束 紅 黃永青 程予希 潘峻嵐

（銅陵學(xué)院，安徽 銅陵 244061）

一、引言

電子政務(wù)系統(tǒng)在當(dāng)今社會(huì)的作用日益顯著，很多傳統(tǒng)的政務(wù)活動(dòng)逐漸遷移到互聯(lián)網(wǎng)上?？墒怯捎陔娮诱?wù)系統(tǒng)的重要性，其也成為黑客攻擊的首要目標(biāo)。我國已在電子政務(wù)系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方面制定了一些標(biāo)準(zhǔn)和規(guī)范，但大多以靜態(tài)風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，對(duì)實(shí)時(shí)變化的風(fēng)險(xiǎn)態(tài)勢和攻擊細(xì)節(jié)把控性較差。

近年來，基于貝葉斯的攻擊圖理論引起了學(xué)者們的關(guān)注。周余陽[1]等利用貝葉斯攻擊圖提出了一種評(píng)估網(wǎng)絡(luò)攻擊面的方法，推導(dǎo)最大攻擊概率路徑；王增光[2]等利用貝葉斯攻擊圖對(duì)目標(biāo)網(wǎng)絡(luò)建模，實(shí)現(xiàn)了對(duì)目標(biāo)網(wǎng)絡(luò)的動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估；趙松[3]等結(jié)合CVSS指標(biāo)和攻擊圖，計(jì)算攻擊伸縮性作為網(wǎng)絡(luò)安全度量的方法；馬春光[4]等將攻擊者的攻擊意愿和原子攻擊的性質(zhì)與貝葉斯網(wǎng)絡(luò)攻擊圖相結(jié)合，構(gòu)建動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型；楊云雪[5]等運(yùn)用層次分析法，將企業(yè)環(huán)境特征加入貝葉斯攻擊圖進(jìn)行動(dòng)態(tài)評(píng)估。本文將基于貝葉斯的攻擊圖理論應(yīng)用于電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估，對(duì)其實(shí)時(shí)信息安全風(fēng)險(xiǎn)進(jìn)行分析，在此基礎(chǔ)上獲得最有可能發(fā)生的信息安全事件和系統(tǒng)整體的風(fēng)險(xiǎn)等級(jí)，為保障電子政務(wù)系統(tǒng)的安全提供技術(shù)支持。

二、電子政務(wù)系統(tǒng)簡介

據(jù)《中國電子政務(wù)系統(tǒng)的基本框架》[6]，我國政務(wù)網(wǎng)主要由軟件資產(chǎn)和硬件資產(chǎn)構(gòu)成，其中軟件資產(chǎn)包括：政府對(duì)企業(yè)、政府對(duì)政府和政府對(duì)公民提供服務(wù)的系統(tǒng)三個(gè)大類；而硬件資產(chǎn)主要包括政務(wù)專網(wǎng)、政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)中所包含的硬件設(shè)施。

由于電子政務(wù)系統(tǒng)所承擔(dān)的責(zé)任重大，所以其威脅來源廣泛，由于不同威脅的動(dòng)機(jī)和攻擊能力不同，在進(jìn)行分析時(shí)要充分考慮，追求安全效益最大化。

脆弱性是指資產(chǎn)存在的弱點(diǎn)。電子政務(wù)系統(tǒng)的脆弱性可分為技術(shù)脆弱性和管理脆弱性，本文主要討論資產(chǎn)所存在的技術(shù)脆弱性，即資產(chǎn)存在的漏洞。

三、風(fēng)險(xiǎn)評(píng)估概述

信息安全風(fēng)險(xiǎn)評(píng)估是指對(duì)信息系統(tǒng)中的資產(chǎn)、資產(chǎn)所面對(duì)的威脅、資產(chǎn)所存在的脆弱性進(jìn)行分析，結(jié)合目前所采取的措施來進(jìn)行評(píng)估，以此來判斷安全事件發(fā)生的概率和發(fā)生安全事件后可能造成的損失，以此為依據(jù)，管理員分析獲得整改意見和對(duì)整個(gè)安全態(tài)勢的感知。本文將目前主流的風(fēng)險(xiǎn)評(píng)估方法比較分析如下表1：

因?yàn)殡娮诱?wù)系統(tǒng)業(yè)務(wù)連續(xù)性和安全性要求較高，各組成部分之間的信息流動(dòng)交互性比較高，所以基于模型的評(píng)估方法更適合這個(gè)場景。

四、基于貝葉斯攻擊圖的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估模型

表1 評(píng)估方法比較表

（一）貝葉斯攻擊圖的組成

電子政務(wù)系統(tǒng)的貝葉斯攻擊圖具有以下元素：

1.目標(biāo)網(wǎng)絡(luò)模型

目標(biāo)網(wǎng)絡(luò)模型的構(gòu)建是以待評(píng)估系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D為基礎(chǔ)，利用掃描工具和人工檢測手段來獲取資產(chǎn)清單、漏洞信息、網(wǎng)絡(luò)主機(jī)之間連通性和一些已有的防御措施等。

