基于AHP法的銀行網絡安全評估指標體系研究*

許 久，張 強，陸璋帆，薛 質，施 勇

（1.上海交通大學 電子信息與電氣工程學院，上海 200240；2.中國銀行數據中心，上海 201210）

0 引 言

自中國2015年正式邁入“互聯網+”時代以來，互聯網逐漸滲透到社會各行各業[1]，并發揮著重要作用，其中金融行業也不例外。以國內銀行為例，隨著電子銀行業務的拓展和用戶數量的增加，網絡系統在銀行日常服務﹑業務開展和客戶管理等方面都有著舉足輕重的地位，具有信息流通量大﹑保密程度高和敏感性強等特點[2]。因此，安全性﹑穩定性和防滲透性成為系統管理最優先考慮的。網絡系統安全問題很可能給銀行甚至整個國家的金融行業帶來不堪設想的后果。作為銀行管理者，對銀行網絡系統安全態勢進行準確評估，從而及時掌握系統最新安全態勢，是提高銀行網絡系統安全性﹑確保銀行網絡系統正常運行的重要步驟。

雖然目前現有的網絡安全標準與研究很多，但對于國內金融行業特別是銀行網絡系統的安全狀況還并未形成一套統一的評估指標體系[3]。本文通過研究現有安全標準并進行對比和歸納，綜合考慮影響銀行系統安全的各維度因素，提取出符合國內銀行實際情況的網絡安全評估指標，構建出一個安全評估分級指標體系，從而不斷提高銀行網絡系統的安全水平。

1 現有安全標準的局限性

目前，國內外在網絡信息安全領域有很多不同的安全標準，最常見的有ISO27001﹑等級保護﹑IPDRR﹑FFIEC和CIS CSC等。

1.1 等級保護

信息安全等級保護要求不同安全等級的信息系統應具備不同的安全保護能力。根據實現方式的不同，基本安全要求分為基本技術要求和基本管理要求兩大類。GB 17859-1999標準將計算機信息系統的技術安全保護能力劃分成五級，其中第三級安全標記等級保護的適用范圍最廣泛，可作為制定銀行網絡系統安全評估指標體系的依據。

1.2 IPDRR

IPDRR能力框架模型包括風險識別﹑安全防御等五大能力，共15個子能力要素。它覆蓋了“事前﹑事中﹑事后”的全過程，實現了模型從以防護能力為中心向以檢測能力為中心的轉變，支持識別﹑預防﹑發現和響應等，由被動轉為主動，從而得到自適應的安全能力。但是，各模塊之間存在一定的依賴性，所能覆蓋的安全指標范圍較局限，不能將銀行系統的安全狀態完整呈現。

1.3 ISO27001

ISO27001信息安全管理體系標準為建立﹑實施﹑運行﹑監視﹑評審﹑保持和改進信息安全管理體系提供了模型。最新版的ISO27001標準有安全方針﹑資產管理等14個安全控制域和113個控制措施。它涉及的指標大都無法用于直接計算，故不能量化所需要的評估指標體系。

1.4 FFIEC CAT

FFIEC包括固有風險簡況和網絡安全成熟度兩個部分，且針對每部分都提出了一系列詳細評估指標。這些指標大多為靜態指標，不易測量且不能實時反映系統的安全狀況。

1.5 CIS CSC

CSC是能夠有效抵御網絡威脅的關鍵安全控制手段，可作為構建網絡安全防御體系的最佳實踐的查考措施。CSC標準V6.0版本包含20個關鍵控制環節和149個子控制點。每個關鍵控制環節都包含該控制環節的重要性和主要控制點﹑控制的流程和工具﹑數據流向圖等。但是，防御并不是建立系統安全評估指標體系的重點。

2 安全評估指標體系的建立

由于現有的國內外安全標準并不能很好地評估銀行信息系統的安全情況，本文基于現有安全標準，結合銀行系統的實際情況，提出一個安全評估指標體系并確定指標權重，邏輯圖見圖1。

圖1 建立安全評估指標體系邏輯

2.1 維度與指標的選取

首先通過分析研究上述五種安全標準，從中提取符合銀行系統特點的安全內容。

（1）在ISO27001的14個安全域中，A.16對于一個銀行網絡系統安全評估體系來說最有借鑒意義，其余的控制域并不是需要考察的重點。A.16信息安全事件管理的目的在于確保與信息安全事件進行持續﹑有效的管理，也包括信息安全事態和弱點的溝通。因此，可以將安全事件管理作為評估銀行網絡安全情況的一個出發點，并結合網絡系統對事件本身﹑事件監測﹑事件發現﹑事件響應等維度進行深層的考慮分析。

（2）IPDRR覆蓋了事件的全過程，因此對于銀行網絡系統遇到的威脅事件，應該全面考慮在事件發生前對事件的監測能力﹑事件發生時對事件及時作出響應的能力﹑事件發生后對事件的處理以及對系統的修復能力等。對系統遇到的漏洞，也應考慮系統對漏洞的發現﹑響應和修復能力。

