◆戚 犇 郭 靖

（中國(guó)人民公安大學(xué) 北京 100038）

信息安全等級(jí)保護(hù)中的態(tài)勢(shì)感知

◆戚 犇 郭 靖

（中國(guó)人民公安大學(xué) 北京 100038）

近年來(lái)，隨著我國(guó)科學(xué)技術(shù)水平的飛速發(fā)展，互聯(lián)網(wǎng)、專網(wǎng)、大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等給我國(guó)的網(wǎng)絡(luò)社會(huì)增添了很多活力。但是網(wǎng)絡(luò)安全問(wèn)題也日趨嚴(yán)重。一方面是不法分子可利用的網(wǎng)絡(luò)漏洞越來(lái)越多，網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)色情、網(wǎng)絡(luò)賭博等問(wèn)題變得越來(lái)越猖獗；另一方面，網(wǎng)絡(luò)上的大國(guó)博弈也越來(lái)越普遍，網(wǎng)絡(luò)變成了國(guó)家政治角力的競(jìng)技場(chǎng)。態(tài)勢(shì)感知技術(shù)是等級(jí)保護(hù)工作中的一把利劍。在等級(jí)保護(hù)中起到重要作用。

信息安全等級(jí)保護(hù)；態(tài)勢(shì)感知；算法

0 前言

信息安全等級(jí)保護(hù)制度與網(wǎng)絡(luò)生活息息相關(guān)，它維護(hù)了網(wǎng)絡(luò)生活的秩序，但是網(wǎng)絡(luò)上的不法現(xiàn)象仍十分嚴(yán)重。因此，在智能化、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算出現(xiàn)的關(guān)鍵節(jié)點(diǎn)上，需要找到新技術(shù)、新方法、新思路彌補(bǔ)之前網(wǎng)絡(luò)安全保護(hù)工作的不足。

1 信息安全等級(jí)保護(hù)

1.1 等級(jí)保護(hù)的概念、目標(biāo)

信息安全等級(jí)保護(hù)制度，主要是對(duì)我國(guó)關(guān)鍵基礎(chǔ)設(shè)施和重要行業(yè)信息系統(tǒng)的安全保護(hù)。等級(jí)保護(hù)的戰(zhàn)略目標(biāo)是通過(guò)對(duì)重要關(guān)鍵基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)、云平臺(tái)、工控系統(tǒng)的保護(hù)，提高網(wǎng)絡(luò)安全在主動(dòng)防御、監(jiān)測(cè)發(fā)現(xiàn)、通報(bào)預(yù)警、快速處置、情報(bào)信息、監(jiān)督管理和態(tài)勢(shì)感知方面的能力。信息安全等級(jí)保護(hù)體系將全國(guó)的信息系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施分成5個(gè)安全保護(hù)等級(jí)，重要性逐級(jí)增加，以此來(lái)對(duì)其進(jìn)行監(jiān)管和保護(hù)。其中二級(jí)及二級(jí)以上的信息系統(tǒng)需要在公安系統(tǒng)進(jìn)行備案，并在有關(guān)部分的監(jiān)管指導(dǎo)下進(jìn)行定級(jí)、備案、建設(shè)、測(cè)評(píng)、檢查[1]。由此來(lái)防護(hù)網(wǎng)絡(luò)安全問(wèn)題并進(jìn)行應(yīng)急響應(yīng)。

1.2 等級(jí)保護(hù)的重要環(huán)節(jié)和技術(shù)

等級(jí)保護(hù)的主要環(huán)節(jié)就是定級(jí)、備案、安全建設(shè)、安全測(cè)評(píng)和安全檢查。

一是定級(jí)。信息系統(tǒng)所屬的單位按照《信息安全等級(jí)保護(hù)管理辦法》和《信息安全等級(jí)保護(hù)指南》初步給系統(tǒng)定級(jí)。運(yùn)營(yíng)單位提出信息系統(tǒng)所屬等級(jí)以后交由專家進(jìn)行評(píng)審，評(píng)審結(jié)果產(chǎn)生后，交由公安機(jī)關(guān)進(jìn)行審核保護(hù)。

二是備案。公安機(jī)關(guān)對(duì)二級(jí)及二級(jí)以上的信息系統(tǒng)進(jìn)行審核和備案，并根據(jù)《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》發(fā)放相應(yīng)的證明。

三是安全建設(shè)整改工作。被要求整改的部門要從本單位的安全需求作為出發(fā)點(diǎn)和落腳點(diǎn)，按照等級(jí)保護(hù)安全建設(shè)的相關(guān)要求對(duì)建設(shè)整改工作進(jìn)行設(shè)計(jì)、規(guī)劃、實(shí)施。

