基于貝葉斯攻擊圖的電子政務(wù)系統(tǒng)風(fēng)險評估方法研究

束 紅 黃永青 程予希 潘峻嵐

（銅陵學(xué)院，安徽 銅陵 244061）

一、引言

電子政務(wù)系統(tǒng)在當(dāng)今社會的作用日益顯著，很多傳統(tǒng)的政務(wù)活動逐漸遷移到互聯(lián)網(wǎng)上。可是由于電子政務(wù)系統(tǒng)的重要性，其也成為黑客攻擊的首要目標。我國已在電子政務(wù)系統(tǒng)的信息安全風(fēng)險評估方面制定了一些標準和規(guī)范，但大多以靜態(tài)風(fēng)險評估為基礎(chǔ)，對實時變化的風(fēng)險態(tài)勢和攻擊細節(jié)把控性較差。

近年來，基于貝葉斯的攻擊圖理論引起了學(xué)者們的關(guān)注。周余陽[1]等利用貝葉斯攻擊圖提出了一種評估網(wǎng)絡(luò)攻擊面的方法，推導(dǎo)最大攻擊概率路徑；王增光[2]等利用貝葉斯攻擊圖對目標網(wǎng)絡(luò)建模，實現(xiàn)了對目標網(wǎng)絡(luò)的動態(tài)風(fēng)險評估；趙松[3]等結(jié)合CVSS指標和攻擊圖，計算攻擊伸縮性作為網(wǎng)絡(luò)安全度量的方法；馬春光[4]等將攻擊者的攻擊意愿和原子攻擊的性質(zhì)與貝葉斯網(wǎng)絡(luò)攻擊圖相結(jié)合，構(gòu)建動態(tài)風(fēng)險評估模型；楊云雪[5]等運用層次分析法，將企業(yè)環(huán)境特征加入貝葉斯攻擊圖進行動態(tài)評估。本文將基于貝葉斯的攻擊圖理論應(yīng)用于電子政務(wù)系統(tǒng)風(fēng)險評估，對其實時信息安全風(fēng)險進行分析，在此基礎(chǔ)上獲得最有可能發(fā)生的信息安全事件和系統(tǒng)整體的風(fēng)險等級，為保障電子政務(wù)系統(tǒng)的安全提供技術(shù)支持。

二、電子政務(wù)系統(tǒng)簡介

據(jù)《中國電子政務(wù)系統(tǒng)的基本框架》[6]，我國政務(wù)網(wǎng)主要由軟件資產(chǎn)和硬件資產(chǎn)構(gòu)成，其中軟件資產(chǎn)包括：政府對企業(yè)、政府對政府和政府對公民提供服務(wù)的系統(tǒng)三個大類；而硬件資產(chǎn)主要包括政務(wù)專網(wǎng)、政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)中所包含的硬件設(shè)施。

由于電子政務(wù)系統(tǒng)所承擔(dān)的責(zé)任重大，所以其威脅來源廣泛，由于不同威脅的動機和攻擊能力不同，在進行分析時要充分考慮，追求安全效益最大化。

脆弱性是指資產(chǎn)存在的弱點。電子政務(wù)系統(tǒng)的脆弱性可分為技術(shù)脆弱性和管理脆弱性，本文主要討論資產(chǎn)所存在的技術(shù)脆弱性，即資產(chǎn)存在的漏洞。

三、風(fēng)險評估概述

信息安全風(fēng)險評估是指對信息系統(tǒng)中的資產(chǎn)、資產(chǎn)所面對的威脅、資產(chǎn)所存在的脆弱性進行分析，結(jié)合目前所采取的措施來進行評估，以此來判斷安全事件發(fā)生的概率和發(fā)生安全事件后可能造成的損失，以此為依據(jù)，管理員分析獲得整改意見和對整個安全態(tài)勢的感知。本文將目前主流的風(fēng)險評估方法比較分析如下表1：

因為電子政務(wù)系統(tǒng)業(yè)務(wù)連續(xù)性和安全性要求較高，各組成部分之間的信息流動交互性比較高，所以基于模型的評估方法更適合這個場景。

四、基于貝葉斯攻擊圖的電子政務(wù)系統(tǒng)信息安全風(fēng)險評估模型

表1 評估方法比較表

（一）貝葉斯攻擊圖的組成

電子政務(wù)系統(tǒng)的貝葉斯攻擊圖具有以下元素：

1.目標網(wǎng)絡(luò)模型

目標網(wǎng)絡(luò)模型的構(gòu)建是以待評估系統(tǒng)的網(wǎng)絡(luò)拓撲圖為基礎(chǔ)，利用掃描工具和人工檢測手段來獲取資產(chǎn)清單、漏洞信息、網(wǎng)絡(luò)主機之間連通性和一些已有的防御措施等。

