基于多木桶模型的信息安全量化评估方案

  • 格式:pdf
  • 大小:466.08 KB
  • 文档页数:5

第28卷第5期 2011年5月 计算机应用研究 Application Research of Computers Vol|28 No.5 Mav 2011 

基于多木桶模型的信息安全量化评估方案 

巫建文 ,王涛 ,徐凌魁 ,黎春武 

(1.广东省交通档案信息管理中心,广州510101;2.华南师范大学计算机学院,广州510631) 

摘要:提出基于木桶模型的信息安全评估方案;用特定计算实现木桶效应,再考虑现实安全系统的逻辑结构 

对信息评估方案设计的影响,提出并实现了基于多木桶模型的信息评估方案和公式体系。经实例数据分析验 

证,所获得的评估方案更符合现实情况、能更准确地反映安全水平。 关键词:信息安全;安全评估;量化评估;木桶理论 

中图分类号:TP309 文献标志码:A 文章编号:1001—3695(2011)05—1914—04 doi:10.3969/i.issn.1001—3695.2011.05.091 

Assessment method of information security based on multiple cask model 

WU Jian—wen ,WANG Tao ,XU Ling—kui ,LI Chun—wn (1. Archive&Information Management Center of Guangdong Provincial 7№ c Administration Bureau,Guangzhou 510101,China; 2.School ofComputer,South China Normal University,Guangzhou 510631,China) 

Abstract:This paper proposed a new quantity assessment method for information security based on multiple cask model,which considered and implemented the inflection of security system’S logic structure to the assessment method and formula.The as- sessment method proposed is more according to the real situation and reflect the security level more correctly. Key words:information security;security assessment;quantity assessment;cask effect 

信息网络安全量化评估方法对有效监控信息安全水平并 

进行及时响应有重要意义。现有的信息网络安全量化评估方 案,包括基于贝叶斯网络推理的 。 、基于层次分析法 J、基 

于DS证据理论 ’ 的不同方案,近年还出现了基于隐式马尔 可夫模型的评估方案 J。基于层次分析、基于贝叶斯网络推 

理、基于DS证据理论的方案,是采用判定影响因素得分、影响 

因素权重来计算影响目标的得分,经过逐次计算推导,算出最 

终评估结果。基于隐式马尔可夫模型的量化评估方案,其计算 

方法也是采用类似加权求和进行计算。 

这些现有信息安全评估方案,多数根据相对简单的因果传 

递关系而设计,未体现信息安全领域的一些基本原则,未体现 出信息网络安全系统的内部结构关系,所设计出来的计算方 

案,在计算模型和计算式中无法反映现实世界的具体情况,在 

应用中存在一定的偏差。因此,本文提出更接近现实情况的信 

息安全评估计算模型,并以此为基础设计实现对应的计算公式 体系。 

1 基于木桶模型的信息安全评估方法 

木桶理论是信息安全的一个重要原则 ,它描述了整体 

信息安全水平不是由保护最完善的方面决定,而主要受到保护 方面最薄弱的环节所影响。 

木桶效应,实际是多因素相互影响的结果,这种互相影响 

的效应,在简单的加权累加公式中是难以准确描述的。这导致 所设计出来的信息安全评估方案与实际情况和客观规律不符 

合。而根据计算多因素汇总评价的不同计算式特点 ,本文 

提出用以下公式实现木桶效应: fr=[min( )×兀 。] ×∑(Wi× )/(∑Wi) (1) 

: × 筹 

其中: 为安全评估总分; 为各单项评估分; 为各单项权 

重;n为进行连乘的数目个数。 公式结构为:前半部分基本为几何平均值,但增加了一项 

rain( ),以便更突出最低值的影响;后半部分为加权算术平均 

值。由于几何平均值可以更好地反映极小值的影响” ,再加 

上min( )的作用,可以用数学公式实现木桶效应。 

虽然木桶模型及上述计算公式可更好地说明信息安全系 

统各方面保障措施对系统安全水平的影响,但这还不足以描述 

一个现实的、复杂的安全系统的安全评估结果影响因素。因 

此,本文进一步提出了多木桶模型及相应的计算公式。 

2 基于多木桶模型的安全评估方案 

2.1多木桶模型 

木桶效应可说明各个局部或单项与整个系统的相关性,但 

简单木桶模型有两个缺陷:a)假设各个方面在整个系统中的 

地位和逻辑结构相同;b)每个组成方面的内部是均一的。 

简单木桶模型,并不能完整地反映各个安全类别对系统总 

收稿日期:2010—09—26;修回日期:2010—11—16 基金项目:广东省自然科学基金资助项目(06300905);广东科技计划资助项目 (2007B010200069,2009B090300326) 作者简介:巫建文(1963 ),男,广东龙川人,主任,教授级高工,硕士,主要研究方向为信息应用体系规划、管理与安全;王涛(1975一),男,广西 合浦人,系主任,副教授,博士,主要研究方向为信息安全、安全协议设计与分析方法(filion@tom.coit1);徐凌魁(1970.),男,河北邯郸人,高工,琐 士,主要研究方向为信息系统管理与安全;黎春武(1979一),男,广东化州人,高工,硕士,主要研究方向为信息系统管理与安全.

