王志剛 楊世松

解放軍信息工程大學(xué)信息工程學(xué)院 河南 450002

0 前言

在信息網(wǎng)絡(luò)系統(tǒng)固有的脆弱性、人為的管理漏洞和操作失誤、以及客觀存在的攻擊和破壞行為等問題不可避免的情況下，建立具有良好生存能力的信息網(wǎng)絡(luò)系統(tǒng)，較好地保護(hù)系統(tǒng)的關(guān)鍵服務(wù)和關(guān)鍵資源，具有一定的現(xiàn)實(shí)意義。當(dāng)前比較成熟的信息網(wǎng)絡(luò)生存技術(shù)不多，在設(shè)計時就考慮網(wǎng)絡(luò)生存性的信息系統(tǒng)較少，所以有必要先對信息網(wǎng)絡(luò)系統(tǒng)可生存性進(jìn)行有效評估，為進(jìn)行合理的維護(hù)和技術(shù)改造以增強(qiáng)信息網(wǎng)絡(luò)系統(tǒng)生存能力提供依據(jù)。

SEI的CERT/CC的SNA方法為生存性分析提供了一套可行的思路和可供參照的實(shí)踐經(jīng)驗(yàn)，但該方法僅僅提供了一種生存性評估的粗略框架和定性分析，并未給出分析的詳盡技術(shù)手段，也未給出生存性的具體量化指標(biāo)；S.Jha等對SNA方法進(jìn)行改進(jìn)并提出了一種生存性評估的系統(tǒng)方法；郭淵博等對分布式系統(tǒng)服務(wù)的生存性進(jìn)行了理論上的定量分析；包秀國通過將網(wǎng)絡(luò)系統(tǒng)簡化為數(shù)據(jù)流圖，并根據(jù)數(shù)據(jù)流圖的連通性對系統(tǒng)生存性進(jìn)行分析；林雪綱等對SNA中的3R模型進(jìn)行研究，通過考察系統(tǒng)面臨攻擊時提供服務(wù)的能力獲得生存性圖，為提高系統(tǒng)生存性提供了依據(jù)。從Westmark統(tǒng)計結(jié)果可知，現(xiàn)有的信息系統(tǒng)生存性評估大多停留在理論研究和定性分析上。本文引入德爾菲（Delphi）法研究確立了科學(xué)實(shí)用的信息網(wǎng)絡(luò)系統(tǒng)可生存性評價指標(biāo)體系，在此基礎(chǔ)上提出了一種基于模糊數(shù)學(xué)的評估模型，較好地克服了評價標(biāo)準(zhǔn)復(fù)雜、人為主觀差異、認(rèn)知能力模糊等諸多不易定量、不確定性因素的影響，更合理有效地完成了信息網(wǎng)絡(luò)系統(tǒng)可生存性評估。

1 確立信息網(wǎng)絡(luò)系統(tǒng)生存性評價指標(biāo)體系

信息網(wǎng)絡(luò)系統(tǒng)可生存性評估的關(guān)鍵之一是選取和建立可量化且可操作的性能指標(biāo)，這將直接影響評估結(jié)果的全面性、合理性和有效性。目前，對網(wǎng)絡(luò)系統(tǒng)可生存性評價指標(biāo)的研究在國內(nèi)尚處于起步階段，相關(guān)文獻(xiàn)較少。而在國外則缺乏統(tǒng)一規(guī)范，存在對指標(biāo)的描述過于簡單、不全面等問題。本文在確定網(wǎng)絡(luò)生存性評價指標(biāo)體系時，采用的是應(yīng)用較為廣泛的德爾菲法（Delphi）。首先，通過對大量非技術(shù)性的無法定量分析的要素作出概率估算，借助系統(tǒng)分析，初步擬定評價指標(biāo)；然后，綜合多位專家的經(jīng)驗(yàn)與主觀判斷，對各指標(biāo)的重要度進(jìn)行評價；最后，發(fā)揮信息反饋和信息控制的作用，使分散的評價意見逐次收斂到協(xié)調(diào)一致的結(jié)果上。由此得出信息網(wǎng)絡(luò)系統(tǒng)可生存性評價指標(biāo)體系：

（1）可靠性：信息網(wǎng)絡(luò)系統(tǒng)在一個特定時間內(nèi)能持續(xù)執(zhí)行特定功能的概率，側(cè)重分析網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的連續(xù)性；

