網絡系統安全度量綜述

吳晨思，謝衛強,2，姬逸瀟,2，楊粟，賈紫藝，趙松,2，張玉清,2

（1. 中國科學院大學國家計算機網絡入侵防范中心，北京 101408；2. 西安電子科技大學網絡與信息安全學院，陜西 西安 710071）

1 引言

網絡系統安全的重要性日益突出，其安全問題已經被提到戰略性高度。提高人們對網絡系統整體安全性認知的準確性，可以更好地保障網絡系統安全且能夠有效應對未知問題[1]。對網絡系統安全狀況進行客觀、全面的認知比以往任何時候都顯得更重要、更迫切。

目前，人們對網絡系統安全的認知主要有管理安全和技術安全2個角度。網絡系統管理安全是對人們管理網絡系統活動中涉及的安全性因素的分析，如制度建設、流程控制、日常操作等；網絡系統技術安全是對網絡安全技術及系統安全屬性（可用性、完整性和機密性等）進行再認識，以更科學地評價安全性。本文主要討論技術安全范圍內的內容。

網絡系統安全性評價分為定性評價與定量評價。安全性定性評價依據知識、經驗等資料，通過觀察、分析、歸納等方法對網絡系統的安全狀況做出判斷，一般以安全級別等非數值化的形式呈現結論；安全性定量評價依據數學模型和數量指標，通過分析、量化等方法對網絡系統安全狀況做出判斷，一般以數值化的形式呈現結論[2]。相比于定量評價，網絡系統安全性定性評價稍側重主觀判斷。

隨著網絡系統復雜性的增加，人們需要更科學、更直觀地分析安全性，因此對網絡系統安全定量分析也產生了新的要求，即以客觀化數值來描述系統的安全性。量化評價朝著更精確化、更客觀化發展，從而有效提升了評價結果的嚴密度和可信度[3]，進而形成了安全度量（security metrics）。因此，為增強評估結果的客觀性，一些量化安全評估問題的研究也朝著安全度量轉變[4-6]。

目前，安全度量沒有標準的定義。IEEE術語標準辭典給出：度量是對一個系統、構件或過程具有的某個給定屬性的度的一個定量測量[7]。所以，人們可以認為安全度量是基于某一尺度衡量安全性和保護數據的一種有效過程[8]。網絡系統需要量化與系統安全質量相關的安全要素，如脆弱性、風險、攻擊、防御等，用于表征、描述或預測系統安全的信任程度[9]。為了使度量結果具有可比性，將網絡系統的最小安全保證設置為安全基線（security baseline），且安全基線隨著網絡系統規模的變化而變化。將度量結果與安全基線進行比較，可以了解網絡系統不同時段的安全狀況[10]。安全度量的主要目的是發現安全要素間的相互聯系、相互作用，有助于深入理解網絡系統安全，其對增強網絡系統安全的認知至關重要。安全度量通過量化復雜的安全活動、分析相關數據，能夠確定系統優勢和劣勢，降低部署成本，是客觀分析網絡系統安全性的關鍵手段[11]。

與安全度量容易混淆的是安全測量（security measure）、安全測度（security measurement）。安全測量只是獲取安全要素的直觀原始數據；安全測度則是通過量化安全問題空間，使用以百分數、頻率、平均數或其他相似術語對具體定量的安全指標進行數字化的描述[12]。安全度量進一步利用安全測度得到的數據，通過比較或計算等方法來分析安全要素的變化，深入挖掘系統安全情況，準確反映網絡系統安全的各個方面。之后利用安全度量得到的安全要素的相關值來確定網絡系統的安全程度并制定安全策略。

網絡系統安全度量（NSSM, network system security metrics）對網絡系統中的安全要素進行客觀分析，給出網絡系統安全性的綜合性或某個方面的描述。根據安全指標維度大小，當把具體網絡系統看成一個整體時，維度相對最大，涉及的安全要素也最多，對整體度量表現為全局度量（GM, global metrics）。GM 是 NSSM 的重要組成部分，參照度量基線能跟蹤網絡系統安全性變化。GM反映的是網絡系統安全程度。針對網絡系統中指定對象的度量，如主機脆弱性程度、網絡風險大小、業務子系統安全程度等，可以看作對系統局部的度量。局部度量（local metrics）的維度可擴展，其結果在一定維度上能代表全局度量說明網絡系統的安全性，但缺少客觀性、全局性。

網絡系統安全度量是網絡系統安全分析工作的重點與難點。目前，人們對網絡系統安全度量方法的研究仍處于探索階段，相關問題還未形成統一的認識。

鑒于網絡系統安全度量對網絡安全的積極作用，本文將主要圍繞全局度量，對網絡系統安全全局度量問題的發展歷程、現狀（度量過程、度量方法）、未來（挑戰、展望）進行綜述，具體貢獻如下。

1) 從客觀量化的角度，對網絡系統安全度量相關概念進行了梳理。按照人們的理解，總結了度量的發展歷程，首次將其劃分為3個階段。

2) 對網絡系統安全全局度量過程進行了總結，分析了全局度量過程中每一步驟的作用，為標準化網絡系統安全度量提供參考。

3) 對網絡系統安全全局度量方法進行了梳理，包括度量模型、度量體系、度量工具，闡述了各自的特點，指出了它們在全局度量方法中所起到的作用。

4) 探討了網絡系統安全度量目前的機遇與挑戰，并在此基礎上給出了網絡系統安全度量下一步的研究方向。

2 度量發展階段

安全度量的發展伴隨著安全評估的發展，全局度量蘊于度量之中。經過 30多年的發展，全局度量開始逐漸顯現。本文依據度量方法或過程的復雜性，對全局度量發展過程中具有里程碑性質的節點進行了梳理，得到發展歷程如圖1所示。以對網絡系統安全度量認識程度為主線，將度量主要分為 3個階段：感知度量階段、認識度量階段、深化度量階段。這也是第一次在時間上對度量發展進行分段總結。

2.1 感知度量階段

感知度量階段，人們對度量的存在形式有了初步理解與認識，但對網絡系統安全度量這一概念的整體反映屬于淺顯的層次。特點是主觀性強，認識不夠深刻。這一階段人們所理解的網絡系統安全性度量主要是以安全測量和簡單量化的形式，對數據進行單一的統計計算。人們從實際中總結經驗，通過制定安全準則來規定系統應達到的安全性。依據安全體系，以度量脆弱性為主來說明系統的安全性。大部分工作都是通過手工進行的，安全性量化分析效率較低。隨著網絡系統規模的增大，分析工作量越來越大，且很容易出現疏漏。自動化的分析技術及工具應運而生。網絡掃描技術是早期用來分析網絡安全性的技術，現在依然不斷地進行改進與發展[20]，如 Satan[21]、Nessus[22]、Nmap[20]等。受限于此階段網絡技術發展的情況，表面上簡單的度量安全性即可滿足當時的量化分析需求。

