面向民航信息系统的安全评估标准化方法

韩燕征，张旭高，仇晓锐，王 勇，姜来为

（1.北京首都国际机场股份有限公司信息科技部，北京 100621；2.中国民航大学a.计算机科学与技术学院；b.信息网络中心，天津 300300）

民用航空业务范围的扩大和业务复杂度的提高对维护民航运输秩序，保障旅客隐私安全和出行安全提出了新的挑战。民航信息系统是民航系统的重要组成部分，其安全问题的受重视程度已等同航空器飞行安全与空防安全问题。信息系统安全评估是从多层次、多维度评估信息系统安全状况的计算和分析过程，作为信息安全工作开展的关键步骤，对安全管理人员及时发现系统漏洞并布置防护措施，减少信息安全事件发生具有重要意义。

目前的主要评估方法为差距分析法[1]，该方法通过计算系统安全现状与理论要求之间的量化差距，对系统风险进行评估。由于该方法的受限因素较多，导致评估结果差距较大。为了全面合理地评估信息系统的安全状态，部分研究团队提出从物理环境、计算机网络、人为因素等角度提取安全要素并将要素形式化表达为安全评估体系[2-3]，基于该体系进一步结合层次分析法[4]、量表评价法[5]等方法量化安全态势评估结果，使民航信息系统安全评估体系内各指标评估结果粒度细化，从而提高评估准确性和科学性。由于参与评估工作的专家层次、经验不同，而适用于评语评价指标和数值评价指标共存于评估体系中，初步评估结果通常包括等级评价和评分评价，导致评估结果主观性较大且不利于综合分析系统整体安全状况。

综上，在信息系统安全评估过程中，必须最大程度减小评估指标权重分配受人为先验经验的影响。为此，提出一种面向民航信息系统的安全评估标准化方法，通过建立评估指标的标准化流程和标准化方法，提高民航信息系统安全评估中计算及分析结果的合理性和规范性。

1 民航信息系统安全评估指标

1.1 标准化流程

评估指标的标准化是民航信息系统安全评估标准化的基础。民航信息系统安全评估指标的标准化流程设计如下：

步骤1将评估指标划分为定性指标和定量指标，定性指标为易用评语描述安全状态的指标，定量指标为易用数值描述安全状态的指标；

步骤2分别从环境配置、主机配置等方面采集定性和定量数据，其中，定性数据为安全策略符合程度的评语或评价，定量数据为日志、流量等统计数据；

步骤3对定性数据和定量数据分别设置评分算子，将评估结果转换为百分制形式。

1.2 标准化方法

基于文献[6]提出22 个民航信息系统安全评估指标，如表1 所示，包括物理环境、网络、数据、主机系统、管理人员5 个维度，每个维度由具体评估指标组成，指标类型分为定性指标和定量指标。

表1 民航信息系统安全评估指标Tab.1 Security evaluation indices of civil aviation information system

1.2.1 定性指标标准化

设某定性指标评语分m级，依次为β1，β2，…，βm，定义βi～βj表示βi的评估符合度高于βj，则β1～β2～…～βm。另设反映该指标评语分值的变量为θ，且θ ～N（0，1），βi的专家评分值为ti，且ti为正态分布N（0，1）的（i+0.5）/（m+1）分位数[7]，即设专家参考分值为Ve，则

专家根据Ve及先验经验，依据安全策略对定性指标的符合程度进行评分。

针对每个维度的评估指标，分别设计安全策略符合度描述表，确定每个指标的安全策略符合度。安全策略符合度确定方法为：设某定性指标的评估细则均为定性细则，将各细则符合程度划分为n级，与对应定性评估指标评语级别数相同，符合程度由差至好对应指数为1，2，…，n。若细则族中有k条细则，分别为R1，R2，…，Rk（细则包括单一细则和复合细则），需设置符合度指数矩阵。

假定细则a为单一细则或复合细则，细则b为单一细则，细则a和细则b的安全策略符合度指数分别为p和q（p，q=1，2，…，n），符合度指数矩阵M=（mpq）n×n。若细则数k≤2，细则a和细则b对应单一细则，令a=R1，b=R2，R1和R2的安全策略符合度指数分别为p和q，综合安全指数i=mpq；若k＞2，则先令a=R1，b=R2，复合细则R1⊗R2安全策略符合指数为p′=mpq，再令a=R1⊗R2，b=R3，R3的安全策略符合度指数为q′，然后，确定复合细则R1⊗R2⊗R3符合度mp′q′。直至b=Rk，得到综合安全指数i。

按照上述方法，对全部定性指标进行安全策略符合度描述，构造符合度指数矩阵，再用式（1）和式（2）将安全策略符合度指数i转化为量化评分。

1.2.2 定量数据标准化

为便于对比不同指标的安全状态，将定量指标划分为正向指标和逆向指标[6]，将定量指标源数据量化在[0，100]范围内。其中：正向指标值越大，该指标安全状态越好；逆向指标值越大，该指标安全状态越差。设指标X量化区间为[Xa，Xb]，则定量指标的标准值为

