賀 挺，周維續(xù)，張 怡

（1. 水利部水利信息中心，北京 100053；2. 北京金水信息技術(shù)發(fā)展有限公司，北京 100053）

面向水利信息系統(tǒng)網(wǎng)絡(luò)安全性評價的設(shè)計方案

賀 挺1，周維續(xù)1，張 怡2

（1. 水利部水利信息中心，北京 100053；2. 北京金水信息技術(shù)發(fā)展有限公司，北京 100053）

為了綜合評價水利業(yè)務(wù)系統(tǒng)的安全性，提出一種針對業(yè)務(wù)系統(tǒng)的安全性綜合評價方案，該方案首先對系統(tǒng)健康度評價指標(biāo)進(jìn)行層級分類，其次應(yīng)用層次分析法（AHP）獲取各個指標(biāo)在總評價體系中的權(quán)重，最后應(yīng)用集對分析法（SPA），按照信息系統(tǒng)安全等級標(biāo)準(zhǔn)獲取業(yè)務(wù)系統(tǒng)在當(dāng)前時刻的安全等級值。與傳統(tǒng)的加權(quán)平均等方法相比，可以預(yù)見，該方案可量化業(yè)務(wù)系統(tǒng)在安全與不安全之間的模糊部分，提供更加綜合性的評價結(jié)果，為系統(tǒng)運維人員提供更加準(zhǔn)確的依據(jù)。

水利信息系統(tǒng)；網(wǎng)絡(luò)安全；安全性評價；評價方案；AHP 法；SPA 法

0 引言

隨著社會的發(fā)展，水利行業(yè)建立起相關(guān)的業(yè)務(wù)信息系統(tǒng)。近年來，業(yè)務(wù)范圍的擴展也使這些信息系統(tǒng)面臨著網(wǎng)絡(luò)風(fēng)險、脆弱性和不穩(wěn)定性等問題。因此，針對業(yè)務(wù)系統(tǒng)的水利信息安全管理平臺也相應(yīng)地建立起來[1-4]，這些安全管理系統(tǒng)一般融合了各類安全技術(shù)，例如入侵檢測，惡意代碼分析，漏洞掃描，威脅事件告警等。建立水利信息安全管理平臺的主要目的之一在于對業(yè)務(wù)信息系統(tǒng)進(jìn)行合理的網(wǎng)絡(luò)安全評估，然后根據(jù)安全評估的結(jié)果，制定合適的安全策略和措施，提升業(yè)務(wù)信息系統(tǒng)運行的安全性和穩(wěn)定性。

當(dāng)前針對網(wǎng)絡(luò)安全評估主要有基于事件樹分析法、專家打分法、判別分析法等傳統(tǒng)評估模型[5-6]。近年來，神經(jīng)網(wǎng)絡(luò)、支持向量機（SVM）、馬爾科夫鏈、DS 融合等數(shù)據(jù)挖掘方法也被引入網(wǎng)絡(luò)安全評估領(lǐng)域，對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行較準(zhǔn)確評估，并取得了良好的應(yīng)用效果[7-8]。然而信息系統(tǒng)的安全指標(biāo)在不同的狀態(tài)轉(zhuǎn)換過程中存在諸多不確定性，這些不確定性有不同程度的表現(xiàn)，并在一定條件下存在互轉(zhuǎn)現(xiàn)象，影響了系統(tǒng)安全。如何有效地量化系統(tǒng)安全指標(biāo)在不同狀態(tài)之間轉(zhuǎn)換的不確定性已成為當(dāng)前信息系統(tǒng)網(wǎng)絡(luò)安全評估關(guān)注的重點，針對這個問題，以水利信息安全管理平臺（以下簡稱安管平臺）為例，設(shè)計了一個基于層次和集對等分析法的信息系統(tǒng)安全性評價方案。首先，根據(jù)網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)，對安管平臺現(xiàn)有安全指標(biāo)進(jìn)行層次劃分，采用層次分析法（AHP）對各層各指標(biāo)賦予相應(yīng)的權(quán)重；然后，根據(jù)網(wǎng)絡(luò)安全等級定義標(biāo)準(zhǔn)，采用集對分析法（SPA）對各指標(biāo)所處的安全等級狀態(tài)進(jìn)行量化，并評估安全指標(biāo)從一個狀態(tài)向另一狀態(tài)轉(zhuǎn)換的趨勢和可能性。

