韓燕征，張旭高，仇曉銳，王 勇，姜來為

（1.北京首都國際機場股份有限公司信息科技部，北京 100621；2.中國民航大學a.計算機科學與技術學院；b.信息網(wǎng)絡中心，天津 300300）

民用航空業(yè)務范圍的擴大和業(yè)務復雜度的提高對維護民航運輸秩序，保障旅客隱私安全和出行安全提出了新的挑戰(zhàn)。民航信息系統(tǒng)是民航系統(tǒng)的重要組成部分，其安全問題的受重視程度已等同航空器飛行安全與空防安全問題。信息系統(tǒng)安全評估是從多層次、多維度評估信息系統(tǒng)安全狀況的計算和分析過程，作為信息安全工作開展的關鍵步驟，對安全管理人員及時發(fā)現(xiàn)系統(tǒng)漏洞并布置防護措施，減少信息安全事件發(fā)生具有重要意義。

目前的主要評估方法為差距分析法[1]，該方法通過計算系統(tǒng)安全現(xiàn)狀與理論要求之間的量化差距，對系統(tǒng)風險進行評估。由于該方法的受限因素較多，導致評估結果差距較大。為了全面合理地評估信息系統(tǒng)的安全狀態(tài)，部分研究團隊提出從物理環(huán)境、計算機網(wǎng)絡、人為因素等角度提取安全要素并將要素形式化表達為安全評估體系[2-3]，基于該體系進一步結合層次分析法[4]、量表評價法[5]等方法量化安全態(tài)勢評估結果，使民航信息系統(tǒng)安全評估體系內(nèi)各指標評估結果粒度細化，從而提高評估準確性和科學性。由于參與評估工作的專家層次、經(jīng)驗不同，而適用于評語評價指標和數(shù)值評價指標共存于評估體系中，初步評估結果通常包括等級評價和評分評價，導致評估結果主觀性較大且不利于綜合分析系統(tǒng)整體安全狀況。

綜上，在信息系統(tǒng)安全評估過程中，必須最大程度減小評估指標權重分配受人為先驗經(jīng)驗的影響。為此，提出一種面向民航信息系統(tǒng)的安全評估標準化方法，通過建立評估指標的標準化流程和標準化方法，提高民航信息系統(tǒng)安全評估中計算及分析結果的合理性和規(guī)范性。

1 民航信息系統(tǒng)安全評估指標

1.1 標準化流程

評估指標的標準化是民航信息系統(tǒng)安全評估標準化的基礎。民航信息系統(tǒng)安全評估指標的標準化流程設計如下：

步驟1將評估指標劃分為定性指標和定量指標，定性指標為易用評語描述安全狀態(tài)的指標，定量指標為易用數(shù)值描述安全狀態(tài)的指標；

步驟2分別從環(huán)境配置、主機配置等方面采集定性和定量數(shù)據(jù)，其中，定性數(shù)據(jù)為安全策略符合程度的評語或評價，定量數(shù)據(jù)為日志、流量等統(tǒng)計數(shù)據(jù)；

步驟3對定性數(shù)據(jù)和定量數(shù)據(jù)分別設置評分算子，將評估結果轉換為百分制形式。

1.2 標準化方法

基于文獻[6]提出22 個民航信息系統(tǒng)安全評估指標，如表1 所示，包括物理環(huán)境、網(wǎng)絡、數(shù)據(jù)、主機系統(tǒng)、管理人員5 個維度，每個維度由具體評估指標組成，指標類型分為定性指標和定量指標。

表1 民航信息系統(tǒng)安全評估指標Tab.1 Security evaluation indices of civil aviation information system

1.2.1 定性指標標準化

設某定性指標評語分m級，依次為β1，β2，…，βm，定義βi～βj表示βi的評估符合度高于βj，則β1～β2～…～βm。另設反映該指標評語分值的變量為θ，且θ ～N（0，1），βi的專家評分值為ti，且ti為正態(tài)分布N（0，1）的（i+0.5）/（m+1）分位數(shù)[7]，即設專家參考分值為Ve，則

