信息安全態(tài)勢分析

劉 曄，郭金根

（浙江省電力公司，杭州 310007）

1 概述

信息系統(tǒng)是我國國民經(jīng)濟(jì)的重要組成部分，信息系統(tǒng)、信息資產(chǎn)安全風(fēng)險管理已成為企業(yè)、機(jī)構(gòu)信息化建設(shè)的一個重要環(huán)節(jié)。目前具有代表性的風(fēng)險評估方法中，NIST SP800系列的SP 800－30《信息技術(shù)系統(tǒng)的風(fēng)險管理指南》（Risk Management Guide for Information Technology Systems）提出了具有高可操作性的分析流程和方法，其中，BS7799從管理和技術(shù)兩方面建立了一整套信息安全評估體系，GMITS（ISO 13335）則提出了以相乘法和矩陣法計算風(fēng)險值。

風(fēng)險分析依據(jù)對風(fēng)險值的計算，有定量分析和定性分析兩種方式，較多采用的是定性與定量相結(jié)合的方法。但是風(fēng)險的量化非常復(fù)雜，風(fēng)險的來源、表現(xiàn)形式、造成的后果、出現(xiàn)的概率千差萬別，需要精細(xì)考慮并建立數(shù)學(xué)模型。一般而言，這些被量化或被定性的風(fēng)險是已存在或已發(fā)生的安全狀況，而對企業(yè)真正有價值的應(yīng)是未來將要發(fā)生的。

BS7799標(biāo)準(zhǔn)提供了基于PDCA（Plan，Do，Check，Act，即通常所說的戴明環(huán)）的持續(xù)改進(jìn)的管理模型，是持續(xù)跟蹤與改善不斷循環(huán)的過程，其缺點是容易形成被動防范，可能導(dǎo)致企業(yè)不斷亡羊補(bǔ)牢的局面。信息安全風(fēng)險態(tài)勢分析則可以準(zhǔn)確有效地預(yù)測未來的信息安全風(fēng)險，在戰(zhàn)略性決策時提供建設(shè)性意見，并對信息安全系統(tǒng)進(jìn)行前瞻性建設(shè)，使風(fēng)險評估變被動為主動。

2 態(tài)勢分析及相關(guān)概念

2.1 信息資產(chǎn)

根據(jù)ISO 027001對信息資產(chǎn)的描述和定義，信息資產(chǎn)應(yīng)包含：服務(wù)（Service）、 數(shù)據(jù)（Data）、 軟件（Software）、 硬件（Hardware）、 文檔（Document）、設(shè)備（Facility）、 人員（HR）及其他（Other）。

2.2 態(tài)勢感知

信息安全風(fēng)險分析就是對信息資產(chǎn)最終的風(fēng)險狀況與該資產(chǎn)的價值、現(xiàn)存的弱點、現(xiàn)有的安全措施、面對的威脅、威脅發(fā)生的概率及風(fēng)險發(fā)生的可能性以及預(yù)計產(chǎn)生的后果等因素所構(gòu)成的整個信息安全現(xiàn)狀和變化趨勢的態(tài)勢分析。通過建立描述信息安全態(tài)勢的分析管理體系,就可以對當(dāng)前信息安全狀況有直觀全面的了解,從而為實現(xiàn)主動安全防御打下良好的基礎(chǔ)。值得注意的是,態(tài)勢是一種趨勢,是一個整體和全局的概念,任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。信息安全態(tài)勢感知就是對會引起信息安全態(tài)勢變化的安全要素進(jìn)行獲取、理解、顯示并預(yù)測未來的發(fā)展趨勢。

態(tài)勢感知包括態(tài)勢元素提取、當(dāng)前態(tài)勢分析和未來態(tài)勢預(yù)測，主要涵蓋以下幾個方面∶

（1）在一定的環(huán)境下,提取進(jìn)行態(tài)勢估計要考慮的各種要素，為態(tài)勢推理做好準(zhǔn)備。

（2）分析并確定事件發(fā)生的深層次原因，給出對所監(jiān)控的信息安全當(dāng)前態(tài)勢的理解或綜合評價。

（3）已知T時刻發(fā)生的事件，預(yù)測T+1，T+2,…，T+n時刻可能發(fā)生的事件，進(jìn)而確定信息安全態(tài)勢的發(fā)展趨勢。

