李 晶 石春和

（軍械工程學(xué)院1） 石家莊 050003）（63880部隊(duì)2） 洛陽(yáng) 454650）

1 引言

當(dāng)前，隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展與應(yīng)用，人們對(duì)于網(wǎng)絡(luò)的安全性能越來(lái)越關(guān)注，網(wǎng)絡(luò)安全技術(shù)已從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻、防、測(cè)、控、管、評(píng)”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。信息安全是一個(gè)綜合、交叉的學(xué)科領(lǐng)域，它要綜合利用數(shù)學(xué)、物理、通信和計(jì)算機(jī)諸多學(xué)科的長(zhǎng)期知識(shí)積累和最新發(fā)展成果，進(jìn)行自主創(chuàng)新研究、加強(qiáng)頂層設(shè)計(jì)，提出系統(tǒng)的、完整的解決方案。

網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)估的目的是為了讓決策者進(jìn)行風(fēng)險(xiǎn)處置，即運(yùn)用綜合的策略來(lái)解決風(fēng)險(xiǎn)。信息系統(tǒng)可根據(jù)安全評(píng)估結(jié)果來(lái)定義安全需求，最終采用適當(dāng)?shù)陌踩刂撇呗詠?lái)管理安全風(fēng)險(xiǎn)。

安全評(píng)估的結(jié)果就是對(duì)信息保護(hù)系統(tǒng)的某種程度上的確信，開(kāi)展網(wǎng)絡(luò)安全系統(tǒng)評(píng)估技術(shù)研究，可以對(duì)國(guó)防軍工制造業(yè)數(shù)字化網(wǎng)絡(luò)系統(tǒng)、國(guó)家電子政務(wù)信息系統(tǒng)、各類信息安全系統(tǒng)等的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行等各階段進(jìn)行系統(tǒng)級(jí)的測(cè)試評(píng)估，找出網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)，發(fā)現(xiàn)并修正系統(tǒng)存在的弱點(diǎn)和漏洞，保證網(wǎng)絡(luò)系統(tǒng)的安全性，提出安全解決方案。

2 網(wǎng)絡(luò)安全評(píng)估理論體系和標(biāo)準(zhǔn)規(guī)范

1）網(wǎng)絡(luò)安全評(píng)估所要進(jìn)行的工作

通過(guò)對(duì)實(shí)際網(wǎng)絡(luò)的半實(shí)物仿真，進(jìn)行測(cè)試和安全評(píng)估技術(shù)的研究，參考國(guó)際相關(guān)技術(shù)標(biāo)準(zhǔn)，建立網(wǎng)絡(luò)安全評(píng)估模型，歸納安全評(píng)估指標(biāo)，研制可操作性強(qiáng)的信息系統(tǒng)安全評(píng)測(cè)準(zhǔn)則，并形成網(wǎng)絡(luò)信息安全的評(píng)估標(biāo)準(zhǔn)體系。

2）當(dāng)前在網(wǎng)絡(luò)技術(shù)上通用的、主流的信息安全評(píng)估標(biāo)準(zhǔn)規(guī)范主要有：

（1）歐美等西方國(guó)家的通用安全標(biāo)準(zhǔn)準(zhǔn)則：

·美國(guó)可信計(jì)算機(jī)安全評(píng)價(jià)標(biāo)準(zhǔn)（TCSEC）

·歐洲網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)（ITSEC）

·國(guó)際網(wǎng)絡(luò)安全通用準(zhǔn)則（CC）

（2）我國(guó)制定的網(wǎng)絡(luò)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)準(zhǔn)則：

·《國(guó)家信息技術(shù)安全性評(píng)估的通用準(zhǔn)則》GB／T 18336標(biāo)準(zhǔn)

