羅 俊

(衛(wèi)士通信息產(chǎn)業(yè)股份有限公司,四川成都610041)

一種基于安全域的網(wǎng)絡(luò)信息系統(tǒng)安全性評估方法

羅 俊

(衛(wèi)士通信息產(chǎn)業(yè)股份有限公司,四川成都610041)

針對大型網(wǎng)絡(luò)信息系統(tǒng)的安全問題,提出了一種基于安全域的安全性評估方法。首先,基于安全域的劃分原則將網(wǎng)絡(luò)信息系統(tǒng)按照其所維護的數(shù)據(jù)類型和所承擔的業(yè)務(wù)功能類別劃分為六個安全域,并以電信運營商MBOSS系統(tǒng)為例進行了基于六大安全域的劃分。然后,介紹了層次分析法AHP的基本數(shù)學原理,建立了電信運營商MBOSS系統(tǒng)的多級層次化結(jié)構(gòu)模型。最后,討論了基于該模型采用AHP方法對信息系統(tǒng)進行安全性評估的過程。

安全域 安全評估 層次分析法

0 引 言

網(wǎng)絡(luò)信息系統(tǒng)是一個基于計算機網(wǎng)絡(luò)的復雜系統(tǒng)和開放系統(tǒng),隨著網(wǎng)絡(luò)技術(shù)日新月異的發(fā)展,基于信息系統(tǒng)的各種用戶業(yè)務(wù)也獲得了長足的進步,如何在保障用戶業(yè)務(wù)的前提下保證網(wǎng)絡(luò)信息系統(tǒng)的安全性是一個巨大的挑戰(zhàn)[1-2]。面對一個開放的規(guī)模龐大的復雜信息系統(tǒng),逐項確定單項信息資產(chǎn)的保護方法,是件工作量巨大的工作,難免由于人為的疏忽或錯誤導致出現(xiàn)安全漏洞。而從另外一個角度考慮,將整個系統(tǒng)劃入同一個安全等級來防護,又容易造成防范層次和防范重點的缺失,對內(nèi)部風險的控制能力不夠。為了實現(xiàn)多層次多領(lǐng)域的立體保護,較好的處理方式是劃分安全域,基于統(tǒng)一的資產(chǎn)劃分規(guī)則,將各種不同的信息資產(chǎn)歸入不同的安全域中,每個安全域內(nèi)部都有著基本相同的安全特性,比如具備的安全級別,面臨的安全威脅,存在的安全弱點,所處的安全運行環(huán)境,隱藏的安全風險等。對于屬于同一個安全域內(nèi)的信息資產(chǎn),可以按照大致相同的標準和維度來對各種組成成分進行安全性的分析與評估,掌握該安全域進而整個網(wǎng)絡(luò)信息系統(tǒng)的安全狀況。在準確掌握各安全域和網(wǎng)絡(luò)信息系統(tǒng)整體安全狀況的基礎(chǔ)上,確定各安全域以及整個網(wǎng)絡(luò)信息系統(tǒng)的安全保護等級和防護手段,實現(xiàn)域內(nèi)一體化、域間差別化、多層次多樣化的信息系統(tǒng)安全保護[3]。

安全域是由一組具有相同的安全保護需求、相互信任且存在一定的協(xié)作關(guān)系的設(shè)備和軟硬件系統(tǒng)構(gòu)成的邏輯區(qū)域,屬于同一安全域的軟硬件系統(tǒng)和設(shè)備共享相同的安全策略。進行安全域劃分的目的是把一個大規(guī)模復雜開放系統(tǒng)的粗粒度的安全問題,分解為更小區(qū)域的較細粒度的安全保護問題,進行層次化、差異化、有重點有步驟的分析、評估和保護,基于安全域的方法是實現(xiàn)大規(guī)模復雜開發(fā)信息系統(tǒng)安全評估和保護的有效方法。

1 安全域劃分

安全域是指位于同一網(wǎng)絡(luò)環(huán)境中的,具有相同業(yè)務(wù)功能要求、安全保護要求和安全策略配置的,相互信任并相互協(xié)作的信息系統(tǒng)多個要素的集合,是包括網(wǎng)絡(luò)和主機、設(shè)備和模塊、軟件與硬件、物理環(huán)境和運行環(huán)境、安全策略和業(yè)務(wù)流程等諸多因素在內(nèi)的邏輯共同體。綜合業(yè)務(wù)、安全、管理等多個維度,安全域劃分所遵循的基本原則如下:

