摘 要：基于風(fēng)險(xiǎn)管理模型構(gòu)建的通信網(wǎng)風(fēng)險(xiǎn)評(píng)估量化模型是合理調(diào)配安全防護(hù)資源的重要基礎(chǔ)，借鑒層次分析法對(duì)信息資產(chǎn)安全價(jià)值，信息安全特性，各種威脅影響，關(guān)鍵資產(chǎn)這一遞階層次結(jié)構(gòu)進(jìn)行資產(chǎn)賦值，并通過(guò)風(fēng)險(xiǎn)事件發(fā)生可能性的定量計(jì)算完成了威脅風(fēng)險(xiǎn)分析。

關(guān)鍵詞：層次分析法; 通信網(wǎng); 風(fēng)險(xiǎn)評(píng)估； 信息安全

中圖分類號(hào)：

TN915.08-34

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1004-373X(2011)19

-0111

-03

Risk Evaluation of Military Communication Network Based on AHP

LI Zhen-fu， HAN Bin-xia， LI Xiao-peng， BAO Chi

(Xi’an Communication Institute， Xi’an 710106， China)

Abstract： The risk evaluation quantification model of military communication network based on risk management model is an important foundation of preparing security defense resource. Based on AHP， assets′ relative value can be derived from the analytic hierarchy of information asset security value， information security characteristic， threat influence and key assets. Threat risk analysis makes use of quantification computation of threat′s possibility.

Keywords： AHP; military communication network; risk evaluation; information security

收稿日期：2011-05-25

由于不同網(wǎng)系的通信模式和安全等級(jí)不同，造成了網(wǎng)系隔離、“煙囪”林立的不利局面，同一網(wǎng)系內(nèi)不同要素的安全等級(jí)和防護(hù)措施也不甚明確，特別是重技術(shù)輕管理的思想，難以保證安全措施精確化應(yīng)用到安全漏洞上，因此，構(gòu)建一個(gè)合理的通信網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估模型就成為了合理調(diào)配安全防護(hù)資源的重要基礎(chǔ)，通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估可以明確不同網(wǎng)系、不同要素、不同設(shè)備的信息安全需求，幫助制定最優(yōu)的信息安全策略并選擇相應(yīng)的風(fēng)險(xiǎn)控制措施把風(fēng)險(xiǎn)降到可接受的范圍之內(nèi)。

1 風(fēng)險(xiǎn)評(píng)估量化模型

1.1 信息安全對(duì)象

信息網(wǎng)可以用如圖1所示的簡(jiǎn)化模型表示。

圖1 通信網(wǎng)網(wǎng)絡(luò)模型

信息傳輸網(wǎng)絡(luò)、信息處理網(wǎng)絡(luò)、信息服務(wù)環(huán)境作為支撐網(wǎng)絡(luò)，支持了各種通信應(yīng)用服務(wù)，在柵格化信息網(wǎng)中的信息流主要包括兩類：信息和網(wǎng)絡(luò)信息。信息主要指在通信網(wǎng)絡(luò)中傳輸?shù)奈淖?、話音、?shù)據(jù)、圖像等各種類型的信息，網(wǎng)絡(luò)信息是支撐網(wǎng)絡(luò)運(yùn)行的各種信息，如各種通信協(xié)議、信令、數(shù)字同步信息和網(wǎng)絡(luò)管理信息等。因此，通信網(wǎng)的安全技術(shù)服務(wù)對(duì)象主要就是在網(wǎng)絡(luò)內(nèi)傳輸?shù)乃行畔⒑途W(wǎng)絡(luò)信息，安全包括信息傳輸安全和信息存儲(chǔ)運(yùn)行安全［1］。

1.2 風(fēng)險(xiǎn)與管理模型

目前，國(guó)際和國(guó)內(nèi)比較重要的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，CC，GB/T 18336，BS7799，ISO/IEC 13355，OCTAVE方法，SSE-CMM、《信息安全風(fēng)險(xiǎn)評(píng)估指南》等，大都是通過(guò)威脅、薄弱點(diǎn)、風(fēng)險(xiǎn)和安全控制之間的循環(huán)過(guò)程來(lái)描述風(fēng)險(xiǎn)與管理。風(fēng)險(xiǎn)與管理模型如圖2所示。