3 宏觀態(tài)勢分析在信息安全管理中的應(yīng)用

目前的態(tài)勢分析研究更多的集中于微觀技術(shù)層面。為了對宏觀信息安全態(tài)勢進(jìn)行有效評估和預(yù)測，可以結(jié)合信息安全自身的特征，從信息安全的脆弱、容災(zāi)、威脅、穩(wěn)定4個方面定量描述信息安全各部分的特征。

考慮企業(yè)未來信息安全發(fā)展方向，宏觀態(tài)勢分析必須包含：

（1）企業(yè)的核心使命和核心資產(chǎn)。企業(yè)信息安全管理的目的是為了更好地促進(jìn)企業(yè)使命的達(dá)成，因此進(jìn)行態(tài)勢分析時必須考慮企業(yè)未來3～5年核心使命的變遷以及核心資產(chǎn)的進(jìn)化情況。舉例來說，宏觀態(tài)勢分析需要確認(rèn)企業(yè)的核心業(yè)務(wù)是否會發(fā)生轉(zhuǎn)移，以往分布式的結(jié)構(gòu)是否會大集中，業(yè)務(wù)區(qū)域是否會整合或細(xì)分，企業(yè)的核心資產(chǎn)是否會隨著時間而折舊等。

（2）信息安全大環(huán)境的發(fā)展趨勢。信息安全發(fā)展的大環(huán)境對于信息安全管理有著深遠(yuǎn)的影響。如Windows7出現(xiàn)后，針對主機(jī)層面的安全事件明顯有所減少，常規(guī)性的病毒、蠕蟲爆發(fā)等有逐漸降低的趨勢；mobile設(shè)備則因其在安全控制上的缺失帶來了另外的安全問題。安全管理需要從自身整體業(yè)務(wù)、系統(tǒng)和應(yīng)用出發(fā)，信息技術(shù)整體發(fā)展趨勢、技術(shù)采納適用性、過程是引發(fā)額外的風(fēng)險或是抑制風(fēng)險，這些因素應(yīng)重點考慮。

（3）社會環(huán)境的影響。要考慮重大的自然、政治、經(jīng)濟(jì)等事件對整個信息安全的影響。

（4）法律法規(guī)的要求。針對企業(yè)信息安全系統(tǒng)管理的法律法規(guī)很多，在態(tài)勢分析中，需要考慮法律法規(guī)的適用性問題，及采用相關(guān)標(biāo)準(zhǔn)后對于整個信息體系的影響。

在實際的風(fēng)險分析過程中，以上因素對于定量和定性評估都有非常重要的指導(dǎo)意義。一般可以采用以下公式表示風(fēng)險的影響：

Threat（威脅）＝impact×likelihood（影響×可能性）

將上述公式做擴(kuò)展，邏輯意義上可以將風(fēng)險表述如下：

Risk（風(fēng)險）＝asset×vulnerability×threat（資產(chǎn)×脆弱性×威脅）

宏觀因素對于threat（威脅）值幾乎具有決定性的影響，比如說安全趨勢、自然環(huán)境和社會環(huán)境的變化，會增加或者遏制威脅代理與威脅源的產(chǎn)生；而企業(yè)核心使命與基礎(chǔ)建設(shè)則直接影響信息資產(chǎn)的價值及其相關(guān)的脆弱性，進(jìn)而影響到威脅實現(xiàn)的可能性。需要在微觀的態(tài)勢分析中將各種因素作為知識庫或者規(guī)則來參考，以適當(dāng)?shù)臋?quán)重調(diào)整具體的安全風(fēng)險細(xì)節(jié)。

宏觀的態(tài)勢分析能夠為企業(yè)戰(zhàn)略、戰(zhàn)術(shù)性的安全管理提供有效的參考依據(jù)，并且能夠?qū)α炕奈⒂^風(fēng)險態(tài)勢分析提供重要的輸入，從而更有針對性地指導(dǎo)企業(yè)的信息安全建設(shè)工作。

