基于企業(yè)環(huán)境的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估*

楊云雪，魯　驍，董　軍

1.中國(guó)科學(xué)院 計(jì)算技術(shù)研究所 網(wǎng)絡(luò)數(shù)據(jù)科學(xué)與技術(shù)重點(diǎn)實(shí)驗(yàn)室，北京 100190

2.國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心，北京 100029

3.中國(guó)石油天然氣管道局，河北 廊坊 065000

基于企業(yè)環(huán)境的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估*

楊云雪1+，魯驍2，董軍3

1.中國(guó)科學(xué)院 計(jì)算技術(shù)研究所 網(wǎng)絡(luò)數(shù)據(jù)科學(xué)與技術(shù)重點(diǎn)實(shí)驗(yàn)室，北京 100190

2.國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心，北京 100029

3.中國(guó)石油天然氣管道局，河北 廊坊 065000

針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估問題，提出了一種依據(jù)企業(yè)環(huán)境特征評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方法。在企業(yè)內(nèi)部基于企業(yè)環(huán)境特征進(jìn)行安全漏洞危險(xiǎn)性評(píng)估，提出了一種基于企業(yè)經(jīng)濟(jì)損失的漏洞危險(xiǎn)性評(píng)估方法。使用貝葉斯攻擊圖模型，并結(jié)合企業(yè)網(wǎng)絡(luò)系統(tǒng)環(huán)境變化進(jìn)行動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估。最后，通過案例研究說明了提出的動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估方法的具體計(jì)算過程，并且使用仿真實(shí)驗(yàn)說明了提出的方法更加切合被評(píng)估網(wǎng)絡(luò)或信息系統(tǒng)遭受攻擊的真實(shí)情況，評(píng)估結(jié)果更加客觀準(zhǔn)確。

網(wǎng)絡(luò)管理；網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估；漏洞評(píng)估；貝葉斯攻擊圖；層次分析法

1　引言

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計(jì)算機(jī)以及網(wǎng)絡(luò)的應(yīng)用已經(jīng)深入到社會(huì)生活的各個(gè)方面。然而，由于網(wǎng)絡(luò)系統(tǒng)存在著安全漏洞，網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增加，使得網(wǎng)絡(luò)安全問題越來越嚴(yán)重[1]。典型案例有：2014年3月，國(guó)內(nèi)安全漏洞檢測(cè)平臺(tái)“烏云”公布攜程網(wǎng)安全支付日志可下載，導(dǎo)致大量用戶銀行卡信息遭泄漏，包含持卡人姓名、身份證、銀行卡號(hào)等，泄漏原因是由于保存支付日志的服務(wù)器存在目錄漏洞。2012年7月黑客們利用特殊的SQL（structured query language）注入方式滲透到雅虎網(wǎng)站以獲取信息，雅虎45.34萬名用戶的認(rèn)證信息被泄漏。

網(wǎng)絡(luò)安全事件給企業(yè)造成了巨大的經(jīng)濟(jì)損失。根據(jù)2013年全球企業(yè)IT安全風(fēng)險(xiǎn)調(diào)查[2]，一次成功的有目標(biāo)性的攻擊事件給大型企業(yè)造成的直接財(cái)產(chǎn)損失及額外費(fèi)用損失總計(jì)為240萬美元，給中小型企業(yè)造成的損失為9.2萬美元[3]。因此，網(wǎng)絡(luò)安全已經(jīng)成為影響國(guó)家和社會(huì)經(jīng)濟(jì)發(fā)展的重要因素。

為解決網(wǎng)絡(luò)安全問題，進(jìn)行安全管理和控制，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估已經(jīng)成為信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)。安全風(fēng)險(xiǎn)評(píng)估的結(jié)果不僅反映了網(wǎng)絡(luò)或信息系統(tǒng)的安全狀況，同時(shí)也預(yù)測(cè)了網(wǎng)絡(luò)未來面臨攻擊的可能性以及這些可能發(fā)生的攻擊所帶來的風(fēng)險(xiǎn)，是安全管理員采取進(jìn)一步安全風(fēng)險(xiǎn)控制措施的主要依據(jù)。當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法主要利用攻擊樹、攻擊圖和Petri網(wǎng)等模型對(duì)網(wǎng)絡(luò)攻擊進(jìn)行建模，分析各種可能的攻擊以及攻擊之間的關(guān)聯(lián)關(guān)系。這些模型主要從網(wǎng)絡(luò)中存在的漏洞以及漏洞的關(guān)聯(lián)利用角度對(duì)網(wǎng)絡(luò)結(jié)點(diǎn)的攻擊概率進(jìn)行量化評(píng)估。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的一個(gè)重要方面是對(duì)網(wǎng)絡(luò)中存在的安全漏洞進(jìn)行評(píng)估。對(duì)安全漏洞的有效評(píng)估能夠提高漏洞補(bǔ)丁和系統(tǒng)安全加固的有效性，這方面的典型是通用漏洞評(píng)分系統(tǒng)（common vulnerability scoring system，CVSS）[4-5]。CVSS是由美國(guó)信息安全響應(yīng)與安全組和通用安全漏洞評(píng)分系統(tǒng)專家組于2007年聯(lián)合發(fā)布的漏洞評(píng)估標(biāo)準(zhǔn)，目前的通用標(biāo)準(zhǔn)是版本二，并于2014年6月公布了版本三的初稿[6]。CVSS從技術(shù)的角度利用定量分值劃定漏洞的危險(xiǎn)性等級(jí)，在一些公共可用漏洞數(shù)據(jù)庫和掃描工具中，常見CVSS方法的使用。CVSS通過3個(gè)度量組評(píng)估一個(gè)漏洞的危險(xiǎn)性，分別是基礎(chǔ)度量組、時(shí)間度量組和環(huán)境度量組。然而在實(shí)際情況中，通常只是使用基礎(chǔ)度量組，時(shí)間度量組和環(huán)境度量組并不具有普遍適用性[7]。

