楊云雪，魯　驍，董　軍

1.中國科學院 計算技術研究所 網(wǎng)絡數(shù)據(jù)科學與技術重點實驗室，北京 100190

2.國家計算機網(wǎng)絡與信息安全管理中心，北京 100029

3.中國石油天然氣管道局，河北 廊坊 065000

基于企業(yè)環(huán)境的網(wǎng)絡安全風險評估*

楊云雪1+，魯驍2，董軍3

1.中國科學院 計算技術研究所 網(wǎng)絡數(shù)據(jù)科學與技術重點實驗室，北京 100190

2.國家計算機網(wǎng)絡與信息安全管理中心，北京 100029

3.中國石油天然氣管道局，河北 廊坊 065000

針對網(wǎng)絡安全風險評估問題，提出了一種依據(jù)企業(yè)環(huán)境特征評估網(wǎng)絡安全風險的方法。在企業(yè)內(nèi)部基于企業(yè)環(huán)境特征進行安全漏洞危險性評估，提出了一種基于企業(yè)經(jīng)濟損失的漏洞危險性評估方法。使用貝葉斯攻擊圖模型，并結合企業(yè)網(wǎng)絡系統(tǒng)環(huán)境變化進行動態(tài)安全風險評估。最后，通過案例研究說明了提出的動態(tài)安全風險評估方法的具體計算過程，并且使用仿真實驗說明了提出的方法更加切合被評估網(wǎng)絡或信息系統(tǒng)遭受攻擊的真實情況，評估結果更加客觀準確。

網(wǎng)絡管理；網(wǎng)絡安全風險評估；漏洞評估；貝葉斯攻擊圖；層次分析法

1　引言

隨著計算機技術和網(wǎng)絡技術的快速發(fā)展，計算機以及網(wǎng)絡的應用已經(jīng)深入到社會生活的各個方面。然而，由于網(wǎng)絡系統(tǒng)存在著安全漏洞，網(wǎng)絡攻擊的種類和數(shù)量成倍增加，使得網(wǎng)絡安全問題越來越嚴重[1]。典型案例有：2014年3月，國內(nèi)安全漏洞檢測平臺“烏云”公布攜程網(wǎng)安全支付日志可下載，導致大量用戶銀行卡信息遭泄漏，包含持卡人姓名、身份證、銀行卡號等，泄漏原因是由于保存支付日志的服務器存在目錄漏洞。2012年7月黑客們利用特殊的SQL（structured query language）注入方式滲透到雅虎網(wǎng)站以獲取信息，雅虎45.34萬名用戶的認證信息被泄漏。

網(wǎng)絡安全事件給企業(yè)造成了巨大的經(jīng)濟損失。根據(jù)2013年全球企業(yè)IT安全風險調(diào)查[2]，一次成功的有目標性的攻擊事件給大型企業(yè)造成的直接財產(chǎn)損失及額外費用損失總計為240萬美元，給中小型企業(yè)造成的損失為9.2萬美元[3]。因此，網(wǎng)絡安全已經(jīng)成為影響國家和社會經(jīng)濟發(fā)展的重要因素。

為解決網(wǎng)絡安全問題，進行安全管理和控制，網(wǎng)絡安全風險評估已經(jīng)成為信息安全領域的一個研究熱點。安全風險評估的結果不僅反映了網(wǎng)絡或信息系統(tǒng)的安全狀況，同時也預測了網(wǎng)絡未來面臨攻擊的可能性以及這些可能發(fā)生的攻擊所帶來的風險，是安全管理員采取進一步安全風險控制措施的主要依據(jù)。當前的網(wǎng)絡安全風險評估方法主要利用攻擊樹、攻擊圖和Petri網(wǎng)等模型對網(wǎng)絡攻擊進行建模，分析各種可能的攻擊以及攻擊之間的關聯(lián)關系。這些模型主要從網(wǎng)絡中存在的漏洞以及漏洞的關聯(lián)利用角度對網(wǎng)絡結點的攻擊概率進行量化評估。

網(wǎng)絡安全風險評估的一個重要方面是對網(wǎng)絡中存在的安全漏洞進行評估。對安全漏洞的有效評估能夠提高漏洞補丁和系統(tǒng)安全加固的有效性，這方面的典型是通用漏洞評分系統(tǒng)（common vulnerability scoring system，CVSS）[4-5]。CVSS是由美國信息安全響應與安全組和通用安全漏洞評分系統(tǒng)專家組于2007年聯(lián)合發(fā)布的漏洞評估標準，目前的通用標準是版本二，并于2014年6月公布了版本三的初稿[6]。CVSS從技術的角度利用定量分值劃定漏洞的危險性等級，在一些公共可用漏洞數(shù)據(jù)庫和掃描工具中，常見CVSS方法的使用。CVSS通過3個度量組評估一個漏洞的危險性，分別是基礎度量組、時間度量組和環(huán)境度量組。然而在實際情況中，通常只是使用基礎度量組，時間度量組和環(huán)境度量組并不具有普遍適用性[7]。

