Web應(yīng)用安全的集成風(fēng)險(xiǎn)評(píng)估方法

郭錫泉 陳香錫

1(清遠(yuǎn)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)中心 廣東 清遠(yuǎn) 511510) 2(清遠(yuǎn)市網(wǎng)絡(luò)空間安全工程技術(shù)研究開發(fā)中心 廣東 清遠(yuǎn) 511510)

0 引 言

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心官網(wǎng)發(fā)布了《我國(guó)2019年互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》的報(bào)告[1],該報(bào)告披露國(guó)家信息安全漏洞共享平臺(tái)(CNVD)2019年收錄的安全漏洞數(shù)量再創(chuàng)新高,共計(jì)16 193個(gè)。排名前三的依次為應(yīng)用程序漏洞、Web應(yīng)用漏洞和操作系統(tǒng)漏洞。Web服務(wù)長(zhǎng)期以來(lái)是最為普遍的互聯(lián)網(wǎng)應(yīng)用,同時(shí)又是風(fēng)險(xiǎn)極高的網(wǎng)絡(luò)應(yīng)用。網(wǎng)絡(luò)安全法明確規(guī)定:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)是各組織和單位保障信息系統(tǒng)安全的有效舉措。等級(jí)保護(hù)一般要經(jīng)歷定級(jí)、備案、安全建設(shè)、等級(jí)測(cè)評(píng)、監(jiān)督檢查等環(huán)節(jié),實(shí)施周期較長(zhǎng)。目前對(duì)Web應(yīng)用系統(tǒng)的等保測(cè)評(píng),是在統(tǒng)一的測(cè)評(píng)框架下進(jìn)行的。Web應(yīng)用系統(tǒng)即使通過(guò)了等保測(cè)評(píng),仍然需要進(jìn)行周期性的風(fēng)險(xiǎn)評(píng)估和安全改進(jìn)。對(duì)Web應(yīng)用進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,在應(yīng)用實(shí)踐中愈發(fā)變得重要。而缺乏針對(duì)性強(qiáng)、操作性強(qiáng)的評(píng)估方法,是當(dāng)前Web應(yīng)用安全風(fēng)險(xiǎn)評(píng)估亟須解決的問(wèn)題。

1 Web應(yīng)用安全風(fēng)險(xiǎn)評(píng)估的有關(guān)研究

目前已有一些研究是針對(duì)Web應(yīng)用安全的。國(guó)內(nèi)文獻(xiàn)方面,涂玲等[2]提出基于協(xié)議混合變形的Web安全模糊測(cè)試與效用評(píng)估方法,馬成等[3]提出基于用戶安全屬性偏好的Web服務(wù)評(píng)估,劉瑞軍等[4]研究了密鑰交換環(huán)境下Web安全漏洞的智能檢測(cè),李棟等[5]提出基于擴(kuò)展有限狀態(tài)機(jī)FSM的Web應(yīng)用安全測(cè)試方法,張玉鳳等[6]提出面向軟件攻擊面的Web應(yīng)用安全評(píng)估模型。國(guó)外文獻(xiàn)方面,Nunes等[7]研究了靜態(tài)分析工具在開發(fā)場(chǎng)景下如何挖掘Web安全漏洞,Hsu等[8]研究了Windows系統(tǒng)在隱私模式下作為隱私保護(hù)的Web安全機(jī)制。以上研究大多是從某個(gè)側(cè)面對(duì)Web應(yīng)用安全進(jìn)行技術(shù)上的評(píng)估,不能完全解決Web安全風(fēng)險(xiǎn)評(píng)估的問(wèn)題。

