成貴平, 王飛

（中國移動(dòng)通信集團(tuán)山西有限公司，太原 030032）

基于數(shù)據(jù)挖掘方法的安全評(píng)估管理

成貴平, 王飛

（中國移動(dòng)通信集團(tuán)山西有限公司，太原 030032）

本文研究了安全評(píng)估工作標(biāo)準(zhǔn)化的方法，該方法解決了現(xiàn)有評(píng)估流程主觀性強(qiáng)結(jié)果不準(zhǔn)確的問題； 還研究了對(duì)評(píng)估數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘的方法，該方法解決了現(xiàn)有的海量評(píng)估數(shù)據(jù)只是以評(píng)估報(bào)告形式存在并不能從中發(fā)掘有價(jià)值的信息的問題； 最終提出了建立一個(gè)安全評(píng)估管理平臺(tái)，對(duì)評(píng)估過程及數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化、流程化管理的想法。

安全評(píng)估標(biāo)準(zhǔn)化；數(shù)據(jù)挖掘；數(shù)據(jù)管理

移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)正在蓬勃發(fā)展，安全問題日益凸顯，同時(shí)，傳統(tǒng)互聯(lián)網(wǎng)的風(fēng)險(xiǎn)并未減少。新業(yè)務(wù)新技術(shù)的安全評(píng)估能夠有效的控制兩者的風(fēng)險(xiǎn)，但評(píng)估工作因評(píng)估人員的能力、態(tài)度等原因造成評(píng)估流程與結(jié)果差異較大。另一方面，每次安全評(píng)估產(chǎn)生大量的評(píng)估數(shù)據(jù)，這些數(shù)據(jù)經(jīng)過長期積累將產(chǎn)生海量的信息，但目前這些數(shù)據(jù)只是以評(píng)估報(bào)告的形式存在，沒有進(jìn)行綜合分析以及深入的數(shù)據(jù)挖掘，無法輔助信息安全管理人員對(duì)信息安全建設(shè)進(jìn)行有效決策。這兩個(gè)問題將會(huì)成為信息安全評(píng)估工作開展中的重要問題。

1 “2358”安全評(píng)估方法

為了解決安全評(píng)估流程與結(jié)果標(biāo)準(zhǔn)化問題，本文通過對(duì)無線城市等業(yè)務(wù)的評(píng)估實(shí)踐總結(jié)出了“2358”安全評(píng)估方法?！?358”安全評(píng)估方法以技術(shù)手段和制度流程兩個(gè)抓手來推動(dòng)安全評(píng)估工作。該方法首先著手解決的問題就是評(píng)估流程標(biāo)準(zhǔn)化的問題，并通過各種評(píng)估技術(shù)的應(yīng)用推動(dòng)評(píng)估工作的開展。

“2358”安全評(píng)估方法以業(yè)務(wù)規(guī)劃期、建設(shè)期、運(yùn)營期的三同步為指導(dǎo)思想來指導(dǎo)安全評(píng)估工作，將安全評(píng)估工作貫穿到業(yè)務(wù)規(guī)劃期、建設(shè)期、運(yùn)營期，將這3方面不同的安全需求進(jìn)行統(tǒng)一管理，環(huán)環(huán)相扣形成全生命周期安全管理。在規(guī)劃期，通過對(duì)系統(tǒng)所面臨威脅點(diǎn)的分析，將業(yè)務(wù)所有可能面臨的威脅進(jìn)行羅列，并與業(yè)務(wù)流程結(jié)合進(jìn)行安全威脅建模，得到業(yè)務(wù)每個(gè)流程環(huán)節(jié)可能面臨的風(fēng)險(xiǎn)，并將這些風(fēng)險(xiǎn)的預(yù)防措施進(jìn)行總結(jié)，形成適用于該系統(tǒng)的定制化安全標(biāo)準(zhǔn)。然后將安全標(biāo)準(zhǔn)固化至安全合同條款，形成業(yè)務(wù)規(guī)劃期的安全把控點(diǎn)；在業(yè)務(wù)建設(shè)期，為了減少對(duì)開發(fā)環(huán)節(jié)干預(yù)提高開發(fā)效率保證業(yè)務(wù)系統(tǒng)的交付，只在項(xiàng)目驗(yàn)收環(huán)節(jié)進(jìn)行評(píng)估；在業(yè)務(wù)運(yùn)營期，開展周期性評(píng)估工作，以適應(yīng)安全環(huán)境的變化，從而形成閉環(huán)管理。

