謝俊彤

（中國(guó)電子科技集團(tuán)公司第七研究所，廣東 廣州 510310）

0 引言

信息化技術(shù)在我國(guó)軍事領(lǐng)域早已被應(yīng)用，從應(yīng)用效果看，信息化技術(shù)接入可迅速提升我國(guó)軍事作戰(zhàn)水平和能力，但是由于信息安全的不足，出現(xiàn)許多網(wǎng)絡(luò)惡意攻擊手段，導(dǎo)致軍用互聯(lián)網(wǎng)出現(xiàn)數(shù)據(jù)泄漏、遺失等問題[1]。當(dāng)前已有不少學(xué)者對(duì)軍用互聯(lián)網(wǎng)的信息安全風(fēng)險(xiǎn)進(jìn)行研究，包括：余騫[2]針對(duì)海上軍事信息存在風(fēng)險(xiǎn)的模糊性、非線性等特點(diǎn)，將模糊判斷準(zhǔn)則應(yīng)用于海上軍事信息系統(tǒng)安全評(píng)估，模糊判斷準(zhǔn)則以模糊數(shù)學(xué)為基礎(chǔ)，通過模糊線性變化和最大隸屬度來考慮被評(píng)價(jià)事物的各個(gè)因素并實(shí)現(xiàn)系統(tǒng)的綜合評(píng)估，但該方法沒有對(duì)風(fēng)險(xiǎn)要素的認(rèn)定，缺乏理論支撐；張權(quán)等人[3]針對(duì)軍事數(shù)據(jù)自身的特點(diǎn)，構(gòu)建了數(shù)據(jù)質(zhì)量評(píng)價(jià)指標(biāo)體系，采用多層次灰色評(píng)價(jià)法構(gòu)建綜合評(píng)價(jià)模型對(duì)多個(gè)部門上報(bào)的數(shù)據(jù)進(jìn)行評(píng)價(jià)，該方法沒有從信息系統(tǒng)的角度量化威脅因素，僅僅在數(shù)據(jù)質(zhì)量層面對(duì)信息安全進(jìn)行單個(gè)維度的安全評(píng)估；劉艷娜等人[4]針對(duì)軍隊(duì)保密工作的現(xiàn)狀，構(gòu)建以保密負(fù)荷、保密防范、保密威脅、保密挽救為一級(jí)指標(biāo)的軍隊(duì)保密風(fēng)險(xiǎn)評(píng)估指標(biāo)體系，依據(jù)該評(píng)估指標(biāo)體系運(yùn)用數(shù)據(jù)包絡(luò)分析（DEA,Data Envelopment Analysis）方法對(duì)軍隊(duì)信息安全保密風(fēng)險(xiǎn)進(jìn)行綜合評(píng)估，該方法在對(duì)風(fēng)險(xiǎn)要素重要性評(píng)估時(shí)，過多依賴經(jīng)驗(yàn)法，導(dǎo)致風(fēng)險(xiǎn)評(píng)估的結(jié)果與專家經(jīng)驗(yàn)有關(guān)，不具有適用性。除此之外，不少學(xué)者基于現(xiàn)有的研究成果制定多項(xiàng)國(guó)家標(biāo)準(zhǔn)，包括《電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》[5]、《網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)能力評(píng)估方法》[6]以及《軍隊(duì)信息安全風(fēng)險(xiǎn)評(píng)估》[7]。上述標(biāo)準(zhǔn)大多數(shù)采用定性的方式來描述，這種定性評(píng)估的方法會(huì)導(dǎo)致評(píng)估結(jié)果主觀性過強(qiáng)，難以量化安全威脅發(fā)生的可能性以及對(duì)系統(tǒng)的影響程度。

