基于服務(wù)重要度的信息系統(tǒng)安全評(píng)估方法

◆孔 睿 何韶軍 焦大偉 李 遠(yuǎn) 徐 筱

( 1.中國(guó)人民解 放軍軍事科學(xué)院戰(zhàn)爭(zhēng)研究院 北京 100091; 2.中國(guó)人民解放軍31003部隊(duì)北京 100191; 3.亞東廣聯(lián)科技有限公司 北京 102200)

信息系統(tǒng)安全評(píng)估[1]是基于一定的技術(shù)手段與評(píng)估模型，對(duì)系統(tǒng)安全進(jìn)行綜合評(píng)價(jià)，通過評(píng)價(jià)結(jié)果來了解系統(tǒng)中潛在的威脅和脆弱性，確定系統(tǒng)的安全情況，評(píng)定系統(tǒng)的安全等級(jí)，為安全管理提供重要依據(jù)。而評(píng)估方法的選擇直接影響到評(píng)估過程中的每個(gè)環(huán)節(jié)，甚至?xí)绊懙阶罱K的評(píng)估結(jié)果。

經(jīng)典的OCTAVE[2]從資產(chǎn)脆弱性[3]的角度出發(fā)提供了安全風(fēng)險(xiǎn)評(píng)估理論框架。故障樹分析[4]畫出故障原因的各種可能組合方式和/或其發(fā)生概率。事件樹分析[5]能夠分析風(fēng)險(xiǎn)事件可能導(dǎo)致的各種事件的一系列結(jié)果。層次分析法（AHP）[6]將目標(biāo)分解為多個(gè)指標(biāo)，再分解為多指標(biāo)的若干層次，通過定性指標(biāo)模糊量化方法算出層次單排序和總排序。需要一致性檢驗(yàn)，算法較為復(fù)雜。屬性層次模型（AHM）[7]是由程乾生教授在研究AHP模型的基礎(chǔ)上提出的一種新的無結(jié)構(gòu)決策方法，可不做一致性檢驗(yàn)，簡(jiǎn)化了計(jì)算，使決策容易實(shí)現(xiàn)。模糊綜合評(píng)判[8]根據(jù)確定的目的來測(cè)定對(duì)象系統(tǒng)的屬性，并將這種屬性變成客觀定量的數(shù)值或主觀效用的行為。該法的優(yōu)點(diǎn)是數(shù)學(xué)模型簡(jiǎn)單，容易掌握，對(duì)多元素多層次的復(fù)雜問題評(píng)判效果比較好。吳文剛等人提出層次分析法AHP和模糊綜合評(píng)判Fuzzy相結(jié)合的評(píng)估方法[8]，但層次分析法算法復(fù)雜，需要一致性檢驗(yàn)，給計(jì)算帶來不便。

除此之外還有BP神經(jīng)網(wǎng)絡(luò)[9]、攻擊圖理論[10]、D-S證據(jù)理論[11]、灰色理論[12]等評(píng)估方法，但這些評(píng)估方法沒有考慮信息系統(tǒng)中不同服務(wù)的重要性，無法評(píng)估各種威脅可能對(duì)信息系統(tǒng)不同服務(wù)造成的危害。

1 系統(tǒng)構(gòu)建

構(gòu)建基于服務(wù)重要度的信息系統(tǒng)安全評(píng)估系統(tǒng)包括六個(gè)模塊，評(píng)估流程如圖1所示。

圖1 信息系統(tǒng)安全評(píng)估流程圖

1.1 建立評(píng)估模型

根據(jù)信息系統(tǒng)的服務(wù)組成，建立信息系統(tǒng)屬性分層結(jié)構(gòu)，將信息系統(tǒng)視為一個(gè)整體，為使用者提供多種不同的服務(wù)，每種服務(wù)分解為多層資源，每種資源用基本屬性來描述，將服務(wù)重要度作為第一分層節(jié)點(diǎn)，從上至下依次將信息系統(tǒng)分為系統(tǒng)層、服務(wù)層、資源層、屬性層，獲得信息系統(tǒng)安全評(píng)估模型，如圖2所示。

圖2 信息系統(tǒng)的分層結(jié)構(gòu)示意圖

（1）資源層

具體細(xì)分為一級(jí)資源、二級(jí)資源，每一資源最終都分解為基本資源。一級(jí)資源包括計(jì)算機(jī)網(wǎng)絡(luò)硬件、計(jì)算機(jī)網(wǎng)絡(luò)軟件和數(shù)據(jù)資源。二級(jí)資源包括主機(jī)設(shè)備、外圍設(shè)備、網(wǎng)絡(luò)設(shè)備等。基本資源包括CPU、內(nèi)存、硬盤、光驅(qū)、電源、BIOS、網(wǎng)卡以及其他輸入輸出控制器和接口等。如圖3所示。