“2358”安全評(píng)估方法以安全評(píng)估準(zhǔn)備階段、評(píng)估實(shí)施階段、評(píng)估總結(jié)階段、評(píng)估整改復(fù)核階段、評(píng)估報(bào)備階段這5個(gè)階段來規(guī)范安全評(píng)估工作。將這5個(gè)階段每個(gè)階段具有哪些流程、每個(gè)流程使用哪些評(píng)估方法、流程完畢后輸出哪些文檔并將該流程哪個(gè)部門人員負(fù)責(zé)進(jìn)行明確。從這5個(gè)階段進(jìn)行規(guī)范化制度化管理，從而保證整個(gè)評(píng)估工作的規(guī)范化。

“2358”安全評(píng)估方法以成立評(píng)估組、收集評(píng)估文檔、制定評(píng)估規(guī)范、外部評(píng)估、現(xiàn)場評(píng)估、風(fēng)險(xiǎn)整改、整改復(fù)核、結(jié)果報(bào)備這8個(gè)步驟來落實(shí)安全評(píng)估工作。對(duì)每個(gè)方面流程進(jìn)行制度化來保證每個(gè)流程的可行性與效率，從而能夠有效的保證評(píng)估工作的落實(shí)。

“2358”安全評(píng)估方法是一套結(jié)合移動(dòng)集團(tuán)規(guī)范制定與本地自身特點(diǎn)，適用于山西移動(dòng)的安全評(píng)估方法。其通過對(duì)評(píng)估流程的規(guī)范化制度化管理，將安全評(píng)估工作貫穿到業(yè)務(wù)系統(tǒng)的全生命周期，通過迭代加固將業(yè)務(wù)系統(tǒng)技術(shù)與管理方面的風(fēng)險(xiǎn)進(jìn)行最大程度控制，實(shí)現(xiàn)業(yè)務(wù)流程與安全流程的有機(jī)統(tǒng)一。

2 數(shù)據(jù)挖掘方法應(yīng)用于安全評(píng)估分析

“2358”安全評(píng)估方法，能夠有效的控制業(yè)務(wù)上線后的風(fēng)險(xiǎn)，長期進(jìn)行評(píng)估將產(chǎn)生海量的評(píng)估數(shù)據(jù)。從海量的數(shù)據(jù)中尋找有價(jià)值的信息，輔助信息安全管理人員對(duì)信息安全建設(shè)進(jìn)行有效決策，數(shù)據(jù)挖掘是最好的方法。

數(shù)據(jù)挖掘又稱數(shù)據(jù)發(fā)掘、數(shù)據(jù)開采，數(shù)據(jù)挖掘就是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的實(shí)際應(yīng)用數(shù)據(jù)中，提取隱含在其中、人們事先不知道的、但又潛在有用的信息和知識(shí)的過程。數(shù)據(jù)挖掘主要由數(shù)據(jù)準(zhǔn)備階段、數(shù)據(jù)挖掘階段、結(jié)果和意思表達(dá)階段組成。

“2358”安全評(píng)估方法由5個(gè)階段組成，與數(shù)據(jù)挖掘的3個(gè)階段有很高的相似程度：

（1） 評(píng)估準(zhǔn)備階段、評(píng)估實(shí)施階段。評(píng)估準(zhǔn)備階段、評(píng)估實(shí)施階段主要按安全評(píng)估方法去收集被評(píng)估系統(tǒng)數(shù)據(jù)。這些數(shù)據(jù)具有一定聯(lián)系，可從某些層面切實(shí)反映出安全建設(shè)狀況，可將這些數(shù)據(jù)整理之后作為干凈的數(shù)據(jù)集為數(shù)據(jù)挖掘提供原材料。