1 安管平臺及相關(guān)方法介紹

1.1 安管平臺

國家防汛抗旱指揮系統(tǒng)二期工程網(wǎng)絡(luò)安全系統(tǒng)建設(shè)內(nèi)容包括安全認(rèn)證系統(tǒng)，安全管理平臺，流域機構(gòu)業(yè)務(wù)應(yīng)用系統(tǒng)和骨干網(wǎng)的等級保護(hù)改造，安全管理建設(shè) 5 個方面[9]。根據(jù)工程建設(shè)要求，安管平臺按部、省兩級節(jié)點部署，采用內(nèi)部級聯(lián)，部級平臺為水利行業(yè)提供策略制訂和管理、事件監(jiān)控、響應(yīng)支持等后臺運行服務(wù)，于 2016年 10月正式上線。安管平臺是以業(yè)務(wù)信息系統(tǒng)為核心，以用戶體驗為指引，從監(jiān)控、審計、風(fēng)險、運維 4 個維度建立起來的一套可度量的統(tǒng)一業(yè)務(wù)支撐平臺。安管平臺能夠?qū)W(wǎng)絡(luò)、安全等設(shè)備，系統(tǒng)、主機操作系統(tǒng)、數(shù)據(jù)庫，以及各種應(yīng)用系統(tǒng)的運行狀態(tài)進(jìn)行監(jiān)控；同時可以對安全設(shè)備的日志、事件、告警等安全信息進(jìn)行全面的管理和審計，對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析與展現(xiàn)。安管平臺主要包括：資產(chǎn)管理、事件管理、風(fēng)險評估、預(yù)警告警、威脅態(tài)勢、合規(guī)管控、數(shù)據(jù)上報、特征庫、工單管理、性能監(jiān)控、業(yè)務(wù)視圖、安全策略、知識庫、用戶管理、界面展示、報表管理等功能模塊。安管平臺按照部、省級進(jìn)行設(shè)計和部署，其中，水利部一級總體架構(gòu)如圖1所示。

圖1 水利信息安全管理平臺總體架構(gòu)（部級）

1.2 層次分析法

網(wǎng)絡(luò)安全評估的原理：根據(jù)網(wǎng)絡(luò)安全事件發(fā)生的頻率、數(shù)量及網(wǎng)絡(luò)受威脅程度的不同，歸納建立網(wǎng)絡(luò)安全指標(biāo)體系，通過加權(quán)處理，將現(xiàn)存的網(wǎng)絡(luò)安全信息融合為一個能體現(xiàn)網(wǎng)絡(luò)運行狀況的安全值，然后依據(jù)歷史和當(dāng)前的網(wǎng)絡(luò)安全值對現(xiàn)行網(wǎng)絡(luò)安全進(jìn)行評估，對未來的網(wǎng)絡(luò)安全情況進(jìn)行預(yù)測。在信息系統(tǒng)安全評價過程中需要考慮各項安全指標(biāo)對系統(tǒng)影響的重要程度。指標(biāo)體系中的任意指標(biāo)與同一類別中的其他指標(biāo)相比，對系統(tǒng)的作用、地位和影響是不同的，需要根據(jù)每個指標(biāo)的重要性賦予不同的權(quán)重。權(quán)重反映了各個指標(biāo)對系統(tǒng)的重要性貢獻(xiàn)[10]。根據(jù)計算權(quán)重時原始數(shù)據(jù)的不同來源，確定指標(biāo)權(quán)重的方法一般可分為主觀和客觀 2 類賦值法 。主觀賦值法主要通過評估者根據(jù)經(jīng)驗主觀判斷得出，如主觀加權(quán)法、專家調(diào)查法、層次分析法、比較加權(quán)法、多元分析法、模糊分析法等；客觀賦值法所得到的權(quán)重值主要通過測評指標(biāo)在被測評過程中的實際數(shù)據(jù)得到，這類方法主要有均方差法、主成分分析法、熵值法、代表計算法等。