1)業(yè)務(wù)保障原則:安全域劃分的最根本目的是能夠更好地保障所承載的業(yè)務(wù),即可用性,必須在保障業(yè)務(wù)的正常運行和運行效率的前提下考慮適當?shù)陌踩Ｗo手段。安全只是手段,安全措施的實施不能以犧牲業(yè)務(wù)效用為代價。

2)結(jié)構(gòu)簡化原則:簡單高效的網(wǎng)絡(luò)結(jié)構(gòu)不僅便于業(yè)務(wù)的開展,也便于防護體系的規(guī)劃和設(shè)計。從系統(tǒng)可管理性和可操作性的角度考量,安全域的劃分并不是粒度越細越好,劃分過多過雜的安全域可能導致安全管理的復雜度和難度過高。

3)等級保護原則:安全域的劃分要和等級保護結(jié)合起來,做到縱向和橫向保護相結(jié)合。要做到同一個安全域內(nèi)的信息資產(chǎn)價值相近,具有相同或相近的安全等級、運行在相似的安全環(huán)境下、配置大致相同的安全策略和采用類似的防護手段等。

4)立體協(xié)防原則:安全域的主要保護對象是網(wǎng)絡(luò)信息系統(tǒng),圍繞安全域的防護需要考慮各個層次和類別的安全防護,包括物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層、應(yīng)用層全七層網(wǎng)絡(luò)模型相對應(yīng)部分,包括物理鏈路、網(wǎng)絡(luò)、主機、外設(shè)和接口等系統(tǒng)元素,包括客戶端、應(yīng)用服務(wù)器、后臺數(shù)據(jù)庫服務(wù)器等不同的業(yè)務(wù)系統(tǒng)組件;需要綜合運用身份鑒別與授權(quán)、訪問控制、日志審計、鏈路冗余、傳輸加密、內(nèi)容合法性檢測等各種安全功能實現(xiàn)立體多功能協(xié)防。

5)生命周期原則:對于安全域的劃分,要考慮網(wǎng)絡(luò)信息系統(tǒng)所固有的復雜性、動態(tài)性的特點,任何安全域的劃分都不是一成不變的,要充分考慮到變化因素,對安全域的劃分實行全生命周期管理,實時更新。

隨著安全域方法的發(fā)展,力圖用一種大一統(tǒng)的方法和結(jié)構(gòu)去描述一個復雜的網(wǎng)絡(luò)開放環(huán)境是非常困難的,可操作性和可控制性都存在問題。為了規(guī)避以上問題,文中采用同構(gòu)性簡化的方法來描述復雜開放的網(wǎng)絡(luò)信息系統(tǒng)并劃分相應(yīng)的安全域,其基本思路是認為一個復雜的開放網(wǎng)絡(luò)應(yīng)當是由一些相通的網(wǎng)絡(luò)結(jié)構(gòu)元素所組成,這些網(wǎng)元通過相互連接構(gòu)造出一個大的網(wǎng)絡(luò)結(jié)構(gòu)。

具體來說,可以將網(wǎng)絡(luò)系統(tǒng)按照其所維護的數(shù)據(jù)類型和所承擔的業(yè)務(wù)功能類別劃分為安全互聯(lián)域、安全接入域、安全服務(wù)域、安全計算域、安全用戶域和安全管理域六類,在此基礎(chǔ)上確定不同安全域的安全評估準則以及安全保護等級。同一安全區(qū)域內(nèi)的信息資產(chǎn)實施統(tǒng)一的評估準則以及安全保護,如風險要素與權(quán)重、安全策略、信息流控制機制等。

(1)安全互聯(lián)域

支撐整個系統(tǒng)的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)拓撲,是安全域的承載子域,其主要功能就是保障整個網(wǎng)絡(luò)信息系統(tǒng)網(wǎng)絡(luò)連接(內(nèi)、外網(wǎng))的暢通。涵蓋交換機、路由器、MPLS VPN等網(wǎng)絡(luò)設(shè)備和IPSEC VPN等安全設(shè)備,防護重點是保障網(wǎng)絡(luò)性能和進行各子域的安全隔離與邊界防護。

