（模式识别与智能系统专业论文）网络通信系统的风险分析与评估.pdf

四川大学硕士学位论文 网络通信系统的风险分析与评估 模式识别与智能控制专业 研究生- g 龙指导教师王祯学 随着计算机技术、网络通信技术和模式识别技术的发展，自动化信息处理 能力和水平的不断提高，现代社会已进入信息时代，智能化技术已经深入到社 会的各个领域。 对于网络通信系统来说，普遍存在着潜在的风险，随着网络系统的逐渐普 及，一旦发生灾害性事件，对社会和国家都将产生强烈的影响。如何有效防止 灾害性事件的发生，增强其运行安全性，同时合理地利用资源获取最大的社会 和经济效益，这是我们所面临的重大课题。在这种情况下，针对网络通信系统， 通过对各种研究方法的分析比较，本文提出了基于智能化分析控制方法和网络 通信技术的风险分析和评估方案。该方案主要通过讨论网络通信系统及其风险 的特性，根据风险的时间和空间分布规律，以“风险”为整个网络通信系统安 全模型的评估和分析对象，确立网络通信系统风险分布的量化评估模型，同时， 就不同区域和不同时段的风险通过引入层次分析的一般方法来确定它们的权 重系数，最后，通过模糊综合评判法则对系统中模糊不确定性因素进行数学化 的抽象，建立一个反映其本质特征和动态过程的理想化的数学评估模型。 本文第一章主要介绍了该课题的目的、意义、应用前景以及当前国内外发 展的状况；第二章详细讨论了基于计算机网络通信的信息系统以及其风险；第 三章讨论了网络通信系统风险分布的时空特性；第四章通过引入层次分析法， 讨论了如何确定网络通信系统风险中各个风险因素相对于上层因素的权重系 数；第五章在层次分析法的基础之上，引入模糊综合评判的方法，建立了一个 针对网络通信系统风险的多级模糊综合评估模型。 关键词：网络通信系统层次分析模糊综合评判风险谱 四j i i 大学硕士学位论文 r i s k a n a l y s i sa n de v a l u a t i o no f n e t w o r k c o m m u n i c a t i o n s y s t e m m a j o r ：p a t t e mi d e n t i f i c a t i o na n di n t e l l i g e n tc o n t r o l p o s t g r a d u a t e ：x i a ol o n gs u p e r v i s o r ：w a n gz h e n x u e a st h e d e v e l o p m e n to fc o m p u t e rs c i e n c e ，n e t w o r kc o m m u n i c a t i o na n dt h e t e c h n o l o g y o ft h e p a r e mi d e n t i f i c a t i o n ，t h ea b i l i t y a n dl e v e lt h a td e a lw i t h i n f o r m a t i o na u t o m a t i c a l l yh a v eb e e ni m p r o v e dg r a d u a l l y n o ws o c i e t yh a ss t e p p e d i n t oi n f ot i m e a n dt h ei n t e l l i g e n t i z e dt e c h n o l o g yh a sb e e nd e e pi n t ov a r i o u sf i e l d s t h e r ea r ee x i tv a r i o u sp o t e n t i a lr i s k se v e r y w h e r ei nn e t w o r kc o m m u n i c a t i o n s y s t e m f o rn e t w o r kc o m m u n i c a t i o ns y s t e mh a sb e e np o p u l a r , i tw i l lc a u s ev i o l e n t i m p a c tt os o c i e t ya n dc o u n t r yo n c et h ed i s a s t e rh a sh a p p e n e d h o wt oa v o i dt h e d i s a s t e rh a sh a p p e n e de f f i c i e n t l yt os t r e n g t h e ns e c u r i t ya n dh o wt ot a k ea d v a n t a g e o fr e s o u r c et og e tt h em a x i m a ls o c i a la n de c o n o m i c a lb e n e f i t ? i t st h eg r e a tp r o b l e m t h a tw em u s tf a c e i nt h es i t u a t i o n ，t h i sp a p e rb r o u g h tu pt h er i s k a n a l y s i sa n d e v a l u a t i o nm e t h o do nt h eb a s i so f i n t e l l i g e n tc o n t r o la n dn e t w o r kc o m m u n i c a t i o n t e c h n o l o g yf o rn e t w o r kc o m m u n i c a t i o ns y s t e m t h er i s ka n a l y s i sa n de v a l u a t i o n o fn e t w o r kc o m m u n i c a t i o ns y s t e mf i r s t l yd i s c u s s e dt h ec h a r a c t e ro fn e t w o r k c o m m u n i c a t i o na n di t sr i s k a tt h ef o l l o w i n gw ee s t i m a t ear i s ke v a l u a t i o nm o d e l a c c o r d i n gt h ed i s t r i b u t i o no ft h es y s t e m sr i s kb yt i m ea n ds p a c e o t h e r w i s e w e c o m b i n e df u z z yc o m p r e h e n s i v e e v a l u a t i o n ( f c e lw i t i la n a l y t i ch i e r a r c h yp r o c e s s ( a h p ) ，a n d s e t u pt h em u l t i g r a d ef u z z yc o m p r e h e n s i v ee v a l u a t i o nm o d e lf o r n e t w o r kc o m m u n i c a t i o n s y s t e m t h ec h a p t e rii n t r o d u c e dt h ep u r p o s e ，m e a n i n g ；a p p l i c a t i o np r o s p e c ta n dt h e d e v e l o p m e n ts t a t u s a th o m ea n do nt h ea b r o a da b o u tt h i sp r o j e c t t h ec h a p t e ri i 2 四川大学硕士学位论文 d i s c u s s e dt h ei n f o r m a t i o ns y s t e mb a s e do i lc o m d u t e rc o m m u n i c a t i o na n di t sr i s k t h ec h a p t e ri i id i s e u s s e dt h ec h a r a c t e ro ft h ed i s t f i b u t i o no f 也es y s t e m sr i s kb y t i m ea n ds p a c e t h ec h a p t e ri vi n t r o d u c e da h pa n dt a l k e da b o u th o wt oe s t i m a t e t h er e l a t i v ew e i g h tt o e 局c i e n to ft h er i s kf a c t o r s t h ec h a p t e rvi n d u c t e df c eo n t h eb a s i so fa h pa n ds e tu pam u l t i - g r a d ef u z z yc o m p r e h e n s i v ee v a l u a t i o nm o d e l f o rn e t w o r kc o m m u n i c a t i o ns y s t e m k e y w o r d s ：n e t w o r kc o m m u n i c a t i o ns y s t e m ，r i s ks p e c t r u m ，a h rf c e 3 四j i i 大学硕士学位论文 1 1 引言 第一章绪论 随着计算机技术、网络通信技术和模式识别技术的发展，自动化信息处理 能力和水平的不断提高，现代社会已进入信息时代。智能化的分析控制方法在 人们社会活动和生活各个领域得到了广泛的应用。在这种情况下，应用智能化 的分析控制方法到网络通信领域对系统的风险进行分析、评估，最终实现对网 络通信系统的智能化控制已经变得越来越受到人们的重视1 1 7 】。 