高貫銀，曹京衛(wèi)，余思陽，徐 瑤，楊 飛（.中訊郵電咨詢設計院有限公司，北京 00048；.中國聯(lián)合網(wǎng)絡通信集團有限公司，北京 00033）

0 前言

隨著計算機網(wǎng)絡技術的高速發(fā)展，網(wǎng)絡安全問題日益突出，引起了社會各界的廣泛關注。目前的以防火墻、病毒檢測技術和入侵檢測技術等為主的安全防護手段，只能在檢測到攻擊行為后為網(wǎng)絡提供安全防護，無法通過風險預估提前告警，這使得安全防護工作極為被動，也增加了網(wǎng)絡被攻破的風險。因此，網(wǎng)絡安全風險量化評估顯得尤為重要。

模糊綜合評價法是一種基于模糊數(shù)學理論的綜合評價方法，能夠將一些模糊的、不易定量的因素定量化。前期已有一些研究成果將模糊綜合評價方法應用于網(wǎng)絡安全風險量化評估中，但在評估因子對風險指標的隸屬度設定上存在太多的主觀因素。本文通過對模糊綜合評價理論和網(wǎng)絡安全評估因素深入的研究，在評估因子的隸屬度設定和權重設計方面給出了新的思路，并通過模擬實驗驗證方案的可行性。

1 模糊綜合評價方法

模糊綜合評價法是在模糊集合理論的基礎上發(fā)展起來的一種量化評估方法，能夠對受到多種因素制約的事物或對象做出總體的量化評價。它能較好地解決模糊的、難以量化的問題，適合各種復雜的、非確定性場景的量化評估。由于它的評價結果是一個矢量，而不是一個點值，因此包含的信息比較豐富，可以比較準確地刻畫被評價對象。

模糊綜合評價法基本原理：首先確定適合評價對象的評價指標集和因素集；再分別確定各因素的權重系數(shù)及隸屬度向量，獲得模糊評判矩陣；最后把模糊評判矩陣與因素的權向量進行模糊運算并做歸一化處理，得到模糊綜合評價結果。其一般步驟如下：

a）選取評價指標體系。模糊綜合評價指標體系是進行綜合評價的基礎，評價指標的選取是否適宜，將直接影響綜合評價的準確性。

b）確定評價因素集。為便于權重分配和評議，根據(jù)具體場景，可以設置多級評價因子，例如，在網(wǎng)絡安全風險評估中，可設置第1 級評價因子，包括威脅維度、資產(chǎn)維度和漏洞維度。其中，威脅維度又可設置第2級評價因子，包括拒絕服務攻擊、木馬攻擊和蠕蟲病毒等。

c）評價因素的權重設計。評價系統(tǒng)中各評價因素對評價結果的影響不同，評價因素的權重值反映了該因素的重要性，權重值越大，則其重要性越高。各評價因素的權重值往往通過專家經(jīng)驗法或者層次分析法確定，其中每一級評價因素須滿足權重和為1。

d）構建隸屬矩陣。模糊綜合評價模型的關鍵在于確定隸屬度函數(shù)。評價因素的隸屬度表達了各評價因子與風險指標的對應關系。確定隸屬度函數(shù)的方法有多種，例如F統(tǒng)計方法、專家評價法等。

e）隸屬矩陣和權重的合成。采用適合的合成因子對其進行合成，并對結果向量進行解釋。

模糊綜合評價方法能夠把復雜問題簡單化，把模糊概念清晰化，把定性評價轉化為定量評估。將模糊綜合評價方法應用到網(wǎng)絡安全風險評估領域能較好地解決風險因素錯誤復雜、風險值難以量化評估的問題。

2 基于模糊綜合評價的量化評估方法

2.1 網(wǎng)絡安全風險評估要素

網(wǎng)絡安全風險是指資產(chǎn)外部的威脅因素利用資產(chǎn)本身的固有漏洞對資產(chǎn)價值造成的損害。網(wǎng)絡安全風險評估就是資產(chǎn)價值、資產(chǎn)固有漏洞以及遭受威脅的確定過程。從風險評估的角度來看，資產(chǎn)價值、安全漏洞和安全威脅構成了邏輯上不可分割的有機整體，是風險評估必不可少的3要素。

