基于軍用互聯網的信息安全風險評估標準探索

謝俊彤

（中國電子科技集團公司第七研究所，廣東 廣州 510310）

0 引言

信息化技術在我國軍事領域早已被應用，從應用效果看，信息化技術接入可迅速提升我國軍事作戰水平和能力，但是由于信息安全的不足，出現許多網絡惡意攻擊手段，導致軍用互聯網出現數據泄漏、遺失等問題[1]。當前已有不少學者對軍用互聯網的信息安全風險進行研究，包括：余騫[2]針對海上軍事信息存在風險的模糊性、非線性等特點，將模糊判斷準則應用于海上軍事信息系統安全評估，模糊判斷準則以模糊數學為基礎，通過模糊線性變化和最大隸屬度來考慮被評價事物的各個因素并實現系統的綜合評估，但該方法沒有對風險要素的認定，缺乏理論支撐；張權等人[3]針對軍事數據自身的特點，構建了數據質量評價指標體系，采用多層次灰色評價法構建綜合評價模型對多個部門上報的數據進行評價，該方法沒有從信息系統的角度量化威脅因素，僅僅在數據質量層面對信息安全進行單個維度的安全評估；劉艷娜等人[4]針對軍隊保密工作的現狀，構建以保密負荷、保密防范、保密威脅、保密挽救為一級指標的軍隊保密風險評估指標體系，依據該評估指標體系運用數據包絡分析（DEA,Data Envelopment Analysis）方法對軍隊信息安全保密風險進行綜合評估，該方法在對風險要素重要性評估時，過多依賴經驗法，導致風險評估的結果與專家經驗有關，不具有適用性。除此之外，不少學者基于現有的研究成果制定多項國家標準，包括《電信網和互聯網安全風險評估實施指南》[5]、《網絡與信息安全風險評估服務能力評估方法》[6]以及《軍隊信息安全風險評估》[7]。上述標準大多數采用定性的方式來描述，這種定性評估的方法會導致評估結果主觀性過強，難以量化安全威脅發生的可能性以及對系統的影響程度。

從上述學者的研究和標準可知，當前軍用互聯網的安全風險評估方法標準處于起步階段。因此，本文在借鑒互聯網網絡系統風險的研究基礎上，結合自身的軍工企業工作經驗，對軍用互聯網的信息安全風險標準進行探索，并提出一套單個資產信息安全風險評估指標體系，結合單個資產的風險評估模型和評估方法來實現單個資產信息安全風險的評估；在此基礎上，引入衡量單個資產風險相對于信息系統各維度評估的相對重要性，計算軍用互聯網系統在五個維度的風險值；最后借助層次分析法（AHP,Analytic Hierarchy Process）確定軍用互聯網在五個維度的影響程度，實現軍用互聯網綜合風險的評估。

1 軍用互聯網信息安全風險評估模型

為了實現軍用互聯網定量的評估，本文參考信息安全評估準則，圍繞資產、脆弱性和系統面臨的威脅，從上述三方面來分析單個資產面臨的威脅要素、威脅概率、脆弱性程度以及資產價值，以此衡量單個資產發生安全事件的發生概率和影響程度，結合安全事件的概率和影響程度來確定單個資產的可用性風險值、完整性風險以及機密性風險，并采用加權平均的方法實現單個資產綜合風險的評估。在此基礎上，結合熵權法確定軍用互聯網系統在物理環境、網絡安全、主機系統、應用系統、數據安全各維度的影響程度，并計算軍用互聯網在物理環境、網絡安全、主機系統、應用系統、數據安全各維度中的風險值。最后，結合層次分析法衡量整個軍用互聯網的綜合風險值，實現軍用互聯網信息安全風險評估。軍用互聯網信息安全風險評估模型如圖1 所示：

圖1 軍用互聯網信息安全風險評估模型

1.1 單個資產信息安全風險評估模型

本文以可用性、完整性、機密性三個軍用互聯網安全要求作為單個資產風險評估的主要目標，逐步分析影響資產安全的風險因素，參照文獻[14] 對影響資產威脅要素的標準進行分類，形成以可用性、完整性、機密性為一級指標，以威脅要素為二級指標，以資產脆弱性衡量安全事件發生的概率以及影響程度，構建單個資產信息安全風險評估模型。具體如圖2 所示：

