几种信息安全评估模型

1、1 基于安全相似域的风险评估模型本文从评估实体安全属性的相似性出发 ,提出安全相似域的概念 ,并在此基础上建立起一种网络风险评估模型 SSD-REM风险评估模型主要分为评估操作模型和风险分析模型。评估操作模型着重为评估过程建立模型 ,以指导评估的操作规程 ,安全评估机构通常都有自己的操作模型以增强评估的可实施性和一致性。风险分析模型可概括为两大类:面向入侵的模型和面向对象的模型。面向入侵的风险分析模型受技术和规模方面的影响较大 ,不易规范 ,但操作性强。面向对象的分析模型规范性强 ,有利于持续评估的执行 ,但文档管理工作较多 ,不便于中小企业的执行。针对上述问题,本文从主机安全特征的相似性及网

2、络主体安全的相关性视角出发,提出基于安全相似域的网络风险评估模型 SSD-REM(security -similar -domain based riskevaluation model) 。该模型将粗粒度与细粒度评估相结合 ,既注重宏观上的把握 ,又不失对网络实体安全状况的个别考察,有助于安全管理员发现保护的重点,提高安全保护策略的针对性和有效性。SSD-REMSSD-REM模型模型将静态评估与动态评估相结合,考虑到影响系统安全的三个主要因素,较全面地考察了系统的安全。定义 1评估对象。从风险评估的视角出发, 评估对象是信息系统中信息载体的集合。根据抽象层次的不同,评估对象可分为评估实体、安

3、全相似域和评估网络。定义 2独立风险值。独立风险值是在不考虑评估对象之间相互影响的情形下,对某对象进行评定所得出的风险,记为 RS。定义 3综合风险值。综合风险值是在考虑同其发生关联的对象对其安全影响的情况下,对某对象进行评定所得出的风险 ,记为 RI 。独立域风险是在不考虑各评估实体安全关联的情况下,所得相似域的风险。独立网络风险是在不考虑外界威胁及各相似域之间安全关联的情况下,所得的网络风险评估实体是评估网络的基本组成元素,通常立的主机、服务器等。我们以下面的向量来描述 ID,Ai,RS,RI,P,式中 ID 是评估实体标识;Ai 为安全相似识 ;RS 为该实体的独立风险值;RI 为该实体

4、合风险值 ;P 为该实体的信息保护等级,即信产的重要性度量;属性 为该实体对其所属的域的隶属度。这里将域i 中的实体j 记为 eij。定义 4安全相似度。安全相似度是指评估实体间安全属性的接近程度,我们以 Lij 表示实体 i 与实体 j 之间的安全相似度。设评估实体的安全属性集为x1,x2,xn, 则安全相似度可看作这些属性的函数,即 Lij=f(x1,x2,xn), 我们约定当i=j 时 ,Lij=1, 其他情况下0 Lij<1。定义5域隶属度。域隶属度反映的是一评估实体隶属于某安全相似域的程度,记为Iij, 表示实体 j 隶属于域 i 的程度。定义 6安全相似域。安全相似域是由具有

5、相似安全属性的实体组成的集合,其相似性由域隶属度来衡量,我们用 Ai 来表示第i 个安全相似域 ,那么对域Ai 的隶属度大于某个阈值的均被认为是域Ai 的成员。设Ai 有 n(n 属于正整数 )个成员 ,即 Ai=ei1,ei2,ei3,ein, 我们称域 Ai 的规模为 n。相似域的划分不一定要用聚类方法,也可以从管理角度划分,如按照部门来划分。定义 7单向安全关联系数。单向安全关联系数表示评估对象i 对评估对象j 的安全影响程度 ,记为 rij 。一般情况下我们认为rij rji, 且 i=j 时 ,rij=1 。我们以域安全关联系数矩阵来表示评估网络中各安全相似域间的安全相互影响程度,记

6、为 R。在含有 n 个域的网络中 ,域安全关联系数矩阵表示如下:定理一设网络规模为m,则网络中任两可达评估实体之间距离至多为m 步。我们以两评估实体沿有向边(不走重复边 )到达对方经过的节点个数为步长。通过以上定义 ,我们将目标评估网络划分为有限个安全相似域,它们是由有限个相似度大于某个阈值的评估实体组成的集合。评估网络的抽象示意图如下,其中域之间的有向直线为域之间的安全关联,域内存在不同个数的评估实体。该模型下的一种网络风险算法：此算法重点考察对网络风险的计算,故不对主机的安全属性进行具体分析。假设已知主机的安全属性数据,当然在计算安全属性时应考虑财产因素。通过分类若评估目标网络共有 m(m

