網(wǎng)絡(luò)安全評(píng)估指標(biāo)體系研究

帶來的威脅和危害越來越大，需對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行特征分析，得出網(wǎng)病毒的行為模式，以采取相應(yīng)的預(yù)防措施。宏觀網(wǎng)絡(luò)的數(shù)據(jù)流日趨增大，方面都有體現(xiàn)。為了系統(tǒng)效率，只需對(duì)能體現(xiàn)網(wǎng)絡(luò)安全事件發(fā)生程度與危害的隨著信息技術(shù)與網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,信息安全作是信息安全保障體系建設(shè)的重要組成部分。網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn)研究與制信息安全設(shè)備提供了有效的技術(shù)依據(jù),這對(duì)于保證安全設(shè)備的正常運(yùn)行和網(wǎng)絡(luò)近年來，面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形式，網(wǎng)絡(luò)安全技術(shù)成為的主要手段，但隨著安全事件的日益增多，情況下，系統(tǒng)化、自動(dòng)化的網(wǎng)絡(luò)安全管理需求逐漸升溫，其中，如何實(shí)現(xiàn)息融合，如何真實(shí)、準(zhǔn)確的評(píng)估對(duì)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域?qū)W(wǎng)絡(luò)安全評(píng)估主要集中在漏洞的探測(cè)和發(fā)現(xiàn)上，而對(duì)發(fā)現(xiàn)的漏級(jí)別的評(píng)估分析還十分有限，大多采用基于專家經(jīng)驗(yàn)的評(píng)估方法，定性地重性等級(jí)進(jìn)行劃分，其評(píng)估結(jié)果并不隨著時(shí)間、地點(diǎn)的變化而變化，不得安全管理員很難確定到底哪個(gè)漏洞對(duì)系統(tǒng)的危害性比較大，以便采取措施思想都是基于風(fēng)險(xiǎn)的安全理念[4-6]。信息技術(shù)先進(jìn)的國(guó)家,例如美國(guó)、俄羅斯和日本等在信息安全保障評(píng)價(jià)指標(biāo)體系方面已經(jīng)率先開展了研究工作。特別是美國(guó),利用卡梅隆大學(xué)系統(tǒng)安全工程能力成熟度模型SSE-C評(píng)價(jià)的概念和范疇,給出了信息安全保障評(píng)價(jià)的框架。在國(guó)內(nèi),國(guó)家信息中心[9,10]研究了網(wǎng)絡(luò)信息系統(tǒng)的信息安全保障理論和評(píng)價(jià)指標(biāo)指標(biāo)體系[11]。在評(píng)估方面,魏忠[12]提出了從定性到定量的系統(tǒng)性信息安全綜合集成評(píng)估體系;肖道舉等[13]進(jìn)行了網(wǎng)絡(luò)安全評(píng)估模型的研究;黃麗民等[14]提出了網(wǎng)絡(luò)安全擊效果方面取得了一定的成果。有些研究已經(jīng)應(yīng)用到具體的行業(yè)中[16-18]。最近,中國(guó)息系統(tǒng)的安全評(píng)價(jià)雖然存在著多種多樣的具體實(shí)踐方式,但在世界上還沒有形成系和形式化的評(píng)價(jià)理論和方法。評(píng)價(jià)模型基本是基于灰色理論(GrayTheory)或糊層次分析法Fuzzy-AHP,將定性因素與定量參數(shù)結(jié)合上述各種安全評(píng)估思想都是從信息系統(tǒng)安全的某一個(gè)方面出發(fā),如技程、人員等,著重于評(píng)估網(wǎng)絡(luò)系統(tǒng)安全某一方面的實(shí)踐規(guī)范,在操作上主觀隨意性較強(qiáng),其評(píng)估過程主要依靠測(cè)試者的技術(shù)水平和對(duì)網(wǎng)絡(luò)系統(tǒng)的了解程度,缺乏統(tǒng)一的、安全評(píng)估框架,很多評(píng)估準(zhǔn)則和指標(biāo)沒有與被評(píng)價(jià)對(duì)象的實(shí)際運(yùn)行情況和總體指標(biāo)為信息安全保障評(píng)價(jià)指標(biāo),表示信息安全保障整體的安全態(tài)勢(shì)、保障效果集或者統(tǒng)計(jì)得到的數(shù)據(jù)和信息,即為底層的信息安全保障運(yùn)行數(shù)據(jù)?