網(wǎng)絡(luò)系統(tǒng)安全度量綜述

吳晨思，謝衛(wèi)強,2，姬逸瀟,2，楊粟，賈紫藝，趙松,2，張玉清,2

（1. 中國科學(xué)院大學(xué)國家計算機網(wǎng)絡(luò)入侵防范中心，北京 101408；2. 西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710071）

1 引言

網(wǎng)絡(luò)系統(tǒng)安全的重要性日益突出，其安全問題已經(jīng)被提到戰(zhàn)略性高度。提高人們對網(wǎng)絡(luò)系統(tǒng)整體安全性認知的準確性，可以更好地保障網(wǎng)絡(luò)系統(tǒng)安全且能夠有效應(yīng)對未知問題[1]。對網(wǎng)絡(luò)系統(tǒng)安全狀況進行客觀、全面的認知比以往任何時候都顯得更重要、更迫切。

目前，人們對網(wǎng)絡(luò)系統(tǒng)安全的認知主要有管理安全和技術(shù)安全2個角度。網(wǎng)絡(luò)系統(tǒng)管理安全是對人們管理網(wǎng)絡(luò)系統(tǒng)活動中涉及的安全性因素的分析，如制度建設(shè)、流程控制、日常操作等；網(wǎng)絡(luò)系統(tǒng)技術(shù)安全是對網(wǎng)絡(luò)安全技術(shù)及系統(tǒng)安全屬性（可用性、完整性和機密性等）進行再認識，以更科學(xué)地評價安全性。本文主要討論技術(shù)安全范圍內(nèi)的內(nèi)容。

網(wǎng)絡(luò)系統(tǒng)安全性評價分為定性評價與定量評價。安全性定性評價依據(jù)知識、經(jīng)驗等資料，通過觀察、分析、歸納等方法對網(wǎng)絡(luò)系統(tǒng)的安全狀況做出判斷，一般以安全級別等非數(shù)值化的形式呈現(xiàn)結(jié)論；安全性定量評價依據(jù)數(shù)學(xué)模型和數(shù)量指標，通過分析、量化等方法對網(wǎng)絡(luò)系統(tǒng)安全狀況做出判斷，一般以數(shù)值化的形式呈現(xiàn)結(jié)論[2]。相比于定量評價，網(wǎng)絡(luò)系統(tǒng)安全性定性評價稍側(cè)重主觀判斷。

隨著網(wǎng)絡(luò)系統(tǒng)復(fù)雜性的增加，人們需要更科學(xué)、更直觀地分析安全性，因此對網(wǎng)絡(luò)系統(tǒng)安全定量分析也產(chǎn)生了新的要求，即以客觀化數(shù)值來描述系統(tǒng)的安全性。量化評價朝著更精確化、更客觀化發(fā)展，從而有效提升了評價結(jié)果的嚴密度和可信度[3]，進而形成了安全度量（security metrics）。因此，為增強評估結(jié)果的客觀性，一些量化安全評估問題的研究也朝著安全度量轉(zhuǎn)變[4-6]。

目前，安全度量沒有標準的定義。IEEE術(shù)語標準辭典給出：度量是對一個系統(tǒng)、構(gòu)件或過程具有的某個給定屬性的度的一個定量測量[7]。所以，人們可以認為安全度量是基于某一尺度衡量安全性和保護數(shù)據(jù)的一種有效過程[8]。網(wǎng)絡(luò)系統(tǒng)需要量化與系統(tǒng)安全質(zhì)量相關(guān)的安全要素，如脆弱性、風(fēng)險、攻擊、防御等，用于表征、描述或預(yù)測系統(tǒng)安全的信任程度[9]。為了使度量結(jié)果具有可比性，將網(wǎng)絡(luò)系統(tǒng)的最小安全保證設(shè)置為安全基線（security baseline），且安全基線隨著網(wǎng)絡(luò)系統(tǒng)規(guī)模的變化而變化。將度量結(jié)果與安全基線進行比較，可以了解網(wǎng)絡(luò)系統(tǒng)不同時段的安全狀況[10]。安全度量的主要目的是發(fā)現(xiàn)安全要素間的相互聯(lián)系、相互作用，有助于深入理解網(wǎng)絡(luò)系統(tǒng)安全，其對增強網(wǎng)絡(luò)系統(tǒng)安全的認知至關(guān)重要。安全度量通過量化復(fù)雜的安全活動、分析相關(guān)數(shù)據(jù)，能夠確定系統(tǒng)優(yōu)勢和劣勢，降低部署成本，是客觀分析網(wǎng)絡(luò)系統(tǒng)安全性的關(guān)鍵手段[11]。

與安全度量容易混淆的是安全測量（security measure）、安全測度（security measurement）。安全測量只是獲取安全要素的直觀原始數(shù)據(jù)；安全測度則是通過量化安全問題空間，使用以百分數(shù)、頻率、平均數(shù)或其他相似術(shù)語對具體定量的安全指標進行數(shù)字化的描述[12]。安全度量進一步利用安全測度得到的數(shù)據(jù)，通過比較或計算等方法來分析安全要素的變化，深入挖掘系統(tǒng)安全情況，準確反映網(wǎng)絡(luò)系統(tǒng)安全的各個方面。之后利用安全度量得到的安全要素的相關(guān)值來確定網(wǎng)絡(luò)系統(tǒng)的安全程度并制定安全策略。

網(wǎng)絡(luò)系統(tǒng)安全度量（NSSM, network system security metrics）對網(wǎng)絡(luò)系統(tǒng)中的安全要素進行客觀分析，給出網(wǎng)絡(luò)系統(tǒng)安全性的綜合性或某個方面的描述。根據(jù)安全指標維度大小，當(dāng)把具體網(wǎng)絡(luò)系統(tǒng)看成一個整體時，維度相對最大，涉及的安全要素也最多，對整體度量表現(xiàn)為全局度量（GM, global metrics）。GM 是 NSSM 的重要組成部分，參照度量基線能跟蹤網(wǎng)絡(luò)系統(tǒng)安全性變化。GM反映的是網(wǎng)絡(luò)系統(tǒng)安全程度。針對網(wǎng)絡(luò)系統(tǒng)中指定對象的度量，如主機脆弱性程度、網(wǎng)絡(luò)風(fēng)險大小、業(yè)務(wù)子系統(tǒng)安全程度等，可以看作對系統(tǒng)局部的度量。局部度量（local metrics）的維度可擴展，其結(jié)果在一定維度上能代表全局度量說明網(wǎng)絡(luò)系統(tǒng)的安全性，但缺少客觀性、全局性。

網(wǎng)絡(luò)系統(tǒng)安全度量是網(wǎng)絡(luò)系統(tǒng)安全分析工作的重點與難點。目前，人們對網(wǎng)絡(luò)系統(tǒng)安全度量方法的研究仍處于探索階段，相關(guān)問題還未形成統(tǒng)一的認識。

鑒于網(wǎng)絡(luò)系統(tǒng)安全度量對網(wǎng)絡(luò)安全的積極作用，本文將主要圍繞全局度量，對網(wǎng)絡(luò)系統(tǒng)安全全局度量問題的發(fā)展歷程、現(xiàn)狀（度量過程、度量方法）、未來（挑戰(zhàn)、展望）進行綜述，具體貢獻如下。

1) 從客觀量化的角度，對網(wǎng)絡(luò)系統(tǒng)安全度量相關(guān)概念進行了梳理。按照人們的理解，總結(jié)了度量的發(fā)展歷程，首次將其劃分為3個階段。

2) 對網(wǎng)絡(luò)系統(tǒng)安全全局度量過程進行了總結(jié)，分析了全局度量過程中每一步驟的作用，為標準化網(wǎng)絡(luò)系統(tǒng)安全度量提供參考。

3) 對網(wǎng)絡(luò)系統(tǒng)安全全局度量方法進行了梳理，包括度量模型、度量體系、度量工具，闡述了各自的特點，指出了它們在全局度量方法中所起到的作用。

4) 探討了網(wǎng)絡(luò)系統(tǒng)安全度量目前的機遇與挑戰(zhàn)，并在此基礎(chǔ)上給出了網(wǎng)絡(luò)系統(tǒng)安全度量下一步的研究方向。

2 度量發(fā)展階段

安全度量的發(fā)展伴隨著安全評估的發(fā)展，全局度量蘊于度量之中。經(jīng)過 30多年的發(fā)展，全局度量開始逐漸顯現(xiàn)。本文依據(jù)度量方法或過程的復(fù)雜性，對全局度量發(fā)展過程中具有里程碑性質(zhì)的節(jié)點進行了梳理，得到發(fā)展歷程如圖1所示。以對網(wǎng)絡(luò)系統(tǒng)安全度量認識程度為主線，將度量主要分為 3個階段：感知度量階段、認識度量階段、深化度量階段。這也是第一次在時間上對度量發(fā)展進行分段總結(jié)。

2.1 感知度量階段

感知度量階段，人們對度量的存在形式有了初步理解與認識，但對網(wǎng)絡(luò)系統(tǒng)安全度量這一概念的整體反映屬于淺顯的層次。特點是主觀性強，認識不夠深刻。這一階段人們所理解的網(wǎng)絡(luò)系統(tǒng)安全性度量主要是以安全測量和簡單量化的形式，對數(shù)據(jù)進行單一的統(tǒng)計計算。人們從實際中總結(jié)經(jīng)驗，通過制定安全準則來規(guī)定系統(tǒng)應(yīng)達到的安全性。依據(jù)安全體系，以度量脆弱性為主來說明系統(tǒng)的安全性。大部分工作都是通過手工進行的，安全性量化分析效率較低。隨著網(wǎng)絡(luò)系統(tǒng)規(guī)模的增大，分析工作量越來越大，且很容易出現(xiàn)疏漏。自動化的分析技術(shù)及工具應(yīng)運而生。網(wǎng)絡(luò)掃描技術(shù)是早期用來分析網(wǎng)絡(luò)安全性的技術(shù)，現(xiàn)在依然不斷地進行改進與發(fā)展[20]，如 Satan[21]、Nessus[22]、Nmap[20]等。受限于此階段網(wǎng)絡(luò)技術(shù)發(fā)展的情況，表面上簡單的度量安全性即可滿足當(dāng)時的量化分析需求。

