基于服務重要度的信息系統(tǒng)安全評估方法

◆孔 睿 何韶軍 焦大偉 李 遠 徐 筱

( 1.中國人民解 放軍軍事科學院戰(zhàn)爭研究院 北京 100091; 2.中國人民解放軍31003部隊北京 100191; 3.亞東廣聯(lián)科技有限公司 北京 102200)

信息系統(tǒng)安全評估[1]是基于一定的技術手段與評估模型，對系統(tǒng)安全進行綜合評價，通過評價結果來了解系統(tǒng)中潛在的威脅和脆弱性，確定系統(tǒng)的安全情況，評定系統(tǒng)的安全等級，為安全管理提供重要依據(jù)。而評估方法的選擇直接影響到評估過程中的每個環(huán)節(jié)，甚至會影響到最終的評估結果。

經典的OCTAVE[2]從資產脆弱性[3]的角度出發(fā)提供了安全風險評估理論框架。故障樹分析[4]畫出故障原因的各種可能組合方式和/或其發(fā)生概率。事件樹分析[5]能夠分析風險事件可能導致的各種事件的一系列結果。層次分析法（AHP）[6]將目標分解為多個指標，再分解為多指標的若干層次，通過定性指標模糊量化方法算出層次單排序和總排序。需要一致性檢驗，算法較為復雜。屬性層次模型（AHM）[7]是由程乾生教授在研究AHP模型的基礎上提出的一種新的無結構決策方法，可不做一致性檢驗，簡化了計算，使決策容易實現(xiàn)。模糊綜合評判[8]根據(jù)確定的目的來測定對象系統(tǒng)的屬性，并將這種屬性變成客觀定量的數(shù)值或主觀效用的行為。該法的優(yōu)點是數(shù)學模型簡單，容易掌握，對多元素多層次的復雜問題評判效果比較好。吳文剛等人提出層次分析法AHP和模糊綜合評判Fuzzy相結合的評估方法[8]，但層次分析法算法復雜，需要一致性檢驗，給計算帶來不便。

除此之外還有BP神經網絡[9]、攻擊圖理論[10]、D-S證據(jù)理論[11]、灰色理論[12]等評估方法，但這些評估方法沒有考慮信息系統(tǒng)中不同服務的重要性，無法評估各種威脅可能對信息系統(tǒng)不同服務造成的危害。

1 系統(tǒng)構建

構建基于服務重要度的信息系統(tǒng)安全評估系統(tǒng)包括六個模塊，評估流程如圖1所示。

圖1 信息系統(tǒng)安全評估流程圖

1.1 建立評估模型

根據(jù)信息系統(tǒng)的服務組成，建立信息系統(tǒng)屬性分層結構，將信息系統(tǒng)視為一個整體，為使用者提供多種不同的服務，每種服務分解為多層資源，每種資源用基本屬性來描述，將服務重要度作為第一分層節(jié)點，從上至下依次將信息系統(tǒng)分為系統(tǒng)層、服務層、資源層、屬性層，獲得信息系統(tǒng)安全評估模型，如圖2所示。

圖2 信息系統(tǒng)的分層結構示意圖

（1）資源層

具體細分為一級資源、二級資源，每一資源最終都分解為基本資源。一級資源包括計算機網絡硬件、計算機網絡軟件和數(shù)據(jù)資源。二級資源包括主機設備、外圍設備、網絡設備等?；举Y源包括CPU、內存、硬盤、光驅、電源、BIOS、網卡以及其他輸入輸出控制器和接口等。如圖3所示。

圖3 資源層分層結構示意圖

（2）屬性層

包括若干基本屬性，用來綜合評價信息系統(tǒng)的基本資源，通過信息系統(tǒng)在網絡破壞前后對基本屬性的變化獲得網絡威脅對信息系統(tǒng)安全性和信息系統(tǒng)服務質量的影響，反映受到網絡威脅的程度。

基本屬性包括以下6種。可用性[13]指信息系統(tǒng)的服務在某一時刻提供有效使用的程度，采用可用度A來表示。占用率是指某項服務或程序占用某資源，表示資源在某時間點的運行程序的情況，監(jiān)測信息系統(tǒng)的服務和數(shù)據(jù)被其他資源占用的情況。響應速率/時間是指從給定計算機輸入到出現(xiàn)對應的輸出之間的時間間隔。正確度表示測量結果與信息系統(tǒng)本身所提供的服務或存儲的數(shù)據(jù)之間誤差大小的程度。保密性能保證信息系統(tǒng)提供的服務和數(shù)據(jù)資源不被非法竊取和解析。完整性指在存儲、傳輸數(shù)據(jù)資源的過程中，能夠存儲、傳輸全部正確的數(shù)據(jù)，信息沒有任何遺漏。

