企业网络安全预算场景下的风险量化评估探索与研究

随着网络攻击手段的日益多样化和复杂化，网络安全已经成为企业重点关注的问题，传统的基于检测的防护方法仅仅是一种事后的被动防御，而相对来说更好的方法应该是主动进行网络安全风险量化评估和提前进行网络安全建设。国内学者基于不同的理论对网络安全风险量化评估进行了相关研究。2015年，一般来说，一个系统的关键资产是这个系统的业务和数据，包括核心业务组件、用户的数据、用于鉴权及认证的密码、密钥等。为了解决传统量化评估方法中存在忽略节点关联性和差异性的问题，提出了一种节点相关的网络安全风险量化方法。2018年，通过基于贝叶斯攻击图的网络安全风险评估方法实现了对目标网络的动态风险评估。2021年，

提出了基于灰色神经网络的云平台大数据安全风险评估方法，使用自适应差分改进方法检测安全风险信息的相关性，实现了相关补偿和自适应控制，提高了大数据安全风险评估能力。以上的网络安全风险量化方法在一定程度上解决了风险量化的问题，提高了特定场景下风险量化的准确性，但是对于大多数中小企业来说，很难达到上述风险量化方法所要求的诸多理想化的监测参数，这些方法也很难直接运用到网络安全预算的决策中去。为此，本文在前人研究工作的基础上，提出了基于戈登—洛布模型

的风险量化评估方法在企业网络安全建设预算场景的应用研究。

1相关工作尽管一些工作已经开始关注网络安全风险量化的研究，但是这些工作仅仅关注风险模型的研究与设计，并没有考虑将风险模型评估与企业网络安全预算的收益进行结合。本文提出将网络安全风险量化评估与戈登—洛布模型结合起来分析企业的网络安全预算的收益情况。1.1网络安全风险评估

网络安全风险是指由于网络系统存在脆弱性，因人为或自然的威胁导致安全事件发生所造成的损失。网络风险评估就是评估威胁者利用网络资产的脆弱性造成网络资产损失的严重程度。在网络安全风险的评估过程中，主要涉及资产、威胁、脆弱性等基本要素。每种要素有各自的属性，资产的属性是资产价值（重要性），威胁的属性是威胁出现的频率，脆弱性的属性是脆弱性的严重程度。因此，网络安全风险的评估过程主要包括以下几个阶段：资产识别、威胁识别、脆弱性识别和风险分析等。（1）资产识别。资产识别是指识别出被评估系统中的关键资产，也就是回答“需要保护什么？”这个问题。一般来说，一个系统的关键资产是这个系统的业务和数据，包括核心业务组件、用户的数据、用于鉴权及认证的密码、密钥等。（2）威胁识别。威胁识别就是识别出潜在的威胁。由于系统安全属性主要包括“机密性”“完整性”“可用性”这3个方面，因此可以将威胁分为3类。一是对机密性的威胁。通过嗅探、暴力破解等手段窃取用户身份、认证信息，仿冒合法用户访问系统。攻击者非法获得系统中保存的或传输过程中的机密数据，如用户认证信息、用户业务数据、系统代码等。二是对完整性的威胁。通过修改发送给系统的数据或从系统收到的数据，影响系统业务逻辑，比如绕过认证机制、欺骗计费系统、执行越权操作等。三是对可用性的威胁。通过Flood、畸形报文等攻击手段导致系统不能提供正常的服务。（3）脆弱性识别。脆弱性识别是指资产能够抵抗威胁攻击的能力。（4）风险分析。风险分析是指综合资产的重要性、威胁程度和系统的脆弱性来分析可能的风险大小。网络安全风险评估（CybersecurityRiskAssessment，CRA）作为一种风险分析的方法，可以得到风险发生的可能性及其后果，明确风险的大小。1.2戈登—洛布模型

