李國(guó) 李靜雯 王靜 徐俊潔 王鵬

關(guān)鍵詞： 風(fēng)險(xiǎn)評(píng)估; 機(jī)載網(wǎng)絡(luò)安全; 風(fēng)險(xiǎn)源; 威脅狀態(tài); 層次分析法; 灰色定權(quán)聚類(lèi)法

中圖分類(lèi)號(hào)： TN915.08?34; TP393.08 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? ? ?文章編號(hào)： 1004?373X（2019）02?0041?05

A security risk assessment improved model based on threat status

for new airborne networks

LI Guo1， LI Jingwen1， WANG Jing1， XU Junjie1， WANG Peng2

（1. School of Computer Science and Technology， Civil Aviation University of China， Tianjin 300300， China;

2. Tianjin Key Laboratory for Civil Aircraft Airworthiness and Maintenance， Civil Aviation University of China， Tianjin 300300， China）

Abstract： The wide application of various portable airborne equipments in new aircrafts makes the interconnection and interoperability between various network domains inside aircrafts enhanced， but it also exposes more and more risk sources. The traditional airborne network security risk assessment methods can only handle the isolated risk sources of general networks， and are not effectively suitable for highly?connected and complex new aviation airborne network environments. In allusion to the problem that a single risk source analysis may not be able to determine the risk level， an improved model for calculating risk levels based on threat status and risk sources is proposed， so as to accurately assess the security risk status of new aviation airborne networks. The risk sources and threat status of the new airborne network architecture are analyzed. The analytic hierarchy process is used to construct two index systems. The grey fixed?weight clustering method is adopted to calculate the coefficient of fixed?weight clustering. The two assessment results are combined to determine the risk level of the airborne network. The experimental results show that the assessment result is consistent with the actual risk status of the airborne network， and the proposed model is an effective security risk assessment method for new aviation airborne networks.

Keywords： risk assessment; airborne network security; risk source; threat status; analytic hierarchy process; grey fixed?weight clustering method

0 ?引 ?言

飛行安全是航空界永恒的主題，伴隨著機(jī)載WiFi加改裝的廣泛實(shí)施以及航空機(jī)載電子飛行包（Electronic Flight Bag）等便攜式機(jī)載設(shè)備的廣泛應(yīng)用，令黑客接入攻擊的風(fēng)險(xiǎn)越來(lái)越高;新型機(jī)載網(wǎng)絡(luò)采用了先進(jìn)的綜合模塊化航電系統(tǒng)網(wǎng)絡(luò)架構(gòu)，具有資源高度共享，數(shù)據(jù)高度融合和軟件高度密集等特點(diǎn)，支持更多網(wǎng)絡(luò)域的交互，包括機(jī)載數(shù)據(jù)網(wǎng)絡(luò)與公共網(wǎng)絡(luò)、信息開(kāi)放網(wǎng)絡(luò)建立無(wú)數(shù)的數(shù)據(jù)通信，允許單用戶或多用戶（機(jī)組）完成不同任務(wù)，甚至有時(shí)多個(gè)用戶被授權(quán)訪問(wèn)體統(tǒng)數(shù)據(jù)，與傳統(tǒng)航空機(jī)載網(wǎng)絡(luò)結(jié)構(gòu)大不相同[1?2]。傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法只單純分析通用網(wǎng)絡(luò)現(xiàn)有的風(fēng)險(xiǎn)點(diǎn)[3?4]，并不能夠很好地解決高度互聯(lián)的新型機(jī)載網(wǎng)絡(luò)環(huán)境所存在的風(fēng)險(xiǎn)評(píng)估問(wèn)題：只單次分析風(fēng)險(xiǎn)源，忽略風(fēng)險(xiǎn)源之間互相影響造成的威脅狀態(tài);風(fēng)險(xiǎn)源等因素評(píng)價(jià)標(biāo)準(zhǔn)各不相同，邊界難以確定統(tǒng)一。因此從新型機(jī)載網(wǎng)絡(luò)各網(wǎng)域交互以及風(fēng)險(xiǎn)源的特點(diǎn)出發(fā)，挖掘其風(fēng)險(xiǎn)源與威脅狀態(tài)的行為模式，設(shè)計(jì)一種能有效確定新型機(jī)載網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況的風(fēng)險(xiǎn)評(píng)估方法，是亟待解決的問(wèn)題。

