方 明 ，呂立昌

（1.91977部隊(duì)，北京 100841；2.海軍參謀部直屬工作局，北京 100841）

0 引 言

隨著技術(shù)不斷滲透到現(xiàn)代社會中，這些系統(tǒng)的安全性和信任度成為一個日益重要的問題。同時，技術(shù)的發(fā)展也為針對政府機(jī)構(gòu)及社會組織的攻擊方法產(chǎn)生相應(yīng)的變化，這為我們當(dāng)今的網(wǎng)絡(luò)系統(tǒng)安全帶來嚴(yán)重的挑戰(zhàn)。解決此類挑戰(zhàn)的傳統(tǒng)方法是對目標(biāo)網(wǎng)絡(luò)實(shí)施安全風(fēng)險評估過程，包括：識別關(guān)鍵資產(chǎn)；識別系統(tǒng)面臨的主要威脅；成功攻擊的可能性以及可能造成的危害。在風(fēng)險評估過程實(shí)施后，我們才可以選擇適當(dāng)?shù)娘L(fēng)險管控方法對網(wǎng)絡(luò)系統(tǒng)風(fēng)險進(jìn)行控制。物聯(lián)網(wǎng)系統(tǒng)通過一系列的智能化平臺以及無處不在的數(shù)字連接來為社會服務(wù)，它不僅僅是一個網(wǎng)絡(luò)物理系統(tǒng)，同時也是一個社會系統(tǒng)。這種無處不在的數(shù)據(jù)連接可以使得在處理時間、自動化程度上有很大差異的系統(tǒng)之間發(fā)生聯(lián)系。然而，從安全和信任管理的角度來看，物聯(lián)網(wǎng)面臨的挑戰(zhàn)是，現(xiàn)有的風(fēng)險評估方法是在此之前建立的。因此，可能無法滿足這些復(fù)雜、廣泛存在、高自動化程度系統(tǒng)的風(fēng)險評估需求。所以，當(dāng)采用這些方法進(jìn)行物聯(lián)網(wǎng)風(fēng)險評估時，可能會使我們無法識別其系統(tǒng)環(huán)境中出現(xiàn)的新風(fēng)險。物聯(lián)網(wǎng)風(fēng)險分析過程可能與網(wǎng)絡(luò)攻擊有關(guān)，同時也可能與社會過程（例如，社交媒體中的病毒效應(yīng)）。

在本文中我們分析了現(xiàn)有安全風(fēng)險評估方法不適用于物聯(lián)網(wǎng)系統(tǒng)的原因，并強(qiáng)調(diào)物聯(lián)網(wǎng)系統(tǒng)急需一種合適的風(fēng)險評估方法來支撐物聯(lián)網(wǎng)系統(tǒng)的信任體系。只有通過調(diào)研各行各業(yè)的物聯(lián)網(wǎng)使用情況，并積極與政府和學(xué)術(shù)界合作才能制定此類新的針對物聯(lián)網(wǎng)的風(fēng)險評估方法，只有這樣，我們才能更好的應(yīng)對物聯(lián)網(wǎng)所面臨的安全威脅。

