彭 武，韋 濤，王冬海

（1.中國電子科技集團公司電子科學研究院，北京 100041；2.北京聯(lián)海信息系統(tǒng)有限公司，北京 100041）

基礎理論

基于關聯(lián)分析的關鍵信息系統(tǒng)生存能力評估方法

彭 武1，2，韋 濤1，王冬海1，2

（1.中國電子科技集團公司電子科學研究院，北京 100041；2.北京聯(lián)海信息系統(tǒng)有限公司，北京 100041）

評估關鍵信息系統(tǒng)的生存能力是大幅提升我國安全防御能力的重要舉措。針對關鍵信息系統(tǒng)，提出了一種基于關聯(lián)分析的生存能力評估方法，通過綜合分析系統(tǒng)面臨的威脅、抵抗能力、恢復能力等因素之間的內在聯(lián)系，量化系統(tǒng)的生存能力，為發(fā)現(xiàn)系統(tǒng)短板與安全管理決策提供依據(jù)和指導。實驗證明了本文方法的有效性和可行性。

生存能力；評估；關鍵信息系統(tǒng)；關聯(lián)分析

0 引 言

生存能力是關鍵信息系統(tǒng)在攻防對抗環(huán)境下遭到網(wǎng)絡攻擊或其他突發(fā)事件時維持其自身穩(wěn)定性、可用性、保密性和完整性的能力。關鍵信息系統(tǒng)是保障電力、電信、金融、國家機關等國家重要領域基礎業(yè)務正常開展的信息系統(tǒng)，其穩(wěn)定持續(xù)運行關乎國家安全、社會穩(wěn)定。當前，針對我國關鍵信息系統(tǒng)的網(wǎng)絡攻擊難以避免，采用傳統(tǒng)的網(wǎng)絡安全防御設計和措施可能導致信息系統(tǒng)在網(wǎng)絡攻擊下性能嚴重下降甚至功能完全喪失，難以完全滿足關鍵信息系統(tǒng)對穩(wěn)定性、可用性方面的要求。因此，提高我國關鍵信息系統(tǒng)的生存能力，在各種網(wǎng)絡攻擊下，能夠保證核心功能和基本性能，支撐核心業(yè)務的開展對維護國家信息安全具有重要的意義。

目前，美國、日本、俄羅斯、歐盟等國家和地區(qū)積極開展網(wǎng)絡空間行動戰(zhàn)略，在組建網(wǎng)絡作戰(zhàn)部隊的同時積極部署國家安全戰(zhàn)略，開展容災備份、主動防御等關鍵技術研究，加強各自關鍵信息系統(tǒng)的保護，并發(fā)布相應的政策、法令［1，2］。我國對關鍵信息系統(tǒng)尚沒有統(tǒng)一的、清晰的概念，但從信息系統(tǒng)承擔的作用角度出發(fā)，將維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統(tǒng)定義為關鍵信息系統(tǒng)，具體包括：國家事務處理信息系統(tǒng)、關系國計民生的信息系統(tǒng)、教育科研單位的信息系統(tǒng)、通信及廣播電視傳輸信息系統(tǒng)、企業(yè)重要信息系統(tǒng)等。據(jù)統(tǒng)計，我國各行業(yè)關鍵信息系統(tǒng)的數(shù)量已經超過十萬個。

然而，我國關鍵信息系統(tǒng)保障能力嚴重不足，難以有效抵御網(wǎng)絡攻擊。我國半數(shù)以上重要信息系統(tǒng)難以抵御一般性網(wǎng)絡攻擊，大多數(shù)部委門戶網(wǎng)站利用一般性攻擊工具即可獲取網(wǎng)站控制權。采用入侵檢測、防火墻、漏洞掃描等傳統(tǒng)的信息安全防護設備和手段難以滿足關鍵信息系統(tǒng)對可用性、穩(wěn)定性等方面的安全需求。因此，評估關鍵信息系統(tǒng)的生存能力，量化其抵抗攻擊或者在攻擊條件下保證基本功能和性能的能力，是發(fā)現(xiàn)關鍵信息系統(tǒng)的防御短板并提高系統(tǒng)抗毀頑存能力的基礎和前提。目前，國內外學者對信息系統(tǒng)生存能力方面的研究主要集中在網(wǎng)絡、軟件方面［3～5］，對整個信息系統(tǒng)特別是關鍵信息系統(tǒng)生存能力的分析與研究還遠遠不夠，有針對性的評估和量化方法還沒有出現(xiàn)，因此亟需開展相關研究，大幅提升對國家級、有組織網(wǎng)絡攻擊威脅的應對能力，構建關鍵信息系統(tǒng)的積極防御體系。

