CN109918935B

CN109918935B - 一种内部泄密威胁防护策略的优化方法

Info

Publication number: CN109918935B
Application number: CN201910207755.1A
Authority: CN
Inventors: 胡晴; 许承东
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2019-03-19
Filing date: 2019-03-19
Publication date: 2020-10-09
Anticipated expiration: 2039-03-19
Also published as: CN109918935A

Abstract

本发明涉及一种内部泄密威胁防护策略的优化方法，该方法用于验证企业或其他组织机构内部泄密威胁防护策略能否有效避免内部人员泄露受保护的企业信息，并为无效的内部泄密威胁防护策略提供优化建议。该方法首先明确要保护的重要数据、目标系统和涉及的内部人员，并对重要数据面临的外部威胁和安全风险进行评估量化；然后提取对内部人员决定是否遵守行为规范产生影响的因素，分别采用不同方法进行量化；最后通过评估内部人员在不同决策下的收益来检验内部泄密威胁防护策略的有效性，当内部泄密威胁防护策略被判定为无效时，给出相关参数的建议取值。

Description

一种内部泄密威胁防护策略的优化方法

技术领域

本发明涉及一种内部泄密威胁防护策略的优化方法，特别涉及一种以保护网络中重要信息不被泄露为目标、针对内部泄密威胁防护策略进行有效性验证与优化的方法。

背景技术

近几年，企业信息泄露事件频发，不仅给企业带来大量经济损失，还可能导致企业在公众中的威望和信任度下降。研究表明，大部分信息泄露的源头是企业内部人员。内部人员有意或无意的行为都有可能给攻击者可乘之机，造成信息泄露。为了保护重要信息不被内部人员泄露，企业往往会制定和实施一系列防护策略，包括安全技术方案和安全行为管理策略，依靠技术防护和规范内部人员行为来尽可能保护重要信息的机密性。其中安全行为管理策略不仅包含对内部人员行为的要求，即内部人员安全行为规范，还有配套的监督机制和奖惩措施，以促使内部人员遵守安全行为规范。

然而，在上述防护策略的框架下，面对企业的安全行为规范，如果有内部人员选择不遵守，则以上防护策略对内部泄密威胁的防范作用是极其有限的。目前已有研究探讨了内部人员不遵守行为规范的原因，如按行为规范进行操作太过繁琐、违规成本低等等。但这些研究只是定性描述，缺乏对安全行为管理策略(包括安全行为规范和配套的监督机制与奖惩措施)乃至整个内部泄密威胁防护策略的指标量化、有效性评价和优化的具体方法。

发明内容

本发明的目的是提供一种内部泄密威胁防护策略的优化方法，该方法用于验证内部泄密威胁防护策略能否有效避免内部人员泄露受保护的企业信息，并为无效的内部泄密威胁防护策略提供优化建议。

本发明的目的是通过下述技术方案实现的。

一种内部泄密威胁防护策略的优化方法，具体步骤如下：

步骤1、明确要保护的重要数据、目标系统和涉及的内部人员，具体化安全目标和安全方案，评估量化重要数据面临的外部威胁和安全风险，归一化之后的威胁值和风险值即为本方法中的外部威胁值λ和风险值r；

步骤2、评估量化对内部人员决策产生影响的因素，具体包括：重要信息对内部人员而言的价值V_I，内部人员违规时给目标系统带来的额外风险g，内部人员在严格遵守行为规范的情况下，为完成日常工作任务需付出的额外成本Δ，防御方能正确发现违规行为的概率p，防御方对违规内部人员的惩罚C等。

步骤3、用符号s₁代表内部人员的行为“遵守安全行为规范”，s₂代表“不遵守安全行为规范”，内部人员的实际决策记为S，S∈{s₁，s₂}。计算内部人员在遵守安全行为规范和不遵守安全行为规范两种决策下，即S＝s₁，S＝s₂时的收益：

当内部人员选择遵守安全行为规范时，要付出额外的工作成本Δ，但会得到防御方的奖励x；当内部人员违规时，会给目标系统带来额外的风险g，如果防御方能及时发现违规行为，则会采取措施缓解此风险，此时内部人员会受到惩罚C，反之，内部人员仍会得到奖励x，但实际上需承担额外风险造成的损失V_Iλg。

步骤4、判定内部泄密威胁防护策略的有效性。如果遵守安全行为规范能给内部人员带来更大的收益，则理性的内部人员趋向于选择遵守行为规范，此时内部泄密威胁防护策略有效，否则防护策略无效。

