馮雪峰，龔軍，呂小毅

（1.新疆計(jì)量測試研究院，烏魯木齊 830013；2.新疆大學(xué)教務(wù)處，烏魯木齊 830046；3.新疆大學(xué)信息科學(xué)與工程學(xué)院，烏魯木齊 830046）

0 引言

信息安全風(fēng)險(xiǎn)評估是以評估標(biāo)準(zhǔn)為基礎(chǔ)的計(jì)算信息系統(tǒng)中存在風(fēng)險(xiǎn)大小的一個(gè)過程，根據(jù)風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)在信息安全風(fēng)險(xiǎn)評估過程中主要考慮的指標(biāo)有資產(chǎn)、威脅、脆弱性，通過三者對整體系統(tǒng)風(fēng)險(xiǎn)的影響值計(jì)算系統(tǒng)的綜合風(fēng)險(xiǎn)。

信息安全風(fēng)險(xiǎn)評估的方法分為定性、定量和定性定量相結(jié)合三種方法。目前，學(xué)者門主要是在研究定性和定量相結(jié)合的計(jì)算方法以及風(fēng)險(xiǎn)評估模型。由于風(fēng)險(xiǎn)評估中的初始數(shù)據(jù)主要是一些主觀的數(shù)據(jù)，而系統(tǒng)中存在的威脅和脆弱性也在不斷的變化，對于這些威脅及脆弱性的大小無法使用一個(gè)統(tǒng)一的準(zhǔn)確的數(shù)字來表示，因此對信息系統(tǒng)的評估不能有完全的定量的輸入，而是一些定性的數(shù)據(jù)。目前常見的定量分析及計(jì)算方法有層次分析、模糊數(shù)學(xué)法、灰色理論法、攻擊樹法等很多方法，它們統(tǒng)一的思想就是要把定性的數(shù)據(jù)轉(zhuǎn)換為定量的數(shù)據(jù)。由于信息安全風(fēng)險(xiǎn)評估具有非線性、不確定性等特點(diǎn)，因此采用上述的這些方法對風(fēng)險(xiǎn)的計(jì)算都有著一定的局限性。

由于人工神經(jīng)網(wǎng)絡(luò)是一種很適合定量數(shù)據(jù)處理的方法，因此很多學(xué)者研究了如何使用神經(jīng)網(wǎng)絡(luò)技術(shù)進(jìn)行信息安全風(fēng)險(xiǎn)評估，也出現(xiàn)了很多將傳統(tǒng)評估方法與神經(jīng)網(wǎng)絡(luò)相結(jié)合信息安全風(fēng)險(xiǎn)評估模型及方法。通過加入的神經(jīng)網(wǎng)絡(luò)技術(shù)在傳統(tǒng)的信息安全風(fēng)險(xiǎn)評估方法中，可以減少以往方法中的主觀性。本文結(jié)合新疆某高校教務(wù)信息系統(tǒng)的實(shí)際使用情況，采用基于模糊神經(jīng)網(wǎng)絡(luò)的方法對其進(jìn)行了風(fēng)險(xiǎn)的評估，說明了本文的模糊神經(jīng)網(wǎng)絡(luò)模型及評估方法的有效性。

1 BP神經(jīng)網(wǎng)絡(luò)

本文將模糊的風(fēng)險(xiǎn)評估方法和BP神經(jīng)網(wǎng)絡(luò)兩種方法結(jié)合。采用了反向傳播的BP神經(jīng)網(wǎng)絡(luò)方法，該神經(jīng)網(wǎng)絡(luò)是基于多層前饋型神經(jīng)網(wǎng)絡(luò)訓(xùn)練的一種誤差反向傳播算法，也是神經(jīng)網(wǎng)絡(luò)中被廣泛應(yīng)用的神經(jīng)網(wǎng)絡(luò)模型。BP神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)的能力，同時(shí)還可以實(shí)現(xiàn)輸入與輸出之間的非線性關(guān)系，無需描述數(shù)學(xué)等式中的映射。使用反向傳播的BP神經(jīng)網(wǎng)絡(luò)可以不斷地調(diào)整網(wǎng)絡(luò)的權(quán)重和閾值，從而使得網(wǎng)絡(luò)的誤差函數(shù)達(dá)到最小值。BP神經(jīng)網(wǎng)絡(luò)中包括輸入層、隱含層和輸出層。

BP神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)如圖1所示。

圖1 BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)圖

在神經(jīng)網(wǎng)絡(luò)中將x1,x2,…,xn作為網(wǎng)絡(luò)中每個(gè)神經(jīng)元的輸入，不同的神經(jīng)元之間的權(quán)重為wi1,wi2,…,win。BP神經(jīng)網(wǎng)絡(luò)要求傳播函數(shù) f是可微的。