（2） 評(píng)估總結(jié)階段。評(píng)估總結(jié)階段主要分析收集到的數(shù)據(jù)，找出被評(píng)估系統(tǒng)的脆弱性。該階段是一個(gè)典型的數(shù)據(jù)分析過程，可用數(shù)據(jù)挖掘中的方法對(duì)數(shù)據(jù)集進(jìn)行分析。

圖1 山西移動(dòng)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估流程（現(xiàn)網(wǎng)業(yè)務(wù)）

圖2 山西移動(dòng)互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)信息安全評(píng)估流程（新上線業(yè)務(wù)）

（3） 評(píng)估整改復(fù)核階段、評(píng)估報(bào)備階段。評(píng)估報(bào)備階段主要將差評(píng)估總結(jié)階段與評(píng)估整改復(fù)核階段的成果，轉(zhuǎn)化為評(píng)估報(bào)告，該階段與數(shù)據(jù)挖掘中的意思和表達(dá)階段完全一致，是對(duì)分析成果書面化的過程。

從數(shù)據(jù)挖掘作用和步驟可看出，安全評(píng)估工作中運(yùn)用數(shù)據(jù)挖掘技術(shù)不存在障礙，并且可以預(yù)計(jì)在安全評(píng)估工作中運(yùn)用數(shù)據(jù)挖掘技術(shù)會(huì)達(dá)到很好的效果。

3 全流程安全評(píng)估管理及系統(tǒng)建設(shè)

將數(shù)據(jù)挖掘技術(shù)應(yīng)用于安全評(píng)估工作中，制定一個(gè)標(biāo)準(zhǔn)化安全評(píng)估流程，并在此基礎(chǔ)上開發(fā)一個(gè)安全評(píng)估管理平臺(tái)。

3.1 評(píng)估流程標(biāo)準(zhǔn)化

標(biāo)準(zhǔn)化評(píng)估流程以“2358”安全評(píng)估方法為依托，將方法中的具體細(xì)節(jié)進(jìn)行落地。按產(chǎn)品上線前與上線后不同時(shí)間段的劃分，標(biāo)準(zhǔn)化評(píng)估分為圖1、2兩種流程：

3.2 安全評(píng)估管理平臺(tái)設(shè)計(jì)

結(jié)合數(shù)據(jù)挖掘系統(tǒng)典型原型與實(shí)際需求設(shè)計(jì)的安全評(píng)估管理平臺(tái)流程如圖3所示。

參考數(shù)據(jù)挖掘系統(tǒng)原型，建立一個(gè)基于數(shù)據(jù)挖掘的安全評(píng)估管理平臺(tái)。該平臺(tái)以數(shù)據(jù)挖掘?yàn)楹诵模泄δ芫鶉@數(shù)據(jù)挖掘進(jìn)行。平臺(tái)主要包括評(píng)估管理系統(tǒng)和數(shù)據(jù)中心兩大部分。評(píng)估管理系統(tǒng)主要實(shí)現(xiàn)收集干凈的數(shù)據(jù)，對(duì)評(píng)估項(xiàng)目進(jìn)行管理，在系統(tǒng)中固化的“2358”安全評(píng)估方法，以標(biāo)準(zhǔn)的方法進(jìn)行安全評(píng)估。數(shù)據(jù)中心還可以得出分析報(bào)告，用來進(jìn)行結(jié)果和意思表達(dá)，起到了輔助管理人員進(jìn)行決策的作用。