Wei等[9]、顧兆軍等[10]提出比較系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估模型,但沒(méi)有針對(duì)Web應(yīng)用安全。齊富民等[11]提出基于模糊理論的Web安全評(píng)估模型,李榮等[12]還針對(duì)圖書館Web應(yīng)用提出安全風(fēng)險(xiǎn)評(píng)估方法。以上是對(duì)Web應(yīng)用安全風(fēng)險(xiǎn)評(píng)估較為全面和深入的研究,提出了Web應(yīng)用安全風(fēng)險(xiǎn)評(píng)估所涉及的指標(biāo)體系、評(píng)價(jià)方法等關(guān)鍵問(wèn)題。指標(biāo)體系方面,目前的研究還不是很統(tǒng)一,也未能把網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求很好地融入Web應(yīng)用安全風(fēng)險(xiǎn)評(píng)估中。評(píng)價(jià)方法方面,因涉及技術(shù)專家的主觀評(píng)判,多個(gè)專家意見(jiàn)不一致時(shí)如何處理,以及如何把主觀評(píng)價(jià)轉(zhuǎn)化為量化的、客觀的評(píng)價(jià)結(jié)果,仍然是Web應(yīng)用安全風(fēng)險(xiǎn)評(píng)估的難點(diǎn)所在。本文提出一種Web應(yīng)用安全的集成風(fēng)險(xiǎn)評(píng)估方法,以期在指標(biāo)體系、評(píng)價(jià)方法上較上述研究有所改進(jìn)。

2 集成風(fēng)險(xiǎn)評(píng)估方法

集成風(fēng)險(xiǎn)評(píng)估方法由技術(shù)維度和管理維度兩部分的評(píng)估構(gòu)成。組織若干安全技術(shù)專家對(duì)Web應(yīng)用系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,技術(shù)維度和管理維度分別建立相應(yīng)的指標(biāo)體系。技術(shù)維度可采用代碼審計(jì)、滲透測(cè)試等技術(shù)手段進(jìn)行分析,獲得測(cè)量結(jié)果后采用層次分析法與改進(jìn)的多級(jí)模糊評(píng)價(jià)相結(jié)合的方法,得出技術(shù)維度的評(píng)價(jià)值。管理維度由技術(shù)專家采用檢查、訪談等手段進(jìn)行分析,獲得測(cè)量結(jié)果后采用信息熵的方法得出評(píng)價(jià)值。最后把技術(shù)和管理兩個(gè)維度的評(píng)價(jià)值以一定的比例進(jìn)行合成,得出該Web應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)數(shù)值。

2.1 技術(shù)維度的風(fēng)險(xiǎn)評(píng)估

在傳統(tǒng)基于層次分析法的多級(jí)模糊綜合評(píng)價(jià)[13]的基礎(chǔ)上,根據(jù)網(wǎng)絡(luò)安全眾測(cè)的特點(diǎn)引入峰值評(píng)判的準(zhǔn)則,使技術(shù)維度的風(fēng)險(xiǎn)數(shù)值更能反映Web應(yīng)用安全漏洞帶來(lái)的潛在風(fēng)險(xiǎn)。

2.1.1 利用層次分析法確定指標(biāo)權(quán)重

構(gòu)建Web應(yīng)用安全技術(shù)維度的兩級(jí)指標(biāo)體系,Vi表示一級(jí)指標(biāo),Vij表示二級(jí)指標(biāo)。下面通過(guò)結(jié)構(gòu)化的方法確定各級(jí)指標(biāo)的權(quán)重。

步驟1建立判斷矩陣。

同一層次中,各個(gè)指標(biāo)進(jìn)行兩兩比較,比較結(jié)果可用判斷矩陣進(jìn)行表示。假設(shè)該層次中有n個(gè)指標(biāo),可得判斷矩陣D=(Dij)n×n,其中Dij表示指標(biāo)i相對(duì)于指標(biāo)j的重要性,具有如下性質(zhì)。

Dij>0
Dij=1/Dji
Dii=1

Dij的賦值可使用多種方法,例如常用的1～9標(biāo)度法。若認(rèn)為指標(biāo)i與指標(biāo)j同等重要,則Dij=1;若認(rèn)為指標(biāo)i比指標(biāo)j極端重要,則Dij=9;Dij還可取1～9中的數(shù)值來(lái)表示指標(biāo)i相對(duì)于指標(biāo)j的重要程度。

