基于ISCM策略的自動(dòng)化安全控制評(píng)估方法

王秉政，許玉娜

（中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院，北京100007）

1 引言

自動(dòng)化網(wǎng)絡(luò)攻擊技術(shù)飛速發(fā)展，使得信息系統(tǒng)面臨的網(wǎng)絡(luò)攻擊與日俱增，系統(tǒng)的安全缺陷很快就會(huì)被攻擊者挖掘并利用。大多數(shù)組織會(huì)采取必要的手動(dòng)缺陷檢測(cè)和評(píng)估措施，包括安全控制評(píng)估技術(shù)和系統(tǒng)安全信息分析技術(shù)。然而，面對(duì)攻擊者利用大量的安全缺陷快速實(shí)施網(wǎng)絡(luò)攻擊的現(xiàn)狀，手動(dòng)檢測(cè)評(píng)估時(shí)間和資本投入高，并很難取得預(yù)期的評(píng)估效果。

近年來，美國(guó)NIST發(fā)布了NISTIR 8011系列研究報(bào)告，卷1《安全控制評(píng)估自動(dòng)化支撐》提出了一個(gè)可操作的安全控制措施自動(dòng)化評(píng)估通用方法，卷2、卷3和卷4分別就硬件資產(chǎn)、軟件資產(chǎn)、軟件漏洞等安全管理的自動(dòng)化評(píng)估給出了實(shí)現(xiàn)案例。系列研究報(bào)告最終由13卷組成，其他卷將分別對(duì)安全配置、信任、邊界、事件等管理能力進(jìn)行自動(dòng)化評(píng)估方案描述。

2 安全風(fēng)險(xiǎn)管理框架

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）從生命周期的角度定義了風(fēng)險(xiǎn)管理框架（RMF），以信息系統(tǒng)分類為起點(diǎn)，依次經(jīng)過安全控制選擇、安全控制實(shí)施、安全控制評(píng)估、信息系統(tǒng)授權(quán)、安全狀態(tài)監(jiān)控等環(huán)節(jié)，如圖1所示。框架各環(huán)節(jié)實(shí)施過程可參考NISTSP 800相關(guān)標(biāo)準(zhǔn)。風(fēng)險(xiǎn)管理框架提供了將信息安全和風(fēng)險(xiǎn)管理活動(dòng)整合于系統(tǒng)開發(fā)生命周期的結(jié)構(gòu)化流程，持續(xù)監(jiān)控是風(fēng)險(xiǎn)管理流程中的關(guān)鍵部分，通常可在初始評(píng)估和授權(quán)環(huán)節(jié)之后實(shí)施ISCM策略下的自動(dòng)化評(píng)估過程，進(jìn)行系統(tǒng)安全操作和維護(hù)階段的安全控制性能持續(xù)監(jiān)控。

3 ISCM安全策略

信息安全持續(xù)監(jiān)控（ISCM）安全策略通過對(duì)組織的安全威脅和風(fēng)險(xiǎn)進(jìn)行持續(xù)性監(jiān)控，保障系統(tǒng)受到安全威脅而發(fā)生變化時(shí)仍運(yùn)行在可接受的風(fēng)險(xiǎn)范圍內(nèi)，并為其風(fēng)險(xiǎn)管理決策提供支持。ISCM安全策略具體目標(biāo)為：（1）幫助管理員為組織設(shè)定優(yōu)先級(jí)和管理風(fēng)險(xiǎn)；（2）提供相關(guān)指標(biāo)，衡量組織各層級(jí)的安全狀況；（3）監(jiān)控安全控制措施的持續(xù)有效性；（4）驗(yàn)證是否符合信息安全要求，符合組織任務(wù)、職能、法律法規(guī)和標(biāo)準(zhǔn)等；（5）持續(xù)關(guān)注系統(tǒng)運(yùn)行中的安全威脅。

在實(shí)施ISCM策略前，需對(duì)ISCM策略進(jìn)行定義，范圍涵蓋技術(shù)、流程、外部環(huán)境與人為管理等，具體可包括風(fēng)險(xiǎn)管理與評(píng)估、系統(tǒng)工程彈性執(zhí)行、操作動(dòng)態(tài)管理、事件管理、異常檢測(cè)、應(yīng)急響應(yīng)與修復(fù)等。組織運(yùn)營(yíng)者可根據(jù)特定的安全目標(biāo)，自定義ISCM中的安全能力或添加附加功能。