圖3 資源層分層結(jié)構(gòu)示意圖

（2）屬性層

包括若干基本屬性，用來綜合評(píng)價(jià)信息系統(tǒng)的基本資源，通過信息系統(tǒng)在網(wǎng)絡(luò)破壞前后對(duì)基本屬性的變化獲得網(wǎng)絡(luò)威脅對(duì)信息系統(tǒng)安全性和信息系統(tǒng)服務(wù)質(zhì)量的影響，反映受到網(wǎng)絡(luò)威脅的程度。

基本屬性包括以下6種。可用性[13]指信息系統(tǒng)的服務(wù)在某一時(shí)刻提供有效使用的程度，采用可用度A來表示。占用率是指某項(xiàng)服務(wù)或程序占用某資源，表示資源在某時(shí)間點(diǎn)的運(yùn)行程序的情況，監(jiān)測(cè)信息系統(tǒng)的服務(wù)和數(shù)據(jù)被其他資源占用的情況。響應(yīng)速率/時(shí)間是指從給定計(jì)算機(jī)輸入到出現(xiàn)對(duì)應(yīng)的輸出之間的時(shí)間間隔。正確度表示測(cè)量結(jié)果與信息系統(tǒng)本身所提供的服務(wù)或存儲(chǔ)的數(shù)據(jù)之間誤差大小的程度。保密性能保證信息系統(tǒng)提供的服務(wù)和數(shù)據(jù)資源不被非法竊取和解析。完整性指在存儲(chǔ)、傳輸數(shù)據(jù)資源的過程中，能夠存儲(chǔ)、傳輸全部正確的數(shù)據(jù)，信息沒有任何遺漏。

1.2 設(shè)置評(píng)估模型屬性權(quán)重值

請(qǐng)N個(gè)專家對(duì)評(píng)估模型的各層元素打分，去掉每一個(gè)專家得分的最大值和最小值，余下的取算術(shù)平均值并取整，計(jì)算求得各元素的屬性權(quán)重值，獲得各元素的比重。

1.3 設(shè)置安全評(píng)估等級(jí)

設(shè)置安全評(píng)估等級(jí)分?jǐn)?shù)表，根據(jù)網(wǎng)絡(luò)破壞程度將信息系統(tǒng)安全劃分為m個(gè)等級(jí)，各個(gè)等級(jí)賦予相應(yīng)的分?jǐn)?shù)，表達(dá)信息系統(tǒng)適應(yīng)性。通過將權(quán)重得分按照以上等級(jí)劃分，可以定性分析安全檢測(cè)效果。

1.4 網(wǎng)絡(luò)安全測(cè)試

在網(wǎng)絡(luò)威脅環(huán)境下對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全測(cè)試，判斷網(wǎng)絡(luò)是否出現(xiàn)異常情況。當(dāng)發(fā)生網(wǎng)絡(luò)惡意行為時(shí)，網(wǎng)絡(luò)惡意行為動(dòng)作通過作用于基本屬性實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的破壞和信息的截獲，網(wǎng)絡(luò)安全測(cè)試模塊運(yùn)用安全檢測(cè)工具對(duì)信息系統(tǒng)的基本屬性進(jìn)行監(jiān)控檢測(cè)獲得基本屬性的變化，從而判斷網(wǎng)絡(luò)是否出現(xiàn)異常情況以及發(fā)生異常的服務(wù)層。安全檢測(cè)工具包括：信息收集類，如嗅探工具、PING掃描工具和端口掃描工具；系統(tǒng)安全分析類，如主機(jī)操作系統(tǒng)配置檢查工具、主機(jī)系統(tǒng)審計(jì)工具、數(shù)據(jù)完整性檢測(cè)工具等；應(yīng)用安全檢測(cè)類，如源代碼掃描工具、IDS工具、防火墻測(cè)試工具等；攻擊測(cè)試類，如密碼破解工具、會(huì)話劫持/欺騙工具、系統(tǒng)權(quán)限提升工具等。

1.5 計(jì)算模糊綜合評(píng)判集

在網(wǎng)絡(luò)威脅環(huán)境下對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全測(cè)試，判斷網(wǎng)絡(luò)是否出現(xiàn)異常情況。當(dāng)發(fā)生網(wǎng)絡(luò)惡意行為時(shí)，網(wǎng)絡(luò)惡意行為動(dòng)作通過作用于基本屬性實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的破壞和信息的截獲，網(wǎng)絡(luò)安全測(cè)試模塊運(yùn)用安全檢測(cè)工具對(duì)信息系統(tǒng)的基本屬性進(jìn)行監(jiān)控檢測(cè)獲得基本屬性的變化，從而判斷網(wǎng)絡(luò)是否出現(xiàn)異常情況以及發(fā)生異常的服務(wù)層。安全檢測(cè)工具包括：信息收集類，如嗅探工具、PING掃描工具和端口掃描工具；系統(tǒng)安全分析類，如主機(jī)操作系統(tǒng)配置檢查工具、主機(jī)系統(tǒng)審計(jì)工具、數(shù)據(jù)完整性檢測(cè)工具等；應(yīng)用安全檢測(cè)類，如源代碼掃描工具、IDS工具、防火墻測(cè)試工具等；攻擊測(cè)試類，如密碼破解工具、會(huì)話劫持/欺騙工具、系統(tǒng)權(quán)限提升工具等。

