信息系统安全技术组合最优配置及策略分析

　　信息系统安全技术组合最优配置及策略分析
　　摘要：信息安全问题日益严峻，科学运用安全技术组合提升信息系统的安全性至关重要。本文应用博弈论方法研究，解决基于攻击检测的综合联动控制问题。首先将防火墙、入侵检测系统（IDS）和漏洞扫描技术的安全组合的概念模型转化为数学模型。接下来研究两种技术组合：（i）仅配置IDS和漏洞扫描；（ii）配置防火墙，IDS和漏洞扫描。分析模型的三个关键因素——骇客、公司和技术，并定义其相应的参数。分析表明：技术组合并非越多越能给公司带来效益，修复的漏洞并非越多越好，但合理的防火墙配置总是会减少公司的期望损失。根据模型的纳什均衡策略配置相应的技术参数，使公司的期望损失达到最低。
　　关键词：信息安全经济学；防火墙；入侵检测系统；漏洞扫描；安全组合策略
　　0引言

　　随着微电子技术和信息产业的出现和快速发展，信息化大潮汹涌而至。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征[1]，电子商务快速发展，企业网上交易日趋活跃[2,3]，信息安全问题日益突出。
　　目前，解决对信息系统安全问题的研究有两个非常显著的发展趋势。传统的信息安全技术的研究方法主要从纯粹的技术角度研究。例如，Holden、Gouda和Liu分别对如何设计防火墙提出了相应的方法[4,5]，Neumann和Porras、Zamboni和Spafford分别提出了基于异常检测的IDS算法[6,7]。另一类方法从经济学和管理学的角度对信息安全技术的配置及策略的制定进行研究。Gal-Or和Ghose运用博弈论分析安全技术投资和信息共享之间的关系[8]。Lye和Wing建立了管理者和攻击者之间的随机博弈模型，得出了纳什均衡以及管理者和攻击者的最佳策略选择[9]。Hu,Hart和Cooke运用新制度经济学分析了影响信息系统安全水平提升的外部和内部组织因素[10]。李天目等应用博弈论研究了入侵防御系统的配置和管理问题[11]。Alpcan应用两人非零和、非合作动态博弈模型，分析了骇客入侵时IDS检测的博弈行为[12]。Cavusoglu和Raghunathan分别基于决策理论和博弈论建立了两个模型，分析企业运用IDS防御攻击时的参数设置问题[13]。然而，组合运用安全技术的研究相对较少。Piessens研究发现，如果安全技术选择和组合运用不当，黑客反而可以利用所安装软件中的薄弱环节实施攻击，因此增加运用安全技术不一定就能提升安全性[14]。朱建明和Raghunathan基于博弈论，对由防火墙、入侵检测和容忍入侵等信息安全技术构成的三层安全体系结构进行了分析[15]。Cavusoglu等运用动态博弈理论建立模型，以防火墙和IDS组合运用为例，研究两种技术组合(本文转载自 www.yzbxz.com 一枝笔写作网)情况下的参数设置问题[16]。
　　可见，多数研究成果是建立在一种安全技术上的，对信息安全技术组合的配置及策略分析还很少，特别是三种技术以上的组合。本文首先建立了基于防火墙、IDS和漏洞扫描技术的安全模型，研究安全技术的选择与最优配置问题，分析其博弈策略，指出对公司访问控制政策配置的影响。最后，总结全文并对未来工作方向进行了展望。
　　1信息安全模型
　　在一个受保护的系统中，通常会按系统安全策略配置相应的安全防护措施，防范可能的安全事件[17]。为了便于分析，引入一个信息安全模型。