·公安部《信息網(wǎng)絡(luò)安全等級(jí)管理辦法》

·BMZ1－2000《涉密信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》

·《GJB 2646－96軍用計(jì)算機(jī)安全評(píng)估準(zhǔn)則》

·《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》等

3 安全評(píng)估過(guò)程模型

目前比較通用的對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全評(píng)估的流程主要包括信息系統(tǒng)的資產(chǎn)（需保護(hù)的目標(biāo)）識(shí)別、威脅識(shí)別、脆弱性識(shí)別、安全措施分析、安全事件影響分析以及綜合風(fēng)險(xiǎn)判定等。

對(duì)測(cè)評(píng)流程基本邏輯模型的構(gòu)想如圖1所示：

圖1 網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)估過(guò)程模型

在這個(gè)測(cè)試評(píng)估模型中，主要包括六方面的內(nèi)容：1）系統(tǒng)分析：對(duì)信息系統(tǒng)的安全需求進(jìn)行分析；2）識(shí)別關(guān)鍵資產(chǎn)：根據(jù)系統(tǒng)分析的結(jié)果識(shí)別出系統(tǒng)的重要資產(chǎn)；3）識(shí)別威脅：識(shí)別出系統(tǒng)主要的安全威脅以及威脅的途徑和方式；4）識(shí)別脆弱性：識(shí)別出系統(tǒng)在技術(shù)上的缺陷、漏洞、薄弱環(huán)節(jié)等；5）分析影響：分析安全事件對(duì)系統(tǒng)可能造成的影響；6）風(fēng)險(xiǎn)評(píng)估：綜合關(guān)鍵資產(chǎn)、威脅因素、脆弱性及控制措施，綜合事件影響，評(píng)估系統(tǒng)面臨的風(fēng)險(xiǎn)。

4 網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)評(píng)估

安全態(tài)勢(shì)評(píng)估是進(jìn)行網(wǎng)絡(luò)系統(tǒng)級(jí)安全評(píng)估的重要環(huán)節(jié)，合理的安全態(tài)勢(shì)評(píng)估方法可以有效地評(píng)定威脅級(jí)別不同的安全事件。對(duì)系統(tǒng)安全進(jìn)行評(píng)估通常與攻擊給網(wǎng)絡(luò)帶來(lái)的損失是相對(duì)應(yīng)的，造成的損失越大，說(shuō)明攻擊越嚴(yán)重、網(wǎng)絡(luò)安全狀況越差。通過(guò)攻擊的損失可以評(píng)估攻擊的嚴(yán)重程度，從而評(píng)估網(wǎng)絡(luò)安全狀況。

結(jié)合網(wǎng)絡(luò)資產(chǎn)安全價(jià)值進(jìn)行評(píng)估的具體算法如下：

設(shè)SERG為待評(píng)估安全事件關(guān)聯(lián)圖：

定義

其中，SERG表示安全事件關(guān)聯(lián)，SERG.Statei表示攻擊者獲取的直接資源列表；ASV（a）表示對(duì)應(yīng)資產(chǎn)a的資產(chǎn)安全價(jià)值；Ta表示可以接受的威脅閾值；HIGHImpactSet表示高風(fēng)險(xiǎn)事件集合。

常用的對(duì)一個(gè)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全態(tài)勢(shì)評(píng)估的算法有如下幾種：

4.1 專家評(píng)估法（Delphi法）

專家法也稱專家征詢法（Delphi法），其基本步驟如下：

1）選擇專家：這是很重要的一步，選的好與不好將直接影響到結(jié)果的準(zhǔn)確性，一般情況下，應(yīng)有網(wǎng)絡(luò)安全領(lǐng)域中既有實(shí)際工作經(jīng)驗(yàn)又有較深理論修養(yǎng)的專家10人以上參與評(píng)估，專家數(shù)目太少時(shí)則影響此方法的準(zhǔn)確性；

