吳晨思，謝衛(wèi)強(qiáng),2，姬逸瀟,2，楊粟，賈紫藝，趙松,2，張玉清,2

（1. 中國(guó)科學(xué)院大學(xué)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心，北京 101408；2. 西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710071）

1 引言

網(wǎng)絡(luò)系統(tǒng)安全的重要性日益突出，其安全問(wèn)題已經(jīng)被提到戰(zhàn)略性高度。提高人們對(duì)網(wǎng)絡(luò)系統(tǒng)整體安全性認(rèn)知的準(zhǔn)確性，可以更好地保障網(wǎng)絡(luò)系統(tǒng)安全且能夠有效應(yīng)對(duì)未知問(wèn)題[1]。對(duì)網(wǎng)絡(luò)系統(tǒng)安全狀況進(jìn)行客觀、全面的認(rèn)知比以往任何時(shí)候都顯得更重要、更迫切。

目前，人們對(duì)網(wǎng)絡(luò)系統(tǒng)安全的認(rèn)知主要有管理安全和技術(shù)安全2個(gè)角度。網(wǎng)絡(luò)系統(tǒng)管理安全是對(duì)人們管理網(wǎng)絡(luò)系統(tǒng)活動(dòng)中涉及的安全性因素的分析，如制度建設(shè)、流程控制、日常操作等；網(wǎng)絡(luò)系統(tǒng)技術(shù)安全是對(duì)網(wǎng)絡(luò)安全技術(shù)及系統(tǒng)安全屬性（可用性、完整性和機(jī)密性等）進(jìn)行再認(rèn)識(shí)，以更科學(xué)地評(píng)價(jià)安全性。本文主要討論技術(shù)安全范圍內(nèi)的內(nèi)容。

網(wǎng)絡(luò)系統(tǒng)安全性評(píng)價(jià)分為定性評(píng)價(jià)與定量評(píng)價(jià)。安全性定性評(píng)價(jià)依據(jù)知識(shí)、經(jīng)驗(yàn)等資料，通過(guò)觀察、分析、歸納等方法對(duì)網(wǎng)絡(luò)系統(tǒng)的安全狀況做出判斷，一般以安全級(jí)別等非數(shù)值化的形式呈現(xiàn)結(jié)論；安全性定量評(píng)價(jià)依據(jù)數(shù)學(xué)模型和數(shù)量指標(biāo)，通過(guò)分析、量化等方法對(duì)網(wǎng)絡(luò)系統(tǒng)安全狀況做出判斷，一般以數(shù)值化的形式呈現(xiàn)結(jié)論[2]。相比于定量評(píng)價(jià)，網(wǎng)絡(luò)系統(tǒng)安全性定性評(píng)價(jià)稍側(cè)重主觀判斷。

隨著網(wǎng)絡(luò)系統(tǒng)復(fù)雜性的增加，人們需要更科學(xué)、更直觀地分析安全性，因此對(duì)網(wǎng)絡(luò)系統(tǒng)安全定量分析也產(chǎn)生了新的要求，即以客觀化數(shù)值來(lái)描述系統(tǒng)的安全性。量化評(píng)價(jià)朝著更精確化、更客觀化發(fā)展，從而有效提升了評(píng)價(jià)結(jié)果的嚴(yán)密度和可信度[3]，進(jìn)而形成了安全度量（security metrics）。因此，為增強(qiáng)評(píng)估結(jié)果的客觀性，一些量化安全評(píng)估問(wèn)題的研究也朝著安全度量轉(zhuǎn)變[4-6]。

目前，安全度量沒(méi)有標(biāo)準(zhǔn)的定義。IEEE術(shù)語(yǔ)標(biāo)準(zhǔn)辭典給出：度量是對(duì)一個(gè)系統(tǒng)、構(gòu)件或過(guò)程具有的某個(gè)給定屬性的度的一個(gè)定量測(cè)量[7]。所以，人們可以認(rèn)為安全度量是基于某一尺度衡量安全性和保護(hù)數(shù)據(jù)的一種有效過(guò)程[8]。網(wǎng)絡(luò)系統(tǒng)需要量化與系統(tǒng)安全質(zhì)量相關(guān)的安全要素，如脆弱性、風(fēng)險(xiǎn)、攻擊、防御等，用于表征、描述或預(yù)測(cè)系統(tǒng)安全的信任程度[9]。為了使度量結(jié)果具有可比性，將網(wǎng)絡(luò)系統(tǒng)的最小安全保證設(shè)置為安全基線（security baseline），且安全基線隨著網(wǎng)絡(luò)系統(tǒng)規(guī)模的變化而變化。將度量結(jié)果與安全基線進(jìn)行比較，可以了解網(wǎng)絡(luò)系統(tǒng)不同時(shí)段的安全狀況[10]。安全度量的主要目的是發(fā)現(xiàn)安全要素間的相互聯(lián)系、相互作用，有助于深入理解網(wǎng)絡(luò)系統(tǒng)安全，其對(duì)增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全的認(rèn)知至關(guān)重要。安全度量通過(guò)量化復(fù)雜的安全活動(dòng)、分析相關(guān)數(shù)據(jù)，能夠確定系統(tǒng)優(yōu)勢(shì)和劣勢(shì)，降低部署成本，是客觀分析網(wǎng)絡(luò)系統(tǒng)安全性的關(guān)鍵手段[11]。

與安全度量容易混淆的是安全測(cè)量（security measure）、安全測(cè)度（security measurement）。安全測(cè)量只是獲取安全要素的直觀原始數(shù)據(jù)；安全測(cè)度則是通過(guò)量化安全問(wèn)題空間，使用以百分?jǐn)?shù)、頻率、平均數(shù)或其他相似術(shù)語(yǔ)對(duì)具體定量的安全指標(biāo)進(jìn)行數(shù)字化的描述[12]。安全度量進(jìn)一步利用安全測(cè)度得到的數(shù)據(jù)，通過(guò)比較或計(jì)算等方法來(lái)分析安全要素的變化，深入挖掘系統(tǒng)安全情況，準(zhǔn)確反映網(wǎng)絡(luò)系統(tǒng)安全的各個(gè)方面。之后利用安全度量得到的安全要素的相關(guān)值來(lái)確定網(wǎng)絡(luò)系統(tǒng)的安全程度并制定安全策略。

網(wǎng)絡(luò)系統(tǒng)安全度量（NSSM, network system security metrics）對(duì)網(wǎng)絡(luò)系統(tǒng)中的安全要素進(jìn)行客觀分析，給出網(wǎng)絡(luò)系統(tǒng)安全性的綜合性或某個(gè)方面的描述。根據(jù)安全指標(biāo)維度大小，當(dāng)把具體網(wǎng)絡(luò)系統(tǒng)看成一個(gè)整體時(shí)，維度相對(duì)最大，涉及的安全要素也最多，對(duì)整體度量表現(xiàn)為全局度量（GM, global metrics）。GM 是 NSSM 的重要組成部分，參照度量基線能跟蹤網(wǎng)絡(luò)系統(tǒng)安全性變化。GM反映的是網(wǎng)絡(luò)系統(tǒng)安全程度。針對(duì)網(wǎng)絡(luò)系統(tǒng)中指定對(duì)象的度量，如主機(jī)脆弱性程度、網(wǎng)絡(luò)風(fēng)險(xiǎn)大小、業(yè)務(wù)子系統(tǒng)安全程度等，可以看作對(duì)系統(tǒng)局部的度量。局部度量（local metrics）的維度可擴(kuò)展，其結(jié)果在一定維度上能代表全局度量說(shuō)明網(wǎng)絡(luò)系統(tǒng)的安全性，但缺少客觀性、全局性。

網(wǎng)絡(luò)系統(tǒng)安全度量是網(wǎng)絡(luò)系統(tǒng)安全分析工作的重點(diǎn)與難點(diǎn)。目前，人們對(duì)網(wǎng)絡(luò)系統(tǒng)安全度量方法的研究仍處于探索階段，相關(guān)問(wèn)題還未形成統(tǒng)一的認(rèn)識(shí)。

鑒于網(wǎng)絡(luò)系統(tǒng)安全度量對(duì)網(wǎng)絡(luò)安全的積極作用，本文將主要圍繞全局度量，對(duì)網(wǎng)絡(luò)系統(tǒng)安全全局度量問(wèn)題的發(fā)展歷程、現(xiàn)狀（度量過(guò)程、度量方法）、未來(lái)（挑戰(zhàn)、展望）進(jìn)行綜述，具體貢獻(xiàn)如下。

1) 從客觀量化的角度，對(duì)網(wǎng)絡(luò)系統(tǒng)安全度量相關(guān)概念進(jìn)行了梳理。按照人們的理解，總結(jié)了度量的發(fā)展歷程，首次將其劃分為3個(gè)階段。

2) 對(duì)網(wǎng)絡(luò)系統(tǒng)安全全局度量過(guò)程進(jìn)行了總結(jié)，分析了全局度量過(guò)程中每一步驟的作用，為標(biāo)準(zhǔn)化網(wǎng)絡(luò)系統(tǒng)安全度量提供參考。

3) 對(duì)網(wǎng)絡(luò)系統(tǒng)安全全局度量方法進(jìn)行了梳理，包括度量模型、度量體系、度量工具，闡述了各自的特點(diǎn)，指出了它們?cè)谌侄攘糠椒ㄖ兴鸬降淖饔谩?/p>

4) 探討了網(wǎng)絡(luò)系統(tǒng)安全度量目前的機(jī)遇與挑戰(zhàn)，并在此基礎(chǔ)上給出了網(wǎng)絡(luò)系統(tǒng)安全度量下一步的研究方向。

2 度量發(fā)展階段

安全度量的發(fā)展伴隨著安全評(píng)估的發(fā)展，全局度量蘊(yùn)于度量之中。經(jīng)過(guò) 30多年的發(fā)展，全局度量開(kāi)始逐漸顯現(xiàn)。本文依據(jù)度量方法或過(guò)程的復(fù)雜性，對(duì)全局度量發(fā)展過(guò)程中具有里程碑性質(zhì)的節(jié)點(diǎn)進(jìn)行了梳理，得到發(fā)展歷程如圖1所示。以對(duì)網(wǎng)絡(luò)系統(tǒng)安全度量認(rèn)識(shí)程度為主線，將度量主要分為 3個(gè)階段：感知度量階段、認(rèn)識(shí)度量階段、深化度量階段。這也是第一次在時(shí)間上對(duì)度量發(fā)展進(jìn)行分段總結(jié)。

2.1 感知度量階段

感知度量階段，人們對(duì)度量的存在形式有了初步理解與認(rèn)識(shí)，但對(duì)網(wǎng)絡(luò)系統(tǒng)安全度量這一概念的整體反映屬于淺顯的層次。特點(diǎn)是主觀性強(qiáng)，認(rèn)識(shí)不夠深刻。這一階段人們所理解的網(wǎng)絡(luò)系統(tǒng)安全性度量主要是以安全測(cè)量和簡(jiǎn)單量化的形式，對(duì)數(shù)據(jù)進(jìn)行單一的統(tǒng)計(jì)計(jì)算。人們從實(shí)際中總結(jié)經(jīng)驗(yàn)，通過(guò)制定安全準(zhǔn)則來(lái)規(guī)定系統(tǒng)應(yīng)達(dá)到的安全性。依據(jù)安全體系，以度量脆弱性為主來(lái)說(shuō)明系統(tǒng)的安全性。大部分工作都是通過(guò)手工進(jìn)行的，安全性量化分析效率較低。隨著網(wǎng)絡(luò)系統(tǒng)規(guī)模的增大，分析工作量越來(lái)越大，且很容易出現(xiàn)疏漏。自動(dòng)化的分析技術(shù)及工具應(yīng)運(yùn)而生。網(wǎng)絡(luò)掃描技術(shù)是早期用來(lái)分析網(wǎng)絡(luò)安全性的技術(shù)，現(xiàn)在依然不斷地進(jìn)行改進(jìn)與發(fā)展[20]，如 Satan[21]、Nessus[22]、Nmap[20]等。受限于此階段網(wǎng)絡(luò)技術(shù)發(fā)展的情況，表面上簡(jiǎn)單的度量安全性即可滿(mǎn)足當(dāng)時(shí)的量化分析需求。

