网络安全风险评估方法分析与比较

覃德泽 蒙军全

1贺州学院计算机科学与工程系 广西 542800 2贺州市科技局 广西 542800

0 前言

关于网络安全风险评估的研究在国内才十多年的历史，人们已提出了多种不同的评估方法，其中较有代表性的是故障树分析法(Fault Tree Analysis, FTA)、层次分析法(Analytic Hierarchy Process, AHP)、模糊综合评判法(Fuzzy Comprehensive Evaluation method, FCE)和基于贝叶斯、BP神经网络、D_S证据理论和基于数据场的网络安全风险融合模型等方法。这些方法从不同的角度去探讨网络安全风险评估问题，各有优、缺点，下面具体分析。

1 评估方法简介

1.1 故障树分析法

所谓故障树分析法，就是对这些可能造成系统失效的各种因素进行分析，并用故障树反映系统内故障或其它事件之间的交互关系的设计分析方法和评估方法。

1.2 层次分析法

层次分析法(AHP)是在对系统分析的基础上，将复杂关系分解为由局部简单关系构成的递增层次关系，将前一级的评估结果作为下一级的评估输入，构造关系矩阵、权重向量和评价矩阵进行模糊综合评估的系统分析和评估方法。通过逐层评判，最终得到目标层的模糊评判矩阵，选取隶属度最大者所对应的评价集元素作为系统的综合评价结果。如果希望进行安全系统之间的比较，则取目标层的模糊评判矩阵中的各元素(值)的加权和作为系统的量化总分。应用层次分析法首先要对系统分层，并建立评估指标体系。

1.3 模糊综合评判法

模糊综合评判法就是通过构造风险因素集和评价因素集，专家直接打分评判出各风险因素的风险水平，定义隶属函数来建立权重模糊矩阵和关系模糊矩阵，并把权重模糊矩阵和关系模糊矩阵的乘积作为模糊综合评价结果的方法。

例如，设 U={U1，U2，U3}=(资产，威胁，漏洞)，为各单项因素的集合，称为风险因素集；设V={v1，v2，v3，v4，v5}＝(低，较低，中，较高，高)，为各风险级别的集合，称为评价因素集。在对各单项因素进行风险级别评估取得每个单项因素的等级值后，通过各自的隶属函数定义可分别求出每个单项因素对评价集V中5个风险级别的隶属度，每个单项因素分别得出一组5个数，三个单项因素便得到3组5个数，用这3组5个数组成矩阵(3×5)就是关系模糊矩阵R；设资产、威胁和漏洞三个因素的权重值分别为β1, β2, β3，用此组成的矩阵(1×3)就是权重模糊矩阵B。

将权重模糊矩阵 B 和关系模糊矩阵R相乘，就得到网络系统风险的模糊综合评价结果Y。Y为一个1×5的矩阵，即Y={y1y2y3y4y5}，此结果代表最后的综合评估结果隶属于第i个风险级别的程度(i=1，2…，5)。综合评估结果的数值表示则取 Y 中各元素(值)的加权和，即Y′=1*y1+2*y2+3*y3+4*y4+5*y5。

1.4 基于贝叶斯

基于贝叶斯网络的评估方法，是以贝叶斯网络为模型，对影响风险等级的各种因素采用概率方法结合专家知识进行描述。该方法不仅可以对网络的总体风险进行评估，还能分别评估各个局部要素可能引起风险的程度。

1.5 基于BP神经网络

应用BP网络进行风险评估的基本原理是：把用于描述评估的各风险因素的风险等级作为神经网络的输入向量，将对系统的风险评估值作为神经网络的输出。使用网络前，用一些传统方法评估取得成功的系统样本训练这个网络，使它所特有的权值系数值经过自适应学习后得到正确的内部关系，训练好的神经网络便可作为风险评估的有效工具了。

1.6 基于D_S证据理论

D_S证据理论主要用于数据融合技术中，近年来在风险评估中的应用逐渐增多(如项目投资、软件开发风险评估等)，这些应用显示了该理论在风险评估中的优势，但其在网络安全风险评估中的应用还很少。证据理论是一种处理不确定性的推理方法，能处理由随机性和模糊性所导致的不确定性，能将“不知道”和“不确定”区分开，适用于存在人为和不确定因素的评估。在不确定信息的表达及合成方面有着明显优势。因此，将证据理论用于网络安全风险评估，能减少网络安全评估中的不确定性，提高评估的准确性。

1.7 基于数据场的网络安全风险融合模型

针对传统网络安全风险评估中基于全局信息评估策略的不足，建立一种先局部后整体的网络安全风险融合模型。该方法在主机节点模糊评判统计分析的基础上，利用网络全局定位(GNP)实现网络拓扑的坐标化，通过对重要节点以及节点间关联性因子进行加权，然后采用数据场思想实现关联节点的风险融合。通过风险场的构建，该模型能够准确反映风险的融合规律和网络安全风险态势，为管理员提供直观的安全态势视图，方便风险阻断和策略制定。

2 优缺点比较

（1）故障树分析法

优点：能给出导致风险的事故序列和发生的概率。

缺点：这种方法不足之处在于：第一，由于风险因素的不确定性和多样性，使得在对风险因素进行描述时，要做到严格的定量化或准确性是不现实的；第二，要求有大量的历史资料可供参考；第三，方法过于繁琐。

