周 洁

（公安消防部队昆明指挥学校 云南 650000）

0 引言

网络在给人们带来便利的同时，也由于其自身的脆弱性被黑客加以利用给人们带来诸多网络安全方面的问题。

网络入侵者在攻击网络的时候都是通过利用操作系统和应用程序的弱点来进行的。网络安全遵循"木桶"理论，网络安全不是取决于安全性的平均值，而是取决于薄弱的环节，任何一个环节遭到攻击，整个系统的安全就受到威胁。所以从检测网络系统中的薄弱环节入手，可以最大程度地保证网络系统的安全。目前，最有效的手段就是周期性的对整个网络系统进行安全性检测，挖掘安全隐患和找出可能被入侵者利用的系统缺陷，根据检测结果评估系统的安全状况，根据评估结果制定最为有效的安全策略，使网络系统动态运行的风险等级始终处于可接受的范围之内。要实现这个目标，所做工作量大并且复杂，单纯依靠人力难以完成，通常，系统管理员借助网络信息安全风险评估系统来完成。

1 安全评估模型

信息安全的最终目的就是降低安全风险，最大程度的保护资产的安全。网络信息安全风险评估对整个网络系统自身存在的脆弱性（也就是漏洞），将会面临的威胁，所采取的安全措施，以及一旦安全事件发生对这个系统造成的损失和危害程度进行综合的分析，从而对整个系统面临的安全风险进行评估，为进一步提高系统的安全性提供依据。风险评估模型为衡量风险的大小提供标准和具体的方法，通过风险评估，确定各种类型的风险的等级，根据不同的等级制定不同的安全策略。

2 安全评估的方法

网络安全风险评估从发展方向上看，是由单一的技术评估向综合化整体评估发展，由定性评估向定性和定量相结合发展，由基于经验的评估向基于模型的评估发展。

目前，比较常见的两种分析方法：定性和定量分析法，都存在一定缺陷。定性分析方法只关注威胁事件所带来的损失，而并不关心威胁事件发生的概率，具体操作的时候并不使用具体的数值，而是指定期望值，这种方法由于分析者的经验和直觉的主观性容易出现偏差和错误。定量分析方法虽然既关注威胁事件发生的概率又关注威胁事件可能造成的损失，但威胁的频率和威胁影响系数很难进行精确计算，并且，由于威胁事件之间的相互关联性使得定量的评估过程考虑的因素复杂，评估难度大。现有的评估方法通常使用一个数字指标作为分界线，分界线两边分别为两个级别，存在一定的不合理性。同时，因为风险要素的赋值是离散的，所以对于风险要素的确定和评估本身也有很大的主观性和不精确性，因此最后得到的风险值有很大的偏差。本文是论述一种定性与定量相结合，综合化程度较高的评估方法——模糊综合评估法。

在本评估模型中，采用了模糊数学中的重要概念和方法对网络安全的风险评估进行研究，既充分考虑风险评估中各要素的精度，又尽量消除因为评估中确定分界线的主观性和为风险要素赋值离散化所带来的偏差，能较好地解决评估的模糊性，也在一定程度上解决了从定性到定量的难题。具体步骤如下：

（1）确定隶属函数

隶属函数是一种表达模糊界限的数学工具。对于一个模糊集合A，它可以理解为某个论域U上的一个子集，为了描述论域U中任一元素u对模糊集合A的隶属程度，通常使用区间[0，1]中所取的数值来描述。例如，采取专家打分的方法，邀请十位专家为目前的系统风险级别投票，在五种风险级别中，每位专家只能选择一种风险级别进行评价，假设投票统计的结果如下表：

风险级别 较低 低 中 高 较高打分 4 5 1 0 0

那么当前系统风险隶属于较低风险级别的程度为40%，隶属于低风险级别的程度为50%，隶属于低级别风险级别的程度为10%。这样反映出来的数据具有一定的科学性。

（2）建立关系模糊矩阵

建立一个集合，该集合为网络安全风险评估中涉及到的各要素的集合，例如U＝（资产，漏洞，威胁）；建立一个集合，该集合为网络安全风险系统的风险级别的集合，例如V＝（低，较低，中，较高，高）。根据实际测算的数据，对 U中的各个要素分别使用各自的隶属度函数计算对集合V中各个元素的隶属程度。例如，根据威胁要素的实测数据，使用为威胁要素事先选择好的隶属度函数就可以求出对于各个风险级别的隶属度，一组五个数据。同理，资产和威胁要素也可以得到一组五个数据，这样组成一个3*5的矩阵，称为模糊矩阵R。

