摘 要:
當前,內部網絡缺乏一套科學的網絡安全監管指標體系,導致內部網絡安全監管難以達到預期效果。因此,設計了一套集資產健康度、網絡安全風險、保密風險和處置質效四位一體的安全監管指標體系,并結合信息科學中常用的神經網絡激活函數 Sigmoid 函數及層次加權遞歸思想,設計了一種適用于指標體系安全評估的算法。此外,在內部網絡安全監管指標體系的實現方面,對指標數據采集、指標量化統計、指標體系安全評估及指標態勢可視化進行了設計。實踐表明,此設計的內部網絡安全監管指標體系及其實現方法科學有效,能夠提升內部網絡安全風險感知能力和治理水平。
內容目錄:
1 網絡安全監管指標體系的現狀
2 內部網絡安全監管指標體系設計
2.1 網絡安全監管指標體系設計原則
2.2 網絡安全監管指標體系設計
2.2.1 資產健康度指標
2.2.2 網絡安全風險
2.2.3 保密風險指標
2.2.4 處置質效指標
3 內部網絡安全監管指標體系評估模型設計
3.1 指標體系數據結構的數學模型
3.2 Sigmoid 激活函數和層次遞歸計算方法
4 內部網絡安全監管指標體系實現
5 結 語
內部網絡是采用 Internet 技術,建立在政府機構、企事業單位內部的專用網絡。內部網絡是輔助日常辦公和科研生產的重要網絡,通常處理的數據涉及國家秘密信息或工作秘密信息,因此往往與國際互聯網進行物理隔離或高強度邏輯隔離。當前,大多數內部網絡遵循等級保護或分級保護要求進行了較為完善的防護,但是在監管方面通常都是被動地接收安全設備、安全系統上報的安全事件、行為操作、運行狀態等數據,還處于有什么數據做什么分析的階段。伴隨著網絡安全威脅的種類和數量的不斷增加,網絡攻擊行為向著分布化、規模化、復雜化的趨勢發展。此外,內部網絡還面對著內部人員異常行為導致的失竊密事件難以及時發現等安全現狀。作為監管者,應站在頂層視角來思考如何體系化地設計整網的網絡安全監管,從而從上到下地反推網絡安全監管需要什么樣的數據,數據來源于哪里,以及數據如何分析,進而充分地挖掘安全設備、安全系統的能力。本文根據內部網絡的特點,設計了一套符合內部網絡的網絡安全監管指標體系,提出了一種實用的評估模型和實現框架,供業界同行在設計內部網絡安全監管指標體系時參考。
1
網絡安全監管指標體系的現狀
關于指標體系的研究,國內主要集中在網絡安全風險態勢評估和網絡安全態勢感知方面。2006 年國內陳秀真等人提出一種層次化安全威脅態勢定量評估模型及相應的量化計算方法,從服務、主機、局域網系統 3 個層次進行安全威脅態勢評估。2007年吳果等人開創性地將多源多對象的各種影響網絡安全態勢的因素合并整理,并根據層次原則和分類原則,提出了網絡安全態勢感知指標體系,此外,根據分類情況,將各指標分為脆弱性指標、容災性指標、威脅性指標和穩定性指標。2017 年鄧美林提出了資產、脆弱性、可用性和威脅性的網絡安全態勢指標體系。2020 年李欣等人針對視頻專網自身特點,構建了一套適用于視頻專網的網絡安全態勢指標體系,包括基礎網絡運行安全、系統脆弱性、網絡安全威脅、前端設備運行安全和邊界運行安全指標,并給出了指標值的計算方法。
通過上述指標體系的分析,現有指標體系既缺乏評估保密風險的相關指標,還缺乏衡量安全保密事件處置質效的指標,不能很好地適用于內部網絡環境,因此,迫切需要研究一套適用于內部網絡的安全監管指標體系。
2
內部網絡安全監管指標體系設計