(2)安全接入域

為系統(tǒng)提供接入認證和訪問控制,是安全域的控制子域,包括用于遠程訪問的SSL VPN、Radius認證服務(wù)器等身份認證設(shè)備和防火墻等訪問控制設(shè)備。其防護重點是保障合法用戶的安全接入和不同授權(quán)實體的行為合規(guī)。

(3)安全服務(wù)域

為系統(tǒng)的所有合法用戶提供統(tǒng)一門戶的各類常用網(wǎng)絡(luò)服務(wù),是安全域的公共子域。包括統(tǒng)一的門戶網(wǎng)站(WEB服務(wù)器)、文件服務(wù)器(FTP)、補丁服務(wù)器、郵件服務(wù)器等。其防護重點是保障各類公共服務(wù)器的正常運行,對各類合法用戶提供可靠和可信的應(yīng)用服務(wù),努力避免各種惡意行為的入侵,如防病毒攻擊、防木馬、防黑客篡改等。

(4)安全計算域

系統(tǒng)業(yè)務(wù)實現(xiàn)的關(guān)鍵區(qū)域,包括核心業(yè)務(wù)主機、數(shù)據(jù)庫、存儲系統(tǒng)等,是安全域的核心子域。防護重點是避免各種惡意行為的入侵,如防病毒攻擊、防木馬、防黑客篡改等,同時要保障數(shù)據(jù)安全,做好災(zāi)備和冗錯等措施,防止數(shù)據(jù)丟失。

(5)安全用戶域

涵蓋需要訪問安全服務(wù)域和安全計算域的各類客戶端和用戶終端,是安全域的風險子域。防護重點是努力保障用戶使用環(huán)境的安全性(客戶端和終端的安全性),同時加強認證和審計,限制權(quán)限,嚴格遵守配置標準,保證用戶各種行為的合規(guī)性。

(6)安全管理域

包含網(wǎng)絡(luò)管理、安全運維、配置管理、4A(認證-Authentication、計費-Account、授權(quán)-Authorization、審計-Audit)等系統(tǒng)管理范疇的設(shè)備及軟件系統(tǒng),是安全域的管理子域。其防護重點是同時加強認證和審計,限制權(quán)限,嚴格遵守配置標準,保證各級各類管理員行為的合規(guī)性,同時努力避免各種惡意行為的入侵。

安全域的劃分使網(wǎng)絡(luò)信息系統(tǒng)的整體結(jié)構(gòu)更為清晰,將具有相同安全防護要求的信息資產(chǎn)置于同一個安全域中,同一安全域內(nèi)部署相同等級和類別的安全防護策略,不同的安全域內(nèi)部署不同等級和類別的差異化安全防護策略,從而達到安全投資效益最大化。

以某運營商的MBOSS系統(tǒng)為例,通過對該系統(tǒng)進行數(shù)據(jù)流和控制流分析、網(wǎng)絡(luò)結(jié)構(gòu)和部署分析,結(jié)合考慮現(xiàn)有的安全隱患,從資產(chǎn)價值、脆弱性、安全威脅三者間的關(guān)系出發(fā),可以得出整體的安全防護體系和各個業(yè)務(wù)系統(tǒng)自身的局部安全防護體系。

基于安全域劃分的幾大原則,該運營商的業(yè)務(wù)支撐系統(tǒng)(BSS)、企業(yè)信息系統(tǒng)(MSS)和網(wǎng)管系統(tǒng)(OSS)被分別劃入不同的安全域,再根據(jù)每個安全域內(nèi)部的特定安全需求進一步劃分安全子域,包括:核心交換區(qū)、核心生產(chǎn)區(qū)、日常辦公區(qū)、管理服務(wù)區(qū)、接口區(qū)、內(nèi)部系統(tǒng)互聯(lián)網(wǎng)區(qū)、外部系統(tǒng)互聯(lián)區(qū)。如圖1所示。