4 自動(dòng)化安全控制評(píng)估流程

自動(dòng)化安全控制評(píng)估通過采集、記錄、分析系統(tǒng)狀態(tài)信息，定位可能的安全控制措施失效風(fēng)險(xiǎn)點(diǎn)，以評(píng)估控制措施實(shí)施的正確性和有效性，具體流程如圖2所示，主要包括八個(gè)步驟：（1）定義安全能力，確立安全目標(biāo)；（2）收集真實(shí)狀態(tài)信息；（3）定義目標(biāo)狀態(tài)規(guī)范信息；（4）真實(shí)和目標(biāo)狀態(tài)信息對(duì)比分析并實(shí)施缺陷檢測(cè)；（5）定義安全評(píng)估計(jì)劃；（6）風(fēng)險(xiǎn)評(píng)估與打分；（7）定義風(fēng)險(xiǎn)評(píng)估結(jié)果；（8）評(píng)估結(jié)果響應(yīng)，如果風(fēng)險(xiǎn)不能被接受，則需要持續(xù)調(diào)整真實(shí)狀態(tài)或目標(biāo)狀態(tài)。

4.1 前期準(zhǔn)備

從手動(dòng)安全控制評(píng)估過渡到自動(dòng)安全控制評(píng)估，需要做好一些準(zhǔn)備工作，用以支持自動(dòng)化運(yùn)行的ISCM數(shù)據(jù)采集系統(tǒng)與可視化信息系統(tǒng)：（1）實(shí)際狀態(tài)與行為信息的數(shù)據(jù)化標(biāo)識(shí)；（2）目標(biāo)狀態(tài)與行為的規(guī)范化數(shù)據(jù)標(biāo)識(shí)，能夠與實(shí)際狀態(tài)信息進(jìn)行比較；（3）定義一種能夠計(jì)算識(shí)別缺陷（目標(biāo)狀態(tài)與實(shí)際狀態(tài)間的差異）的方法；（4）定義一種自動(dòng)化安全評(píng)估報(bào)告模板，以便組織進(jìn)行基于風(fēng)險(xiǎn)的分析決策；（5）設(shè)置缺陷檢查完整性和及時(shí)性的結(jié)構(gòu)性閾值。

圖1 信息安全風(fēng)險(xiǎn)管理框架

完整性和及時(shí)性是評(píng)價(jià)缺陷檢測(cè)效果的兩大因素。完整性表示自動(dòng)化評(píng)估方法能夠?qū)λ锌赡芫哂写巳毕莸谋辉u(píng)估對(duì)象進(jìn)行必要的缺陷檢測(cè)。及時(shí)性表示對(duì)缺陷評(píng)估對(duì)象組合的測(cè)試周期至少與ISCM策略中指定的頻率相同，使得自動(dòng)化評(píng)估系統(tǒng)能在黑客利用系統(tǒng)缺陷前就發(fā)現(xiàn)缺陷并預(yù)留時(shí)間做出響應(yīng)。

4.2 安全能力定義

安全能力是指一組由技術(shù)、物理和過程方法實(shí)現(xiàn)的相互增強(qiáng)的安全控制措施的集合。為便于自動(dòng)化評(píng)估操作，需將系統(tǒng)安全能力架構(gòu)進(jìn)行抽象分層。抽象分層能夠建立跨層級(jí)跨能力的協(xié)同操作，為安全控制措施的選擇和安全能力的重構(gòu)提供指引。

（1）攻擊步驟層。從惡意攻擊視角定義攻擊步驟模型，具體步驟可包括獲取內(nèi)部權(quán)限、發(fā)動(dòng)內(nèi)部攻擊、獲得內(nèi)部據(jù)點(diǎn)、獲取持續(xù)攻擊條件、擴(kuò)大攻擊范圍并提升內(nèi)部權(quán)限級(jí)別、完成攻擊目的等，系統(tǒng)運(yùn)營(yíng)者在特定環(huán)境下可定義或附加其他攻擊步驟

（2）安全能力層。安全能力是一系列相輔相成的安全控制措施的集合，一項(xiàng)安全控制措施可以支持多項(xiàng)安全能力。安全能力與攻擊步驟間能夠構(gòu)建映射關(guān)系，用于追蹤安全能力防范特定攻擊的過程