2.脆弱性知識庫

電子政務(wù)系統(tǒng)一般要維護已知的脆弱性數(shù)據(jù)庫，包括漏洞的利用條件和方式，本文采用CVSS2.0漏洞評估方法[7]對每一個脆弱性進行評估。

3.攻擊者模型

在傳統(tǒng)評估方法中，一個攻擊者的畫像包括攻擊源、攻擊目標、可利用的攻擊手段和攻擊序列等，即威脅的描述。為了更好服務(wù)于電子政務(wù)系統(tǒng)，本文將攻擊者描繪為一個具有明確攻擊目標，并且會選擇最大攻擊效益的角色。

（二）貝葉斯攻擊圖的定義

在對現(xiàn)實網(wǎng)絡(luò)拓撲圖進行簡化和去閉環(huán)后，形成一張有向無環(huán)圖。本文將無環(huán)有向的貝葉斯攻擊圖定義為一個五元組，具體描述如下：

1.S是結(jié)點屬性集合，其中S=S1∪S2∪S3，它由所有節(jié)點起始狀態(tài)S1、中間狀態(tài)S2和最終狀態(tài)S3組成，攻擊者對其一般有訪問權(quán)限、使用權(quán)限和管理員權(quán)限。

2.A是攻擊圖中原子攻擊的集合，表示節(jié)點之間拓撲和滲透層次的聯(lián)系，通過A，父節(jié)點可以跳轉(zhuǎn)到子節(jié)點，并且引起狀態(tài)的改變。

3.E是攻擊者的攻擊策略集合，可以反映攻擊者的攻擊水平高低。

5.L表示屬性與屬性之間的聯(lián)系，即父節(jié)點與子節(jié)點之間的關(guān)系，包括OR與AND兩種。

在攻擊圖的生成算法中，本文選取了廣度優(yōu)先算法，因為在對攻擊目標不確定的情況下，這種算法更為簡練。

（三）貝葉斯攻擊圖概率計算

本文旨在從攻擊者角度對系統(tǒng)安全風(fēng)險進行評估，需要計算攻擊者成功攻擊系統(tǒng)相應(yīng)資產(chǎn)的概率。我們引入通用性評分系統(tǒng)CVSS2.0[7]。對資產(chǎn)脆弱性利用的難度系數(shù)進行量化，主要根據(jù)攻擊途徑(Access Vector,AV)、攻擊復(fù)雜度 (Access Complexity,AC)、身份認證(AUthentication,AU)、機密性影響(Confidentiality,C)、完整性影響(Integrity,I)、可用性影響(Availability,A)和權(quán)值傾向(bias)七個方面來實現(xiàn)。則攻擊圖中的原子攻擊成功率有如下定義：

在上述公式中，Eic表示攻擊策略，在C、I、A全取1時，P（Ei)表示該原子攻擊的成功率。

為了從攻擊者角度去考慮攻擊路徑的問題，就必須在考慮攻擊效益的問題。本文使用W（Ei)表示攻擊者的攻擊意圖，其與選擇攻擊策略的攻擊難度Adiff（Ei)和本次攻擊行為帶來的收益Aprofit（Ei)相關(guān)。Adiff（Ei)主要是由本次攻擊所消耗時間、消耗財力和技術(shù)要求相關(guān)；而Aprofit（Ei)是本次攻擊帶來的收益，收益包括單次攻擊所帶來的收益和對于整個攻擊策略的收益。綜上所述，我們將攻擊策略的難度和收益比值α定義如下：

為了發(fā)揮攻擊圖對資產(chǎn)之間聯(lián)系的安全性評估上的巨大優(yōu)勢，還需要考慮其父節(jié)點受到的原子攻擊。本節(jié)點的可達性和可達概率還依賴于父節(jié)點的可達概率，由于網(wǎng)絡(luò)拓撲的分布，子節(jié)點和父節(jié)點之間依賴關(guān)系分為OR和AND兩種：

（1）當(dāng)父子節(jié)點之間依賴關(guān)系為AND時：

（2）當(dāng)父子節(jié)點之間依賴關(guān)系為OR時：

Par（sj）表示所選路徑到達該節(jié)點所有父節(jié)點集合，公式（4）中表示所有的父節(jié)點狀態(tài)都為1的時候，子節(jié)點才可達；公式（5）中表示所有的父節(jié)點中，有一個為1，下面即可達。

