摘要:网络安全是一项系统和复杂的工程,与此密切相关的计算机网络信息安全问题越来越受到人们的普遍关注,因此,制定有效和科学的网络安全策略是确保网络信息安全的重要保障,而这离不开对网络安全的风险评估,制定有效的网络安全综合评价方式同样显得尤为重要。本文从探讨网络安全综合评价方式着手,从评价原理和评价模型两个方面分别对三种网络安全综合评价方式进行了探讨,以供比较和参考。
关键词:网络安全;评价方式;应用;探讨
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2012) 03-0000-02
The Study of Comprehensive Evaluation of Network Security
Sui Zhenyou1,Tong Lu2
(1.Institute of Adult Education,Inner Mongolia University for Nationalities,Tongliao028043,China;2. Xingan Vocational and Technical College,Xinganmeng137400,China)
Abstract:Network security is a complex project,this is closely related to computer networks,information security issues more and more people"s attention,therefore,to develop an effective and scientific network security policy is to ensure that the network information security protection,which requires network security risk assessment,development of a comprehensive evaluation of effective network security is also particularly important.Start of network security evaluation and comprehensive evaluation of the three types of network security are discussed from two aspects of the evaluation principles and evaluation model for comparison and reference.
Keywords:Network security;Evaluation methods;Application;Explore
一、引言
当今计算机网络技术迅猛发展,与此同时其网络安全问题也日益凸显,也成为计算机网络技术发展所需要解决的迫切问题[1]。因此需要对网络的安全状况进行合理和有效的评价,以帮助用户全面掌握网络安全状态,及时采取必要的防范措施,以确保网络的安全。目前在对网络安全的评价方法上,主要依靠查找系统的安全漏洞或者薄弱环节,进而对系统的安全性能进行测试评估。然而,计算机网络安全所涉及的领域太广,需要运用系统工程的思想方法才能对网络的安全状况做好有效的评估和得到准确的评价结果。我国在计算机网络安全的评价理论和方法研究上,虽有些学者对其进行了研究,但是研究成果还比较分散,仍未形成系统和科学的体系。对此,针对网络安全综合评价方式的研究现状,有必要对其进行梳理,为促进其深入研究提供参考。
二、三种网络安全综合评价方式探讨
网络安全综合评价具体包括了三个方面的内容,一是建立评价指标体系,二是需对评价指标实施标准化的处理,三是采用合适的评价方法。其中,评价指标选取的合适与否对综合评价有着基础性的影响,因此在对其的选取上务必要合理和科学。由于网络安全评价属于复杂工程,采用以往的定性或者定量方式都难以取得理想的评价效果,因此必须要寻找更为科学和有效的网络安全综合评价方式。
(一)基于层次分析法的网络安全综合评价方式
原理:层次分析法可以在对网络安全综合评价时把定性分析和定量分析结合起来,它的原理是:首先是对问题进行层次化分解,在该过程中对系统对象进行抽象化,转化为一个层次化、有序化的结构模型;其次是对同属层次中的评价指标进行互相比较,创建判断矩阵,产生评价指标相对权重;最后是计算每层指标的组合权重,获得各个指标相对于总指标的权重比较值,并进行排序,作为决策的依据。层次分析法可以把专家知识和人的主观判断结合起来,用数量形式进行表达和处理,将研究对象看作一个有机联系的整体,因而可以对系统进行有效的分析[2]。并且,采用层次分析法对网络安全进行评价,对影响网络安全的各种因素都可以充分考虑,有利于准确评价网络安全的风险状况。
