基于层次分析法的空间网络防护等级评估模型研究* 1

万　抒，冷　冰，廖竣锴

(中国电子科技集团公司第三十研究所，四川 成都 610041)



基于层次分析法的空间网络防护等级评估模型研究* 1

万抒，冷冰，廖竣锴

(中国电子科技集团公司第三十研究所，四川 成都 610041)

摘要：空间网络作为获取空间信息的物质基础和重要保障，其上可承载数据收集、侦查监视、导航定位、通信保障、指挥控制和空间防御等多种应用服务，如何利用有限的安全资源按需为各类信息服务提供保护是空间网络安全领域的一个难点问题。针对空间网络的分级防护需求，以我国等级保护测评要求为参考，提出空间网络防护等级评估模型，采用层次分析法构建空间网络安全评估指标体系，以此为依据量化评估网络系统的综合防护能力，以满足不同应用服务安全需求。

关键词：层次分析法；空间网络；防护等级；评估模型

0引言

空间网络作为获取空间信息的物质基础和重要保障，是构建天地一体化网络的重要组成部分，是以卫星网络为骨干，包含各类航天器、航空器以及相关地面设备所组成的异构式网络[1],并与空基网络、地面固定、无线通信网以及数据中心等基础设施深度融合的一体化网络，其上可以承载数据收集、侦查监视、导航定位、通信保障、指挥控制和空间防御等多种应用服务。

空间网络的资源调度和资源利用机制一直是一个重要的研究课题，如全球信息栅格(GIG)、转型通信体系结构(TCA)和欧洲一体化全球通信基础设施(ISICOM)等空间网络系统在结构设计、网络构建和综合应用方面具有一些鲜明的特点。但现有的空间网络研究中，重点聚焦于空间网络通信资源的有效利用，对于安全资源的利用机制研究比较少。如何利用有限的空间网络安全资源对各类应用服务按需提供安全防护能力一直是空间网络安全领域的难点问题。本文主要针对上述问题，提出空间网络防护等级评估模型和空间网络安全评估指标体系，以适应不同应用服务的安全需求，最大程度上利用有限的网络空间安全资源为各类应用服务的获取、处理和传输等关键环节提供安全保障能力。

1相关工作

在网络空间中，多种安全防护措施和措施已逐步应用和集成到空间网络安全领域，但网络空间系统的整体安全防护水平如何量化，如何准确的评估分析不同逻辑子网或子域能够承载的应用服务，是网络空间安全领域重点关注问题。

文献[2]提出了基于等级保护的风险评估方法，侧重于评估方法的讨论，没有形成完整的评估体系；文献[3]提出了层次分析与模糊综合评价应用于信息安全的量化评估模型，侧重于安全威胁和风险的评估，没有说明能够为应用服务提供安全保护能力，没有聚焦于某一特定领域，针对性不强；文献[4]提出了一个多维的信息安全指标体系，但没有具体说明功能度量指标和安全防护措施之间的映射关系，没有区分不同领域中度量指标的权重分配，实用性不强。

2空间网络安全需求分析

由于空间网络的具有链路开放性、网络结构动态性、通信平台异构性等特点，相对于传统的地面信息网络而言，更易受到各种类型的网络攻击或网络威胁。威胁产生原因包括：1)针对无线链路的干扰、窃听、伪造报文以及假冒合法参与者的攻击；2)TCP/IP的安全漏洞问题；3)由于供应链的非自主可控导致的软硬件平台可能被预置后门。

针对上述的空间网络安全威胁，需要在空间网络信息传输、分发、推送和访问等关键环节上部署多种安全防护措施，本文梳理了空间网络安全领域(不包括应用服务安全、数据资源安全等)的相关防护措施，包括：计算环境安全可信、应用软件安全加载、系统资源安全管控、网络接入控制、网络互联控制、网络安全隔离、恶意代码防御、网络入侵防御、网络安全审计、信令安全防护、信息完整性保护和信息传输加密等，重点解决空间网络自身节点安全可信、空间网络安全互联、网络边界安全防护和数据信息安全传输等方面的问题，能够抵御网络注入攻击、网络渗透攻击、拒绝服务攻击、网络蠕虫传播、路由欺骗攻击、信息监听窃取、信息重放篡改等网络攻击形式。

3层次分析法的理论说明

3.1层次结构模型

由于网络空间安全防护措施主要以定性的描述为主，可通过层次分析法将定性的方法转化为定量的指标。层次分析法在意在找出组成问题各个元素以及它们之间的相互关系，并按属性不同将其分解为若干层次[5]。一般可分为目标层A，准则层B，指标层C三个层次，形成从上到下有支配关系的递阶层次结构。

