網(wǎng)絡(luò)信息系統(tǒng)的安全評估技術(shù)研究＊

李 晶 石春和

（軍械工程學(xué)院1） 石家莊 050003）（63880部隊(duì)2） 洛陽 454650）

1 引言

當(dāng)前，隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展與應(yīng)用，人們對于網(wǎng)絡(luò)的安全性能越來越關(guān)注，網(wǎng)絡(luò)安全技術(shù)已從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻、防、測、控、管、評”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。信息安全是一個綜合、交叉的學(xué)科領(lǐng)域，它要綜合利用數(shù)學(xué)、物理、通信和計(jì)算機(jī)諸多學(xué)科的長期知識積累和最新發(fā)展成果，進(jìn)行自主創(chuàng)新研究、加強(qiáng)頂層設(shè)計(jì)，提出系統(tǒng)的、完整的解決方案。

網(wǎng)絡(luò)信息系統(tǒng)安全評估的目的是為了讓決策者進(jìn)行風(fēng)險處置，即運(yùn)用綜合的策略來解決風(fēng)險。信息系統(tǒng)可根據(jù)安全評估結(jié)果來定義安全需求，最終采用適當(dāng)?shù)陌踩刂撇呗詠砉芾戆踩L(fēng)險。

安全評估的結(jié)果就是對信息保護(hù)系統(tǒng)的某種程度上的確信，開展網(wǎng)絡(luò)安全系統(tǒng)評估技術(shù)研究，可以對國防軍工制造業(yè)數(shù)字化網(wǎng)絡(luò)系統(tǒng)、國家電子政務(wù)信息系統(tǒng)、各類信息安全系統(tǒng)等的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行等各階段進(jìn)行系統(tǒng)級的測試評估，找出網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)，發(fā)現(xiàn)并修正系統(tǒng)存在的弱點(diǎn)和漏洞，保證網(wǎng)絡(luò)系統(tǒng)的安全性，提出安全解決方案。

2 網(wǎng)絡(luò)安全評估理論體系和標(biāo)準(zhǔn)規(guī)范

1）網(wǎng)絡(luò)安全評估所要進(jìn)行的工作

通過對實(shí)際網(wǎng)絡(luò)的半實(shí)物仿真，進(jìn)行測試和安全評估技術(shù)的研究，參考國際相關(guān)技術(shù)標(biāo)準(zhǔn)，建立網(wǎng)絡(luò)安全評估模型，歸納安全評估指標(biāo)，研制可操作性強(qiáng)的信息系統(tǒng)安全評測準(zhǔn)則，并形成網(wǎng)絡(luò)信息安全的評估標(biāo)準(zhǔn)體系。

2）當(dāng)前在網(wǎng)絡(luò)技術(shù)上通用的、主流的信息安全評估標(biāo)準(zhǔn)規(guī)范主要有：

（1）歐美等西方國家的通用安全標(biāo)準(zhǔn)準(zhǔn)則：

·美國可信計(jì)算機(jī)安全評價標(biāo)準(zhǔn)（TCSEC）

·歐洲網(wǎng)絡(luò)安全評價標(biāo)準(zhǔn)（ITSEC）

·國際網(wǎng)絡(luò)安全通用準(zhǔn)則（CC）

（2）我國制定的網(wǎng)絡(luò)系統(tǒng)安全評估標(biāo)準(zhǔn)準(zhǔn)則：

·《國家信息技術(shù)安全性評估的通用準(zhǔn)則》GB／T 18336標(biāo)準(zhǔn)

·公安部《信息網(wǎng)絡(luò)安全等級管理辦法》

·BMZ1－2000《涉密信息系統(tǒng)分級保護(hù)技術(shù)要求》

·《GJB 2646－96軍用計(jì)算機(jī)安全評估準(zhǔn)則》

·《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》等

3 安全評估過程模型

目前比較通用的對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全評估的流程主要包括信息系統(tǒng)的資產(chǎn)（需保護(hù)的目標(biāo)）識別、威脅識別、脆弱性識別、安全措施分析、安全事件影響分析以及綜合風(fēng)險判定等。