（2）可用性：對信息網(wǎng)絡(luò)系統(tǒng)安全和不安全交替變化過程的一種量化，著重描述系統(tǒng)正常運(yùn)行的可能性；

（3）機(jī)密性：信息網(wǎng)絡(luò)系統(tǒng)的文件數(shù)據(jù)等不為未授權(quán)實(shí)體所知，主要表現(xiàn)為不被未授權(quán)用戶獲知的可能性；

（4）完整性：信息網(wǎng)絡(luò)系統(tǒng)具有良好的運(yùn)行質(zhì)量，不出現(xiàn)錯誤的系統(tǒng)變化；

（5）抗攻擊性：即信息網(wǎng)絡(luò)系統(tǒng)防止非法訪問，防范未經(jīng)授權(quán)使用資源或以非授權(quán)方式使用資源，并有效防止黑客入侵和抵御計算機(jī)病毒攻擊的能力；

（6）可恢復(fù)性：即網(wǎng)絡(luò)系統(tǒng)在受攻擊后限制損害程度，保存受危害的信息，在任務(wù)運(yùn)行期間維護(hù)并修復(fù)基本服務(wù)和其他所有服務(wù)的能力；

（7）自適應(yīng)性：信息網(wǎng)絡(luò)系統(tǒng)根據(jù)入侵過程中獲得的知識，改進(jìn)生存策略以抵抗并識別未來潛在攻擊的能力。

2 模糊綜合評價原理

模糊綜合評價是以模糊數(shù)學(xué)為基礎(chǔ)，應(yīng)用模糊關(guān)系合成原理，將一些邊界不清、不易定量因素定量化，進(jìn)行綜合評判的一種方法。它是一種較好的用于涉及多個模糊因素的對象的綜合評估方法。模糊綜合評判決策的數(shù)學(xué)模型由因素集、評判集和單因素評判3個要素組成，其步驟分為4步：

3 信息網(wǎng)絡(luò)系統(tǒng)可生存性評估數(shù)學(xué)模型及算法實(shí)例

3.1 確定信息網(wǎng)絡(luò)系統(tǒng)可生存性評判因素集

信息網(wǎng)絡(luò)系統(tǒng)可生存性評估是一個較為復(fù)雜的系統(tǒng)工程，既有硬件、又有軟件，既有外部影響、又有內(nèi)部因素，而且許多方面是相互制約的。根據(jù)實(shí)際的系統(tǒng)運(yùn)行狀況，確立科學(xué)的評判因素集合，可以有效解決評估網(wǎng)絡(luò)系統(tǒng)可生存性的應(yīng)用問題。在下面實(shí)例當(dāng)中確立了7個因素來組成評判集U：U={可用性，可靠性，機(jī)密性，完整性，抗攻擊性，可恢復(fù)性，自適應(yīng)性}。

以上因素基本涉及到了信息網(wǎng)絡(luò)系統(tǒng)可生存性的核心技術(shù)，評判因素的權(quán)重可以根據(jù)不同的系統(tǒng)賦予不同的權(quán)值。在這里假定權(quán)重如下：

權(quán)重也可以通過評估的具體對象對各因素權(quán)重進(jìn)行適當(dāng)調(diào)整。

需要說明的是，這里模糊綜合評價過程本身不解決評判的各個因素間因相關(guān)造成的評價信息重復(fù)問題，因而在進(jìn)行模糊評價前，因素的預(yù)選處理特別重要。在本實(shí)例的評估過程中選用了一些比較基礎(chǔ)的因素來進(jìn)行評估。

3.2 確定綜合評判集合及其分量值

評判集V及其分量值的確定才使得模糊綜合評價獲得一個模糊評判向量Vm，被評價網(wǎng)絡(luò)系統(tǒng)對應(yīng)各評判級隸屬程度的信息通過這個模糊向量表示出來。根據(jù)使用的經(jīng)驗(yàn)，分量值的確定也應(yīng)該使用習(xí)慣中的區(qū)間中位數(shù)為好，分布也較合理。每個專家根據(jù)自己的主觀經(jīng)驗(yàn)，來評定參數(shù)指標(biāo)項目選擇中的權(quán)重，而他的主觀經(jīng)驗(yàn)及看法，形成一個評判級的分量值集合：

V={很強(qiáng)，較強(qiáng)，強(qiáng)，中等，弱，較弱，很弱}，模糊評判向量集其中，假設(shè)：

在對實(shí)際問題處理時，為了能充分利用綜合評判帶來的信息，也可對評判結(jié)果進(jìn)行歸一化處理，將評判集的等級用一分制數(shù)量化，則將評判結(jié)果進(jìn)行加權(quán)平均，得到總分。

