基于定量安全风险评估模型的网络安全管理平台.pdf

《基于定量安全风险评估模型的网络安全管理平台.pdf》由会员分享，可在线阅读，更多相关《基于定量安全风险评估模型的网络安全管理平台.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、27卷 第5期2010年5月微 电 子 学 与 计 算 机MICROELECTRONICS&COMPUTERVol.27No.5May 2010收稿日期:2009-03-30;修回日期:2009-05-30基于定量安全风险评估模型的网络安全管理平台孙 强(牡丹江师范学院 计算机科学与技术系,黑龙江 牡丹江157012)摘 要:分析了当前主要网络安全产品的局限性,阐述了建设网络安全管理平台的必要性,在此基础上介绍了一种基于定量安全风险评估模型的网络安全管理平台;讨论了系统架构、定量安全风险模型和系统安全机制等系统实现中的关键技术问题及其解决方法.关键词:网络安全;信息安全;安全管理;安全风险评估

2、模型中图分类号:TP309 文献标识码:A 文章编号:1000-7180(2010)05-0070-04Network Security Management Platform Based on QuantitativeSecurity Risk Assessment ModelSUN Qiang(Department of Computer Science and Technology,Mudanjiang Teachers College,Mudanjiang 157012,China)Abstract:The limitations of main network security pr

3、oducts at present are analyzed in this paper.Meanwhile,the neces2sity of establishing network security management platform is also explained,on the basis of which network security man2agement platform based on quantitative security risk assessment model is introduced.Besides,the key technological pr

4、ob2lems and the corresponding solutions are discussed in the implementation of the system architecture,quantitative securityrisk assessment model and the security mechanism of system.Key words:network security;information security;security management;security risk assessment model1 引言随着网络和信息技术的蓬勃发展和

5、广泛应用,越来越多的职能性专用网和信息系统的规模在不断扩大,随之而来的安全管理问题也日渐繁杂.因为要想保障基于大型网络和信息系统之上的业务正常运转,必须综合考虑应对各种问题,包括:设备故障、黑客入侵、信息外漏、病毒传播等.然而无论是传统意义上的网管系统,还是各类安全技术产品,都只能解决局部问题;此外各类安全产品之间缺乏互操作性,很难做到协同调度、统一管理,无法保证整个网络和信息系统在安全策略上的完整性和安全措施上的一致性.在这种情况下,不仅会加重网络和安全管理人员的负担,更会使网络和信息系统的动态安全性无法得到保证,大大增加整个系统的维护费用1.为了理清网络安全建设的发展思路,为网络安全管理提

6、供有效的技术手段,人们在多年网络建设和管理的基础上,提出以全网设备和用户信息管理为基础的,集各类网络产品管理为一体的信息网络安全管理平台的设想,最终实现网络安全管理信息分级管理,全网实时监控,达到加强网络安全统一管理,确保网络安全畅通的目的,最终提出网络安全管理平台(Security Management Platform,SMP)管理软件2.网络安全管理平台的目标是保护有可能被侵犯或破坏的机密信息不受外来非法操作者的控制,也就是实现信息的机密性(Confidential)、完整性(Integrity)和可用性(Availability),即CIA这三个方面的安全目标3.但CIA本身排除了其他

7、一些重要的方面和需要考虑的地方.文中介绍了系统架构、定量安全风险模型和系统安全机制等系统实现中的关键技术问题及其解决方法,最后给出该系统的特点和进一步研究工作的方向.2 系统的总体架构系统的设计主要采用面向对象的设计方法,使用了J2EE技术,基于MVC框架进行设计.J2EE提供了一个企业级的计算模型和运行环境用于开发和部署多层体系结构的应用.它通过提供企业计算环境所必需的各种服务,使得部署在J2EE平台上的多层应用可以实现高可用性、安全性、可扩展性和可靠性.系统总体架构如图1所示,是一个实现该系统的四层结构.图1SMP安全管理系统的总体架构用户层:也就是客户端层.用来与用户交互,并把来自系统的

8、信息显示给用户,在该层用户可以输入和更新数据;Web层:该层包含J2EE Web组件,包括了JSP和Servlet.该层主要用来处理客户请求,调用相应的逻辑模块,并把结果以动态网页形式返回到客户端.该层生成Web页面和Web页面中的动态内容,该动态内容通常从数据库获得,并且在表示层能够把客户端传来的Web页面包含的请求打包.使用Struts框架来构建此层.Struts框架中的Action2Servlet描述如何处理HTTP请求,如何产生应答,在系统中可以使用它们来传递动态内容.业务层:这一层负责处理应用的核心业务逻辑.业务组件通常被实现为运行在EJB容器内的EJB组件,EJB容器提供组件生命周

