基于AHP法的银行网络安全评估指标体系研究

摘要：随着互联网+时代的到来，互联网金融安全正受到越来越多的关注。基于金融网络安全研究现状和国内银行的特点与实情，构建银行网络安全评估指标体系。该体系包括威胁事件管理、漏洞管理和情报管理三个一级指标，并向下分为12个二级指标。在指标量化方面，该体系采用层次分析法来确定各级指标相对于上一级的权重，其中判断矩阵由专家法确定。通过一致性检验后，计算出指标综合权重，最终得到银行网络系统安全评估指标体系模型。

正文内容：

0　引　言

自中国2015年正式迈入“互联网+”时代以来，互联网逐渐渗透到社会各行各业[1]，并发挥着重要作用，其中金融行业也不例外。以国内银行为例，随着电子银行业务的拓展和用户数量的增加，网络系统在银行日常服务、业务开展和客户管理等方面都有着举足轻重的地位，具有信息流通量大、保密程度高和敏感性强等特点[2]。因此，安全性、稳定性和防渗透性成为系统管理最优先考虑的。网络系统安全问题很可能给银行甚至整个国家的金融行业带来不堪设想的后果。作为银行管理者，对银行网络系统安全态势进行准确评估，从而及时掌握系统最新安全态势，是提高银行网络系统安全性、确保银行网络系统正常运行的重要步骤。

虽然目前现有的网络安全标准与研究很多，但对于国内金融行业特别是银行网络系统的安全状况还并未形成一套统一的评估指标体系[3]。本文通过研究现有安全标准并进行对比和归纳，综合考虑影响银行系统安全的各维度因素，提取出符合国内银行实际情况的网络安全评估指标，构建出一个安全评估分级指标体系，从而不断提高银行网络系统的安全水平。

1　现有安全标准的局限性

目前，国内外在网络信息安全领域有很多不同的安全标准，最常见的有ISO27001、等级保护、IPDRR、FFIEC和CIS CSC等。

1.1　等级保护

信息安全等级保护要求不同安全等级的信息系统应具备不同的安全保护能力。根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。GB 17859-1999标准将计算机信息系统的技术安全保护能力划分成五级，其中第三级安全标记等级保护的适用范围最广泛，可作为制定银行网络系统安全评估指标体系的依据。

1.2　IPDRR

IPDRR能力框架模型包括风险识别、安全防御等五大能力，共15个子能力要素。它覆盖了“事前、事中、事后”的全过程，实现了模型从以防护能力为中心向以检测能力为中心的转变，支持识别、预防、发现和响应等，由被动转为主动，从而得到自适应的安全能力。但是，各模块之间存在一定的依赖性，所能覆盖的安全指标范围较局限，不能将银行系统的安全状态完整呈现。

1.3　ISO27001

ISO27001信息安全管理体系标准为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供了模型。最新版的ISO27001标准有安全方针、资产管理等14个安全控制域和113个控制措施。它涉及的指标大都无法用于直接计算，故不能量化所需要的评估指标体系。

1.4　FFIEC CAT

FFIEC包括固有风险简况和网络安全成熟度两个部分，且针对每部分都提出了一系列详细评估指标。这些指标大多为静态指标，不易测量且不能实时反映系统的安全状况。

1.5　CIS CSC

CSC是能够有效抵御网络威胁的关键安全控制手段，可作为构建网络安全防御体系的最佳实践的查考措施。CSC标准V6.0版本包含20个关键控制环节和149个子控制点。每个关键控制环节都包含该控制环节的重要性和主要控制点、控制的流程和工具、数据流向图等。但是，防御并不是建立系统安全评估指标体系的重点。

2　安全评估指标体系的建立

由于现有的国内外安全标准并不能很好地评估银行信息系统的安全情况，本文基于现有安全标准，结合银行系统的实际情况，提出一个安全评估指标体系并确定指标权重，逻辑图见图1。

2.1　维度与指标的选取

首先通过分析研究上述五种安全标准，从中提取符合银行系统特点的安全内容。

（1）在ISO27001的14个安全域中，A.16对于一个银行网络系统安全评估体系来说最有借鉴意义，其余的控制域并不是需要考察的重点。A.16信息安全事件管理的目的在于确保与信息安全事件进行持续、有效的管理，也包括信息安全事态和弱点的沟通。因此，可以将安全事件管理作为评估银行网络安全情况的一个出发点，并结合网络系统对事件本身、事件监测、事件发现、事件响应等维度进行深层的考虑分析。