（1）基本屬性的模糊綜合評(píng)價(jià)矩陣

確定安全評(píng)估組 p位成員，根據(jù)劃分的m個(gè)等級(jí)分別對(duì)信息系統(tǒng)安全的各個(gè)基本屬性進(jìn)行評(píng)價(jià)，其評(píng)價(jià)結(jié)果統(tǒng)計(jì)如表1所示。

表1 基本屬性評(píng)價(jià)結(jié)果統(tǒng)計(jì)

確定安全評(píng)估組p位成員，根據(jù)劃分的m個(gè)等級(jí)分別對(duì)信息系統(tǒng)安全各個(gè)基本屬性進(jìn)行評(píng)價(jià)，其評(píng)價(jià)結(jié)果統(tǒng)計(jì)如表1所示。

其中，S1-Sm是等級(jí)域里的等級(jí)，GkSm'是每位專家對(duì)各個(gè)基本屬性在各個(gè)等級(jí)的打分，1≤k≤g，且對(duì)于固定的基本屬性Gk，有

將得分做歸一化處理，求得每個(gè)基本屬性在每個(gè)等級(jí)的隸屬度，計(jì)算公式為：

（2）各層的模糊綜合評(píng)判集

確定安全評(píng)估組 p位成員，根據(jù)劃分的m個(gè)等級(jí)分別對(duì)信息系統(tǒng)安全的各個(gè)基本屬性進(jìn)行評(píng)價(jià)，其評(píng)價(jià)結(jié)果統(tǒng)計(jì)如表1所示。

從最低層資源層開始進(jìn)行評(píng)價(jià)。評(píng)價(jià)算法依據(jù)綜合評(píng)價(jià)模型B=AR來進(jìn)行，其中，A是本級(jí)各元素的相對(duì)權(quán)重，R是模糊綜合評(píng)價(jià)矩陣，采用矩陣乘法計(jì)算求得模糊綜合評(píng)判集。每一層級(jí)中，計(jì)算所得的模糊綜合評(píng)判集是上一層級(jí)的模糊綜合評(píng)價(jià)

矩陣。

對(duì)資源層F中每一資源Fk：

其中，1≤k≤g。B(G1)-B(Gg)是屬于資源Fk的模糊綜合評(píng)價(jià)矩陣，A(Fk)是Fk下屬的基本屬性的相對(duì)權(quán)重，B(Fk)即資源Fk的模糊綜合評(píng)判集。

同理，求得B(Ek)、B(Dk)、B(Ck)、B(Bk)。

（3）信息系統(tǒng)的模糊綜合評(píng)判集

計(jì)算公式為：

其中，B1-Bn是信息系統(tǒng)的n項(xiàng)服務(wù)，WA1-WAn是各項(xiàng)服務(wù)的相對(duì)權(quán)重。B= [b1,b2,...,bm]即為信息系統(tǒng)安全的模糊綜合評(píng)判集。

1.6 判定安全等級(jí)

通過計(jì)算信息系統(tǒng)安全得分來判定安全等級(jí)，將信息系統(tǒng)安全的模糊綜合評(píng)判集用歸一化公式處理，獲得得分S，計(jì)算公式為：

其中，j= 1,2,3....m。求得得分S即為信息系統(tǒng)安全性最終得分，從而判定安全等級(jí)。至此，完成了基于服務(wù)重要度的信息系統(tǒng)安全評(píng)估。

2 實(shí)例分析

構(gòu)建基于服務(wù)重要度的信息系統(tǒng)安全評(píng)估系統(tǒng)包括六個(gè)模塊，評(píng)估流程如圖1所示。

2.1 建立評(píng)估模型

根據(jù)信息系統(tǒng)的服務(wù)組成建立信息系統(tǒng)的屬性分層結(jié)構(gòu)如圖4所示。首先，按信息系統(tǒng)分層結(jié)構(gòu)的框架，將信息系統(tǒng)安全評(píng)估模型從上至下的順序劃分不同的層級(jí)。

圖4 實(shí)施例的分層結(jié)構(gòu)示意圖

2.2 設(shè)置評(píng)估模型屬性權(quán)重值

按照實(shí)際情況設(shè)置評(píng)估模型屬性權(quán)重值，由20位專家分別對(duì)各層次元素進(jìn)行兩兩比較打分，采用9級(jí)分制對(duì)各個(gè)判斷矩陣中的元素進(jìn)行賦值。各層的判斷矩陣如表2所示。

