王 帆 洪 流 顧 欣

(工業(yè)和信息化部電子第五研究所 廣州 510610)

2018年4月20日，在北京召開了全國網(wǎng)絡(luò)安全和信息化工作會議，在會議上，習(xí)總書記指出：“信息化為中華民族帶來了千載難逢的機(jī)遇”，“沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟(jì)社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障”[1].軟件，作為信息系統(tǒng)的重要組成部分，作為信息化發(fā)展的重要基石，軟件是否安全，直接決定了各類信息系統(tǒng)是否安全．信息系統(tǒng)安全了，信息產(chǎn)業(yè)才能健康穩(wěn)定發(fā)展．因此，軟件安全，對我國信息化產(chǎn)業(yè)的安全健康發(fā)展有十分重要的意義[2].

在考察軟件產(chǎn)品安全性時，需要根據(jù)軟件漏洞掃描、挖掘和滲透測試的結(jié)果，計算得到軟件產(chǎn)品的總體風(fēng)險值，以對軟件產(chǎn)品的整體漏洞風(fēng)險情況進(jìn)行把控[3].但在現(xiàn)有安全測試及滲透測試中，通常僅考慮風(fēng)險值最高的漏洞，以該漏洞的風(fēng)險等級作為整個軟件產(chǎn)品的風(fēng)險等級，而不考慮漏洞數(shù)量對軟件產(chǎn)品漏洞風(fēng)險的影響；另一方面，現(xiàn)有的風(fēng)險評估方法中，計算模型過于復(fù)雜，評價參考因素過多，評價周期過長，不利于在有限時間內(nèi)了解軟件產(chǎn)品的安全風(fēng)險[4]情況.因此，本文綜合考慮效率和風(fēng)險分析等方面因素，提出基于Sigmoid函數(shù)[5]的軟件安全風(fēng)險評價算法，將軟件產(chǎn)品中的單個漏洞風(fēng)險與漏洞數(shù)量有機(jī)結(jié)合，以此來反映其整體漏洞風(fēng)險情況.

圖1 Sigmoid函數(shù)曲線圖

1 Sigmoid函數(shù)簡介

Sigmoid函數(shù)是一個在生物學(xué)中常見的S型的函數(shù)，也稱為S型生長曲線.在信息科學(xué)中，由于其單增以及反函數(shù)單增等性質(zhì)，Sigmoid函數(shù)常被用作神經(jīng)網(wǎng)絡(luò)的閾值函數(shù)，將變量映射到0,1之間.

Sigmoid函數(shù)由下列公式定義：

Sigmoid函數(shù)曲線由圖1所示：

由Sigmoid函數(shù)曲線可以看出，在x從0趨近于無窮大的過程中，函數(shù)S(x)的取值從0.5無限趨近于1，因此，當(dāng)漏洞數(shù)量不斷增大時，可以使用該函數(shù)的修改函數(shù)來表現(xiàn)軟件產(chǎn)品風(fēng)險值無限接近于當(dāng)前風(fēng)險等級風(fēng)險值上限的情況.

2 漏洞風(fēng)險評價算法

2.1 漏洞風(fēng)險評價公式編制原則與思路

在對Sigmoid函數(shù)曲線進(jìn)行修改并編制漏洞風(fēng)險評價公式時，需要按照以下3個原則進(jìn)行考量：

1) 漏洞風(fēng)險評價公式應(yīng)遵循信息安全中的木桶原理，風(fēng)險值應(yīng)不低于軟件產(chǎn)品中漏洞風(fēng)險值最高的數(shù)值[6]，當(dāng)產(chǎn)品中存在漏洞等級為高的漏洞時，產(chǎn)品漏洞風(fēng)險等級為高，當(dāng)產(chǎn)品不存在高風(fēng)險漏洞，僅存在中低風(fēng)險漏洞時，則產(chǎn)品的漏洞風(fēng)險等級為中；

2) 漏洞風(fēng)險評價公式應(yīng)考慮到同等級漏洞數(shù)量對整個產(chǎn)品漏洞風(fēng)險的影響，滿足同等級漏洞越多，產(chǎn)品漏洞風(fēng)險越高的判定原則[7]；

3) 曲線的圖形、曲率應(yīng)盡可能貼近真實風(fēng)險情況，鑒于漏洞的數(shù)量只能為整數(shù)，所以風(fēng)險值變化趨勢圖應(yīng)由曲線變?yōu)橛蓴?shù)個點構(gòu)成的折線.

