基于AHP移动终端系统的安全风险评估

【 摘 要 】 随着移动通信和终端技术的发展，移动智能终端已经广泛应用于人们的日常生活，未来将更多地融合到各种信息系统中，因此对移动智能终端系统进行安全风险评估成为必要。本文结合相关标准和当前移动智能终端面临的主要安全威胁，提出智能终端系统安全风险评估的概念； 针对移动智能终端系统安全评估缺乏必要的模型描述，提出了一种基于AHP算法的智能终端系统安全风险评估模型，利用AHP算法对其进行安全风险评估，计算出各评估要素的相对风险程度和整个智能终端的安全风险等级，有利于建立分级的风险评估机制。

【 关键词 】 移动智能终端；风险评估；AHP理论

【 中图法分类号 】 TP311 【 文献标识码 】 A

Intelligent Mobile Terminal System Security Risk Assessment Based on AHP Algorithm

Tang Jie Lu Quan-fang Wen Hong

（National Key Laboratory of Science and Technology on Communications of UESTC SichuanChengdu 611731）

【 Abstract 】 With the development of mobile communications technology and terminal technology， mobile intelligent terminal has been widely used in people's daily life and will be integrated into a variety of information system in the future. Therefore， the mobile intelligent terminal system security risk assessment is necessary. This article unifies the related standards and the security threats of current mobile intelligent terminal， which aimed to propose a concept of intelligent terminal system safety risk assessment. Because the intelligent terminal system safety assessment lacks of necessary model description， we design a model based on AHP algorithm to evaluate the security risk of intelligent terminal by calculated each evaluation elements of relative risk aversion and the grade of whole intelligent terminal security risk， which will play an important tool to establish the grade system of risk evaluation.

【 Keywords 】 mobile intelligent terminal； risk assessment； AHP algorithm

1 引言

移动智能终端更多地存储了个人隐私、账户信息、工作文件、商业机密甚至是重要情报等。当前对终端的主要攻击方式还是利用智能终端操作系统安全机制的脆弱性和漏洞制造大量的恶意软件、病毒和远程控制程序，对终端安全构成了巨大的威胁，因此对移动智能终端操作系统安全进行风险评估是保证终端安全的基础。

智能终端操作系统的安全风险评估可以综合定性和定量的方法分析终端系统的安全性，为军队、政府、企业和个人了解某终端系统目前与未来可能存在的威胁、安全风险以及影响程度提供理论依据，对移动信息系统的研发和安全策略的制定提供了重要的参考。

本文参照我国在2007年了专门针对移动终端信息安全的标准YDT1699-2007和安全测评标准YDT1700-2007和风险评估规范 ，借鉴相关安全标准和传统信息系统的安全风险评估方法，结合目前智能终端操作系统面临的主要安全威胁与风险，定义了终端系统安全风险评估的概念，并提出了一种基于AHP算法的移动智能终端系统安全风险评估方法。利用该方法并搭建测评工具对当前流行的智能手机HTC野火进行了安全风险评估。

2 智能终端系统安全风险评估

智能终端操作系统的安全风险评估是指：确定在智能终端系统中每一种资源缺失或遭到破坏时，对智能终端或移动通信网络造成的可能损失和影响，是对威胁、系统安全脆弱性以及由此带来的风险大小和影响程度的评估。

2.1 评估要素

移动智能终端的安全风险评估要素主要分为资产、威胁行为和脆弱性三个方面。

1）资产 资产就是有价值的东西，是一个抽象的概念。资产的类别非常广泛，常见的如物理资产、经济资产、人力资源、知识资源、时间、信誉等。资产是风险存在的根本原因。终端系统的资产主要是存储在智能终端上的信息资产及重要文件、秘密信息等。

2）威胁行为 威胁行为是可能导致不希望事故的潜在起因，是攻击者达到特定目的的手段。不同的威胁行为在不同的环境下的攻击能力是不同的，需要对其进行评估。本文重点研究由智能终端系统某个安全脆弱性所直接导致的威胁行为。

