几种信息安全评估模型

《几种信息安全评估模型》由会员分享，可在线阅读，更多相关《几种信息安全评估模型（14页珍藏版）》请在装配图网上搜索。

1、1基于安全相似域的风险评估模型本文从评估实体安全属性的相似性出发，提出安全相似域的概念,并在此基础上建立起 一种网络风险评估模型SSD-REM风险评估模型主要分为评估操作模型和风险分析模型。评估操作模型着重为评估过程 建立模型，以指导评估的操作规程，安全评估机构通常都有自己的操作模型以增强评估的可实 施性和一致性。风险分析模型可概括为两大类:面向入侵的模型和面向对象的模型。面向入侵的风险分析模型受技术和规模方面的影响较大，不易规范，但操作性强。面向对 象的分析模型规范性强，有利于持续评估的执行，但文档管理工作较多,不便于中小企业的执 行。针对上述问题，本文从主机安全特征的相似性及网络主体安全的

2、相关性视角出发,提出基 于安全相似域的网络风险评估模型 SSD-REM(security-similar-domain based riskevaluation model)。该模型将粗粒度与细粒度评估相结合,既注重宏观上的把握，又不失对网络实体安全 状况的个别考察,有助于安全管理员发现保护的重点，提高安全保护策略的针对性和有效性。SSD-REM 模型SSD-REM模型将静态评估与动态评估相结合，考虑到影响系统安全的三个主要因素，较 全面地考察了系统的安全。图2 SSD REM概念层次图定义1评估对象。从风险评估的视角出发，评估对象是信息系统中信息载体的集合。 根据抽象层次的不同，评估对象可分

3、为评估实体、安全相似域和评估网络。定义2独立风险值。独立风险值是在不考虑评估对象之间相互影响的情形下,对某对 象进行评定所得出的风险，记为RS。定义3综合风险值。综合风险值是在考虑同其发生关联的对象对其安全影响的情况 下，对某对象进行评定所得出的风险，记为RI。独立域风险是在不考虑各评估实体安全关联的情况下,所得相似域的风险。独立网络风 险是在不考虑外界威胁及各相似域之间安全关联的情况下，所得的网络风险评估实体是评估网络的基本组成元素,通常立的主机、服务器等。我们以下面的向量来 描述ID,Ai,RS,RI,P,“式中ID是评估实体标识;Ai为安全相似识;RS为该实体的独立风险值;RI为该实体合

4、风 险值;P为该实体的信息保护等级，即信产的重要性度量;属性卩为该实体对其所属的域的隶属 度。这里将域i中的实体j记为eij。定义4安全相似度。安全相似度是指评估实体间安全属性的接近程度我们以Lij表 示实体i与实体j之间的安全相似度。设评估实体的安全属性集为xl,x2,xn,则安全相似 度可看作这些属性的函数，即Lij=f（x1,x2,xn）,我们约定当i=j时,Lij=1,其他情况下0W Lijvl。定义5域隶属度。域隶属度反映的是一评估实体隶属于某安全相似域的程度，记为Iij, 表示实体j隶属于域i的程度。定义6安全相似域。安全相似域是由具有相似安全属性的实体组成的集合，其相似性 由域隶

5、属度来衡量,我们用Ai来表示第i个安全相似域，那么对域Ai的隶属度大于某个阈值 的均被认为是域Ai的成员。设Ai有n（n属于正整数）个成员，即Ai=ei1,ei2,ei3,ein,我们 称域Ai的规模为n。相似域的划分不一定要用聚类方法，也可以从管理角度划分，如按照部门 来划分。定义7单向安全关联系数。单向安全关联系数表示评估对象i对评估对象j的安全影 响程度，记为rij。一般情况下我们认为rijMrji，且i=j时,rij=1。我们以域安全关联系数矩阵来表示评估网络中各安全相似域间的安全相互影响程度， 记为R。在含有n个域的网络中，域安全关联系数矩阵表示如下：f 211f定理一设网络规模为m