1.2 設置評估模型屬性權重值

請N個專家對評估模型的各層元素打分，去掉每一個專家得分的最大值和最小值，余下的取算術平均值并取整，計算求得各元素的屬性權重值，獲得各元素的比重。

1.3 設置安全評估等級

設置安全評估等級分數(shù)表，根據(jù)網絡破壞程度將信息系統(tǒng)安全劃分為m個等級，各個等級賦予相應的分數(shù)，表達信息系統(tǒng)適應性。通過將權重得分按照以上等級劃分，可以定性分析安全檢測效果。

1.4 網絡安全測試

在網絡威脅環(huán)境下對信息系統(tǒng)進行網絡安全測試，判斷網絡是否出現(xiàn)異常情況。當發(fā)生網絡惡意行為時，網絡惡意行為動作通過作用于基本屬性實現(xiàn)對網絡的破壞和信息的截獲，網絡安全測試模塊運用安全檢測工具對信息系統(tǒng)的基本屬性進行監(jiān)控檢測獲得基本屬性的變化，從而判斷網絡是否出現(xiàn)異常情況以及發(fā)生異常的服務層。安全檢測工具包括：信息收集類，如嗅探工具、PING掃描工具和端口掃描工具；系統(tǒng)安全分析類，如主機操作系統(tǒng)配置檢查工具、主機系統(tǒng)審計工具、數(shù)據(jù)完整性檢測工具等；應用安全檢測類，如源代碼掃描工具、IDS工具、防火墻測試工具等；攻擊測試類，如密碼破解工具、會話劫持/欺騙工具、系統(tǒng)權限提升工具等。

1.5 計算模糊綜合評判集

在網絡威脅環(huán)境下對信息系統(tǒng)進行網絡安全測試，判斷網絡是否出現(xiàn)異常情況。當發(fā)生網絡惡意行為時，網絡惡意行為動作通過作用于基本屬性實現(xiàn)對網絡的破壞和信息的截獲，網絡安全測試模塊運用安全檢測工具對信息系統(tǒng)的基本屬性進行監(jiān)控檢測獲得基本屬性的變化，從而判斷網絡是否出現(xiàn)異常情況以及發(fā)生異常的服務層。安全檢測工具包括：信息收集類，如嗅探工具、PING掃描工具和端口掃描工具；系統(tǒng)安全分析類，如主機操作系統(tǒng)配置檢查工具、主機系統(tǒng)審計工具、數(shù)據(jù)完整性檢測工具等；應用安全檢測類，如源代碼掃描工具、IDS工具、防火墻測試工具等；攻擊測試類，如密碼破解工具、會話劫持/欺騙工具、系統(tǒng)權限提升工具等。

（1）基本屬性的模糊綜合評價矩陣

確定安全評估組 p位成員，根據(jù)劃分的m個等級分別對信息系統(tǒng)安全的各個基本屬性進行評價，其評價結果統(tǒng)計如表1所示。

表1 基本屬性評價結果統(tǒng)計

確定安全評估組p位成員，根據(jù)劃分的m個等級分別對信息系統(tǒng)安全各個基本屬性進行評價，其評價結果統(tǒng)計如表1所示。

其中，S1-Sm是等級域里的等級，GkSm'是每位專家對各個基本屬性在各個等級的打分，1≤k≤g，且對于固定的基本屬性Gk，有

將得分做歸一化處理，求得每個基本屬性在每個等級的隸屬度，計算公式為：

（2）各層的模糊綜合評判集

確定安全評估組 p位成員，根據(jù)劃分的m個等級分別對信息系統(tǒng)安全的各個基本屬性進行評價，其評價結果統(tǒng)計如表1所示。

從最低層資源層開始進行評價。評價算法依據(jù)綜合評價模型B=AR來進行，其中，A是本級各元素的相對權重，R是模糊綜合評價矩陣，采用矩陣乘法計算求得模糊綜合評判集。每一層級中，計算所得的模糊綜合評判集是上一層級的模糊綜合評價

矩陣。

對資源層F中每一資源Fk：

其中，1≤k≤g。B(G1)-B(Gg)是屬于資源Fk的模糊綜合評價矩陣，A(Fk)是Fk下屬的基本屬性的相對權重，B(Fk)即資源Fk的模糊綜合評判集。

同理，求得B(Ek)、B(Dk)、B(Ck)、B(Bk)。

（3）信息系統(tǒng)的模糊綜合評判集

計算公式為：

其中，B1-Bn是信息系統(tǒng)的n項服務，WA1-WAn是各項服務的相對權重。B= [b1,b2,...,bm]即為信息系統(tǒng)安全的模糊綜合評判集。