2.1 網絡安全監管指標體系設計原則
網絡安全監管指標體系設計需結合內部網絡復雜性高、保密程度高及 IT 運維普遍外包等特性,明確業務目標,確保構建的指標數據的完備性和有效性,從而賦能業務。指標體系設計需要遵從以下原則:(1)完備性:內網環境中,對網絡安全構成影響的要素眾多,如果指標建立不全面、不準確,就很難反映網絡安全的整體態勢水平,因此在設計指標時要確保指標數據完備。(2)系統性:因網絡安全監管指標是對內部網絡安全水平的綜合評價,在考慮指標數據完備性基礎上,要充分考慮指標的層級性及指標間不相關性。(3)可實施性:在滿足完備性和系統性的基礎上,設計的指標數據要確保可采集、可計算、可落地。
2.2 網絡安全監管指標體系設計
基于指標體系設計原則,本文在網絡安全監管指標體系設計時,主要采用分層、分類方法。分層法是基于因果關聯關系對指標體系進行分層,從而構建 1 到 N 層級指標體系。指標分層方法一方面當某些指標變化時,會同步關聯上下層級指標,另一方面便于指標體系的后續擴展。分類法是在各層級指標內,充分考慮指標間的獨立性和不可替代性,基于不相關性對各層級指標進行分類,從而構建無相關性的指標類型及量化指標。指標分類的優勢在于,當某一類指標變化時不會影響同層其他指標,使得同層指標計算可完全解偶。
根據 GB/T 20984—2007《信息安全技術 信息安全風險評估規范》,信息系統的風險主要在于其面臨的威脅和其本身的脆弱性,但是在網絡實際運行中,資產的健康度往往直接或者間接影響整個網絡的安全,而且在內部網絡中,對失密、泄密、竊密的監管更為重要,此外,如果發現了安全保密事件而不及時有效處置,也會導致整個網絡風險持續攀升。因此,本文選取資產健康度、網絡安全風險、保密風險和處置質效 4 個指標,作為內部網絡安全監管的一級指標。內部網絡安全監管指標體系如圖 1 所示。
2.2.1 資產健康度指標
資產健康度指標包括終端安全健康度、服務器健康度、網絡設備健康度、安全保密系統健康度、業務系統健康度和動環系統健康度 6 個二級指標。
終端健康度指標重點關注終端安全軟件安裝率。服務器健康度、網絡設備健康度和安全保密系統健康度指標重點關注資產在離線狀態、資產故障狀態和資產性能異常狀態。業務系統健康度指標重點關注業務服務可用性。動環系統健康度指標重點關注溫濕度等異常狀況,包括溫度異常告警、濕度異常告警、電壓異常告警、漏水異常告警、粉塵超標告警和煙霧異常告警。
2.2.2 網絡安全風險
網絡安全風險指標包括資產脆弱性和網絡安全威脅兩個二級指標。
資產脆弱性指標包括漏洞風險、安全配置風險和口令風險 3 個三級指標。漏洞風險指標是根據漏洞等級、漏洞數量和漏洞是否可利用來評估網絡環境中的漏洞風險情況。安全配置風險指標是根據不合規配置項的風險等級和數量來評估網絡環境中的安全配置風險情況。口令風險指標是根據弱口令數量和弱口令資產占比來評估網絡環境中的口令風險情況。網絡安全威脅指標包括網絡攻擊威脅、惡意程序威脅、策略配置威脅和未知資源威脅 4 個三級指標。網絡攻擊威脅指標包括攻擊嘗試威脅、攻擊成功威脅和攻擊結果不明威脅 3 個指標。惡意程序威脅指標是根據惡意程序的等級、惡意程序發生頻率、惡意程序的處置情況來評估網絡環境中的惡意程序威脅風險情況。策略配置威脅指標關注安全策略偏離基線所帶來的威脅。未知資源威脅指標關注網絡中出現的非法資產和非法服務所帶來的威脅。
2.2.3 保密風險指標