（3）為了滿足等級保護的要求，可以考慮將銀行系統網絡劃分安全域[4]。在同一個網絡信息系統中，根據信息的性質﹑使用主題﹑安全目標和策略等因素的不同來劃分不同的邏輯子網或網絡，每個邏輯區域有相同的安全保護需求﹑相同的安全訪問控制和邊界控制策略，區域間具有相互信任關系，且相同的網絡安全域共享相同的安全策略[5]。

（4）雖然FFIEC量化網絡風險的方式過于簡單而CSC更側重于網絡安全防御，兩者并不適用于評估銀行信息系統安全狀態，但CSC與FFIEC中列出的指標可以作為建立指標體系的部分依據[6]。

銀行信息系統主要會面臨系統內外部的威脅﹑系統自身存在的漏洞和可能要面對的威脅情報等。因此，結合等級保護的中心思想，本文考慮將該安全指標體系劃分成威脅事件管理﹑漏洞管理和情報管理三個域，每個域再按不同維度提取指標，如圖2所示。

圖2 銀行網絡系統安全評估指標體系

2.1.1 事件（B11）

事件指系統受到的威脅事件，以事件數量作為衡量指標。各類不同等級的威脅事件會發生在系統內外部，并給信息系統﹑機構帶來不同的后果。具體地，可提取外部服務拒絕事件總量﹑影響IT環境數量等指標。

2.1.2 監測（B12）

銀行利用現有的工具﹑資產進行數據收集與分析，以實現對威脅事件的提前預測與及時反應。因此，可圍繞信息資產管理﹑信息收集﹑分析能力三個角度對監測維度選取指標，如中間件資產數量﹑生產環境信息源數量和年持續監控時間等。

2.1.3 響應（B13）

響應能力指系統在威脅事件發生后處理事件的能力。系統對于不同層面的事件分別采取不同的處置方式，以事件數目為衡量指標；對于不同等級的事件，分別考慮其處理時間。具體地，可提取網絡層處置數量﹑一般事件信息破壞實際平均處理時間﹑重大事件資金盜取實際最大處理時間等指標。

2.1.4 調查取證（B14）

調查取證指為了查明事件而進行調查﹑收集證據的過程。調查取證所花費的時間與采用的技術都是需要衡量的指標，如調查取證要求時間﹑提交司法程序的事件數量等。

2.1.5 演練（B15）

演練主要是為了提高對威脅事件的應急能力，對不同類型的事件有不同的演練方法。演練往往會發現在技術或管理層面存在的問題。具體地，可提取應急預案數量﹑發現的技術問題數量等指標。

2.1.6 脆弱性（B21）

脆弱性指系統缺少安全措施或采用的安全措施有缺陷，需考慮已發現的漏洞種類數﹑不同等級的漏洞數量和漏洞涉及的不同層面的應用數量等。

2.1.7 漏洞發現能力（B22）

及時發現漏洞是提高系統安全性的保障。相關技術人員需定期對系統進行漏洞掃描和滲透測試，并在每次新版本上線前對新升級的應用進行安全測試。各個環節所涉及的資產數量﹑范圍﹑應用數量與發現的漏洞時間偏差，都是必要的衡量指標。

2.1.8 漏洞修復能力（B23）

發現漏洞后及時修復漏洞，可以將其對系統安全造成的威脅降到最低。修復能力多體現在修復不同等級漏洞所用的時間和修復的漏洞數量上。

2.1.9 釣魚網站（B31）

釣魚網站通常指偽裝成銀行或電子商務來竊取用戶提交的銀行賬號﹑密碼等私密信息的網站。系統對釣魚網站的發現﹑處置能力也是評估其安全情況的依據之一，具體體現在發現數量﹑處置時間和封堵數量等方面。

2.1.10 公開漏洞（B32）

對于公開漏洞，系統應具備發現和處置能力，如各級公開漏洞﹑0day漏洞及受公開漏洞影響的應用數量，對公開漏洞的處置時間等。

2.1.11 外泄客戶信息（B33）

對于銀行系統，客戶信息是高度機密且最具價值的資產，以主動發現和被動公開的信息的數量作為采集指標。

2.1.12 情報共享（B34）

銀行機構的情報共享能力體現在情報數量上，可提取合作機構數量﹑輸入情報共享條目數等指標。

2.2 指標權重的確立

AHP的基本原理是分析系統存在的多個因素，劃分出各因素間相互聯系的有序層次[7]；通過多名專家對各層次對象打分，構造各層次中的判斷矩陣，從而計算出各級指標的權重。本文利用AHP對所提出的銀行系統安全評估指標體系構建相應的判斷矩陣，再用R語言求解判斷矩陣的最大特征值和相應的特征向量，最終進行一致性校驗，從而得到各指標維度的權重。

2.2.1 判斷矩陣的建立

根據已提出的指標體系，可假設AHP中層次模型的最高層為A，中間層為B1～B3，最低層為B11～B34。考慮分別對最高層和中間層構建判斷矩陣。判斷矩陣是以上一級的某因素作為判斷準則，針對本級因素進行兩兩比較來確定矩陣的元素。以最高層為例，構造矩陣：

