付 鈺 吳曉平 葉 清

（海軍工程大學(xué)信息安全系 武漢 430033）

0 引 言

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息系統(tǒng)正在成為國家建設(shè)的關(guān)鍵基礎(chǔ)設(shè)施，其安全性直接關(guān)系到國家和信息系統(tǒng)用戶的根本利益.與此同時，網(wǎng)絡(luò)攻擊的規(guī)模正迅速擴(kuò)大，網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全風(fēng)險日趨嚴(yán)重.目前，大多網(wǎng)絡(luò)系統(tǒng)都使用了多種網(wǎng)絡(luò)安全管理工具，如入侵檢測系統(tǒng)（IDS）、防火墻、網(wǎng)絡(luò)掃描器等實(shí)時檢測安全威脅和漏洞，但它們只能產(chǎn)生報警信息，管理人員無法獲知網(wǎng)絡(luò)攻擊的威脅程度和相關(guān)的安全信息，由此做出相應(yīng)決策的難度較大.因此，研究一套科學(xué)可行的網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險評估方法顯得尤為重要.

網(wǎng)絡(luò)系統(tǒng)涉及眾多的分系統(tǒng)，對網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險評估問題可歸結(jié)為多對象的單一系統(tǒng)安全風(fēng)險評估問題.它通過對各分系統(tǒng)資產(chǎn)的脆弱性和所面臨威脅的分析，評估安全事件發(fā)生的可能性和后果，得出各分系統(tǒng)的安全風(fēng)險大小，是風(fēng)險評估理論在網(wǎng)絡(luò)信息系統(tǒng)領(lǐng)域的延伸［1］.

傳統(tǒng)的風(fēng)險評估方法有多種［2－3］，分為兩類：（1）基于多元統(tǒng)計的評估方法，它通常運(yùn)用數(shù)量指標(biāo)來對風(fēng)險進(jìn)行評估，比較典型的分析方法有因子分析法、聚類分析法、時序模型、回歸模型、風(fēng)險圖法等；（2）基于知識與決策技術(shù)的評估方法，它主要依據(jù)評估者的知識、經(jīng)驗(yàn)，借鑒于推理及非量化資料等對安全風(fēng)險狀況做出判斷的過程，典型方法有主因素分析法、邏輯分析法、群決策方法等.此外，一些學(xué)者將模糊數(shù)學(xué)、灰色理論、神經(jīng)網(wǎng)絡(luò)等應(yīng)用到信息系統(tǒng)安全評估中［4－8］，亦取得了大量的研究成果.

然而，對于網(wǎng)絡(luò)系統(tǒng)評估中眾多分系統(tǒng)評估問題，目前大多采用單個分系統(tǒng)逐一評估的方法，費(fèi)時費(fèi)力.針對上述問題，提出了一種基于評估對象和評估基準(zhǔn)之間廣義權(quán)距離［9］的面向多對象的網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險的評估方法.在充分分析系統(tǒng)安全性因素的基礎(chǔ)上，建立了網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險評估模型，并對資產(chǎn)、威脅性及脆弱性指標(biāo)進(jìn)行了標(biāo)準(zhǔn)化賦值；通過構(gòu)造問題的拉格朗日函數(shù)，求解系統(tǒng)的安全狀態(tài)矩陣，進(jìn)而確定各分系統(tǒng)所處的安全風(fēng)險等級.

1 網(wǎng)絡(luò)信息系統(tǒng)安全性分析

安全性分析在網(wǎng)絡(luò)系統(tǒng)風(fēng)險評估中起著重要的作用，貫穿于整個風(fēng)險評估流程.它通過對被評估系統(tǒng)資產(chǎn)、面臨的威脅、脆弱點(diǎn)、安全措施等進(jìn)行有針對性和科學(xué)的分析，進(jìn)一步確立系統(tǒng)風(fēng)險等級，生成科學(xué)、有效的風(fēng)險評估報告［10］.

網(wǎng)絡(luò)信息系統(tǒng)的安全性由各分系統(tǒng)的安全性決定，該模型是建立在安全風(fēng)險評估方程：風(fēng)險＝資產(chǎn)×威脅×脆弱性［11］理論的基礎(chǔ)之上的，即各分系統(tǒng)的安全性由資產(chǎn)、威脅性、脆弱性3項(xiàng)指標(biāo)的安全性決定，其評估模型見圖1.

圖1 網(wǎng)絡(luò)化信息系統(tǒng)安全風(fēng)險評估模型

其中，資產(chǎn)評估模塊負(fù)責(zé)對每個分系統(tǒng)節(jié)點(diǎn)的資源進(jìn)行評估，確定它們相對于網(wǎng)絡(luò)的資產(chǎn)值.資產(chǎn)評估的過程也就是對資產(chǎn)機(jī)密性、完整性和可用性影響分析的過程，影響就是由人為或突發(fā)性引起的安全事件對資產(chǎn)破壞的后果.可以通過機(jī)密性、完整性和可用性3個因素來衡量資產(chǎn)價值，對資產(chǎn)進(jìn)行賦值.