2.2 認識度量階段

認識度量階段，學者們開始對網絡系統安全度量深入理解、賦予意義并做出進一步的解釋。表現為研究安全要素的度量，提出了多種度量方法。此階段以粗略度量為主，如風險度量、攻擊度量，并以此代表系統整體度量。度量的實際操作是由安全分析人員基于其自身知識和經驗印象而進行的，偏主觀因素，網絡系統安全性不能得到完全客觀的反映[23]。不過人們的觀念相較于感知階段有了重大變化。人們開始對全局度量有所認識，由重視度量過程轉為重視全局指標體系建設。Villarrubia等[14]提出的一系列用于對安全指標進行分類的特性很具有參考價值，指出指標的質量及指標量化的質量好壞對度量結果影響較大。

圖1 度量發展歷程

認識度量階段主要存在的問題是人們將一部分指標測度研究認為是對系統的度量研究，這是因為對度量理解不夠準確。美國國家標準與技術研究院（NIST, National Institute of Standards and Technology）在2008年發布的《信息安全性能測量指南》取代了舊版的度量指南[15]，國際標準信息安全管理測量ISO/IEC 27004于2009年發布[24]。2個文獻的更改與發布一方面說明了人們對測度與度量區別的認識有所深入；另一方面也反映了網絡系統整體性安全度量指標建設和指標測量的基礎性、重要性。當然，這2個文獻也可以用來對全局度量指標的建設提供指導。

2.3 深化度量階段

深化階段是在人們對局部度量做了大量研究的基礎上，對網絡系統安全度量概念的發展。主要表現為深入理解度量，不再圍繞著某一單方面的度量；提出全局度量，以實現安全程度量化為目標，促進精準度量理論的系統化。其解決的根本問題是由于安全的多維性，如何分解安全性以及如何將局部度量因素組合成整個系統安全性的單一表示形式[25]。

深化度量階段可分為2個分階段：平穩期和爆發期。在平穩期，人們對度量研究的熱度逐漸降低，回歸理性，認真思考度量的本質。2016年，文獻[18]站在系統級角度，詳細分析了主要安全要素之間的關系及其影響因素的不確定性，如系統安全漏洞、敵方攻擊能力及目標等，提出了以時間為參數的動態全局度量函數，但其客觀性、準確性依然不足。2018年后進入爆發期，文獻[19]將網絡系統發生的所有安全活動看作行為過程并進行了精準度量，奠定了網絡系統全局度量的數學基礎，具有創新性。度量需要假設和抽象，以數學方法解決全局度量問題會帶來度量開創性的研究成果，具體的方法將在第4節進行詳細介紹。

2.4 小結

本節對度量發展進行了分階段總結，方便研究人員更清晰地了解度量在每個時期的主要特點，為進一步的研究提供參考。從總體來看，感知度量階段、認識度量階段、深化度量階段是朝著全局度量方向前進的。可以認為，網絡系統全局度量的發展是從手動度量到自動度量、由粗略度量向精準度量進行的。當前階段，全局度量可以用來對網絡系統安全進行強有力的定量預測，但全局度量依然有很大的局限性。雖然人們對全局度量沒有明確的共識，也無法真正理解它，但努力研究它將是有用的，即使這些研究可能發現對網絡系統是不能完全實現全局度量的[26]。

3 全局度量過程

全局度量是加強網絡系統技術安全不可缺失的部分。建立通用的度量過程可以提升全局度量的可行性和實用性，并為網絡系統安全度量標準化提供技術借鑒。

全局度量的過程是對經典的計劃-執行-檢查-處理（PDCA, plan-do-check-act）模式的具體實現[27]，采用PDCA的循環機制，通過建立指標體系、實施綜合度量、分析度量結果、制定優化方案這4個主要環節，可以持續改進網絡系統安全性。網絡系統安全全局度量過程如圖2所示，以全局度量指標建設為核心，將度量過程分為3個模塊：模塊1為度量準備階段，明確度量目的，確定系統度量目標，制定度量內容與度量活動規劃；模塊2為指標量化階段，選取網絡系統度量指標，對具體指標進行量化與組合，并根據系統安全需求建立度量基線；模塊3為全局度量實施階段，選擇全局度量模型，將處理好的指標輸入模型進行度量，并對度量有效性進行檢查，對度量結果進行總結分析。

圖2 全局度量過程

3.1 度量準備

安全度量需要具有一定的專業背景知識的人員。因此，準備階段應組建專業的度量小組，負責有序推進度量活動并監督整個度量過程。準備階段主要提出度量對象的范圍，指定度量目標，制定度量方案。為了保證每次度量結果的一致性、權威性，前一次的度量結果應進行過程認證，該認證是一個針對度量結果的獨立檢查過程，并生成最終的正式結論。依據結論，檢查是否達到預定的安全目標，發現存在的問題，制定與落實相應的安全改進措施。結果認證、制定措施、實施改進是為下一次安全度量進行準備，因此將這三部分歸入圖2中的模塊1，使各模塊呈周期性出現。

3.2 指標量化

建立科學、客觀的網絡系統安全度量指標是保證度量過程正常進行的前提。根據安全體系建立指標體系是比較常用的方式，第4節將詳細介紹。當然，也可以從其他角度去建立指標體系。例如，Fu等[28]從安全屬性的角度對度量指標的選擇及指標質量進行了討論，對建立網絡系統全局度量指標有參考價值。為了對已選取指標進行量化，需要獲取與指標相關的基礎數據。數據獲取的準確性、全面性直接關系到整個網絡系統安全度量工作的質量。因此，一般使用采集工具獲取客觀數據。采集工具是部署在網絡節點的網絡設備，設備既可以基于軟件也可以基于硬件。Jing等[29]按照采集方法將安全數據分為4類：數據分組級、流量級、連接級、主機級，并整理討論了各類數據采集方法的優缺點。

將采集到的基礎數據進行測度實現指標量化。能夠采集到的網絡系統數據類似于可直接觀察到的。來自軟件工程領域的目標-問題-度量法（GQM,goal question metric）能為這種直觀提供有價值的指標測度[30]。GQM 自上而下適用于各種安全測量并能拓展度量指標，如文獻[31]建立脆弱性描述指標，利用GQM對這些指標測度，使修復脆弱點更具體化并能大幅降低成本。

安全測度只是指標量化的一部分。為了進一步體現度量指標的客觀性，將部分測度的指標進行組合或聚合形成一些高級指標，如安全要素等，從而對網絡系統進行更深入的分析。提出度量基準，構建度量基線也是必不可少的一步，其為實現度量比較、反映網絡系統安全程度大小做準備。

3.3 全局度量實施

全局度量采用數學等方法對網絡安全問題建立全局度量模型。度量模型有多種，選取適合當前指標體系的度量模型，并將所需的指標輸入全局度量模型，實施綜合度量，從而得到數值化結果。再根據這個結果對網絡系統安全性進行分析[32]。全局度量模型的一般形式為

