邹国良　王　琎

1(上海海洋大学信息学院　上海 201306)2(复旦大学上海市数据科学重点实验室　上海 200433)



基于层次分析法的海洋专网安全评估指标体系

邹国良1,2王琎1

1(上海海洋大学信息学院上海 201306)2(复旦大学上海市数据科学重点实验室上海 200433)

摘要由于目前海洋专网安全评估还没有形成统一的指标体系，为了改进这一现状，依据GBl7859-1999安全准则及研究现状，提出一套科学、全面的海洋专网安全评估指标体系。首先，通过对海洋专网风险因素集的提取与分析，建立初步指标体系。其次，采用层次分析法对初步指标构造判断矩阵并检验其一致性，给各指标权重赋值，筛选权重值过小的指标，确定最终的指标体系。最后，运用效度系数和相关系数验证该指标体系的有效性和可靠性。计算结果表明，该指标体系具有较高的有效性和可靠性。实例测试说明该指标体系能够对海洋专网安全评估提供有效的指标，并为今后形成统一标准奠定了基础。

关键词海洋网络层次分析法安全评估指标体系

0引言

科技兴海是我国既定国策，海洋信息化建设是实现海洋强国战略的必由之路。为了保障海洋信息管理的有效实施，必须采取可靠的海洋信息安全保护措施。海洋专网，即各地各级海洋局及有关海洋科研部门传输海洋数据的网络，其安全性受到了相关单位的密切关注。国家海洋局为了保证海洋数据的安全，在《国家海洋局计算机信息系统及国际网络联网保密管理暂行规定》中提出，只将数据发布到内网专线上，由现场到中心站的数据上传也是在内网专线上进行，但内网专网并没有保证网络和数据安全的相关措施。攻击者可以利用网络安全漏洞、弱点和不安全设置对海洋专网继续攻击和入侵。为了防止海洋专网安全受到威胁，根据其现实情况，对海洋专网安全进行客观、科学、有效的分析评估，参考评估结果优化完善安全策略、标准制度、人员培训计划等，可以最大程度地合理保护海洋信息资产。由于目前海洋专网安全评估还没有形成统一的指标体系，无法准确、完整、客观地对海洋专网进行安全评估。指标体系的构建源于对海洋专网安全风险因素的分析，及对主观分析的客观评估。

本文遵循GBl7859-1999安全准则[1]并结合海洋专网特点，对GBl7859-1999安全准则中的指标进行选取，建立海洋专网安全评估指标体系，并采用层次分析法对指标体系进行优化，通过计算效度系数及相关系数证明该指标体系具有一定的有效性和可靠性。

1海洋专网安全风险因素分析

1.1海洋专网体系结构及特点

海洋专网即是把与海洋领域相关的各部门，包括国家、地方的涉海单位及与海洋有关的科研单位，其网络互连成一个完整的海洋专用网络，以实现海洋数据的即时传输、高效存储与调用以及安全共享。

现将海洋专网的特点[2]概括为以下几点：

(1) 分布广。海洋专网涉及国家、省级、市级有关涉海单位，其网络传输范围可能达到几千公里，站点分布于多个省市，卫星、观测船、海洋浮标等也不便于统计，为其安全管理提出较高要求。

(2) 网络传输异构。海洋专网的网络传输方式多样化，并区分外网、内网，不同网络之间的数据安全传输是保障海洋专网安全的重要环节。

(3) 数据量大，数据格式多样化。海洋科学的基本数据来源于海洋科学调查和海洋观测，数据涉及水文、地质、遥感、生态、测绘等各个学科，其中包括大量的海图，这些数据随着其物理属性及其精度高低的不同，存在不同程度的安全要求，而数据格式的多样化也使管理难度加大。

(4) 数据保密。1996年国家海洋局发布的《海洋工作中国家秘密及其密级具体范围的规定》中，对海洋数据的保密性有严格规定，将海洋数据的密级分为三级：绝密级、机密级和秘密级，因此必须为海洋数据制定相应的安全传输和存储机制，以确保国家秘密的安全。

1.2海洋专网安全风险层次划分

安全风险事件的发生主要是由于威胁利用海洋专网的脆弱性而造成，海洋专网的威胁和脆弱性安全因素共同组成了其安全风险因素集。海洋数据数量庞大，并具有多样性、复杂性、异构性及敏感性等特点，且数据传输方式多样，网络分布范围广[3]。遵循GBl7859-1999安全准则并结合海洋专网的特点，分析其脆弱性要从技术方面和管理方面入手。技术方面脆弱性主要包括物理、网络、应用和数据四个方面。管理方面主要包括运行管理和人为因素两个方面。另外，由于海洋专网分布广的特点，专家普遍认为管理方面因素重要程度要大于技术方面。海洋专网的威胁则可以归纳为软硬件故障、对物理环境的破坏、数据传输故障、恶意攻击、破坏数据完整性、管理不当[4]。