该方法通常要求数据收集的准确性和全面性，因此其适用范围通常是大而复杂、风险源多的系统。

（2）层次分析法

优点：将分析问题抽象简化、简便适用，该方法是一种定性与定量相结合的多目标决策分析方法。这一方法的核心是将决策者的经验判断给予量化，从而为决策者提供定量形式的决策依据。

缺点：受专家经验、知识限制，主观性强。

目前该方法主要用于尚无统一度量尺度的复杂问题的分析和权值确定，解决用纯参数数学模型方法难以解决的决策分析问题。

（3）模糊综合评判法

优点：可量化不确定的因素，能够考虑到客观事务内部关系的错综复杂性和价值系统的模糊性。

缺点：评价结果趋于均化，指标体系难建立，各评估指标的风险等级和权重都是专家根据自己的知识和经验直接给定，主观因素较多，并且这种给定的稍微偏差将对最终评估结果产生较大的影响，因此容易造成评估结果与客观实际偏差较大。因此其适用范围通常是那些不确定因素多的系统。

（4）基于贝叶斯

优点：该方法对于处理存在大量主观因素及不确定信息的评估问题效果显著，不仅可以评估网络的总体风险，还可以分别评估各个局部要素可能引起风险的程度。

缺点：贝叶斯网络的建立是一项比较复杂、困难的工作，它没有现成的规矩，只能根据实际问题，依靠相关领域专家确定贝叶斯网络的结点，其后的主要任务就是学习它的结构和参数。也就是说，贝叶斯网络模型条件概率的确定一般比较复杂，往往要根据具体问题，由专家经验确定或由统计实验确定。

（5）基于BP神经网络

优点：BP神经网络的应用，很好地克服了评价中的主观性。基于BP神经网络的信息安全风险评价体系，评估过程不带有明显的主观成分和人为因素，因为只需将处理过的数据输入到网络中，通过MATLAB 的神经网络工具箱计算即可得到评价结果，避免了主观性和简单性，使评价结果更有效、更客观。

缺点：选取学习样本的数量受到限制，样本的正确性不好界定。

（6）基于D_S证据理论

优点：将证据理论用于网络安全风险评估，能减少网络安全评估中的不确定性，提高评估的准确性。

缺点：证据理论应用有一个很强的条件，就是合成的证据之间必须相互独立，然而，对于一个网络系统，各种信息间联系和相关是必然的，因此，这给本方法的推广带来了一定的局限性。

（7）基于数据场的网络安全风险融合模型

优点：①利用 GNP 思想建立风险网络，采用模糊评判实现网络节点评估，从全局角度研究风险的融合机制，既考虑个体，又兼顾全局；②具备直观的风险态势图，能快捷、便利查找出最具威胁风险源和安全节点，为决策者实施风险阻断和策略制定提供高效依据；③通过对风险融合的态势研究，掌握融合的趋势与规律，能使防护策略具有针对性，从而采取主动防御的策略，降低风险的传递速度，使得风险的传播和破坏作用仅局限在有限的范围。

缺点：较难准确地描述节点风险和节点之间的关联度。

3 风险评估面临的问题和发展趋势

3.1 存在问题

目前，人们对网络安全风险评估主要是根据信息安全管理标准BS 7799/ISO17799、ISO13335和信息安全风险评估方法OCTAVE、TCSEC、CC等进行，主要是评估资产、威胁、脆弱性对风险的影响。评估过程主要存在如下问题：

（1）对各风险因素的风险等级划分，缺乏科学依据，标准不统一；

（2）评估指标体系的建立，也缺乏科学性，标准不统一；

（3）因为评估方法各异，侧重点不同，在评估标准的采用上，没有统一的标准，导致评估结果没有可比性，甚至出现较大的差异；

（4）评估中主观因素的渗入，影响了评估结果的客观性和准确性；（5）

网络安全风险评估理论、方法和模型尚需进一步完善；（6）缺乏科学、实用、自动化程度高的风险评估工具。

3.2 发展趋势

网络安全风险评估是一个系统工程，安全评估是一个有着严格流程的体系，它是动态、发展的，而非停滞、静态的。风险评估应该向科学化、系统化、规范化、标准化和自动化进行。

（1）要进一步完善风险评估的理论体系，增强评估模型、评估方法的科学性与实用性。

（2）风险评估工具应该实现功能的集成，风险评估工具应具有状态分析、趋势分析和预见性分析等功能。

（3）风险评估的过程应该逐渐转向自动化、标准化和智能化。安全评估的结果应该可以比较。安全评估的结果必须能够相互比较才可以具有较好的参考意义，才能够保证安全评估相关研究的规范发展。

（4）风险评估应该尽量减少主观因素的影响，确保评估结果的客观、准确。

4 结束语

上述的网络安全风险评估方法各有优缺点，对各自不足之处需要探索解决方法。网络安全风险评估将由单纯的定量评估、定性评估向两者结合的综合评估方向发展，评估理论将不断完善，评估模型、方法和工具将更趋科学性和实用性，最终达到评估结果更客观、可信的目的。

[1]ISO/IEC17799 20001 Information Technology Code of Practice for Information SecurityManagement[S].

[2]朱岩,杨永田,冯登国.基于层次结构的信息安全评估模型研究[J].计算机工程与应用.2004.

[3]付钰,吴晓平,严承华.基于贝叶斯网络的信息安全风险评估方法[J].武汉大学学报(理学版). 2006.

[4]赵冬梅,刘海峰,刘晨光.基于 BP 神经网络的信息安全风险评估[J].计算机工程与应用.2007.