馮雪峰，龔軍，呂小毅

（1.新疆計量測試研究院，烏魯木齊 830013；2.新疆大學(xué)教務(wù)處，烏魯木齊 830046；3.新疆大學(xué)信息科學(xué)與工程學(xué)院，烏魯木齊 830046）

0 引言

信息安全風(fēng)險評估是以評估標(biāo)準(zhǔn)為基礎(chǔ)的計算信息系統(tǒng)中存在風(fēng)險大小的一個過程，根據(jù)風(fēng)險評估標(biāo)準(zhǔn)在信息安全風(fēng)險評估過程中主要考慮的指標(biāo)有資產(chǎn)、威脅、脆弱性，通過三者對整體系統(tǒng)風(fēng)險的影響值計算系統(tǒng)的綜合風(fēng)險。

信息安全風(fēng)險評估的方法分為定性、定量和定性定量相結(jié)合三種方法。目前，學(xué)者門主要是在研究定性和定量相結(jié)合的計算方法以及風(fēng)險評估模型。由于風(fēng)險評估中的初始數(shù)據(jù)主要是一些主觀的數(shù)據(jù)，而系統(tǒng)中存在的威脅和脆弱性也在不斷的變化，對于這些威脅及脆弱性的大小無法使用一個統(tǒng)一的準(zhǔn)確的數(shù)字來表示，因此對信息系統(tǒng)的評估不能有完全的定量的輸入，而是一些定性的數(shù)據(jù)。目前常見的定量分析及計算方法有層次分析、模糊數(shù)學(xué)法、灰色理論法、攻擊樹法等很多方法，它們統(tǒng)一的思想就是要把定性的數(shù)據(jù)轉(zhuǎn)換為定量的數(shù)據(jù)。由于信息安全風(fēng)險評估具有非線性、不確定性等特點，因此采用上述的這些方法對風(fēng)險的計算都有著一定的局限性。

由于人工神經(jīng)網(wǎng)絡(luò)是一種很適合定量數(shù)據(jù)處理的方法，因此很多學(xué)者研究了如何使用神經(jīng)網(wǎng)絡(luò)技術(shù)進行信息安全風(fēng)險評估，也出現(xiàn)了很多將傳統(tǒng)評估方法與神經(jīng)網(wǎng)絡(luò)相結(jié)合信息安全風(fēng)險評估模型及方法。通過加入的神經(jīng)網(wǎng)絡(luò)技術(shù)在傳統(tǒng)的信息安全風(fēng)險評估方法中，可以減少以往方法中的主觀性。本文結(jié)合新疆某高校教務(wù)信息系統(tǒng)的實際使用情況，采用基于模糊神經(jīng)網(wǎng)絡(luò)的方法對其進行了風(fēng)險的評估，說明了本文的模糊神經(jīng)網(wǎng)絡(luò)模型及評估方法的有效性。

1 BP神經(jīng)網(wǎng)絡(luò)

本文將模糊的風(fēng)險評估方法和BP神經(jīng)網(wǎng)絡(luò)兩種方法結(jié)合。采用了反向傳播的BP神經(jīng)網(wǎng)絡(luò)方法，該神經(jīng)網(wǎng)絡(luò)是基于多層前饋型神經(jīng)網(wǎng)絡(luò)訓(xùn)練的一種誤差反向傳播算法，也是神經(jīng)網(wǎng)絡(luò)中被廣泛應(yīng)用的神經(jīng)網(wǎng)絡(luò)模型。BP神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)的能力，同時還可以實現(xiàn)輸入與輸出之間的非線性關(guān)系，無需描述數(shù)學(xué)等式中的映射。使用反向傳播的BP神經(jīng)網(wǎng)絡(luò)可以不斷地調(diào)整網(wǎng)絡(luò)的權(quán)重和閾值，從而使得網(wǎng)絡(luò)的誤差函數(shù)達到最小值。BP神經(jīng)網(wǎng)絡(luò)中包括輸入層、隱含層和輸出層。