　　虽然每一种信息技术安全目标不同，但它们在控制操作时并不相互独立。防火墙一般能执行阻止入侵，IDS能执行检测入侵，漏洞扫描技术能找出入侵安全隐患和可被黑客利用的漏洞。在实际应用中，根据网络拓扑结构、应用类型及安全要求配置适当类型的防火墙，运用入侵检测技术对网络系统的若干关键点实时监控，在发现入侵行为以后通过系统管理员或设置的安全策略自动对系统进行调整。定期对系统进行隐患扫描，以便及时发现由于改动配置等带来的漏洞并加以修补。一般来说，合理的技术组合策略有四种：只配置防火墙和IDS；只配置IDS和漏洞扫描；配置所有的技术；不配置任何技术。其中，防火墙和IDS的技术组合原理是：入侵检测系统可以及时发现防火墙策略之外的入侵行为，防火墙可以根据入侵检测系统反馈的入侵信息来进一步调整安全策略，从而进一步从源头上阻隔入侵行为。这样做可以大大提高整个防御系统的性能。IDS和漏洞扫描的技术组合原理是：入侵检测获取的是攻击状态的异常情况，扫描器获取的是目标系统的安全隐患，两者有很好的关联性。从入侵检测得到的攻击信息，可以反推出目标系统存在的漏洞；另一方面，目标系统安全隐患可以有效地结合当前的攻击状态，估计和预测攻击发展的趋势。
　　在Cavusoglu[10]一文中，已经讨论了“只配置防火墙和IDS”与“不配置任何技术”的情况，研究了防火墙与IDS间的配置与交互。研究表明，默认配置通常会产生风险，使用默认配置会让骇客更容易获取已知软件的脆弱性。当防火墙和IDS技术共同应用于安全体系时，需要恰当的配置才能使公司从这些技术中获得安全、经济效益。本文在文献[10]的基础上，主要研究技术组合“只配置IDS和漏洞扫描”与“配置所有的技术”的情况。
　　2模型分析
　　模型中考虑两种用户，内部用户和外部访问用户。内部用户在防火墙之内访问系统，不需通过防火墙验证；外部用户从防火墙外侧访问系统，需要通过防火墙验证。无论是组合（?）公司只配置IDS和漏洞扫描技术，还是组合（?）公司配置所有的技术，用户均定时通过漏洞扫描系统。但漏洞扫描系统的机理只是定时测试潜在的网络漏洞，并不如防火墙和IDS起着防御或阻止入侵的作用，所以漏洞扫描对公司而言是提前主动控制安全危险，对入侵者而言是增加了潜在的入侵成本。考虑模型的三个组成要素：骇客、公司和技术，对模型中的关键参数作如下定义：
　　（Ⅰ）骇客（1）若未被查出入侵系统，骇客得到的收益为μ；（2）若被查出入侵系统，骇客受惩罚为β，此时骇客的净收益为（μ-β），我们假设μ≤β，即骇客被查出入侵无正收益；（3）设用户入侵的概率为ψ（ψ∈[0,1]）。
　　（Ⅱ）公司（1）每次执行人工调查公司所承担的成本为c；（2）骇客入侵，但未被检测出来，公司的损失为d；（3）骇客入侵，并被检测出来，公司修复的收益为dφ(φ≤1)，此时假设c≤dφ，即公司的调查成本不应高过其配置技术所获收益。
　　（Ⅲ）技术（1）防火墙的检测概率为F()DP=P认为是黑客?用户是个黑客，即防火墙阻止非法外部用户入侵的概率；防火墙的漏检概率为1FD?P，即防火墙未阻止非法外部用户入侵的概率；防火墙的误检概率为PFPF=（认为是黑客?用户是个正常用户），即防火墙阻止合法外部用户的概率；（2）同理，定义IDS的检测概率为IDP，即骇客入侵时发出报警的概率；IDS的漏检概率为ID1?P，即骇客入侵时未发出报警的概率；IDS的误检概率为IFP，即骇客没有入侵时发出报警的概率；一般地，IIFDP≤P（3）漏洞扫描系统配置成本为Sc，当骇客入侵采用人工调查时，公司由漏洞扫描产生的潜在收益为Sdφ(1)Sφ≤，骇客由漏洞扫描产生的潜在入侵成本为Sβ。(责任编辑：一枝笔写作事务所)