網絡安全風險評估方法分析與比較

覃德澤 蒙軍全

1賀州學院計算機科學與工程系 廣西 542800 2賀州市科技局 廣西 542800

0 前言

關于網絡安全風險評估的研究在國內才十多年的歷史，人們已提出了多種不同的評估方法，其中較有代表性的是故障樹分析法(Fault Tree Analysis, FTA)、層次分析法(Analytic Hierarchy Process, AHP)、模糊綜合評判法(Fuzzy Comprehensive Evaluation method, FCE)和基于貝葉斯、BP神經網絡、D_S證據理論和基于數據場的網絡安全風險融合模型等方法。這些方法從不同的角度去探討網絡安全風險評估問題，各有優、缺點，下面具體分析。

1 評估方法簡介

1.1 故障樹分析法

所謂故障樹分析法，就是對這些可能造成系統失效的各種因素進行分析，并用故障樹反映系統內故障或其它事件之間的交互關系的設計分析方法和評估方法。

1.2 層次分析法

層次分析法(AHP)是在對系統分析的基礎上，將復雜關系分解為由局部簡單關系構成的遞增層次關系，將前一級的評估結果作為下一級的評估輸入，構造關系矩陣、權重向量和評價矩陣進行模糊綜合評估的系統分析和評估方法。通過逐層評判，最終得到目標層的模糊評判矩陣，選取隸屬度最大者所對應的評價集元素作為系統的綜合評價結果。如果希望進行安全系統之間的比較，則取目標層的模糊評判矩陣中的各元素(值)的加權和作為系統的量化總分。應用層次分析法首先要對系統分層，并建立評估指標體系。

1.3 模糊綜合評判法

模糊綜合評判法就是通過構造風險因素集和評價因素集，專家直接打分評判出各風險因素的風險水平，定義隸屬函數來建立權重模糊矩陣和關系模糊矩陣，并把權重模糊矩陣和關系模糊矩陣的乘積作為模糊綜合評價結果的方法。

例如，設 U={U1，U2，U3}=(資產，威脅，漏洞)，為各單項因素的集合，稱為風險因素集；設V={v1，v2，v3，v4，v5}＝(低，較低，中，較高，高)，為各風險級別的集合，稱為評價因素集。在對各單項因素進行風險級別評估取得每個單項因素的等級值后，通過各自的隸屬函數定義可分別求出每個單項因素對評價集V中5個風險級別的隸屬度，每個單項因素分別得出一組5個數，三個單項因素便得到3組5個數，用這3組5個數組成矩陣(3×5)就是關系模糊矩陣R；設資產、威脅和漏洞三個因素的權重值分別為β1, β2, β3，用此組成的矩陣(1×3)就是權重模糊矩陣B。

將權重模糊矩陣 B 和關系模糊矩陣R相乘，就得到網絡系統風險的模糊綜合評價結果Y。Y為一個1×5的矩陣，即Y={y1y2y3y4y5}，此結果代表最后的綜合評估結果隸屬于第i個風險級別的程度(i=1，2…，5)。綜合評估結果的數值表示則取 Y 中各元素(值)的加權和，即Y′=1*y1+2*y2+3*y3+4*y4+5*y5。

1.4 基于貝葉斯

基于貝葉斯網絡的評估方法，是以貝葉斯網絡為模型，對影響風險等級的各種因素采用概率方法結合專家知識進行描述。該方法不僅可以對網絡的總體風險進行評估，還能分別評估各個局部要素可能引起風險的程度。

1.5 基于BP神經網絡

應用BP網絡進行風險評估的基本原理是：把用于描述評估的各風險因素的風險等級作為神經網絡的輸入向量，將對系統的風險評估值作為神經網絡的輸出。使用網絡前，用一些傳統方法評估取得成功的系統樣本訓練這個網絡，使它所特有的權值系數值經過自適應學習后得到正確的內部關系，訓練好的神經網絡便可作為風險評估的有效工具了。

1.6 基于D_S證據理論

D_S證據理論主要用于數據融合技術中，近年來在風險評估中的應用逐漸增多(如項目投資、軟件開發風險評估等)，這些應用顯示了該理論在風險評估中的優勢，但其在網絡安全風險評估中的應用還很少。證據理論是一種處理不確定性的推理方法，能處理由隨機性和模糊性所導致的不確定性，能將“不知道”和“不確定”區分開，適用于存在人為和不確定因素的評估。在不確定信息的表達及合成方面有著明顯優勢。因此，將證據理論用于網絡安全風險評估，能減少網絡安全評估中的不確定性，提高評估的準確性。

1.7 基于數據場的網絡安全風險融合模型

針對傳統網絡安全風險評估中基于全局信息評估策略的不足，建立一種先局部后整體的網絡安全風險融合模型。該方法在主機節點模糊評判統計分析的基礎上，利用網絡全局定位(GNP)實現網絡拓撲的坐標化，通過對重要節點以及節點間關聯性因子進行加權，然后采用數據場思想實現關聯節點的風險融合。通過風險場的構建，該模型能夠準確反映風險的融合規律和網絡安全風險態勢，為管理員提供直觀的安全態勢視圖，方便風險阻斷和策略制定。

2 優缺點比較

（1）故障樹分析法

優點：能給出導致風險的事故序列和發生的概率。

缺點：這種方法不足之處在于：第一，由于風險因素的不確定性和多樣性，使得在對風險因素進行描述時，要做到嚴格的定量化或準確性是不現實的；第二，要求有大量的歷史資料可供參考；第三，方法過于繁瑣。

