企業網絡安全預算場景下的風險量化評估探索與研究

摘要：在日益復雜的網絡環境中，互聯網上的各個組織和機構經常面臨著各種各樣的網絡 安全風險，這些風險事件往往會導致數據泄露和其他嚴重的損失。為了避免更多的網絡安全事件發生，企業必須加強自身的網絡安全建設。對于企業管理者來說，如何確定網絡安全預算的金額才能使網絡安全預算的收益最大化就變成一個很重要的問題。基于戈登—洛布模型，使用網絡信息安全風險評估的方法定量分析網絡安全預算的收益問題，為企業管理者在確定網絡安全預算時提供科學參考。

隨著網絡攻擊手段的日益多樣化和復雜化， 網絡安全已經成為企業重點關注的問題，傳統的 基于檢測的防護方法僅僅是一種事后的被動防御，而相對來說更好的方法應該是主動進行網 絡安全風險量化評估和提前進行網絡安全建設。

國內學者基于不同的理論對網絡安全風險 量化評估進行了相關研究。2015 年，張樹偉等人什么？”這個問題。一般來說，一個系統的關 鍵資產是這個系統的業務和數據，包括核心業 務組件、用戶的數據、用于鑒權及認證的密碼、 密鑰等。為了解決傳統量化評估方法中存在忽略節點關聯性和差異性的問題，提出了一種節點相關的 網絡安全風險量化方法。2018 年，王增光等人 通過基于貝葉斯攻擊圖的網絡安全風險評估方 法實現了對目標網絡的動態風險評估。2021 年， 耿文莉等人 提出了基于灰色神經網絡的云平 臺大數據安全風險評估方法，使用自適應差分 改進方法檢測安全風險信息的相關性，實現了 相關補償和自適應控制，提高了大數據安全風 險評估能力。

以上的網絡安全風險量化方法在一定程度 上解決了風險量化的問題，提高了特定場景下 風險量化的準確性，但是對于大多數中小企業 來說，很難達到上述風險量化方法所要求的諸 多理想化的監測參數，這些方法也很難直接運 用到網絡安全預算的決策中去。

為此，本文在前人研究工作的基礎上，提 出了基于戈登—洛布模型 的風險量化評估方 法在企業網絡安全建設預算場景的應用研究。 

1、相關工作

盡管一些工作已經開始關注網絡安全 風險量化的研究，但是這些工作僅僅關注風險 模型的研究與設計，并沒有考慮將風險模型評估 與企業網絡安全預算的收益進行結合。本文提出 將網絡安全風險量化評估與戈登—洛布模型結合 起來分析企業的網絡安全預算的收益情況。

1.1　網絡安全風險評估 

網絡安全風險是指由于網絡系統存在脆弱 性，因人為或自然的威脅導致安全事件發生所 造成的損失。網絡風險評估就是評估威脅者利 用網絡資產的脆弱性造成網絡資產損失的嚴重 程度。在網絡安全風險的評估過程中，主要涉 及資產、威脅、脆弱性等基本要素。每種要素 有各自的屬性，資產的屬性是資產價值（重要 性），威脅的屬性是威脅出現的頻率，脆弱性 的屬性是脆弱性的嚴重程度。

因此，網絡安全風險的評估過程主要包括 以下幾個階段：資產識別、威脅識別、脆弱性 識別和風險分析等。

(1）資產識別。資產識別是指識別出被評 估系統中的關鍵資產，也就是回答“需要保護什么？”這個問題。一般來說，一個系統的關 鍵資產是這個系統的業務和數據，包括核心業 務組件、用戶的數據、用于鑒權及認證的密碼、 密鑰等。

(2）威脅識別。威脅識別就是識別出潛 在的威脅。由于系統安全屬性主要包括“機密 性”“完整性”“可用性”這 3 個方面，因此 可以將威脅分為 3 類。一是對機密性的威脅。通過嗅探、暴力破解等手段竊取用戶身份、認 證信息，仿冒合法用戶訪問系統。攻擊者非法 獲得系統中保存的或傳輸過程中的機密數據， 如用戶認證信息、用戶業務數據、系統代碼等。二是對完整性的威脅。通過修改發送給系統的 數據或從系統收到的數據，影響系統業務邏輯， 比如繞過認證機制、欺騙計費系統、執行越權操 作等。三是對可用性的威脅。通過 Flood、畸形 報文等攻擊手段導致系統不能提供正常的服務。