（3）权重模糊矩阵

对于一个综合评价体系来说，涉及到若干个指标，每个指标对于评价对象来说重要程度是不同的，在进行综合评价的时候，给予重视的指标，赋予的权值就大，反之，就小。从不同角度考虑，确定权值的方法有很多种，但无论采用什么样的方法来确定权重值，关键在于确定各个指标之间的对比，对比是否准确很重要。我们将资产的权重写为 B1，威胁的权重写为B2，漏洞的权重写为B3，得到的权重模糊矩阵为B=（B1，B2，B3）。

（4）模糊综合评价算法

模糊综合评估结果为Y，Y=模糊矩阵R×权重模糊矩阵B。Y为一个1x 5的矩阵：Y＝（y1，y2，y3，y4，y5）。yi代表最后的模糊综合评估结果对第 i个风险级别的隶属程度。可以对这个结果进一步量化处理，得到一个具体的数值评估结果。

3 网络安全风险评估示例

本文选取某单位的局域网作为网络安全风险模糊综合评估的实例。全部采用专家打分的方法确定涉及到的影响因素对评价等级集合{很好，优，良，中，差}的隶属度和各影响因素所占的权重。首先将影响因素划分为三大模块，为一级影响因素，然后再对每个模块进行细化分解，为二级影响因素，如图1所示：

图1 评估示例

3.1 影响因素权重和隶属度的确定

（1）权重的确定

本文全部采取专家打分的方法确定权重和隶属度，具体的做法是邀请10位专家，每位专家根据各自的经验和专业背景，从不同的角度对某单位的网络安全进行打分。在打分之前，先由作者对该单位的网络建设情况和各项评价指标的具体含义进行解释，并带领专家进行实地的参观并回答相应的问题。一级影响因素权重打分分为三个档次：3分，2分，1分，专家根据三项指标的重要性对比，依次为最重要，次重要和最不重要的指标分别打3分，2分，1分，也可以认为三项指标同等重要那么，三项指标均打3分。十位专家打分完毕后统计并计算权重结果如下：硬件安全：23分（权重0.40），软件安全：19分（权重0.33），安全管理：16分（权重0.27）。同理，二级影响因素权重也做如此打分，并对各项指标进行权重的统计。

（2）隶属度的确定

每位专家为二级影响因素中的每项指标打分，只能在很好，优，良，中，差五个等级中选择一个作为对每项指标的打分。

表1 统计打分结果并计算隶属度

360安全卫士8.1企业定制版部署0.04 0 0.10.20.50.2桌面管理系统的部署0.11 0 0.20.70.10补丁分发系统的部署0.13 0.60.30.10 0认证系统的部署0.11 0.20.60.20 0系统安全审计0.07 0 0.40.30.30数据恢复机制0.06 0.40.40.20 0全重要数据的备份0.09 0.90.10 0 0信息安全管理制度的建立0.17 0.30.30.40 0信息安全管理员周期性培训的开展0.24 0.40.50.10 0设备和数据管理制度的完备程度0.17 0.60.30.10 0机房使用登记制度的落实0.14 0 00.20.60.2典型事故应急预案0.16 0.20.40.30.10安全管理防丢失措施0.12 0.90.10 0 0

3.2 模糊综合评价

（1）一级评价：

硬件安全：

同理：软件安全：Y2=R2×B2={0.447，0.324，0.169，0.052，0.008}安全管理：Y3=R3×B3={0.389，0.298，0.185，0.100，0.028}（2）二级评价：

（3）为使结果更加明确，进一步处理数据为五个风险等级赋值：很好-5 优-4 良-3 中-2 差-1计算加权平均值：模糊综合评估值4.1067介于4和5之间，更接近4，说明某单位的网络信息系统的安全状况处于“优”的状态。

[1]韩立岩，汪培庄.应用模糊数学［M］.北京：首都经济贸易大学出版社.

[2]卫成业.信息安全风险评估模型［J］.网络安全技术与应用.

[3]Chinese Research Council of Technical Economy.The manual of technological economy：communication volume[M].Beijing：Academic Books&Periodicals Publishing House，1990.611-618.