9、期、管理持久性、事务和资源分配等.该层是开发中最重要的一部分,在该系统中很多复杂的业务逻辑使用EJB来实现,并且将一些常用的功能也以EJB组件的形式实现.数据层:负责数据管理,完成数据采集,该系统采用ORACLE数据库,数据库中的数据主要包括:资产数据信息、漏洞信息数据、威胁信息数据、风险信息数据、事件信息数据、工单信息数据、安全知识策略数据和系统支持信息.在设计中,尽量把动作和业务逻辑同数据层分离开,为了确保数据完整性和一致性,在数据库中包含了一定的约束,例如notnull约束和外键约束等.3 定量安全风险评估模型3.1 基本要素描述基于风险要素的风险计算模型是以ISO13335-1中的核心

10、安全风险模型为基础进行系统建模的.基本要素为资产价值、威胁、漏洞、风险.各要素的相互关系如图2所示模型.图2 安全风险模型各种要素的相互关系(1)资产价值是指在评估范围内的资产的自身价值和资产在系统内重要性的统一值.(2)威胁是指信息资产的安全可能受到的侵害,因为目前不可能实现事件和漏洞的精确对应,所以采用威胁来关联攻击行为(事件)和漏洞,定量的风险评估计算模型知识库自身定义的威胁由服务人员根据事件类和漏洞来建立4.(3)漏洞本身是无害的,是被威胁利用来影响资产的一个必要条件,定量风险评估计算模型知识库自身定义了具体漏洞,包括扫描器的漏洞和人工评估的具体漏洞.(4)风险是指某个时间范围内企业的

11、安全状况.风险是在考虑事件发生的可能性及其可能造成的影响下,漏洞被威胁所利用后在资产上所产生的实际负面影响.风险是威胁可能性和威胁影响性的函数5.风险的函数关系为风险=F(资产价值、漏洞值、威胁影响值、威胁可能性)17 第5期孙强:基于定量安全风险评估模型的网络安全管理平台3.2 定量的信息安全风险评估计算方法资产价值不仅仅为自身的价值,而是它在信息系统中的价值,与资产的机密性、完整性和可用性有关.具体计算公式为AR=log22C+2I+2A3(1)式中,AR表示资产的价值,C表示资产的机密性值,I表示资产的完整性值,A表示资产可用性值.漏洞值V是漏洞的一个属性,具体参见定量的风险评估计算方法

12、知识库中的安全漏洞库.威胁影响值分为影响初始值和影响资产值.影响初始值TL是根据统计和经验判断某个威胁可能造成的影响的大小,固化在系统知识库中.影响资产值指威胁发生后对特定属性(C、I、A)造成的影响,由三个权重(C权重、I权重、A权重)构成影响资产权重数组,此数组中CIA权重分别与资产的CIA值相乘后求和除以3,再开平方根得到影响资产值.威胁影响值则可以分为威胁初始影响值和威胁影响资产值两部分,可以由式(2)计算出来.TS=TL+TA2(2)式中,TS表示威胁对资产或者业务系统的影响性,TL表示威胁初始影响值,TA表示威胁影响资产值即威胁影响资产值,计算公式为TA=TCAC+TIAI+TAA

13、A3(3)式中,TCA表示威胁针对资产机密性的权重,TIA表示威胁针对资产完整性的权重,TAA表示威胁针对资产可用性的权重,C表示资产的机密性值,I表示资产的完整性值,A表示资产的可用性值.威胁可能性的判断可以确定某安全对象(资产)上是否面临某个威胁以及这个威胁发生的可能性有多大.威胁可能性的计算包括三个参数:固定经验值、发生条件值和发生次数值.威胁的固定经验值是国际组织长期统计的结果,固化在系统子知识库中,只能在知识库升级时修改.发生条件值的赋予根据具体的应用环境来确定,初始值为固定经验值,在此基础上调整.最后根据威胁、漏洞、资产都会增加风险值,得到风险值计算公式.首先通过式(4)计算出风险

14、中漏洞所能利用威胁的数值:T=TPTS(4)式中,T表示风险中漏洞所能利用威胁的数值,TP表示风险中漏洞所能利用威胁产生的可能性,TS表示风险中漏洞所能利用威胁产生的严重程度,也就是影响值.再利用前几节介绍的资产价值、漏洞值和风险中漏洞所能利用威胁的数值,使用式(5)计算出最终的风险值.RR=ARVT(5)式中,RR表示该风险的风险值,T表示风险中漏洞所能利用威胁的数值,V表示风险中漏洞所能利用威胁的数值(漏洞值),AR表示资产的价值.根据定量风险评估计算模型的计算,得出了每个风险的具体数值,我们可以根据这个风险值对风险进行等级划分.参考国家标准,定义严重程度为4级,如表1所示.表1 风险严重

