基于軍用互聯(lián)網(wǎng)的信息安全風(fēng)險評估標(biāo)準(zhǔn)探索

謝俊彤

（中國電子科技集團公司第七研究所，廣東 廣州 510310）

0 引言

信息化技術(shù)在我國軍事領(lǐng)域早已被應(yīng)用，從應(yīng)用效果看，信息化技術(shù)接入可迅速提升我國軍事作戰(zhàn)水平和能力，但是由于信息安全的不足，出現(xiàn)許多網(wǎng)絡(luò)惡意攻擊手段，導(dǎo)致軍用互聯(lián)網(wǎng)出現(xiàn)數(shù)據(jù)泄漏、遺失等問題[1]。當(dāng)前已有不少學(xué)者對軍用互聯(lián)網(wǎng)的信息安全風(fēng)險進行研究，包括：余騫[2]針對海上軍事信息存在風(fēng)險的模糊性、非線性等特點，將模糊判斷準(zhǔn)則應(yīng)用于海上軍事信息系統(tǒng)安全評估，模糊判斷準(zhǔn)則以模糊數(shù)學(xué)為基礎(chǔ)，通過模糊線性變化和最大隸屬度來考慮被評價事物的各個因素并實現(xiàn)系統(tǒng)的綜合評估，但該方法沒有對風(fēng)險要素的認(rèn)定，缺乏理論支撐；張權(quán)等人[3]針對軍事數(shù)據(jù)自身的特點，構(gòu)建了數(shù)據(jù)質(zhì)量評價指標(biāo)體系，采用多層次灰色評價法構(gòu)建綜合評價模型對多個部門上報的數(shù)據(jù)進行評價，該方法沒有從信息系統(tǒng)的角度量化威脅因素，僅僅在數(shù)據(jù)質(zhì)量層面對信息安全進行單個維度的安全評估；劉艷娜等人[4]針對軍隊保密工作的現(xiàn)狀，構(gòu)建以保密負(fù)荷、保密防范、保密威脅、保密挽救為一級指標(biāo)的軍隊保密風(fēng)險評估指標(biāo)體系，依據(jù)該評估指標(biāo)體系運用數(shù)據(jù)包絡(luò)分析（DEA,Data Envelopment Analysis）方法對軍隊信息安全保密風(fēng)險進行綜合評估，該方法在對風(fēng)險要素重要性評估時，過多依賴經(jīng)驗法，導(dǎo)致風(fēng)險評估的結(jié)果與專家經(jīng)驗有關(guān)，不具有適用性。除此之外，不少學(xué)者基于現(xiàn)有的研究成果制定多項國家標(biāo)準(zhǔn)，包括《電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估實施指南》[5]、《網(wǎng)絡(luò)與信息安全風(fēng)險評估服務(wù)能力評估方法》[6]以及《軍隊信息安全風(fēng)險評估》[7]。上述標(biāo)準(zhǔn)大多數(shù)采用定性的方式來描述，這種定性評估的方法會導(dǎo)致評估結(jié)果主觀性過強，難以量化安全威脅發(fā)生的可能性以及對系統(tǒng)的影響程度。

從上述學(xué)者的研究和標(biāo)準(zhǔn)可知，當(dāng)前軍用互聯(lián)網(wǎng)的安全風(fēng)險評估方法標(biāo)準(zhǔn)處于起步階段。因此，本文在借鑒互聯(lián)網(wǎng)網(wǎng)絡(luò)系統(tǒng)風(fēng)險的研究基礎(chǔ)上，結(jié)合自身的軍工企業(yè)工作經(jīng)驗，對軍用互聯(lián)網(wǎng)的信息安全風(fēng)險標(biāo)準(zhǔn)進行探索，并提出一套單個資產(chǎn)信息安全風(fēng)險評估指標(biāo)體系，結(jié)合單個資產(chǎn)的風(fēng)險評估模型和評估方法來實現(xiàn)單個資產(chǎn)信息安全風(fēng)險的評估；在此基礎(chǔ)上，引入衡量單個資產(chǎn)風(fēng)險相對于信息系統(tǒng)各維度評估的相對重要性，計算軍用互聯(lián)網(wǎng)系統(tǒng)在五個維度的風(fēng)險值；最后借助層次分析法（AHP,Analytic Hierarchy Process）確定軍用互聯(lián)網(wǎng)在五個維度的影響程度，實現(xiàn)軍用互聯(lián)網(wǎng)綜合風(fēng)險的評估。

