基于關(guān)聯(lián)分析的關(guān)鍵信息系統(tǒng)生存能力評估方法

彭 武，韋 濤，王冬海

（1.中國電子科技集團公司電子科學(xué)研究院，北京 100041；2.北京聯(lián)海信息系統(tǒng)有限公司，北京 100041）

基礎(chǔ)理論

基于關(guān)聯(lián)分析的關(guān)鍵信息系統(tǒng)生存能力評估方法

彭 武1，2，韋 濤1，王冬海1，2

（1.中國電子科技集團公司電子科學(xué)研究院，北京 100041；2.北京聯(lián)海信息系統(tǒng)有限公司，北京 100041）

評估關(guān)鍵信息系統(tǒng)的生存能力是大幅提升我國安全防御能力的重要舉措。針對關(guān)鍵信息系統(tǒng)，提出了一種基于關(guān)聯(lián)分析的生存能力評估方法，通過綜合分析系統(tǒng)面臨的威脅、抵抗能力、恢復(fù)能力等因素之間的內(nèi)在聯(lián)系，量化系統(tǒng)的生存能力，為發(fā)現(xiàn)系統(tǒng)短板與安全管理決策提供依據(jù)和指導(dǎo)。實驗證明了本文方法的有效性和可行性。

生存能力；評估；關(guān)鍵信息系統(tǒng)；關(guān)聯(lián)分析

0 引 言

生存能力是關(guān)鍵信息系統(tǒng)在攻防對抗環(huán)境下遭到網(wǎng)絡(luò)攻擊或其他突發(fā)事件時維持其自身穩(wěn)定性、可用性、保密性和完整性的能力。關(guān)鍵信息系統(tǒng)是保障電力、電信、金融、國家機關(guān)等國家重要領(lǐng)域基礎(chǔ)業(yè)務(wù)正常開展的信息系統(tǒng)，其穩(wěn)定持續(xù)運行關(guān)乎國家安全、社會穩(wěn)定。當(dāng)前，針對我國關(guān)鍵信息系統(tǒng)的網(wǎng)絡(luò)攻擊難以避免，采用傳統(tǒng)的網(wǎng)絡(luò)安全防御設(shè)計和措施可能導(dǎo)致信息系統(tǒng)在網(wǎng)絡(luò)攻擊下性能嚴(yán)重下降甚至功能完全喪失，難以完全滿足關(guān)鍵信息系統(tǒng)對穩(wěn)定性、可用性方面的要求。因此，提高我國關(guān)鍵信息系統(tǒng)的生存能力，在各種網(wǎng)絡(luò)攻擊下，能夠保證核心功能和基本性能，支撐核心業(yè)務(wù)的開展對維護國家信息安全具有重要的意義。

目前，美國、日本、俄羅斯、歐盟等國家和地區(qū)積極開展網(wǎng)絡(luò)空間行動戰(zhàn)略，在組建網(wǎng)絡(luò)作戰(zhàn)部隊的同時積極部署國家安全戰(zhàn)略，開展容災(zāi)備份、主動防御等關(guān)鍵技術(shù)研究，加強各自關(guān)鍵信息系統(tǒng)的保護，并發(fā)布相應(yīng)的政策、法令［1，2］。我國對關(guān)鍵信息系統(tǒng)尚沒有統(tǒng)一的、清晰的概念，但從信息系統(tǒng)承擔(dān)的作用角度出發(fā)，將維護國家事務(wù)、經(jīng)濟建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計算機信息系統(tǒng)定義為關(guān)鍵信息系統(tǒng)，具體包括：國家事務(wù)處理信息系統(tǒng)、關(guān)系國計民生的信息系統(tǒng)、教育科研單位的信息系統(tǒng)、通信及廣播電視傳輸信息系統(tǒng)、企業(yè)重要信息系統(tǒng)等。據(jù)統(tǒng)計，我國各行業(yè)關(guān)鍵信息系統(tǒng)的數(shù)量已經(jīng)超過十萬個。

