信息安全態勢分析

劉 曄，郭金根

（浙江省電力公司，杭州 310007）

1 概述

信息系統是我國國民經濟的重要組成部分，信息系統、信息資產安全風險管理已成為企業、機構信息化建設的一個重要環節。目前具有代表性的風險評估方法中，NIST SP800系列的SP 800－30《信息技術系統的風險管理指南》（Risk Management Guide for Information Technology Systems）提出了具有高可操作性的分析流程和方法，其中，BS7799從管理和技術兩方面建立了一整套信息安全評估體系，GMITS（ISO 13335）則提出了以相乘法和矩陣法計算風險值。

風險分析依據對風險值的計算，有定量分析和定性分析兩種方式，較多采用的是定性與定量相結合的方法。但是風險的量化非常復雜，風險的來源、表現形式、造成的后果、出現的概率千差萬別，需要精細考慮并建立數學模型。一般而言，這些被量化或被定性的風險是已存在或已發生的安全狀況，而對企業真正有價值的應是未來將要發生的。

BS7799標準提供了基于PDCA（Plan，Do，Check，Act，即通常所說的戴明環）的持續改進的管理模型，是持續跟蹤與改善不斷循環的過程，其缺點是容易形成被動防范，可能導致企業不斷亡羊補牢的局面。信息安全風險態勢分析則可以準確有效地預測未來的信息安全風險，在戰略性決策時提供建設性意見，并對信息安全系統進行前瞻性建設，使風險評估變被動為主動。

2 態勢分析及相關概念

2.1 信息資產

根據ISO 027001對信息資產的描述和定義，信息資產應包含：服務（Service）、 數據（Data）、 軟件（Software）、 硬件（Hardware）、 文檔（Document）、設備（Facility）、 人員（HR）及其他（Other）。

2.2 態勢感知

信息安全風險分析就是對信息資產最終的風險狀況與該資產的價值、現存的弱點、現有的安全措施、面對的威脅、威脅發生的概率及風險發生的可能性以及預計產生的后果等因素所構成的整個信息安全現狀和變化趨勢的態勢分析。通過建立描述信息安全態勢的分析管理體系,就可以對當前信息安全狀況有直觀全面的了解,從而為實現主動安全防御打下良好的基礎。值得注意的是,態勢是一種趨勢,是一個整體和全局的概念,任何單一的情況或狀態都不能稱之為態勢。信息安全態勢感知就是對會引起信息安全態勢變化的安全要素進行獲取、理解、顯示并預測未來的發展趨勢。

態勢感知包括態勢元素提取、當前態勢分析和未來態勢預測，主要涵蓋以下幾個方面∶

（1）在一定的環境下,提取進行態勢估計要考慮的各種要素，為態勢推理做好準備。

（2）分析并確定事件發生的深層次原因，給出對所監控的信息安全當前態勢的理解或綜合評價。

（3）已知T時刻發生的事件，預測T+1，T+2,…，T+n時刻可能發生的事件，進而確定信息安全態勢的發展趨勢。

3 宏觀態勢分析在信息安全管理中的應用

目前的態勢分析研究更多的集中于微觀技術層面。為了對宏觀信息安全態勢進行有效評估和預測，可以結合信息安全自身的特征，從信息安全的脆弱、容災、威脅、穩定4個方面定量描述信息安全各部分的特征。

考慮企業未來信息安全發展方向，宏觀態勢分析必須包含：

（1）企業的核心使命和核心資產。企業信息安全管理的目的是為了更好地促進企業使命的達成，因此進行態勢分析時必須考慮企業未來3～5年核心使命的變遷以及核心資產的進化情況。舉例來說，宏觀態勢分析需要確認企業的核心業務是否會發生轉移，以往分布式的結構是否會大集中，業務區域是否會整合或細分，企業的核心資產是否會隨著時間而折舊等。

（2）信息安全大環境的發展趨勢。信息安全發展的大環境對于信息安全管理有著深遠的影響。如Windows7出現后，針對主機層面的安全事件明顯有所減少，常規性的病毒、蠕蟲爆發等有逐漸降低的趨勢；mobile設備則因其在安全控制上的缺失帶來了另外的安全問題。安全管理需要從自身整體業務、系統和應用出發，信息技術整體發展趨勢、技術采納適用性、過程是引發額外的風險或是抑制風險，這些因素應重點考慮。

（3）社會環境的影響。要考慮重大的自然、政治、經濟等事件對整個信息安全的影響。

（4）法律法規的要求。針對企業信息安全系統管理的法律法規很多，在態勢分析中，需要考慮法律法規的適用性問題，及采用相關標準后對于整個信息體系的影響。

在實際的風險分析過程中，以上因素對于定量和定性評估都有非常重要的指導意義。一般可以采用以下公式表示風險的影響：

Threat（威脅）＝impact×likelihood（影響×可能性）

將上述公式做擴展，邏輯意義上可以將風險表述如下：

Risk（風險）＝asset×vulnerability×threat（資產×脆弱性×威脅）

宏觀因素對于threat（威脅）值幾乎具有決定性的影響，比如說安全趨勢、自然環境和社會環境的變化，會增加或者遏制威脅代理與威脅源的產生；而企業核心使命與基礎建設則直接影響信息資產的價值及其相關的脆弱性，進而影響到威脅實現的可能性。需要在微觀的態勢分析中將各種因素作為知識庫或者規則來參考，以適當的權重調整具體的安全風險細節。

