大數(shù)據(jù)背景下網(wǎng)絡(luò)信息安全評(píng)價(jià)體系與評(píng)價(jià)模型

陳翕

（中移鐵通有限公司信息和產(chǎn)品開發(fā)中心，北京 100038）

0 引言

大數(shù)據(jù)環(huán)境下，數(shù)據(jù)出現(xiàn)“數(shù)量龐大、種類繁多、價(jià)值巨大和傳播速度快”的新特點(diǎn)，為企業(yè)信息分析與處理帶來前所未有的變革，新技術(shù)為企業(yè)的數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析與處理以及數(shù)據(jù)傳播帶來極大的便利性，但新技術(shù)本身特點(diǎn)為網(wǎng)絡(luò)攻擊[1-3]、私密數(shù)據(jù)泄露[4-6]、私密數(shù)據(jù)濫用[7-9]、敏感信息竊取[10-11]問題的解決提出更高的難度。而傳統(tǒng)網(wǎng)絡(luò)信息安全方法和對(duì)策在安全保障和可行性操作方面都顯得力不從心。因此，結(jié)合大數(shù)據(jù)新特點(diǎn)進(jìn)行分析，從人員、環(huán)境、技術(shù)三要素為著手點(diǎn)，構(gòu)建一套大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)信息安全控制評(píng)價(jià)體系；考慮到大數(shù)據(jù)環(huán)境下各指標(biāo)數(shù)據(jù)存在不確定性和隨機(jī)性的現(xiàn)象，引入熵權(quán)法確定信息安全評(píng)價(jià)指標(biāo)權(quán)重矩陣，采用云模型構(gòu)建評(píng)價(jià)指標(biāo)隸屬度矩陣，結(jié)合評(píng)價(jià)指標(biāo)隸屬度矩陣和權(quán)重矩陣評(píng)價(jià)信息安全等級(jí)。

1 網(wǎng)絡(luò)信息安全控制體系的構(gòu)建

1.1 網(wǎng)絡(luò)信息安全控制機(jī)制構(gòu)建

云存儲(chǔ)和網(wǎng)絡(luò)用戶構(gòu)成的復(fù)雜性為非法用戶的攻擊創(chuàng)造了蔭蔽環(huán)境[12]，一旦出現(xiàn)安全問題，系統(tǒng)很難實(shí)時(shí)判斷用戶的合法性。為了應(yīng)對(duì)上述的問題，本文從人員、環(huán)境和技術(shù)三個(gè)角度構(gòu)建大數(shù)據(jù)背景下網(wǎng)絡(luò)信息安全控制機(jī)制，通過規(guī)范網(wǎng)絡(luò)使用者和管理者的行為，采用防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、入侵監(jiān)測與網(wǎng)絡(luò)監(jiān)控技術(shù)、安全審計(jì)技術(shù)來保障網(wǎng)絡(luò)設(shè)施的安全，倡導(dǎo)網(wǎng)絡(luò)健康文化，定制信息安全政策與法規(guī)，為網(wǎng)絡(luò)安全工作提供切實(shí)可行的指導(dǎo)。網(wǎng)絡(luò)信息安全控制機(jī)制如圖1 所示。

圖1 網(wǎng)絡(luò)信息安全控制機(jī)制

1.2 網(wǎng)絡(luò)信息安全控制評(píng)價(jià)體系構(gòu)建

在構(gòu)建網(wǎng)絡(luò)安全控制機(jī)制的基礎(chǔ)上，本文參考文獻(xiàn)[12]構(gòu)建網(wǎng)絡(luò)安全控制指標(biāo)體系，從人員、環(huán)境和技術(shù)三方面選取用戶、提供商、網(wǎng)絡(luò)管理人員、文化、法規(guī)、網(wǎng)絡(luò)實(shí)施、防火墻技術(shù)、加密技術(shù)、訪問控制技術(shù)、監(jiān)控技術(shù)、安全審計(jì)技術(shù)等11 個(gè)二級(jí)評(píng)價(jià)指標(biāo)，再對(duì)二級(jí)指標(biāo)進(jìn)行分解，選取安全培訓(xùn)教育、安全意識(shí)、安全責(zé)任、安全行為、文化培植、文化凈化、身份鑒別、用戶訪問控制、網(wǎng)絡(luò)監(jiān)控、運(yùn)維審計(jì)等33 個(gè)三級(jí)評(píng)價(jià)指標(biāo)。實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的高端防護(hù)，支撐網(wǎng)絡(luò)安全防護(hù)和實(shí)時(shí)監(jiān)測。

2 基于熵權(quán)-云的網(wǎng)絡(luò)信息安全評(píng)價(jià)模型

2.1 構(gòu)建網(wǎng)絡(luò)信息安全評(píng)價(jià)指標(biāo)的權(quán)重

為了解決網(wǎng)絡(luò)安全評(píng)估主觀性的問題，本文采用熵權(quán)法來確定指標(biāo)的權(quán)重。

基于上述信息安全評(píng)價(jià)體系，構(gòu)建m個(gè)評(píng)價(jià)對(duì)象和n個(gè)評(píng)價(jià)指標(biāo)判斷矩陣：