(3）脆弱性識別。脆弱性識別是指資產能 夠抵抗威脅攻擊的能力。

(4）風險分析。風險分析是指綜合資產的 重要性、威脅程度和系統的脆弱性來分析可能 的風險大小。網絡安全風險評估（Cybersecurity Risk Assessment，CRA）作為一種風險分析的方 法，可以得到風險發生的可能性及其后果，明 確風險的大小。

1.2　戈登—洛布模型 

戈登—洛布模型（Gordon-Loeb Model，GL 模型）是分析最優信息安全投資水平的數理經 濟學模型。該模型最早發表于 2002 年美國計 算機學會的權威期刊——信息與系統安全會刊 （ACM Transactions on Information and System Security）。GL 模型引入了安全漏洞概率函數的 概念，有 3 個關鍵的假設。

(1）如果信息系統是完全無懈可擊的，那 么任何信息安全投資都將保持完美的保護。

(2）如果沒有信息安全投資，那么安全漏 洞的概率就是信息系統固有的脆弱性。

(3）隨著安全投資的增加，信息系統變得 更加安全，但速度在降低。

GL 模型使用安全漏洞概率函數作為條件， 這些函數有兩種類型，一種是線性型，另一種 是指數型。GL 模型為對信息安全投資問題進行 嚴格的定量分析奠定了基礎。 

1.3　GL 模型的關鍵結論

本文總結了一些 GL 模型的關鍵結論和假 設，這些與本文研究的內容息息相關。GL 模型 假設一個信息系統可以由 3 個參數來描述：漏洞 發生的損失量 lm、威脅事件發生的概率、 系統的脆弱性 v。在 GL 模型中，假設 lm 和為常數，則漏洞的預期損失為：

將安全漏洞概率函數 S(z,v) 引入到該模型， 其中 z 為信息安全投資的金額，GL 模型對 S(z,v) 做出了如下假設：

式中：分別為安全漏洞概率函數對 z 的 一階偏導數和二階偏導數。信息安全投資預期 收益（Expected Benefit of Investment in information Security，EBIS）可以表示為：

由信息安全投資的預期收益（EBIS）減去投資 z 得出信息安全投資的凈收益：

該函數封裝了信息安全投資的成本和效益， GL 模型提出了兩類信息安全漏洞概率函數：

式中：α 和 β 為信息安全生產效率的參數。

通過這兩類安全漏洞概率函數，可以很容 易獲得特定信息系統的最優安全投資額：

對于這兩類安全漏洞概率函數，從信息安 全投資凈收益最大化的角度考慮，有如下關系：

2、信息安全風險因子分析

 2.1　概述 

信息安全風險因子分析法（Factor Analysis of Information Risk，FAIR）是一個頗具影響力 的 CRA 框架，已經在學術研究領域和工業領域 得到了廣泛的認同和應用。FAIR 模型將風險事 件歸類成許多風險因子的疊加，各個風險因子 之間的關系如圖 1 所示，圖中展示了不同風險 因子之間的關系。

圖 1　FAIR 模型中風險因子的關系

相比于其他的 CRA 框架，FAIR 對 CRA 的 實現更為全面。它考慮了攻擊方和防御方之間 存在的能力差別、信息資產的脆弱性、攻擊成 功的頻率以及相應的金融損失。因此，其為 CRA的建模實現提供了一個比較好的分析基礎。FAIR 模型包含 FAIR 分類法和統計分析方法。其經常被用于執行量化風險評估。

在 FAIR 模型中，風險（金融損失）由損失 事件頻率和損失量定義。

(1）損失事件頻率（Loss Event Frequency， LEF）代表威脅方在一段時間內對資產（Asset） 造成損失的次數。LEF 是威脅事件頻率（Threat Event Frequency，TEF）和脆弱性（Vulnerability，V） 的函數，其中，TEF 代表威脅方接觸到信息資產并對資產攻擊成功的頻次，本文將 TEF 定義 為接觸頻率（Contact Frequency，CF）和攻擊能 力（Probability of Action，PoA）的函數。脆弱性 是指資產能夠抵抗威脅方攻擊的概率，其定義 為威脅方攻擊強度（Threat Capability，TC）和 資產自身對攻擊免疫能力（Resistance Strength， RS）之間的差值。

