證券網絡安全事件應急響應評價研究

朱嶷東 薛 質 王洪濤 劉 宏 吳晨煒 胡廣躍

1(國金證券股份有限公司 上海 201204)

2(上海交通大學網絡空間安全學院 上海 200240)

3(海通證券股份有限公司 上海 200001)

4(光大證券股份有限公司 上海 200040)

證券期貨業網絡安全事件是指由于人為原因或非人為等其他因素,發生網絡和信息系統服務能力異常或者數據損毀、泄露,通過對證券期貨業網絡和信息系統或者數據造成影響,進而影響國家金融安全、社會秩序等方面的事件[1].監管層面要求證券機構建立應急處置機制,及時處置網絡安全事件,盡快恢復信息系統正常運行,保護事件現場和相關證據,向中國證監會及其派出機構進行無欺瞞行為的應急報告的陳述說明[2].證券網絡安全事件應急響應的目的在于預防和減少安全事件帶來的損失和傷害,維護國家金融安全和社會穩定,保障投資者的合法利益[3].

在網絡安全事件應急研究方面,馮濤等人[4]以目前的應急響應技術為基礎,提出了一套網絡安全事件應急響應聯動系統的基本模型,討論了應急響應聯動的概念與意義,并詳細分析了應急響應聯動的組織功能、運行方式、策略研究、軟件平臺和若干關鍵技術.張臻等人[5]在全面梳理相關政策法規文件基礎上,從法律體系、組織體系和運行體系方面系統分析了美國網絡安全應急管理體系的內容和特點,結合我國實際,提出了加快建立法律體系、健全網絡安全應急指揮體系、完善事件分級響應機制、建立信息共享機制和多種突發事件的應急協調機制5點啟示.陳美華等人[6]通過網絡調研及內容分析法解讀了美國相關政策對網絡安全事件的定義、分級、重大網絡事件應急響應的戰略框架及工作流程等內容;總結了響應過程中情報保障的突出特色,以及對我國重大網絡安全事件響應的情報工作研究啟示及建議.

在模糊灰色綜合評價方法方面,馮旭剛等人[7]提出了一種基于信息熵-灰色模糊融合模型的火電機組燃燒檢測儀器綜合性能評價方法,建立了信息熵-灰色模糊評價模型,與單因素分析方法相比,該模型在評價結果上具有一致性,在多數據分析和去人為干擾中表現出更好的綜合評價效能.劉永磊等人[8]使用STRIDE威脅模型建立指標體系,使用模糊綜合評價方法對交易進行風險評估,并建立了基于可信網絡連接的威脅緩解模型,根據評估結果對移動支付交易進行安全性增強,在評估中使用量化指標并達到了交易級細粒度的風險評估.蔡青等人[9]根據網絡防御作戰的特點,分析了網絡防御作戰4項能力需求,選取了評估指標,對效能評估方法層次分析法/熵值法和灰色模糊綜合評價法進行分析,說明其適用性,并建立了評估指標模型,采用AHP/熵值法確定指標權重,運用灰色模糊綜合評價方法評估指標模型中各項指標灰色度和模糊性,準確定位網絡防御作戰能力是否良好.

1 安全事件應急響應評價指標體系

1.1 網絡安全事件應急響應流程

應急響應流程按照時間軸動作可以劃分為檢測響應、止損阻斷、分析溯源、清除恢復、加固復驗環節[10-11].

檢測響應環節通過監控、告警、通告等手段發現安全事件,第1步對事件類型進行判斷和整理,常見的通用應急事件場景包括PC終端或服務器勒索病毒、挖礦木馬、Webshell、DDOS攻擊、數據泄露、流量劫持、釣魚郵件等,此外證券行業還包括交易系統軟件缺陷、自動化運維流程執行故障場景等.明確安全事件關聯場景后開始進行信息收集工作,包括流量、鏡像、日志、惡意樣本、網絡狀態等.