本研究針對關鍵信息系統(tǒng)，提出了一種基于關聯(lián)分析的生存能力評估方法，通過綜合分析系統(tǒng)面臨的威脅、抵抗能力、恢復能力等因素之間的內在聯(lián)系，量化系統(tǒng)的生存能力，為發(fā)現(xiàn)系統(tǒng)短板提升系統(tǒng)生存能力提供依據(jù)和指導。

1 關鍵信息系統(tǒng)可生存性評估框架

關鍵信息系統(tǒng)由應用服務器、存儲、網(wǎng)絡和終端等設備組成，對外提供網(wǎng)絡訪問、WEB服務、數(shù)據(jù)訪問等多種服務，在遭受在外部威脅時，必須明確系統(tǒng)的生存能力需求，優(yōu)先保證核心服務的最低提供能力。關鍵信息系統(tǒng)生存能力的評估需要根據(jù)具體環(huán)境綜合考慮對生存能力的需求、面臨的威脅及采用的增強措施，給出綜合評價指數(shù)，指出短板和不足，為安全管理員的決策提供支持和依據(jù)。

定義1：關鍵信息系統(tǒng)生存能力需求（R）。關鍵信息系統(tǒng)在遭受攻擊、突發(fā)事件等威脅下，還必須向用戶提供的基本服務，如WEB服務的可用性、EMAIL服務的可用性、重要數(shù)據(jù)的完整性等。

定義2：威脅（T）。可能降低關鍵信息系統(tǒng)生存能力的事件，如黑客攻擊、自然災害、停電事故等。

定義3：生存能力增強措施（L）。關鍵信息系統(tǒng)為了提高系統(tǒng)的可靠性和安全性，往往采用一定的措施提高生存能力，包括抵抗網(wǎng)絡攻擊事件的能力和系統(tǒng)遭受突發(fā)事件后恢復主要功能的能力。

定義4：抵抗能力（D）。關鍵信息系統(tǒng)遭受攻擊的時候，抵抗和承受攻擊的能力。

定義5：恢復能力（H）。關鍵信息系統(tǒng)在功能受損后在允許的時間間隔內恢復必要服務、條件允許時恢復所有服務的能力。恢復能力描述了系統(tǒng)的自我修復能力和自適應能力。

定義6：生存能力指數(shù)（S）。生存能力指數(shù)是系統(tǒng)生存能力的量化指標，從一定程度刻畫系統(tǒng)的生存能力。

關鍵信息系統(tǒng)的生存能力評估框架如圖1所示。從系統(tǒng)的需求出發(fā)，分析系統(tǒng)對外提供的基本服務，生成需求列表。威脅是生存能力降低的因素，生存能力增強措施是應對威脅提升生存能力的手段。根據(jù)需求，綜合考慮威脅、增強措施整體評價和量化系統(tǒng)的生存能力。

圖1 關鍵信息系統(tǒng)生存能力評估框架

關鍵信息系統(tǒng)的生存能力與需求、面臨的威脅和增強措施相關，生存能力指數(shù)是隨時間動態(tài)變化，如式（1）所示，其中，t為時間。

2 關鍵信息系統(tǒng)生存能力評估算法

2.1 各個指標量化方法

2.1.1 威脅

關鍵信息系統(tǒng)面臨的威脅是多種多樣的。按照威脅的來源，可以將威脅分為以下三個方面：（1）物理環(huán)境威脅，具體包括各種自然災害，如水、火、雷、電、風暴、蟲害、海嘯和地震等導致通信線路、物理設備、機房、運行環(huán)境、電源等的破壞。（2）管理與技術上的漏洞威脅。安全管理、策略配置、軟件設計開發(fā)、運維管理等過程中存在漏洞，導致系統(tǒng)面臨生存能力降低的威脅。（3）網(wǎng)絡攻擊是信息系統(tǒng)面臨的主要威脅，也是本研究關注的重點，具體包括計算機病毒、黑客入侵和拒絕服務攻擊等。