由于沒有考慮受到漏洞影響的企業(yè)機構的環(huán)境特征，在不同企業(yè)環(huán)境中，利用CVSS往往計算得到相同的漏洞危險性分值。然而在現(xiàn)實環(huán)境中，漏洞對各種不同企業(yè)機構造成的影響有著很大不同。之前的某些研究工作也提出了這個問題，并且建議慎重使用CVSS的方法判定漏洞的危險性[8]。而且，技術上危險的漏洞不一定會給企業(yè)機構造成很大的經(jīng)濟影響，這一點并不罕見[9]。當前的網(wǎng)絡安全風險評估方法，比如攻擊樹和攻擊圖模型的基礎是先對網(wǎng)絡中存在的安全漏洞進行危險性評估。然而，目前工作的缺點是在計算某個結點的危險性（攻擊者到達該結點的概率）時，只是使用了漏洞的CVSS基礎分值，忽略了漏洞在特定企業(yè)環(huán)境下的特征，比如企業(yè)的機密性、完整性和可用性需求，以及漏洞給企業(yè)造成的經(jīng)濟損失。因為對漏洞的危險性評估不準確，所以無法得出準確的符合企業(yè)實際情況的網(wǎng)絡安全風險評估結果。

綜上所述，為了制定可靠的符合企業(yè)實際情況的網(wǎng)絡安全風險評估方法，有必要充分考慮特定企業(yè)的環(huán)境背景信息。首先應該依據(jù)企業(yè)環(huán)境特點評估漏洞的危險性，然后再在企業(yè)內(nèi)部進行網(wǎng)絡安全風險評估?；谝陨嫌^察，本文的主要貢獻如下：

（1）為安全漏洞危險性評估，提出了一個以企業(yè)經(jīng)濟損失為決定因素的度量標準集合。

（2）為進行定量的安全漏洞危險性評估，提出了一種整合CVSS度量標準、企業(yè)經(jīng)濟損失度量標準和企業(yè)安全性需求度量標準的量化方法。

（3）在前兩點的基礎上，提出了一種動態(tài)安全風險評估方法，該方法可以結合企業(yè)的環(huán)境變化進行動態(tài)的網(wǎng)絡安全風險評估。

本文組織結構如下:第2章介紹相關研究工作；第3章是安全漏洞危險性評估的內(nèi)容，包括經(jīng)濟損失度量標準和定量的漏洞危險性評估方法；第4章是動態(tài)安全風險評估的內(nèi)容，包括模型的建立和動態(tài)安全風險評估方法；第5章通過案例研究說明具體的計算過程和提出方法的有效性；第6章總結本文的工作，并對未來的研究進行展望。

2　相關工作

2.1安全漏洞評估

安全漏洞評估方面的研究工作從2009年開始逐漸增多[10]。為評估系統(tǒng)漏洞的嚴重性，楊宏宇等人[11]提出了一種基于灰色評估方法和層次分析法的量化評估模型。劉奇旭等人[10]選取訪問途徑，利用復雜度和影響程度作為3組評估漏洞威脅性的要素，采用層次分析法建立評估模型，將安全漏洞危害等級劃分為超危、高危、中危和低危4個級別。Allodi等人[12]使用醫(yī)學上的“病例對照研究”方法比較漏洞的嚴重性和可利用性。Huang等人[13]使用模糊層次分析法評估軟件漏洞的安全等級，并且進一步考慮現(xiàn)實中的人類主觀性，強調(diào)影響信息安全不同因素之間的關系，改進了傳統(tǒng)的模糊綜合決策模型，提出模糊積分決策模型。

Liu等人[14]在已有漏洞等級系統(tǒng)的基礎上，提出了一種新的漏洞等級評分系統(tǒng)（vulnerability rating and scoring system，VRSS），VRSS結合了已有漏洞等級系統(tǒng)的優(yōu)勢，能夠定性地劃定漏洞威脅性等級，并且定量地給漏洞評分。為進一步提高漏洞評分的質(zhì)量，Liu等人[15]在VRSS的基礎上，使用層次分析法，通過漏洞類型給漏洞劃定等級，定量描述漏洞類型的特征，從而提高了漏洞評分的質(zhì)量。

2.2網(wǎng)絡安全風險評估

傳統(tǒng)的網(wǎng)絡安全風險評估方法主要利用攻擊樹[16-17]、攻擊圖[1,18-19]和Petri網(wǎng)[20]等模型對網(wǎng)絡攻擊進行建模，分析各種可能的攻擊以及攻擊之間的關聯(lián)關系。這些模型主要從網(wǎng)絡中存在的脆弱點以及脆弱點的關聯(lián)利用角度對網(wǎng)絡結點的攻擊概率進行量化評估。

為了進一步研究網(wǎng)絡攻擊中存在的不確定性因素，一些概率模型被提出用于研究網(wǎng)絡安全風險的定量評估問題，包括馬爾科夫決策過程模型、貝葉斯網(wǎng)絡、貝葉斯攻擊圖等模型。這些模型對網(wǎng)絡攻擊存在的不確定因素進行了建模。例如，Dantu等人[21]提出了一個評估網(wǎng)絡安全風險的概率模型，利用攻擊圖對網(wǎng)絡脆弱性進行建模，并且應用貝葉斯網(wǎng)絡執(zhí)行網(wǎng)絡安全風險分析。Liu和Man[22]利用貝葉斯網(wǎng)絡對系統(tǒng)中潛在的攻擊路徑建模，提出一種攻擊圖中基于攻擊者知識和攻擊模式的攻擊路徑最優(yōu)化算法[1]，從而進行安全風險評估。在他們的工作中，賦予結點一個概率值來描述在一個結點上攻擊發(fā)生的可能性大小，利用這些概率值，通過貝葉斯網(wǎng)絡計算系統(tǒng)被破壞的可能性。

