李 煥

（中國電力科學(xué)研究院 北京100192）

1 引言

信息安全監(jiān)測預(yù)警是指通過對某類事件或幾類事件的異常跟蹤，發(fā)現(xiàn)特定問題，并阻止以及即時(shí)上報(bào)，通過警報(bào)系統(tǒng)上報(bào)疑似威脅或脆弱環(huán)節(jié)的特點(diǎn)與特征。傳統(tǒng)的信息安全監(jiān)測，單純采用防護(hù)設(shè)備無法保證信息網(wǎng)絡(luò)和系統(tǒng)免受不斷出現(xiàn)的新型風(fēng)險(xiǎn)的威脅。監(jiān)測預(yù)警技術(shù)的重點(diǎn)在于對動(dòng)態(tài)的攻擊提供主動(dòng)式的早期通報(bào)，讓安全管理人員能夠提前預(yù)測和判定風(fēng)險(xiǎn)，及早防范，從被動(dòng)的“事中”防護(hù)走向“事前”預(yù)警，做到防患于未然，避免信息網(wǎng)絡(luò)和系統(tǒng)遭受巨大損失。

在預(yù)警技術(shù)方面，國內(nèi)外早已開展了早期預(yù)警系統(tǒng)的研究，通過對一些重要的政治、軍事、經(jīng)濟(jì)網(wǎng)絡(luò)上非法入侵進(jìn)行實(shí)施監(jiān)測，陸續(xù)提出了信息站攻擊威脅評測、戰(zhàn)略情報(bào)預(yù)警、智能化預(yù)警決策支持系統(tǒng)、入侵監(jiān)測和預(yù)警系統(tǒng)的體系結(jié)構(gòu)等研究成果。本文結(jié)合大型企業(yè)信息安全防護(hù)體系的結(jié)構(gòu)特點(diǎn)，在已有信息安全監(jiān)測的基礎(chǔ)上，開展信息安全預(yù)警模型的研究和設(shè)計(jì)。

2 信息安全監(jiān)測預(yù)警體系結(jié)構(gòu)

企業(yè)信息安全監(jiān)測預(yù)警體系結(jié)構(gòu)采用分層結(jié)構(gòu)（如圖1所示），主要分為3層：一層為監(jiān)測點(diǎn)，采集信息安全監(jiān)測設(shè)備（IPS、IDS、防火墻、網(wǎng)閘等）的攻擊、風(fēng)險(xiǎn)日志；二層為分監(jiān)測預(yù)警中心，收集并上傳區(qū)域內(nèi)監(jiān)測點(diǎn)的安全監(jiān)測日志，對上層發(fā)布的預(yù)警通告實(shí)施相應(yīng)安全對策，并承擔(dān)區(qū)域內(nèi)預(yù)警通告工作；三層為總監(jiān)測預(yù)警中心，匯總并分析分監(jiān)測預(yù)警中心上傳的安全監(jiān)測日志，結(jié)合安全分析結(jié)果發(fā)布安全預(yù)警通告。在網(wǎng)絡(luò)區(qū)域角色上，一、二層為二級單位信息網(wǎng)絡(luò)，三層為企業(yè)總部信息網(wǎng)絡(luò)。

3 基于信息安全監(jiān)測的預(yù)警模型設(shè)計(jì)

3.1 信息安全風(fēng)險(xiǎn)嚴(yán)重程度的計(jì)算

目前，國內(nèi)外主要互聯(lián)網(wǎng)安全機(jī)構(gòu)采取基于安全風(fēng)險(xiǎn)評估的安全風(fēng)險(xiǎn)預(yù)警方法，這種方法通過對安全事件的危害和影響以及采取一定安全策略對安全危害的消減等方面進(jìn)行評估，判斷該安全事件的風(fēng)險(xiǎn)嚴(yán)重程度；按風(fēng)險(xiǎn)嚴(yán)重程度劃分安全預(yù)警級別，并針對不同級別的安全預(yù)警級別提出相應(yīng)的安全防護(hù)策略和安全通告方式進(jìn)行安全風(fēng)險(xiǎn)預(yù)警。

安全風(fēng)險(xiǎn)預(yù)警方法的關(guān)鍵在于風(fēng)險(xiǎn)嚴(yán)重程度的確定。惡意網(wǎng)絡(luò)活動(dòng)的風(fēng)險(xiǎn)嚴(yán)重程度由以下公式計(jì)算得出：

嚴(yán)重程度=（危險(xiǎn)程度+毀壞程度）-（系統(tǒng)對策+網(wǎng)絡(luò)對策）

通過定義危險(xiǎn)程度 （C）、毀壞程度 （L）、系統(tǒng)對策（SC）、網(wǎng)絡(luò)對策（NC）的不同情況和賦值，計(jì)算四大要素的取值。危險(xiǎn)程度按照不同攻擊對象進(jìn)行賦值，毀壞程度按照不同的潛在損壞情況進(jìn)行賦值，系統(tǒng)對策和網(wǎng)絡(luò)對策則按照不同的主機(jī)和網(wǎng)絡(luò)防護(hù)措施進(jìn)行賦值。

3.2 基于信息安全監(jiān)測數(shù)據(jù)的風(fēng)險(xiǎn)評估

目前，企業(yè)信息安全監(jiān)測可涵蓋互聯(lián)網(wǎng)邊界安全、桌面終端安全、信息內(nèi)外網(wǎng)網(wǎng)絡(luò)安全、信息內(nèi)外網(wǎng)應(yīng)用安全等方面數(shù)據(jù)。利用監(jiān)測數(shù)據(jù)信息，對危險(xiǎn)程度、毀壞程度、系統(tǒng)對策、網(wǎng)絡(luò)對策四大要素的評估計(jì)算，進(jìn)而實(shí)現(xiàn)基于信息安全監(jiān)測數(shù)據(jù)的風(fēng)險(xiǎn)評估。

