吳嘉誠,余 曉

(1.東南大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院,江蘇 南京 210096;2.東南大學(xué) 繼續(xù)教育學(xué)院,江蘇 南京 210096)

針對互聯(lián)網(wǎng)面臨的各種安全威脅,專家將風險評估理論引入網(wǎng)絡(luò)安全領(lǐng)域,其可通過對網(wǎng)絡(luò)在運行過程中面臨的問題進行分析,利用網(wǎng)絡(luò)安全評估相關(guān)方法評估信息系統(tǒng)當前安全現(xiàn)狀,對發(fā)生風險可能性較大的部位和區(qū)域進行重點防御。

1 網(wǎng)絡(luò)安全風險評估

網(wǎng)絡(luò)安全風險評估是按照相關(guān)信息技術(shù)標準從信息安全的角度對信息系統(tǒng)安全性進行分析,判斷可能存在的威脅以及漏洞被利用后產(chǎn)生的損失。網(wǎng)絡(luò)安全風險評估包括資產(chǎn)、威脅、脆弱性和風險值4個要素,從安全風險管理角度出發(fā),運用科學(xué)的方法對信息系統(tǒng)面臨的威脅及存在的漏洞進行分析,并把系統(tǒng)風險值控制在一定的范圍內(nèi),從而保障網(wǎng)絡(luò)安全防御工作。

1.1 網(wǎng)絡(luò)安全風險評估標準

在網(wǎng)絡(luò)安全風險評估領(lǐng)域,各個國家或經(jīng)濟體皆制定了相應(yīng)的風險評估標準。美國國防部在1985年發(fā)布了世界上第一部風險評估標準-《可信計算機系統(tǒng)評價標準》,該標準將計算機的安全等級根據(jù)系統(tǒng)風險值大小劃分為7個等級,但該安全標準只針對操作系統(tǒng)和數(shù)據(jù)庫,難以適應(yīng)信息通信技術(shù)的發(fā)展[1]。因此,英國、德國、法國等歐盟國家于1991年發(fā)布了《信息技術(shù)安全評估準則》,該標準針對信息實時傳輸過程中的完整性、保密性和可用性進行評估[2]。第一個國際性標準—《信息技術(shù)安全評估通用準則》于1999年提出,該標準是安全評估領(lǐng)域首部通用化國際標準[3]。我國在1999年編制了《計算機信息系統(tǒng)安全保護等級劃分準則》。隨著信息技術(shù)的飛速發(fā)展,我國于2007年頒布了信息安全風險評估規(guī)范GB/T 20984-2007[4]和《信息系統(tǒng)安全等級評測準則》,給出了網(wǎng)絡(luò)安全評估的定義和安全等級的劃分標準。

1.2 風險評估成員要素

在風險評估過程中需要考慮多種要素,主要有資產(chǎn)價值、資產(chǎn)自身脆弱性、資產(chǎn)面臨的威脅以及系統(tǒng)安全措施等。評估流程如圖1所示。

圖1 評估流程Figure 1. Assessment flow

2 網(wǎng)絡(luò)安全風險評估方法

網(wǎng)絡(luò)安全風險評估作為構(gòu)建網(wǎng)絡(luò)安全防御體系的關(guān)鍵環(huán)節(jié),是綜合分析信息系統(tǒng)自身存在的脆弱性以及面臨的外部威脅,判斷可能對系統(tǒng)造成的損失,并根據(jù)風險評估結(jié)果實施風險消除策略或風險控制策略。網(wǎng)絡(luò)安全風險評估基于一定的評估方法、工具和風險評估標準,不同的評估方法影響評估過程的各個環(huán)節(jié)以及最終的風險評估結(jié)果,因此需要結(jié)合評估系統(tǒng)的實際情況選擇合適的評估方法。根據(jù)不同的方法性質(zhì),文獻[5]將常用的評估方法分為定量、定性和定性定量相結(jié)合的3類評估方法。

