网络窃密、监听和防泄密技术-面向核心内网的网络风险评估模型

1、第19章 面向核心内网的网络风险评估模型 19.1 概念19.2 关键因素19.3 风险评估的基本步骤19.4 一种面向核心内网的网络风险评估模型19.1 概 念业务的中断通常是由于系统自身故障或内外黑客攻击，而攻击后果的发生是因为系统本身存在漏洞，攻击者利用了这些漏洞，给系统造成了威胁。任何网络和信息系统的设计、实施、管理等，不可避免地存在各种各样的问题，硬件的、系统平台的、应用的、管理人员的、措施和制度执行的等等。安全体系建设者必须了解这些弱点，综合评估这些弱点可能带来的威胁，为安全控制措施的实施提供依据。 网络/信息系统的风险评估可以分为整体、任务集群、功能模块和资产四个部分。系统整体由

2、多个任务集群组成，每个任务集群可以分为多个功能模块，而每个功能模块由不同类型和地域的硬件、软件具体实现。对弱点的评估可以从资产开始，加上攻防双方随时间的变化因素，最后构成对整个网络/信息系统弱点的动态评价。任何事物的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和补偿的过程就是风险评估。风险评估不仅适用于工程技术中系统的安全评估，也可用于项目管理、任务管理、作战评估等等，能够给决策者和执行者对所分析的对象有一个清晰的风险认识，确定风险所在及风险大小，进而决定采取什么措施去减少、避免风险，把风险控制在可以容忍的范围内。 网络风险管理是一个识别风险位置，测定和评价风险影响，

3、并针对被识别出的每个风险采取适当控制手段的一种有组织的分析过程。风险在网络系统定义、规范、设计、实现或长期使用维护的任何时期内都能够被识别出来。总结而言，网络风险评估包括三大主题：(1) 识别和评估存在的各种威胁。确定可能对资产造成危害的威胁，包括各种人员、各种技术、各种途径、各种对象等；明确区分如入侵者、网络罪犯、对公司或机构不满的员工、恐怖分子和自然灾害所可能导致的不同危害；通过对历史资料和专家经验的分析确定威胁实施的可能性。 (2) 识别和评估已经部署的安全控制手段。准确了解网络和系统安全体系现状；明晰安全需求、安全策略、安全解决方案、安全设备、安全制度和安全队伍建设情况。(3) 定性、

4、定量地综合威胁和控制两方面属性，估计网络风险状态，分析短、中、长期风险发展趋势，给出改进建议。对可能受到威胁影响的资产确定其价值、敏感性和严重性，确定重要资产，确定威胁发生的潜在的损失或破坏。对威胁和安全控制属性进行融合，分析现在和未来安全态势，提出解决建议。简单地说，如图19-1所示，风险评估对于黑客的内容，是“弱点识别、弱点估计和攻击规划”；风险评估对于防御方的意义，是“弱点识别、安全措施识别、整体安全形势估计和改进策略制定”。后者的复杂性更高。 图19-1 风险评估的主要内容 19.2 关 键 因 素在风险评估中，最终要根据对安全事件发生的可能性和负面影响的评估来识别网络的安全风险。与网

5、络安全风险密切相关的因素包括：(1) 网络依赖性：机构完成工作任务对网络、系统和信息的依赖程度越高，风险评估的任务就越重要；(2) 资产：网络设备、信息系统、信息、生产或服务能力、人员能力和信誉等；(3) 资产价值：资产的敏感程度、重要程度和关键程度； (4) 威胁：信息资产的安全可能受到的侵害，包括威胁主体、能力、资源、动机、途径、可能性和后果；(5) 脆弱性：信息资产及其安全措施在安全方面的不足和弱点；(6) 事件：威胁主体产生威胁，利用资产及其安全措施的脆弱性实际产生危害的情况；(7) 风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响；(8) 残余风险：