2.2 認識度量階段

認識度量階段，學(xué)者們開始對網(wǎng)絡(luò)系統(tǒng)安全度量深入理解、賦予意義并做出進一步的解釋。表現(xiàn)為研究安全要素的度量，提出了多種度量方法。此階段以粗略度量為主，如風(fēng)險度量、攻擊度量，并以此代表系統(tǒng)整體度量。度量的實際操作是由安全分析人員基于其自身知識和經(jīng)驗印象而進行的，偏主觀因素，網(wǎng)絡(luò)系統(tǒng)安全性不能得到完全客觀的反映[23]。不過人們的觀念相較于感知階段有了重大變化。人們開始對全局度量有所認識，由重視度量過程轉(zhuǎn)為重視全局指標體系建設(shè)。Villarrubia等[14]提出的一系列用于對安全指標進行分類的特性很具有參考價值，指出指標的質(zhì)量及指標量化的質(zhì)量好壞對度量結(jié)果影響較大。

圖1 度量發(fā)展歷程

認識度量階段主要存在的問題是人們將一部分指標測度研究認為是對系統(tǒng)的度量研究，這是因為對度量理解不夠準確。美國國家標準與技術(shù)研究院（NIST, National Institute of Standards and Technology）在2008年發(fā)布的《信息安全性能測量指南》取代了舊版的度量指南[15]，國際標準信息安全管理測量ISO/IEC 27004于2009年發(fā)布[24]。2個文獻的更改與發(fā)布一方面說明了人們對測度與度量區(qū)別的認識有所深入；另一方面也反映了網(wǎng)絡(luò)系統(tǒng)整體性安全度量指標建設(shè)和指標測量的基礎(chǔ)性、重要性。當(dāng)然，這2個文獻也可以用來對全局度量指標的建設(shè)提供指導(dǎo)。

2.3 深化度量階段

深化階段是在人們對局部度量做了大量研究的基礎(chǔ)上，對網(wǎng)絡(luò)系統(tǒng)安全度量概念的發(fā)展。主要表現(xiàn)為深入理解度量，不再圍繞著某一單方面的度量；提出全局度量，以實現(xiàn)安全程度量化為目標，促進精準度量理論的系統(tǒng)化。其解決的根本問題是由于安全的多維性，如何分解安全性以及如何將局部度量因素組合成整個系統(tǒng)安全性的單一表示形式[25]。

深化度量階段可分為2個分階段：平穩(wěn)期和爆發(fā)期。在平穩(wěn)期，人們對度量研究的熱度逐漸降低，回歸理性，認真思考度量的本質(zhì)。2016年，文獻[18]站在系統(tǒng)級角度，詳細分析了主要安全要素之間的關(guān)系及其影響因素的不確定性，如系統(tǒng)安全漏洞、敵方攻擊能力及目標等，提出了以時間為參數(shù)的動態(tài)全局度量函數(shù)，但其客觀性、準確性依然不足。2018年后進入爆發(fā)期，文獻[19]將網(wǎng)絡(luò)系統(tǒng)發(fā)生的所有安全活動看作行為過程并進行了精準度量，奠定了網(wǎng)絡(luò)系統(tǒng)全局度量的數(shù)學(xué)基礎(chǔ)，具有創(chuàng)新性。度量需要假設(shè)和抽象，以數(shù)學(xué)方法解決全局度量問題會帶來度量開創(chuàng)性的研究成果，具體的方法將在第4節(jié)進行詳細介紹。

2.4 小結(jié)

本節(jié)對度量發(fā)展進行了分階段總結(jié)，方便研究人員更清晰地了解度量在每個時期的主要特點，為進一步的研究提供參考。從總體來看，感知度量階段、認識度量階段、深化度量階段是朝著全局度量方向前進的。可以認為，網(wǎng)絡(luò)系統(tǒng)全局度量的發(fā)展是從手動度量到自動度量、由粗略度量向精準度量進行的。當(dāng)前階段，全局度量可以用來對網(wǎng)絡(luò)系統(tǒng)安全進行強有力的定量預(yù)測，但全局度量依然有很大的局限性。雖然人們對全局度量沒有明確的共識，也無法真正理解它，但努力研究它將是有用的，即使這些研究可能發(fā)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)是不能完全實現(xiàn)全局度量的[26]。

3 全局度量過程

全局度量是加強網(wǎng)絡(luò)系統(tǒng)技術(shù)安全不可缺失的部分。建立通用的度量過程可以提升全局度量的可行性和實用性，并為網(wǎng)絡(luò)系統(tǒng)安全度量標準化提供技術(shù)借鑒。

全局度量的過程是對經(jīng)典的計劃-執(zhí)行-檢查-處理（PDCA, plan-do-check-act）模式的具體實現(xiàn)[27]，采用PDCA的循環(huán)機制，通過建立指標體系、實施綜合度量、分析度量結(jié)果、制定優(yōu)化方案這4個主要環(huán)節(jié)，可以持續(xù)改進網(wǎng)絡(luò)系統(tǒng)安全性。網(wǎng)絡(luò)系統(tǒng)安全全局度量過程如圖2所示，以全局度量指標建設(shè)為核心，將度量過程分為3個模塊：模塊1為度量準備階段，明確度量目的，確定系統(tǒng)度量目標，制定度量內(nèi)容與度量活動規(guī)劃；模塊2為指標量化階段，選取網(wǎng)絡(luò)系統(tǒng)度量指標，對具體指標進行量化與組合，并根據(jù)系統(tǒng)安全需求建立度量基線；模塊3為全局度量實施階段，選擇全局度量模型，將處理好的指標輸入模型進行度量，并對度量有效性進行檢查，對度量結(jié)果進行總結(jié)分析。

圖2 全局度量過程

3.1 度量準備

安全度量需要具有一定的專業(yè)背景知識的人員。因此，準備階段應(yīng)組建專業(yè)的度量小組，負責(zé)有序推進度量活動并監(jiān)督整個度量過程。準備階段主要提出度量對象的范圍，指定度量目標，制定度量方案。為了保證每次度量結(jié)果的一致性、權(quán)威性，前一次的度量結(jié)果應(yīng)進行過程認證，該認證是一個針對度量結(jié)果的獨立檢查過程，并生成最終的正式結(jié)論。依據(jù)結(jié)論，檢查是否達到預(yù)定的安全目標，發(fā)現(xiàn)存在的問題，制定與落實相應(yīng)的安全改進措施。結(jié)果認證、制定措施、實施改進是為下一次安全度量進行準備，因此將這三部分歸入圖2中的模塊1，使各模塊呈周期性出現(xiàn)。

3.2 指標量化

建立科學(xué)、客觀的網(wǎng)絡(luò)系統(tǒng)安全度量指標是保證度量過程正常進行的前提。根據(jù)安全體系建立指標體系是比較常用的方式，第4節(jié)將詳細介紹。當(dāng)然，也可以從其他角度去建立指標體系。例如，F(xiàn)u等[28]從安全屬性的角度對度量指標的選擇及指標質(zhì)量進行了討論，對建立網(wǎng)絡(luò)系統(tǒng)全局度量指標有參考價值。為了對已選取指標進行量化，需要獲取與指標相關(guān)的基礎(chǔ)數(shù)據(jù)。數(shù)據(jù)獲取的準確性、全面性直接關(guān)系到整個網(wǎng)絡(luò)系統(tǒng)安全度量工作的質(zhì)量。因此，一般使用采集工具獲取客觀數(shù)據(jù)。采集工具是部署在網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)設(shè)備，設(shè)備既可以基于軟件也可以基于硬件。Jing等[29]按照采集方法將安全數(shù)據(jù)分為4類：數(shù)據(jù)分組級、流量級、連接級、主機級，并整理討論了各類數(shù)據(jù)采集方法的優(yōu)缺點。

將采集到的基礎(chǔ)數(shù)據(jù)進行測度實現(xiàn)指標量化。能夠采集到的網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)類似于可直接觀察到的。來自軟件工程領(lǐng)域的目標-問題-度量法（GQM,goal question metric）能為這種直觀提供有價值的指標測度[30]。GQM 自上而下適用于各種安全測量并能拓展度量指標，如文獻[31]建立脆弱性描述指標，利用GQM對這些指標測度，使修復(fù)脆弱點更具體化并能大幅降低成本。

安全測度只是指標量化的一部分。為了進一步體現(xiàn)度量指標的客觀性，將部分測度的指標進行組合或聚合形成一些高級指標，如安全要素等，從而對網(wǎng)絡(luò)系統(tǒng)進行更深入的分析。提出度量基準，構(gòu)建度量基線也是必不可少的一步，其為實現(xiàn)度量比較、反映網(wǎng)絡(luò)系統(tǒng)安全程度大小做準備。

3.3 全局度量實施

全局度量采用數(shù)學(xué)等方法對網(wǎng)絡(luò)安全問題建立全局度量模型。度量模型有多種，選取適合當(dāng)前指標體系的度量模型，并將所需的指標輸入全局度量模型，實施綜合度量，從而得到數(shù)值化結(jié)果。再根據(jù)這個結(jié)果對網(wǎng)絡(luò)系統(tǒng)安全性進行分析[32]。全局度量模型的一般形式為