宏觀的態勢分析能夠為企業戰略、戰術性的安全管理提供有效的參考依據，并且能夠對量化的微觀風險態勢分析提供重要的輸入，從而更有針對性地指導企業的信息安全建設工作。

4 微觀態勢分析在信息安全管理中的應用

國內外在微觀態勢分析領域已經取得了長足的進步，其理論研究正逐步與應用相結合。

Endsley的模型把態勢感知分成感知、理解和預測3個層次的信息處理。感知（Perception）即感知和獲取環境中的重要線索或元素，這是態勢感知最基礎的部分。理解（Comprehension）是整合感知到的數據和信息，分析其相關性。預測（Projection）是基于對環境信息的感知和理解，預測未來的發展趨勢，這是態勢感知中最高層次的要求。

在Endsley模型的引導下，態勢分析在實際應用中得到了推廣。其中較為熱門的是美國國防部提出的 JDL（Joint Director of Laboratories）模型，該模型提出了網絡態勢感知總體框架結構，主要包括多源異構數據采集、數據預處理、事件關聯和目標識別、態勢評估、威脅評估、響應與預警、態勢可視化顯示以及過程優化控制與管理等功能模塊。JDL模型是一種通用的數據融合模型，應用于信息安全管理時可以將其實體化。圖1就是JDL模型在一個信息安全事件分析過程中的應用。

圖1 JDL模型的應用

如圖1所示，首先通過感知環境收集信息資產，然后進行初步過濾，去掉噪音數據，并且針對非結構化或半結構化等數據進行修正。排列是將所有衡量機制置于一個公共的同一時空參考系，建立統一的信息安全數據庫。關聯是將新的風險測量機制與所有已知目標的預報狀態相聯系，從而確定每個測量機制是否可以用于對已知記錄的更新。跟蹤是指任何目標的數據序列用于開發一個動態目標模型，通過與各種新感應數據的關聯、動態行為模式的修正，可以預測目標在未來進程空間范圍內的狀態。識別是對指定目標的所有關聯數據執行自動的目標識別，并且將目標分派到一個或者多個特定類型中。2級和3級處理是指在考慮整個場景模式以及應用環境的前提下（地域、目標混雜與時空交錯），用通用的術語和方法（威脅、脆弱性等）給出當前安全風險的真實態勢。

目前，微觀態勢分析技術已經被一些SOC（Security Operations Center，信息安全管理平臺）產品所采用，圖2就是將態勢感知相關技術應用于信息安全監測分析的一個實例。

圖2 信息安全的微觀態勢分析

微觀態勢分析應用一般以資產為核心，以安全事件管理為關鍵流程，采用安全域劃分，建立一套實時的資產風險模型，和協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統。能夠從理論化的模型保證日常運維安全管理的需求，提供數小時至幾周內的安全態勢分析展示。

5 專家系統在態勢分析中的應用

圖3是簡化后的元素關系圖，綜合了多個要素，構成態勢分析的基本單元，一般情況下可采用貝葉斯算法進行分析。貝葉斯算法通過統計學研究來進行概率推論，核心思想是根據已發生的事件來測算將來可能發生的事件，目前已成功應用于垃圾郵件的判別，但是作為決策邏輯，其在可能性概念的解析上有著更為廣泛的應用。

貝葉斯算法有一定的局限性，雖然判斷獨立或單個事件可能性的準確性很高，但對具有海量數據的復雜信息系統進行安全態勢分析時，單純依靠貝葉斯算法則會變得過于復雜而無法處理。在這種情況下，確信因子（Cerntainy Factors,CF）理論可以作為很好的替代。CF理論來源于早期基于規則的專家系統。該理論考察一個介于1與-1的值，用以度量專家的確信程度。如果H是假設，E是證據，cf是一個規則的確信因子，那么：

圖3 態勢分析元素關系圖

CF（H， E）＝CF（E）×cf

可以假定場景、給定的信息系統的核心使命、資產、相關邏輯聯系等因素，查找與核心使命相關的資產以及服務、資產對應的脆弱性、可利用該脆弱性的威脅、相關的安全事件和告警、與該安全事件相關的各種環境因素影響、針對上述獲取的各個元素進行迭代查找，最終形成總體風險證據。

邏輯實現實際上就是針對態勢分析過程中的各元素進行不同屬性的賦值、分類，并利用CF理論進行計算的一個過程。這個計算過程是專家判斷過程，因此需要有一個知識庫，提供一些基本的規則和IF-THEN的表述。舉例來說：“IF威脅增加，THEN脆弱性被利用的可能性增高”。

雖然可以簡單地用數學表達式來實現，但是這些假定在真正實施的時候，應該采用模糊邏輯，這樣才能更好地處理定性知識，提高判斷結果的“可信等級”，使分析結果更加準確。

6 結語

企業信息安全管理工作的核心是安全風險管理，但目前無論采用靜態分析方法還是微觀技術理論，為企業做出安全管理決策都有不足之處。而在微觀態勢分析中融入宏觀態勢分析則能更有效、更準確地預測信息安全風險，可以作為感性模式應用在企業的日常信息安全管理中，同時也可以作為一種模型應用于安全管理與安全監控類產品或服務中。盡管宏觀還是微觀態勢分析都有很大的不確定性，但是通過先進的專家系統和模糊邏輯運算能夠達到最大限度的統計學正確性，這是企業信息化管理非常關鍵的參考數據和決策依據，同時能極大地提高安全管理水平和工作效率，提高信息安全事件響應的及時性和準確性。

[1]張耀疆.《BS7799 標準全面解析（新版）》[M].上海：上海安信信息技術有限公司.

[2]王志強，李建剛，顏立，等.基于ISO/IEC 27001標準的信息安全管理體系建設[J].浙江電力，2008，27（4）：47-49.

[3]SHON HARRIS.《CISSP認證考試全面指南(CISSP Certification All-in-One Exam Guide）》第 4 版[M].北京：清華大學出版社.