然而，我國關(guān)鍵信息系統(tǒng)保障能力嚴(yán)重不足，難以有效抵御網(wǎng)絡(luò)攻擊。我國半數(shù)以上重要信息系統(tǒng)難以抵御一般性網(wǎng)絡(luò)攻擊，大多數(shù)部委門戶網(wǎng)站利用一般性攻擊工具即可獲取網(wǎng)站控制權(quán)。采用入侵檢測、防火墻、漏洞掃描等傳統(tǒng)的信息安全防護設(shè)備和手段難以滿足關(guān)鍵信息系統(tǒng)對可用性、穩(wěn)定性等方面的安全需求。因此，評估關(guān)鍵信息系統(tǒng)的生存能力，量化其抵抗攻擊或者在攻擊條件下保證基本功能和性能的能力，是發(fā)現(xiàn)關(guān)鍵信息系統(tǒng)的防御短板并提高系統(tǒng)抗毀頑存能力的基礎(chǔ)和前提。目前，國內(nèi)外學(xué)者對信息系統(tǒng)生存能力方面的研究主要集中在網(wǎng)絡(luò)、軟件方面［3～5］，對整個信息系統(tǒng)特別是關(guān)鍵信息系統(tǒng)生存能力的分析與研究還遠(yuǎn)遠(yuǎn)不夠，有針對性的評估和量化方法還沒有出現(xiàn)，因此亟需開展相關(guān)研究，大幅提升對國家級、有組織網(wǎng)絡(luò)攻擊威脅的應(yīng)對能力，構(gòu)建關(guān)鍵信息系統(tǒng)的積極防御體系。

本研究針對關(guān)鍵信息系統(tǒng)，提出了一種基于關(guān)聯(lián)分析的生存能力評估方法，通過綜合分析系統(tǒng)面臨的威脅、抵抗能力、恢復(fù)能力等因素之間的內(nèi)在聯(lián)系，量化系統(tǒng)的生存能力，為發(fā)現(xiàn)系統(tǒng)短板提升系統(tǒng)生存能力提供依據(jù)和指導(dǎo)。

1 關(guān)鍵信息系統(tǒng)可生存性評估框架

關(guān)鍵信息系統(tǒng)由應(yīng)用服務(wù)器、存儲、網(wǎng)絡(luò)和終端等設(shè)備組成，對外提供網(wǎng)絡(luò)訪問、WEB服務(wù)、數(shù)據(jù)訪問等多種服務(wù)，在遭受在外部威脅時，必須明確系統(tǒng)的生存能力需求，優(yōu)先保證核心服務(wù)的最低提供能力。關(guān)鍵信息系統(tǒng)生存能力的評估需要根據(jù)具體環(huán)境綜合考慮對生存能力的需求、面臨的威脅及采用的增強措施，給出綜合評價指數(shù)，指出短板和不足，為安全管理員的決策提供支持和依據(jù)。

定義1：關(guān)鍵信息系統(tǒng)生存能力需求（R）。關(guān)鍵信息系統(tǒng)在遭受攻擊、突發(fā)事件等威脅下，還必須向用戶提供的基本服務(wù)，如WEB服務(wù)的可用性、EMAIL服務(wù)的可用性、重要數(shù)據(jù)的完整性等。

定義2：威脅（T）?？赡芙档完P(guān)鍵信息系統(tǒng)生存能力的事件，如黑客攻擊、自然災(zāi)害、停電事故等。

定義3：生存能力增強措施（L）。關(guān)鍵信息系統(tǒng)為了提高系統(tǒng)的可靠性和安全性，往往采用一定的措施提高生存能力，包括抵抗網(wǎng)絡(luò)攻擊事件的能力和系統(tǒng)遭受突發(fā)事件后恢復(fù)主要功能的能力。

定義4：抵抗能力（D）。關(guān)鍵信息系統(tǒng)遭受攻擊的時候，抵抗和承受攻擊的能力。

定義5：恢復(fù)能力（H）。關(guān)鍵信息系統(tǒng)在功能受損后在允許的時間間隔內(nèi)恢復(fù)必要服務(wù)、條件允許時恢復(fù)所有服務(wù)的能力?；謴?fù)能力描述了系統(tǒng)的自我修復(fù)能力和自適應(yīng)能力。

