网络安全评价系统的设计实现

1、网络安全评价系统的设计实现摘要：本文根据博弈理论和Markov决策过程，研究了 Markov博弈理论，并在 其基上建立了基于 Markov博弈理论的网络风险评估模型，将该评估模型用于安全 态势评估与预测子系统中。给出了一个网络信息系统安全测试评估支撑平台，设计 了其中的安全态评估与预测子系统的体系结构，并对其中用到的关键技术进行了详 细设计，实现了安全态势评估系统。关键词：网络安全；评价系统；设计；实现一、网络安全态势感知态势感知（Situation AwarenesS这一概念源于航天飞行的人因 （Human Factor® 研究，此后在军事战场、核反应控制、空中交通监管（Air T

2、raffic Control，ATC）以 及医疗应急调度等领域被广泛地研究。Endsley在1995年把态势感知（SituationAwarenesS定义为感知在一定的时间和空间环境中的元素，包括它们现在的状况和它们未来的发展趋势。Endsleys把态势感知分成3个层次（如图1所示）的信息处 理：（1）要素获取：感知和获取环境中的重要线索或元素，这是态势感知最基础的 一步；（2）理解：整合感知到的数据和信息，分析其相关性；（3）预测：基于对环境信息的感知和理解，预测未来的发展趋势，这是态势感知中最高层次的要求。熾）丿（r sa）| :如）图1态势感知的三级模型而网络态势感知则源于空中交通监管（

3、Air Traffic Control，ATC）态势感知（Mogford R H,1997），是一个比较新的概念，并且在这方面开展研究的个人和机构 也相对较少。1999年，Tim Bass首次提出了网络态势感知（Cyberspace Situation Awarenes9这个概念（Bass T, 2000,并对网络态势感知与ATC态势感知进行了类 比，旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。目前，对网络态势感知还未能给出统一的、 全面的定义。IATF网站中提出，所谓的网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前 状态和变化趋势。值得注意

4、的是，态势是一种状态，一种趋势，是一个整体和全局 的概念，任何单一的情况或状态都不能称之为态势。因此，网络态势感知是在大规 模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以 及预测未来的发展趋势。衣亍汕H I彳方集啟块Iff图2网络安全态势感知系统框架基于态势感知的三级模型，谭小彬等（2008）提出了一种网络安全态势感知系 统的设计框架，如图2所示。该系统首先通过多传感器采集网络系统的各种信息， 然后通过精确的数学模型刻画网络系统的当前的安全态势值及其变化趋势。此外， 该系统还给出针对当前状态的网络系统的安全加方案，加固方案指导用户减少威胁 和修复脆弱性，从而提高系统的

5、安全态势。此外该系统还给出针对当前状态的网络 系统的安全加固方案，加固方案指导用户减少威胁和修复脆弱性，从而提高网络系 统的安全态势。二、网络信息系统安全测试评估支撑平台网络信息系统安全测试评估支撑平台由管理控制、资产识别、在线测试、安全 事件验证、渗透测试、恶意代码检测、脆弱性检测和安全态势评估与预测等八个子 系统组成，如图3所示。各子系统采用松耦合结构，以数据交互作为联系方式，能 够独立进行测试或评估。图3支撑平台的组成三、网络安全评估系统的实现网络安全评估系统由六个子系统组成，其中一个管理控制子系统，一个态势评估 与预测子系统，其他都是各种测试子系统。由于网络安全评估是本文的重点，所以

6、本章主要介绍态势评估与预测子系统的实现，其他子系统的实现在本文不作介绍。3.1风险评估中的关键技术在风险评估模块中，风险值将采用两种模型计算，分别是矩阵模型和加权模型：（1）矩阵模型。该模型是GB/T 20984信息安全风险评估规范中提出的一种模型，采用该模 型主要是为了方便以往使用其它风险评估系统的用户，使他们能够很快地习惯本评 估系统。矩阵模型主要由三步组成，首先通过安全事件可能性矩阵计算安全事件的 可能性，该步以威胁发生的可能性和脆弱性严重程度作为输入，在安全事件可能性 矩阵直接查找对应的安全事件的可能性，然后将结果映射到5个等级。（2）加权模型。基于加权的风险评估模型在总体框架和基本思

7、路上，与GB/T20984所提出的典型风险评估模型一致，不同之处主要在于对安全事件作用在风险评估中的处理，通 过引入加权，进而明确渗透测试和安全事件验证在风险评估中的定性和定量分析作 用。该模型认为，已发生的安全事件和证明能够发生的安全事件，在风险评估中的 作用应该得到加强。其原理如图 4所示。I威盼能力威胁讥权til资产履婆性 与资产掘与脆弱性值已有安全播施 确认诫妙识别安全事件刃别脆册性识別威胁与脆弱件! 先联矩阵9n *凤险程度 与凤脸伉"图4加权模型风险零级3.2态势评估中的关键技术态势评估中采用多层次多角度的网络安全风险评估方法作为设计理念，向用户 展现了多个层次、多个角度

8、的态势评估。在角度上体现为专题角度、要素角度和综 合角度，通过专题角度，用户可以深入了解威胁、脆弱性和资产的所有信息；通过 要素角度，用户可以了解保密性、完整性和可用性这三个安全要素方面的态势情况； 通过综合角度用户可以了解系统的综合态势情况。在层次上体现为对威胁、脆弱性 和资产的不同层次的划分，通过总体层次，用户可以了解所有威胁、脆弱性和资产 的态势情况；通过类型层次，用户可以了解不同威胁类型、脆弱性类型和资产类型 的态势情况；通过细微层次，用户可以了解每一个威胁、脆弱性和资产的态势情况。对于态势值的计算，参考了风险值计算的原理，并在此基础上加入了Markov博弈分析，使得态势值的计算更加入

9、微，有关 Markov博弈分析的理论在第3章中 作了详细介绍。通过 Markov博弈分析的理论，可以计算出每一个威胁给系统态势 带来的影响，但系统中往往有许多的威胁，所有我们需要对所有的威胁带来的影响 做出处理，而不能将他们带来的影响简单地相加，否则2个中等级的威胁对态势的影响将大于一个高等级的威胁对态势的影响，这是不合理的。在本系统中，我们采 用了如下公式来对它们进行处理。S = lnZ其中S为系统的总体态势值，S为第i个威胁造成的态势值，T为系统中所有的 威胁集合。结语 网络系统安全评估是一个年轻的研究课题，特别是其中的网络态势评估，现在 才刚刚起步，本文对风险评估和态势评估中的关键技术进

10、行了研究，取得了一定的 研究成果，但仍存在一些待完善的工作。网络安全态势评估中，对与安全态势值没 有一个统一的标准，普通用户将很难对安全态势值有一个直观的认识，只能通过多 次态势评估的结果比较，了解网络安全态势的走向。在本系统的态势评估中仅对安 全态势值作了一个简单的等级映射，该部分还需要进一步完善。参考文献1 刘伟，张玉清，冯登国信息系统安全风险模型 -RC模型J.计算机工程与应用，2005, 41（ 7）: 122-124, 148.2 Kayashima M,Nagai Y,Terada M.Network Security for the Broadband EraJ.HitachiReview,2002,51（ 2）: 70-73.3 Price M,Rust C.The Experience of Introducing a Common Criteria Assessment GridAcross an Academic DepartmentJ.Quality in Higher Education,1999,5 （2