上述工作往往只能處理網(wǎng)絡系統(tǒng)中較為簡單的情況，屬于靜態(tài)安全風險評估。靜態(tài)安全風險評估的結果雖然準確，但由于網(wǎng)絡安全事件具有的不確定性和突發(fā)性，使得評估結果相對滯后，難以滿足實際需求[3]。針對該問題，Poolsappasit等人[23]介紹了一種貝葉斯攻擊圖模型，并在此基礎上提出了一種動態(tài)安全風險評估方法，其工作與本文的根本區(qū)別在于評估網(wǎng)絡安全風險時，沒有全面考慮企業(yè)的環(huán)境特征。

3　安全漏洞危險性評估

漏洞危險性評估是網(wǎng)絡安全風險評估的基礎。為結合企業(yè)的環(huán)境特征評估漏洞的危險性，首先介紹以漏洞利用給企業(yè)造成的經(jīng)濟損失為決定因素的漏洞危險性評估度量標準集合，然后介紹整合CVSS度量標準、企業(yè)經(jīng)濟損失度量標準和企業(yè)安全性需求度量標準的量化方法，從而定量評估安全漏洞的危險性。

3.1企業(yè)經(jīng)濟損失度量標準

企業(yè)經(jīng)濟損失度量標準關注漏洞利用對企業(yè)的經(jīng)濟影響，目標是把網(wǎng)絡攻擊造成的破壞具體量化成金融數(shù)據(jù)。在詳細敘述度量標準集合之前，首先引入幾個必要條件：

（1）引入新的度量標準之后，漏洞危險性綜合得分應具有多樣性，即應該避免漏洞危險性得分過于集中。

（2）漏洞危險性評分過程不應過于復雜，這一點可以參考CVSS評分原則。

（3）為方便理解，評分在企業(yè)的不同分析人員之間應該保證一致。

3.1.1企業(yè)經(jīng)濟損失等級劃分

相對于定性評級，定量評分過程更加客觀。然而，定量評分卻無法給出漏洞危險性的比較直觀的認識。參考CVSS的漏洞危險性等級劃分原則，本文將經(jīng)濟損失劃分為4個尺度，分別是低級、中級、高級和嚴重級。這樣做的優(yōu)勢有兩點：一是便于在公司內(nèi)部，比較不同的攻擊場景造成的經(jīng)濟損失；二是便于非技術人員，比如企業(yè)管理人員的理解。

由于無法在不同規(guī)模的企業(yè)之間進行絕對的財產(chǎn)損失價值比較，比如十萬人民幣的財產(chǎn)損失對于一個中小型企業(yè)可能屬于高級損失，但是對于一個大型跨國公司可能只是低級損失。因此，提出的4個財產(chǎn)損失定性等級與特定企業(yè)的具體財務制度有關，企業(yè)需要根據(jù)自身的特點定義貨幣區(qū)間閾值，如表1所示，其中定量分值以十進制為單位。

3.1.2企業(yè)經(jīng)濟損失度量標準及計算

本文在Innerhofer等人[24]的實證性研究工作的基礎上定義漏洞經(jīng)濟損失度量標準集合。Innerhofer等人在公共已知安全事件的基礎上，定義了91個經(jīng)濟成本單位。本文對其中的“潛在經(jīng)濟損失”代價進行了整合分類，如圖1所示。每種類型的定義和計算公式如下所述。

Table 1　Enterprise economic loss levels表1　企業(yè)經(jīng)濟損失尺度

Fig.1　Enterprise economic loss metrics圖1　企業(yè)經(jīng)濟損失度量標準

定義1收入損失（revenue loss，RevL）。計算機系統(tǒng)為企業(yè)帶來收益。假設c表示某企業(yè)的客戶數(shù)目，r表示企業(yè)針對一項交易的客戶平均收益。有兩個主要原因會導致企業(yè)收益遭受損失：一是系統(tǒng)服務不可用；二是較長的服務響應時間造成的客戶流失。假設A表示系統(tǒng)服務的可用性，A=1表示系統(tǒng)服務可用，A=0則表示系統(tǒng)服務不可用。那么企業(yè)由于系統(tǒng)服務不可用導致的收入損失為：

定義2聲譽損失（reputation loss，RL）。漏洞利用給企業(yè)造成的聲譽損失較難衡量。通常衡量聲譽損失的方法是通過測量漏洞利用和安全事件對企業(yè)股票的歷史影響。假設ise是漏洞利用對企業(yè)股票價格的平均歷史影響，那么聲譽損失的計算公式為：

