（计算机科学与技术专业论文）基于层次分析法和ds证据理论的电信网网络安全风险评估模型的研究与应用.pdf

独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：二丕i 鱼 日期： 秒l 矿f 。p 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 、l 本人签名： 导师签名： 日期： 日期： 矽f 扩i l ，( ， 一 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 基于层次分析法和d s 证据理论的电信网 网络安全风险评估模型的研究与应用 摘要 随着电信网络的发展，其安全性越来越成为人们关注的一个问题， 而网络的开放性给网络也带来了一定的威胁。近年来不断发生的各种 电信网络重大安全事故使得对加强网络安全的需求更加迫切。网络安 全风险评估是网络安全的一项重要内容，通过对网络风险的有效评估， 可以更加全面客观的了解网络的风险点，有针对性地加强网络安全措 施和防范，对提高网络整体安全具有十分重大的意义。 针对电信网络的安全现状和需求，本文提出了一种基于层次分析 法( a h p ) 和d s 证据理论( d s e t ) 的网络安全风险评估模型，叙述 了其设计过程，并通过实例加以验证，证明本文所提出的评估模型在 消减风险因素评估指标之间的冲突、提高评估的准确性和确定性方面 相比较传统的模糊综合评估法( f c e ) 有了显著的改善。同时，将该模 型运用到电信某c d m a 本地网网络组织风险评估中去，详细描述了网 络风险评估的实施过程，并对结果进行了分析，给出了网络风险的处 理意见。 本文的主要研究工作和创新点如下： 1 ，研究分析了国内外网络和信息安全风险评估方法，并对这些标 准和方法进行了对比，分析了电信网络安全风险评估的现状和需求， 指出传统电信网日益开放的架构使得网络所面临的威胁也日益增多， 针对电信网风险因素的多变性，需要定性和定量相结合的评估方法； 2 ，提出了a h p & d s e t 的网络安全风险评估方法。考虑到电信网 络风险评估过程中的安全风险因素的多变性和不确定性，大量证据之 间相互冲突的问题，以及现有的评估方法存在的主观性、模糊性、合 成公式对风险因素的处理太过粗糙等问题，将a h p 和d s e t 相结合的 方法运用到网络的风险评估中去。其中，a h p 用来确定各风险指标的 权重，改变了现有的风险评估方法中所有指标不分权重的现状。在此 基础上针对d s e t 的合成法贝, j j j t j 以修正，在解决冲突证据方面有良好 北京邮电大学硕士论文 的效果。经过验证 相较于传统的模糊 有明显改善。 3 ，通过对某 方法的实际运用。 然后展示了完整的 估对象的一系列评 时，对评估结果进 理意见。 关键词：网络安全风险评估层次分析法( a h p ) d s 证据理论( d s e t ) 风险系数 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 s t u d yo nt h ea h p & d s e tt e l e c o m n e t w o r kr i s ka s s e s s m e n tm o d e la n dt h e a p p l i c a t i o n a b s t r a c t w 池t h e r a p i dd e v e l o p m e n to f t e l e c o mn e t w o r k s ，t h es e c u r i t yp r o b l e m o ft h en e t w o r kh a sb e e nm o r ea n dm o r ed r a w np e o p l e sa t t e n t i o n t h e o p e n n e s so ft h en e t w o r ka l s ob r i n g sl o t so ft h r e a t st oi t s e l f , w h i c hc a l lb e s e e nf r o mt h eh u g ea m o u n to fs e r i o u ss a f e t ya c c i d e n t se n c o u n t e r e db yt h e n e t w o r ki nr e c e n ty e a r s i ns u c hs i t u a t i o n ，e n h a n c i n ga n di m p r o v i n gt h e n e t w o r k s e c u r i t y b e c o m e sa v e r yu r g e n t t a s k r i s ke v a l u a t i o ni s