機密穩健復雜系統安全性評估方法1

左金鑫，郭子裕，李瑾，張潔，陸月明

?

機密穩健復雜系統安全性評估方法1

左金鑫1,2，郭子裕1,2，李瑾1,2，張潔3，陸月明1,2

（1. 北京郵電大學，北京 100876； 2.可信分布計算與服務教育部重點實驗室，北京 100876； 3. 軍事科學研究院系統工程院，北京 100091）

機密穩健復雜系統具有高機密性要求、持續穩定運行需求、網絡結構復雜等特點，但現有評估模型安全目標維度單一，缺乏指標間關聯性分析。鑒于此，提出了基于指標關聯性分析的綜合安全評估模型，確立涵蓋產品、系統和服務3個層面的機密性、可用性、可控性、可鑒別性、人員組織、風險管理、企業定級、可持續性8個安全目標。以智慧醫療物聯網機密性為例，構建了基于指標關聯性的排序確權算法，采用模糊綜合評價法，對所選系統進行評估。

機密穩健復雜系統；信息安全評估；排序算法；模糊綜合評價法

1 引言

物聯網等各類服務系統機密性、穩健性的需求逐漸提升，如智能電網、智慧醫療物聯網應用領域逐漸普及，針對機密穩健復雜系統（CSCS, confidential and stable complex system）的系統安全評估需求也日益凸顯。然而，當前CSCS領域缺乏宏觀的安全評估框架指導，要解決對CSCS的安全等級評估問題，首先需要建立統一的安全度量模型，隨后確定合理的安全目標及評估方案，根據評估結果提高和改善系統安全質量。

2 現有機密穩健復雜系統存在的問題

機密穩健復雜系統是指具有信息不被泄露給非授權的用戶、實體或過程的特性，以及可以在規定時間和條件下完成預定功能，并持續穩定運行，構成較為復雜的物聯網類系統，如智能電網系統、銀行系統、智慧醫療系統等。

針對不同的具體系統，當前科研領域做了相應具體化研究。對于銀行系統，Grunbauer等[1]使用AUTOFOCUS工具改進安全標準系統，提出了一種安全可靠的信息系統安全管理與評估方法，并將其應用到德國銀行的安全評估中進行實例驗證，取得了理想的效果。對于智能電網，CIGRE Task Force[2]提出了電網運行風險的正式定義，業界普遍認為基于風險進行電網運行控制在很多方面優于確定性的控制，因此成為學術界和工程界努力追逐的目標。Xiao等[3]提出了基于風險的多目標優化模型用于協調實時運行階段的安全性與經濟性。針對物聯網的分層評價系統，Yang等[4]分析了物聯網不同層面（感知層、傳輸層、應用層）存在的安全問題，僅考慮到技術層面的攻擊類型，討論了身份驗證和訪問控制的機制和體系結構，未考慮物聯網系統提供的服務層面上的安全需求。目前，針對智慧醫療系統設備存在的風險，研究人員提出了一種設備安全框架用來檢測智能醫療設備[5]，為了保護隱私數據，提出一種針對云端隱私數據共享[6]等數據傳輸某一環節的保護方法。

同時，現有的信息安全評估標準也存在評估目標維度單一、標準眾多、缺乏統一的安全評估框架、無法滿足新興機密穩健復雜系統評估要求的局限性。趙慶蘭[7]針對CC（common criteria）標準只規定準則不設計方法的問題，提出了一種定性與定量相結合的網絡安全評估模型，但缺少系統及服務層面的安全指標考量；陳勇等[8]擴展了CC標準的安全功能類從而對智能電視應用軟件進行評估，缺少針對服務層面的安全功能類；Yang等[9]從等級保護標準角度出發，在分類對象和安全目標受到損害時對分類對象的損害程度這兩個分類因素進行定性和定量分析，但缺少產品組件層面和服務層面的安全考量；趙艷玲[10]分析了NIST（national institute of standards and technology）“提升關鍵基礎設施網絡安全框架”，指出該框架提供一整套安全風險管控的標準和程序，是一套動態規范流程，要求評估實體具備識別、保護、檢測、響應、恢復5種基本能力，卻忽略了實體組件層面的安全需求和分析。因此，可以看出現有標準的應用場景和安全目標的定義不統一，包含的安全目標不完整，同時針對機密穩健復雜系統缺乏明確的指導和評估模型。