；A(chǔ)指標(biāo)的組c)效果指標(biāo)包括整體安全性、安全運(yùn)行最小要求防火:指機(jī)房?jī)?nèi)安裝有火災(zāi)自動(dòng)報(bào)警系統(tǒng),或有適潔凈度控制:機(jī)房和設(shè)備應(yīng)保持清潔、衛(wèi)生,進(jìn)中心有人值班,出入口安裝防盜安全門,窗戶隨著電子政務(wù)的蓬勃發(fā)展,信息系統(tǒng)評(píng)估領(lǐng)域評(píng)估的需求也越來越多,網(wǎng)絡(luò)終端安全評(píng)估量化指標(biāo)體系將應(yīng)用于電子政務(wù)網(wǎng)絡(luò)體系的基礎(chǔ)上進(jìn)行的終端安全評(píng)估滿足了政府部門的信息安全評(píng)估需求.信息安全個(gè)動(dòng)態(tài)的復(fù)雜過程,它貫穿于信息系統(tǒng)的整個(gè)生命周期.信息安全的威脅可能來自于內(nèi)部管理的思想,對(duì)可能的威脅、脆弱性和需要保護(hù)的信息資產(chǎn)進(jìn)行分析.對(duì)網(wǎng)絡(luò)終端安全進(jìn)指標(biāo)體系,以量化的指標(biāo)多方面、多層次來描述終端的安全狀況,得出客觀的評(píng)估結(jié)果.根據(jù)國(guó)家對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全性的基本要求,在制定網(wǎng)絡(luò)終端安全評(píng)估量化應(yīng)遵循以下原則:依據(jù)國(guó)際、國(guó)內(nèi)信息安全評(píng)估規(guī)范;滿足用戶提出的安全性要求;反映終量化指標(biāo)體系.在文獻(xiàn)[6]提出的網(wǎng)絡(luò)終端安全評(píng)估量化指標(biāo)體系的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)終端安可通過問卷調(diào)查、輔助工具、文檔資料來獲得.端存在的脆弱性和威脅進(jìn)行識(shí)別和分析,得出安全事件發(fā)生的原因、影響因素果.利用層次模糊評(píng)價(jià)法,量化網(wǎng)絡(luò)終端脆弱性和威脅指標(biāo).(3)結(jié)合網(wǎng)絡(luò)終端安全評(píng)估模型計(jì)算出終端狀況、后果的嚴(yán)重性進(jìn)行估計(jì)和評(píng)價(jià).(4)確定高風(fēng)險(xiǎn)區(qū)域,并制定出合理可行的網(wǎng)絡(luò)的最終目的是降低風(fēng)險(xiǎn)和保護(hù)資產(chǎn).資產(chǎn)的價(jià)值不是指資產(chǎn)的影響價(jià)值決定.脆弱性是資產(chǎn)本身存在的,威脅是對(duì)終端直接或間接的攻擊,它可以利用脆弱性對(duì)資產(chǎn)造成損失.在采取相應(yīng)的安全策略控制安全風(fēng)險(xiǎn)時(shí),信息資產(chǎn)響價(jià)值是一個(gè)重要的控制量,通過減少信息資產(chǎn)的潛在影響價(jià)值可以通過降低威脅的方法、彌補(bǔ)系統(tǒng)漏洞的方法來降低安全風(fēng)險(xiǎn).網(wǎng)絡(luò)終端安全狀估主要是識(shí)別和分析資產(chǎn)價(jià)值、威脅及脆弱性.信息資產(chǎn)綜合其保密性(confidentiality)、完整性(integ級(jí)賦予不同的數(shù)值,級(jí)別越高數(shù)值越大.資產(chǎn)的最終賦值A(chǔ)ssets=f(C,I,A),其中f是信息等級(jí),級(jí)別越高數(shù)值越大,資產(chǎn)越重要.網(wǎng)絡(luò)終端安全評(píng)估根據(jù)資產(chǎn)的最終賦值確定其是否為重要資產(chǎn),主要是針對(duì)重要資產(chǎn)進(jìn)行評(píng)估.根據(jù)威脅(T)出現(xiàn)的頻率對(duì)威脅進(jìn)行性的嚴(yán)重程度進(jìn)行賦值.可以利用漏洞掃描工具發(fā)現(xiàn)主機(jī)存在的漏洞.