網絡信息安全風險度量研究

◆溫智鋼

（中國水利水電第十一工程局有限公司 河南 450000）

計算機技術在互聯網的發展過程中得到了進一步改進，實現了各種領域融合[1]，因此，目前計算機技術在各個領域都有重要的應用價值，作為計算機技術的核心[2]，計算機網絡在生活中也具有無可替代的作用。但由于大數據的普及和網絡技術的進步[3]，計算機網絡面臨著嚴重的安全風險[4]，網絡信息包含的內容十分廣泛，設計到個人身份信息、醫療信息甚至國家機密信息，因此這些信息一旦被泄漏會帶來十分嚴重的問題[5]，在這種情況下需要重視網絡信息安全風險的度量，及時規避安全風險，實現信息安全傳輸儲存[6]。

傳統的計算機網絡安全風險度量方法在面臨目前的大數據環境時評估效果極差[7]，已經不能滿足目前的風險度量需求，因此需要在大數據背景下將網絡信息進行定性分析、定量評價，保證網絡信息安全風險度量的有效性。影響網絡信息安全風險的因素有很多[8]，例如計算機網絡信息傳遞中的病毒，網絡安全漏洞等，一旦未做好正確的安全風險度量很容易產生安全問題，影響整個網絡的信息傳遞與儲存，D-S 理論中的改進層次風險對構建有效的網絡信息安全風險度量模型來說十分有幫助，可以為其提供決策支持，實現細化評估。因此本文根據D-S 理論，設計了新的網絡信息安全風險度量方法，來解決現有的網絡安全問題。

1 網絡信息安全風險度量方法設計

1.1 設計風險評估流程

為了保證本文設計的風險度量方法的度量效果，需要首先設計風險評估流程，設計時需要從網絡運行和網絡管理出發，依照信息的完整性和保密性進行評估。該設計主要遵循幾個主要原則：首先是可靠性原則，即風險評估過程中必須保證網絡信息運行的可靠性，其次需要保證風險評估過程的可用性，即在網絡風險評估和數據挖掘訪問時不能影響網絡信息系統的正常使用，最后是完整性和保密性，即在風險度量的過程中不會將保密的信息泄漏，能始終維持信息完整，基于此設計的風險評估流程如圖1 所示。

由圖1 可知，該風險流程中蘊含部分威脅脆弱性因素，這些因素可能會導致網絡風險增加，除此之外，在風險評估流程評估過程中一定要注意評估中的威脅因素，避免其對風險評估造成的不利影響。

圖1 風險評估流程

1.2 基于D-S 理論構建風險度量模型

D-S 理論是一種信度函數理論，應用該理論可以解決證據沖突問題，因此本文首先將置信函數融合到可傳遞TBM 模型中，其次進行不確定性處理，解決模糊性、不一致性問題，基于此構建的風險度量模型如式（1）所示。

模型（1）中，代表，covering 代表風險覆蓋率，Condition代表模糊值，self 代表集合數值。上述公式利用了D-S 理論中的多元信息整合效應進行風險度量，利用BBA 來組合證據的違反直覺結果。因此在該理論應用時，需要避免信度結合問題保留默認置信分布，確保函數的歸一化效果。

Dempster 規則在處理正則化因子K 時，可以將兩個證據共同焦點因子的默認置信分布函數進行改變，再將其他因子重新轉化。然而，沖突分布并不是由所有焦點元素引起的，具有大默認置信度分布的公共焦點元素不太可能發生沖突，因此在進行沖突轉化前首先需要確定焦點元素的性質。

1.3 進行靈敏度比較分析

最后實現網絡信息安全風險度量需要進行靈敏度比較分析。網絡安全風險評估是一個動態過程，在這個評估過程中存在很多不完全清楚的安全風險因素，也有大量信息是不確定的。同時，風險評估體系所擁有的評估指標是一定的，認知是有限度的，因此增加了網絡安全風險評估的難度。在這種情況下，需要充分吸收現有專業知識，區分未知與不確定因素，建立完善的風險評估模型，實現資產的保值與評估。建立風險評估模型可以解決風險未知和風險不確定性的問題，這也是D-S 理論相對于其他方法的優勢。

在靈敏度分析中，本文使用了一種常用的敏感性分析方法，微擾法，該方法可以計算在一定條件下風險因素輕微變化后對方案的順序以及所討論的輸出結果的相應變化的影響和影響程度。為了證明D-S證據理論是可行的，進行了敏感性分析。在本文中，敏感性分析是指單個因素值變化對整體評價結果的影響程度。如果單個因素的微小變化使整體結果變大，則證明該方法不可行，因為這意味著該方法的穩定性很差，評估結果不準確。從分析結果可以看出，改變權重系數的風險因子的默認置信度分布值較低，增加了評估的不確定性，但對最終的風險評估結果影響不大，證明不確定性對風險評估影響輕微，對最終風險評估結果影響也很小。當評估的不確定性增加時，單個風險因子的默認置信度分布值的變化對整個網絡的風險評估影響不大，不會改變評估結果，這說明D-S 證據理論適用于網絡安全風險度量中的眾多不確定問題，表明基于D-S 證據理論的網絡安全風險度量是可靠的。

2 實驗

為了驗證本文設計的網絡信息安全風險度量方法的度量效果，將其與傳統的網絡信息安全度量方法進行對比，搭建了符合實驗需求的平臺，進行實驗如下。

2.1 實驗準備

為了保證實驗的有效性，實驗選取了有效攻擊子網和測試子網進行實驗，選取的網絡拓撲組成示意圖如下圖2 所示。

圖2 網絡拓撲示意圖

由圖2 可知此時可以選取IDS 作為攻擊因子進行攻擊，實現量化計算。分析實際的子網攻擊狀態，本文選取了6 個網絡節點，各個節點的漏洞信息如表1 所示。

表1 節點漏洞信息

由表1 可知，該表中，數值0 代表本節點不含有漏洞信息，數值1 代表節點中包含漏洞信息，此時的節點服務信息表如表2 所示。

表2 節點服務信息表

根據表2 的節點服務信息可以預先設定節點的報警參數值，不同節點的參數值有較大差異，因此需要借助聚合標準進行設定，設置的參數列表如下表3 所示。

表3 節點參數值

由表3 可知，此時各個節點的參數值均在測試的標準范圍內，此時還需要設置風險度量效果評估指標，計算公式如下（2）所示。

公式（2）中，M代表節點服務數，V代表服務權重，L代表節點重要度，此時可以使用該公式進行風險度量效果評估，擬定標準的風險度量指標為1，越接近1 證明度量效果越好。

2.2 實驗結果與討論

在上述準備條件下，選取hT1～ hT16這16 個節點，分別使用本文設計的網絡信息安全風險度量方法和傳統的網絡信息安全風險度量方法進行風險度量，使用公式（1）計算風險度量效果，計算結果如表4 所示。

表4 風險度量效果

由表4 可知，對16 個節點進行的風險度量中，本文設計的度量方法始終與度量效果值1 最接近，證明設計的度量方法的度量效果好，有一定的應用價值。

3 結束語

綜上所述，設計有效的網絡信息安全風險度量方法不僅能從根本上解決目前的網絡安全問題，也為網絡信息儲存傳播提供了良好的基礎，因此本文基于D-S 理論構建了符合現有網絡安全需求的安全風險度量模型，設計了新的網絡信息風險度量方法，將其與傳統的方法進行對比，實驗結果可知，設計的風險度量方法的度量效果好，有一定的應用價值，可以作為后續網絡風險檢測的參考，對網絡安全防護有一定的價值。