汪 玲（甘肅政法學(xué)院信息工程學(xué)院，甘肅 蘭州 730070）

1 問題的提出

對于網(wǎng)絡(luò)系統(tǒng)，由于某階段的環(huán)境影響及技術(shù)條件的限制，加之網(wǎng)絡(luò)系統(tǒng)自身也存在著各種不足和安全漏洞，不法分子利用網(wǎng)絡(luò)的開放性和脆弱性進(jìn)行惡意攻擊，從而對網(wǎng)絡(luò)系統(tǒng)構(gòu)成了一定的威脅，系統(tǒng)存在一定的風(fēng)險(xiǎn)。要對一個系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行全面的了解和掌握，首先應(yīng)對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估和分析，目的是了解系統(tǒng)目前與未來的風(fēng)險(xiǎn)所在，評估這些風(fēng)險(xiǎn)可能帶來的安全威脅與影響程度，并盡可能地對未來一段時間可能遭受的攻擊行為進(jìn)行預(yù)測，從而為安全策略的確定、信息系統(tǒng)的建立及安全運(yùn)行提供依據(jù)。

2 評估信息獲取的原則和評估方法

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估是一個復(fù)雜的過程[1-2]，涉及系統(tǒng)中的物理環(huán)境、管理體系、主機(jī)安全、網(wǎng)絡(luò)安全和應(yīng)急體系等方面，要在這么廣泛的范圍內(nèi)對一個復(fù)雜的系統(tǒng)進(jìn)行一個全面的風(fēng)險(xiǎn)評估，就需要對系統(tǒng)的方方面面非常地了解，對系統(tǒng)構(gòu)架和運(yùn)行模式有一個清醒的認(rèn)識。要做到這一點(diǎn)，就需要進(jìn)行廣泛的調(diào)研和實(shí)踐調(diào)查，深入系統(tǒng)內(nèi)部，運(yùn)用多種科學(xué)手段來獲得信息。

2.1 評估信息獲取原則

在網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)評估和分析中信息的獲取有別于信息傳輸中信息的獲取，它主要針對的是風(fēng)險(xiǎn)評估和分析過程中所需要的各種信息。風(fēng)險(xiǎn)評估中相關(guān)信息的獲取是保證風(fēng)險(xiǎn)評估正確性和準(zhǔn)確性的基礎(chǔ)和前提。信息獲取的準(zhǔn)確性將直接關(guān)系到整個風(fēng)險(xiǎn)評估工作和安全信息管理工作的質(zhì)量。為了保證所獲取的信息的質(zhì)量，應(yīng)堅(jiān)持以下原則：準(zhǔn)確性原則、全面性原則和時效性原則。

2.2 評估方法

網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)評估方法[3-4]的選擇至關(guān)重要，它不僅影響到風(fēng)險(xiǎn)評估的每個環(huán)節(jié)，甚至可以左右最終的評估結(jié)果，所以需要根據(jù)系統(tǒng)的具體情況，選擇合適的風(fēng)險(xiǎn)評估方法。風(fēng)險(xiǎn)評估的方法有很多種，概括起來可分為三大類：定量的風(fēng)險(xiǎn)評估方法，定性的風(fēng)險(xiǎn)評估方法，定量與定性相結(jié)合的風(fēng)險(xiǎn)評估方法。

通過上面的分析，人們重新思考數(shù)量方法在社會科學(xué)中的作用，特別是對于決策問題，如何既考慮數(shù)學(xué)分析的精確性，又考慮人類決策思維過程及思維規(guī)律？正是在這種背景下，產(chǎn)生了層次分析法。

3 層次分析法應(yīng)用

采用模糊數(shù)學(xué)中的層次權(quán)重分析法[5-6]對網(wǎng)絡(luò)系統(tǒng)所面臨的風(fēng)險(xiǎn)進(jìn)行研究與分析，能較好的解決評估的模糊性，也在一定程度上解決了從定性到定量的難題。國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估方面的研究[3-4]為本節(jié)內(nèi)容提供了許多有益的啟示。