6、采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风险；(9) 安全需求：为保证单位的使命能够正常行使，在信息安全保障措施方面提出的要求； (10) 安全措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。其中，“残余风险”是整个风险评估中最重要的因素，具有随时间变化的特征。风险评估得出的分析结论、攻击规划和改进建议等，都与之密切相关。技术发展、外部环境变化、网络、系统、人员、设备、信息等本身的变化等，会导致信息安全状态即风险的动态性，不可能完全消除未来发生安全事件的风险。资产价值及安全投入、攻击投入

7、之间的比例关系决定了对某些特定安全风险，采取行动反而比不采取行动成本更高。因此，对于“残余风险”的分析和利用，是攻防双方关注的重点。 19.3 风险评估的基本步骤风险评估包括对设备、系统、人、信息、策略等的识别和价值分析、威胁识别和预测、安全体系的分析、安全态势的分析和预测、措施(攻击、安全改进)制定等。如图19-2所示，风险评估的工作由以下几个步骤组成：(1) 确定风险评估范围：根据任务需求，对评估中所涉及的对象、范围等，进行明确的定义。(2) 资产识别与价值估计：根据机构工作对于网络的依赖性，及网络对于其中不同设备的依赖性，对网络中的对象类别、数量、分布地域等进行识别，并明确标示其重要程度

8、。(3) 威胁评估：对网络中不同对象存在的弱点和可能面临的攻击进行估计。 图19-2 风险评估的步骤(4) 安全防御能力评估：对已经部署的安全措施的类型、数量、能力、先进程度、覆盖范围等进行评估。(5) 风险分析：综合威胁评估和安全措施评估指数，对残余风险及其发展态势进行分析和评估。(6) 风险管理：根据机构安全需求、工作特点、安全投入计划、成本及效果等因素，在对风险明确标示和评估的基础上，提出可行的改进措施，优化投入和回报关系。 19.4 一种面向核心内网的网络风险评估模型19.4.1 模型总体设计在对一个大型的、资产分布广泛的网络系统进行风险评估时，地域、设备、人员素质、文化氛围、社会环境

9、、不同业务对信息的需求、时间等等，都会成为对安全水平造成一定程度影响的重要因素。随着网络向“智能化”发展，网络基础设施与上层信息系统、应用、数据等相互之间的依赖关系越来越密切，因此，单纯部署和应用网络基础设施安全技术或系统安全技术并不能保证整个网络及其信息系统整体安全，将网络安全与上层安全性割裂开来的方法会导致安全真空的出现。为适应新的安全形势需求，新型风险评估模型将网络基础设施、系统平台、应用、数据、人员和管理等等融合到一起，以“基于网络的信息系统”这一整体进行风险评估。 本书中新型风险评估模型的基本设计思想来源于Cisco风险评估方法和对抗模型，即“网络风险=网络残余风险=网络危险性-网络

10、防御能力”，网络风险评估过程中包括“网络资产、危险性、防御能力和残余风险”四个基本要素，含义如下：(1) 网络资产：网络中存在的各种对象，包括设备、系统、人员、数据、管理等及其价值；(2) 危险性：各类脆弱点(网络中存在的安全漏洞或受到的网络攻击)存在/发生的可能性以及其可能造成的损失价值；(3) 防御能力：网络中各类安全措施或安全技术(本书统称为“安全组件”)对于各类脆弱点的控制或消减威胁的能力； (4) 残余风险：综合考虑网络中的各类脆弱点与各类安全组件之间的相互关系、相互影响，按照一定原则叠加两者对网络资产的影响，获得网络整体风险水平。 在本章模型设计中，将网络中的资产统称为“对象”，即

