基于服務重要度的信息系統安全評估方法

◆孔 睿 何韶軍 焦大偉 李 遠 徐 筱

( 1.中國人民解 放軍軍事科學院戰爭研究院 北京 100091; 2.中國人民解放軍31003部隊北京 100191; 3.亞東廣聯科技有限公司 北京 102200)

信息系統安全評估[1]是基于一定的技術手段與評估模型，對系統安全進行綜合評價，通過評價結果來了解系統中潛在的威脅和脆弱性，確定系統的安全情況，評定系統的安全等級，為安全管理提供重要依據。而評估方法的選擇直接影響到評估過程中的每個環節，甚至會影響到最終的評估結果。

經典的OCTAVE[2]從資產脆弱性[3]的角度出發提供了安全風險評估理論框架。故障樹分析[4]畫出故障原因的各種可能組合方式和/或其發生概率。事件樹分析[5]能夠分析風險事件可能導致的各種事件的一系列結果。層次分析法（AHP）[6]將目標分解為多個指標，再分解為多指標的若干層次，通過定性指標模糊量化方法算出層次單排序和總排序。需要一致性檢驗，算法較為復雜。屬性層次模型（AHM）[7]是由程乾生教授在研究AHP模型的基礎上提出的一種新的無結構決策方法，可不做一致性檢驗，簡化了計算，使決策容易實現。模糊綜合評判[8]根據確定的目的來測定對象系統的屬性，并將這種屬性變成客觀定量的數值或主觀效用的行為。該法的優點是數學模型簡單，容易掌握，對多元素多層次的復雜問題評判效果比較好。吳文剛等人提出層次分析法AHP和模糊綜合評判Fuzzy相結合的評估方法[8]，但層次分析法算法復雜，需要一致性檢驗，給計算帶來不便。

除此之外還有BP神經網絡[9]、攻擊圖理論[10]、D-S證據理論[11]、灰色理論[12]等評估方法，但這些評估方法沒有考慮信息系統中不同服務的重要性，無法評估各種威脅可能對信息系統不同服務造成的危害。

1 系統構建

構建基于服務重要度的信息系統安全評估系統包括六個模塊，評估流程如圖1所示。

圖1 信息系統安全評估流程圖

1.1 建立評估模型

根據信息系統的服務組成，建立信息系統屬性分層結構，將信息系統視為一個整體，為使用者提供多種不同的服務，每種服務分解為多層資源，每種資源用基本屬性來描述，將服務重要度作為第一分層節點，從上至下依次將信息系統分為系統層、服務層、資源層、屬性層，獲得信息系統安全評估模型，如圖2所示。

圖2 信息系統的分層結構示意圖

（1）資源層

具體細分為一級資源、二級資源，每一資源最終都分解為基本資源。一級資源包括計算機網絡硬件、計算機網絡軟件和數據資源。二級資源包括主機設備、外圍設備、網絡設備等。基本資源包括CPU、內存、硬盤、光驅、電源、BIOS、網卡以及其他輸入輸出控制器和接口等。如圖3所示。

圖3 資源層分層結構示意圖

（2）屬性層

包括若干基本屬性，用來綜合評價信息系統的基本資源，通過信息系統在網絡破壞前后對基本屬性的變化獲得網絡威脅對信息系統安全性和信息系統服務質量的影響，反映受到網絡威脅的程度。

基本屬性包括以下6種。可用性[13]指信息系統的服務在某一時刻提供有效使用的程度，采用可用度A來表示。占用率是指某項服務或程序占用某資源，表示資源在某時間點的運行程序的情況，監測信息系統的服務和數據被其他資源占用的情況。響應速率/時間是指從給定計算機輸入到出現對應的輸出之間的時間間隔。正確度表示測量結果與信息系統本身所提供的服務或存儲的數據之間誤差大小的程度。保密性能保證信息系統提供的服務和數據資源不被非法竊取和解析。完整性指在存儲、傳輸數據資源的過程中，能夠存儲、傳輸全部正確的數據，信息沒有任何遺漏。