2.1 定性評估方法

定性評估方法依據(jù)系統(tǒng)面臨的威脅、脆弱性以及安全措施等要素并依靠評估人員的知識與經(jīng)驗對網(wǎng)絡(luò)安全等級進行評估判斷。它通常采用文字形式或一定的數(shù)字范圍對系統(tǒng)安全等級進行描述。定性風險評估方法的操作過程比較簡單,適用于數(shù)據(jù)資料不夠充分的情況,但它的評估結(jié)果過于依賴專家自身的經(jīng)驗與知識,主觀性較強。定性分析方法主要有專家打分法、德爾菲法和故障樹分析法等。

1)專家評價法。

專家評價法[6]首先根據(jù)評估對象選定若干評價項目并確定各評價項目的評價標準,然后各個專家依靠自身知識判斷可能產(chǎn)生的風險并進行賦值,最后通過風險權(quán)重算出整體水平,并與基準值對比確定安全等級。

2)故障樹分析法。

故障樹分析法[7]的核心思路是按照邏輯方法,從故障結(jié)果出發(fā),逐級向下分析各自的直接原因事件,并使用樹形圖將事件之間的邏輯關(guān)系表示出來,然后定性或者定量地分析事件發(fā)生各種可能路徑的概率,最終發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)中的關(guān)鍵部位或薄弱環(huán)境。

3)德爾菲法。

德爾菲法[8]是一種定性確定風險等級的方法。該方法通過匿名的方式對互不相識的專家征求意見,專家之間獨立工作,然后對所有人的判斷進行綜合,最終得到一個比較客觀準確的評估結(jié)果。但該方法需要占用大量時間,不適用于需要快速決策的環(huán)境。

2.2 定量風險評估方法

定量風險評估方法使用確定的風險數(shù)值對網(wǎng)絡(luò)安全風險進行評估,這種方法將網(wǎng)絡(luò)安全風險評估要素進行量化,綜合考慮資產(chǎn)價值、威脅以及威脅分析三者以此確定安全事件發(fā)生的可能性和帶來的損失,最終確定風險值。定量風險評估的優(yōu)點是評估結(jié)果直觀,但評估結(jié)果的可信度取決于所用數(shù)據(jù)的精確性和完整性。為了量化網(wǎng)絡(luò)安全風險,需要將復(fù)雜網(wǎng)絡(luò)系統(tǒng)中的要素簡單化、模糊化,從而影響到評估結(jié)果的科學(xué)性和嚴密性。典型的定量風險評估方法有決策樹法、聚類分析法和因子分析法等[9]。

1)決策樹法。

決策樹分析法利用概率論原理對決策問題構(gòu)建一種自上而下的樹形結(jié)構(gòu),每個決策事件可能引發(fā)多個事件。該方法通過計算樹的葉子結(jié)點概率的期望值得到評估結(jié)果,因此最終得到的是風險的期望值,與實際風險值并不一定完全相等。文獻[10]提出了一種基于決策樹的網(wǎng)絡(luò)信息安全管理方法,首先對異常數(shù)據(jù)進行識別,然后對數(shù)據(jù)按照一定的規(guī)則進行處理并利用決策樹進行異常數(shù)據(jù)檢測,結(jié)果表明該方法能有效提高入侵檢測效率。

2)聚類分析法。

聚類分析法根據(jù)數(shù)據(jù)對象的相似程度將數(shù)據(jù)對象劃分為若干組或類,劃分的過程就是聚類分析的過程。文獻[11]提出一種基于聚類分析評估網(wǎng)絡(luò)安全態(tài)勢的方法,通過構(gòu)建廣義立方體聚類分析快速高效融合多源異構(gòu)非確定性信息源,逐步量化評估并生成網(wǎng)絡(luò)安全態(tài)勢結(jié)果。

3)因子分析法。

因子分析法的目的是用少數(shù)因子描述多個指標之間的關(guān)系,即通過將較相關(guān)的幾個指標歸在同一類中,以較少的幾個因子反映原始指標的主要信息,從而減少評估指標體系的復(fù)雜性和模糊性。