對測評流程基本邏輯模型的構(gòu)想如圖1所示：

圖1 網(wǎng)絡(luò)信息系統(tǒng)安全評估過程模型

在這個測試評估模型中，主要包括六方面的內(nèi)容：1）系統(tǒng)分析：對信息系統(tǒng)的安全需求進(jìn)行分析；2）識別關(guān)鍵資產(chǎn)：根據(jù)系統(tǒng)分析的結(jié)果識別出系統(tǒng)的重要資產(chǎn)；3）識別威脅：識別出系統(tǒng)主要的安全威脅以及威脅的途徑和方式；4）識別脆弱性：識別出系統(tǒng)在技術(shù)上的缺陷、漏洞、薄弱環(huán)節(jié)等；5）分析影響：分析安全事件對系統(tǒng)可能造成的影響；6）風(fēng)險評估：綜合關(guān)鍵資產(chǎn)、威脅因素、脆弱性及控制措施，綜合事件影響，評估系統(tǒng)面臨的風(fēng)險。

4 網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢評估

安全態(tài)勢評估是進(jìn)行網(wǎng)絡(luò)系統(tǒng)級安全評估的重要環(huán)節(jié)，合理的安全態(tài)勢評估方法可以有效地評定威脅級別不同的安全事件。對系統(tǒng)安全進(jìn)行評估通常與攻擊給網(wǎng)絡(luò)帶來的損失是相對應(yīng)的，造成的損失越大，說明攻擊越嚴(yán)重、網(wǎng)絡(luò)安全狀況越差。通過攻擊的損失可以評估攻擊的嚴(yán)重程度，從而評估網(wǎng)絡(luò)安全狀況。

結(jié)合網(wǎng)絡(luò)資產(chǎn)安全價值進(jìn)行評估的具體算法如下：

設(shè)SERG為待評估安全事件關(guān)聯(lián)圖：

定義

其中，SERG表示安全事件關(guān)聯(lián)，SERG.Statei表示攻擊者獲取的直接資源列表；ASV（a）表示對應(yīng)資產(chǎn)a的資產(chǎn)安全價值；Ta表示可以接受的威脅閾值；HIGHImpactSet表示高風(fēng)險事件集合。

常用的對一個網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全態(tài)勢評估的算法有如下幾種：

4.1 專家評估法（Delphi法）

專家法也稱專家征詢法（Delphi法），其基本步驟如下：

1）選擇專家：這是很重要的一步，選的好與不好將直接影響到結(jié)果的準(zhǔn)確性，一般情況下，應(yīng)有網(wǎng)絡(luò)安全領(lǐng)域中既有實(shí)際工作經(jīng)驗(yàn)又有較深理論修養(yǎng)的專家10人以上參與評估，專家數(shù)目太少時則影響此方法的準(zhǔn)確性；

2）確定出與網(wǎng)絡(luò)系統(tǒng)安全相關(guān)的m個被評估指標(biāo)，將這些指標(biāo)以及統(tǒng)一的權(quán)數(shù)確定規(guī)則發(fā)給選定的各位專家，由他們各自獨(dú)立地給出自己所認(rèn)為的對每一個指標(biāo)的安全態(tài)勢評價（Xi）以及每一個評價指標(biāo)在網(wǎng)絡(luò)系統(tǒng)整體安全態(tài)勢評估中所占有的比重權(quán)值（Wi）；

3）回收專家們的評估結(jié)果并計(jì)算各安全態(tài)勢指標(biāo)及指標(biāo)權(quán)數(shù)的均值和標(biāo)準(zhǔn)差：

計(jì)算估計(jì)值和平均估計(jì)值的偏差

4）將計(jì)算結(jié)果及補(bǔ)充材料返還給各位專家，要求所有的專家在新的基礎(chǔ)上重新確定各指標(biāo)安全態(tài)勢及所占有的安全評價權(quán)重；