（2）IPDRR覆盖了事件的全过程，因此对于银行网络系统遇到的威胁事件，应该全面考虑在事件发生前对事件的监测能力、事件发生时对事件及时作出响应的能力、事件发生后对事件的处理以及对系统的修复能力等。对系统遇到的漏洞，也应考虑系统对漏洞的发现、响应和修复能力。

（3）为了满足等级保护的要求，可以考虑将银行系统网络划分安全域[4]。在同一个网络信息系统中，根据信息的性质、使用主题、安全目标和策略等因素的不同来划分不同的逻辑子网或网络，每个逻辑区域有相同的安全保护需求、相同的安全访问控制和边界控制策略，区域间具有相互信任关系，且相同的网络安全域共享相同的安全策略[5]。

（4）虽然FFIEC量化网络风险的方式过于简单而CSC更侧重于网络安全防御，两者并不适用于评估银行信息系统安全状态，但CSC与FFIEC中列出的指标可以作为建立指标体系的部分依据[6]。

银行信息系统主要会面临系统内外部的威胁、系统自身存在的漏洞和可能要面对的威胁情报等。因此，结合等级保护的中心思想，本文考虑将该安全指标体系划分成威胁事件管理、漏洞管理和情报管理三个域，每个域再按不同维度提取指标，如图2所示。

2.1.1　事件（B11）

事件指系统受到的威胁事件，以事件数量作为衡量指标。各类不同等级的威胁事件会发生在系统内外部，并给信息系统、机构带来不同的后果。具体地，可提取外部服务拒绝事件总量、影响IT环境数量等指标。

2.1.2　监测（B12）

银行利用现有的工具、资产进行数据收集与分析，以实现对威胁事件的提前预测与及时反应。因此，可围绕信息资产管理、信息收集、分析能力三个角度对监测维度选取指标，如中间件资产数量、生产环境信息源数量和年持续监控时间等。

2.1.3　响应（B13）

响应能力指系统在威胁事件发生后处理事件的能力。系统对于不同层面的事件分别采取不同的处置方式，以事件数目为衡量指标；对于不同等级的事件，分别考虑其处理时间。具体地，可提取网络层处置数量、一般事件信息破坏实际平均处理时间、重大事件资金盗取实际最大处理时间等指标。

2.1.4　调查取证（B14）

调查取证指为了查明事件而进行调查、收集证据的过程。调查取证所花费的时间与采用的技术都是需要衡量的指标，如调查取证要求时间、提交司法程序的事件数量等。

2.1.5　演练（B15）

演练主要是为了提高对威胁事件的应急能力，对不同类型的事件有不同的演练方法。演练往往会发现在技术或管理层面存在的问题。具体地，可提取应急预案数量、发现的技术问题数量等指标。

2.1.6　脆弱性（B21）

脆弱性指系统缺少安全措施或采用的安全措施有缺陷，需考虑已发现的漏洞种类数、不同等级的漏洞数量和漏洞涉及的不同层面的应用数量等。

2.1.7　漏洞发现能力（B22）

及时发现漏洞是提高系统安全性的保障。相关技术人员需定期对系统进行漏洞扫描和渗透测试，并在每次新版本上线前对新升级的应用进行安全测试。各个环节所涉及的资产数量、范围、应用数量与发现的漏洞时间偏差，都是必要的衡量指标。

2.1.8　漏洞修复能力（B23）

发现漏洞后及时修复漏洞，可以将其对系统安全造成的威胁降到最低。修复能力多体现在修复不同等级漏洞所用的时间和修复的漏洞数量上。

2.1.9　钓鱼网站（B31）

钓鱼网站通常指伪装成银行或电子商务来窃取用户提交的银行账号、密码等私密信息的网站。系统对钓鱼网站的发现、处置能力也是评估其安全情况的依据之一，具体体现在发现数量、处置时间和封堵数量等方面。

2.1.10　公开漏洞（B32）

对于公开漏洞，系统应具备发现和处置能力，如各级公开漏洞、0day漏洞及受公开漏洞影响的应用数量，对公开漏洞的处置时间等。

2.1.11　外泄客户信息（B33）

对于银行系统，客户信息是高度机密且最具价值的资产，以主动发现和被动公开的信息的数量作为采集指标。

2.1.12　情报共享（B34）

银行机构的情报共享能力体现在情报数量上，可提取合作机构数量、输入情报共享条目数等指标。

2.2　指标权重的确立

AHP的基本原理是分析系统存在的多个因素，划分出各因素间相互联系的有序层次[7]；通过多名专家对各层次对象打分，构造各层次中的判断矩阵，从而计算出各级指标的权重。本文利用AHP对所提出的银行系统安全评估指标体系构建相应的判断矩阵，再用R语言求解判断矩阵的最大特征值和相应的特征向量，最终进行一致性校验，从而得到各指标维度的权重。