由于沒有考慮受到漏洞影響的企業(yè)機(jī)構(gòu)的環(huán)境特征，在不同企業(yè)環(huán)境中，利用CVSS往往計(jì)算得到相同的漏洞危險(xiǎn)性分值。然而在現(xiàn)實(shí)環(huán)境中，漏洞對(duì)各種不同企業(yè)機(jī)構(gòu)造成的影響有著很大不同。之前的某些研究工作也提出了這個(gè)問題，并且建議慎重使用CVSS的方法判定漏洞的危險(xiǎn)性[8]。而且，技術(shù)上危險(xiǎn)的漏洞不一定會(huì)給企業(yè)機(jī)構(gòu)造成很大的經(jīng)濟(jì)影響，這一點(diǎn)并不罕見[9]。當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法，比如攻擊樹和攻擊圖模型的基礎(chǔ)是先對(duì)網(wǎng)絡(luò)中存在的安全漏洞進(jìn)行危險(xiǎn)性評(píng)估。然而，目前工作的缺點(diǎn)是在計(jì)算某個(gè)結(jié)點(diǎn)的危險(xiǎn)性（攻擊者到達(dá)該結(jié)點(diǎn)的概率）時(shí)，只是使用了漏洞的CVSS基礎(chǔ)分值，忽略了漏洞在特定企業(yè)環(huán)境下的特征，比如企業(yè)的機(jī)密性、完整性和可用性需求，以及漏洞給企業(yè)造成的經(jīng)濟(jì)損失。因?yàn)閷?duì)漏洞的危險(xiǎn)性評(píng)估不準(zhǔn)確，所以無法得出準(zhǔn)確的符合企業(yè)實(shí)際情況的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估結(jié)果。

綜上所述，為了制定可靠的符合企業(yè)實(shí)際情況的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法，有必要充分考慮特定企業(yè)的環(huán)境背景信息。首先應(yīng)該依據(jù)企業(yè)環(huán)境特點(diǎn)評(píng)估漏洞的危險(xiǎn)性，然后再在企業(yè)內(nèi)部進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估?；谝陨嫌^察，本文的主要貢獻(xiàn)如下：

（1）為安全漏洞危險(xiǎn)性評(píng)估，提出了一個(gè)以企業(yè)經(jīng)濟(jì)損失為決定因素的度量標(biāo)準(zhǔn)集合。

（2）為進(jìn)行定量的安全漏洞危險(xiǎn)性評(píng)估，提出了一種整合CVSS度量標(biāo)準(zhǔn)、企業(yè)經(jīng)濟(jì)損失度量標(biāo)準(zhǔn)和企業(yè)安全性需求度量標(biāo)準(zhǔn)的量化方法。

（3）在前兩點(diǎn)的基礎(chǔ)上，提出了一種動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估方法，該方法可以結(jié)合企業(yè)的環(huán)境變化進(jìn)行動(dòng)態(tài)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。

本文組織結(jié)構(gòu)如下:第2章介紹相關(guān)研究工作；第3章是安全漏洞危險(xiǎn)性評(píng)估的內(nèi)容，包括經(jīng)濟(jì)損失度量標(biāo)準(zhǔn)和定量的漏洞危險(xiǎn)性評(píng)估方法；第4章是動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容，包括模型的建立和動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估方法；第5章通過案例研究說明具體的計(jì)算過程和提出方法的有效性；第6章總結(jié)本文的工作，并對(duì)未來的研究進(jìn)行展望。

2　相關(guān)工作

2.1安全漏洞評(píng)估

安全漏洞評(píng)估方面的研究工作從2009年開始逐漸增多[10]。為評(píng)估系統(tǒng)漏洞的嚴(yán)重性，楊宏宇等人[11]提出了一種基于灰色評(píng)估方法和層次分析法的量化評(píng)估模型。劉奇旭等人[10]選取訪問途徑，利用復(fù)雜度和影響程度作為3組評(píng)估漏洞威脅性的要素，采用層次分析法建立評(píng)估模型，將安全漏洞危害等級(jí)劃分為超危、高危、中危和低危4個(gè)級(jí)別。Allodi等人[12]使用醫(yī)學(xué)上的“病例對(duì)照研究”方法比較漏洞的嚴(yán)重性和可利用性。Huang等人[13]使用模糊層次分析法評(píng)估軟件漏洞的安全等級(jí)，并且進(jìn)一步考慮現(xiàn)實(shí)中的人類主觀性，強(qiáng)調(diào)影響信息安全不同因素之間的關(guān)系，改進(jìn)了傳統(tǒng)的模糊綜合決策模型，提出模糊積分決策模型。

Liu等人[14]在已有漏洞等級(jí)系統(tǒng)的基礎(chǔ)上，提出了一種新的漏洞等級(jí)評(píng)分系統(tǒng)（vulnerability rating and scoring system，VRSS），VRSS結(jié)合了已有漏洞等級(jí)系統(tǒng)的優(yōu)勢(shì)，能夠定性地劃定漏洞威脅性等級(jí)，并且定量地給漏洞評(píng)分。為進(jìn)一步提高漏洞評(píng)分的質(zhì)量，Liu等人[15]在VRSS的基礎(chǔ)上，使用層次分析法，通過漏洞類型給漏洞劃定等級(jí)，定量描述漏洞類型的特征，從而提高了漏洞評(píng)分的質(zhì)量。

2.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法主要利用攻擊樹[16-17]、攻擊圖[1,18-19]和Petri網(wǎng)[20]等模型對(duì)網(wǎng)絡(luò)攻擊進(jìn)行建模，分析各種可能的攻擊以及攻擊之間的關(guān)聯(lián)關(guān)系。這些模型主要從網(wǎng)絡(luò)中存在的脆弱點(diǎn)以及脆弱點(diǎn)的關(guān)聯(lián)利用角度對(duì)網(wǎng)絡(luò)結(jié)點(diǎn)的攻擊概率進(jìn)行量化評(píng)估。

為了進(jìn)一步研究網(wǎng)絡(luò)攻擊中存在的不確定性因素，一些概率模型被提出用于研究網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的定量評(píng)估問題，包括馬爾科夫決策過程模型、貝葉斯網(wǎng)絡(luò)、貝葉斯攻擊圖等模型。這些模型對(duì)網(wǎng)絡(luò)攻擊存在的不確定因素進(jìn)行了建模。例如，Dantu等人[21]提出了一個(gè)評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的概率模型，利用攻擊圖對(duì)網(wǎng)絡(luò)脆弱性進(jìn)行建模，并且應(yīng)用貝葉斯網(wǎng)絡(luò)執(zhí)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析。Liu和Man[22]利用貝葉斯網(wǎng)絡(luò)對(duì)系統(tǒng)中潛在的攻擊路徑建模，提出一種攻擊圖中基于攻擊者知識(shí)和攻擊模式的攻擊路徑最優(yōu)化算法[1]，從而進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。在他們的工作中，賦予結(jié)點(diǎn)一個(gè)概率值來描述在一個(gè)結(jié)點(diǎn)上攻擊發(fā)生的可能性大小，利用這些概率值，通過貝葉斯網(wǎng)絡(luò)計(jì)算系統(tǒng)被破壞的可能性。

