999精品在线视频,手机成人午夜在线视频,久久不卡国产精品无码,中日无码在线观看,成人av手机在线观看,日韩精品亚洲一区中文字幕,亚洲av无码人妻,四虎国产在线观看 ?

基于服務(wù)重要度的信息系統(tǒng)安全評(píng)估方法

2020-07-18 11:39:50何韶軍焦大偉
關(guān)鍵詞:資源評(píng)價(jià)服務(wù)

◆孔 睿 何韶軍 焦大偉 李 遠(yuǎn) 徐 筱

( 1.中國(guó)人民解 放軍軍事科學(xué)院戰(zhàn)爭(zhēng)研究院 北京 100091; 2.中國(guó)人民解放軍31003部隊(duì)北京 100191; 3.亞東廣聯(lián)科技有限公司 北京 102200)

信息系統(tǒng)安全評(píng)估[1]是基于一定的技術(shù)手段與評(píng)估模型,對(duì)系統(tǒng)安全進(jìn)行綜合評(píng)價(jià),通過評(píng)價(jià)結(jié)果來了解系統(tǒng)中潛在的威脅和脆弱性,確定系統(tǒng)的安全情況,評(píng)定系統(tǒng)的安全等級(jí),為安全管理提供重要依據(jù)。而評(píng)估方法的選擇直接影響到評(píng)估過程中的每個(gè)環(huán)節(jié),甚至?xí)绊懙阶罱K的評(píng)估結(jié)果。

經(jīng)典的OCTAVE[2]從資產(chǎn)脆弱性[3]的角度出發(fā)提供了安全風(fēng)險(xiǎn)評(píng)估理論框架。故障樹分析[4]畫出故障原因的各種可能組合方式和/或其發(fā)生概率。事件樹分析[5]能夠分析風(fēng)險(xiǎn)事件可能導(dǎo)致的各種事件的一系列結(jié)果。層次分析法(AHP)[6]將目標(biāo)分解為多個(gè)指標(biāo),再分解為多指標(biāo)的若干層次,通過定性指標(biāo)模糊量化方法算出層次單排序和總排序。需要一致性檢驗(yàn),算法較為復(fù)雜。屬性層次模型(AHM)[7]是由程乾生教授在研究AHP模型的基礎(chǔ)上提出的一種新的無結(jié)構(gòu)決策方法,可不做一致性檢驗(yàn),簡(jiǎn)化了計(jì)算,使決策容易實(shí)現(xiàn)。模糊綜合評(píng)判[8]根據(jù)確定的目的來測(cè)定對(duì)象系統(tǒng)的屬性,并將這種屬性變成客觀定量的數(shù)值或主觀效用的行為。該法的優(yōu)點(diǎn)是數(shù)學(xué)模型簡(jiǎn)單,容易掌握,對(duì)多元素多層次的復(fù)雜問題評(píng)判效果比較好。吳文剛等人提出層次分析法AHP和模糊綜合評(píng)判Fuzzy相結(jié)合的評(píng)估方法[8],但層次分析法算法復(fù)雜,需要一致性檢驗(yàn),給計(jì)算帶來不便。

除此之外還有BP神經(jīng)網(wǎng)絡(luò)[9]、攻擊圖理論[10]、D-S證據(jù)理論[11]、灰色理論[12]等評(píng)估方法,但這些評(píng)估方法沒有考慮信息系統(tǒng)中不同服務(wù)的重要性,無法評(píng)估各種威脅可能對(duì)信息系統(tǒng)不同服務(wù)造成的危害。

1 系統(tǒng)構(gòu)建

構(gòu)建基于服務(wù)重要度的信息系統(tǒng)安全評(píng)估系統(tǒng)包括六個(gè)模塊,評(píng)估流程如圖1所示。

圖1 信息系統(tǒng)安全評(píng)估流程圖

1.1 建立評(píng)估模型

根據(jù)信息系統(tǒng)的服務(wù)組成,建立信息系統(tǒng)屬性分層結(jié)構(gòu),將信息系統(tǒng)視為一個(gè)整體,為使用者提供多種不同的服務(wù),每種服務(wù)分解為多層資源,每種資源用基本屬性來描述,將服務(wù)重要度作為第一分層節(jié)點(diǎn),從上至下依次將信息系統(tǒng)分為系統(tǒng)層、服務(wù)層、資源層、屬性層,獲得信息系統(tǒng)安全評(píng)估模型,如圖2所示。