6、,则网络中任两可达评估实体之间距离至多为m步。我们以 两评估实体沿有向边（不走重复边）到达对方经过的节点个数为步长。通过以上定义，我们将目标评估网络划分为有限个安全相似域，它们是由有限个相似度 大于某个阈值的评估实体组成的集合。评估网络的抽象示意图如下，其中域之间的有向直线 为域之间的安全关联，域内存在不同个数的评估实体。OOft域3 O图3 RS1 REM网络描述抽象示意该模型下的一种网络风险算法：此算法重点考察对网络风险的计算，故不对主机的安全属性进行具体分析。假设已知主 机的安全属性数据，当然在计算安全属性时应考虑财产因素。通过分类若评估目标网络共有 m(m为正整数)个安全相似域，通过计

7、算可得域独立风险值向量(RS1,RS2,RS3,RSm),我们 以域风险的算术平均值作为网络的风险值。那么，网络独立风险值NRI算式如下：NRi =丄习?SfAj()若域安全关联系数矩阵为RmXm,rij为矩阵的元素，则域i的一阶综合风险值是自身风险和其他域对该域直接 关联造成的风险的综合,其算式如下：jrjjmRll(i) = RSt+ 工心二 习?0仃昇2丿由此可得，该网络的一阶域综合风险向量为域独立风险向量同域安全关联系数矩阵的乘积k nr 衣 tji网络综合风险值NRV1为各域一阶综合风 险值的算术平均,故求解如下：NR V 1 =丄习?f Y釘(4)m jTj一式中m为域的个数。由定

8、理一，我们计算网络的风险值时，最多只考虑m步安全关联(m为划分的域的个数),所以 n 阶网络综合风险值 NRVn 可如下推导：IXR l/JI 二 NRV* X 际 i(5)式中Ov n ck+. 若叫满足CC2 Cp,则称 CrC3Cp 是讦价空 间U的一个有序分割类7单指标未确知测度：令曲=M(XCk)表示评价值花属于第k个评价等级的 程度，P满足：()去 口釦匸！WJr J)U1 = 1(21丈AY 0 E U J = S 丙匸斜)讨,=丨/=lJl-P .上12m k=l,2一po式称対11对评价窣间U满杲 背归一性S式(3)称为剧评价空间U满足纭可加性S称满 足式(1)、式(2)、式

9、(3)的P为未确知测度，简称测度.矩阵为 单抿标测度评价距阵I书3,2指标权重用眄表示评价指标出与其它指标相比具有的相对重要程度,叫满足:n0冬叭w 1, 2L wi = 1/=|其中，叫为指标勒的权重，称向量w=（wHw2 V%为指标权 重向屋。在未确知综合评价中，指标权重向量是非常重要的。它的精确度和科学性直接影响评价的结 果。权重的确定方法有很多种，典型的方法有熵值法、聚类分析法、德尔菲法、层次分析法 等。其中，熵值法由于能够反映指标信息熵值的效用价值，其给出的指标权重有较高的可信 度，但是缺乏各指标之间的横向比较。聚类分析法适用于多项指标的重要程度分类，缺点是 只能给出指标分类的权重，

10、不能确定单项指标的权重。层次分析法和德尔菲法都是根据专家 的知识和经验对评价指标的内涵与外延进行判断，适用范围广，由于层次分析法对指标之间 相对重要程度的分析更具逻辑性，刻画的更细致，并对专家的主观判断进行了数学处理，因 此其科学性和可信度高于德尔菲法。本文米用专家赋权法事先给出指标的权重。3.3慕指标综符测度评价矩阵令必二図比匸砧表示项目兀属于第k个评价等级q的程度，则畀直辺= S “；站打（i=l*2j】；k= 1.,p）（/=l由于0 WrWI,并且缶广因此吐是未确知测度x = i舟的综合测度评价向量为3丄识别准则设 k为置佶度（1 鼻 V0.5+ -般取 0.64）,若 Cc2.cp,