2.2.1　判断矩阵的建立

根据已提出的指标体系，可假设AHP中层次模型的最高层为A，中间层为B1～B3，最低层为B11～B34。考虑分别对最高层和中间层构建判断矩阵。判断矩阵是以上一级的某因素作为判断准则，针对本级因素进行两两比较来确定矩阵的元素。以最高层为例，构造矩阵：

其中，aij 表示对于A 而言，Bi 相对Bj 重要性的标度，aij=1/aji ，aii=1 。AHP为了定量化描述比较结果，通常使用1～9级标度，如表1所示。

表1　AHP判断矩阵量化标度

通过研究资料数据、专家意见和系统分析人员的经验，反复研究后确定该指标系统中最高层A和中间层B1～B3的判断矩阵分别为：

2.2.2　指标权重的分配

单层权重的确定是指根据判断矩阵计算对于上一层某因素而言，本层次中与之有联系的因素之间的重要性权重。常见的计算方法主要有几何平均法和规范列平均法两种[8]。本文将此归结为计算判断矩阵的特征值和特征向量的问题。

以矩阵A 为例，计算出判断矩阵的最大特征值及其对应的特征向量W ：

归一化后得到该层次因素对于上一层相关因素的相对重要性权值。

受各种主客观因素的影响，判断矩阵一般很难出现严格一致性的情况。因此，还要继续对A 进行一致性检验。计算其一致性指标：

其中，n 为A 的维度。CI 的值越小越好，当 CI＝0时，A 具有完全一致性。由CI 的值，根据saaty的结果可以算出平均随机一致性指标RI ，从而得到一致性比率：

当 CR＜0.1时，判断矩阵A 满足一致性检验。利用R语言进行计算，得到判断矩阵A 、B1 、B2 、B3 的最大特征值和一致性检验结果，如表2所示。

由表2可知，判断矩阵全部通过一致性检验。根据综合权重计算公式，可以得到最终的银行系统安全评估指标和权重的分配结果如表3所示。

3　结　语

本文将专家法与层次分析法相结合，创造性地提出了符合国内银行网络系统特点的安全评估指标体系。由表3可知，银行网络系统安全评估指标在威胁事件管理、漏洞管理和情报管理三个域占较大比重，其中各个域中也分有不同权重的维度。由于篇幅限制，各个维度下的细化指标并未在本文中列出，但权重计算方法同理。此外，本文提出的评价指标体系的权重分配方案并不是唯一固定的，应当根据银行的实际情况不断调整并加以检验，从而更好地为银行网络系统安全提供更加完善的保障。

参考文献：

[1] DeSmit Z,Elhabashy A E,Wells L J,et al.Cyber-physical Vulnerability Assessment in Manufacturing Systems[J].Procedia Manufacturing,2016(05):1060-1074.

[2] 郭红卫,康浩民,祝文杰.云计算模式下金融信息安全风险评估分析[J].现代工业经济和信息化,2015(19):75-77.

[3] 廖晖,凌捷.网络终端安全状况评估指标体系的研究[J].计算机工程与设计,2010,31(05):961-964.

[4] 袁慧萍.银行数据中心信息安全等级保护研究与实践[J].信息网络安全,2015(04):86-89.

[5] 姚德益.基于等级保护的银行核心网络系统安全防护体系的研究与设计[D].上海:东华大学,2014:1-56.

[6] 陈秀真,郑庆华,管晓宏等.层次化网络安全威胁态势量化评估方法[J].软件学报,2006,17(04):885-897.

[7] 沈悦,王小霞,张珍.AHP法在确定金融安全预警指标权重中的应用[J].西安财经学院学报,2008,21(02):65-69.

[8] 姚树香.一种新的基于AHP的信息安全风险评估方法研究[J].江苏科技信息,2015(03):63-65.

作者：许　久1，张　强2，陆璋帆2，薛　质1，施　勇1

单位：1.上海交通大学 电子信息与电气工程学院，上海 200240；

2.中国银行数据中心，上海 201210

作者简介：许　久，女，硕士，主要研究方向为威胁情报、金融信息系统安全评估；

张　强，男，学士，主要研究方向为信息安全；

陆璋帆，男，学士，助理工程师，主要研究方向为信息安全漏洞分析及管理；

薛　质，男，博士，教授，主要研究方向为计算机通信网及信息安全；

施　勇，男，博士，讲师，主要研究方向为网络安全、网络攻防。

本文刊登在《通信技术》2018年第1期（转载请注明出处，否则禁止转载）