d e m o n s t r a t e dt ob ea l l i m p o r t a n tm e a s u r ef o rn e t w o r ks e c u r i t y h e n c e ， s e l e c t i n gt h ee f f e c t i v ee v a l u a t i o nm e a s u r e ，d e f e n d i n gn e t w o r kt h r e a t s a c t i v e l ya n de n h a n c i n gt h en e t w o r ks a f e t ya r et h ek e yp o i n t so fs o l v i n gt h e n e t w o r ks e c u r i t yp r o b l e m s b a s e do nt h es e c u r i t ys t a t u sa n dr e q u i r e m e n t so ft h et e l e c o mn e t w o r k , w ei n t e g r a t eo fa h p ( a n a l y t i ch i e r a r c h yp r o c e s s ) a n dd - se v i d e n c et h e o r y ( d s e t ) t od e v e l o pan e w r i s ka s s e s s m e n tm o d e l i nt h i sp a p e r , w ed e s c r i b e t h ed e s i g na n dt h ed e m o n s t r a t i o nr e s u l t ，f r o mw h i c hi tc a nb es e e nt h a tt h i s r i s ka s s e s s m e n tm o d e lc a nr e d u c et h ec o n f l i c t i o nb e t w e e nd i f f e r e n t a s s e s s m e n ts o u r c e sa n di m p r o v et h ec e r t a i n t ya n dv e r a c i t yo fe v a l u a t i o n r e s u l t ，l e a d i n g ac o m p e t i t i v ee d g et ot h et r a d i t i o n a lm e a s u r e - f c e ( f u z z yc o m p r e h e n s i v ee v a l u a t i o n ) t h em a i nc o n t r i b u t i o no f t h i sp a p e ri ss h o w na sf o l l o w s ： 1 ，i nt h i sp a p e r , w em a k eac o m p r e h e n s i v er e s e a r c h ，a n a l y z ea n d c o m p a r et h er i s ke v a l u a t i o nm e t h o d so fn e t w o r ka n di n f o r m a t i o ns y s t e m ， a n a l y z et h ec u r r e n ts e c u r i t ys t a t u sa n dr e q u i r e m e n t so ft h et e l e c o mn e t w o r k a n dp o i n to u tt h a td u et ot h ei n c r e a s i n gt h r e a t sa n du n c e r t a i n t yo ft h er i s k 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与心用 f a c t o r s ，a n e v a l u a t i o nm e t h o dw h i c hc o m b i n et h e q u a l i t a t i v e a n d q u a n t i t a t i v em e t h o d s i sn e e d e d 2 。