步驟2對(duì)判斷矩陣進(jìn)行一致性檢驗(yàn)。

應(yīng)用層次分析法的優(yōu)點(diǎn)是能夠保持專家判斷的一致性。例如,構(gòu)建判斷矩陣的過(guò)程中出現(xiàn)A比B極端重要、B比C極端重要,而C又比A極端重要的矛盾情況時(shí),層次分析法能夠識(shí)別并要求更正。這是通過(guò)對(duì)判斷矩陣進(jìn)行一致性檢驗(yàn)實(shí)現(xiàn)的。根據(jù)矩陣的理論,判斷的一致性程度可通過(guò)判斷矩陣特征根的變化來(lái)進(jìn)行檢驗(yàn)。設(shè)λ1,λ2,…,λn滿足Ax=λx,即矩陣A的特征根,且對(duì)所有aii=1有:

(1)

若矩陣A具有完全一致性,則λ1=λmax=n,且其余特征根均為零。矩陣A不具有完全一致性,則λ1=λmax>n,同時(shí)有:

(2)

為表征判斷矩陣偏離一致性的程度,層次分析法引入判斷矩陣最大特征根以外的其余特征根的負(fù)平均值CI作為度量,即:

(3)

式中:CI的值越小越好,CI=0表示判斷矩陣具有完全一致性。在實(shí)際的應(yīng)用中,λmax稍大于n且其余特征根均接近于零,這樣的情況也可以接受,稱之為“滿意一致性”。為表征“滿意一致性”,層次分析法用CI與平均隨機(jī)一致性指標(biāo)RI(其數(shù)值可查表獲得)的比率CR作為度量,當(dāng)滿足式(4)時(shí),可認(rèn)為判斷矩陣具有滿意一致性。

(4)

步驟3層次單排序。

同一層次中,各個(gè)指標(biāo)權(quán)重的確定稱為層次單排序。下面給出方根法計(jì)算矩陣特征根及其對(duì)應(yīng)特征向量的步驟。

設(shè)判斷矩陣每一行元素的乘積為Mi,則:

(5)

(6)

(7)

則W=[W1,W2,…,Wn]T即為所求的特征向量。

計(jì)算判斷矩陣的最大特征根λmax:

(8)

式中:(AW)i表示向量AW的第i個(gè)元素。

2.1.2 改進(jìn)的多級(jí)模糊綜合評(píng)價(jià)

根據(jù)模糊評(píng)價(jià)的理論,可把Vij對(duì)Vi評(píng)判視為一級(jí)評(píng)判,把Vi對(duì)V的評(píng)判視為二級(jí)評(píng)判,從而建立一個(gè)三層兩級(jí)的模糊綜合評(píng)價(jià)模型。

步驟1構(gòu)建模糊評(píng)語(yǔ)集,用C={C1,C2,C3}表示。本模型采用{高風(fēng)險(xiǎn),中風(fēng)險(xiǎn),低風(fēng)險(xiǎn)}的評(píng)語(yǔ)集,專家根據(jù)自己的經(jīng)驗(yàn),綜合訪問(wèn)難度、利用復(fù)雜度、影響程度等因素給出評(píng)語(yǔ)。技術(shù)專家對(duì)二級(jí)指標(biāo)Vij使用模糊評(píng)語(yǔ)集C進(jìn)行評(píng)判,得到模糊評(píng)估矩陣R。

R={rijk}

(9)

rijk=dijk/d

(10)

式中:rijk表示對(duì)Vij作出第k種評(píng)價(jià)的專家人數(shù),d為專家總?cè)藬?shù)。

步驟2確定指標(biāo)的權(quán)重。在同一個(gè)一級(jí)指標(biāo)Ai下,二級(jí)指標(biāo)的權(quán)重系數(shù)可表示為:

Ai=(ai1,ai2,…,aij)

(11)

一級(jí)指標(biāo)對(duì)總目標(biāo)的權(quán)重系數(shù),可表示為:

A=(a1,a2,…,an)

(12)