圖2 信息系統(tǒng)的分層結(jié)構(gòu)示意圖

(1)資源層

具體細(xì)分為一級(jí)資源、二級(jí)資源,每一資源最終都分解為基本資源。一級(jí)資源包括計(jì)算機(jī)網(wǎng)絡(luò)硬件、計(jì)算機(jī)網(wǎng)絡(luò)軟件和數(shù)據(jù)資源。二級(jí)資源包括主機(jī)設(shè)備、外圍設(shè)備、網(wǎng)絡(luò)設(shè)備等。基本資源包括CPU、內(nèi)存、硬盤、光驅(qū)、電源、BIOS、網(wǎng)卡以及其他輸入輸出控制器和接口等。如圖3所示。

圖3 資源層分層結(jié)構(gòu)示意圖

(2)屬性層

包括若干基本屬性,用來綜合評(píng)價(jià)信息系統(tǒng)的基本資源,通過信息系統(tǒng)在網(wǎng)絡(luò)破壞前后對(duì)基本屬性的變化獲得網(wǎng)絡(luò)威脅對(duì)信息系統(tǒng)安全性和信息系統(tǒng)服務(wù)質(zhì)量的影響,反映受到網(wǎng)絡(luò)威脅的程度。

基本屬性包括以下6種。可用性[13]指信息系統(tǒng)的服務(wù)在某一時(shí)刻提供有效使用的程度,采用可用度A來表示。占用率是指某項(xiàng)服務(wù)或程序占用某資源,表示資源在某時(shí)間點(diǎn)的運(yùn)行程序的情況,監(jiān)測(cè)信息系統(tǒng)的服務(wù)和數(shù)據(jù)被其他資源占用的情況。響應(yīng)速率/時(shí)間是指從給定計(jì)算機(jī)輸入到出現(xiàn)對(duì)應(yīng)的輸出之間的時(shí)間間隔。正確度表示測(cè)量結(jié)果與信息系統(tǒng)本身所提供的服務(wù)或存儲(chǔ)的數(shù)據(jù)之間誤差大小的程度。保密性能保證信息系統(tǒng)提供的服務(wù)和數(shù)據(jù)資源不被非法竊取和解析。完整性指在存儲(chǔ)、傳輸數(shù)據(jù)資源的過程中,能夠存儲(chǔ)、傳輸全部正確的數(shù)據(jù),信息沒有任何遺漏。

1.2 設(shè)置評(píng)估模型屬性權(quán)重值

請(qǐng)N個(gè)專家對(duì)評(píng)估模型的各層元素打分,去掉每一個(gè)專家得分的最大值和最小值,余下的取算術(shù)平均值并取整,計(jì)算求得各元素的屬性權(quán)重值,獲得各元素的比重。

1.3 設(shè)置安全評(píng)估等級(jí)

設(shè)置安全評(píng)估等級(jí)分?jǐn)?shù)表,根據(jù)網(wǎng)絡(luò)破壞程度將信息系統(tǒng)安全劃分為m個(gè)等級(jí),各個(gè)等級(jí)賦予相應(yīng)的分?jǐn)?shù),表達(dá)信息系統(tǒng)適應(yīng)性。通過將權(quán)重得分按照以上等級(jí)劃分,可以定性分析安全檢測(cè)效果。

1.4 網(wǎng)絡(luò)安全測(cè)試

在網(wǎng)絡(luò)威脅環(huán)境下對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全測(cè)試,判斷網(wǎng)絡(luò)是否出現(xiàn)異常情況。當(dāng)發(fā)生網(wǎng)絡(luò)惡意行為時(shí),網(wǎng)絡(luò)惡意行為動(dòng)作通過作用于基本屬性實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的破壞和信息的截獲,網(wǎng)絡(luò)安全測(cè)試模塊運(yùn)用安全檢測(cè)工具對(duì)信息系統(tǒng)的基本屬性進(jìn)行監(jiān)控檢測(cè)獲得基本屬性的變化,從而判斷網(wǎng)絡(luò)是否出現(xiàn)異常情況以及發(fā)生異常的服務(wù)層。安全檢測(cè)工具包括:信息收集類,如嗅探工具、PING掃描工具和端口掃描工具;系統(tǒng)安全分析類,如主機(jī)操作系統(tǒng)配置檢查工具、主機(jī)系統(tǒng)審計(jì)工具、數(shù)據(jù)完整性檢測(cè)工具等;應(yīng)用安全檢測(cè)類,如源代碼掃描工具、IDS工具、防火墻測(cè)試工具等;攻擊測(cè)試類,如密碼破解工具、會(huì)話劫持/欺騙工具、系統(tǒng)權(quán)限提升工具等。