其中，fl為指標組合函數(shù)，xi為測度的指標值，i為指標個數(shù)，S為網(wǎng)絡(luò)系統(tǒng)安全程度，fg為全局度量函數(shù)，mn為局部度量值或者指標組合值，n為描述網(wǎng)絡(luò)系統(tǒng)的因素的個數(shù)。不同網(wǎng)絡(luò)系統(tǒng)安全特點不一樣，mn與fl都可以是不同的。同一個網(wǎng)絡(luò)系統(tǒng)n越大，S越能客觀準確地表達網(wǎng)絡(luò)系統(tǒng)安全性。

綜合度量結(jié)果S與人們長期的網(wǎng)絡(luò)系統(tǒng)安全經(jīng)驗保持一致，能說明結(jié)果的有效性。目前沒有具有完全客觀性的全局度量模型對局部要素或指標進行融合，從不同側(cè)重點考慮對系統(tǒng)進行度量的全局數(shù)量模型較多。如文獻[33]結(jié)合不同的方法，從網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和可達性信息的角度，研究了基于主機的度量和基于網(wǎng)絡(luò)的度量。基于主機的度量被劃分為“無概率”和“有概率”兩類；基于網(wǎng)絡(luò)的度量被分為“基于路徑”和“基于非路徑”兩類。文獻[34]對網(wǎng)絡(luò)系統(tǒng)能達到的隱私程度進行分析，構(gòu)建了隱私度量框架，提升了研究人員在隱私保護方面的工作效率。

綜合度量之后，對網(wǎng)絡(luò)系統(tǒng)安全性進行分析，檢查防御等安全方案是否合理、指標體系是否完整，最后形成分析報告。經(jīng)過專家詢問和評議，確定報告內(nèi)容的正確性。報告中應(yīng)體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)安全程度以及對其安全的詳細說明。

簡單的度量案例來自文獻[19]，如表1所示。其包含了選取的兩類常用指標以及計算情況。建立客觀的數(shù)學(xué)模型，抽象出網(wǎng)絡(luò)攻防過程，計算形式如式(3)和式(4)所示。其中，u(t)為行為路徑曲線在某點位處的切向量，行為效用E是系統(tǒng)功能的一種定量描述形式，因此可以進一步構(gòu)建網(wǎng)絡(luò)攻防效用的精準計算。

通過式(4)形成指標對應(yīng)的計算模型。表1中，EAi為在第i個環(huán)節(jié)的攻擊時，有序攻擊行為集合Ai在Mi場景下的攻擊能力；EDi為在第i個環(huán)節(jié)的防御時，有序防御行為集合Di在Mi場景下的防御能力為第i個環(huán)節(jié)的網(wǎng)絡(luò)攻防判定，為完整攻防時間內(nèi)網(wǎng)絡(luò)安全狀況。計算的能力值是一個與流形局部坐標系選擇無關(guān)的客觀量。計算過程始終是客觀的，因此，結(jié)果具有客觀性。根據(jù)模塊1進行結(jié)果認證，改進安全措施。

表1度量案例

3.4 小結(jié)

網(wǎng)絡(luò)系統(tǒng)安全全局度量需要始終圍繞機密性、完整性、可用性進行。全局度量是可重復(fù)的、可操作的。本節(jié)參考評估過程，詳細說明了全局度量過程及主要相關(guān)的內(nèi)容。從度量過程可以看到，全局度量能夠促進對網(wǎng)絡(luò)系統(tǒng)安全的全局、客觀描述，幫助網(wǎng)絡(luò)系統(tǒng)找到更安全的解決方案，提高組織自身的網(wǎng)絡(luò)安全水平。根據(jù)網(wǎng)絡(luò)系統(tǒng)全局度量的過程對網(wǎng)絡(luò)系統(tǒng)實施具體的操作，可以將網(wǎng)絡(luò)系統(tǒng)的安全威脅始終控制在可接受的程度，減少網(wǎng)絡(luò)系統(tǒng)遭到破壞帶來的損失，保證網(wǎng)絡(luò)系統(tǒng)的可持續(xù)運作。

4 全局度量方法

傳統(tǒng)的主動防御體系[35]已不能有效應(yīng)對當(dāng)今嚴峻的網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)系統(tǒng)安全度量可以作為一種主動防御技術(shù)，應(yīng)用全局度量方法對網(wǎng)絡(luò)系統(tǒng)進行精準防御。

全局度量方法主要依據(jù)使用頻率和易用性，盡量選取具有代表性的內(nèi)容進行闡述。本節(jié)將從模型、安全體系、工具3個方面分別闡述全局度量方法。將部分評估方法應(yīng)用于全局度量，可使方法目標更明確，更具針對性。度量模型為指標體系和工具的發(fā)展提供基礎(chǔ)，是精準度量的承載。安全體系主要服務(wù)于全局度量指標建設(shè)、指標量化及組合。工具增加全局度量的效率，減少人工誤差。模型、體系、工具三者關(guān)系如圖3所示。全局化度量方法更容易發(fā)現(xiàn)和解決網(wǎng)絡(luò)系統(tǒng)安全難以實現(xiàn)全局、客觀量化的問題。全局方法能清晰刻畫網(wǎng)絡(luò)系統(tǒng)安全，檢查系統(tǒng)有效性，即網(wǎng)絡(luò)系統(tǒng)是否足夠安全，是否比以前更安全。

圖3 模型、體系、工具三者關(guān)系

4.1 全局度量模型

目前，在網(wǎng)絡(luò)系統(tǒng)安全領(lǐng)域，全局度量方法具有一定程度的主觀性，安全性量化分析只能以粗略比較計算為基礎(chǔ)開展。新的網(wǎng)絡(luò)架構(gòu)也在不斷發(fā)展[36]，為增強人們對于網(wǎng)絡(luò)系統(tǒng)安全更全局且客觀的認識，發(fā)展全局度量模型至關(guān)重要。

目前，已有研究人員對局部度量模型進行了總結(jié)。文獻[37]詳細介紹了基于攻擊圖和隨機模型的量化模型，但對其他模型分析較少。上述文獻只是對局部度量模型進行概括，沒有對系統(tǒng)全局度量模型進行歸納。本節(jié)對局部度量模型進行了補充，并介紹了可用于網(wǎng)絡(luò)系統(tǒng)全局度量的模型。

4.1.1 基于關(guān)聯(lián)分析的模型

警報關(guān)聯(lián)（alert correlation）技術(shù)是檢測多步攻擊行為的主要技術(shù)手段。它是指將屬于同一攻擊行為的多個步驟前后關(guān)聯(lián)起來，還原最初的攻擊場景，全面分析網(wǎng)絡(luò)系統(tǒng)安全性[38]。

Yi等[39]提出了警報關(guān)聯(lián)圖的基本思想。在攻擊圖提供的先驗知識基礎(chǔ)上，根據(jù)入侵檢測系統(tǒng)（IDS,intrusion detection system）警報信息動態(tài)生成警報關(guān)聯(lián)，并基于警報關(guān)聯(lián)的次數(shù)計算關(guān)聯(lián)邊的權(quán)值對網(wǎng)絡(luò)系統(tǒng)全局量化。不過這種關(guān)聯(lián)圖相對簡單，并不完善，度量結(jié)果粗略。葛海慧等[40]對一定時間間隔內(nèi)的報警事件進行動態(tài)關(guān)聯(lián)分析，考慮防御措施強度與節(jié)點漏洞，計算攻擊威脅度，利用各節(jié)點風(fēng)險值加權(quán)計算風(fēng)險值代表系統(tǒng)整體的安全性，此方法能夠?qū)崟r度量。陳秀真等[41]基于IDS海量報警信息和網(wǎng)絡(luò)性能指標，采用自下而上、先局部后整體的度量方式，對服務(wù)、主機本身的重要性因子進行加權(quán)，進而說明網(wǎng)絡(luò)系統(tǒng)的安全性。

為了提高度量準確性，有研究人員結(jié)合 D-S證據(jù)理論進行分析[42]。D-S證據(jù)理論具有直接表達“不確定”和“不知道”的能力，能夠描述網(wǎng)絡(luò)系統(tǒng)中的不確定性因素。Qu等[43]基于 D-S證據(jù)理論，結(jié)合節(jié)點脆弱性、威脅的嚴重性，全局計算網(wǎng)絡(luò)系統(tǒng)的安全程度。基于證據(jù)理論的關(guān)聯(lián)分析模型具有需要先驗知識少、算法性能高等優(yōu)點，但其在還原攻擊場景的能力、識別攻擊者的具體攻擊動作方面相對較弱。

關(guān)聯(lián)分析通過對網(wǎng)絡(luò)系統(tǒng)中各類因素進行分析，能更加清晰地掌握網(wǎng)絡(luò)系統(tǒng)整體的安全狀況及防御措施等情況[44]。在大數(shù)據(jù)飛速發(fā)展的背景下，數(shù)據(jù)挖掘、機器學(xué)習(xí)中的一些方法應(yīng)用于全局度量領(lǐng)域是一種研究趨勢。以數(shù)據(jù)驅(qū)動的公司常使用關(guān)聯(lián)分析進行安全度量。如 BitSight[45]通過部署在全球各地的傳感器，采集海量的威脅情報數(shù)據(jù)。平臺將這些數(shù)據(jù)依據(jù)嚴重程度、頻率、持續(xù)時間和信心等指標進行分析，從而對網(wǎng)絡(luò)系統(tǒng)進行全局度量，并能進行一定的趨勢預(yù)測。

4.1.2 基于隨機模型的模型

隨機模型涉及的方法能對網(wǎng)絡(luò)系統(tǒng)全局進行有效的描述，精確刻畫網(wǎng)絡(luò)系統(tǒng)隨機行為以及組件之間的相互關(guān)系，有助于量化組合指標，建立全局度量函數(shù)。常用的隨機模型是隱性馬爾可夫模型（HMM, hidden Markov model）[46]。HMM 用來描述一個含有隱含未知參數(shù)的馬爾可夫過程（Markov process）。HMM對未知指標的計算有優(yōu)勢。