專家根據(jù)Ve及先驗經(jīng)驗，依據(jù)安全策略對定性指標的符合程度進行評分。

針對每個維度的評估指標，分別設計安全策略符合度描述表，確定每個指標的安全策略符合度。安全策略符合度確定方法為：設某定性指標的評估細則均為定性細則，將各細則符合程度劃分為n級，與對應定性評估指標評語級別數(shù)相同，符合程度由差至好對應指數(shù)為1，2，…，n。若細則族中有k條細則，分別為R1，R2，…，Rk（細則包括單一細則和復合細則），需設置符合度指數(shù)矩陣。

假定細則a為單一細則或復合細則，細則b為單一細則，細則a和細則b的安全策略符合度指數(shù)分別為p和q（p，q=1，2，…，n），符合度指數(shù)矩陣M=（mpq）n×n。若細則數(shù)k≤2，細則a和細則b對應單一細則，令a=R1，b=R2，R1和R2的安全策略符合度指數(shù)分別為p和q，綜合安全指數(shù)i=mpq；若k＞2，則先令a=R1，b=R2，復合細則R1?R2安全策略符合指數(shù)為p′=mpq，再令a=R1?R2，b=R3，R3的安全策略符合度指數(shù)為q′，然后，確定復合細則R1?R2?R3符合度mp′q′。直至b=Rk，得到綜合安全指數(shù)i。

按照上述方法，對全部定性指標進行安全策略符合度描述，構造符合度指數(shù)矩陣，再用式（1）和式（2）將安全策略符合度指數(shù)i轉化為量化評分。

1.2.2 定量數(shù)據(jù)標準化

為便于對比不同指標的安全狀態(tài)，將定量指標劃分為正向指標和逆向指標[6]，將定量指標源數(shù)據(jù)量化在[0，100]范圍內(nèi)。其中：正向指標值越大，該指標安全狀態(tài)越好；逆向指標值越大，該指標安全狀態(tài)越差。設指標X量化區(qū)間為[Xa，Xb]，則定量指標的標準值為

1）正向指標

2）逆向指標

式中x為當前時刻的指標值。定量指標的量化流程設計如下：

步驟1確定所量化指標的量化區(qū)間[Xa，Xb]；

步驟2確定當前時刻的指標值x；

步驟3根據(jù)指標的正向性質(zhì)或逆向性質(zhì)，用式（3）或式（4）計算標準值。

將定性指標和定量指標的百分制標準化結果供專家參考，可獲得更客觀的評分結果。

2 安全評估標準化方法應用

以國內(nèi)某機場離港控制系統(tǒng)內(nèi)物理環(huán)境維度中的定性指標物理訪問控制、防盜防破壞及主機維度定量指標和網(wǎng)絡維度中的定量指標網(wǎng)絡流量為例，說明定性指標和定量指標標準化應用。

將表1 中每個維度下定性指標的安全策略符合度劃分為4 級，（β1，β2，β3，β4）=（較不符合，一般符合，較符合，很符合）。

2.1 物理訪問控制定性指標

物理訪問控制的實際安全情況為：進入工作單位需刷卡，進入機房需要刷卡和密碼；在物理出入口控制、鑒別訪問人員并對其訪問行為進行記錄；對機房常駐工作人員配備身份標識牌并要求工作期間隨身攜帶，對需臨時進入機房的人員配備臨時身份標識牌。因此，對機房電子門禁系統(tǒng)配置完備情況、物理出入口監(jiān)控訪問者情況、身份標識牌發(fā)放/佩戴情況的檢查結果進行4 種符合度描述，確定物理訪問控制指標的安全策略符合度描述，如表2 所示。

表2 物理訪問控制的安全策略符合度描述Tab.2 Description of compliance degree of physical access control security policy

物理訪問控制安全細則族{R1，R2，R3}={機房電子門禁系統(tǒng)配備情況，物理出入口是否監(jiān)控訪問者，身份標識牌發(fā)放/佩戴情況}，從而由表2 可得到其符合度指數(shù)矩陣，如表3 和表4 所示。

表3 物理訪問控制安全策略符合度指數(shù)矩陣1Tab.3 Compliance index matrix One of physical access control security policy

表4 物理訪問控制安全策略符合度指數(shù)矩陣2Tab.4 Compliance index matrix Two of physical access control security policy