1 軍用互聯(lián)網(wǎng)信息安全風(fēng)險評估模型

為了實現(xiàn)軍用互聯(lián)網(wǎng)定量的評估，本文參考信息安全評估準(zhǔn)則，圍繞資產(chǎn)、脆弱性和系統(tǒng)面臨的威脅，從上述三方面來分析單個資產(chǎn)面臨的威脅要素、威脅概率、脆弱性程度以及資產(chǎn)價值，以此衡量單個資產(chǎn)發(fā)生安全事件的發(fā)生概率和影響程度，結(jié)合安全事件的概率和影響程度來確定單個資產(chǎn)的可用性風(fēng)險值、完整性風(fēng)險以及機密性風(fēng)險，并采用加權(quán)平均的方法實現(xiàn)單個資產(chǎn)綜合風(fēng)險的評估。在此基礎(chǔ)上，結(jié)合熵權(quán)法確定軍用互聯(lián)網(wǎng)系統(tǒng)在物理環(huán)境、網(wǎng)絡(luò)安全、主機系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全各維度的影響程度，并計算軍用互聯(lián)網(wǎng)在物理環(huán)境、網(wǎng)絡(luò)安全、主機系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全各維度中的風(fēng)險值。最后，結(jié)合層次分析法衡量整個軍用互聯(lián)網(wǎng)的綜合風(fēng)險值，實現(xiàn)軍用互聯(lián)網(wǎng)信息安全風(fēng)險評估。軍用互聯(lián)網(wǎng)信息安全風(fēng)險評估模型如圖1 所示：

圖1 軍用互聯(lián)網(wǎng)信息安全風(fēng)險評估模型

1.1 單個資產(chǎn)信息安全風(fēng)險評估模型

本文以可用性、完整性、機密性三個軍用互聯(lián)網(wǎng)安全要求作為單個資產(chǎn)風(fēng)險評估的主要目標(biāo)，逐步分析影響資產(chǎn)安全的風(fēng)險因素，參照文獻[14] 對影響資產(chǎn)威脅要素的標(biāo)準(zhǔn)進行分類，形成以可用性、完整性、機密性為一級指標(biāo)，以威脅要素為二級指標(biāo)，以資產(chǎn)脆弱性衡量安全事件發(fā)生的概率以及影響程度，構(gòu)建單個資產(chǎn)信息安全風(fēng)險評估模型。具體如圖2 所示：

圖2 單個資產(chǎn)信息安全風(fēng)險評估模型

由圖2 可知，可用性風(fēng)險可以表示為：

其中，P1、P2、P3、P4、P5、P6分別表示應(yīng)答哄騙、方向誤導(dǎo)攻擊、偽造攻擊、數(shù)據(jù)包重放攻擊、訪問權(quán)限非法獲取、拒絕提供服務(wù)等各類威脅發(fā)生的概率；R1、R2、R3、R4、R5、R6分別表示應(yīng)答哄騙、方向誤導(dǎo)攻擊、偽造攻擊、數(shù)據(jù)包重放攻擊、訪問權(quán)限非法獲取、拒絕提供服務(wù)等各類威脅對單個資產(chǎn)可用性的影響程度；表示單個資產(chǎn)的可用性風(fēng)險。

其中，P7、P8、P9分別表示非法設(shè)備物理接入、控制信息被篡改、未授權(quán)的網(wǎng)絡(luò)連接等各類威脅發(fā)生的概率；R7、R8、R9分別表示非法設(shè)備物理接入、控制信息被篡改、未授權(quán)的網(wǎng)絡(luò)連接等各類威脅對單個資產(chǎn)可用性的影響程度。

運用系統(tǒng)綜合思想集成可用性、完整性、機密性風(fēng)險值，得到第i個資產(chǎn)的風(fēng)險值為：

⑤2強風(fēng)化片巖：以黃褐色為主，局部灰褐色，殘余鱗片變晶結(jié)構(gòu)，片理狀構(gòu)造，巖石風(fēng)化強烈，主要礦物成分為泥質(zhì)礦物、長石等。巖芯呈半土半巖狀，局部含中風(fēng)化巖塊。干時較堅硬，遇水易軟化崩解。巖體完整程度為極破碎，巖體質(zhì)量等級為V類。

其中，k1、k2、k3分別表示可用性、完整性、機密性風(fēng)險值的權(quán)重。不同類型的資產(chǎn)在可用性、完整性、機密性的權(quán)重有所區(qū)別。