針對(duì)新型機(jī)載網(wǎng)絡(luò)的特性，可參考的評(píng)估方法有：張雙等人提出一種適用于機(jī)載系統(tǒng)的安保風(fēng)險(xiǎn)評(píng)估方法，給出針對(duì)整個(gè)機(jī)載系統(tǒng)的安保風(fēng)險(xiǎn)評(píng)估過(guò)程，但沒(méi)有針對(duì)機(jī)載網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)進(jìn)行具體分析和計(jì)算，沒(méi)有得到量化的評(píng)估結(jié)果[4];李林等人采用層次分析法對(duì)各層指標(biāo)權(quán)重進(jìn)行量化，結(jié)合逼近理想解排序方法計(jì)算風(fēng)險(xiǎn)值，評(píng)估無(wú)線網(wǎng)絡(luò)的安全狀況，該方法易于操作但未考慮風(fēng)險(xiǎn)之間的相互關(guān)系，并不適用于復(fù)雜的機(jī)載網(wǎng)絡(luò)安全環(huán)境[5];趙冬梅等人提出一種信息系統(tǒng)的綜合風(fēng)險(xiǎn)評(píng)估模型，采用層次分析法和模糊邏輯法計(jì)算風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)值;雖然引入信息熵計(jì)算整個(gè)系統(tǒng)的綜合風(fēng)險(xiǎn)度，但風(fēng)險(xiǎn)值的計(jì)算仍過(guò)分依賴于專家經(jīng)驗(yàn)[6]。針對(duì)新型航空機(jī)載網(wǎng)絡(luò)的特點(diǎn)和上述方法存在的不足，引入威脅狀態(tài)的分析對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況進(jìn)行輔助判斷;并通過(guò)對(duì)白化數(shù)據(jù)的灰化處理，降低了不同的評(píng)價(jià)標(biāo)準(zhǔn)邊界對(duì)評(píng)估結(jié)果的影響;模型能夠彌補(bǔ)單次評(píng)估無(wú)法確定風(fēng)險(xiǎn)等級(jí)的不足，提高了評(píng)估的準(zhǔn)確性和魯棒性。

1 ?方法概述

1.1 ?層析分析法

層次分析法是一種定性和定量相結(jié)合的系統(tǒng)化層次權(quán)重決策分析方法[7?8]。利用該方法進(jìn)行指標(biāo)權(quán)重的賦值簡(jiǎn)單實(shí)用，所需的定量信息少，為接下來(lái)的風(fēng)險(xiǎn)值的計(jì)算提供了基礎(chǔ)，具體實(shí)現(xiàn)步驟如下：

1） 構(gòu)建評(píng)價(jià)指標(biāo)體系，一般分為目標(biāo)層、準(zhǔn)則層和指標(biāo)層三部分。

2） 專家打分建立判斷矩陣[B*=bij]，并檢驗(yàn)一致性。其中[bij]是以上層某一元素為標(biāo)準(zhǔn)，下層各指標(biāo)相對(duì)于該元素的重要性，采用Saaty提出的標(biāo)度法進(jìn)行兩兩比較得到，如表1所示。

3） 計(jì)算相對(duì)權(quán)重及合成權(quán)重。相對(duì)權(quán)重即被比較元素相對(duì)于上一層的重要程度，一般采用方根法計(jì)算并進(jìn)行歸一化處理：

[Mi=j=1nbij， ?i=1，2，…，n] （2）

[W=W1，W2，…，WnT，Wi=Wii=1nWi] （3）

對(duì)于與最上層直接關(guān)聯(lián)的指標(biāo)，其合成權(quán)重等于相對(duì)權(quán)重;否則等于該指標(biāo)的相對(duì)權(quán)重和其上層關(guān)聯(lián)元素的合成權(quán)重之積。