BP神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)如圖1所示。

圖1 BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)圖

在神經(jīng)網(wǎng)絡(luò)中將x1,x2,…,xn作為網(wǎng)絡(luò)中每個神經(jīng)元的輸入，不同的神經(jīng)元之間的權(quán)重為wi1,wi2,…,win。BP神經(jīng)網(wǎng)絡(luò)要求傳播函數(shù) f是可微的。

神經(jīng)元網(wǎng)中的Si的值為：

加入BP神經(jīng)網(wǎng)絡(luò)到信息安全風(fēng)險評估方法中，需要為神經(jīng)網(wǎng)絡(luò)提供輸入的數(shù)據(jù)，通過隱含層的處理后進行輸出，如果輸出結(jié)果誤差超出范圍，將進入反向傳播。

（1）正向傳播

假設(shè)在該BP神經(jīng)網(wǎng)絡(luò)中的輸入層具有n個輸入節(jié)點，隱含層具有m個節(jié)點，輸出層具有k個節(jié)點。使用uij表示輸入與輸出層之間的連接權(quán)重，wik表示隱含層和輸出之間的連接權(quán)重。 fh是隱含層的傳播函數(shù)，fo是輸出層的傳播函數(shù)。

可以得到隱藏層的輸出是：

輸出層的輸出是：

（2）反向傳播

在反向傳播中首先建立P組樣本作為BPNN的輸入和輸出，形式如下：

ypi是BPNN的輸出，計算誤差Ep和期望誤差E的公式為：

（3）輸出層權(quán)重的變化

在BP算法中通過累積誤差來調(diào)整wik，這樣能夠使得期望最差最小，μ是學(xué)習(xí)率，輸出層權(quán)重調(diào)整公式如下：

在學(xué)習(xí)率 μ下，計算誤差δyi的公式是：

隱含層的權(quán)重變化公式是：

（4）調(diào)整算法

在訓(xùn)練中，如果計算的輸出誤差與所期望的誤差之間有誤差，而且這個誤差超出了誤差范圍，這時將通過反向反饋來調(diào)整權(quán)重和閾值，使用新的權(quán)重和閾值來計算每一層的輸出直到訓(xùn)練達到終止條件。

2 模糊神經(jīng)網(wǎng)絡(luò)風(fēng)險評估

2.1 模糊神經(jīng)網(wǎng)絡(luò)評估模型

在對信息系統(tǒng)進行風(fēng)險評估之前，首先需要根據(jù)信息系統(tǒng)建立相應(yīng)的風(fēng)險評估模型。一個信息系統(tǒng)的構(gòu)成包括物理層、操作環(huán)境層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層，每個層次都會有一定的風(fēng)險，不同的層次風(fēng)險不同所需要的保護級別不同。

本文將保護級別分為5級。第1級是自保護級，在這個級別保護下的信息系統(tǒng)獨立于用戶和數(shù)據(jù)，能夠控制用戶接口并保護用戶信息不被非法的讀取和修改。第2級是審計保護級，除了包括第1級的保護之外，通過保護機制識別用戶，以免未授權(quán)的用戶使用標(biāo)識數(shù)據(jù)。第3級是安全標(biāo)志級別，該級別提供了信息安全策略模型，對輸出數(shù)據(jù)打標(biāo)簽，主體對客體進行強制存取控制。第4級保護是結(jié)構(gòu)化保護，將強制控制擴展到所有的主體和客體，加強識別機制。第5級是授權(quán)控制保護級，系統(tǒng)具有強大的抵制滲入的能力，可以保護系統(tǒng)不被攻擊和修改。

在對信息系統(tǒng)風(fēng)險評估時，需要為系統(tǒng)的每個層次確定一個保護級別，同時還需要考慮各層之間在安全特征上的相關(guān)性和互補性。然后分析這五層的資產(chǎn)、威脅和脆弱性，最后確定系統(tǒng)的風(fēng)險。本文對信息系統(tǒng)采用的評估方法屬于定性定量相結(jié)合的方法，其評估模型如圖2所示。