（四）電子政務(wù)系統(tǒng)信息安全風(fēng)險評估模型

圖1 電子政務(wù)系統(tǒng)信息安全風(fēng)險評估模型圖

本文針對電子政務(wù)系統(tǒng)提出了基于貝葉斯攻擊圖理論的電子政務(wù)系統(tǒng)風(fēng)險評估模型，對電子政務(wù)系統(tǒng)中的資產(chǎn)、威脅、脆弱性通過備份資料和掃描器等手段進行評估。其中，資產(chǎn)評估提供原始的網(wǎng)絡(luò)拓撲簡化的有向無環(huán)圖和攻擊收益；威脅評估提供攻擊的入口和針對不同攻擊難度的應(yīng)付能力，也就是說可以設(shè)想攻擊者畫像；脆弱性評估主要依據(jù)CVSS2.0評分；最后將獲得的數(shù)據(jù)輸入到貝葉斯攻擊圖中進行計算分析，獲得風(fēng)險評估報告和可能的攻擊路徑，并給出相應(yīng)的整改意見。

為了求得攻擊者最可能攻擊的路線，本文利用我國《信息系統(tǒng)安全等級保護定級指南》[8]和CVSS2.0[7]中基礎(chǔ)評價部分，分別為資產(chǎn)和脆弱性進行定值：

表2 等級保護定級標準表[8]

五、實驗驗證

（一）實驗網(wǎng)絡(luò)場景

本文在網(wǎng)絡(luò)中搜集了真實電子政務(wù)系統(tǒng)中某部門的拓撲圖，并搭建簡單的網(wǎng)絡(luò)場景來測試。攻擊者通過防火墻，并在核心交換機處有三條分支。

我們使用漏洞掃描工具對所有的試驗結(jié)點進行了掃描，并給出其漏洞編號，以及相應(yīng)CVSS2.0評分，并且按照資產(chǎn)的重要性給了資產(chǎn)不同的權(quán)重，為了全面地評估攻擊路徑，我們將威脅設(shè)置為最高等級，即所有脆弱性都可以利用。實驗的攻擊圖如圖3所示，由攻擊者為根節(jié)點，屬性結(jié)點和攻擊方式構(gòu)成。

表3 CVSS2.0基礎(chǔ)評價評分標準表

圖2 實驗場景拓撲圖

圖3 實驗場景貝葉斯攻擊圖

表4 實驗場景基本信息表

（二）實驗結(jié)果分析

根據(jù)攻擊目標不同，可以規(guī)劃出來這五條攻擊路徑：

1.ATTACKER->H1(user)->H1(root)：攻擊效益較低，最終只可獲得2.08。

2.ATTACKER->H2(user)->H2(root)：攻擊效益為3.04，后續(xù)攻擊效益潛力為5。

3.ATTACKER->H3(user)->H3(root)：攻擊效益為4.48，后續(xù)攻擊效益潛力為5。

4.ATTACKER->H2(user)->H2(root)->H4(user)->H4(root)：攻擊效益為5，概率為 0.110592，附帶攻擊效益為3.04。

5.ATTACKER->H3(user)->H3(root)->H4(user)->H4(root)：攻擊效益為5，概率為0.1179848，附帶攻擊效益為4.48。

所以，前三條路徑根據(jù)目標不同，攻擊路徑選擇唯一，而對于H4的攻擊，在難度大致相等情況下，攻擊者會選擇，附帶攻擊效益大的那條，既攻擊路線5。

六、總結(jié)

本文根據(jù)電子政務(wù)系統(tǒng)的特點，從資產(chǎn)、威脅、脆弱性三方面出發(fā)，結(jié)合CVSS2.0漏洞評估模型，使用貝葉斯攻擊圖構(gòu)建風(fēng)險評估模型。以模擬政務(wù)網(wǎng)系統(tǒng)為例，抽象為網(wǎng)絡(luò)拓撲，并以專業(yè)工具檢測脆弱性，從攻擊者視角來看不僅考慮了單個資產(chǎn)的安全問題，更考慮到資產(chǎn)之間聯(lián)系的安全性，最后可以獲得針對某一攻擊目標的最大化攻擊路徑和針對性整改意見。但此算法只實現(xiàn)了二維的攻擊圖，未來將對于不同的威脅，縱向建模，構(gòu)成三維攻擊圖，實現(xiàn)防御效益最大化。