1.2 ?灰色定權(quán)聚類(lèi)法

灰色定權(quán)聚類(lèi)法是以灰色的白化權(quán)函數(shù)生成為基礎(chǔ)的一種聚類(lèi)方法。該方法運(yùn)算簡(jiǎn)潔，結(jié)論簡(jiǎn)明，通過(guò)對(duì)白化數(shù)據(jù)的灰化處理，保證了評(píng)估結(jié)果的準(zhǔn)確客觀，又提高了數(shù)據(jù)的利用率[9]。

設(shè)[ηj（j=1，2，…，m）]是各聚類(lèi)指標(biāo)的權(quán)，設(shè)[σkj]為對(duì)象[i]屬于[k]灰類(lèi)的灰色定權(quán)聚類(lèi)系數(shù)：

[σkj=j=1mfkjxij·ηj] ? （4）

設(shè)有[m]個(gè)指標(biāo)，[n]個(gè)對(duì)象，[s]個(gè)灰類(lèi)，將對(duì)象[i]歸入某灰類(lèi)中，具體實(shí)現(xiàn)步驟如下：

1） 根據(jù)專家經(jīng)驗(yàn)確定[j]指標(biāo)[k]子類(lèi)的白化權(quán)函數(shù)[fkj·（j=1，2，…，m;k=1，2，…，s）];

2） 根據(jù)層次分析法的計(jì)算結(jié)果確定各指標(biāo)的聚類(lèi)系數(shù)[ηj（j=1，2，…，m）];

3） 根據(jù)步驟1）、步驟2）以及式（4）計(jì)算灰色定權(quán)聚類(lèi)系數(shù)[σkj];

4） 對(duì)向量作聚類(lèi)分析，判定對(duì)象[i]屬于灰類(lèi)[k]：

[σkj=max1σkj] ?（5）

2 ?風(fēng)險(xiǎn)評(píng)估改進(jìn)模型

2.1 ?風(fēng)險(xiǎn)源及威脅狀態(tài)分析

為了實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)源及威脅狀態(tài)的分析、建模，本文首先研究了新型機(jī)載網(wǎng)絡(luò)的架構(gòu)設(shè)計(jì)模式[10?11]。

由于飛機(jī)機(jī)載數(shù)據(jù)網(wǎng)絡(luò)與地面公共網(wǎng)絡(luò)的安保等級(jí)不同，一般飛機(jī)主要分為飛機(jī)控制域，航空公司信息服務(wù)域，旅客信息和機(jī)載娛樂(lè)域;而新型機(jī)載網(wǎng)絡(luò)細(xì)分為飛機(jī)控制域、信息受信域、信息開(kāi)放域、客艙網(wǎng)絡(luò)域和公共網(wǎng)絡(luò)域。得到的新型機(jī)載網(wǎng)絡(luò)互聯(lián)架構(gòu)示意圖如圖1所示。

不同風(fēng)險(xiǎn)源對(duì)機(jī)載網(wǎng)絡(luò)安全和資產(chǎn)造成的威脅不同，其威脅狀態(tài)也不同，根據(jù)對(duì)網(wǎng)絡(luò)架構(gòu)的分析，充分考慮不同網(wǎng)絡(luò)域之間的交互及可能的風(fēng)險(xiǎn)因素，將風(fēng)險(xiǎn)源和威脅狀態(tài)分析總結(jié)，具體如表3所示。

