劉意先，慕德俊

(西北工業(yè)大學 自動化學院，陜西 西安 710072)

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)信息系統(tǒng)也成為了企業(yè)和組織日常工作中必不可少的工具和基礎(chǔ)設(shè)施，各種應用和新業(yè)務的不斷涌現(xiàn)，產(chǎn)生了巨大的經(jīng)濟效益。與此同時，各種網(wǎng)絡(luò)安全事件的頻發(fā)也成為了當前社會的關(guān)注焦點。2015年，國家網(wǎng)絡(luò)應急中心共接收境內(nèi)外報告的網(wǎng)絡(luò)安全事件126 916起，較2014年增長了125.9%。其中，境內(nèi)報告的網(wǎng)絡(luò)安全事件126 424起，較2014年增長了128.6%[1]。各種安全事件是黑客利用各種軟硬件以及企業(yè)組織管理中存在的漏洞實施的攻擊。每年各種安全漏洞層出不窮，到2016年底中國國家漏洞庫中已有漏洞信息8萬多條[2]。通過安裝各類補丁、殺毒軟件、入侵檢測系統(tǒng)以及防火墻等，雖然能降低各類安全事件的發(fā)生概率，但無法讓企業(yè)和組織整體把握安全狀態(tài)和面臨安全威脅時進行有目的的安全防護。因此信息安全評估技術(shù)成為了處理這類問題的重要手段[3]。

文中主要是以信息安全保護最重要的三個屬性-機密性(confidentiality)、完整性(integrity)和可用性為指標(availability)，通過對網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)進行分析，完成相應的安全評估。

1 信息安全的屬性

在不同信息安全的風險評估模型和方法中，對資產(chǎn)安全性度量以及風險計算上存在一定的差異[4]。張弢等提出了一種基于風險矩陣的信息安全風險評估模型[5]，通過建立二維矩陣處理專家對各類指標的評分，計算出受評實體的風險要素，再利用Borda序值理論和層次分析法(analytical hierarchy process，AHP)得出評估對象的等級值。劉延華等提出了一種基于云模型的多層次可生存性模糊評估方法[6]，用AHP方法構(gòu)建了多層次評估指標體系，并對各級指標權(quán)重進行了有效計算，實現(xiàn)了對云環(huán)境下網(wǎng)絡(luò)可用性的評估。楊姍媛等提出了一種基于TOPSIS的多屬性群決策方法[7]。Khanmohammadi等[8]提出了從業(yè)務的目標出發(fā)，考慮業(yè)務流程的關(guān)鍵性、角色以及重要程度來實現(xiàn)綜合的風險評估的方法。這些方法大多數(shù)都采用了機密性、完整性以及可用性作為其中的指標。這3個屬性能體現(xiàn)用戶對系統(tǒng)的信息安全的基本要求。機密性指敏感信息不被未授權(quán)者獲取的程度；完整性指信息的各部分在受到惡意或未授權(quán)的攻擊下被保護的程度；可用性指抵抗各種企圖降低信息可操作性攻擊的程度[9]。

在一般的評估方法中，對相關(guān)指標的評價大多采用專家打分的方式來完成[10-11]，分值可以用語言型的數(shù)據(jù)進行定性的表達，而在數(shù)據(jù)處理計算中，對這種以定性形式表達的數(shù)據(jù)將以具體的數(shù)量值來表達。如對CIA屬性語言型數(shù)據(jù)，按照風險程度表達為很低、低、中、較高和高這樣的五級制表達方式，對應的分值可用1～5進行對應的評分。

企業(yè)和組織在評估自身機構(gòu)內(nèi)部的資產(chǎn)時，會有不同的側(cè)重點，如涉密單位對機密性的要求更高，而文教單位更看重資產(chǎn)的可用性，因此對CIA屬性設(shè)置不同的權(quán)重。單個資產(chǎn)的漏洞風險值可由式(1)表達。

Riskasset=Wc·Lc+Wi·Li+Wa·La

(1)

其中，Riskasset為資產(chǎn)的風險值；Wc、Wi、Wa分別對應機密性、完整性以及可用性的權(quán)重；Lc、Li、La分別對應資產(chǎn)CIA屬性的風險等級的量化值。