四是安全測(cè)評(píng)和安全檢查。安全測(cè)評(píng)可以發(fā)現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)中存在的問(wèn)題，可以提高相應(yīng)的保護(hù)能力。公安機(jī)關(guān)對(duì)需要監(jiān)管的信息系統(tǒng)的安全進(jìn)行檢查。

為了達(dá)到測(cè)評(píng)、整改、建設(shè)的要求，根據(jù)《信息安全等級(jí)保護(hù)基本要求》的規(guī)定，針對(duì)不同的信息系統(tǒng)提出了相應(yīng)的要求。要求包括技術(shù)要求和管理要求兩大類，管理要求包括對(duì)整改單位的組織建設(shè)、能力建設(shè)、教育培訓(xùn)等。技術(shù)要求包括對(duì)訪問(wèn)限制、身份驗(yàn)證、入侵檢測(cè)等。

1.3 網(wǎng)絡(luò)安全綜合防御體系

網(wǎng)絡(luò)安全綜合防御體系是在信息安全等級(jí)保護(hù)之上進(jìn)行的安全管理、評(píng)估、安全建設(shè)、安全風(fēng)險(xiǎn)體系建設(shè)。其中，安全風(fēng)險(xiǎn)體系主要作用是進(jìn)行風(fēng)險(xiǎn)規(guī)避。信息系統(tǒng)運(yùn)行過(guò)程中存在諸多的風(fēng)險(xiǎn)，包括信息系統(tǒng)敏感信息的泄露，有組織、有目的的網(wǎng)絡(luò)攻擊以及測(cè)評(píng)工作產(chǎn)生的風(fēng)險(xiǎn)問(wèn)題，安全風(fēng)險(xiǎn)體系負(fù)責(zé)將局域網(wǎng)或者信息系統(tǒng)發(fā)生危害時(shí)控制在可控范圍。安全管理體系主要是通過(guò)管理，明確領(lǐng)導(dǎo)機(jī)構(gòu)和責(zé)任部門按照相關(guān)規(guī)定進(jìn)行管理。

2 態(tài)勢(shì)感知技術(shù)

2.1 態(tài)勢(shì)感知的概述

態(tài)勢(shì)感知（Situation Awareness）是近年討論的熱門話題。主要是經(jīng)過(guò)數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)以及統(tǒng)計(jì)學(xué)的知識(shí)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)狀態(tài)的提取、分析及預(yù)測(cè)，及時(shí)遏止網(wǎng)絡(luò)安全事件的發(fā)生，提高網(wǎng)絡(luò)空間的通報(bào)預(yù)警能力、安全監(jiān)控能力、可視化技術(shù)，提高整個(gè)網(wǎng)絡(luò)的防御體系。同時(shí)態(tài)勢(shì)感知也為等級(jí)保護(hù)中的建設(shè)、測(cè)評(píng)提供重要的依據(jù)。

態(tài)勢(shì)感知的技術(shù)源于航天事業(yè)的研究，后來(lái)在軍事、交通、醫(yī)學(xué)、經(jīng)濟(jì)方面都發(fā)揮了重要的作用。Endsley認(rèn)為態(tài)勢(shì)感知是“一定時(shí)空條件下，對(duì)環(huán)境因素的獲取、理解以及對(duì)未來(lái)狀態(tài)的預(yù)測(cè)”[2]。態(tài)勢(shì)感知的模型如圖1所示。

圖1 態(tài)勢(shì)感知模型圖[2]

由圖1可以直觀的知道態(tài)勢(shì)感知的三個(gè)方面，首先從大規(guī)模的多源異構(gòu)的網(wǎng)絡(luò)中將態(tài)勢(shì)因子提取出來(lái)。態(tài)勢(shì)因子，就是可以代表網(wǎng)絡(luò)狀態(tài)的因子，例如，網(wǎng)絡(luò)流量日志、系統(tǒng)硬件數(shù)據(jù)、入侵檢測(cè)數(shù)據(jù)等。態(tài)勢(shì)感知需要人的主體性認(rèn)識(shí)，涉及到一個(gè)人對(duì)客觀態(tài)勢(shì)的分析。