其中，fl為指標組合函數，xi為測度的指標值，i為指標個數，S為網絡系統安全程度，fg為全局度量函數，mn為局部度量值或者指標組合值，n為描述網絡系統的因素的個數。不同網絡系統安全特點不一樣，mn與fl都可以是不同的。同一個網絡系統n越大，S越能客觀準確地表達網絡系統安全性。

綜合度量結果S與人們長期的網絡系統安全經驗保持一致，能說明結果的有效性。目前沒有具有完全客觀性的全局度量模型對局部要素或指標進行融合，從不同側重點考慮對系統進行度量的全局數量模型較多。如文獻[33]結合不同的方法，從網絡系統結構和可達性信息的角度，研究了基于主機的度量和基于網絡的度量。基于主機的度量被劃分為“無概率”和“有概率”兩類；基于網絡的度量被分為“基于路徑”和“基于非路徑”兩類。文獻[34]對網絡系統能達到的隱私程度進行分析，構建了隱私度量框架，提升了研究人員在隱私保護方面的工作效率。

綜合度量之后，對網絡系統安全性進行分析，檢查防御等安全方案是否合理、指標體系是否完整，最后形成分析報告。經過專家詢問和評議，確定報告內容的正確性。報告中應體現出網絡系統安全程度以及對其安全的詳細說明。

簡單的度量案例來自文獻[19]，如表1所示。其包含了選取的兩類常用指標以及計算情況。建立客觀的數學模型，抽象出網絡攻防過程，計算形式如式(3)和式(4)所示。其中，u(t)為行為路徑曲線在某點位處的切向量，行為效用E是系統功能的一種定量描述形式，因此可以進一步構建網絡攻防效用的精準計算。

通過式(4)形成指標對應的計算模型。表1中，EAi為在第i個環節的攻擊時，有序攻擊行為集合Ai在Mi場景下的攻擊能力；EDi為在第i個環節的防御時，有序防御行為集合Di在Mi場景下的防御能力為第i個環節的網絡攻防判定，為完整攻防時間內網絡安全狀況。計算的能力值是一個與流形局部坐標系選擇無關的客觀量。計算過程始終是客觀的，因此，結果具有客觀性。根據模塊1進行結果認證，改進安全措施。

表1度量案例

3.4 小結

網絡系統安全全局度量需要始終圍繞機密性、完整性、可用性進行。全局度量是可重復的、可操作的。本節參考評估過程，詳細說明了全局度量過程及主要相關的內容。從度量過程可以看到，全局度量能夠促進對網絡系統安全的全局、客觀描述，幫助網絡系統找到更安全的解決方案，提高組織自身的網絡安全水平。根據網絡系統全局度量的過程對網絡系統實施具體的操作，可以將網絡系統的安全威脅始終控制在可接受的程度，減少網絡系統遭到破壞帶來的損失，保證網絡系統的可持續運作。

4 全局度量方法

傳統的主動防御體系[35]已不能有效應對當今嚴峻的網絡環境。網絡系統安全度量可以作為一種主動防御技術，應用全局度量方法對網絡系統進行精準防御。

全局度量方法主要依據使用頻率和易用性，盡量選取具有代表性的內容進行闡述。本節將從模型、安全體系、工具3個方面分別闡述全局度量方法。將部分評估方法應用于全局度量，可使方法目標更明確，更具針對性。度量模型為指標體系和工具的發展提供基礎，是精準度量的承載。安全體系主要服務于全局度量指標建設、指標量化及組合。工具增加全局度量的效率，減少人工誤差。模型、體系、工具三者關系如圖3所示。全局化度量方法更容易發現和解決網絡系統安全難以實現全局、客觀量化的問題。全局方法能清晰刻畫網絡系統安全，檢查系統有效性，即網絡系統是否足夠安全，是否比以前更安全。

圖3 模型、體系、工具三者關系

4.1 全局度量模型

目前，在網絡系統安全領域，全局度量方法具有一定程度的主觀性，安全性量化分析只能以粗略比較計算為基礎開展。新的網絡架構也在不斷發展[36]，為增強人們對于網絡系統安全更全局且客觀的認識，發展全局度量模型至關重要。

目前，已有研究人員對局部度量模型進行了總結。文獻[37]詳細介紹了基于攻擊圖和隨機模型的量化模型，但對其他模型分析較少。上述文獻只是對局部度量模型進行概括，沒有對系統全局度量模型進行歸納。本節對局部度量模型進行了補充，并介紹了可用于網絡系統全局度量的模型。

4.1.1 基于關聯分析的模型

警報關聯（alert correlation）技術是檢測多步攻擊行為的主要技術手段。它是指將屬于同一攻擊行為的多個步驟前后關聯起來，還原最初的攻擊場景，全面分析網絡系統安全性[38]。

Yi等[39]提出了警報關聯圖的基本思想。在攻擊圖提供的先驗知識基礎上，根據入侵檢測系統（IDS,intrusion detection system）警報信息動態生成警報關聯，并基于警報關聯的次數計算關聯邊的權值對網絡系統全局量化。不過這種關聯圖相對簡單，并不完善，度量結果粗略。葛海慧等[40]對一定時間間隔內的報警事件進行動態關聯分析，考慮防御措施強度與節點漏洞，計算攻擊威脅度，利用各節點風險值加權計算風險值代表系統整體的安全性，此方法能夠實時度量。陳秀真等[41]基于IDS海量報警信息和網絡性能指標，采用自下而上、先局部后整體的度量方式，對服務、主機本身的重要性因子進行加權，進而說明網絡系統的安全性。

為了提高度量準確性，有研究人員結合 D-S證據理論進行分析[42]。D-S證據理論具有直接表達“不確定”和“不知道”的能力，能夠描述網絡系統中的不確定性因素。Qu等[43]基于 D-S證據理論，結合節點脆弱性、威脅的嚴重性，全局計算網絡系統的安全程度。基于證據理論的關聯分析模型具有需要先驗知識少、算法性能高等優點，但其在還原攻擊場景的能力、識別攻擊者的具體攻擊動作方面相對較弱。

關聯分析通過對網絡系統中各類因素進行分析，能更加清晰地掌握網絡系統整體的安全狀況及防御措施等情況[44]。在大數據飛速發展的背景下，數據挖掘、機器學習中的一些方法應用于全局度量領域是一種研究趨勢。以數據驅動的公司常使用關聯分析進行安全度量。如 BitSight[45]通過部署在全球各地的傳感器，采集海量的威脅情報數據。平臺將這些數據依據嚴重程度、頻率、持續時間和信心等指標進行分析，從而對網絡系統進行全局度量，并能進行一定的趨勢預測。

4.1.2 基于隨機模型的模型

隨機模型涉及的方法能對網絡系統全局進行有效的描述，精確刻畫網絡系統隨機行為以及組件之間的相互關系，有助于量化組合指標，建立全局度量函數。常用的隨機模型是隱性馬爾可夫模型（HMM, hidden Markov model）[46]。HMM 用來描述一個含有隱含未知參數的馬爾可夫過程（Markov process）。HMM對未知指標的計算有優勢。