对于网络通信系统来说，潜在的危险是普遍存在的，信息系统组件本身固 有的脆弱性和缺陷都是系统不安全的直接来源，同时，在信息系统运行过程中， 威胁与攻击也是普遍存在的，内部的操作不当，管理不严造成系统安全管理失 控，以及来自外部的威胁和犯罪等等都是导致攻击和威胁的原因。随着网络系 统的逐渐普及，一旦这些灾害性、危险性事件发生，对社会和国家都将造成巨 大的损失，产生强烈的影响。如何有效防止灾害性、危险性事件的发生，增强 网络通信系统运行的安全性，同时合理地利用现有资源获取最大的社会和经济 效益，这是我们所面临的重大课题。 但在当今大规模的信息网络环境下，无论采取多么完善的信息安全手段， 风险也总是存在。因而适宜的方法是在整个网络通信过程中应用智能化的方法 进行风险管理。通过应用智能化的分析控制方法将风险发生的可能性及其产生 后果的严重程度控制在可接受的范围内，在经济与社会效益、风险与费用中寻 求达到风险最小、效益最大的目标。这种体现对网络通信系统安全性的动态管 理，其核心就是风险评估，其理论基础则是网络通信技术和智能化的分析控制 方法。 1 2 国内外发展现状与趋势 由于信息安全技术及其体系结构的研究以及信息安全产业的发展滞后于信 6 四川大学硕士学位论文 息技术应用和产业的发展，而对网络通信系统风险分析和评估方面所做的研究 工作甚少，到目前为止，国内尚未见到关于完整、系统的风险分析和建模方法 的研究报道。 国外在信息安全方面做了大量的研究，在风险的辨识、量化以及风险模型 的建立上都有较深入的研究。国际标准化组织提出的标准草案i s o 1 e c17 7 9 9 ， 对于安全风险的定性分析提出了很好的建议，从资产、人员、设备、环境、管 理程序、访问控制等方面对安全风险的有效控制和管理提出了较为详细的可选 择实施方案。i s o i e c1 7 7 9 9 作为安全风险的定性管理模型，已受到国际上的 广泛关注”。 目前国内外研究信息安全风险模型主要有两种方法，一种方法是基于还原 论，即找出构成网络通信系统的相关元素及其可能存在的风险点，通过对构成 系统各要素的风险分析来评价整个系统的安全风险：另一种方法是将网络通信 系统作为一个复杂巨系统，从整体上分析系统构成要素的行为特征和与时空有 关的安全风险分布及其变化，建立一个基于系统的风险分析评估模型。显然， 基于系统元素分析网络通信系统的安全风险，容易导致过分关注局部问题，忽 略了系统整体上的行为表现和要素之间复杂的相互关系和动态特性，但是完全 将网络通信系统作为一个整体进行风险分析，将遇到模糊不清和难于量化分析 的数学问题。 1 3 研究方法及意义 通过各种研究方法的分析比较，我们认为在建立网络通信系统风险分析和 评估模型时，既要关注组成系统的相关要素各自存在的风险因素，找出风险点 的时间和空间分布规律、导致风险发生的主体、风险的诱发原因和风险产生的 可能性，更要关注组成系统各要素之间复杂的相互关系和影响，关注整个系统 作为一个整体所表现出来的行为特征和时变特性。目前，国内外在建立综合的、 既能定性、又能定量地分析网络通信系统风险的评估模型，并将风险分析方法 运用于实际的网络通信系统，建立评估模型并进行仿真验证方面还少有成果。 四川大学硕士学位论文 因此根据我国的国情，为我国的网络通信系统建立风险评估模型具有重大的理 论和实践价值。 1 4 技术难点 ( 1 ) 风险的辨识。对信息系统进行风险分析评估时，必须了解、判明存在 哪些影响信息系统安全的风险因素。而众多的风险因素，对系统的影响程度各 异，其产生后果的严重程度也各不相同，完全考虑每个因素会使问题复杂化。 因此风险辨识不是为了找出影响系统安全的所有风险，而是揭示出引起风险的 主要因素。 ( 2 ) 风险因数变化范围的鉴定。风险因素总是存在于一定的范围内，如果 对风险因素的概括超出了其变化的范围，就有可能推导出不可能出现的结果。 相反，一旦我们考虑的变化范围小于风险因素实际的变化范围，就有可能遗漏 对风险情况的估计。由此可见，辨识过程中对风险因素变化范围的估计是非常 必要的。 ( 3 ) 风险因素之间的相互关联。在进行风险估计时，我们还必须注意到各 风险因素之间有可能还存在着相互影响，为了使分析运算工作更快而有效，部 分影响我们是可以忽略的，但完全忽略各风险因素之间的关联影响有可能得出 错误的风险分析，从而导致错误的结论，因而对关联影响的辨识也是不可避免 的。 ( 4 ) 风险权重系数的确定。对某一信息系统，不同的因素造成的风险程度 不一样，而对于不同的信息系统对各种风险的重视程度也不同，因而对不同的 影响因素必须赋予不同的权重系数，使风险分析既具有较强的理论依据，又体 现决策者的主观重视程度。 ( 5 ) 风险的量测。风险就是发生不幸事件的概率，或者说风险就是一个事 件产生我们所不希望的结果的可能性，风险分析实际上也就是概率分析。因而 对给出的系统风险必须进行量化，给出危险发生的概率以及其后果的性质和概 率。 ( 6 ) 风险评估指标的确定。风险分析的结果最终必须根据一定的规则定性 四川大学硕士学位论文 的表示出来，据此我们才能选择适当的控制方法或安全策略将风险降低到我们 可接受的范围。 ( 7 ) 对特定信息系统的计算机仿真。运用已建立的评估模型对特定的信息 系统就某一部分安全问题运用己建立的风险评估模型对系统的安全风险进行 仿真评估，通过实践鉴定模型的可行性。 