1 現(xiàn)有互聯(lián)網(wǎng)安全風(fēng)險評估范例

1.1 風(fēng)險評估的核心概念

風(fēng)險評估通常被理解為識別，估計(jì)和優(yōu)先考慮組織資產(chǎn)和運(yùn)營風(fēng)險的過程。這是風(fēng)險管理中的一項(xiàng)關(guān)鍵活動，因?yàn)樗鼮橐炎R別的風(fēng)險提供了安全分析的基礎(chǔ)。處理風(fēng)險的措施包括：考慮到組織的風(fēng)險偏好，風(fēng)險在可接受水平的情況下接受風(fēng)險；使用安全控制措施降低風(fēng)險；通過購買網(wǎng)絡(luò)保險進(jìn)行風(fēng)險轉(zhuǎn)移；或通過刪除受影響的資產(chǎn)來避免風(fēng)險。風(fēng)險評估中有幾個核心概念，例如資產(chǎn)，漏洞，威脅，攻擊可能性，影響或網(wǎng)絡(luò)危害。資產(chǎn)可以定義為任何對于組織有價值的項(xiàng)，并且每一種資產(chǎn)擁有許多不同的屬性。例如，資產(chǎn)可以是有形的（例如，技術(shù)基礎(chǔ)設(shè)施）或無形的（信譽(yù)或業(yè)務(wù)流程），或者它們可以是系統(tǒng)內(nèi)的小組件或者是系統(tǒng)本身。漏洞是指那些可以非法獲得資產(chǎn)的方法，我們可以設(shè)置漏洞防護(hù)工具保護(hù)資產(chǎn)。威脅是可能對資產(chǎn)產(chǎn)生負(fù)面影響的行為，通常涉及利用漏洞。這些行為可能是故意的（例如，竊取公司數(shù)據(jù)）或意外的（例如，成為社會工程攻擊的受害者）。網(wǎng)絡(luò)風(fēng)險是這些概念的組合，并考慮威脅或成功攻擊發(fā)生的可能性，以及可能導(dǎo)致資產(chǎn)的危害。

1.2 風(fēng)險評估方法

盡管已明確定義了網(wǎng)絡(luò)安全風(fēng)險評估背后的基本流程，但其子流程的實(shí)施方式仍具有合理的靈活性。這種靈活性導(dǎo)致了用于進(jìn)行風(fēng)險評估的若干不同方法。這些因素根據(jù)背景以及評估所針對的組織類型而有所不同。這些風(fēng)險評估的主流方法包括：NIST SP800-30，ISO/IEC 27001，OCTAVE，CRAMM and EBIOS[1]，這些方法都在組織內(nèi)定期應(yīng)用，以評估風(fēng)險。鑒于風(fēng)險評估方法的種類繁多，我們應(yīng)該分別考慮這些風(fēng)險評估方法的某一方面，以分析這些方法的優(yōu)劣。其中兩個最重要的方面是方法的性質(zhì)以及它如何衡量風(fēng)險；這些可以在最近的調(diào)查工作中看到[2]。就方法的性質(zhì)而言，我們特別考慮這樣一個事實(shí)，即某些風(fēng)險評估流程以關(guān)鍵資產(chǎn)及其對資產(chǎn)可能發(fā)生的危害為基礎(chǔ)。NIST方法是其中之一，因此，其第一步是識別威脅源和事件[3]。在此之后，它主張?jiān)诖_定風(fēng)險之前確定可能被利用的漏洞以及威脅事件的相應(yīng)可能性和影響。然而，諸如OCTAVE之類的其他方法強(qiáng)調(diào)首先識別關(guān)鍵資產(chǎn)，然后根據(jù)這些資產(chǎn)如何受到威脅以及威脅的結(jié)果向外構(gòu)建風(fēng)險評估模型[1]，通過這個過程，可以了解風(fēng)險。以資產(chǎn)為導(dǎo)向的方法的好處是，它確保評估過程是以關(guān)鍵資產(chǎn)為中心，而非短暫威脅為指導(dǎo)的，而面向威脅的方法往往更好地迎合當(dāng)前的威脅形勢。定性的衡量風(fēng)險的方式也是一個有爭議的領(lǐng)域。關(guān)于威脅的可能性和影響的評級，定性測量-例如，高，中，低的變化-可以在大多數(shù)流行的定性的衡量方法中找到（例如，NIST SP800-30，ISO/IEC 27001，OCTAVE）。其好處在于直觀性，包括設(shè)定風(fēng)險偏好，衡量風(fēng)險（通過威脅可能性和影響評級的組合），以及將風(fēng)險信息逐級傳遞。然而，定性方法的缺點(diǎn)是其主觀性和缺乏精確性[2]。例如，一個人對威脅的看法可能不符合他人的觀點(diǎn)。因此，人們提出了許多定量的風(fēng)險評估方法來解決這一問題，這些方法的特點(diǎn)是引入概率來衡量風(fēng)險值。雖然這些方法能夠部分解決這一問題，但它們往往會引發(fā)其他重要問題。其中最常見的是分析的復(fù)雜性（容易出錯并且難以與他人溝通），以及準(zhǔn)確估計(jì)威脅事件發(fā)生概率和影響價值的準(zhǔn)確性（缺乏足夠的數(shù)據(jù)）。這些方面限制了定量分析技術(shù)的應(yīng)用，并且在復(fù)雜且高度互連的系統(tǒng)中很少有已知的實(shí)用或成功案例。除了上面提到的區(qū)別因素之外，還有一些其他領(lǐng)域有助于衡量風(fēng)險值的評估方法，并且適用于我們的物聯(lián)網(wǎng)環(huán)境。文獻(xiàn)[2]的方法適用于風(fēng)險傳播或依賴的程度以及如何評估組織基礎(chǔ)設(shè)施中的各種資源以及從何種角度進(jìn)行評估；并且該方法優(yōu)先考慮降低已知系統(tǒng)風(fēng)險，或?qū)⒎治鰯U(kuò)展到未來情景并根據(jù)過去的經(jīng)驗(yàn)進(jìn)行假設(shè)。