11、则令九=门】i门雄：E久=m“尸/=|真中,&属F第虬个评价等级s3一种基于渗透性测试的WEB漏洞扫描系统模型设计与实提出一种基于渗透性测试的Web漏洞扫描系统，给出了 Web漏洞扫描系统的总体结构设 计，研究了描述Web攻击行为所需要的特征信息及其分类,给出了 Web攻击行为特征信息在 数据库中的存储表结构。在Web攻击行为信息库中保存了超过230个不同的Web服务器信 息,存在于Web服务器与CGI应用程序中的超过3 300个不同的已知漏洞信息,可以识别出绝 大多数对未经修补或非安全Web服务器造成威胁的常见漏洞。Web漏洞扫描方法主要有两类:信息获取和模拟攻击。信息获取就是通过与目标主机

12、 TCP/IP的Http服务端口发送连接请求,记录目标主机的应答。通过目标主机应答信息中状态 码和返回数据与Http协议相关状态码和预定义返回信息做匹配如果匹配条件则视为漏洞存 在。模拟攻击就是通过使用模拟黑客攻击的方法，对目标主机Web系统进行攻击性的安全漏 洞扫描，比如认证与授权攻击、支持文件攻击、包含文件攻击、SQL注入攻击和利用编码技 术攻击等对目标系统可能存在的已知漏洞进行逐项进行检查，从而发现系统的漏洞。Web漏洞扫描原理就是利用上面的扫描方法，通过分析扫描返回信息，来判断在目标系统 上与测试代码相关的漏洞是否存在或者相关文件是否可以在某种程度上得以改进，然后把结 果反馈给用户端（

13、即浏览端），并给出相关的改进意见。Web漏洞扫描系统设计与实现：Web漏洞扫描系统设计的基本要求是能够找到Web应 用程序的错误以及检测Web服务器以及CGI的安全性，其中也包括认证机制、逻辑错误、无 意泄露Web内容以及其环境信息以及传统的二进制应用漏洞（例:缓冲区溢出等）。同时要求 漏洞扫描功能能够更新及时。本系统结合国内外其他Web漏洞扫描系统设计思想的优点，采 用Browser /Server/ Database（浏览器/服务器/数据库）和模块化的软件开发思路,通过渗透性检 测的方法对目标系统进行扫描。系统总体结构设计：本文设计开发的是一个B/S模式的Web漏洞扫描系统。它包括客 户端

14、及服务端两个部分，运行环境为Linux系统。首先:使用B/S结构使得用户的操作不再与 系统平台相关，同时使得客户操作更方便、直观。其次，系统把漏洞扫描检测部分从整个系统 中分离出来,使用专门的文件库进行存放（称为插件）。如果发现新的漏洞并找到了新的检测方 法，只要在相关文件夹中增加一个相应的新的攻击脚本记录,即可以实现对漏洞的渗透性测试, 同时也实现了及时的升级功能。最后，系统从多个角度来提高漏洞扫描系统的扫描速度以及 减少在用客户端与服务端之间的信息传输量，以提高系统的运行效率。其总体结构设计如图1 所示。图1中给出了漏洞扫描系统模型的系统结构图该漏洞检测系统主要分成四部分(1) 主控程序。

15、采用多线程处理方式，它接收多个客户端提交的用户指令后,再次利用多线 程技术调用相关的插件脚本，利用渗透性测试对目标系统进行检测，并将结果和进程信息传回 客户端显示并保存在客户本地,以方便用户查看详细信息。(2) 客户端，即控制平台。B/S结构比传统的C/S结构优越的地方在于方便性和与平台无 关性，用户通过Web浏览器设定扫描参数，提交给服务器端,控制服务器端进行扫描工作。同 时，对服务器返回的各种检测结果进行相应的显示、汇总和保存。(3) 插件系统。它保存现在已知各种漏洞检测方法的插件，合理安排插件之间的执行顺序, 使扫描按既定的顺序进行，以加快扫描速度提高扫描的效率与准确性。(4) 数据库，