1 5 关键技术 ( 1 ) 以“风险”为整个网络通信系统安全模型的评估和分析对象，建立风 险指标的量化方法； ( 2 ) 将网络信息系统分解为具有某种关联的若干从信源到信宿整个流程中 的区域和点，并将系统总的风险值分配到各个区域和点上，以此作为风险自适 应控制的参考值； ( 3 ) 根据风险的不确定性( 动态性和关联性) ，构建系统的模糊综合评判 规则； ( 4 ) 由风险的时空分布，确定各层次风险在不同时刻( 段) 的权重系数； ( 5 ) 建立具有规划、决策功能的层次化多级模糊控制风险分析模型。 1 6 论文新意及作者的体会 通过对风险分析和网络通信系统特点的深入研究，成功地将风险分析的一 般方法引入到了网络通信领域，提出了一些新的实现方案。对工作的完成情况 及新意之处归纳总结如下： ( 1 ) 在风险区域( 点) 的划分上，根据风险在网络通信系统中的时空分布 及其相互之间的影响，将风险存在区域划分为人机界面、局域网系统、网络边 界、公共网区域、网络边界、局域网系统、人机界面和运行环境等，共8 个部 分；对每一部分，又进一步细分为m 个风险区域和更底层的n 个风险源，实现 了网络通信系统风险区域( 点) 的层次划分： 9 四川大学硕士学位论文 ( 2 ) 在对风险的量化上，沿用风险的传统定义，即风险为事件发生的概率 及其造成的可能损失的函数，将风险函数定义为： r = ( 风险事件发生的概率测度，风险造成损失的概率测度) = 1 一风险事件未发生概率风险事件未造成损失的概率测度 = 1 一p + c 。= 1 一( 1 一p ，) ( 1 一o ，) = p r + c ，一p ，c ， ( 1 1 ) ( 3 ) 在估算风险事件发生概率时，主要从威胁性、脆弱性以及产生影响的 可能性三个方面进行分析，在分析每一方面的概率测度时，又做了更进一步的 细分，为风险的决策、控制建立了一个递阶层次结构图；在估算风险事件发生 后果的影响程度上，则主要从资产的直接和间接影响、能力的影响以及系统恢 复费用三方面进行分析； ( 4 ) 在确定系统中各层次风险指标的重视程度上，通过引用层次分析法， 制定了风险指标之间比较的度量标尺、评判规则，确定了每一层指标相对于上 一层的权重，同时也确定了检验所得到的判断矩阵的一致性的方法； ( j ) 根据网络通信系统风险的不确定性特点，引入模糊综合评判的方法， 制定多级模糊综合评判规则( 包含对不同层次风险指标的分析和评估、以及对 整个系统的模糊综合评判) ，构建了一个分层递阶的多级模糊决策模型。 还有待进一步研究的地方： 1 系统风险域的划分； 2 系统风险要素之间的关联影响； 3 系统风险量化评估算法的优化； 4 构建个具有反馈控制的自适应风险控制系统； 5 对某特定网络通信系统风险的计算机仿真。 1 7 论文的组织结构 ( 1 ) 第一章主要介绍了目前国内外对网络通信系统风险分析的研究状况和 需求，说明了本文研究的必要性和重要性，并详细介绍了在该领域中的技术难 1 0 趣删丈学硕士学垃论文 熹帮荧键慈技本，篱萃扼要豹阐述了已完成豹工佟馕凝霸有待遽一多辑究豹逮 方。 ( 2 ) 第二章对基于计算机网络通信的信息髹统进行般性的讨论。对网络 通信系统做了一般性描述，间时定义了网络通信系统的风险，详细攒述了在系 统风险巾系统自身蕊弱性秘慰系统戆威胁性豹务个方嚣。 ( 3 ) 第三章校蠢绩意瓣处理滚程，讨论了弱终逶痞系统菇陵戆分蠢空蠢， 同时指出在评估该风险的闻时还应注意实时憔。采用局部与整体栩结台的办 法，将系统风险分布的空间分为若干个区域，按时间段对系统各构成区域存在 的风险滋行评估，最后再从熬体上对各区域风险进行比较评估。 ( 4 ) 第四章通过引入鼷次分析法，讨论了如俺确定网络通信系统风蹬中各 个疑羧戮豢稳怼子土凄因素瓣投重系数。在嚣i 羧瓣耋纯主，透过蘩二拳对系统 风险的筑义。推导出了风除瓣袭示函数，避一步逡用层次化的分析方法得出了 系统风险各层次中每个因素的权重系数，为风黢的度量和评估提供了理论依据 和方法参考。 ( 5 ) 第五章在层次分柝法的基础之上，引入模糊综合评判的方法，实现层 次分爨法鸟模糊综会评判豹蠢凝缝合，秀瓣终邋嫠系统建立了一个多缀摸襁综 合评镱横塑。 四川大学硕士学位论文 第二章网络通信系统及其安全风险 2 1 网络通信系统 在讨论网络通信系统之前，首先对基于计算机网络通信的信息系统进行 般性的讨论。网络通信是计算机信息系统的重要构成部分，研究网络通信系统 的安全方法必须了解信息系统安全的一般性问题及其在网络通信系统上的特 定形式。 2 1 1 信息系统的一般描述 1 ) 系统的概念 通常，系统被认为是一个整体，它是由若干个具有独立功能的元素组成， 这些元素之间相互联系、相互制约，共同完成系统的总目标。 美国国家标准协会( a n s i ) 对系统的定义是：各种方法、过程或技术结合 到一块，按一定的规律相互作用，以构成一个有机的整体。 国际标准化组织技术委员会( i s o t c ) 对系统的定义是：能完成一组特定功 能的、由人、机器以及各种方法构成的有机集合体。 个大的系统往往是复杂的，通常可按其复杂程度分解成系列小的系统， 这些小系统叫做包含它的大系统的予( 分) 系统。