導可能造成該錯誤發生的原因。
我們以下圖4 當作舉例說明失誤樹分析是如何進行的:當一項產品或流程產 生意料之外的錯誤時,我們將以這個錯誤為最初事件(Top event),或稱作根 (Root),然後逐一將可能造成該錯誤的影響原因或事件加入至最初事件之底 下,接著檢討各項影響原因或事件之發生機率而後加以標示。
圖 4:失誤樹分析之範例圖
失誤樹分析既可用以探究意外事故發生的原因,並就每一促成因素生的機 率,瞭解各失敗結果的相互因果關係,故有些安全工程師常使用它來做為意外 事故防止的分析工具,或在事故生發生後的調查方法。
(三) FMECA
FMECA 是(1) FMEA (Failure Modes and Effects Analysis, 故障型式及其影響 分析);(2)CA(Criticality Analysis, 嚴重度分析)兩種分析技術的總稱。與失誤樹分 析一樣,故障型式影響及嚴重度分析(Failure Modes, Effects and Criticality Analysis, 簡稱 FMECA)也是目前工業界的設計工程師與可靠度(Reliability)工程 師常採用的方法。藉由 FMECA 以預測複雜的產品的可靠度,預估一件產品的 零件在某特定的時間及情況下,如何失去其功能,故障的次數是多少,故障之 後對其他零件或對整個系統會產生怎樣的影響等。
在一般標準情況下,故障型式影響及嚴重度分析共有三個指標需要預先定義 與量測:
¾ 嚴重性(Severity, S)
¾ 發生機率(probability of Occurence, O)
¾ 偵測機率(probability of Detection, D)
每個指標的數字從程度最低1 到程度最高 10 排序,最後 FMECA 根據這三 個指標可經由下列公式計算出風險優先值(Risk Priority Number, RPN):
D O S
RPN = × ×
下面三張表各別列出三項指標的標準。
表 1:嚴重性標準表 Rating/Rank Effect
1 None
2 Very Minor
3 Minor
4 Very Low
5 Low 6 Moderate 7 High
8 Very High
9 Hazardous with Warning 10 Hazardous without Warning
表 2:失誤發生機率標準表 Rating/Rank Effect
1,2 Remote: Failure is unlikely 3,4 Low: Relatively few failures 5,6 Moderate: Occasional failures 7,8 High: Frequently failures 9,10 Very High: Persistent failures
表 3:失誤偵測機率標準表 Rating/Rank Effect
1 Almost Certain
2 Very High
3 High 4 Moderately High 5 Moderate 6 Low
7 Very Low
8 Remote 9 Very Remote 10 Absolute Uncertainty
失誤樹分析與故障型式影響及嚴重度分析此兩種方法均為業界中常用且都 是依靠錯誤藉以察覺潛在的風險,但是兩者的觀念剛好相反。失誤樹分析的作 法是找出已知的錯誤,檢討可能造成該錯誤發生的所有影響因素;而 FMECA 則是在事前檢查所有的元件跟流程,探討哪部分的環節可能存在潛在的風險因 子。因此,如能將 FMECA 與失誤樹分析合併使用,必更能瞭解整個作業系統 的危害,進而防範事故生。
(四) CORAS
諮詢式物件導向風險分析法(Consultative Objective Risk Analysis System, CORAS 是一個安全評論系統,用模型為基礎的風險評估發展出來的架構。其 目的為了改善安全評論系統的方法論和電腦化為目標,使其能做出更精確、不 含糊而且有效的風險評估。其架構如下圖5:
圖 5:CORAS 架構圖
在一個Web-based 的系統中,如何使其可以穩定的運作,往往是為每個系統 設計者在剛開始都會碰到的問題,而這類型的問題在牽涉到資訊安全時又特別重 要、不容忽略。在通常狀況下我們可以把Web-based 資訊系統所有的操作情況分 為三種領域:
¾ 標準領域(Standard Domain, SD)-在系統之中能正確依照程序完成要求 的所有操作情形之集合,我們稱之為標準領域。
¾ 錯誤領域(Failure Domain, FD)-在系統之中正確依照程序、系統卻達成 與要求結果互相矛盾的所有操作情形之集合,稱為錯誤領域。
¾ 意外領域(Unanticipated Domain, UD)-則是指在系統之中所有不能明 確詳述的操作情形之集合。
我們可以用下圖6 說明這三個領域在系統中的分佈狀況:
SD
FD
UD SD
FD
UD
圖 6:SD、FD 以及 UD 三者於系統分佈之概念圖
一個系統的可靠度跟其錯誤領域相關,當錯誤領域所含有的元素越少時,則 其可靠度就會增加;而系統的穩定性則跟意外領域有關,當意外事件越少發生,
就代表系統的穩定性越強。由於權限指派錯誤而產生的問題通常屬於UD,權限 指派至錯誤的主體上即為一例,故在合理的權限指派至主體上之前,應該針對各 個權限及主體的相關性進行風險分析評估,才能確保所有的權限與主體皆能無誤 的正常使用以及接受系統控管。