韓燕征，張旭高，仇曉銳，王 勇，姜來為

（1.北京首都國(guó)際機(jī)場(chǎng)股份有限公司信息科技部，北京 100621；2.中國(guó)民航大學(xué)a.計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院；b.信息網(wǎng)絡(luò)中心，天津 300300）

民用航空業(yè)務(wù)范圍的擴(kuò)大和業(yè)務(wù)復(fù)雜度的提高對(duì)維護(hù)民航運(yùn)輸秩序，保障旅客隱私安全和出行安全提出了新的挑戰(zhàn)。民航信息系統(tǒng)是民航系統(tǒng)的重要組成部分，其安全問題的受重視程度已等同航空器飛行安全與空防安全問題。信息系統(tǒng)安全評(píng)估是從多層次、多維度評(píng)估信息系統(tǒng)安全狀況的計(jì)算和分析過程，作為信息安全工作開展的關(guān)鍵步驟，對(duì)安全管理人員及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并布置防護(hù)措施，減少信息安全事件發(fā)生具有重要意義。

目前的主要評(píng)估方法為差距分析法[1]，該方法通過計(jì)算系統(tǒng)安全現(xiàn)狀與理論要求之間的量化差距，對(duì)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行評(píng)估。由于該方法的受限因素較多，導(dǎo)致評(píng)估結(jié)果差距較大。為了全面合理地評(píng)估信息系統(tǒng)的安全狀態(tài)，部分研究團(tuán)隊(duì)提出從物理環(huán)境、計(jì)算機(jī)網(wǎng)絡(luò)、人為因素等角度提取安全要素并將要素形式化表達(dá)為安全評(píng)估體系[2-3]，基于該體系進(jìn)一步結(jié)合層次分析法[4]、量表評(píng)價(jià)法[5]等方法量化安全態(tài)勢(shì)評(píng)估結(jié)果，使民航信息系統(tǒng)安全評(píng)估體系內(nèi)各指標(biāo)評(píng)估結(jié)果粒度細(xì)化，從而提高評(píng)估準(zhǔn)確性和科學(xué)性。由于參與評(píng)估工作的專家層次、經(jīng)驗(yàn)不同，而適用于評(píng)語評(píng)價(jià)指標(biāo)和數(shù)值評(píng)價(jià)指標(biāo)共存于評(píng)估體系中，初步評(píng)估結(jié)果通常包括等級(jí)評(píng)價(jià)和評(píng)分評(píng)價(jià)，導(dǎo)致評(píng)估結(jié)果主觀性較大且不利于綜合分析系統(tǒng)整體安全狀況。

綜上，在信息系統(tǒng)安全評(píng)估過程中，必須最大程度減小評(píng)估指標(biāo)權(quán)重分配受人為先驗(yàn)經(jīng)驗(yàn)的影響。為此，提出一種面向民航信息系統(tǒng)的安全評(píng)估標(biāo)準(zhǔn)化方法，通過建立評(píng)估指標(biāo)的標(biāo)準(zhǔn)化流程和標(biāo)準(zhǔn)化方法，提高民航信息系統(tǒng)安全評(píng)估中計(jì)算及分析結(jié)果的合理性和規(guī)范性。

1 民航信息系統(tǒng)安全評(píng)估指標(biāo)

1.1 標(biāo)準(zhǔn)化流程

評(píng)估指標(biāo)的標(biāo)準(zhǔn)化是民航信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)化的基礎(chǔ)。民航信息系統(tǒng)安全評(píng)估指標(biāo)的標(biāo)準(zhǔn)化流程設(shè)計(jì)如下：

步驟1將評(píng)估指標(biāo)劃分為定性指標(biāo)和定量指標(biāo)，定性指標(biāo)為易用評(píng)語描述安全狀態(tài)的指標(biāo)，定量指標(biāo)為易用數(shù)值描述安全狀態(tài)的指標(biāo)；

步驟2分別從環(huán)境配置、主機(jī)配置等方面采集定性和定量數(shù)據(jù)，其中，定性數(shù)據(jù)為安全策略符合程度的評(píng)語或評(píng)價(jià)，定量數(shù)據(jù)為日志、流量等統(tǒng)計(jì)數(shù)據(jù)；