止損阻斷環節的目的是在明確當前的情況后,及時采取包括主備切換、網絡斷開、關停服務等措施確保影響不再擴大,以勒索病毒場景為例,主要工作內容包括斷開失陷機器網絡阻斷感染源,通過觀察病毒行為和流量特征阻斷對內通信行為和對外連接動作.目的在于將影響面收攏在最小范圍內.

分析溯源環節通過對包括安全設備告警、操作系統、Web訪問等渠道在內日志和流量進行分析,結合病毒木馬樣本和行為狀態,分析攻擊或故障產生原因和路徑,推演故障及攻擊過程,發現安全事件誘發原因和風險點.

清除恢復環節進行故障狀態恢復或清除Webshell及勒索軟件等,確保系統或網絡以安全的狀態恢復可用性,以Webshell場景為例,普通情況下可以針對性地停止禁用惡意進程、刪除惡意文件、使用殺毒軟件全盤掃描,確保無木馬文件遺漏,而一旦面臨內存木馬或無文件木馬等持續性攻擊的方式,需要考慮極端情況下的磁盤清理系統重裝等.

加固復驗環節對整個應急響應流程進行復盤總結,查找故障或風險薄弱點并進行加強加固,如補丁更新、收斂互聯網攻擊面等,并結合企業內部情況,針對性地按季度開展應急演練和培訓事宜,例如證監會要求證券機構每年至少開展1次網絡安全應急演練.

1.2 網絡安全事件應急響應能力指標

從工具運用、日志覆蓋、人員技能、職責分工、通報處置、宣傳教育方面構建本次應急響應能力評價指標體系[12-14].

1) 工具運用層面.主要考量應急響應工具的儲備情況和運用情況:①流量分析工具方面,應具備包括Wireshark,TCPView以及商業產品網絡分析工具,以便能夠對網絡流量進行分析,發現故障及攻擊特征誘因;②進程分析工具方面,應能夠使用ProcessHacker和PC Hunter等進程分析工具分析惡意進程和系統故障原因;③輔助分析工具,利用WinHex、文件Hash工具、搜索工具、文件解鎖工具等輔助分析,滿足溯源過程的需求;④其他工具,如特定病毒木馬查殺工具、啟動項分析工具等.

2) 日志覆蓋層面.日志類型應覆蓋運維日志、應用系統日志、操作系統日志、安全告警日志、網絡日志,保存期限至少不低于6個月:①運維日志包括自動化運維平臺的執行日志和各類特權平臺,如堡壘機、統一身份認證管理平臺等操作和審計日志,能夠提供關鍵人員操作內容及要素信息;②應用系統日志包括應用系統的訪問日志、系統異常報錯日志以及中間件日志信息等;③操作系統日志覆蓋Linux,Windows等系統的審計日志、操作日志、故障日志等;④安全告警日志包括安全設備,如Web應用安全防護WAF、流量分析檢測NTA等自身運行日志情況以及各類攔截阻斷和放行的告警日志;⑤網絡日志包括各類網絡設備交換機、路由器等運行日志和配置信息.

3) 人員技能層面.應急響應人員應具備以下能力:①基礎技能技術,包括系統基本系信息、用戶信息、啟動項信息、計劃任務、進程排查、服務排查、文件痕跡排查等能力;②惡意代碼技術,具備病毒、蠕蟲、木馬、Rootkit等惡意代碼排查和清除能力;③終端檢測與響應技術,具備網絡連接及進程分析、可疑用戶排查、歷史命令排查、可疑文件排查等能力;④電子取證技術,包括具備內存鏡像、易失信息提取、文件復制保存等技術能力.

4) 職責分工層面.①應急指揮中心:制定應急處置制度和預案并宣傳、培訓和演練,檢查安全事件隱患,指揮安全事件應急處置及善后工作.②安全主管部門:負責安全事件的應急響應的統一協調和資源調度處置工作.③業務部門:負責安全事件發生時的業務方面的應急工作.④財務部門:負責安全事件發生時的專項財務預算審批支持和調撥,確保能夠及時采購應急資源.