2 評估的整體流程

系統(tǒng)的風險評估是對系統(tǒng)在發(fā)生安全事件后產(chǎn)生的損失進行度量。這個過程需要分析系統(tǒng)的價值或相關(guān)的生產(chǎn)收益，而系統(tǒng)的價值一般體現(xiàn)在系統(tǒng)所包含的資產(chǎn)的價值或是資產(chǎn)承載的業(yè)務所產(chǎn)生的價值。因此，在評估中首先要明確系統(tǒng)所包含的各種資產(chǎn)，資產(chǎn)可以是實體設(shè)備也可以是組織內(nèi)部的人員或文件規(guī)范等。因此評估開始后要對待評估系統(tǒng)的構(gòu)成進行分解，分解的過程要將系統(tǒng)劃分為不可分的部件，每個部件可以看作為一個待評估的資產(chǎn)。資產(chǎn)本身的漏洞是產(chǎn)生風險的來源，如操作系統(tǒng)沒有安裝合適的補丁，前端Web程序的輸入檢測不完善，設(shè)備的操作手冊過程不明確等都是相應的安全漏洞。對資產(chǎn)的漏洞可以通過手工方式發(fā)現(xiàn)也可以通過工具進行掃描。一般而言漏洞所產(chǎn)生的風險對系統(tǒng)的影響是多方面的，信息安全的風險評估中常用作安全考量的屬性眾多，如機密性、完整性、可用性、不可抵賴性、可審計性等，選擇合適的屬性影響指標是評估當中的一個重要問題，經(jīng)常取決于管理者對安全考慮的側(cè)重點。對安全屬性的影響程度可以采用定量或定性的方式表達。最后結(jié)合安全屬性的影響程度，可以綜合計算出相應的風險程度。

3 評估方法分析

首先對系統(tǒng)進行相應的資產(chǎn)分解，分解后的系統(tǒng)資產(chǎn)可以用集合A來表示：

A={a1,a2,…,an}

(2)

其中，ai為系統(tǒng)中第i個資產(chǎn)，n為系統(tǒng)中資產(chǎn)的數(shù)量。

構(gòu)成復雜的系統(tǒng)會得到更大的資產(chǎn)集合，評估的過程也會更長，因此在資產(chǎn)分解時有必要考慮是否對某些資產(chǎn)采用合并的處理方式，這樣可以加快評估的過程。

網(wǎng)絡(luò)信息設(shè)備的漏洞通?？梢酝ㄟ^漏洞掃描器進行發(fā)現(xiàn)，通過漏洞掃描器對資產(chǎn)進行掃描可以快速地發(fā)現(xiàn)漏洞并能夠從許多統(tǒng)一的安全漏洞庫中得到漏洞信息[12]。一般單個資產(chǎn)的漏洞掃描可能會得到不止一個漏洞，為了方便處理，這里將選擇資產(chǎn)上最嚴重的漏洞，因為最嚴重漏洞面臨的風險造成的損失是最大的，也包含了其他漏洞所造成的損失。經(jīng)過掃描器掃描后得到對應的集合V來表示風險集合：

V={v1,v2,…,vn}

(3)

其中，vi表示資產(chǎn)ai對應的最嚴重漏洞。

接下來要進行的處理是安全屬性的評分，開始評分前要選擇合適的屬性。如前所述，CIA屬性作為信息安全評估中最重要也是最常見的屬性，能基本體現(xiàn)用戶對系統(tǒng)的安全需求。因此采用CIA屬性作為評分的指標。通常評分過程采用專家打分的方式進行處理，為了保證處理方法的通用性，采用CVSS系統(tǒng)[13]中的評分方式。該評分方法對CIA屬性只有三個等級的評分，但是能和大多數(shù)的掃描器和漏洞庫的分析結(jié)果自動對接，形成評分結(jié)果。該評分方式的三個等級分別為無、低和高，對應的量化值為0、1、2。

根據(jù)式(1)的計算方法，輸入預先設(shè)定的權(quán)重值和CIA屬性值，可以得到對應資產(chǎn)的風險值，該值是一個數(shù)值型的數(shù)據(jù)。對于大多數(shù)系統(tǒng)使用者，總是希望用最直觀的表達方式來查看最后的評估結(jié)果，這時可以將該值進行類型轉(zhuǎn)換，最終得出資產(chǎn)安全風險的定性表達方式。轉(zhuǎn)換過程如表1所示。

表1 風險值從定量到定性的轉(zhuǎn)換

4 應用實例

以上簡述了根據(jù)CIA屬性對網(wǎng)絡(luò)信息系統(tǒng)的評估過程。為了驗證該評估方法，文中進行的工作之一就是搭建一個待評估的應用環(huán)境。該實驗網(wǎng)絡(luò)內(nèi)有2臺計算機、1臺FTP服務器、1臺Web服務器，并通過1臺路由器連接到外部校園網(wǎng)。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

