一種基于安全域的網絡信息系統安全性評估方法

羅 俊

(衛士通信息產業股份有限公司,四川成都610041)

一種基于安全域的網絡信息系統安全性評估方法

羅 俊

(衛士通信息產業股份有限公司,四川成都610041)

針對大型網絡信息系統的安全問題,提出了一種基于安全域的安全性評估方法。首先,基于安全域的劃分原則將網絡信息系統按照其所維護的數據類型和所承擔的業務功能類別劃分為六個安全域,并以電信運營商MBOSS系統為例進行了基于六大安全域的劃分。然后,介紹了層次分析法AHP的基本數學原理,建立了電信運營商MBOSS系統的多級層次化結構模型。最后,討論了基于該模型采用AHP方法對信息系統進行安全性評估的過程。

安全域 安全評估 層次分析法

0 引 言

網絡信息系統是一個基于計算機網絡的復雜系統和開放系統,隨著網絡技術日新月異的發展,基于信息系統的各種用戶業務也獲得了長足的進步,如何在保障用戶業務的前提下保證網絡信息系統的安全性是一個巨大的挑戰[1-2]。面對一個開放的規模龐大的復雜信息系統,逐項確定單項信息資產的保護方法,是件工作量巨大的工作,難免由于人為的疏忽或錯誤導致出現安全漏洞。而從另外一個角度考慮,將整個系統劃入同一個安全等級來防護,又容易造成防范層次和防范重點的缺失,對內部風險的控制能力不夠。為了實現多層次多領域的立體保護,較好的處理方式是劃分安全域,基于統一的資產劃分規則,將各種不同的信息資產歸入不同的安全域中,每個安全域內部都有著基本相同的安全特性,比如具備的安全級別,面臨的安全威脅,存在的安全弱點,所處的安全運行環境,隱藏的安全風險等。對于屬于同一個安全域內的信息資產,可以按照大致相同的標準和維度來對各種組成成分進行安全性的分析與評估,掌握該安全域進而整個網絡信息系統的安全狀況。在準確掌握各安全域和網絡信息系統整體安全狀況的基礎上,確定各安全域以及整個網絡信息系統的安全保護等級和防護手段,實現域內一體化、域間差別化、多層次多樣化的信息系統安全保護[3]。

安全域是由一組具有相同的安全保護需求、相互信任且存在一定的協作關系的設備和軟硬件系統構成的邏輯區域,屬于同一安全域的軟硬件系統和設備共享相同的安全策略。進行安全域劃分的目的是把一個大規模復雜開放系統的粗粒度的安全問題,分解為更小區域的較細粒度的安全保護問題,進行層次化、差異化、有重點有步驟的分析、評估和保護,基于安全域的方法是實現大規模復雜開發信息系統安全評估和保護的有效方法。

1 安全域劃分

安全域是指位于同一網絡環境中的,具有相同業務功能要求、安全保護要求和安全策略配置的,相互信任并相互協作的信息系統多個要素的集合,是包括網絡和主機、設備和模塊、軟件與硬件、物理環境和運行環境、安全策略和業務流程等諸多因素在內的邏輯共同體。綜合業務、安全、管理等多個維度,安全域劃分所遵循的基本原則如下:

1)業務保障原則:安全域劃分的最根本目的是能夠更好地保障所承載的業務,即可用性,必須在保障業務的正常運行和運行效率的前提下考慮適當的安全保護手段。安全只是手段,安全措施的實施不能以犧牲業務效用為代價。

2)結構簡化原則:簡單高效的網絡結構不僅便于業務的開展,也便于防護體系的規劃和設計。從系統可管理性和可操作性的角度考量,安全域的劃分并不是粒度越細越好,劃分過多過雜的安全域可能導致安全管理的復雜度和難度過高。

3)等級保護原則:安全域的劃分要和等級保護結合起來,做到縱向和橫向保護相結合。要做到同一個安全域內的信息資產價值相近,具有相同或相近的安全等級、運行在相似的安全環境下、配置大致相同的安全策略和采用類似的防護手段等。