威脅評估模塊負(fù)責(zé)對節(jié)點(diǎn)當(dāng)前所面臨的外在攻擊進(jìn)行檢測威脅評估，然后利用量化模型計算出節(jié)點(diǎn)的威脅指數(shù).即威脅評估模塊負(fù)責(zé)評估確定威脅發(fā)生的可能性，它受下列4個因素影響：資產(chǎn)的吸引力、資產(chǎn)轉(zhuǎn)化成報酬的難易程度、威脅的技術(shù)力量、威脅被利用的難易程度.

脆弱性評估模塊是為網(wǎng)絡(luò)中分系統(tǒng)各節(jié)點(diǎn)進(jìn)行漏洞掃描，獲得的漏洞信息通過量化模型轉(zhuǎn)換成節(jié)點(diǎn)的脆弱性指數(shù).脆弱性主要從技術(shù)和管理兩方面進(jìn)行評估，涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理層等各個層面的安全問題，也就是說，脆弱性指標(biāo)應(yīng)綜合考慮物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和管理安全等五項(xiàng)指標(biāo).

本文對各指標(biāo)均采用定性的相對等級的方式直接賦值，資產(chǎn)、威脅性、脆弱性數(shù)據(jù)［12－13］均認(rèn)為是標(biāo)準(zhǔn)化等級，見表1～3.

通過評估，模型最終將輸出風(fēng)險等級列表，以此指導(dǎo)安全管理員實(shí)施安全決策.

表1 資產(chǎn)賦值

表2 威脅性賦值

表3 脆弱性賦值

2 面向多對象的評估方法

設(shè)網(wǎng)絡(luò)系統(tǒng)中n個分系統(tǒng)組成的評估對象集為T＝｛t1，t2，…，tn｝.各分系統(tǒng)所對應(yīng)的指標(biāo)集S＝｛s1，s2，…，sm｝，則分系統(tǒng)用指標(biāo)特征向量可表示為

進(jìn)而描述待評估的n個分系統(tǒng)的指標(biāo)特征矩陣為

式中：rij為對象j的第i個評估指標(biāo)的大小.

又設(shè)評估分系統(tǒng)的安全等級為r級，組成的等級集為L＝｛l1，l2，…，lr｝，則每一等級可用各指標(biāo)的標(biāo)準(zhǔn)值組成的向量表示，等級k可表示為

這些向量可組成的標(biāo)準(zhǔn)等級矩陣為

式（4）中每一等級中各分系統(tǒng)的標(biāo)準(zhǔn)數(shù)據(jù)可由專家經(jīng)驗(yàn)給出.則各評估分系統(tǒng)j的大小和等級k之間的差異可用以下廣義距離表示

式中：p為廣義距離參數(shù).

式（5）給出的是各指標(biāo)重要程度相同的情形，但不同指標(biāo)的影響程度是不同的，設(shè)對象j的各指標(biāo)權(quán)重系數(shù)組成向量為Wj的權(quán)重集合.假設(shè)所有分系統(tǒng)狀態(tài)評估得到的矩陣為U

式中：μkj為j屬于k的隸屬度值，0≤μkj≤1，為更加完善地描述j的狀態(tài)和等級k間的差異，將廣義權(quán)距離乘以j的狀態(tài)歸屬于等級k的隸屬度μkj，即d（rj，sk）稱為j與k之間的加權(quán)廣義權(quán)距離.

為求解矩陣U，建立目標(biāo)函數(shù)［14］，使評估分系統(tǒng)對于所有等級加權(quán)廣義權(quán)距離平方和最小.

根據(jù)目標(biāo)函數(shù)和等式約束構(gòu)造Lagrange函數(shù)為

故由式（2）、（4）、（6）和式（16）可求解式（8），再依據(jù)最大隸屬度原則判斷出各分系統(tǒng)的安全風(fēng)險等級，由此確定整個網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級.

3 算例分析

為評估某網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，依據(jù)前面分析給出的安全風(fēng)險模型，運(yùn)用基于廣義權(quán)距離的評估方法對其進(jìn)行評估.該網(wǎng)絡(luò)系統(tǒng)由服務(wù)器、個人計算機(jī)、網(wǎng)絡(luò)設(shè)備（含傳輸介質(zhì)）、輸入／輸出設(shè)備、計算機(jī)操作系統(tǒng)和通用應(yīng)用軟件平臺等6個分系統(tǒng)組成.

首先，設(shè)五種安全等級標(biāo)準(zhǔn)數(shù)據(jù)組成的安全等級標(biāo)準(zhǔn)矩陣S.其中，行分別對應(yīng)的是資產(chǎn)、威脅性、脆弱性指標(biāo)｛index1，index2，index3｝，列對應(yīng)的依次是低、較低、中等、較高、高5個安全風(fēng)險等級｛I，II，…，V｝.

其次，綜合分析實(shí)測數(shù)據(jù)，建立被評估的6個分系統(tǒng)的當(dāng)前技術(shù)狀態(tài)的指標(biāo)矩陣R.