针对以定性指标为主的大型信息系统，本文依据Saaty等人提出九级标度方法[6]，通过两两比较分析不同要素之间的相关性来评估各要素的权重值，避免由于主观性造成的偏离影响。

对于n个元素B={C1,C2,…,Cn}来说，可以得到两两比较判断矩阵:

D=(αij)n×n

(1)

以构建的判断矩阵为基础，本文采用方根法计算最大特征值及其对应的特征向量。首先计算判断矩阵每一行元素的乘积Mi：

对向量进行规范化处理，

(2)

则W=[W1,W2,…,Wn]T即为所求的特征向量。

3.2层次排序及一致性检验

为了避免决策问题中主观性的偏差影响，需要对向量进行一致性校验。依据所求的特征向量计算最大特征值λmax：

(3)

之后计算一致性指标CI：

(4)

为了度量不同阶的判断矩阵是否具有满意的一致性，还需引入判断矩阵的平均随机一致性指标RI，取值如表1所示。

表1　一致性指标RI

计算随机一致性比例CR：

(5)

当CR<0.1时，即认为判断矩阵的具有满意的一致性，否则需要调整判断矩阵。

4空间网络安全分级防护模型

4.1设计原理

空间网络在信息的传输、访问、分发和存储等关键环节提供多种安全防护措施，包括计算环境安全可信、应用软件安全可信、系统资源安全管控和网络接入控制等安全防护措施，不同的应用服务所需的防护功能和防护强度并不相同，为了解决上述问题，本文提出了基于层次分析法的空间网络防护等级评估模型，针对空间网络进行安全威胁分析和安全需求分析，通过映射关系将各类安全防护措施抽象为安全功能评估因子，基于多层次的安全功能评估因子构建空间网络领域的防护等级综合评估框架，通过两两对比分析的方法将定性的安全手段转化为可量化的安全功能指标，通过综合分析方法评估某一网络或区域能够提供的安全保护能力，以此为基础进一步评估其能够承载的应用服务。

基于层次分析法的空间网络防护等级评估模型重点解决同一类安全防护措施的宏观部署和调度的问题，以实现安全资产的最大化复用；安全策略微观调整操作并不受该模型的约束。该模型的总体设计思路如图1所示。

图1　基于层次分析法的空间网络防护等级模型总体设计

4.2网络安全等级指标体系

本文利用层次分析方法建立的网络安全等级指标体系，体系分为目标层，准则层，指标层三个层次，形成从上到下有支配关系的递阶层次结构。其中，将目标层定义为“网络安全防护等级”，即表明指标体系的构建目的是为了评估网络安全防护等级；准则层在宏观层面对影响网络安全防护等级的指标进行了划分，聚焦在自身节点安全、网络互联安全、网络边界安全和数据信息安全四个方面；指标层将准则层划分的宏观方向性指标分解为具体的安全功能指标。如表2所示。

表2　网络安全等级评估指标体系

4.3网络安全等级指标权重

本文首先采用专家评分的方式对安全功能指标进行两两比较，之后利用式(1)构建目标层或准则层的判断矩阵。

以准则层的网络边界安全B3为例探讨指标权重的构建方法。在资源受限的空间网络中，网络恶意代码、网络入侵均会对网络系统造成较大损伤，但就两两比较来看，网络恶意代码由于本身的衍生、复制和快速传播能力的特性会让其波坏力呈指数增长，所以重要性最高；网络访问控制主要针对信息的越权访问和非法访问等网络威胁，故与前两类网络安全功能比较其重要性稍低；网络安全审计是事后追溯和问责的安全手段，与其他安全功能相比其重要性更低。

基于上述分析，利用式(1)针对准则层B3的构建判断矩阵：

利用式(2)计算Db3的特征向量为{0.1219, 0.5579, 0.2633, 0.0569}，然后计算出λmax=4.118 5。

利用式(4)计算一致性率CR=0.043 9，小于0.1，说明判断矩阵符合一致性要求，故以Db3的特征向量作为其评估权重分配{0.2633,0.0569,0.1219,0.5579}。

基于上述的计算方法，针对自身节点安全、网络互联安全和数据信息安全以及安全防护等级分别构建判断矩阵并计算相关指标的评估权重值：

(1)自身节点安全指标权重

利用式(1)针对准则层B1的构建判断矩阵：

利用式(2)计算Db1的特征向量为{0.5390, 0.2973, 0.1638}，然后计算一致性率CR=0.008，说明判断矩阵符合一致性要求，特征向量可作为分配权重。