上述工作往往只能處理網(wǎng)絡(luò)系統(tǒng)中較為簡(jiǎn)單的情況，屬于靜態(tài)安全風(fēng)險(xiǎn)評(píng)估。靜態(tài)安全風(fēng)險(xiǎn)評(píng)估的結(jié)果雖然準(zhǔn)確，但由于網(wǎng)絡(luò)安全事件具有的不確定性和突發(fā)性，使得評(píng)估結(jié)果相對(duì)滯后，難以滿足實(shí)際需求[3]。針對(duì)該問題，Poolsappasit等人[23]介紹了一種貝葉斯攻擊圖模型，并在此基礎(chǔ)上提出了一種動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估方法，其工作與本文的根本區(qū)別在于評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)，沒有全面考慮企業(yè)的環(huán)境特征。

3　安全漏洞危險(xiǎn)性評(píng)估

漏洞危險(xiǎn)性評(píng)估是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)。為結(jié)合企業(yè)的環(huán)境特征評(píng)估漏洞的危險(xiǎn)性，首先介紹以漏洞利用給企業(yè)造成的經(jīng)濟(jì)損失為決定因素的漏洞危險(xiǎn)性評(píng)估度量標(biāo)準(zhǔn)集合，然后介紹整合CVSS度量標(biāo)準(zhǔn)、企業(yè)經(jīng)濟(jì)損失度量標(biāo)準(zhǔn)和企業(yè)安全性需求度量標(biāo)準(zhǔn)的量化方法，從而定量評(píng)估安全漏洞的危險(xiǎn)性。

3.1企業(yè)經(jīng)濟(jì)損失度量標(biāo)準(zhǔn)

企業(yè)經(jīng)濟(jì)損失度量標(biāo)準(zhǔn)關(guān)注漏洞利用對(duì)企業(yè)的經(jīng)濟(jì)影響，目標(biāo)是把網(wǎng)絡(luò)攻擊造成的破壞具體量化成金融數(shù)據(jù)。在詳細(xì)敘述度量標(biāo)準(zhǔn)集合之前，首先引入幾個(gè)必要條件：

（1）引入新的度量標(biāo)準(zhǔn)之后，漏洞危險(xiǎn)性綜合得分應(yīng)具有多樣性，即應(yīng)該避免漏洞危險(xiǎn)性得分過于集中。

（2）漏洞危險(xiǎn)性評(píng)分過程不應(yīng)過于復(fù)雜，這一點(diǎn)可以參考CVSS評(píng)分原則。

（3）為方便理解，評(píng)分在企業(yè)的不同分析人員之間應(yīng)該保證一致。

3.1.1企業(yè)經(jīng)濟(jì)損失等級(jí)劃分

相對(duì)于定性評(píng)級(jí)，定量評(píng)分過程更加客觀。然而，定量評(píng)分卻無法給出漏洞危險(xiǎn)性的比較直觀的認(rèn)識(shí)。參考CVSS的漏洞危險(xiǎn)性等級(jí)劃分原則，本文將經(jīng)濟(jì)損失劃分為4個(gè)尺度，分別是低級(jí)、中級(jí)、高級(jí)和嚴(yán)重級(jí)。這樣做的優(yōu)勢(shì)有兩點(diǎn)：一是便于在公司內(nèi)部，比較不同的攻擊場(chǎng)景造成的經(jīng)濟(jì)損失；二是便于非技術(shù)人員，比如企業(yè)管理人員的理解。

由于無法在不同規(guī)模的企業(yè)之間進(jìn)行絕對(duì)的財(cái)產(chǎn)損失價(jià)值比較，比如十萬人民幣的財(cái)產(chǎn)損失對(duì)于一個(gè)中小型企業(yè)可能屬于高級(jí)損失，但是對(duì)于一個(gè)大型跨國(guó)公司可能只是低級(jí)損失。因此，提出的4個(gè)財(cái)產(chǎn)損失定性等級(jí)與特定企業(yè)的具體財(cái)務(wù)制度有關(guān)，企業(yè)需要根據(jù)自身的特點(diǎn)定義貨幣區(qū)間閾值，如表1所示，其中定量分值以十進(jìn)制為單位。

3.1.2企業(yè)經(jīng)濟(jì)損失度量標(biāo)準(zhǔn)及計(jì)算

本文在Innerhofer等人[24]的實(shí)證性研究工作的基礎(chǔ)上定義漏洞經(jīng)濟(jì)損失度量標(biāo)準(zhǔn)集合。Innerhofer等人在公共已知安全事件的基礎(chǔ)上，定義了91個(gè)經(jīng)濟(jì)成本單位。本文對(duì)其中的“潛在經(jīng)濟(jì)損失”代價(jià)進(jìn)行了整合分類，如圖1所示。每種類型的定義和計(jì)算公式如下所述。

Table 1　Enterprise economic loss levels表1　企業(yè)經(jīng)濟(jì)損失尺度

Fig.1　Enterprise economic loss metrics圖1　企業(yè)經(jīng)濟(jì)損失度量標(biāo)準(zhǔn)

定義1收入損失（revenue loss，RevL）。計(jì)算機(jī)系統(tǒng)為企業(yè)帶來收益。假設(shè)c表示某企業(yè)的客戶數(shù)目，r表示企業(yè)針對(duì)一項(xiàng)交易的客戶平均收益。有兩個(gè)主要原因會(huì)導(dǎo)致企業(yè)收益遭受損失：一是系統(tǒng)服務(wù)不可用；二是較長(zhǎng)的服務(wù)響應(yīng)時(shí)間造成的客戶流失。假設(shè)A表示系統(tǒng)服務(wù)的可用性，A=1表示系統(tǒng)服務(wù)可用，A=0則表示系統(tǒng)服務(wù)不可用。那么企業(yè)由于系統(tǒng)服務(wù)不可用導(dǎo)致的收入損失為：