2.3 綜合風險評估方法

定性風險評估方法的評估過程簡單但評估結(jié)果主觀性較強,定量風險評估的結(jié)果用數(shù)值描述,更為直觀,兩種方法結(jié)合起來可以互補不足。因此,定性與定量相結(jié)合的綜合評估方法融合了定性、定量兩種方法的優(yōu)點,既能綜合考慮網(wǎng)絡(luò)中的各種安全因素,又能保證評估的客觀性,是目前風險評估領(lǐng)域的研究重點,廣泛應(yīng)用在復(fù)雜的信息系統(tǒng)風險評估中。綜合風險評估方法根據(jù)研究側(cè)重點的不同又可以分為基于指標體系和基于模型兩類評估方法。

2.3.1 基于指標體系的風險評估方法

基于指標體系的風險評估方法綜合考慮網(wǎng)絡(luò)安全風險評估過程中涉及到的人為、技術(shù)等因素。主要思想是從模糊性和不確定的信息中抽象、歸納出能影響風險評估結(jié)果的指標,最后根據(jù)構(gòu)建的指標體系計算風險評估結(jié)果并確定系統(tǒng)安全等級。構(gòu)建指標體系是網(wǎng)絡(luò)安全評估的重要環(huán)節(jié),指標及指標權(quán)重的確定受到研究者自身經(jīng)驗的影響,客觀性不足,因此專家利用層次分析法、模糊綜合評價法、D-S證據(jù)理論以及灰色理論等方法降低不確定性和主觀性,從而得到一個公認的、可靠性更強的指標體系。

1)模糊綜合評價法。

模糊綜合評價法是一種基于模糊數(shù)學(xué),同時應(yīng)用模糊關(guān)系將不確定性因素進行定量分析的方法。網(wǎng)絡(luò)安全評估中存在大量的風險因素,應(yīng)用模糊系統(tǒng)的原理建立綜合評價的因素集和綜合評價的評價集,構(gòu)造模糊評價矩陣,建立綜合評價模型,最終確定網(wǎng)絡(luò)的安全等級。

文獻[12]將模糊綜合評價法應(yīng)用到風險評估中。文獻[13]提出了一種基于改進的模糊分析層次過程(Fuzzy Analytic Hierarchy Process,FAHP)的信息安全風險評估方法。該方法建立了分層安全評估模型,并引入細化指標和直覺模糊集,以減少傳統(tǒng)風險評估中的主觀判斷因素。文獻[14]提出了一種基于AHP(Analytic Hierarchy Process)和模糊綜合評判的信息安全風險評估方法。文獻[15]基于模糊理論、粒子群優(yōu)化和RBF(Rodical Basis Function)神經(jīng)網(wǎng)絡(luò)提出了一種基于模糊理論的網(wǎng)絡(luò)安全風險評估模型。通過挖掘網(wǎng)絡(luò)安全狀況歷史數(shù)據(jù)中的規(guī)則,結(jié)合網(wǎng)絡(luò)現(xiàn)狀,實現(xiàn)對當前網(wǎng)絡(luò)安全狀況的評估,提高評估結(jié)果的客觀性和可理解性。針對專家評價意見存在主觀性和不確定性的問題,文獻[16]提出了一種將模糊集理論和D-S證據(jù)理論應(yīng)用到傳統(tǒng)貝葉斯網(wǎng)絡(luò)安全風險評估的方法,結(jié)果表明該方法能夠提高評估結(jié)果的客觀性。

模糊綜合評價方法的優(yōu)點是評估結(jié)果清晰、可操作性強,且考慮了評估對象內(nèi)部關(guān)系的復(fù)雜性和模糊性,適合解決各種非確定性問題。但該方法評估指標體系難以建立,同時評估指標的權(quán)重確定過程主觀性較強。

2)D-S證據(jù)理論分析法。

D-S證據(jù)理論[17]引入信任函數(shù)概念,形成一套處理不確定性推理的數(shù)學(xué)方法。D-S證據(jù)理論的核心是利用Dempster組合規(guī)則融合不同證據(jù)的信任函數(shù),隨著證據(jù)的融合而降低多源信息的不確定性,獲得最終結(jié)果后根據(jù)決策邏輯進行判斷,最終得到評估結(jié)果。

