基于安全相似域的风险评估模型.pdf-得力文库

资源描述

《基于安全相似域的风险评估模型.pdf》由会员分享，可在线阅读，更多相关《基于安全相似域的风险评估模型.pdf（5页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、超级链接电姓尹冷 6 3 基于安全相似域的风险评估模型徐源戴青郭靓(解放军信息工程大学电子技术学院，郑州 4 5 0 0 0 4 1)摘要评估模型是风险评估的基础。本文从评估实体安全属性的相似性出发，提出安全相似域的概念，并在此基础上建立起一种网络风险评估模型 S S D R EM。另外，还给出了基于该模型的一种评估算法和示例。【关键词评估实体；安全相似域；独立风险值；综合风险值 1 引言风险管理是信息安全的新范式，最佳的信息安全保障实际上就是最优

2、的风险管理方式。信息安全保障体系的构建应以可靠的风险分析、可用的控制措施和可行的效用测评为基础 j。随着风险评估研究的深入，出现了多种评估方法。各种方法都有着或多或少的优缺点。风险评估是一个综合评价过程，需要多种方法的科学组合，评估模型则为整合各种评估方法提供了总体框架和坚实的基础。另外，风险评估需要对目标系统、环境和所有的安全特征进行正确描述，模型技术有助于提高这些描述的精确性，有利于改善风险评估的结果L 2 j。风险评估模型主要分为评估操作模型和风险分析模型。评估操作模型着重

3、为评估过程建立模型，以指导评估的操作规程，安全评估机构通常都有自己的操作模型以增强评估的可实施性和一致性。风险分析模型可概括为两大类：面向入侵的模型和面向对象的模型。面向入侵的模型从入侵的角度出发对系统的风险进行评估，侧重于技术层面的评估。该类模型常见的有基于组件的模型、基于状态转移图的脆弱性分析模型、需求产出模型和攻击图模型。基于组件的模型将目标系统分解为若干组件，通过分析组件之间的安全关联来分析系统的风险；状态

4、转移图则利用有限状态机模型来表示入侵过程。将入侵过程视为一系列导致系统从初始状态转移到入侵状态的行为集合。S wi l e r 等人于 1 9 9 7年最先提出了攻击图模型。目的是为了在安全分析中把网络拓扑信息也考虑在内，即考虑到了结构化风险；需求出模型由 T e mp l e t o n和 L e v i t t 于 2 0 0 0年提出，他们把计算机攻击不是看作一系列事件，而是一组抽象的攻击“概念”的结合体，每一个“概念”都需要某些“能力”才能够产生“概念”实例，每一个“概念”也可能提供作为其他

5、“概念”前提的“能力”J。面向对象的模型更强调对目标系统、环境和所有安全特征的正确描述，使对评估结果和评估所依赖的假设的描述更加容易。通过对系统的对象化描述，提高了评估结果的可理解性和评估过程；方法的灵活性和扩展性，便于在不同评估模块和不同组织间交流共享评估信息。这方面的研究正逐步受到国内外的重视，特别是 UML在评估过程中的应用正成为众多学者研究的焦点 4-6 J。面向入侵的风险分析模型受技术和规模方面的影响较大，不易规范，但操作性强。面

6、向对象的分析模型规范性强，有利于持续评估的执行，但文档管理工作较多，不便于中小企业的执行。针对上述问题，本文从主机安全特征的相似性及网络主体安全的相关性视角出发，提出基于安全相似域的网络风险评估模型 S S D-R EM(s e c u r i t y s i mi l a r d o ma i n b a s e d r i s k e v a l u a t i o n mo d e 1)。该模型将粗粒度与细粒度评估相结合，既注重宏观上的把握，又不失对网络实体安全状况的个

7、别考察，有助于安全管理员发现保护的重点，提高安全保护策略的针对性和有效性。2 S S D RE M 模型 2 1 模型描述及相关定义从入侵的角度来看，系统的风险评估可以分为维普资讯 http:/ 电孓 j 千 j 姓 i 于冷 2 0 0 5 年第 2 期静态评估与动态评估。所谓静态评估是把系统看作独立的整体来进行评估，而动态评估则在系统的实际运行环境中对系统的安全性进行评估，通常需要结合入侵检测与安全审计来进行。静态评估可以在系统运行前进行安全测

8、试，发现系统固有的一些安全隐患，从而做到防患于未然，注重系统的脆弱性评估。动态评估则充分考虑到实际运行环境对系统安全性的影响，注重对各种威胁的评估。OC TAVE (Th e Op e r a t i o n a l l y Cr i t i c a l Th r e a t，As s e t，a n d Vu l-n e r a b i fi t y Ev a l u a t i o n)评估方法把威胁、财产和脆弱性视为风险的三个不可或缺的组件，在风险评估的过程中需要充分考虑到这些因素对风险的影响 j。图 1是决定风险因素的三维