式中:A和Ai均使用2.1.1節(jié)中的層次分析法推導(dǎo)。

步驟3進(jìn)行Vij對(duì)Vi評(píng)判的一級(jí)評(píng)判?？紤]到代碼安全缺陷、Web安全漏洞的潛在風(fēng)險(xiǎn),結(jié)合當(dāng)前業(yè)界網(wǎng)絡(luò)安全眾測(cè)的做法,本文引入峰值評(píng)判的準(zhǔn)則來(lái)取代對(duì)專家意見(jiàn)的直接統(tǒng)計(jì)。設(shè)Rij為專家對(duì)Vij的評(píng)估向量,峰值評(píng)判的準(zhǔn)則為:若存在高風(fēng)險(xiǎn)的專家意見(jiàn),則Rij=(1,0,0);如不存在高風(fēng)險(xiǎn)但存在中風(fēng)險(xiǎn)的專家意見(jiàn),則Rij=(0,1,0);僅當(dāng)所有專家意見(jiàn)都為低風(fēng)險(xiǎn)時(shí),Rij=(0,0,1)。引入峰值評(píng)判的準(zhǔn)則后,認(rèn)為風(fēng)險(xiǎn)越高的專家意見(jiàn)越能得到強(qiáng)化,有利于反映安全漏洞的潛在風(fēng)險(xiǎn)。對(duì)專家意見(jiàn)進(jìn)行峰值評(píng)判的調(diào)整后,再運(yùn)用模糊矩陣的合成運(yùn)算,得到Vi的綜合評(píng)判向量Bi:

要讓單張照片具有故事性，可以選擇對(duì)你有特殊意義的事物，或是能與你產(chǎn)生共鳴的對(duì)象和場(chǎng)景來(lái)拍攝。畫面中的每個(gè)元素都要考慮到。它能告訴觀眾什么？這個(gè)元素與畫面中其他元素之間的關(guān)系意味著什么？

Bi=Ai·Ri

(13)

式中:Ri為專家對(duì)Vi的評(píng)估子陣。

步驟4進(jìn)行Vi對(duì)V的二級(jí)評(píng)判。再次運(yùn)用模糊矩陣的合成運(yùn)算,得到V的綜合評(píng)判向量B:

(14)

根據(jù)最大隸屬度原則,有Bk=max(b1,b2,b3),從而得出模糊綜合評(píng)判結(jié)果為Ck。記T為百分制下的風(fēng)險(xiǎn)數(shù)值,則:

(15)

2.2 管理維度的風(fēng)險(xiǎn)評(píng)估

技術(shù)維度的評(píng)估是基于代碼設(shè)計(jì)、滲透測(cè)試等技術(shù)手段進(jìn)行的,獲得的測(cè)量結(jié)果是比較客觀的。而管理維度的風(fēng)險(xiǎn)評(píng)估一般通過(guò)訪談、檢查等手段實(shí)施,專家憑借自己的經(jīng)驗(yàn)進(jìn)行評(píng)價(jià),獲得的結(jié)果主觀性較強(qiáng)。管理維度選用的評(píng)價(jià)方法與技術(shù)維度不同,應(yīng)該側(cè)重于挖掘?qū)＜乙庖?jiàn)的一致性。本文采用信息熵的方法,從專家的評(píng)價(jià)數(shù)據(jù)中挖掘可信度高的評(píng)判意見(jiàn)。

2.2.1 確定指標(biāo)的熵權(quán)

設(shè)管理維度有n個(gè)指標(biāo),由p個(gè)專家評(píng)分,評(píng)分結(jié)果分為五個(gè)等級(jí)(低風(fēng)險(xiǎn)、中低風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、中高風(fēng)險(xiǎn)、高風(fēng)險(xiǎn))。設(shè)xij為專家j關(guān)于指標(biāo)i的評(píng)分,rij表示有多少專家認(rèn)為指標(biāo)i屬于等級(jí)j。對(duì)于指標(biāo)i,如果專家的意見(jiàn)比較集中(如同一等級(jí)或相鄰等級(jí)),則指標(biāo)i的權(quán)重可高一些;反之,如果專家的意見(jiàn)比較分散(各個(gè)等級(jí)均有或等級(jí)差距較大),則指標(biāo)i的權(quán)重可調(diào)低一些。根據(jù)專家意見(jiàn)的聚散程度調(diào)整指標(biāo)權(quán)重,可通過(guò)熵權(quán)系數(shù)法[14]進(jìn)行。