定義6：生存能力指數(shù)（S）。生存能力指數(shù)是系統(tǒng)生存能力的量化指標(biāo)，從一定程度刻畫系統(tǒng)的生存能力。

關(guān)鍵信息系統(tǒng)的生存能力評估框架如圖1所示。從系統(tǒng)的需求出發(fā)，分析系統(tǒng)對外提供的基本服務(wù)，生成需求列表。威脅是生存能力降低的因素，生存能力增強措施是應(yīng)對威脅提升生存能力的手段。根據(jù)需求，綜合考慮威脅、增強措施整體評價和量化系統(tǒng)的生存能力。

圖1 關(guān)鍵信息系統(tǒng)生存能力評估框架

關(guān)鍵信息系統(tǒng)的生存能力與需求、面臨的威脅和增強措施相關(guān)，生存能力指數(shù)是隨時間動態(tài)變化，如式（1）所示，其中，t為時間。

2 關(guān)鍵信息系統(tǒng)生存能力評估算法

2.1 各個指標(biāo)量化方法

2.1.1 威脅

關(guān)鍵信息系統(tǒng)面臨的威脅是多種多樣的。按照威脅的來源，可以將威脅分為以下三個方面：（1）物理環(huán)境威脅，具體包括各種自然災(zāi)害，如水、火、雷、電、風(fēng)暴、蟲害、海嘯和地震等導(dǎo)致通信線路、物理設(shè)備、機房、運行環(huán)境、電源等的破壞。（2）管理與技術(shù)上的漏洞威脅。安全管理、策略配置、軟件設(shè)計開發(fā)、運維管理等過程中存在漏洞，導(dǎo)致系統(tǒng)面臨生存能力降低的威脅。（3）網(wǎng)絡(luò)攻擊是信息系統(tǒng)面臨的主要威脅，也是本研究關(guān)注的重點，具體包括計算機病毒、黑客入侵和拒絕服務(wù)攻擊等。

對于關(guān)鍵信息系統(tǒng)，網(wǎng)絡(luò)攻擊威脅根據(jù)破壞成度不同可分為一般、重要、嚴(yán)重等級別。一般威脅是單個或多個黑客的單點攻擊，有時也能造成嚴(yán)重后果，但大多數(shù)情況下攻擊點作用有限，而且往往攻擊的是標(biāo)準(zhǔn)化網(wǎng)絡(luò)和系統(tǒng)。重要威脅是有組織、分布式的協(xié)同攻擊。攻擊者之間配合緊密，難于對付，能夠攻擊一些專用網(wǎng)絡(luò)。嚴(yán)重威脅是國家或地區(qū)之間通過信息戰(zhàn)的方式破壞對方信息系統(tǒng)。

Pr（Ri，Tj）是威脅Tj針對某關(guān)鍵信息系統(tǒng)生存能力需求Ri的發(fā)生概率，通過歷史統(tǒng)計數(shù)據(jù)或同類信息系統(tǒng)的統(tǒng)計數(shù)據(jù)獲取。例如，根據(jù)統(tǒng)計數(shù)據(jù)，某WEB服務(wù)器的可用性面臨拒絕服務(wù)攻擊的概率為0.01，其面臨地震破壞的概率為0.000 1。

2.1.2 抵抗能力

信息系統(tǒng)一般都會采用安全措施來抵御攻擊，因此都具備一定的抵抗能力。抵抗能力通過防火墻、入侵響應(yīng)系統(tǒng)、認(rèn)證和加密等設(shè)備或手段來實施。不同的生存能力需求對于不同的威脅所具備的抵抗能力有所不同，如式（2）所示。

式中，δ∈（0，1），根據(jù)威脅Tj發(fā)生后對某關(guān)鍵信息系統(tǒng)生存能力需求Ri的破壞程度量化獲得，如式（3）所示；C（Ri）代表需求Ri的能力；C＃（Ri，Tj）代表威脅Tj發(fā)生后Ri還具備的能力。