2.2 認(rèn)識(shí)度量階段

認(rèn)識(shí)度量階段，學(xué)者們開(kāi)始對(duì)網(wǎng)絡(luò)系統(tǒng)安全度量深入理解、賦予意義并做出進(jìn)一步的解釋。表現(xiàn)為研究安全要素的度量，提出了多種度量方法。此階段以粗略度量為主，如風(fēng)險(xiǎn)度量、攻擊度量，并以此代表系統(tǒng)整體度量。度量的實(shí)際操作是由安全分析人員基于其自身知識(shí)和經(jīng)驗(yàn)印象而進(jìn)行的，偏主觀因素，網(wǎng)絡(luò)系統(tǒng)安全性不能得到完全客觀的反映[23]。不過(guò)人們的觀念相較于感知階段有了重大變化。人們開(kāi)始對(duì)全局度量有所認(rèn)識(shí)，由重視度量過(guò)程轉(zhuǎn)為重視全局指標(biāo)體系建設(shè)。Villarrubia等[14]提出的一系列用于對(duì)安全指標(biāo)進(jìn)行分類(lèi)的特性很具有參考價(jià)值，指出指標(biāo)的質(zhì)量及指標(biāo)量化的質(zhì)量好壞對(duì)度量結(jié)果影響較大。

圖1 度量發(fā)展歷程

認(rèn)識(shí)度量階段主要存在的問(wèn)題是人們將一部分指標(biāo)測(cè)度研究認(rèn)為是對(duì)系統(tǒng)的度量研究，這是因?yàn)閷?duì)度量理解不夠準(zhǔn)確。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST, National Institute of Standards and Technology）在2008年發(fā)布的《信息安全性能測(cè)量指南》取代了舊版的度量指南[15]，國(guó)際標(biāo)準(zhǔn)信息安全管理測(cè)量ISO/IEC 27004于2009年發(fā)布[24]。2個(gè)文獻(xiàn)的更改與發(fā)布一方面說(shuō)明了人們對(duì)測(cè)度與度量區(qū)別的認(rèn)識(shí)有所深入；另一方面也反映了網(wǎng)絡(luò)系統(tǒng)整體性安全度量指標(biāo)建設(shè)和指標(biāo)測(cè)量的基礎(chǔ)性、重要性。當(dāng)然，這2個(gè)文獻(xiàn)也可以用來(lái)對(duì)全局度量指標(biāo)的建設(shè)提供指導(dǎo)。

2.3 深化度量階段

深化階段是在人們對(duì)局部度量做了大量研究的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)系統(tǒng)安全度量概念的發(fā)展。主要表現(xiàn)為深入理解度量，不再?lài)@著某一單方面的度量；提出全局度量，以實(shí)現(xiàn)安全程度量化為目標(biāo)，促進(jìn)精準(zhǔn)度量理論的系統(tǒng)化。其解決的根本問(wèn)題是由于安全的多維性，如何分解安全性以及如何將局部度量因素組合成整個(gè)系統(tǒng)安全性的單一表示形式[25]。

深化度量階段可分為2個(gè)分階段：平穩(wěn)期和爆發(fā)期。在平穩(wěn)期，人們對(duì)度量研究的熱度逐漸降低，回歸理性，認(rèn)真思考度量的本質(zhì)。2016年，文獻(xiàn)[18]站在系統(tǒng)級(jí)角度，詳細(xì)分析了主要安全要素之間的關(guān)系及其影響因素的不確定性，如系統(tǒng)安全漏洞、敵方攻擊能力及目標(biāo)等，提出了以時(shí)間為參數(shù)的動(dòng)態(tài)全局度量函數(shù)，但其客觀性、準(zhǔn)確性依然不足。2018年后進(jìn)入爆發(fā)期，文獻(xiàn)[19]將網(wǎng)絡(luò)系統(tǒng)發(fā)生的所有安全活動(dòng)看作行為過(guò)程并進(jìn)行了精準(zhǔn)度量，奠定了網(wǎng)絡(luò)系統(tǒng)全局度量的數(shù)學(xué)基礎(chǔ)，具有創(chuàng)新性。度量需要假設(shè)和抽象，以數(shù)學(xué)方法解決全局度量問(wèn)題會(huì)帶來(lái)度量開(kāi)創(chuàng)性的研究成果，具體的方法將在第4節(jié)進(jìn)行詳細(xì)介紹。

2.4 小結(jié)

本節(jié)對(duì)度量發(fā)展進(jìn)行了分階段總結(jié)，方便研究人員更清晰地了解度量在每個(gè)時(shí)期的主要特點(diǎn)，為進(jìn)一步的研究提供參考。從總體來(lái)看，感知度量階段、認(rèn)識(shí)度量階段、深化度量階段是朝著全局度量方向前進(jìn)的?？梢哉J(rèn)為，網(wǎng)絡(luò)系統(tǒng)全局度量的發(fā)展是從手動(dòng)度量到自動(dòng)度量、由粗略度量向精準(zhǔn)度量進(jìn)行的。當(dāng)前階段，全局度量可以用來(lái)對(duì)網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行強(qiáng)有力的定量預(yù)測(cè)，但全局度量依然有很大的局限性。雖然人們對(duì)全局度量沒(méi)有明確的共識(shí)，也無(wú)法真正理解它，但努力研究它將是有用的，即使這些研究可能發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)是不能完全實(shí)現(xiàn)全局度量的[26]。

3 全局度量過(guò)程

全局度量是加強(qiáng)網(wǎng)絡(luò)系統(tǒng)技術(shù)安全不可缺失的部分。建立通用的度量過(guò)程可以提升全局度量的可行性和實(shí)用性，并為網(wǎng)絡(luò)系統(tǒng)安全度量標(biāo)準(zhǔn)化提供技術(shù)借鑒。

全局度量的過(guò)程是對(duì)經(jīng)典的計(jì)劃-執(zhí)行-檢查-處理（PDCA, plan-do-check-act）模式的具體實(shí)現(xiàn)[27]，采用PDCA的循環(huán)機(jī)制，通過(guò)建立指標(biāo)體系、實(shí)施綜合度量、分析度量結(jié)果、制定優(yōu)化方案這4個(gè)主要環(huán)節(jié)，可以持續(xù)改進(jìn)網(wǎng)絡(luò)系統(tǒng)安全性。網(wǎng)絡(luò)系統(tǒng)安全全局度量過(guò)程如圖2所示，以全局度量指標(biāo)建設(shè)為核心，將度量過(guò)程分為3個(gè)模塊：模塊1為度量準(zhǔn)備階段，明確度量目的，確定系統(tǒng)度量目標(biāo)，制定度量?jī)?nèi)容與度量活動(dòng)規(guī)劃；模塊2為指標(biāo)量化階段，選取網(wǎng)絡(luò)系統(tǒng)度量指標(biāo)，對(duì)具體指標(biāo)進(jìn)行量化與組合，并根據(jù)系統(tǒng)安全需求建立度量基線；模塊3為全局度量實(shí)施階段，選擇全局度量模型，將處理好的指標(biāo)輸入模型進(jìn)行度量，并對(duì)度量有效性進(jìn)行檢查，對(duì)度量結(jié)果進(jìn)行總結(jié)分析。

圖2 全局度量過(guò)程

3.1 度量準(zhǔn)備

安全度量需要具有一定的專(zhuān)業(yè)背景知識(shí)的人員。因此，準(zhǔn)備階段應(yīng)組建專(zhuān)業(yè)的度量小組，負(fù)責(zé)有序推進(jìn)度量活動(dòng)并監(jiān)督整個(gè)度量過(guò)程。準(zhǔn)備階段主要提出度量對(duì)象的范圍，指定度量目標(biāo)，制定度量方案。為了保證每次度量結(jié)果的一致性、權(quán)威性，前一次的度量結(jié)果應(yīng)進(jìn)行過(guò)程認(rèn)證，該認(rèn)證是一個(gè)針對(duì)度量結(jié)果的獨(dú)立檢查過(guò)程，并生成最終的正式結(jié)論。依據(jù)結(jié)論，檢查是否達(dá)到預(yù)定的安全目標(biāo)，發(fā)現(xiàn)存在的問(wèn)題，制定與落實(shí)相應(yīng)的安全改進(jìn)措施。結(jié)果認(rèn)證、制定措施、實(shí)施改進(jìn)是為下一次安全度量進(jìn)行準(zhǔn)備，因此將這三部分歸入圖2中的模塊1，使各模塊呈周期性出現(xiàn)。

3.2 指標(biāo)量化

建立科學(xué)、客觀的網(wǎng)絡(luò)系統(tǒng)安全度量指標(biāo)是保證度量過(guò)程正常進(jìn)行的前提。根據(jù)安全體系建立指標(biāo)體系是比較常用的方式，第4節(jié)將詳細(xì)介紹。當(dāng)然，也可以從其他角度去建立指標(biāo)體系。例如，F(xiàn)u等[28]從安全屬性的角度對(duì)度量指標(biāo)的選擇及指標(biāo)質(zhì)量進(jìn)行了討論，對(duì)建立網(wǎng)絡(luò)系統(tǒng)全局度量指標(biāo)有參考價(jià)值。為了對(duì)已選取指標(biāo)進(jìn)行量化，需要獲取與指標(biāo)相關(guān)的基礎(chǔ)數(shù)據(jù)。數(shù)據(jù)獲取的準(zhǔn)確性、全面性直接關(guān)系到整個(gè)網(wǎng)絡(luò)系統(tǒng)安全度量工作的質(zhì)量。因此，一般使用采集工具獲取客觀數(shù)據(jù)。采集工具是部署在網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備，設(shè)備既可以基于軟件也可以基于硬件。Jing等[29]按照采集方法將安全數(shù)據(jù)分為4類(lèi)：數(shù)據(jù)分組級(jí)、流量級(jí)、連接級(jí)、主機(jī)級(jí)，并整理討論了各類(lèi)數(shù)據(jù)采集方法的優(yōu)缺點(diǎn)。

將采集到的基礎(chǔ)數(shù)據(jù)進(jìn)行測(cè)度實(shí)現(xiàn)指標(biāo)量化。能夠采集到的網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)類(lèi)似于可直接觀察到的。來(lái)自軟件工程領(lǐng)域的目標(biāo)-問(wèn)題-度量法（GQM,goal question metric）能為這種直觀提供有價(jià)值的指標(biāo)測(cè)度[30]。GQM 自上而下適用于各種安全測(cè)量并能拓展度量指標(biāo)，如文獻(xiàn)[31]建立脆弱性描述指標(biāo)，利用GQM對(duì)這些指標(biāo)測(cè)度，使修復(fù)脆弱點(diǎn)更具體化并能大幅降低成本。

安全測(cè)度只是指標(biāo)量化的一部分。為了進(jìn)一步體現(xiàn)度量指標(biāo)的客觀性，將部分測(cè)度的指標(biāo)進(jìn)行組合或聚合形成一些高級(jí)指標(biāo)，如安全要素等，從而對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行更深入的分析。提出度量基準(zhǔn)，構(gòu)建度量基線也是必不可少的一步，其為實(shí)現(xiàn)度量比較、反映網(wǎng)絡(luò)系統(tǒng)安全程度大小做準(zhǔn)備。