4)立體協防原則:安全域的主要保護對象是網絡信息系統,圍繞安全域的防護需要考慮各個層次和類別的安全防護,包括物理層、鏈路層、網絡層、傳輸層、會話層、表示層、應用層全七層網絡模型相對應部分,包括物理鏈路、網絡、主機、外設和接口等系統元素,包括客戶端、應用服務器、后臺數據庫服務器等不同的業務系統組件;需要綜合運用身份鑒別與授權、訪問控制、日志審計、鏈路冗余、傳輸加密、內容合法性檢測等各種安全功能實現立體多功能協防。

5)生命周期原則:對于安全域的劃分,要考慮網絡信息系統所固有的復雜性、動態性的特點,任何安全域的劃分都不是一成不變的,要充分考慮到變化因素,對安全域的劃分實行全生命周期管理,實時更新。

隨著安全域方法的發展,力圖用一種大一統的方法和結構去描述一個復雜的網絡開放環境是非常困難的,可操作性和可控制性都存在問題。為了規避以上問題,文中采用同構性簡化的方法來描述復雜開放的網絡信息系統并劃分相應的安全域,其基本思路是認為一個復雜的開放網絡應當是由一些相通的網絡結構元素所組成,這些網元通過相互連接構造出一個大的網絡結構。

具體來說,可以將網絡系統按照其所維護的數據類型和所承擔的業務功能類別劃分為安全互聯域、安全接入域、安全服務域、安全計算域、安全用戶域和安全管理域六類,在此基礎上確定不同安全域的安全評估準則以及安全保護等級。同一安全區域內的信息資產實施統一的評估準則以及安全保護,如風險要素與權重、安全策略、信息流控制機制等。

(1)安全互聯域

支撐整個系統的網絡設備和網絡拓撲,是安全域的承載子域,其主要功能就是保障整個網絡信息系統網絡連接(內、外網)的暢通。涵蓋交換機、路由器、MPLS VPN等網絡設備和IPSEC VPN等安全設備,防護重點是保障網絡性能和進行各子域的安全隔離與邊界防護。

(2)安全接入域

為系統提供接入認證和訪問控制,是安全域的控制子域,包括用于遠程訪問的SSL VPN、Radius認證服務器等身份認證設備和防火墻等訪問控制設備。其防護重點是保障合法用戶的安全接入和不同授權實體的行為合規。

(3)安全服務域

為系統的所有合法用戶提供統一門戶的各類常用網絡服務,是安全域的公共子域。包括統一的門戶網站(WEB服務器)、文件服務器(FTP)、補丁服務器、郵件服務器等。其防護重點是保障各類公共服務器的正常運行,對各類合法用戶提供可靠和可信的應用服務,努力避免各種惡意行為的入侵,如防病毒攻擊、防木馬、防黑客篡改等。

(4)安全計算域

系統業務實現的關鍵區域,包括核心業務主機、數據庫、存儲系統等,是安全域的核心子域。防護重點是避免各種惡意行為的入侵,如防病毒攻擊、防木馬、防黑客篡改等,同時要保障數據安全,做好災備和冗錯等措施,防止數據丟失。

(5)安全用戶域

涵蓋需要訪問安全服務域和安全計算域的各類客戶端和用戶終端,是安全域的風險子域。防護重點是努力保障用戶使用環境的安全性(客戶端和終端的安全性),同時加強認證和審計,限制權限,嚴格遵守配置標準,保證用戶各種行為的合規性。

(6)安全管理域

包含網絡管理、安全運維、配置管理、4A(認證-Authentication、計費-Account、授權-Authorization、審計-Audit)等系統管理范疇的設備及軟件系統,是安全域的管理子域。其防護重點是同時加強認證和審計,限制權限,嚴格遵守配置標準,保證各級各類管理員行為的合規性,同時努力避免各種惡意行為的入侵。

安全域的劃分使網絡信息系統的整體結構更為清晰,將具有相同安全防護要求的信息資產置于同一個安全域中,同一安全域內部署相同等級和類別的安全防護策略,不同的安全域內部署不同等級和類別的差異化安全防護策略,從而達到安全投資效益最大化。