對(duì)應(yīng)不同環(huán)境下的相同弱點(diǎn),其脆弱性的程度是不同的.應(yīng)從組織安全策略的角度確定脆弱性的程度,同樣對(duì)脆弱性劃分為5個(gè)等級(jí),對(duì)威脅和脆弱性的不同等級(jí)賦予不同的數(shù)安全狀況評(píng)估模型,分析得出網(wǎng)絡(luò)終端安全狀況評(píng)估值,再進(jìn)行綜合的定性分析,主要評(píng)估可能性(P)×資產(chǎn)(A);終端安全狀況值(S)=終端安全事件的損失(L)×風(fēng)險(xiǎn)發(fā)些主觀因素,本文在網(wǎng)絡(luò)終端安全評(píng)估量化指標(biāo)體系的基礎(chǔ)上確定了評(píng)指標(biāo),全面、準(zhǔn)確地反映網(wǎng)絡(luò)終端安全狀況,并對(duì)各項(xiàng)指標(biāo)進(jìn)行量化,采用評(píng)估模型和結(jié)合實(shí)例給出了評(píng)估量化指標(biāo)的具體實(shí)現(xiàn)過程,形成一個(gè)全局的更合理、更準(zhǔn)安全狀況量化分析結(jié)果.相似相近原則對(duì)于宏觀性的網(wǎng)絡(luò)來說,其影響因素相當(dāng)多,其中一些是近似的、相分層的原則這些指標(biāo)本身具有層次性,有些是針對(duì)局域子網(wǎng)的,有些是針對(duì)大規(guī)模動(dòng)靜結(jié)合的原則這主要針對(duì)指標(biāo)本身的特性。例如流量時(shí)刻變化需要實(shí)時(shí)收集,而網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)這個(gè)指標(biāo)一般來說一段時(shí)間內(nèi)是穩(wěn)定不變的,這兩種特性完2)流量信息:數(shù)據(jù)包大小的分布,數(shù)據(jù)包大小的分布的變化率,數(shù)據(jù)流其中,網(wǎng)絡(luò)脆弱性側(cè)重描述被評(píng)網(wǎng)絡(luò)自身在安全方面的不足之處,因此,其自身的硬件軟件配置和服務(wù)配置就是其主要載體;網(wǎng)絡(luò)容災(zāi)性側(cè)重描述被評(píng)網(wǎng)絡(luò)自身防范能力,主要體現(xiàn)在網(wǎng)絡(luò)的硬件設(shè)備與軟件設(shè)施的容來自外部的各種威脅來對(duì)被評(píng)網(wǎng)絡(luò)本身的安全態(tài)勢(shì)做評(píng)估;網(wǎng)絡(luò)的穩(wěn)定性是一個(gè)概念,因?yàn)榉€(wěn)定即不變,也就是一種狀態(tài)延續(xù)自上一時(shí)刻,和上一時(shí)刻的狀態(tài)幾乎是一樣的,所以,網(wǎng)絡(luò)的穩(wěn)定性與時(shí)間有很大的關(guān)系,衡量它的指標(biāo)也都幾乎與時(shí)間有關(guān),如流量變化物聯(lián)網(wǎng)是計(jì)算機(jī)、互聯(lián)網(wǎng)與移動(dòng)通信網(wǎng)等相關(guān)技術(shù)的演進(jìn)和延伸，其核性技術(shù)、網(wǎng)絡(luò)與信息安全技術(shù)以及關(guān)鍵應(yīng)用是物聯(lián)網(wǎng)的主要研究知節(jié)點(diǎn)大都部署在無人監(jiān)控環(huán)境，并且由于物聯(lián)網(wǎng)是在現(xiàn)有的網(wǎng)絡(luò)基感知網(wǎng)絡(luò)和應(yīng)用平臺(tái)，傳統(tǒng)網(wǎng)絡(luò)安全措施不足以提供可全研究將主要集中在物聯(lián)網(wǎng)安全體系、物聯(lián)網(wǎng)個(gè)體隱私保護(hù)模式、終物聯(lián)網(wǎng)安全相關(guān)法律的制訂等方面。其中物聯(lián)網(wǎng)被認(rèn)為是繼計(jì)算機(jī)、互聯(lián)網(wǎng)與移動(dòng)通信網(wǎng)之后以其廣泛的應(yīng)用前景成為人們研究的熱點(diǎn)，同不足以提供可靠的安全保障，所以規(guī)范和強(qiáng)化物聯(lián)網(wǎng)信息安全是現(xiàn)在亟待解決的傳感器、二維碼等隨時(shí)隨地獲取物體的信息；二是可靠傳遞，通過各種電的保護(hù),用戶的安全,特別是通信系統(tǒng)用戶的安全則沒有的各種技