已有學(xué)者將D-S證據(jù)理論應(yīng)用到風險評估中。文獻[18]提出了一種通過改進組成規(guī)則以解決悖論,建立安全測量模型的方法,提高了網(wǎng)絡(luò)安全評估結(jié)果的準確性。文獻[19]引入了BP(Back Propagation)神經(jīng)網(wǎng)絡(luò)融合多源態(tài)勢信息獲得D-S證據(jù)理論的基本概率分配(Basic Probablity Assignment,BPA),弱化專家評判對BPA的影響,最終得到可信度較高的風險評估值。

3)層次分析法。

層次分析法將一個復(fù)雜的問題分解為多個因素的組合,并按照因素之間的相互關(guān)聯(lián)影響以及隸屬關(guān)系劃分為有序的多層次分析結(jié)構(gòu)模型。文獻[20]提出了一種智能電網(wǎng)信息安全風險評估方法,該方法結(jié)合D數(shù)來改進獨立于專家主觀定性評估的經(jīng)典分析層次過程(D-AHP),然后與不需要完整和明確信息的灰色理論相結(jié)合得到綜合評估值和相應(yīng)的風險等級。文獻[21]提出了一種利用層次分析法建立資產(chǎn)漏洞評分層次模型并對信息系統(tǒng)進行評估的方法。層次分析法將難以量化的抽象問題以層次化模型簡化為多個簡單問題,提高了決策的可靠性。但風險評估參數(shù)值由專家確定,存在一定的主觀性,缺乏統(tǒng)一的權(quán)重確定方法。

4)灰色理論評估法。

灰色系統(tǒng)理論是一門基于控制理論的系統(tǒng)工程學(xué)科,可解決存在未知因素的特殊領(lǐng)域問題。信息系統(tǒng)中存在大量的模糊性和不確定性因素,這和灰色系統(tǒng)的特征相符,因此有學(xué)者利用灰色理論方法對網(wǎng)絡(luò)安全風險進行評估。文獻[22]采用AHP與灰色理論相結(jié)合的方法對網(wǎng)絡(luò)安全進行評估,利用層次化模型將評估對象抽象簡化,結(jié)果表明灰色AHP降低了傳統(tǒng)AHP方法中人為判斷的主觀性。文獻[23]提出了一種通過先驗估計對缺失的參數(shù)評估值進行填充來解決風向評估中參數(shù)評估值確定較為困難的問題,然后利用灰色關(guān)聯(lián)決策算法對系統(tǒng)進行安全風險評估的方法。

2.3.2 基于模型的風險評估方法

基于模型的風險評估方法可以綜合考慮風險評估要素,科學(xué)地對風險要素和系統(tǒng)狀態(tài)進行建模,通過模型計算得到系統(tǒng)安全等級。優(yōu)點是評估結(jié)果準確可靠、模型可復(fù)用,缺點是針對復(fù)雜系統(tǒng)建模難度大、計算過程復(fù)雜度高。根據(jù)模型結(jié)構(gòu)的不同,將基于模型的風險評估方法劃分為基于圖模型的評估方法和基于人工智能的評估方法。

1)基于圖模型的評估方法。

基于圖模型的評估方法綜合考慮脆弱性和安全事件之間的關(guān)聯(lián)性,對攻擊行為和網(wǎng)絡(luò)系統(tǒng)建立直觀的模型。該方法的優(yōu)點是可展現(xiàn)攻擊行為的完整攻擊路徑,且模型可復(fù)用、可擴展性強,缺點是構(gòu)建模型較為復(fù)雜,計算上存在指數(shù)爆炸問題。典型的基于圖模型的方法包括基于攻擊樹模型、基于攻擊圖模型和基于Petri網(wǎng)的風險評估方法等。

