一种网络信息安全分析视角——人因失误分析,本文主要内容关键词为:信息安全论文,人因论文,视角论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
修回日期:2006-07-24
〔分类号〕G203 TP309
在复杂的人机系统中,人因失误分析已成为安全科学研究的重要领域。信息网络系统是一个典型的复杂人机系统,它同样也存在人因失误问题。人是网络信息安全和事故预防所关注的焦点和研究的核心,为了保障网络信息安全、提高人们工作的可靠性,减少人因失误显得愈来愈重要。那么,如何吸取人因工程、认知科学、安全科学、心理学等理论与方法,从人因失误角度来研究网络信息安全中的问题?为此,本文论述了网络信息安全中人因失误分析产生的背景及其所具备的基础条件,确定了网络信息安全人因失误分析的对象、任务及其内容。
1 网络信息安全人因失误分析产生的背景
网络信息安全问题已成为全世界共认的最复杂、最重要与最紧迫的问题。长期以来,由于受到媒体报道以及生产商的广告宣传等多种因素的影响,人们普遍认为,网络信息安全工作就是防范黑客与病毒,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。在90%已装防火墙与入侵检测安全设备的网站和信息安全系统中,有88%的人认为他们仍然受到病毒的感染和病毒的入侵[1],其他网络信息安全事故或事件也不断发生。著名的前黑客凯文-米蒂尼克(Kevin Mitnick)在接受采访时曾表示[2],尽管很多公司采取了安全防护措施,但这些安全措施在网络犯罪面前仍然显得不堪一击,原因在于他们忽略了网络安全最为薄弱的环节——人的因素。既使网络信息安全问题是由于网络犯罪所引起的,80%也是与信息网络系统设计人员或操作人员的“疏忽”或“不注意”失误相关。美国对网络信息安全事件原因的统计结果表明[3],在网络安全事故中,人为因素占52%,火灾、水灾等占25%,技术错误占10%,内部人员作案占10%,仅有3%左右是由外部不法分子的攻击所致。可见,网络安全最薄弱的环节并不是系统漏洞,而是人的漏洞。人的因素是网络信息安全管理的决定性因素。
由于人的失误造成网络信息安全事件层出不穷。安全专家Cesar Cerrudo发现,微软于2005年4月12日发布的MS05-018补丁原为修复一个客户/服务器运行时拒绝服务的缺陷,但经过实验,这一补丁并未完全起作用。安全顾问Dana Epp在对微软安全性能的评估中指出[4],以微软最新的安全设计为例,最近的一系列补丁问题暴露出整个过程的不完美,表明人的因素依然是安全体系中最薄弱的环节,毕竟人是容易出错的。2001年,Eli Lilly制药公司由于计算机程序错误和操作员疏忽,误将600个病人的电子邮件地址在病人间彼此暴露[5]。事件发生的直接原因是操作人员失误,根本原因是程序设计人员失误。无独有偶,今年上海也出现了几起医院信息系统故障影响病人就诊的事件,引起了市民的广泛关注[6]。这几起事故,虽然直接原因各异,但根本原因是操作人员操作不当,缺乏应急措施,其潜在原因还是组织管理的失误。另外,亚信的电信方案被盗,华为与美国思科及上海沪科的知识产权诉讼案等都生动地告诉我们,只发展技术设备而忽视人因失误,是不可能保障网络信息安全的。
随着信息技术的发展,网络信息环境设备(硬件及软件)的可靠性不断提高,运行环境也得到明显改善,而作为网络信息安全重要的一方——人,一方面,由于其生理、心理、社会、精神等特性,既存在一些内在弱点,又有极大的可塑性和难以控制性;另一方面,网络信息安全自动化程度的不断改善,归根到底还要由人来控制操作,来设计、制造、组织、管理、维修、训练和决策,这就使得人在整个系统中的相对重要性进一步增加[7]。网络信息安全过程是一个时刻有人参与的、自适应的、不断演化的、不断涌现出新的整体特性的复杂的过程,它的主体是具有思维能力,并能利用精神手段和物质手段来认识和改造世界的人[1]。而人又是容易犯错误的。在信息网络人—机系统中,他的认知行为遵循行为心理学的特点,具有通用的认知行为模式,即S(刺激)→O(个体)→R(反应)。在这个过程中,人由于受自身因素及外界及环境等因素的影响,其中任何环节都可能出现差错,导致突发性和无序性的人因失误,其形式多样,原因复杂。如何去设计以人为中心、适合人的特性的安全操作系统,如何去管理这个系统,以最大限度地提高系统的可靠性、安全性已成为亟待解决的重要问题,而这些均基于详尽和准确的人因失误分析之上。为此,只有借助于人因工程、安全科学、认知心理学等理论与方法,探索信息网络系统中人因失误规律及其影响因素,为网络信息安全设计与人因失误的预防提供理论依据,才能进一步提高网络信息安全的保密性、完整性和可用性。
2 网络信息安全人因失误分析的基础
