企業(yè)網(wǎng)絡(luò)安全預算場景下的風險量化評估探索與研究

隨著網(wǎng)絡(luò)攻擊手段的日益多樣化和復雜化，網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)重點關(guān)注的問題，傳統(tǒng)的基于檢測的防護方法僅僅是一種事后的被動防御，而相對來說更好的方法應(yīng)該是主動進行網(wǎng)絡(luò)安全風險量化評估和提前進行網(wǎng)絡(luò)安全建設(shè)。國內(nèi)學者基于不同的理論對網(wǎng)絡(luò)安全風險量化評估進行了相關(guān)研究。2015年，一般來說，一個系統(tǒng)的關(guān)鍵資產(chǎn)是這個系統(tǒng)的業(yè)務(wù)和數(shù)據(jù)，包括核心業(yè)務(wù)組件、用戶的數(shù)據(jù)、用于鑒權(quán)及認證的密碼、密鑰等。為了解決傳統(tǒng)量化評估方法中存在忽略節(jié)點關(guān)聯(lián)性和差異性的問題，提出了一種節(jié)點相關(guān)的網(wǎng)絡(luò)安全風險量化方法。2018年，通過基于貝葉斯攻擊圖的網(wǎng)絡(luò)安全風險評估方法實現(xiàn)了對目標網(wǎng)絡(luò)的動態(tài)風險評估。2021年，

提出了基于灰色神經(jīng)網(wǎng)絡(luò)的云平臺大數(shù)據(jù)安全風險評估方法，使用自適應(yīng)差分改進方法檢測安全風險信息的相關(guān)性，實現(xiàn)了相關(guān)補償和自適應(yīng)控制，提高了大數(shù)據(jù)安全風險評估能力。以上的網(wǎng)絡(luò)安全風險量化方法在一定程度上解決了風險量化的問題，提高了特定場景下風險量化的準確性，但是對于大多數(shù)中小企業(yè)來說，很難達到上述風險量化方法所要求的諸多理想化的監(jiān)測參數(shù)，這些方法也很難直接運用到網(wǎng)絡(luò)安全預算的決策中去。為此，本文在前人研究工作的基礎(chǔ)上，提出了基于戈登—洛布模型

的風險量化評估方法在企業(yè)網(wǎng)絡(luò)安全建設(shè)預算場景的應(yīng)用研究。

1相關(guān)工作盡管一些工作已經(jīng)開始關(guān)注網(wǎng)絡(luò)安全風險量化的研究，但是這些工作僅僅關(guān)注風險模型的研究與設(shè)計，并沒有考慮將風險模型評估與企業(yè)網(wǎng)絡(luò)安全預算的收益進行結(jié)合。本文提出將網(wǎng)絡(luò)安全風險量化評估與戈登—洛布模型結(jié)合起來分析企業(yè)的網(wǎng)絡(luò)安全預算的收益情況。1.1網(wǎng)絡(luò)安全風險評估