Zhang等[16]通過HMM對報警檢測系統產生的序列進行分析，計算系統中每個主機的危險指數，從而定量分析整個網絡的安全狀況。Rnes等[47]把網絡系統安全狀態的變化過程采用HMM來描述，然后實時度量網絡整體的安全值。Almasizadeh等[48]將時間因素考慮進了攻擊過程，通過基于狀態的隨機模型對網絡攻擊過程進行了建模，進而描述攻擊者和系統行為，定量分析了系統的平均安全失效時間、穩態安全等安全指標。相對其他度量，這些指標有助于增強全局度量的客觀性。Da等[49]從整個系統的角度出發將攻防分別抽象并度量，提出了一種n維隨機模型的全局度量，但其不適用多種攻擊同時發生的情況。

網絡系統安全存在不確定性，在實踐中很難度量不確定性，而且不確定性往往是由觀測中的估計誤差引起，不一定反映實際的系統狀態。

4.1.3 基于數學原理的模型

數學原理是以數學方法為基礎，將全局度量進行抽象，能夠更準確地度量指標，并進行精準計算。通過數學原理得到的全局度量更客觀。

Hu[19]提出了一種網絡行為效用計算原理與方法。他認為任何網絡行為，都是在由所有可用于提供數字化信息的組件和系統所構成的網絡場景上發生的，并給出了網絡行為的數學定義。微分流形（differential manifold）是三維歐氏空間中曲線和曲面概念的推廣，可以有更高的維數[50]。將網絡系統抽象為流形，定量刻畫網絡行為效用的算法如式(3)和式(4)所示。安全效用計算奠定了網絡行為度量的數學基礎，為建立全局度量函數提供參考。

文獻[51]基于歐氏空間向量投影的思想設計了一個信度向量投影分解算法，將攻擊所依賴的漏洞信息和節點本身漏洞信息相關聯，對網絡系統進行全局度量。Petri網[52]用來分析離散的并行系統，抽象和描述能力也在不斷的發展，在度量領域具有廣泛的應用前景。文獻[53]將安全要素轉化為Petri網狀態函數，將指標基于Petri網的最小可覆蓋集進行量化，并對整個系統進行度量。形式化方法用于網絡系統安全度量建模有利于度量自動化發展。文獻[54]針對系統用戶的行為特點，基于訪問路徑給出了形式化定義和相關的度量規則，提出了一種網絡系統全局度量方法。

數學方法有助于發現安全要素的內在聯系，找到安全的本質，將復雜度量問題簡單化。使用數學方法解決全局度量的研究正在興起，未來解決度量問題也一定會參考數學方案。

4.1.4 基于攻擊圖的模型

攻擊圖[55]是一個抽象概念，它能揭示攻擊者利用安全漏洞違反安全策略的方式。攻擊圖模型采用圖論的方法描述網絡攻擊過程中的細節信息，能夠簡潔地表示特定網絡的不同攻擊場景[56]。基于場景解決全局度量問題具有典型性，因此將基于攻擊圖的模型單獨列出。

Jha等[13]和 Sheyner等[57]首先使用模型檢測的方法生成攻擊圖模型，利用攻擊圖將成功概率值賦予攻擊中的狀態，進而分析攻擊者成功實現對網絡系統的安全性破壞的概率，實現攻擊破壞程度的全局度量。Bhattachary等[58]根據“利用依賴圖”提出了一種通過成本說明網絡系統安全性的理論框架。成功利用網絡系統所需的成本越小，說明網絡系統安全程度較高；反之，則較低。此過程實際應屬于局部度量，但由于攻擊圖反映的是攻擊成功與否，因此也可以代表網絡系統全局度量結果。

將基于攻擊圖的不同度量元素組合使用，可擴展為網絡系統安全全局度量方法。最短路徑度量、路徑數量度量和路徑長度度量是3種常用的基于攻擊圖的安全度量。然而，最短路徑度量和路徑長度度量的平均值不能充分說明攻擊者可能違反安全策略的方式，路徑數量度量也不能充分說明與攻擊路徑相關的攻擊工作[59]。使用這些指標可能會有誤導性結果，因此有研究結合貝葉斯網絡（BN,Bayesian network）進行全局分析。BN是一種概率圖型模型，借由有向無環圖中得知一組隨機變量及其n組條件概率分配的性質。貝葉斯網絡作為構造全局度量模型的基礎具有以下優點[60]：1) 貝葉斯網絡類似神經元網絡，能夠充分描述人類的推理模式，并且網絡的圖形方式便于理解和開發；2) 貝葉斯概率的特點使模型能夠反映度量的連續性和累積性這2個重要特征；3) 模型能夠綜合最新的證據信息和先驗信息，度量結果能動態反映當前信息的同時還綜合了歷史和先驗知識；4) 貝葉斯邏輯在數學上的可靠性使該模型成為一種描述人類思維推理過程的標準模型。文獻[61]使用貝葉斯網絡模擬網絡系統的安全狀態，結合攻擊圖對網絡系統進行了全局度量。Poolsappasit等[62]在攻擊圖的基礎上構建貝葉斯網絡，建立警報節點作為證據節點或根據警報將相應的原子攻擊節點設為證據節點，形成網絡系統整體的安全狀態值。基于貝葉斯網絡的方法充分利用了貝葉斯網絡的量化處理不確定性信息以及因果關聯優勢和不確定性推理能力，使度量結果比較準確。然而，基于貝葉斯網絡的方法由于需要對所有節點都建立條件概率表，因此需要較多的先驗知識，不利于區分攻擊已經發生的可能性和攻擊將要發生的可能性，增大了全局度量的誤差。另外，受貝葉斯網絡推理算法復雜度的限制，基于貝葉斯網絡全局度量的性能不高，難以滿足大型網絡系統實時度量的性能要求。

攻擊圖模型包含了網絡系統中所有可能的攻擊路徑。利用攻擊圖可以對網絡攻擊等環節有更清楚的認識，可以很直觀地展示網絡攻擊的細節信息，如攻擊路徑、攻擊目標、脆弱性等。在全局度量時，通過攻擊圖模型可以建立更全面的指標信息，更容易完善全局度量函數。

4.1.5 基于博弈論的模型

博弈論模型對于研究網絡系統安全度量問題具有重要的意義，利用博弈論模型可以從攻擊和防御2個技術方面對網絡系統安全性進行全面分析，實現全局度量。

文獻[63]模擬真實網絡系統的虛擬環境，實現對網絡系統各種攻防過程的實驗推演。將網絡連接關系、脆弱性信息等數據輸入網絡攻防博弈模型中，實現了全局度量。Li等[64]通過馬爾可夫博弈模型，建立四級數據融合，考慮攻防雙方的關系和不確定性，從而度量網絡系統整體的安全狀態。但模型使用博弈矩陣深度不夠，度量粗略。Zhang等[65]通過分析完全信息靜態博弈中的納什均衡策略，考慮成本參數和效益參數，改進收益計算方法，對系統全局進行度量，該度量結果能夠反映攻擊者和防御者的均衡策略。