2）確定出與網(wǎng)絡(luò)系統(tǒng)安全相關(guān)的m個(gè)被評(píng)估指標(biāo)，將這些指標(biāo)以及統(tǒng)一的權(quán)數(shù)確定規(guī)則發(fā)給選定的各位專家，由他們各自獨(dú)立地給出自己所認(rèn)為的對(duì)每一個(gè)指標(biāo)的安全態(tài)勢(shì)評(píng)價(jià)（Xi）以及每一個(gè)評(píng)價(jià)指標(biāo)在網(wǎng)絡(luò)系統(tǒng)整體安全態(tài)勢(shì)評(píng)估中所占有的比重權(quán)值（Wi）；

3）回收專家們的評(píng)估結(jié)果并計(jì)算各安全態(tài)勢(shì)指標(biāo)及指標(biāo)權(quán)數(shù)的均值和標(biāo)準(zhǔn)差：

計(jì)算估計(jì)值和平均估計(jì)值的偏差

4）將計(jì)算結(jié)果及補(bǔ)充材料返還給各位專家，要求所有的專家在新的基礎(chǔ)上重新確定各指標(biāo)安全態(tài)勢(shì)及所占有的安全評(píng)價(jià)權(quán)重；

5）重復(fù)上面兩步，直至各指標(biāo)權(quán)數(shù)與其均值的離差不超過(guò)預(yù)先給定的標(biāo)準(zhǔn)為止，也就是各專家的意見(jiàn)基本趨于一致，以此時(shí)對(duì)該指標(biāo)的安全評(píng)價(jià)作為系統(tǒng)最終安全評(píng)價(jià)，并以此時(shí)各指標(biāo)權(quán)數(shù)的均值作為該指標(biāo)的權(quán)數(shù)。

歸納起來(lái)，專家法評(píng)估的核心思想就是采用匿名的方式，收集和征詢?cè)擃I(lǐng)域?qū)＜覀兊囊庖?jiàn)，將其答復(fù)作統(tǒng)計(jì)分析，再將分析結(jié)果反饋給領(lǐng)域?qū)＜?，同時(shí)進(jìn)一步就同一問(wèn)題再次征詢專家意見(jiàn)，如此反復(fù)多輪，使專家們的意見(jiàn)逐漸集中到某個(gè)有限的范圍內(nèi)，然后將此結(jié)果用中位數(shù)和四分位數(shù)來(lái)表示。對(duì)各個(gè)征詢意見(jiàn)做統(tǒng)計(jì)分析和綜合歸納時(shí)，如果發(fā)現(xiàn)專家的評(píng)價(jià)意見(jiàn)離散度太大，很難取得一致意見(jiàn)時(shí)，可以再進(jìn)行幾輪征詢，然后再按照上述方法進(jìn)行統(tǒng)計(jì)分析，直至取得較為一致的意見(jiàn)為止。該方法適用于各種評(píng)價(jià)指標(biāo)之間相互獨(dú)立的場(chǎng)合，各指標(biāo)對(duì)綜合評(píng)價(jià)值的貢獻(xiàn)彼此沒(méi)有什么影響。若評(píng)價(jià)指標(biāo)之間不互相獨(dú)立，專家們比較分析的結(jié)果必然導(dǎo)致信息的重復(fù)，就難以得到符合客觀實(shí)際的綜合評(píng)價(jià)值。

4.2 基于“熵”的網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)評(píng)估

網(wǎng)絡(luò)安全性能評(píng)價(jià)指標(biāo)選取后，用一定的方法對(duì)其進(jìn)行量化，即可得到對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性度量，從而可把網(wǎng)絡(luò)系統(tǒng)受攻擊前后的安全性差值作為攻擊效果的一個(gè)測(cè)度?？紤]到進(jìn)行網(wǎng)絡(luò)攻擊效果評(píng)估時(shí)，我們關(guān)心的只是網(wǎng)絡(luò)系統(tǒng)遭受攻擊前后安全性能的變化，借鑒信息論中“熵”的概念，可以提出評(píng)價(jià)網(wǎng)絡(luò)性能的“網(wǎng)絡(luò)熵”理論。“網(wǎng)絡(luò)熵”是對(duì)網(wǎng)絡(luò)安全性能的一種描述，“網(wǎng)絡(luò)熵”值越小，表明該網(wǎng)絡(luò)系統(tǒng)的安全性越好。對(duì)于網(wǎng)絡(luò)系統(tǒng)的某一項(xiàng)性能指標(biāo)來(lái)說(shuō)，其熵值可以定義為：

