基于图论的网络安全风险评估

董晋鹏，王保魁

（1.山西省财政税务专科学校，山西 太原 030024；2.92060部队，辽宁 大连 116041）

随着因特网的迅速发展，网络安全问题日益突出，网络正面临前所未有的安全隐患，安全风险评估作为网络安全主动防御中的一项重要技术已经得到许多学者的研究和广泛的应用，网络安全风险评估就是要针对当前网络存在的网络风险，科学合理地评估这些风险可能给网络系统带来的威胁和影响的程度，通过采取主动保护计算机网络的安全措施，把网络系统遭受内外攻击和网络破坏的可能性较低到最小程度。

1 网络安全风险评估对象

网络风险评估是通过对网络系统的安全进行风险分析、比较、归纳和综合，最终确定系统中诸多风险因素对网络系统构成威胁的影响程度，以利于系统管理者将有限的各种资源进行合理分配，把对网络安全构成威胁的事件发生消除在萌芽状态。网络安全风险评估对象主要是指网络系统中的计算机系统，其中包括计算机操作系统及其软件的集合体，以及网络设备（包括交换机、路由器、防火墙等）、网络服务（WEB服务、电子邮件服务、FTP服务等）、网络协议（HTTP、DHCP、ARP、SNMP、ICMP 等协议）和具体的应用程序等。

2 基于图论的网络系统安全风险综合评估

从图论的角度，可以将计算机网络拓扑图看作一个图，把路由器、防火墙、交换机及主机等网络设备作为图中的结点，各设备之间的连接路径作为图的边，然后结合图论的相关知识，评估网络安全的整体状况。本节以网络拓扑为基础，分析了网络节点间以及边的特性，对网络的综合状态进行了完整的分析。基于网络评估关联图，可以从不同角度对目标网络的安全状况进行评估。

2.1 网络评估关联图

网络安全风险评估的整体态势分析是在网络评估关联图的基础上进行的。网络评估关联图就是用图来描述网络系统，网络中各个设备（路由器、交换机、防火墙及主机等）作为图中的顶点，各设备之间的访问连接路径作为图的边，访问关系有的是单向的，有的是双向的，对于多种访问方式如果是同方向的访问可以在图的边上依次注明，见图1。

图1 网络评估关联图

2.2 综合分析

2.2.1 路径分析

路径分析是指获得网络中结点之间的所有路径。在入侵过程中，攻击路径的确定并不是沿着最短路径或从当前已获得权限结点顺序向下入侵，而是全局性地考虑每一个入侵步骤，例如利用已获得权限的结点重新确定入侵方向。评估关联图中结点间的路径研究，包括以下几个方面的主要问题:①某两个结点之间的路径问题；②某结点到其他各节点的路径问题；③任意两个结点之间的路径问题；④入侵起始集和目标集之间的路径问题。

从这4个问题中可以看出，如果解决了第一个问题，后面的第二个、第三个和第四个问题的处理可以通过重复执行解决第一个问题的算法得到解决。因此，在研究结点间路径问题时，一般研究从某个结点到其他某个结点的路径。

路径分析方法实施步骤:①选择入侵起始点和目标点；②对网络评估关联图进行搜索，找出所有可能通向入侵目标点的路径；③对所有路径进行价值分析，并将其标记；在路径分析的基础上，通过对网络的关键性分析、威胁分析和态势分析来进行综合分析评估。

2.2.2 网路的关键性分析

通过破坏目标网络的关键路径和关键结点，使其无法正常运转，是网络攻击的一般方式。在无尺度（Scale-Free）网络中，当几个重要的集散结点受到攻击时，整个网络将处于崩溃状态。因此，为了更好地保护现有网络，在进行网络安全风险评估时，必须进行网络的关键性分析，以便重点地防护关键节点和其组成的关键路径。

图2 关键性分析

通过2.2.1节的路径分析，可以搜索到入侵起始结点和目标结点之间所有可能路径，在这些路径中记录了路径的中间结点在这些路径中出现的次数，其中出现次数最大的结点就是该入侵起始结点和目标结点之间的关键结点，如果有相邻的关键结点，那幺由相邻的关键结点就可以构成该入侵起始结点和目标结点之间的关键边。

2.2.3 威胁分析

图3 威胁分析

（1）统计能搜出的所有可能出现的路径，然后把这些路径的各条边在入侵路径中出现的次数记录下来。

（2）通过计算各条路径中边的威胁值，把威胁值最小的确定为该条边入侵路径的威胁等级。

（3）对所有路径的威胁值进行比较，网络中由入侵发起点到目标点之间的最大可能威胁等级就是其中的最大威胁值。

（4）统计各条边在路径中出现的次数，按照降序排序，该降序序列就是网络中最为脆弱的环节。

2.2.4 态势分析

图4 态势分析

①统计所有可达路径的边数，把该值记为n；②记数值m为其中可被root攻破的主机数量；③用数值n/m来度量整个网络的威胁程度；④寻找网络评估关联图中路集，假设a为路集中的元素数目，那幺就可以用它来度量系统的脆弱程度；⑤寻找网络评估关联图中割集，假设b为割集中的元素数目，那幺就可以用它来度量系统的坚固程度。

3 风险评估一些相关问题的说明

实际上，在安全风险评估的实际应用中，普遍存在着以下几种情况：第一，有些人把风险评估作为进行安全保证工作的前提，这实际上是一个本末颠倒的问题，到底需要不需要进行风险评估呢？对于管理者而言，首要的问题是做好基本的安全保证工作，也就是要详细分析网络的安全需求，科学合理地选择符合该系统的网络安全设备，只有把这些基本的工作做好以后，才能进行安全风险评估；第二，有些人过分地关注风险值的确定而忽略了整个系统中的薄弱环节。其实，风险评估的意义在于为后续安全建设提供参考和依据。不能单独地量化比较系统的风险值，而要根据自身系统的特点，结合风险评估结果有针对性地进行安全改进；第三，系统安全管理人员工作的独立性造成管理横向和纵向交流沟通不畅，好的经验及成果得不到推广；第四，由于管理人员对风险评估了解不足，往往将风险评估想象得过于复杂，导致在评估过程中耗费了过多的人力及物力资源，提高了管理成本。

总的来说，风险评估仅仅是风险管理的一个步骤，只有结合自身的安全管理，脚踏实地地去做好基础工作，才能切实做到完整的风险管理。

对于安全评估的说明:

（1）安全评估不是单个的具体产品。安全评估是一个有着严格流程的体系化服务。它是动态、发展的，而非停滞、静态的。

（2）安全评估的结果应该可以比较。安全评估的结果必须能够相互比较才可以具有较好的参考意义，也只有这样，才能够保证安全评估相关项目规范发展。

（3）安全评估尽量客观化和自动化。安全评估中主观因素的影响过大，会导致评估工作随意性太大而不能保证质量。自动化的评估将有利于降低评估成本，减少评估周期，尽快反应系统状态以利于决策。应该开发自动化的辅助评估工具。

[1]皇光球，李艳，基于粗糙图的网络风险评估模型，计算机应用[J]，2010，1

[2]刘枫，网络安全风险评估研究与实践，网络安全技术与应用[J]，2009，11

[3]胡道元，闵京华.《网络安全》.北京：清华大学出版社.2004.1

[4]李小满.面向对象的安全评估方法及若干评估技术指标的构建.[学位论文]北京：中国科学院软件研究所，2004，6

[5]贺天.风险、安全、可信、创新.计算机安全，2006，2