2.2 國(guó)外態(tài)勢(shì)感知的研究

圖2 NSSA模型結(jié)構(gòu)圖

1988年，M.R.Endsley在設(shè)計(jì)飛機(jī)系統(tǒng)時(shí)，在他的論文里對(duì)感知進(jìn)入進(jìn)行了描述。后來(lái)，Endsley又提出了動(dòng)態(tài)系統(tǒng)態(tài)勢(shì)感知理論，將人類決策的理論融入到態(tài)勢(shì)感知的模型中[3]。在動(dòng)態(tài)的系統(tǒng)感知中，決策是跨越一定的空間和時(shí)間并且向上凝聚的一個(gè)過(guò)程，并且與網(wǎng)絡(luò)環(huán)境息息相關(guān)。圖2是NSSA模型結(jié)構(gòu)圖。

2.3 態(tài)勢(shì)感知關(guān)鍵技術(shù)

2.3.1 態(tài)勢(shì)評(píng)估

態(tài)勢(shì)感知中態(tài)勢(shì)評(píng)估為網(wǎng)絡(luò)安全的態(tài)勢(shì)決策和態(tài)勢(shì)預(yù)測(cè)提供數(shù)據(jù)支持、安全模式識(shí)別、降低安全風(fēng)險(xiǎn)。由NSSA模型，可以將態(tài)勢(shì)感知分成三個(gè)部分。一是資產(chǎn)識(shí)別，資產(chǎn)識(shí)別是態(tài)勢(shì)評(píng)估的首要問(wèn)題。所以我們首先要關(guān)注對(duì)資產(chǎn)安全的保護(hù)。資產(chǎn)識(shí)別主要識(shí)別的是網(wǎng)絡(luò)主機(jī)上的信息。包括兩個(gè)部分：資產(chǎn)賦值和資產(chǎn)自動(dòng)識(shí)別。資產(chǎn)自動(dòng)識(shí)別包括軟件資產(chǎn)和硬件資產(chǎn)的識(shí)別。二是脆弱性評(píng)估。首先要進(jìn)行脆弱性識(shí)別。脆弱性識(shí)別是對(duì)系統(tǒng)中的系統(tǒng)的信息、漏洞補(bǔ)丁、安全軟件等進(jìn)行掃描，查出哪些端口有漏洞等。展示出系統(tǒng)最容易遭受攻擊的地方，然后針對(duì)系統(tǒng)的脆弱性進(jìn)行評(píng)估。三是威脅檢測(cè)。威脅檢測(cè)是對(duì)系統(tǒng)的內(nèi)容進(jìn)行檢測(cè)。通過(guò)對(duì)系統(tǒng)日志、應(yīng)用程序行為的檢測(cè)，判斷系統(tǒng)是否處于危險(xiǎn)之中。威脅檢測(cè)能夠保障系統(tǒng)的安全，在出故障之前檢測(cè)出系統(tǒng)的漏洞。

因此可以通過(guò)對(duì)資產(chǎn)評(píng)估、脆弱性評(píng)估以及威脅評(píng)估來(lái)評(píng)估系統(tǒng)的安全狀態(tài)。

2.3.2 態(tài)勢(shì)預(yù)測(cè)

態(tài)勢(shì)預(yù)測(cè)主要是基于數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘融合了人工智能、統(tǒng)計(jì)學(xué)、機(jī)器學(xué)習(xí)等關(guān)鍵技術(shù)，在安全態(tài)勢(shì)的理解與預(yù)測(cè)中發(fā)揮了重要作用[4]。在態(tài)勢(shì)感知的模型構(gòu)建中，常常利用分類分析中的支持向量機(jī)算法、神經(jīng)網(wǎng)絡(luò)算法、貝葉斯算法對(duì)態(tài)勢(shì)預(yù)測(cè)和感知。

2.4 態(tài)勢(shì)感知模型

2.4.1 支持向量機(jī)模型

支持向量機(jī)算法是知名的十大算法之一，是基于統(tǒng)計(jì)學(xué)理論和VC維理論的機(jī)器學(xué)習(xí)算法。在一個(gè)平面的空間內(nèi)，將兩類點(diǎn)分離開(kāi)來(lái)，我們首先需要在這兩類點(diǎn)中畫一條線，使得這兩類各居一邊，也就是在樣本空間內(nèi)找到一個(gè)劃分的超平面，將樣本分開(kāi)。如何找到這個(gè)超平面，就是我們需要考慮的問(wèn)題。通過(guò)將平面上的劃分方法進(jìn)行映射，得到多維平面上支持向量機(jī)的劃分方法。平面上劃分超平面的線性方程為：。在多維平面上的支持向量機(jī)公式為[5]：