熵被用來(lái)表征系統(tǒng)的不確定性,在信息技術(shù)領(lǐng)域中稱為信息熵。設(shè)S1,S2,…,Sn為系統(tǒng)的n種狀態(tài),pi為系統(tǒng)處于Si的概率,則其信息熵H為:

(16)

對(duì)指標(biāo)i,其熵值之和為:

(17)

歸一化后得:

(18)

可信程度與熵值是反比關(guān)系,指標(biāo)i的熵權(quán)為:

(19)

(20)

2.2.2 確定專家的熵權(quán)

類似地,對(duì)專家也可確定熵權(quán)。專家i與群體意見(jiàn)一致性最高,可賦予專家i較大的權(quán)重;反之,背離群體意見(jiàn)的專家,其可信度低,應(yīng)賦予較小的權(quán)重。通過(guò)基于傳遞熵的熵權(quán)系數(shù)法,可確定專家的熵權(quán)。設(shè)xm為全部專家關(guān)于指標(biāo)i評(píng)分的平均值,則eij反映了xij趨向于專家群體一致性意見(jiàn)的程度。

eij=1-|xij-xm|/maxxij

(21)

xij的信息熵為:

(22)

專家i的信息熵值之和為:

(23)

專家i的熵權(quán)為:

(24)

2.2.3 合成管理維度的風(fēng)險(xiǎn)數(shù)值

運(yùn)用模糊矩陣的合成運(yùn)算,得到管理維度的綜合評(píng)判向量R為:

(25)

記M為百分制下的風(fēng)險(xiǎn)數(shù)值,則:

(26)

2.3 Web應(yīng)用安全風(fēng)險(xiǎn)的綜合分值

設(shè)Sum為風(fēng)險(xiǎn)評(píng)估的綜合分值,由技術(shù)維度和管理維度的分值按7∶3的比例合成。Sum的數(shù)值范圍為0～100,數(shù)值越大,風(fēng)險(xiǎn)越高。

(27)

管理維度的風(fēng)險(xiǎn)數(shù)值以一定比例與技術(shù)維度的風(fēng)險(xiǎn)數(shù)值進(jìn)行合成,有利于評(píng)估組織是否實(shí)施了網(wǎng)絡(luò)安全等級(jí)保護(hù)或是否建立了完善的信息安全管理體系。

3 應(yīng)用實(shí)例

對(duì)某大型Web應(yīng)用系統(tǒng)使用本文方法進(jìn)行風(fēng)險(xiǎn)評(píng)估,組織了五位網(wǎng)絡(luò)安全專家從技術(shù)和管理兩個(gè)維度進(jìn)行評(píng)估。技術(shù)維度方面,專家使用代碼審計(jì)、滲透測(cè)試等技術(shù)手段,獨(dú)立進(jìn)行測(cè)試和驗(yàn)證,并給出評(píng)分結(jié)果。管理維度方面,專家通過(guò)與組織的管理者、系統(tǒng)的IT人員進(jìn)行深度訪談和現(xiàn)場(chǎng)檢查,根據(jù)自己的經(jīng)驗(yàn)給出評(píng)分結(jié)果。

3.1 技術(shù)維度的評(píng)估過(guò)程

首先,在網(wǎng)絡(luò)安全等級(jí)保護(hù)通用技術(shù)要求的基礎(chǔ)上,結(jié)合Web應(yīng)用安全的特點(diǎn)和國(guó)際Web安全組織OWASP的Web漏洞排名,構(gòu)建了表1的Web應(yīng)用安全技術(shù)維度的指標(biāo)體系。技術(shù)維度的指標(biāo)體系包括10個(gè)一級(jí)指標(biāo)、30個(gè)二級(jí)指標(biāo)。

表1 Web應(yīng)用安全技術(shù)維度指標(biāo)體系

續(xù)表1

對(duì)一級(jí)指標(biāo)構(gòu)建判斷矩陣,根據(jù)式(1)-式(8),λmax=10.16,CI=0.02,查表RI=1.49,計(jì)算得CR=0.012,符合滿意一致性的判斷條件。判斷矩陣、層次單排序和權(quán)重的計(jì)算結(jié)果見(jiàn)表2。