16、即探测数据库,是系统的核心。它保存已知各类Web漏洞的渗透性的探测数据 即攻击代码或信息获取代码，比如SQL注入攻击、跨站点脚本攻击、会话攻击或输入验证编 码信息等,逐条给目标发送探测数据,通过把返回信息与预先设定的“返回信息”和状态码进 行匹配，进而获得目标返回系统的健壮信息。在规划系统体系组成部分的基础上，如何把这些组成模块有机地集成为一个系统也是设 计本系统的重点。我们要求服务器端同时处理多用户的连接，因此首先要进行多线程处理。 在进行单用户处理中，当用户登陆时，检测服务器对用户的用户名和密码进行认证，判断用户 是否具有使用权限。用户认证通过后,检测服务器给客户端发送可使用的基本检测信息

17、。客 户端接收到服务器的这些信息后，根据具体的使用要求选择和填写各种检测脚本要求的参数, 或使用默认参数,然后返回给服务器端。服务器端建立新的进程，开始一个新的漏洞检测任务, 对目标系统进行扫描。客户端的实现：网络的发展要求在任何地点进行登陆并进行扫描工作，并且漏洞检测参 数繁多、设置扫描参数具有很高的复杂性，所以选择现在流行的Web页面作为客户端。这样 就可以在世界的任何地点,任何环境使用客户端，用简单的图形化界面进行参数设定和系统的 控制工作。客户端在认证通过后，开始接收服务器发送过来的各种待设定的参数及相关信息 以供用户选择。用户根据相关帮助信息及自己相关的要求设定参数同时设定目标系统的

18、IP 地址(或主机名)和端口号等参数。根据客户端的参数设定服务端建立扫描任务，对目标系统 进行检测扫描。检测过程中，客户可以自行设定是否实时显示服务端扫描状态信息及结果信 息，以及在客户端是否保存相关信息，便于用户对扫描任务进行实时的控制，从而制定相应的 安全策略。通信协议设计：Http协议是一种在TCP/IP之上的request/response型协议。多数Http数据传 输由请求服务器上的某种资源开始，通过网络上的一些中介，如代理、网关等到达服务器，而后 服务器处理请求并送回应答。但是Http 1.0并不完全支持各层代理、缓冲、持续的连接以及 虚拟主机等技术。Http请求及应答数据包如图2

19、所示。PUR.I版朮LOL信息头空行1状蛊EOL信息头空行数拥版也狀壽号图2 Hllp诸求及应咎数据血特征信息数据库：此漏洞扫描系统的核心就是特征信息数据库，特征信息数据库保存了远程 Web系统可能存在的各类Web隐患和漏洞的获取或攻击信息或代码。通过给远程Web系统 发送此数据库中的数据以获得目标Web系统的安全性。Web漏洞扫描系统的实现图3打描服夯端流程4基于灰色理论的网络信息安全评估模型灰色模型建模机理：灰色理论基于关联空间、光滑离散函数等概念，定义了灰导数和灰微分 方程，进而用离散数据列建立了微分方程型的动态模型。它是本征灰系统的基本模型，而 且模型非唯一，故称为灰色模型，记为GM(

20、GreyModel)。(1) 灰色理论将随机量当作在一定范围变化的灰色量;将随机过程当作在一定幅区、一定时区 变化的灰色过程。(2) 灰色理论将无规律的原始数据生成为较有规律的生成数列再建模。(3) 灰色理论针对符合光滑离散函数条件的数列建模，而一般原始数据经累加生成后可得到 光滑离散函数。(4) 灰色理论在光滑离散函数收敛性与关联空间极限概念的基础上，定义了灰导(5) 灰色理论认为微分方程是背景值与各阶灰导数的某种组合。(6) 灰色理论通过灰数的不同生成、数据的不同取合、不同级别的残差MG模型的补允、调 整、修正，提高模型精度。(7) 灰色理论中MG模型一般采用三种方法检验和判断模型精度。即