 第5期 巫建文,等:基于多木桶模型的信息安全量化评估方案 ・l915・ 

体安全的贡献和影响。因为一个安全系统的结构并不是一个 

简单的木桶结构;一个安全系统包括了多个组成部分,它们在 系统中有一定的逻辑结构,各个安全组成部分内部又有相互影 

响、相互作用的木桶效果,而并不是均一地、等效地影响系统安 

全水平。 

在实际的安全应用中,物理安全、边界安全、网络安全、主 机安全、应用安全、数据安全、安全管理七个方面,在整个安全 

系统中的结构位置、防范先后等,都有所不同。因此,这几个方 

面的桶片对整个木桶——安全系统的整体安全水平的影响,必 

然有复杂的逻辑关系。这种逻辑关系是与安全系统的逻辑结 

构相关的。例如,外来威胁是先通过边界安全保障系统,才得 到入侵网络、主机、应用系统的机会;因此,边界安全在整个系 

统安全保护的防线中应该是第一层的,如果边界安全做得好, 那么整体安全水平受外来威胁的可能就小,即使内部安全(主 

机安全、应用安全、数据安全)保护措施相对较差,整体系统的 

安全评估结果都不会太差;而如果边界安全和网络安全做得不 好,内部系统直接面对外来威胁的攻击,那么即使内部安全保 

护水平跟刚才是一样的,整体安全水平也将大幅下降。因此笔 

者认为,应根据网络和系统的逻辑拓扑结构,设计一个多层次、 

多部件的多木桶模型及相应的安全水平评判式,更准确、更科 

学地判断一个系统的安全水平。 

2.2 基于多木桶结构的安全评估模型 

在本评价体系方案中,按照信息安全保护体系的国家标 

准,将一个系统内的安全范畴分为物理安全、边界安全、网络安 

全、主机安全、应用安全、数据安全、安全管理七个方面,对每个 

安全类别分别进行评分,并根据七个安全类别的得分进行综 

合,从而获得对系统整体的安全评估结果。信息安全检查逻辑 

结构如图1所示。 

攻击 萼荤 卜— 络安 享全措 例禧磊芏 

坚 f. 系统外部 Il囱叠堕 —一 ,一 安全管理’ 

/主机安全 

/业务系统 堂 /数据安全 \ 堕 系统内部 图1信息安全逻辑结构 

1)边界安全是防范外来威胁、实现安全保障的第一层, 

是保障内部安全的重要屏障。因此,对整体系统安全有重要 

影响。 2)网络安全是外来威胁攻击的系统安全的第二关,攻 

击和威胁通过网络安全防范体系,才能对主机、应用系统和数 

据进行攻击。 3)主机安全、应用安全、数据安全 这三个安全类别是一 

个统一的、难以分割的安全域。在这个域中,各主机、主机上运 

行使用的应用系统、主机上存储的应用系统关键数据等是一个 紧密联系、互相影响的体系。因此,这里把主机安全、应用安 

全、数据安全作为一个整体来考虑其安全评价,它们三者通过 

简单木桶模型来进行总体安全评价。 

4)物理安全、安全管理这两个安全类别对上述各安全 

类别均有作用。假设它们对其他各个方面的影响是均等的。 

上述系统安全结构可以用一个蛋壳结构来描述外部威胁 从外到内的影晌过程。 

信息安全保护体系的抽象逻辑结构如图2所示。 

图2信息安全保护体系的抽象逻辑结构 

同时,在每一个安全类别内部(如边界安全、网络安全类 

别),又是一个符合(简单)木桶结构的评价子域。例如,边界安 全保障体系由一系列的防火墙、网闸等个体设备组成,那么这个 

体系中最薄弱的设备就会影响整个边界安全的保障水平,即在 

边界安全类别的安全水平评估上符合(简单)木桶理论。因此, 讨论一个安全类别(如边界安全、网络)的安全水平,均需讨论 

这个方面的各个组成部分、各个单个部件设备对这个安全类别 

的影响,用简单木桶理论对这个方面中各个单个部件的得分进 

行汇总。这就在每个方面内部(边界安全、或网络安全、或主机 

安全等),形成了多个小木桶,它是由多个部分或设备组成的小 

整体,其中的最薄弱环节影响这个小木桶的总体安全评价;这多 

个小木桶又组成了整个安全系统这一个更大的木桶——形成了 

所谓的多木桶结构模型。该结构模型如图3所示。 

安全管理 物理安全 图3 信息安全保护体系的抽象逻辑结构——多木桶模型 

2.3相应的评估算法 

评估结果合成方法,是将各个分类的评估得分最终通过一 系列的计算、算出最终评估结果分值的方法。因此,它也是汇 

总评价体系中的核心部分。 按照上述计算模型,计算式分为两个层次:a)一个安全类 

别由多个安全设备组成,该方面的得分由多个安全相关设备的 

得分汇总获得,这个层次,用简单木桶模型相应公式来进行汇 

总;b)系统由多个安全类别组成(边界安全、网络安全等),一 

个系统的安全评估结果,由多个安全类别的评估得分按多木桶 

模型计算式进行汇总。 简单木桶模型计算公式按式(1)计算;基于多木桶模型的 

计算相应公式定义如下: 

设物理安全、边界安全、网络安全、主机安全、应用安全、数 据安全、安全管理七个方面的安全评判得分分别为 、 、 、 

、 、 、 ,则最终整个系统的评判得分为 

r=Sl+S2+S3=[ B×W + Ⅳ×WN+ B× × 

丁 ×∑(Wi)× l+ + × 尸+W × +w X P (2) 

其中: 为各个安全类别的权重,且满足∑ =1。在上述公