網絡信息系統的安全評估技術研究＊

2011-08-10 09:22:50石春和

艦船電子工程 2011年12期

李晶石春和

（軍械工程學院1）石家莊 050003）（63880部隊2）洛陽 454650）

1 引言

當前，隨著網絡技術和信息技術的發展與應用，人們對于網絡的安全性能越來越關注，網絡安全技術已從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性，進而又發展為“攻、防、測、控、管、評”等多方面的基礎理論和實施技術。信息安全是一個綜合、交叉的學科領域，它要綜合利用數學、物理、通信和計算機諸多學科的長期知識積累和最新發展成果，進行自主創新研究、加強頂層設計，提出系統的、完整的解決方案。

網絡信息系統安全評估的目的是為了讓決策者進行風險處置，即運用綜合的策略來解決風險。信息系統可根據安全評估結果來定義安全需求，最終采用適當的安全控制策略來管理安全風險。

安全評估的結果就是對信息保護系統的某種程度上的確信，開展網絡安全系統評估技術研究，可以對國防軍工制造業數字化網絡系統、國家電子政務信息系統、各類信息安全系統等的規劃、設計、建設、運行等各階段進行系統級的測試評估，找出網絡系統的薄弱環節，發現并修正系統存在的弱點和漏洞，保證網絡系統的安全性，提出安全解決方案。

2 網絡安全評估理論體系和標準規范

1）網絡安全評估所要進行的工作

通過對實際網絡的半實物仿真，進行測試和安全評估技術的研究，參考國際相關技術標準，建立網絡安全評估模型，歸納安全評估指標，研制可操作性強的信息系統安全評測準則，并形成網絡信息安全的評估標準體系。

2）當前在網絡技術上通用的、主流的信息安全評估標準規范主要有：

（1）歐美等西方國家的通用安全標準準則：

·美國可信計算機安全評價標準（TCSEC）

·歐洲網絡安全評價標準（ITSEC）

·國際網絡安全通用準則（CC）

（2）我國制定的網絡系統安全評估標準準則：

·《國家信息技術安全性評估的通用準則》GB／T 18336標準

·公安部《信息網絡安全等級管理辦法》

·BMZ1－2000《涉密信息系統分級保護技術要求》

·《GJB 2646－96軍用計算機安全評估準則》

·《計算機信息系統安全保護等級劃分準則》等

3 安全評估過程模型

目前比較通用的對網絡信息系統進行安全評估的流程主要包括信息系統的資產（需保護的目標）識別、威脅識別、脆弱性識別、安全措施分析、安全事件影響分析以及綜合風險判定等。

對測評流程基本邏輯模型的構想如圖1所示：

圖1 網絡信息系統安全評估過程模型

在這個測試評估模型中，主要包括六方面的內容：1）系統分析：對信息系統的安全需求進行分析；2）識別關鍵資產：根據系統分析的結果識別出系統的重要資產；3）識別威脅：識別出系統主要的安全威脅以及威脅的途徑和方式；4）識別脆弱性：識別出系統在技術上的缺陷、漏洞、薄弱環節等；5）分析影響：分析安全事件對系統可能造成的影響；6）風險評估：綜合關鍵資產、威脅因素、脆弱性及控制措施，綜合事件影響，評估系統面臨的風險。

4 網絡系統安全態勢評估

安全態勢評估是進行網絡系統級安全評估的重要環節，合理的安全態勢評估方法可以有效地評定威脅級別不同的安全事件。對系統安全進行評估通常與攻擊給網絡帶來的損失是相對應的，造成的損失越大，說明攻擊越嚴重、網絡安全狀況越差。通過攻擊的損失可以評估攻擊的嚴重程度，從而評估網絡安全狀況。

結合網絡資產安全價值進行評估的具體算法如下：

設SERG為待評估安全事件關聯圖：

定義

其中，SERG表示安全事件關聯，SERG.Statei表示攻擊者獲取的直接資源列表；ASV（a）表示對應資產a的資產安全價值；Ta表示可以接受的威脅閾值；HIGHImpactSet表示高風險事件集合。

常用的對一個網絡信息系統進行安全態勢評估的算法有如下幾種：

4.1 專家評估法（Delphi法）

專家法也稱專家征詢法（Delphi法），其基本步驟如下：

1）選擇專家：這是很重要的一步，選的好與不好將直接影響到結果的準確性，一般情況下，應有網絡安全領域中既有實際工作經驗又有較深理論修養的專家10人以上參與評估，專家數目太少時則影響此方法的準確性；

2）確定出與網絡系統安全相關的m個被評估指標，將這些指標以及統一的權數確定規則發給選定的各位專家，由他們各自獨立地給出自己所認為的對每一個指標的安全態勢評價（Xi）以及每一個評價指標在網絡系統整體安全態勢評估中所占有的比重權值（Wi）；

3）回收專家們的評估結果并計算各安全態勢指標及指標權數的均值和標準差：

計算估計值和平均估計值的偏差

4）將計算結果及補充材料返還給各位專家，要求所有的專家在新的基礎上重新確定各指標安全態勢及所占有的安全評價權重；

5）重復上面兩步，直至各指標權數與其均值的離差不超過預先給定的標準為止，也就是各專家的意見基本趨于一致，以此時對該指標的安全評價作為系統最終安全評價，并以此時各指標權數的均值作為該指標的權數。

