風(fēng)險(xiǎn)評(píng)估中脆弱性識(shí)別量化分析方法

胡 兵 馬 淵

（1.重慶電子工程職業(yè)學(xué)院 重慶 401331）

（2.重慶市渝中區(qū)公安分局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì) 重慶 400044）

一、引言

信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段，與信息系統(tǒng)等級(jí)保護(hù)、信息安全檢查、信息安全建設(shè)等工作緊密相關(guān)，并通過風(fēng)險(xiǎn)發(fā)現(xiàn)、分析、評(píng)價(jià)為上述相關(guān)工作提供支持[1]。信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估可以描述為威脅利用脆弱性對(duì)資產(chǎn)產(chǎn)生影響的評(píng)價(jià)過程[2]，在這一評(píng)價(jià)過程中，由于脆弱性是資產(chǎn)本身存在的固有屬性，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。因此，脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)，脆弱性識(shí)別方法的合理性、評(píng)價(jià)結(jié)果的準(zhǔn)確性將對(duì)整體風(fēng)險(xiǎn)評(píng)估結(jié)果的可信性造成較大影響。

本文基于《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB T 20984-2007)，在分析現(xiàn)有信息安全風(fēng)險(xiǎn)評(píng)估模型存在問題的基礎(chǔ)上，借鑒通用漏洞評(píng)估系統(tǒng)CVSS( Common Vulnerability Scoring System)的漏洞評(píng)價(jià)指標(biāo)，提出一種脆弱性識(shí)別量化計(jì)算方法。

二、脆弱性識(shí)別方法分析

在文獻(xiàn)[1]中給出了風(fēng)險(xiǎn)分析原理圖，如圖1所示。在進(jìn)行風(fēng)險(xiǎn)分析時(shí)涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素，最終的風(fēng)險(xiǎn)值由安全事件的可能性和安全事件造成的損失確定。

圖1 風(fēng)險(xiǎn)分析原理圖

文獻(xiàn)[1]根據(jù)風(fēng)險(xiǎn)分析原理圖提出了風(fēng)險(xiǎn)計(jì)算的形式化公式：

公式（1）中，R為風(fēng)險(xiǎn)值計(jì)算函數(shù)，A為資產(chǎn)，T為威脅，V為脆弱性，Ia表示資產(chǎn)價(jià)值，Va表示脆弱性嚴(yán)重程度，L為威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，F(xiàn)為安全事件發(fā)生后造成的損失。根據(jù)文獻(xiàn)[1]附錄的計(jì)算示例，計(jì)算過程中V和Va均取了脆弱性嚴(yán)重程度的值，且脆弱性嚴(yán)重程度采用表1中的定性方法進(jìn)行賦值。因此采用上述公式進(jìn)行計(jì)算，脆弱性嚴(yán)重程度賦值的存在稍許偏差都將導(dǎo)致最終風(fēng)險(xiǎn)值的較大偏差，使得風(fēng)險(xiǎn)評(píng)估結(jié)果的可信度降低[3]。

表1 脆弱性嚴(yán)重程度賦值表[1]

4 高 如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3 中等 如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2 低 如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1 很低 如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略

文獻(xiàn)[4]借鑒CVSS通用漏洞評(píng)估方法，提出了從脆弱性的基本特征（Base Metrics）、時(shí)間特征（Temporal Metrics）和環(huán)境特征（Environmental Metrics）三方面進(jìn)行脆弱性量化評(píng)估。其中基本特征包括攻擊向量（AV）、攻擊復(fù)雜度（AC）、所需權(quán)限（PR）、用戶交互（UI）保密性影響（C）、完整性影響（I）、可用性影響（A）等指標(biāo)，時(shí)間特征包括可利用代碼（E）、漏洞修復(fù)水平（RL）和報(bào)告可信度（RC），環(huán)境特征包括安全需求（CR、IR、AR）和允許修改的基本指標(biāo)（MAV、MAC、MPR、MUI、MC、MI、MA）。采用該方法，可以對(duì)脆弱性嚴(yán)重程度進(jìn)行較為科學(xué)的定量計(jì)算，但沒有解決脆弱性嚴(yán)重程度重復(fù)參與“安全事件可能性”和“安全事件損失”計(jì)算的問題。

三、脆弱性評(píng)估量化計(jì)算

根據(jù)圖1風(fēng)險(xiǎn)分析原理，“安全事件可能性”和“安全事件損失”的量化評(píng)估都與脆弱性相關(guān)，為了避免計(jì)算過程中“脆弱性嚴(yán)重程度”的重復(fù)計(jì)算針對(duì)上述問題，將對(duì)脆弱性的量化評(píng)價(jià)劃分為脆弱性可利用范圍（Ve）和脆弱性影響范圍（Vi）兩個(gè)維度，以保證風(fēng)險(xiǎn)值計(jì)算過程中的威脅、脆弱性和資產(chǎn)的獨(dú)立性。具體量化評(píng)價(jià)步驟如下：

①梳理CVSS通用漏洞評(píng)價(jià)指標(biāo)。在CVSS已有的漏洞評(píng)價(jià)指標(biāo)中，其基本特征所包括的AV、AC、PR、UI、C、I、A評(píng)價(jià)指標(biāo)是評(píng)價(jià)漏洞的核心指標(biāo)，不會(huì)隨時(shí)間和用戶環(huán)境的變化而發(fā)生改變，可以對(duì)脆弱性的嚴(yán)重程度進(jìn)行準(zhǔn)確度量。根據(jù)CVSS 3.0的量化方法，對(duì)基本特征所包括的AV、AC、PR、UI、C、I、A評(píng)價(jià)指標(biāo)進(jìn)行如下量化，詳細(xì)參見表2。

表2 脆弱性基本指標(biāo)量化

②確定脆弱性可利用范圍Ve量化評(píng)價(jià)方式

脆弱性可利用范圍表明了漏洞被威脅利用的難易程度，取值由AV、AC、PR、UI指標(biāo)所確定，其量化計(jì)算方式如下：

③確定脆弱性影響范圍Vi量化評(píng)價(jià)方式

脆弱性影響范圍表明了漏洞被利用后對(duì)資產(chǎn)所造成的破壞，取值由C、I、A指標(biāo)所確定，其量化計(jì)算方式如下：

四、結(jié)束語

本文基于CVSS通用漏洞評(píng)價(jià)指標(biāo)，對(duì)脆弱性嚴(yán)重程度的定性評(píng)價(jià)方法進(jìn)行改進(jìn)，從可利用范圍和影響范圍兩個(gè)方面對(duì)脆弱性進(jìn)行定量評(píng)價(jià)。從而可以使用“脆弱性可利用范圍”和“威脅出現(xiàn)的頻率”計(jì)算安全事件發(fā)生的可能性、使用“脆弱性影響范圍”和“資產(chǎn)價(jià)值”計(jì)算安全事件的損失，避免了脆弱性嚴(yán)重程度重復(fù)參與風(fēng)險(xiǎn)值的計(jì)算，降低了風(fēng)險(xiǎn)值對(duì)脆弱性嚴(yán)重程度的相關(guān)性，提高了信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的可信度。