表2 一級(jí)指標(biāo)的判斷矩陣及權(quán)重計(jì)算結(jié)果

用類似的方法,可計(jì)算出二級(jí)指標(biāo)的權(quán)重,結(jié)果見(jiàn)表3。在該表中,按高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)三個(gè)級(jí)別統(tǒng)計(jì)了持相應(yīng)意見(jiàn)的專家的比例。在進(jìn)行多級(jí)模糊評(píng)判之前,對(duì)專家意見(jiàn)的直接統(tǒng)計(jì)結(jié)果進(jìn)行峰值評(píng)判。根據(jù)式(9)-式(13),得出一級(jí)評(píng)判的計(jì)算結(jié)果,見(jiàn)表4,并采用一般層次分析法與多級(jí)模糊綜合評(píng)價(jià)方法進(jìn)行計(jì)算作為對(duì)比。

表3 二級(jí)指標(biāo)權(quán)重、專家意見(jiàn)統(tǒng)計(jì)與轉(zhuǎn)換

表4 一級(jí)評(píng)判的計(jì)算結(jié)果

根據(jù)式(14),使用峰值評(píng)判后,通過(guò)二級(jí)評(píng)判的計(jì)算,V的綜合評(píng)判向量B=(0.517,0.345,0.138)。根據(jù)最大隸屬度原則,技術(shù)維度的評(píng)判結(jié)果為高風(fēng)險(xiǎn)。根據(jù)式(15),技術(shù)維度的風(fēng)險(xiǎn)數(shù)值為79.37分。

不使用峰值評(píng)判、僅使用一般層次分析法與多級(jí)模糊綜合評(píng)價(jià)方法的話,V的綜合評(píng)判向量B=(0.146,0.372,0.482)。根據(jù)最大隸屬度原則,技術(shù)維度的評(píng)判結(jié)果為低風(fēng)險(xiǎn)。根據(jù)式(15),技術(shù)維度的風(fēng)險(xiǎn)數(shù)值為55.43分。

從以上對(duì)比可看出,峰值評(píng)判的準(zhǔn)則對(duì)技術(shù)維度的風(fēng)險(xiǎn)評(píng)估結(jié)果影響非常大。在實(shí)際應(yīng)用中,專家獨(dú)立評(píng)分后,可一起商議一下大家的尺度是否統(tǒng)一,視情況也可以調(diào)整各自的評(píng)分結(jié)果。但峰值評(píng)判的準(zhǔn)則應(yīng)該要堅(jiān)持,因?yàn)橐粋€(gè)高危漏洞的存在(如Struts 2框架漏洞、高危SQL注入漏洞等)的確會(huì)給Web應(yīng)用系統(tǒng)帶來(lái)極高的風(fēng)險(xiǎn)。

3.2 管理維度的評(píng)估過(guò)程

管理維度下設(shè)六個(gè)指標(biāo),依次為:安全管理體系(M1)、安全管理制度(M2)、安全管理機(jī)構(gòu)(M3)、安全管理人員(M4)、安全建設(shè)管理(M5)、安全運(yùn)維管理(M6)。專家對(duì)每個(gè)指標(biāo)按照低風(fēng)險(xiǎn)(1)、中低風(fēng)險(xiǎn)(2)、中風(fēng)險(xiǎn)(3)、中高風(fēng)險(xiǎn)(4)、高風(fēng)險(xiǎn)(5)五個(gè)等級(jí)進(jìn)行評(píng)價(jià)。五位專家(E1-E5)的評(píng)價(jià)結(jié)果如表5所示。

表5 管理維度的指標(biāo)體系和專家的評(píng)價(jià)結(jié)果

對(duì)專家關(guān)于指標(biāo)Mi各個(gè)等級(jí)的評(píng)價(jià)意見(jiàn)進(jìn)行統(tǒng)計(jì),得出持各種意見(jiàn)的比例,如表6所示。若根據(jù)最大隸屬度原則,專家關(guān)于六個(gè)指標(biāo)的群體意見(jiàn)依次為(2,2,1,2,2,2)。