2 物聯(lián)網(wǎng)的相關(guān)動態(tài)

就其本質(zhì)而言，物聯(lián)網(wǎng)是一種復(fù)雜的技術(shù)范例。這種復(fù)雜性通過其各種應(yīng)用（從物流和制造，到醫(yī)療保健和智能基礎(chǔ)設(shè)施）部分地在圖1中描述。

圖1 物聯(lián)網(wǎng)系統(tǒng)中常見的組件陣列[4]

從風(fēng)險評估和信任的角度來看，物聯(lián)網(wǎng)的動態(tài)特別令人感興趣，原因有幾個。在下文中，我們通過檢查物聯(lián)網(wǎng)的動態(tài)來補(bǔ)充我們的風(fēng)險評估方法，這為我們在第3節(jié)中的核心論點(diǎn)奠定了基礎(chǔ)。

關(guān)于物聯(lián)網(wǎng)的第一點(diǎn)注意事項(xiàng)是設(shè)備和系統(tǒng)中規(guī)模的可變性。物聯(lián)網(wǎng)的一個主要優(yōu)勢是它能夠擴(kuò)展（或縮?。┮?guī)模，并適應(yīng)各種新系統(tǒng)和“事物”，如圖1所示。實(shí)際上，物聯(lián)網(wǎng)發(fā)展的本質(zhì)是在最廣泛的視角上擴(kuò)展我們的環(huán)境和基礎(chǔ)設(shè)施。我們正在目睹數(shù)字功能的加入，這使得我們可以在構(gòu)建世界的任何方面實(shí)現(xiàn)遠(yuǎn)程控制和協(xié)作，從某種意義上說，沒有任何東西會超出未來的物聯(lián)網(wǎng)。物聯(lián)網(wǎng)的另一個特點(diǎn)是它的設(shè)備之間動態(tài)連接的時間性[4]。物聯(lián)網(wǎng)設(shè)備可以松散耦合以執(zhí)行某些任務(wù)并在連接完成后中斷連接，或者持久的連接。鑒于對風(fēng)險的影響（例如，未經(jīng)授權(quán)的設(shè)備持久的連接），因此了解特定物聯(lián)網(wǎng)所需的時間性級別非常重要。物聯(lián)網(wǎng)風(fēng)險評估的最后一個特征因素是支持這種設(shè)備連接關(guān)系的管理和控制活動所需的資源。

