網(wǎng)絡(luò)安全風險評估方法分析與比較

覃德澤 蒙軍全

1賀州學院計算機科學與工程系 廣西 542800 2賀州市科技局 廣西 542800

0 前言

關(guān)于網(wǎng)絡(luò)安全風險評估的研究在國內(nèi)才十多年的歷史，人們已提出了多種不同的評估方法，其中較有代表性的是故障樹分析法(Fault Tree Analysis, FTA)、層次分析法(Analytic Hierarchy Process, AHP)、模糊綜合評判法(Fuzzy Comprehensive Evaluation method, FCE)和基于貝葉斯、BP神經(jīng)網(wǎng)絡(luò)、D_S證據(jù)理論和基于數(shù)據(jù)場的網(wǎng)絡(luò)安全風險融合模型等方法。這些方法從不同的角度去探討網(wǎng)絡(luò)安全風險評估問題，各有優(yōu)、缺點，下面具體分析。

1 評估方法簡介

1.1 故障樹分析法

所謂故障樹分析法，就是對這些可能造成系統(tǒng)失效的各種因素進行分析，并用故障樹反映系統(tǒng)內(nèi)故障或其它事件之間的交互關(guān)系的設(shè)計分析方法和評估方法。

1.2 層次分析法

層次分析法(AHP)是在對系統(tǒng)分析的基礎(chǔ)上，將復雜關(guān)系分解為由局部簡單關(guān)系構(gòu)成的遞增層次關(guān)系，將前一級的評估結(jié)果作為下一級的評估輸入，構(gòu)造關(guān)系矩陣、權(quán)重向量和評價矩陣進行模糊綜合評估的系統(tǒng)分析和評估方法。通過逐層評判，最終得到目標層的模糊評判矩陣，選取隸屬度最大者所對應的評價集元素作為系統(tǒng)的綜合評價結(jié)果。如果希望進行安全系統(tǒng)之間的比較，則取目標層的模糊評判矩陣中的各元素(值)的加權(quán)和作為系統(tǒng)的量化總分。應用層次分析法首先要對系統(tǒng)分層，并建立評估指標體系。

1.3 模糊綜合評判法

模糊綜合評判法就是通過構(gòu)造風險因素集和評價因素集，專家直接打分評判出各風險因素的風險水平，定義隸屬函數(shù)來建立權(quán)重模糊矩陣和關(guān)系模糊矩陣，并把權(quán)重模糊矩陣和關(guān)系模糊矩陣的乘積作為模糊綜合評價結(jié)果的方法。

例如，設(shè) U={U1，U2，U3}=(資產(chǎn)，威脅，漏洞)，為各單項因素的集合，稱為風險因素集；設(shè)V={v1，v2，v3，v4，v5}＝(低，較低，中，較高，高)，為各風險級別的集合，稱為評價因素集。在對各單項因素進行風險級別評估取得每個單項因素的等級值后，通過各自的隸屬函數(shù)定義可分別求出每個單項因素對評價集V中5個風險級別的隸屬度，每個單項因素分別得出一組5個數(shù)，三個單項因素便得到3組5個數(shù)，用這3組5個數(shù)組成矩陣(3×5)就是關(guān)系模糊矩陣R；設(shè)資產(chǎn)、威脅和漏洞三個因素的權(quán)重值分別為β1, β2, β3，用此組成的矩陣(1×3)就是權(quán)重模糊矩陣B。

將權(quán)重模糊矩陣 B 和關(guān)系模糊矩陣R相乘，就得到網(wǎng)絡(luò)系統(tǒng)風險的模糊綜合評價結(jié)果Y。Y為一個1×5的矩陣，即Y={y1y2y3y4y5}，此結(jié)果代表最后的綜合評估結(jié)果隸屬于第i個風險級別的程度(i=1，2…，5)。綜合評估結(jié)果的數(shù)值表示則取 Y 中各元素(值)的加權(quán)和，即Y′=1*y1+2*y2+3*y3+4*y4+5*y5。

1.4 基于貝葉斯

基于貝葉斯網(wǎng)絡(luò)的評估方法，是以貝葉斯網(wǎng)絡(luò)為模型，對影響風險等級的各種因素采用概率方法結(jié)合專家知識進行描述。該方法不僅可以對網(wǎng)絡(luò)的總體風險進行評估，還能分別評估各個局部要素可能引起風險的程度。

1.5 基于BP神經(jīng)網(wǎng)絡(luò)

應用BP網(wǎng)絡(luò)進行風險評估的基本原理是：把用于描述評估的各風險因素的風險等級作為神經(jīng)網(wǎng)絡(luò)的輸入向量，將對系統(tǒng)的風險評估值作為神經(jīng)網(wǎng)絡(luò)的輸出。使用網(wǎng)絡(luò)前，用一些傳統(tǒng)方法評估取得成功的系統(tǒng)樣本訓練這個網(wǎng)絡(luò)，使它所特有的權(quán)值系數(shù)值經(jīng)過自適應學習后得到正確的內(nèi)部關(guān)系，訓練好的神經(jīng)網(wǎng)絡(luò)便可作為風險評估的有效工具了。