其中，aij表示對于A而言，Bi相對Bj重要性的標度，aij=1/aij，aii=1。AHP為了定量化描述比較結果，通常使用1～9級標度，如表1所示。

表1 AHP判斷矩陣量化標度

通過研究資料數據﹑專家意見和系統分析人員的經驗，反復研究后確定該指標系統中最高層A和中間層B1～B3的判斷矩陣分別為：

2.2.2 指標權重的分配

單層權重的確定是指根據判斷矩陣計算對于上一層某因素而言，本層次中與之有聯系的因素之間的重要性權重。常見的計算方法主要有幾何平均法和規范列平均法兩種[8]。本文將此歸結為計算判斷矩陣的特征值和特征向量的問題。

以矩陣A為例，計算出判斷矩陣的最大特征值λmax及其對應的特征向量W：

歸一化后得到該層次因素對于上一層相關因素的相對重要性權值。

受各種主客觀因素的影響，判斷矩陣一般很難出現嚴格一致性的情況。因此，還要繼續對A進行一致性檢驗。計算其一致性指標：

其中，n為A的維度。CI的值越小越好，當CI＝0時，A具有完全一致性。由CI的值，根據saaty的結果可以算出平均隨機一致性指標RI，從而得到一致性比率：

當CR＜0.1時，判斷矩陣A滿足一致性檢驗。利用R語言進行計算，得到判斷矩陣A﹑B1﹑B2﹑B3的最大特征值和一致性檢驗結果，如表2所示。

表2 判斷矩陣最大特征值和一致性檢驗

由表2可知，判斷矩陣全部通過一致性檢驗。根據綜合權重計算公式，可以得到最終的銀行系統安全評估指標和權重的分配結果如表3所示。

表3 安全評價指標體系和權重分布

3 結 語

本文將專家法與層次分析法相結合，創造性地提出了符合國內銀行網絡系統特點的安全評估指標體系。由表3可知，銀行網絡系統安全評估指標在威脅事件管理﹑漏洞管理和情報管理三個域占較大比重，其中各個域中也分有不同權重的維度。由于篇幅限制，各個維度下的細化指標并未在本文中列出，但權重計算方法同理。此外，本文提出的評價指標體系的權重分配方案并不是唯一固定的，應當根據銀行的實際情況不斷調整并加以檢驗，從而更好地為銀行網絡系統安全提供更加完善的保障。

[1] DeSmit Z,Elhabashy A E,Wells L J,et al.Cyber-physical Vulnerability Assessment in Manufacturing Systems[J].Procedia Manufacturing,2016(05):1060-1074.

[2] 郭紅衛,康浩民,祝文杰.云計算模式下金融信息安全風險評估分析[J].現代工業經濟和信息化,2015(19):75-77.

GUO Wei-hong,KANG Hao-min,ZHU Wen-jie.Riskassessment of Financial Information Safety with the Cloud Computing Mode[J].Modern Industrial Economy and Informationization,2015(19):75-77.

[3] 廖暉,凌捷.網絡終端安全狀況評估指標體系的研究[J].計算機工程與設計,2010,31(05):961-964.

LIAO Hui,LING Jie.Research on Network Terminal Security Assessment Index System[J].Computer Engineering and Design,2010,31(05):961-964.

[4] 袁慧萍.銀行數據中心信息安全等級保護研究與實踐[J].信息網絡安全,2015(04):86-89.

YUAN Hui-ping.Research and Practice of the Classi ed Protection System of the Bank Data Center[J].Netinfo Security,2015(04):86-89.

[5] 姚德益.基于等級保護的銀行核心網絡系統安全防護體系的研究與設計[D].上海:東華大學,2014:1-56.

YAO De-yi.The Research and Design about the Bank Core Network Security Protection System According to the Classified Protection[D].Shanghai:Donghua University,2014:1-56.

[6] 陳秀真,鄭慶華,管曉宏等.層次化網絡安全威脅態勢量化評估方法[J].軟件學報,2006,17(04):885-897.

CHEN Xiu-zhen,ZHENG Qing-hua,GUAN Xiao-hong,et al.Quantitative Hierarchical Threat Evaluation Model for Network Security[J].Journal of Software,2006,17(04):885-897.

[7] 沈悅,王小霞,張珍.AHP法在確定金融安全預警指標權重中的應用[J].西安財經學院學報,2008,21(02):65-69.

SHEN Yue,WANG Xiao-xia,ZHANG Zhen.Application of AHP in Determining Weight of Early Warning Index of Financial Security[J].Journal of Xi'an University of Finance and Economics,2008,21(02):65-69.

[8] 姚樹香.一種新的基于AHP的信息安全風險評估方法研究[J].江蘇科技信息,2015(03):63-65.

YAO Shu-xiang.A New AHP-based Information Security Risk Assessment Method[J].Jiangsu Science and Technology Information,2015(03):63-65.