d u et ot h eu n c e r t a i n t yo ft h er i s kf a c t o r s ，c o n f l i c t i o nb e t w e e n d i f f e r e n te v i d e n c e s ，a n dt h es u b j e c t i v i t y , f u z z yp r o b l e m se x i s ti nt h ec u r r e n t e v a l u a t i o nm e t h o d s an e wr i s ka s s e s s m e n tm e t h o db a s e do na h pa n d 1 d s e ti sp r o p o s e di nt h i sp a p e r 栅i su t i l i z e dt od e t e r m i n et h ew e i g h to f e a c hr i s k , w h i c hi sm o r er e a s o n a b l et h a nt h ec u r r e n tr i s ka s s e s s m e n t m e t h o d s o nt h eo t h e rh a n d 。t h er i s kw e i g h th a sb e e ni n t r o d u c e dt om o d i f y t h ee v i d e n c ec o m b i n a t i o nr u l ei n d se v i d e n c et h e o r y t h e n t h i sn e w p r o p o s e dr i s ka s s e s s m e n tm o d e lh a sb e e np u ti n t op r a c t i c et od e m o n s t r a t e i t sa b i l i t yt oi m p r o v et h ea s s e s s m e n to b j e c t i v i t ya n da c c u r a c y , w h i c hm a k e s a l le v a l u a t i o nm o r ei na c c o r d a n t ew i t ht h en e t w o r k sr e a ls e c u r i t ys t a t u s 3 ，w ea l s od e s c r i b et h er i s ka s s e s s m e n tm o d e l sa p p l i c a t i o nb ya n p r a c t i c a le x a m p l ei nt h i sp a p e r , f r o mw h i c hw ec a ns e ea ne n t i r en e t w o r k r i s ke v a l u a t i o np r o c e d u r e f i r s t l y , ac o m p r e h e n s i v er i s ki n d e xs y s t e mh a s b e e nb u i l tb a s eo nl o t so fa n a l y s i so nt h en e t w o r ks t r u c t u r ea n ds e c u r i t y s t a t u s t h e n ， a c o m p r e h e n s i v e r i s ka s s e s s m e n ta n dc o m b i n a t i o n p r o c e d u r eh a sb e e nd e s c r i b e d a tl a s t w ea n a l y z et h er i s ka s s e s s m e n tr e s u l t f r o mam o n o m i a la n daw h o l ep e r s p e c t i v e ，r e s p e c t i v e l y , g i v i n gd e t a i l e dr i s k p r o c e s ss u g g e s t i o n ss u b s e q u e n t l y k e yw o r d s ：n e t w o r ks e c u r i t yr i s ka s s e s s m e n t a n a l y t i ch i e r a r c h y p r o c e s s ( a h p ) d se v i d e n c et h e o r y ( d s e t ) r i s kd e g r e e i i 北京邮电大学硕士论文 基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究j 应用 目录 摘要i 第一章绪论1 1 1 研究背景1 1 1 1 电信网网络安全风险评估的研究背景l 1 1 2 电信网网络安全风险评估的概念2 1 2 电信网络安全风险评估的目的和意义5 1 3 本文主要工作及贡献6 1 4 本文结构安排8 第二章电信网网络安全风险评估标准及方法1 0 2 1 国外网络及信息安全风险评估标准。