3）脆弱性 脆弱性是评估的对象之一。威胁行为可能利用资产载体存在的薄弱环节和缺陷造成资产的损失。威胁是外因，脆弱性是内因，外因必须通过内因才能起作用。

结合标准GB/T 20984-2007，根据智能终端风险评估要求，本文将上述三种评估要素分为很高、高、中、低、很低五个级别并在1～9数值域内分别划分范围，如表1所示。

2.2 智能终端安全风险分析

与传统的手机不同，移动智能终端更多地存储了个人隐私、账户信息、工作文件、商业机密等等。这些隐私往往直接影响着终端使用个人或单位的财产和信誉。在各大安全厂商提供的安全报告中将终端威胁行为主要分类为远程控制、 资费消耗、隐私窃取、系统或用数据破坏、诱骗欺诈、恶意传播、流氓软件。其中，远程控制、 资费消耗、隐私窃取、系统或用数据破坏这四个关键威胁行为直接针对终端操作系统安全的脆弱性，并直接造成终端系统的安全风险，因此本文将其作为智能终端威胁主要评估对象。终端系统的脆弱性主要包括操作系统的安全机制的缺陷、实现中的漏洞以及用户日常软件管理和不当操作等因素。根据2.1节定义终端系统安全相关的脆弱点，威胁行为和资产如表2所示。

任何一个机制的缺陷将造成多种可能的威胁行为，而任何一个威胁行为将直接造成多种可能的安全风险。比如终端操作系统机密性机制的缺陷可能造成隐私窃取行为，而访问控制机制的缺陷有可能造成隐私窃取，系统破坏、远程控制等威胁行为。隐私窃取很可能造成终端使用者信誉损失，但也可能造成终端使用者的经济损失，比如攻击者盗取了终端的银行账户信息等。

经以上分析，终端安全风险的各要素之间具有错综复杂的层次结构关系，适合运用AHP算法进行分析。

3 基于AHP算法的移动智能终端系统安全风险评估

3.1 AHP算法

AHP（Analytic Hierarchy Process）层次分析法，是由美国运筹学家T.L.Saaty教授于上世纪 70 年代初期提出的一种简捷、灵活而又实用的多准则决策方法。它把问题分解成层次结构逐步分析，将每层次元素两两比较重要性并进行定量描述，然后利用数学方法计算每一层次元素的相对重要性次序的权值，通过层次之间的总排序计算所有元素的相对权重并做一致性检验。AHP算法的主要有几个步骤。

1）建立层次结构模型。

2）构造判断矩阵。对同一层次的指标两两比较其相对重要性得出相对权值的比值，如公式（1）所示。

公式（1）判断阵A为n×n 的方阵，主对角线元素为1，aij =1/ aij ，i≠j，i ，j =1，2，3，…n ，aij >0，aij为 i 与 j 两因素相对重要性的比值，一般按 1～9 比例标度法对重要性程度赋值。

3）层次单排序。本文利用和法计算权值。

首先将A的每一列向量归一化：

（2）

然后对归一化后的判断矩阵矩阵按行求和：

（3）

再将向量■=[■1，■2，…■n]T归一化：

（4）

归一化后的向量■的分量即为各评估要素的权值。

4）一致性校验。为了保证判断矩阵具有比较高的准确度，需要对矩阵进行一致性校验。计算一致性指标如下：

首先求出矩阵的最大特征根。

然后计算一致性指标。

（6）

最后计算一致性比例。

（7）

如果CR

当CR=0时，判断矩阵具有完全一致性，CR越大则一致性越差。一般认为CR

3.2 移动智能终端系统安全风险评估

本节将上节介绍的AHP算法运用到移动终端安全测评工具模型建立。在测评工具的判断矩阵系数确定中结合问卷调查、专家评分的方式，通过算法调用大量的测试用例对终端系统安全功能进行自动测评，得出终端系统主要安全机制脆弱性的评估值，在此基础上对待测终端系统进行安全风险评估。