1.2 基于信息熵的信息安全風(fēng)險評估方法

信息熵的信息安全風(fēng)險評估方法是使用信息熵的算法來計算單個資產(chǎn)風(fēng)險相對于信息系統(tǒng)各維度評估的相對重要性，避免了傳統(tǒng)權(quán)值賦值的主觀影響?；谛畔㈧氐男畔踩L(fēng)險評估思路是：對物理環(huán)境、網(wǎng)絡(luò)安全、主機系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全等風(fēng)險評估以單個資產(chǎn)為單位，采用熵權(quán)法獲取單個資產(chǎn)在對應(yīng)各維度的權(quán)重，由此計算不同維度的風(fēng)險值。

首先，假設(shè)信息熵Hi表示單個資產(chǎn)風(fēng)險對于物理環(huán)境風(fēng)險等級評估的相對重要性。

其中，pij表示資產(chǎn)i對應(yīng)的風(fēng)險等級。

然后，結(jié)合熵值得到第i個資產(chǎn)綜合對于物理環(huán)境安全風(fēng)險的權(quán)重。

其中，wi表示資產(chǎn)i在物理環(huán)境中的權(quán)重大小。同理，vi表示資產(chǎn)i在網(wǎng)絡(luò)安全中的權(quán)重大小；ui表示資產(chǎn)i在主機系統(tǒng)中的權(quán)重大小；qi表示資產(chǎn)i在應(yīng)用安全中的權(quán)重大??；fi表示資產(chǎn)i在數(shù)據(jù)安全中的權(quán)重大小。

在獲取所有資產(chǎn)風(fēng)險值和該資產(chǎn)在對應(yīng)各維度下的風(fēng)險等級權(quán)重的基礎(chǔ)上，將兩者相乘，得到物理環(huán)境風(fēng)險值PM、網(wǎng)絡(luò)安全風(fēng)險值PN、主機系統(tǒng)風(fēng)險值PO、應(yīng)用安全風(fēng)險值PQ以及數(shù)據(jù)安全風(fēng)險值PF分別如下：

1.3 計算軍用互聯(lián)網(wǎng)的綜合風(fēng)險值

根據(jù)軍用互聯(lián)網(wǎng)信息安全風(fēng)險評估模型，軍用互聯(lián)網(wǎng)的風(fēng)險普遍由物理環(huán)境、網(wǎng)絡(luò)安全、主機系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全組成，各維度在軍用互聯(lián)網(wǎng)中所占的權(quán)重采用AHP 方法確定。本次研究共邀請20 位軍事互聯(lián)網(wǎng)專家對物理環(huán)境、網(wǎng)絡(luò)安全、主機系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全五維度的相對重要程度進行打分，并采用AHP方法衡量各維度在軍用互聯(lián)網(wǎng)的影響程度，由此確定五維度對軍用互聯(lián)網(wǎng)的權(quán)重分別為：λM、λN、λO、λQ、λF。軍用互聯(lián)網(wǎng)的綜合風(fēng)險值PTotal為：

2 實驗分析

2.1 實驗環(huán)境

軍用互聯(lián)網(wǎng)安全攻防仿真平臺由防火墻硬件設(shè)備、現(xiàn)場/遠(yuǎn)程監(jiān)控終端、數(shù)據(jù)采集器、網(wǎng)絡(luò)性能測試設(shè)備、Web服務(wù)器、實時數(shù)據(jù)服務(wù)器、歷史數(shù)據(jù)服務(wù)器、路由器以及各種網(wǎng)絡(luò)設(shè)施組成。通過本文對軍用互聯(lián)網(wǎng)進行信息安全風(fēng)險評估模型的構(gòu)建，并且對影響軍用互聯(lián)網(wǎng)信息安全的關(guān)鍵資產(chǎn)、脆弱性和威脅進行識別，同時邀請軍用互聯(lián)網(wǎng)專家組成專家評估小組，分別對物理環(huán)境、網(wǎng)絡(luò)安全、主機系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)安全的重要性以及各資產(chǎn)在對應(yīng)網(wǎng)絡(luò)層的重要性進行評分，建立如圖3 所示的評估模型。

圖3 軍用互聯(lián)網(wǎng)安全攻防仿真平臺信息安全風(fēng)險評估模型

（1）以單個資產(chǎn)為評估單位，基于各項攻擊行為發(fā)生的機率，計算單個資產(chǎn)可用性風(fēng)險、完整性風(fēng)險和機密性風(fēng)險值，并采用加權(quán)平均的方法量化單個資產(chǎn)的綜合風(fēng)險；

（2）結(jié)合熵值，衡量單個資產(chǎn)風(fēng)險在物理環(huán)境、網(wǎng)絡(luò)安全、主機系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)安全等五個維度的影響程度，并計算每一個維度的風(fēng)險值；