也就是这些子( 分) 系统有 机地组成了大的系统。 ( 2 ) 信息的概念 与最基本的概念“系统”一样，信息也是一个正在不断发展和变化的概念， 并且已其不断扩展的内涵和外延，渗透到人类社会和科学技术的众多领域，且 与材料、能源一起，被列为现代社会和科技发展的三大支柱。信息的增长速度 和利用程度，已成为现代社会文明和科学进步的重要标志之一。 什么是信息? 有人认为，信息就是消息，是具有新内容、新知识的消息。 关于信息有两点是应明确的： 四川大学硕士学位论文 信息在客观上是反映某一客观事物的现实情况的： 信息在主观上是可接受的、利用的，并指导我们的行动。 信息( i n f o r m a t i o n ) 与数据( d a t a ) 是信息系统最基本的术语。数据是指 记载下来的事实，是客观实体属性的值。信息系统工程中对信息的理解是： 信息是表现事物特征的一种普遍形式： 信息是数据加工的结果： 信息是数据的含义，数据是信息的载体； 信息是帮助人们做出决策的知识： 信息是实体、属性、值所构成的三元组。 著名科学家维纳曾经说过：“信息是信息，不是物质，也不是能量。”“信息 是人们在适应外部世界并且使这种反作用于外部世界的过程中，同世界进行交 换内容的名称”。 ( 3 ) 信息系统的概念 大英百科全书把“信息系统”解释为：有目的、和谐地处理信息的主 要工具是信息系统，它对所有形态( 原始数据、已分析的数据、知识和专家经 验) 和所有形式( 文字、视频和声音) 的信息进行收集、组织、存储、处理和 显示。从概念上讲，信息系统在计算机问世之前业已存在。但作为用计算机处 理信息的人一机系统的信息系统，直到近半个世纪才得到了迅猛发展，并先 后经历了以下几个发展阶段：电子数据处理系统、管理信息系统、决策支持系 统、办公自动化系统和多媒体信息系统。 作为一种特殊的系统，信息系统也具有系统的般特征： ( 1 ) 目的性 我们建立一个系统，就是为某目标服务的，每个系统都有其要达到的目 的和应完成的任务或功能。 系统的目的决定着系统的基本作用和功能，而系统的功能通过一系列子系 统的功能来体现，这些子系统的目标之间往往相互有矛盾，其解决的方法是在 矛盾的子目标之间寻求平衡和折衷，以求达到总目标的最优。 ( 2 ) 系统要素 每个系统都由各种可以相互区别的具有不同属性的元素织成。在考虑一个 系统时，必须联系到组成系统各要素的状态。 四川大学硕士学位论文 ( 3 ) 相关性 系统的组成要素是相互依存又相互制约的，子系统之间也是如此。组成系 统各要素之间的相互作用和约束一定要合理、协调和容易控制。因此在划分 子系统时，既要有适当的相对独立性，降低相关性，又不能分得过细。 ( 4 ) 结构层次性 系统可分为一些列的子系统，这种子系统是系统目标的分解和系统功能、 任务的分解。而各子系统又可分解为更低一层的子系统。 ( 5 ) 整体性 评价一个系统不要只从系统的单独部分，即系统的要素或子系统来评价， 而要从整个系统出发，从总目标、总要求出发进行评价。只有当系统的各个组 成部分和它们之间的联系服从系统的整体目标和要求、服从系统的整体功能并 协调运行时，才能使系统成为一个有机的整体，发挥系统的“最优”功能。换 句话说，系统的概念是一个“全局”的概念。 ( 6 ) 环境适应性 一个系统本身总是从属于更大的系统，它是这个大系统的一个子系统。任 何系统都存在于一定的环境中，环境可以理解为各系统的补集。系统要发挥它 应当的作用，达到应有的目标，系统自身一定要适应环境的要求。 信息系统是对信息进行采集、处理、存储、管理、检索和传输，需要时能 向有关人员提供有用信息的系统。这个定义概括了信息系统的基本功能。 ( 1 ) 信息采集 信息系统首先具备的功能是：把分布在各部门、各处、各点的有关信息收 集起来，并将代表信息的数据按一定格式转化成信息系统所需形式。 ( 2 ) 信息处理 对进入信息系统的数据进行加工处理。信息处理的数学含义是：排序、分 类、归并、查询、统计、预测、模拟以及进行各种数学计算。 ( 3 ) 信息存储 数据被采集进入系统之后，经过加工处理，形成对管理有用的信息，然后 由信息系统负责对这些信息进行存储保管。当组织相当庞大时，需存储的信息 量是很大的，这就得依靠先进的海量存储及其管理技术。 ( 4 ) 信息管理 四川大学硕士学位论文 一个系统中要处理和存储的数据量很大，盲目采集和存储，将成为数据垃 圾箱。因此需对其加强管理。信息管理的主要内容是：规定应采集数据的种类、 名称、代码等，规定应存储数据的存储介质、逻辑组织方式等。 ( 5 ) 信息检索 存储在各种介质上的庞大数据要让使用者便于查询。 ( 6 ) 信息传输 从采集点采集到的数据要传送处理中心，经加工处理后的信息要送到使用 者手中或管理者指定的地点，各类用户要使用存储在中心的信息等，这些都涉 及到信息的传输问题，系统规模越大，传输的问题越复杂”“。 2 1 2 网络通信系统的描述 随着生产的复杂化、规模化，计算机在信息系统中的地位越来越突出，信 息系统在实现这些功能的时候必须通过人机的交互、协同完成。这种协同， 主要体现在处于不同地域、从事不同工种的、完成不同功能的计算机之间的资 源共享、相互支配，共同完成信息的处理。