1 0 2 1 1 国外风险评估发展与简介1 0 2 2 国内网络及信息安全风险评估标准。1 2 2 3 小结1 3 第三章a i - i p & d s e t 风险评估模型的设计1 4 3 1a h p 与d s e t 介绍。1 4 3 1 1 层次分析法a h p 。1 4 3 1 2d s 证据理论d s e t 1 7 3 2a h p & d s e t 风险评估模型设计1 8 3 2 1d s e t 改造判断矩阵1 8 3 2 2d s e t 合成法则修正2 0 3 3 ，j 、结2 3 第四章a h p & d s e t 风险评估模型的验证2 4 4 1 验证场景描述2 4 4 2a h p & d s e t 风险评估模型的实施过程3 0 4 2 1a h p 确定权重及基本概率分布函数3 0 4 2 2 基于d s e t 进行风险合成3 2 1 i i 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 4 - 3 传统模糊综合评估法的应用3 s 4 a 两种评估方法的对比3 8 4 5 ，j 、结4 0 第五章a h p & d s e t 风险评估模型的应用4 2 5 1c d m a 某本地网网络安全评估风险指标的建立。4 2 5 2c d m a 某本地网网络安全风险评估实施及结果4 6 5 3c d m a 某本地网网络安全风险评估结果分析及处理s 2 5 3 1 单项风险分析s 2 5 3 2 综合风险分析s 3 5 3 3 安全风险的处理5 4 5 4 ，j 、结5 s 第六章结束语s 6 参考文献5 8 致谢6 l 作者攻读学位期间发表的学术论文目录6 2 i v 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 第一章绪论 电信网络安全风险越来越受到人们的重视，网络安全风险评估是加强电信网 安全体系建设和管理的关键环节。本章介绍了电信网网络安全风险评估的研究背 景和概念，阐述了电信网网络安全风险评估的目标和意义。最后介绍了本文的框 架和主要贡献。 1 1 研究背景 1 1 1 电信网网络安全风险评估的研究背景 随着电信网络从原来的信息传输通道走向今天的多元化网络平台，网络业务的 融合性、网络的开放互连性、网络新技术和新设备的发展性、网络灾难和突发事 件的客观存在性，造成电信网的安全问题日益突出。近年来，我国政府、电信运营 企业高度重视电信网的安全保障，开展了大量工作【l 】。通过建立日常安全管理工作 机制、制定相关标准、部署安全产品等有效地提高了电信网的安全水平。总体来 说，我国电信网在规划、建设、运维过程中对安全建设方面的考虑和投入不足， 电信网在口化、移动化、融合化发展过程中自身存在的脆弱性日益显现。随着国内 外形势复杂多变和金融危机影响的加剧，电信网面临的安全威胁日益严峻。同时， 国民经济和社会发展对电信网的依赖性与日俱增，对电信网的安全也提出了更高 的要求。保障电信网的安全至关重要，一旦电信网被破坏，将可能影响社会公众 利益，以及政府、银行、税务等重要信息系统的正常运行，甚至可能影响国家安 全和社会稳定。 为提高电信网的安全防护水平需要对电信网的安全情况进行评估，深入分 析电信网存在的安全漏洞、面临的安全威胁、现有的安全措施是否有效、残余风 险是否在可接受水平等。风险评估是建立电信网安全保障机制中的一种科学方法， 作为电信网安全管理体系建设的基础，它在体系建设的各个阶段发挥着重要的作 用。风险评估通过对电信系统的资产、面临的威胁、存在的脆弱性、采用的安全 控制措施等进行分析。从技术和管理两个层面综合判断电信系统面临的风险。风险 评估的结果可以为保障电信系统的安全建设、稳定运行提供技术参考。 北京邮电大学硕士论文 基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 1 1 2 电信网网络安全风险评估的概念 网络安全风险评估是网络安全的一个重要研究领域，网络安全从其本质上来 讲就是网络上的信息安全【2 1 。从广义来说，凡是涉及到网络上信息的保密性、完整 性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。电信 网的网络安全归根到底也是指电信网络上的信息安全。 ( 1 ) 信息安全 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶 然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行， 信息服务不中断【3 1 。信息安全定义为为了防止未经授权就对知识，事实，数 据或能力进行使用，滥用，修改或拒绝使用而采取的措施。 