1）正向指标

2）逆向指标

式中x为当前时刻的指标值。定量指标的量化流程设计如下：

步骤1确定所量化指标的量化区间[Xa，Xb]；

步骤2确定当前时刻的指标值x；

步骤3根据指标的正向性质或逆向性质，用式（3）或式（4）计算标准值。

将定性指标和定量指标的百分制标准化结果供专家参考，可获得更客观的评分结果。

2 安全评估标准化方法应用

以国内某机场离港控制系统内物理环境维度中的定性指标物理访问控制、防盗防破坏及主机维度定量指标和网络维度中的定量指标网络流量为例，说明定性指标和定量指标标准化应用。

将表1 中每个维度下定性指标的安全策略符合度划分为4 级，（β1，β2，β3，β4）=（较不符合，一般符合，较符合，很符合）。

2.1 物理访问控制定性指标

物理访问控制的实际安全情况为：进入工作单位需刷卡，进入机房需要刷卡和密码；在物理出入口控制、鉴别访问人员并对其访问行为进行记录；对机房常驻工作人员配备身份标识牌并要求工作期间随身携带，对需临时进入机房的人员配备临时身份标识牌。因此，对机房电子门禁系统配置完备情况、物理出入口监控访问者情况、身份标识牌发放/佩戴情况的检查结果进行4 种符合度描述，确定物理访问控制指标的安全策略符合度描述，如表2 所示。

表2 物理访问控制的安全策略符合度描述Tab.2 Description of compliance degree of physical access control security policy

物理访问控制安全细则族{R1，R2，R3}={机房电子门禁系统配备情况，物理出入口是否监控访问者，身份标识牌发放/佩戴情况}，从而由表2 可得到其符合度指数矩阵，如表3 和表4 所示。

表3 物理访问控制安全策略符合度指数矩阵1Tab.3 Compliance index matrix One of physical access control security policy

表4 物理访问控制安全策略符合度指数矩阵2Tab.4 Compliance index matrix Two of physical access control security policy

由R1、R2、R3安全策略符合度指数确定物理访问控制综合安全指数i。R1={机房电子门禁配备情况}的安全策略符合度指数为4，R2={物理出入口是否监控访问者}的安全策略符合度指数为4，由表4 得到复合细则R1⊗R2安全策略符合度指数为4。R3={身份标识牌发放/佩戴情况}的安全策略符合度指数为4，从而得到复合细则R1⊗R2⊗R3的安全策略符合度指数为4，即综合安全指数i=4。由式（1）和式（2）得到参考分值为98.10。物理访问控制评估标准化如表5 所示。

表5 物理访问控制评估标准化Tab.5 Evaluation standardization of physical access control

2.2 防盗防破坏定性指标

防盗防破坏的实际安全情况为：对机房内各类设备型号、厂家、序列号、是否在保修期及设备保修人员已登记，但少量设备标牌内容模糊；机房监控、摄像等监控报警系统正常运行，但部分运行记录缺失。由设备标牌内容和完整程度、序列号和对应设备登记记录情况、机房报警设备运行正常情况进行4 种安全策略符合度描述。设计防盗防破坏安全策略符合度描述表，如表6 所示。防盗防破坏安全细则族{R1，R2}={设备ID 是否登记，机房报警系统运行是否正常}，从而得到防盗防破坏安全策略符合度指数矩阵，如表7 所示。

表6 防盗防破坏安全策略符合度描述Tab.6 Compliance degree description of security policy of anti-theft or anti-damage

表7 防盗防破坏安全策略符合度指数矩阵Tab.7 Index matrix of security policy compliance degree of anti-theft or anti-damage

由R1、R2安全符合度策略指数确定防盗防破坏综合安全指数i。R1={设备ID 是否登记}的安全策略符合度指数为3，R2={机房报警系统运行是否正常}的安全策略符合度指数为3，得到复合细则R1⊗R2的安全策略符合度指数也为3，即综合安全指数i=3，由式（1）和式（2）计算得到参考分值为65.55。防盗防破坏评估标准化，如表8 所示。

表8 防盗防破坏评估标准化Tab.8 Assessment standardization of anti-theft or anti-damage

2.3 主机系统与网络流量定量指标

主机系统维度和网络维度定量指标的标准化依据如表9 所示。

表9 定量指标标准化依据Tab.9 Basis of quantitative indicator standardization

主机系统维度下的定量指标包括磁盘利用率、CPU 利用率、内存占用率和端口流量，指标值由主机配置信息中读取或Tcpview 工具获取。如主机系统的CPU 利用率为40%，经标准化处理后得到CPU 利用率的参考分值为VCPU利用率=60。网络维度下的定量指标为网络流量，其评估值由峰值流量、平均流量和带宽利用率决定，每个指标值由网络监控工具Ntop 获取。

通过获取3 个时段的防火墙流量数据，经标准化处理得到网络流量中3 个量化指标的参考分值。峰值流量V1=84，平均流量V2=80，带宽利用率V3=67，则网络流量参考分值为V网络流量=1/3∑Vi=77。

3 结语

为了提高民航信息系统安全评估合理性和规范性，提出一种面向民航信息系统安全评估标准化方法。该方法通过定义民航信息系统评估指标及其属性，将定性指标标准化为安全策略符合度矩阵，将定量指标源数据量化为固定范围内的数值，最终将定性指标和定量指标评估结果标准化为百分制形式。通过该方法获取的信息系统安全评估结果，便于安全管理人员感知民航信息系统安全态势，提高评估效率。