圖2 風(fēng)險(xiǎn)與管理模型

威脅、薄弱點(diǎn)、風(fēng)險(xiǎn)和安全控制之間的關(guān)系即：資產(chǎn)具有價(jià)值，并會(huì)受到威脅的潛在影響；薄弱點(diǎn)將資產(chǎn)暴露給威脅，威脅利用薄弱點(diǎn)對(duì)資產(chǎn)造成影響；威脅與薄弱點(diǎn)的增加導(dǎo)致安全風(fēng)險(xiǎn)的增加；安全風(fēng)險(xiǎn)的存在對(duì)組織的信息安全提出要求；安全控制應(yīng)滿足安全要求；組織通過(guò)實(shí)施安全控制防范威脅，以降低安全風(fēng)險(xiǎn)［2］。

通信網(wǎng)是用于目的、保障作戰(zhàn)指揮的通信網(wǎng)，在風(fēng)險(xiǎn)與管理模型中信息和網(wǎng)絡(luò)信息就是信息資產(chǎn)，信息本身是無(wú)形的，在通信網(wǎng)系統(tǒng)中借助于信息媒體以多種形式存在或傳播。風(fēng)險(xiǎn)評(píng)估就是確認(rèn)信息安全風(fēng)險(xiǎn)及其大小的過(guò)程，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具，包括定性和定量的方法，確定通信網(wǎng)實(shí)體資產(chǎn)信息風(fēng)險(xiǎn)等級(jí)和安全措施優(yōu)先控制順序。

1.3 量化模型總體框架

通信網(wǎng)的風(fēng)險(xiǎn)由自身的內(nèi)在因素，即針對(duì)網(wǎng)絡(luò)信息的管理控制，以及外在威脅，即針對(duì)信息利用的程度共同組成。它們相對(duì)獨(dú)立而又相互聯(lián)系，二者相互作用決定了系統(tǒng)的安全狀態(tài)。因此，需要從這兩個(gè)方面來(lái)研究，綜合評(píng)估系統(tǒng)的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)量化模型總體框架設(shè)計(jì)中，主要包括：資產(chǎn)賦值模型、威脅類風(fēng)險(xiǎn)計(jì)算模型，具體內(nèi)容如圖3所示。

圖3 風(fēng)險(xiǎn)量化模型總體框架

2 關(guān)鍵資產(chǎn)賦值模型

通信網(wǎng)的不確定性是針對(duì)通信網(wǎng)安全特性而言的，在端對(duì)端通信中，ISO/IEC 18028-2國(guó)際標(biāo)準(zhǔn)和ITU2TX805-2003建議書(shū)認(rèn)為，通信網(wǎng)的安全特性即為通信及其資源的訪問(wèn)控制、鑒別、抗抵賴性、機(jī)密性、完整性、通信安全、有效性和私密性?？梢酝ㄟ^(guò)這些特性來(lái)描述信息資產(chǎn)安全價(jià)值。同時(shí)，風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)和等級(jí)保護(hù)中的系統(tǒng)定級(jí)均充分考慮到信息資產(chǎn)CIA特性(保密性(Confidentiality)、完整性(Integrity)、可用性(Availability))的高低，但風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)包含了對(duì)現(xiàn)有安全控制措施的確認(rèn)因素。因此，選取保密性、完整性和可用性來(lái)描述通信網(wǎng)的信息資產(chǎn)安全價(jià)值［3］。

各種內(nèi)外威脅通過(guò)利用通信網(wǎng)系統(tǒng)中有形資產(chǎn)的薄弱點(diǎn)，破壞這些特性增加信息資產(chǎn)的安全風(fēng)險(xiǎn)。因此，信息資產(chǎn)安全價(jià)值，信息安全特性，各種威脅影響，關(guān)鍵資產(chǎn)構(gòu)成了一個(gè)遞階層次結(jié)構(gòu)。