表6 專家意見(jiàn)的直接統(tǒng)計(jì)

根據(jù)式(16)-式(20),六個(gè)指標(biāo)的熵值向量ei為(0.590,0.590,0.418,0.418,0.418,0.418),熵權(quán)向量qi為(0.130,0.130,0.185,0.185,0.185,0.185)。

根據(jù)式(21)-式(22),eij為:

hij為:

根據(jù)式(23)-式(24),五個(gè)專家的熵值向量Hi為(0.735,1.237,1.050,1.112,0.671),熵權(quán)向量ci為(0.247,0.147,0.173,0.163,0.270)。根據(jù)最大隸屬度原則,第五位專家的意見(jiàn)最可信。根據(jù)專家的熵權(quán),專家意見(jiàn)的統(tǒng)計(jì)結(jié)果需要進(jìn)行調(diào)整,見(jiàn)表7。專家關(guān)于六個(gè)指標(biāo)的群體意見(jiàn)變?yōu)?2,2,1,1,2,2)。

表7 賦權(quán)后專家意見(jiàn)占比的調(diào)整

根據(jù)式(25),管理維度的綜合評(píng)判向量為(0.257,0.562,0.181,0,0)。按最大隸屬度,綜合評(píng)判的等級(jí)意見(jiàn)為中低風(fēng)險(xiǎn)。根據(jù)式(26),百分制風(fēng)險(xiǎn)數(shù)值為38.48分。

3.3 合成綜合風(fēng)險(xiǎn)分值

從3.1節(jié)和3.2節(jié)的評(píng)價(jià)過(guò)程得出,技術(shù)維度的風(fēng)險(xiǎn)數(shù)值為79.37分,管理維度的風(fēng)險(xiǎn)數(shù)值為38.48分。根據(jù)式(27),該Web應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)評(píng)估分值為67.10。雖然技術(shù)維度的風(fēng)險(xiǎn)值偏高,但得益于該組織已通過(guò)網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng),該組織的管理風(fēng)險(xiǎn)較低,因此綜合風(fēng)險(xiǎn)分值得到一定程度的下降。如果該組織的信息安全管理體系發(fā)揮作用,快速采取相應(yīng)的處置措施,該Web應(yīng)用系統(tǒng)的技術(shù)風(fēng)險(xiǎn)可較快恢復(fù)到低風(fēng)險(xiǎn)的水平。

3.4 適用性分析與相關(guān)方法比較

體系化、標(biāo)準(zhǔn)化、定量化是國(guó)內(nèi)外信息安全管理的發(fā)展趨勢(shì)。ISO2700標(biāo)準(zhǔn)和國(guó)內(nèi)的網(wǎng)絡(luò)安全等級(jí)保護(hù)都提出建立信息安全管理體系(ISMS),并按照“規(guī)劃-實(shí)施-檢查-改進(jìn)”的戴明環(huán)(圖1)進(jìn)行持續(xù)改進(jìn)。本文的工作正對(duì)應(yīng)檢查(Check)這一重要環(huán)節(jié)。ISMS正常運(yùn)轉(zhuǎn)后,應(yīng)能通過(guò)檢查發(fā)現(xiàn)問(wèn)題,并通過(guò)針對(duì)性的整改得以改進(jìn)。本文方法適用于建立了信息安全管理體系或?qū)嵤┝司W(wǎng)絡(luò)安全等級(jí)保護(hù)的組織。