3.1 建立模型

本文以一個企業(yè)網(wǎng)作為研究對象，把該系統(tǒng)遭受到攻擊后的結(jié)果作為目標(biāo)層(A層)，而將系統(tǒng)受到攻擊后的損失作為準(zhǔn)則層(B層)，系統(tǒng)面臨的主要攻擊作為方法層(C層)。假設(shè)該系統(tǒng)可能遭受的主要攻擊有：預(yù)探測攻擊、計(jì)算機(jī)病毒、分布式拒絕服務(wù)、木馬攻擊、自然災(zāi)害或意外事故、內(nèi)部泄密。預(yù)探測攻擊就是指在連續(xù)的非授權(quán)訪問嘗試過程中，攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息，通常使用這種攻擊嘗試。典型示例包括SATAN掃描、端口掃描以及IP半途掃描等。這種攻擊嚴(yán)重威脅到系統(tǒng)信息資源的機(jī)密性。

計(jì)算機(jī)病毒是計(jì)算機(jī)中的一段可執(zhí)行代碼，這些病毒感染到計(jì)算機(jī)的過程完全是被動的，一旦計(jì)算機(jī)感染上病毒，這些可執(zhí)行代碼可以自動執(zhí)行，破壞計(jì)算機(jī)系統(tǒng)，并直接威脅信息的完整性和可用性。

分布式拒絕服務(wù)是一種破壞性很強(qiáng)的攻擊，它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程、執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響用戶正常使用網(wǎng)絡(luò)信息，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)或不能得到相應(yīng)服務(wù)。

木馬攻擊是設(shè)計(jì)者故意創(chuàng)造出來的用來對系統(tǒng)進(jìn)行攻擊的一種工具，木馬的設(shè)計(jì)目標(biāo)是遠(yuǎn)程控制受害系統(tǒng)，因此，它的危害性遠(yuǎn)大于計(jì)算機(jī)病毒。

通過上述攻擊的不同表現(xiàn)，在文中把它們的危害用信息資產(chǎn)損失、網(wǎng)絡(luò)系統(tǒng)損害和企業(yè)形象損害三個方面來度量，可以得到系統(tǒng)風(fēng)險(xiǎn)分析的層次模型，如圖1所示。

圖1 系統(tǒng)風(fēng)險(xiǎn)分析的層次模型

3.2 層次分析法的應(yīng)用步驟

1）建立層次結(jié)構(gòu)圖，即把問題包含的因素劃分為目標(biāo)層、準(zhǔn)則層和方法層。建立結(jié)構(gòu)圖時，把目標(biāo)層列在最高層，把為實(shí)現(xiàn)總目標(biāo)所涉及的約束條件、評價準(zhǔn)則或策略列在中間層，把為實(shí)現(xiàn)總目標(biāo)所采取的重大措施列在最低層，凡上下層次因素之間有關(guān)系的因素用直線相連接，無關(guān)聯(lián)的因素之間不劃線。如圖 1所示。

2）構(gòu)造判斷矩陣。如果下一層次中的某些元素與上一層次中的某個元素有關(guān)聯(lián)，則在客觀上下一層次中的這些元素在上一層次那個元素中均占有一定的權(quán)重，判斷矩陣是通過各評價因素的兩兩比較確定的。

3）檢驗(yàn)判斷矩陣的相容性。即將判斷矩陣B劃為0-1矩陣B￠。方法為：將B中大于等于1的數(shù)在B￠中用1表示，B中小于1的數(shù)用0表示，只要滿足B￠?B￠?B￠即認(rèn)為判斷矩陣B有滿意的一致性（相容性好）。如果B的相容性好，則使用下面公式：

求權(quán)重向量近似值。其中bij為B中相應(yīng)元素。歸一化后的權(quán)重向量W為：

4）進(jìn)行層次單排序。利用歸一化的估計(jì)權(quán)重向量公式（2），對與上一層中某元素有關(guān)聯(lián)的本層次中的各個元素進(jìn)行排序。