整個(gè)方法步驟包括：選擇風(fēng)險(xiǎn)影響評(píng)估項(xiàng)、構(gòu)造資產(chǎn)賦值的層次結(jié)構(gòu)、確定各評(píng)估項(xiàng)的權(quán)重、根據(jù)評(píng)估項(xiàng)判定資產(chǎn)的相對(duì)重要性、計(jì)算得到各資產(chǎn)的相對(duì)賦值。

根據(jù)構(gòu)造通信網(wǎng)資產(chǎn)賦值的層次結(jié)構(gòu)評(píng)價(jià)模型分別構(gòu)造安全屬性、影響評(píng)估項(xiàng)、各資產(chǎn)的比較判斷矩陣。安全屬性的判斷評(píng)矩陣元素值反映了在對(duì)系統(tǒng)評(píng)估時(shí)，評(píng)估者對(duì)保密性、完整性、可用性、可認(rèn)證性、實(shí)時(shí)性、可控性、不可抵賴性在資產(chǎn)值中相對(duì)重要性的認(rèn)識(shí)如圖4所示。影響評(píng)估項(xiàng)的判斷矩陣元素的值則反映了評(píng)估者對(duì)各個(gè)評(píng)估項(xiàng)關(guān)于系統(tǒng)綜合影響的相對(duì)重要性的認(rèn)識(shí)；而各個(gè)資產(chǎn)的判斷矩陣元素的值則反映了評(píng)估者對(duì)各資產(chǎn)對(duì)于整個(gè)系統(tǒng)的相對(duì)重要性的認(rèn)識(shí)，其最終結(jié)果就是資產(chǎn)的相對(duì)賦值。

圖4 資產(chǎn)賦值層次結(jié)構(gòu)圖

3 威脅類風(fēng)險(xiǎn)值的定量計(jì)算

要計(jì)算威脅類風(fēng)險(xiǎn)，首先需完成風(fēng)險(xiǎn)事件發(fā)生可能性的定量計(jì)算。風(fēng)險(xiǎn)事件也稱為安全事件，是指威脅主體產(chǎn)生威脅行為并利用信息資產(chǎn)及其安全措施的脆弱性對(duì)該機(jī)構(gòu)的信息資源造成實(shí)際危害的情況。風(fēng)險(xiǎn)事件的發(fā)生必須要求下面兩個(gè)條件同時(shí)成立：存在外在的威脅行為和機(jī)構(gòu)的信息體系存在脆弱性。

通信網(wǎng)面臨的外在威脅主要有竊聽(tīng)、截收、非法訪問(wèn)、陷門(mén)、服務(wù)拒絕、刪改、冒充、重演、通信量分析、計(jì)算機(jī)病毒等。因此，對(duì)風(fēng)險(xiǎn)事件的完整性描述應(yīng)當(dāng)包含威脅主體、行為、動(dòng)機(jī)、攻擊技能、目標(biāo)信息資產(chǎn)及其安全措施的脆弱點(diǎn)等要素。但是，很難實(shí)時(shí)準(zhǔn)確獲取風(fēng)險(xiǎn)事件發(fā)生概率的客觀數(shù)據(jù)，風(fēng)險(xiǎn)事件發(fā)生可能性的計(jì)算一直也是風(fēng)險(xiǎn)定量分析方法中的難題。綜上所述，可以利用入侵檢測(cè)和漏洞掃描系統(tǒng)日志數(shù)據(jù)計(jì)算威脅發(fā)生的可能性，即根據(jù)系統(tǒng)在過(guò)去時(shí)間內(nèi)受到的攻擊情況以及威脅對(duì)脆弱性利用的程度來(lái)計(jì)算。當(dāng)然，這個(gè)日志數(shù)據(jù)是不斷更新的，也就是說(shuō)對(duì)威脅類風(fēng)險(xiǎn)的計(jì)算也在跟蹤進(jìn)行動(dòng)態(tài)調(diào)整。