5) 通報處置層面.①應急預案機制:建立健全網絡安全應急預案,明確應急目標、組織和處置流程,應急場景應當覆蓋網絡安全事件等.②事件分類機制:發生網絡安全事件,在應急處置和調查處理時,應依據事件影響程度及范圍進行分類.③演練情況報告:證券機構每年至少開展1次演練,并將總結報告報送至監管機構及行業協會.④應急處置機制報告:建立應急處置機制,及時處置網絡安全事件,盡快恢復信息系統正常運行,保護事件現場和相關證據,向監管機構如實報告.⑤安全事件通報:發生網絡安全事件對投資者造成影響的,及時通過官方網站等有效渠道通知相關方可以采取的替代方式或者應急措施,提示相關方防范和應對可能出現的風險.⑥監管預警處置:針對監管通報的漏洞及各類攻擊組織信息,做好自查、檢查工作并記錄臺賬,建立特定關系人聯絡制度,及時進行信息報送工作等.

6) 宣傳培訓層面.①宣傳教育:利用各類組織媒介對客戶和內部員工定期推送安全事件應急處置的法律法規和政策宣傳,歸納總結安全事件常見形式,開展安全知識競賽技能活動,提高客戶及員工安全意識,減少安全事件的發生及減少損失.②培訓教育:定期組織內外部結合的員工安全意識培訓課程,并納入個人績效考核.

2 安全事件應急響應能力評價方法

2.1 確定評價指標

根據上述指標構建過程,構建評價指標體系,如表1所示:

表1 評價指標體系

2.2 確定指標權重

采取層次分析法確定指標的權重,層次分析法的步驟如下:

1) 構建判斷(成對比較)矩陣.

所謂判斷矩陣是以矩陣的形式表述每個層次中各要素相對其上層要素的相對重要程度.為了使各因素之間進行兩兩比較得到量化的判斷矩陣,引入托馬斯·賽蒂的1～9標度法[15],如表2所示:

表2 標度及描述

2) 計算過程與方法.

用幾何平均法可以計算特征值的近似值[16-17].

① 將判斷矩陣各行連乘:

(1)

② 將各行連乘結果開n次方,得到特征向量bi:

(2)

③ 將bi歸一化,w即為B的特征向量的近似值,得到指標權重向量:

w=(w0,w1,w2,…,wn)T.

(3)

(4)

④ 求指標權重向量w對應的最大特征值:

(5)

⑤ 用一致性指標進行檢驗:

(6)

一致性指標RI與N階矩陣對應關系為:N(1,2,3,4,5,6,7,8)→RI(0,0,0.58,0.90,1.12,1.24,1.32,1.41).

3) 判斷矩陣計算過程及結果.

判斷矩陣采用專家問卷的形式獲得,經過對多位專家的意見進行整理和統一,構建判斷矩陣,如表3所示:

表3 目標層與一級指標層兩兩比較判斷矩陣

依據式(1)～(6)計算過程如下:

連乘結果:

開n次方,得到特征向量bi:

將bi歸一化,得到指標權重向量:

0.2780,0.4438,0.0219)T.

權重向量W對應的最大特征值:

求得λmax=6.4855,對于該判斷矩陣,n=6,RI=1.24,CI=(6.4855-6)/5=0.0971,CR=0.0971/1.24=0.0783<0.1.故判斷矩陣通過一致性檢驗.

同理可計算得到各二級指標的權重,判斷矩陣、權重及一致性檢驗結果.

4) 指標權重結果及層次總排序.

計算出準則層和各指標層的指標權重之后,為了更好地比較各指標層的重要度大小,需要計算其全局權重,方法為各二級指標層乘以其對應的一級指標層權重[18-20].最后對層次分析法所得到的權重值進行整理,得到最終權重及排序如表4所示:

表4 指標權重及排序

3 基于模糊灰色綜合評價的實例驗證及分析

3.1 某證券實例驗證

1) 確定評價對象.