（3）邀請專家對五個維度相對影響程度進行打分，并采用AHP 方法確定五個維度的權(quán)重；

（4）結(jié)合五個維度的權(quán)重和風(fēng)險值，實現(xiàn)軍用互聯(lián)網(wǎng)綜合風(fēng)險的衡量。

2.2 結(jié)果分析

本文通過模擬多次攻擊，包括非法設(shè)備物理接入、訪問權(quán)限非法獲取、控制信息被篡改、數(shù)據(jù)包重放攻擊、拒絕提供服務(wù)、病毒感染等，產(chǎn)生了大量的告警信息，并通過數(shù)據(jù)采集設(shè)備采集實驗數(shù)據(jù)。結(jié)合漏洞信息、告警信息、系統(tǒng)脆弱性信息、專家打分信息、歷史數(shù)據(jù)安全事件發(fā)生的概率以及影響程度進行量化后，利用軍用互聯(lián)網(wǎng)信息安全風(fēng)險評估模型對整個網(wǎng)絡(luò)的風(fēng)險進行分析。本文進行10組實驗，每組實驗的運行時間不超過24 小時，連續(xù)觀測5個時間段單個資產(chǎn)可用性風(fēng)險、完整性風(fēng)險和機密性風(fēng)險發(fā)生的概率。隨著實驗的推進，每組的警報數(shù)量逐漸增大，其中最少的警報數(shù)量為95 次，最多的警報數(shù)量為1 871 次，根據(jù)警報的內(nèi)容確定單個資產(chǎn)發(fā)生某種風(fēng)險的可能性。

為了驗證本文算法的有效性，對傳統(tǒng)AHP 信息安全風(fēng)險評估方法、基于故障樹和證據(jù)理論的信息安全風(fēng)險評估方法、本文提出綜合熵權(quán)法和AHP 的信息安全風(fēng)險評估方法進行對比，得到一系列風(fēng)險預(yù)測準(zhǔn)確率對比結(jié)果如圖4 所示。

圖4 風(fēng)險預(yù)測準(zhǔn)確率對比圖

圖4 中展示了5 個攻擊場景分別在傳統(tǒng)AHP 信息安全風(fēng)險評估方法、基于故障樹和證據(jù)理論的信息安全風(fēng)險評估方法、本文提出綜合熵權(quán)法和AHP 的信息安全風(fēng)險評估方法的結(jié)果分析，可知在相同攻擊行為條件下，本文提出的綜合熵權(quán)法和AHP 的信息安全風(fēng)險評估方法與傳統(tǒng)AHP 信息安全風(fēng)險評估方法相比，平均準(zhǔn)確率高11%左右；與基于故障樹和證據(jù)理論的信息安全風(fēng)險評估方法相比，平均準(zhǔn)確率高5%左右。這是因為傳統(tǒng)AHP 方法容易受到告警冗余性、網(wǎng)絡(luò)拓?fù)鋸?fù)雜和其他噪音的影響，專家未必能夠處理好單個資產(chǎn)在對應(yīng)網(wǎng)絡(luò)的影響力。與此同時，基于故障樹和證據(jù)理論的信息安全風(fēng)險評估方法過于依賴人工來描述風(fēng)險在整個網(wǎng)絡(luò)中的影響概率，其結(jié)論的可信性容易受到主觀影響。而本文提出的方法綜合定性和定量來衡量單個資產(chǎn)對網(wǎng)絡(luò)的影響力，不僅能夠在一定程度上對抗網(wǎng)絡(luò)告警的隨機性和模糊性問題，還能降低結(jié)論容易受到主觀因素的影響。因此，本文提出的方法可在一定程度降低評估結(jié)果的不確定性、受主觀影響過大的問題，在軍用互聯(lián)網(wǎng)的信息安全風(fēng)險評估中具有一定的應(yīng)用性和擴展性。

3 結(jié)束語

本文提出了一種綜合熵權(quán)法和AHP 的信息安全風(fēng)險評估方法，該方法解決的難點是如何對安全威脅發(fā)生的可能性以及對系統(tǒng)的影響程度進行量化分析。通過采用綜合熵權(quán)法和AHP 的信息安全風(fēng)險評估方法，結(jié)合軍用互聯(lián)網(wǎng)安全攻防仿真平臺對5 種網(wǎng)絡(luò)攻擊行為進行信息安全風(fēng)險預(yù)測。該方法在仿真系統(tǒng)中取得了良好的風(fēng)險預(yù)測準(zhǔn)確率，從仿真效果可知，本文提出的模型能夠準(zhǔn)確識別軍用互聯(lián)網(wǎng)中的各種風(fēng)險，具有一定的擴展性。隨著技術(shù)的發(fā)展，通過論證本文的內(nèi)容，能夠加快軍用互聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)的制定。