风险评估中脆弱性识别量化分析方法

胡 兵 马 渊

（1.重庆电子工程职业学院 重庆 401331）

（2.重庆市渝中区公安分局网络安全保卫支队 重庆 400044）

一、引言

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，与信息系统等级保护、信息安全检查、信息安全建设等工作紧密相关，并通过风险发现、分析、评价为上述相关工作提供支持[1]。信息系统的风险评估可以描述为威胁利用脆弱性对资产产生影响的评价过程[2]，在这一评价过程中，由于脆弱性是资产本身存在的固有属性，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。因此，脆弱性识别是风险评估中最重要的一个环节，脆弱性识别方法的合理性、评价结果的准确性将对整体风险评估结果的可信性造成较大影响。

本文基于《信息安全技术信息安全风险评估规范》(GB T 20984-2007)，在分析现有信息安全风险评估模型存在问题的基础上，借鉴通用漏洞评估系统CVSS( Common Vulnerability Scoring System)的漏洞评价指标，提出一种脆弱性识别量化计算方法。

二、脆弱性识别方法分析

在文献[1]中给出了风险分析原理图，如图1所示。在进行风险分析时涉及资产、威胁、脆弱性三个基本要素，最终的风险值由安全事件的可能性和安全事件造成的损失确定。

图1 风险分析原理图

文献[1]根据风险分析原理图提出了风险计算的形式化公式：

公式（1）中，R为风险值计算函数，A为资产，T为威胁，V为脆弱性，Ia表示资产价值，Va表示脆弱性严重程度，L为威胁利用脆弱性导致安全事件发生的可能性，F为安全事件发生后造成的损失。根据文献[1]附录的计算示例，计算过程中V和Va均取了脆弱性严重程度的值，且脆弱性严重程度采用表1中的定性方法进行赋值。因此采用上述公式进行计算，脆弱性严重程度赋值的存在稍许偏差都将导致最终风险值的较大偏差，使得风险评估结果的可信度降低[3]。

表1 脆弱性严重程度赋值表[1]

4 高 如果被威胁利用，将对资产造成重大损害3 中等 如果被威胁利用，将对资产造成一般损害2 低 如果被威胁利用，将对资产造成较小损害1 很低 如果被威胁利用，将对资产造成的损害可以忽略

文献[4]借鉴CVSS通用漏洞评估方法，提出了从脆弱性的基本特征（Base Metrics）、时间特征（Temporal Metrics）和环境特征（Environmental Metrics）三方面进行脆弱性量化评估。其中基本特征包括攻击向量（AV）、攻击复杂度（AC）、所需权限（PR）、用户交互（UI）保密性影响（C）、完整性影响（I）、可用性影响（A）等指标，时间特征包括可利用代码（E）、漏洞修复水平（RL）和报告可信度（RC），环境特征包括安全需求（CR、IR、AR）和允许修改的基本指标（MAV、MAC、MPR、MUI、MC、MI、MA）。采用该方法，可以对脆弱性严重程度进行较为科学的定量计算，但没有解决脆弱性严重程度重复参与“安全事件可能性”和“安全事件损失”计算的问题。

三、脆弱性评估量化计算

根据图1风险分析原理，“安全事件可能性”和“安全事件损失”的量化评估都与脆弱性相关，为了避免计算过程中“脆弱性严重程度”的重复计算针对上述问题，将对脆弱性的量化评价划分为脆弱性可利用范围（Ve）和脆弱性影响范围（Vi）两个维度，以保证风险值计算过程中的威胁、脆弱性和资产的独立性。具体量化评价步骤如下：

①梳理CVSS通用漏洞评价指标。在CVSS已有的漏洞评价指标中，其基本特征所包括的AV、AC、PR、UI、C、I、A评价指标是评价漏洞的核心指标，不会随时间和用户环境的变化而发生改变，可以对脆弱性的严重程度进行准确度量。根据CVSS 3.0的量化方法，对基本特征所包括的AV、AC、PR、UI、C、I、A评价指标进行如下量化，详细参见表2。

表2 脆弱性基本指标量化

②确定脆弱性可利用范围Ve量化评价方式

脆弱性可利用范围表明了漏洞被威胁利用的难易程度，取值由AV、AC、PR、UI指标所确定，其量化计算方式如下：

③确定脆弱性影响范围Vi量化评价方式

脆弱性影响范围表明了漏洞被利用后对资产所造成的破坏，取值由C、I、A指标所确定，其量化计算方式如下：

四、结束语

本文基于CVSS通用漏洞评价指标，对脆弱性严重程度的定性评价方法进行改进，从可利用范围和影响范围两个方面对脆弱性进行定量评价。从而可以使用“脆弱性可利用范围”和“威胁出现的频率”计算安全事件发生的可能性、使用“脆弱性影响范围”和“资产价值”计算安全事件的损失，避免了脆弱性严重程度重复参与风险值的计算，降低了风险值对脆弱性严重程度的相关性，提高了信息安全风险评估结果的可信度。