付 鈺 吳曉平 葉 清

（海軍工程大學信息安全系 武漢 430033）

0 引 言

隨著信息技術和網絡技術的飛速發(fā)展，網絡信息系統(tǒng)正在成為國家建設的關鍵基礎設施，其安全性直接關系到國家和信息系統(tǒng)用戶的根本利益.與此同時，網絡攻擊的規(guī)模正迅速擴大，網絡信息系統(tǒng)所面臨的安全風險日趨嚴重.目前，大多網絡系統(tǒng)都使用了多種網絡安全管理工具，如入侵檢測系統(tǒng)（IDS）、防火墻、網絡掃描器等實時檢測安全威脅和漏洞，但它們只能產生報警信息，管理人員無法獲知網絡攻擊的威脅程度和相關的安全信息，由此做出相應決策的難度較大.因此，研究一套科學可行的網絡系統(tǒng)安全風險評估方法顯得尤為重要.

網絡系統(tǒng)涉及眾多的分系統(tǒng)，對網絡信息系統(tǒng)的安全風險評估問題可歸結為多對象的單一系統(tǒng)安全風險評估問題.它通過對各分系統(tǒng)資產的脆弱性和所面臨威脅的分析，評估安全事件發(fā)生的可能性和后果，得出各分系統(tǒng)的安全風險大小，是風險評估理論在網絡信息系統(tǒng)領域的延伸［1］.

傳統(tǒng)的風險評估方法有多種［2－3］，分為兩類：（1）基于多元統(tǒng)計的評估方法，它通常運用數量指標來對風險進行評估，比較典型的分析方法有因子分析法、聚類分析法、時序模型、回歸模型、風險圖法等；（2）基于知識與決策技術的評估方法，它主要依據評估者的知識、經驗，借鑒于推理及非量化資料等對安全風險狀況做出判斷的過程，典型方法有主因素分析法、邏輯分析法、群決策方法等.此外，一些學者將模糊數學、灰色理論、神經網絡等應用到信息系統(tǒng)安全評估中［4－8］，亦取得了大量的研究成果.

然而，對于網絡系統(tǒng)評估中眾多分系統(tǒng)評估問題，目前大多采用單個分系統(tǒng)逐一評估的方法，費時費力.針對上述問題，提出了一種基于評估對象和評估基準之間廣義權距離［9］的面向多對象的網絡系統(tǒng)安全風險的評估方法.在充分分析系統(tǒng)安全性因素的基礎上，建立了網絡信息系統(tǒng)安全風險評估模型，并對資產、威脅性及脆弱性指標進行了標準化賦值；通過構造問題的拉格朗日函數，求解系統(tǒng)的安全狀態(tài)矩陣，進而確定各分系統(tǒng)所處的安全風險等級.

1 網絡信息系統(tǒng)安全性分析

安全性分析在網絡系統(tǒng)風險評估中起著重要的作用，貫穿于整個風險評估流程.它通過對被評估系統(tǒng)資產、面臨的威脅、脆弱點、安全措施等進行有針對性和科學的分析，進一步確立系統(tǒng)風險等級，生成科學、有效的風險評估報告［10］.

網絡信息系統(tǒng)的安全性由各分系統(tǒng)的安全性決定，該模型是建立在安全風險評估方程：風險＝資產×威脅×脆弱性［11］理論的基礎之上的，即各分系統(tǒng)的安全性由資產、威脅性、脆弱性3項指標的安全性決定，其評估模型見圖1.

圖1 網絡化信息系統(tǒng)安全風險評估模型

其中，資產評估模塊負責對每個分系統(tǒng)節(jié)點的資源進行評估，確定它們相對于網絡的資產值.資產評估的過程也就是對資產機密性、完整性和可用性影響分析的過程，影響就是由人為或突發(fā)性引起的安全事件對資產破壞的后果.可以通過機密性、完整性和可用性3個因素來衡量資產價值，對資產進行賦值.