3.3 全局度量實(shí)施

全局度量采用數(shù)學(xué)等方法對(duì)網(wǎng)絡(luò)安全問(wèn)題建立全局度量模型。度量模型有多種，選取適合當(dāng)前指標(biāo)體系的度量模型，并將所需的指標(biāo)輸入全局度量模型，實(shí)施綜合度量，從而得到數(shù)值化結(jié)果。再根據(jù)這個(gè)結(jié)果對(duì)網(wǎng)絡(luò)系統(tǒng)安全性進(jìn)行分析[32]。全局度量模型的一般形式為

其中，fl為指標(biāo)組合函數(shù)，xi為測(cè)度的指標(biāo)值，i為指標(biāo)個(gè)數(shù)，S為網(wǎng)絡(luò)系統(tǒng)安全程度，fg為全局度量函數(shù)，mn為局部度量值或者指標(biāo)組合值，n為描述網(wǎng)絡(luò)系統(tǒng)的因素的個(gè)數(shù)。不同網(wǎng)絡(luò)系統(tǒng)安全特點(diǎn)不一樣，mn與fl都可以是不同的。同一個(gè)網(wǎng)絡(luò)系統(tǒng)n越大，S越能客觀準(zhǔn)確地表達(dá)網(wǎng)絡(luò)系統(tǒng)安全性。

綜合度量結(jié)果S與人們長(zhǎng)期的網(wǎng)絡(luò)系統(tǒng)安全經(jīng)驗(yàn)保持一致，能說(shuō)明結(jié)果的有效性。目前沒(méi)有具有完全客觀性的全局度量模型對(duì)局部要素或指標(biāo)進(jìn)行融合，從不同側(cè)重點(diǎn)考慮對(duì)系統(tǒng)進(jìn)行度量的全局?jǐn)?shù)量模型較多。如文獻(xiàn)[33]結(jié)合不同的方法，從網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和可達(dá)性信息的角度，研究了基于主機(jī)的度量和基于網(wǎng)絡(luò)的度量?；谥鳈C(jī)的度量被劃分為“無(wú)概率”和“有概率”兩類(lèi)；基于網(wǎng)絡(luò)的度量被分為“基于路徑”和“基于非路徑”兩類(lèi)。文獻(xiàn)[34]對(duì)網(wǎng)絡(luò)系統(tǒng)能達(dá)到的隱私程度進(jìn)行分析，構(gòu)建了隱私度量框架，提升了研究人員在隱私保護(hù)方面的工作效率。

綜合度量之后，對(duì)網(wǎng)絡(luò)系統(tǒng)安全性進(jìn)行分析，檢查防御等安全方案是否合理、指標(biāo)體系是否完整，最后形成分析報(bào)告。經(jīng)過(guò)專(zhuān)家詢(xún)問(wèn)和評(píng)議，確定報(bào)告內(nèi)容的正確性。報(bào)告中應(yīng)體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)安全程度以及對(duì)其安全的詳細(xì)說(shuō)明。

簡(jiǎn)單的度量案例來(lái)自文獻(xiàn)[19]，如表1所示。其包含了選取的兩類(lèi)常用指標(biāo)以及計(jì)算情況。建立客觀的數(shù)學(xué)模型，抽象出網(wǎng)絡(luò)攻防過(guò)程，計(jì)算形式如式(3)和式(4)所示。其中，u(t)為行為路徑曲線在某點(diǎn)位處的切向量，行為效用E是系統(tǒng)功能的一種定量描述形式，因此可以進(jìn)一步構(gòu)建網(wǎng)絡(luò)攻防效用的精準(zhǔn)計(jì)算。

通過(guò)式(4)形成指標(biāo)對(duì)應(yīng)的計(jì)算模型。表1中，EAi為在第i個(gè)環(huán)節(jié)的攻擊時(shí)，有序攻擊行為集合Ai在Mi場(chǎng)景下的攻擊能力；EDi為在第i個(gè)環(huán)節(jié)的防御時(shí)，有序防御行為集合Di在Mi場(chǎng)景下的防御能力為第i個(gè)環(huán)節(jié)的網(wǎng)絡(luò)攻防判定，為完整攻防時(shí)間內(nèi)網(wǎng)絡(luò)安全狀況。計(jì)算的能力值是一個(gè)與流形局部坐標(biāo)系選擇無(wú)關(guān)的客觀量。計(jì)算過(guò)程始終是客觀的，因此，結(jié)果具有客觀性。根據(jù)模塊1進(jìn)行結(jié)果認(rèn)證，改進(jìn)安全措施。

表1度量案例

3.4 小結(jié)

網(wǎng)絡(luò)系統(tǒng)安全全局度量需要始終圍繞機(jī)密性、完整性、可用性進(jìn)行。全局度量是可重復(fù)的、可操作的。本節(jié)參考評(píng)估過(guò)程，詳細(xì)說(shuō)明了全局度量過(guò)程及主要相關(guān)的內(nèi)容。從度量過(guò)程可以看到，全局度量能夠促進(jìn)對(duì)網(wǎng)絡(luò)系統(tǒng)安全的全局、客觀描述，幫助網(wǎng)絡(luò)系統(tǒng)找到更安全的解決方案，提高組織自身的網(wǎng)絡(luò)安全水平。根據(jù)網(wǎng)絡(luò)系統(tǒng)全局度量的過(guò)程對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)施具體的操作，可以將網(wǎng)絡(luò)系統(tǒng)的安全威脅始終控制在可接受的程度，減少網(wǎng)絡(luò)系統(tǒng)遭到破壞帶來(lái)的損失，保證網(wǎng)絡(luò)系統(tǒng)的可持續(xù)運(yùn)作。

4 全局度量方法

傳統(tǒng)的主動(dòng)防御體系[35]已不能有效應(yīng)對(duì)當(dāng)今嚴(yán)峻的網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)系統(tǒng)安全度量可以作為一種主動(dòng)防御技術(shù)，應(yīng)用全局度量方法對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行精準(zhǔn)防御。

全局度量方法主要依據(jù)使用頻率和易用性，盡量選取具有代表性的內(nèi)容進(jìn)行闡述。本節(jié)將從模型、安全體系、工具3個(gè)方面分別闡述全局度量方法。將部分評(píng)估方法應(yīng)用于全局度量，可使方法目標(biāo)更明確，更具針對(duì)性。度量模型為指標(biāo)體系和工具的發(fā)展提供基礎(chǔ)，是精準(zhǔn)度量的承載。安全體系主要服務(wù)于全局度量指標(biāo)建設(shè)、指標(biāo)量化及組合。工具增加全局度量的效率，減少人工誤差。模型、體系、工具三者關(guān)系如圖3所示。全局化度量方法更容易發(fā)現(xiàn)和解決網(wǎng)絡(luò)系統(tǒng)安全難以實(shí)現(xiàn)全局、客觀量化的問(wèn)題。全局方法能清晰刻畫(huà)網(wǎng)絡(luò)系統(tǒng)安全，檢查系統(tǒng)有效性，即網(wǎng)絡(luò)系統(tǒng)是否足夠安全，是否比以前更安全。

圖3 模型、體系、工具三者關(guān)系

4.1 全局度量模型

目前，在網(wǎng)絡(luò)系統(tǒng)安全領(lǐng)域，全局度量方法具有一定程度的主觀性，安全性量化分析只能以粗略比較計(jì)算為基礎(chǔ)開(kāi)展。新的網(wǎng)絡(luò)架構(gòu)也在不斷發(fā)展[36]，為增強(qiáng)人們對(duì)于網(wǎng)絡(luò)系統(tǒng)安全更全局且客觀的認(rèn)識(shí)，發(fā)展全局度量模型至關(guān)重要。

目前，已有研究人員對(duì)局部度量模型進(jìn)行了總結(jié)。文獻(xiàn)[37]詳細(xì)介紹了基于攻擊圖和隨機(jī)模型的量化模型，但對(duì)其他模型分析較少。上述文獻(xiàn)只是對(duì)局部度量模型進(jìn)行概括，沒(méi)有對(duì)系統(tǒng)全局度量模型進(jìn)行歸納。本節(jié)對(duì)局部度量模型進(jìn)行了補(bǔ)充，并介紹了可用于網(wǎng)絡(luò)系統(tǒng)全局度量的模型。

4.1.1 基于關(guān)聯(lián)分析的模型

警報(bào)關(guān)聯(lián)（alert correlation）技術(shù)是檢測(cè)多步攻擊行為的主要技術(shù)手段。它是指將屬于同一攻擊行為的多個(gè)步驟前后關(guān)聯(lián)起來(lái)，還原最初的攻擊場(chǎng)景，全面分析網(wǎng)絡(luò)系統(tǒng)安全性[38]。

Yi等[39]提出了警報(bào)關(guān)聯(lián)圖的基本思想。在攻擊圖提供的先驗(yàn)知識(shí)基礎(chǔ)上，根據(jù)入侵檢測(cè)系統(tǒng)（IDS,intrusion detection system）警報(bào)信息動(dòng)態(tài)生成警報(bào)關(guān)聯(lián)，并基于警報(bào)關(guān)聯(lián)的次數(shù)計(jì)算關(guān)聯(lián)邊的權(quán)值對(duì)網(wǎng)絡(luò)系統(tǒng)全局量化。不過(guò)這種關(guān)聯(lián)圖相對(duì)簡(jiǎn)單，并不完善，度量結(jié)果粗略。葛海慧等[40]對(duì)一定時(shí)間間隔內(nèi)的報(bào)警事件進(jìn)行動(dòng)態(tài)關(guān)聯(lián)分析，考慮防御措施強(qiáng)度與節(jié)點(diǎn)漏洞，計(jì)算攻擊威脅度，利用各節(jié)點(diǎn)風(fēng)險(xiǎn)值加權(quán)計(jì)算風(fēng)險(xiǎn)值代表系統(tǒng)整體的安全性，此方法能夠?qū)崟r(shí)度量。陳秀真等[41]基于IDS海量報(bào)警信息和網(wǎng)絡(luò)性能指標(biāo)，采用自下而上、先局部后整體的度量方式，對(duì)服務(wù)、主機(jī)本身的重要性因子進(jìn)行加權(quán)，進(jìn)而說(shuō)明網(wǎng)絡(luò)系統(tǒng)的安全性。

為了提高度量準(zhǔn)確性，有研究人員結(jié)合 D-S證據(jù)理論進(jìn)行分析[42]。D-S證據(jù)理論具有直接表達(dá)“不確定”和“不知道”的能力，能夠描述網(wǎng)絡(luò)系統(tǒng)中的不確定性因素。Qu等[43]基于 D-S證據(jù)理論，結(jié)合節(jié)點(diǎn)脆弱性、威脅的嚴(yán)重性，全局計(jì)算網(wǎng)絡(luò)系統(tǒng)的安全程度?；谧C據(jù)理論的關(guān)聯(lián)分析模型具有需要先驗(yàn)知識(shí)少、算法性能高等優(yōu)點(diǎn)，但其在還原攻擊場(chǎng)景的能力、識(shí)別攻擊者的具體攻擊動(dòng)作方面相對(duì)較弱。

關(guān)聯(lián)分析通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中各類(lèi)因素進(jìn)行分析，能更加清晰地掌握網(wǎng)絡(luò)系統(tǒng)整體的安全狀況及防御措施等情況[44]。在大數(shù)據(jù)飛速發(fā)展的背景下，數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)中的一些方法應(yīng)用于全局度量領(lǐng)域是一種研究趨勢(shì)。以數(shù)據(jù)驅(qū)動(dòng)的公司常使用關(guān)聯(lián)分析進(jìn)行安全度量。如 BitSight[45]通過(guò)部署在全球各地的傳感器，采集海量的威脅情報(bào)數(shù)據(jù)。平臺(tái)將這些數(shù)據(jù)依據(jù)嚴(yán)重程度、頻率、持續(xù)時(shí)間和信心等指標(biāo)進(jìn)行分析，從而對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全局度量，并能進(jìn)行一定的趨勢(shì)預(yù)測(cè)。