2.1.3 恢復(fù)能力

信息系統(tǒng)恢復(fù)能力可由恢復(fù)該服務(wù)所需時間或在一定時間內(nèi)服務(wù)的恢復(fù)程度來量化。如式（4）所示，在要求時間內(nèi)，生存能力需求Ri沒有任何恢復(fù)，則Hij為0；若完全恢復(fù)，則Hij為1；若部分恢復(fù)，則Hij由式（4）計算為

式中，η∈（0，1）。

式中，Time代表生存能力需求Ri所期望的恢復(fù)時間；Time_min代表生存能力需求Ri在真實情況下完全恢復(fù)的最小時間；Cap*代表生存能力需求Ri在一定時間內(nèi)恢復(fù)的能力；Cap代表生存能力需求Ri期望恢復(fù)的全部能力。

2.2 生存能力量化算法

生存能力需求Ri在威脅Tj下的生存能力Sij由威脅Tj的發(fā)生概率、Ri對威脅Tj的抵抗能力、Ri恢復(fù)能力等共同決定，其量化方法如式（6）所示。

式（6）中，當(dāng)?shù)挚鼓芰?時，則說明系統(tǒng)能夠完全阻擋住攻擊，生存能力與恢復(fù)能力無關(guān)。當(dāng)?shù)挚鼓芰?時，則Dij⊕Hij與恢復(fù)能力成正比；當(dāng)?shù)謸跄芰υ?與1之間時，則Dij⊕Hij由抵抗能力與恢復(fù)能力綜合計算，為

生存能力需求Ri可能面臨一系列威脅，其量化方法如式（8）所示，式中Pr*（Ri，Tj）代表針對Ri的威脅中Tj發(fā)生概率所占的比重。

關(guān)鍵信息系統(tǒng)的生存能力是系統(tǒng)內(nèi)多個生存能力需求的總和，如式（9）所示，其中ωi是生存能力需求Ri在系統(tǒng)中所占的權(quán)重。

3 實 驗

3.1 實驗環(huán)境

為了驗證本研究方法的有效性與可行性，搭建的實驗環(huán)境如圖2所示。關(guān)鍵信息系統(tǒng)包括郵件服務(wù)器、WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器，通過防火墻與Internet連接，對外提供服務(wù)。

圖2 實驗網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

在關(guān)鍵信息系統(tǒng)中，生存能力需求及期望恢復(fù)時間見表1。

表1 實驗環(huán)境信息

針對具體的網(wǎng)絡(luò)環(huán)境以及生存能力需求，通過物理環(huán)境檢查、風(fēng)險評估以及漏洞掃描列舉出所面臨的威脅，根據(jù)歷史統(tǒng)計數(shù)據(jù)或者相似系統(tǒng)的統(tǒng)計數(shù)據(jù)計算出該威脅發(fā)生的概率。針對生存能力需求和威脅，根據(jù)實際事件響應(yīng)時間，統(tǒng)計系統(tǒng)恢復(fù)最小時間。具體數(shù)據(jù)見表2。

表2 實驗數(shù)據(jù)

3.2 實驗結(jié)果與分析

應(yīng)用本研究方法，計算不同生存能力需求在不同威脅下的生存能力指數(shù)，結(jié)果如圖3所示。橫軸代表不同的威脅，縱軸代表生存能力需求Ri在威脅Tj下的生存能力指數(shù)。從圖3可以看出，威脅T2、T3、T7對生存能力需求R1、R2、R3等影響較大，這是因為這些威脅發(fā)生概率較大、系統(tǒng)對威脅的抵抗能力較弱且恢復(fù)能力較差。威脅T1、T5、T6、T8對生存能力需求R1、R2、R3、R4等影響較小，這是因為這些威脅發(fā)生概率小、系統(tǒng)對威脅的抵抗能力較強且恢復(fù)能力較強。結(jié)果與邏輯相符，說明該算法具有一定的科學(xué)性和有效性。

