◆戚 犇 郭 靖
(中国人民公安大学 北京 100038)
信息安全等级保护中的态势感知
◆戚 犇 郭 靖
(中国人民公安大学 北京 100038)
近年来,随着我国科学技术水平的飞速发展,互联网、专网、大数据、云计算、物联网、移动互联网等给我国的网络社会增添了很多活力。但是网络安全问题也日趋严重。一方面是不法分子可利用的网络漏洞越来越多,网络诈骗、网络色情、网络赌博等问题变得越来越猖獗;另一方面,网络上的大国博弈也越来越普遍,网络变成了国家政治角力的竞技场。态势感知技术是等级保护工作中的一把利剑。在等级保护中起到重要作用。
信息安全等级保护;态势感知;算法
信息安全等级保护制度与网络生活息息相关,它维护了网络生活的秩序,但是网络上的不法现象仍十分严重。因此,在智能化、大数据、物联网、云计算出现的关键节点上,需要找到新技术、新方法、新思路弥补之前网络安全保护工作的不足。
1.1 等级保护的概念、目标
信息安全等级保护制度,主要是对我国关键基础设施和重要行业信息系统的安全保护。等级保护的战略目标是通过对重要关键基础设施、信息系统、大数据、云平台、工控系统的保护,提高网络安全在主动防御、监测发现、通报预警、快速处置、情报信息、监督管理和态势感知方面的能力。信息安全等级保护体系将全国的信息系统、关键基础设施分成5个安全保护等级,重要性逐级增加,以此来对其进行监管和保护。其中二级及二级以上的信息系统需要在公安系统进行备案,并在有关部分的监管指导下进行定级、备案、建设、测评、检查[1]。由此来防护网络安全问题并进行应急响应。
1.2 等级保护的重要环节和技术
等级保护的主要环节就是定级、备案、安全建设、安全测评和安全检查。
一是定级。信息系统所属的单位按照《信息安全等级保护管理办法》和《信息安全等级保护指南》初步给系统定级。运营单位提出信息系统所属等级以后交由专家进行评审,评审结果产生后,交由公安机关进行审核保护。
二是备案。公安机关对二级及二级以上的信息系统进行审核和备案,并根据《信息安全等级保护备案实施细则》发放相应的证明。
三是安全建设整改工作。被要求整改的部门要从本单位的安全需求作为出发点和落脚点,按照等级保护安全建设的相关要求对建设整改工作进行设计、规划、实施。
四是安全测评和安全检查。安全测评可以发现关键基础设施和信息系统中存在的问题,可以提高相应的保护能力。公安机关对需要监管的信息系统的安全进行检查。
为了达到测评、整改、建设的要求,根据《信息安全等级保护基本要求》的规定,针对不同的信息系统提出了相应的要求。要求包括技术要求和管理要求两大类,管理要求包括对整改单位的组织建设、能力建设、教育培训等。技术要求包括对访问限制、身份验证、入侵检测等。
1.3 网络安全综合防御体系
网络安全综合防御体系是在信息安全等级保护之上进行的安全管理、评估、安全建设、安全风险体系建设。其中,安全风险体系主要作用是进行风险规避。信息系统运行过程中存在诸多的风险,包括信息系统敏感信息的泄露,有组织、有目的的网络攻击以及测评工作产生的风险问题,安全风险体系负责将局域网或者信息系统发生危害时控制在可控范围。安全管理体系主要是通过管理,明确领导机构和责任部门按照相关规定进行管理。
2.1 态势感知的概述
态势感知(Situation Awareness)是近年讨论的热门话题。主要是经过数据融合技术、数据挖掘技术以及统计学的知识,实现对网络状态的提取、分析及预测,及时遏止网络安全事件的发生,提高网络空间的通报预警能力、安全监控能力、可视化技术,提高整个网络的防御体系。同时态势感知也为等级保护中的建设、测评提供重要的依据。
态势感知的技术源于航天事业的研究,后来在军事、交通、医学、经济方面都发挥了重要的作用。Endsley认为态势感知是“一定时空条件下,对环境因素的获取、理解以及对未来状态的预测”[2]。态势感知的模型如图1所示。
图1 态势感知模型图[2]
由图1可以直观的知道态势感知的三个方面,首先从大规模的多源异构的网络中将态势因子提取出来。态势因子,就是可以代表网络状态的因子,例如,网络流量日志、系统硬件数据、入侵检测数据等。态势感知需要人的主体性认识,涉及到一个人对客观态势的分析。
2.2 国外态势感知的研究
图2 NSSA模型结构图