2.1.1 資產(chǎn)評估

在網(wǎng)絡系統(tǒng)中，資產(chǎn)主要是指硬件、軟件和信息資產(chǎn)。對資產(chǎn)維度的評估主要是對資產(chǎn)的價值以及資產(chǎn)上所運行服務的重要程度進行評估。

國際標準ISO/IEC13335 規(guī)定的資產(chǎn)等級如下：1級為“可忽略的”，2級為“低”，3級為“中”，4級為“高”，5 級為“嚴重”。為了對資產(chǎn)的重要性進行評估，首先需要定義網(wǎng)絡中的所有資產(chǎn)，然后由資產(chǎn)管理人員根據(jù)資產(chǎn)的價值進行定性或定量評估。

2.1.2 威脅評估

威脅維度的評估主要考慮網(wǎng)絡系統(tǒng)中的安全事件。對攻擊事件的威脅評估，可以按照一定的分類標準，針對網(wǎng)絡系統(tǒng)自身的特點進行評估。

由賈焰作為主要起草人、以中國通信標準化協(xié)會為歸口單位的標準《網(wǎng)絡威脅指數(shù)評估方法》（YD/T 2389-2011），對網(wǎng)絡攻擊進行了詳細分類，并根據(jù)網(wǎng)絡威脅指數(shù)計算結果將網(wǎng)絡威脅劃分為5個等級：優(yōu)、良、中、差、危。

2.1.3 漏洞評估

安全漏洞是信息資產(chǎn)自身的一種缺陷。在選取漏洞維度的評估要素時，主要考慮網(wǎng)絡系統(tǒng)自身的漏洞情況，即在不考慮攻擊的情況下，分析網(wǎng)絡系統(tǒng)自身的脆弱性。

目前國內(nèi)外有很多漏洞評估方法，依據(jù)給出的評估結果形式的不同，大致可分為定量評估和定性評估。通用漏洞評估系統(tǒng)（CVSS）是目前被廣泛使用的漏洞評估系統(tǒng)，該系統(tǒng)對安全漏洞危害嚴重性進行打分，最終得到一個定量的漏洞危害評分結果，其分值范圍為0～10。中國國家信息安全漏洞庫（CNNVD）對各種安全漏洞劃分了危害等級，包括超危、高危、中危和低危。

2.2 網(wǎng)絡安全風險評估方法

模糊綜合評價方法能夠把復雜問題簡單化，把模糊概念清晰化，把定性評價轉化為定量評估。將模糊綜合評價方法應用到網(wǎng)絡安全風險評估領域能較好地解決風險因素錯綜復雜、風險值難以量化評估的問題。

模糊綜合評價理論通常包含有因素集和指標集，通過因素集與指標集之間的模糊關系矩陣（即隸屬度矩陣）可以得到各評價因素對于風險指標的隸屬度向量，從而得到評價因素的綜合評價結果。隸屬度與隸屬度矩陣是模糊綜合評價的關鍵性概念。

為盡量消除因為評估的主觀性和離散數(shù)據(jù)所帶來的偏差，首先對資產(chǎn)、漏洞和威脅維度進行定性或者定量評估，然后根據(jù)評估結果確定評估因素與風險指標的隸屬度。其基本步驟如下。

步驟1：確定模糊綜合評價指標集。

評價指標集是評價者對被評價對象可能做出的各種總的評價結果組成的評語等級的集合，一般可將風險指標劃分為5級，即：

步驟2：確定評價因素集。

在網(wǎng)絡安全風險評估領域，一級評價因子包括資產(chǎn)類、威脅類，漏洞類，即：

有時候，一級評價因子還包括因子的評價因素集，例如：威脅維度評價因子根據(jù)攻擊類型的不同還可細分為多種二級評價因子：

步驟3：確定評價因素的權重向量。

通常情況下，每種評估因子在風險評估中所占權重不同。風險級別越高的因子，其權重也就越大?？梢酝ㄟ^專家估計法確定每種評估因子的權重值。

在本方法中，一級評價因子的權重向量為：

威脅因素包含的各二級評價因子，其權重向量為：

各級評價因素應分別滿足：

步驟4：確定隸屬函數(shù)。

在模糊集理論中運用隸屬度來刻畫客觀事物中大量的模糊界限，而隸屬度可用隸屬函數(shù)來表達。為了確定模糊運算需要為每一個評估因子確定隸屬函數(shù)。評估因子對評價指標的隸屬度可通過各評估因子對應的評估標準進行量化。