2.2 ?建立兩個(gè)評(píng)估指標(biāo)體系

1） 從各風(fēng)險(xiǎn)源的風(fēng)險(xiǎn)概率、影響以及不可控制性三個(gè)屬性入手，建立評(píng)估指標(biāo)體系：最高層即目標(biāo)層[a]為要達(dá)到的風(fēng)險(xiǎn)評(píng)估目標(biāo);第二層即屬性層[b]分別為風(fēng)險(xiǎn)源的風(fēng)險(xiǎn)概率[b1]，風(fēng)險(xiǎn)影響[b2]和不可控制性[b3];第三層是方案層[c]，即表3中的各個(gè)風(fēng)險(xiǎn)源：網(wǎng)關(guān)與各網(wǎng)域接口點(diǎn)[c1]、各網(wǎng)域之間接口點(diǎn)[c2]、軟件平臺(tái)與機(jī)載娛樂(lè)系統(tǒng)數(shù)據(jù)交互點(diǎn)[c3]、[c4]乘務(wù)使用PAD、電子飛行包[c5]，非法用戶進(jìn)入機(jī)載網(wǎng)絡(luò)[c6]。構(gòu)造的評(píng)估體系如圖2所示。

2） 針對(duì)威脅狀態(tài)建立評(píng)估指標(biāo)體系，考慮其對(duì)網(wǎng)絡(luò)信息資產(chǎn)保密性、完整性和可用性的影響：目標(biāo)層[a]是要達(dá)到的風(fēng)險(xiǎn)評(píng)估目標(biāo);屬性層[b]是保密性[b1]、完整性[b2]和可用性[b3]。參照表3中各風(fēng)險(xiǎn)源的威脅狀態(tài)，將其具體分為五類(lèi)構(gòu)成第三層方案層[c]：獲取信息[c1]、篡改信息[c2]、利用服務(wù)[c3]、拒絕服務(wù)[c4]、提升權(quán)限非法操作[c5]。構(gòu)造的評(píng)估體系如圖3所示。

2.3 ?綜合評(píng)估

由網(wǎng)絡(luò)架構(gòu)、風(fēng)險(xiǎn)源以及威脅狀態(tài)的分析可知，各風(fēng)險(xiǎn)源與威脅狀態(tài)相互影響，因此將威脅狀態(tài)引入改進(jìn)模型，在只分析風(fēng)險(xiǎn)源無(wú)法確定評(píng)估結(jié)果的情況下，加入對(duì)威脅狀態(tài)的分析，建立第2.2節(jié)所示的評(píng)估指標(biāo)體系。通過(guò)威脅狀態(tài)的評(píng)估結(jié)果，輔助得出綜合評(píng)估結(jié)論：

1） 先進(jìn)行風(fēng)險(xiǎn)源指標(biāo)體系的評(píng)估計(jì)算，若評(píng)估結(jié)果清晰，且與專家打分基本一致，則結(jié)果有效;

2） 若根據(jù)風(fēng)險(xiǎn)源指標(biāo)體系計(jì)算得到的結(jié)果無(wú)法準(zhǔn)確判斷網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況，或?qū)＜乙庖?jiàn)相左，則進(jìn)行威脅狀態(tài)指標(biāo)體系的計(jì)算，輔助判斷風(fēng)險(xiǎn)狀況;

3） 若由威脅狀態(tài)指標(biāo)體系計(jì)算的結(jié)果與風(fēng)險(xiǎn)源指標(biāo)體系結(jié)果相差較大，則邀請(qǐng)第三方專家重新打分，重新進(jìn)行風(fēng)險(xiǎn)評(píng)估。

3 ?案例分析

3.1 ?風(fēng)險(xiǎn)源評(píng)估指標(biāo)體系

1） 邀請(qǐng)兩位機(jī)載網(wǎng)絡(luò)安全的專家根據(jù)GB/T 22239—2008[12]，GB/T 22240—2008[13]以及某一測(cè)試機(jī)載網(wǎng)絡(luò)環(huán)境信息對(duì)圖2中的準(zhǔn)則層指標(biāo)進(jìn)行賦值，加權(quán)平均后得到判斷矩陣如下：

[B*=142.828 40.2510.316 20.353 63.162 31]

由式（1）計(jì)算得到[CR=0.052<0.1]，符合一致性要求。根據(jù)式（2）、式（3）得到指標(biāo)層合成權(quán)重為：

[W*b1=0.222 9，0.088 8，0.047 1，0.047 1，0.085 9，0.021 6T，]