在內部網絡中,保密風險主要來源于人的異常行為,因此保密風險指標包括用戶異常行為指標和運維人員異常行為指標。
用戶異常行為包括用戶使用計算機異常、用戶訪問網絡異常和用戶數據處理異常。用戶使用計算機異常包括冒用身份登錄異常、破壞本地安全機制、用戶違規接入非授權計算機和存儲介質、用戶異常更換計算機部件等。用戶訪問網絡異常包括用戶采用不明終端接入網絡、用戶違規連接國際互聯網、用戶登錄其他非授權終端和服務器、用戶非授權訪問應用系統、用戶異常掃描網絡、用戶發起或執行遠程命令等。用戶數據處理異常包括用戶異常打印或刻錄文件、用戶修改敏感數據標識、用戶違規存儲非知悉范圍數據、用戶向非知悉范圍人員流轉敏感數據、用戶短時間內下載數量大的敏感數據等。
運維人員異常行為包括運維人員使用計算機異常、運維人員運維工作異常和運維人員數據處理異常。運維人員使用計算機異常包括冒用身份登錄異常、破壞終端或服務器安全機制、違規接入非授權計算機和存儲介質、運維人員異常更換計算機和服務器部件等。運維人員運維工作異常包括運維終端或服務器違規連接國際互聯網、進行網絡掃描探測、繞過運維管理域認證機制直接運維、使用異常端口運維、運維人員訪問非授權業務和數據等。運維人員數據處理異常包括運維人員異常打印或刻錄文件、運維人員修改敏感數據標識、運維人員違規存儲非知悉范圍數據、運維人員向非知悉范圍人員流轉敏感數據、運維人員短時間內下載數量大的敏感數據等。
2.2.4 處置質效指標
處置質效指標包括處置時效性和處置質量兩個二級指標。處置時效性關注運維人員處置安全事件時的及時性和處置效率,處置質量關注事件分析準確性和事件處置合理性。
3
內部網絡安全監管指標體系評估模型設計
國內外在網絡安全監管指標體系評估方面的研究與設計比較少。目前國內比較成熟的研究與設計基本是面向互聯網領域,如吳果等人\提出的相關性分析方法,并且都是比較側重指標的優化選擇。而內部網絡安全監管指標體系模型評估是一個相當復雜的過程。指標體系從不同維度、不同層次對內部網絡安全監管要求進行了歸類,不同類型指標對安全風險的影響程度不相同。此外,指標項量化多元化,包括了數值、百分比、是 / 否等多種類型,需要針對不同類型量化值對指標的貢獻權重設計合理算法。然而魏軍等人 提出的將層次分析法應用于指標權重計算的方法相對還處于理論層面,不足以指導實踐。
綜上所述,為了能更好地適應內部網絡安全監管指標量化多元化的特點,以及各層級指標對風險影響程度的差異,本文提出一種基于 Sigmoid 激活函數和層次遞歸計算方法的內部網絡安全監管指標安全評估模型。評估模型遵照2.2 節指標體系的分類、分層原則進行設計,以便于算法擴展。實踐證明,該評估模型在滿足工程落地實施的情況下能夠得出較實時且可解釋的結果。
3.1 指標體系數據結構的數學模型
將 2.2 節指標體系結構抽象為可表達的數學模型。設圖片為指標體系的層級,圖片層內每個層級的指標類型,圖片為第N 層實測指標,則指標體系結構數據的數學模型如圖 2 所示。
3.2 Sigmoid 激活函數和層次遞歸計算方法
Sigmoid 激活函數在指標體系評估過程中的主要作用是,根據圖 2 數學模型中的圖片層指標項實測值,利用 Sigmoid 激活函數計算其對圖片層指標的貢獻權重。層次遞歸加權算法在指標體系評估過程中的主要作用是,對圖 2 中的圖片到 L1 層根據指標類型對網絡安全指標體系的影響程度,采用自底向上的逐層遞歸加權,得到每一層的評估結果,最終得出整個指標體系的安全總分。