5）重復(fù)上面兩步，直至各指標(biāo)權(quán)數(shù)與其均值的離差不超過預(yù)先給定的標(biāo)準(zhǔn)為止，也就是各專家的意見基本趨于一致，以此時對該指標(biāo)的安全評價作為系統(tǒng)最終安全評價，并以此時各指標(biāo)權(quán)數(shù)的均值作為該指標(biāo)的權(quán)數(shù)。

歸納起來，專家法評估的核心思想就是采用匿名的方式，收集和征詢該領(lǐng)域?qū)＜覀兊囊庖姡瑢⑵浯饛?fù)作統(tǒng)計(jì)分析，再將分析結(jié)果反饋給領(lǐng)域?qū)＜?，同時進(jìn)一步就同一問題再次征詢專家意見，如此反復(fù)多輪，使專家們的意見逐漸集中到某個有限的范圍內(nèi)，然后將此結(jié)果用中位數(shù)和四分位數(shù)來表示。對各個征詢意見做統(tǒng)計(jì)分析和綜合歸納時，如果發(fā)現(xiàn)專家的評價意見離散度太大，很難取得一致意見時，可以再進(jìn)行幾輪征詢，然后再按照上述方法進(jìn)行統(tǒng)計(jì)分析，直至取得較為一致的意見為止。該方法適用于各種評價指標(biāo)之間相互獨(dú)立的場合，各指標(biāo)對綜合評價值的貢獻(xiàn)彼此沒有什么影響。若評價指標(biāo)之間不互相獨(dú)立，專家們比較分析的結(jié)果必然導(dǎo)致信息的重復(fù)，就難以得到符合客觀實(shí)際的綜合評價值。

4.2 基于“熵”的網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢評估

網(wǎng)絡(luò)安全性能評價指標(biāo)選取后，用一定的方法對其進(jìn)行量化，即可得到對網(wǎng)絡(luò)系統(tǒng)的安全性度量，從而可把網(wǎng)絡(luò)系統(tǒng)受攻擊前后的安全性差值作為攻擊效果的一個測度?？紤]到進(jìn)行網(wǎng)絡(luò)攻擊效果評估時，我們關(guān)心的只是網(wǎng)絡(luò)系統(tǒng)遭受攻擊前后安全性能的變化，借鑒信息論中“熵”的概念，可以提出評價網(wǎng)絡(luò)性能的“網(wǎng)絡(luò)熵”理論?！熬W(wǎng)絡(luò)熵”是對網(wǎng)絡(luò)安全性能的一種描述，“網(wǎng)絡(luò)熵”值越小，表明該網(wǎng)絡(luò)系統(tǒng)的安全性越好。對于網(wǎng)絡(luò)系統(tǒng)的某一項(xiàng)性能指標(biāo)來說，其熵值可以定義為：

式中：Vi指網(wǎng)絡(luò)第i項(xiàng)指標(biāo)的歸一化參數(shù)。

網(wǎng)絡(luò)信息系統(tǒng)受到攻擊后，其安全功能下降，系統(tǒng)穩(wěn)定性變差，這些變化必然在某些網(wǎng)絡(luò)性能指標(biāo)上有所體現(xiàn)，相應(yīng)的網(wǎng)絡(luò)熵值也應(yīng)該有所變化。因此，可以用攻擊前后網(wǎng)絡(luò)熵值的變化量對攻擊效果進(jìn)行描述。

網(wǎng)絡(luò)熵的計(jì)算應(yīng)該綜合考慮影響網(wǎng)絡(luò)安全性能的各項(xiàng)指標(biāo)，其值為各單項(xiàng)指標(biāo)熵的加權(quán)和：

式中：n為影響網(wǎng)絡(luò)性能的指標(biāo)個數(shù)；為第i項(xiàng)指標(biāo)的權(quán)重；Hi第i項(xiàng)指標(biāo)的網(wǎng)絡(luò)熵。

