夏 冰，鄭秋生

（1．中原工學(xué)院；2．鄭州市計(jì)算機(jī)網(wǎng)絡(luò)安全評估重點(diǎn)實(shí)驗(yàn)室，鄭州市450007）

一種定量和定性的安全策略評估方法

夏 冰1，2，鄭秋生1，2

（1．中原工學(xué)院；2．鄭州市計(jì)算機(jī)網(wǎng)絡(luò)安全評估重點(diǎn)實(shí)驗(yàn)室，鄭州市450007）

在策略形式化描述和策略關(guān)聯(lián)度分析基礎(chǔ)之上，提出了一種定量和定性的安全策略評估方法，從主體、客體、權(quán)限和影響4個(gè)方面對安全策略進(jìn)行評估．實(shí)例分析和系統(tǒng)應(yīng)用表明，這種定量和定性的安全策略評估方法是可行的．

主機(jī)安全評估；策略關(guān)聯(lián)度；安全策略

主機(jī)安全評估是目前計(jì)算機(jī)網(wǎng)絡(luò)管理領(lǐng)域中的研究熱點(diǎn)之一．安全脆弱性評估項(xiàng)已從傳統(tǒng)單一的漏洞評估發(fā)展到包含漏洞、安全策略、安全配置、惡意代碼和重要文件等的多元安全評估［1－2］．國內(nèi)外也開展了一系列評估項(xiàng)的研究．當(dāng)前對漏洞的研究較多［3－4］，CVSS在基本群、生命周期群和環(huán)境群度量屬性標(biāo)準(zhǔn)上都有很大的改進(jìn)和發(fā)展（從CVSS1．0發(fā)展到CVSS2．0），并逐漸趨于成熟．近幾年，基于策略的安全應(yīng)用研究越來越受到重視，很多組織、機(jī)構(gòu)都制定了相應(yīng)的策略語言、管理規(guī)范．但大多數(shù)集中在策略管理、策略語言描述、動(dòng)態(tài)策略模型、策略沖突檢測等方面［5－8］，對安全策略和安全配置設(shè)置不當(dāng)而造成的安全后果評估研究較少．為此，本文在借鑒漏洞評級的基礎(chǔ)上，以主機(jī)安全策略測評項(xiàng)為對象，提出了一種定量和定性的安全策略評估方法．

1 基本概念

為了全面評估安全策略，下面對策略概念與形式化描述、策略關(guān)聯(lián)度、安全策略展開分析．

1．1 策略概念與形式化描述

根據(jù)IETF／DMTF的定義，策略是系統(tǒng)行為規(guī)則的描述，其通用描述形式為“if condition then action”．因此，策略的形式化描述如下：

Policy（Subject，Target，Action，Condition，F(xiàn)lag）表示策略為由Subject、Target、Action、Condition和Flag構(gòu)成的五元組．Subject表示本條策略規(guī)則管理的行為主體；Target表示本條策略規(guī)則管理的行為客體；Action表示本條策略規(guī)則管理的行為．為描述方便，將主體、客體及行為統(tǒng)稱為實(shí)體，主體對客體的一次行為執(zhí)行稱為會(huì)話．Condition表示本條策略規(guī)則管理行為的執(zhí)行約束條件，由主體約束條件、客體約束條件、會(huì)話環(huán)境約束條件組成．每一個(gè)約束條件的描述進(jìn)一步表示約束條件所屬實(shí)體和條件變量．Flag表示策略類型，取值為True或False，其中True為肯定策略，F(xiàn)alse為否定策略．

1．2 策略關(guān)聯(lián)度

策略關(guān)聯(lián)度是指策略之間實(shí)體元素如主體、客體、行為及其約束條件之間的邏輯關(guān)系．策略關(guān)聯(lián)度主要有分組關(guān)系、繼承關(guān)系、約束關(guān)系和依存關(guān)系．

分組關(guān)系是指安全策略中實(shí)體間的邏輯關(guān)系．組由實(shí)體構(gòu)成且成員必須具有相同的基本類型．組按類型進(jìn)一步分成主體組、客體組和行為組．

繼承關(guān)系是一種偏序關(guān)系，是指策略中主體、客體和行為一般都是以層次結(jié)構(gòu)來組織的，它們之間都存在某一種偏序關(guān)系．對某些主體、客體來說，相互之間存在繼承關(guān)系．繼承關(guān)系用“→”表示，即若s1繼承s2，則記為s2→s1．

約束關(guān)系是指約束條件之間的關(guān)系．當(dāng)描述同一類約束條件時(shí)，2個(gè)策略中的約束條件彼此可能互不相干，也可能有包含關(guān)系，還可能有交集．

