李 煥

（中國電力科學研究院 北京100192）

1 引言

信息安全監(jiān)測預警是指通過對某類事件或幾類事件的異常跟蹤，發(fā)現(xiàn)特定問題，并阻止以及即時上報，通過警報系統(tǒng)上報疑似威脅或脆弱環(huán)節(jié)的特點與特征。傳統(tǒng)的信息安全監(jiān)測，單純采用防護設備無法保證信息網(wǎng)絡和系統(tǒng)免受不斷出現(xiàn)的新型風險的威脅。監(jiān)測預警技術的重點在于對動態(tài)的攻擊提供主動式的早期通報，讓安全管理人員能夠提前預測和判定風險，及早防范，從被動的“事中”防護走向“事前”預警，做到防患于未然，避免信息網(wǎng)絡和系統(tǒng)遭受巨大損失。

在預警技術方面，國內(nèi)外早已開展了早期預警系統(tǒng)的研究，通過對一些重要的政治、軍事、經(jīng)濟網(wǎng)絡上非法入侵進行實施監(jiān)測，陸續(xù)提出了信息站攻擊威脅評測、戰(zhàn)略情報預警、智能化預警決策支持系統(tǒng)、入侵監(jiān)測和預警系統(tǒng)的體系結(jié)構(gòu)等研究成果。本文結(jié)合大型企業(yè)信息安全防護體系的結(jié)構(gòu)特點，在已有信息安全監(jiān)測的基礎上，開展信息安全預警模型的研究和設計。

2 信息安全監(jiān)測預警體系結(jié)構(gòu)

企業(yè)信息安全監(jiān)測預警體系結(jié)構(gòu)采用分層結(jié)構(gòu)（如圖1所示），主要分為3層：一層為監(jiān)測點，采集信息安全監(jiān)測設備（IPS、IDS、防火墻、網(wǎng)閘等）的攻擊、風險日志；二層為分監(jiān)測預警中心，收集并上傳區(qū)域內(nèi)監(jiān)測點的安全監(jiān)測日志，對上層發(fā)布的預警通告實施相應安全對策，并承擔區(qū)域內(nèi)預警通告工作；三層為總監(jiān)測預警中心，匯總并分析分監(jiān)測預警中心上傳的安全監(jiān)測日志，結(jié)合安全分析結(jié)果發(fā)布安全預警通告。在網(wǎng)絡區(qū)域角色上，一、二層為二級單位信息網(wǎng)絡，三層為企業(yè)總部信息網(wǎng)絡。

3 基于信息安全監(jiān)測的預警模型設計

3.1 信息安全風險嚴重程度的計算

目前，國內(nèi)外主要互聯(lián)網(wǎng)安全機構(gòu)采取基于安全風險評估的安全風險預警方法，這種方法通過對安全事件的危害和影響以及采取一定安全策略對安全危害的消減等方面進行評估，判斷該安全事件的風險嚴重程度；按風險嚴重程度劃分安全預警級別，并針對不同級別的安全預警級別提出相應的安全防護策略和安全通告方式進行安全風險預警。

安全風險預警方法的關鍵在于風險嚴重程度的確定。惡意網(wǎng)絡活動的風險嚴重程度由以下公式計算得出：

嚴重程度=（危險程度+毀壞程度）-（系統(tǒng)對策+網(wǎng)絡對策）

通過定義危險程度 （C）、毀壞程度 （L）、系統(tǒng)對策（SC）、網(wǎng)絡對策（NC）的不同情況和賦值，計算四大要素的取值。危險程度按照不同攻擊對象進行賦值，毀壞程度按照不同的潛在損壞情況進行賦值，系統(tǒng)對策和網(wǎng)絡對策則按照不同的主機和網(wǎng)絡防護措施進行賦值。

3.2 基于信息安全監(jiān)測數(shù)據(jù)的風險評估

目前，企業(yè)信息安全監(jiān)測可涵蓋互聯(lián)網(wǎng)邊界安全、桌面終端安全、信息內(nèi)外網(wǎng)網(wǎng)絡安全、信息內(nèi)外網(wǎng)應用安全等方面數(shù)據(jù)。利用監(jiān)測數(shù)據(jù)信息，對危險程度、毀壞程度、系統(tǒng)對策、網(wǎng)絡對策四大要素的評估計算，進而實現(xiàn)基于信息安全監(jiān)測數(shù)據(jù)的風險評估。