4.1.2 基于隨機(jī)模型的模型

隨機(jī)模型涉及的方法能對(duì)網(wǎng)絡(luò)系統(tǒng)全局進(jìn)行有效的描述，精確刻畫(huà)網(wǎng)絡(luò)系統(tǒng)隨機(jī)行為以及組件之間的相互關(guān)系，有助于量化組合指標(biāo)，建立全局度量函數(shù)。常用的隨機(jī)模型是隱性馬爾可夫模型（HMM, hidden Markov model）[46]。HMM 用來(lái)描述一個(gè)含有隱含未知參數(shù)的馬爾可夫過(guò)程（Markov process）。HMM對(duì)未知指標(biāo)的計(jì)算有優(yōu)勢(shì)。

Zhang等[16]通過(guò)HMM對(duì)報(bào)警檢測(cè)系統(tǒng)產(chǎn)生的序列進(jìn)行分析，計(jì)算系統(tǒng)中每個(gè)主機(jī)的危險(xiǎn)指數(shù)，從而定量分析整個(gè)網(wǎng)絡(luò)的安全狀況。Rnes等[47]把網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的變化過(guò)程采用HMM來(lái)描述，然后實(shí)時(shí)度量網(wǎng)絡(luò)整體的安全值。Almasizadeh等[48]將時(shí)間因素考慮進(jìn)了攻擊過(guò)程，通過(guò)基于狀態(tài)的隨機(jī)模型對(duì)網(wǎng)絡(luò)攻擊過(guò)程進(jìn)行了建模，進(jìn)而描述攻擊者和系統(tǒng)行為，定量分析了系統(tǒng)的平均安全失效時(shí)間、穩(wěn)態(tài)安全等安全指標(biāo)。相對(duì)其他度量，這些指標(biāo)有助于增強(qiáng)全局度量的客觀性。Da等[49]從整個(gè)系統(tǒng)的角度出發(fā)將攻防分別抽象并度量，提出了一種n維隨機(jī)模型的全局度量，但其不適用多種攻擊同時(shí)發(fā)生的情況。

網(wǎng)絡(luò)系統(tǒng)安全存在不確定性，在實(shí)踐中很難度量不確定性，而且不確定性往往是由觀測(cè)中的估計(jì)誤差引起，不一定反映實(shí)際的系統(tǒng)狀態(tài)。

4.1.3 基于數(shù)學(xué)原理的模型

數(shù)學(xué)原理是以數(shù)學(xué)方法為基礎(chǔ)，將全局度量進(jìn)行抽象，能夠更準(zhǔn)確地度量指標(biāo)，并進(jìn)行精準(zhǔn)計(jì)算。通過(guò)數(shù)學(xué)原理得到的全局度量更客觀。

Hu[19]提出了一種網(wǎng)絡(luò)行為效用計(jì)算原理與方法。他認(rèn)為任何網(wǎng)絡(luò)行為，都是在由所有可用于提供數(shù)字化信息的組件和系統(tǒng)所構(gòu)成的網(wǎng)絡(luò)場(chǎng)景上發(fā)生的，并給出了網(wǎng)絡(luò)行為的數(shù)學(xué)定義。微分流形（differential manifold）是三維歐氏空間中曲線和曲面概念的推廣，可以有更高的維數(shù)[50]。將網(wǎng)絡(luò)系統(tǒng)抽象為流形，定量刻畫(huà)網(wǎng)絡(luò)行為效用的算法如式(3)和式(4)所示。安全效用計(jì)算奠定了網(wǎng)絡(luò)行為度量的數(shù)學(xué)基礎(chǔ)，為建立全局度量函數(shù)提供參考。

文獻(xiàn)[51]基于歐氏空間向量投影的思想設(shè)計(jì)了一個(gè)信度向量投影分解算法，將攻擊所依賴(lài)的漏洞信息和節(jié)點(diǎn)本身漏洞信息相關(guān)聯(lián)，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全局度量。Petri網(wǎng)[52]用來(lái)分析離散的并行系統(tǒng)，抽象和描述能力也在不斷的發(fā)展，在度量領(lǐng)域具有廣泛的應(yīng)用前景。文獻(xiàn)[53]將安全要素轉(zhuǎn)化為Petri網(wǎng)狀態(tài)函數(shù)，將指標(biāo)基于Petri網(wǎng)的最小可覆蓋集進(jìn)行量化，并對(duì)整個(gè)系統(tǒng)進(jìn)行度量。形式化方法用于網(wǎng)絡(luò)系統(tǒng)安全度量建模有利于度量自動(dòng)化發(fā)展。文獻(xiàn)[54]針對(duì)系統(tǒng)用戶(hù)的行為特點(diǎn)，基于訪問(wèn)路徑給出了形式化定義和相關(guān)的度量規(guī)則，提出了一種網(wǎng)絡(luò)系統(tǒng)全局度量方法。

數(shù)學(xué)方法有助于發(fā)現(xiàn)安全要素的內(nèi)在聯(lián)系，找到安全的本質(zhì)，將復(fù)雜度量問(wèn)題簡(jiǎn)單化。使用數(shù)學(xué)方法解決全局度量的研究正在興起，未來(lái)解決度量問(wèn)題也一定會(huì)參考數(shù)學(xué)方案。

4.1.4 基于攻擊圖的模型

攻擊圖[55]是一個(gè)抽象概念，它能揭示攻擊者利用安全漏洞違反安全策略的方式。攻擊圖模型采用圖論的方法描述網(wǎng)絡(luò)攻擊過(guò)程中的細(xì)節(jié)信息，能夠簡(jiǎn)潔地表示特定網(wǎng)絡(luò)的不同攻擊場(chǎng)景[56]?；趫?chǎng)景解決全局度量問(wèn)題具有典型性，因此將基于攻擊圖的模型單獨(dú)列出。

Jha等[13]和 Sheyner等[57]首先使用模型檢測(cè)的方法生成攻擊圖模型，利用攻擊圖將成功概率值賦予攻擊中的狀態(tài)，進(jìn)而分析攻擊者成功實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性破壞的概率，實(shí)現(xiàn)攻擊破壞程度的全局度量。Bhattachary等[58]根據(jù)“利用依賴(lài)圖”提出了一種通過(guò)成本說(shuō)明網(wǎng)絡(luò)系統(tǒng)安全性的理論框架。成功利用網(wǎng)絡(luò)系統(tǒng)所需的成本越小，說(shuō)明網(wǎng)絡(luò)系統(tǒng)安全程度較高；反之，則較低。此過(guò)程實(shí)際應(yīng)屬于局部度量，但由于攻擊圖反映的是攻擊成功與否，因此也可以代表網(wǎng)絡(luò)系統(tǒng)全局度量結(jié)果。

將基于攻擊圖的不同度量元素組合使用，可擴(kuò)展為網(wǎng)絡(luò)系統(tǒng)安全全局度量方法。最短路徑度量、路徑數(shù)量度量和路徑長(zhǎng)度度量是3種常用的基于攻擊圖的安全度量。然而，最短路徑度量和路徑長(zhǎng)度度量的平均值不能充分說(shuō)明攻擊者可能違反安全策略的方式，路徑數(shù)量度量也不能充分說(shuō)明與攻擊路徑相關(guān)的攻擊工作[59]。使用這些指標(biāo)可能會(huì)有誤導(dǎo)性結(jié)果，因此有研究結(jié)合貝葉斯網(wǎng)絡(luò)（BN,Bayesian network）進(jìn)行全局分析。BN是一種概率圖型模型，借由有向無(wú)環(huán)圖中得知一組隨機(jī)變量及其n組條件概率分配的性質(zhì)。貝葉斯網(wǎng)絡(luò)作為構(gòu)造全局度量模型的基礎(chǔ)具有以下優(yōu)點(diǎn)[60]：1) 貝葉斯網(wǎng)絡(luò)類(lèi)似神經(jīng)元網(wǎng)絡(luò)，能夠充分描述人類(lèi)的推理模式，并且網(wǎng)絡(luò)的圖形方式便于理解和開(kāi)發(fā)；2) 貝葉斯概率的特點(diǎn)使模型能夠反映度量的連續(xù)性和累積性這2個(gè)重要特征；3) 模型能夠綜合最新的證據(jù)信息和先驗(yàn)信息，度量結(jié)果能動(dòng)態(tài)反映當(dāng)前信息的同時(shí)還綜合了歷史和先驗(yàn)知識(shí)；4) 貝葉斯邏輯在數(shù)學(xué)上的可靠性使該模型成為一種描述人類(lèi)思維推理過(guò)程的標(biāo)準(zhǔn)模型。文獻(xiàn)[61]使用貝葉斯網(wǎng)絡(luò)模擬網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，結(jié)合攻擊圖對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行了全局度量。Poolsappasit等[62]在攻擊圖的基礎(chǔ)上構(gòu)建貝葉斯網(wǎng)絡(luò)，建立警報(bào)節(jié)點(diǎn)作為證據(jù)節(jié)點(diǎn)或根據(jù)警報(bào)將相應(yīng)的原子攻擊節(jié)點(diǎn)設(shè)為證據(jù)節(jié)點(diǎn)，形成網(wǎng)絡(luò)系統(tǒng)整體的安全狀態(tài)值?；谪惾~斯網(wǎng)絡(luò)的方法充分利用了貝葉斯網(wǎng)絡(luò)的量化處理不確定性信息以及因果關(guān)聯(lián)優(yōu)勢(shì)和不確定性推理能力，使度量結(jié)果比較準(zhǔn)確。然而，基于貝葉斯網(wǎng)絡(luò)的方法由于需要對(duì)所有節(jié)點(diǎn)都建立條件概率表，因此需要較多的先驗(yàn)知識(shí)，不利于區(qū)分攻擊已經(jīng)發(fā)生的可能性和攻擊將要發(fā)生的可能性，增大了全局度量的誤差。另外，受貝葉斯網(wǎng)絡(luò)推理算法復(fù)雜度的限制，基于貝葉斯網(wǎng)絡(luò)全局度量的性能不高，難以滿(mǎn)足大型網(wǎng)絡(luò)系統(tǒng)實(shí)時(shí)度量的性能要求。

攻擊圖模型包含了網(wǎng)絡(luò)系統(tǒng)中所有可能的攻擊路徑。利用攻擊圖可以對(duì)網(wǎng)絡(luò)攻擊等環(huán)節(jié)有更清楚的認(rèn)識(shí)，可以很直觀地展示網(wǎng)絡(luò)攻擊的細(xì)節(jié)信息，如攻擊路徑、攻擊目標(biāo)、脆弱性等。在全局度量時(shí)，通過(guò)攻擊圖模型可以建立更全面的指標(biāo)信息，更容易完善全局度量函數(shù)。

4.1.5 基于博弈論的模型

博弈論模型對(duì)于研究網(wǎng)絡(luò)系統(tǒng)安全度量問(wèn)題具有重要的意義，利用博弈論模型可以從攻擊和防御2個(gè)技術(shù)方面對(duì)網(wǎng)絡(luò)系統(tǒng)安全性進(jìn)行全面分析，實(shí)現(xiàn)全局度量。

