半实物网络仿真技术在信息安全风险评估中的应用.docx

《半实物网络仿真技术在信息安全风险评估中的应用.docx》由会员分享，可在线阅读，更多相关《半实物网络仿真技术在信息安全风险评估中的应用.docx（5页珍藏版）》请在三一办公上搜索。

1、半实物网络仿真技术在信息安全风险评估中的应用刘永红程静中国电子科技集团公司电子科学研究院 信息网络中心摘要： 信息安全风险评估在信息保障体系建设中具有不可替代的地位和作用，但是一般的信息安全风险评估流程在实际操作上存在某些不足。本文将半实物网络仿真技术引入到信息安全风险评估中，提出了一种基于半实物网络仿真技术的信息安全风险评估流程，并对其可行性进行了研究与分析。关键词： 网络仿真，信息安全，风险评估1 引言信息安全风险评估作为信息安全保障体系建立过程中重要的评价方法和决策机制，其在数字军工信息安全保障体系建设中具有不可替代的地位和重要作用。通过风险评估，能及早发现和解决数字军工中存在的安全风险

2、，防患于未然。目前，信息安全风险评估的出发点是基于组织的资产所处的具体环境来构造组织的风险框架，在使用组织的关键资产考虑评估活动的同时，为了使评估结果更加客观和清晰，工具辅助评估也成为当前信息安全风险评估的主要手段。常见的信息安全风险评估工具主要分以下几类，第一类是漏洞扫描工具，用于分析系统的常见漏洞；第二类是入侵检测工具，用于收集和分析威胁数据；第三类是渗透性测试工具，利用黑客工具用于人工渗透，评估系统深层次漏洞。在数字军工的信息安全风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，提高信息安全风险评估的准确度，但是在实际的操作中存在一些问题。第一，由于数字军工一般是涉密的网络信息系

3、统，漏洞扫描类工具在获取系统常见漏洞的同时，还会获取系统的一些属性信息，而这些漏洞和属性信息存在被信息安全风险评估人员利用的潜在安全威胁；第二，由于待评估的网络信息系统一般是建设好的系统或者是试运行的系统，利用渗透类测试工具对网络信息系统进行人工渗透，容易造成系统中止运行或瘫痪；第三，在渗透测试中，一般会在网络信息系统中加载一些常见的病毒代码，进而评估网络信息系统的抗病毒能力，但这容易使网络信息系统感染一些系统不能查杀的病毒，使得网络信息系统在经过风险评估后系统中仍存在一些病毒，不但影响了网络信息系统的正常运行还人为地增加了安全管理员的工作量。综上所述，由于渗透测试类工具在信息安全风险评估中存

4、在一些问题，其在信息安全风险评估操作中的应用并不是很理想。为了克服上述问题，我们将半实物网络仿真技术引入到信息安全风险评估中，提出了基于半实物网络仿真技术的信息安全风险评估流程，并对基于半实物网络仿真技术的信息安全风险评估流程的可行性进行了分析和研究。2 基于OPNET网络仿真平台的半实物网络仿真技术2.1 半实物网络仿真技术概述半实物网络仿真技术是指通过一种手段将模拟的网络接入真实网络，将仿真网络与真实网络联合起来成为一个整合的半实物网络，进行网络数据流的交互。通过这样的网络仿真环境，我们将可以更直观更精确地进行网络软硬件的设计验证与测试1。半实物网络仿真的基本原理在于如何将模拟的网络与真实

5、的网络连接起来，其关键技术在于如何将运行于真实网络TCP/IP协议栈中的数据包导入仿真网络的协议栈中。2.2 基于OPNET的半实物网络仿真技术OPNET网络仿真平台作为一种优秀的网络仿真和建模的工具，支持面向对象的建模方式，提供了很多与通信和信息处理相关的类型结构，为广域的通信网络和分布式系统的模拟仿真提供了高度的支持。OPNET网络仿真平台几乎可以模拟仿真任何网络设备、支持各种网络通信协议，并支持部分安全设备的模拟仿真如防火墙，其提供的高级编程语言和API接口，可以灵活开发自定义的安全设备模型2。除此之外，OPNET网络仿真平台中的SITL（System-in-the-Loop）模块提供了

6、基于TCP/IP协议栈的包截获功能，可以实现联接仿真网络和真实网络的目的，其实现原理如图所示：图1基于OPNET网络仿真平台的半实物网络仿真总之，基于OPNET网络仿真平台，不但可以模拟仿真广域的通信网络和分布式系统，还可以实现真实网络到仿真网络再到真实网络、仿真网络到真实网络再到仿真网络的互联。3 基于半实物网络仿真技术的信息安全风险评估3.1基于半实物网络仿真技术的信息安全风险评估流程目前，在对网络信息系统进行安全风险评估时最常采用的评估流程如图所示：图2 信息安全风险评估流程由此可见，在信息安全风险评估流程中关键的一步是能够发现系统的脆弱性，而获取系统脆弱性最常见的手段是对网络信息系统进