[W*b2=0.042 6，0.017 0，0.009 0，0.009 0，0.016 4，0.021 6T，]

[W*b3=0.103 1，0.041 1，0.021 8，0.021 8，0.039 7，0.052 3T]

2） 對(duì)機(jī)載網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)進(jìn)行劃分，分為5個(gè)風(fēng)險(xiǎn)等級(jí)，即5個(gè)灰類(lèi)，如表4所示。

3.2 ?威脅狀態(tài)評(píng)估指標(biāo)體系

1） 對(duì)圖3中準(zhǔn)則層指標(biāo)賦值，構(gòu)造判斷矩陣：

[B*=10.816 50.277 41.224 710.534 53.605 61.870 81]

經(jīng)計(jì)算[CR=0.022<0.1]，符合一致性要求。得到權(quán)重為：

[W*b1=0.104 7，0.258 3，0.105 0，0.099 0，0.099 0T]，

[W*b2=0.142 2，0.234 0，1 050，0.049 0，0.088 5T]，

[W*b3=0.136 5，0.239 0，0.142 0，0.021 8，0.056 0T]

2） 由兩位專家進(jìn)行打分，得到的新型機(jī)載網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估表如表6所示。

據(jù)式（5）可得：[σk1=σ21=0.460 7]，[σk2=σ22=0.431 2]，即[σ=maxσk1，σk2=σ21=0.460 7]，[k=2]。

3.3 ?實(shí)驗(yàn)結(jié)果分析

分析風(fēng)險(xiǎn)源指標(biāo)體系得到的計(jì)算結(jié)果，該網(wǎng)絡(luò)風(fēng)險(xiǎn)所屬灰類(lèi)即風(fēng)險(xiǎn)等級(jí)為第二類(lèi)，即“較低”風(fēng)險(xiǎn);但根據(jù)圖4顯示，風(fēng)險(xiǎn)等級(jí)為“低”和“較低”的定權(quán)聚類(lèi)系數(shù)差距較小，且兩位專家意見(jiàn)相反，單憑對(duì)風(fēng)險(xiǎn)源的分析無(wú)法得出準(zhǔn)確清晰的結(jié)論，因此進(jìn)行對(duì)威脅狀態(tài)指標(biāo)體系的計(jì)算。威脅狀態(tài)指標(biāo)體系的計(jì)算結(jié)果顯示：網(wǎng)絡(luò)風(fēng)險(xiǎn)所屬灰類(lèi)即風(fēng)險(xiǎn)等級(jí)為第二類(lèi)，即“較低”風(fēng)險(xiǎn);圖5也清晰顯示，風(fēng)險(xiǎn)等級(jí)為2的聚類(lèi)系數(shù)明顯大于其他等級(jí)的值，綜合風(fēng)險(xiǎn)源指標(biāo)體系的計(jì)算結(jié)果可知，該新型機(jī)載網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等級(jí)為“較低”。

4 ?結(jié) ?論

本文首先分析了新型機(jī)載網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的難點(diǎn)以及傳統(tǒng)風(fēng)險(xiǎn)評(píng)估方法的不足，然后建立一種利用威脅狀態(tài)輔助評(píng)估的改進(jìn)模型。該模型提高了評(píng)估的準(zhǔn)確性和魯棒性，使其相較于單次分析風(fēng)險(xiǎn)源的評(píng)估模型可以適應(yīng)更多場(chǎng)景。最后以某一機(jī)載網(wǎng)絡(luò)環(huán)境為例進(jìn)行實(shí)驗(yàn)，證明模型可行并有效。下一步的工作是在確定新型機(jī)載網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀況的基礎(chǔ)上，針對(duì)不同風(fēng)險(xiǎn)選擇相應(yīng)的防護(hù)手段，對(duì)其進(jìn)行適航防護(hù)的研究，為適航審定技術(shù)手段建議的提出提供更多理論和技術(shù)支持。

參考文獻(xiàn)

[1] 牛文生.機(jī)載計(jì)算機(jī)技術(shù)[M].北京：航空工業(yè)出版社，2013.