7、 为正整数 )个安全相似域 ,通过计算可得域独立风险值向量(RS1,RS2,RS3,RSm),我们以域风险的算术平均值作为网络的风险值。那么,网络独立风险值NRI 算式如下 :若域安全关联系数矩阵为 Rm× m,rij 为矩阵的元素 ,则域 i 的一阶综合风险值是自身风险和其他域对该域直接关联造成的风险的综合 ,其算式如下 :由此可得 ,该网络的一阶域综合风险向量为域独立风险向量同域安全关联系数矩阵的乘积一阶网络综合风险值NRV1 为各域一阶综合风险值的算术平均,故求解如下 :域的个数。由定理一,我们计算网络的风险值时,最多只考虑个数 ),所以 n 阶网络综合风险值NRVn 可如下推

8、导 :m 步安全关联(m式中 m 为为划分的域的式中 0< n < m2 基于未确知测度的信息系统风险评估模型单指标未确知测度:在未确知综合评价中，指标权重向量是非常重要的。它的精确度和科学性直接影响评价的结果。权重的确定方法有很多种，典型的方法有熵值法、聚类分析法、德尔菲法、层次分析法等。其中，熵值法由于能够反映指标信息熵值的效用价值，其给出的指标权重有较高的可信度，但是缺乏各指标之间的横向比较。聚类分析法适用于多项指标的重要程度分类，缺点是只能给出指标分类的权重，不能确定单项指标的权重。层次分析法和德尔菲法都是根据专家的知识和经验对评价指标的内涵与外延进行判断，适用范围广，由于

9、层次分析法对指标之间相对重要程度的分析更具逻辑性，刻画的更细致，并对专家的主观判断进行了数学处理，因此其科学性和可信度高于德尔菲法。本文采用专家赋权法事先给出指标的权重。3 一种基于渗透性测试的WEB 漏洞扫描系统模型设计与实现提出一种基于渗透性测试的Web 漏洞扫描系统 ,给出了 Web 漏洞扫描系统的总体结构设计 ,研究了描述 Web 攻击行为所需要的特征信息及其分类,给出了 Web 攻击行为特征信息在数据库中的存储表结构。在Web 攻击行为信息库中保存了超过230 个不同的 Web 服务器信息 ,存在于 Web 服务器与 CGI 应用程序中的超过3300 个不同的已知漏洞信息,可以识别出

10、绝大多数对未经修补或非安全Web 服务器造成威胁的常见漏洞。Web 漏洞扫描方法主要有两类:信息获取和模拟攻击。信息获取就是通过与目标主机TCP/IP 的 Http 服务端口发送连接请求 ,记录目标主机的应答。通过目标主机应答信息中状态码和返回数据与 Http 协议相关状态码和预定义返回信息做匹配,如果匹配条件则视为漏洞存在。模拟攻击就是通过使用模拟黑客攻击的方法,对目标主机Web 系统进行攻击性的安全漏洞扫描 ,比如认证与授权攻击、支持文件攻击、包含文件攻击、SQL 注入攻击和利用编码技术攻击等对目标系统可能存在的已知漏洞进行逐项进行检查,从而发现系统的漏洞。Web 漏洞扫描原理就是利用上面

11、的扫描方法,通过分析扫描返回信息 ,来判断在目标系统上与测试代码相关的漏洞是否存在或者相关文件是否可以在某种程度上得以改进,然后把结果反馈给用户端 (即浏览端 ),并给出相关的改进意见。Web 漏洞扫描系统设计与实现：Web 漏洞扫描系统设计的基本要求是能够找到Web应用程序的错误以及检测Web 服务器以及 CGI 的安全性 ,其中也包括认证机制、逻辑错误、无意泄露 Web 内容以及其环境信息以及传统的二进制应用漏洞(例 :缓冲区溢出等 )。同时要求漏洞扫描功能能够更新及时。本系统结合国内外其他Web 漏洞扫描系统设计思想的优点,采用 Browser /Server/ Database(浏览器