信息安全的目标是保护信息的真实性，保密性，完整性，可用性，可控 性，可审查性等不受破坏【4 1 。 真实性( a u t h e n t i c i t y ) ：对信息的来源进行判断，能对伪造来源的信息予以 鉴别 保密性( c o n f i d e n t i a l i t y ) ：保证机密信息不被窃听，或窃听者不能了解信息 的真实含义。 完整性( i n t e g r i t y ) ：保证数据的一致性，防止数据被非法用户篡改。 可用性( a v a i l a b i l i t y ) ：保证合法用户对信息和资源的使用不会被不正当地 拒绝。 可控性( c o n t r o l l a b i l i t y ) ：对信息的传播及内容具有控制能力。 可追溯性( a c c o u n t a b i l i t y ) ：对进出网络的操作行为进行记录，以防止或追查 可能的泄密行为。 ( 2 ) 网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然 的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服 务不中断【5 】【6 】。网络安全从其本质上来讲就是网络上的信息安全【7 1 。从广义来说， 凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术 和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变 2 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 化。比如：从用户( 个人、企业等) 的角度来说，他们希望涉及个人隐私或商业 利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或 对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私受到破坏。 从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作 受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占 用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们 希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄 露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来 讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进 行控制。 ( 3 ) 风险 风险定义为某一特定危险情况发生的可能性和后果的组合，风险具有不确定 性的特点，风险的不确定性包括模糊性与随机性两类【8 】f 9 】。模糊性的不确定性， 主要取决于风险本身所固有的模糊属性，要采用模糊数学的方法来刻画与研 究；而随机性的不确定性，主要是由于风险外部的多因性( 即各种随机因素 的影响) 造成的必然反映，要采用概率论与数理统计的方法来刻画与研究。 在网络安全风险评估中普遍指对资产造成损害的可能性。 ( 4 ) 网络安全风险管理和风险评估 网络安全风险管理是基于风险的网络安全管理，即始终以风险为主线进行网 络的安全管理，网络安全风险管理包括对象确立，风险评估，风险处理，审核批 准，监控与审查，沟通与咨询等六个方面的内容，如下图所示 一 二面习一厂 一 j 司一劁 一 二巫互 一 一厂磊磊 一i l 图1 - 1 网络安全风险管理【1 0 】 网络安全风险管理要依靠风险评估的结果确定随后的风险处理和审核批准环 3 北京邮电大学硕士论文 基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 节，因此网络安全风险评估是网络安全管理的重要环节，主要关注是否存在漏洞 以及存在什么样的漏洞，可能对网络产生什么样的威胁以及后果，如何解决这个 问题，有无相应的修补方案等。它的基本原理是采用多种方法对网络可能存在的 漏洞进行检测，确定网络所面临的威胁以及脆弱性，依据风险评估模型对网络所 处的风险级别进行确定，并针对检测和评估结果向网络管理员提供详细可靠的分 析报告和解决措施，从而加固网络安全措施，提高整个网络应对风险的能力。 ( 5 ) 风险评估各要素关系 网络安全风险评估有三项评估因素【l l 】，包括： 资产( a s s e t ) ：资产是风险的第一评估要素，其他要素的评估都是以资产为前 提。资产指直接赋予了价值而需要保护的实体。