2.脆弱性知識(shí)庫

電子政務(wù)系統(tǒng)一般要維護(hù)已知的脆弱性數(shù)據(jù)庫，包括漏洞的利用條件和方式，本文采用CVSS2.0漏洞評(píng)估方法[7]對(duì)每一個(gè)脆弱性進(jìn)行評(píng)估。

3.攻擊者模型

在傳統(tǒng)評(píng)估方法中，一個(gè)攻擊者的畫像包括攻擊源、攻擊目標(biāo)、可利用的攻擊手段和攻擊序列等，即威脅的描述。為了更好服務(wù)于電子政務(wù)系統(tǒng)，本文將攻擊者描繪為一個(gè)具有明確攻擊目標(biāo)，并且會(huì)選擇最大攻擊效益的角色。

（二）貝葉斯攻擊圖的定義

在對(duì)現(xiàn)實(shí)網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行簡化和去閉環(huán)后，形成一張有向無環(huán)圖。本文將無環(huán)有向的貝葉斯攻擊圖定義為一個(gè)五元組，具體描述如下：

1.S是結(jié)點(diǎn)屬性集合，其中S=S1∪S2∪S3，它由所有節(jié)點(diǎn)起始狀態(tài)S1、中間狀態(tài)S2和最終狀態(tài)S3組成，攻擊者對(duì)其一般有訪問權(quán)限、使用權(quán)限和管理員權(quán)限。

2.A是攻擊圖中原子攻擊的集合，表示節(jié)點(diǎn)之間拓?fù)浜蜐B透層次的聯(lián)系，通過A，父節(jié)點(diǎn)可以跳轉(zhuǎn)到子節(jié)點(diǎn)，并且引起狀態(tài)的改變。

3.E是攻擊者的攻擊策略集合，可以反映攻擊者的攻擊水平高低。

5.L表示屬性與屬性之間的聯(lián)系，即父節(jié)點(diǎn)與子節(jié)點(diǎn)之間的關(guān)系，包括OR與AND兩種。

在攻擊圖的生成算法中，本文選取了廣度優(yōu)先算法，因?yàn)樵趯?duì)攻擊目標(biāo)不確定的情況下，這種算法更為簡練。

（三）貝葉斯攻擊圖概率計(jì)算

本文旨在從攻擊者角度對(duì)系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，需要計(jì)算攻擊者成功攻擊系統(tǒng)相應(yīng)資產(chǎn)的概率。我們引入通用性評(píng)分系統(tǒng)CVSS2.0[7]。對(duì)資產(chǎn)脆弱性利用的難度系數(shù)進(jìn)行量化，主要根據(jù)攻擊途徑(Access Vector,AV)、攻擊復(fù)雜度 (Access Complexity,AC)、身份認(rèn)證(AUthentication,AU)、機(jī)密性影響(Confidentiality,C)、完整性影響(Integrity,I)、可用性影響(Availability,A)和權(quán)值傾向(bias)七個(gè)方面來實(shí)現(xiàn)。則攻擊圖中的原子攻擊成功率有如下定義：

在上述公式中，Eic表示攻擊策略，在C、I、A全取1時(shí)，P（Ei)表示該原子攻擊的成功率。

為了從攻擊者角度去考慮攻擊路徑的問題，就必須在考慮攻擊效益的問題。本文使用W（Ei)表示攻擊者的攻擊意圖，其與選擇攻擊策略的攻擊難度Adiff（Ei)和本次攻擊行為帶來的收益Aprofit（Ei)相關(guān)。Adiff（Ei)主要是由本次攻擊所消耗時(shí)間、消耗財(cái)力和技術(shù)要求相關(guān)；而Aprofit（Ei)是本次攻擊帶來的收益，收益包括單次攻擊所帶來的收益和對(duì)于整個(gè)攻擊策略的收益。綜上所述，我們將攻擊策略的難度和收益比值α定義如下：

為了發(fā)揮攻擊圖對(duì)資產(chǎn)之間聯(lián)系的安全性評(píng)估上的巨大優(yōu)勢，還需要考慮其父節(jié)點(diǎn)受到的原子攻擊。本節(jié)點(diǎn)的可達(dá)性和可達(dá)概率還依賴于父節(jié)點(diǎn)的可達(dá)概率，由于網(wǎng)絡(luò)拓?fù)涞姆植?，子?jié)點(diǎn)和父節(jié)點(diǎn)之間依賴關(guān)系分為OR和AND兩種：

（1）當(dāng)父子節(jié)點(diǎn)之間依賴關(guān)系為AND時(shí)：

（2）當(dāng)父子節(jié)點(diǎn)之間依賴關(guān)系為OR時(shí)：

Par（sj）表示所選路徑到達(dá)該節(jié)點(diǎn)所有父節(jié)點(diǎn)集合，公式（4）中表示所有的父節(jié)點(diǎn)狀態(tài)都為1的時(shí)候，子節(jié)點(diǎn)才可達(dá)；公式（5）中表示所有的父節(jié)點(diǎn)中，有一個(gè)為1，下面即可達(dá)。