攻擊樹理論[24]是一種利用樹形結(jié)構(gòu)來描述系統(tǒng)面臨的攻擊行為和安全威脅的方法。攻擊樹的構(gòu)建過程主要是將根節(jié)點代表網(wǎng)絡(luò)攻擊的目標,將攻擊目標分解為不可分割的子目標作為葉子結(jié)點,從根節(jié)點到葉子結(jié)點的每一條路徑都代表一種對系統(tǒng)的攻擊方式。文獻[25]利用攻擊樹模型對4G網(wǎng)絡(luò)的安全風險進行評估,結(jié)合模糊層次分析法計算每條攻擊路徑的風險概率,最終得到安全風險等級結(jié)果。針對網(wǎng)絡(luò)安全風險評估過程容易受到主客觀因素影響的問題,文獻[26]提出了一種基于模糊理論與攻擊樹相結(jié)合風險評估方法,利用葉子節(jié)點的區(qū)間概率值計算攻擊路徑的區(qū)間概率,最后得到每個攻擊路徑的發(fā)生概率。文獻[27]針對網(wǎng)絡(luò)攻擊效果評估對指標數(shù)據(jù)過于依賴的問題提出了一種基于攻擊樹和CVSS的網(wǎng)絡(luò)攻擊效果評估方法。首先利用攻擊樹模型對系統(tǒng)可能存在的攻擊路徑進行分析,然后利用模糊層次分析法對葉子結(jié)點表示的攻擊事件發(fā)生的概率進行求解。實驗結(jié)果證明該方法評估結(jié)果比較客觀,算法實現(xiàn)簡單。文獻[28]將攻擊樹模型與層次分析法相結(jié)合并用于評估DDoS(Distributed Denial of Service)攻擊對系統(tǒng)可用性的影響。

攻擊圖方法[29]的思想是站在攻擊者的視角采取有向圖的方式對攻擊順序和攻擊事件可能造成的損失進行模型構(gòu)建,通過節(jié)點和邊的邏輯關(guān)系枚舉并直觀展示所有攻擊目標網(wǎng)絡(luò)的場景,反映出網(wǎng)絡(luò)節(jié)點的脆弱性并對重點節(jié)點進行防御。根據(jù)圖中節(jié)點和邊表達的含義不同,攻擊圖主要分為狀態(tài)攻擊圖[30]和屬性攻擊圖[31]兩種。文獻[32]提出了一種綜合復(fù)雜網(wǎng)絡(luò)理論和攻擊圖對列車控制系統(tǒng)進行網(wǎng)絡(luò)安全風險評估的方法。該方法一方面通過對構(gòu)建的攻擊圖節(jié)點和邊的連通性進行分析從而確定惡意攻擊對列車控制的影響,另一方面通過攻擊圖結(jié)合網(wǎng)絡(luò)存在的漏洞來量化潛在攻擊的概率。文獻[33]采用攻擊圖對系統(tǒng)攻擊行為進行量化評估,首先利用攻擊圖對網(wǎng)絡(luò)威脅場景的可能性和組合風險度量進行建模,最后對攻擊場景的可能性進行量化。

與基于攻擊事件的攻擊樹模型或攻擊圖模型不同,Petri網(wǎng)可綜合考慮對攻擊和防御對狀態(tài)變化的影響建立評估模型來評估系統(tǒng)。文獻[34]將模糊論和Petri網(wǎng)結(jié)合起來對電力系統(tǒng)進行網(wǎng)絡(luò)安全態(tài)勢評估。實驗結(jié)果對比了BP神經(jīng)網(wǎng)絡(luò)和支持向量機兩種方法,基于模糊Petri網(wǎng)的評估方法準確率在3種方法中最高,達到了92.5%,由此可知該方法能夠更加準確地對系統(tǒng)運行狀態(tài)進行評估且態(tài)勢評估準確率更高。文獻[35]提出了一種將Petri網(wǎng)與模糊推理相結(jié)合的網(wǎng)絡(luò)安全風險評估方法,首先利用層次分析法建立指標體系,再對網(wǎng)絡(luò)系統(tǒng)進行評估,得到系統(tǒng)綜合風險等級。

2)基于人工智能理論模型的評估方法。

因為復(fù)雜網(wǎng)絡(luò)拓撲結(jié)構(gòu)具有模糊性和不確定性的特點,而人工智能理論適用于對復(fù)雜系統(tǒng)進行建模,因此,專家基于人工智能理論模型提出了一些風險評估方法。目前,應(yīng)用在風險評估領(lǐng)域的人工智能模型主要有貝葉斯網(wǎng)絡(luò)、隱馬爾可夫模型等。