威脅評估模塊負責對節(jié)點當前所面臨的外在攻擊進行檢測威脅評估，然后利用量化模型計算出節(jié)點的威脅指數.即威脅評估模塊負責評估確定威脅發(fā)生的可能性，它受下列4個因素影響：資產的吸引力、資產轉化成報酬的難易程度、威脅的技術力量、威脅被利用的難易程度.

脆弱性評估模塊是為網絡中分系統(tǒng)各節(jié)點進行漏洞掃描，獲得的漏洞信息通過量化模型轉換成節(jié)點的脆弱性指數.脆弱性主要從技術和管理兩方面進行評估，涉及物理層、網絡層、系統(tǒng)層、應用層和管理層等各個層面的安全問題，也就是說，脆弱性指標應綜合考慮物理安全、網絡安全、系統(tǒng)安全、應用安全和管理安全等五項指標.

本文對各指標均采用定性的相對等級的方式直接賦值，資產、威脅性、脆弱性數據［12－13］均認為是標準化等級，見表1～3.

通過評估，模型最終將輸出風險等級列表，以此指導安全管理員實施安全決策.

表1 資產賦值

表2 威脅性賦值

表3 脆弱性賦值

2 面向多對象的評估方法

設網絡系統(tǒng)中n個分系統(tǒng)組成的評估對象集為T＝｛t1，t2，…，tn｝.各分系統(tǒng)所對應的指標集S＝｛s1，s2，…，sm｝，則分系統(tǒng)用指標特征向量可表示為

進而描述待評估的n個分系統(tǒng)的指標特征矩陣為

式中：rij為對象j的第i個評估指標的大小.

又設評估分系統(tǒng)的安全等級為r級，組成的等級集為L＝｛l1，l2，…，lr｝，則每一等級可用各指標的標準值組成的向量表示，等級k可表示為

這些向量可組成的標準等級矩陣為

式（4）中每一等級中各分系統(tǒng)的標準數據可由專家經驗給出.則各評估分系統(tǒng)j的大小和等級k之間的差異可用以下廣義距離表示

式中：p為廣義距離參數.

式（5）給出的是各指標重要程度相同的情形，但不同指標的影響程度是不同的，設對象j的各指標權重系數組成向量為Wj的權重集合.假設所有分系統(tǒng)狀態(tài)評估得到的矩陣為U

式中：μkj為j屬于k的隸屬度值，0≤μkj≤1，為更加完善地描述j的狀態(tài)和等級k間的差異，將廣義權距離乘以j的狀態(tài)歸屬于等級k的隸屬度μkj，即d（rj，sk）稱為j與k之間的加權廣義權距離.

為求解矩陣U，建立目標函數［14］，使評估分系統(tǒng)對于所有等級加權廣義權距離平方和最小.

根據目標函數和等式約束構造Lagrange函數為

故由式（2）、（4）、（6）和式（16）可求解式（8），再依據最大隸屬度原則判斷出各分系統(tǒng)的安全風險等級，由此確定整個網絡系統(tǒng)的安全風險等級.

3 算例分析

為評估某網絡系統(tǒng)的安全狀態(tài)，依據前面分析給出的安全風險模型，運用基于廣義權距離的評估方法對其進行評估.該網絡系統(tǒng)由服務器、個人計算機、網絡設備（含傳輸介質）、輸入／輸出設備、計算機操作系統(tǒng)和通用應用軟件平臺等6個分系統(tǒng)組成.

首先，設五種安全等級標準數據組成的安全等級標準矩陣S.其中，行分別對應的是資產、威脅性、脆弱性指標｛index1，index2，index3｝，列對應的依次是低、較低、中等、較高、高5個安全風險等級｛I，II，…，V｝.

其次，綜合分析實測數據，建立被評估的6個分系統(tǒng)的當前技術狀態(tài)的指標矩陣R.