通过分析海洋专网的脆弱性及威胁可以得出其安全风险因素，遵循GBl7859-1999安全准则及专家意见，给出海洋专网安全风险层次结构，使安全风险因素层次分明，以便下一步指标体系的建立。海洋专网安全风险因素层析结构如图1所示。

图1　海洋专网安全风险因素层次结构

2层次分析法基本思路及应用

2.1层次分析法基本思路

层次分析法[5]AHP(Analytic Hierarchy Process)由美国运筹学家T.L.Saaty等学者于20世纪70年代提出的。它是一种定性与定量分析相结合的多目标、多准则的决策分析方法。其基本思路是将组成复杂问题的多个元素权重的整体判断转变为元素间的“两两比较”，再对这些元素的整体权重进行排序判断，最终确立各元素权重。另外，层次分析法还利用检验一致性的指标CI[6]与平均随机一致性指标RI值的比值得出随机一致性比率CR，判断该矩阵是否具有一致性，不满足一致性的矩阵需进行调整。对判断矩阵的一致性检验避免权重赋值的主观性过大，一定程度上检验了指标的信度和效度。与其他确定指标权重的定量分析方法相比，层次分析法思路清晰、过程简洁、适用性强，最大的优点是能够处理复杂的多目标决策问题，它将评估者的主观判断与政策经验导入模型，并加以量化处理。

2.2层次分析法在海洋专网安全评估指标体系中的应用

目前，国内外指标体系的构建方法有很多种[7]，例如德尔菲法、成分分析法、系统动力学法和模糊神经网络等方法。而且海洋专网安全评估指标体系的有效性和可靠性对其评估结果至关重要。由于海洋专网的复杂性及海洋科学的专业性，其指标体系构建的第一步必定是专家意见调研，下一步就是用科学、严密的分析方法将专家意见进行统一和量化。所以，指标体系的构建应当采用定量与定性相结合的综合评估方法，从而避免定性分析法主观成分过大，定量分析阐述不够明确的缺点[8]。文献[9]中采用的是基于模型的分析方法对海洋网络安全评估指标进行选取和优化，但这类方法有一个明显的缺点就是规则提取过程复杂、计算大。目前这方面的研究还只处于起步阶段，究竟采用何种方法选取和优化指标体系还缺乏理论基础和实例分析。本文将采用层次分析法构建海洋专网指标体系。层析分析法是一种定性与定量相结合的分析方法，且理论成熟、过程简单，用该方法来分析指标体系中各指标的权重及相关性，能够使指标体系构建过程更便于理解和操作，最终指标体系更科学、实用。

3指标体系的构建

3.1指标体系构建的总体思想和基本原则

海洋专网是一个较为特殊和复杂的网络系统，其安全性涉及多层次和多因素，需要有科学、明确、合理的统一尺度作为指导，运用科学的方法进行量化分析。为了构建科学、系统的海洋专网安全评估指标体系，首先以海洋专网的安全风险因素为基础，参照指标体系的构建原则选取初步的指标；其次，运用层次分析法分析筛选指标,如果不合理，则将其修改或删除；如果合理，则最终确立完整、明确的海洋专网安全评估指标体系。具体步骤如图2所示。

图2　指标体系的构建思路

构建海洋专网安全评估指标体系时，一般要考虑以下几个原则[10]：

(1) 科学性。指标的选取应建立在对海洋专网科学研究的基础上，综合考虑影响评估结果的诸多因素。

(2) 系统性。为了构建一个结构合理、层析分明、相互协调的综合性指标体系，应结合定性与定量、静态与动态的分析方法。

(3) 层次性。为了完整地体现海洋专网的安全风险因素，可以根据其特征，将海洋专网划分为多层次结构，使得整个指标体系具有清晰的条理性。

(4) 独立性。层次化的指标体系要尽量避免指标之间内涵重叠，以便每个指标能够独立地评估网络的具体风险因素。

(5) 简易性。在划分层次结构时，应尽可能简化，在满足要求的前提下，每层中的指标个数一般不超过9个。

(6) 实用性。指标的选取需符合海洋专网的实际情况，不可盲目追求指标的数量，亦不可照搬其它网络系统的指标体系。

3.2指标体系的确定

针对海洋专网安全风险因素进行研究，海洋专网系统结构复杂、运行过程繁复，而GBl7859-1999安全准则中定性指标较多，必须进行简化。

因此这里选取的安全评估指标是较具实用性的指标，该指标体系遵从GBl7859-1999安全准则首先分为两大类：技术安全和管理安全；其中技术安全中选取了物理安全、网络安全、应用安全、数据安全四个方面；管理安全选取了运行管理安全和人为安全四个方面。