1988年,M.R.Endsley在设计飞机系统时,在他的论文里对感知进入进行了描述。后来,Endsley又提出了动态系统态势感知理论,将人类决策的理论融入到态势感知的模型中[3]。在动态的系统感知中,决策是跨越一定的空间和时间并且向上凝聚的一个过程,并且与网络环境息息相关。图2是NSSA模型结构图。
2.3 态势感知关键技术
2.3.1 态势评估
态势感知中态势评估为网络安全的态势决策和态势预测提供数据支持、安全模式识别、降低安全风险。由NSSA模型,可以将态势感知分成三个部分。一是资产识别,资产识别是态势评估的首要问题。所以我们首先要关注对资产安全的保护。资产识别主要识别的是网络主机上的信息。包括两个部分:资产赋值和资产自动识别。资产自动识别包括软件资产和硬件资产的识别。二是脆弱性评估。首先要进行脆弱性识别。脆弱性识别是对系统中的系统的信息、漏洞补丁、安全软件等进行扫描,查出哪些端口有漏洞等。展示出系统最容易遭受攻击的地方,然后针对系统的脆弱性进行评估。三是威胁检测。威胁检测是对系统的内容进行检测。通过对系统日志、应用程序行为的检测,判断系统是否处于危险之中。威胁检测能够保障系统的安全,在出故障之前检测出系统的漏洞。
因此可以通过对资产评估、脆弱性评估以及威胁评估来评估系统的安全状态。
2.3.2 态势预测
态势预测主要是基于数据挖掘技术。数据挖掘融合了人工智能、统计学、机器学习等关键技术,在安全态势的理解与预测中发挥了重要作用[4]。在态势感知的模型构建中,常常利用分类分析中的支持向量机算法、神经网络算法、贝叶斯算法对态势预测和感知。
2.4 态势感知模型
2.4.1 支持向量机模型
支持向量机算法是知名的十大算法之一,是基于统计学理论和VC维理论的机器学习算法。在一个平面的空间内,将两类点分离开来,我们首先需要在这两类点中画一条线,使得这两类各居一边,也就是在样本空间内找到一个划分的超平面,将样本分开。如何找到这个超平面,就是我们需要考虑的问题。通过将平面上的划分方法进行映射,得到多维平面上支持向量机的划分方法。平面上划分超平面的线性方程为:。在多维平面上的支持向量机公式为[5]:
通过这种算法我们将复杂多变的网络数据转换成维度空间的点然后利用支持向量机模型进行分类。
2.4.2 贝叶斯网络模型
贝叶斯网络是贝叶斯公式的一种延伸,在统计学上经常用到。简单来说,就是通过条件概率进行分类。贝叶斯公式[6]:
贝叶斯公式常用到两种概率:先验概率和后验概率。
贝叶斯网络是将各个事件之间的关系形成一个有向无环图。通过有向无环图的各个节点之间条件概率的独立性和节点之间的依赖关系,通过复杂父节点的先验概率得出变量的分类。也就是说,通过判别网络态势因子的条件概率以及他们之间的依赖关系来评估网络态势。
综合安全防御体系是以等级保护的工作为抓手,目的是加强行业管理和技术防范,提高网络安全保障能力。下图是等级保护综合防御体系。
图3 等级保护综合防御体系图[1]
图中,跟信息安全等级保护相配套的技术措施包括应急处理、能力建设、技术检测、安全可控等。态势感知是这类技术得以实现的重要基础。态势感知为系统的评估、预警、处置、防御提供了可靠的依据,让网络安全的被动防御变为了主动防御,提高了网络安全。保障了国家关键基础设施。
等级保护是态势感知的重要基础,态势感知对等级保护工作起到了重要的支撑作用。通过对系统、程序、终端等行为的实时监测得到有关网络的流量、日志、事件的信息,利用基于行为和内容的检测方法,对网络、系统的状态进行评估和预警。这将对网络安全保障工作中的研判、侦察、追踪溯源、情报等提供重要依据,有利于整体网络状态的稳定,提高了快速处置的能力。因此,态势感知技术将在我国的等级保护体系中持续发挥重要作用。
[1]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].电子工业出版社,2010.
[2]王慧强,赖积保,朱亮.网络态势感知系统研究综述[J].计算机科学,2006.
[3]陈娜.网络安全态势感知体系及关键技术研究[J].自动化与仪器仪表,2015.
[4]李硕,戴欣,周渝霞.网络安全态势感知研究进展[J].计算机应用研究,2010.
[5]谢锦彪.内网安全态势感知技术的研究与实现[D].广东工业大学,2015.
[6]李艳美.基于贝叶斯网络的数据挖掘应用研究[D].西安电子科技大学,2008.