步骤5、当内部泄密威胁防护策略被判定为无效时，给出可调节参数的建议取值。防御方可据此优化内部泄密威胁防护策略。

待防御方优化Γ后，重复步骤1-步骤5，直到对于所有j∈{1，…，J}，都有S_jBest＝s₁，且内部泄密威胁防护策略Γ符合防御方的安全需求为止。

有益效果

本发明的一种内部泄密威胁防护策略的优化方法，用于验证内部泄密威胁防护策略能否有效避免内部人员泄露受保护的企业信息，并为无效的内部泄密威胁防护策略提供优化建议。

附图说明

图1为本实施例的场景示意图。

具体实施方式

为使本发明的上述目的、特征和步骤能够更加明显易懂，下面通过具体实施例和附图，对本发明做进一步说明，但不构成对本发明的限制。场景示意图见图1。

本实施例场景选自某互联网公司的核心软件产品开发环境。其软件在内网开发环境中开发，该环境为独立空间，其中部署了一个与互联网物理隔离的内部局域网，简称内网，专门用于编写、调试程序和管理源代码。

源代码服务器上安装VSS(Visual Source Safe)服务器进行代码管理。要对源代码进行操作，首先需要在用于编程的计算机(以下简称编程计算机)上安装VSS客户端，然后通过客户端登录到VSS服务器，checkout文件到本地工作目录，对本地工作目录当中的文件进行修改调试，再将工作目录中的文件checkin。

假设有且仅有3名内部人员有权限访问源代码服务器，此3人各自负责一些功能模块的开发，所述功能模块互不重叠，每人能接触到的源代码信息量占总信息量的1/3。此软件在市场上估值为300万元人民币。为了防止源代码泄露，该公司的安全主管及相关管理人员(即防御方)制定了一套安全方案，包括安全技术方案和安全行为管理策略(内部人员的安全行为规范、监督机制和奖惩措施)，详情如下：

·安全技术方案：

1)卸载无线网卡。

2)拆除源代码服务器和编程计算机的光驱软驱，并通过修改注册表的方式禁用它们的USB接口。

3)内网边界部署防火墙和入侵检测，网络内部部署集中管理式的防病毒产品(防范非法访问、黑客攻击和病毒感染等)。

4)内网中部有一台终端监控服务器，源代码服务器和所有编程计算机上都装有终端监控客户端，记录各设备联网、输入输出、修改注册表等情况。每当源代码服务器或任何编程计算机上出现违规联网、违规输入输出、违规修改注册表等情况，终端监控服务器都会立即发出警报。

·安全行为管理策略

·安全行为规范

1)编程计算机不允许连接互联网；

2)编程计算机开机状态下，监控软件客户端也必须开启；

3)手机等具备拍照和摄像功能的设备不许带入内网开发环境(以免内部人员主动或被动用手机将源代码带出内网开发环境)。

·监督机制

派专门的监督人员负责查看监控中心，并不定期巡逻内网开发环境。

·奖惩措施

遵守安全行为规范时，以保密津贴的形式给予资金奖励；违反安全行为规范但不主动出卖信息时，扣除保密津贴并罚款。

上述安全方案在软件的整个开发周期内有效。防御方将以上安全方案全部公开，以便内部人员作出理性决策。

基于上述背景，采用本发明的方法对策略进行优化。

一种内部泄密威胁防护策略的优化方法，具体实施步骤如下：

步骤1、明确要保护的重要数据、目标系统和涉及的内部人员，具体化安全目标和安全方案，借助CRAMM风险评估工具评估量化重要数据面临的外部威胁和安全风险，取归一化之后的威胁值和风险值为本方法中的外部威胁值λ和风险值r；

所述重要数据为源代码；所述目标系统为源代码服务器；所述内部人员为所有有权限访问源代码服务器的人，共3人，各掌握1/3源代码信息；所述安全目标为保护源代码的机密性，避免源代码被带出内网开发环境；

步骤2、评估量化影响内部人员决策的因素。具体包括：

1)源代码对内部人员而言的价值V_I，即内部人员从编程调试工作中获得的收入，包括工资和奖金等；

2)内部人员的决策为s₂时目标网络面临的安全风险值r₂，r≤r₂≤1，用与步骤1中相同的风险评估工具评估量化，则由于内部人员不遵守安全行为规范而产生的安全缺口为g＝r₂-r，0≤g≤1-r；

3)内部人员在严格遵守行为规范的情况下，为完成日常工作任务需付出的额外成本Δ：原本完成编程调试工作需要的时间为t₀，遵守安全行为规范后需要的时间为t，则额外成本

0≤t≤T，

4)防御方能正确发现违规行为的概率p，根据此互联网公司的安全防护技术部署和具体监督机制，由专家打分法计算得出。

步骤3、计算内部人员在遵守行为规范和不遵守行为规范两种决策下的收益，即当S＝s₁、S＝s₂时的收益：

其中额外成本Δ、违规行为被正确发现的概率p、外部威胁值λ、内部人员违规给目标系统带来额外的风险g的取值在之前的步骤中得到，内部人员遵守行为规范得到的奖励x和不遵守时受到的惩罚C由防御方在安全方案中指定，VI为内部人员完成开发任务所能获得的酬劳。