對于關鍵信息系統(tǒng)，網(wǎng)絡攻擊威脅根據(jù)破壞成度不同可分為一般、重要、嚴重等級別。一般威脅是單個或多個黑客的單點攻擊，有時也能造成嚴重后果，但大多數(shù)情況下攻擊點作用有限，而且往往攻擊的是標準化網(wǎng)絡和系統(tǒng)。重要威脅是有組織、分布式的協(xié)同攻擊。攻擊者之間配合緊密，難于對付，能夠攻擊一些專用網(wǎng)絡。嚴重威脅是國家或地區(qū)之間通過信息戰(zhàn)的方式破壞對方信息系統(tǒng)。

Pr（Ri，Tj）是威脅Tj針對某關鍵信息系統(tǒng)生存能力需求Ri的發(fā)生概率，通過歷史統(tǒng)計數(shù)據(jù)或同類信息系統(tǒng)的統(tǒng)計數(shù)據(jù)獲取。例如，根據(jù)統(tǒng)計數(shù)據(jù)，某WEB服務器的可用性面臨拒絕服務攻擊的概率為0.01，其面臨地震破壞的概率為0.000 1。

2.1.2 抵抗能力

信息系統(tǒng)一般都會采用安全措施來抵御攻擊，因此都具備一定的抵抗能力。抵抗能力通過防火墻、入侵響應系統(tǒng)、認證和加密等設備或手段來實施。不同的生存能力需求對于不同的威脅所具備的抵抗能力有所不同，如式（2）所示。

式中，δ∈（0，1），根據(jù)威脅Tj發(fā)生后對某關鍵信息系統(tǒng)生存能力需求Ri的破壞程度量化獲得，如式（3）所示；C（Ri）代表需求Ri的能力；C＃（Ri，Tj）代表威脅Tj發(fā)生后Ri還具備的能力。

2.1.3 恢復能力

信息系統(tǒng)恢復能力可由恢復該服務所需時間或在一定時間內服務的恢復程度來量化。如式（4）所示，在要求時間內，生存能力需求Ri沒有任何恢復，則Hij為0；若完全恢復，則Hij為1；若部分恢復，則Hij由式（4）計算為

式中，η∈（0，1）。

式中，Time代表生存能力需求Ri所期望的恢復時間；Time_min代表生存能力需求Ri在真實情況下完全恢復的最小時間；Cap*代表生存能力需求Ri在一定時間內恢復的能力；Cap代表生存能力需求Ri期望恢復的全部能力。

2.2 生存能力量化算法

生存能力需求Ri在威脅Tj下的生存能力Sij由威脅Tj的發(fā)生概率、Ri對威脅Tj的抵抗能力、Ri恢復能力等共同決定，其量化方法如式（6）所示。

式（6）中，當?shù)挚鼓芰?時，則說明系統(tǒng)能夠完全阻擋住攻擊，生存能力與恢復能力無關。當?shù)挚鼓芰?時，則Dij⊕Hij與恢復能力成正比；當?shù)謸跄芰υ?與1之間時，則Dij⊕Hij由抵抗能力與恢復能力綜合計算，為

生存能力需求Ri可能面臨一系列威脅，其量化方法如式（8）所示，式中Pr*（Ri，Tj）代表針對Ri的威脅中Tj發(fā)生概率所占的比重。

關鍵信息系統(tǒng)的生存能力是系統(tǒng)內多個生存能力需求的總和，如式（9）所示，其中ωi是生存能力需求Ri在系統(tǒng)中所占的權重。

3 實 驗

3.1 實驗環(huán)境

為了驗證本研究方法的有效性與可行性，搭建的實驗環(huán)境如圖2所示。關鍵信息系統(tǒng)包括郵件服務器、WEB服務器和數(shù)據(jù)庫服務器，通過防火墻與Internet連接，對外提供服務。

圖2 實驗網(wǎng)絡拓撲結構

在關鍵信息系統(tǒng)中，生存能力需求及期望恢復時間見表1。

表1 實驗環(huán)境信息

針對具體的網(wǎng)絡環(huán)境以及生存能力需求，通過物理環(huán)境檢查、風險評估以及漏洞掃描列舉出所面臨的威脅，根據(jù)歷史統(tǒng)計數(shù)據(jù)或者相似系統(tǒng)的統(tǒng)計數(shù)據(jù)計算出該威脅發(fā)生的概率。針對生存能力需求和威脅，根據(jù)實際事件響應時間，統(tǒng)計系統(tǒng)恢復最小時間。具體數(shù)據(jù)見表2。

表2 實驗數(shù)據(jù)