文獻(xiàn)[63]模擬真實(shí)網(wǎng)絡(luò)系統(tǒng)的虛擬環(huán)境，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)各種攻防過(guò)程的實(shí)驗(yàn)推演。將網(wǎng)絡(luò)連接關(guān)系、脆弱性信息等數(shù)據(jù)輸入網(wǎng)絡(luò)攻防博弈模型中，實(shí)現(xiàn)了全局度量。Li等[64]通過(guò)馬爾可夫博弈模型，建立四級(jí)數(shù)據(jù)融合，考慮攻防雙方的關(guān)系和不確定性，從而度量網(wǎng)絡(luò)系統(tǒng)整體的安全狀態(tài)。但模型使用博弈矩陣深度不夠，度量粗略。Zhang等[65]通過(guò)分析完全信息靜態(tài)博弈中的納什均衡策略，考慮成本參數(shù)和效益參數(shù)，改進(jìn)收益計(jì)算方法，對(duì)系統(tǒng)全局進(jìn)行度量，該度量結(jié)果能夠反映攻擊者和防御者的均衡策略。

博弈論可以作為全局度量函數(shù)的理論基礎(chǔ)。攻擊和防御是網(wǎng)絡(luò)系統(tǒng)中的2個(gè)重要因素，以攻防為核心，向外圍擴(kuò)展，通過(guò)演化博弈模型實(shí)現(xiàn)全局度量。

4.1.6 基于層次分析法的模型

Fu等[66]首次提出了層次分析法（AHP, analytic hierarchy process）。AHP把復(fù)雜的網(wǎng)絡(luò)系統(tǒng)問(wèn)題分解為各個(gè)組成因素，對(duì)網(wǎng)絡(luò)系統(tǒng)全局度量是比較合適的，但過(guò)于主觀。

層次分析法度量一般分為 4個(gè)步驟[67]：1) 將復(fù)雜系統(tǒng)分解為單獨(dú)因素，根據(jù)它們之間的支配關(guān)系，建立層次結(jié)構(gòu)；2) 根據(jù)上一層中因素的重要性，兩兩比較本層次中的各個(gè)元素，構(gòu)造出兩兩比較的判斷矩陣；3) 在判斷矩陣中，計(jì)算被比較元素對(duì)于該準(zhǔn)則的相對(duì)權(quán)重；4) 計(jì)算各層元素對(duì)系統(tǒng)目標(biāo)的合成權(quán)重，并進(jìn)行排序，最后按層次綜合考慮所有影響因素，得出度量結(jié)果。Yan等[68]建立了三層結(jié)構(gòu)（目標(biāo)層、規(guī)則層、標(biāo)準(zhǔn)層），并通過(guò)重要程度對(duì)指標(biāo)進(jìn)行選取，計(jì)算系統(tǒng)整體的安全性。由于指標(biāo)圍繞風(fēng)險(xiǎn)進(jìn)行，此方法用風(fēng)險(xiǎn)值代表了全局度量。Li等[69]使用 Delphi法建立度量指標(biāo)，通過(guò)權(quán)重使用層次分析對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全局度量。

網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)隨著外部環(huán)境的變化和自身價(jià)值的變化進(jìn)行著復(fù)雜的演化，描述指標(biāo)一定是非常多的，而層次分析法在某一層次評(píng)價(jià)指標(biāo)很多時(shí)，其思維一致性很難保證。因此有學(xué)者將模糊層次分析法（FAHP, fuzzy analytic hierarchy process）引入全局度量中，能較好地解決這一問(wèn)題。Tuteja等[70]提出了基于FAHP的結(jié)構(gòu)化框架來(lái)量化網(wǎng)絡(luò)系統(tǒng)的安全性，對(duì)系統(tǒng)進(jìn)行分解，確定基本指標(biāo)，建立模糊關(guān)系矩陣全局度量。李景智等[71]在模糊層次分析法的基礎(chǔ)上，結(jié)合可拓理論，將指標(biāo)值映射到可拓區(qū)間中，計(jì)算相對(duì)隸屬度，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行整體度量。信息熵用來(lái)描述隨機(jī)事件不確定性的程度，可以表示不確定性的量。根據(jù)指標(biāo)變異性的大小確定對(duì)象的權(quán)重，在一定程度上減弱人為主觀因素的影響。文獻(xiàn)[72-73]利用信息熵確定指標(biāo)權(quán)重，進(jìn)而應(yīng)用層次分析實(shí)現(xiàn)全局度量，在一定程度上增加了客觀性。

層次分析法是全局度量較普遍使用的方法。許多研究人員結(jié)合其他方法進(jìn)行度量，但其人為因素影響較大，受限于專(zhuān)家知識(shí)。因此在全局度量對(duì)安全性要求很高的大型復(fù)雜網(wǎng)絡(luò)系統(tǒng)時(shí)，層次分析顯得客觀性不足。

4.1.7 基于神經(jīng)網(wǎng)絡(luò)的模型

神經(jīng)網(wǎng)絡(luò)[74]是由大量處理單元通過(guò)廣泛互聯(lián)而構(gòu)成的，具有大規(guī)模并行、分布式處理、自學(xué)習(xí)等優(yōu)點(diǎn)。全局度量中，對(duì)于大量指標(biāo)的量化與組合是復(fù)雜的。為了提高實(shí)時(shí)度量，利用神經(jīng)網(wǎng)絡(luò)提高度量技術(shù)的性能是一個(gè)研究方向。

Li[17]采取樹(shù)型結(jié)構(gòu)構(gòu)建了三層網(wǎng)絡(luò)系統(tǒng)安全評(píng)價(jià)指標(biāo)以及反向傳播（BP, back propagation）神經(jīng)網(wǎng)絡(luò)度量模型，通過(guò)學(xué)習(xí)形成一種推理機(jī)制，實(shí)現(xiàn)了對(duì)輸入評(píng)價(jià)指標(biāo)的非線性反映，最后得到全局度量結(jié)果。顧兆軍等[75]根據(jù)等保測(cè)評(píng)要求[76]構(gòu)建全局度量指標(biāo)體系，利用熵權(quán)法確定各指標(biāo)的權(quán)重。將指標(biāo)加入BP神經(jīng)網(wǎng)絡(luò)建立度量模型，通過(guò)訓(xùn)練給出度量結(jié)果。Ma等[77]提出了一種基于徑向基函數(shù)（RBF, radial basis function）神經(jīng)網(wǎng)絡(luò)的度量模型。根據(jù)特定的航空網(wǎng)絡(luò)系統(tǒng)建立度量模型，將影響任務(wù)安全狀況的指標(biāo)作為模型的輸入，對(duì)模型進(jìn)行訓(xùn)練，進(jìn)行全局度量。

基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)安全度量的研究多集中于建立全局度量指標(biāo)體系。指標(biāo)的選取一方面需要準(zhǔn)確反映網(wǎng)絡(luò)系統(tǒng)情況，另一方面要確保神經(jīng)網(wǎng)絡(luò)可以實(shí)現(xiàn)指標(biāo)的輸入。模型的主要缺點(diǎn)是訓(xùn)練時(shí)的數(shù)據(jù)量比較小，只能粗略度量系統(tǒng)的安全性。雖然使用神經(jīng)網(wǎng)絡(luò)能夠提高度量速度，但對(duì)指標(biāo)的提出存在限制，不是任意指標(biāo)都能加入神經(jīng)網(wǎng)絡(luò)中。

表2 部分度量模型對(duì)比

表2對(duì)上述方法進(jìn)行了對(duì)比分析。其中結(jié)合方法是度量模型與其他方法常見(jiàn)的搭配?，F(xiàn)階段，對(duì)度量模型的研究具有局限性，缺少實(shí)時(shí)性、準(zhǔn)確性以及表征性[78]。度量網(wǎng)絡(luò)系統(tǒng)的方法雖然較多，但它們的客觀分析能力依然不足。度量?jī)?nèi)容偏重于某一安全要素，如漏洞相關(guān)性、風(fēng)險(xiǎn)存在性等，度量效果粗糙、片面。表2在度量類(lèi)別列出了常見(jiàn)的局部度量，局部度量?jī)?nèi)容不僅限于表2中所列，其他的度量有網(wǎng)絡(luò)彈性度量[79]、信息價(jià)值度量[80]、攻擊難度度量[81]。本文涉及的模型中專(zhuān)門(mén)用于脆弱性度量較少的原因是脆弱性都是作為其他度量的基礎(chǔ)。全局度量方法能夠適用于風(fēng)險(xiǎn)度量，一方面是人們對(duì)風(fēng)險(xiǎn)評(píng)估的研究較成熟，對(duì)風(fēng)險(xiǎn)的理解比較深入；另一方面，風(fēng)險(xiǎn)評(píng)估與全局度量的思路較相似，風(fēng)險(xiǎn)指標(biāo)容易設(shè)計(jì)，度量過(guò)程容易實(shí)施。

全局度量模型不成熟，效果依賴(lài)于具體的方法，以局部代替整體的方式較常見(jiàn)。由于 AHP易操作，因此它是全局度量中常使用的模型，許多研究圍繞AHP并結(jié)合其他技術(shù)進(jìn)行開(kāi)展。關(guān)聯(lián)分析、神經(jīng)網(wǎng)絡(luò)是隨著機(jī)器學(xué)習(xí)、人工智能等熱門(mén)技術(shù)興起的，因此在全局度量方面是有潛力的。隨著對(duì)度量的深入理解，在度量方面有很好的應(yīng)用。隨機(jī)模型和博弈論一般會(huì)將脆弱性作為其他安全要素的度量輸入，建立全局度量函數(shù)應(yīng)是這2個(gè)模型未來(lái)研究的具體點(diǎn)。度量朝著理論化發(fā)展的趨勢(shì)需要提出或采用新的或抽象的方法來(lái)說(shuō)明度量。采用數(shù)學(xué)方法研究全局度量會(huì)越來(lái)越頻繁，越來(lái)越成熟。當(dāng)然，對(duì)系統(tǒng)全局度量是非常困難的，是一個(gè)開(kāi)放性的問(wèn)題。在選擇具體模型度量時(shí)還需根據(jù)不同的系統(tǒng)及需求確定，多種方式相互結(jié)合的方式可以提高度量效率和全面性。

4.1.8 小結(jié)

全局安全度量模型的研究是網(wǎng)絡(luò)系統(tǒng)安全度量的重要組成。將不同的度量?jī)?nèi)容進(jìn)行組合以全局度量的形式表現(xiàn)，能更綜合地反映網(wǎng)絡(luò)系統(tǒng)安全性。將數(shù)學(xué)理論、人工智能等技術(shù)引入網(wǎng)絡(luò)系統(tǒng)安全程度的度量，有利于促進(jìn)安全度量研究的全局化、自動(dòng)化發(fā)展。本節(jié)通過(guò)列舉分析，整體闡述了全局度量模型的研究現(xiàn)狀，同時(shí)指出了現(xiàn)有的研究存在的問(wèn)題，并給出了一些建議以及解決方法。

4.2 網(wǎng)絡(luò)系統(tǒng)度量體系

沒(méi)有指標(biāo)體系指導(dǎo)的度量是混亂的。依據(jù)體系實(shí)施全局度量，得到的安全程度證明具有權(quán)威性、可比性。目前雖沒(méi)有成熟的全局度量指標(biāo)體系，但國(guó)內(nèi)外學(xué)者研究安全度量時(shí)，主要是借鑒已有的安全標(biāo)準(zhǔn)體系，選取常見(jiàn)的指標(biāo)。將安全標(biāo)準(zhǔn)體系用于全局度量是可行的，一是安全度量是安全的一部分，二是安全體系經(jīng)過(guò)長(zhǎng)期發(fā)展，能夠滿(mǎn)足全局度量指標(biāo)設(shè)計(jì)需求。