網(wǎng)絡(luò)安全風險是指由于網(wǎng)絡(luò)系統(tǒng)存在脆弱性，因人為或自然的威脅導致安全事件發(fā)生所造成的損失。網(wǎng)絡(luò)風險評估就是評估威脅者利用網(wǎng)絡(luò)資產(chǎn)的脆弱性造成網(wǎng)絡(luò)資產(chǎn)損失的嚴重程度。在網(wǎng)絡(luò)安全風險的評估過程中，主要涉及資產(chǎn)、威脅、脆弱性等基本要素。每種要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值（重要性），威脅的屬性是威脅出現(xiàn)的頻率，脆弱性的屬性是脆弱性的嚴重程度。因此，網(wǎng)絡(luò)安全風險的評估過程主要包括以下幾個階段：資產(chǎn)識別、威脅識別、脆弱性識別和風險分析等。（1）資產(chǎn)識別。資產(chǎn)識別是指識別出被評估系統(tǒng)中的關(guān)鍵資產(chǎn)，也就是回答“需要保護什么？”這個問題。一般來說，一個系統(tǒng)的關(guān)鍵資產(chǎn)是這個系統(tǒng)的業(yè)務(wù)和數(shù)據(jù)，包括核心業(yè)務(wù)組件、用戶的數(shù)據(jù)、用于鑒權(quán)及認證的密碼、密鑰等。（2）威脅識別。威脅識別就是識別出潛在的威脅。由于系統(tǒng)安全屬性主要包括“機密性”“完整性”“可用性”這3個方面，因此可以將威脅分為3類。一是對機密性的威脅。通過嗅探、暴力破解等手段竊取用戶身份、認證信息，仿冒合法用戶訪問系統(tǒng)。攻擊者非法獲得系統(tǒng)中保存的或傳輸過程中的機密數(shù)據(jù)，如用戶認證信息、用戶業(yè)務(wù)數(shù)據(jù)、系統(tǒng)代碼等。二是對完整性的威脅。通過修改發(fā)送給系統(tǒng)的數(shù)據(jù)或從系統(tǒng)收到的數(shù)據(jù)，影響系統(tǒng)業(yè)務(wù)邏輯，比如繞過認證機制、欺騙計費系統(tǒng)、執(zhí)行越權(quán)操作等。三是對可用性的威脅。通過Flood、畸形報文等攻擊手段導致系統(tǒng)不能提供正常的服務(wù)。（3）脆弱性識別。脆弱性識別是指資產(chǎn)能夠抵抗威脅攻擊的能力。（4）風險分析。風險分析是指綜合資產(chǎn)的重要性、威脅程度和系統(tǒng)的脆弱性來分析可能的風險大小。網(wǎng)絡(luò)安全風險評估（CybersecurityRiskAssessment，CRA）作為一種風險分析的方法，可以得到風險發(fā)生的可能性及其后果，明確風險的大小。1.2戈登—洛布模型

戈登—洛布模型（Gordon-LoebModel，GL模型）是分析最優(yōu)信息安全投資水平的數(shù)理經(jīng)濟學模型。該模型最早發(fā)表于2002年美國計算機學會的權(quán)威期刊——信息與系統(tǒng)安全會刊（ACMTransactionsonInformationandSystemSecurity）。GL模型引入了安全漏洞概率函數(shù)的概念，有3個關(guān)鍵的假設(shè)。（1）如果信息系統(tǒng)是完全無懈可擊的，那么任何信息安全投資都將保持完美的保護。（2）如果沒有信息安全投資，那么安全漏洞的概率就是信息系統(tǒng)固有的脆弱性。（3）隨著安全投資的增加，信息系統(tǒng)變得更加安全，但速度在降低。GL模型使用安全漏洞概率函數(shù)作為條件，這些函數(shù)有兩種類型，一種是線性型，另一種是指數(shù)型。GL模型為對信息安全投資問題進行嚴格的定量分析奠定了基礎(chǔ)。

1.3GL模型的關(guān)鍵結(jié)論本文總結(jié)了一些GL模型的關(guān)鍵結(jié)論和假設(shè)，這些與本文研究的內(nèi)容息息相關(guān)。GL模型假設(shè)一個信息系統(tǒng)可以由3個參數(shù)來描述：漏洞發(fā)生的損失量lm、威脅事件發(fā)生的概率、系統(tǒng)的脆弱性v。在GL模型中，假設(shè)lm和為常數(shù)，則漏洞的預期損失為：將安全漏洞概率函數(shù)S(z,v)引入到該模型，其中z為信息安全投資的金額，GL模型對S(z,v)做出了如下假設(shè)：式中：分別為安全漏洞概率函數(shù)對z的一階偏導數(shù)和二階偏導數(shù)。信息安全投資預期收益（ExpectedBenefitofInvestmentininformationSecurity，EBIS）可以表示為：由信息安全投資的預期收益（EBIS）減去投資z得出信息安全投資的凈收益：該函數(shù)封裝了信息安全投資的成本和效益，GL模型提出了兩類信息安全漏洞概率函數(shù)：式中：α和β為信息安全生產(chǎn)效率的參數(shù)。通過這兩類安全漏洞概率函數(shù)，可以很容易獲得特定信息系統(tǒng)的最優(yōu)安全投資額：對于這兩類安全漏洞概率函數(shù)，從信息安全投資凈收益最大化的角度考慮，有如下關(guān)系：2信息安全風險因子分析