Zhang等[16]通過HMM對報警檢測系統(tǒng)產(chǎn)生的序列進行分析，計算系統(tǒng)中每個主機的危險指數(shù)，從而定量分析整個網(wǎng)絡(luò)的安全狀況。Rnes等[47]把網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的變化過程采用HMM來描述，然后實時度量網(wǎng)絡(luò)整體的安全值。Almasizadeh等[48]將時間因素考慮進了攻擊過程，通過基于狀態(tài)的隨機模型對網(wǎng)絡(luò)攻擊過程進行了建模，進而描述攻擊者和系統(tǒng)行為，定量分析了系統(tǒng)的平均安全失效時間、穩(wěn)態(tài)安全等安全指標。相對其他度量，這些指標有助于增強全局度量的客觀性。Da等[49]從整個系統(tǒng)的角度出發(fā)將攻防分別抽象并度量，提出了一種n維隨機模型的全局度量，但其不適用多種攻擊同時發(fā)生的情況。

網(wǎng)絡(luò)系統(tǒng)安全存在不確定性，在實踐中很難度量不確定性，而且不確定性往往是由觀測中的估計誤差引起，不一定反映實際的系統(tǒng)狀態(tài)。

4.1.3 基于數(shù)學(xué)原理的模型

數(shù)學(xué)原理是以數(shù)學(xué)方法為基礎(chǔ)，將全局度量進行抽象，能夠更準確地度量指標，并進行精準計算。通過數(shù)學(xué)原理得到的全局度量更客觀。

Hu[19]提出了一種網(wǎng)絡(luò)行為效用計算原理與方法。他認為任何網(wǎng)絡(luò)行為，都是在由所有可用于提供數(shù)字化信息的組件和系統(tǒng)所構(gòu)成的網(wǎng)絡(luò)場景上發(fā)生的，并給出了網(wǎng)絡(luò)行為的數(shù)學(xué)定義。微分流形（differential manifold）是三維歐氏空間中曲線和曲面概念的推廣，可以有更高的維數(shù)[50]。將網(wǎng)絡(luò)系統(tǒng)抽象為流形，定量刻畫網(wǎng)絡(luò)行為效用的算法如式(3)和式(4)所示。安全效用計算奠定了網(wǎng)絡(luò)行為度量的數(shù)學(xué)基礎(chǔ)，為建立全局度量函數(shù)提供參考。

文獻[51]基于歐氏空間向量投影的思想設(shè)計了一個信度向量投影分解算法，將攻擊所依賴的漏洞信息和節(jié)點本身漏洞信息相關(guān)聯(lián)，對網(wǎng)絡(luò)系統(tǒng)進行全局度量。Petri網(wǎng)[52]用來分析離散的并行系統(tǒng)，抽象和描述能力也在不斷的發(fā)展，在度量領(lǐng)域具有廣泛的應(yīng)用前景。文獻[53]將安全要素轉(zhuǎn)化為Petri網(wǎng)狀態(tài)函數(shù)，將指標基于Petri網(wǎng)的最小可覆蓋集進行量化，并對整個系統(tǒng)進行度量。形式化方法用于網(wǎng)絡(luò)系統(tǒng)安全度量建模有利于度量自動化發(fā)展。文獻[54]針對系統(tǒng)用戶的行為特點，基于訪問路徑給出了形式化定義和相關(guān)的度量規(guī)則，提出了一種網(wǎng)絡(luò)系統(tǒng)全局度量方法。

數(shù)學(xué)方法有助于發(fā)現(xiàn)安全要素的內(nèi)在聯(lián)系，找到安全的本質(zhì)，將復(fù)雜度量問題簡單化。使用數(shù)學(xué)方法解決全局度量的研究正在興起，未來解決度量問題也一定會參考數(shù)學(xué)方案。

4.1.4 基于攻擊圖的模型

攻擊圖[55]是一個抽象概念，它能揭示攻擊者利用安全漏洞違反安全策略的方式。攻擊圖模型采用圖論的方法描述網(wǎng)絡(luò)攻擊過程中的細節(jié)信息，能夠簡潔地表示特定網(wǎng)絡(luò)的不同攻擊場景[56]。基于場景解決全局度量問題具有典型性，因此將基于攻擊圖的模型單獨列出。

Jha等[13]和 Sheyner等[57]首先使用模型檢測的方法生成攻擊圖模型，利用攻擊圖將成功概率值賦予攻擊中的狀態(tài)，進而分析攻擊者成功實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的安全性破壞的概率，實現(xiàn)攻擊破壞程度的全局度量。Bhattachary等[58]根據(jù)“利用依賴圖”提出了一種通過成本說明網(wǎng)絡(luò)系統(tǒng)安全性的理論框架。成功利用網(wǎng)絡(luò)系統(tǒng)所需的成本越小，說明網(wǎng)絡(luò)系統(tǒng)安全程度較高；反之，則較低。此過程實際應(yīng)屬于局部度量，但由于攻擊圖反映的是攻擊成功與否，因此也可以代表網(wǎng)絡(luò)系統(tǒng)全局度量結(jié)果。

將基于攻擊圖的不同度量元素組合使用，可擴展為網(wǎng)絡(luò)系統(tǒng)安全全局度量方法。最短路徑度量、路徑數(shù)量度量和路徑長度度量是3種常用的基于攻擊圖的安全度量。然而，最短路徑度量和路徑長度度量的平均值不能充分說明攻擊者可能違反安全策略的方式，路徑數(shù)量度量也不能充分說明與攻擊路徑相關(guān)的攻擊工作[59]。使用這些指標可能會有誤導(dǎo)性結(jié)果，因此有研究結(jié)合貝葉斯網(wǎng)絡(luò)（BN,Bayesian network）進行全局分析。BN是一種概率圖型模型，借由有向無環(huán)圖中得知一組隨機變量及其n組條件概率分配的性質(zhì)。貝葉斯網(wǎng)絡(luò)作為構(gòu)造全局度量模型的基礎(chǔ)具有以下優(yōu)點[60]：1) 貝葉斯網(wǎng)絡(luò)類似神經(jīng)元網(wǎng)絡(luò)，能夠充分描述人類的推理模式，并且網(wǎng)絡(luò)的圖形方式便于理解和開發(fā)；2) 貝葉斯概率的特點使模型能夠反映度量的連續(xù)性和累積性這2個重要特征；3) 模型能夠綜合最新的證據(jù)信息和先驗信息，度量結(jié)果能動態(tài)反映當(dāng)前信息的同時還綜合了歷史和先驗知識；4) 貝葉斯邏輯在數(shù)學(xué)上的可靠性使該模型成為一種描述人類思維推理過程的標準模型。文獻[61]使用貝葉斯網(wǎng)絡(luò)模擬網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，結(jié)合攻擊圖對網(wǎng)絡(luò)系統(tǒng)進行了全局度量。Poolsappasit等[62]在攻擊圖的基礎(chǔ)上構(gòu)建貝葉斯網(wǎng)絡(luò)，建立警報節(jié)點作為證據(jù)節(jié)點或根據(jù)警報將相應(yīng)的原子攻擊節(jié)點設(shè)為證據(jù)節(jié)點，形成網(wǎng)絡(luò)系統(tǒng)整體的安全狀態(tài)值。基于貝葉斯網(wǎng)絡(luò)的方法充分利用了貝葉斯網(wǎng)絡(luò)的量化處理不確定性信息以及因果關(guān)聯(lián)優(yōu)勢和不確定性推理能力，使度量結(jié)果比較準確。然而，基于貝葉斯網(wǎng)絡(luò)的方法由于需要對所有節(jié)點都建立條件概率表，因此需要較多的先驗知識，不利于區(qū)分攻擊已經(jīng)發(fā)生的可能性和攻擊將要發(fā)生的可能性，增大了全局度量的誤差。另外，受貝葉斯網(wǎng)絡(luò)推理算法復(fù)雜度的限制，基于貝葉斯網(wǎng)絡(luò)全局度量的性能不高，難以滿足大型網(wǎng)絡(luò)系統(tǒng)實時度量的性能要求。

攻擊圖模型包含了網(wǎng)絡(luò)系統(tǒng)中所有可能的攻擊路徑。利用攻擊圖可以對網(wǎng)絡(luò)攻擊等環(huán)節(jié)有更清楚的認識，可以很直觀地展示網(wǎng)絡(luò)攻擊的細節(jié)信息，如攻擊路徑、攻擊目標、脆弱性等。在全局度量時，通過攻擊圖模型可以建立更全面的指標信息，更容易完善全局度量函數(shù)。

4.1.5 基于博弈論的模型

博弈論模型對于研究網(wǎng)絡(luò)系統(tǒng)安全度量問題具有重要的意義，利用博弈論模型可以從攻擊和防御2個技術(shù)方面對網(wǎng)絡(luò)系統(tǒng)安全性進行全面分析，實現(xiàn)全局度量。

文獻[63]模擬真實網(wǎng)絡(luò)系統(tǒng)的虛擬環(huán)境，實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)各種攻防過程的實驗推演。將網(wǎng)絡(luò)連接關(guān)系、脆弱性信息等數(shù)據(jù)輸入網(wǎng)絡(luò)攻防博弈模型中，實現(xiàn)了全局度量。Li等[64]通過馬爾可夫博弈模型，建立四級數(shù)據(jù)融合，考慮攻防雙方的關(guān)系和不確定性，從而度量網(wǎng)絡(luò)系統(tǒng)整體的安全狀態(tài)。但模型使用博弈矩陣深度不夠，度量粗略。Zhang等[65]通過分析完全信息靜態(tài)博弈中的納什均衡策略，考慮成本參數(shù)和效益參數(shù)，改進收益計算方法，對系統(tǒng)全局進行度量，該度量結(jié)果能夠反映攻擊者和防御者的均衡策略。