1.6 基于D_S證據(jù)理論

D_S證據(jù)理論主要用于數(shù)據(jù)融合技術(shù)中，近年來在風險評估中的應用逐漸增多(如項目投資、軟件開發(fā)風險評估等)，這些應用顯示了該理論在風險評估中的優(yōu)勢，但其在網(wǎng)絡(luò)安全風險評估中的應用還很少。證據(jù)理論是一種處理不確定性的推理方法，能處理由隨機性和模糊性所導致的不確定性，能將“不知道”和“不確定”區(qū)分開，適用于存在人為和不確定因素的評估。在不確定信息的表達及合成方面有著明顯優(yōu)勢。因此，將證據(jù)理論用于網(wǎng)絡(luò)安全風險評估，能減少網(wǎng)絡(luò)安全評估中的不確定性，提高評估的準確性。

1.7 基于數(shù)據(jù)場的網(wǎng)絡(luò)安全風險融合模型

針對傳統(tǒng)網(wǎng)絡(luò)安全風險評估中基于全局信息評估策略的不足，建立一種先局部后整體的網(wǎng)絡(luò)安全風險融合模型。該方法在主機節(jié)點模糊評判統(tǒng)計分析的基礎(chǔ)上，利用網(wǎng)絡(luò)全局定位(GNP)實現(xiàn)網(wǎng)絡(luò)拓撲的坐標化，通過對重要節(jié)點以及節(jié)點間關(guān)聯(lián)性因子進行加權(quán)，然后采用數(shù)據(jù)場思想實現(xiàn)關(guān)聯(lián)節(jié)點的風險融合。通過風險場的構(gòu)建，該模型能夠準確反映風險的融合規(guī)律和網(wǎng)絡(luò)安全風險態(tài)勢，為管理員提供直觀的安全態(tài)勢視圖，方便風險阻斷和策略制定。

2 優(yōu)缺點比較

（1）故障樹分析法

優(yōu)點：能給出導致風險的事故序列和發(fā)生的概率。

缺點：這種方法不足之處在于：第一，由于風險因素的不確定性和多樣性，使得在對風險因素進行描述時，要做到嚴格的定量化或準確性是不現(xiàn)實的；第二，要求有大量的歷史資料可供參考；第三，方法過于繁瑣。

該方法通常要求數(shù)據(jù)收集的準確性和全面性，因此其適用范圍通常是大而復雜、風險源多的系統(tǒng)。

（2）層次分析法

優(yōu)點：將分析問題抽象簡化、簡便適用，該方法是一種定性與定量相結(jié)合的多目標決策分析方法。這一方法的核心是將決策者的經(jīng)驗判斷給予量化，從而為決策者提供定量形式的決策依據(jù)。

缺點：受專家經(jīng)驗、知識限制，主觀性強。

目前該方法主要用于尚無統(tǒng)一度量尺度的復雜問題的分析和權(quán)值確定，解決用純參數(shù)數(shù)學模型方法難以解決的決策分析問題。

（3）模糊綜合評判法

優(yōu)點：可量化不確定的因素，能夠考慮到客觀事務(wù)內(nèi)部關(guān)系的錯綜復雜性和價值系統(tǒng)的模糊性。

缺點：評價結(jié)果趨于均化，指標體系難建立，各評估指標的風險等級和權(quán)重都是專家根據(jù)自己的知識和經(jīng)驗直接給定，主觀因素較多，并且這種給定的稍微偏差將對最終評估結(jié)果產(chǎn)生較大的影響，因此容易造成評估結(jié)果與客觀實際偏差較大。因此其適用范圍通常是那些不確定因素多的系統(tǒng)。

（4）基于貝葉斯

優(yōu)點：該方法對于處理存在大量主觀因素及不確定信息的評估問題效果顯著，不僅可以評估網(wǎng)絡(luò)的總體風險，還可以分別評估各個局部要素可能引起風險的程度。

缺點：貝葉斯網(wǎng)絡(luò)的建立是一項比較復雜、困難的工作，它沒有現(xiàn)成的規(guī)矩，只能根據(jù)實際問題，依靠相關(guān)領(lǐng)域?qū)＜掖_定貝葉斯網(wǎng)絡(luò)的結(jié)點，其后的主要任務(wù)就是學習它的結(jié)構(gòu)和參數(shù)。也就是說，貝葉斯網(wǎng)絡(luò)模型條件概率的確定一般比較復雜，往往要根據(jù)具體問題，由專家經(jīng)驗確定或由統(tǒng)計實驗確定。

（5）基于BP神經(jīng)網(wǎng)絡(luò)