博弈論可以作為全局度量函數的理論基礎。攻擊和防御是網絡系統中的2個重要因素，以攻防為核心，向外圍擴展，通過演化博弈模型實現全局度量。

4.1.6 基于層次分析法的模型

Fu等[66]首次提出了層次分析法（AHP, analytic hierarchy process）。AHP把復雜的網絡系統問題分解為各個組成因素，對網絡系統全局度量是比較合適的，但過于主觀。

層次分析法度量一般分為 4個步驟[67]：1) 將復雜系統分解為單獨因素，根據它們之間的支配關系，建立層次結構；2) 根據上一層中因素的重要性，兩兩比較本層次中的各個元素，構造出兩兩比較的判斷矩陣；3) 在判斷矩陣中，計算被比較元素對于該準則的相對權重；4) 計算各層元素對系統目標的合成權重，并進行排序，最后按層次綜合考慮所有影響因素，得出度量結果。Yan等[68]建立了三層結構（目標層、規則層、標準層），并通過重要程度對指標進行選取，計算系統整體的安全性。由于指標圍繞風險進行，此方法用風險值代表了全局度量。Li等[69]使用 Delphi法建立度量指標，通過權重使用層次分析對網絡系統進行全局度量。

網絡系統安全狀態隨著外部環境的變化和自身價值的變化進行著復雜的演化，描述指標一定是非常多的，而層次分析法在某一層次評價指標很多時，其思維一致性很難保證。因此有學者將模糊層次分析法（FAHP, fuzzy analytic hierarchy process）引入全局度量中，能較好地解決這一問題。Tuteja等[70]提出了基于FAHP的結構化框架來量化網絡系統的安全性，對系統進行分解，確定基本指標，建立模糊關系矩陣全局度量。李景智等[71]在模糊層次分析法的基礎上，結合可拓理論，將指標值映射到可拓區間中，計算相對隸屬度，對網絡系統進行整體度量。信息熵用來描述隨機事件不確定性的程度，可以表示不確定性的量。根據指標變異性的大小確定對象的權重，在一定程度上減弱人為主觀因素的影響。文獻[72-73]利用信息熵確定指標權重，進而應用層次分析實現全局度量，在一定程度上增加了客觀性。

層次分析法是全局度量較普遍使用的方法。許多研究人員結合其他方法進行度量，但其人為因素影響較大，受限于專家知識。因此在全局度量對安全性要求很高的大型復雜網絡系統時，層次分析顯得客觀性不足。

4.1.7 基于神經網絡的模型

神經網絡[74]是由大量處理單元通過廣泛互聯而構成的，具有大規模并行、分布式處理、自學習等優點。全局度量中，對于大量指標的量化與組合是復雜的。為了提高實時度量，利用神經網絡提高度量技術的性能是一個研究方向。

Li[17]采取樹型結構構建了三層網絡系統安全評價指標以及反向傳播（BP, back propagation）神經網絡度量模型，通過學習形成一種推理機制，實現了對輸入評價指標的非線性反映，最后得到全局度量結果。顧兆軍等[75]根據等保測評要求[76]構建全局度量指標體系，利用熵權法確定各指標的權重。將指標加入BP神經網絡建立度量模型，通過訓練給出度量結果。Ma等[77]提出了一種基于徑向基函數（RBF, radial basis function）神經網絡的度量模型。根據特定的航空網絡系統建立度量模型，將影響任務安全狀況的指標作為模型的輸入，對模型進行訓練，進行全局度量。

基于神經網絡的網絡系統安全度量的研究多集中于建立全局度量指標體系。指標的選取一方面需要準確反映網絡系統情況，另一方面要確保神經網絡可以實現指標的輸入。模型的主要缺點是訓練時的數據量比較小，只能粗略度量系統的安全性。雖然使用神經網絡能夠提高度量速度，但對指標的提出存在限制，不是任意指標都能加入神經網絡中。

表2 部分度量模型對比

表2對上述方法進行了對比分析。其中結合方法是度量模型與其他方法常見的搭配。現階段，對度量模型的研究具有局限性，缺少實時性、準確性以及表征性[78]。度量網絡系統的方法雖然較多，但它們的客觀分析能力依然不足。度量內容偏重于某一安全要素，如漏洞相關性、風險存在性等，度量效果粗糙、片面。表2在度量類別列出了常見的局部度量，局部度量內容不僅限于表2中所列，其他的度量有網絡彈性度量[79]、信息價值度量[80]、攻擊難度度量[81]。本文涉及的模型中專門用于脆弱性度量較少的原因是脆弱性都是作為其他度量的基礎。全局度量方法能夠適用于風險度量，一方面是人們對風險評估的研究較成熟，對風險的理解比較深入；另一方面，風險評估與全局度量的思路較相似，風險指標容易設計，度量過程容易實施。

全局度量模型不成熟，效果依賴于具體的方法，以局部代替整體的方式較常見。由于 AHP易操作，因此它是全局度量中常使用的模型，許多研究圍繞AHP并結合其他技術進行開展。關聯分析、神經網絡是隨著機器學習、人工智能等熱門技術興起的，因此在全局度量方面是有潛力的。隨著對度量的深入理解，在度量方面有很好的應用。隨機模型和博弈論一般會將脆弱性作為其他安全要素的度量輸入，建立全局度量函數應是這2個模型未來研究的具體點。度量朝著理論化發展的趨勢需要提出或采用新的或抽象的方法來說明度量。采用數學方法研究全局度量會越來越頻繁，越來越成熟。當然，對系統全局度量是非常困難的，是一個開放性的問題。在選擇具體模型度量時還需根據不同的系統及需求確定，多種方式相互結合的方式可以提高度量效率和全面性。

4.1.8 小結

全局安全度量模型的研究是網絡系統安全度量的重要組成。將不同的度量內容進行組合以全局度量的形式表現，能更綜合地反映網絡系統安全性。將數學理論、人工智能等技術引入網絡系統安全程度的度量，有利于促進安全度量研究的全局化、自動化發展。本節通過列舉分析，整體闡述了全局度量模型的研究現狀，同時指出了現有的研究存在的問題，并給出了一些建議以及解決方法。

4.2 網絡系統度量體系

沒有指標體系指導的度量是混亂的。依據體系實施全局度量，得到的安全程度證明具有權威性、可比性。目前雖沒有成熟的全局度量指標體系，但國內外學者研究安全度量時，主要是借鑒已有的安全標準體系，選取常見的指標。將安全標準體系用于全局度量是可行的，一是安全度量是安全的一部分，二是安全體系經過長期發展，能夠滿足全局度量指標設計需求。