貝葉斯網(wǎng)絡(luò)是一種將概率論與圖論相結(jié)合來建模變量之間的條件獨立關(guān)系和依賴關(guān)系的概率模型。文獻[36]提出了一種基于貝葉斯攻擊圖的模糊綜合評價方法,綜合考慮了被評估系統(tǒng)的環(huán)境因素對安全風險的影響以及對貝葉斯網(wǎng)絡(luò)的影響,實驗結(jié)果證明該評估方法適用于評估無線傳感器網(wǎng)絡(luò)系統(tǒng)的風險,而且結(jié)果更加客觀準確。文獻[37]將貝葉斯與攻擊圖結(jié)合用來評估網(wǎng)絡(luò)狀態(tài)之間的因果關(guān)系,結(jié)果證明該分析模型適用于在網(wǎng)絡(luò)部署階段進行動態(tài)分析。文獻[38]利用攻擊圖構(gòu)建物聯(lián)網(wǎng)網(wǎng)絡(luò)中不同攻擊的發(fā)生路徑,并將模擬攻擊中獲得的數(shù)據(jù)集作為貝葉斯網(wǎng)絡(luò)的參數(shù),最終實現(xiàn)對智能家居物聯(lián)網(wǎng)網(wǎng)絡(luò)的風險評估。文獻[39]通過基于貝葉斯算法的網(wǎng)絡(luò)安全風險量化模型對各種威脅源造成的網(wǎng)絡(luò)安全風險進行分析和量化,利用貝葉斯算法實現(xiàn)客觀評估信息的觀測節(jié)點,結(jié)合主觀安全威脅等級,實現(xiàn)安全評估的連續(xù)性和積累性。文獻[40]將貝葉斯與攻擊圖結(jié)合對網(wǎng)絡(luò)攻擊概率構(gòu)建定量攻擊圖,然后利用貝葉斯網(wǎng)絡(luò)動態(tài)更新節(jié)點狀態(tài)并預(yù)測攻擊路徑。文獻[41]針對來自專家分析的先驗知識導(dǎo)致結(jié)果主觀性較強的問題,將傳統(tǒng)的貝葉斯網(wǎng)絡(luò)與熵權(quán)法結(jié)合,有效減少對專家評價的依賴,提高了評估結(jié)果的客觀性。基于貝葉斯網(wǎng)絡(luò)的風險評估的優(yōu)點在于可以在評估過程中融合多源數(shù)據(jù)信息,能夠較好地處理不確定性問題,但是該方法只適用節(jié)點數(shù)量少的網(wǎng)絡(luò)環(huán)境,不適用于大規(guī)模網(wǎng)絡(luò)。

隱馬爾可夫模型(Hidden Markov Model,HMM)由馬爾科夫鏈演化而來,是關(guān)于時序的概率模型。HMM模型圍繞兩組狀態(tài)序列進行建模,其中一組是由隱藏的馬爾可夫鏈生成的狀態(tài)隨機序列,另一組是由各個狀態(tài)生成觀測隨機序列,應(yīng)用到網(wǎng)絡(luò)安全風險評估領(lǐng)域中可以描述網(wǎng)絡(luò)安全狀態(tài)的變化情況和不同狀態(tài)之間的轉(zhuǎn)移情況。文獻[42]將HMM模型應(yīng)用到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全評估中。文獻[43]從主機和網(wǎng)絡(luò)的角度進行風險評估,首先進行風險識別,從基本操作、漏洞和威脅3個維度確定指標體系,然后利用隱馬爾可夫模型進行風險計算并評估網(wǎng)絡(luò)安全風險。文獻[44]提出了一種基于HMM模型對目標網(wǎng)絡(luò)進行建模,并通過對節(jié)點相關(guān)性和節(jié)點重要性建模進而對網(wǎng)絡(luò)安全風險進行量化的方法。該方法相對于傳統(tǒng)方法能更及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常風險變化情況。文獻[45]針對傳統(tǒng)的風險評估方法結(jié)果準確性不足的問題,通過建立HMM模型和貝葉斯模型來優(yōu)化風險評估過程,可以提高評估值的準確性。文獻[46]建立了基于信息熵和馬爾可夫鏈的移動商務(wù)隱私安全風險評估模型,該模型可以在評估隱私泄露風險時提供準確的量化結(jié)果,指導(dǎo)用戶選擇安全的移動商務(wù)應(yīng)用,保護用戶的隱私安全。HMM的風險評估方法優(yōu)點在于可以實時看到系統(tǒng)安全狀態(tài)的變化,且建模速度快,缺點是建?；诟怕式y(tǒng)計學(xué), 在實際復(fù)雜的網(wǎng)絡(luò)環(huán)境中需要的先驗知識規(guī)模較大,采集較為困難。

