用模糊综合评价方法进行网络安全风险评估

用模糊综合评价方法进行网络安全风险评估
【摘要】本文在分析网络安全风险的基础上,将模糊数学的方法运用于网络安全风险评估中,探索了用模糊综合评价方法进行网络安全风险评估的应用途径。

【关键词】网络安全;风险评估;模糊综合评价
1前言
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。

安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。

网络的安全威胁与网络的安全防护措施是交互出现的,不适当的网络安全防护,不仅不能减少网络的安全风险,还可能会浪费大量的资金,而且可能招致更大的安全威胁。

因此,有效的网络安全风险评估是可靠、有效的安全防护措施制定的必要前提。

然而,现有的评估方法在科学性、合理性方面存在一定欠缺。

例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估; 层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。

针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法——模糊综合评价法。

模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。

该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。

2 关于风险评估的几个重要概念
按照ITSEC的定义对本文涉及的重要概念加以解释:
风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。

威胁(Threat):导致对系统或组织有害的,未预科的事件发生的可能性。

漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。

资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。

3网络安全风险评估模型
3.1网络安全风险评估中的评估要素
从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。

可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。

从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:
(1)信息资产的影响价值表明了保护对象的重要性和必要性。

完整的安全策略体系中应当包含一个可接受风险的概念。

(2)根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。

可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的。

(3)根据IS0-13335的观点,漏洞是和资产相联系的。

漏洞可能为威胁所利用从而导致对信息系统或者业务对象的损害;同样,也可以通过弥补安全漏洞的方法来降低安全风险。

从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏
洞以及威胁的确定过程。

即风险R=f(z,t,v)。

其中:z为资产的价值v为网络的脆弱性等级t为对网络的威胁评估等级。

3.2资产评估
资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。

通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。

资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。

资产评估提供如下功能:
(1)企业内部重要资产信息的管理:
(2)重要资产的价值评估
(3)资产对企业运作的重要性评估
(4)确定漏洞扫描器的分布。

3.3威胁评估
安全威胁是可以导致安全事故和信息资产损失的活动。

安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。

通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。

威胁评估大致来说包括:
(1)确定相对重要的财产,以及其价值等:安全要求
(2)明确每种类型资产的薄弱环节确定可能存在的威胁类型
(3)分析利用这些薄弱环节进行某种威胁的可能性
(4)对每种可能存在的威胁具体分析产造成损坏的能力
(5)估计每种攻击的代价
(6)估算出可能的应付措施的费用。

3.4脆弱性评估
安全漏洞是信息资产自身的一种缺陷。

漏洞评估包括漏洞信息收集.安全事件信息收集、漏洞扫描.漏洞结果评估等。

通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。

然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。

4评估方法
4.1传统的评估方法
关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。

即:风险=威胁十脆弱十资产影响
但是,逻辑与计算需要乘积而不是和的数学模型即是:
风险=威胁x脆弱x资产影响
4.2模糊数学评估方法
然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。

现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。

同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。

用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。

在风险评估中,出现误差是很普遍的现象。

风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。

在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。

这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。

4.2.1确定隶属函数
在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。

如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。

此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。

比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。

为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。

如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。

威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。

4.2.2建立关系模糊矩阵
对各单项指标(评估因子)分别进行评价。

可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。

对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。

例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数.同样资产,威胁因子也可以得出一组数,组成一个5x 3模糊矩阵,记为关系模糊矩阵R。

4.2.3 权重模糊矩阵。

一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。

换句话说,高的综合风险往往来自于那些高风险级别的因子。

因此各单项指标中那些风险级别比较高的应该得到更大的重视.即权重也应该较大。

设每个单项指标的权重值为β1。

得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。

4.2.4 模糊综合评价算法
进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。

则模糊综合评价模型为:Y=B x R.其中Y为模糊综合评估结果.Y 应该为一个1x 5的矩阵:Y=(y1,y2.y3,y4,y5).其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。

这样.最后将得到一个模糊评估形式的结果.当然也可以对这个结果进行量化。

比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。

5网络安全风险评估示例
以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。

在评估模型中,我们首先要进行资产、威胁和漏洞的评估。

假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估.得到的风险级别分别为:4、2、2。

那么根据隶属函数的定义。

各个因子隶属于各个风险级别的隶属度为:
如果要进行量化,那么最后的评估风险值为:PI=
1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。

因此此时该资产的安全风险值为2.8。

6总结
本文对基于模糊数学的网络安全风险评估模型进行了具体的研究,并基于此模型从定量和定性相结合的角度进行了实际的网络安全风险评估,取得了令人满意的评估效果。

但是.由于实际风险评估过程的复杂性,各影响因素的不确定性。

在考虑资产评估、威胁评估和漏洞评估时,评估模型和评估算法设计和实现的可靠性有待测试。

此外,如何将该模型扩展为多层次模型,就是初始模型应用在多层因素上每一层的评价结果又是上一层评价的输入,对因素集U={u1,u2…un}进一步进行划分,将是我们需要进一步研究的。

同时,风险评估固有的主观因素对评估结果有很大的影响,如何尽可能减小这些主观因素也是我们继续重点研究的方向。

网络安全风险是客观存在的,对不同的系统而言,我们可以结合系统的具体特性,在专家小组评定的基础上, 赋予具有一定代表性的各级权重和相应评价值,以科学地、客观地评价网络系统面临的安全风险, 从而有针对性地关注这些风险的存在和变化,并合理地使用各种管理方法、技术和手段,以最少的成本保证安全、可靠地实现系统安全的总目标。

参考文献
[1]郭仲伟. 风险分析与决策[M],机械工业出版社,1987
[2]韩立岩.汪培庄.应用模糊数学[M].首都经济贸易大学出版社,1998。