歸納起來，專家法評估的核心思想就是采用匿名的方式，收集和征詢該領域專家們的意見，將其答復作統計分析，再將分析結果反饋給領域專家，同時進一步就同一問題再次征詢專家意見，如此反復多輪，使專家們的意見逐漸集中到某個有限的范圍內，然后將此結果用中位數和四分位數來表示。對各個征詢意見做統計分析和綜合歸納時，如果發現專家的評價意見離散度太大，很難取得一致意見時，可以再進行幾輪征詢，然后再按照上述方法進行統計分析，直至取得較為一致的意見為止。該方法適用于各種評價指標之間相互獨立的場合，各指標對綜合評價值的貢獻彼此沒有什么影響。若評價指標之間不互相獨立，專家們比較分析的結果必然導致信息的重復，就難以得到符合客觀實際的綜合評價值。

4.2 基于“熵”的網絡系統安全態勢評估

網絡安全性能評價指標選取后，用一定的方法對其進行量化，即可得到對網絡系統的安全性度量，從而可把網絡系統受攻擊前后的安全性差值作為攻擊效果的一個測度。考慮到進行網絡攻擊效果評估時，我們關心的只是網絡系統遭受攻擊前后安全性能的變化，借鑒信息論中“熵”的概念，可以提出評價網絡性能的“網絡熵”理論。“網絡熵”是對網絡安全性能的一種描述，“網絡熵”值越小，表明該網絡系統的安全性越好。對于網絡系統的某一項性能指標來說，其熵值可以定義為：

式中：Vi指網絡第i項指標的歸一化參數。

網絡信息系統受到攻擊后，其安全功能下降，系統穩定性變差，這些變化必然在某些網絡性能指標上有所體現，相應的網絡熵值也應該有所變化。因此，可以用攻擊前后網絡熵值的變化量對攻擊效果進行描述。

網絡熵的計算應該綜合考慮影響網絡安全性能的各項指標，其值為各單項指標熵的加權和：

式中：n為影響網絡性能的指標個數；為第i項指標的權重；Hi第i項指標的網絡熵。

在如何設定各網絡單項指標的權重以逼真地反映其對整個網絡熵的貢獻時，設定的普遍通用的原則是根據網絡防護的目的和網絡服務的類型確定i的值，在實際應用中，i值可以通過對各項指標建立判斷矩陣，采用層次分析法逐層計算得出。一般而言，對網絡熵的設定時主要考慮以下三項指標的網絡熵：

1）網絡吞吐量：單位時間內網絡結點之間成功傳送的無差錯的數據量；

2）網絡響應時間：網絡服務請求和響應該請求之間的時間間隔；

3）網絡延遲抖動：指平均延遲變化的時間量。

設網絡攻擊發生前，系統各指標的網絡熵為H攻擊發生后，系統各指標的網絡熵為H′，則網絡攻擊的效果可以表示為：

則有：

利用上式，僅需測得攻擊前后網絡的各項性能指標參數（Vi、V′i），并設定好各指標的權重（i），即可計算出網絡系統性能的損失，評估網絡系統受攻擊后的結果。EH是對網絡攻擊效果的定量描述，其值越大，表明網絡遭受攻擊后安全性能下降的越厲害，也就是說網絡安全性能越差。

國際標準中較為通用的根據EH值對網絡安全性能進行評估的參考標準值如表1所示。

表1 EH（網絡熵值差）—網絡安全性能關系參考標準表

4.3 模糊綜合評判法

模糊綜合評判法也是常用的一種對網絡系統的安全態勢進行綜合評判的方法，它是根據模糊數學的基本理論，先選定被評估網絡系統的各評估指標域，而后利用模糊關系合成原理，通過構造等級模糊子集把反映被評事物的模糊指標進行量化（即確定隸屬度），然后利用模糊變換原理對各指標進行綜合。

模糊綜合評判法一般按以下程序進行：

1）確定評價對象的因素論域U

也就是首先確定被評估網絡系統的n個網絡安全領域的評價指標。

這一步主要是確定評價指標體系，解決從哪些方面和用哪些因素來評價客觀對象的問題。

2）確定評語等級論域V

也就是對確定的各個評價指標的等級評定程度，即等級集合，每一個等級可對應一個模糊子集。正是由于這一論域的確定，才使得模糊綜合評價得到一個模糊評判向量，被評價對象對評語等級隸屬度的信息通過這個模糊向量表示出來，體現出評判的模糊性。

從技術處理的角度來看，評語等級數m通常取3≤m≤7，若m過大會超過人的語義能力，不易判斷對象的等級歸屬；若m過小又可能不符合模糊綜合評判的質量要求，故其取值以適中為宜。m取奇數的情況較多，因為這樣可以有一個中間等級，便于判斷被評事物的等級歸屬，具體等級可以依據評價內容用適當的語言描述，比如評價數據管理制度，可取V＝｛好，較好，一般，較差，差｝；評價防黑客入侵設施，可取V＝｛強，中，弱｝等。

3）進行單因素評價，建立模糊關系矩陣R

在構造了等級模糊子集后，就要逐個對各被評價指標ui確定其對各等級模糊子集vi的隸屬程度。這樣，可得到一個ui與vi間的模糊關系數據矩陣：