面向水利信息系统网络安全性评价的设计方案

贺 挺，周维续，张 怡

（1. 水利部水利信息中心，北京 100053；2. 北京金水信息技术发展有限公司，北京 100053）

面向水利信息系统网络安全性评价的设计方案

贺 挺1，周维续1，张 怡2

（1. 水利部水利信息中心，北京 100053；2. 北京金水信息技术发展有限公司，北京 100053）

为了综合评价水利业务系统的安全性，提出一种针对业务系统的安全性综合评价方案，该方案首先对系统健康度评价指标进行层级分类，其次应用层次分析法（AHP）获取各个指标在总评价体系中的权重，最后应用集对分析法（SPA），按照信息系统安全等级标准获取业务系统在当前时刻的安全等级值。与传统的加权平均等方法相比，可以预见，该方案可量化业务系统在安全与不安全之间的模糊部分，提供更加综合性的评价结果，为系统运维人员提供更加准确的依据。

水利信息系统；网络安全；安全性评价；评价方案；AHP 法；SPA 法

0 引言

随着社会的发展，水利行业建立起相关的业务信息系统。近年来，业务范围的扩展也使这些信息系统面临着网络风险、脆弱性和不稳定性等问题。因此，针对业务系统的水利信息安全管理平台也相应地建立起来[1-4]，这些安全管理系统一般融合了各类安全技术，例如入侵检测，恶意代码分析，漏洞扫描，威胁事件告警等。建立水利信息安全管理平台的主要目的之一在于对业务信息系统进行合理的网络安全评估，然后根据安全评估的结果，制定合适的安全策略和措施，提升业务信息系统运行的安全性和稳定性。

当前针对网络安全评估主要有基于事件树分析法、专家打分法、判别分析法等传统评估模型[5-6]。近年来，神经网络、支持向量机（SVM）、马尔科夫链、DS 融合等数据挖掘方法也被引入网络安全评估领域，对网络安全态势进行较准确评估，并取得了良好的应用效果[7-8]。然而信息系统的安全指标在不同的状态转换过程中存在诸多不确定性，这些不确定性有不同程度的表现，并在一定条件下存在互转现象，影响了系统安全。如何有效地量化系统安全指标在不同状态之间转换的不确定性已成为当前信息系统网络安全评估关注的重点，针对这个问题，以水利信息安全管理平台（以下简称安管平台）为例，设计了一个基于层次和集对等分析法的信息系统安全性评价方案。首先，根据网络安全相关标准，对安管平台现有安全指标进行层次划分，采用层次分析法（AHP）对各层各指标赋予相应的权重；然后，根据网络安全等级定义标准，采用集对分析法（SPA）对各指标所处的安全等级状态进行量化，并评估安全指标从一个状态向另一状态转换的趋势和可能性。

1 安管平台及相关方法介绍

1.1 安管平台

国家防汛抗旱指挥系统二期工程网络安全系统建设内容包括安全认证系统，安全管理平台，流域机构业务应用系统和骨干网的等级保护改造，安全管理建设 5 个方面[9]。根据工程建设要求，安管平台按部、省两级节点部署，采用内部级联，部级平台为水利行业提供策略制订和管理、事件监控、响应支持等后台运行服务，于 2016年 10月正式上线。安管平台是以业务信息系统为核心，以用户体验为指引，从监控、审计、风险、运维 4 个维度建立起来的一套可度量的统一业务支撑平台。安管平台能够对网络、安全等设备，系统、主机操作系统、数据库，以及各种应用系统的运行状态进行监控；同时可以对安全设备的日志、事件、告警等安全信息进行全面的管理和审计，对当前网络安全态势进行分析与展现。安管平台主要包括：资产管理、事件管理、风险评估、预警告警、威胁态势、合规管控、数据上报、特征库、工单管理、性能监控、业务视图、安全策略、知识库、用户管理、界面展示、报表管理等功能模块。安管平台按照部、省级进行设计和部署，其中，水利部一级总体架构如图1所示。