其中，Pt是在事故發(fā)生之前，t時間段內(nèi)的平均股票價格；Pafter則是事故發(fā)生之后的股票價格。如果ise≤0，那么ise置0。

定義3客戶損失（customer loss，CL）。企業(yè)發(fā)生的漏洞利用事件被公布之后，對安全性較為敏感的客戶將終止與該企業(yè)的合作，這將導致客戶損失，計算公式為：

其中，ssc是對安全性較為敏感的客戶數(shù)目；arct是企業(yè)在每個時間段t內(nèi)的平均客戶收益。

定義4投資商損失（investor loss，IL）。企業(yè)發(fā)生的漏洞利用事件被公布之后，對安全性敏感的投資商將停止投資該企業(yè)。投資商損失的計算公式為：

其中，ssi是對安全性敏感的投資商數(shù)目；ait是投資商在每個時間段t內(nèi)的平均投資金額。

定義5數(shù)據(jù)損失（data loss，DL）。數(shù)據(jù)泄漏將會給企業(yè)造成財產(chǎn)損失。因數(shù)據(jù)泄漏導致的數(shù)據(jù)損失的計算公式為：

其中，avr是每個數(shù)據(jù)記錄的平均價值；nlr是丟失的數(shù)據(jù)記錄數(shù)目?？梢允褂闷髽I(yè)內(nèi)部的歷史審計數(shù)據(jù)確定avr值。

3.2安全漏洞危險性定量評估方法

為了提出以網(wǎng)絡攻擊事件給企業(yè)造成的經(jīng)濟損失為決定因素的漏洞危險性評估方法，本文從漏洞給企業(yè)造成的經(jīng)濟損失、企業(yè)的安全需求和漏洞的CVSS得分三方面綜合考慮漏洞的危險性。確定了評估漏洞危險性的度量標準為：

（1）企業(yè)經(jīng)濟損失度量標準；

（2）企業(yè)安全需求度量標準；

（3）漏洞的CVSS基礎度量標準。

由于這些度量標準不會平均地影響漏洞的危險性評估，它們需要遵循一個以用戶為中心的方法進行加權，這個方法應該考慮特定用戶的安全需求和企業(yè)環(huán)境的特殊性。3種類型的度量標準都以“代價”作為唯一評判標準，即在理想情況下，如何使得漏洞給企業(yè)造成的代價損失最小。因此，這是一個典型的多準則決策問題（multi-criteria decision-making analysis，MCDA）。MCDA依據(jù)制定的標準給一定數(shù)目的對象排序，在本文中，漏洞就是需要按照標準進行排序的對象。層次分析法（analytic hierarchy process，AHP）就是一種應用最廣、最為準確的MCDA方法，是美國運籌學家Satty教授[25]于20世紀70年代初期提出的。該方法根據(jù)問題的總目標和決策方案分為目標層、準則層和方案層3個層次，然后應用兩兩比較的方法確定決策方案的重要性，從而做出比較滿意的決策。AHP可分為以下4個步驟：

（1）明確問題，建立層次結構；

（2）構造判斷矩陣；

（3）層次單排序及其一致性檢驗；

（4）層次總排序及其組合一致性檢驗。

依據(jù)以上4個步驟，建立的安全漏洞危險性評估方法如圖2所示。

Fig.2　Risk assessment method for security vulnerabilities圖2　安全漏洞危險性評估方法

4　網(wǎng)絡安全風險評估

本章主要內(nèi)容是網(wǎng)絡安全風險評估，也就是在漏洞危險性量化評估的基礎上，對企業(yè)網(wǎng)絡環(huán)境進行安全風險評估。首先介紹相關的定義，然后介紹能夠結合企業(yè)環(huán)境特征進行動態(tài)安全風險評估的方法。

4.1相關定義

定義6原子攻擊（atomic attack）。假設S是網(wǎng)絡屬性的集合，A是一對網(wǎng)絡屬性之間的條件依賴關系，A表示成映射S×S→[0,1]的形式。那么，給定Spre,Spost∈S，a:Spre→Spost稱為一個原子攻擊，假如：

（1）Spre≠Spost；

（2）當Spre=1且Spost=1時，概率A(Spre,Spost)>0；

原子攻擊表明攻擊者成功地以非0概率從屬性Spre到達Spost。第三個條件表明是從Spre直接到達Spost，中間不經(jīng)過其他網(wǎng)絡屬性。另外，一個原子攻擊和一個漏洞利用有關，漏洞利用用ei表示。漏洞利用使得攻擊者從一個網(wǎng)絡狀態(tài)Spre到達另一個網(wǎng)絡狀態(tài)Spost。用t(ei)表示漏洞利用ei的危險性。

定義7貝葉斯攻擊圖（Bayesian attack graph，BAG）[23]。假設S是網(wǎng)絡屬性的集合，A是定義在S上的原子攻擊的集合。一個貝葉斯攻擊圖是一個四元組BAG=(S,τ,ε,P)，其中：

（1）S=Ninternal?Nexternal?Nterminal。 Nexternal是屬性 Si的集合，對于Si的集合，有a∈A|Si=post(a)。Ninternal是屬性 Sj的集合，對于Sj有a1,a2∈A|Sj=pre(a1)∧ post(a2)。 Nterminal是屬性 Sk的集合，對于 Sk有