在如何設(shè)定各網(wǎng)絡(luò)單項(xiàng)指標(biāo)的權(quán)重以逼真地反映其對整個網(wǎng)絡(luò)熵的貢獻(xiàn)時，設(shè)定的普遍通用的原則是根據(jù)網(wǎng)絡(luò)防護(hù)的目的和網(wǎng)絡(luò)服務(wù)的類型確定i的值，在實(shí)際應(yīng)用中，i值可以通過對各項(xiàng)指標(biāo)建立判斷矩陣，采用層次分析法逐層計(jì)算得出。一般而言，對網(wǎng)絡(luò)熵的設(shè)定時主要考慮以下三項(xiàng)指標(biāo)的網(wǎng)絡(luò)熵：

1）網(wǎng)絡(luò)吞吐量：單位時間內(nèi)網(wǎng)絡(luò)結(jié)點(diǎn)之間成功傳送的無差錯的數(shù)據(jù)量；

2）網(wǎng)絡(luò)響應(yīng)時間：網(wǎng)絡(luò)服務(wù)請求和響應(yīng)該請求之間的時間間隔；

3）網(wǎng)絡(luò)延遲抖動：指平均延遲變化的時間量。

設(shè)網(wǎng)絡(luò)攻擊發(fā)生前，系統(tǒng)各指標(biāo)的網(wǎng)絡(luò)熵為H攻擊發(fā)生后，系統(tǒng)各指標(biāo)的網(wǎng)絡(luò)熵為H′，則網(wǎng)絡(luò)攻擊的效果可以表示為：

則有：

利用上式，僅需測得攻擊前后網(wǎng)絡(luò)的各項(xiàng)性能指標(biāo)參數(shù)（Vi、V′i），并設(shè)定好各指標(biāo)的權(quán)重（i），即可計(jì)算出網(wǎng)絡(luò)系統(tǒng)性能的損失，評估網(wǎng)絡(luò)系統(tǒng)受攻擊后的結(jié)果。EH是對網(wǎng)絡(luò)攻擊效果的定量描述，其值越大，表明網(wǎng)絡(luò)遭受攻擊后安全性能下降的越厲害，也就是說網(wǎng)絡(luò)安全性能越差。

國際標(biāo)準(zhǔn)中較為通用的根據(jù)EH值對網(wǎng)絡(luò)安全性能進(jìn)行評估的參考標(biāo)準(zhǔn)值如表1所示。

表1 EH（網(wǎng)絡(luò)熵值差）—網(wǎng)絡(luò)安全性能關(guān)系參考標(biāo)準(zhǔn)表

4.3 模糊綜合評判法

模糊綜合評判法也是常用的一種對網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢進(jìn)行綜合評判的方法，它是根據(jù)模糊數(shù)學(xué)的基本理論，先選定被評估網(wǎng)絡(luò)系統(tǒng)的各評估指標(biāo)域，而后利用模糊關(guān)系合成原理，通過構(gòu)造等級模糊子集把反映被評事物的模糊指標(biāo)進(jìn)行量化（即確定隸屬度），然后利用模糊變換原理對各指標(biāo)進(jìn)行綜合。

模糊綜合評判法一般按以下程序進(jìn)行：

1）確定評價對象的因素論域U

也就是首先確定被評估網(wǎng)絡(luò)系統(tǒng)的n個網(wǎng)絡(luò)安全領(lǐng)域的評價指標(biāo)。

這一步主要是確定評價指標(biāo)體系，解決從哪些方面和用哪些因素來評價客觀對象的問題。

2）確定評語等級論域V

也就是對確定的各個評價指標(biāo)的等級評定程度，即等級集合，每一個等級可對應(yīng)一個模糊子集。正是由于這一論域的確定，才使得模糊綜合評價得到一個模糊評判向量，被評價對象對評語等級隸屬度的信息通過這個模糊向量表示出來，體現(xiàn)出評判的模糊性。

