束 紅 黃永青 程予希 潘峻嵐

（銅陵學(xué)院，安徽 銅陵 244061）

一、引言

電子政務(wù)系統(tǒng)在當(dāng)今社會的作用日益顯著，很多傳統(tǒng)的政務(wù)活動逐漸遷移到互聯(lián)網(wǎng)上。可是由于電子政務(wù)系統(tǒng)的重要性，其也成為黑客攻擊的首要目標(biāo)。我國已在電子政務(wù)系統(tǒng)的信息安全風(fēng)險評估方面制定了一些標(biāo)準(zhǔn)和規(guī)范，但大多以靜態(tài)風(fēng)險評估為基礎(chǔ)，對實時變化的風(fēng)險態(tài)勢和攻擊細(xì)節(jié)把控性較差。

近年來，基于貝葉斯的攻擊圖理論引起了學(xué)者們的關(guān)注。周余陽[1]等利用貝葉斯攻擊圖提出了一種評估網(wǎng)絡(luò)攻擊面的方法，推導(dǎo)最大攻擊概率路徑；王增光[2]等利用貝葉斯攻擊圖對目標(biāo)網(wǎng)絡(luò)建模，實現(xiàn)了對目標(biāo)網(wǎng)絡(luò)的動態(tài)風(fēng)險評估；趙松[3]等結(jié)合CVSS指標(biāo)和攻擊圖，計算攻擊伸縮性作為網(wǎng)絡(luò)安全度量的方法；馬春光[4]等將攻擊者的攻擊意愿和原子攻擊的性質(zhì)與貝葉斯網(wǎng)絡(luò)攻擊圖相結(jié)合，構(gòu)建動態(tài)風(fēng)險評估模型；楊云雪[5]等運用層次分析法，將企業(yè)環(huán)境特征加入貝葉斯攻擊圖進行動態(tài)評估。本文將基于貝葉斯的攻擊圖理論應(yīng)用于電子政務(wù)系統(tǒng)風(fēng)險評估，對其實時信息安全風(fēng)險進行分析，在此基礎(chǔ)上獲得最有可能發(fā)生的信息安全事件和系統(tǒng)整體的風(fēng)險等級，為保障電子政務(wù)系統(tǒng)的安全提供技術(shù)支持。

二、電子政務(wù)系統(tǒng)簡介

據(jù)《中國電子政務(wù)系統(tǒng)的基本框架》[6]，我國政務(wù)網(wǎng)主要由軟件資產(chǎn)和硬件資產(chǎn)構(gòu)成，其中軟件資產(chǎn)包括：政府對企業(yè)、政府對政府和政府對公民提供服務(wù)的系統(tǒng)三個大類；而硬件資產(chǎn)主要包括政務(wù)專網(wǎng)、政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)中所包含的硬件設(shè)施。

由于電子政務(wù)系統(tǒng)所承擔(dān)的責(zé)任重大，所以其威脅來源廣泛，由于不同威脅的動機和攻擊能力不同，在進行分析時要充分考慮，追求安全效益最大化。

脆弱性是指資產(chǎn)存在的弱點。電子政務(wù)系統(tǒng)的脆弱性可分為技術(shù)脆弱性和管理脆弱性，本文主要討論資產(chǎn)所存在的技術(shù)脆弱性，即資產(chǎn)存在的漏洞。

三、風(fēng)險評估概述

信息安全風(fēng)險評估是指對信息系統(tǒng)中的資產(chǎn)、資產(chǎn)所面對的威脅、資產(chǎn)所存在的脆弱性進行分析，結(jié)合目前所采取的措施來進行評估，以此來判斷安全事件發(fā)生的概率和發(fā)生安全事件后可能造成的損失，以此為依據(jù)，管理員分析獲得整改意見和對整個安全態(tài)勢的感知。本文將目前主流的風(fēng)險評估方法比較分析如下表1：

因為電子政務(wù)系統(tǒng)業(yè)務(wù)連續(xù)性和安全性要求較高，各組成部分之間的信息流動交互性比較高，所以基于模型的評估方法更適合這個場景。

四、基于貝葉斯攻擊圖的電子政務(wù)系統(tǒng)信息安全風(fēng)險評估模型

表1 評估方法比較表

（一）貝葉斯攻擊圖的組成

電子政務(wù)系統(tǒng)的貝葉斯攻擊圖具有以下元素：

1.目標(biāo)網(wǎng)絡(luò)模型

目標(biāo)網(wǎng)絡(luò)模型的構(gòu)建是以待評估系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D為基礎(chǔ)，利用掃描工具和人工檢測手段來獲取資產(chǎn)清單、漏洞信息、網(wǎng)絡(luò)主機之間連通性和一些已有的防御措施等。