为了达到这种协同工作，人们为之 约定了计算机之间相互通信的规范，形成今天的网络通信协议。这些协议极大 地满足了互连互通的功能。但人们在享受这种便利的同时，通信的安全问题也 随之产生。网络通信系统的安全工程作为网络互连的“孪生”工程，正是为了 解决互连中的安全问题。 接下来，我们将分别讨论网络通信系统的o s i 七层参考模型和t c p i p 四 层参考模型。 2 i 2 i 网络通信系统的o s l 七层模型描述 i s o 在1 9 7 7 年成立了一个专门委员会，用于研究网络设备的兼容性问题。 该委员会的研究结果形成了开放系统互连参考模型( o s i ) 。所谓“开放系统互 连”，指来自各种厂商、各种版本的通信软硬设备，能在一种相互的协定和规 则下，实现互连互通。开放系统互连参考模型提供了一个成熟的理论框架，成 四川i 大学硕士学位论文 为了设备互连互通的通用协定和规则”o 4 。 o s i 将组网功能分解为七个功能层，每一层都确定了一级功能。各层之间 通过功能调用相互关联，其中下层为上层提供功能接口，各层的实现相互透明。 这样就可以使设备的兼容性问题在某一个特定的功能层中隐蔽起来，对它的上 层和下层透明。这可以实现双重的目的：既保证信息在系统间实现传输，又允 许某些通信技术和设备有局部的差异。 在分层体系结构中，每一个开放系统都被认为是逻辑上由一组有序的子系 统组成。o s i 将开放系统分为7 个功能子系统，在纵向分层结构中，相邻的子 系统通过它们的公共边界相联系。每一个子系统都包含一些“实体”，处于不 同的开放系统但属于同一层的实体，叫做“同层实体”。如下图可以表示出这 种分层的概念： 开放系统a开放系统b开放系统c开放系统d 鼍高层 ( n + 1 ) 层 ( n ) 层 ( n i ) 层 最低层 用于o s i 的物理媒体 图卜1互操作的开放系统中的分层 在o s i 环境中，同层的实例构成了一个类，通信只在所有层的( n ) 实体 的实例之间进行，各连接也总是针对各特定的( n ) 实体实例而建立。 2 1 2 2t c p i p 互联网络通信模型 t c p i p 四层参考模型的设计借用了分层设计的概念。这种设计的主要目的 6 四川i 大学硕士学位论文 在于功能的分解和方便替换。t c p i p 参考模型包含四个协议层次：网络接口层、 网络层、传输层和应用层。这四层的层次关系如图1 2 所示： 应用层 传输层 网络层 舟户遂程荩塑匿型宦至翌 ， 匈鱼l 上、0 壤体 图卜2t o p i p 参考模型 其中，应用层负责处理特定的应用程序细节。几乎各种基于t c p i p 的系统 都会提供下面这些通用的应用程序： t e l n e t 远程登录： f t p 文件传输协议： s m t p 简单邮件传输协议： s n i p 简单网络管理协议。 传输层主要为蕊台主机上的应用程序提供端到端的通信。该层主要包括两 个协议：t c p 和u d p 。其中t c p 为其提供可靠性的数据通信。u d p 则为应用层提 供一种非常简单的数据包递交服务“。 网络层有时也称为互联网层，它负责处理分组在网络中的活动，例如分组 的路由选择。在t c p i p 中，该层包括i p 协议( 网际拚议) ，i c m p 协议( 因特 网控制报文协议) ，i g m p 协议( 因特网组管理协议) 。 网络接口层有时也称为数据链路层。通常包括操作系统中设备驱动程序和 四j i i 大学硕士学位论文 计算机中对应的网络接1 3 卡。它们一起处理与电缆( 或其它传输媒体) 的物理 接口细节。 2 2 安全风险 所谓风险，即指在达到一个目标或目的( 一个属于技术性能、成本或进度 安排) 要求过程中的不确定性。风险的级别由事件发生的可能性以及事件发生 后的后果( 也包括造成的政治、社会和经济损失量) 来度量”3 。 因此，我们定义网络通信系统的风险为，网络通信系统的风险是事件发生 的概率和该事件造成的可能损失的总和。其中，事件的发生概率主要与系统的 脆弱性( 或漏洞) 、针对通信系统为目标的威胁性以及产生影响的可能性有关。 而对风险事件发生后果的影响程度大小估计，通常从对资产的直接和间接影 响、能力的影响以及系统恢复费用三方面来衡量。 在下面的几节中我们将详细讨论系统的脆弱性和针对系统为目标的威胁 性。 2 2 1 系统脆弱性问题 系统脆弱性和或漏洞是风险产生的客观条件，威胁或攻击是风险产生的主 观条件。从另一个角度看，风险的客体是系统脆弱性和或漏洞，风险的主体 是针对客体的威胁或攻击。可见，当风险的因果或主客体在时空上一致时，风 险就危及或破坏了系统安全，或者说信息系统处于不稳定、不安全状态中。这 种情况正是信息系统安全必须规避的。 随着因特网技术的普及，这个世界形成了一张没有“边界”的信息网络， 信息的传送变得异常的便捷和快速，这对我们人类社会发展来说无疑是一个巨 大的推动力。但是因特网组网技术的开放互连性给人类带来信息资源充分共享 潜在能力的同时，也为外部世界非授权进入你的信息系统、非授权获取、窃取 你的信息资源提供了同等的机会，因此建立一套整体性的风险控制模型和算法 四川大学硕士学位论文 有着非常迫切的需求。 