1.2 設置評估模型屬性權重值

請N個專家對評估模型的各層元素打分，去掉每一個專家得分的最大值和最小值，余下的取算術平均值并取整，計算求得各元素的屬性權重值，獲得各元素的比重。

1.3 設置安全評估等級

設置安全評估等級分數表，根據網絡破壞程度將信息系統安全劃分為m個等級，各個等級賦予相應的分數，表達信息系統適應性。通過將權重得分按照以上等級劃分，可以定性分析安全檢測效果。

1.4 網絡安全測試

在網絡威脅環境下對信息系統進行網絡安全測試，判斷網絡是否出現異常情況。當發生網絡惡意行為時，網絡惡意行為動作通過作用于基本屬性實現對網絡的破壞和信息的截獲，網絡安全測試模塊運用安全檢測工具對信息系統的基本屬性進行監控檢測獲得基本屬性的變化，從而判斷網絡是否出現異常情況以及發生異常的服務層。安全檢測工具包括：信息收集類，如嗅探工具、PING掃描工具和端口掃描工具；系統安全分析類，如主機操作系統配置檢查工具、主機系統審計工具、數據完整性檢測工具等；應用安全檢測類，如源代碼掃描工具、IDS工具、防火墻測試工具等；攻擊測試類，如密碼破解工具、會話劫持/欺騙工具、系統權限提升工具等。

1.5 計算模糊綜合評判集

在網絡威脅環境下對信息系統進行網絡安全測試，判斷網絡是否出現異常情況。當發生網絡惡意行為時，網絡惡意行為動作通過作用于基本屬性實現對網絡的破壞和信息的截獲，網絡安全測試模塊運用安全檢測工具對信息系統的基本屬性進行監控檢測獲得基本屬性的變化，從而判斷網絡是否出現異常情況以及發生異常的服務層。安全檢測工具包括：信息收集類，如嗅探工具、PING掃描工具和端口掃描工具；系統安全分析類，如主機操作系統配置檢查工具、主機系統審計工具、數據完整性檢測工具等；應用安全檢測類，如源代碼掃描工具、IDS工具、防火墻測試工具等；攻擊測試類，如密碼破解工具、會話劫持/欺騙工具、系統權限提升工具等。

（1）基本屬性的模糊綜合評價矩陣

確定安全評估組 p位成員，根據劃分的m個等級分別對信息系統安全的各個基本屬性進行評價，其評價結果統計如表1所示。

表1 基本屬性評價結果統計

確定安全評估組p位成員，根據劃分的m個等級分別對信息系統安全各個基本屬性進行評價，其評價結果統計如表1所示。

其中，S1-Sm是等級域里的等級，GkSm'是每位專家對各個基本屬性在各個等級的打分，1≤k≤g，且對于固定的基本屬性Gk，有

將得分做歸一化處理，求得每個基本屬性在每個等級的隸屬度，計算公式為：

（2）各層的模糊綜合評判集

確定安全評估組 p位成員，根據劃分的m個等級分別對信息系統安全的各個基本屬性進行評價，其評價結果統計如表1所示。

從最低層資源層開始進行評價。評價算法依據綜合評價模型B=AR來進行，其中，A是本級各元素的相對權重，R是模糊綜合評價矩陣，采用矩陣乘法計算求得模糊綜合評判集。每一層級中，計算所得的模糊綜合評判集是上一層級的模糊綜合評價