定義2聲譽(yù)損失（reputation loss，RL）。漏洞利用給企業(yè)造成的聲譽(yù)損失較難衡量。通常衡量聲譽(yù)損失的方法是通過測(cè)量漏洞利用和安全事件對(duì)企業(yè)股票的歷史影響。假設(shè)ise是漏洞利用對(duì)企業(yè)股票價(jià)格的平均歷史影響，那么聲譽(yù)損失的計(jì)算公式為：

其中，Pt是在事故發(fā)生之前，t時(shí)間段內(nèi)的平均股票價(jià)格；Pafter則是事故發(fā)生之后的股票價(jià)格。如果ise≤0，那么ise置0。

定義3客戶損失（customer loss，CL）。企業(yè)發(fā)生的漏洞利用事件被公布之后，對(duì)安全性較為敏感的客戶將終止與該企業(yè)的合作，這將導(dǎo)致客戶損失，計(jì)算公式為：

其中，ssc是對(duì)安全性較為敏感的客戶數(shù)目；arct是企業(yè)在每個(gè)時(shí)間段t內(nèi)的平均客戶收益。

定義4投資商損失（investor loss，IL）。企業(yè)發(fā)生的漏洞利用事件被公布之后，對(duì)安全性敏感的投資商將停止投資該企業(yè)。投資商損失的計(jì)算公式為：

其中，ssi是對(duì)安全性敏感的投資商數(shù)目；ait是投資商在每個(gè)時(shí)間段t內(nèi)的平均投資金額。

定義5數(shù)據(jù)損失（data loss，DL）。數(shù)據(jù)泄漏將會(huì)給企業(yè)造成財(cái)產(chǎn)損失。因數(shù)據(jù)泄漏導(dǎo)致的數(shù)據(jù)損失的計(jì)算公式為：

其中，avr是每個(gè)數(shù)據(jù)記錄的平均價(jià)值；nlr是丟失的數(shù)據(jù)記錄數(shù)目?？梢允褂闷髽I(yè)內(nèi)部的歷史審計(jì)數(shù)據(jù)確定avr值。

3.2安全漏洞危險(xiǎn)性定量評(píng)估方法

為了提出以網(wǎng)絡(luò)攻擊事件給企業(yè)造成的經(jīng)濟(jì)損失為決定因素的漏洞危險(xiǎn)性評(píng)估方法，本文從漏洞給企業(yè)造成的經(jīng)濟(jì)損失、企業(yè)的安全需求和漏洞的CVSS得分三方面綜合考慮漏洞的危險(xiǎn)性。確定了評(píng)估漏洞危險(xiǎn)性的度量標(biāo)準(zhǔn)為：

（1）企業(yè)經(jīng)濟(jì)損失度量標(biāo)準(zhǔn)；

（2）企業(yè)安全需求度量標(biāo)準(zhǔn)；

（3）漏洞的CVSS基礎(chǔ)度量標(biāo)準(zhǔn)。

由于這些度量標(biāo)準(zhǔn)不會(huì)平均地影響漏洞的危險(xiǎn)性評(píng)估，它們需要遵循一個(gè)以用戶為中心的方法進(jìn)行加權(quán)，這個(gè)方法應(yīng)該考慮特定用戶的安全需求和企業(yè)環(huán)境的特殊性。3種類型的度量標(biāo)準(zhǔn)都以“代價(jià)”作為唯一評(píng)判標(biāo)準(zhǔn)，即在理想情況下，如何使得漏洞給企業(yè)造成的代價(jià)損失最小。因此，這是一個(gè)典型的多準(zhǔn)則決策問題（multi-criteria decision-making analysis，MCDA）。MCDA依據(jù)制定的標(biāo)準(zhǔn)給一定數(shù)目的對(duì)象排序，在本文中，漏洞就是需要按照標(biāo)準(zhǔn)進(jìn)行排序的對(duì)象。層次分析法（analytic hierarchy process，AHP）就是一種應(yīng)用最廣、最為準(zhǔn)確的MCDA方法，是美國(guó)運(yùn)籌學(xué)家Satty教授[25]于20世紀(jì)70年代初期提出的。該方法根據(jù)問題的總目標(biāo)和決策方案分為目標(biāo)層、準(zhǔn)則層和方案層3個(gè)層次，然后應(yīng)用兩兩比較的方法確定決策方案的重要性，從而做出比較滿意的決策。AHP可分為以下4個(gè)步驟：

（1）明確問題，建立層次結(jié)構(gòu)；

（2）構(gòu)造判斷矩陣；

（3）層次單排序及其一致性檢驗(yàn)；

（4）層次總排序及其組合一致性檢驗(yàn)。

依據(jù)以上4個(gè)步驟，建立的安全漏洞危險(xiǎn)性評(píng)估方法如圖2所示。

Fig.2　Risk assessment method for security vulnerabilities圖2　安全漏洞危險(xiǎn)性評(píng)估方法

4　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

本章主要內(nèi)容是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，也就是在漏洞危險(xiǎn)性量化評(píng)估的基礎(chǔ)上，對(duì)企業(yè)網(wǎng)絡(luò)環(huán)境進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。首先介紹相關(guān)的定義，然后介紹能夠結(jié)合企業(yè)環(huán)境特征進(jìn)行動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估的方法。

4.1相關(guān)定義

定義6原子攻擊（atomic attack）。假設(shè)S是網(wǎng)絡(luò)屬性的集合，A是一對(duì)網(wǎng)絡(luò)屬性之間的條件依賴關(guān)系，A表示成映射S×S→[0,1]的形式。那么，給定Spre,Spost∈S，a:Spre→Spost稱為一個(gè)原子攻擊，假如：

（1）Spre≠Spost；

（2）當(dāng)Spre=1且Spost=1時(shí)，概率A(Spre,Spost)>0；

原子攻擊表明攻擊者成功地以非0概率從屬性Spre到達(dá)Spost。第三個(gè)條件表明是從Spre直接到達(dá)Spost，中間不經(jīng)過其他網(wǎng)絡(luò)屬性。另外，一個(gè)原子攻擊和一個(gè)漏洞利用有關(guān)，漏洞利用用ei表示。漏洞利用使得攻擊者從一個(gè)網(wǎng)絡(luò)狀態(tài)Spre到達(dá)另一個(gè)網(wǎng)絡(luò)狀態(tài)Spost。用t(ei)表示漏洞利用ei的危險(xiǎn)性。