1） 建立层次模型 根据表2的分析及AHP算法建立层次模型如图1，分别给各评估要素编号1～7。

2）构造判断矩阵与求解 基于上述模型，对HTC手机野火进行风险评估，该型号手机使用Android 2.3操作系统。利用调查问卷的形式和专家意见咨询方式构造判断矩阵Ai，用1～9比例标度法构造出各个元素的判断矩阵Ai。其中第一层对第二层的判断矩阵为：

分别计算出第一层要素对第二层要素的权值分别为：

W1 =[0.456，0.152，0.068，0.323] T

W2 =[0.076，0.543，0.136，0.244] T

W3 =[0.093，0.093，0594，0.218] T

经计算以上三个矩阵CR

第二层对第三层的判断矩阵为：

计算出第二层要素对第三层要素的权值分别为：

W4 =[0.462，0.073，0.195，0.737，0.195] T

W5 =[0.360，0.071，0.367，0.104，0.095] T

W6 =[0.137，0.400，0.079，0.277，0.106] T

W7 =[0.329，0.090，0.104，0.071，0.404] T

经计算以上四个矩阵CR

3）风险级别 由上述计算得到权重矩阵？棕1 =[W1， W2， W3]T和？棕2 =[ W4， W5， W6， W7]T。利用安全功能测评工具得到第三层各元素脆弱性度？茁 =[2，6，4，2，7]。计算第二层元素的安全风险权重？滓2=？棕2？茁T =[4.98，3.49，4.29，4.58]。第一层元素的安全风险权重？滓1=？棕1？滓2T =[4.57，3.97，4.33]。对照表1判定各威胁对该终端系统的破坏能力为中，该终端系统面临的三个安全风险：资产、名誉、时间损失的等级为中。

4 结束语

移动信息安全工作的重要性和紧迫性得到越来越广泛的重视，本文针对目前移动智能终端信息安全威胁，定义了终端系统安全风险评估的概念并利用AHP算法建立智能终端系统安全风险评估模型，通过此方法可计算出各评估要素的相对风险程度和整个智能终端的安全风险等级，该方法有利于移动智能终端分级安全评估模型的建立，为不同用户对安全的不同需求提供评估的参考。

参考文献

[1] C. Dagon， T. Martin， and T. Starner， Mobile Phones as Computing Devices： the Viruses Are Coming[J].IEEE Pervasive Computing，2004（3）：11-15.

[2] Gong lei， zhou chong， Development and Research of mobile terminal application based on Android[J]. Computer and Modernization.2008：86-89.

[3] 冯登国，张阳，张玉清.信息安全风险评估综[J].通信学报，2004，7（25）：10-18.

[4] YD/T 1699-2007[S].移动终端信息安全技术要求，2006.

[5] YD/T 1700-2007[S].移动终端信息安全测试方法，2006.

[6] GB/T20984-2007[S].信息安全风险评估规范，2007.

[7] GB 17859-1999[S].计算机信息系统安全保护等级划分准则，1999.

[8] Wayne Jansen， Karen Scarfone， Guidelines on Cell Phone and PDA Security. National Institute of Standards and Technology （NIST） Special Publication[S]， October 2010.

[9] Thomas L. Saaty. Axiomatic Foundation of the Analytic Hierarchy Process[J].Management Science， 1986，7（32）：841-855.

[10] 李杨，韦伟，刘永忠.一种基于AHP的信息安全威胁评估模型研究[J].计算机科学， 2012， 1（39）： 61-137.

基金项目：

自然科学基金项目（编号：61032003，61071100和61271172）、四川省科技条件平台项目（ 编号：2011KJPT01）、四川省应用基础研究项目（ 编号：2012JY0001） 和成都市科技计划项目（编号：12DXYB026JH-002）联合资助。

作者简介：

唐杰（1987-），男，电子科技大学通信抗干扰部级重点实验室硕士研究生；主要研究方向为通信安全与保密。

文红（1969-），女，电子科技大学通信抗干扰部级重点实验室教授，博士生导师；主要研究方向为无线通信与通信安全。

逯全芳（1989-），女，电子科技大学通信抗干扰部级重点实验室硕士研究生；主要研究方向为移动信息安全。