内部网络安全监管指标体系制作与实现
发布时间:2022-04-01 10:41:08 所属栏目:安全 来源:互联网
导读:当前,内部网络缺乏一套科学的网络安全监管指标体系,导致内部网络安全监管难以达到预期效果。因此,设计了一套集资产健康度、网络安全风险、保密风险和处置质效四位一体的安全监管指标体系,并结合信息科学中常用的神经网络激活函数 Sigmoid 函数及层次加权
|
当前,内部网络缺乏一套科学的网络安全监管指标体系,导致内部网络安全监管难以达到预期效果。因此,设计了一套集资产健康度、网络安全风险、保密风险和处置质效四位一体的安全监管指标体系,并结合信息科学中常用的神经网络激活函数 Sigmoid 函数及层次加权递归思想,设计了一种适用于指标体系安全评估的算法。此外,在内部网络安全监管指标体系的实现方面,对指标数据采集、指标量化统计、指标体系安全评估及指标态势可视化进行了设计。实践表明,此设计的内部网络安全监管指标体系及其实现方法科学有效,能够提升内部网络安全风险感知能力和治理水平。 网络安全监管指标体系的现状 关于指标体系的研究,国内主要集中在网络安全风险态势评估和网络安全态势感知方面。2006 年国内陈秀真等人提出一种层次化安全威胁态势定量评估模型及相应的量化计算方法,从服务、主机、局域网系统 3 个层次进行安全威胁态势评估。2007年吴果等人开创性地将多源多对象的各种影响网络安全态势的因素合并整理,并根据层次原则和分类原则,提出了网络安全态势感知指标体系,此外,根据分类情况,将各指标分为脆弱性指标、容灾性指标、威胁性指标和稳定性指标。2017 年邓美林提出了资产、脆弱性、可用性和威胁性的网络安全态势指标体系。2020 年李欣等人针对视频专网自身特点,构建了一套适用于视频专网的网络安全态势指标体系,包括基础网络运行安全、系统脆弱性、网络安全威胁、前端设备运行安全和边界运行安全指标,并给出了指标值的计算方法。 通过上述指标体系的分析,现有指标体系既缺乏评估保密风险的相关指标,还缺乏衡量安全保密事件处置质效的指标,不能很好地适用于内部网络环境,因此,迫切需要研究一套适用于内部网络的安全监管指标体系。 内部网络安全监管指标体系设计 2.1 网络安全监管指标体系设计原则 网络安全监管指标体系设计需结合内部网络复杂性高、保密程度高及 IT 运维普遍外包等特性,明确业务目标,确保构建的指标数据的完备性和有效性,从而赋能业务。指标体系设计需要遵从以下原则:(1)完备性:内网环境中,对网络安全构成影响的要素众多,如果指标建立不全面、不准确,就很难反映网络安全的整体态势水平,因此在设计指标时要确保指标数据完备。(2)系统性:因网络安全监管指标是对内部网络安全水平的综合评价,在考虑指标数据完备性基础上,要充分考虑指标的层级性及指标间不相关性。(3)可实施性:在满足完备性和系统性的基础上,设计的指标数据要确保可采集、可计算、可落地。 2.2 网络安全监管指标体系设计 基于指标体系设计原则,本文在网络安全监管指标体系设计时,主要采用分层、分类方法。分层法是基于因果关联关系对指标体系进行分层,从而构建 1 到 N 层级指标体系。指标分层方法一方面当某些指标变化时,会同步关联上下层级指标,另一方面便于指标体系的后续扩展。分类法是在各层级指标内,充分考虑指标间的独立性和不可替代性,基于不相关性对各层级指标进行分类,从而构建无相关性的指标类型及量化指标。指标分类的优势在于,当某一类指标变化时不会影响同层其他指标,使得同层指标计算可完全解偶。 