1.5 計(jì)算模糊綜合評(píng)判集

在網(wǎng)絡(luò)威脅環(huán)境下對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全測(cè)試,判斷網(wǎng)絡(luò)是否出現(xiàn)異常情況。當(dāng)發(fā)生網(wǎng)絡(luò)惡意行為時(shí),網(wǎng)絡(luò)惡意行為動(dòng)作通過作用于基本屬性實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的破壞和信息的截獲,網(wǎng)絡(luò)安全測(cè)試模塊運(yùn)用安全檢測(cè)工具對(duì)信息系統(tǒng)的基本屬性進(jìn)行監(jiān)控檢測(cè)獲得基本屬性的變化,從而判斷網(wǎng)絡(luò)是否出現(xiàn)異常情況以及發(fā)生異常的服務(wù)層。安全檢測(cè)工具包括:信息收集類,如嗅探工具、PING掃描工具和端口掃描工具;系統(tǒng)安全分析類,如主機(jī)操作系統(tǒng)配置檢查工具、主機(jī)系統(tǒng)審計(jì)工具、數(shù)據(jù)完整性檢測(cè)工具等;應(yīng)用安全檢測(cè)類,如源代碼掃描工具、IDS工具、防火墻測(cè)試工具等;攻擊測(cè)試類,如密碼破解工具、會(huì)話劫持/欺騙工具、系統(tǒng)權(quán)限提升工具等。

(1)基本屬性的模糊綜合評(píng)價(jià)矩陣

確定安全評(píng)估組 p位成員,根據(jù)劃分的m個(gè)等級(jí)分別對(duì)信息系統(tǒng)安全的各個(gè)基本屬性進(jìn)行評(píng)價(jià),其評(píng)價(jià)結(jié)果統(tǒng)計(jì)如表1所示。

表1 基本屬性評(píng)價(jià)結(jié)果統(tǒng)計(jì)

確定安全評(píng)估組p位成員,根據(jù)劃分的m個(gè)等級(jí)分別對(duì)信息系統(tǒng)安全各個(gè)基本屬性進(jìn)行評(píng)價(jià),其評(píng)價(jià)結(jié)果統(tǒng)計(jì)如表1所示。

其中,S1-Sm是等級(jí)域里的等級(jí),GkSm'是每位專家對(duì)各個(gè)基本屬性在各個(gè)等級(jí)的打分,1≤k≤g,且對(duì)于固定的基本屬性Gk,有

將得分做歸一化處理,求得每個(gè)基本屬性在每個(gè)等級(jí)的隸屬度,計(jì)算公式為:

(2)各層的模糊綜合評(píng)判集

確定安全評(píng)估組 p位成員,根據(jù)劃分的m個(gè)等級(jí)分別對(duì)信息系統(tǒng)安全的各個(gè)基本屬性進(jìn)行評(píng)價(jià),其評(píng)價(jià)結(jié)果統(tǒng)計(jì)如表1所示。

從最低層資源層開始進(jìn)行評(píng)價(jià)。評(píng)價(jià)算法依據(jù)綜合評(píng)價(jià)模型B=AR來進(jìn)行,其中,A是本級(jí)各元素的相對(duì)權(quán)重,R是模糊綜合評(píng)價(jià)矩陣,采用矩陣乘法計(jì)算求得模糊綜合評(píng)判集。每一層級(jí)中,計(jì)算所得的模糊綜合評(píng)判集是上一層級(jí)的模糊綜合評(píng)價(jià)

矩陣。

對(duì)資源層F中每一資源Fk:

其中,1≤k≤g。B(G1)-B(Gg)是屬于資源Fk的模糊綜合評(píng)價(jià)矩陣,A(Fk)是Fk下屬的基本屬性的相對(duì)權(quán)重,B(Fk)即資源Fk的模糊綜合評(píng)判集。

同理,求得B(Ek)、B(Dk)、B(Ck)、B(Bk)。

(3)信息系統(tǒng)的模糊綜合評(píng)判集

計(jì)算公式為:

其中,B1-Bn是信息系統(tǒng)的n項(xiàng)服務(wù),WA1-WAn是各項(xiàng)服務(wù)的相對(duì)權(quán)重。B= [b1,b2,...,bm]即為信息系統(tǒng)安全的模糊綜合評(píng)判集。

1.6 判定安全等級(jí)

通過計(jì)算信息系統(tǒng)安全得分來判定安全等級(jí),將信息系統(tǒng)安全的模糊綜合評(píng)判集用歸一化公式處理,獲得得分S,計(jì)算公式為:

其中,j= 1,2,3....m。求得得分S即為信息系統(tǒng)安全性最終得分,從而判定安全等級(jí)。至此,完成了基于服務(wù)重要度的信息系統(tǒng)安全評(píng)估。