圖2 風(fēng)險評估模型

本模型中，使用模糊原理量化風(fēng)險因子，然后通過BP神經(jīng)網(wǎng)絡(luò)的正向和反向反饋計算風(fēng)險，最后校正目標(biāo)信息系統(tǒng)。風(fēng)險計算公式是Risk=R(A,T,V)，其中的R為風(fēng)險評估函數(shù)，A是資產(chǎn)，T是威脅，V是脆弱點。

2.2 輸入模糊預(yù)處理

采用本模型對信息系統(tǒng)進行風(fēng)險評估時，需要先確定輸入數(shù)據(jù)并對輸入數(shù)據(jù)進行模糊化處理。

（1）基本元素量化與抽取

對信息系統(tǒng)進行風(fēng)險評估時，評估元素的量化和抽取必須反映出對信息系統(tǒng)的安全保護和保護級別。按等級對安全元素抽取和量化如圖3所示。

圖3 安全元素抽取與量化

首先確定系統(tǒng)安全屬性屬于哪個安全級別，然后根據(jù)CB17895標(biāo)準(zhǔn)抽取主要元素。按等級對主要元素進行排序并進一步在模型第三層細(xì)化，通過抽取最后在第四層獲取每個元素的權(quán)重。

（2）多層模糊綜合評估的建立

利用模糊原理抽取不同元素之間的關(guān)聯(lián)，建立模糊數(shù)學(xué)抽取模型。本文利用模糊評估方法量化信息安全風(fēng)險元素，詳細(xì)步驟如下所述。

①建立基本元素集

基于對信息系統(tǒng)安全風(fēng)險因素的分析，建立風(fēng)險因素集A={a1,a2,…,an},ai(i=1,2,…,n)表示不同的風(fēng)險因素。

②建立權(quán)重集

根據(jù)專家的評估結(jié)果，建立權(quán)重分配，假設(shè)B={b1,b2,…,bn}為權(quán)重分配。

實際應(yīng)用中要求bij非負(fù)并且標(biāo)準(zhǔn)化的。

③建立判斷矩陣

前面根據(jù)安全保護級別建立了風(fēng)險因素，這些風(fēng)險因素可以是機密、完整性和可用性、系統(tǒng)中的威脅、物理環(huán)境等。專家為每個風(fēng)險因素進行評論，根據(jù)專家的評論建立風(fēng)險判斷集合V={v1,v2,…,vm}。

④單因素模糊評估

基于單因素，評估風(fēng)險因子并確定指標(biāo)之間的從屬關(guān)系，然后形成模糊映射 f:A→F(V),映射f是風(fēng)險因素ai的支持度。假設(shè)風(fēng)險因素集中ai的風(fēng)險判斷矩陣為Ri={ri1,ri2,…,rim},i=1,2,…,n?？梢缘贸鏊械娘L(fēng)險因子的風(fēng)險矩陣為：

⑤第一層的模糊評估

針對前面分析和抽取的風(fēng)險因素，根據(jù)專家對保護級別的評論和風(fēng)險矩陣評估保護級別，其結(jié)果是其中的為平均權(quán)重。

⑥多層模糊綜合評估

基于對第一層的模糊評估Di，利用模糊映射f確定下一層的評估元素B的權(quán)重。然后使用公式D=B?R得到最后的向量D。D中每個元素的取值在0到1之間，D將作為BPNN的輸入。

3 模糊神經(jīng)風(fēng)險評估的實際應(yīng)用

本文將所建立的模糊神經(jīng)網(wǎng)絡(luò)評估模型應(yīng)用到對新疆某高校教務(wù)管理系統(tǒng)中，在應(yīng)用中將風(fēng)險的等級劃分為五個等級，取值在[0,0.1]之間表示極低風(fēng)險，可以不用處理；取值在[0.1,0.3]之間為低風(fēng)險，采用一般正常的手段避免風(fēng)險的出現(xiàn)；取值[0.3,0.5]之間為一般，需要采用一定的手段減少損失；取值在[0.5,0.75]之間為高風(fēng)險，風(fēng)險很大，會對信息系統(tǒng)造成嚴(yán)重的影響；取值在[0.75,1]之間為極高風(fēng)險，風(fēng)險可能會造成系統(tǒng)的崩潰和數(shù)據(jù)的丟失。