若需保护源代码机密性的周期为三个月，在不人为增加泄密风险的情况下，内部人员的酬劳为每人14.4万元，用于奖励的保密津贴为2万元。如果不对内部人员的行为进行限制，正常完成工作所需时间为每月工作20天，每天工作8小时。严格按安全行为规范操作时，由于无法连接互联网，遇到难题不能很快求助解决，且监控软件客户端会在一定程度上降低编程计算机的运行速度，所需时间为无限制时的1.3倍，即额外工作成本为14.4×0.3＝4.32万元。防御方投入3个人对内部人员的行为进行监督时，正确发现违规行为的概率为80％。发现违规行为时，不仅扣除内部人员的保密津贴，还额外罚款3万元。即V_I＝14.4，x＝3，Δ＝4.32，p＝0.8，C＝2。此外，假设评估得到的外部威胁值为λ＝0.8，内部人员违规时出现的安全缺口为g＝0.08。此时，u(s₁)＝-1.32，u(s₂)＝-1.18。

步骤4、判定内部泄密威胁防护策略的有效性。根据步骤3的计算结果，内部人员违规时的收益较大，因此可以判定以上内部泄密威胁防护策略无效。

步骤5、本例中内部泄密威胁防护策略被判定为无效，通过计算后建议将Δ值减少为2.88，此时u(s₁)＝0.12，u(s₂)＝一1.18；或将C值上调到2.17以上，此时u(s₁)＝-1.32，u(s₂)＜-1.32，可使得此例中的内部泄密威胁防护策略有效。减少Δ值的具体方式有：在内网开发环境中存放参考书来协助内部人员解决编程过程中遇到的难题，或提升编程计算机硬件性能等。上调C值则直接由防御方进行规定即可。

在本实施例中，通过本发明对内部泄密威胁防护策略进行优化后，内部人员遵守安全行为规范时所获得的收益u(s₁)不仅明显大于其不遵守安全行为规范时所获得的收益u(s₂)，而且u(s₁)由负值提升为正值，能极大促进内部人员遵守安全行为规范的意愿，进一步提升内部泄密威胁防护策略的有效性。

以上所述的具体描述，对发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种内部泄密威胁防护策略的优化方法，具体步骤如下：

步骤1、明确要保护的重要数据、目标系统和涉及的内部人员，具体化安全目标和安全方案，评估量化重要数据面临的外部威胁和安全风险，归一化之后的威胁值和风险值即所述的外部威胁值λ和外部风险值r；

步骤2、评估量化对内部人员决策产生影响的因素，具体包括：重要信息对内部人员而言的价值V_I，内部人员违规时给目标系统带来的额外风险g，内部人员在严格遵守行为规范的情况下，为完成日常工作任务需付出的额外成本Δ，防御方能正确发现违规行为的概率p，防御方对违规内部人员的惩罚C；

步骤3、符号s₁代表内部人员的行为“遵守安全行为规范”，s₂代表“不遵守安全行为规范”，内部人员的实际决策记为S，S∈{s₁,s₂}；计算内部人员在遵守安全行为规范和不遵守安全行为规范两种决策的收益下，即S＝s₁，S＝s₂时的收益：

当内部人员选择遵守安全行为规范时，要付出额外成本Δ，但会得到防御方的奖励x；当内部人员违规时，会给目标系统带来额外的风险g，如果防御方能及时发现违规行为，则会采取措施缓解此风险，此时内部人员会受到惩罚C，反之，内部人员仍会得到奖励x，但实际上需承担额外风险造成的损失V_Iλg；

步骤4、判定内部泄密威胁防护策略的有效性；如果遵守安全行为规范能给内部人员带来更大的收益，则理性的内部人员趋向于选择遵守行为规范，此时内部泄密威胁防护策略有效，否则防护策略无效；

步骤5、当内部泄密威胁防护策略被判定为无效时，给出可调节参数的建议取值；防御方可据此优化内部泄密威胁防护策略；所述参数包括：内部人员为遵守行为规范而需要付出的额外工作成本Δ、防御方对遵守行为规范的奖励x以及对违反行为规范的惩罚C；

待防御方优化Γ后，重复步骤1-5，直到对于所有j∈{1,…,J}，都有S_jBest＝s₁，且内部泄密威胁防护策略Γ符合防御方的安全需求为止。