资产可以以多种形式存在，有有 形的，无形的，有软件的，硬件的，有文档，代码，设备，线路，也有服务和企 业形象等，他们具有分别不同的价值属性和存在特点，因此面临的威胁和需要采 取的控制措施也各不相同。 威胁( t h r e a t ) ：威胁是对资产引起不期望事件而造成损害的潜在可能性，威 胁可能源于直接或间接的攻击，也可能源于偶发的或者蓄意的事件，一般来说， 威胁要利用网络中存在的脆弱点才能成功对网络造成侵害。 脆弱性( v u l n e r a b i l i t y ) ：脆弱性与资产紧密相连，它可能被威胁利用而对资 产造成损害。 ( 6 ) 残余风险 残余风险是指采取了安全保障措施，提高了防护能力后，网络仍然可能存在 的风险。 ( 7 ) 安全需求和安全措施 安全需求是指为了保障网络的正常运行而在网络安全方面提出的需求。安全 措旌是针对威胁，减少脆弱性，保护资产而采取的预防和限制意外事件影响的措 施的总称。 ( 8 ) 风险基本要素间的关系 风险基本要素之间的关系如图1 2 所示。 4 图1 - 2 网络安全评估中风险要素的关系【1 1 】 1 2 电信网络安全风险评估的目的和意义 随着电信网的开放性发展，网络的重要性及其对社会的影响越来越大，网络 安全问题也越来越突出，并逐渐成为电信网急需解决的问题。网络安全风险评估 有助于认清网络安全环境和网络安全现状，提高网络安全保障能力，其目的和意 义重大，体现在以下方面： ( 1 ) 电信网网络安全风险评估是保障电信网良好运行的必要手段 电信网日益严重的安全问题和威胁需要网络安全管理手段来解决，而风险评 估是安全管理手段必不可少的环节。通过科学而系统的风险评估，可以使评估者 和网络管理员清晰了解电信网所处的安全环境和安全现状，发现电信网运行中的 脆弱点和所面临的威胁，从而有针对性地加强安全保护措施，提高网络的安全性 和稳定性，保障网络良好运行。 ( 2 ) 电信网网络安全风险评估是科学系统确定网络安全状况的过程 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 任何系统的安全性都可以通过风险大小来衡量，采用各种定量和定性结合的 风险评估方法科学地分析网络和系统的安全风险，综合的平衡风险和代价构成了 电信网网络安全风险评估的基本过程。 电信网网络安全风险评估是风险评估理论和方法在电信网络中的实际应用， 是依据有关网络安全技术和管理标准，对电信网及其处理，传输，存储的信息的 可用性，保密性和完整性等安全属性进行评价的过程。 ( 3 ) 电信网网络安全风险评估是实现网络安全风险管理的必要环节 风险评估是风险管理环上的一个要素，其他要素包括确定风险管理的焦点， 制定政策和控制措施，提高安全意识和监测与评价。风险评估是其他要素的基石， 特别是风险评估是制定网络安全措施和政策并落实政策的基础。 综上所述，网络安全风险评估是电信网网络安全管理中的重要环节和必要手 段，是电信网络提升稳定性和安全性的有效措施。 1 3 本文主要工作及贡献 现有的电信网络安全风险评估多是凭专家经验，采用定性、打分的方法得出 一个基本的评语和定位，然后提出一些改进和加固意见。但是由于电信网络的复 杂性和不稳定性，导致风险具有不确定性，因此采用定性的方法难以精确描述和 评估网络在运行阶段的风险度。在近年的网络风险评估中，相关文献将这种定性 的评估法与定量方法相结合，构成综合评估法如模糊综合评估法等，对风险评估 过程中的评语赋值采取分级法和打分法，提高风险评估的精确度。传统的模糊综 合评估法依然存在一些问题，如各评估因素权重值无大小之分，最终风险值的确 定中风险合成过于简单粗糙等。本文针对模糊综合法，提出了一种基于a h p 和 d s e t 的网络安全风险评估模型，并将其用于c d m a 本地网的网络安全评估中。 本文主要工作和创新点如下： ( 1 ) 适用于电信网的网络风险评估标准和方法研究 在之前的有关电信网风险评估的文献中，多是对于风险评估方法的系统性研 究，以理论方法为主，很少有针对实际评估过程的评估方法。此外，这些理论方 法大多是从信息系统和信息安全的角度出发，没有具体针对电信网络在组网结构 上以及在运营过程中的特点。本文深入研究了电信c d m a 网络组网特点、运行中 6 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 的安全现状和安全隐患，和现有的比较主流的几种网络风险评估方法，结合工信 部颁发的电信与互联网网络风险评估实施指南【1 2 】，提出了适用于电信网网络 安全风险评估的方法和实施流程。 ( 2 ) c d m a 网络风险评估指标体系的设计 本文基于2 0 0 9 年中国电信c d m a 网络安全风险评估项目，自中国电信2 0 0 8 年1 0 月接管c d m a 网络之后，这是首次对c d m a 网络进行安全调查和安全风险 评估。因此，在评估中既要依据已有的风险评估标准和实施流程，又要针对c d m a 网络特点设计评估过程中的各个细节。本文将中国电信c d m a 某本地网作为案例 分析，以验证提出的风险评估模型。