（2）τ?S×S。假如Spre→Spost∈A，那么有序?qū)?Spre,Spost)∈τ。另外，對于Si∈S，集合(Sj,Si)∈τ}稱為Si的父親結點集合。

（4）P是條件概率分布的集合。每個屬性Sj∈Ninternal?Nterminal都有一個條件概率分布，其值為。

定義8條件概率分布（condition probability distribution，CPD）。設BAG=(S,τ,ε,P)是一個貝葉斯攻擊圖，Sj∈Ninternal?Nterminal。對于Si∈Pa[Sj]，ei是與原子攻擊Si→Sj有關的一個漏洞利用。Sj的條件概率分布為，定義如下：

（1）dj=AND

（2）dj=OR

當涉及到多個漏洞利用時，為了計算條件概率分布，進行如下處理：對于“AND”的情況，每個漏洞利用都是一個獨立事件。破壞目標結點的概率依賴于成功利用單個漏洞利用的概率。因此，應用事件獨立性法則，有：

對于“OR”的情況，這種關系實際上是一種Noisy-OR的關系，在這種情況下有：

4.2網(wǎng)絡安全風險評估方法

網(wǎng)絡安全風險評估是進行網(wǎng)絡安全風險管理的前提和基礎[26]。目前，網(wǎng)絡安全風險評估技術可分為兩大類：靜態(tài)安全風險評估和動態(tài)安全風險評估。

靜態(tài)安全風險評估是對一段較短時間內(nèi)或某一時間點上網(wǎng)絡的安全風險進行評估，評估結果雖然準確，但相對滯后，因此難以滿足實際需求。動態(tài)安全風險評估通過對網(wǎng)絡安全風險演化趨勢的研究，結合網(wǎng)絡環(huán)境變化對一段時間內(nèi)的網(wǎng)絡安全性進行評估，從而把握網(wǎng)絡安全風險隨網(wǎng)絡環(huán)境因素的變化而產(chǎn)生的變化。本文使用的具體方法如下所述。

在網(wǎng)絡系統(tǒng)的生命周期內(nèi)，每個網(wǎng)絡狀態(tài)發(fā)生的概率都會發(fā)生變化。新出現(xiàn)的網(wǎng)絡安全事件會影響攻擊發(fā)生的可能性。本文通過使用貝葉斯攻擊圖模型計算后驗概率，從這些新出現(xiàn)的網(wǎng)絡安全事件中評估網(wǎng)絡的安全風險。

假設S={S1,S2,…,Sn}是貝葉斯攻擊圖中屬性的集合。而E={S1′,S2′,…,Sm′}?S是S的一個子集，這個集合中的屬性表示已經(jīng)發(fā)生的攻擊事件，這些屬性稱為“證據(jù)”，即對于所有的Si′∈E，有Si′=1?，F(xiàn)有Sj∈S-E，需要確定Sj的后驗概率。根據(jù)貝葉斯定理，有：

5　案例研究

5.1案例分析

以圖3所示的一個小型貝葉斯攻擊圖為例，詳細說明本文網(wǎng)絡安全風險評估方法的計算過程。在圖3中，結點A表示“遠程攻擊者”，結點B表示“Web服務器上存在一個緩沖區(qū)溢出漏洞（CVE-2014-5328）”，結點C表示“SSHd遠程緩沖區(qū)溢出漏洞”，結點D表示“Web服務器的root權限”。圖3中的邊表示相應的漏洞利用，比如結點A到結點B之間的邊表示“攻擊者利用緩沖區(qū)溢出漏洞發(fā)動攻擊”。每條邊旁邊的數(shù)值是漏洞危險性量化值除以10后得到的結果，這是為了使得分值介于0到1之間。攻擊者的目標是獲得Web服務器的root權限，從而達到破壞的目的。假設在本案例中，對Web服務器的可用性（availability）要求較高，針對這個特點對該網(wǎng)絡結構進行安全風險評估，具體計算過程如下所述。

Fig.3　Bayesian attack graph圖3　貝葉斯攻擊圖

步驟1建立漏洞危險性評估的層次結構。

漏洞CVE-2014-5328的危險性評估的層次結構如圖4所示。

Fig.4　Hierarchical structure of vulnerability severity assessment圖4　漏洞危險性評估層次結構

步驟2構造判斷矩陣。

在本案例中，對Web服務器的可用性要求較高，因此CVSS度量、用戶安全需求和經(jīng)濟損失度量按照1∶2∶1的比例構造準則層對于目標層的重要性判斷矩陣為：

同理，方案層對于準則層的重要性判斷矩陣依次為：

考慮到經(jīng)濟損失度量中數(shù)據(jù)損失占的比例最大，因此收入損失、聲譽損失、客戶損失、投資商損失和數(shù)據(jù)損失按照1∶2∶3∶5∶6的比例構造矩陣C3。