按照CVE中對漏洞風(fēng)險值與風(fēng)險等級的對應(yīng)關(guān)系，當(dāng)漏洞風(fēng)險值評分為0～4(不包括4)時，漏洞等級為低；當(dāng)漏洞風(fēng)險值評分為4～7(不包括7)時，漏洞等級為中；當(dāng)漏洞風(fēng)險值評分為7～10時，漏洞等級為高[8].因此，在以上3個原則和CVE對漏洞等級的評價方法基礎(chǔ)上，確定軟件產(chǎn)品的漏洞風(fēng)險等級為：當(dāng)產(chǎn)品中存在高風(fēng)險漏洞時，產(chǎn)品的漏洞風(fēng)險等級為高；當(dāng)產(chǎn)品中不存在高風(fēng)險漏洞，僅存在中低風(fēng)險漏洞時，產(chǎn)品的風(fēng)險等級為中；當(dāng)產(chǎn)品中僅存在低風(fēng)險漏洞時，產(chǎn)品的風(fēng)險等級為低.在不同的風(fēng)險區(qū)間中，隨著漏洞數(shù)量不斷增大，產(chǎn)品的風(fēng)險值也在各自的區(qū)間內(nèi)不斷遞增，直到逼近其所屬的風(fēng)險等級上限.

2.2 漏洞風(fēng)險評價公式

Sigmoid函數(shù)是在x從0趨近于無窮大的過程中，函數(shù)S(x)的取值從0.5無限趨近于1，其x值的范圍不符合實際漏洞風(fēng)險情況，在實際漏洞風(fēng)險分析中，當(dāng)x=0時，既系統(tǒng)不存在漏洞時，風(fēng)險值應(yīng)當(dāng)為0，因此需要將函數(shù)曲線進(jìn)行移動，將x=0時的S(x)值變?yōu)?，因此公式改變?yōu)?/p>

此時S1(x)的取值范圍為0無限趨近于0.5，將公式值乘以2以取整，便于漏洞的計算，此時公式改變?yōu)?/p>

此時S2(x)的取值范圍為0無限趨近于1，根據(jù)漏洞風(fēng)險值取值不低于存在的風(fēng)險最高漏洞的風(fēng)險值，不超過當(dāng)前區(qū)間范圍的原則，需要將S2(x)的取值范圍進(jìn)行擴(kuò)充，引入m值，m代表當(dāng)前系統(tǒng)中存在的漏洞中最高的風(fēng)險值，因此，對于存在高風(fēng)險漏洞的系統(tǒng)，其漏洞風(fēng)險值f(x)的取值范圍應(yīng)為從m無限趨近于10，對于不存在高風(fēng)險漏洞但存在中風(fēng)險漏洞的系統(tǒng)，其漏洞風(fēng)險值f(x)的取值范圍應(yīng)為從m無限趨近于7，對于僅存在低風(fēng)險漏洞的系統(tǒng)，其漏洞風(fēng)險值f(x)的取值范圍應(yīng)為從m無限趨近于4.