由此不難發現，目前面向機密穩健復雜系統的安全評估策略和方法多局限在具體系統領域，現有的眾多標準評估目標維度單一、應用領域有限，缺乏一個宏觀統一的綜合評價模型。

3 評估模型的構建

針對機密穩健復雜系統的安全評估缺乏統一評估模型的問題，本文依據現有CC標準的評估流程，在考慮指標間存在相互影響關系的基礎上，提出了如圖1所示的基于指標關聯性分析的多級分解反饋綜合安全評估模型，該評估模型闡述了機密穩健復雜系統的評估流程及關鍵考量點。首先，其安全目標體系的建立是在綜合參考CC標準、等級保護標準、NIST“提升關鍵基礎設施網絡安全框架”等系列標準的基礎上進行安全目標策略分解得來；其次，在安全目標形式化時，考慮到評估指標間的相互關聯性，建立了基于指標關聯性分析的指標體系；最后，利用相應的系統安全等級評估度量模型進行評估，得到相應的量化或等級評測結果，經過驗證確認機制，以評測結果作為反饋來增強系統的安全特性。

圖1 基于指標關聯性分析的多級分解反饋綜合安全評估模型

安全目標體系的建立旨在按照選定的評估標準，將選定的評估對象進行安全目標策略分解。現有CC標準的基本概念、安全功能需求、安全保證需求3部分相互依存，從宏觀角度闡述了對于產品和系統安全評估的指導思想和技術要求[11]，但對于如機密性這類具體要求，CC標準的闡述并不詳盡。公安部提出的信息安全等級保護標準1.0版本定義了信息系統的安全等級及要求項，但其等級測試項目繁多，與實際應用有些許偏差，在等級保護2.0征求意見版本中，僅考慮技術和管理兩個角度，應用領域有一定局限性，未考慮到系統持續運行所需要的安全目標和提供服務層面的安全目標。NIST“提升關鍵基礎設施網絡安全的框架”是一套著眼于安全風險、應用于關鍵基礎設施廣闊領域的安全風險管控流程，相對于評估而言，該框架更傾向于分析風險發生時的管控問題，對于機密性方面的評估，較少提及。

因此，針對機密穩健復雜系統的評估，因評估系統的獨特性和重要性，其安全目標的體系建立延續了CC標準，并組合了我國的等級保護標準要求，同時考慮到NIST“提升關鍵基礎設施網絡安全的框架”要求等，從產品、系統、服務3個層面的需求進行分析，構建機密穩健復雜系統的安全目標體系，并將該類系統的安全目標體系形式化，分為安全目標（M_ST）、一級指標（u）、二級指標（u）。安全目標分為8個，覆蓋產品級別、系統級別以及服務級別要求，分別為機密性、可用性、可控性、可鑒別性、人員組織、風險管理、企業定級和可連續性，如圖2所示。

圖2 機密穩健復雜系統的安全目標體系

考慮到機密穩健復雜系統是由不同的產品組件依據一定的連接原則，構成一個功能完備的系統，進而提供相應的服務，因此從產品、系統、服務3個層面進行評估對象的安全目標體系形式化，使評估對象的考量更加完備，同時也彌補了現有信息安全評估標準評估目標單一、功能有限的局限性。CC標準是安全評估領域底層最基本的考量，根據CC標準的指導將安全目標分為機密性、可用性、可控性、可鑒別性，從4個角度對產品組件的安全性進行衡量。等級保護標準是從威脅度矩陣的角度，對控制和管理進行了一定的分析，基于此，添加了人員組織、風險管理和企業定級的安全目標。考慮到NIST“提升關鍵基礎設施網絡安全的框架”是著眼于風險管控流程，更加注重系統在風險發生時的運轉能力和動態服務的保持性，故增加系統的可持續性。

4 綜合評估算法

針對機密穩健復雜系統的評價，考慮到所涉及指標間的影響關系，采用基于排序的確權算法計算權重，然后選擇使用模糊綜合法計算整體的安全評估等級。

常用的確權方法如層次分析法（AHP, analytic hierarchy process），由于知識、經驗等客觀因素存在，導致評估結果缺乏客觀性，過分依賴于專家所得的評估結果。TOPSIS是基于距離的一種排序算法，在正理想解和負理想解的選取上過分依賴于專家的評價結果，應用在安全評估的場景時，不能很好地量化指標的權值。基于馬爾可夫鏈的風險轉移概率確權算法是根據指標間的風險轉移概率來確定指標權重，但指標的風險轉移概率較難準確獲取[12]。構建的基于指標關聯性評估排序的確權方法，利用馬爾可夫鏈的基本原理和指標間的關聯性，結合PageRank[13]的思想，根據專家的集體評估結果確定其間的影響程度，通過不斷迭代計算，最終達到穩定的狀態，以此確定指標的權重大小。利用此算法確定指標權重，不僅考慮到指標間的關聯性，而且集合了眾專家的評價結果，達到評價人數越多、評價結果越客觀的效果，消除了單一專家評價的主觀性問題。