1.6 判定安全等級

通過計算信息系統(tǒng)安全得分來判定安全等級，將信息系統(tǒng)安全的模糊綜合評判集用歸一化公式處理，獲得得分S，計算公式為：

其中，j= 1,2,3....m。求得得分S即為信息系統(tǒng)安全性最終得分，從而判定安全等級。至此，完成了基于服務重要度的信息系統(tǒng)安全評估。

2 實例分析

構建基于服務重要度的信息系統(tǒng)安全評估系統(tǒng)包括六個模塊，評估流程如圖1所示。

2.1 建立評估模型

根據(jù)信息系統(tǒng)的服務組成建立信息系統(tǒng)的屬性分層結構如圖4所示。首先，按信息系統(tǒng)分層結構的框架，將信息系統(tǒng)安全評估模型從上至下的順序劃分不同的層級。

圖4 實施例的分層結構示意圖

2.2 設置評估模型屬性權重值

按照實際情況設置評估模型屬性權重值，由20位專家分別對各層次元素進行兩兩比較打分，采用9級分制對各個判斷矩陣中的元素進行賦值。各層的判斷矩陣如表2所示。

表2 各層判斷矩陣

2.3 設置安全評估等級

根據(jù)網絡破壞程度將信息系統(tǒng)安全劃分為以下五個等級，表達信息系統(tǒng)安全程度。總分值100分，按得分高低劃分安全等級，如表3所示。

表3 安全等級劃分

2.4 網絡安全測試

首先構設網絡威脅環(huán)境，對該信息系統(tǒng)進行網絡嗅探、拒絕服務攻擊、數(shù)據(jù)驅動攻擊、IP欺騙、ARP攻擊，其中數(shù)據(jù)驅動攻擊包括木馬和病毒，以便對網絡威脅后信息系統(tǒng)基本屬性進行評估。其次，使用嗅探工具、日志分析工具、防火墻測試工具、路由器測試工具、交換機測試工具、蠕蟲檢測工具、病毒檢測工具對基本屬性進行安全檢測，生成檢測報告，為專家打分提供依據(jù)。

2.5 計算模糊綜合評判集

（1）基本屬性的模糊綜合評價矩陣

首先，由安全評估組20位成員，根據(jù)劃分的五個等級分別對信息系統(tǒng)安全的33個基本屬性進行評價，評價結果統(tǒng)計如表4所示。

表4 安全等級劃分

將得分做歸一化處理，用公式（1）計算每個基本屬性在每個等級的隸屬度，得到模糊綜合評價矩陣如表5所示。

表5 基本屬性的模糊綜合評價矩陣

（2）各層的模糊綜合評判集

求得：B(D1) = [0 . 1 51,0.28,0.268,0.165,0.136]，…，B(D2) = [0.278,0.253,0.227,0.157,0.087]。

根據(jù)公式（4）求得：B=AR(B1B2) = [0.186,0.273,0.248,0.156,0.122]。

2.6 判定安全等級

根據(jù)公式（5）求得信息系統(tǒng)的安全評估得分為：S=79。

該信息系統(tǒng)的安全評估得分79分，從而判定信息系統(tǒng)安全等級為3，信息系統(tǒng)受到中等級程度的安全威脅，信息系統(tǒng)安全性一般。

從相對權重來看，由于服務1操作系統(tǒng)數(shù)據(jù)B1的權重遠大于服務2計算機網絡硬件B2，因此，服務1操作系統(tǒng)數(shù)據(jù)B1的安全性更重要，進一步通過改善加密算法提高操作系統(tǒng)數(shù)據(jù)的安全性。對服務B1來說，一級資源操作系統(tǒng)管理數(shù)據(jù)C1占據(jù)最大的權重，因而重要性最高。在所有資源中，基本資源文件管理D1在服務B1中最重要，在服務B2中基本資源外存儲器D9所占比例最高，CPUD4其次。在所有的基本屬性中，外存儲器D9比重最高，對信息系統(tǒng)安全影響最大。因此，要著重控制和使用外存儲器，定期查殺病毒。文件管理D1的響應速率G2、交換機D7的響應速率G21、鍵盤D10的正確度G32的比重均相對較小，因此并不重要。

3 結束語

本文從服務重要度的角度出發(fā)建立信息系統(tǒng)分層結構模型，并將屬性層次模型與模糊綜合評判法相結合應用于信息系統(tǒng)安全的評估，既能夠實現(xiàn)建模的簡潔實用，減少計算復雜度，又能有效地處理評價過程中的主觀性以及客觀所遇到的模糊現(xiàn)象，全面綜合評估信息系統(tǒng)安全。