有限的資源將意味著物聯(lián)網(wǎng)設(shè)備可能被迫采用有限的連接關(guān)系；或者，它們可以與云系統(tǒng)耦合（見圖1），這也需要對風(fēng)險進(jìn)行評估。能夠在物聯(lián)網(wǎng)生態(tài)系統(tǒng)內(nèi)進(jìn)行交互設(shè)備之間的異質(zhì)性也是一個重要特征。物聯(lián)網(wǎng)設(shè)備通?？梢钥缃M織訪問，并且可以在線進(jìn)行唯一的尋址。在允許松散耦合的情況下，可以有任何數(shù)量或類型的參與者，無論是設(shè)備，人員還是系統(tǒng)，與他們交互或者與他們的資產(chǎn)進(jìn)行交互圖1，這在物聯(lián)網(wǎng)的角度來看這是理想的，但這種交互通常是允許適應(yīng)任務(wù)的，正如我們將在第4節(jié)中討論的那樣，從信任的角度來看，它有許多缺點(diǎn)，因?yàn)檫@為信任管理帶來了問題，參與者的異質(zhì)性意味著可能形成惡意關(guān)系[5]。此外，由于某些關(guān)系可能是自發(fā)的或時間性的，因此跟蹤行為不端的參與者可能具有挑戰(zhàn)性，并且由于風(fēng)險可能分布在各種設(shè)備上，因此難以確定風(fēng)險的位置或傳播。在物聯(lián)網(wǎng)的討論中經(jīng)常被忽視的一個因素是綁定這些系統(tǒng)的基礎(chǔ)設(shè)施，特別是那些物理網(wǎng)絡(luò)或網(wǎng)絡(luò)社交系統(tǒng)。如果我們反思物聯(lián)網(wǎng)系統(tǒng)的安全性和信任策略的研究和實(shí)踐狀況，我們可以看到有大量的工作都集中在設(shè)備組件和接口上[5]。然而，實(shí)際情況是，這些設(shè)備綁定的過程以及允許它們耦合和操作的連接關(guān)系也是重要的考慮因素。

3 當(dāng)前的風(fēng)險評估方法在物聯(lián)網(wǎng)的應(yīng)用

物聯(lián)網(wǎng)系統(tǒng)的動態(tài)特性將使得使用當(dāng)前的網(wǎng)絡(luò)風(fēng)險評估方法對其進(jìn)行風(fēng)險評估具有挑戰(zhàn)性，如果我們要在物聯(lián)網(wǎng)環(huán)境中實(shí)現(xiàn)信任，我們必須處理一些關(guān)鍵因素。

3.1 定期評估

系統(tǒng)風(fēng)險的定期評估通常是由于組織先前的風(fēng)險評估可能不再有效而引發(fā)的。這些觸發(fā)因素包括系統(tǒng)的重大變化、業(yè)務(wù)流程的變化、威脅情報以及發(fā)現(xiàn)系統(tǒng)新漏洞。當(dāng)然，即使依據(jù)以上這些因素，我們?nèi)匀挥锌赡軐?shí)際的風(fēng)險威脅識別錯誤，或者我們?nèi)淌墚?dāng)前的風(fēng)險情況不觸發(fā)定期風(fēng)險評估，并導(dǎo)致風(fēng)險的發(fā)生。定期風(fēng)險評估方法不適用于物聯(lián)網(wǎng)的原因在于，由于物聯(lián)網(wǎng)的動態(tài)性質(zhì)，評估方法的周期性已經(jīng)是一個明顯的弱點(diǎn)[6]。例如，物聯(lián)網(wǎng)系統(tǒng)規(guī)模的可變性意味著在定期評估之間出現(xiàn)新系統(tǒng)的可能性非常高。為了風(fēng)險評估的有效性，定期風(fēng)險評估需要能夠預(yù)測在下一次評估之前可能出現(xiàn)的新系統(tǒng)的一些特性然而這是極具挑戰(zhàn)性的，而且目前的方法通常不支持[6]。