依存關(guān)系主要是指策略描述的行為間的關(guān)系．依存關(guān)系主要有5種：順序關(guān)系是指2個(gè)行為在執(zhí)行時(shí)存在先后關(guān)系，用“～”表示；互斥關(guān)系是指2個(gè)行為在執(zhí)行時(shí)兩者不能同時(shí)執(zhí)行的一種關(guān)系，用“！～”表示；重復(fù)關(guān)系是指一個(gè)行為可以重復(fù)多次，用“＾”表示，通常約定行為默認(rèn)為可以重復(fù)執(zhí)行；一次性關(guān)系是指一個(gè)行為只能執(zhí)行一次，用“?。蕖北硎荆话P(guān)系是指一個(gè)行為的執(zhí)行必然包含另外一個(gè)行為的執(zhí)行，用“⊙”表示．

1．3 安全策略

安全策略是指有關(guān)管理、保護(hù)和發(fā)布信息的法律、規(guī)定和實(shí)施細(xì)則．在主機(jī)安全評估中，安全策略特指用于所有與安全相關(guān)的活動(dòng)的一套規(guī)則，泛指網(wǎng)絡(luò)管理員或者信息主管根據(jù)組織機(jī)構(gòu)的風(fēng)險(xiǎn)及其安全目標(biāo)制定的行動(dòng)策略．安全策略是動(dòng)態(tài)可調(diào)整的，需要根據(jù)時(shí)間、安全環(huán)境、系統(tǒng)安全需求等的變化，對已經(jīng)實(shí)現(xiàn)的安全策略進(jìn)行調(diào)整，使其符合新的安全目標(biāo)．通過動(dòng)態(tài)調(diào)整安全策略可以改變系統(tǒng)運(yùn)行時(shí)的行為，增強(qiáng)系統(tǒng)安全防護(hù)的靈活性和擴(kuò)展性．

在本文中，安全策略采用＜主體，客體，權(quán)限＞三元組的抽象方式描述．其中主體代表安全策略生成的主動(dòng)實(shí)體，主要通過生成途徑、生成復(fù)雜度來表現(xiàn)；客體代表所保護(hù)的策略項(xiàng)，主要由策略依附宿主對象和認(rèn)證方式組成；權(quán)限是指安全策略對主體訪問客體的授權(quán)狀態(tài)．

2 定量和定性的安全策略評估方法

安全策略因動(dòng)態(tài)調(diào)整多數(shù)是指安全強(qiáng)度的遞增或安全規(guī)則的組合，因此生命周期群不予考慮．本文在對安全策略進(jìn)行評估時(shí)，從基本群和環(huán)境群2個(gè)方面進(jìn)行衡量，如表1所示．

表1 安全策略評估標(biāo)準(zhǔn)

2．1 評估標(biāo)準(zhǔn)

2．1．1 基本群

基本群是指安全策略的基本特征，具有不隨時(shí)間和用戶環(huán)境改變而改變的固有特征．基本群評估的基本要素及其取值如表2所示．

表2 安全策略基本群評估要素及其取值

（1）生成途徑：指影響主機(jī)安全的策略配置是以何種方式生成．例如，策略配置可以通過本地用戶設(shè)置，或通過局域網(wǎng)設(shè)置，或通過遠(yuǎn)程網(wǎng)絡(luò)設(shè)置．

（2）生成復(fù)雜度：指安全策略配置過程中，是否需要較多的技術(shù)知識．“高”是指配置者需要專業(yè)的知識，對策略關(guān)聯(lián)度深刻理解；“中”是指配置者借助一定的知識就可以完成配置；“低”是指配置者通過字面含義就能進(jìn)行配置．

（3）認(rèn)證：指在配置過程是否需要認(rèn)證，如果需要認(rèn)證的話，是一次認(rèn)證還是多次認(rèn)證．

（4）Impact影響：指安全策略對機(jī)密性、完整性和可用性的影響的統(tǒng)稱．Impact影響的可選值為無影響、部分影響和完全影響．如果該安全策略不會(huì)對主機(jī)安全造成機(jī)密性、可用性、完整性影響，則安全策略定量評估分值為0．

（5）威脅對象類型：指安全策略一旦受到威脅，會(huì)對何種對象造成安全風(fēng)險(xiǎn)．安全策略威脅對象主要由網(wǎng)絡(luò)基礎(chǔ)設(shè)施（如防火墻、IDS、DNS、核心交換設(shè)備）、服務(wù)器和客戶機(jī)組成．網(wǎng)絡(luò)基礎(chǔ)設(shè)置受到安全威脅要比服務(wù)器受到安全威脅造成的影響范圍大，服務(wù)器受到安全威脅要比客戶機(jī)受到安全威脅造成的影響范圍大．