優(yōu)點：BP神經(jīng)網(wǎng)絡(luò)的應用，很好地克服了評價中的主觀性。基于BP神經(jīng)網(wǎng)絡(luò)的信息安全風險評價體系，評估過程不帶有明顯的主觀成分和人為因素，因為只需將處理過的數(shù)據(jù)輸入到網(wǎng)絡(luò)中，通過MATLAB 的神經(jīng)網(wǎng)絡(luò)工具箱計算即可得到評價結(jié)果，避免了主觀性和簡單性，使評價結(jié)果更有效、更客觀。

缺點：選取學習樣本的數(shù)量受到限制，樣本的正確性不好界定。

（6）基于D_S證據(jù)理論

優(yōu)點：將證據(jù)理論用于網(wǎng)絡(luò)安全風險評估，能減少網(wǎng)絡(luò)安全評估中的不確定性，提高評估的準確性。

缺點：證據(jù)理論應用有一個很強的條件，就是合成的證據(jù)之間必須相互獨立，然而，對于一個網(wǎng)絡(luò)系統(tǒng)，各種信息間聯(lián)系和相關(guān)是必然的，因此，這給本方法的推廣帶來了一定的局限性。

（7）基于數(shù)據(jù)場的網(wǎng)絡(luò)安全風險融合模型

優(yōu)點：①利用 GNP 思想建立風險網(wǎng)絡(luò)，采用模糊評判實現(xiàn)網(wǎng)絡(luò)節(jié)點評估，從全局角度研究風險的融合機制，既考慮個體，又兼顧全局；②具備直觀的風險態(tài)勢圖，能快捷、便利查找出最具威脅風險源和安全節(jié)點，為決策者實施風險阻斷和策略制定提供高效依據(jù)；③通過對風險融合的態(tài)勢研究，掌握融合的趨勢與規(guī)律，能使防護策略具有針對性，從而采取主動防御的策略，降低風險的傳遞速度，使得風險的傳播和破壞作用僅局限在有限的范圍。

缺點：較難準確地描述節(jié)點風險和節(jié)點之間的關(guān)聯(lián)度。

3 風險評估面臨的問題和發(fā)展趨勢

3.1 存在問題

目前，人們對網(wǎng)絡(luò)安全風險評估主要是根據(jù)信息安全管理標準BS 7799/ISO17799、ISO13335和信息安全風險評估方法OCTAVE、TCSEC、CC等進行，主要是評估資產(chǎn)、威脅、脆弱性對風險的影響。評估過程主要存在如下問題：

（1）對各風險因素的風險等級劃分，缺乏科學依據(jù)，標準不統(tǒng)一；

（2）評估指標體系的建立，也缺乏科學性，標準不統(tǒng)一；

（3）因為評估方法各異，側(cè)重點不同，在評估標準的采用上，沒有統(tǒng)一的標準，導致評估結(jié)果沒有可比性，甚至出現(xiàn)較大的差異；

（4）評估中主觀因素的滲入，影響了評估結(jié)果的客觀性和準確性；（5）

網(wǎng)絡(luò)安全風險評估理論、方法和模型尚需進一步完善；（6）缺乏科學、實用、自動化程度高的風險評估工具。

3.2 發(fā)展趨勢

網(wǎng)絡(luò)安全風險評估是一個系統(tǒng)工程，安全評估是一個有著嚴格流程的體系，它是動態(tài)、發(fā)展的，而非停滯、靜態(tài)的。風險評估應該向科學化、系統(tǒng)化、規(guī)范化、標準化和自動化進行。

（1）要進一步完善風險評估的理論體系，增強評估模型、評估方法的科學性與實用性。

（2）風險評估工具應該實現(xiàn)功能的集成，風險評估工具應具有狀態(tài)分析、趨勢分析和預見性分析等功能。

（3）風險評估的過程應該逐漸轉(zhuǎn)向自動化、標準化和智能化。安全評估的結(jié)果應該可以比較。安全評估的結(jié)果必須能夠相互比較才可以具有較好的參考意義，才能夠保證安全評估相關(guān)研究的規(guī)范發(fā)展。

（4）風險評估應該盡量減少主觀因素的影響，確保評估結(jié)果的客觀、準確。

4 結(jié)束語

上述的網(wǎng)絡(luò)安全風險評估方法各有優(yōu)缺點，對各自不足之處需要探索解決方法。網(wǎng)絡(luò)安全風險評估將由單純的定量評估、定性評估向兩者結(jié)合的綜合評估方向發(fā)展，評估理論將不斷完善，評估模型、方法和工具將更趨科學性和實用性，最終達到評估結(jié)果更客觀、可信的目的。

[1]ISO/IEC17799 20001 Information Technology Code of Practice for Information SecurityManagement[S].

[2]朱巖,楊永田,馮登國.基于層次結(jié)構(gòu)的信息安全評估模型研究[J].計算機工程與應用.2004.

[3]付鈺,吳曉平,嚴承華.基于貝葉斯網(wǎng)絡(luò)的信息安全風險評估方法[J].武漢大學學報(理學版). 2006.

[4]趙冬梅,劉海峰,劉晨光.基于 BP 神經(jīng)網(wǎng)絡(luò)的信息安全風險評估[J].計算機工程與應用.2007.