3.2 實驗結果與分析

應用本研究方法，計算不同生存能力需求在不同威脅下的生存能力指數(shù)，結果如圖3所示。橫軸代表不同的威脅，縱軸代表生存能力需求Ri在威脅Tj下的生存能力指數(shù)。從圖3可以看出，威脅T2、T3、T7對生存能力需求R1、R2、R3等影響較大，這是因為這些威脅發(fā)生概率較大、系統(tǒng)對威脅的抵抗能力較弱且恢復能力較差。威脅T1、T5、T6、T8對生存能力需求R1、R2、R3、R4等影響較小，這是因為這些威脅發(fā)生概率小、系統(tǒng)對威脅的抵抗能力較強且恢復能力較強。結果與邏輯相符，說明該算法具有一定的科學性和有效性。

圖3 生存能力需求在不同威脅下的生存能力指數(shù)

根據(jù)式（8），生存能力需求R1、R2、R3、R4的生存能力指數(shù)計算結果如圖4所示。從圖中可以看出，R4生存能力較強，R2生存能力較弱，這是因為R2面臨的主要威脅T3對R2的生存能力影響較大，而R4面臨的威脅較小，這也與邏輯相符。

圖4 不同生存能力需求的生存能力指數(shù)

根據(jù)式（9），計算得到整個關鍵信息系統(tǒng)的生存能力指數(shù)為0.865 4。通過計算多個關鍵信息系統(tǒng)的生存能力指數(shù)或者計算某個關鍵信息系統(tǒng)在不同時刻的生存能力指數(shù)，就可以分析生存能力態(tài)勢變化，對安全策略和防范措施制定提供依據(jù)和指導。

4 結 語

針對關鍵信息系統(tǒng)，列舉系統(tǒng)面臨的威脅，通過分析系統(tǒng)的威脅發(fā)生概率、系統(tǒng)抵抗攻擊能力、系統(tǒng)恢復能力之間的關聯(lián)關系，量化關鍵信息系統(tǒng)的生存能力指數(shù)，反映了系統(tǒng)在各種威脅作用下持續(xù)提供服務的能力，對于客觀分析系統(tǒng)安全短板、科學制定安全策略及提高關鍵信息系統(tǒng)的生存能力來說具有重要的意義。

然而，生存能力的評價與很多因素相關，而且威脅、抵抗能力、恢復能力均與時間相關，如何梳理生存能力內在因素之間復雜的關聯(lián)關系，以及隨時間的動態(tài)關系需要進一步的研究和探索。

［1］美國提高關鍵基礎設施網(wǎng)絡安全的行政命令［R］.美國白宮.2013.

［2］歐盟網(wǎng)絡安全戰(zhàn)略——一個公開、安全可靠的網(wǎng)絡空間［Z］.歐盟委員會.2013.

［3］HEEGAARD PE，TRIVEDIK S..Network Survivabili+ ty Modeling［J］.Computer Networks 53（2009）：1215+ 1234.

［4］侯雨橋，等.基于調用結構的軟件可生存性評估方法［J］.中南大學學報，2013（44）：443+448.

［5］盧山.網(wǎng)絡生存性評估模型的仿真分析［J］.計算機仿真，2013（30）：270+273.

彭 武（1979—），男，湖北省宜昌市人，博士／高工，主要研究領域為信息安全；

E+mail：pw_bit＠126.com

韋 濤（1989—），男，碩士學位，主要研究領域為網(wǎng)絡安全；

王冬海（1967—），男，研究員，主要研究領域為信息安全。

A Critical Information System Survivability Assessment M ethod Based on Correlation Analysis

PENGWu1，2，WEITao1，WANG Dong+hai1，2
（1.Academy of Electronics and Information Technology，China Electronics Technology Group Corporation，Beijing 100041，China；2.Beijing Lianhai Information System Company Limited，Beijing 100041，China）

Assessing survivability of critical information system is one of themost importantapproaches to strengthen national network defense.A survivability assessmentmethod is presented for critical informa+ tion system.By analyzing the correlation relationship of threat，defensive ability and recovery ability，the survivability of system is qualified to find out drawbacks and provide security administration decision.At last，experiments are done to prove the validity and feasibility of thismethod.

survivability；assessment；critical information system；correlation analysis

TP393.08

：A

：1673+5692（2014）06+598+05

10.3969／j.issn.1673+5692.2014.06.009

2014+09+28

2014+11+09

國防基礎科研計劃（A0420110006，B1120132031）