2.脆弱性知識庫

電子政務(wù)系統(tǒng)一般要維護已知的脆弱性數(shù)據(jù)庫，包括漏洞的利用條件和方式，本文采用CVSS2.0漏洞評估方法[7]對每一個脆弱性進行評估。

3.攻擊者模型

在傳統(tǒng)評估方法中，一個攻擊者的畫像包括攻擊源、攻擊目標(biāo)、可利用的攻擊手段和攻擊序列等，即威脅的描述。為了更好服務(wù)于電子政務(wù)系統(tǒng)，本文將攻擊者描繪為一個具有明確攻擊目標(biāo)，并且會選擇最大攻擊效益的角色。

（二）貝葉斯攻擊圖的定義

在對現(xiàn)實網(wǎng)絡(luò)拓?fù)鋱D進行簡化和去閉環(huán)后，形成一張有向無環(huán)圖。本文將無環(huán)有向的貝葉斯攻擊圖定義為一個五元組，具體描述如下：

1.S是結(jié)點屬性集合，其中S=S1∪S2∪S3，它由所有節(jié)點起始狀態(tài)S1、中間狀態(tài)S2和最終狀態(tài)S3組成，攻擊者對其一般有訪問權(quán)限、使用權(quán)限和管理員權(quán)限。

2.A是攻擊圖中原子攻擊的集合，表示節(jié)點之間拓?fù)浜蜐B透層次的聯(lián)系，通過A，父節(jié)點可以跳轉(zhuǎn)到子節(jié)點，并且引起狀態(tài)的改變。

3.E是攻擊者的攻擊策略集合，可以反映攻擊者的攻擊水平高低。

5.L表示屬性與屬性之間的聯(lián)系，即父節(jié)點與子節(jié)點之間的關(guān)系，包括OR與AND兩種。

在攻擊圖的生成算法中，本文選取了廣度優(yōu)先算法，因為在對攻擊目標(biāo)不確定的情況下，這種算法更為簡練。

（三）貝葉斯攻擊圖概率計算

本文旨在從攻擊者角度對系統(tǒng)安全風(fēng)險進行評估，需要計算攻擊者成功攻擊系統(tǒng)相應(yīng)資產(chǎn)的概率。我們引入通用性評分系統(tǒng)CVSS2.0[7]。對資產(chǎn)脆弱性利用的難度系數(shù)進行量化，主要根據(jù)攻擊途徑(Access Vector,AV)、攻擊復(fù)雜度 (Access Complexity,AC)、身份認(rèn)證(AUthentication,AU)、機密性影響(Confidentiality,C)、完整性影響(Integrity,I)、可用性影響(Availability,A)和權(quán)值傾向(bias)七個方面來實現(xiàn)。則攻擊圖中的原子攻擊成功率有如下定義：

在上述公式中，Eic表示攻擊策略，在C、I、A全取1時，P（Ei)表示該原子攻擊的成功率。

為了從攻擊者角度去考慮攻擊路徑的問題，就必須在考慮攻擊效益的問題。本文使用W（Ei)表示攻擊者的攻擊意圖，其與選擇攻擊策略的攻擊難度Adiff（Ei)和本次攻擊行為帶來的收益Aprofit（Ei)相關(guān)。Adiff（Ei)主要是由本次攻擊所消耗時間、消耗財力和技術(shù)要求相關(guān)；而Aprofit（Ei)是本次攻擊帶來的收益，收益包括單次攻擊所帶來的收益和對于整個攻擊策略的收益。綜上所述，我們將攻擊策略的難度和收益比值α定義如下：

為了發(fā)揮攻擊圖對資產(chǎn)之間聯(lián)系的安全性評估上的巨大優(yōu)勢，還需要考慮其父節(jié)點受到的原子攻擊。本節(jié)點的可達(dá)性和可達(dá)概率還依賴于父節(jié)點的可達(dá)概率，由于網(wǎng)絡(luò)拓?fù)涞姆植?，子?jié)點和父節(jié)點之間依賴關(guān)系分為OR和AND兩種：

（1）當(dāng)父子節(jié)點之間依賴關(guān)系為AND時：

（2）當(dāng)父子節(jié)點之間依賴關(guān)系為OR時：

Par（sj）表示所選路徑到達(dá)該節(jié)點所有父節(jié)點集合，公式（4）中表示所有的父節(jié)點狀態(tài)都為1的時候，子節(jié)點才可達(dá)；公式（5）中表示所有的父節(jié)點中，有一個為1，下面即可達(dá)。