11、与风险评估有关的各类设备、系统、人员、数据、管理等，具体包括：(1) 建筑、室内设施、机房、线路、环境；(2) 网络硬件设备和系统硬件设备；(3) 架构设计和设备配置；(4) 操作系统和管理系统、应用基础平台；(5) 业务系统和应用软件；(6) 业务数据和系统数据；(7) 各业务系统用户、应用用户、项目组人员；(8) 组织形式、管理策略、技术支持。 对网络中的对象有破坏或负面影响的所有可能的因素，包括网络攻击和对象本身存在的安全漏洞两个方面，这些统称为“脆弱点(Vulnerability)”。如设备电磁辐射及其监听技术、无线监听技术、有线监听技术、网络设计缺陷、交换设备配置错误、操作系统漏洞、

12、应用软件后门、数据复制失控、间谍渗透、内部恶意员工、纪律和制度缺陷等，具体脆弱点应根据不同的网络建设情况进行具体分析。表19-1列出了一些常见类型的网络对象及其脆弱点。 评估过程主要包含三个步骤：(1) 危险性评估：以网络中存在的漏洞和黑客可能采取的攻击手段(即“脆弱点”)为考虑因素，对网络资产(各类“对象”)可能遭受的损失进行评估；(2) 防御能力评估：以网络中部署的安全设备、安全策略和人员(即“安全组件”)为主要考虑因素，同时将不同对象类型分别接受各类安全组件保护的情况，包括数量、保护程度等作为补充考虑因素，对网络资产在面临威胁情况下控制损失的能力(防御能力)进行评估； (3) 残余风险评

13、估：综合考虑各个类型对象、各个脆弱点的危险性和防御能力，先计算出“单一对象单一脆弱点”的残余风险，而后通过合成处理，计算网络信息系统整体残余风险。在风险评估数据的格式上，“危险性”、“防御能力”和“残余风险”的量化评估结果均使用格式为(机密性(C)，完整性(I)，可用性(A)的矢量数据类型进行描述。机密性保证只有合法用户能够阅读敏感信息，防止信息失窃对机构造成的破坏或负面影响。完整性保证只有合法用户才能修改敏感信息，确保数据的权威性。可用性保证对于系统和网络资源不受中断的访问能力，防止业务中断造成生产力损害。 在统一了风险评估数据格式的基础上，利用模糊数学中的F关系原理，本书建立“对象脆弱点”

14、全局关系平面。该平面是用于描述网络残余风险的基准平面，风险评估的前两个步骤对网络“危险性”和“防御能力”的评估结果都将映射到该平面上，基于统一的平台和规则进行合成，最终完成残余风险计算。如图19-3所示，在该平面中，x轴表示网络中的所有对象。将x轴分成n个离散的区间，每个区间代表一类对象。同理，y轴表示所有脆弱点，将y轴分成m个离散的区间，每个区间代表一种潜在的脆弱点。在本模型应用于不同评估项目时，n和m由接受评估的网络信息系统的具体情况决定，属于不同机构的网络可能拥有不同类型的对象，并存在不同类型的脆弱点。 图19-3 “对象脆弱点”全局关系平面 当“对象脆弱点”全局关系平面用于描述“危险性

15、”时，每个子关系平面代表这样一种关系：“某一类型对象在某一类型脆弱点上发生的损失”；每个子关系平面还包含两个属性，即“损失发生的可能性(Probability，后面的数学公式描述时用P表示)和损失大小(Lost，后面的数学公式描述时用L表示)”。标注了黑点的子平面代表“该类型对象在该类型脆弱点上可能会发生损失”的关系成立，没有标注黑点的子平面代表“该类型对象在该类型脆弱点上不会发生损失”。将所有标注了黑点的子关系平面的关键属性，包括损失发生的可能性和损失大小，根据一定规则进行合成计算，并根据实际情况进行修正，就可以得出整个网络信息系统的危险性数值。 同理，当“对象脆弱点”全局关系平面用于描述“