模型:在用层次分析法构建网络安全综合评价模型前,很有必要了解与之相关的网络安全评价指标体系,以利于保障信息的完整性、可用性和保密性。目前在对网络安全进行安全评价的过程当中,还没有有效的指标体系建立方法,现在应用比较多的是德尔菲法,因其结合了不少专家经验和主观判断,可在概率上对很多不能进行定量分析的因素做出估算,并把评估报告报给评估专家,从而可利用信息控制及反馈来使评价意见收敛,最终得到一个协调的结果。采用层次分析法建立网络安全综合评价模型可以分为四个步骤,首先是要建立起网络安全的层次结构模型;其次是要建立起判断矩阵,再次是要计算指标权重,最后是要进行一次性检验。通常,可把网络安全的综合评价指标的层次结构模型分为三层,把网络安全定义为目标层,将管理安全、数据安全、环境安全及软硬件安全定义为规则层,把组织体系、制度管理、入侵检测、数据加密和数据备份等定义为措施层。判断矩阵是由专家知识对各层次的评价指标与上一层次的功能模型相对重要性进行互相比较,从而形成的一个数据矩阵。在对指标权重的确定上,需要按照一定的顺序进行,步骤如下:以专家经验为依据,对准则层相对于安全目标层的指标权重进行判断,确定其最大特征值和特征向量,再进行归一化处理,从而取得相应的权重系数;同理,可以计算确定措施层相对于准则层的每项指标权重系数;最后把上面两次计算出来的指标权重相乘,得到合成的权重,以表示措施层相对于安全目标层的合成权重。由于专家在各指标重要性的判断上存在差异,因此,还很有必要根据相应的判断矩阵一致性指标公式对判断矩阵实施一致性检验,以检验其一致性程度。
(二)基于模糊评价法的网络安全评价方式
原理:基于模糊评价法的网络安全评价方式是一种将定性分析和定量分析结合起来,综合化程度高的网络安全评价方式。所谓模糊综合评价法属于一种应用模糊数学的综合评价方法,其依据模糊数学中的隶属度理论将定性评价转变为定量评价,由模糊数学对受因素制约的对象作出总体评价,不但结果清晰和系统性强,而且可以有效解决一些模糊及难数量化的问题,因而在解决多种非确定性问题上具有很明显的优势[3]。
模型:建立网络安全的评价模型,需要做到以下几点:一是注意评估要素。网络安全的风险是由于各种外部的威胁因素通过其漏洞对资产价值造成破坏,其值是资产价值、网络脆弱等级和网络威胁评估等级的函数。二是资产评估。通过资产评估,可以提供重要资产价值评估和确定漏洞扫描器分布等。三是威胁评估,其主要包括评估各种类型资产薄弱环节、可能的威胁类型、各种攻击代价等。四是评估方法。评估方法是采用模糊数学的概念和方法,以便于得到简单易用的评估结果。采用模糊方法对网络安全进行安全评价时,首先要确定好隶属度函数,按照某一标准对包含所有评判因子在内的因素集合进行分组,一般把性质相近的因素放到一起。其次是建立好关系模糊矩阵,设置每个单项指标集合和风险级别集合,并对每个单项指标进行评价,由各自相关的隶属度函数来求出每个单项指标相对于风险级别的隶属度,从而得到关系模糊矩阵。同时,还需要根据相关条件来确定权重模糊矩阵。最后是根据权重模糊矩阵与关系模糊矩阵来确定模糊综合评价模型,通过把两个模糊矩阵相乘,所得的矩阵即是模糊综合评价模型。
(三)基于BP神经网络的网络安全评价方式
原理:BP神经网络是当前应用最为广泛的神经网络模型之一,最早由1986年的一个科学家小组提出,属于一种按误差逆传播算法训练而得的多层前馈网络。BP网络可以学习和贮存大量输入到输出模式的映射关系,不需先揭示描述该映射关系的数学方程。它通过使用最速下降法作为学习规则,由反向传播不断调整网络权值和阀值,从而可使网络的误差平方和取到最小。
模型:BP神经网络一般由输入层、隐含层及输出层构成。可以用BP神经网络来逼近在任意区间内的连续函数,实现相关的从输入到输出的映射关系。BP神经网络的模型在计算时采用梯度搜索技术,计算时,输入信号从输入层进入,再经隐含层单元的逐层处理,传到输出层,上层神经元仅影响下层神经元的状态。若输出层未能得到期望的输出,会转到反向传播,把输出信号误差按原连接通路返回,修改每层神经元的权重,使误差最小[4]。
基本评价步骤:首先是对网络初始状态进行初始化,主要是对相关的连接权值和阀值赋予-1到1之间的随机数;接着把第一个输入样本对输入;接着计算中间每层神经元的相应输入值和输出值;接着计算相关的连接到输出层单元和中间层单元的权限误差,接着对相关连接权值和阀值进行更新;再接着输入下一学习样本对,到全部模式对训练完毕,再开始新一轮的学习训练,直到满足相应的结束条件。
在网络安全评价中的应用。由于BP网络具有出色的非线性处理能力,可以有效解决在信息模糊、矛盾频杂等复杂环境下的判断和认知问题,在网络安全的评价当中也有广泛的应用。例如,有学者用BP网络对投资风险进行了评估研究,取得了良好的成果;有学者在电力系统中运用BP神经网络进行安全评估;也有学者将BP神经网络对地震灾害进行了评估。又如,有国外学者将BP神经网络应用于桥梁系统的性能评价当中,证明了其在方案评价中的潜力和效率;国内也有学者把BP神经网络应用于信息管理系统的综合评价和多目标综合评价当中,取得了不少研究成果。
三、结语
网络安全保障体系的建设将是一个长期和复杂的系统工程,不仅需要加强技术支撑和制度管理,还需要运用科学有效的网络安全综合评价方式对安全风险进行评估,根据安全评估报告采取相应的安全措施,从而使安全风险在可控的范围内。本文主要从原理和模型方面比较具体地探讨和梳理了层次分析法、模糊评价法和BP神经网络在网络安全综合评价中的应用情况,结果表明这三种方法在对网络安全综合评价中的应用可以使评价结果更加客观和准确。
参考文献:
[1]许福永,神剑,李剑英.网络安全综合评价方法的研究及应用[J].计算机工程与设计,2006,27(8):1398-1400
[2]李健宏,李广振.网络安全综合评价方法的应用研究[J].计算机仿真,2011,28(7):165-168
[3]刘文奇.模糊综合法评估校园网网络安全[J].科技风,2011,2:236
[4]于群,冯玲.基于BP神经网络的网络安全评价方法研究[J].计算机工程与设计,2008,29(8)1963-1966