定義7貝葉斯攻擊圖（Bayesian attack graph，BAG）[23]。假設(shè)S是網(wǎng)絡(luò)屬性的集合，A是定義在S上的原子攻擊的集合。一個(gè)貝葉斯攻擊圖是一個(gè)四元組BAG=(S,τ,ε,P)，其中：

（1）S=Ninternal?Nexternal?Nterminal。 Nexternal是屬性 Si的集合，對(duì)于Si的集合，有a∈A|Si=post(a)。Ninternal是屬性 Sj的集合，對(duì)于Sj有a1,a2∈A|Sj=pre(a1)∧ post(a2)。 Nterminal是屬性 Sk的集合，對(duì)于 Sk有

（2）τ?S×S。假如Spre→Spost∈A，那么有序?qū)?Spre,Spost)∈τ。另外，對(duì)于Si∈S，集合(Sj,Si)∈τ}稱為Si的父親結(jié)點(diǎn)集合。

（4）P是條件概率分布的集合。每個(gè)屬性Sj∈Ninternal?Nterminal都有一個(gè)條件概率分布，其值為。

定義8條件概率分布（condition probability distribution，CPD）。設(shè)BAG=(S,τ,ε,P)是一個(gè)貝葉斯攻擊圖，Sj∈Ninternal?Nterminal。對(duì)于Si∈Pa[Sj]，ei是與原子攻擊Si→Sj有關(guān)的一個(gè)漏洞利用。Sj的條件概率分布為，定義如下：

（1）dj=AND

（2）dj=OR

當(dāng)涉及到多個(gè)漏洞利用時(shí)，為了計(jì)算條件概率分布，進(jìn)行如下處理：對(duì)于“AND”的情況，每個(gè)漏洞利用都是一個(gè)獨(dú)立事件。破壞目標(biāo)結(jié)點(diǎn)的概率依賴于成功利用單個(gè)漏洞利用的概率。因此，應(yīng)用事件獨(dú)立性法則，有：

對(duì)于“OR”的情況，這種關(guān)系實(shí)際上是一種Noisy-OR的關(guān)系，在這種情況下有：

4.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的前提和基礎(chǔ)[26]。目前，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估技術(shù)可分為兩大類：靜態(tài)安全風(fēng)險(xiǎn)評(píng)估和動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估。

靜態(tài)安全風(fēng)險(xiǎn)評(píng)估是對(duì)一段較短時(shí)間內(nèi)或某一時(shí)間點(diǎn)上網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，評(píng)估結(jié)果雖然準(zhǔn)確，但相對(duì)滯后，因此難以滿足實(shí)際需求。動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估通過對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)演化趨勢(shì)的研究，結(jié)合網(wǎng)絡(luò)環(huán)境變化對(duì)一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全性進(jìn)行評(píng)估，從而把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隨網(wǎng)絡(luò)環(huán)境因素的變化而產(chǎn)生的變化。本文使用的具體方法如下所述。

在網(wǎng)絡(luò)系統(tǒng)的生命周期內(nèi)，每個(gè)網(wǎng)絡(luò)狀態(tài)發(fā)生的概率都會(huì)發(fā)生變化。新出現(xiàn)的網(wǎng)絡(luò)安全事件會(huì)影響攻擊發(fā)生的可能性。本文通過使用貝葉斯攻擊圖模型計(jì)算后驗(yàn)概率，從這些新出現(xiàn)的網(wǎng)絡(luò)安全事件中評(píng)估網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

假設(shè)S={S1,S2,…,Sn}是貝葉斯攻擊圖中屬性的集合。而E={S1′,S2′,…,Sm′}?S是S的一個(gè)子集，這個(gè)集合中的屬性表示已經(jīng)發(fā)生的攻擊事件，這些屬性稱為“證據(jù)”，即對(duì)于所有的Si′∈E，有Si′=1?，F(xiàn)有Sj∈S-E，需要確定Sj的后驗(yàn)概率。根據(jù)貝葉斯定理，有：

5　案例研究

5.1案例分析

以圖3所示的一個(gè)小型貝葉斯攻擊圖為例，詳細(xì)說明本文網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法的計(jì)算過程。在圖3中，結(jié)點(diǎn)A表示“遠(yuǎn)程攻擊者”，結(jié)點(diǎn)B表示“Web服務(wù)器上存在一個(gè)緩沖區(qū)溢出漏洞（CVE-2014-5328）”，結(jié)點(diǎn)C表示“SSHd遠(yuǎn)程緩沖區(qū)溢出漏洞”，結(jié)點(diǎn)D表示“Web服務(wù)器的root權(quán)限”。圖3中的邊表示相應(yīng)的漏洞利用，比如結(jié)點(diǎn)A到結(jié)點(diǎn)B之間的邊表示“攻擊者利用緩沖區(qū)溢出漏洞發(fā)動(dòng)攻擊”。每條邊旁邊的數(shù)值是漏洞危險(xiǎn)性量化值除以10后得到的結(jié)果，這是為了使得分值介于0到1之間。攻擊者的目標(biāo)是獲得Web服務(wù)器的root權(quán)限，從而達(dá)到破壞的目的。假設(shè)在本案例中，對(duì)Web服務(wù)器的可用性（availability）要求較高，針對(duì)這個(gè)特點(diǎn)對(duì)該網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，具體計(jì)算過程如下所述。

Fig.3　Bayesian attack graph圖3　貝葉斯攻擊圖

步驟1建立漏洞危險(xiǎn)性評(píng)估的層次結(jié)構(gòu)。

漏洞CVE-2014-5328的危險(xiǎn)性評(píng)估的層次結(jié)構(gòu)如圖4所示。

Fig.4　Hierarchical structure of vulnerability severity assessment圖4　漏洞危險(xiǎn)性評(píng)估層次結(jié)構(gòu)

步驟2構(gòu)造判斷矩陣。

在本案例中，對(duì)Web服務(wù)器的可用性要求較高，因此CVSS度量、用戶安全需求和經(jīng)濟(jì)損失度量按照1∶2∶1的比例構(gòu)造準(zhǔn)則層對(duì)于目標(biāo)層的重要性判斷矩陣為：