16、防御能力”时，每个子关系平面代表这样一种关系：“综合考虑各相关类型安全组件施加的影响，某一类型对象在某一类型脆弱点上减少的损失”。值得注意的是，在描述防御能力时，某一类型对象在某一类型脆弱点上，接受的是由多种不同类型的安全组件共同施加的影响，减少损失的能力是按照一定的规则进行叠加后得出的复合结果。 应该注意到，实际上图19-3是一个过于庞大的、存在大量无意义关系的平面，没有具体考虑不同对象和脆弱点之间是否真正存在影响，如“操作系统”对象和“电磁辐射监听”之间就是完全不相关的。如果直接应用这样的模型开展评估，一方面在概念上存在错误，另一方面也会给计算机自动处理造成资源浪费。因此，本书在19.4.

17、3和19.4.4节具体进行脆弱性和防御能力计算时，将分别采用分层和分安全组件的简化计算模型。针对上述内容，下面给出相应的概念/规则描述、定义和数学公式。 1风险评估数据格式定义在每个子关系平面中，“第i类对象在第j类脆弱点上的损失”使用三维矢量类型Bij描述：Bij格式为(C，I，A) (19-1)其中，C、I和A分别表示在机密性、完整性和可用性三个领域的数值。 2“对象脆弱点”全局关系平面定义“对象脆弱点”全局关系平面可用于“危险性”、“防御能力”和“残余风险”三种情况的统一描述，这里定义时使用了“残余风险”，其含义指由mn个子关系平面组成，即包括mn个Bij类型的Rij元素，由矩阵R描述：

18、 (19-2) R表示“矩阵形式描述的网络信息系统总体残余风险”。 3残余风险计算每一类对象在每一类脆弱点上的残余风险=危险性数值-防御能力数值=危险性数值+减少的损失值(负数)： Rij=Vij+Dij (i=0，1，2，n；j=0，1，2，m) (19-3) Rij、Vij和Dij均为Bij类型的数据。其中，Rij表示“每一类对象在每一类脆弱点上的残余风险值”，Vij表示“每一类对象在每一类脆弱点上可能发生的损失值”，Dij表示“每一类对象在每一类脆弱点上减少的损失值”。 4危险性计算每一类对象在每一类脆弱点上的危险性数值=损失大小发生损失的可能性：Vij = LijPij Lij表示“每

19、一类对象在每一类脆弱点上发生的损失值大小”，Pij表示“每一类对象在每一类脆弱点上发生损失的可能性”。 5网络信息系统总体残余风险数值计算先求得每一个对象的每一个脆弱点的残余风险，最后对所有对象、所有脆弱点残余风险数值求矢量和，由Bij类型的矢量R表示： (19-5) 这里的R与公式(19-2)中的R数据类型不一样，它们从不同的角度描述总体残余风险。 注：(1) 在其他文献资料，如Cisco风险评估方法中，残余风险使用风险指数(RI)表示，RI = (可能性值严重性值)/(控制能力值)=(PL)/C。在本节描述的模型中，残余风险的计算采用脆弱性和防御能力数值矢量求和的方法。两种方法求出的数值不

20、一样，但在进行不同网络风险横向比较时效果是一样的。 (2) 使用公式(19-5)进行总体残余风险计算，无论是在原理上，还是在精度上，都存在相当大的缺陷。它只适用于简单的、类似定性评估的工程实践。如果对精度有较高需求，则必须使用19.4.5节修正的优化模型。 19.4.2 模型详细设计前面简单地描述了新型模型的总体设计，本小节在其基础上对模型进行进一步的详细设计。在这里，我们给出模型特性：(1) 使用6层网络逻辑模型对网络中不同对象划分所属层次；(2) 不同对象的脆弱性和防御能力不同；(3) 标示出在设计、设备、技术、策略、人员和管理等方面的所有安全组件，统一命名为“安全组件”；(4) 同一防御