圖1 信息安全管理體系的戴明環(huán)螺旋發(fā)展

技術(shù)維度進(jìn)行二級(jí)評(píng)判時(shí),在吸收安全眾測(cè)優(yōu)點(diǎn)的基礎(chǔ)上,本文引入峰值評(píng)準(zhǔn)則對(duì)傳統(tǒng)AHP與多級(jí)模糊綜合評(píng)價(jià)相結(jié)合的方法進(jìn)行改進(jìn),使技術(shù)維度評(píng)分更好地反映風(fēng)險(xiǎn)水平。直接使用AHP與多級(jí)模糊綜合評(píng)價(jià)相結(jié)合的方法,只能提供技術(shù)維度的評(píng)分;而使用本文方法,除了技術(shù)維度的評(píng)分外,還能提供管理維度評(píng)分和綜合風(fēng)險(xiǎn)分值,蘊(yùn)含的管理決策信息更為豐富。如圖2所示,技術(shù)維度評(píng)分主要供安全技術(shù)人員參考;而管理維度評(píng)分主要供安全管理人員參考,它是對(duì)技術(shù)維度評(píng)分的補(bǔ)充;綜合風(fēng)險(xiǎn)分值主要供組織決策層參考,它反映了技術(shù)風(fēng)險(xiǎn)的變化趨勢(shì)(安全管理做得好、管理維度風(fēng)險(xiǎn)低,則技術(shù)風(fēng)險(xiǎn)可相應(yīng)下降)。本文應(yīng)用實(shí)例得出相關(guān)數(shù)值后,技術(shù)人員根據(jù)技術(shù)維度評(píng)分(79.37分,高風(fēng)險(xiǎn))要盡快采取有效的技術(shù)措施來(lái)消除安全漏洞,并做好驗(yàn)證性測(cè)試;管理人員要保持ISMS有效運(yùn)作,特別是檢查與改進(jìn)環(huán)節(jié)工作的落實(shí);組織決策層須把控整體和全局,如技術(shù)風(fēng)險(xiǎn)突然飆升,可考慮適時(shí)增加資源(如采購(gòu)Web應(yīng)用防火墻或Web安全服務(wù))應(yīng)對(duì)。

圖2 相關(guān)方法比較

管理維度的評(píng)分,本文通過(guò)使用信息熵的方法獲取專家群體的一致性意見(jiàn),盡量降低專家人為主觀因素的偏離。在實(shí)際評(píng)估中,要找在信息安全管理體系、網(wǎng)絡(luò)安全等級(jí)保護(hù)專業(yè)領(lǐng)域有較豐富實(shí)踐經(jīng)驗(yàn)的專業(yè)人士作為專家,才能較好保證管理維度評(píng)分的準(zhǔn)確性和有效性。

4 結(jié) 語(yǔ)

本文提出Web應(yīng)用安全的集成風(fēng)險(xiǎn)評(píng)估方法,能根據(jù)Web應(yīng)用安全風(fēng)險(xiǎn)評(píng)估過(guò)程中采用的測(cè)量方法和測(cè)量結(jié)果的特點(diǎn),選擇合適的評(píng)價(jià)指標(biāo)、評(píng)價(jià)方法來(lái)進(jìn)行綜合處理。技術(shù)維度的風(fēng)險(xiǎn)評(píng)估指標(biāo)體系清晰,代碼設(shè)計(jì)、滲透測(cè)試的測(cè)量方法及其結(jié)果是客觀的,但量化程度不高。本文先通過(guò)峰值評(píng)判強(qiáng)化風(fēng)險(xiǎn)等級(jí)高的專家意見(jiàn),再用層次分析法確定指標(biāo)權(quán)重,用多級(jí)模糊綜合評(píng)價(jià)獲得技術(shù)維度的風(fēng)險(xiǎn)評(píng)估數(shù)值。管理維度的指標(biāo)體系較為簡(jiǎn)單,專家的評(píng)價(jià)結(jié)果主觀性強(qiáng),本文通過(guò)信息熵的方法從專家的評(píng)價(jià)數(shù)據(jù)中挖掘指標(biāo)和專家的權(quán)重信息,獲得專家群體的一致性評(píng)判意見(jiàn)。本文提出的方法已應(yīng)用到多個(gè)大型Web應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)評(píng)估中,為通過(guò)了網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)的Web系統(tǒng)提供一種針對(duì)性強(qiáng)、操作性強(qiáng)、量化程度高的風(fēng)險(xiǎn)評(píng)估方法。技術(shù)維度和管理維度的指標(biāo)體系還需要在應(yīng)用實(shí)踐中進(jìn)一步完善。