(2）損失量（Loss Magnitude，LM）可以分 成兩種，一種是主要損失（Primary Loss，PL）， 另一種是次要損失（Secondary Loss，SL）。在 FAIR 模型中，主要損失是指直接損失，而次要 損失是指間接損失，例如信息泄露事件發生后引 起的社會負面輿論。此外，次要損失還可以分 解為次要損失事件發生頻率（Secondary Loss Event Frequency，SLEF）和次要損失量（Secondary Loss Magnitude，SLM）。FAIR 模 型 的 關 鍵 特 征 是 各 個風險因子的結構和分類是固定的。圖 2 展示了 FAIR 中與風險相關的各個風險因子的計算過程。

圖 2　FAIR 模型中風險因子的聚合結構

在圖 2 中，總損失量是主要損失量和次要 損失量之和。每種損失量都是 LEF 和 LM 的乘積。值得注意的是，次要損失事件只有在主要損失 事件已經發生的情況下才會發生。從這種意義 上來說，主要損失和次要 / 間接損失之間存在一 種因果關系，可以認為次要損失是關于主要損 失的一個函數。因此，次要損失事件的計算方 法為主要損失事件的發生次數與次要損失事件 發生概率的乘積。FAIR 模型提出了一系列與變 量（風險因素）相關的函數，這些函數在統計 上或概率上表示一個因素與其子因素之間的函 數關系。

在 FAIR 模 型 中， 可 以 認 為 風 險（Risk） 的計算包含兩個部分，一是損失事件頻率的計 算，二是根據損失事件頻率和損失量來計算總 損失值。

2.2　損失事件頻率計算 

本文引入泊松分布來模型化損失事件的發生頻率。基于泊松分布計算事件發生 k 次的概 率為：

式中：為損失事件發生頻率的均值；k 為 發生的次數。

如果存在間接損失，可以使用二項分布進 行計算，例如，計算次要損失事件發生 j 次的概 率為：

式中：分別為主要損失事件發生的 次數和次要損失事件發生的概率。

2.3　損失值的計算

風險聚合操作是 FAIR 模型的關鍵推導過 程。根據兩種損失之間的關系，將風險聚合（Risk Aggregation，RA）操作分為兩種操作，如表 1 所示。 

表 1　風險聚合操作

針對第一種類型的聚合操作（即），本 文以主要損失事件為例，通過實例來解釋計算 過程。假設在給定的時間范圍內，一個損失事 件發生了 n 次，其中 n 介于 0 和上界 N 之間， 并且這個事件有一個固定的損失量分布那么這個主要損失為：

式中：P(n) 為損失事件發生 n 次的概率；為 發生 n 次損失事件帶來的損失量。與相比，中的損失事件頻率為聯合損失事件頻率：

式中：為主要損失事件發生 n 次帶來的損失 量；為次要損失事件發生m 次帶來的損失量，為的聯合概率。

3、將FAIR模型引入到網絡安全建設預算的收益分析 

從 FAIR 模型中用到的輸入輸出因子和函數 可以得到，其風險計算公式如下：

為了簡化計算過程，本文只考慮主要損失 事件導致的風險，此處的為資產的脆弱性， 是一個固有參數；為損失事件發生后造成 的損失金額；為威脅事件的頻率，發生了威 脅事件不一定會造成損失。

此處引用 GL 模型中的一個概念，即漏洞概 率函數，將引入 GL 模型概念后的風險量化模型 稱為 FAIR-GL 模型，也就是信息安全投資會降 低系統的脆弱性，那么增加了信息安全投資 z 之 后，其風險計算公式如下：