图1 水利信息安全管理平台总体架构（部级）

1.2 层次分析法

网络安全评估的原理：根据网络安全事件发生的频率、数量及网络受威胁程度的不同，归纳建立网络安全指标体系，通过加权处理，将现存的网络安全信息融合为一个能体现网络运行状况的安全值，然后依据历史和当前的网络安全值对现行网络安全进行评估，对未来的网络安全情况进行预测。在信息系统安全评价过程中需要考虑各项安全指标对系统影响的重要程度。指标体系中的任意指标与同一类别中的其他指标相比，对系统的作用、地位和影响是不同的，需要根据每个指标的重要性赋予不同的权重。权重反映了各个指标对系统的重要性贡献[10]。根据计算权重时原始数据的不同来源，确定指标权重的方法一般可分为主观和客观 2 类赋值法 。主观赋值法主要通过评估者根据经验主观判断得出，如主观加权法、专家调查法、层次分析法、比较加权法、多元分析法、模糊分析法等；客观赋值法所得到的权重值主要通过测评指标在被测评过程中的实际数据得到，这类方法主要有均方差法、主成分分析法、熵值法、代表计算法等。

本研究在确定各安全指标的权重过程中采用的是第 1 类方法，即主观赋值法中的 AHP[11]。该方法能够有效、系统地处理准则问题，具体步骤如下：

第 1 步，建立比较矩阵，基于专家语义，对各评价指标分别两两比较其对于准则层的重要程度，进而构建指标的比较矩阵，即

第 2 步，采用文献 [12] 的方法将 A 中列进行归一化处理，得到归一化后的列，表达式为

第 3 步，对经过列归一化的 A 中各行元素求和，得到归一化列的和表达式为

式中：n 为指标的数量；ai,j为比较指标重要程度的标度值，定义一般遵循 1～9 标度准则，且 aj,i= 1/ai,j，ai,i= 1；i，j，k 代表指标的数目。

1.3 集对分析

从现象上看，信息系统的安全状态发展具有随机性和偶然性的特点，安全评价因素和过程具有不确定性，系统的安全等级目前只能做到定性预测而无法达到精确的定量预测。事实上一个系统状态的演化均存在内在规律性和关联性，信息系统的安全事件的变化和发展也存在一定的必然性和确定性。信息系统的安全等级可以根据系统在过去和现在的安全状态对现在和未来的发展变化进行评估，使维护人员尽早采取预防措施，同时掌握信息系统的安全变化情况，为系统安全管理，制定安全对策提供决策依据[13]。

为了量化系统在不同安全等级下的状态值，另引入 SPA[14]。集对分析是处理系统确定性和不确定性相互作用的数学理论，是在多元联系数的基础上分析系统因素的确定性和不确定性，主要从同势、异势、反势 3 个方面，研究两事务的相互联系、影响、制约的内在关联。集对分析基本理论可以表述为：对任意 2 个集合 P 和 S，由集合 P 和 S 组成集对 X，即 X = { P， S }。假设集对 X 包含 N 个元素，其中集对 X 中存在 R 个相同特征的元素为集合 P 和S 共有；存在 H 个元素在集合 P 和 S 上的关系不确定；存在 T（T = N - R - H）个元素在集合 P 和 S 上表征为对立关系。

假设：a = R/N，b = H/N，c = T/N，在集对分析理论中，a 表示相同度，b 为差异度，c 为对立度。在集对分析中，以 μ 表示 P 和 S 相同、相异和相反的程度，也称为联系度，则：

式中：u 和 v 分别表示不确定和相异的系数，在实际应用中根据系统定义的安全等级划分，可将 b×u 分为 b1×u1，b2×u2，…，bm×um，m 为安全等级中介于安全和不安全中间等级的数目。

2 面向安管平台的网络安全评估方案的构建

基于 AHP 和 SPA 的信息系统安全综合评估方法，首先需要根据信息系统现状选取能反映系统性能和安全特性的关键指标；然后应用 AHP 法确定各个关键指标的权重；最后应用 SPA 法计算系统的联系度达到评估水利信息系统安全性的目的。面向安管平台的水利信息系统安全评估流程如图2 所示。