NIU Wensheng. The airborne computer technology [M]. Beijing： Aviation Industry Press， 2013.

[2] KWAK K J， SAGDUYU Y， YACKOSKI J， et al. Airborne network evaluation： challenges and high fidelity emulation solution [J]. IEEE communications magazine， 2014， 52（10）： 30?36.

[3] 翁遲遲，齊法制，陳剛.基于層次分析法與云模型的主機(jī)安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)工程，2016，42（2）：1?6.

WENG Chichi， QI Fazhi， CHEN Gang. Host security risk assessment based on analytic hierarchy process and cloud model [J]. Computer engineering， 2016， 42（2）： 1?6.

[4] 張雙，孔德岐，李曉東.機(jī)載系統(tǒng)安保風(fēng)險(xiǎn)評(píng)估方法[J].計(jì)算機(jī)工程與應(yīng)用，2013，49（16）：232?235.

ZHANG Shuang， KONG Deqi， LI Xiaodong. Security risk assessment methodology for airborne system [J]. Computer engineering and applications ， 2013， 49（16）： 232?235.

[5] 李林，劉毅，楊駿.無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法的應(yīng)用研究[J].計(jì)算機(jī)仿真，2011，28（9）：147?150.

LI Lin， LIU Yi， YANG Jun. Application of wireless network safety risk assessment [J]. Computer simulation， 2011， 28（9）： 147?150.

[6] 趙冬梅，馬建峰，王躍生.信息系統(tǒng)的模糊風(fēng)險(xiǎn)評(píng)估模型[J].通信學(xué)報(bào)，2007，28（4）：51?56.

ZHAO Dongmei， MA Jianfeng， WANG Yuesheng. Model of fuzzy risk assessment of the information system [J]. Journal on communications， 2007， 28（4）： 51?56.

[7] 郭金玉，張忠彬，孫慶云.層次分析法的研究與應(yīng)用[J].中國(guó)安全科學(xué)學(xué)報(bào)，2008，18（5）：148?153.

GUO Jinyu， ZHANG Zhongbin， SUN Qingyun. Study and applications of analytic hierarchy process [J]. China safety science journal， 2008， 18（5）： 148?153.

[8] 李振富，韓彬霞，李曉鵬，等.基于AHP的通信網(wǎng)風(fēng)險(xiǎn)評(píng)估[J].現(xiàn)代電子技術(shù)，2011，34（19）：111?113.

LI Zhenfu， HAN Binxia， LI Xiaopeng， et al. Risk evaluation of military communication network based on AHP [J]. Modern electronics technique， 2011， 34（19）： 111?113.

[9] 鄧聚龍.灰理論基礎(chǔ)[M].武漢：華中科技大學(xué)出版社，2002.

DENG Julong. The course of grey system theory [M]. Wuhan： Huazhong University of Science and Technology Press， 2002.

[10] 張軍才，陳劍.民用飛機(jī)機(jī)載信息系統(tǒng)設(shè)計(jì)分析[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2011（11）：5?6.

ZHANG Juncai， CHEN Jian. Design and analysis of civil aircraft airborne information system [J]. Computer CD software and applications， 2011（11）： 5?6.

[11] WOLF M， MINZLAFF M， MOSER M. Information technology security threats to modern e?enabled aircraft： a cautionary note [J]. Journal of aerospace information systems， 2014， 11（7）： 447?457.

[12] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求：GB/T 22239—2008[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

TC260. Information security technology： baseline for classified protection of information system security： GB/T 22239—2008 [S]. Beijing： Standards Press of China， 2008.

[13] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南：GB/T 22240—2008[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008.

TC260. Information security technology： classification guide for classified protection of information system： GB/T 22240—2008 [S]. Beijing： Standards Press of China， 2008.