21、残差检验;关联度检验； 后验差检验。(8) 通过GM模型得到的数据，需经逆生成作还原后才能用。(9) 灰色理论对高阶系统建模，采取一阶MG模型群建立状态方程的方法解决。(10) 灰色模型在考虑残差MG模型的补充后，变成了差分微分模型。(11) 灰色理论根据关联子空间某种特定关联映射下的关联收敛来选择参考模型。关联收敛是 一种有限范围的近似收敛。五步建模思想与方法：在本征性灰色系统中，包括哪些变量?变量间有什么关系?人们并不很 清楚，因而建立模型很困难。对此，灰色理论采用定性分析与定量分析相结合的方法。即 建模时，不仅运用控制理论的数学模型，而且还直接利用经验判断知识，综合概括为一个“五 步建模

22、”的过程。所谓“五步建模”即将建模分为几个阶段，每个阶段都用一定的方式加以表达，这些表达式 称为阶段模型。所处的阶段不同，模型的性质也不同。这五个阶段模型分别称为语言模型、 网络模型、量化模型、动态模型、优化模型。通过这五步建模，就可逐步得到系统中各因素 间，前因与后果间，作用与响应间等关系。这是一个由定性到定量，由粗到细、由灰变白的 建模过程。模型的建立：灰色系统是部分信息明确，部分信息不明确的系统。信息安全评估系统符合灰 色系统的特征，因此灰色评估理论适用于对信息安全系统进行安全风险评估。本文采用基于 三角白化权函数的灰色评估法来建立信息安全风险评估模型评价指标权重的确定：对于评价指标权重

23、的确定，通常可利用AHP法、嫡值法、主成分分析法等方法。本文主要 是应用了主成分分析法来分析系统的权重。主成分分析法计算步骤L原始指标数据的标准化.对原始数据进行无量纲化处理。X X帀原始数据矩阵*斗勺）和，令式中耳二（工心）/撷j/=ii-l： 2,-, m; j-1, 2、，n （4一1）?=12、求指标数据的相关矩阵R -（J）粕 J = l. 2r - f n; k-1, 2,- n（4-2）J为指标j与損标k的相关系数,趴求相关矩阵R的誓征棍和特征向培，确皮主成分白特征根方程AE-R=Q可求卸j个杓征根血（g二1,2）,它们呈主成分的方禺 它们的大小描迖了各个主成分在描述被评价前象上

24、所起的作用的大小，对其从大到小进行排列:人泌 22血莎 由特征艰方程可知,每一个特征棍对应一个特征向fig(g = 12，p) 0将标准化后购指标变杲鹤换为主戒分：兀二 LZX + L2Z2 + 肿乙g = 1,2,n制7)杆称为第-兰成分，耳祢为第二上成分，依次冀推.,称为第口卞成分。4. 求方盖贞献率，确定卞威分个数.一般而言，二成井个数聲于原始指标个数阻如果原始指标个数较多时，进行 综合评价的匚作量就很丈也比较麻烦*兰成分分折澡就是选取尽磊小的k牛主成分 佻二)来琲彳亍综合评价.底时尽就不丢失信息臺。殳说由方差贡献率止力決迄一般地说.K不应h T 85% uP =3f!=l5. 对K个匸

25、成井逬行综合评价。先求每个主成分均线性加权值，即第:弓个步骤屮的?； (g = 1.2，A),再以方芬加献率为权重，对这k个主成分进疔加权戎和、即得量终评MV：1M宀工仏空心代3)盘=1S-I评价指标的评分等级标准；对安全措施等级的定义是标准的另一个重点。根据我们国家的计算机信息系统安全保护等级划分准则安全措施应该划分成5个等级：(1) 第一级:用户自主保护级；(2) 第二级:系统审计保护级；(3) 第三级:安全标记保护级；(4) 第四级:结构化保护级；(5) 第五级:访问验证保护级。信息系统中存在不确定性干扰因素，就是系统中存在摄动，但是整个系统仍然正常工作，这一特点符合控制系统中的鲁棒性特