图2 水利信息系统安全性综合评估流程图

2.1 构建水利信息系统安全评估关键指标

建立水利信息系统安全评估关键指标首先需要对信息系统安全影响因素进行分析。网络信息系统的安全需求是全方位的、整体的，相应的网络安全体系也是分层次的，在不同层次反映了不同的安全问题。基于网络的信息系统安全内容十分广泛，安全要求各不相同。在关键指标的构建过程中应围绕以下 6 个原则：

1）结合应用实际并与国际管理接轨。参考国际标准规范，制定符合具体网络、业务和应用特点的评估指标体系。

2）具有综合性和全面性。考虑的指标必须反映信息系统安全性的各个方面。

3）便于计量且具有可操作性。指标的含义明确，具备现实收集渠道，便于定量定性分析。

4）具有一定的独立性。评估指标应可以独立地评估信息系统的某项具体内容，尽量不与其他指标的内涵交叉、重叠。

5）具有导向性。指标应能反映信息系统安全的客观需求及监管部门政策措施的落实。

6）具有可延续性。除选择反映当前现实的信息系统安全水平指标外，还应选择能反映信息系统安全发展趋势的指标，以保证该指标体系具有可持续性。

通过与行业内负责网络安全运维的专家们调研和对水利安管平台的梳理，得到的能够适用于系统安全评估的关键指标集如图3 所示。

图3 水利信息系统安全性关键指标集

2.2 构建水利信息系统安全性评估过程

首先，针对水利信息系统安全评估关键性指标，采用层次分析法处理的步骤确定指标的权重向量 W = [ w1… w8]；其次，根据安全管理平台中对水利信息系统安全程度的描述，系统的安全等级划分为安全、轻微危险、一般危险、重要危险、严重危险。按照集对分析中联系度公式的定义，水利信息系统的安全性可以用联系度公式表达为

式中：a 表示相同度，在本评估过程中代表水利信息系统处于安全等级的程度；c 表示对立度，在本评估过程中代表水利信息系统处于严重危险等级的程度；b1，b2，b3表示差异度，在本评估过程中，分别表示信息系统处于轻微危险、一般危险、重要危险等级的程度，u1，u2，u3，v 分别代表轻微危险、一般危险、重要危险和严重危险的等级系数。最后，结合指标权重向量 W 得到的水利信息系统的安全性评估值如下：

式中：W 为指标的权重向量；B 为联系度矩阵，表达式为

矩阵 B 的行数为指标个数，B 中元素通过计算指标对应的每一安全等级下事件的数量与指标对应的事件总数量的比值得出。

3 方法验证

为了验证所提出方案的可行性，选取了 2017年4月 20日至 5月 20日之间安管平台采集的网络安全事件进行验证。在指标权重确定的过程中，判断矩阵 A 的确定采用文献 [15] 的方法，最终得到的指标权重如表1 所示。

表1 水利信息系统评价指标权重

对选取的安全事件按照指标类型和安全等级进行分类，限于篇幅和安管平台数据采集周期的原因，只采用威胁类指数对应的 6 个指标进行联系度矩阵 B 的计算，最后按照公式（7），得到水利信息系统在选取时间段内的安全性评估值为

从计算结果可以看出，在所选的时间段内，水利信息系统处于安全、轻微危险、一般危险、重要危险和严重危险等级的程度值分别为：0.007 0，0.000 1，0.025 0，0.021 8 和 0.000 1，并且信息系统处于一般危险状态的程度值最高为 0.025 0，其次为0.021 8，可以反映出在所选取的时间段内，水利信息系统总体处于中等安全状态，并且由于受到“永恒之蓝”黑客恶意攻击工具的影响，信息系统处在重要危险等级的程度偏高。