网络通信系统的安全隐患主要来源于： 硬件组件 信息系统硬件组件的安全隐患多来源于设计，这些问题主要表现为物理安 全方面的问题。由于这种问题是固有的，一般除在管理上强化人工弥补措施外， 采用软件程序的方法见效不大。因此在自制硬件和选购硬件时应尽可能减少或 消除这类安全隐患。 软件组件 软件组件的安全隐患来源于设计和软件工程中的问题。软件设计中的疏忽 可能留下安全漏洞；软件设计中不必要的功能冗余以及软件过长过大，不可避 免地存在安全脆弱性；软件设计不按信息系统安全等级要求进行模块化设计， 导致软件的安全等级不能达到应有的安全级别；软件工程实现中造成的软件系 统内部逻辑混乱，导致垃圾软件，这种软件从安全角度看是绝对不可用的。 软件组件可分为操作平台软件、应用平台软件和应用业务软件。这三类软 件以层次结构构成软件组件体系。操作平台软件处于基础层，它维系着系统组 件运行的平台，操作平台软件的任何风险都可能直接危及或被转移到或延伸到 应用平台软件。对信息系统安全所需的操作平台软件的安全等级要求，不得低 于系统安全等级要求，特别是信息系统的安全服务组件的操作系统安全等级必 须至少高于系统安全个等级，因此强烈建议安全服务组件的操作系统不得直 接采用商业级和或普遍实用的操作系统。应用平台软件处于中间层次，它是 在操作平台支撑下运行的支持和管理应用业务的软件。一方面应用平台软件可 能受到来自操作平台软件风险的影响，另一方面，应用平台软件的任何风险可 直接危及或传递给应用业务软件。因此应用平台软件的安全特性至关重要，在 提供自身安全保护的同时，应用平台软件还必须为应用软件提供必要的安全服 务功能。应用业务软件处于顶层，直接与用户或实体打交道。应用业务软件的 任何风险，都直接表现为信息系统的风险，因此其安全功能的完整性以及自身 的安全等级，必须大于系统安全的最小需求。一般来说，外购的商业化应用业 务软件比自制应用业务软件更安全些。 网络和通信协议 在当今的网络通信协议中，局域网和专用网络的通信协议具有相对封闭性， 1 9 四川大学硕士学位论文 因为它不能直接与异构网络连接和通信。这样的“封闭”网络本身基于两个原 因比开放式的因特网的安全特性好，一是网络体系的相对封闭性，降低了从外 部网络或站点直接攻入系统的可能性，但信息的电磁泄露性和基于协议分析的 搭线截获问题仍然存在；二是专用网络自身具有较为完善、成熟的身份鉴别、 访问控制和权限分割等安全机制“。 2 2 2 系统的安全威胁性 所谓威胁，即旨在限制或阻碍某一使命完成，或降低完成使命的能力和有 效性的潜在力量、能力及战略资源的总称。安全威胁是指能潜在引起对系统损 害的任何故意行为或为此而营造的环境。通俗地说，任何行为，如果对组织或 个人拥有的信息造成了已有的或潜在的损害，则称这种行为为安全威胁。 2 2 3 威胁的分类 对网络通信系统的威胁包括： ( a ) 对通信或网络资源的破坏； ( b ) 对信息的滥用、讹用或篡改； ( c ) 信息或网络资源的被窃、删除或丢失； ( d ) 信息的泄露； ( e ) 服务的中断和禁止。 可以将威胁分为偶发性与故意性两类，也可以用主动或被动方式对威胁进 行分类。 ( 1 ) 偶发性威胁 偶发性威胁是指那些不带预谋企图的威胁。偶发性威胁的实例包括系统 故障，操作失误和软件出错。 ( 2 ) 故意性威胁 故意性威胁的范围，可从使用易行的监视工具进行随意的检测，到使用 特别的系统知识进行精心策划的攻击。一种故意的威胁如果实现就可认为是一 2 0 四j i i 大学硕士学位论文 种“攻击”。 ( 3 ) 被动性威胁 被动威胁是指这样一些威胁：它的实现不会导致对系统中所含信息的任 何篡改，而且系统的操作与状态也不受改变。使用消极的搭线窃听办法以观察 在通信线路上传送的信息就是被动威胁的一种实现。 ( 4 ) 主动性威胁 对系统的主动威胁涉及到对系统中所含信息的各种形式篡改，或对系统的状 态或操作的改变。一个非授权的用户不怀好意地改动路由选择表就是主动威胁 的一个例子“。 2 2 4 对网络通信系统的攻击实例 下面简要列举在数据处理与数据通信环境中特别关心的几种攻击。在下列 各条中，出现“授权”这个术语，意指“授予权力”。这个定义包含两层意思： 这里的权力是指进行某种活动的权力( 例如访问数据) ：这样的权力被授予某 个实体、代理人或进程。于是，授权行为就是履行被授予权力( 未被撤消) 的 那些活动。 ( 1 ) 冒充 冒充就是一个实体假装成另一个不同的实体。冒充常与某些别的主动攻击 形式一起使用，特别是消息的重放与篡改。例如，鉴别序列能够被截获，并在 一个有效的鉴别序列发生之后被重放。具有很少特权的实体为了得到额外的特 权可能使用冒充，装扮成具有这些额外特权的实体。 ( 2 ) 重放 当一个消息，或部分消息为了产生非授权的使用效果而被重复时便出现重 放。例如，一个含有鉴别信息的有效消息可能为另一个实体所重放，目的是鉴 别它自己( 把它当作其它实体) 。 ( 3 ) 篡改 当数据传送的内容被改变而未发觉，并导致一种非授权后果时便出现消息 篡改。例如，消息“允许甲读机密文卷账目”被篡改为“允许乙读机密文 卷账目。 四川大学硕士学位论文 ( 4 ) 服务拒绝 当一个实体不能执行它的正当功能，或它的行为妨碍了别的实体执行它们 的正当功能的时候便发生服务拒绝。