在评估过程中根据构成风险的三要素资产， 威胁和脆弱性，综合考虑影响此三要素的各种可能事件，从而设计并完善了c d m a 网络安全风险评估的指标体系。该指标体系综合而全面的反映了构成c d m a 网络 安全风险的各因素，并针对不同等级对这些因素进行分层，为c d m a 网络后期评 估提供了技术建议。 ( 3 ) a h p d s e t 网络风险评估模型的设计与实现 常见的网络安全风险评估方法中，风险指标的权重分布是一个被忽视的方面， 而在实际的网络中，各可能风险事件对网络的最终风险值的影响是不尽相同的。 因此，为了体现这一事实，在前文所述的指标体系的各指标权重赋值上引入了 a h p 1 3 】f ，构造比较矩阵，将同层的各项指标两两比较，通过求解矩阵的特征向 量来确定各因素的权重值。引入a h p ，可以减少风险指标权重值确定过程中的主 观性，使其更加精确和符合实际。 提高网络安全风险评估准确性的另一个重要方面是评估结果的合成，如上所 述，网络的最终风险值是由许多指标构成的，如何由各指标的风险值确定网络的 最终风险值是一个亟待解决的问题。相关文献对d s 证据理论【1 5 】【1 6 1 的合成法则在 网络风险评估中的应用进行了研究和探讨，大量仿真结果表明证据理论的d s 合 成法则可以消减网络安全风险评估中的不确定性，提高评估准确性。本文提出 d s e t 合成法则的改进算法，将网络风险指标权重值引入到合成公式中，并用实例 加以验证。 本文所提出的网络风险评估模型基于a h p 和d s e t ，主要解决风险评估中各 指标权重值的确定以及风险值合并等两个问题，实例验证了该模型在评估结果的 准确性和确定性上的提升。 7 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 ( 4 ) 案例实现 通过风险评估案例的分析，叙述了风险评估方法在实际问题中的应用，并在实 际过程中得到了验证。案例实现表明，针对c d m a 网络设计的风险评估指标体系 完善而全面的体现了实际网络运行中的各影响因素，所提出的a h p & d s e t 的评 估模型与电信网风险评估现有的模糊综合评估法相比，能够更加准确的对网络的 风险等级进行评估。 1 4 本文结构安排 本文共分为六章，第一章主要介绍了电信网网络安全风险评估的研究背景，电 信网络风险评估的概念，以及对电信网进行网络安全风险评估的目的和意义。同 时介绍了本文的主要工作、研究成果以及结构安排。 第二章介绍了电信网网络安全评估的标准及方法，包括国外和国内的网络与 信息安全风险评估标准方法。其中国外的风险评估发展情况介绍了一些通用的评 估准则，信息安全管理标准b s 7 7 9 9 、i s 0 1 7 7 9 9 、i s 0 1 3 3 3 5 等，并对主要标准进 行了分析和比较。接着介绍了国内风险评估的发展状况，重点介绍了工信部发布 的电信及互联网网络安全评估实施指南，这是对电信网网络安全进行风险评估的 重要依据，也是本文中风险评估模型建立的基础。 第三章提出了一种a h p & d s e t 风险评估模型的设计，该模型针对电信网络 特点，并且综合研究了当前常见的几种风险评估方法而提出的。在本章详细叙述 了a h p 和d s e t ，如何构建评估模型，以及整个评估过程的流程和关键问题，如 采用层次分析法构造递阶层次结构，如何确定置信度函数，如何利用d s e t 的合 成法则合并风险，减小不确定度，以及如何确定网络最终风险值。本章详细而系 统的介绍了整个风险评估模型的设计原理。 第四章验证本文提出的风险评估模型，通过对中国电信某省互联网部分分别 用模糊评估法和本文所提出的风险评估模型加以评估，并对评估结果进行仿真， 得出二种评估方法在风险等级可信度对比结果，验证了本文提出的模型在评估准 确性上的提高。 第五章描述了a h p & d s e t 评估模型在c d m a 本地网的风险评估过程中的实 现，评估结果显示针对c d m a 网络设计的风险评估指标体系完善而全面的体现了 网络运行中的各影响因素，本文提出的评估模型能够有效的对c d m a 网络的风险 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 等级进行评估。 第六章是论文的结束语，对论文中完成的工作以及研究成果加以总结，并对 下一步的研究工作进行了规划和展望。 本论文的结构框架如下图所示。 图1 - 3 论文结构框架图 9 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 第二章电信网网络安全风险评估标准及方法 风险评估标准作为风险评估的准则和依据，具有十分重要的作用。风险评估 标准从功能上可分为管理类，技术类和评估方法类三种，本章重点介绍技术类和 评估方法类标准，包括国内外信息及网络安全风险评估的各标准及发展背景，以 及标准和方法的对比，着重介绍了电信及互联网网络安全评估实施指南。 