根据 GB/T 20984—2007《信息安全技术 信息安全风险评估规范》,信息系统的风险主要在于其面临的威胁和其本身的脆弱性,但是在网络实际运行中,资产的健康度往往直接或者间接影响整个网络的安全,而且在内部网络中,对失密、泄密、窃密的监管更为重要,此外,如果发现了安全保密事件而不及时有效处置,也会导致整个网络风险持续攀升。因此,本文选取资产健康度、网络安全风险、保密风险和处置质效 4 个指标,作为内部网络安全监管的一级指标。内部网络安全监管指标体系如图 1 所示。 2.2.1 资产健康度指标 资产健康度指标包括终端安全健康度、服务器健康度、网络设备健康度、安全保密系统健康度、业务系统健康度和动环系统健康度 6 个二级指标。 终端健康度指标重点关注终端安全软件安装率。服务器健康度、网络设备健康度和安全保密系统健康度指标重点关注资产在离线状态、资产故障状态和资产性能异常状态。业务系统健康度指标重点关注业务服务可用性。动环系统健康度指标重点关注温湿度等异常状况,包括温度异常告警、湿度异常告警、电压异常告警、漏水异常告警、粉尘超标告警和烟雾异常告警。 2.2.2 网络安全风险 网络安全风险指标包括资产脆弱性和网络安全威胁两个二级指标。 资产脆弱性指标包括漏洞风险、安全配置风险和口令风险 3 个三级指标。漏洞风险指标是根据漏洞等级、漏洞数量和漏洞是否可利用来评估网络环境中的漏洞风险情况。安全配置风险指标是根据不合规配置项的风险等级和数量来评估网络环境中的安全配置风险情况。口令风险指标是根据弱口令数量和弱口令资产占比来评估网络环境中的口令风险情况。网络安全威胁指标包括网络攻击威胁、恶意程序威胁、策略配置威胁和未知资源威胁 4 个三级指标。网络攻击威胁指标包括攻击尝试威胁、攻击成功威胁和攻击结果不明威胁 3 个指标。恶意程序威胁指标是根据恶意程序的等级、恶意程序发生频率、恶意程序的处置情况来评估网络环境中的恶意程序威胁风险情况。策略配置威胁指标关注安全策略偏离基线所带来的威胁。未知资源威胁指标关注网络中出现的非法资产和非法服务所带来的威胁。 2.2.3 保密风险指标 在内部网络中,保密风险主要来源于人的异常行为,因此保密风险指标包括用户异常行为指标和运维人员异常行为指标。 用户异常行为包括用户使用计算机异常、用户访问网络异常和用户数据处理异常。用户使用计算机异常包括冒用身份登录异常、破坏本地安全机制、用户违规接入非授权计算机和存储介质、用户异常更换计算机部件等。用户访问网络异常包括用户采用不明终端接入网络、用户违规连接国际互联网、用户登录其他非授权终端和服务器、用户非授权访问应用系统、用户异常扫描网络、用户发起或执行远程命令等。用户数据处理异常包括用户异常打印或刻录文件、用户修改敏感数据标识、用户违规存储非知悉范围数据、用户向非知悉范围人员流转敏感数据、用户短时间内下载数量大的敏感数据等。 运维人员异常行为包括运维人员使用计算机异常、运维人员运维工作异常和运维人员数据处理异常。运维人员使用计算机异常包括冒用身份登录异常、破坏终端或服务器安全机制、违规接入非授权计算机和存储介质、运维人员异常更换计算机和服务器部件等。运维人员运维工作异常包括运维终端或服务器违规连接国际互联网、进行网络扫描探测、绕过运维管理域认证机制直接运维、使用异常端口运维、运维人员访问非授权业务和数据等。运维人员数据处理异常包括运维人员异常打印或刻录文件、运维人员修改敏感数据标识、运维人员违规存储非知悉范围数据、运维人员向非知悉范围人员流转敏感数据、运维人员短时间内下载数量大的敏感数据等。 2.2.4 处置质效指标 处置质效指标包括处置时效性和处置质量两个二级指标。处置时效性关注运维人员处置安全事件时的及时性和处置效率,处置质量关注事件分析准确性和事件处置合理性。 