2.1概述

信息安全風險因子分析法（FactorAnalysisofInformationRisk，F(xiàn)AIR）是一個頗具影響力的CRA框架，已經(jīng)在學術(shù)研究領(lǐng)域和工業(yè)領(lǐng)域得到了廣泛的認同和應(yīng)用。FAIR模型將風險事件歸類成許多風險因子的疊加，各個風險因子之間的關(guān)系如圖1所示，圖中展示了不同風險因子之間的關(guān)系。圖1FAIR模型中風險因子的關(guān)系相比于其他的CRA框架，F(xiàn)AIR對CRA的實現(xiàn)更為全面。它考慮了攻擊方和防御方之間存在的能力差別、信息資產(chǎn)的脆弱性、攻擊成功的頻率以及相應(yīng)的金融損失。因此，其為CRA的建模實現(xiàn)提供了一個比較好的分析基礎(chǔ)。FAIR模型包含F(xiàn)AIR分類法和統(tǒng)計分析方法。其經(jīng)常被用于執(zhí)行量化風險評估。在FAIR模型中，風險（金融損失）由損失事件頻率和損失量定義。（1）損失事件頻率（LossEventFrequency，LEF）代表威脅方在一段時間內(nèi)對資產(chǎn)（Asset）造成損失的次數(shù)。LEF是威脅事件頻率（ThreatEventFrequency，TEF）和脆弱性（Vulnerability，V）的函數(shù)，其中，TEF代表威脅方接觸到信息資產(chǎn)并對資產(chǎn)攻擊成功的頻次，本文將TEF定義為接觸頻率（ContactFrequency，CF）和攻擊能力（ProbabilityofAction，PoA）的函數(shù)。脆弱性是指資產(chǎn)能夠抵抗威脅方攻擊的概率，其定義為威脅方攻擊強度（ThreatCapability，TC）和資產(chǎn)自身對攻擊免疫能力（ResistanceStrength，RS）之間的差值。（2）損失量（LossMagnitude，LM）可以分成兩種，一種是主要損失（PrimaryLoss，PL），另一種是次要損失（SecondaryLoss，SL）。在FAIR模型中，主要損失是指直接損失，而次要損失是指間接損失，例如信息泄露事件發(fā)生后引起的社會負面輿論。此外，次要損失還可以分解為次要損失事件發(fā)生頻率（SecondaryLossEventFrequency，SLEF）和次要損失量（SecondaryLossMagnitude，SLM）。FAIR模型的關(guān)鍵特征是各個風險因子的結(jié)構(gòu)和分類是固定的。圖2展示了FAIR中與風險相關(guān)的各個風險因子的計算過程。圖2FAIR模型中風險因子的聚合結(jié)構(gòu)在圖2中，總損失量是主要損失量和次要損失量之和。每種損失量都是LEF和LM的乘積。值得注意的是，次要損失事件只有在主要損失事件已經(jīng)發(fā)生的情況下才會發(fā)生。從這種意義上來說，主要損失和次要/間接損失之間存在一種因果關(guān)系，可以認為次要損失是關(guān)于主要損失的一個函數(shù)。因此，次要損失事件的計算方法為主要損失事件的發(fā)生次數(shù)與次要損失事件發(fā)生概率的乘積。FAIR模型提出了一系列與變量（風險因素）相關(guān)的函數(shù)，這些函數(shù)在統(tǒng)計上或概率上表示一個因素與其子因素之間的函數(shù)關(guān)系。在FAIR模型中，可以認為風險（Risk）的計算包含兩個部分，一是損失事件頻率的計算，二是根據(jù)損失事件頻率和損失量來計算總損失值。2.2損失事件頻率計算

本文引入泊松分布來模型化損失事件的發(fā)生頻率?；诓此煞植加嬎闶录l(fā)生k次的概率為：式中：為損失事件發(fā)生頻率的均值；k為發(fā)生的次數(shù)。如果存在間接損失，可以使用二項分布進行計算，例如，計算次要損失事件發(fā)生j次的概率為：式中：分別為主要損失事件發(fā)生的次數(shù)和次要損失事件發(fā)生的概率。2.3損失值的計算風險聚合操作是FAIR模型的關(guān)鍵推導過程。根據(jù)兩種損失之間的關(guān)系，將風險聚合（RiskAggregation，RA）操作分為兩種操作，如表1所示。