12、 /服务器 /数据库 )和模块化的软件开发思路 ,通过渗透性检测的方法对目标系统进行扫描。系统总体结构设计：本文设计开发的是一个B/S 模式的 Web 漏洞扫描系统。它包括客户端及服务端两个部分,运行环境为 Linux 系统。首先 :使用 B/S 结构使得用户的操作不再与系统平台相关 ,同时使得客户操作更方便、直观。其次,系统把漏洞扫描检测部分从整个系统中分离出来 ,使用专门的文件库进行存放 (称为插件 )。如果发现新的漏洞并找到了新的检测方法 ,只要在相关文件夹中增加一个相应的新的攻击脚本记录,即可以实现对漏洞的渗透性测试,同时也实现了及时的升级功能。最后,系统从多个角度来提高漏洞扫描系统的

13、扫描速度以及减少在用客户端与服务端之间的信息传输量 ,以提高系统的运行效率。其总体结构设计如图1所示。图 1 中给出了漏洞扫描系统模型的系统结构图该漏洞检测系统主要分成四部分:(1)主控程序。采用多线程处理方式,它接收多个客户端提交的用户指令后,再次利用多线程技术调用相关的插件脚本,利用渗透性测试对目标系统进行检测,并将结果和进程信息传回客户端显示并保存在客户本地,以方便用户查看详细信息。(2)客户端 ,即控制平台。 B/S 结构比传统的C/S 结构优越的地方在于方便性和与平台无关性 ,用户通过 Web 浏览器设定扫描参数 ,提交给服务器端 ,控制服务器端进行扫描工作。同时,对服务器返回的各种

14、检测结果进行相应的显示、汇总和保存。(3)插件系统。它保存现在已知各种漏洞检测方法的插件,合理安排插件之间的执行顺序,使扫描按既定的顺序进行,以加快扫描速度提高扫描的效率与准确性。(4)数据库 ,即探测数据库 ,是系统的核心。它保存已知各类Web 漏洞的渗透性的探测数据即攻击代码或信息获取代码,比如 SQL 注入攻击、跨站点脚本攻击、会话攻击或输入验证编码信息等 ,逐条给目标发送探测数据,通过把返回信息与预先设定的“返回信息”和状态码进行匹配 ,进而获得目标返回系统的健壮信息。在规划系统体系组成部分的基础上,如何把这些组成模块有机地集成为一个系统也是设计本系统的重点。我们要求服务器端同时处理多

15、用户的连接,因此首先要进行多线程处理。在进行单用户处理中,当用户登陆时 ,检测服务器对用户的用户名和密码进行认证,判断用户是否具有使用权限。用户认证通过后,检测服务器给客户端发送可使用的基本检测信息。客户端接收到服务器的这些信息后,根据具体的使用要求选择和填写各种检测脚本要求的参数,或使用默认参数,然后返回给服务器端。服务器端建立新的进程,开始一个新的漏洞检测任务,对目标系统进行扫描。客户端的实现：网络的发展要求在任何地点进行登陆并进行扫描工作,并且漏洞检测参数繁多、设置扫描参数具有很高的复杂性,所以选择现在流行的Web 页面作为客户端。这样就可以在世界的任何地点 ,任何环境使用客户端 ,用简

16、单的图形化界面进行参数设定和系统的控制工作。客户端在认证通过后 ,开始接收服务器发送过来的各种待设定的参数及相关信息以供用户选择。用户根据相关帮助信息及自己相关的要求设定参数,同时设定目标系统的IP 地址 (或主机名 )和端口号等参数。根据客户端的参数设定,服务端建立扫描任务,对目标系统进行检测扫描。检测过程中,客户可以自行设定是否实时显示服务端扫描状态信息及结果信息,以及在客户端是否保存相关信息 ,便于用户对扫描任务进行实时的控制 ,从而制定相应的安全策略。通信协议设计： Http 协议是一种在 TCP/IP 之上的 request/response型协议。多数 Http 数据传输由请求服务