随着网络的深入发展,人们对网络信息安全的认识已由信息安全(information security)发展到信息保障(information assurance),相应的网络信息安全研究呈现如下特点:①安全防护体系由静态向动态防护体系转变;②从被动防范向主动防御转变;③从基于特征向基于行为转变能,基于状态和行为的防护技术成为一个发展趋向;④安全管理备受关注:三分技术、七分管理;⑤人的重要性越来越突出:所有的策略、技术、工具的使用和管理都要依靠人。这表明,人们不仅从技术上寻求突破,已开始考虑到人的因素,积极防御,综合防范,相继提出了以人为本,保障信息安全的管理思想,其中,由BellLaPadula(BLP)模型为代表的典型状态机模型(State Machine Model)[8],McCumber的INFOSEC模型[9],动态的PDR模型和P2DR网络安全模型等最为典型。为了突出人的因素,陈炜博士对McCumber的INFOSEC模型进行扩展,构建了一种用于信息安全的信息保障模型[10]。另外,孙强从人力防火墙入手,建立了信息安全管理体系纵深防御体系HTP(human and management,technology and products,and process and framework)模型[2]。国外与之相关的研究有改善信息网络系统人-机界面,减少人因失误的途径研究[11-12];面向网络信息安全的人的行为研究[13-14] 和网络安全基本框架研究[15]。这些理论与模型为网络信息安全人因失误分析奠基了重要的理论基础。
Charles Cresson Wood等专家认为,“人因失误可能已被网络信息安全专家遗忘,但人因失误不论是发生在系统设计与规划、系统操作或其他与系统有关的活动中,均对网络信息安全存在着巨大的威胁,值得人们给予持续、高度的重视”[16]。同时,他们还指出,网络信息安全人因失误分析涉及概率安全评价、人因可靠性评价和任务分析等技术。1971年IEEE发表的文集是人误(human error)和人的可靠性(human reliability)与概率分析评价研究的里程碑。近年来,人因失误和人的可靠性研究也成为相关专家研究的重点。目前,国外的研究模型有:人误率预测技术THERP(technique for human error rate prediction)、操作员动作树OAT(operator action tree)、社会-技术人的可靠性分析法STAHR(socio-technical approach to assessing human reliability)、人误分析技术ATHEANA(A technique for human error analysis)等。
国内对人因失误的研究始于20世纪90年代初,主要研究成果有《人的失误及人的可靠性分析研究》和《人的动态认知可靠性模型的理论及应用》,建立了人的失误心理学分类机制、动态认知可靠性模型及失误原因的认知心理学分析方法[17]。张力教授的《核电站人员可靠性基础研究》、《反应堆系统人因事件分析与预防方法》、《复杂人-机系统中人员可靠性研究》、《人因事故分析理论与方法研究》等,对大规模复杂人机系统中人员可靠性模型、人因事件/事故分析与预防作了较深入的探讨[18-19]。朱海等分析了影响人可靠性的主要因素[20],王武宏从行为形成因子(PSFs)出发,建立了人的差错关系模型等[21]。尽管这些研究主要是针对航天、航空、核电、化工、交通、电力等领域中的人因失误,但信息网络系统具有通信、自动化与控制双重性,网络信息安全研究也必然与这些领域的安全研究有着内存、本质的联系,这些研究为网络信息安全人因失误分析奠基了良好的技术基础。
3 网络信息安全人因失误分析的对象、任务及研究内容
人因失误是在执行预定目标过程中计划行为的失败[22];或指人的意向性计划或动作在没有外力干预的前提下,没有取得他所期望的结果或没有达到预期的目标[23]。因此,网络信息安全人因失误是指在没有外力干预下,人为了完成其任务而进行有计划行动的失败。即人的行为偏离了网络信息安全期望中的成功执行路径;或正确地执行了错误的行为序列,其结果超出了可接受的界限,从而导致不期望的或计划外的网络信息安全事故或事件。有目的、恶性攻击的不安全行为不属于人因失误分析的范围。
人因失误分析其广义是指分析人在系统中的功能、作用和影响,狭义是指人对系统可靠性的影响,包括传统的人的可靠性分析(HRA),人因失误分析(HEA)、人机界面分析、人的特性分析等[24]。本研究取该术语的狭义概念。
3.1 分析的对象
网络信息安全人因失误分析对象是网络系统中的各类人员,由于其信息处理感知错误、判断不准确和执行偏差等引起的人因失误行为。其主要表现为:①未能完成必要的功能;②实践了不该完成的任务;③对意外未作出及时反应;④未意识到危险情境;⑤对复杂的认知反应做出不正确的决策。