同理，方案層對(duì)于準(zhǔn)則層的重要性判斷矩陣依次為：

考慮到經(jīng)濟(jì)損失度量中數(shù)據(jù)損失占的比例最大，因此收入損失、聲譽(yù)損失、客戶損失、投資商損失和數(shù)據(jù)損失按照1∶2∶3∶5∶6的比例構(gòu)造矩陣C3。

步驟3層次單排序及其一致性檢驗(yàn)。

步驟4層次總排序及其組合一致性檢驗(yàn)層次總排序?yàn)椋?/p>

層次總排序組合一致性檢驗(yàn)C=0,CR=0<0.1。各個(gè)度量標(biāo)準(zhǔn)對(duì)于漏洞危險(xiǎn)性的權(quán)重如表3所示。

Table 2　Hierarchical single arrangement and consistency check表2　層次單排序及其一致性檢驗(yàn)

Table 3　Weights of metrics表3　度量因素權(quán)重

步驟5漏洞危險(xiǎn)性量化值計(jì)算。

假設(shè)專家對(duì)漏洞CVE-2014-5328的打分樣本矩陣為[5.0 2.9 10.0 6.0 6.0 10.0 10.0 9.5 9.5 10.0 10.0]，那么，漏洞CVE-2014-5328的危險(xiǎn)性量化值為：

圖3中其他漏洞的危險(xiǎn)性量化值可以使用相同的計(jì)算方法得到。

步驟6結(jié)點(diǎn)風(fēng)險(xiǎn)值計(jì)算。

假設(shè)網(wǎng)絡(luò)管理員檢測(cè)到結(jié)點(diǎn)D上發(fā)生了一個(gè)網(wǎng)絡(luò)攻擊事件，即攻擊者獲得了Web服務(wù)器的root權(quán)限。結(jié)點(diǎn)B的后驗(yàn)概率計(jì)算如下：

其中：

計(jì)算得到結(jié)點(diǎn)B的后驗(yàn)概率為0.683 0。值得注意的是，在不考慮Web服務(wù)器受到攻擊的情況下，結(jié)點(diǎn)B的非條件概率為0.481 0。在考慮了結(jié)點(diǎn)D上發(fā)生的攻擊事件之后，結(jié)點(diǎn)B的后驗(yàn)概率變成了0.683 0，比之前有明顯的提高。通過把系統(tǒng)的環(huán)境信息考慮進(jìn)去之后，就可以對(duì)網(wǎng)絡(luò)的安全情況進(jìn)行更加準(zhǔn)確有效的評(píng)估。

5.2效果測(cè)評(píng)

本節(jié)以圖5所示的網(wǎng)絡(luò)作為被評(píng)估網(wǎng)絡(luò)進(jìn)行仿真實(shí)驗(yàn)。假設(shè)某中小型企業(yè)X專門為用戶提供在線電子交易業(yè)務(wù)。該企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5所示。該網(wǎng)絡(luò)包含3個(gè)子網(wǎng)絡(luò)，分別為對(duì)外服務(wù)區(qū)、內(nèi)部管理區(qū)和內(nèi)部用戶區(qū)，采用3個(gè)區(qū)用防火墻進(jìn)行分割，整個(gè)網(wǎng)絡(luò)通過網(wǎng)關(guān)與Internet相連。其中，對(duì)外服務(wù)區(qū)主要包括一臺(tái)網(wǎng)絡(luò)服務(wù)器和一臺(tái)郵件服務(wù)器，這兩臺(tái)服務(wù)器分別對(duì)外和對(duì)內(nèi)部用戶提供網(wǎng)絡(luò)服務(wù)和郵件服務(wù)。內(nèi)部管理區(qū)包括一臺(tái)文件傳輸服務(wù)器、兩臺(tái)數(shù)據(jù)庫服務(wù)器和兩臺(tái)客戶機(jī)，其中文件傳輸服務(wù)器主要給網(wǎng)絡(luò)服務(wù)器提供網(wǎng)站相關(guān)文件存儲(chǔ)和管理服務(wù)，兩臺(tái)客戶機(jī)可以通過SSH鏈接操作文件傳輸服務(wù)器。網(wǎng)絡(luò)潛在的攻擊者來自從Internet訪問的外部攻擊者。使用Nessus作為漏洞掃描工具獲得了該網(wǎng)絡(luò)中每臺(tái)主機(jī)/服務(wù)器上存在的漏洞信息，如表4所示。

Fig.5　Network topology圖5　網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

Table 4　Vulnerability information表4　漏洞信息

考慮到企業(yè)X的特點(diǎn)，模擬兩個(gè)應(yīng)用場(chǎng)景進(jìn)行實(shí)驗(yàn)分析。

場(chǎng)景1該網(wǎng)絡(luò)中，網(wǎng)絡(luò)服務(wù)器只是用于發(fā)布常識(shí)性及介紹性的普通網(wǎng)絡(luò)服務(wù)器，沒有存儲(chǔ)重要的和有價(jià)值的數(shù)據(jù)和信息。在這種情況下，企業(yè)對(duì)于網(wǎng)絡(luò)服務(wù)器的可用性需求較高。

場(chǎng)景2該網(wǎng)絡(luò)中，網(wǎng)絡(luò)服務(wù)器承擔(dān)網(wǎng)絡(luò)的主要服務(wù)，網(wǎng)絡(luò)服務(wù)器發(fā)生崩潰將對(duì)企業(yè)造成較大的影響。在這種情況下，企業(yè)對(duì)于網(wǎng)絡(luò)服務(wù)器的可用性和機(jī)密性（confidentiality）需求都較高。

使用提出的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法分別計(jì)算這兩個(gè)場(chǎng)景中的服務(wù)器風(fēng)險(xiǎn)量化值，并使用文獻(xiàn)[23]的方法計(jì)算兩個(gè)場(chǎng)景中的服務(wù)器風(fēng)險(xiǎn)量化值，得到結(jié)果如表5所示。

Table 5　Risk quantification values of servers表5　服務(wù)器風(fēng)險(xiǎn)量化值計(jì)算結(jié)果