21、措施对不同层次、不同对象能够施加不同防御能力。 每一类对象的每一脆弱点均独立表示在全局关系平面中，用矢量(机密性，完整性，可用性)描述损失。损失数值均0，根据评估需求，可采用百分数表示，也可以采用整数/浮点数值表示。针对全局关系平面中的每一对象和每一脆弱点，分别确定损失大小Lij、发生损失的可能性Pij和防御能力Dij数值。 根据其他文献描述的风险评估模型，以上数值的确定可采用多种方法：(1) 专家定义；(2) 基于长期安全数据记录的数据挖掘；(3) 国际标准、公认的最佳实践、权威机构的报告等。其中，进行数据挖掘需要针对目标网络进行长期的数据采集，进行较为复杂的回归分析、方差分析、模糊判断等计

22、算，对于普通的评估机构而言是很难实现的。因此，在实际应用中，一般采用第1和第3种方法。但必须指出的是，第1和第3种方法所获得的数值分别属于主观数值和一般数值，不一定能准确描述目标网络的真实特性。 19.4.3 采用分层计算方法简化危险性评估过程为简化评估计算，使模型更加容易理解并集中关注重点，本书对图19-1所示的全局关系平面进行分层和归类处理。根据核心内网和新型威胁特性以及本书第2章的内容，本文采用六层网络逻辑模型对对象和脆弱点进行划分。一方面将传统网络OSI 7层模型中的几个层次进行合并，对具有密切关联的对象进行整体分析；另一方面将数据、人员、管理、系统等原来不属于网络逻辑模型，但对于整个

23、网络正常、安全运行意义重大或较为薄弱的对象，作为独立层次引入模型，进行重点描述和分析。分层归类如下： (1) 网络访问层(包含OSI 7层模型中的物理层、数据链路层)。该层次包括通信线路、计算机设备、机房、链路层协议、链路层交换设备等。其威胁主要针对通信线路的可靠性、软硬件设备安全性、设备冗余，防灾害能力、防电磁检测能力、设备运行环境安全等。 (2) 网络层(包含OSI 7层模型中的网络层、传输层)。该层次关注网络层设备和协议问题，包括交换机、路由器、网络基础服务器(DNS、DHCP等)、路由协议、TCP/IP协议族等。其威胁主要针对身份认证，资源访问控制，数据传输保密、完整性、远程接入安全、

24、DNS安全、路由系统安等。 (3) 系统层。该层次关注网络内使用的操作系统、文件系统、网络管理系统、企业系统基础平台(如SOA平台)等的安全。其威胁主要表现在操作系统本身的缺陷、身份认证、访问控制、系统配置、恶意软件对系统的威胁等方面。(4) 应用层(包含OSI 7层模型中的会话层、表示层、应用层)。该层次主要关注与用户直接联系的应用和网络服务，包括Web服务、电子邮件系统、Office等。其威胁主要来自软件漏洞、远程攻击、恶意软件、恶意网页等。 (5) 数据层。在本模型中，特别将数据从应用层中独立出来，作为单独的一层进行研究和分析，这是因为数据正日益成为整个企业、整个系统中最关键的因素，同时

25、也是攻防双方新的集中关注点。目前，专门针对数据的攻击和保护技术发展非常快。数据层主要包括存储在数据中心、服务器、工作站和传输、流通中的数据，如SAN、NAS、Oracle Server、PC 硬盘、光盘、邮件服务器等中存储和传输的数据。其威胁有社会工程学、摆渡攻击、强行解密、隐秘隧道传输等等。 (6) 人员和管理层。该层包括安全技术和设备管理、管理制度、部门与人员的组织规则等。管理制度化极大地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其他层次的安全漏洞。与之相反，制度缺陷、管理混乱、人员复杂等也将成为网络的巨大威胁。如图19-4所