因素集是影響評價對象的各個因素所組成的一個集合,用U表示:設U={U1,U2,…,Un},在本文中,U就是表1中的25個二級指標層指標.

2) 確定評價標準.

評價集是評價者對判斷對象作出的各種總的評判所組成的一個集合,根據實際情況,將評價等級劃分為高、較高、中等、低4個層次.用模糊評判向量V表示:設V=(V1,V2,V3,V4).在評價因素時,模糊矩陣運算后得到的是一個模糊向量,不能直接用于結果評價,因此對各等級進行賦值.等級高取值為0.9,區間為[0.7,0.9];等級較高取值為0.7,區間為[0.5,0.7),等級低取值為0.3,區間為[0.1,0.3).

3) 確定指標權重.

指標權重由第2節表4層次分析法得到.

4) 確定樣本矩陣.

從證券行業內抽選5位網絡安全相關領域的專家組成評價小組,根據評價準則對各單項指標進行打分,分數在0～1之間取值,得到i因素第j指標的評價向量為(Xij1,Xij2,…,Xijw),構成評價矩陣.5位專家對網絡安全事件應急響應能力各評價指標打分,如表5所示:

表5 專家打分結果

5) 建立評價灰類.

采用灰色理論的灰評估方法計算出評價指標的權矩陣.按照灰類給各定性指標作白化函數.4個灰類對應的白化函數如下:

計算灰色統計數,以流量分析工具C1指標為例,其各灰類統計數為

f1(x13)+f1(x14)+f1(x15)=0.6667+0.8889+0.7778+0.6667+0.7778=3.7778,

f2(x13)+f2(x14)+f2(x15)=0.8571+0.6667+1.0000+0.8571+1.0000=4.3810,

f3(x13)+f3(x14)+f3(x15)=0.8000+0.4000+0.6000+0.8000+0.6000=3.2000,

f4(x13)+f4(x14)+f4(x15)=0.5714+0.2857+0.4286+0.5714+0.4286=2.2857.

同理,可以得出其他指標的灰色統計數,如表6所示:

表6 灰色統計數結果

計算灰色評估權值,形成權矩陣,對于流量分析工具C1,屬于各灰類的評估數為

同理可以依次計算出各指標屬于各灰類的評估數,可以組成一個矩陣R,如表7所示:

表7 綜合模糊矩陣

根據表8建立指標層綜合模糊矩陣:

表8 其他二級指標測評結果

1) 工具運用B1的測評.

WB1=(0.3846,0.3674,0.1738,0.0742),

SB1=WB1RB1=(0.2522,0.3109,0.2549,0.1820).

2) 日志覆蓋B2的測評.

SB2=WB2RB2=(0.2701,0.3184,0.2401,0.1715).

3) 人員技能B3的測評.

SB3=WB3RB3=(0.2353,0.3025,0.2600,0.2022).

4) 職責分工B4的測評.

SB4=WB4RB4=(0.3815,0.3049,0.1829,0.1307).

5) 通報處置B5的測評.

SB5=WB5RB5=(0.3826,0.3004,0.1849,0.1321).

6) 宣傳培訓B6的測評.

SB6=WB6RB6=(0.1977,0.2542,0.3198,0.2284).

多因素模糊測評,目標層A的綜合測評為

SA=WARA=(0.3457,0.3036,0.2038,0.1469).

綜合測評結果為

Mi=SiV,MA=(0.3457,0.3036,0.2038,0.1469)

評價結果為0.6696,按照前面的評價準則,網絡安全事件響應綜合能力屬于較高.

為了進一步分析各指標具體的表現情況,同理可算出其他指標得分及評價,如表8所示:

3.2 實例驗證分析

以X證券為例,從綜合評價、指標層、準則層評價該公司網絡安全事件應急響應能力:

1) 綜合評價.