步驟3對(duì)定性數(shù)據(jù)和定量數(shù)據(jù)分別設(shè)置評(píng)分算子，將評(píng)估結(jié)果轉(zhuǎn)換為百分制形式。

1.2 標(biāo)準(zhǔn)化方法

基于文獻(xiàn)[6]提出22 個(gè)民航信息系統(tǒng)安全評(píng)估指標(biāo)，如表1 所示，包括物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)、主機(jī)系統(tǒng)、管理人員5 個(gè)維度，每個(gè)維度由具體評(píng)估指標(biāo)組成，指標(biāo)類型分為定性指標(biāo)和定量指標(biāo)。

表1 民航信息系統(tǒng)安全評(píng)估指標(biāo)Tab.1 Security evaluation indices of civil aviation information system

1.2.1 定性指標(biāo)標(biāo)準(zhǔn)化

設(shè)某定性指標(biāo)評(píng)語分m級(jí)，依次為β1，β2，…，βm，定義βi～βj表示βi的評(píng)估符合度高于βj，則β1～β2～…～βm。另設(shè)反映該指標(biāo)評(píng)語分值的變量為θ，且θ ～N（0，1），βi的專家評(píng)分值為ti，且ti為正態(tài)分布N（0，1）的（i+0.5）/（m+1）分位數(shù)[7]，即設(shè)專家參考分值為Ve，則

專家根據(jù)Ve及先驗(yàn)經(jīng)驗(yàn)，依據(jù)安全策略對(duì)定性指標(biāo)的符合程度進(jìn)行評(píng)分。

針對(duì)每個(gè)維度的評(píng)估指標(biāo)，分別設(shè)計(jì)安全策略符合度描述表，確定每個(gè)指標(biāo)的安全策略符合度。安全策略符合度確定方法為：設(shè)某定性指標(biāo)的評(píng)估細(xì)則均為定性細(xì)則，將各細(xì)則符合程度劃分為n級(jí)，與對(duì)應(yīng)定性評(píng)估指標(biāo)評(píng)語級(jí)別數(shù)相同，符合程度由差至好對(duì)應(yīng)指數(shù)為1，2，…，n。若細(xì)則族中有k條細(xì)則，分別為R1，R2，…，Rk（細(xì)則包括單一細(xì)則和復(fù)合細(xì)則），需設(shè)置符合度指數(shù)矩陣。

假定細(xì)則a為單一細(xì)則或復(fù)合細(xì)則，細(xì)則b為單一細(xì)則，細(xì)則a和細(xì)則b的安全策略符合度指數(shù)分別為p和q（p，q=1，2，…，n），符合度指數(shù)矩陣M=（mpq）n×n。若細(xì)則數(shù)k≤2，細(xì)則a和細(xì)則b對(duì)應(yīng)單一細(xì)則，令a=R1，b=R2，R1和R2的安全策略符合度指數(shù)分別為p和q，綜合安全指數(shù)i=mpq；若k＞2，則先令a=R1，b=R2，復(fù)合細(xì)則R1?R2安全策略符合指數(shù)為p′=mpq，再令a=R1?R2，b=R3，R3的安全策略符合度指數(shù)為q′，然后，確定復(fù)合細(xì)則R1?R2?R3符合度mp′q′。直至b=Rk，得到綜合安全指數(shù)i。

按照上述方法，對(duì)全部定性指標(biāo)進(jìn)行安全策略符合度描述，構(gòu)造符合度指數(shù)矩陣，再用式（1）和式（2）將安全策略符合度指數(shù)i轉(zhuǎn)化為量化評(píng)分。

1.2.2 定量數(shù)據(jù)標(biāo)準(zhǔn)化

為便于對(duì)比不同指標(biāo)的安全狀態(tài)，將定量指標(biāo)劃分為正向指標(biāo)和逆向指標(biāo)[6]，將定量指標(biāo)源數(shù)據(jù)量化在[0，100]范圍內(nèi)。其中：正向指標(biāo)值越大，該指標(biāo)安全狀態(tài)越好；逆向指標(biāo)值越大，該指標(biāo)安全狀態(tài)越差。設(shè)指標(biāo)X量化區(qū)間為[Xa，Xb]，則定量指標(biāo)的標(biāo)準(zhǔn)值為

1）正向指標(biāo)

2）逆向指標(biāo)