4.1 建立模糊綜合評價因素集合U

4.2 基于排序的確權算法計算指標權重

4.3 建立評價集V及進行綜合判斷

所以，模糊綜合評估模型為

4.4 評價指標的處理

5 分析建模與算法實現

機密穩健復雜系統領域中的智慧醫療物聯網系統具有互聯性、協作性、預防性、普及型、可靠性、創新性等特點[14]。但醫療數據在多家醫療單位之間的共享，使用戶醫療隱私信息泄露的風險加大[15]。此外，業內缺乏完備的監管規則、電子標簽易被惡意追蹤等現狀也加劇了風險威脅[16]。

機密性指信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性。由于機密穩健復雜系統對可靠性要求很高，而其隱私數據又存在泄露風險，故機密性的評估顯得尤為重要。因此，選取智慧醫療物聯網系統的機密性這一安全目標作為評估對象，應用綜合評估算法對其進行評估。

5.1 模型指標選取及評價因素集合U的確定

5.2 確定指標權重

在計算指標的權重時，考慮到不同指標間風險概率的影響，利用基于排序的確權算法計算指標的權重。

表1 機密性指標分析

表2 指標關系專家打分情況

5.3 建立評價等級集M及綜合判斷

表3 隸屬度矩陣專家打分情況

5.4 模糊綜合評價

針對機密性的模糊綜合評判如下。

5.5 評判結果

針對智慧醫療系統的機密性安全目標，利用綜合評價法評價得出它的安全等級為高。

6 結束語

機密穩健復雜系統的安全質量評估尚在起步階段，缺乏統一的安全評估模型和指標體系，本文通過綜合參考通用準則CC、公安部等級保

護標準等現有標準體系，從產品、系統和服務3個層面確立了機密性、風險管理、企業定級、可持續性等8個安全目標為核心的評估體系。考慮到指標體系間的相互關聯性，本文提出了基于量化指標關系的安全評估模型。隨后，選取智慧醫療物聯網系統的機密性這一安全目標作為評估對象，構建了基于指標關聯性的排序確權算法，應用模糊綜合評價方法進行實例化驗證，最終確定其機密性等級安全評價結果為高。

[1] GRüNBAUER J, HOLLMANN H, JüRJENS J, et al. Modelling and verification of layered security protocols: a bank application[C]//International Conference on Computer Safety. 2003.

[2] CIGRE Task Force 38. 03. 12. Power system security assessment: a position paper[J]. Electra, 1997, ( 175) : 49-77.

[3] XIAO F, MCCALLEY J D. Risk-based security and economy tradeoff analysis for real-time operation[J]. IEEE Transactions on Power Systems, 2007, 22(4):2287-2288.

[4] YANG Y, WU L, YIN G, et al. A Survey on security and privacy issues in Internet of things[J]. IEEE Internet of Things Journal, 2017, 4(5):1250-1258.

[5] ASPINALL D, WOLTERS M. POSTER: weighing in eHealth security[C]//Sigsac Conference on Computer and Communications Security. 2016: 1832-1834.

[6] YANG LEI, HUMAYED A, LI FENGJUN. A multi-cloud based privacy-preserving data publishing scheme for the Internet of things[C]// Conference on Computer Security Applications. 2016:30-39.

[7] 趙慶蘭.一種基于CC的網絡安全評估模型[J].計算機安全,2008(3):42-43. ZHAO Q L. A network security evaluation model based on CC[J]. Computer Security,2008(3):42-43.

[8] 陳勇, 莫瑋, 王勇, 等. 一種基于CC的智能電視應用軟件安全評估方法[J]. 電視技術, 2014, 38(8): 72-74+82. CHEN Y, MO W, WANG Y, et al. Security assessment method of smart TV’s application based on CC[J].Video Engineering, 2014, 38(8):72-74.

[9] YANG Y H, SHEN Y J, ZHANG G D, et al. The grading scheme based on fuzzy comprehensive evaluation and analytic hierarchy process for classified protection of information system[C]//5th IEEE International Conference on Software Engineering and Service Science (ICSESS). 2014.