由R1、R2、R3安全策略符合度指數(shù)確定物理訪問控制綜合安全指數(shù)i。R1={機房電子門禁配備情況}的安全策略符合度指數(shù)為4，R2={物理出入口是否監(jiān)控訪問者}的安全策略符合度指數(shù)為4，由表4 得到復合細則R1?R2安全策略符合度指數(shù)為4。R3={身份標識牌發(fā)放/佩戴情況}的安全策略符合度指數(shù)為4，從而得到復合細則R1?R2?R3的安全策略符合度指數(shù)為4，即綜合安全指數(shù)i=4。由式（1）和式（2）得到參考分值為98.10。物理訪問控制評估標準化如表5 所示。

表5 物理訪問控制評估標準化Tab.5 Evaluation standardization of physical access control

2.2 防盜防破壞定性指標

防盜防破壞的實際安全情況為：對機房內(nèi)各類設備型號、廠家、序列號、是否在保修期及設備保修人員已登記，但少量設備標牌內(nèi)容模糊；機房監(jiān)控、攝像等監(jiān)控報警系統(tǒng)正常運行，但部分運行記錄缺失。由設備標牌內(nèi)容和完整程度、序列號和對應設備登記記錄情況、機房報警設備運行正常情況進行4 種安全策略符合度描述。設計防盜防破壞安全策略符合度描述表，如表6 所示。防盜防破壞安全細則族{R1，R2}={設備ID 是否登記，機房報警系統(tǒng)運行是否正常}，從而得到防盜防破壞安全策略符合度指數(shù)矩陣，如表7 所示。

表6 防盜防破壞安全策略符合度描述Tab.6 Compliance degree description of security policy of anti-theft or anti-damage

表7 防盜防破壞安全策略符合度指數(shù)矩陣Tab.7 Index matrix of security policy compliance degree of anti-theft or anti-damage

由R1、R2安全符合度策略指數(shù)確定防盜防破壞綜合安全指數(shù)i。R1={設備ID 是否登記}的安全策略符合度指數(shù)為3，R2={機房報警系統(tǒng)運行是否正常}的安全策略符合度指數(shù)為3，得到復合細則R1?R2的安全策略符合度指數(shù)也為3，即綜合安全指數(shù)i=3，由式（1）和式（2）計算得到參考分值為65.55。防盜防破壞評估標準化，如表8 所示。

表8 防盜防破壞評估標準化Tab.8 Assessment standardization of anti-theft or anti-damage

2.3 主機系統(tǒng)與網(wǎng)絡流量定量指標

主機系統(tǒng)維度和網(wǎng)絡維度定量指標的標準化依據(jù)如表9 所示。

表9 定量指標標準化依據(jù)Tab.9 Basis of quantitative indicator standardization

主機系統(tǒng)維度下的定量指標包括磁盤利用率、CPU 利用率、內(nèi)存占用率和端口流量，指標值由主機配置信息中讀取或Tcpview 工具獲取。如主機系統(tǒng)的CPU 利用率為40%，經(jīng)標準化處理后得到CPU 利用率的參考分值為VCPU利用率=60。網(wǎng)絡維度下的定量指標為網(wǎng)絡流量，其評估值由峰值流量、平均流量和帶寬利用率決定，每個指標值由網(wǎng)絡監(jiān)控工具Ntop 獲取。

通過獲取3 個時段的防火墻流量數(shù)據(jù)，經(jīng)標準化處理得到網(wǎng)絡流量中3 個量化指標的參考分值。峰值流量V1=84，平均流量V2=80，帶寬利用率V3=67，則網(wǎng)絡流量參考分值為V網(wǎng)絡流量=1/3∑Vi=77。

3 結語

為了提高民航信息系統(tǒng)安全評估合理性和規(guī)范性，提出一種面向民航信息系統(tǒng)安全評估標準化方法。該方法通過定義民航信息系統(tǒng)評估指標及其屬性，將定性指標標準化為安全策略符合度矩陣，將定量指標源數(shù)據(jù)量化為固定范圍內(nèi)的數(shù)值，最終將定性指標和定量指標評估結果標準化為百分制形式。通過該方法獲取的信息系統(tǒng)安全評估結果，便于安全管理人員感知民航信息系統(tǒng)安全態(tài)勢，提高評估效率。