(2)网络安全互联指标权重

利用式(1)针对准则层B2的构建判断矩阵：

利用式(2)计算Db2的特征向量为{0.3202, 0.5571, 0.1226}，然后计算一致性率CR=0.0159，说明判断矩阵符合一致性要求，特征向量可作为分配权重。

(3)数据信息安全指标权重

利用式(1)针对准则层B2的构建判断矩阵：

利用式(2)计算Db4的特征向量为{0.1226,0.3202,0.5571}，然后计算一致性率CR=0.0159，说明判断矩阵符合一致性要求，特征向量可作为分配权重。

(4)目标层指标权重，

从指标体系的四个方面能力来看，数据信息安全侧重于解决数据机密性和完整性的问题，而属于某些重要业务数据基本的安全需求，故重要性最高；网络互联安全侧重于解决网络非法接入的问题，网络边界安全针对网络接入后的行为监管和越权访问问题，故网络互联安全的重要性略高；由于节点自身安全只针对网络组成节点，无法从整体上评估区域的计算环境安全，故其重要性相对较低。基于上述分析，利用式(1)针对目标层A的构建判断矩阵：

利用式(2)计算Da的特征向量为{0.0743, 0.1947, 0.2942, 0.4369}，然后计算一致性率CR=0.0209，说明判断矩阵符合一致性要求，特征向量可作为分配权重。

(5)安全等级指标体系权重

最终得出安全等级防护指标体系的各层析指标权重向量Wc=(wc1,wc2,,…,wcn)，如表3所示。

表3　网络安全等级评估指标体系权重

4.4网络安全等级指标取值

本文根据度量值加权法的基本思路，首先将网络安全等级的功能指标分解为功能评估因子向量Vpi。以网络恶意代码为例，其功能评估因子包括安全分析引擎强弱、系统计算资源大小、恶意代码样本库的规模和协议解析能力等多个方面，赋值方式参见表4。

表4　网络安全等级指标度量值

之后，可邀请的安全专家、业务专家、系统使用者对各个因子分配权重，针对功能指标i的第j个功能评估因子的重要性进行赋权，得到功能指标权重向量Wpi，其中i为指标序号。

Wpi=(wpi1,wpi2,wpi3,…,wpin)，

最后以上功能评估因子向量和功能指标权重向量得到指标i的统一度量值：

vci=Vpi*WpiT

逐一完成各个功能指标量化计算后，进而得到整个指标体系的统一度量向量Vc：

Vc=(vc1,vc2,…,vcn)

4.5网络安全等级评估计算

(6)

最终得到一个防护等级的量化评估值，取值范围VR∈(0-8)。

5实例分析

5.1测试环境

本文通过搭建一个边界网络带宽为100MHz的空间网络测试环境，接入三个子网：A、B、C，子网地址分别为：192.168.1.0/24、192.168.2.0/24、192.168.3.0/24。每个子网中部署了一个安全服务网关，各类网络安全功能以模块形态集成到安全服务网关上。

其中，子网A的网关集成了计算环境安全可信、系统资源安全管控、网络接入控制、网络互联控制、恶意代码防御、网络访问控制、数据完整性保护和数据传输加密8项安全防护措施；子网B的网关集成了系统资源安全管控、网络接入控制、网络互联控制、网络入侵防御、网络访问控制、数据完整性保护和数据传输加密7项安全防护措施；子网C的网关集成了系统资源安全管控、网络接入控制、网络安全隔离、网络安全审计、网络访问控制、信令安全防护和数据完整性保护7项安全防护措施。安全服务网关作为各个子网安全功能的调度中心，可以依据任务需求灵活调度和调配各个安全模块。测试环境的网络拓扑图如图2所示。

图2　测试环境拓扑

由于实际网络建设目标和系统需求的差异性，导致各类安全措施的防护能力所有不同，但本文意在讨论评估模型的有效性，为了避免主观性评价的偏差影响，故将安全防护措施的能力均假设为最高等级，取值为1。基于表3的指标权重分配向量，评估各个子网的网络安全防护等级见表5。

表5　试验数据

利用式(6)计算子网A、子网B和子网C的网络安全等级评估值分别为：6.451 2,5.438 4,3.089 6，上述三个子网能够达到的安全防护等级分别为6级、5级和3级。

5.2试验结论

试验数据表明，虽然子网A、B、C部署的安全防护措施数量基本相同，但各子网能够达到安全防护等级明显不同，由于子网A和子网B在数据机密性、完整性和受控性方面的能力强于子网C，导致其安全等级量化评估值高于子网C。