（6）使用權(quán)限：指安全策略配置時(shí)的操作權(quán)限．它主要包括管理員權(quán)限、普通用戶權(quán)限和其他權(quán)限．2．1．2 環(huán)境群

環(huán)境群是指安全策略與用戶主機(jī)環(huán)境相關(guān)的特性．主機(jī)環(huán)境的不同對安全策略造成的安全風(fēng)險(xiǎn)也不同．環(huán)境群評估的基本要素及其取值如表3所示．

表3 安全策略環(huán)境群評估要素及其取值

（1）策略關(guān)聯(lián)度：指從分組關(guān)系、繼承關(guān)系、約束關(guān)系中依存關(guān)系考慮策略之間的關(guān)聯(lián)度．其中依存關(guān)系中互斥關(guān)系在策略關(guān)聯(lián)度中的表現(xiàn)為高．

（2）影響操作系統(tǒng)的程度：指策略的制定和實(shí)施對操作系統(tǒng)運(yùn)行和用戶訪問造成的影響．“高”是指安全策略的實(shí)施造成操作系統(tǒng)不能運(yùn)行；“中”是指安全策略的實(shí)施干擾部分程序或功能的運(yùn)行；“低”是指安全策略的實(shí)施對操作系統(tǒng)無影響；“未定義”是指其他未知情況．

（3）Require需求：指安全策略配置對主機(jī)環(huán)境機(jī)密性要求程度、完整性要求程度和可用性要求程度的統(tǒng)稱．它主要通過“高、中、低和未定義”來區(qū)分．

2．2 評估過程

評估時(shí)將基本評價(jià)和環(huán)境評價(jià)所得到的結(jié)果綜合起來，得到一個(gè)最終的數(shù)值．2．2．1 基本評價(jià)

基本評價(jià)方程是安全策略評估的基礎(chǔ)，它是將主體Subject、客體Object、權(quán)限Privilege和影響Impact 4個(gè)方面的結(jié)果進(jìn)行加權(quán)運(yùn)算．基本評價(jià)方程式為：

安全策略基本評價(jià)4個(gè)部分之間存在某種邏輯關(guān)系，如描述主體、客體、權(quán)限三要素之間的安全標(biāo)簽就是安全策略．為了處理方便，本文采用加權(quán)計(jì)算，從數(shù)據(jù)融合的角度來全面評估安全策略．

2．2．2 環(huán)境評價(jià)

安全策略量化結(jié)果和宿主環(huán)境密不可分．環(huán)境評價(jià)方程式和基本評價(jià)相結(jié)合，產(chǎn)生一個(gè)0～10分的環(huán)境評價(jià)結(jié)果．安全策略環(huán)境評價(jià)公式為：

Adjusted Temporal是用公式（3）替代基本評價(jià)中的BaseScore來表示：

2．3 等級劃分

依據(jù)BaseScore，定義4個(gè)安全等級的定性評估結(jié)果：

（1）低：安全策略基準(zhǔn)值為0．0～2．4；

（2）中：安全策略基準(zhǔn)值為2．5～4．9；

（3）中高：安全策略基準(zhǔn)值為5．0～7．4；

（4）高：安全策略基準(zhǔn)值為7．5～10．

3 實(shí)例與分析

下面以帳號鎖定策略為例，說明安全策略的整個(gè)評估過程．帳號鎖定策略基本群評估要素及其取值如表4所示；帳號鎖定策略環(huán)境群評估要素及其取值如

表5所示．

表4 帳號鎖定策略基本群評估要素及其取值

表5 帳號鎖定策略環(huán)境群評估要素及其取值

利用公式（1）和表4獲取如下數(shù)值：Impact＝6．4，Subject＝2．4，Object＝6．4，Privilege＝1，BaseScore＝4．5．

借助公式（3）和表5可計(jì)算得出AdjustedImpact＝6．4，并推導(dǎo)出 Adjusted Temporal＝4．5．在此基礎(chǔ)之上，利用公式（2）計(jì)算得出EnvironmentalScore＝5．4，即帳號鎖定策略評估定量值為5．4，等級為高．

為了描述本安全策略評估的可行性，下面給出3種比 較 權(quán) 威 的 安 全 評 價(jià) 結(jié) 構(gòu)［9－11］，如 FIRST 的CVSSv2、IBM 的 X－Force以及美國的 US－CERT．比較結(jié)果如表6所示．