從上述學(xué)者的研究和標(biāo)準(zhǔn)可知，當(dāng)前軍用互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)評(píng)估方法標(biāo)準(zhǔn)處于起步階段。因此，本文在借鑒互聯(lián)網(wǎng)網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)的研究基礎(chǔ)上，結(jié)合自身的軍工企業(yè)工作經(jīng)驗(yàn)，對(duì)軍用互聯(lián)網(wǎng)的信息安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)行探索，并提出一套單個(gè)資產(chǎn)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系，結(jié)合單個(gè)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估模型和評(píng)估方法來實(shí)現(xiàn)單個(gè)資產(chǎn)信息安全風(fēng)險(xiǎn)的評(píng)估；在此基礎(chǔ)上，引入衡量單個(gè)資產(chǎn)風(fēng)險(xiǎn)相對(duì)于信息系統(tǒng)各維度評(píng)估的相對(duì)重要性，計(jì)算軍用互聯(lián)網(wǎng)系統(tǒng)在五個(gè)維度的風(fēng)險(xiǎn)值；最后借助層次分析法（AHP,Analytic Hierarchy Process）確定軍用互聯(lián)網(wǎng)在五個(gè)維度的影響程度，實(shí)現(xiàn)軍用互聯(lián)網(wǎng)綜合風(fēng)險(xiǎn)的評(píng)估。

1 軍用互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估模型

為了實(shí)現(xiàn)軍用互聯(lián)網(wǎng)定量的評(píng)估，本文參考信息安全評(píng)估準(zhǔn)則，圍繞資產(chǎn)、脆弱性和系統(tǒng)面臨的威脅，從上述三方面來分析單個(gè)資產(chǎn)面臨的威脅要素、威脅概率、脆弱性程度以及資產(chǎn)價(jià)值，以此衡量單個(gè)資產(chǎn)發(fā)生安全事件的發(fā)生概率和影響程度，結(jié)合安全事件的概率和影響程度來確定單個(gè)資產(chǎn)的可用性風(fēng)險(xiǎn)值、完整性風(fēng)險(xiǎn)以及機(jī)密性風(fēng)險(xiǎn)，并采用加權(quán)平均的方法實(shí)現(xiàn)單個(gè)資產(chǎn)綜合風(fēng)險(xiǎn)的評(píng)估。在此基礎(chǔ)上，結(jié)合熵權(quán)法確定軍用互聯(lián)網(wǎng)系統(tǒng)在物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全各維度的影響程度，并計(jì)算軍用互聯(lián)網(wǎng)在物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全各維度中的風(fēng)險(xiǎn)值。最后，結(jié)合層次分析法衡量整個(gè)軍用互聯(lián)網(wǎng)的綜合風(fēng)險(xiǎn)值，實(shí)現(xiàn)軍用互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估。軍用互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估模型如圖1 所示：

圖1 軍用互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估模型

1.1 單個(gè)資產(chǎn)信息安全風(fēng)險(xiǎn)評(píng)估模型

本文以可用性、完整性、機(jī)密性三個(gè)軍用互聯(lián)網(wǎng)安全要求作為單個(gè)資產(chǎn)風(fēng)險(xiǎn)評(píng)估的主要目標(biāo)，逐步分析影響資產(chǎn)安全的風(fēng)險(xiǎn)因素，參照文獻(xiàn)[14] 對(duì)影響資產(chǎn)威脅要素的標(biāo)準(zhǔn)進(jìn)行分類，形成以可用性、完整性、機(jī)密性為一級(jí)指標(biāo)，以威脅要素為二級(jí)指標(biāo)，以資產(chǎn)脆弱性衡量安全事件發(fā)生的概率以及影響程度，構(gòu)建單個(gè)資產(chǎn)信息安全風(fēng)險(xiǎn)評(píng)估模型。具體如圖2 所示：

圖2 單個(gè)資產(chǎn)信息安全風(fēng)險(xiǎn)評(píng)估模型

由圖2 可知，可用性風(fēng)險(xiǎn)可以表示為：

其中，P1、P2、P3、P4、P5、P6分別表示應(yīng)答哄騙、方向誤導(dǎo)攻擊、偽造攻擊、數(shù)據(jù)包重放攻擊、訪問權(quán)限非法獲取、拒絕提供服務(wù)等各類威脅發(fā)生的概率；R1、R2、R3、R4、R5、R6分別表示應(yīng)答哄騙、方向誤導(dǎo)攻擊、偽造攻擊、數(shù)據(jù)包重放攻擊、訪問權(quán)限非法獲取、拒絕提供服務(wù)等各類威脅對(duì)單個(gè)資產(chǎn)可用性的影響程度；表示單個(gè)資產(chǎn)的可用性風(fēng)險(xiǎn)。