本文根據指標的使用情況和涉及內容，調研了可用于度量體系的10個安全標準體系，并將其分為3類，基礎性、針對性、全面性。其中，基礎性是指體系強調滿足網絡安全理論的基本指標，有通用性并易于擴展，如可信計算機系統評估準則（TCSEC,trusted computer system evaluation criteria）[82]、通用準則（CC, the common criteria for information technology security evaluation）[83]、PDR安全防護體系[84]；針對性是指在具體行業、具體系統等一定范圍內使用，如BS7799安全體系規范[85]、美國聯邦信息處理標準系列（FIPS, federal information processing standards）[86]、歐盟網絡與信息系統安全指令[87]、NIST網絡安全框架[88]；全面性是指體系涉及的內容豐富，范圍廣泛，適用性強，如網絡安全等級保護基本要求[89]、WPDRRC信息安全模型[90]、信息保障技術框架（IATF, information assurance technical framework）[91]。下面將舉例介紹每類體系中度量指標的應用情況。

4.2.1 基礎性指標體系

TCSEC的發布具有劃時代的意義。后來許多標準都以此為基礎發展而來。使用 TCSEC一般從網絡系統設計之初開始。依據系統需求，按照準則中要求的安全級設計安全性。這種專門設計的安全模式是度量復雜系統安全性較為有效的方法。文獻[92]說明了 TCSEC如何為大型、復雜和分布式系統設計安全模式。依照安全模式進行全局度量，增強了可度量性、降低了成本。雖然TCSEC目前已經被取代，但其涉及了網絡系統全周期的安全要素，因此對建設全局度量指標依然具有指導意義。

CC綜合了早期的安全準則和標準，形成了一個較全面的基礎框架，極大地促進了安全體系的發展。CC基于保護輪廓和安全目標提出安全需求，將保密性、完整性和可用性作為出發點，具有靈活性和可擴充性。由于CC的認可度較高，因此依靠其建立網絡系統安全全局度量的指標體系可信性較強。將建設的指標結合全局度量模型，如貝葉斯網絡，對網絡系統進行全局度量具備可靠性[93]。在CC體系中，可進行網絡系統度量維持，以解決系統在度量后出現變化時度量結果的有效性問題。當然，基于CC的全局度量也存在比較大的缺點，即度量復雜性會伴隨網絡系統所要求的安全級別升高而變得越復雜，其對系統度量的平均周期較長，會導致度量過程的煩瑣和高成本。

4.2.2 針對性指標體系

BS7799是一套完整的網絡系統安全管理框架[94]，涵蓋了幾乎所有的安全議題。其主要為工商業網絡系統提供服務，因此基于BS7799建立的全局度量的指標體系主要針對于工商業，對于其他方面的應用效果可能不理想。系統全局度量指標對應規范中的控制措施，以改進網絡系統安全規劃和技術流程為目標[95]，從而保證指標對度量網絡系統是有效的。

圍繞BS7799的學術研究主要集中在安全要素度量問題上，如Tao等[96]把BS7799與故障樹技術結合，對各層安全要素之間的邏輯關系進行分析，實現網絡系統的安全要素定量計算。除了建立指標體系，BS7799也適合作為大、中、小工商業組織的網絡系統在所需的控制范圍內的安全基準，并形成全局度量基線。

4.2.3 全面性指標體系

我國發布的計算機信息系統安全保護等級劃分準則[97]，用于評價網絡系統安全保護能力，從整體上形成多級系統安全保護體系，為安全系統的建設提供了技術指導。為了進一步加強重要領域網絡系統安全的規范化建設和管理，全面提高國家網絡安全保護的整體水平，形成了新的網絡安全等級保護。目前新等級保護雖未正式發布，其整體結構已基本形成，如圖4所示。新等級保護具有高度靈活性，能夠適應移動互聯、云計算、大數據、物聯網和工業控制等新技術、新應用背景下的網絡安全全局性、系統性度量工作的開展，提高國家網絡系統安全防御能力。

圖4 網絡安全等級保護結構

根據新要求，指標體系建設可從多維度、多層面進行，這有利于度量安全要素時靈活地選擇模型。新要求中的通用部分可看作網絡系統安全的基準，有利于度量基線的統一化建設。國內的安言咨詢公司[98]已經開始使用新等級保護，對目標網絡系統進行全局量化分析，挖掘業務運營的特定環境中存在的網絡系統安全隱患。等級保護體系與全局度量相結合能以數字化的形式展現系統潛在問題、影響范圍和發生的可能性，形成動態的、可持續改進的安全度量機制。

4.2.4 體系分析

部分指標體系的對比如表3所示。通過對比發現，體系指標的可量化程度還不夠客觀，存在較多的問題。將體系中提取的指標作為測度的依據，進而對系統實行全局量化。不同的應用場景對網絡系統能夠提供的安全性程度的要求不同。在選擇具體指標時還需根據不同的系統及需求來選擇安全體系。通過對體系進行分析形成指標選擇的原則有：1) 簡潔性，選擇各種類型的指標必須簡明扼要，且須具有代表性；2) 完整性，選擇各種類型的全局度量指標應是互補的，要能夠完整描述網絡系統要素；3) 可行性，各種指標的選擇能夠與實際度量相結合，確保其實際操作能力；4) 獨立性，各種指標之間具有獨立性，減少或者避免它們之間的聯系；5) 準確性，指標的選取能夠進行論證及提供價值。

在安全基線建設方面，體系的基本要求可確立形成度量基線。雖然同類網絡系統之間存在差異以及它們的安全需求是不同的，但其安全基線應是一致的。通過體系能夠快速建立安全基準，確保網絡系統最低安全性。確定基準后，安全度量指標需是可拓展的，對不同類型網絡系統或者對同一系統不同階段應有所變化，安全體系可被視為安全度量人員的資料庫[99]。

表3 部分指標體系對比

安全體系在促進網絡系統全局度量的發展中發揮著關鍵作用，但其不能完全滿足度量要求。一方面，網絡技術及系統業務模式的發展遠遠快于安全體系的制定，體系的滯后性影響度量建設。另一方面，從安全體系中選取具有代表性的安全影響因素作為指標時，每類因素可能包含許多不確定的因子，因此會增加全局度量的不準確性。所以，建設科學的安全度量指標體系很重要。我國指標體系建設工作起步較晚。2015年，發布的信息安全保障指標體系及評價方法[100]提出了安全評價指標體系及其測度過程，闡述了一種實現系統安全性評價的層次結構，可以對網絡系統進行粗略全局度量。此標準可以認為是給出了簡單的指標指導，但指標體系的構建還存在不足，且這種粗略度量對網絡系統整體安全性的刻畫還不夠客觀。

4.2.5 小結

基于安全體系建設網絡系統安全度量指標體系有利于全局度量的發展，但仍需進一步地研究與完善。本節介紹了對網絡安全產生重要影響的安全體系，指出了體系在全局度量方面的應用（粗略度量、標準建設、安全基線）。通過對比分析，給出了這些體系在度量指標建設方面各自的優劣勢，同時總結了網絡系統安全度量指標體系構建的原則。