式中x為當(dāng)前時(shí)刻的指標(biāo)值。定量指標(biāo)的量化流程設(shè)計(jì)如下：

步驟1確定所量化指標(biāo)的量化區(qū)間[Xa，Xb]；

步驟2確定當(dāng)前時(shí)刻的指標(biāo)值x；

步驟3根據(jù)指標(biāo)的正向性質(zhì)或逆向性質(zhì)，用式（3）或式（4）計(jì)算標(biāo)準(zhǔn)值。

將定性指標(biāo)和定量指標(biāo)的百分制標(biāo)準(zhǔn)化結(jié)果供專家參考，可獲得更客觀的評(píng)分結(jié)果。

2 安全評(píng)估標(biāo)準(zhǔn)化方法應(yīng)用

以國(guó)內(nèi)某機(jī)場(chǎng)離港控制系統(tǒng)內(nèi)物理環(huán)境維度中的定性指標(biāo)物理訪問控制、防盜防破壞及主機(jī)維度定量指標(biāo)和網(wǎng)絡(luò)維度中的定量指標(biāo)網(wǎng)絡(luò)流量為例，說明定性指標(biāo)和定量指標(biāo)標(biāo)準(zhǔn)化應(yīng)用。

將表1 中每個(gè)維度下定性指標(biāo)的安全策略符合度劃分為4 級(jí)，（β1，β2，β3，β4）=（較不符合，一般符合，較符合，很符合）。

2.1 物理訪問控制定性指標(biāo)

物理訪問控制的實(shí)際安全情況為：進(jìn)入工作單位需刷卡，進(jìn)入機(jī)房需要刷卡和密碼；在物理出入口控制、鑒別訪問人員并對(duì)其訪問行為進(jìn)行記錄；對(duì)機(jī)房常駐工作人員配備身份標(biāo)識(shí)牌并要求工作期間隨身攜帶，對(duì)需臨時(shí)進(jìn)入機(jī)房的人員配備臨時(shí)身份標(biāo)識(shí)牌。因此，對(duì)機(jī)房電子門禁系統(tǒng)配置完備情況、物理出入口監(jiān)控訪問者情況、身份標(biāo)識(shí)牌發(fā)放/佩戴情況的檢查結(jié)果進(jìn)行4 種符合度描述，確定物理訪問控制指標(biāo)的安全策略符合度描述，如表2 所示。

表2 物理訪問控制的安全策略符合度描述Tab.2 Description of compliance degree of physical access control security policy

物理訪問控制安全細(xì)則族{R1，R2，R3}={機(jī)房電子門禁系統(tǒng)配備情況，物理出入口是否監(jiān)控訪問者，身份標(biāo)識(shí)牌發(fā)放/佩戴情況}，從而由表2 可得到其符合度指數(shù)矩陣，如表3 和表4 所示。

表3 物理訪問控制安全策略符合度指數(shù)矩陣1Tab.3 Compliance index matrix One of physical access control security policy

表4 物理訪問控制安全策略符合度指數(shù)矩陣2Tab.4 Compliance index matrix Two of physical access control security policy

由R1、R2、R3安全策略符合度指數(shù)確定物理訪問控制綜合安全指數(shù)i。R1={機(jī)房電子門禁配備情況}的安全策略符合度指數(shù)為4，R2={物理出入口是否監(jiān)控訪問者}的安全策略符合度指數(shù)為4，由表4 得到復(fù)合細(xì)則R1?R2安全策略符合度指數(shù)為4。R3={身份標(biāo)識(shí)牌發(fā)放/佩戴情況}的安全策略符合度指數(shù)為4，從而得到復(fù)合細(xì)則R1?R2?R3的安全策略符合度指數(shù)為4，即綜合安全指數(shù)i=4。由式（1）和式（2）得到參考分值為98.10。物理訪問控制評(píng)估標(biāo)準(zhǔn)化如表5 所示。

表5 物理訪問控制評(píng)估標(biāo)準(zhǔn)化Tab.5 Evaluation standardization of physical access control

2.2 防盜防破壞定性指標(biāo)