信息网络系统中的人,并不是以一个孤立的个体(或群体)存在于系统,而是作为组织中的一员而存在,任何个体造成的失误都是在该组织综合管理下实现的,如由于人因失误引起的系统的设计、编程、配置、操作失误,这些行为从本质上来说也是一种组织人因失误。可以将组织失误理解为个体在行为或决策时由于知识经验的缺乏而出现人因失误,但组织没有及时发现、控制,从而转化成管理制度、规则、程序、政策、战略决策的缺陷或错误。它们或者成为潜在错误,威胁着组织的防御机制,或者与个体人误或违章一起成为网络信息事故的“贡献因素(contributing factors)[25]”,正如Cheryl Vroom和Rossouw von Solms指出的[13]:组织安全是网络信息安全最重因素之一。因此,网络信息安全人因失误分析对象除了传统的个体失误外,还包括群体与组织失误。
3.2 分析的任务
网络信息安全不仅指“信息的安全”,而且指“网络系统的安全”。围绕该目标,网络信息安全人因失误分析以人因工程、行为科学、认知科学、系统分析、概率统计等理论为基础,将人置于信息网络系统环境之中,关注人因失误,强调信息网络系统的非安全性,重点在研究人在信息网络系统中的动态认知过程,包括探查、诊断、决策等意向行为,探究人的失误机理,解释人的失误原因及其影响,研究基于人的认知行为以及减少人因失误的相关安全保障技术与环境因素,最终达到分析、预测、减少与预防人的失误;构建网络信息安全人因失误纵深防御体系;提高信息网络系统的安全性。
3.3 主要研究内容
减少和预防人因失误,这在一定程度上提高了人的安全性,从而提高了系统的可靠性。控制人因失误的关键是掌握人因失误的机理及寻找其可靠性模型。有效的人因失误管理策略和手段必须建立在对网络信息安全人因失误行为产生的原因及其形成过程正确分析与预测基础之上,否则,网络信息安全人因失误管理方法可能是不合适的,最终也将是无效的。因此,网络信息安全人因失误分析不仅需要描述行为者本身的认知行为机理,还需研究行为者与系统中的各种影响因素及其关系。本研究首先基于认知行为模式,建立信息网络系统人员认知行为动态模型,并据此对系统中人因失误行为进行分类,分析其影响因素,提出了人因失误结构模型。然后定性、定量评价人因失误行为与影响因子之间的关联度,获得了诱发人因失误的主要因素。最后,运用前面的分析结果,对人因失误案例进行分析,构建了预防与减少人因事故纵深防御体系。
3.3.1 人因失误行为分析 基于认知科学最有影响的Rasmussen理论,研究网络信息安全人因失误行为机理,确定网络信息安全中可能会出错的人因失误、表现形式,并将这些人因失误行为划分为基于知识、基于规则、基于技能的三种,表现形式划分为偏离、疏忽和错误三种。研究各种失误行为模式,并从纵向、横向及立体维度构建网络信息安全人因失误行为演变模型,揭示人因失误的内在机理、影响因素、屏障作用等,为网络信息安全设计提供人因失误框架。
3.3.2 人因失误影响因素分析 根据Hollnagel等人提出的CREAM方法,运用MTO框架,从个体、组织、技术和环境等4个层面分别寻求网络信息安全人因失误形成因子,得到各因素的子因素,构建影响因素层次模型。
个体因素包含认知功能、生理因素、心理、与素质因素等子因素。组织因素主要指组织管理,如人员培训、任务分配、工作程序、安全文化等。技术因素涉及诸如人机界面的设计、系统安全操作程序、系统监测、数据库管理及网络化等方面。环境因素包含社会、家庭、工作环境等子因素。
3.3.3 定性定量评价分析 运用层次分析法、灰色关联度等分析方法,定性与定量评价前两项研究内容中的人因失误行为与影响因素之间的相关性、重要度,求得其共因和根本原因,提出人因失误成因模型,为构建网络信息安全纵深防御体系提供理论参考依据。
3.3.4 人因失误事件纵深防御系统 网络信息安全纵深防御系统包括网络信息安全方针的确立、组织预测分析、失误减少策略、失误屏障、事件评价与反馈5个阶段;横向包括个人、组织、技术与环境4个子系统。个人子系统,侧重于人的行为、知识与技能的培养;组织子系统,包括组织决策与管理过程、任务分配与优化等内容;在技术子系统中,由于人因失误分析对人机系统安全设计的指导作用主要体现在人机功能分配、人机交互关系、操作人员监督功能等方面,所以寻求增强技能和知识的方法,以增强安全性、健康性和舒适性,减少人因失误,提高信息网络系统的安全性;在环境子系统中,硬环境以实现安全服务功能必备的支持性基础设施以及维持信息系统操作(运营)所需要的设备和设施等为目的,软环境则以整合“网络文化”与“安全文化”为基础,提出“网络信息安全文化”的概念,倡导网络信息安全文化氛围。
4 结语
将人因失误与人因可靠性分析理论与方法应用于网络信息安全领域,试图从分析、预测、预防与减少网络信息安全人因失误角度提高信息网络系统的安全可靠性。笔者提出了该研究的思想与研究框架,以期对我国网络信息安全事业的发展有一定的指导作用和现实意义。