以某運營商的MBOSS系統為例,通過對該系統進行數據流和控制流分析、網絡結構和部署分析,結合考慮現有的安全隱患,從資產價值、脆弱性、安全威脅三者間的關系出發,可以得出整體的安全防護體系和各個業務系統自身的局部安全防護體系。

基于安全域劃分的幾大原則,該運營商的業務支撐系統(BSS)、企業信息系統(MSS)和網管系統(OSS)被分別劃入不同的安全域,再根據每個安全域內部的特定安全需求進一步劃分安全子域,包括:核心交換區、核心生產區、日常辦公區、管理服務區、接口區、內部系統互聯網區、外部系統互聯區。如圖1所示。

圖1 運營商MBOSS系統安全域劃分Fig.1 Security domains of MBOSS system

2 采用AHP方法評估安全性

層次分析法(AHP,The Analytic Hierarchy Process)[4-6]是由美國運籌學家薩第(T.L.Saaty)教授于本世紀70年代提出的一種無結構的多準則決策方法,主要應用在不確定情況下及具有多個評估準則的決策問題上。它將定性分析和定量分析相結合,通過思維過程的層次化和數量化,達到分析復雜問題的目的。層次分析法首先將決策的問題看作受多種因素影響的大系統,這些相互關聯、相互制約的因素可以按照它們之間的隸屬關系排成從高到低的若干層次,叫做構造階梯式層次結構。然后對各因素兩兩比較重要性,再利用數學方法,對各因素層層排序,最后對排序結果進行分析,輔助進行決策。在確定各層次各因素之間的權重時采用因素比較法,不采用統一的標準把所有因素放在一起比較,而是兩兩相互比較;采用相對比較尺度來表征兩個因素之間比較的權重,盡可能減少性質不同的諸因素相互比較的難度,提高比較結果的準確度。

因素比較法的最終目的是要統一衡量某一層n個因素對上一層某個因素的影響。具體的方法是:每次取兩個因素Fi和Fj,比較其對目標因素E的影響,比較結果用rij表示,全部比較的結果用判斷矩陣表示,即:

將這個判斷矩陣作為計算目標因素E的判斷矩陣,然后計算判斷矩陣的最大特征值和它的特征向量,經歸一化后即可計算出下層因素相對于目標因素E的權重系數。權重向量的計算常采用行向量平均值標準化法:

為了保證應用層次分析法得到的結論合理,還需要對構造的判斷矩陣進行一致性驗證,并作成一致性指標(CI,Consistency Index),檢查根據決策者的主觀判斷所構成的判斷矩陣是否為一致性矩陣。判斷矩陣滿足一致性,這樣基于層次分析法得出的結論才合理。在計算完權重向量后,要判斷判斷矩陣的一致性時,需計算一致性指標(CI)的值,其公式為:

式中,λmax為判斷矩陣對應于權重向量的最大特征值,n為判斷矩陣的階,λmax值為:

vi為一致性向量(Consistency vector),計算公式為:

式中,當CI=0,即λmax=n時,可以證明矩陣是一致性矩陣,表示前后判斷完全一致。

根據Dak Ridge National laboratory與Wharton School進行的研究,從評估尺度1-9所產生的判斷矩陣,在不同的階數下,產生的CI值有一定的容許范圍,稱為隨機指標(RI,Random Index)。RI的取值如表1所示。

表1 隨機指標一致性對照Table 1 Contrast table of rank and random index

對于1,2階的判斷矩陣,RI只是形式上的,因為1,2階判斷矩陣總具有完全一致性。當階數大于2時,判斷矩陣的一致性指標CI與同階數的隨機指標RI之比稱為一致性比率,記為CR(Consistency Ratio):

Saaty建議在CR＜0.1的情況下,皆可視為有較好的一致性,也就是說構造的判斷矩陣的不一致性可以接受,按照該判斷矩陣計算得到的各層次的特征向量即為各層次元素相對于上級元素的重要性權重向量。否則就需要調整判斷矩陣,并使之具有滿意的一致性。