從技術(shù)處理的角度來看，評語等級數(shù)m通常取3≤m≤7，若m過大會超過人的語義能力，不易判斷對象的等級歸屬；若m過小又可能不符合模糊綜合評判的質(zhì)量要求，故其取值以適中為宜。m取奇數(shù)的情況較多，因?yàn)檫@樣可以有一個中間等級，便于判斷被評事物的等級歸屬，具體等級可以依據(jù)評價內(nèi)容用適當(dāng)?shù)恼Z言描述，比如評價數(shù)據(jù)管理制度，可取V＝｛好，較好，一般，較差，差｝；評價防黑客入侵設(shè)施，可取V＝｛強(qiáng)，中，弱｝等。

3）進(jìn)行單因素評價，建立模糊關(guān)系矩陣R

在構(gòu)造了等級模糊子集后，就要逐個對各被評價指標(biāo)ui確定其對各等級模糊子集vi的隸屬程度。這樣，可得到一個ui與vi間的模糊關(guān)系數(shù)據(jù)矩陣：

式中：rij表示U中因素ui對應(yīng)V中等級vi的隸屬關(guān)系，即因素ui隸屬于vi的等級程度。

4）確定評判因素的模糊權(quán)向量集A

一般說來，所確定的網(wǎng)絡(luò)安全的n個評價指標(biāo)對于網(wǎng)絡(luò)整體的安全態(tài)勢評估作用是不同的，各方面因素的表現(xiàn)在整體中所占的比重是不同的。

因此，定義了一個所謂模糊權(quán)向量集A的概念，該要素權(quán)向量集就是反映被評價指標(biāo)的各因素相對于整體評價指標(biāo)的重要程度。權(quán)向量的確定與其他評估方法相同，可采用層次分析等方法獲得。權(quán)向量集A可表示為：

并滿足如下關(guān)系：

5）將A與R合成，得到被評估網(wǎng)絡(luò)系統(tǒng)的模糊綜合評判向量B

式中：rij表示的是模糊關(guān)系數(shù)據(jù)矩陣R經(jīng)過與模糊權(quán)向量集A矩陣運(yùn)算后，得到的修正關(guān)系向量。

這樣做的意義在于使用模糊權(quán)向量集A矩陣來對關(guān)系隸屬矩陣R進(jìn)行修正，使得到的綜合評判向量更為客觀準(zhǔn)確。

6）對模糊綜合評判結(jié)果B的歸一化處理

根據(jù)上一步的計(jì)算，得到了對網(wǎng)絡(luò)各安全評價指標(biāo)的評判結(jié)果向量集B＝（b1，b2，…，bn）。

由于對每個評價指標(biāo)的評判結(jié)果都是一個模糊向量，不便于各評價指標(biāo)間的排序評優(yōu)，因而還需要進(jìn)一步的分析處理。

對模糊綜合評判結(jié)果向量B進(jìn)行歸一化處理：

從而得到各安全評價指標(biāo)的歸一化向量，從而對各歸一化向量進(jìn)行相應(yīng)。

5 結(jié)語

本論文首先介紹了網(wǎng)絡(luò)安全評估技術(shù)的基本知識，然后對安全評估模型進(jìn)行了分析計(jì)算，闡述了網(wǎng)絡(luò)安全技術(shù)措施的有效性；最后對網(wǎng)絡(luò)安全態(tài)勢的評估給出了具體的算法和公式。通過本文的技術(shù)研究，基本上對網(wǎng)絡(luò)信息系統(tǒng)的安全評估技術(shù)有了初步的了解，下一步還將對安全評估的風(fēng)險、安全評估中相關(guān)聯(lián)的各項(xiàng)因素進(jìn)行研究。

[1]逮昭義.計(jì)算機(jī)通信網(wǎng)信息量理論[M].北京：電子工業(yè)出版社，1997：57～58

[2]張義榮.計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果評估技術(shù)研究[J].國防科技大學(xué)學(xué)報(bào)，2002

[3]張義榮，鮮明，王國玉.一種基于網(wǎng)絡(luò)熵的計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果定量評估方法[J].通信學(xué)報(bào)，2004（11）

[4]孫朝云，孫向科，文靜.基于B／S模式網(wǎng)絡(luò)系統(tǒng)安全性研究與實(shí)現(xiàn)[J].計(jì)算機(jī)與數(shù)字工程，2009，37（3）