步驟3層次單排序及其一致性檢驗。

步驟4層次總排序及其組合一致性檢驗層次總排序為：

層次總排序組合一致性檢驗C=0,CR=0<0.1。各個度量標準對于漏洞危險性的權重如表3所示。

Table 2　Hierarchical single arrangement and consistency check表2　層次單排序及其一致性檢驗

Table 3　Weights of metrics表3　度量因素權重

步驟5漏洞危險性量化值計算。

假設專家對漏洞CVE-2014-5328的打分樣本矩陣為[5.0 2.9 10.0 6.0 6.0 10.0 10.0 9.5 9.5 10.0 10.0]，那么，漏洞CVE-2014-5328的危險性量化值為：

圖3中其他漏洞的危險性量化值可以使用相同的計算方法得到。

步驟6結點風險值計算。

假設網(wǎng)絡管理員檢測到結點D上發(fā)生了一個網(wǎng)絡攻擊事件，即攻擊者獲得了Web服務器的root權限。結點B的后驗概率計算如下：

其中：

計算得到結點B的后驗概率為0.683 0。值得注意的是，在不考慮Web服務器受到攻擊的情況下，結點B的非條件概率為0.481 0。在考慮了結點D上發(fā)生的攻擊事件之后，結點B的后驗概率變成了0.683 0，比之前有明顯的提高。通過把系統(tǒng)的環(huán)境信息考慮進去之后，就可以對網(wǎng)絡的安全情況進行更加準確有效的評估。

5.2效果測評

本節(jié)以圖5所示的網(wǎng)絡作為被評估網(wǎng)絡進行仿真實驗。假設某中小型企業(yè)X專門為用戶提供在線電子交易業(yè)務。該企業(yè)的網(wǎng)絡拓撲結構如圖5所示。該網(wǎng)絡包含3個子網(wǎng)絡，分別為對外服務區(qū)、內(nèi)部管理區(qū)和內(nèi)部用戶區(qū)，采用3個區(qū)用防火墻進行分割，整個網(wǎng)絡通過網(wǎng)關與Internet相連。其中，對外服務區(qū)主要包括一臺網(wǎng)絡服務器和一臺郵件服務器，這兩臺服務器分別對外和對內(nèi)部用戶提供網(wǎng)絡服務和郵件服務。內(nèi)部管理區(qū)包括一臺文件傳輸服務器、兩臺數(shù)據(jù)庫服務器和兩臺客戶機，其中文件傳輸服務器主要給網(wǎng)絡服務器提供網(wǎng)站相關文件存儲和管理服務，兩臺客戶機可以通過SSH鏈接操作文件傳輸服務器。網(wǎng)絡潛在的攻擊者來自從Internet訪問的外部攻擊者。使用Nessus作為漏洞掃描工具獲得了該網(wǎng)絡中每臺主機/服務器上存在的漏洞信息，如表4所示。

Fig.5　Network topology圖5　網(wǎng)絡拓撲結構

Table 4　Vulnerability information表4　漏洞信息

考慮到企業(yè)X的特點，模擬兩個應用場景進行實驗分析。

場景1該網(wǎng)絡中，網(wǎng)絡服務器只是用于發(fā)布常識性及介紹性的普通網(wǎng)絡服務器，沒有存儲重要的和有價值的數(shù)據(jù)和信息。在這種情況下，企業(yè)對于網(wǎng)絡服務器的可用性需求較高。

場景2該網(wǎng)絡中，網(wǎng)絡服務器承擔網(wǎng)絡的主要服務，網(wǎng)絡服務器發(fā)生崩潰將對企業(yè)造成較大的影響。在這種情況下，企業(yè)對于網(wǎng)絡服務器的可用性和機密性（confidentiality）需求都較高。

使用提出的網(wǎng)絡安全風險評估方法分別計算這兩個場景中的服務器風險量化值，并使用文獻[23]的方法計算兩個場景中的服務器風險量化值，得到結果如表5所示。

Table 5　Risk quantification values of servers表5　服務器風險量化值計算結果

表5展示了本文方法在兩個應用場景中的服務器風險量化值的計算結果。以及參考方法的計算結果。參考方法在兩個應用場景中的結果相同，因此只展示一組結果。從表5中可以看出，文獻[23]的方法由于沒有考慮企業(yè)網(wǎng)絡的安全性需求，在兩個場景中計算得到的各個服務器的風險量化值都是相同的。而使用本文方法，服務器的風險量化值會根據(jù)企業(yè)環(huán)境的不同而不同。例如，在場景2中，網(wǎng)絡服務器承擔網(wǎng)絡的主要服務，是企業(yè)的重要商業(yè)資產(chǎn)，發(fā)生崩潰或者被入侵將會對企業(yè)造成較大的影響，因此在本文方法的計算結果中，網(wǎng)絡服務器在場景2中的風險量化值比在場景1中大。

綜上所述，由于本文提出的網(wǎng)絡安全風險評估方法考慮了企業(yè)網(wǎng)絡環(huán)境的安全需求，涵蓋了環(huán)境威脅信息等因素對結點危險性的影響，使得本文方法更加切合被評估網(wǎng)絡或信息系統(tǒng)的攻擊發(fā)生可能性的真實情況，評估結果更加客觀準確。