防盜防破壞的實(shí)際安全情況為：對(duì)機(jī)房?jī)?nèi)各類設(shè)備型號(hào)、廠家、序列號(hào)、是否在保修期及設(shè)備保修人員已登記，但少量設(shè)備標(biāo)牌內(nèi)容模糊；機(jī)房監(jiān)控、攝像等監(jiān)控報(bào)警系統(tǒng)正常運(yùn)行，但部分運(yùn)行記錄缺失。由設(shè)備標(biāo)牌內(nèi)容和完整程度、序列號(hào)和對(duì)應(yīng)設(shè)備登記記錄情況、機(jī)房報(bào)警設(shè)備運(yùn)行正常情況進(jìn)行4 種安全策略符合度描述。設(shè)計(jì)防盜防破壞安全策略符合度描述表，如表6 所示。防盜防破壞安全細(xì)則族{R1，R2}={設(shè)備ID 是否登記，機(jī)房報(bào)警系統(tǒng)運(yùn)行是否正常}，從而得到防盜防破壞安全策略符合度指數(shù)矩陣，如表7 所示。

表6 防盜防破壞安全策略符合度描述Tab.6 Compliance degree description of security policy of anti-theft or anti-damage

表7 防盜防破壞安全策略符合度指數(shù)矩陣Tab.7 Index matrix of security policy compliance degree of anti-theft or anti-damage

由R1、R2安全符合度策略指數(shù)確定防盜防破壞綜合安全指數(shù)i。R1={設(shè)備ID 是否登記}的安全策略符合度指數(shù)為3，R2={機(jī)房報(bào)警系統(tǒng)運(yùn)行是否正常}的安全策略符合度指數(shù)為3，得到復(fù)合細(xì)則R1?R2的安全策略符合度指數(shù)也為3，即綜合安全指數(shù)i=3，由式（1）和式（2）計(jì)算得到參考分值為65.55。防盜防破壞評(píng)估標(biāo)準(zhǔn)化，如表8 所示。

表8 防盜防破壞評(píng)估標(biāo)準(zhǔn)化Tab.8 Assessment standardization of anti-theft or anti-damage

2.3 主機(jī)系統(tǒng)與網(wǎng)絡(luò)流量定量指標(biāo)

主機(jī)系統(tǒng)維度和網(wǎng)絡(luò)維度定量指標(biāo)的標(biāo)準(zhǔn)化依據(jù)如表9 所示。

表9 定量指標(biāo)標(biāo)準(zhǔn)化依據(jù)Tab.9 Basis of quantitative indicator standardization

主機(jī)系統(tǒng)維度下的定量指標(biāo)包括磁盤利用率、CPU 利用率、內(nèi)存占用率和端口流量，指標(biāo)值由主機(jī)配置信息中讀取或Tcpview 工具獲取。如主機(jī)系統(tǒng)的CPU 利用率為40%，經(jīng)標(biāo)準(zhǔn)化處理后得到CPU 利用率的參考分值為VCPU利用率=60。網(wǎng)絡(luò)維度下的定量指標(biāo)為網(wǎng)絡(luò)流量，其評(píng)估值由峰值流量、平均流量和帶寬利用率決定，每個(gè)指標(biāo)值由網(wǎng)絡(luò)監(jiān)控工具Ntop 獲取。

通過獲取3 個(gè)時(shí)段的防火墻流量數(shù)據(jù)，經(jīng)標(biāo)準(zhǔn)化處理得到網(wǎng)絡(luò)流量中3 個(gè)量化指標(biāo)的參考分值。峰值流量V1=84，平均流量V2=80，帶寬利用率V3=67，則網(wǎng)絡(luò)流量參考分值為V網(wǎng)絡(luò)流量=1/3∑Vi=77。

3 結(jié)語

為了提高民航信息系統(tǒng)安全評(píng)估合理性和規(guī)范性，提出一種面向民航信息系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)化方法。該方法通過定義民航信息系統(tǒng)評(píng)估指標(biāo)及其屬性，將定性指標(biāo)標(biāo)準(zhǔn)化為安全策略符合度矩陣，將定量指標(biāo)源數(shù)據(jù)量化為固定范圍內(nèi)的數(shù)值，最終將定性指標(biāo)和定量指標(biāo)評(píng)估結(jié)果標(biāo)準(zhǔn)化為百分制形式。通過該方法獲取的信息系統(tǒng)安全評(píng)估結(jié)果，便于安全管理人員感知民航信息系統(tǒng)安全態(tài)勢(shì)，提高評(píng)估效率。