根據圖1的安全域劃分和各安全域內部的拓撲結構,可以得出如圖2的系統層次結構(為了降低系統的復雜度,圖2中沒有再進一步劃分安全子域)。

對照圖1,圖2將網絡信息系統按照AHP層次分析方法劃分為了三個大的層次,頂層即目標層為系統整體安全性;中間層由安全互聯域、安全接入域、安全服務域、安全計算域、安全用戶域和安全管理域這六個安全域的安全性評估構成;底層由每個安全域內部的各種主機和設備的安全性評估構成。

在各種設備內部,是由安全性評估的諸安全要素和子要素構成一個小的AHP層次結構,對各主機和設備進行安全性評估時根據具體情況選取不同的考量因素。一般來講,某設備或主機的安全性評估要素包括該設備資產的重要性、所面臨的威脅程度、資產自身的脆弱性、資產所處的運行環境安全性等幾個方面,每個方面的評估要素如圖2所示。

安全域內各設備在該域安全性評估時所占的權重由設備資產重要性的比值決定,設備資產重要性評估的AHP層次結構如圖3所示。

圖2 運營商MBOSS系統AHP層次結構Fig.2 AHP illustration of MBOSS system

圖3 設備資產重要性AHP層次結構Fig.3 AHP illustration of device assets importance

設某安全域D內有n臺設備,每臺設備通過AHP方法評估的安全性為Si,資產重要性為Ai,則該安全域的安全性評估結果為:

根據領域專家對六大安全域兩兩重要性打分得到的判斷矩陣,采用行向量平均值標準化法得到各安全域的權重系數wi,則系統安全性評估值為:

3 結 語

網絡信息系統作為開放性的大規模復雜系統,其安全問題也呈現出復雜化和多樣化的特點。采用安全域劃分和AHP層次分析法相結合的方法,能夠把規模化的復雜問題自頂向下逐層分解為更小區域的安全保護問題,進行層次化、結構化、邊界明晰、重點突出的分析、評估和保護,是實現大規模復雜網絡信息系統安全評估和保護的有效方法。

[1] 張同升.信息系統安全防護控制策略研究[J].通信技術,2013,45(08):95-97.

ZHANG Tong-sheng.Safety Protection and Control Strategy for Information System[J].Communications Technology,2013,45(08):95-97.

[2] 陳頌,王光偉,劉欣宇,等.信息系統安全風險評估研究[J].通信技術,2012,45(01):128-130.

CHEN Song,WANG Guang-wei,LIU Xin-yu,et al.Study on Security Risk Assessment for Information System[J].Communications Technology,2012,45(01):128-130.

[3] 周志波.結合安全域的思想建設安全運營中心[J].信息安全與通信保密,2006(06):87-89.

ZHOU Zhi-bo.Establish Security Operation Center (SOC)based on Security Domain[J].China Information Security,2006(6):87-89.

[4] SAATY THOMAS L.Fundamentals of Decision Making with the Analytic Hierarchy Process[M].Pittsburgh: RWS Publications,1994.

[5] GE Yan,QI Xu,LI Hong.The Design and Application of a Generic AHP Evaluation System[C]//4th International Conference on Wireless Communications,Networking and Mobile Computing.[s.l.]:IEEE,2008:1-4.

[6] TANAKA H,TSUKAO S,YAMASHITA D,et al.Multiple Criteria Assessment of Substation Conditions by Pair-Wise Comparison of Analytic Hierarchy Process[J]. IEEE Transactions on Power Delivery,2010,25(04): 3017-3023.

LUO Jun(1975-),male,M.Sci.,senior engineer,majoring in network security.

A Security Domain-based Method for Security Evaluation of Information System

LUO Jun
(Westone Information Industry,Ltd.,Chengdu Sichuan 610041,China)

This paper presents a security evaluation method based on security domain for large-scale network information system.Firstly,based on the dividing principle of security domain,according to the data types and business functions,and with MBOSS system as an example,the information system is divided into six security domains.Then,the basic math theory of AHP is described and the multilayered hierarchy architecture model of MBOSS system established.Finally,how to evaluate the security of the information system by AHP method and the model established above are discussed.

security domain;security evaluation;AHP

TP391

A

1002-0802(2014)02-0210-05

10.3969/j.issn.1002-0802.2014.02.018

羅 俊(1975—),男,碩士,高級工程師,主要研究方向為網絡安全。