圖3 安全評(píng)估管理平臺(tái)流程示意圖

從功能上，平臺(tái)主要分為3個(gè)部分：

（1） 評(píng)估項(xiàng)目管理系統(tǒng)，用于對(duì)評(píng)估項(xiàng)目進(jìn)行管理。評(píng)估小組可對(duì)項(xiàng)目準(zhǔn)備階段項(xiàng)目進(jìn)行管理。評(píng)估準(zhǔn)備活動(dòng)用來確定評(píng)估對(duì)象并對(duì)評(píng)估人員進(jìn)行分工。評(píng)估方案編制用來根據(jù)評(píng)估對(duì)象與分工自動(dòng)生成評(píng)估方案?，F(xiàn)場評(píng)估用于將評(píng)估方案同步入現(xiàn)場評(píng)估工具。評(píng)估報(bào)告編制用于將評(píng)估結(jié)果導(dǎo)入評(píng)估項(xiàng)目管理系統(tǒng)，系統(tǒng)自動(dòng)生成評(píng)估報(bào)告。系統(tǒng)主要負(fù)責(zé)數(shù)據(jù)的選擇和預(yù)處理，并能夠用差別分析方法得到評(píng)估報(bào)告。

（2） 現(xiàn)場評(píng)估工具，用于指導(dǎo)評(píng)估人員進(jìn)行評(píng)估?，F(xiàn)場評(píng)估工具同步入評(píng)估方案后，評(píng)估人按照評(píng)估方案中的步驟進(jìn)程評(píng)估，將評(píng)估結(jié)果添入現(xiàn)場評(píng)估工具。現(xiàn)場評(píng)估完畢后將現(xiàn)場評(píng)估結(jié)果同步入評(píng)估項(xiàng)目管理系統(tǒng)?，F(xiàn)場評(píng)估工具主要負(fù)責(zé)數(shù)據(jù)的收集。

（3） 數(shù)據(jù)中心，用于對(duì)評(píng)估數(shù)據(jù)的審核、歸檔、查看、分析。評(píng)估項(xiàng)目管理系統(tǒng)將評(píng)估數(shù)據(jù)同步入數(shù)據(jù)中心由管理員進(jìn)行審核歸檔，歸檔后的數(shù)據(jù)可以進(jìn)行態(tài)勢分析和分析對(duì)比。態(tài)勢分析用于對(duì)特定的被測部門一個(gè)時(shí)間段內(nèi)的安全狀況進(jìn)行態(tài)勢評(píng)估，態(tài)勢評(píng)估之后可得到相應(yīng)的建議。對(duì)比分析用于將對(duì)比兩個(gè)或以上的被評(píng)估部門的安全狀態(tài)，對(duì)比之后可得到相應(yīng)的報(bào)告和建議。態(tài)勢分析和對(duì)比分析可以作為參考輔助管理員進(jìn)行決策。

4 結(jié)束語

上文中提出的標(biāo)準(zhǔn)化評(píng)估流程與安全評(píng)估管理平臺(tái)，是以數(shù)據(jù)挖掘?yàn)楹诵牡陌踩u(píng)估工作全流程管理。成功解決了評(píng)估數(shù)據(jù)只是以評(píng)估報(bào)告的形式存在，不能從中提取有價(jià)值信息，更無法輔助信息安全管理人員對(duì)信息安全建設(shè)進(jìn)行決策的問題。通過項(xiàng)目管理系統(tǒng)中的自動(dòng)生成評(píng)估方案功能，有效的提高了評(píng)估效率，解決了評(píng)估效率低下的問題；通過生成標(biāo)準(zhǔn)的評(píng)估流程，有效的規(guī)范了評(píng)估流程，解決了如何防止人為因素干擾評(píng)估結(jié)果的問題；通過現(xiàn)場評(píng)估工具、項(xiàng)目管理系統(tǒng)、數(shù)據(jù)中心三者之間數(shù)據(jù)的同步，有效的解決了數(shù)據(jù)泄露的問題。

Safety assessment and management of data mining

CHENG Gui-ping, WANG Fei
(China Mobile Group Shanxi Co., Ltd., Taiyuan 030032, China)

To address the problem of disunity between standardization for the security assessment procedure and result, this paper puts forwards a security assessment management method based on data mining. Based on the practice in business projects such as the wireless city, this paper summarizes the "2358 security assessment method", establishes an information security assessment system that covers the full lifecycle of the business planning period, business construction period, and business operation period, and achieves the unity between the service procedure and security procedure.

security assessment standardization; data mining; data management

TN918

A

1008-5599（2013）12-0011-04

2013-11-22