（3）安全子能力層。安全能力由子能力構(gòu)成，子能力具有唯一確定性，且僅屬于其對(duì)應(yīng)的安全能力。不同的安全能力下可定義相似的子能力。安全子能力的關(guān)鍵在于能夠定義其對(duì)應(yīng)的缺陷檢測(cè)方法，用來檢測(cè)安全目標(biāo)是否實(shí)現(xiàn)，最適合開展自動(dòng)化評(píng)估

（4）控制條目層。安全控制項(xiàng)包含基線級(jí)控制和增強(qiáng)級(jí)控制，均可細(xì)化為多項(xiàng)控制條目，以確保每項(xiàng)控制措施都是獨(dú)立可測(cè)試的，一項(xiàng)控制條目可支持多重安全能力要求

4.3 信息收集

ISCM信息收集系統(tǒng)包含收集器，存儲(chǔ)單元、協(xié)調(diào)中心、分析引擎、報(bào)告生成器與可視化界面。其中，協(xié)調(diào)中心用于協(xié)調(diào)收集器收集時(shí)間和事件驅(qū)動(dòng)數(shù)據(jù)；分析引擎用于查找缺陷并鑒別所需的事件驅(qū)動(dòng)數(shù)據(jù)，協(xié)助通過風(fēng)險(xiǎn)評(píng)分方法進(jìn)行優(yōu)先級(jí)排序和響應(yīng)。

查找缺陷的核心要素是目標(biāo)狀態(tài)的規(guī)范標(biāo)識(shí)，目標(biāo)狀態(tài)是指組織為降低系統(tǒng)安全風(fēng)險(xiǎn)，通過數(shù)值、列表或規(guī)則等定義的機(jī)器可讀的定義值，用與實(shí)際狀態(tài)值進(jìn)行比較，兩個(gè)值不匹配則表示一個(gè)或多個(gè)安全控制的有效性存在缺陷。真實(shí)狀態(tài)數(shù)據(jù)被信息收集器收集，數(shù)據(jù)收集器可以是傳感器、掃描儀、數(shù)字輸入設(shè)備等。

4.4 對(duì)比分析

圖2 自動(dòng)化安全控制評(píng)估流程

對(duì)比分析過程旨在通過計(jì)算真實(shí)狀態(tài)和目標(biāo)狀態(tài)信息的差異進(jìn)行缺陷檢測(cè)。缺陷檢測(cè)通常以安全子能力為單位，基于判定語(yǔ)句對(duì)評(píng)估對(duì)象進(jìn)行自動(dòng)化驗(yàn)證。缺陷檢測(cè)過程中需要進(jìn)行文檔化處理，文檔信息包括缺陷檢測(cè)信息和應(yīng)對(duì)措施，列出缺陷檢測(cè)名稱、評(píng)估標(biāo)準(zhǔn)、子能力名稱及目標(biāo)、評(píng)估標(biāo)準(zhǔn)筆記、選擇該缺陷與否、缺陷響應(yīng)等信息。在完成缺陷檢測(cè)后，應(yīng)當(dāng)基于真實(shí)狀態(tài)和目標(biāo)狀態(tài)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)分、排序和響應(yīng)。

4.5 評(píng)估計(jì)劃制定

制定評(píng)估計(jì)劃是針對(duì)ISCM中每項(xiàng)安全能力設(shè)計(jì)評(píng)估文檔（包含評(píng)估過程和評(píng)估方法），方便組織根據(jù)缺陷檢測(cè)信息定位到被評(píng)估的安全控制措施。評(píng)估計(jì)劃文檔針對(duì)評(píng)估目標(biāo)描述判定語(yǔ)句、評(píng)估方法、缺陷檢測(cè)原理等內(nèi)容。缺陷檢測(cè)原理部分需將缺陷檢測(cè)的評(píng)估標(biāo)準(zhǔn)映射到判定語(yǔ)句的描述中。

4.6 評(píng)估結(jié)果報(bào)告

在評(píng)估過程中，通過恰當(dāng)?shù)膮?shù)設(shè)定，能夠自動(dòng)化獲得評(píng)估結(jié)果文件。其中，調(diào)整的參數(shù)包括評(píng)估范圍、授權(quán)邊界及評(píng)估對(duì)象分類。安全評(píng)估報(bào)告應(yīng)當(dāng)包括詳細(xì)的系統(tǒng)缺陷、責(zé)任方和設(shè)備缺陷的列表，詳細(xì)的缺陷引發(fā)的全局風(fēng)險(xiǎn)列表，組織機(jī)構(gòu)定義的優(yōu)先解決的缺陷，總結(jié)安全能力、防范管理和系統(tǒng)引發(fā)的安全級(jí)別，評(píng)估給定風(fēng)險(xiǎn)水平的后果，以促進(jìn)風(fēng)險(xiǎn)管理決策，投資決策。