（四）電子政務(wù)系統(tǒng)信息安全風(fēng)險評估模型

圖1 電子政務(wù)系統(tǒng)信息安全風(fēng)險評估模型圖

本文針對電子政務(wù)系統(tǒng)提出了基于貝葉斯攻擊圖理論的電子政務(wù)系統(tǒng)風(fēng)險評估模型，對電子政務(wù)系統(tǒng)中的資產(chǎn)、威脅、脆弱性通過備份資料和掃描器等手段進行評估。其中，資產(chǎn)評估提供原始的網(wǎng)絡(luò)拓?fù)浜喕挠邢驘o環(huán)圖和攻擊收益；威脅評估提供攻擊的入口和針對不同攻擊難度的應(yīng)付能力，也就是說可以設(shè)想攻擊者畫像；脆弱性評估主要依據(jù)CVSS2.0評分；最后將獲得的數(shù)據(jù)輸入到貝葉斯攻擊圖中進行計算分析，獲得風(fēng)險評估報告和可能的攻擊路徑，并給出相應(yīng)的整改意見。

為了求得攻擊者最可能攻擊的路線，本文利用我國《信息系統(tǒng)安全等級保護定級指南》[8]和CVSS2.0[7]中基礎(chǔ)評價部分，分別為資產(chǎn)和脆弱性進行定值：

表2 等級保護定級標(biāo)準(zhǔn)表[8]

五、實驗驗證

（一）實驗網(wǎng)絡(luò)場景

本文在網(wǎng)絡(luò)中搜集了真實電子政務(wù)系統(tǒng)中某部門的拓?fù)鋱D，并搭建簡單的網(wǎng)絡(luò)場景來測試。攻擊者通過防火墻，并在核心交換機處有三條分支。

我們使用漏洞掃描工具對所有的試驗結(jié)點進行了掃描，并給出其漏洞編號，以及相應(yīng)CVSS2.0評分，并且按照資產(chǎn)的重要性給了資產(chǎn)不同的權(quán)重，為了全面地評估攻擊路徑，我們將威脅設(shè)置為最高等級，即所有脆弱性都可以利用。實驗的攻擊圖如圖3所示，由攻擊者為根節(jié)點，屬性結(jié)點和攻擊方式構(gòu)成。

表3 CVSS2.0基礎(chǔ)評價評分標(biāo)準(zhǔn)表

圖2 實驗場景拓?fù)鋱D

圖3 實驗場景貝葉斯攻擊圖

表4 實驗場景基本信息表

（二）實驗結(jié)果分析

根據(jù)攻擊目標(biāo)不同，可以規(guī)劃出來這五條攻擊路徑：

1.ATTACKER->H1(user)->H1(root)：攻擊效益較低，最終只可獲得2.08。

2.ATTACKER->H2(user)->H2(root)：攻擊效益為3.04，后續(xù)攻擊效益潛力為5。

3.ATTACKER->H3(user)->H3(root)：攻擊效益為4.48，后續(xù)攻擊效益潛力為5。

4.ATTACKER->H2(user)->H2(root)->H4(user)->H4(root)：攻擊效益為5，概率為 0.110592，附帶攻擊效益為3.04。

5.ATTACKER->H3(user)->H3(root)->H4(user)->H4(root)：攻擊效益為5，概率為0.1179848，附帶攻擊效益為4.48。

所以，前三條路徑根據(jù)目標(biāo)不同，攻擊路徑選擇唯一，而對于H4的攻擊，在難度大致相等情況下，攻擊者會選擇，附帶攻擊效益大的那條，既攻擊路線5。

六、總結(jié)

本文根據(jù)電子政務(wù)系統(tǒng)的特點，從資產(chǎn)、威脅、脆弱性三方面出發(fā)，結(jié)合CVSS2.0漏洞評估模型，使用貝葉斯攻擊圖構(gòu)建風(fēng)險評估模型。以模擬政務(wù)網(wǎng)系統(tǒng)為例，抽象為網(wǎng)絡(luò)拓?fù)洌⒁詫I(yè)工具檢測脆弱性，從攻擊者視角來看不僅考慮了單個資產(chǎn)的安全問題，更考慮到資產(chǎn)之間聯(lián)系的安全性，最后可以獲得針對某一攻擊目標(biāo)的最大化攻擊路徑和針對性整改意見。但此算法只實現(xiàn)了二維的攻擊圖，未來將對于不同的威脅，縱向建模，構(gòu)成三維攻擊圖，實現(xiàn)防御效益最大化。