表2 各層判斷矩陣

2.3 設(shè)置安全評(píng)估等級(jí)

根據(jù)網(wǎng)絡(luò)破壞程度將信息系統(tǒng)安全劃分為以下五個(gè)等級(jí)，表達(dá)信息系統(tǒng)安全程度。總分值100分，按得分高低劃分安全等級(jí)，如表3所示。

表3 安全等級(jí)劃分

2.4 網(wǎng)絡(luò)安全測(cè)試

首先構(gòu)設(shè)網(wǎng)絡(luò)威脅環(huán)境，對(duì)該信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)嗅探、拒絕服務(wù)攻擊、數(shù)據(jù)驅(qū)動(dòng)攻擊、IP欺騙、ARP攻擊，其中數(shù)據(jù)驅(qū)動(dòng)攻擊包括木馬和病毒，以便對(duì)網(wǎng)絡(luò)威脅后信息系統(tǒng)基本屬性進(jìn)行評(píng)估。其次，使用嗅探工具、日志分析工具、防火墻測(cè)試工具、路由器測(cè)試工具、交換機(jī)測(cè)試工具、蠕蟲檢測(cè)工具、病毒檢測(cè)工具對(duì)基本屬性進(jìn)行安全檢測(cè)，生成檢測(cè)報(bào)告，為專家打分提供依據(jù)。

2.5 計(jì)算模糊綜合評(píng)判集

（1）基本屬性的模糊綜合評(píng)價(jià)矩陣

首先，由安全評(píng)估組20位成員，根據(jù)劃分的五個(gè)等級(jí)分別對(duì)信息系統(tǒng)安全的33個(gè)基本屬性進(jìn)行評(píng)價(jià)，評(píng)價(jià)結(jié)果統(tǒng)計(jì)如表4所示。

表4 安全等級(jí)劃分

將得分做歸一化處理，用公式（1）計(jì)算每個(gè)基本屬性在每個(gè)等級(jí)的隸屬度，得到模糊綜合評(píng)價(jià)矩陣如表5所示。

表5 基本屬性的模糊綜合評(píng)價(jià)矩陣

（2）各層的模糊綜合評(píng)判集

求得：B(D1) = [0 . 1 51,0.28,0.268,0.165,0.136]，…，B(D2) = [0.278,0.253,0.227,0.157,0.087]。

根據(jù)公式（4）求得：B=AR(B1B2) = [0.186,0.273,0.248,0.156,0.122]。

2.6 判定安全等級(jí)

根據(jù)公式（5）求得信息系統(tǒng)的安全評(píng)估得分為：S=79。

該信息系統(tǒng)的安全評(píng)估得分79分，從而判定信息系統(tǒng)安全等級(jí)為3，信息系統(tǒng)受到中等級(jí)程度的安全威脅，信息系統(tǒng)安全性一般。

從相對(duì)權(quán)重來看，由于服務(wù)1操作系統(tǒng)數(shù)據(jù)B1的權(quán)重遠(yuǎn)大于服務(wù)2計(jì)算機(jī)網(wǎng)絡(luò)硬件B2，因此，服務(wù)1操作系統(tǒng)數(shù)據(jù)B1的安全性更重要，進(jìn)一步通過改善加密算法提高操作系統(tǒng)數(shù)據(jù)的安全性。對(duì)服務(wù)B1來說，一級(jí)資源操作系統(tǒng)管理數(shù)據(jù)C1占據(jù)最大的權(quán)重，因而重要性最高。在所有資源中，基本資源文件管理D1在服務(wù)B1中最重要，在服務(wù)B2中基本資源外存儲(chǔ)器D9所占比例最高，CPUD4其次。在所有的基本屬性中，外存儲(chǔ)器D9比重最高，對(duì)信息系統(tǒng)安全影響最大。因此，要著重控制和使用外存儲(chǔ)器，定期查殺病毒。文件管理D1的響應(yīng)速率G2、交換機(jī)D7的響應(yīng)速率G21、鍵盤D10的正確度G32的比重均相對(duì)較小，因此并不重要。

3 結(jié)束語

本文從服務(wù)重要度的角度出發(fā)建立信息系統(tǒng)分層結(jié)構(gòu)模型，并將屬性層次模型與模糊綜合評(píng)判法相結(jié)合應(yīng)用于信息系統(tǒng)安全的評(píng)估，既能夠?qū)崿F(xiàn)建模的簡(jiǎn)潔實(shí)用，減少計(jì)算復(fù)雜度，又能有效地處理評(píng)價(jià)過程中的主觀性以及客觀所遇到的模糊現(xiàn)象，全面綜合評(píng)估信息系統(tǒng)安全。