接著，計(jì)算第j個(gè)指標(biāo)的信息熵，公式為：

最后，計(jì)算第j個(gè)指標(biāo)的熵權(quán)：

其中，0 ≤wj≤1，。其他指標(biāo)采用公式(1)～(4)進(jìn)行計(jì)算，得到評(píng)價(jià)指標(biāo)的權(quán)重向量矩陣為：

2.2 網(wǎng)絡(luò)信息安全評(píng)價(jià)云模型算法

建立網(wǎng)絡(luò)信息安全評(píng)價(jià)云模型的作用是為了劃分評(píng)估等級(jí)，設(shè)安全評(píng)價(jià)等級(jí)劃分標(biāo)準(zhǔn)論域?yàn)閄={x1,x2,...,xn}，是一個(gè)定量的集合；而評(píng)價(jià)等級(jí)論域C={C1,C2,C3,C4,C5}是對(duì)X的定性度量（模糊集合），對(duì)應(yīng)評(píng)價(jià)指標(biāo)對(duì)應(yīng)的等級(jí)。任意X都存在一個(gè)有穩(wěn)定傾向的隨機(jī)數(shù)μ(x) ∈[0,1]，稱為X對(duì)C的確定度，而確定度在X上的分布叫做云。如果云分布滿足，其中，如果C的確定度μ滿足：

那么，評(píng)價(jià)指標(biāo)標(biāo)準(zhǔn)X滿足正態(tài)云的分布。其中Ex為評(píng)價(jià)指標(biāo)標(biāo)準(zhǔn)X的期望值，表示定性概念C在論域中的中心值；En為定性概念C的不確定程度，是定性概念的熵；He是超熵，是對(duì)熵的不確定性的度量，反映云的離散程度。云模型把定性和定量進(jìn)行結(jié)合，對(duì)模糊性和隨機(jī)性進(jìn)行有機(jī)聯(lián)系，實(shí)現(xiàn)評(píng)價(jià)等級(jí)的定性度量。

2.3 基于熵權(quán)-云的網(wǎng)絡(luò)信息安全評(píng)價(jià)

熵權(quán)-云[13-15]是一個(gè)兼顧定性指標(biāo)定量化、模糊性和隨機(jī)性的模型，采用云生成器生成評(píng)價(jià)指標(biāo)定量和定性的映射關(guān)系，確定評(píng)價(jià)等級(jí)劃分標(biāo)準(zhǔn)的上下邊界，進(jìn)而能夠?qū)崿F(xiàn)隨機(jī)、不確定狀態(tài)下網(wǎng)絡(luò)信息安全的等級(jí)評(píng)估。

本文在獲取評(píng)價(jià)指標(biāo)權(quán)重和指標(biāo)評(píng)價(jià)等級(jí)劃分標(biāo)準(zhǔn)上下邊界的基礎(chǔ)上，實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的評(píng)價(jià)，流程圖如圖2 所示：

圖2 基于熵-云模型的網(wǎng)絡(luò)信息安全評(píng)價(jià)模型流程圖

具體步驟為：

（1）采用熵權(quán)法求解評(píng)價(jià)指標(biāo)的權(quán)重向量矩陣W，詳細(xì)的求解步驟參考2.1 節(jié)。

（2）獲得指標(biāo)j對(duì)應(yīng)評(píng)價(jià)等級(jí)論域C，基于評(píng)價(jià)等級(jí)劃分標(biāo)準(zhǔn)論域X生成等級(jí)的期望值Ex、熵值En以及超熵He。

（3）生成一個(gè)以En為期望值的，He為標(biāo)準(zhǔn)差的高斯隨機(jī)數(shù)。

（4）生成評(píng)價(jià)等級(jí)劃分論域X的云模型參數(shù)：Ex為期望值，為標(biāo)準(zhǔn)差。

（5）將（2）和（3）代入公式確定度公式，得到評(píng)價(jià)指標(biāo)論域中任意一個(gè)具有確定度為μ的X云滴(,)x μ，重復(fù)5 000 次，生成5 000 個(gè)云滴，確定評(píng)價(jià)指標(biāo)j在不同評(píng)價(jià)等級(jí)下的正態(tài)云隸屬度函數(shù)，求解評(píng)價(jià)等級(jí)隸屬度矩陣，從而確定各評(píng)價(jià)等級(jí)上下邊界；同理其他指標(biāo)的隸屬度函數(shù)可以參照步驟（2）～（5），求解評(píng)價(jià)等級(jí)隸屬度矩陣U=[μij]m×n。