本文根據(jù)指標(biāo)的使用情況和涉及內(nèi)容，調(diào)研了可用于度量體系的10個(gè)安全標(biāo)準(zhǔn)體系，并將其分為3類(lèi)，基礎(chǔ)性、針對(duì)性、全面性。其中，基礎(chǔ)性是指體系強(qiáng)調(diào)滿(mǎn)足網(wǎng)絡(luò)安全理論的基本指標(biāo)，有通用性并易于擴(kuò)展，如可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC,trusted computer system evaluation criteria）[82]、通用準(zhǔn)則（CC, the common criteria for information technology security evaluation）[83]、PDR安全防護(hù)體系[84]；針對(duì)性是指在具體行業(yè)、具體系統(tǒng)等一定范圍內(nèi)使用，如BS7799安全體系規(guī)范[85]、美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)系列（FIPS, federal information processing standards）[86]、歐盟網(wǎng)絡(luò)與信息系統(tǒng)安全指令[87]、NIST網(wǎng)絡(luò)安全框架[88]；全面性是指體系涉及的內(nèi)容豐富，范圍廣泛，適用性強(qiáng)，如網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[89]、WPDRRC信息安全模型[90]、信息保障技術(shù)框架（IATF, information assurance technical framework）[91]。下面將舉例介紹每類(lèi)體系中度量指標(biāo)的應(yīng)用情況。

4.2.1 基礎(chǔ)性指標(biāo)體系

TCSEC的發(fā)布具有劃時(shí)代的意義。后來(lái)許多標(biāo)準(zhǔn)都以此為基礎(chǔ)發(fā)展而來(lái)。使用 TCSEC一般從網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)之初開(kāi)始。依據(jù)系統(tǒng)需求，按照準(zhǔn)則中要求的安全級(jí)設(shè)計(jì)安全性。這種專(zhuān)門(mén)設(shè)計(jì)的安全模式是度量復(fù)雜系統(tǒng)安全性較為有效的方法。文獻(xiàn)[92]說(shuō)明了 TCSEC如何為大型、復(fù)雜和分布式系統(tǒng)設(shè)計(jì)安全模式。依照安全模式進(jìn)行全局度量，增強(qiáng)了可度量性、降低了成本。雖然TCSEC目前已經(jīng)被取代，但其涉及了網(wǎng)絡(luò)系統(tǒng)全周期的安全要素，因此對(duì)建設(shè)全局度量指標(biāo)依然具有指導(dǎo)意義。

CC綜合了早期的安全準(zhǔn)則和標(biāo)準(zhǔn)，形成了一個(gè)較全面的基礎(chǔ)框架，極大地促進(jìn)了安全體系的發(fā)展。CC基于保護(hù)輪廓和安全目標(biāo)提出安全需求，將保密性、完整性和可用性作為出發(fā)點(diǎn)，具有靈活性和可擴(kuò)充性。由于CC的認(rèn)可度較高，因此依靠其建立網(wǎng)絡(luò)系統(tǒng)安全全局度量的指標(biāo)體系可信性較強(qiáng)。將建設(shè)的指標(biāo)結(jié)合全局度量模型，如貝葉斯網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全局度量具備可靠性[93]。在CC體系中，可進(jìn)行網(wǎng)絡(luò)系統(tǒng)度量維持，以解決系統(tǒng)在度量后出現(xiàn)變化時(shí)度量結(jié)果的有效性問(wèn)題。當(dāng)然，基于CC的全局度量也存在比較大的缺點(diǎn)，即度量復(fù)雜性會(huì)伴隨網(wǎng)絡(luò)系統(tǒng)所要求的安全級(jí)別升高而變得越復(fù)雜，其對(duì)系統(tǒng)度量的平均周期較長(zhǎng)，會(huì)導(dǎo)致度量過(guò)程的煩瑣和高成本。

4.2.2 針對(duì)性指標(biāo)體系

BS7799是一套完整的網(wǎng)絡(luò)系統(tǒng)安全管理框架[94]，涵蓋了幾乎所有的安全議題。其主要為工商業(yè)網(wǎng)絡(luò)系統(tǒng)提供服務(wù)，因此基于BS7799建立的全局度量的指標(biāo)體系主要針對(duì)于工商業(yè)，對(duì)于其他方面的應(yīng)用效果可能不理想。系統(tǒng)全局度量指標(biāo)對(duì)應(yīng)規(guī)范中的控制措施，以改進(jìn)網(wǎng)絡(luò)系統(tǒng)安全規(guī)劃和技術(shù)流程為目標(biāo)[95]，從而保證指標(biāo)對(duì)度量網(wǎng)絡(luò)系統(tǒng)是有效的。

圍繞BS7799的學(xué)術(shù)研究主要集中在安全要素度量問(wèn)題上，如Tao等[96]把BS7799與故障樹(shù)技術(shù)結(jié)合，對(duì)各層安全要素之間的邏輯關(guān)系進(jìn)行分析，實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全要素定量計(jì)算。除了建立指標(biāo)體系，BS7799也適合作為大、中、小工商業(yè)組織的網(wǎng)絡(luò)系統(tǒng)在所需的控制范圍內(nèi)的安全基準(zhǔn)，并形成全局度量基線。

4.2.3 全面性指標(biāo)體系

我國(guó)發(fā)布的計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則[97]，用于評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)安全保護(hù)能力，從整體上形成多級(jí)系統(tǒng)安全保護(hù)體系，為安全系統(tǒng)的建設(shè)提供了技術(shù)指導(dǎo)。為了進(jìn)一步加強(qiáng)重要領(lǐng)域網(wǎng)絡(luò)系統(tǒng)安全的規(guī)范化建設(shè)和管理，全面提高國(guó)家網(wǎng)絡(luò)安全保護(hù)的整體水平，形成了新的網(wǎng)絡(luò)安全等級(jí)保護(hù)。目前新等級(jí)保護(hù)雖未正式發(fā)布，其整體結(jié)構(gòu)已基本形成，如圖4所示。新等級(jí)保護(hù)具有高度靈活性，能夠適應(yīng)移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用背景下的網(wǎng)絡(luò)安全全局性、系統(tǒng)性度量工作的開(kāi)展，提高國(guó)家網(wǎng)絡(luò)系統(tǒng)安全防御能力。

圖4 網(wǎng)絡(luò)安全等級(jí)保護(hù)結(jié)構(gòu)

根據(jù)新要求，指標(biāo)體系建設(shè)可從多維度、多層面進(jìn)行，這有利于度量安全要素時(shí)靈活地選擇模型。新要求中的通用部分可看作網(wǎng)絡(luò)系統(tǒng)安全的基準(zhǔn)，有利于度量基線的統(tǒng)一化建設(shè)。國(guó)內(nèi)的安言咨詢(xún)公司[98]已經(jīng)開(kāi)始使用新等級(jí)保護(hù)，對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全局量化分析，挖掘業(yè)務(wù)運(yùn)營(yíng)的特定環(huán)境中存在的網(wǎng)絡(luò)系統(tǒng)安全隱患。等級(jí)保護(hù)體系與全局度量相結(jié)合能以數(shù)字化的形式展現(xiàn)系統(tǒng)潛在問(wèn)題、影響范圍和發(fā)生的可能性，形成動(dòng)態(tài)的、可持續(xù)改進(jìn)的安全度量機(jī)制。

4.2.4 體系分析

部分指標(biāo)體系的對(duì)比如表3所示。通過(guò)對(duì)比發(fā)現(xiàn)，體系指標(biāo)的可量化程度還不夠客觀，存在較多的問(wèn)題。將體系中提取的指標(biāo)作為測(cè)度的依據(jù)，進(jìn)而對(duì)系統(tǒng)實(shí)行全局量化。不同的應(yīng)用場(chǎng)景對(duì)網(wǎng)絡(luò)系統(tǒng)能夠提供的安全性程度的要求不同。在選擇具體指標(biāo)時(shí)還需根據(jù)不同的系統(tǒng)及需求來(lái)選擇安全體系。通過(guò)對(duì)體系進(jìn)行分析形成指標(biāo)選擇的原則有：1) 簡(jiǎn)潔性，選擇各種類(lèi)型的指標(biāo)必須簡(jiǎn)明扼要，且須具有代表性；2) 完整性，選擇各種類(lèi)型的全局度量指標(biāo)應(yīng)是互補(bǔ)的，要能夠完整描述網(wǎng)絡(luò)系統(tǒng)要素；3) 可行性，各種指標(biāo)的選擇能夠與實(shí)際度量相結(jié)合，確保其實(shí)際操作能力；4) 獨(dú)立性，各種指標(biāo)之間具有獨(dú)立性，減少或者避免它們之間的聯(lián)系；5) 準(zhǔn)確性，指標(biāo)的選取能夠進(jìn)行論證及提供價(jià)值。

在安全基線建設(shè)方面，體系的基本要求可確立形成度量基線。雖然同類(lèi)網(wǎng)絡(luò)系統(tǒng)之間存在差異以及它們的安全需求是不同的，但其安全基線應(yīng)是一致的。通過(guò)體系能夠快速建立安全基準(zhǔn)，確保網(wǎng)絡(luò)系統(tǒng)最低安全性。確定基準(zhǔn)后，安全度量指標(biāo)需是可拓展的，對(duì)不同類(lèi)型網(wǎng)絡(luò)系統(tǒng)或者對(duì)同一系統(tǒng)不同階段應(yīng)有所變化，安全體系可被視為安全度量人員的資料庫(kù)[99]。

表3 部分指標(biāo)體系對(duì)比

安全體系在促進(jìn)網(wǎng)絡(luò)系統(tǒng)全局度量的發(fā)展中發(fā)揮著關(guān)鍵作用，但其不能完全滿(mǎn)足度量要求。一方面，網(wǎng)絡(luò)技術(shù)及系統(tǒng)業(yè)務(wù)模式的發(fā)展遠(yuǎn)遠(yuǎn)快于安全體系的制定，體系的滯后性影響度量建設(shè)。另一方面，從安全體系中選取具有代表性的安全影響因素作為指標(biāo)時(shí)，每類(lèi)因素可能包含許多不確定的因子，因此會(huì)增加全局度量的不準(zhǔn)確性。所以，建設(shè)科學(xué)的安全度量指標(biāo)體系很重要。我國(guó)指標(biāo)體系建設(shè)工作起步較晚。2015年，發(fā)布的信息安全保障指標(biāo)體系及評(píng)價(jià)方法[100]提出了安全評(píng)價(jià)指標(biāo)體系及其測(cè)度過(guò)程，闡述了一種實(shí)現(xiàn)系統(tǒng)安全性評(píng)價(jià)的層次結(jié)構(gòu)，可以對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行粗略全局度量。此標(biāo)準(zhǔn)可以認(rèn)為是給出了簡(jiǎn)單的指標(biāo)指導(dǎo)，但指標(biāo)體系的構(gòu)建還存在不足，且這種粗略度量對(duì)網(wǎng)絡(luò)系統(tǒng)整體安全性的刻畫(huà)還不夠客觀。

4.2.5 小結(jié)

基于安全體系建設(shè)網(wǎng)絡(luò)系統(tǒng)安全度量指標(biāo)體系有利于全局度量的發(fā)展，但仍需進(jìn)一步地研究與完善。本節(jié)介紹了對(duì)網(wǎng)絡(luò)安全產(chǎn)生重要影響的安全體系，指出了體系在全局度量方面的應(yīng)用（粗略度量、標(biāo)準(zhǔn)建設(shè)、安全基線）。通過(guò)對(duì)比分析，給出了這些體系在度量指標(biāo)建設(shè)方面各自的優(yōu)劣勢(shì)，同時(shí)總結(jié)了網(wǎng)絡(luò)系統(tǒng)安全度量指標(biāo)體系構(gòu)建的原則。