式中：為漏洞概率函數，其他變量的含義 同式（15）。 

那么由于信息安全投資導致的風險減少的 金額就是其收益：

式中：LP 為資產的風險；為增加安全預算 后資產的風險。

進一步分析，信息安全投資的凈收益為信 息安全投資的收益減去投資金額：

式中：z 為安全投資金額，其他變量含義同上。

4、將 FAIR-GL 模型應用于DDoS攻擊 

在互聯網環境中，時時刻刻都存在網絡攻 擊的風險。對公司的某一服務而言，比較常見 的一種攻擊就是分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊。本文以 DDoS 攻 擊為例，對某個公司的服務進行攻擊風險評估。本文收集了 2011—2020 年十年間國內 DDoS 攻 擊發生的次數，并用這些數據作為該公司遭受 DDoS 攻擊的統計數據。為了使用 FAIR 模型對DDoS 攻擊風險進行評估，首先需要明確評估其中涉及的資產、威脅事件和損失事件。

(1）資產。一般是指運行在服務器上，對 外公開且為客戶提供服務的軟件程序，通常都 能響應客戶發送過來的服務請求，比如百度搜 索等。

(2）威脅事件。因為本文評估的是 DDoS 攻擊的風險值，所以威脅事件就只考慮 DDoS 攻擊。

(3）損失事件。通常在發生 DDoS 攻擊之后， 損失事件包括服務宕機造成的經濟損失，可能 還會引起社會輿論事件，導致企業聲譽受損。為了簡單起見，本文只考慮服務器宕機帶來的經濟損失。因此只有一個主要損失，不存在次 要 / 間接損失。主要損失為宕機給公司帶來的經濟損失。

在給出風險評估中的相關概念之后，接下來將使用 FAIR 模型對暴露于 DDoS 環境中的資產進行風險量化評估。首先，需要計算出主要損失事件的發生頻率以及損失事件的損失幅度， 這里的損失幅度是指經濟損失。 

4.1　計算損失事件頻率 

本文收集關于 DDoS 攻擊的一些基礎信息， 例如 DDoS 攻擊者和資產的接觸頻率攻擊者 在公網上接觸到應用程序后發起 DDoS 攻擊的概 率此外，由于攻擊者攻擊的能力和強度各 不相同，例如專業黑客造成的攻擊強度通常要 比業余玩家高得多。因此，為了預估攻擊者能 成功攻擊的概率，還要收集各個攻擊者的攻擊 能力，服務程序能抵抗住攻擊的能力

根 據“OASES 智 能 終 端 安 全 生 態 聯 盟” 2022 年公布的數據中 2011—2020 年十年間國內 發生 DDoS 攻擊的次數，來預估公司的服務程序 遭受 DDoS 攻擊的次數，由于缺乏相關數據，本 文提出下面兩個假設：

(1）始終認為因此，在黑客每 次發起 DDoS 攻擊時，其總是可以攻擊成功，于 是這里的資產脆弱性為 1。

(2）當服務程序暴露于網絡風險中時，不 同的黑客接觸到程序之后會采取不同的反應， 因此由不同的黑客采取攻擊行為是一個概率事 件，即黑客接觸到程序時發起攻擊的概率是但由于缺乏相關數據集，因此本文認為當 黑客接觸到目標程序時，其發起攻擊的概率為 1。

損失事件頻率并不等同于威脅事件發生頻 率，原因在于一次威脅事件發生之后，并不一 定會攻擊成功，防火墻有可能會阻斷此次攻擊， 這樣就不會造成損失。只有在威脅事件每次發 生時都能一擊而中，才會有兩者相同的情況。

2020 年國內每個月遭受 DDoS 攻擊的統計情況如圖 3 所示。

圖 3　2020 年 DDoS 攻擊次數月度統計

根據綠盟科技發布的報告，本文統計了近 十年來國內遭受 DDoS 攻擊的情況，如表 2 所 示。將表 2 中的數據作為攻擊成功的次數。假 設 DDoS 攻擊事件發生的概率服從泊松分布，其 中此分布的均值和方差代表十年間損失事件發生的平均值，從表2中的數據可以計算出