15、程度及其描述风险严重程度描述及相应对策告知0,25正常网络状态,没有显著的网络攻击,只存在零星攻击.网络大多数情况下都处在此状态.此时保持普通安全策略.预警25,70有一些严重漏洞发布或网络攻击事件有增多迹象.此时需对网络和主机进行安全评估、安全升级,以及进行必要的监控.报警70,100某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加.此时需要立刻采取防御措施.紧急100,125网络安全态势非常严峻,对全球互联网造成严重影响.此时需要与其他网络协作采取防御措施.4 系统的安全机制安全管理平台自身的安全可靠对被管理系统的正常运行至关重要,因为安全管理系统中存储着重要的安全信

16、息和强有力的管理工具6.基于B/S结构的安全管理平台给安全管理带来了新的不安全因素,因为Web应用的平台独立性和地理无关性使得任何人、从任何地方都可能访问安全管理系统.为此,我们必须利用安全设备和安全技术来保证安全管理平台的自身安全.由于整个安全管理平台是一个包括Web服务器、数据库、数据引擎等部分组成的分布式的大型系统,不可能部署在一台主机上.我们首先部署相关的防火墙、路由器和网关等网络安全设备,对安全管理平台的外围进行安全性管理;对于安全管理平台内部的数据传输和存储我们使用了以下的安全技术:基于UA的用户认证、DES数据加密存储、自定义的数据加密报文传输、基于SSL协议数据保密传27微电子

17、学与计算机2010年输、基于用户组和访问控制链表的访问控制,各种机制之间的关系如图3所示.图3 系统安全机制 在图3中我们将安全管理平台逻辑上分为两部分:用大矩形框出部分作为系统的内部;负责数据采集的SMP数据代理和用户的Web浏览器是系统仅有的两个对外的接口,称为系统的外部,这两个外部接口也是整个安全管理平台自身安全防护的关键.在SMP数据代理与SMP数据传输时使用了自定义的数据加密报文,这个自定义加密报文采用MD5算法进行信息摘要,来认证数据源的可靠性和数据完整性,防止了假冒和篡改类型的攻击;使用IDEA算法进行信息和摘要的加密,防止了重要数据信息的泄密7.Web浏览器是安全管理平台唯一的

18、对外访问点,系统对用户的认证是由Web服务器完成的,由于用户名/口令认证机制的众所周知的弱点,我们在浏览器与服务器之间使用了安全套接字协议SSL,利用SSL基于公开密钥的证书来认证系统用户.为此,我们维护一个独立的CA(certificate authority)为SMP的每个用户签发证书.除了认证以外,SSL还保证了浏览器与服务器之间数据传输的保密性与完整性.同时在SMP软件中用户按照角色的不同分成不同的用户组,每个用户组中的用户具有不同的权限,只有具备足够权限的用户才能执行相应的操作(如读、修改、增加或删除),并且不同用户组对应不同的被管对象(即系统中的安全设备和网络设备),对被管对象的操

19、作可用以下三元组来表示:用户组,所属的被管对象,操作权限当一个用户想对一个被管对象进行某个操作时,系统先查找用户所在的用户组,然后再查找该用户组是否有管理这个对象的资格,最后再查看系统访问控制表,来检索用户对该对象的操作权限来决定是否可以进行此种操作.在SMP内部为了防止了关键数据的泄密,对于采集来的敏感信息,使用了DES加密算法加密之后存储在数据库中.5 结束语随着集成技术的发展以及网络安全产品接口的国际标准化工作的深入,网络安全管理平台也必将成为未来网络安全的综合解决方案.文中所研究的安全管理平台已经应用到实际的环境中,基本达到了预期的要求.但是所触及的仅仅是系统的一小部分,实现资产、漏洞

20、、风险、事件之间的关联及数据汇聚和挖掘分析工作还做得不够.下一步工作的目标是以安全管理平台数据为基础,实现高层次的业务相关分析功能和安全设备配置管理功能,实现对安全管理的自动化、智能化和统一化.参考文献:1孙强,陈伟,王东红.信息安全管理:全球最佳实务与实施指南M.北京:清华大学出版社,2004:56-72.2孙强,郭江鸿,王慧.基于消息通信的安全管理系统的设计与实现J.计算机工程与应用,2006,30(10):134-139.3 ISO/IEC TR13335-1 Guide-lines for the managementof IT security,part1:concepts and

21、models for IT securityEB/OL.2004-11-19.http:/www.din.de/ni/sc27.4冯登国,张阳,张玉清.信息安全风险评估综述J.通信学报,2004,25(7):10-18.5高寅生.安全漏洞库设计与实现J.微电子学与计算机,2007,24(3):99-101.6于璐,吴振强.基于免疫的自适应安全模型J.微电子学与计算机,2009,26(1):113-117.7段海新.基于Web和数据库的网络管理系统的设计与实现J.软件学报,2000,11(4):468-472.作者简介:孙 强 男,(1979-),博士.研究方向为信息安全和电子设计自动化等.37 第5期孙强:基于定量安全风险评估模型的网络安全管理平台