表5展示了本文方法在兩個(gè)應(yīng)用場(chǎng)景中的服務(wù)器風(fēng)險(xiǎn)量化值的計(jì)算結(jié)果。以及參考方法的計(jì)算結(jié)果。參考方法在兩個(gè)應(yīng)用場(chǎng)景中的結(jié)果相同，因此只展示一組結(jié)果。從表5中可以看出，文獻(xiàn)[23]的方法由于沒有考慮企業(yè)網(wǎng)絡(luò)的安全性需求，在兩個(gè)場(chǎng)景中計(jì)算得到的各個(gè)服務(wù)器的風(fēng)險(xiǎn)量化值都是相同的。而使用本文方法，服務(wù)器的風(fēng)險(xiǎn)量化值會(huì)根據(jù)企業(yè)環(huán)境的不同而不同。例如，在場(chǎng)景2中，網(wǎng)絡(luò)服務(wù)器承擔(dān)網(wǎng)絡(luò)的主要服務(wù)，是企業(yè)的重要商業(yè)資產(chǎn)，發(fā)生崩潰或者被入侵將會(huì)對(duì)企業(yè)造成較大的影響，因此在本文方法的計(jì)算結(jié)果中，網(wǎng)絡(luò)服務(wù)器在場(chǎng)景2中的風(fēng)險(xiǎn)量化值比在場(chǎng)景1中大。

綜上所述，由于本文提出的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法考慮了企業(yè)網(wǎng)絡(luò)環(huán)境的安全需求，涵蓋了環(huán)境威脅信息等因素對(duì)結(jié)點(diǎn)危險(xiǎn)性的影響，使得本文方法更加切合被評(píng)估網(wǎng)絡(luò)或信息系統(tǒng)的攻擊發(fā)生可能性的真實(shí)情況，評(píng)估結(jié)果更加客觀準(zhǔn)確。

6　結(jié)束語

在網(wǎng)絡(luò)安全管理過程中，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全管理的前提和基礎(chǔ)。為了制定可靠的、符合企業(yè)實(shí)際情況的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法，有必要充分考慮特定企業(yè)的環(huán)境特征。針對(duì)該問題，本文提出了依據(jù)企業(yè)環(huán)境特征評(píng)估企業(yè)網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)的方法。首先，依據(jù)企業(yè)安全性需求、攻擊事件給企業(yè)造成的經(jīng)濟(jì)損失和CVSS基礎(chǔ)度量評(píng)估安全漏洞的危險(xiǎn)性。然后，使用貝葉斯攻擊圖模型，結(jié)合企業(yè)網(wǎng)絡(luò)系統(tǒng)的環(huán)境變化進(jìn)行動(dòng)態(tài)安全風(fēng)險(xiǎn)評(píng)估。最后，通過案例研究說明了具體的計(jì)算過程，并通過仿真實(shí)驗(yàn)驗(yàn)證了與已有方法相比，本文提出的定量評(píng)估方法更切合被評(píng)估企業(yè)的安全風(fēng)險(xiǎn)狀況，評(píng)估結(jié)果更為客觀準(zhǔn)確。

未來的研究工作將進(jìn)一步考慮更多可能的企業(yè)經(jīng)濟(jì)損失度量標(biāo)準(zhǔn)。另外，如何對(duì)攻擊圖的規(guī)模進(jìn)行簡(jiǎn)化也是研究的重點(diǎn)及難點(diǎn)。

[1]Cheng Yexia,Jiang Wen,Xue Zhi,et al.Multi-objective network security evaluation based on attack graph model[J]. Journal of Computer Research and Development,2012,49 (S):23-31.

[2]Global Corporate IT Security Risks:2013[EB/OL].[2015-07-28].http://media.kaspersky.com/en/business-security.

[3]Liu Chenhuizi,Zhang Xuefeng.A dynamic risk assessment method based on hidden Markov model[J].Journal of Xi?an University of Posts and Telecommunications,2012,17(2): 31-36.

[4]Common vulnerability scoring system(CVSS-SIG)[S/OL]. [2015-07-28].http://www.first.org/cvss.

[5]Schiffman M.Common vulnerability scoring system(CVSS) [S/OL].(2011)[2015-07-28].http://www.first.org/cvss/cvssguide.html.

[6]National vulnerability database[DB/OL].[2015-07-28]. http://nvd.nist.gov/.

[7]Frigault M,Wang Lingyu,Singhal A,et al.Measuring network security using dynamic bayesian network[C]//Proceedings of the 4th ACM Workshop on Quality of Protection,Alexandria,USA,Oct 27,2008.New York:ACM, 2008:23-30.

[8]Cheng Pengsu,Wang Lingyu,Jajodia S,et al.Aggregating CVSS base scores for semantics-rich network security metrics[C]//Proceedings of the 2012 IEEE 31st International Symposium on Reliable Distributed Systems,Irvine,USA, Oct 8-11,2012.Piscataway,USA:IEEE,2012:31-40.

[9]Ghani H,Luna J,Suri N.Quantitative assessment of software vulnerabilities based on economic-driven security metrics[C]//Proceedings of the 2013 International Conference on Risks and Security of Internet and Systems,La Rochelle, Oct 23-25,2013.Piscataway,USA:IEEE,2013:1-8.

[10]Liu Qixu,Zhang Chongbin,Zhang Yuqing,et al.Research on key technology of vulnerability threat classification[J]. Journal on Communications,2012,33(S1):79-87.

[11]Yang Hongyu,Xie Lixia,Zhu Dan,et al.A vulnerability severity grey hierarchy analytic evaluation model[J].Journal of University of Electronic Science and Technology of China,2010,39(5):778-782.

[12]Allodi L,Massacci F.Comparing vulnerability severity and exploits using case-control studies[J].ACM Transactions on Information and System Security,2014,17(1):1-20.

[13]Huang C C,Lin F Y,Lin F Y-S,et al.A novel approach to evaluate software vulnerability prioritization[J].Journal of Systems and Software,2013,86(11):2822-2840.

[14]Liu Qixu,Zhang Yuqing.VRSS:a new system for rating and scoring vulnerabilities[J].Computer Communications, 2011,34(3):264-273.

[15]Liu Qixu,Zhang Yuqing,Ying Kong,et al.Improving VRSS-based vulnerability prioritization using analytic hierarchy process[J].Journal of Systems and Software,2012,85(8): 1699-1708.

[16]Vigo R,Nielson F,Nielson H R.Automated generation of attack trees[C]//Proceedings of the 2014 IEEE 27th Computer Security Foundations Symposium,Vienna,Jul 19-22,2014. Piscataway,USA:IEEE,2014:337-350.