網絡安全綜合應急響應處置能力為較高,綜合評分為0.6696,接近于評語高級別[0.7,0.9],已建立較為完備的覆蓋整體網絡安全事件應急響應流程的框架、制度、體系、流程和人員,具備對網絡安全事件應急響應處置的較高能力水準,能夠及時處置各類安全事件,有效保障業務穩定安全運行.

2) 指標層評價.

6項二級指標中各項能力均處于較高級別.職責分工B4評分最高,職責清晰分工明確的安全事件響應組織架構是各類安全事件能夠快速響應處置的必要保證,確保責任到人、操作到位;通報處置B5評分第二,順暢的通報機制和高效的處置流程能夠在第一時間調動資源分發指令,各環節的緊密配合協作滿足了內外部業務發展和監管要求的合規指引;工具運用B1和日志覆蓋B2排名較為靠前,在工具儲備和日志收集方面,工具覆蓋各類事件的處置需求和應用場景需要,能夠為事件的止損和調查分析提供支撐,日志的全面性能夠幫助事件處置人員分析各類誘因和排查隱患,從而明確響應處置方向和關注要點,提高響應效率和縮短排查時間;人員技能B3和宣傳培訓B6評分較為落后,原因分析為事件驅動下的技能要求難以全量儲備和運用,可以借助外部安全廠商的力量和支持,在發生安全事件時及時溝通協調廠商入場協助處置,建立行業間共享專項安全專家機制,宣傳培訓方面仍需加大宣傳力度和培訓頻度及覆蓋范圍,從事前、事中、事后多個層次和維度強化安全意識的培訓,從意識層面改進安全事件的認識水平和防范能力.

3) 準則層評價.

準則層中,應急指揮中心C14、應急處置機制C21、監管預警處置C23評分較高,為0.7035,電子取證技術C13評分為0.5314,排名最后,其他準則層指標評分為較高均衡分布在0.5818～0.6828.應急指揮中心C14是安全事件響應處置的“中樞”,指標權重為0.1192,綜合評分為0.7035,排名第一,是安全事件應急響應中最重要和資源投入最充裕的區域;應急處置機制C21指標權重為0.1163,綜合評分為0.7035,排名第二,應急處置機制的完備性和非事件發生時常態下的運營對于緊急情況下的響應至關重要;監管預警處置C23指標權重為0.1108,綜合評分為0.7035,排名第三,表明監管層面的通告預警處置和信息報送與安全合規息息相關,在安全事件應急處置中占據相當重要的比例,需要投入較多的關注和資源傾斜;電子取證技術C13要求復雜難度高,一般證券行業機構很難具備相應技術和能力,需要從其他方面改進優化,彌補該項不足.

4 結 語

本文以構建證券機構網絡安全事件應急響應能力指標體系為基礎,通過模糊層次分析和模糊綜合評價方案方法,建立了證券安全事件響應能力評價模型,并以X證券為目標進行了實例驗證研究.結果表明,證券機構在內部業務需求和外部監管要求下安全事件應急響應能力A評價較高;指標層中涉及職責分工B4和通報處置B5評分較高,人員技能和宣傳培訓略有不足;準則層中應急指揮中心C14、應急處置機制C21、監管預警處置C23評分為高,電子取證技術C13評分落后,其他準則層評分均為較高,整體能力處于較高級別.

本文模型構建上沿用了行業安全事件應急響應傳統指標和擴展延伸,新增了部分新指標,體現了網絡安全繼承與發展的變化趨勢;采用主客觀結合的方式,將模糊層次分析法、模糊灰色綜合評價法和專家判斷法有機結合在一起,避免了主觀的隨意性和客觀脫離實際機械化的情況,解決了不同專家對同一特定指標評價結果差異性較大的問題;通過實例驗證和分析,為行業提供了應用案例和實踐參考.