其中，P7、P8、P9分別表示非法設(shè)備物理接入、控制信息被篡改、未授權(quán)的網(wǎng)絡(luò)連接等各類威脅發(fā)生的概率；R7、R8、R9分別表示非法設(shè)備物理接入、控制信息被篡改、未授權(quán)的網(wǎng)絡(luò)連接等各類威脅對(duì)單個(gè)資產(chǎn)可用性的影響程度。

運(yùn)用系統(tǒng)綜合思想集成可用性、完整性、機(jī)密性風(fēng)險(xiǎn)值，得到第i個(gè)資產(chǎn)的風(fēng)險(xiǎn)值為：

⑤2強(qiáng)風(fēng)化片巖：以黃褐色為主，局部灰褐色，殘余鱗片變晶結(jié)構(gòu)，片理狀構(gòu)造，巖石風(fēng)化強(qiáng)烈，主要礦物成分為泥質(zhì)礦物、長(zhǎng)石等。巖芯呈半土半巖狀，局部含中風(fēng)化巖塊。干時(shí)較堅(jiān)硬，遇水易軟化崩解。巖體完整程度為極破碎，巖體質(zhì)量等級(jí)為V類。

其中，k1、k2、k3分別表示可用性、完整性、機(jī)密性風(fēng)險(xiǎn)值的權(quán)重。不同類型的資產(chǎn)在可用性、完整性、機(jī)密性的權(quán)重有所區(qū)別。

1.2 基于信息熵的信息安全風(fēng)險(xiǎn)評(píng)估方法

信息熵的信息安全風(fēng)險(xiǎn)評(píng)估方法是使用信息熵的算法來計(jì)算單個(gè)資產(chǎn)風(fēng)險(xiǎn)相對(duì)于信息系統(tǒng)各維度評(píng)估的相對(duì)重要性，避免了傳統(tǒng)權(quán)值賦值的主觀影響?；谛畔㈧氐男畔踩L(fēng)險(xiǎn)評(píng)估思路是：對(duì)物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全等風(fēng)險(xiǎn)評(píng)估以單個(gè)資產(chǎn)為單位，采用熵權(quán)法獲取單個(gè)資產(chǎn)在對(duì)應(yīng)各維度的權(quán)重，由此計(jì)算不同維度的風(fēng)險(xiǎn)值。

首先，假設(shè)信息熵Hi表示單個(gè)資產(chǎn)風(fēng)險(xiǎn)對(duì)于物理環(huán)境風(fēng)險(xiǎn)等級(jí)評(píng)估的相對(duì)重要性。

其中，pij表示資產(chǎn)i對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)。

然后，結(jié)合熵值得到第i個(gè)資產(chǎn)綜合對(duì)于物理環(huán)境安全風(fēng)險(xiǎn)的權(quán)重。

其中，wi表示資產(chǎn)i在物理環(huán)境中的權(quán)重大小。同理，vi表示資產(chǎn)i在網(wǎng)絡(luò)安全中的權(quán)重大?。籾i表示資產(chǎn)i在主機(jī)系統(tǒng)中的權(quán)重大?。籷i表示資產(chǎn)i在應(yīng)用安全中的權(quán)重大?。籪i表示資產(chǎn)i在數(shù)據(jù)安全中的權(quán)重大小。

在獲取所有資產(chǎn)風(fēng)險(xiǎn)值和該資產(chǎn)在對(duì)應(yīng)各維度下的風(fēng)險(xiǎn)等級(jí)權(quán)重的基礎(chǔ)上，將兩者相乘，得到物理環(huán)境風(fēng)險(xiǎn)值PM、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)值PN、主機(jī)系統(tǒng)風(fēng)險(xiǎn)值PO、應(yīng)用安全風(fēng)險(xiǎn)值PQ以及數(shù)據(jù)安全風(fēng)險(xiǎn)值PF分別如下：

1.3 計(jì)算軍用互聯(lián)網(wǎng)的綜合風(fēng)險(xiǎn)值

根據(jù)軍用互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估模型，軍用互聯(lián)網(wǎng)的風(fēng)險(xiǎn)普遍由物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全組成，各維度在軍用互聯(lián)網(wǎng)中所占的權(quán)重采用AHP 方法確定。本次研究共邀請(qǐng)20 位軍事互聯(lián)網(wǎng)專家對(duì)物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全五維度的相對(duì)重要程度進(jìn)行打分，并采用AHP方法衡量各維度在軍用互聯(lián)網(wǎng)的影響程度，由此確定五維度對(duì)軍用互聯(lián)網(wǎng)的權(quán)重分別為：λM、λN、λO、λQ、λF。軍用互聯(lián)網(wǎng)的綜合風(fēng)險(xiǎn)值PTotal為：