圖2 單個資產信息安全風險評估模型

由圖2 可知，可用性風險可以表示為：

其中，P1、P2、P3、P4、P5、P6分別表示應答哄騙、方向誤導攻擊、偽造攻擊、數據包重放攻擊、訪問權限非法獲取、拒絕提供服務等各類威脅發生的概率；R1、R2、R3、R4、R5、R6分別表示應答哄騙、方向誤導攻擊、偽造攻擊、數據包重放攻擊、訪問權限非法獲取、拒絕提供服務等各類威脅對單個資產可用性的影響程度；表示單個資產的可用性風險。

其中，P7、P8、P9分別表示非法設備物理接入、控制信息被篡改、未授權的網絡連接等各類威脅發生的概率；R7、R8、R9分別表示非法設備物理接入、控制信息被篡改、未授權的網絡連接等各類威脅對單個資產可用性的影響程度。

運用系統綜合思想集成可用性、完整性、機密性風險值，得到第i個資產的風險值為：

⑤2強風化片巖：以黃褐色為主，局部灰褐色，殘余鱗片變晶結構，片理狀構造，巖石風化強烈，主要礦物成分為泥質礦物、長石等。巖芯呈半土半巖狀，局部含中風化巖塊。干時較堅硬，遇水易軟化崩解。巖體完整程度為極破碎，巖體質量等級為V類。

其中，k1、k2、k3分別表示可用性、完整性、機密性風險值的權重。不同類型的資產在可用性、完整性、機密性的權重有所區別。

1.2 基于信息熵的信息安全風險評估方法

信息熵的信息安全風險評估方法是使用信息熵的算法來計算單個資產風險相對于信息系統各維度評估的相對重要性，避免了傳統權值賦值的主觀影響。基于信息熵的信息安全風險評估思路是：對物理環境、網絡安全、主機系統、應用系統、數據安全等風險評估以單個資產為單位，采用熵權法獲取單個資產在對應各維度的權重，由此計算不同維度的風險值。

首先，假設信息熵Hi表示單個資產風險對于物理環境風險等級評估的相對重要性。

其中，pij表示資產i對應的風險等級。

然后，結合熵值得到第i個資產綜合對于物理環境安全風險的權重。

其中，wi表示資產i在物理環境中的權重大小。同理，vi表示資產i在網絡安全中的權重大小；ui表示資產i在主機系統中的權重大小；qi表示資產i在應用安全中的權重大小；fi表示資產i在數據安全中的權重大小。

在獲取所有資產風險值和該資產在對應各維度下的風險等級權重的基礎上，將兩者相乘，得到物理環境風險值PM、網絡安全風險值PN、主機系統風險值PO、應用安全風險值PQ以及數據安全風險值PF分別如下：

1.3 計算軍用互聯網的綜合風險值

根據軍用互聯網信息安全風險評估模型，軍用互聯網的風險普遍由物理環境、網絡安全、主機系統、應用系統、數據安全組成，各維度在軍用互聯網中所占的權重采用AHP 方法確定。本次研究共邀請20 位軍事互聯網專家對物理環境、網絡安全、主機系統、應用系統、數據安全五維度的相對重要程度進行打分，并采用AHP方法衡量各維度在軍用互聯網的影響程度，由此確定五維度對軍用互聯網的權重分別為：λM、λN、λO、λQ、λF。軍用互聯網的綜合風險值PTotal為：

2 實驗分析

2.1 實驗環境

軍用互聯網安全攻防仿真平臺由防火墻硬件設備、現場/遠程監控終端、數據采集器、網絡性能測試設備、Web服務器、實時數據服務器、歷史數據服務器、路由器以及各種網絡設施組成。通過本文對軍用互聯網進行信息安全風險評估模型的構建，并且對影響軍用互聯網信息安全的關鍵資產、脆弱性和威脅進行識別，同時邀請軍用互聯網專家組成專家評估小組，分別對物理環境、網絡安全、主機系統、應用系統、數據安全的重要性以及各資產在對應網絡層的重要性進行評分，建立如圖3 所示的評估模型。