7、行攻击和渗透性测试，进而发现网络信息系统存在的安全漏洞，与此同时，势必对网络信息系统的正常运行产生一些问题。为了避免在对网络信息系统进行攻击和渗透性测试中产生的问题，本文在遵循上述信息安全风险评估流程的同时，将半实物网络仿真技术引入信息安全风险评估中，提出了基于半实物网络仿真技术的信息安全风险评估新流程，流程如图所示：图3 基于半实物网络仿真技术的信息安全风险评估流程在基于半实物网络仿真技术的信息安全风险评估流程中，通过利用网络仿真技术来模拟仿真被评估的网络信息系统，而对于仿真起来比较复杂的网络设备或信息系统将借助半实物网络仿真技术将实际的网络设备或信息系统同仿真的网络信息系统联合起来，我们称

8、之为半实物仿真网络信息系统。这样一来，在信息安全风险评估的过程中，就不需要对真实的网络信息系统进行攻击和渗透性测试，而只需对半实物仿真网络信息系统进行攻击和渗透性测试。这样一来，既能获取评估网络信息系统的脆弱性，提高信息安全风险评估的有效性和可信度，又不会对其有任何影响。另外，基于半实物网络仿真技术的信息安全风险评估不仅可用于网络信息系统实施后的评估，而且还可以用于网络信息系统实施前的评估。通过搭建的半实物仿真网络信息系统，可以在网络信息系统设计阶段来验证其安全保障措施和安全保障策略的有效性，尽早发现安全风险，消除安全隐患。3.2基于半实物网络仿真技术的信息安全风险评估的可行性探讨基于半实物网

9、络仿真技术的信息安全风险评估关键在于依据实际的网络信息系统搭建一个仿真网络信息系统，并能仿真多数安全防护设备。另外，对于仿真起来比较难的安全防护设备或软件，该仿真网络信息系统能够提供一个与真实网络信息系统互联的接口，构建一个半实物的仿真网络信息系统。在实际的操作中，我们利用OPNET网络仿真平台对基于半实物网络仿真技术的信息安全风险评估的可行性进行了研究。首先，依据评估的真实网络信息系统在OPNET网络仿真平台上搭建了一个全国范围的、广域的仿真网络信息系统，该仿真网络信息系统及其某一节点的内部结构如图4所示。图4 仿真网络及某一节点内部仿真网络其次，由于评估的实际网络信息紫铜中有部分设备和软件

10、在OPNET网络仿真平台上很难实现仿真，对于此，我们将借助于OPNET网络仿真平台提供的SITL模块，将运行着OPNET网络仿真平台软件的服务器同实际的设备和软件互联起来，构建半实物仿真网络信息系统，见图5。图5 基于OPNET的半实物网络仿真系统示意图最后，启动OPNET网络仿真平台，仿真网络信息系统中的客户端向远程某一节点中的客户端和服务器发起攻击。另外，由真实攻击源产生的真实攻击也加载到仿真网络信息系统中，同时经过仿真网络信息系统攻击同仿真网络信息系统互联的真实设备和系统。经过对半实物仿真网络信息系统进行实际攻击和模拟攻击，我们既可以发现真实网络信息系统中存在的安全漏洞，也不影响真实网络

11、信息系统的运行。除此外，还可以在半实物仿真网络信息系统上进行更加严格的渗透性测试。4 结束语通过研究半实物网络仿真技术，并结合信息安全风险评估的实际操作经验，本文提出了一种基于半实物网络仿真技术的信息安全风险评估流程，解决了攻击和渗透性测试在信息安全风险评估中操作性不便的问题，提高了信息安全风险评估的有效性和可操作性。但是，要使基于半实物网络仿真技术的信息安全风险评估能够更准确更全面地揭露真实网络信息系统中存在安全风险漏洞，还需进一步提高仿真对象的仿真度和实现对应用系统的高可信度仿真，这也是我们下一步的研究重点。 参 考 文 献管天,卢泽新,白建军.一种基于半实物仿真的新型网络模拟模型研究.计算机工程与应用, 2006,8:121-123李馨,叶明著.OPNET Modeler网络建模与仿真.西安电子科技大学出版社.2006:2-7opnet doc. 信息安全风险评估参考指南.