博弈論可以作為全局度量函數(shù)的理論基礎(chǔ)。攻擊和防御是網(wǎng)絡(luò)系統(tǒng)中的2個重要因素，以攻防為核心，向外圍擴展，通過演化博弈模型實現(xiàn)全局度量。

4.1.6 基于層次分析法的模型

Fu等[66]首次提出了層次分析法（AHP, analytic hierarchy process）。AHP把復(fù)雜的網(wǎng)絡(luò)系統(tǒng)問題分解為各個組成因素，對網(wǎng)絡(luò)系統(tǒng)全局度量是比較合適的，但過于主觀。

層次分析法度量一般分為 4個步驟[67]：1) 將復(fù)雜系統(tǒng)分解為單獨因素，根據(jù)它們之間的支配關(guān)系，建立層次結(jié)構(gòu)；2) 根據(jù)上一層中因素的重要性，兩兩比較本層次中的各個元素，構(gòu)造出兩兩比較的判斷矩陣；3) 在判斷矩陣中，計算被比較元素對于該準則的相對權(quán)重；4) 計算各層元素對系統(tǒng)目標的合成權(quán)重，并進行排序，最后按層次綜合考慮所有影響因素，得出度量結(jié)果。Yan等[68]建立了三層結(jié)構(gòu)（目標層、規(guī)則層、標準層），并通過重要程度對指標進行選取，計算系統(tǒng)整體的安全性。由于指標圍繞風(fēng)險進行，此方法用風(fēng)險值代表了全局度量。Li等[69]使用 Delphi法建立度量指標，通過權(quán)重使用層次分析對網(wǎng)絡(luò)系統(tǒng)進行全局度量。

網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)隨著外部環(huán)境的變化和自身價值的變化進行著復(fù)雜的演化，描述指標一定是非常多的，而層次分析法在某一層次評價指標很多時，其思維一致性很難保證。因此有學(xué)者將模糊層次分析法（FAHP, fuzzy analytic hierarchy process）引入全局度量中，能較好地解決這一問題。Tuteja等[70]提出了基于FAHP的結(jié)構(gòu)化框架來量化網(wǎng)絡(luò)系統(tǒng)的安全性，對系統(tǒng)進行分解，確定基本指標，建立模糊關(guān)系矩陣全局度量。李景智等[71]在模糊層次分析法的基礎(chǔ)上，結(jié)合可拓理論，將指標值映射到可拓區(qū)間中，計算相對隸屬度，對網(wǎng)絡(luò)系統(tǒng)進行整體度量。信息熵用來描述隨機事件不確定性的程度，可以表示不確定性的量。根據(jù)指標變異性的大小確定對象的權(quán)重，在一定程度上減弱人為主觀因素的影響。文獻[72-73]利用信息熵確定指標權(quán)重，進而應(yīng)用層次分析實現(xiàn)全局度量，在一定程度上增加了客觀性。

層次分析法是全局度量較普遍使用的方法。許多研究人員結(jié)合其他方法進行度量，但其人為因素影響較大，受限于專家知識。因此在全局度量對安全性要求很高的大型復(fù)雜網(wǎng)絡(luò)系統(tǒng)時，層次分析顯得客觀性不足。

4.1.7 基于神經(jīng)網(wǎng)絡(luò)的模型

神經(jīng)網(wǎng)絡(luò)[74]是由大量處理單元通過廣泛互聯(lián)而構(gòu)成的，具有大規(guī)模并行、分布式處理、自學(xué)習(xí)等優(yōu)點。全局度量中，對于大量指標的量化與組合是復(fù)雜的。為了提高實時度量，利用神經(jīng)網(wǎng)絡(luò)提高度量技術(shù)的性能是一個研究方向。

Li[17]采取樹型結(jié)構(gòu)構(gòu)建了三層網(wǎng)絡(luò)系統(tǒng)安全評價指標以及反向傳播（BP, back propagation）神經(jīng)網(wǎng)絡(luò)度量模型，通過學(xué)習(xí)形成一種推理機制，實現(xiàn)了對輸入評價指標的非線性反映，最后得到全局度量結(jié)果。顧兆軍等[75]根據(jù)等保測評要求[76]構(gòu)建全局度量指標體系，利用熵權(quán)法確定各指標的權(quán)重。將指標加入BP神經(jīng)網(wǎng)絡(luò)建立度量模型，通過訓(xùn)練給出度量結(jié)果。Ma等[77]提出了一種基于徑向基函數(shù)（RBF, radial basis function）神經(jīng)網(wǎng)絡(luò)的度量模型。根據(jù)特定的航空網(wǎng)絡(luò)系統(tǒng)建立度量模型，將影響任務(wù)安全狀況的指標作為模型的輸入，對模型進行訓(xùn)練，進行全局度量。

基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)安全度量的研究多集中于建立全局度量指標體系。指標的選取一方面需要準確反映網(wǎng)絡(luò)系統(tǒng)情況，另一方面要確保神經(jīng)網(wǎng)絡(luò)可以實現(xiàn)指標的輸入。模型的主要缺點是訓(xùn)練時的數(shù)據(jù)量比較小，只能粗略度量系統(tǒng)的安全性。雖然使用神經(jīng)網(wǎng)絡(luò)能夠提高度量速度，但對指標的提出存在限制，不是任意指標都能加入神經(jīng)網(wǎng)絡(luò)中。

表2 部分度量模型對比

表2對上述方法進行了對比分析。其中結(jié)合方法是度量模型與其他方法常見的搭配。現(xiàn)階段，對度量模型的研究具有局限性，缺少實時性、準確性以及表征性[78]。度量網(wǎng)絡(luò)系統(tǒng)的方法雖然較多，但它們的客觀分析能力依然不足。度量內(nèi)容偏重于某一安全要素，如漏洞相關(guān)性、風(fēng)險存在性等，度量效果粗糙、片面。表2在度量類別列出了常見的局部度量，局部度量內(nèi)容不僅限于表2中所列，其他的度量有網(wǎng)絡(luò)彈性度量[79]、信息價值度量[80]、攻擊難度度量[81]。本文涉及的模型中專門用于脆弱性度量較少的原因是脆弱性都是作為其他度量的基礎(chǔ)。全局度量方法能夠適用于風(fēng)險度量，一方面是人們對風(fēng)險評估的研究較成熟，對風(fēng)險的理解比較深入；另一方面，風(fēng)險評估與全局度量的思路較相似，風(fēng)險指標容易設(shè)計，度量過程容易實施。

全局度量模型不成熟，效果依賴于具體的方法，以局部代替整體的方式較常見。由于 AHP易操作，因此它是全局度量中常使用的模型，許多研究圍繞AHP并結(jié)合其他技術(shù)進行開展。關(guān)聯(lián)分析、神經(jīng)網(wǎng)絡(luò)是隨著機器學(xué)習(xí)、人工智能等熱門技術(shù)興起的，因此在全局度量方面是有潛力的。隨著對度量的深入理解，在度量方面有很好的應(yīng)用。隨機模型和博弈論一般會將脆弱性作為其他安全要素的度量輸入，建立全局度量函數(shù)應(yīng)是這2個模型未來研究的具體點。度量朝著理論化發(fā)展的趨勢需要提出或采用新的或抽象的方法來說明度量。采用數(shù)學(xué)方法研究全局度量會越來越頻繁，越來越成熟。當(dāng)然，對系統(tǒng)全局度量是非常困難的，是一個開放性的問題。在選擇具體模型度量時還需根據(jù)不同的系統(tǒng)及需求確定，多種方式相互結(jié)合的方式可以提高度量效率和全面性。

4.1.8 小結(jié)

全局安全度量模型的研究是網(wǎng)絡(luò)系統(tǒng)安全度量的重要組成。將不同的度量內(nèi)容進行組合以全局度量的形式表現(xiàn)，能更綜合地反映網(wǎng)絡(luò)系統(tǒng)安全性。將數(shù)學(xué)理論、人工智能等技術(shù)引入網(wǎng)絡(luò)系統(tǒng)安全程度的度量，有利于促進安全度量研究的全局化、自動化發(fā)展。本節(jié)通過列舉分析，整體闡述了全局度量模型的研究現(xiàn)狀，同時指出了現(xiàn)有的研究存在的問題，并給出了一些建議以及解決方法。

4.2 網(wǎng)絡(luò)系統(tǒng)度量體系

沒有指標體系指導(dǎo)的度量是混亂的。依據(jù)體系實施全局度量，得到的安全程度證明具有權(quán)威性、可比性。目前雖沒有成熟的全局度量指標體系，但國內(nèi)外學(xué)者研究安全度量時，主要是借鑒已有的安全標準體系，選取常見的指標。將安全標準體系用于全局度量是可行的，一是安全度量是安全的一部分，二是安全體系經(jīng)過長期發(fā)展，能夠滿足全局度量指標設(shè)計需求。