式中：Vi指網(wǎng)絡(luò)第i項(xiàng)指標(biāo)的歸一化參數(shù)。

網(wǎng)絡(luò)信息系統(tǒng)受到攻擊后，其安全功能下降，系統(tǒng)穩(wěn)定性變差，這些變化必然在某些網(wǎng)絡(luò)性能指標(biāo)上有所體現(xiàn)，相應(yīng)的網(wǎng)絡(luò)熵值也應(yīng)該有所變化。因此，可以用攻擊前后網(wǎng)絡(luò)熵值的變化量對(duì)攻擊效果進(jìn)行描述。

網(wǎng)絡(luò)熵的計(jì)算應(yīng)該綜合考慮影響網(wǎng)絡(luò)安全性能的各項(xiàng)指標(biāo)，其值為各單項(xiàng)指標(biāo)熵的加權(quán)和：

式中：n為影響網(wǎng)絡(luò)性能的指標(biāo)個(gè)數(shù)；為第i項(xiàng)指標(biāo)的權(quán)重；Hi第i項(xiàng)指標(biāo)的網(wǎng)絡(luò)熵。

在如何設(shè)定各網(wǎng)絡(luò)單項(xiàng)指標(biāo)的權(quán)重以逼真地反映其對(duì)整個(gè)網(wǎng)絡(luò)熵的貢獻(xiàn)時(shí)，設(shè)定的普遍通用的原則是根據(jù)網(wǎng)絡(luò)防護(hù)的目的和網(wǎng)絡(luò)服務(wù)的類型確定i的值，在實(shí)際應(yīng)用中，i值可以通過(guò)對(duì)各項(xiàng)指標(biāo)建立判斷矩陣，采用層次分析法逐層計(jì)算得出。一般而言，對(duì)網(wǎng)絡(luò)熵的設(shè)定時(shí)主要考慮以下三項(xiàng)指標(biāo)的網(wǎng)絡(luò)熵：

1）網(wǎng)絡(luò)吞吐量：?jiǎn)挝粫r(shí)間內(nèi)網(wǎng)絡(luò)結(jié)點(diǎn)之間成功傳送的無(wú)差錯(cuò)的數(shù)據(jù)量；

2）網(wǎng)絡(luò)響應(yīng)時(shí)間：網(wǎng)絡(luò)服務(wù)請(qǐng)求和響應(yīng)該請(qǐng)求之間的時(shí)間間隔；

3）網(wǎng)絡(luò)延遲抖動(dòng)：指平均延遲變化的時(shí)間量。

設(shè)網(wǎng)絡(luò)攻擊發(fā)生前，系統(tǒng)各指標(biāo)的網(wǎng)絡(luò)熵為H攻擊發(fā)生后，系統(tǒng)各指標(biāo)的網(wǎng)絡(luò)熵為H′，則網(wǎng)絡(luò)攻擊的效果可以表示為：

則有：

利用上式，僅需測(cè)得攻擊前后網(wǎng)絡(luò)的各項(xiàng)性能指標(biāo)參數(shù)（Vi、V′i），并設(shè)定好各指標(biāo)的權(quán)重（i），即可計(jì)算出網(wǎng)絡(luò)系統(tǒng)性能的損失，評(píng)估網(wǎng)絡(luò)系統(tǒng)受攻擊后的結(jié)果。EH是對(duì)網(wǎng)絡(luò)攻擊效果的定量描述，其值越大，表明網(wǎng)絡(luò)遭受攻擊后安全性能下降的越厲害，也就是說(shuō)網(wǎng)絡(luò)安全性能越差。