26、示，将图19-3中的对象和脆弱点按层次划分。每一层次的平面将远小于全局平面，同时不同平面中也只标示出可能存在于该平面的威胁，减少了空白的子关系平面数量。 图19-4 “对象脆弱点”分层表示模型 19.4.4 采用分组件计算方法简化防御能力评估过程内部网络中部署不同类型的安全组件，对不同对象和脆弱点具有不同的防御能力。为实现与脆弱性评估数值的统一化，便于进行残余风险计算，本小节基于图19-3“对象脆弱点”全局关系模型进行防御能力描述，同时提出两个特性：(1) 在描述脆弱点的“对象脆弱点”全局关系中，子关系平面属性值均为正值；而在描述防御能力的“对象脆弱性”全局关系中，子关系平面的属性值是负值。

27、(2) 在描述脆弱性的“对象脆弱点”全局关系中，每一子关系平面表示的是“某脆弱点对某对象”的“一对一”关系，属性也表示的是该“一对一”的关系数值；而在描述防御能力的“对象脆弱点”全局关系中，每一子关系平面表示的是在多个安全组件对某对象实施了联合保护后，某种脆弱性被防御的程度，即“多个安全控制措施对于某对象中某脆弱性的防御能力之和”的“多对一”关系，属性表示的是多个“一对一”关系数值的总和。 为简化模型表示和便于重点分析，采用如图19-3所示的“对象脆弱点”分安全组件表示模型。应该指出的是，网络(残余)风险评估的最终完成，基础依据是图19-3中的全局关系平面模型，按公式(19-5)(19.4.5

28、节将提出修正公式)计算。图19-4和图19-5中所表示的模型是为了便于数据处理和分析理解而建立的，在数据的计算中必须进行“分层表示模型对全局模型”和“分安全组件表示模型对全局模型”的映射。 对于安全组件的描述方式采用离散处理，将所有的安全组件，包括设备、技术、协议、人员、制度等用表19-2所示的矩阵表示，一维是安全组件名称，二维是可防御的脆弱点名称及防御能力。防御能力数值用Bij类型矢量(机密性，完整性，可用性)表示，每一元素数值均小于零，是否采用百分数表示方式由脆弱性数值的表示方式决定。当采用百分数时，总和值下限为-100%，即“绝对安全”。 图19-5 不同安全组件与“对象脆弱点”对应关系

29、模型 19.4.5 模型修正根据本书作者的长期实践经验以及核心内网的安全需求和脆弱性特点，同时为提高风险评估的准确性，本小节针对模型进行三处关键的修正：(1) 在模型的计算中，强调网络中不同对象的“分布特性”，即网络中存在不同类型的对象，每一类型对象的具体数量不同，同一对象可能分布在不同地域，因此，必须考虑以下因素： 不同类型的对象接受的安全防御水平不同，包括安全设备、安全技术、管理水平等； 不同地域的对象接受的安全防御水平不同； 同一地域、同一类型的对象，在配置、设置、更新程度等方面也存在差异性。 因此，在脆弱性和防御能力计算中，不能以对象类型、地域等作为归并条件对所有对象进行归类后统一处理

30、，而必须以单个对象为基本单位进行分析和计算。即图19-3中的全局关系模型x轴不再表示“网络中所有类型的对象”，而进一步修改为“网络中所有的对象”。如果网络中有12种对象类型，共180个对象，原来x全局平面中x轴上只有12个区间，但在进行修正后，x轴上将有180个区间参加计算。同理，在进行安全组件的防御能力计算时，各安全组件对同一类型的对象存在“覆盖(采取了保护措施)”和“不覆盖”的区别，在计算时分别对待，如表19-3所示。 (2) 随着时间的变化以及技术的发展和普及，不同脆弱点发生的可能性、不同安全组件对不同脆弱点的防御能力以及总体风险数值都应该是随时间变化的。即使新型网络风险评估模型属于静态