2 1 国外网络及信息安全风险评估标准 本节介绍国外网络及信息安全风险评估标准，分为通用评估准则，技术类和评 估方法类展开介绍。 2 1 1 国外风险评估发展与简介 从2 0 世纪8 0 年代开始，世界各国相继制定了很多风险评估标准，主要有：信 息安全产品和系统安全的安全性测评标准( 简称c c ) t 1 7 - 2 0 l 、i s o i e c1 7 7 9 9 4 1 、 i s o i e c1 3 3 5 5 1 2 1 。2 5 1 ，系统安全工程能力成熟度模型( 简称s s e c m m ) 2 6 1 等标准。 ( 1 ) 通用评估准则c c c c ，即信息安全产品和系统安全的安全性测评标准。c c 标准由六个国家( 美、 加、英、法、德、荷) 于1 9 9 6 年提出，并于1 9 9 9 年称为国际标准i s o i e c1 5 4 0 8 ， 是目前国际上最通行的信息技术产品和系统安全性评估准则。c c 标准定义了评价 信息技术产品和系统安全性的基本准则，并把安全要求分为规范产品和系统安全 行为的功能要求以及如何有效实施这些功能的保证要求。c c 标准采用类、族、组 件层次结构化方式定义信息系统或技术产品的安全功能。c c 标准的安全保证要求 则对安全保证级( e a l ) 进行了详细介绍。c c 是侧重于对系统和产品的技术指标的 评估标准。它不包括对信息安全管理、密码安全和物理安全方面的评测。c c 标准目 前已被多个国家接受，用于对操作系统、防火墙等多种产品的安全性进行评估。 ( 2 ) 系统安全工程能力成熟度模型s s e c m m s s e c m m 即系统安全工程能力成熟度模型，它源于c m m ( 能力成熟度模型) 的思想和方法，并于2 0 0 2 年成为国际标准i s o i e c2 1 8 2 7 。 s s e c m m 模型描述了一个组织的系统安全工程过程必须包含的基本特性。 1 0 北京邮电大学硕士论文基于层次分析法和d - s 证据理论的电信网网络 安全风险评估模型的研究与应用 它将信息系统安全工程分为三个部分：风险、工程和保证。风险过程用于识别被 开发产品或系统的潜在危险；工程过程针对危险性所面临的问题与其他工程一起 来确定和实施解决方案；保证过程用来建立解决方案的信息并向用户转达安全信 任。s s e c m m 由1 1 个安全过程区p a ，主要由管理安全控制、评估安全风险、评 估威胁、评估薄弱点等组成，每一个过程区也包含了许多基本实施b p 。b p 是强制 项目，只有当所有性质完全实现后，才满足了这个过程区的要求。s s e c m m 模 型本身并不是安全技术模型，但因其在评估过程中利用了许多技术类b p ，故将其 归入技术类评估标准。s s e c m m 是偏向于对组织的系统安全工程能力的评估标 准。s s e c m m 更适合作为评估工程实施组织( 例如安全服务提供商) 能力与资质的 标准。我国国家信息安全测评认证中心在审核专业机构信息安全服务资质时，基 本上即依据s s e c m m 来审核并划分等级。 ( 3 ) 信息技术i t 安全管理指南i s o i e ct r1 3 3 5 5 i s o i e ct r1 3 3 5 5 由五个部分组成，其中第三部分描述了项目生命周期内1 1 r 安全管理的相关技巧。标准介绍了四种风险分析的方法：基线方法；非正式方法； 详细分析方法和复合分析方法。在英国标准协会( b s i ) 为其开发的系列指南中，风 险评估方法部分几乎直接引用i s o i e ct r1 3 3 5 5 _ 3 ：1 9 9 8 。我们在进行风险评 估时，或者在选择合适的风险控制措施时，可以选择参考i s o i e ct r1 3 5 3 5 标准 的相关内容。 ( 4 ) 信息技术信息安全管理实施细则i s o i e c1 7 7 9 9 i s o i e c1 7 7 9 9 是在信息安全管理实施细, 受w j b s l 7 7 9 9 的基础上发展起来的， 2 0 0 2 年，国际标准化组织正式将b s l 7 7 9 9 的第一部分转化为国际标准。作为一个全 球通用的标准，i s o i e c1 7 7 9 9 并不局限于i t ，也不依赖于专门的技术，它是由长 期积累的最好实践经验构成的。 i s o i e c1 7 7 9 9 提出了风险评估的方法、步骤和具体内容，为风险评估提供实 施指南，指出风险评估的主要步骤包括：资产评估、威胁评估、脆弱性评估、已 有控制措施确认、风险计算等过程，并首次给出了信息安全的保密性、完整性、 可用性、审计性、认证性、可靠性等六个方面的含义，并提出了以风险为核心的 模型，指出风险就是威胁利用脆弱性使资产暴露而产生的影响大小。 上述的四种国际信息安全风险评估标准包括了技术类、管理类，同时包含了 具体的评估方法。其中c c 与s s e c