4 结语

水利信息化建设已进入快速发展的阶段，面向水利业务的信息系统也不断建设和丰富完善。在网络安全形势日益严峻，各种安全事件频繁发生的严峻背景下，我国制定了《中华人民共和国网络安全法》，从网络运行、信息安全，监测预警与应急处置等方面制定了相应的法律要求，在这种背景下，建立面向水利信息系统的综合安全管理平台也成为水利信息化工作中的必然要求。针对水利信息安全管理平台中存在的无法对业务系统安全性进行精确量化评估的问题，提出的基于 AHP 和 SPA 法的综合性安全评估方案，与目前水利信息安全管理平台中所用以算数平均法为原则的健康度算法相比，可以有效量化业务系统在不同安全等级下的性能值，且整体评估流程简单易用。下一步将在安管平台的基础上，针对主要的水利信息管理系统，如水利财务信息和 OA 等系统，采用该方案对它们的安全性进行更广范围的评估验证，以期为未来对业务系统安全进行态势感知分析提供方法基础，并为未来安全维护人员有效评估系统安全性能，制定及时有效的预防策略提供依据。

[1] 张爱玲. 移动运营商网络安全管理平台架构分析与探索[J]. 科技通报，2017，33 （2）: 90-94.

[2] 梁金宏，刘威，赵利民，等. 校园网络安全管理平台的搭建与研究[J]. 科研，2016 （12）: 87.

[3] 范沁春. 企业网络安全管理平台的设计与实现[J]. 网络安全技术与应用，2015 （7）: 74..

[4] 张小军，李铁强，张倩，等. 基于主动防御模型的信息安全管理平台研究[J]. 遥测遥控，2016，37 （1）: 60-66.

[5] 王一，胡汉平，王祖喜，等. 基于流量攻击判定的网络安全评估模型[J]. 华中科技大学学报（自然科学版），2008，36 （4）: 37-40.

[6] 成卫青，龚俭. 网络安全评估[J]. 计算机工程，2003，29 （2）: 182-184.

[7] 赵冬梅，刘海峰，刘晨光. 基于 BP 神经网络的信息安全风险评估[J]. 计算机工程与应用，2007，43 （1）: 139-141.

[8] 王笑，李千目，戚湧. 一种基于马尔科夫模型的网络安全风险实时分析方法[J]. 计算机科学，2016，43 （增刊 2）: 338-341.

[9] 蔡阳. 水利信息化“十三五”发展应着力解决的几个问题[J]. 水利信息化，2016 （1）: 1-5.

[10] 张建锋. 网络安全态势评估若干关键技术研究[D]. 长沙：国防科学技术大学，2013: 33.

[11] 郭金玉，张忠彬，孙庆云. 层次分析法的研究与应用[J].中国安全科学学报，2008，18 （5）: 148.

[12] 张吉军. 模糊层次分析法（FAHP）[J].模糊系统与数学，2000，14 （2）: 80-88.

[13] 黄丽芬，黄大荣，赵玲. 基于多元集对分析联系数 AHP方法的网络安全评估[J]. 指挥控制与仿真，2015 （4）: 82-86.

[14] 赵克勤. 集对分析及其初步应用[J]. 大自然探索，1994 （1）: 67-72.

[15] 邓尚民，董亚倩. 基于 AHP 的高校网络舆情安全评估指标体系构建研究[J]. 情报杂志，2012，31 （8）: 31-36.

Design scheme oriented to cybersecurity evaluation of water resources information system

HE Ting1, ZHOU Weixu1, ZHANG Yi2

（1. Water Resources Information Center, the Ministry of Water Resources, Beijing 100053, China; 2. Beijing Jinshui Information Technology Development Co. Ltd, Beijing 100053, China）

A synthetic scheme is put forward for the aim of evaluating of the security of the water resources business system. Firstly, the health evaluation indexes of the system is classified; then the Analytical Hierachical Process （AHP） method is applied to acquire the weights of the indexes; finally, the Set Pair Analysis （SPA） method is employed to get the quantified security level of the system according the predefined security level according to the standard of information system security grades. Compared to the traditional method such as weighted average method, it can be predicted that this scheme quantify the blurry parts of the system between the safe and unsafe levels. This scheme provides more synthetic evaluating results which provide more accurate foundations for the maintenance users.

water resources information system; cybersecurity; security evaluation; evaluation scheme; AHP method; SPA method

TV39；TP393.07

A

1674-9405（2017）03-0010-06

2017-04-17

贺 挺（1984-），男，山东烟台人，博士 ，从事水文气象与水利信息化工作。

10.19364/j.1674-9405.2017.03.003