因此，將漏洞風(fēng)險評價公式按照風(fēng)險等級高、中、低3個區(qū)域分別制定各自區(qū)域的公式，其中高風(fēng)險級別風(fēng)險值計算公式為

其中,x為高風(fēng)險漏洞數(shù)量，m為高風(fēng)險漏洞中最高的風(fēng)險值，7≤m≤10.高風(fēng)險級別的產(chǎn)品漏洞風(fēng)險折線圖如圖2所示(以m=8為例)：

圖2 m=8的軟件漏洞風(fēng)險折線圖

中風(fēng)險級別風(fēng)險值計算公式為

其中,x為中風(fēng)險漏洞數(shù)量，m為中風(fēng)險漏洞中最高的風(fēng)險值，4≤m<7.中風(fēng)險級別的產(chǎn)品漏洞風(fēng)險折線圖如圖3所示(以m=4為例)：

圖3 m=4的軟件漏洞風(fēng)險折線圖

低風(fēng)險級別風(fēng)險值計算公式為

其中,x為低風(fēng)險漏洞數(shù)量，m為低風(fēng)險漏洞中最高的風(fēng)險值，0≤m<4.低風(fēng)險級別的產(chǎn)品漏洞風(fēng)險折線圖如圖4所示(以m=2為例)：

圖4 m=2的軟件漏洞風(fēng)險折線圖

根據(jù)3個風(fēng)險等級的計算公式，可以將掃描出的CVE漏洞的數(shù)量及漏洞中的最高風(fēng)險值帶入公式進(jìn)行計算，就可以得出相應(yīng)模塊的漏洞風(fēng)險值，便于對軟件產(chǎn)品各模塊代碼的安全性進(jìn)行比較，從而評判出各模塊代碼的安全狀況.便于開發(fā)人員整體把控軟件產(chǎn)品的安全性，快速定位安全性最差的代碼模塊，提高軟件產(chǎn)品的整體安全狀況.

3 結(jié)果比較

本文以之前進(jìn)行過安全測試的某系統(tǒng)為例，在使用市面上某款漏洞掃描軟件進(jìn)行掃描時，得到的掃描結(jié)論如圖5所示.從中可以看出，風(fēng)險分?jǐn)?shù)為1 024時，安全狀態(tài)為極度危險，但無法判斷該系統(tǒng)在極度危險中的危險程度.

圖5 漏洞掃描結(jié)果圖

查看系統(tǒng)中漏洞風(fēng)險值最高的漏洞情況，如圖6所示:

圖6 最高風(fēng)險值漏洞情況

從圖6可以看出風(fēng)險值最高的漏洞，其風(fēng)險值為9，屬于高風(fēng)險區(qū)間，因此使用7≤m≤10時的公式進(jìn)行風(fēng)險計算.此時根據(jù)漏洞掃描的結(jié)果，x取值為21，計算風(fēng)險值如下：

最終計算得到結(jié)果：f(x)=9.999 9，約等于最高風(fēng)險值10.從實際狀況也可以看出，該系統(tǒng)由于存在21個高風(fēng)險漏洞，且漏洞的風(fēng)險值很高，因此也處于極度危險的情況，風(fēng)險計算出的得分與實際情況相符，且該風(fēng)險值能夠便于管理員更好地了解風(fēng)險嚴(yán)重程度.

4 總 結(jié)

隨著信息化發(fā)展的不斷加深，信息安全的重要性也越來越得到社會各界的重視，軟件作為信息化產(chǎn)業(yè)的重要環(huán)節(jié)，軟件產(chǎn)品的信息安全也具有十分重要的意義.根據(jù)上述章節(jié)中的軟件漏洞風(fēng)險計算公式，得到在軟件開發(fā)過程中各模塊代碼的風(fēng)險情況，便于提高軟件的代碼質(zhì)量，增強(qiáng)軟件安全性.在下一步研究工作中，將對漏洞風(fēng)險分析公式進(jìn)行進(jìn)一步細(xì)化，增加同威脅級別的漏洞相關(guān)性考量，使公式能夠更加準(zhǔn)確地體現(xiàn)和反映代碼的漏洞風(fēng)險，更好地為國家信息化安全穩(wěn)定發(fā)展服務(wù).