表6 評估結(jié)果對比

與CVSSv2的4．6分相比，本方案在分值上差距不到1分．其主要原因在于CVSSv2僅僅從基本群上考慮分值，而本方案側(cè)重安全策略對安全配置、重要文件和其他策略的影響．同時(shí)，評估實(shí)例表明本文提出的安全策略評估方法與其他僅僅關(guān)注漏洞本身的方法（如CVSSv2、X－Force、US－CERT）不同，它能夠依據(jù)主機(jī)實(shí)際情況進(jìn)行綜合分析，因此更能全面評估主機(jī)所面臨的安全風(fēng)險(xiǎn)，其方案是可行的，結(jié)果是可信的．

4 結(jié) 語

本文一方面為影響網(wǎng)絡(luò)安全的安全策略測評項(xiàng)提供了一種度量參考標(biāo)準(zhǔn)，并給出了度量標(biāo)準(zhǔn)的評估過程；另一方面為其他安全評估項(xiàng)如重要文件、惡意代碼等提供了一種定量和定性的評估思路．本文提出的安全策略評估方法已成功地應(yīng)用到實(shí)驗(yàn)室開發(fā)的“Found Light主機(jī)安全評估系統(tǒng)”上．后期研究工作主要包括分析安全策略關(guān)聯(lián)度和安全策略對操作系統(tǒng)的影響．

［1］夏冰，裴斐，鄭秋生．帶策略與管理的安全評估系統(tǒng)研究與實(shí)現(xiàn)［J］．中原工學(xué)院學(xué)報(bào)，2009，20（6）：29－34．

［2］鄭秋生，白永紅，夏冰．計(jì)算機(jī)網(wǎng)絡(luò)安全評估技術(shù)的研究［C］／／．計(jì)算機(jī)研究新進(jìn)展（2009）．北京：電子工業(yè)出版社，2009：26－30．

［3］Peter Mell，Karen Scarfone，Sasha Romanosky．A Complete Guide to the Common Vulnerability Scoring System Version2．0［EB／OL］．（2009－04－08）．http／／www．first．org／cvss／cvss－guide．htm．

［4］王秋艷，張玉清．一種通用漏洞評級方法［J］．計(jì)算機(jī)工程，2008，34（19）：133－136．

［5］蔡嘉勇，卿斯?jié)h，劉偉．安全策略模型聚合性評估方法［J］．軟件學(xué)報(bào)，2009，20（7）：1953－1966．

［6］汪靖，林植，李云山．一種安全策略的沖突檢測與消解方法［J］．計(jì)算機(jī)應(yīng)用，2009，29（3）：823－825．

［7］王濤，曾慶凱．動(dòng)態(tài)安全策略的權(quán)限撤銷研究［J］．計(jì)算機(jī)應(yīng)用，2009，29（7）：1809－1812．

［8］李慶海，張德運(yùn)，段中興．基于角色的分布式策略管理規(guī)范的設(shè)計(jì)與實(shí)現(xiàn)［J］．西安交通大學(xué)學(xué)報(bào)，2004，38（6）：566－570．

［9］ISS X－Force Database．Microsoft Windows 2000 Brute Force Attack［EB／OL］．［2011－03－01］．http：／／xforce．iss．net／xforce／xfdb／5585．

［10］National Vulnerability Database．CVE－2000－1217［EB／OL］．（2008－09－05）［2011－03－01］．http：／／web．nvd．nist．gov／view／vuln／detail？vulnId＝CVE－2000－1217．

［11］US－CERT．Vulnerability Note VU＃818496［EB／OL］．（2001－04－30）［2011－03－01］．http：／／www．kb．cert．org／vuls／id／818496．

The Method of Quantitative and Qualitative of Security Policy Assessment

XIA Bing1，2，ZHENG Qiu－sheng1，2
（1．Zhongyuan University of Technolog；2．Zhengzhou Key Lab of Computer Network Security Assessment，Zhengzhou 450007，China）

How to evaluate security policy and to give assessment process is key point to security metric result．Based on policy formal description and policy associations，this paper proposes a assessment methos that included subject，object，privilege and impact，and illustrates the validity．

host security assessment；policy association；security policy

TP309

A

10．3969／j．issn．1671－6906．2011．02．009

1671－6906（2011）01－0033－04

2011－03－07

河南省科技攻關(guān)計(jì)劃項(xiàng)目（092102310038；092102210029）

夏 冰（1981－），男，河南永城人，講師，碩士．