4.3 度量工具

網絡安全系統度量工具是全局度量的輔助手段，是保證度量結果可信度的一個重要因素，在一定程度上解決了手動度量的局限性。近年來，不斷增多的網絡安全事件促進了安全企業迅速發展，同時增加了度量工具的使用頻率。由于工具的使用比較靈活，本節簡單介紹幾款常見的可用于全局度量的工具。

4.3.1 CRAMM（CCTA risk analysis and management method）

CRAMM[101]依據BS7799標準建立指標體系，以風險度量為基礎，涵蓋了安全管理的所有階段，如資產安全度量、風險計算、控制方案調整等。CRAMM建有強大的經驗數據庫，度量時能夠參考以往經驗，并通過分層對網絡系統進行簡單的全局定量分析。CRAMM在實時度量的同時，提供必要的安全解決方案，有效地降低安全實施成本。CRAMM適用于各種大型的網絡系統，但是，其度量主觀性較大，部分數據采用人工收集，且主要依靠研究人員的知識和經驗，需要經驗豐富的從業者使用該工具。

4.3.2 COBRA（consultative, objective and bi-functional risk analysis）

COBRA[102]基于專家知識庫對網絡系統進行安全分析，它利用動態分析對大量的網絡系統數據進行簡單的計算，度量所有威脅和漏洞的相對重要性，并以此代表全局度量，從而生成適當的安全建議和解決方案。COBRA能夠控制度量的細節和精度，從而根據實際需要獲得更有利于網絡系統安全的結果。COBRA能夠提供較大的靈活性，所有功能部分都是可選的，但工具自動化支持相對薄弱，使全局度量時間長，且過程會產生混亂的情況。

4.3.3 工業網絡安全工具

綠盟[103]2018年發布了工業網絡系統安全合規工具ISCAT。ISCAT集成多個權威合規性安全標準分析模版，能夠對網絡系統中的設備安全、資產安全等局部度量，也能夠通過關聯分析進行全局度量。其減弱了專業背景需求，能為用戶提供標準、專業的檢查指導，并以可視化方法幫助用戶快速分析展示網絡系統安全狀況。ISCAT的缺點在于度量場景有限，安全指標有待進一步整合與量化。整體來說，ISCAT有針對性地采取安全防護措施，提升工業控制領域的網絡系統安全防護能力，有助于切實保障工業網絡系統安全。

4.3.4 小結

本節從自動化的程度出發，介紹了3個具有代表性的工具及其優缺點。整體來看，度量工具距離完全實現度量自動化還有一段路需要走。數據的采集有部分依靠人工方式，而且采集方式普遍效率較低；度量指標需要專家確定；數據的整合比較粗略，缺乏模型化。因此，全局度量工具還有很大的改善空間。全局度量工具是網絡系統安全發展中必不可少的一環，應當以流程化、自動化為目標。合理使用網絡系統安全度量工具，可以降低人力物力的成本，提高安全管理和防護的效率，大幅度減少網絡系統的安全問題。

5 挑戰與機遇

數據化的快速發展導致度量的方式會有所不同，并且會加快網絡系統全局度量的發展。沒有全局度量的網絡，就不會真正地清楚安全目標。對網絡系統的每次全局度量都是為了讓網絡系統變得更安全。目前的度量發展太過單一，全局度量應用于具體網絡系統能更好地驅動全局度量的進步。未來的全局度量將圍繞what（度量的數據有什么）與 how（如何應用度量）展開。當前是全局度量最好的發展時期，自動化、智能化等新技術的迅速出現為全局度量創新了思維、創造了條件、提供了機會。

5.1 挑戰

5.1.1 全局度量可行性

安全度量的現狀和實際操作還無法完全滿足各方的期望。利益相關方的期望對網絡系統全局度量有著很大的影響，這些期望基本都圍繞著全局度量的可行性和度量結果的參考價值。理解并進一步滿足這些期望有助于準備開展安全度量項目的組織獲得成功，提升網絡系統整體度量客觀性[104]。大部分企業或者組織在對系統進行安全性評價時，評價指標、全局度量方法的選取各不相同，因此得到的度量結果沒有可比性。

5.1.2 全局度量方法論

全局度量的方法論在標準化、普適性等方面進展緩慢、存在局限，在以下幾點存在較多缺陷。

1) 度量基線

一個標準化的、最小的量度集是安全度量的度量基線。圍繞基線擴展全局度量范圍，新的測度可以隨著時間推移加入，但是核心的測度應保持固定以應對網絡系統的變更。

2) 局部度量

機密性、完整性、可用性是網絡安全內在的關鍵基礎特性。越來越龐大的網絡系統導致了系統自身很難用簡單的量化模型來呈現。復雜系統涉及的內容繁多，僅從風險等獨立安全要素角度只能比較片面地解釋網絡系統存在問題。用漏洞度量、攻防度量等局部度量的方式來代表全局度量不能準確說明安全程度，將導致不準確或者錯誤地衡量系統安全性。

3) 持續性

全局度量的持續性與組織的領導力有很大關系，只要對項目保持強有力的支持，網絡系統安全度量就會持續地展開。全局度量對于管理層具有戰略目的，停滯的度量無法用于管理決策。

4) 術語和定義

全局度量缺乏被廣泛接受的術語和概念框架，相關詞匯定義較含糊，存在交叉，對度量范圍界定不清晰。需要明確定義和使用量度作為全局度量的特征來表示網絡系統的安全狀態，從而形成基本的定義和通用的術語集[105]。隨著技術的發展，人們對全局度量的術語會逐步趨于一致。然而要提高一致性的程度并在安全度量實踐者中取得共識，還有更多的工作要做。

5.1.3 全局度量可操作性

完善已有的方法、探索還沒有被識別的特性的數據組合將有助于推進全局度量謎題的解決，促進精準化度量的實施。

1) 指標

零散指標難以聚合。哪些數據需要被測度，度量標準提供的信息具有一定借鑒作用。測度的數據是廣泛的，把測度值集合成一個確定的高層次的指標是必要的。整合指標的數量以及將零散的測度數據升華為復合的指標進行全局度量的方式都需要不斷地實踐。解決具有不同粒度的度量值存在精度丟失的問題還需要研究人員投入大量的精力。

2) 度量方法

全局度量的方法已經有許多，但都不完善，有各自的優勢和劣勢。不同的度量方法能從不同角度度量網絡系統安全要素，多種方法交叉使用能更系統地表示和建模網絡系統中涉及的主要元素或組成部分之間的內部依賴關系[106]。結合人工智能等相關技術實現實時的、自動化度量，能夠提高全局度量準確性、完善其高效性和促進其廣泛性。

3) 數據格式

數據格式通用性有待改進。不同行業、不同渠道采集的數據格式是有區別的，需要耗時進行處理與關聯分析。使用標準格式采集和編制數據，將有益于快速實施全局度量、驗證已有的度量結論、創建和對比不同網絡系統的原始度量、促進數據共享交換、建立全局度量標桿。