戈登—洛布模型（Gordon-LoebModel，GL模型）是分析最优信息安全投资水平的数理经济学模型。该模型最早发表于2002年美国计算机学会的权威期刊——信息与系统安全会刊（ACMTransactionsonInformationandSystemSecurity）。GL模型引入了安全漏洞概率函数的概念，有3个关键的假设。（1）如果信息系统是完全无懈可击的，那么任何信息安全投资都将保持完美的保护。（2）如果没有信息安全投资，那么安全漏洞的概率就是信息系统固有的脆弱性。（3）随着安全投资的增加，信息系统变得更加安全，但速度在降低。GL模型使用安全漏洞概率函数作为条件，这些函数有两种类型，一种是线性型，另一种是指数型。GL模型为对信息安全投资问题进行严格的定量分析奠定了基础。

1.3GL模型的关键结论本文总结了一些GL模型的关键结论和假设，这些与本文研究的内容息息相关。GL模型假设一个信息系统可以由3个参数来描述：漏洞发生的损失量lm、威胁事件发生的概率、系统的脆弱性v。在GL模型中，假设lm和为常数，则漏洞的预期损失为：将安全漏洞概率函数S(z,v)引入到该模型，其中z为信息安全投资的金额，GL模型对S(z,v)做出了如下假设：式中：分别为安全漏洞概率函数对z的一阶偏导数和二阶偏导数。信息安全投资预期收益（ExpectedBenefitofInvestmentininformationSecurity，EBIS）可以表示为：由信息安全投资的预期收益（EBIS）减去投资z得出信息安全投资的净收益：该函数封装了信息安全投资的成本和效益，GL模型提出了两类信息安全漏洞概率函数：式中：α和β为信息安全生产效率的参数。通过这两类安全漏洞概率函数，可以很容易获得特定信息系统的最优安全投资额：对于这两类安全漏洞概率函数，从信息安全投资净收益最大化的角度考虑，有如下关系：2信息安全风险因子分析

2.1概述

信息安全风险因子分析法（FactorAnalysisofInformationRisk，FAIR）是一个颇具影响力的CRA框架，已经在学术研究领域和工业领域得到了广泛的认同和应用。FAIR模型将风险事件归类成许多风险因子的叠加，各个风险因子之间的关系如图1所示，图中展示了不同风险因子之间的关系。图1FAIR模型中风险因子的关系相比于其他的CRA框架，FAIR对CRA的实现更为全面。它考虑了攻击方和防御方之间存在的能力差别、信息资产的脆弱性、攻击成功的频率以及相应的金融损失。因此，其为CRA的建模实现提供了一个比较好的分析基础。FAIR模型包含FAIR分类法和统计分析方法。其经常被用于执行量化风险评估。在FAIR模型中，风险（金融损失）由损失事件频率和损失量定义。（1）损失事件频率（LossEventFrequency，LEF）代表威胁方在一段时间内对资产（Asset）造成损失的次数。LEF是威胁事件频率（ThreatEventFrequency，TEF）和脆弱性（Vulnerability，V）的函数，其中，TEF代表威胁方接触到信息资产并对资产攻击成功的频次，本文将TEF定义为接触频率（ContactFrequency，CF）和攻击能力（ProbabilityofAction，PoA）的函数。脆弱性是指资产能够抵抗威胁方攻击的概率，其定义为威胁方攻击强度（ThreatCapability，TC）和资产自身对攻击免疫能力（ResistanceStrength，RS）之间的差值。（2）损失量（LossMagnitude，LM）可以分成两种，一种是主要损失（PrimaryLoss，PL），另一种是次要损失（SecondaryLoss，SL）。在FAIR模型中，主要损失是指直接损失，而次要损失是指间接损失，例如信息泄露事件发生后引起的社会负面舆论。此外，次要损失还可以分解为次要损失事件发生频率（SecondaryLossEventFrequency，SLEF）和次要损失量（SecondaryLossMagnitude，SLM）。FAIR模型的关键特征是各个风险因子的结构和分类是固定的。图2展示了FAIR中与风险相关的各个风险因子的计算过程。图2FAIR模型中风险因子的聚合结构在图2中，总损失量是主要损失量和次要损失量之和。每种损失量都是LEF和LM的乘积。值得注意的是，次要损失事件只有在主要损失事件已经发生的情况下才会发生。从这种意义上来说，主要损失和次要/间接损失之间存在一种因果关系，可以认为次要损失是关于主要损失的一个函数。因此，次要损失事件的计算方法为主要损失事件的发生次数与次要损失事件发生概率的乘积。FAIR模型提出了一系列与变量（风险因素）相关的函数，这些函数在统计上或概率上表示一个因素与其子因素之间的函数关系。在FAIR模型中，可以认为风险（Risk）的计算包含两个部分，一是损失事件频率的计算，二是根据损失事件频率和损失量来计算总损失值。2.2损失事件频率计算