4 微觀態(tài)勢分析在信息安全管理中的應(yīng)用

國內(nèi)外在微觀態(tài)勢分析領(lǐng)域已經(jīng)取得了長足的進(jìn)步，其理論研究正逐步與應(yīng)用相結(jié)合。

Endsley的模型把態(tài)勢感知分成感知、理解和預(yù)測3個層次的信息處理。感知（Perception）即感知和獲取環(huán)境中的重要線索或元素，這是態(tài)勢感知最基礎(chǔ)的部分。理解（Comprehension）是整合感知到的數(shù)據(jù)和信息，分析其相關(guān)性。預(yù)測（Projection）是基于對環(huán)境信息的感知和理解，預(yù)測未來的發(fā)展趨勢，這是態(tài)勢感知中最高層次的要求。

在Endsley模型的引導(dǎo)下，態(tài)勢分析在實際應(yīng)用中得到了推廣。其中較為熱門的是美國國防部提出的 JDL（Joint Director of Laboratories）模型，該模型提出了網(wǎng)絡(luò)態(tài)勢感知總體框架結(jié)構(gòu)，主要包括多源異構(gòu)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)和目標(biāo)識別、態(tài)勢評估、威脅評估、響應(yīng)與預(yù)警、態(tài)勢可視化顯示以及過程優(yōu)化控制與管理等功能模塊。JDL模型是一種通用的數(shù)據(jù)融合模型，應(yīng)用于信息安全管理時可以將其實體化。圖1就是JDL模型在一個信息安全事件分析過程中的應(yīng)用。

圖1 JDL模型的應(yīng)用

如圖1所示，首先通過感知環(huán)境收集信息資產(chǎn)，然后進(jìn)行初步過濾，去掉噪音數(shù)據(jù)，并且針對非結(jié)構(gòu)化或半結(jié)構(gòu)化等數(shù)據(jù)進(jìn)行修正。排列是將所有衡量機(jī)制置于一個公共的同一時空參考系，建立統(tǒng)一的信息安全數(shù)據(jù)庫。關(guān)聯(lián)是將新的風(fēng)險測量機(jī)制與所有已知目標(biāo)的預(yù)報狀態(tài)相聯(lián)系，從而確定每個測量機(jī)制是否可以用于對已知記錄的更新。跟蹤是指任何目標(biāo)的數(shù)據(jù)序列用于開發(fā)一個動態(tài)目標(biāo)模型，通過與各種新感應(yīng)數(shù)據(jù)的關(guān)聯(lián)、動態(tài)行為模式的修正，可以預(yù)測目標(biāo)在未來進(jìn)程空間范圍內(nèi)的狀態(tài)。識別是對指定目標(biāo)的所有關(guān)聯(lián)數(shù)據(jù)執(zhí)行自動的目標(biāo)識別，并且將目標(biāo)分派到一個或者多個特定類型中。2級和3級處理是指在考慮整個場景模式以及應(yīng)用環(huán)境的前提下（地域、目標(biāo)混雜與時空交錯），用通用的術(shù)語和方法（威脅、脆弱性等）給出當(dāng)前安全風(fēng)險的真實態(tài)勢。

目前，微觀態(tài)勢分析技術(shù)已經(jīng)被一些SOC（Security Operations Center，信息安全管理平臺）產(chǎn)品所采用，圖2就是將態(tài)勢感知相關(guān)技術(shù)應(yīng)用于信息安全監(jiān)測分析的一個實例。

圖2 信息安全的微觀態(tài)勢分析

微觀態(tài)勢分析應(yīng)用一般以資產(chǎn)為核心，以安全事件管理為關(guān)鍵流程，采用安全域劃分，建立一套實時的資產(chǎn)風(fēng)險模型，和協(xié)助管理員進(jìn)行事件分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。能夠從理論化的模型保證日常運維安全管理的需求，提供數(shù)小時至幾周內(nèi)的安全態(tài)勢分析展示。

