安全等級對信息系統安全技術策略的影響研究——以防火墻和IDS技術組合為例

◆李榮健

安全等級對信息系統安全技術策略的影響研究——以防火墻和IDS技術組合為例

◆李榮健

（西藏日喀則和平機場 西藏 857000）

本文以服務器防火墻和IDS的技術組成為例，運用悖論科學地研究信息系統安全級別對安全技術組成和設備對策的危害。發現安全級別越高，網絡黑客的威懾力就越大，這可以降低黑客的入侵率。本文重點討論的是關于安全級別對信息系統安全技術對策危害的科學研究，供相關讀者參考。

安全等級；信息系統；安全技術；防火墻；IDS技術；組合應用

1 引言

網絡安全技術專注于各種信息系統安全技術的設計與開發，可實現成本的降低，將投資減少。隨著信息系統安全隱患的日益嚴重和安全威脅的復雜性，要從經濟和管理的角度對信息系統安全技術進行選擇和部署，科學研究各種安全技術的組成，進而完成對組織信息系統的深度防御。

2 信息系統安全等級

我國國家行業標準要求信息系統安全等級維護是指信息系統在國防安全、社會穩定、社會秩序和集體利益中的關鍵等級及其風險、安全要求、安全成本等因素。將它們分為不同級別的安全維護，并采用有效級別的安全維護技術和管理方法，以確保信息系統安全和網絡信息安全。該規范將安全級別分為5個級別，每個級別都是針對客戶的獨立維護級別，包括系統軟件財務審計維護級別，安全標識維護級別，結構維護級別和瀏覽認證維護級別。等級保護評估的基本原理取決于根據信息系統的關鍵等級將信息系統分為不同的安全等級，并以全面和平衡的方式考慮系統優化規則。包括遇到的安全風險和實施安全預防措施的成本，安全預防措施的調整和定制，以及不同級別的維護安全預防措施的制作。根據《關于維護我國信息系統安全等級的基本規定》，上述基本信息系統安全規定分為基本技術標準和基本管理辦法兩類。在信息系統中部署硬件和軟件，并適當配備其安全功能以完成任務。

3 物理模型的構建

假設系統用戶均為外部，ε代表非法用戶的占比，則1-ε是合法用戶的占比，V代表的是合法用戶利潤是非法用戶選擇入侵組織的信息系統概率，不入侵的概率則為1-V，組織人工檢測到非法用戶的入侵行為，就會實施β懲罰，形成入侵凈收入，被稱之為μ-β。此時，假設μ-β<0，則可檢測到入侵組織，進而得到凈收入為負數的結果。

信息系統、服務器防火墻的主要參數為“正檢測率”和“誤檢測”。PF和PF分別表示。監視系統發送警報可能性入侵檢測系統發送的警報可用于提醒信息系統管理員調查系統，以進一步澄清是否存在真正的入侵，并以多種方式防止真正的入侵。根據入侵檢測系統發出的警報，組織的信息系統經理決定是否對系統進行手動研究。

一般來說，為了減少漏報的損害，IDS有時會入侵個人，因此在IDS尚未報告警報時，他們還將進行一定程度的人類研究。當行為發生（即報告不足）時，未發送警報。IDS所發出的警報、未發出的警報概率存在著較大的差異。

在本研究中，黑客的策略博弈模型為攻擊和不攻擊NH，其策略集為S（H，NM），組織的策略為報警情況調查和調查NI，還有在未報警情況調查和調查I NI，其策略集為Sε（（I，I），（I，NI），（NI，I），（NI，NI）），其中每對組合策略，前者表示報警情況下組織的選擇，后者表示組織選擇不報警情況。

4 仿真與應用

為了更好地展示安全等級要素在信息系統安全防范全過程中的有效性和應用性，將對相關的安全級別的危害系統進行仿真，其中仿真數據和信息的選擇是一致的。基本上假定的標準，盡可能接近具體標準。

4.1 安全級別對黑客入侵的影響

假設c = 20，ε= 0.03，d = 150，權重= 0.4。PF = 0.8，PF = 0328，P = 0.7，P = 0.240，μ= 100，B = 200（其中P =（PH）“，r；=0.25.Pβ=（PF）”，rp = 0.21，1），這時，黑客入侵的可能性將伴隨信息系統安全級別發生變化，如圖1中的實線所示。實線顯示了黑客入侵率與安全級別之間的關系。從實線可以看出，當IDS檢查率很高時，該組織的信息系統的安全性可以得出結論。當組織部署和裝備安全技術時，安全級別僅高于0.44。其實，當安全等級為0.38時，不會破壞黑客入侵的可能性；當安全級別接近0.38或小于0.38時，就沒有意義；只有當安全級別高于0.4時，才能降低黑客入侵的可能性。黑客攻擊的可能性會隨著安全級別的提高而降低，而這種危害只會變得越來越輕。即使信息系統是有組織的，當安全級別為1時，網絡黑客仍然可能選擇攻擊，這表明安全系數低。隨著信息系統安全級別的變化，圖1中的對角線顯示了相關性如圖1所示。圖1中的對角線的一部分表明，當IDS檢查率較低時，黑客入侵率與安全性的轉換有關。組織的信息系統安全級別，如圖1所示。從一些代碼可以看出，在IDS檢查率較低的情況下，黑客入侵率幾乎與安全級別成線性關系，即隨著安全級別的提高，黑客入侵的安全比率呈下降趨勢。一般來說，當安全等級達到一定水平時，提高它會降低黑客的入侵率。從高于實線的斜線可以看出，