圖1 實驗環(huán)境拓撲

在不考慮單個設(shè)備的軟硬件組成以及操作人員的情況下，可以對該環(huán)境的組成進行相應的資產(chǎn)分解，得到的資產(chǎn)信息如表2所示。

表2 資產(chǎn)信息

然后采用掃描工具Nessus[14]對資產(chǎn)信息進行掃描，可得到資產(chǎn)對應的最嚴重漏洞，見表3。

表3 資產(chǎn)對應的漏洞信息

資產(chǎn)對應的漏洞信息對應CIA影響的屬性值可自動從漏洞庫NVD[15]上取得，由此可得到所對應的結(jié)果，見表4。

表4 資產(chǎn)漏洞對應的CIA屬性影響等級

該實例中設(shè)置的機密性、完整性和可用性的權(quán)重向量W={0.5,0.25,0.25}，并按照表1的量化方法進行轉(zhuǎn)換，結(jié)合權(quán)重進行計算，得到最后的風險等級的計算結(jié)果，具體的數(shù)據(jù)和評估結(jié)果見表5。風險等級列將風險進行了定性的表達。

表5 系統(tǒng)的評估數(shù)據(jù)及結(jié)果

5 結(jié)束語

主要論述了通過分析信息系統(tǒng)資產(chǎn)的CIA屬性實現(xiàn)安全評估的方法。該方法首先對資產(chǎn)進行分析，然后通過掃描發(fā)現(xiàn)資產(chǎn)漏洞相應的漏洞，結(jié)合CVSS評分系統(tǒng)和NVD漏洞庫，實現(xiàn)對系統(tǒng)的風險等級的評估。該方法進一步的改進工作包括資產(chǎn)的價值評估和權(quán)重分析，可以凸顯出核心資產(chǎn)在安全風險評估中的地位，實現(xiàn)更準確的評估效果。

參考文獻:

[1] 國家計算機網(wǎng)絡(luò)應急技術(shù)處理協(xié)調(diào)中心.2015年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[M].北京:人民郵電出版社,2016.

[2] 中國信息安全測評中心.2016年國內(nèi)外信息安全漏洞態(tài)勢報告[J].中國信息安全,2017(1):110-116.

[3] SHAMELI-SENDI A, AGHABABAEI-BARZEGAR R,CHERIET M.Taxonomy of information security risk assessment (ISRA)[J].Computers & Security,2016,57:14-30.

[4] IONITA D,HARTEL P,PIETERS W,et al.Current established risk assessment methodologies and tools[R].[s.l.]:[s.n.],2014.

[5] 張 弢,慕德俊,任 帥,等.一種基于風險矩陣法的信息安全風險評估模型[J].計算機工程與應用,2010,46(5):93-95.

[6] 劉延華,陳國龍,吳瑞芬.基于云模型和AHP的網(wǎng)絡(luò)信息系統(tǒng)可生存性評估[J].通信學報,2014,35(8):107-115.

[7] 楊姍媛,朱建明.基于TOPSIS的信息安全風險評估應用研究[J].現(xiàn)代管理科學,2014(2):24-26.

[8] KHANMOHAMMADI K,HOUMB S H.Business process-based information security risk assessment[C]//Fourth international conference on network and system security.Washington,DC,USA:IEEE Computer Society, 2010:199-206.

[9] FIRESMITH D G.Common concepts underlying safety,security,and survivability engineering[R].[s.l.]:[s.n.],2003.

[10] KARABACAK B,SOGUKPINAR I.ISRA M:information security risk analysis method[J].Computers & Security,2005,24(2):147-159.

[11] SENDI A S,JABBARIFAR M,SHAJARI M,et al.FEMRA:fuzzy expert model for risk assessment[C]//Fifth international conference on internet monitoring and protection.Washington,DC,USA:IEEE Computer Society,2010:48-53.

[12] RHINOW F,CLEAR M.Scargos:towards automatic vulnerability distribution[C]//International conference on security and cryptography.[s.l.]:IEEE,2015:369-376.

[13] Forum of Incident Response and Security Teams (first.org).Commonvulnerability scoring system CVSS v3.0 specification[S/OL].2015.https://www.first.org/cvss/cvss-v30-specificationv1.7.pdf.

[14] 肖 暉,張玉清.Nessus插件開發(fā)及實例[J].計算機工程,2007,33(2):241-243.

[15] 溫 濤.安全漏洞危害評估研究暨標準漏洞庫的設(shè)計與實現(xiàn)[D].西安:西安電子科技大學,2016.