9、示意。脆弱性圉 1 风险因素示意圉 S S I)I M 模型将静态评估与动态评估相结合，考虑到影响系统安全的三个主要因素，较全面地考察了系统的安全。为更好地描述新的描述框架，我们给出一些定义；为便于理解，图 2中对概念的层次进行了示意。图 2 S S D-R EM 概念层次图定义 1 评估对象。从风险评估的视角出发，评估对象是信息系统中信息载体的集合。根据抽象层次的不同，评估对象可分为评估实体、安全相似域和评估网络。定义 2 独立风险值。独立风险值是在不考虑评估对

10、象之间相互影响的情形下，对某对象进行评定所得出的风险，记为 R S。定义 3 综合风险值。综合风险值是在考虑同其发生关联的对象对其安全影响的情况下，对某对象进行评定所得出的风险，记为 R 。独立域风险是在不考虑各评估实体安全关联的情况下，所得相似域的风险。独立网络风险是在不考虑外界威胁及各相似域之间安全关联的情况下，所得的网络风险。评估实体是评估网络的基本组成元素，通常指独立的主机、服务器等。我们以下面的向量来描述它：I D，A f，R S，R I，P，p 式中 I D是评估实体标识；A 为安全相似域标识；

11、R S为该实体的独立风险值；RI为该实体的综合风险值；P 为该实体的信息保护等级，即信息财产的重要性度量；属性 p 为该实体对其所属的相似域的隶属度。这里将域 i中的实体j 记为定义 4 安全相似度。安全相似度是指评估实体间安全属性的接近程度，我们以 L 表示实体与实体之间的安全相似度。设评估实体的安全属性集为 z。，z 2，z ，则安全相似度可看作这些属性的函数，即 L =f(z 1，z 2，z )，我们约定当 =时，L =1，其他情况下 0 L 1。定义 5 域隶属度。域隶属度反映的是一评估

12、实体隶属于某安全相似域的程度，记为表示实体隶属于域 i的程度。定义 6 安全相似域。安全相似域是由具有相似安全属性的实体组成的集合，其相似性由域隶属度来衡量，我们用 A 来表示第个安全相似域，那么对域 A 的隶属度大于某个阈值的均被认为是域 A 的成员。设 A 有(属于正整数)个成员，即 A ：e e e ，e ，我们称域 A 的规模为。相似域的划分不一定要用聚类方法，也可以从管理角度划分，如按照部门来划分。定义 7 单向安全关联系数。单向安全关联系数表示评估对象 i 对

13、评估对象的安全影响程度，记为 r ，。一般情况下我们认为 r ，且 i=j时，=1 o 维普资讯 http:/ 超级链接电参 j 姓砰冷我们以域安全关联系数矩阵来表示评估网络中各安全相似域间的安全相互影响程度，记为 R。在含有，z 个域的网络中，域安全关联系数矩阵表示如下：1 7 1 2 r2 1 1 r1 r”2 7 1 r2 1 定理一设网络规模为 m，则网络中任两可达评估实体之间距离至多为 m 步。我们以两评估实体沿有向边(不走重复边)到达对方经过的节点个数为步长。证：设节

14、点 1与节点 2之间，z步可达(，z为大于 0 的正整数)。当，z=2时，两节点间最大可达步长为 1，结论成立；假设，l=k(1 k，l 一1)时结论成立，我们以 D i 表示节点 i与节点之间的可达距离，则 Ma x(D i)k一1 当，z=k+1时，若该点与其他 k个节点中的某一结点 L相连，由假设可知原 k个点中任一点至 L 的距离应小于等于愚一1，那么它们到该点的距离应小于等于(走一1)+1=走；所以，当，z=k+1时，结论成立。所以此定理成立。通过以上定义，我们将目标评估网络划分为有限个安全相

15、似域，它们是由有限个相似度大于某个阈值的评估实体组成的集合。评估网络的抽象示意图如下，其中域之间的有向直线为域之间的安全关联，域内存在不同个数的评估实体。安全关联图 3 R S I N RE M 网络描述抽象示意 2 2 该模型下的一种网络风险算法此算法重点考察对网络风险的计算，故不对主机的安全属性进行具体分析。假设已知主机的安全属性数据，当然在计算安全属性时应考虑财产因素。通过分类若评估目标网络共有 m(m 为正整数)个安全相似域，通过计算可得域独立风险值向量(R S