6　結束語

在網(wǎng)絡安全管理過程中，網(wǎng)絡安全風險評估是網(wǎng)絡安全管理的前提和基礎。為了制定可靠的、符合企業(yè)實際情況的網(wǎng)絡安全風險評估方法，有必要充分考慮特定企業(yè)的環(huán)境特征。針對該問題，本文提出了依據(jù)企業(yè)環(huán)境特征評估企業(yè)網(wǎng)絡系統(tǒng)安全風險的方法。首先，依據(jù)企業(yè)安全性需求、攻擊事件給企業(yè)造成的經(jīng)濟損失和CVSS基礎度量評估安全漏洞的危險性。然后，使用貝葉斯攻擊圖模型，結合企業(yè)網(wǎng)絡系統(tǒng)的環(huán)境變化進行動態(tài)安全風險評估。最后，通過案例研究說明了具體的計算過程，并通過仿真實驗驗證了與已有方法相比，本文提出的定量評估方法更切合被評估企業(yè)的安全風險狀況，評估結果更為客觀準確。

未來的研究工作將進一步考慮更多可能的企業(yè)經(jīng)濟損失度量標準。另外，如何對攻擊圖的規(guī)模進行簡化也是研究的重點及難點。

[1]Cheng Yexia,Jiang Wen,Xue Zhi,et al.Multi-objective network security evaluation based on attack graph model[J]. Journal of Computer Research and Development,2012,49 (S):23-31.

[2]Global Corporate IT Security Risks:2013[EB/OL].[2015-07-28].http://media.kaspersky.com/en/business-security.

[3]Liu Chenhuizi,Zhang Xuefeng.A dynamic risk assessment method based on hidden Markov model[J].Journal of Xi?an University of Posts and Telecommunications,2012,17(2): 31-36.

[4]Common vulnerability scoring system(CVSS-SIG)[S/OL]. [2015-07-28].http://www.first.org/cvss.

[5]Schiffman M.Common vulnerability scoring system(CVSS) [S/OL].(2011)[2015-07-28].http://www.first.org/cvss/cvssguide.html.

[6]National vulnerability database[DB/OL].[2015-07-28]. http://nvd.nist.gov/.

[7]Frigault M,Wang Lingyu,Singhal A,et al.Measuring network security using dynamic bayesian network[C]//Proceedings of the 4th ACM Workshop on Quality of Protection,Alexandria,USA,Oct 27,2008.New York:ACM, 2008:23-30.

[8]Cheng Pengsu,Wang Lingyu,Jajodia S,et al.Aggregating CVSS base scores for semantics-rich network security metrics[C]//Proceedings of the 2012 IEEE 31st International Symposium on Reliable Distributed Systems,Irvine,USA, Oct 8-11,2012.Piscataway,USA:IEEE,2012:31-40.

[9]Ghani H,Luna J,Suri N.Quantitative assessment of software vulnerabilities based on economic-driven security metrics[C]//Proceedings of the 2013 International Conference on Risks and Security of Internet and Systems,La Rochelle, Oct 23-25,2013.Piscataway,USA:IEEE,2013:1-8.

[10]Liu Qixu,Zhang Chongbin,Zhang Yuqing,et al.Research on key technology of vulnerability threat classification[J]. Journal on Communications,2012,33(S1):79-87.

[11]Yang Hongyu,Xie Lixia,Zhu Dan,et al.A vulnerability severity grey hierarchy analytic evaluation model[J].Journal of University of Electronic Science and Technology of China,2010,39(5):778-782.

[12]Allodi L,Massacci F.Comparing vulnerability severity and exploits using case-control studies[J].ACM Transactions on Information and System Security,2014,17(1):1-20.

[13]Huang C C,Lin F Y,Lin F Y-S,et al.A novel approach to evaluate software vulnerability prioritization[J].Journal of Systems and Software,2013,86(11):2822-2840.

[14]Liu Qixu,Zhang Yuqing.VRSS:a new system for rating and scoring vulnerabilities[J].Computer Communications, 2011,34(3):264-273.

[15]Liu Qixu,Zhang Yuqing,Ying Kong,et al.Improving VRSS-based vulnerability prioritization using analytic hierarchy process[J].Journal of Systems and Software,2012,85(8): 1699-1708.

[16]Vigo R,Nielson F,Nielson H R.Automated generation of attack trees[C]//Proceedings of the 2014 IEEE 27th Computer Security Foundations Symposium,Vienna,Jul 19-22,2014. Piscataway,USA:IEEE,2014:337-350.

[17]Dewri R,Poolsappasit N,Ray I,et al.Optimal security hardening using multi-objective optimization on attack tree models of networks[C]//Proceedings of the 14th ACM Conference on Computer and Communications Security,Alexandria,USA,Oct 29-Nov 2,2007.New York:ACM,2007: 204-213.

[18]Wang L Y,Noel S,Jajodia S.Minimum-cost network hardening using attack graphs[J].Computer Communications, 2006,29(18):3812-3824.

[19]Ammann P,Wijesekera D,Kaushik S.Scalable,graphbased network vulnerability analysis[C]//Proceedings of the 9th ACM Conference on Computer and Communications Security,Washington,Nov 17-21,2002.New York:ACM, 2002:217-224.