31、评估，评估数值描述的也是“某一时间点/段”的风险。因此，使用时间度量对脆弱点可能造成的损失、脆弱点发生的可能性和安全防御水平能力值进行修正，每一个数值都将是时间的函数，公式(19-3)重新描述为 Rij(t)=Vij(t)+Dij(t) (19-6) (3) 在前述内容中，模型进行脆弱性、防御能力以及残余风险的计算采用式(19-5)所示的直接矢量求和的办法，没有考虑不同脆弱点之间(各脆弱点遭到攻击后)损失发生的可能性Pij之间以及各安全组件的防御能力之间的相互依赖关系，这样的计算复杂度较低，便于工程实践或手工计算，但评估精确性和理论正确性均存在缺陷。根据各种文献以及实践经验，黑客攻击往往采用基

32、于多种方法、利用不同漏洞的协同攻击形式提高攻击效率，安全组件之间也通过优化组合实现一体化防御。因此，不同脆弱点之间(各脆弱点遭到攻击后)损失发生的可能性Pij之间以及各安全组件的防御能力之间是存在相互依赖关系的，必须对单个数值进行关联性修正以充分描述多个对象间的实际影响。 因此，根据模糊数学中的F关系合成以及传递性原理，在利用公式(19-2)描述网络残余风险时，加入关联矩阵C对公式(19-2)进行修正，如公式(19-7)所示，将不同对象间相互依赖和相互影响的关系计入风险评估过程。 (19-7) 在分别计算脆弱性和防御能力，最后进行残余风险计算的过程中，根据“不同对象间的相互依赖关系”、“不同脆

33、弱点间的相互依赖关系”和“不同安全组件间的相互依赖关系”，分别对公式(19-2)、(19-4)和表19-2应用关联矩阵C进行修正。同时，C矩阵的行、列参数应分别取不同的数值，以确保修正后仍表达原有含义。公式(19-7)表示的是对“不同对象间的相互依赖性”进行修正的结果。 19.4.6 风险评估计算方法最后，对整个模型的计算过程进行描述。为简化计算，暂时仅考虑对象的分布性，整个计算分为下述五步。(1) 采用分层方法的总体危险性计算。如图19-6所示，首先按照6层网络模型对整个网络信息系统进行拆分，将所有的对象划分入不同的层次。然后按照从局部到整体的顺序，使用以下5个子步骤。 对于每个对象，每类脆

34、弱点的损失值=损失值矢量发生可能性。损失值为Bij类型矢量。 对于每个对象，损失值=各类损失值之和=脆弱点1的损失值+脆弱点2的损失值+脆弱点n的损失值。对于不同类型的对象，参与计算的脆弱点类型不同。 对于每类对象，总损失值=所有该类对象遭受的损失值之和=每个对象损失值该类型对象的数量。 对于每个逻辑层，总的损失值=各类对象损失值之和=1类对象损失值+2类对象损失值+m类对象损失值。对于不同的逻辑层次，参与计算的对象类型不同。 总损失值=各逻辑层损失值之和=1层损失值+2层损失值+6层损失值。在编程时，可采用迭代计算方法，从第个子步骤开始，逐步将计算结果代入第、子步骤。 图19-6 采用分层计

35、算的危险性评估过程 (2) 采用分安全组件方法的总体防御能力计算。如图19-7所示，首先列出所有的安全防御措施。根据表19-2和表19-3，将安全组件与接受防御的对象、防御能力进行对应。一个安全组件可能覆盖多类、多个对象，而每个对象被多个安全防御措施所防御。在计算时，只计算真正受到覆盖的对象。按照从局部到整体的顺序，使用以下五个子步骤。 对于每个安全组件，其针对每个对象中的每类脆弱点的防御能力值=损失减少值防御可能性。 对于每个安全组件，其针对每个对象的防御能力值=针对各类脆弱点的防御能力值之和=脆弱点1的防御能力值+脆弱点2的防御能力值+脆弱点n的防御能力值。对于不同类型的对象，该安全组件可