圖1 運營商MBOSS系統(tǒng)安全域劃分Fig.1 Security domains of MBOSS system

2 采用AHP方法評估安全性

層次分析法(AHP,The Analytic Hierarchy Process)[4-6]是由美國運籌學家薩第(T.L.Saaty)教授于本世紀70年代提出的一種無結(jié)構(gòu)的多準則決策方法,主要應(yīng)用在不確定情況下及具有多個評估準則的決策問題上。它將定性分析和定量分析相結(jié)合,通過思維過程的層次化和數(shù)量化,達到分析復雜問題的目的。層次分析法首先將決策的問題看作受多種因素影響的大系統(tǒng),這些相互關(guān)聯(lián)、相互制約的因素可以按照它們之間的隸屬關(guān)系排成從高到低的若干層次,叫做構(gòu)造階梯式層次結(jié)構(gòu)。然后對各因素兩兩比較重要性,再利用數(shù)學方法,對各因素層層排序,最后對排序結(jié)果進行分析,輔助進行決策。在確定各層次各因素之間的權(quán)重時采用因素比較法,不采用統(tǒng)一的標準把所有因素放在一起比較,而是兩兩相互比較;采用相對比較尺度來表征兩個因素之間比較的權(quán)重,盡可能減少性質(zhì)不同的諸因素相互比較的難度,提高比較結(jié)果的準確度。

因素比較法的最終目的是要統(tǒng)一衡量某一層n個因素對上一層某個因素的影響。具體的方法是:每次取兩個因素Fi和Fj,比較其對目標因素E的影響,比較結(jié)果用rij表示,全部比較的結(jié)果用判斷矩陣表示,即:

將這個判斷矩陣作為計算目標因素E的判斷矩陣,然后計算判斷矩陣的最大特征值和它的特征向量,經(jīng)歸一化后即可計算出下層因素相對于目標因素E的權(quán)重系數(shù)。權(quán)重向量的計算常采用行向量平均值標準化法:

為了保證應(yīng)用層次分析法得到的結(jié)論合理,還需要對構(gòu)造的判斷矩陣進行一致性驗證,并作成一致性指標(CI,Consistency Index),檢查根據(jù)決策者的主觀判斷所構(gòu)成的判斷矩陣是否為一致性矩陣。判斷矩陣滿足一致性,這樣基于層次分析法得出的結(jié)論才合理。在計算完權(quán)重向量后,要判斷判斷矩陣的一致性時,需計算一致性指標(CI)的值,其公式為:

式中,λmax為判斷矩陣對應(yīng)于權(quán)重向量的最大特征值,n為判斷矩陣的階,λmax值為:

vi為一致性向量(Consistency vector),計算公式為:

式中,當CI=0,即λmax=n時,可以證明矩陣是一致性矩陣,表示前后判斷完全一致。

根據(jù)Dak Ridge National laboratory與Wharton School進行的研究,從評估尺度1-9所產(chǎn)生的判斷矩陣,在不同的階數(shù)下,產(chǎn)生的CI值有一定的容許范圍,稱為隨機指標(RI,Random Index)。RI的取值如表1所示。

表1 隨機指標一致性對照Table 1 Contrast table of rank and random index

對于1,2階的判斷矩陣,RI只是形式上的,因為1,2階判斷矩陣總具有完全一致性。當階數(shù)大于2時,判斷矩陣的一致性指標CI與同階數(shù)的隨機指標RI之比稱為一致性比率,記為CR(Consistency Ratio):

Saaty建議在CR＜0.1的情況下,皆可視為有較好的一致性,也就是說構(gòu)造的判斷矩陣的不一致性可以接受,按照該判斷矩陣計算得到的各層次的特征向量即為各層次元素相對于上級元素的重要性權(quán)重向量。否則就需要調(diào)整判斷矩陣,并使之具有滿意的一致性。

根據(jù)圖1的安全域劃分和各安全域內(nèi)部的拓撲結(jié)構(gòu),可以得出如圖2的系統(tǒng)層次結(jié)構(gòu)(為了降低系統(tǒng)的復雜度,圖2中沒有再進一步劃分安全子域)。

對照圖1,圖2將網(wǎng)絡(luò)信息系統(tǒng)按照AHP層次分析方法劃分為了三個大的層次,頂層即目標層為系統(tǒng)整體安全性;中間層由安全互聯(lián)域、安全接入域、安全服務(wù)域、安全計算域、安全用戶域和安全管理域這六個安全域的安全性評估構(gòu)成;底層由每個安全域內(nèi)部的各種主機和設(shè)備的安全性評估構(gòu)成。

在各種設(shè)備內(nèi)部,是由安全性評估的諸安全要素和子要素構(gòu)成一個小的AHP層次結(jié)構(gòu),對各主機和設(shè)備進行安全性評估時根據(jù)具體情況選取不同的考量因素。一般來講,某設(shè)備或主機的安全性評估要素包括該設(shè)備資產(chǎn)的重要性、所面臨的威脅程度、資產(chǎn)自身的脆弱性、資產(chǎn)所處的運行環(huán)境安全性等幾個方面,每個方面的評估要素如圖2所示。