5.2 機遇

5.2.1 全局度量的迫切性

全局度量事關網絡系統安全的每一個利益相關者，涉及安全生命周期每一個環節、每一個方面。沒有準確的全局度量，就無法形成有效的安全認知，安全相關的所有行為都將處于迷茫。目前，在網絡系統安全領域，安全度量及標準具有很大程度的主觀性，全局度量處于粗略比較狀態。為實現對網絡系統安全的精準、客觀認識，迫切需要發展全局度量科學。

5.2.2 全局度量的必要性

網絡空間成為第五空間，社會基礎產業全面網絡化，客觀的網絡系統安全性描述源于更強大的全局度量。全局度量能夠挖掘網絡系統安全的內在本質，已成為安全度量發展的客觀趨勢。網絡系統安全全局度量所追求的目標是用較少的成本來獲得必要的安全信任。以主動提高網絡系統安全性為目的，對網絡系統全局度量可以及時發現各類隱含的安全問題及潛在風險，并提出相關的解決建議，確保管理可落實、操作可管控、技術可實施等。通過網絡系統所涉及的信息流，進一步建立并實施一系列的全局度量手段，持續不斷地改進網絡系統安全工作。

5.3 小結

本節首先從可行性、普適性、可操作性等角度說明了全局度量的研究存在挑戰。接著又從迫切性和必要性兩方面說明了全局度量的研究還面臨著機遇。挑戰和機遇的提出表明了雖然全局度量研究是困難的，但也為研究人員提供了創新機會，同時提升研究人員的研究熱情。

6 未來研究展望

網絡系統安全度量研究一直是網絡空間安全研究的重要方向之一，這對網絡空間安全有著非常重要的意義。通過整理第5節，得到全局度量總體的研究狀況如下：完整的理論體系仍未形成；客觀、量化的標準缺乏，目標不一致；還具有很大程度的主觀性、處于粗略比較狀態；針對某些特定系統組件，已建立一些成功的安全度量方法，但仍難以完全實現全局度量、客觀量化及精準描述網絡安全。由此可見，實現全局化度量等研究還有很長的路要走。表4總結了網絡系統全局度量研究的一些難點問題以及可能的解決方法。

6.1 系統化度量方法學

度量方法學尚未形成完整的、系統化的理論方法。需要將網絡安全全局度量形成科學的方法，逐步擴大度量范圍，建成具體的體系或框架，讓體系或框架指導具體的網絡系統安全度量工作，降低業務遭受的損失，保證功能正確實施。度量方法學應提供基本說明，以理解什么是度量、為什么度量、什么時候以及如何度量。研究如何使用度量指標來簡化管理、合理預算和分析趨勢，設計更有效的網絡系統全局度量計劃[107]。安全問題很多情況下是由管理問題引起的，管理度量是比較重要的。而在度量組織管理上，方法學應提供如人員情況、法律要求、資源分配、權限設置等管理方面的工作方法[108]。

表4 網絡系統全局度量研究面臨的問題與方法

6.2 全局度量與態勢感知相結合

態勢感知是對網絡系統安全性進行定量分析的一種手段，網絡安全分析人員可以借助度量，宏觀把握整個網絡的安全狀況[109]。雖然目前還無法描述網絡系統具體的安全程度，但通過態勢感知平臺可以對一些全局度量方法進行可視化驗證，使安全分析人員和網絡運營商能粗略地衡量其網絡的安全狀況和運作的成功與否。可視化技術處理安全大數據時能得到有效應用，尤其是針對大型網絡系統的安全指標。通過獲取網絡系統態勢數據，對比分析當前數據和歷史數據，將度量結果進行可視化，使人們更能直觀地認識網絡系統安全狀態[110]，從而制定更精準的決策響應突發情況或者預防未來可能發生的不利狀況。網絡安全監控企業 Scorecard[111]為企業用戶提供安全基準測試服務，能感知整個網絡系統，度量系統的網絡健康狀況并做出預測，但度量和預測結果偏主觀性。

6.3 度量指標體系建設

精準度量網絡系統，客觀建立度量指標體系、指標標準化、準確度量指標值是關鍵。指標體系應包含數據采集、數據測度、指標組合等內容。不同場景下的網絡系統全局度量的指標一般是不同的，指標體系應給出指導。提出能夠客觀描述整體網絡系統情況的指標體系，并使之形成標準是一項長期工作。網絡系統安全全局度量指標的建設與研究初期借鑒 CC、等級保護等安全體系可以快速形成度量指標并實施度量。例如，一些安全公司結合體系和實際經驗建立了自己的度量指標。UpGuard[112]建立了約2 000個網絡系統安全度量指標，從企業外部和內部對其信息完整性、脆弱性、合規性、安全性等進行全局度量，并能給出一份網絡威脅報告（CSTAR, cyber security threat assessment report），使客戶對網絡系統安全問題直觀理解，了解自身的安全水平。

6.4 網絡系統全局度量建模

目前，還不清楚在什么條件下，一個系統的安全性是有意義的、可比較的，即安全程度判斷尚不明確。網絡系統全局度量建模是判斷安全程度的依據，是解決客觀性的核心內容。許多企業在安全方面投入了大量的工作，但大多數企業依然不能夠確定網絡系統是否足夠安全。網絡系統的復雜性使全局度量建模成為一項艱巨的任務。設計良好的度量模型能夠客觀地認識網絡系統安全性。全局度量模型應是可伸縮、可互操作和全面的，應支持靜態或動態度量、自動化度量[113]。全局度量模型除了對技術進行量化外，還需要關注技術以外的管理因素，技術度量和管理度量同時出現才能設計出一套完整的由數據驅動的網絡安全度量方案。

6.5 小結

網絡系統安全精準度量是一項富有挑戰性的研究。國內外對網絡系統安全度量的理解還存在諸多分歧，相應的技術框架尚未完善，缺乏系統化的量化分析工具和支撐平臺。本節對這些問題做進一步的說明，并列出了 10個主要問題并給出了解決方法。解決方法主要圍繞領域交叉融合，將可視化、自適應、機器學習等技術應用于全局度量中，能極大提高全局度量的研究效率。

7 結束語

網絡系統安全全局度量是一個復雜的過程。全局度量系統安全的程度取決于度量的廣度、深度。由于影響網絡系統安全的因素很多，且各因素之間又相互關聯，使安全因素與度量結果之間呈現出一種復雜的非線性關系。因此，需要構建完整的全局度量框架，建立安全度量理論與技術體系，開展典型應用，從而快速提升全局度量技術水平。逐步實現精準的度量，成為當前全局度量體系全面性拓展的基礎條件。對全局度量各方面的研究，是改變安全度量現狀的技術途徑。當解決了網絡系統安全難以全局、客觀量化問題時，對網絡系統安全的認識會更客觀、更全面、更科學、更合理。本文分析了全局度量的相關概念及其過程框架，度量的發展歷程，對現有的度量方法、體系、工具進行了比較總結，以期拋磚引玉。最后闡述了目前研究中存在的問題，并展望了其未來的發展方向。