表1風險聚合操作針對第一種類型的聚合操作（即），本文以主要損失事件為例，通過實例來解釋計算過程。假設(shè)在給定的時間范圍內(nèi)，一個損失事件發(fā)生了n次，其中n介于0和上界N之間，并且這個事件有一個固定的損失量分布那么這個主要損失為：式中：P(n)為損失事件發(fā)生n次的概率；為發(fā)生n次損失事件帶來的損失量。與相比，中的損失事件頻率為聯(lián)合損失事件頻率：式中：為主要損失事件發(fā)生n次帶來的損失量；為次要損失事件發(fā)生m次帶來的損失量，為的聯(lián)合概率。3將FAIR模型引入到網(wǎng)絡(luò)安全建設(shè)預算的收益分析

從FAIR模型中用到的輸入輸出因子和函數(shù)可以得到，其風險計算公式如下：為了簡化計算過程，本文只考慮主要損失事件導致的風險，此處的為資產(chǎn)的脆弱性，是一個固有參數(shù)；為損失事件發(fā)生后造成的損失金額；為威脅事件的頻率，發(fā)生了威脅事件不一定會造成損失。此處引用GL模型中的一個概念，即漏洞概率函數(shù)，將引入GL模型概念后的風險量化模型稱為FAIR-GL模型，也就是信息安全投資會降低系統(tǒng)的脆弱性，那么增加了信息安全投資z之后，其風險計算公式如下：式中：為漏洞概率函數(shù)，其他變量的含義同式（15）。

那么由于信息安全投資導致的風險減少的金額就是其收益：式中：LP為資產(chǎn)的風險；為增加安全預算后資產(chǎn)的風險。進一步分析，信息安全投資的凈收益為信息安全投資的收益減去投資金額：式中：z為安全投資金額，其他變量含義同上。4將FAIR-GL模型應(yīng)用于DDoS攻擊

在互聯(lián)網(wǎng)環(huán)境中，時時刻刻都存在網(wǎng)絡(luò)攻擊的風險。對公司的某一服務(wù)而言，比較常見的一種攻擊就是分布式拒絕服務(wù)（DistributedDenialofService，DDoS）攻擊。本文以DDoS攻擊為例，對某個公司的服務(wù)進行攻擊風險評估。本文收集了2011—2020年十年間國內(nèi)DDoS攻擊發(fā)生的次數(shù)，并用這些數(shù)據(jù)作為該公司遭受DDoS攻擊的統(tǒng)計數(shù)據(jù)。為了使用FAIR模型對DDoS攻擊風險進行評估，首先需要明確評估其中涉及的資產(chǎn)、威脅事件和損失事件。（1）資產(chǎn)。一般是指運行在服務(wù)器上，對外公開且為客戶提供服務(wù)的軟件程序，通常都能響應(yīng)客戶發(fā)送過來的服務(wù)請求，比如百度搜索等。（2）威脅事件。因為本文評估的是DDoS攻擊的風險值，所以威脅事件就只考慮DDoS攻擊。（3）損失事件。通常在發(fā)生DDoS攻擊之后，損失事件包括服務(wù)宕機造成的經(jīng)濟損失，可能還會引起社會輿論事件，導致企業(yè)聲譽受損。為了簡單起見，本文只考慮服務(wù)器宕機帶來的經(jīng)濟損失。因此只有一個主要損失，不存在次要/間接損失。主要損失為宕機給公司帶來的經(jīng)濟損失。在給出風險評估中的相關(guān)概念之后，接下來將使用FAIR模型對暴露于DDoS環(huán)境中的資產(chǎn)進行風險量化評估。首先，需要計算出主要損失事件的發(fā)生頻率以及損失事件的損失幅度，這里的損失幅度是指經(jīng)濟損失。