安全域內(nèi)各設(shè)備在該域安全性評估時所占的權(quán)重由設(shè)備資產(chǎn)重要性的比值決定,設(shè)備資產(chǎn)重要性評估的AHP層次結(jié)構(gòu)如圖3所示。

圖2 運營商MBOSS系統(tǒng)AHP層次結(jié)構(gòu)Fig.2 AHP illustration of MBOSS system

圖3 設(shè)備資產(chǎn)重要性AHP層次結(jié)構(gòu)Fig.3 AHP illustration of device assets importance

設(shè)某安全域D內(nèi)有n臺設(shè)備,每臺設(shè)備通過AHP方法評估的安全性為Si,資產(chǎn)重要性為Ai,則該安全域的安全性評估結(jié)果為:

根據(jù)領(lǐng)域?qū)＜覍α蟀踩騼蓛芍匾源蚍值玫降呐袛嗑仃?采用行向量平均值標準化法得到各安全域的權(quán)重系數(shù)wi,則系統(tǒng)安全性評估值為:

3 結(jié) 語

網(wǎng)絡(luò)信息系統(tǒng)作為開放性的大規(guī)模復雜系統(tǒng),其安全問題也呈現(xiàn)出復雜化和多樣化的特點。采用安全域劃分和AHP層次分析法相結(jié)合的方法,能夠把規(guī)?；膹碗s問題自頂向下逐層分解為更小區(qū)域的安全保護問題,進行層次化、結(jié)構(gòu)化、邊界明晰、重點突出的分析、評估和保護,是實現(xiàn)大規(guī)模復雜網(wǎng)絡(luò)信息系統(tǒng)安全評估和保護的有效方法。

[1] 張同升.信息系統(tǒng)安全防護控制策略研究[J].通信技術(shù),2013,45(08):95-97.

ZHANG Tong-sheng.Safety Protection and Control Strategy for Information System[J].Communications Technology,2013,45(08):95-97.

[2] 陳頌,王光偉,劉欣宇,等.信息系統(tǒng)安全風險評估研究[J].通信技術(shù),2012,45(01):128-130.

CHEN Song,WANG Guang-wei,LIU Xin-yu,et al.Study on Security Risk Assessment for Information System[J].Communications Technology,2012,45(01):128-130.

[3] 周志波.結(jié)合安全域的思想建設(shè)安全運營中心[J].信息安全與通信保密,2006(06):87-89.

ZHOU Zhi-bo.Establish Security Operation Center (SOC)based on Security Domain[J].China Information Security,2006(6):87-89.

[4] SAATY THOMAS L.Fundamentals of Decision Making with the Analytic Hierarchy Process[M].Pittsburgh: RWS Publications,1994.

[5] GE Yan,QI Xu,LI Hong.The Design and Application of a Generic AHP Evaluation System[C]//4th International Conference on Wireless Communications,Networking and Mobile Computing.[s.l.]:IEEE,2008:1-4.

[6] TANAKA H,TSUKAO S,YAMASHITA D,et al.Multiple Criteria Assessment of Substation Conditions by Pair-Wise Comparison of Analytic Hierarchy Process[J]. IEEE Transactions on Power Delivery,2010,25(04): 3017-3023.

LUO Jun(1975-),male,M.Sci.,senior engineer,majoring in network security.

A Security Domain-based Method for Security Evaluation of Information System

LUO Jun
(Westone Information Industry,Ltd.,Chengdu Sichuan 610041,China)

This paper presents a security evaluation method based on security domain for large-scale network information system.Firstly,based on the dividing principle of security domain,according to the data types and business functions,and with MBOSS system as an example,the information system is divided into six security domains.Then,the basic math theory of AHP is described and the multilayered hierarchy architecture model of MBOSS system established.Finally,how to evaluate the security of the information system by AHP method and the model established above are discussed.

security domain;security evaluation;AHP

TP391

A

1002-0802(2014)02-0210-05

10.3969/j.issn.1002-0802.2014.02.018

羅 俊(1975—),男,碩士,高級工程師,主要研究方向為網(wǎng)絡(luò)安全。