3.3 評價專家團(tuán)體及其權(quán)重向量

在評價選擇中，專家的級別就是對參評團(tuán)體的一個分類，有高級級別、中級級別、初級級別，其評價結(jié)果視其不同的級別賦予不同的權(quán)重，分別為：0.55，0.30，0.15，則評價專家團(tuán)體集和權(quán)重向量分別為：

T={高級級別，中級級別，初級級別}且

3.4 利用模糊運(yùn)算，求得信息網(wǎng)絡(luò)系統(tǒng)可生存性綜合評估結(jié)果

（1）由級別相同的評委對同一網(wǎng)絡(luò)系統(tǒng)進(jìn)行評估，形成一個矩陣，記為R

（2）計算權(quán)值和模糊矩陣，進(jìn)行數(shù)據(jù)處理得出矩陣B為：其中?是模糊數(shù)學(xué)中的格運(yùn)算，它與普通矩陣乘法相似。所不同的是格運(yùn)算先將兩項中較小的取出。再取其中最大者。也就是：其中

通過上面兩步的計算，可以得到假設(shè)中信息網(wǎng)絡(luò)系統(tǒng)可生存性的綜合評判的結(jié)果：

T代表的是一個向量的轉(zhuǎn)置。

（3）上面得到的是一個級別或一類專家對某個信息網(wǎng)絡(luò)系統(tǒng)的評價結(jié)果，當(dāng)不同級別的專家或管理員進(jìn)行評價時，可以得出不同的評判矩陣，進(jìn)而得出不同的評價結(jié)果B，再根據(jù)不同的專家級別權(quán)重給予加權(quán)平均，可得到所有專家或管理員對同一個信息網(wǎng)絡(luò)系統(tǒng)可生存性的平均分值

4 結(jié)束語

信息網(wǎng)絡(luò)系統(tǒng)可生存性評估是一個熱點(diǎn)研究課題。為減少諸多模糊不易定量、不確定性因素的影響，本文引入德爾菲（Delphi）法研究確立了合理實(shí)用的信息網(wǎng)絡(luò)系統(tǒng)可生存性評價指標(biāo)體系，并應(yīng)用模糊數(shù)學(xué)的理論和方法，給出了基于信息網(wǎng)絡(luò)系統(tǒng)可生存性的模糊綜合評估模型及其評價數(shù)學(xué)模型，并結(jié)合網(wǎng)絡(luò)系統(tǒng)可生存性的實(shí)際情況給出了使用評價模型進(jìn)行評估的步驟，所得評價結(jié)果與實(shí)際比較吻合，為信息網(wǎng)絡(luò)系統(tǒng)可生存性的深入研究提供了條件，具有一定的可行性和有效性?？墒菑膶?shí)踐角度來看，利用本文提出的評估模型，還有大量復(fù)雜的工作要做，如信息網(wǎng)絡(luò)系統(tǒng)可生存性等級的劃分以及評價人員素質(zhì)的分類、評價系統(tǒng)權(quán)重的設(shè)置等，這些都是下一步研究中要著力解決的問題。

[1]Mead N R，Ellison R J，Linger R C.Survivable network analysis method[R].Technical Report.CMU/SEI-2000-TR-013.2000.

[2]Jha S，Wing J，Linger R，et a1.Survivability analysis of network specifications[c].In:International Conference on Dependable Systems and Networks.2000.

[3]郭淵博，馬建峰.分布式系統(tǒng)中服務(wù)可生存性的定量分析[J].同濟(jì)大學(xué)學(xué)報.2002.

[4]包秀國，胡銘曾.兩種網(wǎng)絡(luò)安全管理系統(tǒng)的生存性定量分析方法[J].通信學(xué)報.2004.

[5]高獻(xiàn)偉，林雪綱，許榕生.生存性分析方法中的3R量化分析方法[J].計算機(jī)仿真.2004.

[6]Westmark V R.A definition for information system survivability[C].In：Proceedings of the 37th Annual Hawaii International Conference on System Sciences（HICSS’04）.Big Island.Hawaii.2004.

[7]林雪綱，許榕生等.信息系統(tǒng)生存性分析模型研究[J].通信學(xué)報.2006.

[8]肖志力，何明等.網(wǎng)絡(luò)信息系統(tǒng)的可生存性評估研究[J].計算機(jī)工程與應(yīng)用.2009.

[9]王健，王慧強(qiáng)等.信息系統(tǒng)可生存性定量評估的指標(biāo)體系[J].計算機(jī)工程.2009.