（1）危險(xiǎn)程度的評估

按照不同攻擊對象，分別對危險(xiǎn)程度賦值為：

C=5總部級和二、三級單位信息內(nèi)網(wǎng)的核心網(wǎng)絡(luò)或服務(wù)，如核心路由器、防火墻、VPN、IDS、DNS服務(wù)器、認(rèn)證服務(wù)器、重要終端等；

C=4總部級和二級單位信息外網(wǎng)的核心網(wǎng)絡(luò)或服務(wù)，如核心路由器、防火墻、VPN、IDS、DNS服務(wù)器、認(rèn)證服務(wù)器等；

C=3總部級和二級單位信息網(wǎng)絡(luò)中郵件、網(wǎng)站、重要應(yīng)用的服務(wù)器及數(shù)據(jù)庫；

C=2總部級和二級單位信息網(wǎng)絡(luò)中次重要應(yīng)用服務(wù)，或三級單位信息網(wǎng)絡(luò)自有應(yīng)用服務(wù)；

C=1信息外網(wǎng)客戶端。

當(dāng)監(jiān)測到攻擊對象為多類時(shí)，按攻擊對象最高級別的危險(xiǎn)程度取值進(jìn)行賦值。

（2）毀壞程度的評估

毀壞程度是指信息網(wǎng)絡(luò)、系統(tǒng)的潛在損壞情況，其評估過程考慮了企業(yè)實(shí)際監(jiān)測攻擊情況和互聯(lián)網(wǎng)當(dāng)前攻擊情況兩方面因素的影響。毀壞程度L的計(jì)算公式如下：

其中，X為企業(yè)實(shí)際監(jiān)測攻擊情況賦值，Y為互聯(lián)網(wǎng)當(dāng)前攻擊情況賦值，α為公司受攻擊影響權(quán)重 （1<α<1，取經(jīng)驗(yàn)值0.6）。具體賦值情況如下：

X=5實(shí)際監(jiān)測攻擊總數(shù)處于歷史水平130%以上；

X=4實(shí)際監(jiān)測攻擊總數(shù)處于歷史水平110%～130%；

X=3實(shí)際監(jiān)測攻擊總數(shù)處于歷史水平90%～110%；

X=2實(shí)際監(jiān)測攻擊總數(shù)處于歷史水平70%～90%；

X=1實(shí)際監(jiān)測攻擊總數(shù)處于歷史水平70%以下。

Y值參考國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)》中網(wǎng)絡(luò)安全基本態(tài)勢情況，Y按照網(wǎng)絡(luò)安全基本態(tài)勢危、差、中、良、優(yōu)分別賦值為5、4、3、2、1。

（3）系統(tǒng)對策和網(wǎng)絡(luò)對策的評估

系統(tǒng)對策的評估參考桌面終端安全、信息內(nèi)外網(wǎng)應(yīng)用安全方面的監(jiān)測情況，網(wǎng)絡(luò)對策的評估參考信息內(nèi)外網(wǎng)網(wǎng)絡(luò)安全方面的監(jiān)測情況。按照監(jiān)測漏洞和問題量多少，分別對危險(xiǎn)程度賦值為：

SC（NC）=5連續(xù)3期未監(jiān)測到系統(tǒng)（網(wǎng)絡(luò)）漏洞和問題；

SC（NC）=4未監(jiān)測到系統(tǒng)（網(wǎng)絡(luò)）漏洞和問題；

SC（NC）=3監(jiān)測到系統(tǒng)（網(wǎng)絡(luò)）漏洞和問題少于企業(yè)平均水平；

SC（NC）=2監(jiān)測到系統(tǒng)（網(wǎng)絡(luò)）漏洞和問題等于企業(yè)平均水平；

表1 預(yù)警指標(biāo)等級

SC（NC）=1監(jiān)測到系統(tǒng)（網(wǎng)絡(luò)）漏洞和問題多于企業(yè)平均水平。

3.3 預(yù)警指標(biāo)設(shè)定

按風(fēng)險(xiǎn)嚴(yán)重程度的取值劃分出5個(gè)安全預(yù)警指標(biāo)級別，用于顯示被監(jiān)測單位當(dāng)前的惡意網(wǎng)絡(luò)活動(dòng)和安全風(fēng)險(xiǎn)水平，反映了潛在的或?qū)嶋H的損害。該指標(biāo)由低到高分為綠、藍(lán)、黃、橙、紅5個(gè)等級（見表1），兩級安全監(jiān)測預(yù)警中心可針對不同級別的安全預(yù)警級別提出相應(yīng)的安全防護(hù)策略和安全通告方式進(jìn)行安全風(fēng)險(xiǎn)預(yù)警。

4 結(jié)束語

本文設(shè)計(jì)的信息安全監(jiān)測預(yù)警模型，借助企業(yè)已有信息安全監(jiān)測工具對海量監(jiān)測數(shù)據(jù)進(jìn)行挖掘、分析，從而做出更科學(xué)、有效的信息安全預(yù)警通報(bào)及安全防護(hù)對策建議。通過信息安全監(jiān)測預(yù)警體系研究，建立歷史數(shù)據(jù)分析與企業(yè)信息安全通報(bào)等機(jī)制結(jié)合的預(yù)警模型，將有效提高企業(yè)安全保障和安全運(yùn)維水平，對我國大型企業(yè)信息安全監(jiān)測預(yù)警體系的研究有一定的參考意義。