文獻(xiàn)\\中給出了威脅發(fā)生可能概率的計(jì)算式：10PiCi，其中，計(jì)算式中的Ci對(duì)應(yīng)威脅強(qiáng)度；而10Pi對(duì)應(yīng)攻擊利用脆弱性的嚴(yán)重程度。因此，可以采用下列公式計(jì)算單個(gè)資產(chǎn)的外在威脅類風(fēng)險(xiǎn)值。

其中Pi為針對(duì)資產(chǎn)Aj的風(fēng)險(xiǎn)事件對(duì)應(yīng)的威脅嚴(yán)重程度，其值由攻擊所屬類型來(lái)確定，一般按照攻擊帶來(lái)的風(fēng)險(xiǎn)后果來(lái)進(jìn)行劃分。參照Snort手冊(cè)［5］，以3，2，1分別表示高、中、低三個(gè)等級(jí)的嚴(yán)重程度，表1是從Snort手冊(cè)摘錄的部分攻擊類型及其嚴(yán)重程度。

根據(jù)單個(gè)資產(chǎn)的外在威脅類風(fēng)險(xiǎn)值計(jì)算式(1)，可以得到入口節(jié)點(diǎn)、干線節(jié)點(diǎn)、微波信道等各個(gè)資產(chǎn)威脅類風(fēng)險(xiǎn)數(shù)值，分別是1 347，235，320，相加得系統(tǒng)威脅類風(fēng)險(xiǎn)值為1 902。由計(jì)算結(jié)果可知，外在攻擊針對(duì)入口節(jié)點(diǎn)的威脅最為嚴(yán)重，微波信道次之，干線節(jié)點(diǎn)再次之。這體現(xiàn)了地域通信網(wǎng)將信息指揮中心和網(wǎng)絡(luò)中心分開(kāi)的特點(diǎn)。

5 結(jié) 論

借鑒層次分析法中構(gòu)建比較判斷矩陣，通過(guò)計(jì)算矩陣的特征向量并驗(yàn)證一致性指標(biāo)來(lái)最終計(jì)算各個(gè)關(guān)鍵資產(chǎn)安全價(jià)值。在對(duì)通信網(wǎng)進(jìn)行綜合評(píng)價(jià)時(shí)，可以采用個(gè)人主觀分析與專家咨詢相結(jié)合的方法，初步確定綜合評(píng)價(jià)的指標(biāo)體系，然后征求專家、通信網(wǎng)絡(luò)服務(wù)與管理人員、終端用戶等相關(guān)意見(jiàn)，再修改評(píng)價(jià)指標(biāo)體系，再征求專家們的意見(jiàn)。再修改，直到滿意為止。由此可以知道，將層次分析法運(yùn)用在信息資產(chǎn)賦值定量分析中是科學(xué)可行的。

參 考 文 獻(xiàn)

［1］范冰冰.通信網(wǎng)［M］.北京：國(guó)防工業(yè)出版社，2000.

［2］佚名.信息安全風(fēng)險(xiǎn)評(píng)估指南［S］.北京：國(guó)務(wù)院信息化工作辦公室，2005.

［3］ALBERTS Christopher， DOROFEE Audrey. Managing information security risks: the OCTAVE approach \\// \\: Pearson Education， Inc.，2003：10， 80-82，104-110.

［4］陳秀真，鄭慶華，管曉宏，等.網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢(shì)評(píng)估的研究［J］.西安交通大學(xué)學(xué)報(bào)，2004，38(4)：404-408.

［5］MARTIN R， CHRIS G. Snort user′s manual， snort release 2.0.0 \\. \\. http://www/snort.org/docs/ Snort User′s Manual.pdf，.

［6］盧紫毅，范建華.基于層次分析法的戰(zhàn)術(shù)通信網(wǎng)絡(luò)效能評(píng)估\\.現(xiàn)代電子技術(shù)，2011，34(1):57-60.