4.7 評(píng)估結(jié)果響應(yīng)

評(píng)估結(jié)果響應(yīng)根據(jù)優(yōu)先級(jí)排序?qū)λ鶎侔踩?zé)任團(tuán)隊(duì)發(fā)布缺陷檢測(cè)結(jié)果并實(shí)施補(bǔ)救措施，必要時(shí)需要對(duì)補(bǔ)救措施進(jìn)行重新評(píng)估。缺陷檢測(cè)結(jié)果可能與一個(gè)或多個(gè)控制項(xiàng)失效有關(guān)，可依據(jù)控制項(xiàng)（包含子條目）到安全目標(biāo)的因果邏輯關(guān)系進(jìn)行缺陷定位。定位分析過程信息可用于確定修復(fù)故障控件的優(yōu)先順序，協(xié)助判定控制失效的風(fēng)險(xiǎn)是否在可接受范圍內(nèi)。

定位分析方法有兩種：一是基于安全控制類型分析，從安全控制措施生命周期的角度檢驗(yàn)問題階段，對(duì)于重復(fù)性缺陷問題，可從系統(tǒng)性角度考慮控制項(xiàng)實(shí)施的預(yù)期生命周期，查看是否由早期生命周期的缺陷（即工程缺陷）引發(fā)的問題；二是基于缺陷類型分析，預(yù)測(cè)缺陷對(duì)安全目標(biāo)產(chǎn)生的影響與級(jí)別。

5 應(yīng)用與展望

隨著網(wǎng)絡(luò)架構(gòu)與網(wǎng)絡(luò)環(huán)境日益復(fù)雜化，各國(guó)對(duì)重點(diǎn)領(lǐng)域網(wǎng)絡(luò)安全防護(hù)與實(shí)時(shí)監(jiān)控愈發(fā)重視。我國(guó)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定，國(guó)家采取措施，監(jiān)測(cè)、防御、處置來源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)空間安全和秩序。ISCM策略為系統(tǒng)安全控制評(píng)估提供持續(xù)性信息支撐，成為服務(wù)系統(tǒng)級(jí)安全自動(dòng)化評(píng)估的參考模型，實(shí)施ISCM自動(dòng)化安全評(píng)估工程對(duì)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域安全防護(hù)與實(shí)時(shí)監(jiān)控能力具有重要的現(xiàn)實(shí)意義。

圖3 ISCM信息收集系統(tǒng)

當(dāng)前，安全評(píng)估與監(jiān)控能力的建設(shè)，更多地聚焦在流程化聚合的方式上，各體系間基于知識(shí)的應(yīng)用與交互存在錯(cuò)位和缺失，為更好地彌補(bǔ)安全評(píng)估中的不確定性。未來自動(dòng)化安全評(píng)估與監(jiān)控技術(shù)應(yīng)以安全智能化為方向，著眼于獲取空間級(jí)安全信息、決策、執(zhí)行和成本優(yōu)勢(shì)，積極應(yīng)用大數(shù)據(jù)、人工智能等新技術(shù)成果，構(gòu)建與安全信息感知、分析、決策、處置、防御、各層級(jí)優(yōu)化交互模式，使組織和系統(tǒng)具備更智能的內(nèi)部風(fēng)險(xiǎn)感知、缺陷精準(zhǔn)定位、快速?zèng)Q策響應(yīng)、協(xié)同安全防護(hù)的體系化能力。

6 結(jié)束語(yǔ)

本文以安全能力為切入點(diǎn)，系統(tǒng)地研究了ISCM策略下自動(dòng)化安全控制評(píng)估機(jī)制，對(duì)大規(guī)模網(wǎng)絡(luò)與信息系統(tǒng)的安全監(jiān)控與評(píng)估提供了參考。隨著自動(dòng)化信息處理與安全技術(shù)的飛速發(fā)展，實(shí)施自動(dòng)化安全控制評(píng)估工程的條件日漸成熟，推動(dòng)自動(dòng)化、智能化安全控制評(píng)估工程的研究與實(shí)施，將會(huì)更好地服務(wù)保障重大網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)與威脅防范工作。