在IDS檢驗時，在相同安全級別下，黑客的入侵率低將高于IDS檢查率高的情況。

圖1 安全級別對黑客入侵的影響

4.2 安全等級對安全技術設備的危害

安全技術是安全等級維護的基本規則之一。以我們實驗選擇的IDS和服務器防火墻為例。在這里，我們將模擬對IDS和入侵檢測技術設備的每個安全級別的危害，并處理每種危害，從而進行深入的分析和應用。

4.2.1安全級別對IDS設備對策的危害

再次應用，假設ε= 20，ε= 0.03，d = 150，φ= 0.4，PF = 08，PF = 0328，μ= 100，β= 200，（其中PF =（PF）“，r = 0.2），考慮到安全級別，IDS檢查率與黑客入侵率的變化有關，如圖2所示。從圖2可以看出，當IDS檢查率很高（超過引用）時，如果安全級別無法提升，網絡黑客入侵的可能性也很高，在安全等級較高的情況下，即便是IDS檢查率較低，黑客的選擇可能性也隨之降低，信息內設置的安全級別屬于系統安全的前提條件之一。

圖2 安全級別對IDS設備對策的危害

4.2.2安全級別對服務器防火墻對策的危害

再次，原始假設ε= 20，c = 0.03，d = 150，φ= 0.4，Pb = 0.7，Pp = 0.240，μ= 100，β= 200，（其中P =（P），= 0.25）。考慮到當達到安全級別時，服務器防火墻的查全率與黑客入侵可能性的變化有關。可以看出，在安全級別恒定的情況下，隨著服務器防火墻檢查率的提高，黑客的入侵率將降低。當服務器防火墻檢查率從非常低到高逐漸增加時，對黑客入侵率的危害不大，但是當服務器防火墻的查重率從高到甚至1時，黑客入侵所產生的危害也隨之擴大。通過對比0.7服務器防火墻的檢查率、黑客入侵率，0.8服務器防火墻的檢查率、黑客入侵率，得出的結論是等級越高，則服務器防火墻的檢查率、入侵率也會降低，這與服務器防火墻檢查匹配的黑客入侵率相同。

通常，信息系統的安全級別由信息系統應用程序的安全要求決定。安全級別越高，對安全技術的組成和設備的要求越高。僅在技術組成上改進某種技術設備不能提高信息系統的安全性。只有通過促進所有技術設備在安全性方面的技術組成才能相互協調，也可以通過相互補充來完成安全級別的提高，但這又將引起網絡黑客的高級別安全性。此種方法有一定威懾力，降低了網絡黑客的入侵率。

5 結論與前景

5.1 主要結果

信息系統的安全性由信息系統應用程序的安全要求決定。安全級別越高，對安全技術的組成和設備的要求就越高。只有在安全方面促進所有技術設備的技術構成，才能使它們協調一致。通過互補可以提高安全級別。為了更好地完成組織信息系統安全的深度防御，組織在部署安全技術時應考慮安全級別的影響因素，并完善部署對策。科學研究基本上是以維護中國信息系統的安全水平為基礎的。本規程著眼于信息系統安全技術的選擇和裝備，科學地研究了安全等級對組織信息系統安全技術選擇和裝備的危害。

首先，安全級別定義是組織信息系統安全防御的前提，若是IDS的檢查率較高，其安全等級無法保障，使得黑客的選擇入侵率也隨之增加。在較高安全等級的情況下，黑客入侵之后，選擇網絡的可能性也會得到一定程度的降低。其次，安全級別越高，相同服務器防火墻檢測率導致的黑客入侵率越低，匹配相同黑客入侵率的服務器防火墻檢測率越低。這兩個結果表明，信息系統的安全級別越高，對安全技術構成和設備的要求就越高。第三，不考慮IDS檢查率，組織的安全等級越高，對網絡黑客的威懾力越大，反過來使得網絡黑客入侵的機會越少，但不會損害組織的人類研究概率。第四，根據科學研究的物理模型，不考慮安全水平的均衡博弈只是考慮安全水平時的極限，通常不可能或沒有必要達到極限的充分必要條件。它進一步說明了在為信息系統開發安全設置時應考慮安全級別的特殊重要性。

5.2 科研展望

雖然科學研究成果豐富多彩，但仍有一些內容值得進一步深入分析。首先，明確了安全級別是信息系統安全最重要的方面之一，但如何確定它實際上需要深入分析；其次，除了服務器防火墻和IDS的技術構成外，其他信息系統安全技術的選擇和設備的組合也會影響安全級別。

[1]甘清云.國標《信息系統等級保護安全設計技術要求》修訂淺析[J].網絡安全技術與應用，2020（01）：1-2.

[2]蔡傳晰. 基于博弈關系的企業信息系統安全技術配置策略研究[D].東南大學，2018.

[3]方玲，仲偉俊，梅姝娥.安全等級對信息系統安全技術策略的影響研究——以防火墻和IDS技術組合為例[J].系統工程理論與實踐，2016，36（05）：1231-1238.

[4]宋好好. 云計算信息系統信息安全等級保護測評關鍵技術研究[A]. 中國計算機學會.第30次全國計算機安全學術交流會論文集[C].中國計算機學會：中國計算機學會計算機安全專業委員會，2015：3.

[5]宋好好.云計算信息系統信息安全等級保護測評關鍵技術研究[J].信息網絡安全，2015（09）：167-169.

[6]方玲，仲偉俊，梅姝娥.脆弱性水平對信息系統安全技術策略影響研究[J].大連理工大學學報，2015，55（03）：332-338.