大型企業信息安全監測預警模型的設計

李 煥

（中國電力科學研究院 北京100192）

1 引言

信息安全監測預警是指通過對某類事件或幾類事件的異常跟蹤，發現特定問題，并阻止以及即時上報，通過警報系統上報疑似威脅或脆弱環節的特點與特征。傳統的信息安全監測，單純采用防護設備無法保證信息網絡和系統免受不斷出現的新型風險的威脅。監測預警技術的重點在于對動態的攻擊提供主動式的早期通報，讓安全管理人員能夠提前預測和判定風險，及早防范，從被動的“事中”防護走向“事前”預警，做到防患于未然，避免信息網絡和系統遭受巨大損失。

在預警技術方面，國內外早已開展了早期預警系統的研究，通過對一些重要的政治、軍事、經濟網絡上非法入侵進行實施監測，陸續提出了信息站攻擊威脅評測、戰略情報預警、智能化預警決策支持系統、入侵監測和預警系統的體系結構等研究成果。本文結合大型企業信息安全防護體系的結構特點，在已有信息安全監測的基礎上，開展信息安全預警模型的研究和設計。

2 信息安全監測預警體系結構

企業信息安全監測預警體系結構采用分層結構（如圖1所示），主要分為3層：一層為監測點，采集信息安全監測設備（IPS、IDS、防火墻、網閘等）的攻擊、風險日志；二層為分監測預警中心，收集并上傳區域內監測點的安全監測日志，對上層發布的預警通告實施相應安全對策，并承擔區域內預警通告工作；三層為總監測預警中心，匯總并分析分監測預警中心上傳的安全監測日志，結合安全分析結果發布安全預警通告。在網絡區域角色上，一、二層為二級單位信息網絡，三層為企業總部信息網絡。

3 基于信息安全監測的預警模型設計

3.1 信息安全風險嚴重程度的計算

目前，國內外主要互聯網安全機構采取基于安全風險評估的安全風險預警方法，這種方法通過對安全事件的危害和影響以及采取一定安全策略對安全危害的消減等方面進行評估，判斷該安全事件的風險嚴重程度；按風險嚴重程度劃分安全預警級別，并針對不同級別的安全預警級別提出相應的安全防護策略和安全通告方式進行安全風險預警。

安全風險預警方法的關鍵在于風險嚴重程度的確定。惡意網絡活動的風險嚴重程度由以下公式計算得出：

嚴重程度=（危險程度+毀壞程度）-（系統對策+網絡對策）

通過定義危險程度 （C）、毀壞程度 （L）、系統對策（SC）、網絡對策（NC）的不同情況和賦值，計算四大要素的取值。危險程度按照不同攻擊對象進行賦值，毀壞程度按照不同的潛在損壞情況進行賦值，系統對策和網絡對策則按照不同的主機和網絡防護措施進行賦值。

3.2 基于信息安全監測數據的風險評估

目前，企業信息安全監測可涵蓋互聯網邊界安全、桌面終端安全、信息內外網網絡安全、信息內外網應用安全等方面數據。利用監測數據信息，對危險程度、毀壞程度、系統對策、網絡對策四大要素的評估計算，進而實現基于信息安全監測數據的風險評估。

（1）危險程度的評估

按照不同攻擊對象，分別對危險程度賦值為：

C=5總部級和二、三級單位信息內網的核心網絡或服務，如核心路由器、防火墻、VPN、IDS、DNS服務器、認證服務器、重要終端等；

C=4總部級和二級單位信息外網的核心網絡或服務，如核心路由器、防火墻、VPN、IDS、DNS服務器、認證服務器等；

C=3總部級和二級單位信息網絡中郵件、網站、重要應用的服務器及數據庫；

C=2總部級和二級單位信息網絡中次重要應用服務，或三級單位信息網絡自有應用服務；

C=1信息外網客戶端。

當監測到攻擊對象為多類時，按攻擊對象最高級別的危險程度取值進行賦值。

（2）毀壞程度的評估

毀壞程度是指信息網絡、系統的潛在損壞情況，其評估過程考慮了企業實際監測攻擊情況和互聯網當前攻擊情況兩方面因素的影響。毀壞程度L的計算公式如下：

其中，X為企業實際監測攻擊情況賦值，Y為互聯網當前攻擊情況賦值，α為公司受攻擊影響權重 （1<α<1，取經驗值0.6）。具體賦值情況如下：

X=5實際監測攻擊總數處于歷史水平130%以上；

X=4實際監測攻擊總數處于歷史水平110%～130%；

X=3實際監測攻擊總數處于歷史水平90%～110%；

X=2實際監測攻擊總數處于歷史水平70%～90%；

X=1實際監測攻擊總數處于歷史水平70%以下。

Y值參考國家互聯網應急中心發布的《網絡安全信息與動態周報》中網絡安全基本態勢情況，Y按照網絡安全基本態勢危、差、中、良、優分別賦值為5、4、3、2、1。

（3）系統對策和網絡對策的評估

系統對策的評估參考桌面終端安全、信息內外網應用安全方面的監測情況，網絡對策的評估參考信息內外網網絡安全方面的監測情況。按照監測漏洞和問題量多少，分別對危險程度賦值為：

SC（NC）=5連續3期未監測到系統（網絡）漏洞和問題；

SC（NC）=4未監測到系統（網絡）漏洞和問題；

SC（NC）=3監測到系統（網絡）漏洞和問題少于企業平均水平；

SC（NC）=2監測到系統（網絡）漏洞和問題等于企業平均水平；

表1 預警指標等級

SC（NC）=1監測到系統（網絡）漏洞和問題多于企業平均水平。

3.3 預警指標設定

按風險嚴重程度的取值劃分出5個安全預警指標級別，用于顯示被監測單位當前的惡意網絡活動和安全風險水平，反映了潛在的或實際的損害。該指標由低到高分為綠、藍、黃、橙、紅5個等級（見表1），兩級安全監測預警中心可針對不同級別的安全預警級別提出相應的安全防護策略和安全通告方式進行安全風險預警。

4 結束語

本文設計的信息安全監測預警模型，借助企業已有信息安全監測工具對海量監測數據進行挖掘、分析，從而做出更科學、有效的信息安全預警通報及安全防護對策建議。通過信息安全監測預警體系研究，建立歷史數據分析與企業信息安全通報等機制結合的預警模型，將有效提高企業安全保障和安全運維水平，對我國大型企業信息安全監測預警體系的研究有一定的參考意義。