表 2　2011—2020 年國內遭受 DDoS 攻擊次數

因此，可以將一年中 DDoS 攻擊發生的概 率模型化成即某一年內 DDoS 攻擊發生 n 次的概率為：

至此，本文計算出了 DDoS 攻擊的損失事件 發生頻率的概率分布如圖 4 所示。

圖 4　一年內 DDoS 攻擊次數概率分布

4.2　計算損失量 

在一次 DDoS 攻擊中，其損失量一般認為是隨機變量，并且服從某一固定分布。為了方便計 算，本文假設DDoS 攻擊中的損失量服從某一正 態分布 N(μ,σ)，這里統計的范圍為一年，μ 為該 企業在當年遭受一次 DDoS 攻擊會帶來的平均損失量，σ 為損失量的標準差。IBM 網絡安全研究 院發布的報告顯示，DDos 攻擊損失為平均每小時 2 萬～ 4 萬美元，一次 DDos 攻擊平均持續時間約 10 小時，則一次 DDos 攻擊造成的平均損失約為 200 萬美元，則 μ=2 000 000。在前面的討論中，已知損失量為其中由于 LM 服從正態 分布，因此仍然服從正態分布。下面給出兩 個正態分布卷積和的計算方法：給定兩個獨立 正態分布其概率密度 函數分別為設隨機變量那么， Z 的概率密度函數為：

式中：換句話說：

因此，

基于此，可以根據損失事件發生頻率和主 要損失量兩個分布來求出一個風險值的分布， DDoS 攻擊風險分布如圖 5 所示。

圖 5　DDoS 攻擊風險分布

4.3　計算網絡安全建設的預期收益 

假設信息集的脆弱性 v=0.95， 信 息 安 全 生產效率 α=0.01，β=0.1， 威 脅 事 件 發 生 的 概 率前面已經假定信息安全投資 z 取 最 優 值， 針 對 Ⅰ 類 函 數， 根 據 式（8） 將 上 述參數取值代入，得到信息安全投資最優值 為將最優的信息安全投資 取 值 z I*(v) 代 入 式（6）， 得 到 漏 洞 發 生 概 率在最優信息安全投資情況下， 其凈收益函數如式（18），計算過程如下。

據上一節的統計數據可知，一年內發生 DDoS 攻擊的平均次數為則其含義是由于增加了信息安全投資，從而避免 了一些威脅事件的攻擊。因此，可以將由于增 加了信息安全投資而阻止的 DDoS 攻擊的概率模型轉化成泊松分布，即某一年內阻止 n 次 DDoS 攻擊的概率為：

這里的損失幅度為一個隨機變量，服從正 態分布 N(μ,σ)。μ 為該企業在當年遭受一次 DDoS 攻擊會帶來的平均損失量，σ 為損失量的標準差。已知安全投資凈收益 ENBIS 為：

式中：為由于增加了信息安全投資而阻止 了 n 次 DDos 攻擊成功的概率；為發生 n 次 損失事件帶來的損失量。由于LM 服從正態分布， 因此仍服從正態分布。 

假如即服從均值為 μ，方差為 σ 的正態分布，那么根據正態分布的可加性原理， 推導 ENBIS 滿足如下分布：

基于此，可以根據信息安全投資，以及威 脅事件發生頻率和主要損失量兩個分布求出信 息安全投資凈收益曲線，如圖 6 所示。

圖 6　FAIR-GL 模型的凈收益分布

5、結語

從投資收益最大化角度分析，網絡安全建 設預算不是越多越好。本文通過 FAIR-GL 模型分析，發現對于事例中的企業來說，以 DDoS 攻 擊的損失事件計算，最優的網絡安全建設預算 是 87 000 元。這意味著對于該企業來說，針對 DDoS 攻擊問題，可以通過增加網站應用防火墻 （Web Application Firewall，WAF） 服 務、 網 絡 設備升級等措施防范 DDoS 攻擊。如果使用金額 計算，那么增加 87 000 元的預算就可以取得最 優的收益，在最優的預算情況下，產生的凈收 益分布如圖 6 所示，其平均收益為 60 000 元。如果繼續加大信息安全投資，凈收益反而會下 降。此外，對于一個企業來說，剩余的 DDoS 風 險可以通過網絡保險的形式進行風險規避。我 們將在后續的論文中嘗試解決如何分配信息安全 投資和網絡保險，使得總的預期效用最大化。