2 實(shí)例分析

構(gòu)建基于服務(wù)重要度的信息系統(tǒng)安全評(píng)估系統(tǒng)包括六個(gè)模塊,評(píng)估流程如圖1所示。

2.1 建立評(píng)估模型

根據(jù)信息系統(tǒng)的服務(wù)組成建立信息系統(tǒng)的屬性分層結(jié)構(gòu)如圖4所示。首先,按信息系統(tǒng)分層結(jié)構(gòu)的框架,將信息系統(tǒng)安全評(píng)估模型從上至下的順序劃分不同的層級(jí)。

圖4 實(shí)施例的分層結(jié)構(gòu)示意圖

2.2 設(shè)置評(píng)估模型屬性權(quán)重值

按照實(shí)際情況設(shè)置評(píng)估模型屬性權(quán)重值,由20位專家分別對(duì)各層次元素進(jìn)行兩兩比較打分,采用9級(jí)分制對(duì)各個(gè)判斷矩陣中的元素進(jìn)行賦值。各層的判斷矩陣如表2所示。

表2 各層判斷矩陣

2.3 設(shè)置安全評(píng)估等級(jí)

根據(jù)網(wǎng)絡(luò)破壞程度將信息系統(tǒng)安全劃分為以下五個(gè)等級(jí),表達(dá)信息系統(tǒng)安全程度。總分值100分,按得分高低劃分安全等級(jí),如表3所示。

表3 安全等級(jí)劃分

2.4 網(wǎng)絡(luò)安全測(cè)試

首先構(gòu)設(shè)網(wǎng)絡(luò)威脅環(huán)境,對(duì)該信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)嗅探、拒絕服務(wù)攻擊、數(shù)據(jù)驅(qū)動(dòng)攻擊、IP欺騙、ARP攻擊,其中數(shù)據(jù)驅(qū)動(dòng)攻擊包括木馬和病毒,以便對(duì)網(wǎng)絡(luò)威脅后信息系統(tǒng)基本屬性進(jìn)行評(píng)估。其次,使用嗅探工具、日志分析工具、防火墻測(cè)試工具、路由器測(cè)試工具、交換機(jī)測(cè)試工具、蠕蟲檢測(cè)工具、病毒檢測(cè)工具對(duì)基本屬性進(jìn)行安全檢測(cè),生成檢測(cè)報(bào)告,為專家打分提供依據(jù)。

2.5 計(jì)算模糊綜合評(píng)判集

(1)基本屬性的模糊綜合評(píng)價(jià)矩陣

首先,由安全評(píng)估組20位成員,根據(jù)劃分的五個(gè)等級(jí)分別對(duì)信息系統(tǒng)安全的33個(gè)基本屬性進(jìn)行評(píng)價(jià),評(píng)價(jià)結(jié)果統(tǒng)計(jì)如表4所示。

表4 安全等級(jí)劃分

將得分做歸一化處理,用公式(1)計(jì)算每個(gè)基本屬性在每個(gè)等級(jí)的隸屬度,得到模糊綜合評(píng)價(jià)矩陣如表5所示。

表5 基本屬性的模糊綜合評(píng)價(jià)矩陣

(2)各層的模糊綜合評(píng)判集

求得:B(D1) = [0 . 1 51,0.28,0.268,0.165,0.136],…,B(D2) = [0.278,0.253,0.227,0.157,0.087]。

根據(jù)公式(4)求得:B=AR(B1B2) = [0.186,0.273,0.248,0.156,0.122]。

2.6 判定安全等級(jí)

根據(jù)公式(5)求得信息系統(tǒng)的安全評(píng)估得分為:S=79。

該信息系統(tǒng)的安全評(píng)估得分79分,從而判定信息系統(tǒng)安全等級(jí)為3,信息系統(tǒng)受到中等級(jí)程度的安全威脅,信息系統(tǒng)安全性一般。

從相對(duì)權(quán)重來看,由于服務(wù)1操作系統(tǒng)數(shù)據(jù)B1的權(quán)重遠(yuǎn)大于服務(wù)2計(jì)算機(jī)網(wǎng)絡(luò)硬件B2,因此,服務(wù)1操作系統(tǒng)數(shù)據(jù)B1的安全性更重要,進(jìn)一步通過改善加密算法提高操作系統(tǒng)數(shù)據(jù)的安全性。對(duì)服務(wù)B1來說,一級(jí)資源操作系統(tǒng)管理數(shù)據(jù)C1占據(jù)最大的權(quán)重,因而重要性最高。在所有資源中,基本資源文件管理D1在服務(wù)B1中最重要,在服務(wù)B2中基本資源外存儲(chǔ)器D9所占比例最高,CPUD4其次。在所有的基本屬性中,外存儲(chǔ)器D9比重最高,對(duì)信息系統(tǒng)安全影響最大。因此,要著重控制和使用外存儲(chǔ)器,定期查殺病毒。文件管理D1的響應(yīng)速率G2、交換機(jī)D7的響應(yīng)速率G21、鍵盤D10的正確度G32的比重均相對(duì)較小,因此并不重要。