本文根據(jù)指標的使用情況和涉及內(nèi)容，調(diào)研了可用于度量體系的10個安全標準體系，并將其分為3類，基礎(chǔ)性、針對性、全面性。其中，基礎(chǔ)性是指體系強調(diào)滿足網(wǎng)絡(luò)安全理論的基本指標，有通用性并易于擴展，如可信計算機系統(tǒng)評估準則（TCSEC,trusted computer system evaluation criteria）[82]、通用準則（CC, the common criteria for information technology security evaluation）[83]、PDR安全防護體系[84]；針對性是指在具體行業(yè)、具體系統(tǒng)等一定范圍內(nèi)使用，如BS7799安全體系規(guī)范[85]、美國聯(lián)邦信息處理標準系列（FIPS, federal information processing standards）[86]、歐盟網(wǎng)絡(luò)與信息系統(tǒng)安全指令[87]、NIST網(wǎng)絡(luò)安全框架[88]；全面性是指體系涉及的內(nèi)容豐富，范圍廣泛，適用性強，如網(wǎng)絡(luò)安全等級保護基本要求[89]、WPDRRC信息安全模型[90]、信息保障技術(shù)框架（IATF, information assurance technical framework）[91]。下面將舉例介紹每類體系中度量指標的應(yīng)用情況。

4.2.1 基礎(chǔ)性指標體系

TCSEC的發(fā)布具有劃時代的意義。后來許多標準都以此為基礎(chǔ)發(fā)展而來。使用 TCSEC一般從網(wǎng)絡(luò)系統(tǒng)設(shè)計之初開始。依據(jù)系統(tǒng)需求，按照準則中要求的安全級設(shè)計安全性。這種專門設(shè)計的安全模式是度量復(fù)雜系統(tǒng)安全性較為有效的方法。文獻[92]說明了 TCSEC如何為大型、復(fù)雜和分布式系統(tǒng)設(shè)計安全模式。依照安全模式進行全局度量，增強了可度量性、降低了成本。雖然TCSEC目前已經(jīng)被取代，但其涉及了網(wǎng)絡(luò)系統(tǒng)全周期的安全要素，因此對建設(shè)全局度量指標依然具有指導(dǎo)意義。

CC綜合了早期的安全準則和標準，形成了一個較全面的基礎(chǔ)框架，極大地促進了安全體系的發(fā)展。CC基于保護輪廓和安全目標提出安全需求，將保密性、完整性和可用性作為出發(fā)點，具有靈活性和可擴充性。由于CC的認可度較高，因此依靠其建立網(wǎng)絡(luò)系統(tǒng)安全全局度量的指標體系可信性較強。將建設(shè)的指標結(jié)合全局度量模型，如貝葉斯網(wǎng)絡(luò)，對網(wǎng)絡(luò)系統(tǒng)進行全局度量具備可靠性[93]。在CC體系中，可進行網(wǎng)絡(luò)系統(tǒng)度量維持，以解決系統(tǒng)在度量后出現(xiàn)變化時度量結(jié)果的有效性問題。當(dāng)然，基于CC的全局度量也存在比較大的缺點，即度量復(fù)雜性會伴隨網(wǎng)絡(luò)系統(tǒng)所要求的安全級別升高而變得越復(fù)雜，其對系統(tǒng)度量的平均周期較長，會導(dǎo)致度量過程的煩瑣和高成本。

4.2.2 針對性指標體系

BS7799是一套完整的網(wǎng)絡(luò)系統(tǒng)安全管理框架[94]，涵蓋了幾乎所有的安全議題。其主要為工商業(yè)網(wǎng)絡(luò)系統(tǒng)提供服務(wù)，因此基于BS7799建立的全局度量的指標體系主要針對于工商業(yè)，對于其他方面的應(yīng)用效果可能不理想。系統(tǒng)全局度量指標對應(yīng)規(guī)范中的控制措施，以改進網(wǎng)絡(luò)系統(tǒng)安全規(guī)劃和技術(shù)流程為目標[95]，從而保證指標對度量網(wǎng)絡(luò)系統(tǒng)是有效的。

圍繞BS7799的學(xué)術(shù)研究主要集中在安全要素度量問題上，如Tao等[96]把BS7799與故障樹技術(shù)結(jié)合，對各層安全要素之間的邏輯關(guān)系進行分析，實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全要素定量計算。除了建立指標體系，BS7799也適合作為大、中、小工商業(yè)組織的網(wǎng)絡(luò)系統(tǒng)在所需的控制范圍內(nèi)的安全基準，并形成全局度量基線。

4.2.3 全面性指標體系

我國發(fā)布的計算機信息系統(tǒng)安全保護等級劃分準則[97]，用于評價網(wǎng)絡(luò)系統(tǒng)安全保護能力，從整體上形成多級系統(tǒng)安全保護體系，為安全系統(tǒng)的建設(shè)提供了技術(shù)指導(dǎo)。為了進一步加強重要領(lǐng)域網(wǎng)絡(luò)系統(tǒng)安全的規(guī)范化建設(shè)和管理，全面提高國家網(wǎng)絡(luò)安全保護的整體水平，形成了新的網(wǎng)絡(luò)安全等級保護。目前新等級保護雖未正式發(fā)布，其整體結(jié)構(gòu)已基本形成，如圖4所示。新等級保護具有高度靈活性，能夠適應(yīng)移動互聯(lián)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用背景下的網(wǎng)絡(luò)安全全局性、系統(tǒng)性度量工作的開展，提高國家網(wǎng)絡(luò)系統(tǒng)安全防御能力。

圖4 網(wǎng)絡(luò)安全等級保護結(jié)構(gòu)

根據(jù)新要求，指標體系建設(shè)可從多維度、多層面進行，這有利于度量安全要素時靈活地選擇模型。新要求中的通用部分可看作網(wǎng)絡(luò)系統(tǒng)安全的基準，有利于度量基線的統(tǒng)一化建設(shè)。國內(nèi)的安言咨詢公司[98]已經(jīng)開始使用新等級保護，對目標網(wǎng)絡(luò)系統(tǒng)進行全局量化分析，挖掘業(yè)務(wù)運營的特定環(huán)境中存在的網(wǎng)絡(luò)系統(tǒng)安全隱患。等級保護體系與全局度量相結(jié)合能以數(shù)字化的形式展現(xiàn)系統(tǒng)潛在問題、影響范圍和發(fā)生的可能性，形成動態(tài)的、可持續(xù)改進的安全度量機制。

4.2.4 體系分析

部分指標體系的對比如表3所示。通過對比發(fā)現(xiàn)，體系指標的可量化程度還不夠客觀，存在較多的問題。將體系中提取的指標作為測度的依據(jù)，進而對系統(tǒng)實行全局量化。不同的應(yīng)用場景對網(wǎng)絡(luò)系統(tǒng)能夠提供的安全性程度的要求不同。在選擇具體指標時還需根據(jù)不同的系統(tǒng)及需求來選擇安全體系。通過對體系進行分析形成指標選擇的原則有：1) 簡潔性，選擇各種類型的指標必須簡明扼要，且須具有代表性；2) 完整性，選擇各種類型的全局度量指標應(yīng)是互補的，要能夠完整描述網(wǎng)絡(luò)系統(tǒng)要素；3) 可行性，各種指標的選擇能夠與實際度量相結(jié)合，確保其實際操作能力；4) 獨立性，各種指標之間具有獨立性，減少或者避免它們之間的聯(lián)系；5) 準確性，指標的選取能夠進行論證及提供價值。

在安全基線建設(shè)方面，體系的基本要求可確立形成度量基線。雖然同類網(wǎng)絡(luò)系統(tǒng)之間存在差異以及它們的安全需求是不同的，但其安全基線應(yīng)是一致的。通過體系能夠快速建立安全基準，確保網(wǎng)絡(luò)系統(tǒng)最低安全性。確定基準后，安全度量指標需是可拓展的，對不同類型網(wǎng)絡(luò)系統(tǒng)或者對同一系統(tǒng)不同階段應(yīng)有所變化，安全體系可被視為安全度量人員的資料庫[99]。

表3 部分指標體系對比

安全體系在促進網(wǎng)絡(luò)系統(tǒng)全局度量的發(fā)展中發(fā)揮著關(guān)鍵作用，但其不能完全滿足度量要求。一方面，網(wǎng)絡(luò)技術(shù)及系統(tǒng)業(yè)務(wù)模式的發(fā)展遠遠快于安全體系的制定，體系的滯后性影響度量建設(shè)。另一方面，從安全體系中選取具有代表性的安全影響因素作為指標時，每類因素可能包含許多不確定的因子，因此會增加全局度量的不準確性。所以，建設(shè)科學(xué)的安全度量指標體系很重要。我國指標體系建設(shè)工作起步較晚。2015年，發(fā)布的信息安全保障指標體系及評價方法[100]提出了安全評價指標體系及其測度過程，闡述了一種實現(xiàn)系統(tǒng)安全性評價的層次結(jié)構(gòu)，可以對網(wǎng)絡(luò)系統(tǒng)進行粗略全局度量。此標準可以認為是給出了簡單的指標指導(dǎo)，但指標體系的構(gòu)建還存在不足，且這種粗略度量對網(wǎng)絡(luò)系統(tǒng)整體安全性的刻畫還不夠客觀。

4.2.5 小結(jié)

基于安全體系建設(shè)網(wǎng)絡(luò)系統(tǒng)安全度量指標體系有利于全局度量的發(fā)展，但仍需進一步地研究與完善。本節(jié)介紹了對網(wǎng)絡(luò)安全產(chǎn)生重要影響的安全體系，指出了體系在全局度量方面的應(yīng)用（粗略度量、標準建設(shè)、安全基線）。通過對比分析，給出了這些體系在度量指標建設(shè)方面各自的優(yōu)劣勢，同時總結(jié)了網(wǎng)絡(luò)系統(tǒng)安全度量指標體系構(gòu)建的原則。

4.3 度量工具

網(wǎng)絡(luò)安全系統(tǒng)度量工具是全局度量的輔助手段，是保證度量結(jié)果可信度的一個重要因素，在一定程度上解決了手動度量的局限性。近年來，不斷增多的網(wǎng)絡(luò)安全事件促進了安全企業(yè)迅速發(fā)展，同時增加了度量工具的使用頻率。由于工具的使用比較靈活，本節(jié)簡單介紹幾款常見的可用于全局度量的工具。