5）進(jìn)行系統(tǒng)總排序。利用同一層次中所有單排序的結(jié)果，寫出單排序矩陣。因此，方法層C中各元素對目標(biāo)層A的總排序權(quán)值為，其中為準(zhǔn)則層B對目標(biāo)層A的單排序值的模糊矩陣，為C層次中的各個元素對B層次中相關(guān)元素的單排序值的模糊矩陣。

3.3 構(gòu)造各層判斷矩陣，評估風(fēng)險(xiǎn)

1）構(gòu)造目標(biāo)層—準(zhǔn)則層A-B的判斷矩陣：本文中將信息資產(chǎn)損失B1，網(wǎng)絡(luò)系統(tǒng)損壞B2和企業(yè)形象損害B3的重要性定為：信息資產(chǎn)＞企業(yè)形象損害＞系統(tǒng)損害。由此寫出判斷矩陣為：

可知A有滿意的一致性。根據(jù)公式（1），得出權(quán)重向量為（2.466,1,0.405）,將此權(quán)重向量用式(2)歸一化后得：=(0.637,0.258,0.105)。

2）同理根據(jù)方法層C對準(zhǔn)則層B中某一元素造成損害的程度輕重，求得準(zhǔn)則層—方法層的判斷矩陣B1-C，B2-C，B3-C。

通過判定，可知B1，B2，B3滿意性好，并求得三者的歸一化權(quán)重向量分別為：

C1=(0.109,0.184,0.045,0.536,0.060,0.067),

C2=(0.591,0.410),

C3=(0.080,0.152,0.057,0.208,0.463,0.040).

3）層次總排序

由上面計(jì)算可知,準(zhǔn)則層中的元素B1，B2，B3對方法層中各元素C1,C2,C3,C4,C5,C6的單排序值矩陣為：

因此，方法層中元素C1,C2,C3,C4,C5,C6對目標(biāo)層A的總排序權(quán)值為：

通過計(jì)算各種系統(tǒng)攻擊對該企業(yè)造成不良影響的相應(yīng)權(quán)重，我們可以得知,在該企業(yè)可能遭受的攻擊中,計(jì)算機(jī)病毒和木馬攻擊對該企業(yè)的危害性最為嚴(yán)重,因此,該企業(yè)可依據(jù)此結(jié)論制定出相應(yīng)的防范措施。

4 結(jié) 語

本文綜合考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的實(shí)際情況和傳統(tǒng)的風(fēng)險(xiǎn)評估方法，提出了基于層次分析法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估模型，并用該模型實(shí)現(xiàn)了某企業(yè)局域網(wǎng)的安全風(fēng)險(xiǎn)評估，取得了較滿意的評估效果。

所采用的層次分析法適用于大系統(tǒng)、多指標(biāo)且指標(biāo)之間互相影響的復(fù)雜問題，該方法在量化風(fēng)險(xiǎn)方面具有簡單、直觀的優(yōu)點(diǎn)。

[1]張宿新. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估技術(shù)研究與實(shí)現(xiàn)[D].東南大學(xué)，2008.

[2]謝玉嬌. 網(wǎng)絡(luò)安全防范體系及設(shè)計(jì)原理[J]. 黑龍江科技信息，2010(32)： 98-99.

[3]李忠儒. 網(wǎng)絡(luò)安全框架與機(jī)制的探討[J]. 中國教育信息化·高教職教,2007(7)： 64-65.

[4]吳濤，馬軍. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估方法的研究[J]. 東北師大學(xué)報(bào)(自然科學(xué)版)，2010,42(1)： 53-58.

[5]楊綸標(biāo)，高英儀. 模糊數(shù)學(xué)原理及應(yīng)用 [M]. 廣州：華南理工大學(xué)出版社，2005.

[6]張輝，高德利. 基于模糊數(shù)學(xué)和灰色理論的多層次綜合評價方法及其應(yīng)用[J]. 數(shù)學(xué)的實(shí)踐與認(rèn)識，2008,38(3)：1-6.