3 現(xiàn)有工作總結(jié)與分析

對網(wǎng)絡(luò)風險評估的研究較多,其中綜合評估方法是目前的研究重點,因此本文將其分為基于指標體系和基于模型兩類進行總結(jié)和分析,如表1所示。

表1 風險評估方法總結(jié)Table 1. Risk assessment methods summary

對網(wǎng)絡(luò)安全評估造成影響的關(guān)鍵因素主要有關(guān)聯(lián)性、評估指標的不確定性以及評估過程的實時性3類,本文從以下3個維度對這3類因素進行討論和分析。

1)關(guān)聯(lián)性的評估。

網(wǎng)絡(luò)評估中包含較多指標因素,例如資產(chǎn)脆弱性、資產(chǎn)自身存在的漏洞和攻擊行為。這些要素之間相互關(guān)聯(lián),因此需考慮要素之間的關(guān)聯(lián)性,使評估更符合實際情形。故障樹方法主要利用網(wǎng)絡(luò)系統(tǒng)中攻擊行為的關(guān)聯(lián)性來對系統(tǒng)安全性進行分析,但是該方法容易產(chǎn)生組合爆炸問題。攻擊樹從攻擊者的視角出發(fā)分析可能的攻擊路徑,該方法的優(yōu)點是可以對復(fù)雜的攻擊場景進行建模,利用概率分析定量評估系統(tǒng)風險,缺點是沒有考慮遭受攻擊時的防御過程,此時攻擊樹無法準確描述系統(tǒng)狀態(tài)的變化。攻擊圖使用有向圖的方式對網(wǎng)絡(luò)系統(tǒng)狀態(tài)受到攻擊后的變化進行描繪,優(yōu)點是將攻擊行為和系統(tǒng)變化相結(jié)合,評估結(jié)果更加科學(xué)和準確,缺點是構(gòu)建復(fù)雜,無法反映網(wǎng)絡(luò)整體安全性。針對攻擊圖/樹評估方法只考慮攻擊行為的問題,Petri網(wǎng)可綜合考慮對攻擊和防御對狀態(tài)變化統(tǒng)進行評估,優(yōu)點是可以將故障的狀態(tài)傳遞過程以直觀的圖形表現(xiàn)出來,缺點是評估復(fù)雜系統(tǒng)時會出現(xiàn)信息缺失的情況。

2)評估指標的不確定性。

網(wǎng)絡(luò)安全風險涉及了多種因素,這些因素具有模糊性和不確定性的特點,綜合考慮這些因素并建立評估指標體系存在一定的困難,因此需要降低這種不確定性。模糊論利用模糊數(shù)學(xué)可將一些不確定性因素進行定量化,并建立綜合評價模型。優(yōu)點是可解決不確定性問題,將定性分析轉(zhuǎn)化為定量分析,缺點是無法解決指標相互影響帶來的權(quán)重問題。D-S證據(jù)理論是一種處理不確定性的推理方法,適用于建立指標體系時期,可對指標屬性中的冗余性元素進行排除。但是證據(jù)之間必須相互獨立,這與網(wǎng)絡(luò)系統(tǒng)節(jié)點之間存在的關(guān)聯(lián)性相悖,因此該方法具有一定的局限性?；疑碚撨m用于不完整、樣本量小的系統(tǒng),能夠客觀地反映出參數(shù)的模糊性和不確定性。層次分析法適用于評價體系有分層交錯特點的目標系統(tǒng),將評估問題轉(zhuǎn)化為多層次比較和權(quán)重計算問題。層次分析的優(yōu)點是可將復(fù)雜系統(tǒng)分解簡化為層次化模型并按照每層設(shè)定的權(quán)重進行分析,提高了決策的可靠性。但風險評估參數(shù)值由專家確定,存在一定的主觀性,缺乏統(tǒng)一的權(quán)重確定方法。