（1）危險程度的評估

按照不同攻擊對象，分別對危險程度賦值為：

C=5總部級和二、三級單位信息內(nèi)網(wǎng)的核心網(wǎng)絡或服務，如核心路由器、防火墻、VPN、IDS、DNS服務器、認證服務器、重要終端等；

C=4總部級和二級單位信息外網(wǎng)的核心網(wǎng)絡或服務，如核心路由器、防火墻、VPN、IDS、DNS服務器、認證服務器等；

C=3總部級和二級單位信息網(wǎng)絡中郵件、網(wǎng)站、重要應用的服務器及數(shù)據(jù)庫；

C=2總部級和二級單位信息網(wǎng)絡中次重要應用服務，或三級單位信息網(wǎng)絡自有應用服務；

C=1信息外網(wǎng)客戶端。

當監(jiān)測到攻擊對象為多類時，按攻擊對象最高級別的危險程度取值進行賦值。

（2）毀壞程度的評估

毀壞程度是指信息網(wǎng)絡、系統(tǒng)的潛在損壞情況，其評估過程考慮了企業(yè)實際監(jiān)測攻擊情況和互聯(lián)網(wǎng)當前攻擊情況兩方面因素的影響。毀壞程度L的計算公式如下：

其中，X為企業(yè)實際監(jiān)測攻擊情況賦值，Y為互聯(lián)網(wǎng)當前攻擊情況賦值，α為公司受攻擊影響權(quán)重 （1<α<1，取經(jīng)驗值0.6）。具體賦值情況如下：

X=5實際監(jiān)測攻擊總數(shù)處于歷史水平130%以上；

X=4實際監(jiān)測攻擊總數(shù)處于歷史水平110%～130%；

X=3實際監(jiān)測攻擊總數(shù)處于歷史水平90%～110%；

X=2實際監(jiān)測攻擊總數(shù)處于歷史水平70%～90%；

X=1實際監(jiān)測攻擊總數(shù)處于歷史水平70%以下。

Y值參考國家互聯(lián)網(wǎng)應急中心發(fā)布的《網(wǎng)絡安全信息與動態(tài)周報》中網(wǎng)絡安全基本態(tài)勢情況，Y按照網(wǎng)絡安全基本態(tài)勢危、差、中、良、優(yōu)分別賦值為5、4、3、2、1。

（3）系統(tǒng)對策和網(wǎng)絡對策的評估

系統(tǒng)對策的評估參考桌面終端安全、信息內(nèi)外網(wǎng)應用安全方面的監(jiān)測情況，網(wǎng)絡對策的評估參考信息內(nèi)外網(wǎng)網(wǎng)絡安全方面的監(jiān)測情況。按照監(jiān)測漏洞和問題量多少，分別對危險程度賦值為：

SC（NC）=5連續(xù)3期未監(jiān)測到系統(tǒng)（網(wǎng)絡）漏洞和問題；

SC（NC）=4未監(jiān)測到系統(tǒng)（網(wǎng)絡）漏洞和問題；

SC（NC）=3監(jiān)測到系統(tǒng)（網(wǎng)絡）漏洞和問題少于企業(yè)平均水平；

SC（NC）=2監(jiān)測到系統(tǒng)（網(wǎng)絡）漏洞和問題等于企業(yè)平均水平；

表1 預警指標等級

SC（NC）=1監(jiān)測到系統(tǒng)（網(wǎng)絡）漏洞和問題多于企業(yè)平均水平。

3.3 預警指標設定

按風險嚴重程度的取值劃分出5個安全預警指標級別，用于顯示被監(jiān)測單位當前的惡意網(wǎng)絡活動和安全風險水平，反映了潛在的或?qū)嶋H的損害。該指標由低到高分為綠、藍、黃、橙、紅5個等級（見表1），兩級安全監(jiān)測預警中心可針對不同級別的安全預警級別提出相應的安全防護策略和安全通告方式進行安全風險預警。

4 結(jié)束語

本文設計的信息安全監(jiān)測預警模型，借助企業(yè)已有信息安全監(jiān)測工具對海量監(jiān)測數(shù)據(jù)進行挖掘、分析，從而做出更科學、有效的信息安全預警通報及安全防護對策建議。通過信息安全監(jiān)測預警體系研究，建立歷史數(shù)據(jù)分析與企業(yè)信息安全通報等機制結(jié)合的預警模型，將有效提高企業(yè)安全保障和安全運維水平，對我國大型企業(yè)信息安全監(jiān)測預警體系的研究有一定的參考意義。