該方法通常要求數據收集的準確性和全面性，因此其適用范圍通常是大而復雜、風險源多的系統。

（2）層次分析法

優點：將分析問題抽象簡化、簡便適用，該方法是一種定性與定量相結合的多目標決策分析方法。這一方法的核心是將決策者的經驗判斷給予量化，從而為決策者提供定量形式的決策依據。

缺點：受專家經驗、知識限制，主觀性強。

目前該方法主要用于尚無統一度量尺度的復雜問題的分析和權值確定，解決用純參數數學模型方法難以解決的決策分析問題。

（3）模糊綜合評判法

優點：可量化不確定的因素，能夠考慮到客觀事務內部關系的錯綜復雜性和價值系統的模糊性。

缺點：評價結果趨于均化，指標體系難建立，各評估指標的風險等級和權重都是專家根據自己的知識和經驗直接給定，主觀因素較多，并且這種給定的稍微偏差將對最終評估結果產生較大的影響，因此容易造成評估結果與客觀實際偏差較大。因此其適用范圍通常是那些不確定因素多的系統。

（4）基于貝葉斯

優點：該方法對于處理存在大量主觀因素及不確定信息的評估問題效果顯著，不僅可以評估網絡的總體風險，還可以分別評估各個局部要素可能引起風險的程度。

缺點：貝葉斯網絡的建立是一項比較復雜、困難的工作，它沒有現成的規矩，只能根據實際問題，依靠相關領域專家確定貝葉斯網絡的結點，其后的主要任務就是學習它的結構和參數。也就是說，貝葉斯網絡模型條件概率的確定一般比較復雜，往往要根據具體問題，由專家經驗確定或由統計實驗確定。

（5）基于BP神經網絡

優點：BP神經網絡的應用，很好地克服了評價中的主觀性?；贐P神經網絡的信息安全風險評價體系，評估過程不帶有明顯的主觀成分和人為因素，因為只需將處理過的數據輸入到網絡中，通過MATLAB 的神經網絡工具箱計算即可得到評價結果，避免了主觀性和簡單性，使評價結果更有效、更客觀。

缺點：選取學習樣本的數量受到限制，樣本的正確性不好界定。

（6）基于D_S證據理論

優點：將證據理論用于網絡安全風險評估，能減少網絡安全評估中的不確定性，提高評估的準確性。

缺點：證據理論應用有一個很強的條件，就是合成的證據之間必須相互獨立，然而，對于一個網絡系統，各種信息間聯系和相關是必然的，因此，這給本方法的推廣帶來了一定的局限性。

（7）基于數據場的網絡安全風險融合模型

優點：①利用 GNP 思想建立風險網絡，采用模糊評判實現網絡節點評估，從全局角度研究風險的融合機制，既考慮個體，又兼顧全局；②具備直觀的風險態勢圖，能快捷、便利查找出最具威脅風險源和安全節點，為決策者實施風險阻斷和策略制定提供高效依據；③通過對風險融合的態勢研究，掌握融合的趨勢與規律，能使防護策略具有針對性，從而采取主動防御的策略，降低風險的傳遞速度，使得風險的傳播和破壞作用僅局限在有限的范圍。

缺點：較難準確地描述節點風險和節點之間的關聯度。

3 風險評估面臨的問題和發展趨勢

3.1 存在問題

目前，人們對網絡安全風險評估主要是根據信息安全管理標準BS 7799/ISO17799、ISO13335和信息安全風險評估方法OCTAVE、TCSEC、CC等進行，主要是評估資產、威脅、脆弱性對風險的影響。評估過程主要存在如下問題：

（1）對各風險因素的風險等級劃分，缺乏科學依據，標準不統一；

（2）評估指標體系的建立，也缺乏科學性，標準不統一；

（3）因為評估方法各異，側重點不同，在評估標準的采用上，沒有統一的標準，導致評估結果沒有可比性，甚至出現較大的差異；

（4）評估中主觀因素的滲入，影響了評估結果的客觀性和準確性；（5）

網絡安全風險評估理論、方法和模型尚需進一步完善；（6）缺乏科學、實用、自動化程度高的風險評估工具。

3.2 發展趨勢

網絡安全風險評估是一個系統工程，安全評估是一個有著嚴格流程的體系，它是動態、發展的，而非停滯、靜態的。風險評估應該向科學化、系統化、規范化、標準化和自動化進行。

（1）要進一步完善風險評估的理論體系，增強評估模型、評估方法的科學性與實用性。

（2）風險評估工具應該實現功能的集成，風險評估工具應具有狀態分析、趨勢分析和預見性分析等功能。

（3）風險評估的過程應該逐漸轉向自動化、標準化和智能化。安全評估的結果應該可以比較。安全評估的結果必須能夠相互比較才可以具有較好的參考意義，才能夠保證安全評估相關研究的規范發展。

（4）風險評估應該盡量減少主觀因素的影響，確保評估結果的客觀、準確。

4 結束語

上述的網絡安全風險評估方法各有優缺點，對各自不足之處需要探索解決方法。網絡安全風險評估將由單純的定量評估、定性評估向兩者結合的綜合評估方向發展，評估理論將不斷完善，評估模型、方法和工具將更趨科學性和實用性，最終達到評估結果更客觀、可信的目的。

[1]ISO/IEC17799 20001 Information Technology Code of Practice for Information SecurityManagement[S].

[2]朱巖,楊永田,馮登國.基于層次結構的信息安全評估模型研究[J].計算機工程與應用.2004.

[3]付鈺,吳曉平,嚴承華.基于貝葉斯網絡的信息安全風險評估方法[J].武漢大學學報(理學版). 2006.

[4]趙冬梅,劉海峰,劉晨光.基于 BP 神經網絡的信息安全風險評估[J].計算機工程與應用.2007.