4.3 度量工具

網(wǎng)絡(luò)安全系統(tǒng)度量工具是全局度量的輔助手段，是保證度量結(jié)果可信度的一個(gè)重要因素，在一定程度上解決了手動(dòng)度量的局限性。近年來(lái)，不斷增多的網(wǎng)絡(luò)安全事件促進(jìn)了安全企業(yè)迅速發(fā)展，同時(shí)增加了度量工具的使用頻率。由于工具的使用比較靈活，本節(jié)簡(jiǎn)單介紹幾款常見(jiàn)的可用于全局度量的工具。

4.3.1 CRAMM（CCTA risk analysis and management method）

CRAMM[101]依據(jù)BS7799標(biāo)準(zhǔn)建立指標(biāo)體系，以風(fēng)險(xiǎn)度量為基礎(chǔ)，涵蓋了安全管理的所有階段，如資產(chǎn)安全度量、風(fēng)險(xiǎn)計(jì)算、控制方案調(diào)整等。CRAMM建有強(qiáng)大的經(jīng)驗(yàn)數(shù)據(jù)庫(kù)，度量時(shí)能夠參考以往經(jīng)驗(yàn)，并通過(guò)分層對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行簡(jiǎn)單的全局定量分析。CRAMM在實(shí)時(shí)度量的同時(shí)，提供必要的安全解決方案，有效地降低安全實(shí)施成本。CRAMM適用于各種大型的網(wǎng)絡(luò)系統(tǒng)，但是，其度量主觀性較大，部分?jǐn)?shù)據(jù)采用人工收集，且主要依靠研究人員的知識(shí)和經(jīng)驗(yàn)，需要經(jīng)驗(yàn)豐富的從業(yè)者使用該工具。

4.3.2 COBRA（consultative, objective and bi-functional risk analysis）

COBRA[102]基于專(zhuān)家知識(shí)庫(kù)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全分析，它利用動(dòng)態(tài)分析對(duì)大量的網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)進(jìn)行簡(jiǎn)單的計(jì)算，度量所有威脅和漏洞的相對(duì)重要性，并以此代表全局度量，從而生成適當(dāng)?shù)陌踩ㄗh和解決方案。COBRA能夠控制度量的細(xì)節(jié)和精度，從而根據(jù)實(shí)際需要獲得更有利于網(wǎng)絡(luò)系統(tǒng)安全的結(jié)果。COBRA能夠提供較大的靈活性，所有功能部分都是可選的，但工具自動(dòng)化支持相對(duì)薄弱，使全局度量時(shí)間長(zhǎng)，且過(guò)程會(huì)產(chǎn)生混亂的情況。

4.3.3 工業(yè)網(wǎng)絡(luò)安全工具

綠盟[103]2018年發(fā)布了工業(yè)網(wǎng)絡(luò)系統(tǒng)安全合規(guī)工具ISCAT。ISCAT集成多個(gè)權(quán)威合規(guī)性安全標(biāo)準(zhǔn)分析模版，能夠?qū)W(wǎng)絡(luò)系統(tǒng)中的設(shè)備安全、資產(chǎn)安全等局部度量，也能夠通過(guò)關(guān)聯(lián)分析進(jìn)行全局度量。其減弱了專(zhuān)業(yè)背景需求，能為用戶(hù)提供標(biāo)準(zhǔn)、專(zhuān)業(yè)的檢查指導(dǎo)，并以可視化方法幫助用戶(hù)快速分析展示網(wǎng)絡(luò)系統(tǒng)安全狀況。ISCAT的缺點(diǎn)在于度量場(chǎng)景有限，安全指標(biāo)有待進(jìn)一步整合與量化。整體來(lái)說(shuō)，ISCAT有針對(duì)性地采取安全防護(hù)措施，提升工業(yè)控制領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)安全防護(hù)能力，有助于切實(shí)保障工業(yè)網(wǎng)絡(luò)系統(tǒng)安全。

4.3.4 小結(jié)

本節(jié)從自動(dòng)化的程度出發(fā)，介紹了3個(gè)具有代表性的工具及其優(yōu)缺點(diǎn)。整體來(lái)看，度量工具距離完全實(shí)現(xiàn)度量自動(dòng)化還有一段路需要走。數(shù)據(jù)的采集有部分依靠人工方式，而且采集方式普遍效率較低；度量指標(biāo)需要專(zhuān)家確定；數(shù)據(jù)的整合比較粗略，缺乏模型化。因此，全局度量工具還有很大的改善空間。全局度量工具是網(wǎng)絡(luò)系統(tǒng)安全發(fā)展中必不可少的一環(huán)，應(yīng)當(dāng)以流程化、自動(dòng)化為目標(biāo)。合理使用網(wǎng)絡(luò)系統(tǒng)安全度量工具，可以降低人力物力的成本，提高安全管理和防護(hù)的效率，大幅度減少網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題。

5 挑戰(zhàn)與機(jī)遇

數(shù)據(jù)化的快速發(fā)展導(dǎo)致度量的方式會(huì)有所不同，并且會(huì)加快網(wǎng)絡(luò)系統(tǒng)全局度量的發(fā)展。沒(méi)有全局度量的網(wǎng)絡(luò)，就不會(huì)真正地清楚安全目標(biāo)。對(duì)網(wǎng)絡(luò)系統(tǒng)的每次全局度量都是為了讓網(wǎng)絡(luò)系統(tǒng)變得更安全。目前的度量發(fā)展太過(guò)單一，全局度量應(yīng)用于具體網(wǎng)絡(luò)系統(tǒng)能更好地驅(qū)動(dòng)全局度量的進(jìn)步。未來(lái)的全局度量將圍繞what（度量的數(shù)據(jù)有什么）與 how（如何應(yīng)用度量）展開(kāi)。當(dāng)前是全局度量最好的發(fā)展時(shí)期，自動(dòng)化、智能化等新技術(shù)的迅速出現(xiàn)為全局度量創(chuàng)新了思維、創(chuàng)造了條件、提供了機(jī)會(huì)。

5.1 挑戰(zhàn)

5.1.1 全局度量可行性

安全度量的現(xiàn)狀和實(shí)際操作還無(wú)法完全滿(mǎn)足各方的期望。利益相關(guān)方的期望對(duì)網(wǎng)絡(luò)系統(tǒng)全局度量有著很大的影響，這些期望基本都圍繞著全局度量的可行性和度量結(jié)果的參考價(jià)值。理解并進(jìn)一步滿(mǎn)足這些期望有助于準(zhǔn)備開(kāi)展安全度量項(xiàng)目的組織獲得成功，提升網(wǎng)絡(luò)系統(tǒng)整體度量客觀性[104]。大部分企業(yè)或者組織在對(duì)系統(tǒng)進(jìn)行安全性評(píng)價(jià)時(shí)，評(píng)價(jià)指標(biāo)、全局度量方法的選取各不相同，因此得到的度量結(jié)果沒(méi)有可比性。

5.1.2 全局度量方法論

全局度量的方法論在標(biāo)準(zhǔn)化、普適性等方面進(jìn)展緩慢、存在局限，在以下幾點(diǎn)存在較多缺陷。

1) 度量基線

一個(gè)標(biāo)準(zhǔn)化的、最小的量度集是安全度量的度量基線。圍繞基線擴(kuò)展全局度量范圍，新的測(cè)度可以隨著時(shí)間推移加入，但是核心的測(cè)度應(yīng)保持固定以應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)的變更。

2) 局部度量

機(jī)密性、完整性、可用性是網(wǎng)絡(luò)安全內(nèi)在的關(guān)鍵基礎(chǔ)特性。越來(lái)越龐大的網(wǎng)絡(luò)系統(tǒng)導(dǎo)致了系統(tǒng)自身很難用簡(jiǎn)單的量化模型來(lái)呈現(xiàn)。復(fù)雜系統(tǒng)涉及的內(nèi)容繁多，僅從風(fēng)險(xiǎn)等獨(dú)立安全要素角度只能比較片面地解釋網(wǎng)絡(luò)系統(tǒng)存在問(wèn)題。用漏洞度量、攻防度量等局部度量的方式來(lái)代表全局度量不能準(zhǔn)確說(shuō)明安全程度，將導(dǎo)致不準(zhǔn)確或者錯(cuò)誤地衡量系統(tǒng)安全性。

3) 持續(xù)性

全局度量的持續(xù)性與組織的領(lǐng)導(dǎo)力有很大關(guān)系，只要對(duì)項(xiàng)目保持強(qiáng)有力的支持，網(wǎng)絡(luò)系統(tǒng)安全度量就會(huì)持續(xù)地展開(kāi)。全局度量對(duì)于管理層具有戰(zhàn)略目的，停滯的度量無(wú)法用于管理決策。

4) 術(shù)語(yǔ)和定義

全局度量缺乏被廣泛接受的術(shù)語(yǔ)和概念框架，相關(guān)詞匯定義較含糊，存在交叉，對(duì)度量范圍界定不清晰。需要明確定義和使用量度作為全局度量的特征來(lái)表示網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，從而形成基本的定義和通用的術(shù)語(yǔ)集[105]。隨著技術(shù)的發(fā)展，人們對(duì)全局度量的術(shù)語(yǔ)會(huì)逐步趨于一致。然而要提高一致性的程度并在安全度量實(shí)踐者中取得共識(shí)，還有更多的工作要做。

5.1.3 全局度量可操作性

完善已有的方法、探索還沒(méi)有被識(shí)別的特性的數(shù)據(jù)組合將有助于推進(jìn)全局度量謎題的解決，促進(jìn)精準(zhǔn)化度量的實(shí)施。

1) 指標(biāo)

零散指標(biāo)難以聚合。哪些數(shù)據(jù)需要被測(cè)度，度量標(biāo)準(zhǔn)提供的信息具有一定借鑒作用。測(cè)度的數(shù)據(jù)是廣泛的，把測(cè)度值集合成一個(gè)確定的高層次的指標(biāo)是必要的。整合指標(biāo)的數(shù)量以及將零散的測(cè)度數(shù)據(jù)升華為復(fù)合的指標(biāo)進(jìn)行全局度量的方式都需要不斷地實(shí)踐。解決具有不同粒度的度量值存在精度丟失的問(wèn)題還需要研究人員投入大量的精力。

2) 度量方法

全局度量的方法已經(jīng)有許多，但都不完善，有各自的優(yōu)勢(shì)和劣勢(shì)。不同的度量方法能從不同角度度量網(wǎng)絡(luò)系統(tǒng)安全要素，多種方法交叉使用能更系統(tǒng)地表示和建模網(wǎng)絡(luò)系統(tǒng)中涉及的主要元素或組成部分之間的內(nèi)部依賴(lài)關(guān)系[106]。結(jié)合人工智能等相關(guān)技術(shù)實(shí)現(xiàn)實(shí)時(shí)的、自動(dòng)化度量，能夠提高全局度量準(zhǔn)確性、完善其高效性和促進(jìn)其廣泛性。

3) 數(shù)據(jù)格式

數(shù)據(jù)格式通用性有待改進(jìn)。不同行業(yè)、不同渠道采集的數(shù)據(jù)格式是有區(qū)別的，需要耗時(shí)進(jìn)行處理與關(guān)聯(lián)分析。使用標(biāo)準(zhǔn)格式采集和編制數(shù)據(jù)，將有益于快速實(shí)施全局度量、驗(yàn)證已有的度量結(jié)論、創(chuàng)建和對(duì)比不同網(wǎng)絡(luò)系統(tǒng)的原始度量、促進(jìn)數(shù)據(jù)共享交換、建立全局度量標(biāo)桿。