16、 1，R S 2，R S 3，R S )，我们以域风险的算术平均值作为网络的风险值。那么，网络独立风险值 NR I 算式如下：1 三 NR I=土：R S(k)(1)m 面若域安全关联系数矩阵为 R ，r 为矩阵的元素，则域 f 的一阶综合风险值是自身风险和其他域对该域直接关联造成的风险的综合，其算式如下：R ()=R s f+R S j =R S j r J f(2)i 1 i i i 1 由此可得，该网络的一阶域综合风险向量为域独立风险向量同域安全关联系数矩阵的乘积：(RS1，RS 2，RS 3，RS )R(3)一阶网络综合风

17、险值 NRV 为各域一阶综合风险值的算术平均，故求解如下：N R V =R (4)=1 式中 m 为域的个数。由定理一，我们计算网络的风险值时，最多只考虑 m 步安全关联(m 为划分的域的个数)，所以，z 阶网络综合风险值 NR 可如下推导：NR =NR R (5)式中 0 m 3 应用举例设某企业的网络由 9台主机组成，其拓扑如图 4 所示。圈 4 网络拓扑圈维普资讯 http:/ 电孓对 i 姓呻冷 2 0 0 5 年第 2 期设主机的安全属性个数为 3，其取值为 0，1 ，则独立风险值为各安全属性的平方和。各主机的安

18、表 1 全属性见表 1。为计算方便，我们取域隶属度值均为 1。主机 I I)安全属性 1 安全属性 2 财产重要性域隶属度独立风险值 1 0 1 3 0 5 4 0 8 6 1 1 0 4 8 1 2 0 1 5 0 5 3 0 8 8 1 1 0 7 7 8 3 0 1 6 0 5 5 0 8 4 1 1 0 3 3 7 4 0 4 3 0 2 2 0 1 4 1 0 2 5 2 9 5 0 4 2 0 2 1 0 1 6 1 0 2 4 6 1 6 0 2 3 0 6 0 0 5 5 1 0 7 2 5 4 7 0 2 2 0 61 0 5 7 1 0 7 4 5 4 8 0 2

19、 5 0 6 2 0 5 6 1 0 7 6 0 5 9 0 1 3 0 1 0 0 2 1 1 0 0 7 1 据各主机安全属性值，我们利用聚类法对上述数据进行分析，得到四个类：它们分别是 C 1=1，2，3 ，C 2=4，5，C 3=6，7，8 ，C 4：9。由于各域中主机个数较少，我们不再进行抽样，而是将域的全体作为各域的样本，以各样本的风险算术平均值为域的独立风险值，根据表中数据计算各域独立风险值，结果见表 2。表 2 域 C1 C 2 C 3 C A 风险值 1 0 5 3 2 0 2 4 9 5 0 7 4 3 8 0 0 7 1 险值由公式(1)

20、可得网络的静态风险值为域独立风 RS=0 5 29 4 域风险关联系数矩阵 R 如下：0 8 1 3 1 7 0 1 9 8 7 2 0 0 1 5 2 7 4 0 4 6 5 9 9 0 0 0 9 8 6 1 3 0 6 0 3 7 9 0 7 4 6 7 9 0 4 1 8 6 5 0 1 3 8 8 9 0 2 7 2 1 9 0 4 4 5 1 0 8 4 6 2 2 0 2 0 2 7 7 0 1 9 8 8 1 0 9 3 1 8 1 0 5 2 5 1 5 由公式(3)、(4)可求得网络的一阶综合风险值 R=0 8 5 3 7 比较 RI 和 RS可知网

21、络综合风险值较静态风险值有所上升，即在考虑风险的相互影响时，网络的风险级别有所提高。4 结语本文针对主机风险相似性的同时，考虑到安全关联对整个网络风险的影响，通过将目标评估网络划分为若干个安全相似域。建立了 S S D R EM 风险评估模型。与其他模型相比，主要有以下几个优点：(1)灵活性。该模型不拘泥于具体算法的设计，着重于评估总体的架构，可以将多种方法组合使用，为评估的设计与实现提供了灵活的框架。(2)适应性。在网络规模和拓扑变化时，可以通过调整相似域的规模来消除网络变化对评估的影响；另外，在域风险的基础上来计算网络的整体风

22、险值，这不仅减少了计算量，也把握住系统安全风险的特点，具有合理性和可控性。当然，该模型在具体环境下的应用仍有很多问题需要进一步探讨，如相似域的合理划分、域综合风险值的算法、描述语言的完备性等问题。参考文献 1 吴世忠基于风险管理的信息安全保障的研究 D 四川 I 大学。2 0 0 2 2 邢栩嘉，林闯，蒋屹新计算机系统脆弱性评估研究计算机学报，Vo 1 2 7 No 1，J a n 2 0 0 4 3 Ka i Ra n n e n b e r g Re c e n t De v e l o p m e n t i n I n