S和R分別為

再次，依專家經(jīng)驗(yàn)，給出指標(biāo)權(quán)重為

Wj＝ （0.4，0.3，0.3）T，j＝1，2，…，6

然后，取廣義距離參數(shù)p＝2，m＝3，由式（16）得

最后，依據(jù)最大隸屬度原則和U中的數(shù)據(jù)，可知6個分系統(tǒng)安全狀況分別隸屬的安全等級如下：

服務(wù)器：IV級（隸屬度為0.398 8）；

個人計算機(jī)：II級（隸屬度為0.377 2）；

網(wǎng)絡(luò)設(shè)備：I級（隸屬度為0.459 0）；

輸入／輸出設(shè)備：IV級（隸屬度為0.536 3）；

計算機(jī)操作系統(tǒng)：II級（隸屬度為0.476 8）；

通用應(yīng)用軟件平臺：IV級（隸屬度為0.455 3）.

由上述風(fēng)險評估結(jié)果可以看出，由于服務(wù)器、輸入／輸出設(shè)備及通用應(yīng)用軟件平臺3個分系統(tǒng)的風(fēng)險等級為IV，即處于較高風(fēng)險狀態(tài)，網(wǎng)絡(luò)安全管理人員必須（或某一時限內(nèi)）采取相應(yīng)措施降低其網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險.

4 結(jié)束語

基于評估因素與基準(zhǔn)之間的廣義權(quán)距離，建立了一種新的網(wǎng)絡(luò)化信息系統(tǒng)安全風(fēng)險評估模型.算例分析看出，比起傳統(tǒng)單個系統(tǒng)逐一進(jìn)行評估，該方法同時對多分系統(tǒng)各指標(biāo)的安全狀態(tài)進(jìn)行有效評估，更簡便快捷.此外，該方法亦可用于處理各指標(biāo)值不是通過標(biāo)準(zhǔn)等級賦值，而是通過其他方式求得的量綱不統(tǒng)一的情形，只需對所采集數(shù)據(jù)先進(jìn)行標(biāo)準(zhǔn)化處理.

不可避免的是，此方法在一定程度上依賴于評估者的經(jīng)驗(yàn)，如指標(biāo)的標(biāo)準(zhǔn)數(shù)據(jù)來源存在一定的主觀性.因此，下一步將考慮從IDS、網(wǎng)絡(luò)管理系統(tǒng)、掃描系統(tǒng)以及其他方式作為信息收集的來源，結(jié)合安全風(fēng)險概率預(yù)測及量化評估技術(shù)等方面研究如何減少評估中的主觀因素，提高網(wǎng)絡(luò)信息系統(tǒng)安全評估的準(zhǔn)確性和有效性.

［1］李鶴田，劉 云，何德全.信息系統(tǒng)安全風(fēng)險評估研究綜述［J］.中國安全科學(xué)學(xué)報，2006，16（1）：108－113.

［2］吳曉平，付 鈺，秦艷琳.信息安全風(fēng)險評估研究［J］.哈爾濱工業(yè)大學(xué)學(xué)報，2006，38（增刊）：611－614.

［3］吳曉平，汪 玉.艦船裝備系統(tǒng)綜合評估的理論與方法［M］.北京：科學(xué)出版社，2007.

［4］陳守煜.工程模糊集理論與應(yīng)用［M］.北京：國防工業(yè)出版社，1998.

［5］劉 萍，劉曼華.灰色理論在信息安全評估模型中的應(yīng)用［J］.微計算機(jī)信息，2006，22（12－3）：95－96.

［6］劉 芳，戴 葵，王志英.基于模糊數(shù)算術(shù)運(yùn)算的信息系統(tǒng)安全性定量評估技術(shù)研究［J］.模糊系統(tǒng)與數(shù)學(xué)，2004，18（4）：122－126.

［7］趙冬梅，劉海峰，劉晨光.基于BP神經(jīng)網(wǎng)絡(luò)的信息安全評估［J］.計算機(jī)工程與應(yīng)用，2007，43（1）：139－141.

［8］ How S S，Tom R，Wang Jin.A fuzzy－logic－based approach qualitative safety modeling for marine systems［J］.European Journal of Operational Research，2001，73（1）：19－34.

［9］葉 清，吳曉平，白春杰.一種系統(tǒng)狀態(tài)評估方法及其應(yīng)用［J］.武漢理工大學(xué)學(xué)報，2006，28（5）：108－112.

［10］段金利，張岐山.基于BP神經(jīng)網(wǎng)絡(luò)和專家系統(tǒng)的信息系統(tǒng)風(fēng)險評估方法研究［J］.現(xiàn)代管理科學(xué)，2006（7）：21－22.

［11］Chaum D.Blind signature for untraceable payments［C］／／LNCS：Advances in Cryptology Crypto′82，1982：199－203.

［12］史 亮，莊 毅.一種定量的網(wǎng)絡(luò)安全風(fēng)險評估系統(tǒng)模型［J］.計算機(jī)工程與應(yīng)用，2007，43（18）：146－149.

［13］范 紅，馮登國，吳亞非.信息安全風(fēng)險評估方法與應(yīng)用［M］.北京：清華大學(xué)出版社，2006.

［14］ Danielson M.Generalized evaluation in decision analysis［J］.European Journal of Operational Research，2005，162（7）：442－449.