（6）結(jié)合權(quán)重向量矩陣和評(píng)價(jià)等級(jí)隸屬度矩陣求解待評(píng)價(jià)樣本的綜合隸屬度R矩陣，R=W?UU={r1,r2,...,rn}。

（7）結(jié)合最大隸屬度原則，確定待評(píng)價(jià)樣本的評(píng)價(jià)等級(jí)。

3 實(shí)驗(yàn)分析

本文通過采集2 個(gè)月以某運(yùn)營商大數(shù)據(jù)平臺(tái)采集的運(yùn)營商網(wǎng)絡(luò)和系統(tǒng)的數(shù)據(jù)資源，包括2 881 個(gè)周期（每10 分鐘作為一個(gè)周期）網(wǎng)絡(luò)信息安全控制指標(biāo)數(shù)據(jù)進(jìn)行評(píng)價(jià)分析，選用33 個(gè)網(wǎng)絡(luò)信息安全評(píng)價(jià)指標(biāo)，邀請(qǐng)20 為專家對(duì)33 個(gè)信息安全指標(biāo)進(jìn)行打分，開展安全評(píng)價(jià)。如表1 所示，安全等級(jí)分為5 個(gè)等級(jí)，分別為：安全（Ⅰ級(jí)）、較安全（Ⅱ級(jí)）、一般（Ⅲ級(jí)）、輕度危險(xiǎn)（Ⅳ級(jí)）、非常危險(xiǎn)（Ⅴ級(jí)）。

表1 網(wǎng)絡(luò)信息安全評(píng)價(jià)指標(biāo)評(píng)價(jià)分析

采用傳統(tǒng)模糊綜合評(píng)價(jià)法和熵權(quán)-云模型分別對(duì)信息安全等級(jí)進(jìn)行評(píng)估，部分樣本的評(píng)價(jià)結(jié)果如表2 所示。

表2 網(wǎng)絡(luò)信息安全等級(jí)評(píng)估結(jié)果

為了進(jìn)一步證明本文模型的可用性和擴(kuò)展性，本文展示傳統(tǒng)模糊綜合評(píng)價(jià)法和熵權(quán)-云模型在2 個(gè)月的安全評(píng)估準(zhǔn)確率對(duì)比情況，詳細(xì)如圖3 所示：

圖3 信息安全評(píng)估的準(zhǔn)確率對(duì)比圖

由圖3 可知，基于熵權(quán)-云模型的網(wǎng)絡(luò)信息安全評(píng)價(jià)模型與傳統(tǒng)模糊綜合評(píng)價(jià)方法相比，評(píng)估準(zhǔn)確率比較穩(wěn)定，不會(huì)發(fā)生忽高忽低的現(xiàn)象。歸根于兩個(gè)方面：1）熵權(quán)-云模型在確定各評(píng)價(jià)指標(biāo)權(quán)重時(shí)，不僅考慮了專家經(jīng)驗(yàn)等主觀因素，還考慮了指標(biāo)內(nèi)部數(shù)據(jù)之間的關(guān)聯(lián)性；2）云模型同時(shí)兼顧了定性指標(biāo)量化的模糊化和隨機(jī)性。安全評(píng)價(jià)等級(jí)作為一個(gè)定性的概念，具有一定的隨機(jī)性和不確定性，云模型實(shí)現(xiàn)數(shù)據(jù)不確定性有效度量，通過熵值來衡量當(dāng)前評(píng)分?jǐn)?shù)的隨機(jī)概率，形成定性和定量的有效映射。

4 結(jié)束語

本文為了應(yīng)對(duì)大數(shù)據(jù)背景下新特征以及信息安全評(píng)價(jià)過程出現(xiàn)的模糊性和隨機(jī)性問題，提出了大數(shù)據(jù)背景下網(wǎng)絡(luò)信息安全控制機(jī)制與評(píng)價(jià)模型。從人員、環(huán)境、技術(shù)三個(gè)層面構(gòu)建一套新的安全控制機(jī)制和安全評(píng)價(jià)體系，為安全控制評(píng)價(jià)提供數(shù)據(jù)支撐。在獲取安全評(píng)價(jià)指標(biāo)數(shù)據(jù)的基礎(chǔ)上，為了應(yīng)對(duì)大數(shù)據(jù)環(huán)境下安全評(píng)價(jià)過程出現(xiàn)的模糊性和安全性，提出熵權(quán)-云的安全評(píng)價(jià)模型，該模型引入云模型實(shí)現(xiàn)數(shù)據(jù)不確定性有效度量，因此能夠較好應(yīng)對(duì)定性指標(biāo)存在的模糊性和隨機(jī)性問題。實(shí)驗(yàn)表明，本文的模型在網(wǎng)絡(luò)信息安全評(píng)價(jià)的應(yīng)用是可行的，能夠?yàn)榫W(wǎng)絡(luò)信息安全評(píng)價(jià)提供有價(jià)值的參考。