其中，資產(chǎn)因子可依據(jù)資產(chǎn)對應的資產(chǎn)等級屬性，而資產(chǎn)等級屬性可通過專家評價法確定，將資產(chǎn)等級映射到步驟1 的風險指標集，從而得出其隸屬函數(shù)：

漏洞因子可根據(jù)國家信息安全漏洞庫定性評級結果映射到風險指標集，得出漏洞因子的隸屬函數(shù)：

威脅因子應首先根據(jù)其二級評價因子的評估值計算其與風險指標集的隸屬度，然后通過計算其平均值，得出威脅因子的隸屬函數(shù)：

所有評估因素對應的隸屬函數(shù)組合起來，構造出總的隸屬函數(shù)R：

其中，R（ui，vj）=Rij表示評估因子ui對指標vj的隸屬度，每種評估因子的隸屬度總和需滿足歸一化：

考慮到定性評估結果的離散性和不精確性，使風險級別較高的評估因子也有隸屬于中級級別風險的可能性。例如，當資產(chǎn)風險級別為3時，那么其隸屬于2級風險級別的程度為10%，隸屬于3級風險級別的程度為80%，隸屬于4 級風險級別的程度為10%，漏洞因子和威脅因子同理。

步驟5：模糊評判。

由權重向量與隸屬度函數(shù)乘積，得到模糊綜合評價結果Y：

該評價結果表征隸屬于各風險指標的概率。

3 模擬實驗

為驗證所提方法的有效性與可行性，選取實驗室2 臺機器作為目標主機，搭建模擬測試環(huán)境，環(huán)境信息如表1所示。

首先通過專家評議法確定資產(chǎn)等級，共邀請5 位評審專家，最終確定資產(chǎn)等級為“中”。

然后使用天融信漏洞掃描引擎對2臺目標主機進行掃描，發(fā)現(xiàn)主機A 存在Dubbo代碼問題漏洞，該漏洞在國家信息安全漏洞庫評級為超危；主機B 未發(fā)現(xiàn)安全漏洞。

最后使用kali 系統(tǒng)對2 臺主機進行滲透攻擊，主機A所部署的FluxBB論壇被暴力破解攻破。

考慮到定性評估結果的離散性和不精確性，使風險級別較高的評估因子也有隸屬于中級級別風險的可能性。因此根據(jù)資產(chǎn)、漏洞和威脅維度的評估結果分別得出2臺目標主機的隸屬度函數(shù)為：

通過專家評估法確定各評估因素的權重，得出權重向量：

最終確定其綜合評價向量：

該綜合評價向量表示各風險等級對應的風險值，也即資產(chǎn)隸屬于各風險等級的概率。通過縱向比較，可以看出，主機A 隸屬于高風險等級的概率較大。另外，通過橫向對比分析，主機A的風險值明顯高于主機B。這主要是因為主機A 存在超危漏洞，且遭受了滲透攻擊，其脆弱性維度和威脅維度風險較高。實驗表明，本文所提出的網(wǎng)絡安全風險評估方法能夠有效評估資產(chǎn)的風險情況。

4 總結

網(wǎng)絡安全風險量化評估是一個非常復雜的問題，基于模糊綜合評價理論的網(wǎng)絡安全風險量化評估方法能夠對資產(chǎn)風險做出真實、合理的量化評價，具有很大的發(fā)展?jié)摿?。本文針對模糊綜合評價理論在網(wǎng)絡安全領域的應用，在評價因素的權重和隸屬度設計方面，提出了客觀的分析方法，并通過模擬實驗，驗證了方案的可行性。本文的研究進一步完善了模糊綜合評價方法在網(wǎng)絡安全風險量化評估中的應用。