通過(guò)這種算法我們將復(fù)雜多變的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)換成維度空間的點(diǎn)然后利用支持向量機(jī)模型進(jìn)行分類。

2.4.2 貝葉斯網(wǎng)絡(luò)模型

貝葉斯網(wǎng)絡(luò)是貝葉斯公式的一種延伸，在統(tǒng)計(jì)學(xué)上經(jīng)常用到。簡(jiǎn)單來(lái)說(shuō)，就是通過(guò)條件概率進(jìn)行分類。貝葉斯公式[6]：

貝葉斯公式常用到兩種概率：先驗(yàn)概率和后驗(yàn)概率。

貝葉斯網(wǎng)絡(luò)是將各個(gè)事件之間的關(guān)系形成一個(gè)有向無(wú)環(huán)圖。通過(guò)有向無(wú)環(huán)圖的各個(gè)節(jié)點(diǎn)之間條件概率的獨(dú)立性和節(jié)點(diǎn)之間的依賴關(guān)系，通過(guò)復(fù)雜父節(jié)點(diǎn)的先驗(yàn)概率得出變量的分類。也就是說(shuō)，通過(guò)判別網(wǎng)絡(luò)態(tài)勢(shì)因子的條件概率以及他們之間的依賴關(guān)系來(lái)評(píng)估網(wǎng)絡(luò)態(tài)勢(shì)。

3 綜合安全防御體系下的態(tài)勢(shì)感知

綜合安全防御體系是以等級(jí)保護(hù)的工作為抓手，目的是加強(qiáng)行業(yè)管理和技術(shù)防范，提高網(wǎng)絡(luò)安全保障能力。下圖是等級(jí)保護(hù)綜合防御體系。

圖3 等級(jí)保護(hù)綜合防御體系圖[1]

圖中，跟信息安全等級(jí)保護(hù)相配套的技術(shù)措施包括應(yīng)急處理、能力建設(shè)、技術(shù)檢測(cè)、安全可控等。態(tài)勢(shì)感知是這類技術(shù)得以實(shí)現(xiàn)的重要基礎(chǔ)。態(tài)勢(shì)感知為系統(tǒng)的評(píng)估、預(yù)警、處置、防御提供了可靠的依據(jù)，讓網(wǎng)絡(luò)安全的被動(dòng)防御變?yōu)榱酥鲃?dòng)防御，提高了網(wǎng)絡(luò)安全。保障了國(guó)家關(guān)鍵基礎(chǔ)設(shè)施。

4 總結(jié)

等級(jí)保護(hù)是態(tài)勢(shì)感知的重要基礎(chǔ)，態(tài)勢(shì)感知對(duì)等級(jí)保護(hù)工作起到了重要的支撐作用。通過(guò)對(duì)系統(tǒng)、程序、終端等行為的實(shí)時(shí)監(jiān)測(cè)得到有關(guān)網(wǎng)絡(luò)的流量、日志、事件的信息，利用基于行為和內(nèi)容的檢測(cè)方法，對(duì)網(wǎng)絡(luò)、系統(tǒng)的狀態(tài)進(jìn)行評(píng)估和預(yù)警。這將對(duì)網(wǎng)絡(luò)安全保障工作中的研判、偵察、追蹤溯源、情報(bào)等提供重要依據(jù)，有利于整體網(wǎng)絡(luò)狀態(tài)的穩(wěn)定，提高了快速處置的能力。因此，態(tài)勢(shì)感知技術(shù)將在我國(guó)的等級(jí)保護(hù)體系中持續(xù)發(fā)揮重要作用。

[1]公安部信息安全等級(jí)保護(hù)評(píng)估中心.信息安全等級(jí)保護(hù)政策培訓(xùn)教程[M].電子工業(yè)出版社，2010.

[2]王慧強(qiáng)，賴積保，朱亮.網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)研究綜述[J].計(jì)算機(jī)科學(xué)，2006.

[3]陳娜.網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系及關(guān)鍵技術(shù)研究[J].自動(dòng)化與儀器儀表，2015.

[4]李碩，戴欣，周渝霞.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究進(jìn)展[J].計(jì)算機(jī)應(yīng)用研究，2010.

[5]謝錦彪.內(nèi)網(wǎng)安全態(tài)勢(shì)感知技術(shù)的研究與實(shí)現(xiàn)[D].廣東工業(yè)大學(xué)，2015.

[6]李艷美.基于貝葉斯網(wǎng)絡(luò)的數(shù)據(jù)挖掘應(yīng)用研究[D].西安電子科技大學(xué)，2008.