4.1計算損失事件頻率

本文收集關(guān)于DDoS攻擊的一些基礎(chǔ)信息，例如DDoS攻擊者和資產(chǎn)的接觸頻率攻擊者在公網(wǎng)上接觸到應(yīng)用程序后發(fā)起DDoS攻擊的概率此外，由于攻擊者攻擊的能力和強度各不相同，例如專業(yè)黑客造成的攻擊強度通常要比業(yè)余玩家高得多。因此，為了預估攻擊者能成功攻擊的概率，還要收集各個攻擊者的攻擊能力，服務(wù)程序能抵抗住攻擊的能力根據(jù)“OASES智能終端安全生態(tài)聯(lián)盟”2022年公布的數(shù)據(jù)中2011—2020年十年間國內(nèi)發(fā)生DDoS攻擊的次數(shù)，來預估公司的服務(wù)程序遭受DDoS攻擊的次數(shù)，由于缺乏相關(guān)數(shù)據(jù)，本文提出下面兩個假設(shè)：（1）始終認為因此，在黑客每次發(fā)起DDoS攻擊時，其總是可以攻擊成功，于是這里的資產(chǎn)脆弱性為1。（2）當服務(wù)程序暴露于網(wǎng)絡(luò)風險中時，不同的黑客接觸到程序之后會采取不同的反應(yīng)，因此由不同的黑客采取攻擊行為是一個概率事件，即黑客接觸到程序時發(fā)起攻擊的概率是但由于缺乏相關(guān)數(shù)據(jù)集，因此本文認為當黑客接觸到目標程序時，其發(fā)起攻擊的概率為1。損失事件頻率并不等同于威脅事件發(fā)生頻率，原因在于一次威脅事件發(fā)生之后，并不一定會攻擊成功，防火墻有可能會阻斷此次攻擊，這樣就不會造成損失。只有在威脅事件每次發(fā)生時都能一擊而中，才會有兩者相同的情況。2020年國內(nèi)每個月遭受DDoS攻擊的統(tǒng)計情況如圖3所示。圖32020年DDoS攻擊次數(shù)月度統(tǒng)計根據(jù)綠盟科技發(fā)布的報告，本文統(tǒng)計了近十年來國內(nèi)遭受DDoS攻擊的情況，如表2所示。將表2中的數(shù)據(jù)作為攻擊成功的次數(shù)。假設(shè)DDoS攻擊事件發(fā)生的概率服從泊松分布，其中此分布的均值和方差代表十年間損失事件發(fā)生的平均值，從表2中的數(shù)據(jù)可以計算出表22011—2020年國內(nèi)遭受DDoS攻擊次數(shù)因此，可以將一年中DDoS攻擊發(fā)生的概率模型化成即某一年內(nèi)DDoS攻擊發(fā)生n次的概率為：至此，本文計算出了DDoS攻擊的損失事件發(fā)生頻率的概率分布如圖4所示。圖4一年內(nèi)DDoS攻擊次數(shù)概率分布4.2計算損失量

在一次DDoS攻擊中，其損失量一般認為是隨機變量，并且服從某一固定分布。為了方便計算，本文假設(shè)DDoS攻擊中的損失量服從某一正態(tài)分布N(μ,σ)，這里統(tǒng)計的范圍為一年，μ為該企業(yè)在當年遭受一次DDoS攻擊會帶來的平均損失量，σ為損失量的標準差。IBM網(wǎng)絡(luò)安全研究院發(fā)布的報告顯示，DDos攻擊損失為平均每小時2萬～4萬美元，一次DDos攻擊平均持續(xù)時間約10小時，則一次DDos攻擊造成的平均損失約為200萬美元，則μ=2000000。在前面的討論中，已知損失量為其中由于LM服從正態(tài)分布，因此仍然服從正態(tài)分布。下面給出兩個正態(tài)分布卷積和的計算方法：給定兩個獨立正態(tài)分布其概率密度函數(shù)分別為設(shè)隨機變量那么，Z的概率密度函數(shù)為：式中：換句話說：因此，基于此，可以根據(jù)損失事件發(fā)生頻率和主要損失量兩個分布來求出一個風險值的分布，DDoS攻擊風險分布如圖5所示。圖5DDoS攻擊風險分布4.3計算網(wǎng)絡(luò)安全建設(shè)的預期收益

假設(shè)信息集的脆弱性v=0.95，信息安全生產(chǎn)效率α=0.01，β=0.1，威脅事件發(fā)生的概率前面已經(jīng)假定信息安全投資z取最優(yōu)值，針對Ⅰ類函數(shù)，根據(jù)式（8）將上述參數(shù)取值代入，得到信息安全投資最優(yōu)值為將最優(yōu)的信息安全投資取值zI*(v)代入式（6），得到漏洞發(fā)生概率在最優(yōu)信息安全投資情況下，其凈收益函數(shù)如式（18），計算過程如下。據(jù)上一節(jié)的統(tǒng)計數(shù)據(jù)可知，一年內(nèi)發(fā)生DDoS攻擊的平均次數(shù)為則其含義是由于增加了信息安全投資，從而避免了一些威脅事件的攻