神經(jīng)元網(wǎng)中的Si的值為：

加入BP神經(jīng)網(wǎng)絡(luò)到信息安全風(fēng)險(xiǎn)評估方法中，需要為神經(jīng)網(wǎng)絡(luò)提供輸入的數(shù)據(jù)，通過隱含層的處理后進(jìn)行輸出，如果輸出結(jié)果誤差超出范圍，將進(jìn)入反向傳播。

（1）正向傳播

假設(shè)在該BP神經(jīng)網(wǎng)絡(luò)中的輸入層具有n個(gè)輸入節(jié)點(diǎn)，隱含層具有m個(gè)節(jié)點(diǎn)，輸出層具有k個(gè)節(jié)點(diǎn)。使用uij表示輸入與輸出層之間的連接權(quán)重，wik表示隱含層和輸出之間的連接權(quán)重。 fh是隱含層的傳播函數(shù)，fo是輸出層的傳播函數(shù)。

可以得到隱藏層的輸出是：

輸出層的輸出是：

（2）反向傳播

在反向傳播中首先建立P組樣本作為BPNN的輸入和輸出，形式如下：

ypi是BPNN的輸出，計(jì)算誤差Ep和期望誤差E的公式為：

（3）輸出層權(quán)重的變化

在BP算法中通過累積誤差來調(diào)整wik，這樣能夠使得期望最差最小，μ是學(xué)習(xí)率，輸出層權(quán)重調(diào)整公式如下：

在學(xué)習(xí)率 μ下，計(jì)算誤差δyi的公式是：

隱含層的權(quán)重變化公式是：

（4）調(diào)整算法

在訓(xùn)練中，如果計(jì)算的輸出誤差與所期望的誤差之間有誤差，而且這個(gè)誤差超出了誤差范圍，這時(shí)將通過反向反饋來調(diào)整權(quán)重和閾值，使用新的權(quán)重和閾值來計(jì)算每一層的輸出直到訓(xùn)練達(dá)到終止條件。

2 模糊神經(jīng)網(wǎng)絡(luò)風(fēng)險(xiǎn)評估

2.1 模糊神經(jīng)網(wǎng)絡(luò)評估模型

在對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估之前，首先需要根據(jù)信息系統(tǒng)建立相應(yīng)的風(fēng)險(xiǎn)評估模型。一個(gè)信息系統(tǒng)的構(gòu)成包括物理層、操作環(huán)境層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層，每個(gè)層次都會(huì)有一定的風(fēng)險(xiǎn)，不同的層次風(fēng)險(xiǎn)不同所需要的保護(hù)級別不同。

本文將保護(hù)級別分為5級。第1級是自保護(hù)級，在這個(gè)級別保護(hù)下的信息系統(tǒng)獨(dú)立于用戶和數(shù)據(jù)，能夠控制用戶接口并保護(hù)用戶信息不被非法的讀取和修改。第2級是審計(jì)保護(hù)級，除了包括第1級的保護(hù)之外，通過保護(hù)機(jī)制識別用戶，以免未授權(quán)的用戶使用標(biāo)識數(shù)據(jù)。第3級是安全標(biāo)志級別，該級別提供了信息安全策略模型，對輸出數(shù)據(jù)打標(biāo)簽，主體對客體進(jìn)行強(qiáng)制存取控制。第4級保護(hù)是結(jié)構(gòu)化保護(hù)，將強(qiáng)制控制擴(kuò)展到所有的主體和客體，加強(qiáng)識別機(jī)制。第5級是授權(quán)控制保護(hù)級，系統(tǒng)具有強(qiáng)大的抵制滲入的能力，可以保護(hù)系統(tǒng)不被攻擊和修改。

在對信息系統(tǒng)風(fēng)險(xiǎn)評估時(shí)，需要為系統(tǒng)的每個(gè)層次確定一個(gè)保護(hù)級別，同時(shí)還需要考慮各層之間在安全特征上的相關(guān)性和互補(bǔ)性。然后分析這五層的資產(chǎn)、威脅和脆弱性，最后確定系統(tǒng)的風(fēng)險(xiǎn)。本文對信息系統(tǒng)采用的評估方法屬于定性定量相結(jié)合的方法，其評估模型如圖2所示。