本文引入泊松分布来模型化损失事件的发生频率。基于泊松分布计算事件发生k次的概率为：式中：为损失事件发生频率的均值；k为发生的次数。如果存在间接损失，可以使用二项分布进行计算，例如，计算次要损失事件发生j次的概率为：式中：分别为主要损失事件发生的次数和次要损失事件发生的概率。2.3损失值的计算风险聚合操作是FAIR模型的关键推导过程。根据两种损失之间的关系，将风险聚合（RiskAggregation，RA）操作分为两种操作，如表1所示。

表1风险聚合操作针对第一种类型的聚合操作（即），本文以主要损失事件为例，通过实例来解释计算过程。假设在给定的时间范围内，一个损失事件发生了n次，其中n介于0和上界N之间，并且这个事件有一个固定的损失量分布那么这个主要损失为：式中：P(n)为损失事件发生n次的概率；为发生n次损失事件带来的损失量。与相比，中的损失事件频率为联合损失事件频率：式中：为主要损失事件发生n次带来的损失量；为次要损失事件发生m次带来的损失量，为的联合概率。3将FAIR模型引入到网络安全建设预算的收益分析

从FAIR模型中用到的输入输出因子和函数可以得到，其风险计算公式如下：为了简化计算过程，本文只考虑主要损失事件导致的风险，此处的为资产的脆弱性，是一个固有参数；为损失事件发生后造成的损失金额；为威胁事件的频率，发生了威胁事件不一定会造成损失。此处引用GL模型中的一个概念，即漏洞概率函数，将引入GL模型概念后的风险量化模型称为FAIR-GL模型，也就是信息安全投资会降低系统的脆弱性，那么增加了信息安全投资z之后，其风险计算公式如下：式中：为漏洞概率函数，其他变量的含义同式（15）。

那么由于信息安全投资导致的风险减少的金额就是其收益：式中：LP为资产的风险；为增加安全预算后资产的风险。进一步分析，信息安全投资的净收益为信息安全投资的收益减去投资金额：式中：z为安全投资金额，其他变量含义同上。4将FAIR-GL模型应用于DDoS攻击

在互联网环境中，时时刻刻都存在网络攻击的风险。对公司的某一服务而言，比较常见的一种攻击就是分布式拒绝服务（DistributedDenialofService，DDoS）攻击。本文以DDoS攻击为例，对某个公司的服务进行攻击风险评估。本文收集了2011—2020年十年间国内DDoS攻击发生的次数，并用这些数据作为该公司遭受DDoS攻击的统计数据。为了使用FAIR模型对DDoS攻击风险进行评估，首先需要明确评估其中涉及的资产、威胁事件和损失事件。（1）资产。一般是指运行在服务器上，对外公开且为客户提供服务的软件程序，通常都能响应客户发送过来的服务请求，比如百度搜索等。（2）威胁事件。因为本文评估的是DDoS攻击的风险值，所以威胁事件就只考虑DDoS攻击。（3）损失事件。通常在发生DDoS攻击之后，损失事件包括服务宕机造成的经济损失，可能还会引起社会舆论事件，导致企业声誉受损。为了简单起见，本文只考虑服务器宕机带来的经济损失。因此只有一个主要损失，不存在次要/间接损失。主要损失为宕机给公司带来的经济损失。在给出风险评估中的相关概念之后，接下来将使用FAIR模型对暴露于DDoS环境中的资产进行风险量化评估。首先，需要计算出主要损失事件的发生频率以及损失事件的损失幅度，这里的损失幅度是指经济损失。