評估中采用了三層模糊神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，隱含層的神經(jīng)元是3至13個。其中11個神經(jīng)元在隱含層，1個神經(jīng)元在輸出層。隱含層采用S型傳遞函數(shù)，輸出層使用線性傳遞函數(shù)。根據(jù)本文定義的信息系統(tǒng)的安全保護級別，我們從五個方面環(huán)境、網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)和管理安全方面分析了系統(tǒng)的安全因素。

根據(jù)對新疆某高校教務(wù)管理系統(tǒng)的硬件環(huán)境、網(wǎng)絡(luò)環(huán)境和軟件環(huán)境的分析，在風(fēng)險評估中主要考慮的風(fēng)險因素有物理環(huán)境、攻擊入侵、系統(tǒng)風(fēng)險和人為因素。根據(jù)系統(tǒng)以往所發(fā)生過的攻擊，從中抽取了8個風(fēng)險因素，風(fēng)險因素集A={物理環(huán)境,惡意代碼,密碼猜測攻擊,偽造,欺騙,病毒,拒絕服務(wù),人為因素}。由 6名專家對這些風(fēng)險因素進行分析并建立風(fēng)險的模糊矩陣和權(quán)重分配結(jié)果。

通過R和B計算得出模糊神經(jīng)網(wǎng)絡(luò)的輸入D。將D導(dǎo)入到BPNN中作為輸入進行訓(xùn)練。在訓(xùn)練中使用了25組輸入和輸出樣本在模糊神經(jīng)網(wǎng)絡(luò)中進行學(xué)習(xí)訓(xùn)練。其中15組數(shù)據(jù)作為訓(xùn)練樣本，10組用于測試網(wǎng)絡(luò)的能力。實驗在MATLAB環(huán)境下使用神經(jīng)網(wǎng)絡(luò)工具完成。訓(xùn)練完成結(jié)束后得出教務(wù)系統(tǒng)的風(fēng)險值，專家分析的風(fēng)險結(jié)果與訓(xùn)練最終得出的風(fēng)險結(jié)果比較如表1所示。

表1 專家評估結(jié)果與訓(xùn)練結(jié)果

通過對新疆某高校教務(wù)管理系統(tǒng)的風(fēng)險評估結(jié)果可以看出，該教務(wù)系統(tǒng)中存在著一定的風(fēng)險。物理環(huán)境的風(fēng)險值為0.2576，風(fēng)險為一般，說明學(xué)校教務(wù)系統(tǒng)所在的物理環(huán)境相對正常，但是也需采用一定的手段防范風(fēng)險。其中風(fēng)險值最高的是欺騙，風(fēng)險值達到了0.5814，該風(fēng)險為高風(fēng)險，一旦發(fā)生會帶來很大的損失，需要受到高度重視。

4 結(jié)語

本文以信息系統(tǒng)的安全風(fēng)險評估為對象，將模糊數(shù)學(xué)與神經(jīng)網(wǎng)絡(luò)相結(jié)合，建立了專門針對信息系統(tǒng)的安全風(fēng)險評估方法。本文將信息系統(tǒng)安全保護級別劃分為五個級別，結(jié)合系統(tǒng)安全保護的級別和信息系統(tǒng)中存在的威脅及脆弱點建立模糊風(fēng)險矩陣并通過計算得到神經(jīng)網(wǎng)絡(luò)的輸入，選擇適量的樣本進行訓(xùn)練。通過對新疆某高校教務(wù)系統(tǒng)的應(yīng)用，本模型能夠很好地完成對信息系統(tǒng)的安全風(fēng)險評估。同時，也證明了該模型的有效性和科學(xué)性，并且該方法也可以用于其他的信息安全風(fēng)險評估。