圖2 風(fēng)險(xiǎn)評估模型

本模型中，使用模糊原理量化風(fēng)險(xiǎn)因子，然后通過BP神經(jīng)網(wǎng)絡(luò)的正向和反向反饋計(jì)算風(fēng)險(xiǎn)，最后校正目標(biāo)信息系統(tǒng)。風(fēng)險(xiǎn)計(jì)算公式是Risk=R(A,T,V)，其中的R為風(fēng)險(xiǎn)評估函數(shù)，A是資產(chǎn)，T是威脅，V是脆弱點(diǎn)。

2.2 輸入模糊預(yù)處理

采用本模型對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估時(shí)，需要先確定輸入數(shù)據(jù)并對輸入數(shù)據(jù)進(jìn)行模糊化處理。

（1）基本元素量化與抽取

對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估時(shí)，評估元素的量化和抽取必須反映出對信息系統(tǒng)的安全保護(hù)和保護(hù)級別。按等級對安全元素抽取和量化如圖3所示。

圖3 安全元素抽取與量化

首先確定系統(tǒng)安全屬性屬于哪個(gè)安全級別，然后根據(jù)CB17895標(biāo)準(zhǔn)抽取主要元素。按等級對主要元素進(jìn)行排序并進(jìn)一步在模型第三層細(xì)化，通過抽取最后在第四層獲取每個(gè)元素的權(quán)重。

（2）多層模糊綜合評估的建立

利用模糊原理抽取不同元素之間的關(guān)聯(lián)，建立模糊數(shù)學(xué)抽取模型。本文利用模糊評估方法量化信息安全風(fēng)險(xiǎn)元素，詳細(xì)步驟如下所述。

①建立基本元素集

基于對信息系統(tǒng)安全風(fēng)險(xiǎn)因素的分析，建立風(fēng)險(xiǎn)因素集A={a1,a2,…,an},ai(i=1,2,…,n)表示不同的風(fēng)險(xiǎn)因素。

②建立權(quán)重集

根據(jù)專家的評估結(jié)果，建立權(quán)重分配，假設(shè)B={b1,b2,…,bn}為權(quán)重分配。

實(shí)際應(yīng)用中要求bij非負(fù)并且標(biāo)準(zhǔn)化的。

③建立判斷矩陣

前面根據(jù)安全保護(hù)級別建立了風(fēng)險(xiǎn)因素，這些風(fēng)險(xiǎn)因素可以是機(jī)密、完整性和可用性、系統(tǒng)中的威脅、物理環(huán)境等。專家為每個(gè)風(fēng)險(xiǎn)因素進(jìn)行評論，根據(jù)專家的評論建立風(fēng)險(xiǎn)判斷集合V={v1,v2,…,vm}。

④單因素模糊評估

基于單因素，評估風(fēng)險(xiǎn)因子并確定指標(biāo)之間的從屬關(guān)系，然后形成模糊映射 f:A→F(V),映射f是風(fēng)險(xiǎn)因素ai的支持度。假設(shè)風(fēng)險(xiǎn)因素集中ai的風(fēng)險(xiǎn)判斷矩陣為Ri={ri1,ri2,…,rim},i=1,2,…,n?？梢缘贸鏊械娘L(fēng)險(xiǎn)因子的風(fēng)險(xiǎn)矩陣為：

⑤第一層的模糊評估

針對前面分析和抽取的風(fēng)險(xiǎn)因素，根據(jù)專家對保護(hù)級別的評論和風(fēng)險(xiǎn)矩陣評估保護(hù)級別，其結(jié)果是其中的為平均權(quán)重。

⑥多層模糊綜合評估

基于對第一層的模糊評估Di，利用模糊映射f確定下一層的評估元素B的權(quán)重。然后使用公式D=B?R得到最后的向量D。D中每個(gè)元素的取值在0到1之間，D將作為BPNN的輸入。

3 模糊神經(jīng)風(fēng)險(xiǎn)評估的實(shí)際應(yīng)用

本文將所建立的模糊神經(jīng)網(wǎng)絡(luò)評估模型應(yīng)用到對新疆某高校教務(wù)管理系統(tǒng)中，在應(yīng)用中將風(fēng)險(xiǎn)的等級劃分為五個(gè)等級，取值在[0,0.1]之間表示極低風(fēng)險(xiǎn)，可以不用處理；取值在[0.1,0.3]之間為低風(fēng)險(xiǎn)，采用一般正常的手段避免風(fēng)險(xiǎn)的出現(xiàn)；取值[0.3,0.5]之間為一般，需要采用一定的手段減少損失；取值在[0.5,0.75]之間為高風(fēng)險(xiǎn)，風(fēng)險(xiǎn)很大，會(huì)對信息系統(tǒng)造成嚴(yán)重的影響；取值在[0.75,1]之間為極高風(fēng)險(xiǎn)，風(fēng)險(xiǎn)可能會(huì)造成系統(tǒng)的崩潰和數(shù)據(jù)的丟失。