[17]Dewri R,Poolsappasit N,Ray I,et al.Optimal security hardening using multi-objective optimization on attack tree models of networks[C]//Proceedings of the 14th ACM Conference on Computer and Communications Security,Alexandria,USA,Oct 29-Nov 2,2007.New York:ACM,2007: 204-213.

[18]Wang L Y,Noel S,Jajodia S.Minimum-cost network hardening using attack graphs[J].Computer Communications, 2006,29(18):3812-3824.

[19]Ammann P,Wijesekera D,Kaushik S.Scalable,graphbased network vulnerability analysis[C]//Proceedings of the 9th ACM Conference on Computer and Communications Security,Washington,Nov 17-21,2002.New York:ACM, 2002:217-224.

[20]Dalton G C,Mills R F,Colombi J M,et al.Analyzing attacks trees using generalized stochastic Petri nets[C]//Proceedings of the 7th IEEE Workshop on Information Assurance,West Point,Jun 21-23,2006.Piscataway,USA:IEEE, 2006:116-123.

[21]Dantu R,Kolan P.Risk management using behavior based Bayesian networks[C]//Proceedings of the 2004 IEEE International Conference on Intelligence and Security Informatics,Apr 5-7,2004:445-449.

[22]Liu Yu,Man Hong.Network vulnerability assessment using Bayesian networks[C]//Proceedings of the SPIE 5812,Data Mining,Intrusion Detection,Information Assurance,and Data Networks Security,Orlando,Mar 28,2005.San Francisco:SPIE,2005:61-71.

[23]Poolsappasit N,Dewri R,Ray I.Dynamic security risk management using Bayesian attack graphs[J].IEEE Transactions on Dependable and Secure Computing,2012,9(1):61-74.

[24]Innerhofer-Oberperfler F,Breu R.An empirically derived loss taxonomy based on publicly known security incidents [C]//Proceedings of the 4th International Conference on Availability,Reliability and Security,Fukuoka,Mar 16-19, 2009.Piscataway,USA:IEEE,2009:66-73.

[25]Saaty T L.How to make a decision:the analytic hierarchy process[J].European Journal of Operational Research,1990, 48(1):9-26.

[26]Clark K,Tyree S,Dawkins J,et al.Qualitative and quantitative analytical techniques for network security assessment [C]//Proceedings of the 5th Annual IEEE SMC Information Assurance Workshop,Hawaii,Jun 10-11,2004.Piscataway,USA:IEEE,2004:321-328.

附中文參考文獻(xiàn)：

[1]程葉霞,姜文,薛質(zhì),等.基于攻擊圖模型的多目標(biāo)網(wǎng)絡(luò)安全評(píng)估研究[J].計(jì)算機(jī)研究與發(fā)展,2012,49(S):23-31.

[3]劉陳卉子,張雪鋒.基于隱馬爾可夫模型的動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估方法[J].西安郵電學(xué)院學(xué)報(bào),2012,17(2):31-36.

[10]劉奇旭,張翀斌,張玉清,等.安全漏洞等級(jí)劃分關(guān)鍵技術(shù)研究[J].通信學(xué)報(bào),2012,33(Sl):79-87.

[11]楊宏宇,謝麗霞,朱丹,等.漏洞嚴(yán)重性的灰色層次分析評(píng)估模型[J].電子科技大學(xué)學(xué)報(bào),2010,39(5):778-782.

YANG Yunxue was born in 1986.She is a Ph.D.candidate at University of Chinese Academy of Sciences.Her research interests include network security risk assessment and cyber insurance,etc.

楊云雪（1986—），女，中國(guó)科學(xué)院大學(xué)博士研究生，主要研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，網(wǎng)絡(luò)安全保險(xiǎn)等。

LU Xiao was born in 1986.He received the Ph.D.degree in information retrieval from University of Chinese Academy of Sciences in 2014.Now he is an engineer at National Computer Network and Information Security Management Center.His research interests include machine learning and collaborative filtering,etc.

魯驍（1986—），男，2014年于中國(guó)科學(xué)院大學(xué)獲得博士學(xué)位，現(xiàn)為國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心工程師，主要研究領(lǐng)域?yàn)闄C(jī)器學(xué)習(xí)，協(xié)同過濾等。

DONG Jun was born in 1971.He is an engineer at China Petroleum Pipeline Bureau.He has taken charge of Westto-East gas pipeline project and pipeline project of Libya,etc.

董軍（1971—），男，中國(guó)石油天然氣管道局工程師，主持承擔(dān)了西氣東輸管道工程，利比亞管道工程等項(xiàng)目。

Network Security RiskAssessment Based on Enterprise Environment?

YANG Yunxue1+,LU Xiao2,DONG Jun3
1.Key Laboratory of Network Data Science and Technology,Institute of Computing Technology,Chinese Academy of Sciences,Beijing 100190,China
2.National Computer Network and Information Security Management Center,Beijing 100029,China
3.China Petroleum Pipeline Bureau,Langfang,Hebei 065000,China

E-mail:yangyunxue@software.ict.ac.cn

This paper studies the issue of network security risk assessment and proposes a method for the network security risk assessment based on enterprise environment.First of all,this paper proposes a vulnerability severity risk assessment method based on economic losses of an enterprise to evaluate the vulnerability severity for the enterprise. Next,this paper proposes a dynamic security risk assessment method by using the Bayesian attack graph model and combining the changes of network environment.Last,the case study interprets the detailed calculation processes of the proposed dynamic security risk assessment method,and the simulation experiment shows that the proposed method conforms to the real threat level of the network or information system evaluated,therefore,the evaluation results are more accurate and objective.

network management;network security risk assessment;vulnerability assessment;Bayesian attack graph;analytic hierarchy process

2015-09,Accepted 2015-11.

10.3778/j.issn.1673-9418.1509088

A

TN915.08

*The National Natural Science Foundation of China under Grant No.61402437(國(guó)家自然科學(xué)基金).

CNKI網(wǎng)絡(luò)優(yōu)先出版:2015-11-11,http://www.cnki.net/kcms/detail/11.5602.TP.20151111.1718.006.html

YANG Yunxue,LU Xiao,DONG Jun.Network security risk assessment based on enterprise environment. Journal of Frontiers of Computer Science and Technology,2016,10(10)：1387-1397.