内部网络安全监管指标体系评估模型设计 国内外在网络安全监管指标体系评估方面的研究与设计比较少。目前国内比较成熟的研究与设计基本是面向互联网领域,如吴果等人\提出的相关性分析方法,并且都是比较侧重指标的优化选择。而内部网络安全监管指标体系模型评估是一个相当复杂的过程。指标体系从不同维度、不同层次对内部网络安全监管要求进行了归类,不同类型指标对安全风险的影响程度不相同。此外,指标项量化多元化,包括了数值、百分比、是 / 否等多种类型,需要针对不同类型量化值对指标的贡献权重设计合理算法。然而魏军等人 提出的将层次分析法应用于指标权重计算的方法相对还处于理论层面,不足以指导实践。 综上所述,为了能更好地适应内部网络安全监管指标量化多元化的特点,以及各层级指标对风险影响程度的差异,本文提出一种基于 Sigmoid 激活函数和层次递归计算方法的内部网络安全监管指标安全评估模型。评估模型遵照2.2 节指标体系的分类、分层原则进行设计,以便于算法扩展。实践证明,该评估模型在满足工程落地实施的情况下能够得出较实时且可解释的结果。 3.1 指标体系数据结构的数学模型 将 2.2 节指标体系结构抽象为可表达的数学模型。设图片为指标体系的层级,图片层内每个层级的指标类型,图片为第N 层实测指标,则指标体系结构数据的数学模型如图 2 所示。 3.2 Sigmoid 激活函数和层次递归计算方法 Sigmoid 激活函数在指标体系评估过程中的主要作用是,根据图 2 数学模型中的图片层指标项实测值,利用 Sigmoid 激活函数计算其对图片层指标的贡献权重。层次递归加权算法在指标体系评估过程中的主要作用是,对图 2 中的图片到 L1 层根据指标类型对网络安全指标体系的影响程度,采用自底向上的逐层递归加权,得到每一层的评估结果,最终得出整个指标体系的安全总分。 Sigmoid 激活函数因其具备可以把实数域平滑映射到 (0,1) 空间的特点,以及具备单调递增特性和连续可导等优势,在神经网络中被广泛应用。而恰好 Sigmoid 激活函数在神经网络中被广泛应用的特性符合网络安全指标体系安全评估的要求,所以本文充分利用 Sigmoid 激活函数特性原理实现对网络安全指标体系的安全评估。Sigmoid 激活函数数学表达式: 根据图3可知,Sigmoid激活函数具有如下特性:(1)函数曲线具有单增特性,符合网络安全指标评估 GB/T 20984—2007《信息安全技术—信息安全风险评估规范》的要求;(2)函数值域取值范围属于 [0,1),对应到网络安全评估结果中,满足对评估结果归一化要求;(3)当横坐标取值为 0 时,对应的纵坐标值等于 0.5。以上即为 Sigmoid 激活函数的独有特性。而基于上述特性第(3)点可以看出,当函数自变量 Z取值为零时,对应的函数值域取值为 0.5。如果将该函数对应关系映射到网络安全评估中,即当网络安全指标量化值为零时,将得出网络安全评估结果仍有 0.5×100=50,故不符合网络安全评估的实际业务要求。对此,本文对原 Sigmoid 激活函数进行了优化改造,改造后的函数表达式为: 结 语 本文针对内部网络安全性和保密性要求高的特点,按照分层、分类法,设计了一套内部网络的网络安全监管指标体系,重点设计了保密风险和处置质效两个重要指标,同时提出了基于 Sigmoid 激活函数和层次递归计算方法的评估模型。本文设计的指标体系和评估模型已经应用到了实际用户环境,实践表明,能够大幅提升内部网络安全风险感知能力和风险治理水平。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