本研究在確定各安全指標(biāo)的權(quán)重過程中采用的是第 1 類方法，即主觀賦值法中的 AHP[11]。該方法能夠有效、系統(tǒng)地處理準(zhǔn)則問題，具體步驟如下：

第 1 步，建立比較矩陣，基于專家語義，對各評價指標(biāo)分別兩兩比較其對于準(zhǔn)則層的重要程度，進(jìn)而構(gòu)建指標(biāo)的比較矩陣，即

第 2 步，采用文獻(xiàn) [12] 的方法將 A 中列進(jìn)行歸一化處理，得到歸一化后的列，表達(dá)式為

第 3 步，對經(jīng)過列歸一化的 A 中各行元素求和，得到歸一化列的和表達(dá)式為

式中：n 為指標(biāo)的數(shù)量；ai,j為比較指標(biāo)重要程度的標(biāo)度值，定義一般遵循 1～9 標(biāo)度準(zhǔn)則，且 aj,i= 1/ai,j，ai,i= 1；i，j，k 代表指標(biāo)的數(shù)目。

1.3 集對分析

從現(xiàn)象上看，信息系統(tǒng)的安全狀態(tài)發(fā)展具有隨機性和偶然性的特點，安全評價因素和過程具有不確定性，系統(tǒng)的安全等級目前只能做到定性預(yù)測而無法達(dá)到精確的定量預(yù)測。事實上一個系統(tǒng)狀態(tài)的演化均存在內(nèi)在規(guī)律性和關(guān)聯(lián)性，信息系統(tǒng)的安全事件的變化和發(fā)展也存在一定的必然性和確定性。信息系統(tǒng)的安全等級可以根據(jù)系統(tǒng)在過去和現(xiàn)在的安全狀態(tài)對現(xiàn)在和未來的發(fā)展變化進(jìn)行評估，使維護(hù)人員盡早采取預(yù)防措施，同時掌握信息系統(tǒng)的安全變化情況，為系統(tǒng)安全管理，制定安全對策提供決策依據(jù)[13]。

為了量化系統(tǒng)在不同安全等級下的狀態(tài)值，另引入 SPA[14]。集對分析是處理系統(tǒng)確定性和不確定性相互作用的數(shù)學(xué)理論，是在多元聯(lián)系數(shù)的基礎(chǔ)上分析系統(tǒng)因素的確定性和不確定性，主要從同勢、異勢、反勢 3 個方面，研究兩事務(wù)的相互聯(lián)系、影響、制約的內(nèi)在關(guān)聯(lián)。集對分析基本理論可以表述為：對任意 2 個集合 P 和 S，由集合 P 和 S 組成集對 X，即 X = { P， S }。假設(shè)集對 X 包含 N 個元素，其中集對 X 中存在 R 個相同特征的元素為集合 P 和S 共有；存在 H 個元素在集合 P 和 S 上的關(guān)系不確定；存在 T（T = N - R - H）個元素在集合 P 和 S 上表征為對立關(guān)系。

假設(shè)：a = R/N，b = H/N，c = T/N，在集對分析理論中，a 表示相同度，b 為差異度，c 為對立度。在集對分析中，以 μ 表示 P 和 S 相同、相異和相反的程度，也稱為聯(lián)系度，則：

式中：u 和 v 分別表示不確定和相異的系數(shù)，在實際應(yīng)用中根據(jù)系統(tǒng)定義的安全等級劃分，可將 b×u 分為 b1×u1，b2×u2，…，bm×um，m 為安全等級中介于安全和不安全中間等級的數(shù)目。