[20]Dalton G C,Mills R F,Colombi J M,et al.Analyzing attacks trees using generalized stochastic Petri nets[C]//Proceedings of the 7th IEEE Workshop on Information Assurance,West Point,Jun 21-23,2006.Piscataway,USA:IEEE, 2006:116-123.

[21]Dantu R,Kolan P.Risk management using behavior based Bayesian networks[C]//Proceedings of the 2004 IEEE International Conference on Intelligence and Security Informatics,Apr 5-7,2004:445-449.

[22]Liu Yu,Man Hong.Network vulnerability assessment using Bayesian networks[C]//Proceedings of the SPIE 5812,Data Mining,Intrusion Detection,Information Assurance,and Data Networks Security,Orlando,Mar 28,2005.San Francisco:SPIE,2005:61-71.

[23]Poolsappasit N,Dewri R,Ray I.Dynamic security risk management using Bayesian attack graphs[J].IEEE Transactions on Dependable and Secure Computing,2012,9(1):61-74.

[24]Innerhofer-Oberperfler F,Breu R.An empirically derived loss taxonomy based on publicly known security incidents [C]//Proceedings of the 4th International Conference on Availability,Reliability and Security,Fukuoka,Mar 16-19, 2009.Piscataway,USA:IEEE,2009:66-73.

[25]Saaty T L.How to make a decision:the analytic hierarchy process[J].European Journal of Operational Research,1990, 48(1):9-26.

[26]Clark K,Tyree S,Dawkins J,et al.Qualitative and quantitative analytical techniques for network security assessment [C]//Proceedings of the 5th Annual IEEE SMC Information Assurance Workshop,Hawaii,Jun 10-11,2004.Piscataway,USA:IEEE,2004:321-328.

附中文參考文獻：

[1]程葉霞,姜文,薛質(zhì),等.基于攻擊圖模型的多目標網(wǎng)絡安全評估研究[J].計算機研究與發(fā)展,2012,49(S):23-31.

[3]劉陳卉子,張雪鋒.基于隱馬爾可夫模型的動態(tài)風險評估方法[J].西安郵電學院學報,2012,17(2):31-36.

[10]劉奇旭,張翀斌,張玉清,等.安全漏洞等級劃分關鍵技術研究[J].通信學報,2012,33(Sl):79-87.

[11]楊宏宇,謝麗霞,朱丹,等.漏洞嚴重性的灰色層次分析評估模型[J].電子科技大學學報,2010,39(5):778-782.

YANG Yunxue was born in 1986.She is a Ph.D.candidate at University of Chinese Academy of Sciences.Her research interests include network security risk assessment and cyber insurance,etc.

楊云雪（1986—），女，中國科學院大學博士研究生，主要研究領域為網(wǎng)絡安全風險評估，網(wǎng)絡安全保險等。

LU Xiao was born in 1986.He received the Ph.D.degree in information retrieval from University of Chinese Academy of Sciences in 2014.Now he is an engineer at National Computer Network and Information Security Management Center.His research interests include machine learning and collaborative filtering,etc.

魯驍（1986—），男，2014年于中國科學院大學獲得博士學位，現(xiàn)為國家計算機網(wǎng)絡與信息安全管理中心工程師，主要研究領域為機器學習，協(xié)同過濾等。

DONG Jun was born in 1971.He is an engineer at China Petroleum Pipeline Bureau.He has taken charge of Westto-East gas pipeline project and pipeline project of Libya,etc.

董軍（1971—），男，中國石油天然氣管道局工程師，主持承擔了西氣東輸管道工程，利比亞管道工程等項目。

Network Security RiskAssessment Based on Enterprise Environment?

YANG Yunxue1+,LU Xiao2,DONG Jun3
1.Key Laboratory of Network Data Science and Technology,Institute of Computing Technology,Chinese Academy of Sciences,Beijing 100190,China
2.National Computer Network and Information Security Management Center,Beijing 100029,China
3.China Petroleum Pipeline Bureau,Langfang,Hebei 065000,China

E-mail:yangyunxue@software.ict.ac.cn

This paper studies the issue of network security risk assessment and proposes a method for the network security risk assessment based on enterprise environment.First of all,this paper proposes a vulnerability severity risk assessment method based on economic losses of an enterprise to evaluate the vulnerability severity for the enterprise. Next,this paper proposes a dynamic security risk assessment method by using the Bayesian attack graph model and combining the changes of network environment.Last,the case study interprets the detailed calculation processes of the proposed dynamic security risk assessment method,and the simulation experiment shows that the proposed method conforms to the real threat level of the network or information system evaluated,therefore,the evaluation results are more accurate and objective.

network management;network security risk assessment;vulnerability assessment;Bayesian attack graph;analytic hierarchy process

2015-09,Accepted 2015-11.

10.3778/j.issn.1673-9418.1509088

A

TN915.08

*The National Natural Science Foundation of China under Grant No.61402437(國家自然科學基金).

CNKI網(wǎng)絡優(yōu)先出版:2015-11-11,http://www.cnki.net/kcms/detail/11.5602.TP.20151111.1718.006.html

YANG Yunxue,LU Xiao,DONG Jun.Network security risk assessment based on enterprise environment. Journal of Frontiers of Computer Science and Technology,2016,10(10)：1387-1397.