26、征，所以在这里引入鲁棒性测量。鲁棒性策略针对某种信息价值和可能遭到的威胁水平，提供一种在确定信息安全机制强度下的指导思想。这种策略还定义了对技术性反制措施的测量及评估其鲁棒性不同等级的策略。在鲁棒性策略中把信息的价值分为5级（VIVS）,其价值依次递升;威胁分为7级（T1 一 T7）,其大小也依次递升。表4一1根据待保护信息的价值及威胁程度，给出了对应安全强度的安全机制。表鲁捧性的等级分炎表倍息 价值威胁程度T1丁 2T3T415T6T7VISML1EALISML1EAL1SMLIEALI俪EAL2SMI.1EAL2SMLlEAL2SMLIEAL2V2SMLIEALISMLIEALISML1E

27、AL1EAL2SML2EAL2SML2EAFJSML2EAL3V3SML1EAL!SML1EAL2SML1J-AL2SML2EAL3SML2EAL3SML2I1AL4SML2EAL4V4SM1.2EAL1SML2FAL2SM1.2EAL3SML3EAL4SMUHEAL5SML3EAL5SMI3EAL6V5SML2EAL2SML2EAL3SML3EAL4SML3EAL5SML3LALSSML3EAL6SML3EAL7模型的描述与评估步骤：有了标准化后的指标值及对应的权重后，我们就可以将标准化值进行综合合成，从而得到网 络信息安全评估的综合值，需要建立评估模型。同时建立了评估模型后，对新的评价对象

28、进 行评估时，也可直接输入模型得到对应的综合评价值,为今后评估提供方便。设有n个对象, m个评估指标，s个不同的灰类，对象i关于指标j的样本观测值为xij, i=, 12,，从j=l, 2,，m。我们要根据凡的值对相应的对象i进行评估诊断、具体步骤如下：步骤一建立络信息安全评估的指标体系主要依据相关的络信息安全评估标准。根据我们国家 的计算机信息系统安全保护等级划分准则（GB17589 1999）,安全措施应该划分5个 等级，依据评估的目的和要求,确定影响信息系统安全风险等级的因素和信息安全风险等级, 然后采用专家咨询法确定信息安全风险评估的指标XI, XZ,，X,，X二及其相应 权重K, K

29、Z,，K,，K, 然后根据信息安全风险评估要求的风险等级灰类数s , 将各个指标的取值范围也相应地划分为为S个灰类.例如，将血指标的取值范围心划分为旳】，血-1卫1-1 比I k L，见十1 这一步骤是将信息安全风险从定性到定量转化的关键，为了指标体系的准确，应当挑选对信息系统了解、经验丰富的专家参加评估，并且要适当保证参与评估的 专家人数。步骤二通过定性和定量相结合的方式在被评估信息系统中测出各安全风险评估指标的样本值X , , X2 ,Xj,Xm。定性分析是建模的前提，定量模型是定性分析的具体化，定性与定量紧密结合相互补充能够测出比较合理的样本值。明确系统因素，弄清因素间关系及因素与系 统

30、的关系是系统研究的核心。步骤三、根据如下规则建立三角白化权函数。令尘L如属于第k个凤险等级灰类的白化权函数值为i,（鱼上也，1）2 2与第（4】）个信息安全风险等级灰类的起点氓_|和第（k十I）个凤险等级次类的终点纵池连接，得到工指标关于第k个风险等级灰类的三角白化权國数=其表达式如（4-5）式所示。(4-5)0,X e ak_itak+2*K 一1叽-凡*其中，人牛+如十|步骤四、计算各风险评怙指标冲）属于凤险的等级灰类k（12沾）隶属度f；（X）*对于抬标的一个观测样点值 * 根据（4-1）式计算其属于风险等级灰类k 二1,2严,$）的隶属度f：（XJ2图4-1左,.指标关干冀个凤险等级灰类的二知白化权函数/1片（禺）用（尤）1ZW/T /1、0f11才%1:a2叭口*5 旳-1 ai 蘇冷口*+?込-1叭；纨”11 1步驟五、计算菰评怙信息系统关于凤险等级衣类k斤的塚合聚类系j菽中.叭対安全风险评佔指标兀（j = 12，脚）在踪合叢类中的权車.步骤六、由判断被评怙系统的安*佩险铮级属于凤险辱级灰类I空“