网络安全评价系统的设计实现

摘　要：本文根据博弈理论和Markov决策过程，研究了Markov博弈理论，并在其基上建立了基于Markov博弈理论的网络风险评估模型，将该评估模型用于安全态势评估与预测子系统中。给出了一个网络信息系统安全测试评估支撑平台，设计了其中的安全态评估与预测子系统的体系结构，并对其中用到的关键技术进行了详细设计，实现了安全态势评估系统。

关键词：网络安全；评价系统；设计；实现

　　一、网络安全态势感知
　　态势感知（Situation Awareness）这一概念源于航天飞行的人因（Human Factors）研究，此后在军事战场、核反应控制、空中交通监管（Air Traffic Control，ATC）以及医疗应急调度等领域被广泛地研究。Endsley在1995年把态势感知（Situation Awareness）定义为感知在一定的时间和空间环境中的元素，包括它们现在的状况和它们未来的发展趋势。Endsleys把态势感知分成3个层次（如图1所示）的信息处理：（1）要素获取：感知和获取环境中的重要线索或元素，这是态势感知最基础的一步；（2）理解：整合感知到的数据和信息，分析其相关性；（3）预测：基于对环境信息的感知和理解，预测未来的发展趋势，这是态势感知中最高层次的要求。

　　图1态势感知的三级模型
　　而网络态势感知则源于空中交通监管（Air Traffic Control，ATC）态势感知（Mogford R H,1997），是一个比较新的概念，并且在这方面开展研究的个人和机构也相对较少。1999年，Tim Bass首次提出了网络态势感知（Cyberspace Situation Awareness）这个概念（Bass T, 2000），并对网络态势感知与ATC态势感知进行了类比，旨在把ATC态势感知的成熟理论和技术借鉴到网络态势感知中去。目前，对网络态势感知还未能给出统一的、全面的定义。IATF网站中提出，所谓的网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。值得注意的是，态势是一种状态，一种趋势，是一个整体和全局的概念，任何单一的情况或状态都不能称之为态势。因此，网络态势感知是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

　　图2网络安全态势感知系统框架
　　基于态势感知的三级模型，谭小彬等（2008）提出了一种网络安全态势感知系统的设计框架，如图2所示。该系统首先通过多传感器采集网络系统的各种信息，然后通过精确的数学模型刻画网络系统的当前的安全态势值及其变化趋势。此外，该系统还给出针对当前状态的网络系统的安全加方案，加固方案指导用户减少威胁和修复脆弱性，从而提高系统的安全态势。此外该系统还给出针对当前状态的网络系统的安全加固方案，加固方案指导用户减少威胁和修复脆弱性，从而提高网络系统的安全态势。
　　二、网络信息系统安全测试评估支撑平台
　　网络信息系统安全测试评估支撑平台由管理控制、资产识别、在线测试、安全事件验证、渗透测试、恶意代码检测、脆弱性检测和安全态势评估与预测等八个子系统组成，如图3所示。各子系统采用松耦合结构，以数据交互作为联系方式，能够独立进行测试或评估。

　　图3支撑平台的组成
　　三、网络安全评估系统的实现
　　网络安全评估系统由六个子系统组成，其中一个管理控制子系统,一个态势评估与预测子系统，其他都是各种测试子系统。由于网络安全评估是本文的重点，所以本章主要介绍态势评估与预测子系统的实现，其他子系统的实现在本文不作介绍。
　　3.1风险评估中的关键技术
　　在风险评估模块中，风险值将采用两种模型计算，分别是矩阵模型和加权模型：
　　（1）矩阵模型。
　　该模型是GB/T 20984《信息安全风险评估规范》中提出的一种模型，采用该模型主要是为了方便以往使用其它风险评估系统的用户，使他们能够很快地习惯本评估系统。矩阵模型主要由三步组成，首先通过安全事件可能性矩阵计算安全事件的可能性，该步以威胁发生的可能性和脆弱性严重程度作为输入，在安全事件可能性矩阵直接查找对应的安全事件的可能性,然后将结果映射到5个等级。
　　 （2）加权模型。
　　基于加权的风险评估模型在总体框架和基本思路上，与GB/T20984所提出的典型风险评估模型一致，不同之处主要在于对安全事件作用在风险评估中的处理，通过引入加权，进而明确渗透测试和安全事件验证在风险评估中的定性和定量分析作用。该模型认为，已发生的安全事件和证明能够发生的安全事件，在风险评估中的作用应该得到加强。其原理如图4所示。

　　图4加权模型
　　3.2态势评估中的关键技术
　　态势评估中采用多层次多角度的网络安全风险评估方法作为设计理念，向用户展现了多个层次、多个角度的态势评估。在角度上体现为专题角度、要素角度和综合角度，通过专题角度，用户可以深入了解威胁、脆弱性和资产的所有信息；通过要素角度，用户可以了解保密性、完整性和可用性这三个安全要素方面的态势情况；通过综合角度用户可以了解系统的综合态势情况。在层次上体现为对威胁、脆弱性和资产的不同层次的划分，通过总体层次，用户可以了解所有威胁、脆弱性和资产的态势情况；通过类型层次，用户可以了解不同威胁类型、脆弱性类型和资产类型的态势情况；通过细微层次，用户可以了解每一个威胁、脆弱性和资产的态势情况。
　　对于态势值的计算，参考了风险值计算的原理，并在此基础上加入了Markov博弈分析，使得态势值的计算更加入微，有关Markov博弈分析的理论在第3章中作了详细介绍。通过Markov博弈分析的理论，可以计算出每一个威胁给系统态势带来的影响，但系统中往往有许多的威胁，所有我们需要对所有的威胁带来的影响做出处理，而不能将他们带来的影响简单地相加，否则2个中等级的威胁对态势的影响将大于一个高等级的威胁对态势的影响，这是不合理的。在本系统中，我们采用了如下公式来对它们进行处理。

　　其中S为系统的总体态势值，为第个威胁造成的态势值，为系统中所有的威胁集合。
　　结语
　　网络系统安全评估是一个年轻的研究课题，特别是其中的网络态势评估，现在才刚刚起步，本文对风险评估和态势评估中的关键技术进行了研究，取得了一定的研究成果，但仍存在一些待完善的工作。网络安全态势评估中，对与安全态势值没有一个统一的标准，普通用户将很难对安全态势值 有一个直观的认识，只能通过多次态势评估的结果比较，了解网络安全态势的走向。在本系统的态势评估中仅对安全态势值作了一个简单的等级映射，该部分还需要进一步完善。
参考文献
.Computers and Security, 1997,16（3）：207-207.

本文链接：http://www.qk112.com/lwfw/jsjlw/xinxianquan/225030.html