2 面向安管平臺的網(wǎng)絡(luò)安全評估方案的構(gòu)建

基于 AHP 和 SPA 的信息系統(tǒng)安全綜合評估方法，首先需要根據(jù)信息系統(tǒng)現(xiàn)狀選取能反映系統(tǒng)性能和安全特性的關(guān)鍵指標(biāo)；然后應(yīng)用 AHP 法確定各個關(guān)鍵指標(biāo)的權(quán)重；最后應(yīng)用 SPA 法計算系統(tǒng)的聯(lián)系度達(dá)到評估水利信息系統(tǒng)安全性的目的。面向安管平臺的水利信息系統(tǒng)安全評估流程如圖2 所示。

圖2 水利信息系統(tǒng)安全性綜合評估流程圖

2.1 構(gòu)建水利信息系統(tǒng)安全評估關(guān)鍵指標(biāo)

建立水利信息系統(tǒng)安全評估關(guān)鍵指標(biāo)首先需要對信息系統(tǒng)安全影響因素進(jìn)行分析。網(wǎng)絡(luò)信息系統(tǒng)的安全需求是全方位的、整體的，相應(yīng)的網(wǎng)絡(luò)安全體系也是分層次的，在不同層次反映了不同的安全問題?；诰W(wǎng)絡(luò)的信息系統(tǒng)安全內(nèi)容十分廣泛，安全要求各不相同。在關(guān)鍵指標(biāo)的構(gòu)建過程中應(yīng)圍繞以下 6 個原則：

1）結(jié)合應(yīng)用實際并與國際管理接軌。參考國際標(biāo)準(zhǔn)規(guī)范，制定符合具體網(wǎng)絡(luò)、業(yè)務(wù)和應(yīng)用特點的評估指標(biāo)體系。

2）具有綜合性和全面性?？紤]的指標(biāo)必須反映信息系統(tǒng)安全性的各個方面。

3）便于計量且具有可操作性。指標(biāo)的含義明確，具備現(xiàn)實收集渠道，便于定量定性分析。

4）具有一定的獨立性。評估指標(biāo)應(yīng)可以獨立地評估信息系統(tǒng)的某項具體內(nèi)容，盡量不與其他指標(biāo)的內(nèi)涵交叉、重疊。

5）具有導(dǎo)向性。指標(biāo)應(yīng)能反映信息系統(tǒng)安全的客觀需求及監(jiān)管部門政策措施的落實。

6）具有可延續(xù)性。除選擇反映當(dāng)前現(xiàn)實的信息系統(tǒng)安全水平指標(biāo)外，還應(yīng)選擇能反映信息系統(tǒng)安全發(fā)展趨勢的指標(biāo)，以保證該指標(biāo)體系具有可持續(xù)性。

通過與行業(yè)內(nèi)負(fù)責(zé)網(wǎng)絡(luò)安全運維的專家們調(diào)研和對水利安管平臺的梳理，得到的能夠適用于系統(tǒng)安全評估的關(guān)鍵指標(biāo)集如圖3 所示。

圖3 水利信息系統(tǒng)安全性關(guān)鍵指標(biāo)集

2.2 構(gòu)建水利信息系統(tǒng)安全性評估過程

首先，針對水利信息系統(tǒng)安全評估關(guān)鍵性指標(biāo)，采用層次分析法處理的步驟確定指標(biāo)的權(quán)重向量 W = [ w1… w8]；其次，根據(jù)安全管理平臺中對水利信息系統(tǒng)安全程度的描述，系統(tǒng)的安全等級劃分為安全、輕微危險、一般危險、重要危險、嚴(yán)重危險。按照集對分析中聯(lián)系度公式的定義，水利信息系統(tǒng)的安全性可以用聯(lián)系度公式表達(dá)為