这种攻击可能是一般性的，比如一个实体 抑制所有的消息，也可能是有具体目标的，例如一个实体抑制所有流向某特 定目的端的消息，如安全审计服务信息。这种攻击可以是对通信业务流的抑制， 也可能制造出试图破坏网络操作的消息。 ( 5 ) 内部攻击 当系统的合法用户以非故意或非授权方式进行动作时便出现内部攻击。多 数已知的计算机犯罪都和使系统安全遭受破坏的内部攻击有密切的关系。能用 来防止内部攻击的保护方法包括： a ) 对工作人员进行仔细审查： b ) 仔细检查硬件、软件、安全策略和系统配置，以便在一定程度上保 证它们运行的正确性( 称为可信功能度) ： c ) 审计跟踪以提高检测出这种攻击的可能性。 ( 6 ) 外部攻击 外部攻击可以使用的方法如： a ) 搭线截听( 主动的与被动的) ； b ) 截获辐射； c ) 冒充为系统的授权用户，或冒充为系统的组成部分； d ) 为鉴别或访问控制机制设置旁路。 ( 7 ) 陷阱门 当系统的实体受到改变致使一个攻击者能对命令，或对预定的事件或事件 序列产生非授权的影响时，其结果就称为陷阱门。例如，口令的有效性可能被 修改，使得除了其正常效力之外也使攻击者的口令生效。 ( 8 ) 特洛伊木马 对系统而言的特洛伊木马，是指它不但具有自己的授权功能，而且还有非 授权功能。一个也向非授权信道拷贝消息的中继就是一个特洛伊木马”。 四川大学硕士学位论文 第三章网络通信系统风险的时空分布 3 1 系统风险的空间分布 对于一个网络通信系统，当信息从发起端a 到达接收端b ，根据信息的处 理流程，风险存在的一般性区域可分为8 部分，从左向右依次为人机界面、局 域网系统、网络边界、公共网区域、网络边界、局域网系统、人机界面和运行 环境，将风险区域依次设为p 1 、p 2 p 7 和p 8 ，对应的风险值分别设为f ( p ，) 、 厂( p ：) 、f ( p ，) 和f ( p 。) ，其中，p 8 为信息系统运行环境风险区域，这是 一个与p l p 7 风险区域相关的风险区域，它分为两部分，一部分是针对p 1 p 7 各个风险点( 区域) 的风险，可设法计算入厂( a ) f ( p ，) 中，另一部分是 运行环境的公共基础设旄的风险，这时的风险值由厂( p 。) 表示。信息处理流程 图，如下图所示： 信息系统运行环境 信息沆向 圈3 1 信息流向图 作为特例，对于不通过公共网( 含某些系统或行业的专用网) 传输的内部 局域网通信系统，这种风险区域可分为人机界面和局域网系统，其风险值分别 设为f ( p ) 、f ( p ：) 和f ( p 。) ；对于利用终端系统进行点到点传输的通信系统， 这种风险区域可分为人机界面、网络边界、公共网区域、网络边界和人机界面， 风险值分别设为f ( p ) 、f ( p 3 ) 、f ( p ) 、f ( p ，) 、f ( p ，) 和f ( p 。) 。 进一步分析表明，各风险区域内还存在m 个风险点或区域，可将其风险值 四川大学硕士学位论文 表示为f ( p 。) 其中i = 1 2 8 ，j = 1 , 2 ，m 。例如，在局域网系统内存在k 个风 险点或区域，风险值f ( p ：) 可进一步表为f ( p ：，) 、厂( p g ：) f ( p ：。) 从而有 f ( p 2 ) 2f ( p 2 一) o f ( p 2 ：) o o f ( p 2 女) 2 f ( p 2 ，) ( 3 一1 ) 在这里符号“o ”并非传统意义下的加法运算符，”而是在风险控制策略下 的加权运算符。为了追溯风险源，再进一步将风险区域内的风险点或区域分解 为更底层的n 个风险点或区域，将其风险值表示为厂( p 。) ，其中i = 1 2 8 ， ，= 1 2 所，k = 1 , 2 ”，从而有 土 f ( p ”) = ，( 岛1 ) o f ( p v 2 ) o o f ( p 叶) = f ( p 叶) ( 3 2 ) 依此类推，可以将风险逐步往下细分。一般来说j 在对风险值的分析计算 中，其风险源追溯到第三级已经足够了。 但是，在风险的罗列划分上，并非越复杂越多越好，而是越有效越好。因 此，我们不能无限制地增大风险表，而应将风险对应表控制在一定的规模，同 时使它反映当前网络通信系统当务之急需要解决的安全问题。为此我们只需要 在风险控制环节中，不断地对系统进行现状风险分析，得到新的风险点。 3 2 风险点的罗列 据此，我们可以罗列出网络通信系统在不同的区域存在的风险点或风险区 域( 见下表) ，由风险表现形式，通过切实可行的风险分析评估方法，得到不 同风险源的风险值，再由逐级风险综合评判，得到各部分区域的风险综合评定 值。更进一步，我们还可以根据风险的综合等级评定标准，由风险综合评定值， 确定网络通信系统运行环境中，不同区域的风险等级，在接下来的两章中将详 细讨论风险的综合评判准则。 表8 1 风险分布裹 风险存在的区域风险表现形式风险值 人机界面击键猜测1 3 令明文泄 f ( p 。) p 1 输入 漏 f ( p 肿) 输出辐射 ，。i i = l 四川大学硕士学位论文 f ( p m ) 接口截获 主机存储明文泄漏取存 局域网主机o s 窃取操作特权配置管 p 2 理 子网边界入侵截获 传输辐射搭线 欺骗 网络边界 接入 越