3.2 系統(tǒng)邊界的改變對系統(tǒng)的影響

風(fēng)險評估目前側(cè)重于確定存在的系統(tǒng)風(fēng)險，到目前為止，全面了解一個網(wǎng)絡(luò)系統(tǒng)的安全環(huán)境仍然是一個十分困難的問題[6]。然而即使有一種方法可以全面了解系統(tǒng)的安全環(huán)境，但這對于物聯(lián)網(wǎng)來說也是不足夠的，因?yàn)橄到y(tǒng)可能會很快地改變形狀。即使我們能夠增強(qiáng)當(dāng)前技術(shù)以考慮潛在的變化，我們?nèi)詫⒚媾R轉(zhuǎn)移系統(tǒng)邊界的挑戰(zhàn)。 變化的頻率可能很高，以至于我們將被迫以有限的系統(tǒng)知識來管理風(fēng)險。

對于物聯(lián)網(wǎng)而言，風(fēng)險評估策略必須實(shí)現(xiàn)從系統(tǒng)細(xì)節(jié)中抽象出風(fēng)險特征的方法，以保證風(fēng)險評估的正確性。風(fēng)險評估策略可能面臨的困難是，這最初將導(dǎo)致識別更多潛在風(fēng)險，然而這些風(fēng)險中的絕大多數(shù)都不會實(shí)現(xiàn)。毫無疑問，這將迫使采用威脅情報來完善這些評估。在這種情況下，我們可以使用智能威脅識別系統(tǒng)，一邊啟用運(yùn)行智能威脅識別系統(tǒng)對物聯(lián)網(wǎng)進(jìn)行風(fēng)險評估。

3.3 連入網(wǎng)絡(luò)基礎(chǔ)設(shè)施的挑戰(zhàn)

很明顯，物聯(lián)網(wǎng)以及構(gòu)成網(wǎng)絡(luò)環(huán)境的各種大量設(shè)備之間將創(chuàng)建大量連接。這些連接不僅能夠?qū)崿F(xiàn)網(wǎng)絡(luò)通信的基礎(chǔ)設(shè)施，而且還有物聯(lián)網(wǎng)的許多優(yōu)勢，比如：更好的信息，更強(qiáng)的環(huán)境意識以及更快地采取更高質(zhì)量行動的能力。我們需要認(rèn)識到這樣一個事實(shí)，即這種基礎(chǔ)設(shè)施不僅在協(xié)議和通信標(biāo)準(zhǔn)中被制定，而且它也在系統(tǒng)的每個參與者中運(yùn)行。物聯(lián)網(wǎng)的參與者如何處理他們收到的數(shù)據(jù)，以及他們?nèi)绾雾憫?yīng)和采取行動，這些參與者本身的行為將對系統(tǒng)產(chǎn)生影響，而這些影響將是其他物聯(lián)網(wǎng)參與者的輸入。如果可以預(yù)測這些不同層次參與者以及他們的行為是如何傳遞的，那么人們可以設(shè)法利用這些參與者的行為用于惡意的目的。不幸的是，沒有現(xiàn)有的風(fēng)險評估實(shí)踐試圖考慮到這種情況。

3.4 攻擊平臺的定義

當(dāng)前風(fēng)險評估方法不適用于物聯(lián)網(wǎng)的一個關(guān)鍵因素是網(wǎng)絡(luò)資產(chǎn)只被視為有價值的實(shí)體（因此受到保護(hù)）而并未將資產(chǎn)視為攻擊平臺。舉個例子，當(dāng)一個公司收購一些資產(chǎn)時，他們會對這些資產(chǎn)進(jìn)行評估，以避免由于這些收購的資產(chǎn)可能產(chǎn)生的監(jiān)管風(fēng)險。如果這種風(fēng)險出現(xiàn)并讓利益相關(guān)者了解，一些組織也可能尋求增加公司的無形成本。我們特別在物聯(lián)網(wǎng)環(huán)境中提出這一點(diǎn)，因?yàn)槲锫?lián)網(wǎng)環(huán)境將許多新設(shè)備和參與者帶入組織系統(tǒng)。而這些參與者或設(shè)備可能會受到攻擊并成為分布式網(wǎng)絡(luò)攻擊的武器。這種觀點(diǎn)是對內(nèi)部威脅等問題的延伸，也是對物聯(lián)網(wǎng)風(fēng)險評估提出了若干獨(dú)特挑戰(zhàn)[7]。