評估中采用了三層模糊神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，隱含層的神經(jīng)元是3至13個(gè)。其中11個(gè)神經(jīng)元在隱含層，1個(gè)神經(jīng)元在輸出層。隱含層采用S型傳遞函數(shù)，輸出層使用線性傳遞函數(shù)。根據(jù)本文定義的信息系統(tǒng)的安全保護(hù)級別，我們從五個(gè)方面環(huán)境、網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)和管理安全方面分析了系統(tǒng)的安全因素。

根據(jù)對新疆某高校教務(wù)管理系統(tǒng)的硬件環(huán)境、網(wǎng)絡(luò)環(huán)境和軟件環(huán)境的分析，在風(fēng)險(xiǎn)評估中主要考慮的風(fēng)險(xiǎn)因素有物理環(huán)境、攻擊入侵、系統(tǒng)風(fēng)險(xiǎn)和人為因素。根據(jù)系統(tǒng)以往所發(fā)生過的攻擊，從中抽取了8個(gè)風(fēng)險(xiǎn)因素，風(fēng)險(xiǎn)因素集A={物理環(huán)境,惡意代碼,密碼猜測攻擊,偽造,欺騙,病毒,拒絕服務(wù),人為因素}。由 6名專家對這些風(fēng)險(xiǎn)因素進(jìn)行分析并建立風(fēng)險(xiǎn)的模糊矩陣和權(quán)重分配結(jié)果。

通過R和B計(jì)算得出模糊神經(jīng)網(wǎng)絡(luò)的輸入D。將D導(dǎo)入到BPNN中作為輸入進(jìn)行訓(xùn)練。在訓(xùn)練中使用了25組輸入和輸出樣本在模糊神經(jīng)網(wǎng)絡(luò)中進(jìn)行學(xué)習(xí)訓(xùn)練。其中15組數(shù)據(jù)作為訓(xùn)練樣本，10組用于測試網(wǎng)絡(luò)的能力。實(shí)驗(yàn)在MATLAB環(huán)境下使用神經(jīng)網(wǎng)絡(luò)工具完成。訓(xùn)練完成結(jié)束后得出教務(wù)系統(tǒng)的風(fēng)險(xiǎn)值，專家分析的風(fēng)險(xiǎn)結(jié)果與訓(xùn)練最終得出的風(fēng)險(xiǎn)結(jié)果比較如表1所示。

表1 專家評估結(jié)果與訓(xùn)練結(jié)果

通過對新疆某高校教務(wù)管理系統(tǒng)的風(fēng)險(xiǎn)評估結(jié)果可以看出，該教務(wù)系統(tǒng)中存在著一定的風(fēng)險(xiǎn)。物理環(huán)境的風(fēng)險(xiǎn)值為0.2576，風(fēng)險(xiǎn)為一般，說明學(xué)校教務(wù)系統(tǒng)所在的物理環(huán)境相對正常，但是也需采用一定的手段防范風(fēng)險(xiǎn)。其中風(fēng)險(xiǎn)值最高的是欺騙，風(fēng)險(xiǎn)值達(dá)到了0.5814，該風(fēng)險(xiǎn)為高風(fēng)險(xiǎn)，一旦發(fā)生會(huì)帶來很大的損失，需要受到高度重視。

4 結(jié)語

本文以信息系統(tǒng)的安全風(fēng)險(xiǎn)評估為對象，將模糊數(shù)學(xué)與神經(jīng)網(wǎng)絡(luò)相結(jié)合，建立了專門針對信息系統(tǒng)的安全風(fēng)險(xiǎn)評估方法。本文將信息系統(tǒng)安全保護(hù)級別劃分為五個(gè)級別，結(jié)合系統(tǒng)安全保護(hù)的級別和信息系統(tǒng)中存在的威脅及脆弱點(diǎn)建立模糊風(fēng)險(xiǎn)矩陣并通過計(jì)算得到神經(jīng)網(wǎng)絡(luò)的輸入，選擇適量的樣本進(jìn)行訓(xùn)練。通過對新疆某高校教務(wù)系統(tǒng)的應(yīng)用，本模型能夠很好地完成對信息系統(tǒng)的安全風(fēng)險(xiǎn)評估。同時(shí)，也證明了該模型的有效性和科學(xué)性，并且該方法也可以用于其他的信息安全風(fēng)險(xiǎn)評估。