國(guó)際標(biāo)準(zhǔn)中較為通用的根據(jù)EH值對(duì)網(wǎng)絡(luò)安全性能進(jìn)行評(píng)估的參考標(biāo)準(zhǔn)值如表1所示。

表1 EH（網(wǎng)絡(luò)熵值差）—網(wǎng)絡(luò)安全性能關(guān)系參考標(biāo)準(zhǔn)表

4.3 模糊綜合評(píng)判法

模糊綜合評(píng)判法也是常用的一種對(duì)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)進(jìn)行綜合評(píng)判的方法，它是根據(jù)模糊數(shù)學(xué)的基本理論，先選定被評(píng)估網(wǎng)絡(luò)系統(tǒng)的各評(píng)估指標(biāo)域，而后利用模糊關(guān)系合成原理，通過(guò)構(gòu)造等級(jí)模糊子集把反映被評(píng)事物的模糊指標(biāo)進(jìn)行量化（即確定隸屬度），然后利用模糊變換原理對(duì)各指標(biāo)進(jìn)行綜合。

模糊綜合評(píng)判法一般按以下程序進(jìn)行：

1）確定評(píng)價(jià)對(duì)象的因素論域U

也就是首先確定被評(píng)估網(wǎng)絡(luò)系統(tǒng)的n個(gè)網(wǎng)絡(luò)安全領(lǐng)域的評(píng)價(jià)指標(biāo)。

這一步主要是確定評(píng)價(jià)指標(biāo)體系，解決從哪些方面和用哪些因素來(lái)評(píng)價(jià)客觀對(duì)象的問(wèn)題。

2）確定評(píng)語(yǔ)等級(jí)論域V

也就是對(duì)確定的各個(gè)評(píng)價(jià)指標(biāo)的等級(jí)評(píng)定程度，即等級(jí)集合，每一個(gè)等級(jí)可對(duì)應(yīng)一個(gè)模糊子集。正是由于這一論域的確定，才使得模糊綜合評(píng)價(jià)得到一個(gè)模糊評(píng)判向量，被評(píng)價(jià)對(duì)象對(duì)評(píng)語(yǔ)等級(jí)隸屬度的信息通過(guò)這個(gè)模糊向量表示出來(lái)，體現(xiàn)出評(píng)判的模糊性。

從技術(shù)處理的角度來(lái)看，評(píng)語(yǔ)等級(jí)數(shù)m通常取3≤m≤7，若m過(guò)大會(huì)超過(guò)人的語(yǔ)義能力，不易判斷對(duì)象的等級(jí)歸屬；若m過(guò)小又可能不符合模糊綜合評(píng)判的質(zhì)量要求，故其取值以適中為宜。m取奇數(shù)的情況較多，因?yàn)檫@樣可以有一個(gè)中間等級(jí)，便于判斷被評(píng)事物的等級(jí)歸屬，具體等級(jí)可以依據(jù)評(píng)價(jià)內(nèi)容用適當(dāng)?shù)恼Z(yǔ)言描述，比如評(píng)價(jià)數(shù)據(jù)管理制度，可取V＝｛好，較好，一般，較差，差｝；評(píng)價(jià)防黑客入侵設(shè)施，可取V＝｛強(qiáng)，中，弱｝等。

3）進(jìn)行單因素評(píng)價(jià)，建立模糊關(guān)系矩陣R

在構(gòu)造了等級(jí)模糊子集后，就要逐個(gè)對(duì)各被評(píng)價(jià)指標(biāo)ui確定其對(duì)各等級(jí)模糊子集vi的隸屬程度。這樣，可得到一個(gè)ui與vi間的模糊關(guān)系數(shù)據(jù)矩陣：