4.1计算损失事件频率

本文收集关于DDoS攻击的一些基础信息，例如DDoS攻击者和资产的接触频率攻击者在公网上接触到应用程序后发起DDoS攻击的概率此外，由于攻击者攻击的能力和强度各不相同，例如专业黑客造成的攻击强度通常要比业余玩家高得多。因此，为了预估攻击者能成功攻击的概率，还要收集各个攻击者的攻击能力，服务程序能抵抗住攻击的能力根据“OASES智能终端安全生态联盟”2022年公布的数据中2011—2020年十年间国内发生DDoS攻击的次数，来预估公司的服务程序遭受DDoS攻击的次数，由于缺乏相关数据，本文提出下面两个假设：（1）始终认为因此，在黑客每次发起DDoS攻击时，其总是可以攻击成功，于是这里的资产脆弱性为1。（2）当服务程序暴露于网络风险中时，不同的黑客接触到程序之后会采取不同的反应，因此由不同的黑客采取攻击行为是一个概率事件，即黑客接触到程序时发起攻击的概率是但由于缺乏相关数据集，因此本文认为当黑客接触到目标程序时，其发起攻击的概率为1。损失事件频率并不等同于威胁事件发生频率，原因在于一次威胁事件发生之后，并不一定会攻击成功，防火墙有可能会阻断此次攻击，这样就不会造成损失。只有在威胁事件每次发生时都能一击而中，才会有两者相同的情况。2020年国内每个月遭受DDoS攻击的统计情况如图3所示。图32020年DDoS攻击次数月度统计根据绿盟科技发布的报告，本文统计了近十年来国内遭受DDoS攻击的情况，如表2所示。将表2中的数据作为攻击成功的次数。假设DDoS攻击事件发生的概率服从泊松分布，其中此分布的均值和方差代表十年间损失事件发生的平均值，从表2中的数据可以计算出表22011—2020年国内遭受DDoS攻击次数因此，可以将一年中DDoS攻击发生的概率模型化成即某一年内DDoS攻击发生n次的概率为：至此，本文计算出了DDoS攻击的损失事件发生频率的概率分布如图4所示。图4一年内DDoS攻击次数概率分布4.2计算损失量

在一次DDoS攻击中，其损失量一般认为是随机变量，并且服从某一固定分布。为了方便计算，本文假设DDoS攻击中的损失量服从某一正态分布N(μ,σ)，这里统计的范围为一年，μ为该企业在当年遭受一次DDoS攻击会带来的平均损失量，σ为损失量的标准差。IBM网络安全研究院发布的报告显示，DDos攻击损失为平均每小时2万～4万美元，一次DDos攻击平均持续时间约10小时，则一次DDos攻击造成的平均损失约为200万美元，则μ=2000000。在前面的讨论中，已知损失量为其中由于LM服从正态分布，因此仍然服从正态分布。下面给出两个正态分布卷积和的计算方法：给定两个独立正态分布其概率密度函数分别为设随机变量那么，Z的概率密度函数为：式中：换句话说：因此，基于此，可以根据损失事件发生频率和主要损失量两个分布来求出一个风险值的分布，DDoS攻击风险分布如图5所示。图5DDoS攻击风险分布4.3计算网络安全建设的预期收益

假设信息集的脆弱性v=0.95，信息安全生产效率α=0.01，β=0.1，威胁事件发生的概率前面已经假定信息安全投资z取最优值，针对Ⅰ类函数，根据式（8）将上述参数取值代入，得到信息安全投资最优值为将最优的信息安全投资取值zI*(v)代入式（6），得到漏洞发生概率在最优信息安全投资情况下，其净收益函数如式（18），计算过程如下。据上一节的统计数据可知，一年内发生DDoS攻击的平均次数为则其含义是由于增加了信息安全投资，从而避免了一些威胁事件的攻