3 結(jié)束語

本文從服務(wù)重要度的角度出發(fā)建立信息系統(tǒng)分層結(jié)構(gòu)模型,并將屬性層次模型與模糊綜合評(píng)判法相結(jié)合應(yīng)用于信息系統(tǒng)安全的評(píng)估,既能夠?qū)崿F(xiàn)建模的簡(jiǎn)潔實(shí)用,減少計(jì)算復(fù)雜度,又能有效地處理評(píng)價(jià)過程中的主觀性以及客觀所遇到的模糊現(xiàn)象,全面綜合評(píng)估信息系統(tǒng)安全。

猜你喜歡
資源評(píng)價(jià)服務(wù)
基礎(chǔ)教育資源展示
SBR改性瀝青的穩(wěn)定性評(píng)價(jià)
石油瀝青(2021年4期)2021-10-14 08:50:44
一樣的資源,不一樣的收獲
服務(wù)在身邊 健康每一天
服務(wù)在身邊 健康每一天
服務(wù)在身邊 健康每一天
資源回收
招行30年:從“滿意服務(wù)”到“感動(dòng)服務(wù)”
商周刊(2017年9期)2017-08-22 02:57:56
資源再生 歡迎訂閱
資源再生(2017年3期)2017-06-01 12:20:59
基于Moodle的學(xué)習(xí)評(píng)價(jià)
主站蜘蛛池模板: www成人国产在线观看网站| 宅男噜噜噜66国产在线观看| 国产网站免费看| 久久久国产精品免费视频| 国产不卡在线看| 老司机精品一区在线视频| 成人午夜天| 99热最新网址| 天天操天天噜| 欧美精品在线看| 在线欧美国产| 国产成人欧美| 亚洲精品在线影院| 亚洲天堂区| 日韩最新中文字幕| 91伊人国产| 狼友av永久网站免费观看| 一区二区欧美日韩高清免费| 国产亚洲欧美日韩在线观看一区二区| 91精品aⅴ无码中文字字幕蜜桃| 欧美天堂久久| 国产精品亚欧美一区二区三区| 亚洲三级网站| 国产精品久久久久久久久kt| 色婷婷狠狠干| 亚洲国产精品VA在线看黑人| 黄色网址免费在线| 久久婷婷人人澡人人爱91| 成人va亚洲va欧美天堂| 青青草原国产免费av观看| 一本视频精品中文字幕| 亚洲人成色在线观看| 动漫精品啪啪一区二区三区| 91精品情国产情侣高潮对白蜜| 香蕉国产精品视频| 99久久性生片| 97久久免费视频| 久久综合丝袜日本网| 久久影院一区二区h| 国产小视频在线高清播放| 久久亚洲AⅤ无码精品午夜麻豆| 免费观看亚洲人成网站| 国产成人AV综合久久| 国产福利免费视频| 国产一区二区丝袜高跟鞋| 日韩在线网址| 午夜视频免费试看| 日本精品视频一区二区| 色噜噜狠狠色综合网图区| 色综合a怡红院怡红院首页| a级毛片免费在线观看| 欧美专区在线观看| 青青草综合网| 欧美在线精品怡红院| 日韩欧美中文字幕在线精品| 精品福利国产| 国产精品55夜色66夜色| av午夜福利一片免费看| 亚洲国产精品成人久久综合影院| 成人永久免费A∨一级在线播放| 一本色道久久88| 国产精品色婷婷在线观看| 国产人成乱码视频免费观看| 久久www视频| 久久久久国产精品熟女影院| 手机在线免费毛片| 人妻中文久热无码丝袜| 高清亚洲欧美在线看| 国产熟睡乱子伦视频网站| 青青草原国产免费av观看| 人妻丰满熟妇av五码区| 日韩精品久久无码中文字幕色欲| 亚洲欧美人成电影在线观看| 日韩欧美中文在线| 日韩二区三区| 一级毛片基地| 久久公开视频| 免费女人18毛片a级毛片视频| 亚洲人成日本在线观看| 一级成人a毛片免费播放| 久久综合九色综合97婷婷| 日本午夜在线视频|