S和R分別為

再次，依專家經驗，給出指標權重為

Wj＝ （0.4，0.3，0.3）T，j＝1，2，…，6

然后，取廣義距離參數p＝2，m＝3，由式（16）得

最后，依據最大隸屬度原則和U中的數據，可知6個分系統(tǒng)安全狀況分別隸屬的安全等級如下：

服務器：IV級（隸屬度為0.398 8）；

個人計算機：II級（隸屬度為0.377 2）；

網絡設備：I級（隸屬度為0.459 0）；

輸入／輸出設備：IV級（隸屬度為0.536 3）；

計算機操作系統(tǒng)：II級（隸屬度為0.476 8）；

通用應用軟件平臺：IV級（隸屬度為0.455 3）.

由上述風險評估結果可以看出，由于服務器、輸入／輸出設備及通用應用軟件平臺3個分系統(tǒng)的風險等級為IV，即處于較高風險狀態(tài)，網絡安全管理人員必須（或某一時限內）采取相應措施降低其網絡系統(tǒng)安全風險.

4 結束語

基于評估因素與基準之間的廣義權距離，建立了一種新的網絡化信息系統(tǒng)安全風險評估模型.算例分析看出，比起傳統(tǒng)單個系統(tǒng)逐一進行評估，該方法同時對多分系統(tǒng)各指標的安全狀態(tài)進行有效評估，更簡便快捷.此外，該方法亦可用于處理各指標值不是通過標準等級賦值，而是通過其他方式求得的量綱不統(tǒng)一的情形，只需對所采集數據先進行標準化處理.

不可避免的是，此方法在一定程度上依賴于評估者的經驗，如指標的標準數據來源存在一定的主觀性.因此，下一步將考慮從IDS、網絡管理系統(tǒng)、掃描系統(tǒng)以及其他方式作為信息收集的來源，結合安全風險概率預測及量化評估技術等方面研究如何減少評估中的主觀因素，提高網絡信息系統(tǒng)安全評估的準確性和有效性.

［1］李鶴田，劉 云，何德全.信息系統(tǒng)安全風險評估研究綜述［J］.中國安全科學學報，2006，16（1）：108－113.

［2］吳曉平，付 鈺，秦艷琳.信息安全風險評估研究［J］.哈爾濱工業(yè)大學學報，2006，38（增刊）：611－614.

［3］吳曉平，汪 玉.艦船裝備系統(tǒng)綜合評估的理論與方法［M］.北京：科學出版社，2007.

［4］陳守煜.工程模糊集理論與應用［M］.北京：國防工業(yè)出版社，1998.

［5］劉 萍，劉曼華.灰色理論在信息安全評估模型中的應用［J］.微計算機信息，2006，22（12－3）：95－96.

［6］劉 芳，戴 葵，王志英.基于模糊數算術運算的信息系統(tǒng)安全性定量評估技術研究［J］.模糊系統(tǒng)與數學，2004，18（4）：122－126.

［7］趙冬梅，劉海峰，劉晨光.基于BP神經網絡的信息安全評估［J］.計算機工程與應用，2007，43（1）：139－141.

［8］ How S S，Tom R，Wang Jin.A fuzzy－logic－based approach qualitative safety modeling for marine systems［J］.European Journal of Operational Research，2001，73（1）：19－34.

［9］葉 清，吳曉平，白春杰.一種系統(tǒng)狀態(tài)評估方法及其應用［J］.武漢理工大學學報，2006，28（5）：108－112.

［10］段金利，張岐山.基于BP神經網絡和專家系統(tǒng)的信息系統(tǒng)風險評估方法研究［J］.現代管理科學，2006（7）：21－22.

［11］Chaum D.Blind signature for untraceable payments［C］／／LNCS：Advances in Cryptology Crypto′82，1982：199－203.

［12］史 亮，莊 毅.一種定量的網絡安全風險評估系統(tǒng)模型［J］.計算機工程與應用，2007，43（18）：146－149.

［13］范 紅，馮登國，吳亞非.信息安全風險評估方法與應用［M］.北京：清華大學出版社，2006.

［14］ Danielson M.Generalized evaluation in decision analysis［J］.European Journal of Operational Research，2005，162（7）：442－449.