Sigmoid 激活函數因其具備可以把實數域平滑映射到 (0,1) 空間的特點,以及具備單調遞增特性和連續可導等優勢,在神經網絡中被廣泛應用。而恰好 Sigmoid 激活函數在神經網絡中被廣泛應用的特性符合網絡安全指標體系安全評估的要求,所以本文充分利用 Sigmoid 激活函數特性原理實現對網絡安全指標體系的安全評估。Sigmoid 激活函數數學表達式:
根據圖3可知,Sigmoid激活函數具有如下特性:(1)函數曲線具有單增特性,符合網絡安全指標評估 GB/T 20984—2007《信息安全技術—信息安全風險評估規范》的要求;(2)函數值域取值范圍屬于 [0,1),對應到網絡安全評估結果中,滿足對評估結果歸一化要求;(3)當橫坐標取值為 0 時,對應的縱坐標值等于 0.5。以上即為 Sigmoid 激活函數的獨有特性。而基于上述特性第(3)點可以看出,當函數自變量 Z取值為零時,對應的函數值域取值為 0.5。如果將該函數對應關系映射到網絡安全評估中,即當網絡安全指標量化值為零時,將得出網絡安全評估結果仍有 0.5×100=50,故不符合網絡安全評估的實際業務要求。對此,本文對原 Sigmoid 激活函數進行了優化改造,改造后的函數表達式為:
4
內部網絡安全監管指標體系實現
依據內部網絡安全監管指標體系設計和算法設計,整個監管系統的實現包括數據采集、數據處理、數據存儲、數據分析、指標項統計、指標分計算、可視化呈現等環節,可分為 4 個主要流程:監管指標數據采集、指標項統計、指標分數計算和指標態勢可視化呈現。
監管指標數據采集流程如圖 5 所示。監管指標數據采集負責收集與指標計算相關的原始數據,主要包括安全設備、安全系統、保密設備、網絡設備、服務器等資產上報的安全日志、操作日志、狀態日志、性能數據等。所有數據按照數據類型進行統一的范式化處理,形成標準的數據格式后存入數據庫。系統基于規則分析、機器學習、基線分析技術對原始數據進行分析,識別出滿足指標體系的異常數據,并存回數據庫供指標項統計模塊使用。
指標項統計通過定時任務觸發,周期性地從原始數據中拉取與指標項統計相關的原始數據,經過統計計算后得出指標項統計值并更新到指標模型數據庫中,完成指標的量化評估。指標項統計值包含數值型、百分比、是 / 否三種類型的統計值。指標分數計算流程如圖 7 所示。
指標分數計算通過定時任務觸發,周期性地從指標模型數據庫中拉取與指標相關的指標項統計值,根據不同的指標項類型調用不同的權重計算算法,計算出該指標項對指標的影響權重。最后基于指標權重、指標量化數據、指標計算算法計算出各級指標的指標分,并更新到指標模型數據庫中。
計算出所有指標的指標分后,可從安全監管態勢、保密態勢、網絡安全態勢、資產運行態勢等不同維度將相關指標的安全分以及重要的指標量化數據進行可視化呈現,從而輔助監管者及時、全面地掌握網絡安全監管現狀,輔助進行安全管理和指揮決策。
5
結 語
本文針對內部網絡安全性和保密性要求高的特點,按照分層、分類法,設計了一套內部網絡的網絡安全監管指標體系,重點設計了保密風險和處置質效兩個重要指標,同時提出了基于 Sigmoid 激活函數和層次遞歸計算方法的評估模型。本文設計的指標體系和評估模型已經應用到了實際用戶環境,實踐表明,能夠大幅提升內部網絡安全風險感知能力和風險治理水平。