2 實(shí)驗(yàn)分析

2.1 實(shí)驗(yàn)環(huán)境

軍用互聯(lián)網(wǎng)安全攻防仿真平臺(tái)由防火墻硬件設(shè)備、現(xiàn)場(chǎng)/遠(yuǎn)程監(jiān)控終端、數(shù)據(jù)采集器、網(wǎng)絡(luò)性能測(cè)試設(shè)備、Web服務(wù)器、實(shí)時(shí)數(shù)據(jù)服務(wù)器、歷史數(shù)據(jù)服務(wù)器、路由器以及各種網(wǎng)絡(luò)設(shè)施組成。通過本文對(duì)軍用互聯(lián)網(wǎng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估模型的構(gòu)建，并且對(duì)影響軍用互聯(lián)網(wǎng)信息安全的關(guān)鍵資產(chǎn)、脆弱性和威脅進(jìn)行識(shí)別，同時(shí)邀請(qǐng)軍用互聯(lián)網(wǎng)專家組成專家評(píng)估小組，分別對(duì)物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全的重要性以及各資產(chǎn)在對(duì)應(yīng)網(wǎng)絡(luò)層的重要性進(jìn)行評(píng)分，建立如圖3 所示的評(píng)估模型。

圖3 軍用互聯(lián)網(wǎng)安全攻防仿真平臺(tái)信息安全風(fēng)險(xiǎn)評(píng)估模型

（1）以單個(gè)資產(chǎn)為評(píng)估單位，基于各項(xiàng)攻擊行為發(fā)生的機(jī)率，計(jì)算單個(gè)資產(chǎn)可用性風(fēng)險(xiǎn)、完整性風(fēng)險(xiǎn)和機(jī)密性風(fēng)險(xiǎn)值，并采用加權(quán)平均的方法量化單個(gè)資產(chǎn)的綜合風(fēng)險(xiǎn)；

（2）結(jié)合熵值，衡量單個(gè)資產(chǎn)風(fēng)險(xiǎn)在物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全等五個(gè)維度的影響程度，并計(jì)算每一個(gè)維度的風(fēng)險(xiǎn)值；

（3）邀請(qǐng)專家對(duì)五個(gè)維度相對(duì)影響程度進(jìn)行打分，并采用AHP 方法確定五個(gè)維度的權(quán)重；

（4）結(jié)合五個(gè)維度的權(quán)重和風(fēng)險(xiǎn)值，實(shí)現(xiàn)軍用互聯(lián)網(wǎng)綜合風(fēng)險(xiǎn)的衡量。

2.2 結(jié)果分析

本文通過模擬多次攻擊，包括非法設(shè)備物理接入、訪問權(quán)限非法獲取、控制信息被篡改、數(shù)據(jù)包重放攻擊、拒絕提供服務(wù)、病毒感染等，產(chǎn)生了大量的告警信息，并通過數(shù)據(jù)采集設(shè)備采集實(shí)驗(yàn)數(shù)據(jù)。結(jié)合漏洞信息、告警信息、系統(tǒng)脆弱性信息、專家打分信息、歷史數(shù)據(jù)安全事件發(fā)生的概率以及影響程度進(jìn)行量化后，利用軍用互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估模型對(duì)整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)進(jìn)行分析。本文進(jìn)行10組實(shí)驗(yàn)，每組實(shí)驗(yàn)的運(yùn)行時(shí)間不超過24 小時(shí)，連續(xù)觀測(cè)5個(gè)時(shí)間段單個(gè)資產(chǎn)可用性風(fēng)險(xiǎn)、完整性風(fēng)險(xiǎn)和機(jī)密性風(fēng)險(xiǎn)發(fā)生的概率。隨著實(shí)驗(yàn)的推進(jìn)，每組的警報(bào)數(shù)量逐漸增大，其中最少的警報(bào)數(shù)量為95 次，最多的警報(bào)數(shù)量為1 871 次，根據(jù)警報(bào)的內(nèi)容確定單個(gè)資產(chǎn)發(fā)生某種風(fēng)險(xiǎn)的可能性。