4.3.1 CRAMM（CCTA risk analysis and management method）

CRAMM[101]依據(jù)BS7799標準建立指標體系，以風(fēng)險度量為基礎(chǔ)，涵蓋了安全管理的所有階段，如資產(chǎn)安全度量、風(fēng)險計算、控制方案調(diào)整等。CRAMM建有強大的經(jīng)驗數(shù)據(jù)庫，度量時能夠參考以往經(jīng)驗，并通過分層對網(wǎng)絡(luò)系統(tǒng)進行簡單的全局定量分析。CRAMM在實時度量的同時，提供必要的安全解決方案，有效地降低安全實施成本。CRAMM適用于各種大型的網(wǎng)絡(luò)系統(tǒng)，但是，其度量主觀性較大，部分數(shù)據(jù)采用人工收集，且主要依靠研究人員的知識和經(jīng)驗，需要經(jīng)驗豐富的從業(yè)者使用該工具。

4.3.2 COBRA（consultative, objective and bi-functional risk analysis）

COBRA[102]基于專家知識庫對網(wǎng)絡(luò)系統(tǒng)進行安全分析，它利用動態(tài)分析對大量的網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)進行簡單的計算，度量所有威脅和漏洞的相對重要性，并以此代表全局度量，從而生成適當(dāng)?shù)陌踩ㄗh和解決方案。COBRA能夠控制度量的細節(jié)和精度，從而根據(jù)實際需要獲得更有利于網(wǎng)絡(luò)系統(tǒng)安全的結(jié)果。COBRA能夠提供較大的靈活性，所有功能部分都是可選的，但工具自動化支持相對薄弱，使全局度量時間長，且過程會產(chǎn)生混亂的情況。

4.3.3 工業(yè)網(wǎng)絡(luò)安全工具

綠盟[103]2018年發(fā)布了工業(yè)網(wǎng)絡(luò)系統(tǒng)安全合規(guī)工具ISCAT。ISCAT集成多個權(quán)威合規(guī)性安全標準分析模版，能夠?qū)W(wǎng)絡(luò)系統(tǒng)中的設(shè)備安全、資產(chǎn)安全等局部度量，也能夠通過關(guān)聯(lián)分析進行全局度量。其減弱了專業(yè)背景需求，能為用戶提供標準、專業(yè)的檢查指導(dǎo)，并以可視化方法幫助用戶快速分析展示網(wǎng)絡(luò)系統(tǒng)安全狀況。ISCAT的缺點在于度量場景有限，安全指標有待進一步整合與量化。整體來說，ISCAT有針對性地采取安全防護措施，提升工業(yè)控制領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)安全防護能力，有助于切實保障工業(yè)網(wǎng)絡(luò)系統(tǒng)安全。

4.3.4 小結(jié)

本節(jié)從自動化的程度出發(fā)，介紹了3個具有代表性的工具及其優(yōu)缺點。整體來看，度量工具距離完全實現(xiàn)度量自動化還有一段路需要走。數(shù)據(jù)的采集有部分依靠人工方式，而且采集方式普遍效率較低；度量指標需要專家確定；數(shù)據(jù)的整合比較粗略，缺乏模型化。因此，全局度量工具還有很大的改善空間。全局度量工具是網(wǎng)絡(luò)系統(tǒng)安全發(fā)展中必不可少的一環(huán)，應(yīng)當(dāng)以流程化、自動化為目標。合理使用網(wǎng)絡(luò)系統(tǒng)安全度量工具，可以降低人力物力的成本，提高安全管理和防護的效率，大幅度減少網(wǎng)絡(luò)系統(tǒng)的安全問題。

5 挑戰(zhàn)與機遇

數(shù)據(jù)化的快速發(fā)展導(dǎo)致度量的方式會有所不同，并且會加快網(wǎng)絡(luò)系統(tǒng)全局度量的發(fā)展。沒有全局度量的網(wǎng)絡(luò)，就不會真正地清楚安全目標。對網(wǎng)絡(luò)系統(tǒng)的每次全局度量都是為了讓網(wǎng)絡(luò)系統(tǒng)變得更安全。目前的度量發(fā)展太過單一，全局度量應(yīng)用于具體網(wǎng)絡(luò)系統(tǒng)能更好地驅(qū)動全局度量的進步。未來的全局度量將圍繞what（度量的數(shù)據(jù)有什么）與 how（如何應(yīng)用度量）展開。當(dāng)前是全局度量最好的發(fā)展時期，自動化、智能化等新技術(shù)的迅速出現(xiàn)為全局度量創(chuàng)新了思維、創(chuàng)造了條件、提供了機會。

5.1 挑戰(zhàn)

5.1.1 全局度量可行性

安全度量的現(xiàn)狀和實際操作還無法完全滿足各方的期望。利益相關(guān)方的期望對網(wǎng)絡(luò)系統(tǒng)全局度量有著很大的影響，這些期望基本都圍繞著全局度量的可行性和度量結(jié)果的參考價值。理解并進一步滿足這些期望有助于準備開展安全度量項目的組織獲得成功，提升網(wǎng)絡(luò)系統(tǒng)整體度量客觀性[104]。大部分企業(yè)或者組織在對系統(tǒng)進行安全性評價時，評價指標、全局度量方法的選取各不相同，因此得到的度量結(jié)果沒有可比性。

5.1.2 全局度量方法論

全局度量的方法論在標準化、普適性等方面進展緩慢、存在局限，在以下幾點存在較多缺陷。

1) 度量基線

一個標準化的、最小的量度集是安全度量的度量基線。圍繞基線擴展全局度量范圍，新的測度可以隨著時間推移加入，但是核心的測度應(yīng)保持固定以應(yīng)對網(wǎng)絡(luò)系統(tǒng)的變更。

2) 局部度量

機密性、完整性、可用性是網(wǎng)絡(luò)安全內(nèi)在的關(guān)鍵基礎(chǔ)特性。越來越龐大的網(wǎng)絡(luò)系統(tǒng)導(dǎo)致了系統(tǒng)自身很難用簡單的量化模型來呈現(xiàn)。復(fù)雜系統(tǒng)涉及的內(nèi)容繁多，僅從風(fēng)險等獨立安全要素角度只能比較片面地解釋網(wǎng)絡(luò)系統(tǒng)存在問題。用漏洞度量、攻防度量等局部度量的方式來代表全局度量不能準確說明安全程度，將導(dǎo)致不準確或者錯誤地衡量系統(tǒng)安全性。

3) 持續(xù)性

全局度量的持續(xù)性與組織的領(lǐng)導(dǎo)力有很大關(guān)系，只要對項目保持強有力的支持，網(wǎng)絡(luò)系統(tǒng)安全度量就會持續(xù)地展開。全局度量對于管理層具有戰(zhàn)略目的，停滯的度量無法用于管理決策。

4) 術(shù)語和定義

全局度量缺乏被廣泛接受的術(shù)語和概念框架，相關(guān)詞匯定義較含糊，存在交叉，對度量范圍界定不清晰。需要明確定義和使用量度作為全局度量的特征來表示網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，從而形成基本的定義和通用的術(shù)語集[105]。隨著技術(shù)的發(fā)展，人們對全局度量的術(shù)語會逐步趨于一致。然而要提高一致性的程度并在安全度量實踐者中取得共識，還有更多的工作要做。

5.1.3 全局度量可操作性

完善已有的方法、探索還沒有被識別的特性的數(shù)據(jù)組合將有助于推進全局度量謎題的解決，促進精準化度量的實施。

1) 指標

零散指標難以聚合。哪些數(shù)據(jù)需要被測度，度量標準提供的信息具有一定借鑒作用。測度的數(shù)據(jù)是廣泛的，把測度值集合成一個確定的高層次的指標是必要的。整合指標的數(shù)量以及將零散的測度數(shù)據(jù)升華為復(fù)合的指標進行全局度量的方式都需要不斷地實踐。解決具有不同粒度的度量值存在精度丟失的問題還需要研究人員投入大量的精力。

2) 度量方法

全局度量的方法已經(jīng)有許多，但都不完善，有各自的優(yōu)勢和劣勢。不同的度量方法能從不同角度度量網(wǎng)絡(luò)系統(tǒng)安全要素，多種方法交叉使用能更系統(tǒng)地表示和建模網(wǎng)絡(luò)系統(tǒng)中涉及的主要元素或組成部分之間的內(nèi)部依賴關(guān)系[106]。結(jié)合人工智能等相關(guān)技術(shù)實現(xiàn)實時的、自動化度量，能夠提高全局度量準確性、完善其高效性和促進其廣泛性。

3) 數(shù)據(jù)格式

數(shù)據(jù)格式通用性有待改進。不同行業(yè)、不同渠道采集的數(shù)據(jù)格式是有區(qū)別的，需要耗時進行處理與關(guān)聯(lián)分析。使用標準格式采集和編制數(shù)據(jù)，將有益于快速實施全局度量、驗證已有的度量結(jié)論、創(chuàng)建和對比不同網(wǎng)絡(luò)系統(tǒng)的原始度量、促進數(shù)據(jù)共享交換、建立全局度量標桿。

5.2 機遇

5.2.1 全局度量的迫切性

全局度量事關(guān)網(wǎng)絡(luò)系統(tǒng)安全的每一個利益相關(guān)者，涉及安全生命周期每一個環(huán)節(jié)、每一個方面。沒有準確的全局度量，就無法形成有效的安全認知，安全相關(guān)的所有行為都將處于迷茫。目前，在網(wǎng)絡(luò)系統(tǒng)安全領(lǐng)域，安全度量及標準具有很大程度的主觀性，全局度量處于粗略比較狀態(tài)。為實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)安全的精準、客觀認識，迫切需要發(fā)展全局度量科學(xué)。