3)評估的實時性。

網(wǎng)絡(luò)狀態(tài)是動態(tài)變化的,傳統(tǒng)的評估方法多為靜態(tài)分析方法,無法對動態(tài)的網(wǎng)絡(luò)安全狀態(tài)進行檢測,因此有專家提出了能對系統(tǒng)進行實時評估的風險評估方法。HMM的風險評估方法優(yōu)點在于可以實時看到系統(tǒng)安全狀態(tài)的變化,且建模速度快,缺點是建?；诟怕式y(tǒng)計學(xué),在實際復(fù)雜的網(wǎng)絡(luò)環(huán)境中需要的先驗知識需求較大,采集較為困難。

4 展望

網(wǎng)絡(luò)安全風險評估是網(wǎng)絡(luò)安全保障體系過程中的一個關(guān)鍵環(huán)節(jié),為解決網(wǎng)絡(luò)安全威脅提供了較多方法和手段。網(wǎng)絡(luò)安全評估尚存在較多未解決的問題,并且隨著越來越多新網(wǎng)絡(luò)攻擊手段的出現(xiàn),網(wǎng)絡(luò)安全風險評估技術(shù)需要進一步發(fā)展。未來需從下述角度開展深入研究。

1)目前在網(wǎng)絡(luò)安全風險評估領(lǐng)域還沒有一部公認的評估標準,因此不同方法對網(wǎng)絡(luò)風險進行評估得到的結(jié)果無法相互比較,對風險等級劃分也缺少統(tǒng)一的標準。針對這一問題,在制定網(wǎng)絡(luò)安全風險評估標準時對國內(nèi)外網(wǎng)絡(luò)安全風險標準進行歸納總結(jié),制定出公認的評估步驟和標準。

2)風險評估過程需要考慮較多對評估結(jié)果產(chǎn)生影響的因素,例如專家經(jīng)驗在評估過程中的主觀性和一些難以量化的模糊性和不確定性的因素,這些因素對評估結(jié)果的客觀性和科學(xué)性會產(chǎn)生一定的影響。因此未來研究需要考慮減少人為因素對評估結(jié)果的干擾,使評估結(jié)果更加科學(xué)、準確。

3)目前的評估方法在面對大規(guī)模的復(fù)雜網(wǎng)絡(luò)時易出現(xiàn)路徑爆炸問題,難以處理網(wǎng)絡(luò)中節(jié)點和設(shè)備數(shù)量較大以及各節(jié)點之間的互聯(lián)關(guān)系,模型構(gòu)建難度較大。未來研究應(yīng)盡量提高評估方法的自動化程度,并可通過評估結(jié)果自動進行漏洞修補。

4)現(xiàn)有的評估模型和方法適用性不夠廣泛,未來應(yīng)對現(xiàn)有模型和方法進一步完善并和其他學(xué)科進行交叉,形成適用性更廣且評估效果更好的新型評估模型。

5 結(jié)束語

本文首先介紹了網(wǎng)絡(luò)安全風險評估的定義以及國內(nèi)外的風險評估標準,其次詳細闡述了目前主流的安全風險評估方法,梳理了不同方法的定義、優(yōu)劣勢以及應(yīng)用范圍等要素,然后總結(jié)出3類對網(wǎng)絡(luò)安全評估造成影響的關(guān)鍵因素,并從3個維度對現(xiàn)有工作進行總結(jié)和分析,最后提出了未來網(wǎng)絡(luò)安全風險評估領(lǐng)域的研究計劃。