圖3 生存能力需求在不同威脅下的生存能力指數(shù)

根據(jù)式（8），生存能力需求R1、R2、R3、R4的生存能力指數(shù)計算結(jié)果如圖4所示。從圖中可以看出，R4生存能力較強，R2生存能力較弱，這是因為R2面臨的主要威脅T3對R2的生存能力影響較大，而R4面臨的威脅較小，這也與邏輯相符。

圖4 不同生存能力需求的生存能力指數(shù)

根據(jù)式（9），計算得到整個關(guān)鍵信息系統(tǒng)的生存能力指數(shù)為0.865 4。通過計算多個關(guān)鍵信息系統(tǒng)的生存能力指數(shù)或者計算某個關(guān)鍵信息系統(tǒng)在不同時刻的生存能力指數(shù)，就可以分析生存能力態(tài)勢變化，對安全策略和防范措施制定提供依據(jù)和指導(dǎo)。

4 結(jié) 語

針對關(guān)鍵信息系統(tǒng)，列舉系統(tǒng)面臨的威脅，通過分析系統(tǒng)的威脅發(fā)生概率、系統(tǒng)抵抗攻擊能力、系統(tǒng)恢復(fù)能力之間的關(guān)聯(lián)關(guān)系，量化關(guān)鍵信息系統(tǒng)的生存能力指數(shù)，反映了系統(tǒng)在各種威脅作用下持續(xù)提供服務(wù)的能力，對于客觀分析系統(tǒng)安全短板、科學(xué)制定安全策略及提高關(guān)鍵信息系統(tǒng)的生存能力來說具有重要的意義。

然而，生存能力的評價與很多因素相關(guān)，而且威脅、抵抗能力、恢復(fù)能力均與時間相關(guān)，如何梳理生存能力內(nèi)在因素之間復(fù)雜的關(guān)聯(lián)關(guān)系，以及隨時間的動態(tài)關(guān)系需要進一步的研究和探索。

［1］美國提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的行政命令［R］.美國白宮.2013.

［2］歐盟網(wǎng)絡(luò)安全戰(zhàn)略——一個公開、安全可靠的網(wǎng)絡(luò)空間［Z］.歐盟委員會.2013.

［3］HEEGAARD PE，TRIVEDIK S..Network Survivabili+ ty Modeling［J］.Computer Networks 53（2009）：1215+ 1234.

［4］侯雨橋，等.基于調(diào)用結(jié)構(gòu)的軟件可生存性評估方法［J］.中南大學(xué)學(xué)報，2013（44）：443+448.

［5］盧山.網(wǎng)絡(luò)生存性評估模型的仿真分析［J］.計算機仿真，2013（30）：270+273.

彭 武（1979—），男，湖北省宜昌市人，博士／高工，主要研究領(lǐng)域為信息安全；

E+mail：pw_bit＠126.com

韋 濤（1989—），男，碩士學(xué)位，主要研究領(lǐng)域為網(wǎng)絡(luò)安全；

王冬海（1967—），男，研究員，主要研究領(lǐng)域為信息安全。

A Critical Information System Survivability Assessment M ethod Based on Correlation Analysis

PENGWu1，2，WEITao1，WANG Dong+hai1，2
（1.Academy of Electronics and Information Technology，China Electronics Technology Group Corporation，Beijing 100041，China；2.Beijing Lianhai Information System Company Limited，Beijing 100041，China）

Assessing survivability of critical information system is one of themost importantapproaches to strengthen national network defense.A survivability assessmentmethod is presented for critical informa+ tion system.By analyzing the correlation relationship of threat，defensive ability and recovery ability，the survivability of system is qualified to find out drawbacks and provide security administration decision.At last，experiments are done to prove the validity and feasibility of thismethod.

survivability；assessment；critical information system；correlation analysis

TP393.08

：A

：1673+5692（2014）06+598+05

10.3969／j.issn.1673+5692.2014.06.009

2014+09+28

2014+11+09

國防基礎(chǔ)科研計劃（A0420110006，B1120132031）