式中：rij表示U中因素ui對(duì)應(yīng)V中等級(jí)vi的隸屬關(guān)系，即因素ui隸屬于vi的等級(jí)程度。

4）確定評(píng)判因素的模糊權(quán)向量集A

一般說(shuō)來(lái)，所確定的網(wǎng)絡(luò)安全的n個(gè)評(píng)價(jià)指標(biāo)對(duì)于網(wǎng)絡(luò)整體的安全態(tài)勢(shì)評(píng)估作用是不同的，各方面因素的表現(xiàn)在整體中所占的比重是不同的。

因此，定義了一個(gè)所謂模糊權(quán)向量集A的概念，該要素權(quán)向量集就是反映被評(píng)價(jià)指標(biāo)的各因素相對(duì)于整體評(píng)價(jià)指標(biāo)的重要程度。權(quán)向量的確定與其他評(píng)估方法相同，可采用層次分析等方法獲得。權(quán)向量集A可表示為：

并滿足如下關(guān)系：

5）將A與R合成，得到被評(píng)估網(wǎng)絡(luò)系統(tǒng)的模糊綜合評(píng)判向量B

式中：rij表示的是模糊關(guān)系數(shù)據(jù)矩陣R經(jīng)過(guò)與模糊權(quán)向量集A矩陣運(yùn)算后，得到的修正關(guān)系向量。

這樣做的意義在于使用模糊權(quán)向量集A矩陣來(lái)對(duì)關(guān)系隸屬矩陣R進(jìn)行修正，使得到的綜合評(píng)判向量更為客觀準(zhǔn)確。

6）對(duì)模糊綜合評(píng)判結(jié)果B的歸一化處理

根據(jù)上一步的計(jì)算，得到了對(duì)網(wǎng)絡(luò)各安全評(píng)價(jià)指標(biāo)的評(píng)判結(jié)果向量集B＝（b1，b2，…，bn）。

由于對(duì)每個(gè)評(píng)價(jià)指標(biāo)的評(píng)判結(jié)果都是一個(gè)模糊向量，不便于各評(píng)價(jià)指標(biāo)間的排序評(píng)優(yōu)，因而還需要進(jìn)一步的分析處理。

對(duì)模糊綜合評(píng)判結(jié)果向量B進(jìn)行歸一化處理：

從而得到各安全評(píng)價(jià)指標(biāo)的歸一化向量，從而對(duì)各歸一化向量進(jìn)行相應(yīng)。

5 結(jié)語(yǔ)

本論文首先介紹了網(wǎng)絡(luò)安全評(píng)估技術(shù)的基本知識(shí)，然后對(duì)安全評(píng)估模型進(jìn)行了分析計(jì)算，闡述了網(wǎng)絡(luò)安全技術(shù)措施的有效性；最后對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估給出了具體的算法和公式。通過(guò)本文的技術(shù)研究，基本上對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全評(píng)估技術(shù)有了初步的了解，下一步還將對(duì)安全評(píng)估的風(fēng)險(xiǎn)、安全評(píng)估中相關(guān)聯(lián)的各項(xiàng)因素進(jìn)行研究。

[1]逮昭義.計(jì)算機(jī)通信網(wǎng)信息量理論[M].北京：電子工業(yè)出版社，1997：57～58

[2]張義榮.計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果評(píng)估技術(shù)研究[J].國(guó)防科技大學(xué)學(xué)報(bào)，2002

[3]張義榮，鮮明，王國(guó)玉.一種基于網(wǎng)絡(luò)熵的計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果定量評(píng)估方法[J].通信學(xué)報(bào)，2004（11）

[4]孫朝云，孫向科，文靜.基于B／S模式網(wǎng)絡(luò)系統(tǒng)安全性研究與實(shí)現(xiàn)[J].計(jì)算機(jī)與數(shù)字工程，2009，37（3）