表1 當(dāng)前風(fēng)險評估方法不足以支持物聯(lián)網(wǎng)的原因摘要

4 需要采用新方法來評估物聯(lián)網(wǎng)系統(tǒng)風(fēng)險

目前，對于國家或公司中的關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險評估方法依然是以物理網(wǎng)絡(luò)或社會系統(tǒng)的風(fēng)險評估方法為基礎(chǔ)的。雖然這些已知的方法在現(xiàn)有的環(huán)境背景下可以很好的應(yīng)用[6]，但隨著系統(tǒng)復(fù)雜性和自動化程度的提高，在我們未來所使用的物聯(lián)網(wǎng)中，這些風(fēng)險評估方法將越來越多的展現(xiàn)他們的缺陷和不足。物聯(lián)網(wǎng)系統(tǒng)面臨的風(fēng)險評估的挑戰(zhàn)是：現(xiàn)有風(fēng)險評估方法所采用的定期風(fēng)險評估流程在高度動態(tài)系統(tǒng)面前可能無效。對于變換頻率如此高的物聯(lián)網(wǎng)系統(tǒng)而言，現(xiàn)有的網(wǎng)絡(luò)風(fēng)險評估方法顯得太過笨重。當(dāng)前的方法通常固有地假定一個系統(tǒng)及其如何受到攻擊，以及與所涉資產(chǎn)相關(guān)的潛在風(fēng)險。這中固有的風(fēng)險評估視角無法揭示物聯(lián)網(wǎng)系統(tǒng)的風(fēng)險。此外，該領(lǐng)域正在迅速變化，但我們的風(fēng)險評估實(shí)踐并未跟上步伐：未將資產(chǎn)視為潛在的攻擊平臺就是一個很好的例子。因此，我們需要自動化和實(shí)時的風(fēng)險評估方法，以及開發(fā)新的支持工具，來協(xié)助模擬和建模，以提高我們的預(yù)測能力。這些將從現(xiàn)有的自動化技術(shù)（例如文獻(xiàn)[2]）和相互依賴系統(tǒng)中的風(fēng)險分析研究中獲得靈感。核心目標(biāo)是適應(yīng)所有物聯(lián)網(wǎng)動態(tài)變更。例如，新方法需要考慮關(guān)系的潛在可變性，并且有些參與者可能變得高度可信或極不可信，并且參與者可能改變圍繞它的風(fēng)險控制行為。綁定物聯(lián)網(wǎng)系統(tǒng)及其參與者的基礎(chǔ)設(shè)施將提供風(fēng)險傳播機(jī)制，并在物理，社交和經(jīng)濟(jì)規(guī)模上創(chuàng)造傷害。因此，物聯(lián)網(wǎng)參與者或設(shè)備如果改變用途，可能造成遠(yuǎn)遠(yuǎn)超出預(yù)期的危害。在新的風(fēng)險評估方法中也需要考慮到這一點(diǎn)：由 于物聯(lián)網(wǎng)環(huán)境會頻繁的發(fā)生巨大的變化，我們無法定期評估系統(tǒng)。因此，我們需要一種動態(tài)、實(shí)時的風(fēng)險評估方法。我們希望可以通過行業(yè)和研究之間的密切合作來創(chuàng)建這樣一種方法。