5 專家系統(tǒng)在態(tài)勢分析中的應(yīng)用

圖3是簡化后的元素關(guān)系圖，綜合了多個要素，構(gòu)成態(tài)勢分析的基本單元，一般情況下可采用貝葉斯算法進(jìn)行分析。貝葉斯算法通過統(tǒng)計學(xué)研究來進(jìn)行概率推論，核心思想是根據(jù)已發(fā)生的事件來測算將來可能發(fā)生的事件，目前已成功應(yīng)用于垃圾郵件的判別，但是作為決策邏輯，其在可能性概念的解析上有著更為廣泛的應(yīng)用。

貝葉斯算法有一定的局限性，雖然判斷獨立或單個事件可能性的準(zhǔn)確性很高，但對具有海量數(shù)據(jù)的復(fù)雜信息系統(tǒng)進(jìn)行安全態(tài)勢分析時，單純依靠貝葉斯算法則會變得過于復(fù)雜而無法處理。在這種情況下，確信因子（Cerntainy Factors,CF）理論可以作為很好的替代。CF理論來源于早期基于規(guī)則的專家系統(tǒng)。該理論考察一個介于1與-1的值，用以度量專家的確信程度。如果H是假設(shè)，E是證據(jù)，cf是一個規(guī)則的確信因子，那么：

圖3 態(tài)勢分析元素關(guān)系圖

CF（H， E）＝CF（E）×cf

可以假定場景、給定的信息系統(tǒng)的核心使命、資產(chǎn)、相關(guān)邏輯聯(lián)系等因素，查找與核心使命相關(guān)的資產(chǎn)以及服務(wù)、資產(chǎn)對應(yīng)的脆弱性、可利用該脆弱性的威脅、相關(guān)的安全事件和告警、與該安全事件相關(guān)的各種環(huán)境因素影響、針對上述獲取的各個元素進(jìn)行迭代查找，最終形成總體風(fēng)險證據(jù)。

邏輯實現(xiàn)實際上就是針對態(tài)勢分析過程中的各元素進(jìn)行不同屬性的賦值、分類，并利用CF理論進(jìn)行計算的一個過程。這個計算過程是專家判斷過程，因此需要有一個知識庫，提供一些基本的規(guī)則和IF-THEN的表述。舉例來說：“IF威脅增加，THEN脆弱性被利用的可能性增高”。

雖然可以簡單地用數(shù)學(xué)表達(dá)式來實現(xiàn)，但是這些假定在真正實施的時候，應(yīng)該采用模糊邏輯，這樣才能更好地處理定性知識，提高判斷結(jié)果的“可信等級”，使分析結(jié)果更加準(zhǔn)確。

6 結(jié)語

企業(yè)信息安全管理工作的核心是安全風(fēng)險管理，但目前無論采用靜態(tài)分析方法還是微觀技術(shù)理論，為企業(yè)做出安全管理決策都有不足之處。而在微觀態(tài)勢分析中融入宏觀態(tài)勢分析則能更有效、更準(zhǔn)確地預(yù)測信息安全風(fēng)險，可以作為感性模式應(yīng)用在企業(yè)的日常信息安全管理中，同時也可以作為一種模型應(yīng)用于安全管理與安全監(jiān)控類產(chǎn)品或服務(wù)中。盡管宏觀還是微觀態(tài)勢分析都有很大的不確定性，但是通過先進(jìn)的專家系統(tǒng)和模糊邏輯運算能夠達(dá)到最大限度的統(tǒng)計學(xué)正確性，這是企業(yè)信息化管理非常關(guān)鍵的參考數(shù)據(jù)和決策依據(jù)，同時能極大地提高安全管理水平和工作效率，提高信息安全事件響應(yīng)的及時性和準(zhǔn)確性。

[1]張耀疆.《BS7799 標(biāo)準(zhǔn)全面解析（新版）》[M].上海：上海安信信息技術(shù)有限公司.

[2]王志強(qiáng)，李建剛，顏立，等.基于ISO/IEC 27001標(biāo)準(zhǔn)的信息安全管理體系建設(shè)[J].浙江電力，2008，27（4）：47-49.

[3]SHON HARRIS.《CISSP認(rèn)證考試全面指南(CISSP Certification All-in-One Exam Guide）》第 4 版[M].北京：清華大學(xué)出版社.