23、 f o r m a t i o n Te c h n o l o g y S e c u r i t y Ev a l u a t i o n-Th e Ne e d f o r Ev a l u a ti o n Cr i t e r i a f o r mu l t i l a t e r a l Se c u r i t y 维普资讯 http:/ 书讯电；对j 姓 f 冷 6 7 雷达目标特性雷达技术丛书之一“雷达技术丛书”是由中国工程院王小谟院士和张光义院士倡导并担任主编，中国电子科技集团公司支持，电子科学研究院负责组织、实施，电子工业出版社负责出版的一套大型设计

24、性丛书。这套“雷达技术丛书”(以下简称“丛书”)共 1 5册，雷达目标特性、雷达环境与电波传播特性、雷达天线技术、雷达馈线技术、雷达发射机技术、雷达接收机技术、雷达信号处理和数据处理技术、雷达成像技术、雷达结构与工艺(上下册)、监视雷达技术、相控阵雷达技术、机载雷达技术、制导雷达技术、精密跟踪测量雷达技术和超视距雷达技术，是我国雷达界多个单位的知名专家学者集体智慧的结晶，是他们长期实践经验的总结，是一套理论与实践相结合的佳作。这套“丛书”的内容十分丰富，概括地说包括 3个主要方

25、面的内容：一是介绍了影响雷达性能的目标特性和环境特性，包括目标(含隐身目标)的频率特性、散射特性、极化特性和起伏特性，地杂波、海杂波和气象杂波特性，噪声与干扰特性，大气与电离层传播特性等；二是介绍了雷达各分系统的设计，包括面天线与阵列天线、微波网络与微波传输线、固态与电子管发射机、频率源与模数接收机、信号处理与数据处理的基本原理、技术指标、设计方法和性能测试，还介绍了雷达系统与分系统的结构设计与制造工艺，包括微组装与柔性制造工艺，可靠性、可维性、环境适应性设计以及传动、架拆与运输规范的设计等；三是介绍的典型雷达系统的设计

26、，包括各种二坐标与三坐标防空雷达、有源与无源相控阵雷达、机载预警与火控雷达、多普勒与相控阵制导雷达、脉冲与连续波精密跟踪测量雷达、合成孔径与逆合成孔径成像雷达、天波与地波超视距雷达的基本原理、技术体制、战技性能、设计方法和联试与试飞等。这套“丛书”定义准确、原理清晰、语言简练、图文并茂、公式齐全、数据丰富，集设计性、实用性、新颖性于一体，是雷达科技工作者的设计指南，是雷达部队培训的良好教材，是高校电子工程专业及相关专业师生不可多得的教材和参考书。“丛书”之一由黄培康、殷红成、许小剑编著的雷达目标特性已出版

27、，该书以雷达目标作为雷达的被测对象，系统地阐述了雷达目标特征、特性和仿真技术，主要内容包括：雷达散射截面理论基础、各类目标的雷达散射截面、雷达散射截面起伏统计模型、雷达散射截面的减缩、雷达目标噪声、雷达目标极化特性、雷达目标宽度特性、雷达目标仿真。书中给出了在雷达工程设计中常用的大量曲线、图表和数据。本书可作为从事雷达系统、防空体系、微波遥感、电磁场散射和飞行器隐身研究的工程技术人员、高校相关专业的师生的参考书。该书定价 6 7元，需要本书的同志请与我们编辑部联系。h t t p：www i i gUn i f r e i b

28、u r g d e lr a p u b l i e a t i o n s I FI：P 9 6 9 3 0 8 2 8 1 a u f 2 p d f 4 S a mp l e C，e t a 1 Qu a n t i f y i n g Vuln e r a b i l i t i e s I n Th e Ne t wo r k e d En v i r o n me n t：M e t h o d s a n d Us e s TI S C。2 0 0 0 5 冯登国信息安全风险评估标准综述通信学报，Vo 1 2 5 No 7，J u l y 2 0 0 4 6肖道举，杨素

29、娟，周开锋，陈晓苏网络安全评估模型研究华中科技大学学报(自然科学版)vo 1 3 0 No 4，2 0 0 2 7 阿尔伯兹(美)多诺菲(美)著；吴唏译信息安全管理，清华大学出版社，2 0 0 3 作者简介：徐源，男，1 9 7 9年 2月出生，硕士生，甘肃省兰州市人，解放军信息工程大学电子技术学院多媒体技术教研室。主要研究方向为动态场景的漫游与平滑过渡。戴青，男，1 9 6 3年 8月出生，东北辽宁人，解放军信息工程大学电子技术学院多媒体技术教研室，主任、副教授、硕士生导师。郭靓。男，1 9 7 8年 4月出生。硕士生，河南南阳人，解放军信息工程大学训练参谋。维普资讯 http:/

展开阅读全文