36、防御的脆弱点类型不同。 对于每个安全组件，其针对每类对象的防御能力值=受到该安全组件防御覆盖的该类型的各对象防御能力值之和=每个对象损失值防御能力值受到防御覆盖的对象的数量。 对于每个安全组件，其单组件防御能力值=受到该安全组件防御覆盖的各类对象防御能力值之和=1类对象损失值防御能力值+2类对象损失值防御能力值+m类对象损失值防御能力值。对于不同的安全组件，可进行防御覆盖的对象类型不同。 总体防御能力值=各安全组件防御能力值之和=安全组件1防御能力值+安全组件2防御能力值+安全组件j损失值防御能力值，j为网络中心组件的总数。以上是“从局部到总体”的防御能力计算思路。在实际编程计算时，第步为主函

37、数入口，之内逐层嵌套实现第、步的子函数。其中，实现第步计算的子函数为最内层的原子函数。 图19-7 防御能力计算 应该强调的是，不同安全组件的实现效果不同。例如，“为操作系统打补丁”、“硬盘加密”等，对所有受到防御覆盖的对象具有相同的防御能力值；而部署在不同位置、进行不同设置的多台“IPS”设备，每台设备对受到防御覆盖的对象分别具有不同的防御效果。因此，在计算中，某些类型的安全组件可以以“安全组件种类”的形式对所有被覆盖的对象进行合并计算；而某些类型的安全组件只能以“某个安全组件”的形式，只对其覆盖的对象进行计算。所以，“j”代表的安全组件数量，既包含“类”的含义，也包含“个”的含义。 (3)

38、 对总损失值进行全局关系模型映射。第一步骤计算的是“系统损失总值”，如果期望继续进行总体残余风险计算，则必须将其映射到“对象脆弱点”全局关系模型中，以便对防御能力计算映射结果进行叠加。映射方法包括： 将全局关系模型展开成一个mn的矢量矩阵形式，n代表所有对象的数量，m代表所有类型的脆弱点的数量。每一个矩阵中的元素代表“某一对象在某一脆弱点的损失值”。 将危险性计算(1)中所计算的“每个对象，每类脆弱点的损失值”取出，按照对象编号和脆弱点编号，分别填入对应的矩阵元素位置。 (4) 对总体防御能力进行全局关系模型映射。将防御能力值映射入“对象脆弱点”全局关系模型中。映射方法包括： 将全局关系模型展

39、开成一个mn的矢量矩阵形式。n代表所有对象的数量，m代表所有类型的脆弱点的数量。每一个矩阵中的元素代表“某一对象遭受某一脆弱点的损失值”。 从网络中第一类/个(取“类”还是取“个”根据前面段落的分析而定)安全组件开始，将第(2)步中第子步所得出的“对于每个安全组件，其针对每个对象中的每类脆弱点的防御能力值”按照对象编号和脆弱点编号，分别填入对应的B矩阵元素位置。 如图19-8的右半部分，遍历所有安全组件，分别取出其所计算的“对于每个安全组件，针对每个对象中的每类脆弱点的防御能力值”，填入对应的矩阵元素位置。其中已填入了数值的，将前后数值进行矢量和计算。 图19-8 对每个对象单一脆弱点的残余风

40、险计算 (5) 基于“对象脆弱点”全局关系模型的总体残余风险计算。第(5)步对第(3)、第(4)步中计算完成的分别表示危险性和防御能力值的两个mn的全局关系模型矢量矩阵进行叠加，进而完成总体残余风险计算。计算方法如下： 先展开一个空白的mn全局关系模型矢量矩阵，用于存放叠加结果。 将危险性、防御能力两个矢量矩阵展开，按照对象编号和脆弱点编号，分别将对应位置中的元素值取出，如图19-8所示，进行矢量和计算。即在“单一对象单一脆弱点”的对应位置上将每个损失值和每个防御能力值矢量相加。其中，损失值矢量中每一维的值是正值，防御能力值矢量中每一维的值是负值。如果防御能力值矢量中某一维的绝对值大于损失值矢量中对应维