5.2 機(jī)遇

5.2.1 全局度量的迫切性

全局度量事關(guān)網(wǎng)絡(luò)系統(tǒng)安全的每一個(gè)利益相關(guān)者，涉及安全生命周期每一個(gè)環(huán)節(jié)、每一個(gè)方面。沒(méi)有準(zhǔn)確的全局度量，就無(wú)法形成有效的安全認(rèn)知，安全相關(guān)的所有行為都將處于迷茫。目前，在網(wǎng)絡(luò)系統(tǒng)安全領(lǐng)域，安全度量及標(biāo)準(zhǔn)具有很大程度的主觀性，全局度量處于粗略比較狀態(tài)。為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)安全的精準(zhǔn)、客觀認(rèn)識(shí)，迫切需要發(fā)展全局度量科學(xué)。

5.2.2 全局度量的必要性

網(wǎng)絡(luò)空間成為第五空間，社會(huì)基礎(chǔ)產(chǎn)業(yè)全面網(wǎng)絡(luò)化，客觀的網(wǎng)絡(luò)系統(tǒng)安全性描述源于更強(qiáng)大的全局度量。全局度量能夠挖掘網(wǎng)絡(luò)系統(tǒng)安全的內(nèi)在本質(zhì)，已成為安全度量發(fā)展的客觀趨勢(shì)。網(wǎng)絡(luò)系統(tǒng)安全全局度量所追求的目標(biāo)是用較少的成本來(lái)獲得必要的安全信任。以主動(dòng)提高網(wǎng)絡(luò)系統(tǒng)安全性為目的，對(duì)網(wǎng)絡(luò)系統(tǒng)全局度量可以及時(shí)發(fā)現(xiàn)各類(lèi)隱含的安全問(wèn)題及潛在風(fēng)險(xiǎn)，并提出相關(guān)的解決建議，確保管理可落實(shí)、操作可管控、技術(shù)可實(shí)施等。通過(guò)網(wǎng)絡(luò)系統(tǒng)所涉及的信息流，進(jìn)一步建立并實(shí)施一系列的全局度量手段，持續(xù)不斷地改進(jìn)網(wǎng)絡(luò)系統(tǒng)安全工作。

5.3 小結(jié)

本節(jié)首先從可行性、普適性、可操作性等角度說(shuō)明了全局度量的研究存在挑戰(zhàn)。接著又從迫切性和必要性?xún)煞矫嬲f(shuō)明了全局度量的研究還面臨著機(jī)遇。挑戰(zhàn)和機(jī)遇的提出表明了雖然全局度量研究是困難的，但也為研究人員提供了創(chuàng)新機(jī)會(huì)，同時(shí)提升研究人員的研究熱情。

6 未來(lái)研究展望

網(wǎng)絡(luò)系統(tǒng)安全度量研究一直是網(wǎng)絡(luò)空間安全研究的重要方向之一，這對(duì)網(wǎng)絡(luò)空間安全有著非常重要的意義。通過(guò)整理第5節(jié)，得到全局度量總體的研究狀況如下：完整的理論體系仍未形成；客觀、量化的標(biāo)準(zhǔn)缺乏，目標(biāo)不一致；還具有很大程度的主觀性、處于粗略比較狀態(tài)；針對(duì)某些特定系統(tǒng)組件，已建立一些成功的安全度量方法，但仍難以完全實(shí)現(xiàn)全局度量、客觀量化及精準(zhǔn)描述網(wǎng)絡(luò)安全。由此可見(jiàn)，實(shí)現(xiàn)全局化度量等研究還有很長(zhǎng)的路要走。表4總結(jié)了網(wǎng)絡(luò)系統(tǒng)全局度量研究的一些難點(diǎn)問(wèn)題以及可能的解決方法。

6.1 系統(tǒng)化度量方法學(xué)

度量方法學(xué)尚未形成完整的、系統(tǒng)化的理論方法。需要將網(wǎng)絡(luò)安全全局度量形成科學(xué)的方法，逐步擴(kuò)大度量范圍，建成具體的體系或框架，讓體系或框架指導(dǎo)具體的網(wǎng)絡(luò)系統(tǒng)安全度量工作，降低業(yè)務(wù)遭受的損失，保證功能正確實(shí)施。度量方法學(xué)應(yīng)提供基本說(shuō)明，以理解什么是度量、為什么度量、什么時(shí)候以及如何度量。研究如何使用度量指標(biāo)來(lái)簡(jiǎn)化管理、合理預(yù)算和分析趨勢(shì)，設(shè)計(jì)更有效的網(wǎng)絡(luò)系統(tǒng)全局度量計(jì)劃[107]。安全問(wèn)題很多情況下是由管理問(wèn)題引起的，管理度量是比較重要的。而在度量組織管理上，方法學(xué)應(yīng)提供如人員情況、法律要求、資源分配、權(quán)限設(shè)置等管理方面的工作方法[108]。

表4 網(wǎng)絡(luò)系統(tǒng)全局度量研究面臨的問(wèn)題與方法

6.2 全局度量與態(tài)勢(shì)感知相結(jié)合

態(tài)勢(shì)感知是對(duì)網(wǎng)絡(luò)系統(tǒng)安全性進(jìn)行定量分析的一種手段，網(wǎng)絡(luò)安全分析人員可以借助度量，宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀況[109]。雖然目前還無(wú)法描述網(wǎng)絡(luò)系統(tǒng)具體的安全程度，但通過(guò)態(tài)勢(shì)感知平臺(tái)可以對(duì)一些全局度量方法進(jìn)行可視化驗(yàn)證，使安全分析人員和網(wǎng)絡(luò)運(yùn)營(yíng)商能粗略地衡量其網(wǎng)絡(luò)的安全狀況和運(yùn)作的成功與否?？梢暬夹g(shù)處理安全大數(shù)據(jù)時(shí)能得到有效應(yīng)用，尤其是針對(duì)大型網(wǎng)絡(luò)系統(tǒng)的安全指標(biāo)。通過(guò)獲取網(wǎng)絡(luò)系統(tǒng)態(tài)勢(shì)數(shù)據(jù)，對(duì)比分析當(dāng)前數(shù)據(jù)和歷史數(shù)據(jù)，將度量結(jié)果進(jìn)行可視化，使人們更能直觀地認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)[110]，從而制定更精準(zhǔn)的決策響應(yīng)突發(fā)情況或者預(yù)防未來(lái)可能發(fā)生的不利狀況。網(wǎng)絡(luò)安全監(jiān)控企業(yè) Scorecard[111]為企業(yè)用戶(hù)提供安全基準(zhǔn)測(cè)試服務(wù)，能感知整個(gè)網(wǎng)絡(luò)系統(tǒng)，度量系統(tǒng)的網(wǎng)絡(luò)健康狀況并做出預(yù)測(cè)，但度量和預(yù)測(cè)結(jié)果偏主觀性。

6.3 度量指標(biāo)體系建設(shè)

精準(zhǔn)度量網(wǎng)絡(luò)系統(tǒng)，客觀建立度量指標(biāo)體系、指標(biāo)標(biāo)準(zhǔn)化、準(zhǔn)確度量指標(biāo)值是關(guān)鍵。指標(biāo)體系應(yīng)包含數(shù)據(jù)采集、數(shù)據(jù)測(cè)度、指標(biāo)組合等內(nèi)容。不同場(chǎng)景下的網(wǎng)絡(luò)系統(tǒng)全局度量的指標(biāo)一般是不同的，指標(biāo)體系應(yīng)給出指導(dǎo)。提出能夠客觀描述整體網(wǎng)絡(luò)系統(tǒng)情況的指標(biāo)體系，并使之形成標(biāo)準(zhǔn)是一項(xiàng)長(zhǎng)期工作。網(wǎng)絡(luò)系統(tǒng)安全全局度量指標(biāo)的建設(shè)與研究初期借鑒 CC、等級(jí)保護(hù)等安全體系可以快速形成度量指標(biāo)并實(shí)施度量。例如，一些安全公司結(jié)合體系和實(shí)際經(jīng)驗(yàn)建立了自己的度量指標(biāo)。UpGuard[112]建立了約2 000個(gè)網(wǎng)絡(luò)系統(tǒng)安全度量指標(biāo)，從企業(yè)外部和內(nèi)部對(duì)其信息完整性、脆弱性、合規(guī)性、安全性等進(jìn)行全局度量，并能給出一份網(wǎng)絡(luò)威脅報(bào)告（CSTAR, cyber security threat assessment report），使客戶(hù)對(duì)網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題直觀理解，了解自身的安全水平。

6.4 網(wǎng)絡(luò)系統(tǒng)全局度量建模

目前，還不清楚在什么條件下，一個(gè)系統(tǒng)的安全性是有意義的、可比較的，即安全程度判斷尚不明確。網(wǎng)絡(luò)系統(tǒng)全局度量建模是判斷安全程度的依據(jù)，是解決客觀性的核心內(nèi)容。許多企業(yè)在安全方面投入了大量的工作，但大多數(shù)企業(yè)依然不能夠確定網(wǎng)絡(luò)系統(tǒng)是否足夠安全。網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性使全局度量建模成為一項(xiàng)艱巨的任務(wù)。設(shè)計(jì)良好的度量模型能夠客觀地認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全性。全局度量模型應(yīng)是可伸縮、可互操作和全面的，應(yīng)支持靜態(tài)或動(dòng)態(tài)度量、自動(dòng)化度量[113]。全局度量模型除了對(duì)技術(shù)進(jìn)行量化外，還需要關(guān)注技術(shù)以外的管理因素，技術(shù)度量和管理度量同時(shí)出現(xiàn)才能設(shè)計(jì)出一套完整的由數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)安全度量方案。

6.5 小結(jié)

網(wǎng)絡(luò)系統(tǒng)安全精準(zhǔn)度量是一項(xiàng)富有挑戰(zhàn)性的研究。國(guó)內(nèi)外對(duì)網(wǎng)絡(luò)系統(tǒng)安全度量的理解還存在諸多分歧，相應(yīng)的技術(shù)框架尚未完善，缺乏系統(tǒng)化的量化分析工具和支撐平臺(tái)。本節(jié)對(duì)這些問(wèn)題做進(jìn)一步的說(shuō)明，并列出了 10個(gè)主要問(wèn)題并給出了解決方法。解決方法主要圍繞領(lǐng)域交叉融合，將可視化、自適應(yīng)、機(jī)器學(xué)習(xí)等技術(shù)應(yīng)用于全局度量中，能極大提高全局度量的研究效率。

7 結(jié)束語(yǔ)

網(wǎng)絡(luò)系統(tǒng)安全全局度量是一個(gè)復(fù)雜的過(guò)程。全局度量系統(tǒng)安全的程度取決于度量的廣度、深度。由于影響網(wǎng)絡(luò)系統(tǒng)安全的因素很多，且各因素之間又相互關(guān)聯(lián)，使安全因素與度量結(jié)果之間呈現(xiàn)出一種復(fù)雜的非線性關(guān)系。因此，需要構(gòu)建完整的全局度量框架，建立安全度量理論與技術(shù)體系，開(kāi)展典型應(yīng)用，從而快速提升全局度量技術(shù)水平。逐步實(shí)現(xiàn)精準(zhǔn)的度量，成為當(dāng)前全局度量體系全面性拓展的基礎(chǔ)條件。對(duì)全局度量各方面的研究，是改變安全度量現(xiàn)狀的技術(shù)途徑。當(dāng)解決了網(wǎng)絡(luò)系統(tǒng)安全難以全局、客觀量化問(wèn)題時(shí)，對(duì)網(wǎng)絡(luò)系統(tǒng)安全的認(rèn)識(shí)會(huì)更客觀、更全面、更科學(xué)、更合理。本文分析了全局度量的相關(guān)概念及其過(guò)程框架，度量的發(fā)展歷程，對(duì)現(xiàn)有的度量方法、體系、工具進(jìn)行了比較總結(jié)，以期拋磚引玉。最后闡述了目前研究中存在的問(wèn)題，并展望了其未來(lái)的發(fā)展方向。