[10] 趙艷玲. 淺談美國《提升關鍵基礎設施網絡安全框架》[J].信息安全與通信保密,2015(5): 16-21. ZHAO Y L. Brief probe into “Framework for improving critical infrastructure cybersecurity”[J].Information Security and Communications Privacy,2015(5):16-21.

[11] 逄淑寧, 封莎. 信息技術安全評估通用準則CC綜述[J]. 電信網技術, 2011(8):59-63. FENG S N, FENG S. Review on information technology security assessment common criteria CC[J].Information and Communications Technology and Policy,2011(8):59-63.

[12] 張秋瑾. 云計算隱私安全風險評估[D]. 昆明: 云南大學, 2015. ZHANG Q J. Cloud computing privacy security risk assessment[D]. Kunming: Yunnan University,2015.

[13] PANG H M, LIU H Z, Research on information engineering security surveillance risk assessment based on page rank algorithm[J]. Computer Security, 2014(8): 17-20.

[14] 鄭改成. 基于物聯網下的智慧醫療體系架構及其應用[J]. 山西電子技術, 2016(5):66-68. ZHENG G C. Architecture and application of the smart healthcare based on Internet of things[J]. Shanxi Electronic Technology, 2016(5): 66-68.

[15] 張玉清, 周威, 彭安妮. 物聯網安全綜述[J]. 計算機研究與發展, 2017, 54(10): 2130-2143. ZHANG Y Q, ZHOU W, PENG A N. Survey of Internet of things security[J]. Journal of Computer Research and Development,2017, 54(10):2130-2143.

[16] 楊穎, 朱君茹, 袁媛, 等. 醫療物聯網的發展現狀、問題與對策[J]. 中國衛生信息管理雜志, 2015(3): 298-303. YANG Y, ZHU J R, YUAN Y, et al. Development status, problems and countermeasures of medical Internet of things[J]. Chinese Journal of Health Informatics and Management, 2015(3):298-303.

Security evaluation method for confidential and stable complex systems

ZUO Jinxin1,2, GUO Ziyu1,2, LI Jin1,2, ZHANG Jie3, LU Yueming1,2

1. Beijing University of Posts and Telecommunications, Beijing 100876, China 2. Key Laboratory of Trustworthy Distributed Computing and Service (BUPT), Ministry of Education, Beijing 100876, China 3. Institute of Systems Engineering, Academies of Military Science, Beijing 100091, China

Confidential and stable complex systems are characterized by high confidentiality requirements, continuous and stable operation requirements, and complex network structure, but existing evaluation models has a single dimension of security objectives and lack the correlation analysis among indicators. In view of this, a comprehensive security evaluation model based on the correlation analysis of indicators is proposed and eight security objectives covering confidentiality, availability, controllability, identifiability, personnel organization, risk management, enterprise grading and sustainability at three levels of product, system and service have been established. Taking the confidentiality of the smart medical IoT as an example, a sorting and weight confirmation algorithm based on index correlation is constructed, and the fuzzy comprehensive evaluation method is used to evaluate the selected system.

confidential and stable complex system, information security evaluation, sort algorithm, fuzzy comprehensive evaluation method

The National Key Research and Development Program (No.2016YFF0204001)

TP309

A

10.11959/j.issn.2096-109x.2019017

左金鑫（1992? ），女，山東德州人，北京郵電大學博士生，主要研究方向為網絡空間安全。

郭子裕（1994? ），男，河北石家莊人，北京郵電大學博士生，主要研究方向為網絡空間安全。

李瑾（1996? ），女，黑龍江齊齊哈爾人，北京郵電大學碩士生，主要研究方向為網絡空間安全。

張潔（1981? ），女，軍事科學研究院系統工程院教授，主要研究方向為信息安全。

陸月明（1969? ），男，江蘇蘇州人，北京郵電大學教授、博士生導師，主要研究方向為分布式計算、網絡空間安全。

2018?11?25；

2018?12?20

左金鑫，zuojx@bupt.edu.cn

國家重點研發計劃基金資助項目（No.2016YFF0204001）

左金鑫, 郭子裕, 張潔, 等. 機密穩健復雜系統安全性評估方法[J]. 網絡與信息安全學報, 2019, 5(2): 58-65.

ZUO J X, GUO Z Y, ZHANG J, et al. Security evaluation method for confidential and stable complex systems[J]. Chinese Journal of Network and Information Security, 2019, 5(2): 58-65.