矩陣。

對資源層F中每一資源Fk：

其中，1≤k≤g。B(G1)-B(Gg)是屬于資源Fk的模糊綜合評價矩陣，A(Fk)是Fk下屬的基本屬性的相對權重，B(Fk)即資源Fk的模糊綜合評判集。

同理，求得B(Ek)、B(Dk)、B(Ck)、B(Bk)。

（3）信息系統的模糊綜合評判集

計算公式為：

其中，B1-Bn是信息系統的n項服務，WA1-WAn是各項服務的相對權重。B= [b1,b2,...,bm]即為信息系統安全的模糊綜合評判集。

1.6 判定安全等級

通過計算信息系統安全得分來判定安全等級，將信息系統安全的模糊綜合評判集用歸一化公式處理，獲得得分S，計算公式為：

其中，j= 1,2,3....m。求得得分S即為信息系統安全性最終得分，從而判定安全等級。至此，完成了基于服務重要度的信息系統安全評估。

2 實例分析

構建基于服務重要度的信息系統安全評估系統包括六個模塊，評估流程如圖1所示。

2.1 建立評估模型

根據信息系統的服務組成建立信息系統的屬性分層結構如圖4所示。首先，按信息系統分層結構的框架，將信息系統安全評估模型從上至下的順序劃分不同的層級。

圖4 實施例的分層結構示意圖

2.2 設置評估模型屬性權重值

按照實際情況設置評估模型屬性權重值，由20位專家分別對各層次元素進行兩兩比較打分，采用9級分制對各個判斷矩陣中的元素進行賦值。各層的判斷矩陣如表2所示。

表2 各層判斷矩陣

2.3 設置安全評估等級

根據網絡破壞程度將信息系統安全劃分為以下五個等級，表達信息系統安全程度。總分值100分，按得分高低劃分安全等級，如表3所示。

表3 安全等級劃分

2.4 網絡安全測試

首先構設網絡威脅環境，對該信息系統進行網絡嗅探、拒絕服務攻擊、數據驅動攻擊、IP欺騙、ARP攻擊，其中數據驅動攻擊包括木馬和病毒，以便對網絡威脅后信息系統基本屬性進行評估。其次，使用嗅探工具、日志分析工具、防火墻測試工具、路由器測試工具、交換機測試工具、蠕蟲檢測工具、病毒檢測工具對基本屬性進行安全檢測，生成檢測報告，為專家打分提供依據。

2.5 計算模糊綜合評判集

（1）基本屬性的模糊綜合評價矩陣

首先，由安全評估組20位成員，根據劃分的五個等級分別對信息系統安全的33個基本屬性進行評價，評價結果統計如表4所示。

表4 安全等級劃分

將得分做歸一化處理，用公式（1）計算每個基本屬性在每個等級的隸屬度，得到模糊綜合評價矩陣如表5所示。

表5 基本屬性的模糊綜合評價矩陣

（2）各層的模糊綜合評判集

求得：B(D1) = [0 . 1 51,0.28,0.268,0.165,0.136]，…，B(D2) = [0.278,0.253,0.227,0.157,0.087]。

根據公式（4）求得：B=AR(B1B2) = [0.186,0.273,0.248,0.156,0.122]。

2.6 判定安全等級

根據公式（5）求得信息系統的安全評估得分為：S=79。

該信息系統的安全評估得分79分，從而判定信息系統安全等級為3，信息系統受到中等級程度的安全威脅，信息系統安全性一般。

從相對權重來看，由于服務1操作系統數據B1的權重遠大于服務2計算機網絡硬件B2，因此，服務1操作系統數據B1的安全性更重要，進一步通過改善加密算法提高操作系統數據的安全性。對服務B1來說，一級資源操作系統管理數據C1占據最大的權重，因而重要性最高。在所有資源中，基本資源文件管理D1在服務B1中最重要，在服務B2中基本資源外存儲器D9所占比例最高，CPUD4其次。在所有的基本屬性中，外存儲器D9比重最高，對信息系統安全影響最大。因此，要著重控制和使用外存儲器，定期查殺病毒。文件管理D1的響應速率G2、交換機D7的響應速率G21、鍵盤D10的正確度G32的比重均相對較小，因此并不重要。

3 結束語

本文從服務重要度的角度出發建立信息系統分層結構模型，并將屬性層次模型與模糊綜合評判法相結合應用于信息系統安全的評估，既能夠實現建模的簡潔實用，減少計算復雜度，又能有效地處理評價過程中的主觀性以及客觀所遇到的模糊現象，全面綜合評估信息系統安全。