圖3 軍用互聯網安全攻防仿真平臺信息安全風險評估模型

（1）以單個資產為評估單位，基于各項攻擊行為發生的機率，計算單個資產可用性風險、完整性風險和機密性風險值，并采用加權平均的方法量化單個資產的綜合風險；

（2）結合熵值，衡量單個資產風險在物理環境、網絡安全、主機系統、應用系統和數據安全等五個維度的影響程度，并計算每一個維度的風險值；

（3）邀請專家對五個維度相對影響程度進行打分，并采用AHP 方法確定五個維度的權重；

（4）結合五個維度的權重和風險值，實現軍用互聯網綜合風險的衡量。

2.2 結果分析

本文通過模擬多次攻擊，包括非法設備物理接入、訪問權限非法獲取、控制信息被篡改、數據包重放攻擊、拒絕提供服務、病毒感染等，產生了大量的告警信息，并通過數據采集設備采集實驗數據。結合漏洞信息、告警信息、系統脆弱性信息、專家打分信息、歷史數據安全事件發生的概率以及影響程度進行量化后，利用軍用互聯網信息安全風險評估模型對整個網絡的風險進行分析。本文進行10組實驗，每組實驗的運行時間不超過24 小時，連續觀測5個時間段單個資產可用性風險、完整性風險和機密性風險發生的概率。隨著實驗的推進，每組的警報數量逐漸增大，其中最少的警報數量為95 次，最多的警報數量為1 871 次，根據警報的內容確定單個資產發生某種風險的可能性。

為了驗證本文算法的有效性，對傳統AHP 信息安全風險評估方法、基于故障樹和證據理論的信息安全風險評估方法、本文提出綜合熵權法和AHP 的信息安全風險評估方法進行對比，得到一系列風險預測準確率對比結果如圖4 所示。

圖4 風險預測準確率對比圖

圖4 中展示了5 個攻擊場景分別在傳統AHP 信息安全風險評估方法、基于故障樹和證據理論的信息安全風險評估方法、本文提出綜合熵權法和AHP 的信息安全風險評估方法的結果分析，可知在相同攻擊行為條件下，本文提出的綜合熵權法和AHP 的信息安全風險評估方法與傳統AHP 信息安全風險評估方法相比，平均準確率高11%左右；與基于故障樹和證據理論的信息安全風險評估方法相比，平均準確率高5%左右。這是因為傳統AHP 方法容易受到告警冗余性、網絡拓撲復雜和其他噪音的影響，專家未必能夠處理好單個資產在對應網絡的影響力。與此同時，基于故障樹和證據理論的信息安全風險評估方法過于依賴人工來描述風險在整個網絡中的影響概率，其結論的可信性容易受到主觀影響。而本文提出的方法綜合定性和定量來衡量單個資產對網絡的影響力，不僅能夠在一定程度上對抗網絡告警的隨機性和模糊性問題，還能降低結論容易受到主觀因素的影響。因此，本文提出的方法可在一定程度降低評估結果的不確定性、受主觀影響過大的問題，在軍用互聯網的信息安全風險評估中具有一定的應用性和擴展性。

3 結束語

本文提出了一種綜合熵權法和AHP 的信息安全風險評估方法，該方法解決的難點是如何對安全威脅發生的可能性以及對系統的影響程度進行量化分析。通過采用綜合熵權法和AHP 的信息安全風險評估方法，結合軍用互聯網安全攻防仿真平臺對5 種網絡攻擊行為進行信息安全風險預測。該方法在仿真系統中取得了良好的風險預測準確率，從仿真效果可知，本文提出的模型能夠準確識別軍用互聯網中的各種風險，具有一定的擴展性。隨著技術的發展，通過論證本文的內容，能夠加快軍用互聯網信息安全標準的制定。