（四）電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估模型

圖1 電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估模型圖

本文針對(duì)電子政務(wù)系統(tǒng)提出了基于貝葉斯攻擊圖理論的電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型，對(duì)電子政務(wù)系統(tǒng)中的資產(chǎn)、威脅、脆弱性通過備份資料和掃描器等手段進(jìn)行評(píng)估。其中，資產(chǎn)評(píng)估提供原始的網(wǎng)絡(luò)拓?fù)浜喕挠邢驘o環(huán)圖和攻擊收益；威脅評(píng)估提供攻擊的入口和針對(duì)不同攻擊難度的應(yīng)付能力，也就是說可以設(shè)想攻擊者畫像；脆弱性評(píng)估主要依據(jù)CVSS2.0評(píng)分；最后將獲得的數(shù)據(jù)輸入到貝葉斯攻擊圖中進(jìn)行計(jì)算分析，獲得風(fēng)險(xiǎn)評(píng)估報(bào)告和可能的攻擊路徑，并給出相應(yīng)的整改意見。

為了求得攻擊者最可能攻擊的路線，本文利用我國《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》[8]和CVSS2.0[7]中基礎(chǔ)評(píng)價(jià)部分，分別為資產(chǎn)和脆弱性進(jìn)行定值：

表2 等級(jí)保護(hù)定級(jí)標(biāo)準(zhǔn)表[8]

五、實(shí)驗(yàn)驗(yàn)證

（一）實(shí)驗(yàn)網(wǎng)絡(luò)場景

本文在網(wǎng)絡(luò)中搜集了真實(shí)電子政務(wù)系統(tǒng)中某部門的拓?fù)鋱D，并搭建簡單的網(wǎng)絡(luò)場景來測試。攻擊者通過防火墻，并在核心交換機(jī)處有三條分支。

我們使用漏洞掃描工具對(duì)所有的試驗(yàn)結(jié)點(diǎn)進(jìn)行了掃描，并給出其漏洞編號(hào)，以及相應(yīng)CVSS2.0評(píng)分，并且按照資產(chǎn)的重要性給了資產(chǎn)不同的權(quán)重，為了全面地評(píng)估攻擊路徑，我們將威脅設(shè)置為最高等級(jí)，即所有脆弱性都可以利用。實(shí)驗(yàn)的攻擊圖如圖3所示，由攻擊者為根節(jié)點(diǎn)，屬性結(jié)點(diǎn)和攻擊方式構(gòu)成。

表3 CVSS2.0基礎(chǔ)評(píng)價(jià)評(píng)分標(biāo)準(zhǔn)表

圖2 實(shí)驗(yàn)場景拓?fù)鋱D

圖3 實(shí)驗(yàn)場景貝葉斯攻擊圖

表4 實(shí)驗(yàn)場景基本信息表

（二）實(shí)驗(yàn)結(jié)果分析

根據(jù)攻擊目標(biāo)不同，可以規(guī)劃出來這五條攻擊路徑：

1.ATTACKER->H1(user)->H1(root)：攻擊效益較低，最終只可獲得2.08。

2.ATTACKER->H2(user)->H2(root)：攻擊效益為3.04，后續(xù)攻擊效益潛力為5。

3.ATTACKER->H3(user)->H3(root)：攻擊效益為4.48，后續(xù)攻擊效益潛力為5。

4.ATTACKER->H2(user)->H2(root)->H4(user)->H4(root)：攻擊效益為5，概率為 0.110592，附帶攻擊效益為3.04。

5.ATTACKER->H3(user)->H3(root)->H4(user)->H4(root)：攻擊效益為5，概率為0.1179848，附帶攻擊效益為4.48。

所以，前三條路徑根據(jù)目標(biāo)不同，攻擊路徑選擇唯一，而對(duì)于H4的攻擊，在難度大致相等情況下，攻擊者會(huì)選擇，附帶攻擊效益大的那條，既攻擊路線5。

六、總結(jié)

本文根據(jù)電子政務(wù)系統(tǒng)的特點(diǎn)，從資產(chǎn)、威脅、脆弱性三方面出發(fā)，結(jié)合CVSS2.0漏洞評(píng)估模型，使用貝葉斯攻擊圖構(gòu)建風(fēng)險(xiǎn)評(píng)估模型。以模擬政務(wù)網(wǎng)系統(tǒng)為例，抽象為網(wǎng)絡(luò)拓?fù)?，并以專業(yè)工具檢測脆弱性，從攻擊者視角來看不僅考慮了單個(gè)資產(chǎn)的安全問題，更考慮到資產(chǎn)之間聯(lián)系的安全性，最后可以獲得針對(duì)某一攻擊目標(biāo)的最大化攻擊路徑和針對(duì)性整改意見。但此算法只實(shí)現(xiàn)了二維的攻擊圖，未來將對(duì)于不同的威脅，縱向建模，構(gòu)成三維攻擊圖，實(shí)現(xiàn)防御效益最大化。