式中：a 表示相同度，在本評估過程中代表水利信息系統(tǒng)處于安全等級的程度；c 表示對立度，在本評估過程中代表水利信息系統(tǒng)處于嚴(yán)重危險等級的程度；b1，b2，b3表示差異度，在本評估過程中，分別表示信息系統(tǒng)處于輕微危險、一般危險、重要危險等級的程度，u1，u2，u3，v 分別代表輕微危險、一般危險、重要危險和嚴(yán)重危險的等級系數(shù)。最后，結(jié)合指標(biāo)權(quán)重向量 W 得到的水利信息系統(tǒng)的安全性評估值如下：

式中：W 為指標(biāo)的權(quán)重向量；B 為聯(lián)系度矩陣，表達(dá)式為

矩陣 B 的行數(shù)為指標(biāo)個數(shù)，B 中元素通過計算指標(biāo)對應(yīng)的每一安全等級下事件的數(shù)量與指標(biāo)對應(yīng)的事件總數(shù)量的比值得出。

3 方法驗證

為了驗證所提出方案的可行性，選取了 2017年4月 20日至 5月 20日之間安管平臺采集的網(wǎng)絡(luò)安全事件進(jìn)行驗證。在指標(biāo)權(quán)重確定的過程中，判斷矩陣 A 的確定采用文獻(xiàn) [15] 的方法，最終得到的指標(biāo)權(quán)重如表1 所示。

表1 水利信息系統(tǒng)評價指標(biāo)權(quán)重

對選取的安全事件按照指標(biāo)類型和安全等級進(jìn)行分類，限于篇幅和安管平臺數(shù)據(jù)采集周期的原因，只采用威脅類指數(shù)對應(yīng)的 6 個指標(biāo)進(jìn)行聯(lián)系度矩陣 B 的計算，最后按照公式（7），得到水利信息系統(tǒng)在選取時間段內(nèi)的安全性評估值為

從計算結(jié)果可以看出，在所選的時間段內(nèi)，水利信息系統(tǒng)處于安全、輕微危險、一般危險、重要危險和嚴(yán)重危險等級的程度值分別為：0.007 0，0.000 1，0.025 0，0.021 8 和 0.000 1，并且信息系統(tǒng)處于一般危險狀態(tài)的程度值最高為 0.025 0，其次為0.021 8，可以反映出在所選取的時間段內(nèi)，水利信息系統(tǒng)總體處于中等安全狀態(tài)，并且由于受到“永恒之藍(lán)”黑客惡意攻擊工具的影響，信息系統(tǒng)處在重要危險等級的程度偏高。

4 結(jié)語

水利信息化建設(shè)已進(jìn)入快速發(fā)展的階段，面向水利業(yè)務(wù)的信息系統(tǒng)也不斷建設(shè)和豐富完善。在網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，各種安全事件頻繁發(fā)生的嚴(yán)峻背景下，我國制定了《中華人民共和國網(wǎng)絡(luò)安全法》，從網(wǎng)絡(luò)運行、信息安全，監(jiān)測預(yù)警與應(yīng)急處置等方面制定了相應(yīng)的法律要求，在這種背景下，建立面向水利信息系統(tǒng)的綜合安全管理平臺也成為水利信息化工作中的必然要求。針對水利信息安全管理平臺中存在的無法對業(yè)務(wù)系統(tǒng)安全性進(jìn)行精確量化評估的問題，提出的基于 AHP 和 SPA 法的綜合性安全評估方案，與目前水利信息安全管理平臺中所用以算數(shù)平均法為原則的健康度算法相比，可以有效量化業(yè)務(wù)系統(tǒng)在不同安全等級下的性能值，且整體評估流程簡單易用。下一步將在安管平臺的基礎(chǔ)上，針對主要的水利信息管理系統(tǒng)，如水利財務(wù)信息和 OA 等系統(tǒng)，采用該方案對它們的安全性進(jìn)行更廣范圍的評估驗證，以期為未來對業(yè)務(wù)系統(tǒng)安全進(jìn)行態(tài)勢感知分析提供方法基礎(chǔ)，并為未來安全維護(hù)人員有效評估系統(tǒng)安全性能，制定及時有效的預(yù)防策略提供依據(jù)。

[1] 張愛玲. 移動運營商網(wǎng)絡(luò)安全管理平臺架構(gòu)分析與探索[J]. 科技通報，2017，33 （2）: 90-94.