為了驗(yàn)證本文算法的有效性，對(duì)傳統(tǒng)AHP 信息安全風(fēng)險(xiǎn)評(píng)估方法、基于故障樹和證據(jù)理論的信息安全風(fēng)險(xiǎn)評(píng)估方法、本文提出綜合熵權(quán)法和AHP 的信息安全風(fēng)險(xiǎn)評(píng)估方法進(jìn)行對(duì)比，得到一系列風(fēng)險(xiǎn)預(yù)測(cè)準(zhǔn)確率對(duì)比結(jié)果如圖4 所示。

圖4 風(fēng)險(xiǎn)預(yù)測(cè)準(zhǔn)確率對(duì)比圖

圖4 中展示了5 個(gè)攻擊場(chǎng)景分別在傳統(tǒng)AHP 信息安全風(fēng)險(xiǎn)評(píng)估方法、基于故障樹和證據(jù)理論的信息安全風(fēng)險(xiǎn)評(píng)估方法、本文提出綜合熵權(quán)法和AHP 的信息安全風(fēng)險(xiǎn)評(píng)估方法的結(jié)果分析，可知在相同攻擊行為條件下，本文提出的綜合熵權(quán)法和AHP 的信息安全風(fēng)險(xiǎn)評(píng)估方法與傳統(tǒng)AHP 信息安全風(fēng)險(xiǎn)評(píng)估方法相比，平均準(zhǔn)確率高11%左右；與基于故障樹和證據(jù)理論的信息安全風(fēng)險(xiǎn)評(píng)估方法相比，平均準(zhǔn)確率高5%左右。這是因?yàn)閭鹘y(tǒng)AHP 方法容易受到告警冗余性、網(wǎng)絡(luò)拓?fù)鋸?fù)雜和其他噪音的影響，專家未必能夠處理好單個(gè)資產(chǎn)在對(duì)應(yīng)網(wǎng)絡(luò)的影響力。與此同時(shí)，基于故障樹和證據(jù)理論的信息安全風(fēng)險(xiǎn)評(píng)估方法過于依賴人工來描述風(fēng)險(xiǎn)在整個(gè)網(wǎng)絡(luò)中的影響概率，其結(jié)論的可信性容易受到主觀影響。而本文提出的方法綜合定性和定量來衡量單個(gè)資產(chǎn)對(duì)網(wǎng)絡(luò)的影響力，不僅能夠在一定程度上對(duì)抗網(wǎng)絡(luò)告警的隨機(jī)性和模糊性問題，還能降低結(jié)論容易受到主觀因素的影響。因此，本文提出的方法可在一定程度降低評(píng)估結(jié)果的不確定性、受主觀影響過大的問題，在軍用互聯(lián)網(wǎng)的信息安全風(fēng)險(xiǎn)評(píng)估中具有一定的應(yīng)用性和擴(kuò)展性。

3 結(jié)束語

本文提出了一種綜合熵權(quán)法和AHP 的信息安全風(fēng)險(xiǎn)評(píng)估方法，該方法解決的難點(diǎn)是如何對(duì)安全威脅發(fā)生的可能性以及對(duì)系統(tǒng)的影響程度進(jìn)行量化分析。通過采用綜合熵權(quán)法和AHP 的信息安全風(fēng)險(xiǎn)評(píng)估方法，結(jié)合軍用互聯(lián)網(wǎng)安全攻防仿真平臺(tái)對(duì)5 種網(wǎng)絡(luò)攻擊行為進(jìn)行信息安全風(fēng)險(xiǎn)預(yù)測(cè)。該方法在仿真系統(tǒng)中取得了良好的風(fēng)險(xiǎn)預(yù)測(cè)準(zhǔn)確率，從仿真效果可知，本文提出的模型能夠準(zhǔn)確識(shí)別軍用互聯(lián)網(wǎng)中的各種風(fēng)險(xiǎn)，具有一定的擴(kuò)展性。隨著技術(shù)的發(fā)展，通過論證本文的內(nèi)容，能夠加快軍用互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)的制定。