17、器上的某种资源开始 ,通过网络上的一些中介 ,如代理、网关等到达服务器 ,而后服务器处理请求并送回应答。但是Http1.0 并不完全支持各层代理、缓冲、持续的连接以及虚拟主机等技术。Http 请求及应答数据包如图2 所示。特征信息数据库：此漏洞扫描系统的核心就是特征信息数据库,特征信息数据库保存了远程Web 系统可能存在的各类Web 隐患和漏洞的获取或攻击信息或代码。通过给远程Web 系统发送此数据库中的数据以获得目标Web 系统的安全性。Web 漏洞扫描系统的实现4 基于灰色理论的网络信息安全评估模型灰色模型建模机理 : 灰色理论基于关联空间、光滑离散函数等概念，定义了灰导数和灰微分方程，进

18、而用离散数据列建立了微分方程型的动态模型。它是本征灰系统的基本模型，而且模型非唯一，故称为灰色模型，记为GM(GreyModel) 。(1) 灰色理论将随机量当作在一定范围变化的灰色量;将随机过程当作在一定幅区、一定时区变化的灰色过程。(2) 灰色理论将无规律的原始数据生成为较有规律的生成数列再建模。(3) 灰色理论针对符合光滑离散函数条件的数列建模，而一般原始数据经累加生成后可得到光滑离散函数。(4) 灰色理论在光滑离散函数收敛性与关联空间极限概念的基础上，定义了灰导(5) 灰色理论认为微分方程是背景值与各阶灰导数的某种组合。(6) 灰色理论通过灰数的不同生成、数据的不同取合、不同级别的残差

19、MG模型的补允、调整、修正，提高模型精度。(7) 灰色理论中MG模型一般采用三种方法检验和判断模型精度。即残差检验;关联度检验;后验差检验。(8) 通过 GM 模型得到的数据，需经逆生成作还原后才能用。(9) 灰色理论对高阶系统建模，采取一阶MG 模型群建立状态方程的方法解决。(10)灰色模型在考虑残差MG 模型的补充后，变成了差分微分模型。(11)灰色理论根据关联子空间某种特定关联映射下的关联收敛来选择参考模型。关联收敛是一种有限范围的近似收敛。五步建模思想与方法 : 在本征性灰色系统中，包括哪些变量 ?变量间有什么关系 ?人们并不很清楚，因而建立模型很困难。对此，灰色理论采用定性分析与定量

20、分析相结合的方法。即建模时，不仅运用控制理论的数学模型，而且还直接利用经验判断知识，综合概括为一个“五步建模”的过程。所谓“五步建模”即将建模分为几个阶段，每个阶段都用一定的方式加以表达，这些表达式称为阶段模型。所处的阶段不同，模型的性质也不同。这五个阶段模型分别称为语言模型、网络模型、量化模型、动态模型、优化模型。通过这五步建模，就可逐步得到系统中各因素间，前因与后果间，作用与响应间等关系。这是一个由定性到定量，由粗到细、由灰变白的建模过程。模型的建立：灰色系统是部分信息明确，部分信息不明确的系统。信息安全评估系统符合灰色系统的特征，因此灰色评估理论适用于对信息安全系统进行安全风险评估。本文

21、采用基于三角白化权函数的灰色评估法来建立信息安全风险评估模型评价指标权重的确定：对于评价指标权重的确定，通常可利用AHP 法、嫡值法、主成分分析法等方法。本文主要是应用了主成分分析法来分析系统的权重。主成分分析法计算步骤评价指标的评分等级标准；对安全措施等级的定义是标准的另一个重点。根据我们国家的计算机信息系统安全保护等级划分准则，安全措施应该划分成 5 个等级 :(1) 第一级 :用户自主保护级 ;(2) 第二级 :系统审计保护级 ;(3) 第三级 :安全标记保护级 ;(4) 第四级 :结构化保护级 ;(5) 第五级 :访问验证保护级。信息系统中存在不确定性干扰因素，就是系统中存在摄动，但是整个系统仍然正常工作，这一特点符合控制系统中的鲁棒性特征，所以在这里引入鲁棒性测量。鲁棒性策略针对某种信息价值和可能遭到的威胁水平，提供一种在确定信息安全机制强度下的指导思想。这种策略还定义了对技术性反制措施的测量及评估其鲁棒性不同等级的策略。在鲁棒性策略中把信息的价值分为 5 级 (VlVS) ，其价值依次递升 ;威胁分为 7 级(Tl 一 T7)，其大小也依次递升。表 4 一 1 根据待保护信息的价值及威胁