考虑到海洋专网分布范围广、涉海单位建设环境及设备存在差异，物理安全则主要包括环境合格率、设备故障率、介质安全性、供电系统可靠性；网络安全是保障海洋数据安全传输的重要环节，必须确保传输的每个环节万无一失，其指标主要包括通信协议可靠性、防火墙可靠性、VPN传输可靠性、Web服务器故障率、传输中继故障率；有效的应用安全机制可以防止攻击者利用漏洞、弱点对海洋专网进行攻击，因此该方面主要包括操作系统漏洞、应用软件漏洞、防恶意攻击机制完善度、入侵检测机制完善度、数据加密传输机制完善度、身份可识别性；数据安全对海洋专网至关重要，有效的数据存储备份管理机制可以防止海洋数据丢失，海洋数据的保密性也对数据安全保护机制提出较高要求，该方面的指标主要包括存储终端故障率、数据保密等级分类完善度、数据存储加密机制完善度、数据备份与恢复完成度、病毒与木马防范机制完善度、信息内容审计完成度。

由于海洋专网中涉海机构对其观测船、数据采集设备、信息系统设备、技术运用等方面存在差异，且安全管理制度也无法统一，海洋专网的运行管理安全则应主要包括设备检修完成度、设备更新完成率、技术资料完备性、管理制度完备性；另外，海洋专网中的数据采集传输、设备安装检修等环节都需要专业人员完成，因此人为安全在管理方面举足轻重，该指标主要包括技术人员出勤率、技术人员专业程度、用户培训次数、人员操作不当故障率。

4指标优化及实例应用

4.1指标的筛选

从理论上而言，对海洋专网的安全风险评估是宏观的、整体的、全面的评估，涉及到技术、环境、人员等诸多因素，其中存在较多定性指标，很难定量评估。因此，在初步建立海洋专网安全评估指标之后，有必要将具有不确定性的指标进行量化分析研究，从而优化得到完善的评估指标体系[11]。而且，在指标选取的过程中，由于过于追求其全面性，可能会使评估指标过多，语义表达不够清晰，影响评估专家的判断，导致指标权重减小，从而使评估结果失真。所以，我们采用权数判断法将评估指标体系进行合理地筛选,即为指标的权重系数设定一个合理的阈值，当某些指标的权数小于或等于阀值，就删除该指标。

依据海洋专网建设项目技术报告，专家根据其经验利用9级标度对海洋专网的初步指标的重要性进行打分，运用层次分析法构建指标体系的判断矩阵，并通过一致性检验验证判断矩阵的正确性。

(1) 判断矩阵的确定

对于海洋专网安全评估指标权重系数的确定，需要专家的评定，经过多名专家对各层指标进行两两对比打分，得到指标体系中各指标的判断矩阵如图3所示。

图3　指标体系的判断矩阵

一级指标的判断矩阵的阶数不大于2，已具有完全一致性，无需再进行一致性检验；技术安全的判断矩阵(a)，其最大特征值λmax=4.0474，一致性检验得出：CI=0.0158，CR=0.0176<0.1，则该判断矩阵具有一致性；管理安全的判断矩阵阶数不大于2，已具有完全一致性，无需再进行一致性检验；物理安全的判断矩阵(b)，其最大特征值λmax=4.1502，一致性检验得出：CI=0.0501，CR=0.0556<0.1，则该判断矩阵具有一致性；网络安全的判断矩阵(c)，其最大特征值λmax=5.2728，一致性检验得出：CI=0.0682，CR=0.0609<0.1，则该判断矩阵具有一致性；应用安全的判断矩阵(d)，其最大特征值λmax=6.0712，一致性检验得出：CI=0.0142，CR=0.0115<0.1，则该判断矩阵具有一致性；数据安全的判断矩阵(e)，其最大特征值λmax=6.0747，一致性检验得出：CI=0.01494，CR=0.012<0.1，则该判断矩阵具有一致性；运行管理安全的判断矩阵(f)，其最大特征值λmax=4.0462，一致性检验得出：CI=0.0154，CR=0.0171<0.1，则该判断矩阵具有一致性；人为安全的判断矩阵(g)，其最大特征值λmax=4.0677，一致性检验得出：CI=0.0226，CR=0.0251<0.1，则该判断矩阵具有一致性。