[2] 梁金宏，劉威，趙利民，等. 校園網(wǎng)絡(luò)安全管理平臺的搭建與研究[J]. 科研，2016 （12）: 87.

[3] 范沁春. 企業(yè)網(wǎng)絡(luò)安全管理平臺的設(shè)計與實現(xiàn)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015 （7）: 74..

[4] 張小軍，李鐵強，張倩，等. 基于主動防御模型的信息安全管理平臺研究[J]. 遙測遙控，2016，37 （1）: 60-66.

[5] 王一，胡漢平，王祖喜，等. 基于流量攻擊判定的網(wǎng)絡(luò)安全評估模型[J]. 華中科技大學(xué)學(xué)報（自然科學(xué)版），2008，36 （4）: 37-40.

[6] 成衛(wèi)青，龔儉. 網(wǎng)絡(luò)安全評估[J]. 計算機工程，2003，29 （2）: 182-184.

[7] 趙冬梅，劉海峰，劉晨光. 基于 BP 神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險評估[J]. 計算機工程與應(yīng)用，2007，43 （1）: 139-141.

[8] 王笑，李千目，戚湧. 一種基于馬爾科夫模型的網(wǎng)絡(luò)安全風(fēng)險實時分析方法[J]. 計算機科學(xué)，2016，43 （增刊 2）: 338-341.

[9] 蔡陽. 水利信息化“十三五”發(fā)展應(yīng)著力解決的幾個問題[J]. 水利信息化，2016 （1）: 1-5.

[10] 張建鋒. 網(wǎng)絡(luò)安全態(tài)勢評估若干關(guān)鍵技術(shù)研究[D]. 長沙：國防科學(xué)技術(shù)大學(xué)，2013: 33.

[11] 郭金玉，張忠彬，孫慶云. 層次分析法的研究與應(yīng)用[J].中國安全科學(xué)學(xué)報，2008，18 （5）: 148.

[12] 張吉軍. 模糊層次分析法（FAHP）[J].模糊系統(tǒng)與數(shù)學(xué)，2000，14 （2）: 80-88.

[13] 黃麗芬，黃大榮，趙玲. 基于多元集對分析聯(lián)系數(shù) AHP方法的網(wǎng)絡(luò)安全評估[J]. 指揮控制與仿真，2015 （4）: 82-86.

[14] 趙克勤. 集對分析及其初步應(yīng)用[J]. 大自然探索，1994 （1）: 67-72.

[15] 鄧尚民，董亞倩. 基于 AHP 的高校網(wǎng)絡(luò)輿情安全評估指標(biāo)體系構(gòu)建研究[J]. 情報雜志，2012，31 （8）: 31-36.

Design scheme oriented to cybersecurity evaluation of water resources information system

HE Ting1, ZHOU Weixu1, ZHANG Yi2

（1. Water Resources Information Center, the Ministry of Water Resources, Beijing 100053, China; 2. Beijing Jinshui Information Technology Development Co. Ltd, Beijing 100053, China）

A synthetic scheme is put forward for the aim of evaluating of the security of the water resources business system. Firstly, the health evaluation indexes of the system is classified; then the Analytical Hierachical Process （AHP） method is applied to acquire the weights of the indexes; finally, the Set Pair Analysis （SPA） method is employed to get the quantified security level of the system according the predefined security level according to the standard of information system security grades. Compared to the traditional method such as weighted average method, it can be predicted that this scheme quantify the blurry parts of the system between the safe and unsafe levels. This scheme provides more synthetic evaluating results which provide more accurate foundations for the maintenance users.

water resources information system; cybersecurity; security evaluation; evaluation scheme; AHP method; SPA method

TV39；TP393.07

A

1674-9405（2017）03-0010-06

2017-04-17

賀 挺（1984-），男，山東煙臺人，博士 ，從事水文氣象與水利信息化工作。

10.19364/j.1674-9405.2017.03.003