5.2.2 全局度量的必要性

網(wǎng)絡(luò)空間成為第五空間，社會基礎(chǔ)產(chǎn)業(yè)全面網(wǎng)絡(luò)化，客觀的網(wǎng)絡(luò)系統(tǒng)安全性描述源于更強大的全局度量。全局度量能夠挖掘網(wǎng)絡(luò)系統(tǒng)安全的內(nèi)在本質(zhì)，已成為安全度量發(fā)展的客觀趨勢。網(wǎng)絡(luò)系統(tǒng)安全全局度量所追求的目標是用較少的成本來獲得必要的安全信任。以主動提高網(wǎng)絡(luò)系統(tǒng)安全性為目的，對網(wǎng)絡(luò)系統(tǒng)全局度量可以及時發(fā)現(xiàn)各類隱含的安全問題及潛在風(fēng)險，并提出相關(guān)的解決建議，確保管理可落實、操作可管控、技術(shù)可實施等。通過網(wǎng)絡(luò)系統(tǒng)所涉及的信息流，進一步建立并實施一系列的全局度量手段，持續(xù)不斷地改進網(wǎng)絡(luò)系統(tǒng)安全工作。

5.3 小結(jié)

本節(jié)首先從可行性、普適性、可操作性等角度說明了全局度量的研究存在挑戰(zhàn)。接著又從迫切性和必要性兩方面說明了全局度量的研究還面臨著機遇。挑戰(zhàn)和機遇的提出表明了雖然全局度量研究是困難的，但也為研究人員提供了創(chuàng)新機會，同時提升研究人員的研究熱情。

6 未來研究展望

網(wǎng)絡(luò)系統(tǒng)安全度量研究一直是網(wǎng)絡(luò)空間安全研究的重要方向之一，這對網(wǎng)絡(luò)空間安全有著非常重要的意義。通過整理第5節(jié)，得到全局度量總體的研究狀況如下：完整的理論體系仍未形成；客觀、量化的標準缺乏，目標不一致；還具有很大程度的主觀性、處于粗略比較狀態(tài)；針對某些特定系統(tǒng)組件，已建立一些成功的安全度量方法，但仍難以完全實現(xiàn)全局度量、客觀量化及精準描述網(wǎng)絡(luò)安全。由此可見，實現(xiàn)全局化度量等研究還有很長的路要走。表4總結(jié)了網(wǎng)絡(luò)系統(tǒng)全局度量研究的一些難點問題以及可能的解決方法。

6.1 系統(tǒng)化度量方法學(xué)

度量方法學(xué)尚未形成完整的、系統(tǒng)化的理論方法。需要將網(wǎng)絡(luò)安全全局度量形成科學(xué)的方法，逐步擴大度量范圍，建成具體的體系或框架，讓體系或框架指導(dǎo)具體的網(wǎng)絡(luò)系統(tǒng)安全度量工作，降低業(yè)務(wù)遭受的損失，保證功能正確實施。度量方法學(xué)應(yīng)提供基本說明，以理解什么是度量、為什么度量、什么時候以及如何度量。研究如何使用度量指標來簡化管理、合理預(yù)算和分析趨勢，設(shè)計更有效的網(wǎng)絡(luò)系統(tǒng)全局度量計劃[107]。安全問題很多情況下是由管理問題引起的，管理度量是比較重要的。而在度量組織管理上，方法學(xué)應(yīng)提供如人員情況、法律要求、資源分配、權(quán)限設(shè)置等管理方面的工作方法[108]。

表4 網(wǎng)絡(luò)系統(tǒng)全局度量研究面臨的問題與方法

6.2 全局度量與態(tài)勢感知相結(jié)合

態(tài)勢感知是對網(wǎng)絡(luò)系統(tǒng)安全性進行定量分析的一種手段，網(wǎng)絡(luò)安全分析人員可以借助度量，宏觀把握整個網(wǎng)絡(luò)的安全狀況[109]。雖然目前還無法描述網(wǎng)絡(luò)系統(tǒng)具體的安全程度，但通過態(tài)勢感知平臺可以對一些全局度量方法進行可視化驗證，使安全分析人員和網(wǎng)絡(luò)運營商能粗略地衡量其網(wǎng)絡(luò)的安全狀況和運作的成功與否。可視化技術(shù)處理安全大數(shù)據(jù)時能得到有效應(yīng)用，尤其是針對大型網(wǎng)絡(luò)系統(tǒng)的安全指標。通過獲取網(wǎng)絡(luò)系統(tǒng)態(tài)勢數(shù)據(jù)，對比分析當(dāng)前數(shù)據(jù)和歷史數(shù)據(jù)，將度量結(jié)果進行可視化，使人們更能直觀地認識網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)[110]，從而制定更精準的決策響應(yīng)突發(fā)情況或者預(yù)防未來可能發(fā)生的不利狀況。網(wǎng)絡(luò)安全監(jiān)控企業(yè) Scorecard[111]為企業(yè)用戶提供安全基準測試服務(wù)，能感知整個網(wǎng)絡(luò)系統(tǒng)，度量系統(tǒng)的網(wǎng)絡(luò)健康狀況并做出預(yù)測，但度量和預(yù)測結(jié)果偏主觀性。

6.3 度量指標體系建設(shè)

精準度量網(wǎng)絡(luò)系統(tǒng)，客觀建立度量指標體系、指標標準化、準確度量指標值是關(guān)鍵。指標體系應(yīng)包含數(shù)據(jù)采集、數(shù)據(jù)測度、指標組合等內(nèi)容。不同場景下的網(wǎng)絡(luò)系統(tǒng)全局度量的指標一般是不同的，指標體系應(yīng)給出指導(dǎo)。提出能夠客觀描述整體網(wǎng)絡(luò)系統(tǒng)情況的指標體系，并使之形成標準是一項長期工作。網(wǎng)絡(luò)系統(tǒng)安全全局度量指標的建設(shè)與研究初期借鑒 CC、等級保護等安全體系可以快速形成度量指標并實施度量。例如，一些安全公司結(jié)合體系和實際經(jīng)驗建立了自己的度量指標。UpGuard[112]建立了約2 000個網(wǎng)絡(luò)系統(tǒng)安全度量指標，從企業(yè)外部和內(nèi)部對其信息完整性、脆弱性、合規(guī)性、安全性等進行全局度量，并能給出一份網(wǎng)絡(luò)威脅報告（CSTAR, cyber security threat assessment report），使客戶對網(wǎng)絡(luò)系統(tǒng)安全問題直觀理解，了解自身的安全水平。

6.4 網(wǎng)絡(luò)系統(tǒng)全局度量建模

目前，還不清楚在什么條件下，一個系統(tǒng)的安全性是有意義的、可比較的，即安全程度判斷尚不明確。網(wǎng)絡(luò)系統(tǒng)全局度量建模是判斷安全程度的依據(jù)，是解決客觀性的核心內(nèi)容。許多企業(yè)在安全方面投入了大量的工作，但大多數(shù)企業(yè)依然不能夠確定網(wǎng)絡(luò)系統(tǒng)是否足夠安全。網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性使全局度量建模成為一項艱巨的任務(wù)。設(shè)計良好的度量模型能夠客觀地認識網(wǎng)絡(luò)系統(tǒng)安全性。全局度量模型應(yīng)是可伸縮、可互操作和全面的，應(yīng)支持靜態(tài)或動態(tài)度量、自動化度量[113]。全局度量模型除了對技術(shù)進行量化外，還需要關(guān)注技術(shù)以外的管理因素，技術(shù)度量和管理度量同時出現(xiàn)才能設(shè)計出一套完整的由數(shù)據(jù)驅(qū)動的網(wǎng)絡(luò)安全度量方案。

6.5 小結(jié)

網(wǎng)絡(luò)系統(tǒng)安全精準度量是一項富有挑戰(zhàn)性的研究。國內(nèi)外對網(wǎng)絡(luò)系統(tǒng)安全度量的理解還存在諸多分歧，相應(yīng)的技術(shù)框架尚未完善，缺乏系統(tǒng)化的量化分析工具和支撐平臺。本節(jié)對這些問題做進一步的說明，并列出了 10個主要問題并給出了解決方法。解決方法主要圍繞領(lǐng)域交叉融合，將可視化、自適應(yīng)、機器學(xué)習(xí)等技術(shù)應(yīng)用于全局度量中，能極大提高全局度量的研究效率。

7 結(jié)束語

網(wǎng)絡(luò)系統(tǒng)安全全局度量是一個復(fù)雜的過程。全局度量系統(tǒng)安全的程度取決于度量的廣度、深度。由于影響網(wǎng)絡(luò)系統(tǒng)安全的因素很多，且各因素之間又相互關(guān)聯(lián)，使安全因素與度量結(jié)果之間呈現(xiàn)出一種復(fù)雜的非線性關(guān)系。因此，需要構(gòu)建完整的全局度量框架，建立安全度量理論與技術(shù)體系，開展典型應(yīng)用，從而快速提升全局度量技術(shù)水平。逐步實現(xiàn)精準的度量，成為當(dāng)前全局度量體系全面性拓展的基礎(chǔ)條件。對全局度量各方面的研究，是改變安全度量現(xiàn)狀的技術(shù)途徑。當(dāng)解決了網(wǎng)絡(luò)系統(tǒng)安全難以全局、客觀量化問題時，對網(wǎng)絡(luò)系統(tǒng)安全的認識會更客觀、更全面、更科學(xué)、更合理。本文分析了全局度量的相關(guān)概念及其過程框架，度量的發(fā)展歷程，對現(xiàn)有的度量方法、體系、工具進行了比較總結(jié)，以期拋磚引玉。最后闡述了目前研究中存在的問題，并展望了其未來的發(fā)展方向。