(2) 权重的计算与排序

将海洋专网安全评估指标体系进行量化，得到各项指标的权重值，并选取权数阈值(小于或等于该值，则舍弃)为0.05[12]，经计算 “信息内容审计完成度”的指标权重值为0.05，故将该指标删除。重新为数据安全指标a4进行打分计算，最终得到海洋专网安全评估指标体系权重赋值，如图4所示。并得到指标权重排序，如图5所示，可从中得出海洋专网安全评估指标总体排序和分级指标排序。

图4　海洋专网安全评估指标体系及权重赋值

图5　指标体系排序

4.2指标效度和信度检验计算与分析

对于指标体系的效度检验和信度检验，分别采用统计学中的效度系数β和相关系数ρ[13]。效度系数β可以用来表示专家评估指标体系时理解和认识的偏离程度，效度系数越小，则表明各专家采用该指标体系评估目标时，对该问题认识越趋向于一致。相关系数ρ可以用来表示专家之间对评价指标理解的相关程度。ρ越大，表明评价结果的偏差越小，该指标体系的可靠性就高。一般而言，当0.9<ρ≤0.95时，该指标体系可被认为可靠性较好，当0.8<ρ≤0.9时，则说明该指标体系可靠性一般，当0<ρ≤0.8时，则可认为该指标体系可靠性较差。

表1　海洋专网安全评估指标评定原则

表2　效度、信度检验计算表

在指标筛选的过程中，初建指标体系中有一项指标权重过低，小于取舍阈值，故将其删除。在效度和信度检验中，由计算结果得出，该指标体系的效度系数β为0.1,说明整个正标体系具备有效性。相关系数ρ为0.93，表明该指标体系可靠性较高。值得注意的是，注重管理安全因素是有关涉海单位提出的新要求，以往的海洋专网安全评估指标体系多侧重于技术安全，对管理方面研究较少。本文对此也仅是初步设想，下一步还将总结有关专家经验进行研究和改进。

4.3实例应用

为进一步说明该指标体系的有效性和适用性，将对本文提出的海洋专网安全评估指标体系的实例应用测试，选择以某地海洋局的网络信息安全评估为例。经过多次调研和统计，对该海洋局的网络现状作以下总结：

(1) 物理安全：机柜、UPS、精密空调、配电柜过度密集，设备热量不能有效排放；只对部分金属载体进行了接地保护；该机房建设不具备冗余性。

(2) 网络安全：边界防护采用中软华泰防火墙 Huatech-2000-FX、中软华泰防火墙Huatech-2000-EX、中软华泰防火墙Huatech-2000-GX、华堂防火墙HT-1800、ARRAY VPN SPX2000、金电网闸 Ferrey 2.0；敏感单机的系统补丁升级方式为手动，升级比例 0%；病毒库升级方式为手动，升级比例为 25%。

(3) 应用安全：入侵检测采用启明网络入侵检测系统 NS200。

(4) 数据安全：目前该海洋局还没有专门针对海洋数据的数据安全措施。

(5) 运行维护安全：设备管理机制比较完善。

(6) 人为安全：关键岗位人员具有较为严格的技术考核；对外部人员允许的访问、设备、信息没有进行明确的规定。

本文依据GB/T 28453-2012对于信息系统安全评估所作的规定，利用图5的海洋专网安全评估指标体系，采用定性的方法计算出资产的最终赋值为4，属于重要资产。利用模糊综合评价法可得威胁最终赋值为T=0.6，脆弱性的最终赋值为V=0.45，其中威胁、脆弱性最终赋值按其赋值定义，等级1：0～0.2，等级2：0.21～0.4，等级3：0.41～0.6，等级4：0.61～0.8，等级5：0.81～1.0，该等级为威胁、脆弱性的等级赋值。安全事件发生的可能性P=T+V=1.05，损失程度L=P×A=4.2。风险发生的概率R与终端存在的漏洞及已采取的控制措施有关，R=7。安全状况评估值S=L×R=29.4。最后根据表3确定该海洋局安全评估状况为“中等”。该结果与之前的评估结果[14]基本相同，说明该指标体系能够有效评估海洋专网的安全状态，并具备一定的适用性。