本文假设指挥控制和空间防御等重要的应用服务需要5级以上的防护能力，则子网A、子网B可以承载上述所有应用服务并实现网络通信和信息分发，而子网不能承载上述应用服务，只能承载数据收集、导航定位、通信保障等普通的应用服务。

6结语

基于层次分析法的空间网络防护等级评估模型针对网络空间的安全需求，提出了网络空间安全等级评估指标体系，将以定性为主的安全防护功能转化为可量化的功能指标，进一步提出了指标体系中的统一度量和权重分配的计算方法，能够较为准确的区分不同类型、不同安全功能的逻辑子网或区域能够提供的安全保护能力。系统设计人员或系统管理人员以安全等级量化评估值为依据，能够清晰的分辨出哪个哪些区域(或网络域)具备承载哪些应用服务的能力，为构建分级分域的网络空间防护体系提供了量化指标参考和基础安全支撑。

但是，基于层次分析法的空间网络防护等级评估模型通过各个安全评估因子之间的重要性对比实现将定性为主的安全功能转化为可量化的功能指标，其主观性可能会对安全等级量化评估值造成一定的影响，而且不同区域内各个安全评估因子之间的重要性对比值也可能存在差异性，如何构建自适应的空间网络安全等级评估方法，是该模型后续需要研究的问题。

参考文献：

[1]闵士权．我国天基综合信息网构想 [J]. 航天器工程，2013, 22(05)

MINShi-quan．AnIdeaofChina’sSpace-basedIntegratedInformationNetwork[J].SpacecraftEngineering, 2013, 22(05)

[2]李杨，聂晓伟，杨鼎才．一个基于等级保护的有效风险评估方法[J]．计算机应用研究，2005,22(07):39-41.LIYang,NIEXiao-wei,YANGDing-cai．EffectiveRiskAssessmentMethodbasedonHierarchyProtection[J]．ApplicationResearchofComputers，2005,22(07):39-41.

[3]李鑫，李京春，郑雪峰等．一种基于层次分析法的信息系统漏洞量化评估方法[J]．计算机科学，2012,39(07):58-63.

LIXin，LIJin-chun，ZHENGXue-feng,etal.AnalyticHierarchyProcess(AHP)-basedVulnerablityQuantitativeAssessmentMethodforInformationSystem[J].ApplicationResearchofComputers[J].ComputerSciences, 2012,39(07):58-63.

[4]邓平，范科峰，张素兵等．一种安全操作系统风险评估模型[J] .计算机工程，2011,37(09):57-58.

DENGPing,FANKe-feng,ZHANGSu-bing,etal.RiskAssessmentModelofSecurityOperatingSystem[J].ComputerEngineering,2011,37(09):57-58.

[5]李智，刘源，闫斌.层次分析法在ZigBee网络语音通信中的应用研究[J].通信技术，2015,48(04):442-444.

LIZhi，LIUYuan，YANBin.ApplicationofAHPinZigBeeNetworkVoiceCommunication[J].CommunicationsTechnology, 2015, 48(04): 442-444.

[6]SaatyTL.AnalyticHierarchyProcess[m] .Mc.Graw:HillInternationalBookCompany，1980.

Protection Grade-Assessment Model of Space Network based on Analytic Hierarchy Process

WAN Shu，LENG Bing, LIAO Jun-Kai

(No.30 Institute of CETC, Chengdu Sichuan 610041, China)

Abstract：The space network, as the material base and important guarantee in getting the space information, can support the data collection, reconnaissance and surveillance, navigation and positioning, communication, space defense and other application services. How to make use of limited security resources and provide the on-demand protection for all the application services now becomes a difficult problem in the field of space-network security. Aiming at the requirement of space- network classification protection, and with reference on test-and evaluation criteria of classification protection in China, the grade assessment model of the space network is proposed and the evaluation quota system of the space network based on the analytic hierarchy process established for quantitatively evaluating the comprehensive protective ability of the network system and fairly satisfying the security requirement of various application services.

Key words：AHP; space network; security level; evaluation model

doi:10.3969/j.issn.1002-0802.2016.05.023

* 收稿日期：2015-12-16；修回日期：2016-03-22Received date:2015-12-16；Revised date：2016-03-22

基金项目：国家自然基金(No.61309034)

Foundation Item:National Natural Science Foundation of China(No.61309034)

中图分类号：TP309

文献标志码：A

文章编号：1002-0802(2016)05-0632-07

作者简介：

万抒(1982—)，男，硕士，工程师，主要研究方向为信息安全；

冷冰(1976—)，男，硕士，高级工程师，主要研究方向为信息安全；

廖竣锴(1976—)，男，硕士，工程师，主要研究方向为信息安全。