表3　海洋专网安全状况等级划分

5结语

海洋专网安全评估指标体系的构建是进行其安全风险评估的前提，也是信息安全方案建设的理论依据。建立一套科学、严谨、有效、可靠的指标体系对于评估海洋信息安全具有重要意义。本文首先提炼专家意见，提出一套较为全面、客观的海洋专网安全评估指标体系，基于层次分析法对指标体系进行定量与定性相结合的分析，从而筛选删除对海洋专网安全影响较小的指标。最后利用统计学中的效度系数和相关系数作效度和信度检验，证明了本文中的指标体系具有有效性和可靠性。并且结合某海洋局网络安全评估过程为例，证明其适用性。下一步工作着重于检验指标权重赋值的科学性和准确性，对海洋专网安全风险评估作进一步研究与尝试。

参考文献

[1] 中华人民共和国国家标准.GBl 7859-1999 计算机信息系统安全保护等级划分准则[S/OL].http://www.itsec.gov.cn.

[2] David Cotton.The UK Data of Information Partnership(MDIP)-Establishing a UK Marine Data and Information Framework[J].OCEANS 2007-Europe,2007,7(1):1-5.

[3] 黄冬梅,田瑜基,王建.海洋信息管理系统的设计与实现[J].计算机应用与软件,2013,30(10):71-73.

[4] 刘丰,韩伟.海洋信息系统的安全问题与对策研究[J].海洋开发与管理,2012,29(7):60-64.

[5] Saaty T L.The analytic hierarchy process[M].New York:McGraw-Hill,1980.

[6] 汪晓银,周保平.数学建模与数学实验[M].北京:科学出版社,2012.

[7] 邵立周,白春杰.系统综合评价指标体系构建方法研究[J].海军工程大学学报,2008,20(3):48-52.

[8] 孙宏才,田平,王莲芬.网络层次分析法与决策科学[M].北京:国防工业出版社,2011.

[9] 武洁.海洋网络信息安全风险评估量化方法研究[D].上海:上海海洋大学,2013.

[10] 孙逸群,高会生,冉静学,等.光纤保护通道安全风险评估指标体系的构建[J].电力系统通信,2006,27(12):71-77.

[11] 陈明.风险投资项目评估指标体系研究[D].杭州:浙江大学,2004.

[12] 李随成,陈敬东,赵海刚.定性决策指标体系评价研究[J].系统工程理论与实践,2001,21(9):22-28.

[13] 管于华.统计学[M].3版.北京:高等教育出版社,2013.

[14] 邹国良,景悦莹,黄士力,等.海洋网络信息安全评估的指标选取和风险评估[J].计算机应用与软件,2012,29(4):118-120,136.

[15] 中华人民共和国国家标准.GB/T 28453-2012 信息安全技术信息系统安全管理评估要求[S/OL].http://www.itsec.gov.cn.

收稿日期：2014-10-28。上海市科委基金项目(12510502000)；上海市科学技术发展基金项目(13dz2260200，13511504300)。邹国良，教授，主研领域：海洋信息技术，通信技术，信息安全。王琎，硕士生。

中图分类号TP311

文献标识码A

DOI:10.3969/j.issn.1000-386x.2016.07.023

INDEX SYSTEM OF MARINE PRIVATE NETWORK SECURITY ASSESSMENT BASED ON AHP

Zou Guoliang1,2Wang Jin1

1(InformationCollege,ShanghaiOceanUniversity,Shanghai201306,China)2(ShanghaiKeyLaboratoryofDataScience,FudanUniversity,Shanghai200433,China)

AbstractCurrently the marine private network security assessment lacks a unified index system, in order to improve this situation, we propose a set of scientific and overall index systems for marine private network security assessment according to the GBl7859-1999 security criterion and the status quo of research. First, we make a preliminary index system by extracting and analysing the risk factors set of marine network. Then we utilise the analytic hierarchy process (AHP) to construct the judgment matrix on preliminary index system and test their consistency. We assign values to each index weight and screen out some indexes with too small value, and determine the final index system. Finally, by calculating the validity and correlation coefficients we verify the effectiveness and reliability of this index system. Calculation results show that this index system has high effectiveness and reliability. Example test indicates that the index system can provide effective indexes for the security assessment of marine private network, and this lays a foundation for the formation of a unified standard afterwards.

KeywordsMarine networkAHPSecurity assessmentIndex system