朱嶷东 薛 质 王洪涛 刘 宏 吴晨炜 胡广跃
1(国金证券股份有限公司 上海 201204)
2(上海交通大学网络空间安全学院 上海 200240)
3(海通证券股份有限公司 上海 200001)
4(光大证券股份有限公司 上海 200040)
证券期货业网络安全事件是指由于人为原因或非人为等其他因素,发生网络和信息系统服务能力异常或者数据损毁、泄露,通过对证券期货业网络和信息系统或者数据造成影响,进而影响国家金融安全、社会秩序等方面的事件[1].监管层面要求证券机构建立应急处置机制,及时处置网络安全事件,尽快恢复信息系统正常运行,保护事件现场和相关证据,向中国证监会及其派出机构进行无欺瞒行为的应急报告的陈述说明[2].证券网络安全事件应急响应的目的在于预防和减少安全事件带来的损失和伤害,维护国家金融安全和社会稳定,保障投资者的合法利益[3].
在网络安全事件应急研究方面,冯涛等人[4]以目前的应急响应技术为基础,提出了一套网络安全事件应急响应联动系统的基本模型,讨论了应急响应联动的概念与意义,并详细分析了应急响应联动的组织功能、运行方式、策略研究、软件平台和若干关键技术.张臻等人[5]在全面梳理相关政策法规文件基础上,从法律体系、组织体系和运行体系方面系统分析了美国网络安全应急管理体系的内容和特点,结合我国实际,提出了加快建立法律体系、健全网络安全应急指挥体系、完善事件分级响应机制、建立信息共享机制和多种突发事件的应急协调机制5点启示.陈美华等人[6]通过网络调研及内容分析法解读了美国相关政策对网络安全事件的定义、分级、重大网络事件应急响应的战略框架及工作流程等内容;总结了响应过程中情报保障的突出特色,以及对我国重大网络安全事件响应的情报工作研究启示及建议.
在模糊灰色综合评价方法方面,冯旭刚等人[7]提出了一种基于信息熵-灰色模糊融合模型的火电机组燃烧检测仪器综合性能评价方法,建立了信息熵-灰色模糊评价模型,与单因素分析方法相比,该模型在评价结果上具有一致性,在多数据分析和去人为干扰中表现出更好的综合评价效能.刘永磊等人[8]使用STRIDE威胁模型建立指标体系,使用模糊综合评价方法对交易进行风险评估,并建立了基于可信网络连接的威胁缓解模型,根据评估结果对移动支付交易进行安全性增强,在评估中使用量化指标并达到了交易级细粒度的风险评估.蔡青等人[9]根据网络防御作战的特点,分析了网络防御作战4项能力需求,选取了评估指标,对效能评估方法层次分析法/熵值法和灰色模糊综合评价法进行分析,说明其适用性,并建立了评估指标模型,采用AHP/熵值法确定指标权重,运用灰色模糊综合评价方法评估指标模型中各项指标灰色度和模糊性,准确定位网络防御作战能力是否良好.
应急响应流程按照时间轴动作可以划分为检测响应、止损阻断、分析溯源、清除恢复、加固复验环节[10-11].
检测响应环节通过监控、告警、通告等手段发现安全事件,第1步对事件类型进行判断和整理,常见的通用应急事件场景包括PC终端或服务器勒索病毒、挖矿木马、Webshell、DDOS攻击、数据泄露、流量劫持、钓鱼邮件等,此外证券行业还包括交易系统软件缺陷、自动化运维流程执行故障场景等.明确安全事件关联场景后开始进行信息收集工作,包括流量、镜像、日志、恶意样本、网络状态等.
止损阻断环节的目的是在明确当前的情况后,及时采取包括主备切换、网络断开、关停服务等措施确保影响不再扩大,以勒索病毒场景为例,主要工作内容包括断开失陷机器网络阻断感染源,通过观察病毒行为和流量特征阻断对内通信行为和对外连接动作.目的在于将影响面收拢在最小范围内.
分析溯源环节通过对包括安全设备告警、操作系统、Web访问等渠道在内日志和流量进行分析,结合病毒木马样本和行为状态,分析攻击或故障产生原因和路径,推演故障及攻击过程,发现安全事件诱发原因和风险点.
清除恢复环节进行故障状态恢复或清除Webshell及勒索软件等,确保系统或网络以安全的状态恢复可用性,以Webshell场景为例,普通情况下可以针对性地停止禁用恶意进程、删除恶意文件、使用杀毒软件全盘扫描,确保无木马文件遗漏,而一旦面临内存木马或无文件木马等持续性攻击的方式,需要考虑极端情况下的磁盘清理系统重装等.
加固复验环节对整个应急响应流程进行复盘总结,查找故障或风险薄弱点并进行加强加固,如补丁更新、收敛互联网攻击面等,并结合企业内部情况,针对性地按季度开展应急演练和培训事宜,例如证监会要求证券机构每年至少开展1次网络安全应急演练.
从工具运用、日志覆盖、人员技能、职责分工、通报处置、宣传教育方面构建本次应急响应能力评价指标体系[12-14].
1) 工具运用层面.主要考量应急响应工具的储备情况和运用情况:①流量分析工具方面,应具备包括Wireshark,TCPView以及商业产品网络分析工具,以便能够对网络流量进行分析,发现故障及攻击特征诱因;②进程分析工具方面,应能够使用ProcessHacker和PC Hunter等进程分析工具分析恶意进程和系统故障原因;③辅助分析工具,利用WinHex、文件Hash工具、搜索工具、文件解锁工具等辅助分析,满足溯源过程的需求;④其他工具,如特定病毒木马查杀工具、启动项分析工具等.
2) 日志覆盖层面.日志类型应覆盖运维日志、应用系统日志、操作系统日志、安全告警日志、网络日志,保存期限至少不低于6个月:①运维日志包括自动化运维平台的执行日志和各类特权平台,如堡垒机、统一身份认证管理平台等操作和审计日志,能够提供关键人员操作内容及要素信息;②应用系统日志包括应用系统的访问日志、系统异常报错日志以及中间件日志信息等;③操作系统日志覆盖Linux,Windows等系统的审计日志、操作日志、故障日志等;④安全告警日志包括安全设备,如Web应用安全防护WAF、流量分析检测NTA等自身运行日志情况以及各类拦截阻断和放行的告警日志;⑤网络日志包括各类网络设备交换机、路由器等运行日志和配置信息.
3) 人员技能层面.应急响应人员应具备以下能力:①基础技能技术,包括系统基本系信息、用户信息、启动项信息、计划任务、进程排查、服务排查、文件痕迹排查等能力;②恶意代码技术,具备病毒、蠕虫、木马、Rootkit等恶意代码排查和清除能力;③终端检测与响应技术,具备网络连接及进程分析、可疑用户排查、历史命令排查、可疑文件排查等能力;④电子取证技术,包括具备内存镜像、易失信息提取、文件复制保存等技术能力.
4) 职责分工层面.①应急指挥中心:制定应急处置制度和预案并宣传、培训和演练,检查安全事件隐患,指挥安全事件应急处置及善后工作.②安全主管部门:负责安全事件的应急响应的统一协调和资源调度处置工作.③业务部门:负责安全事件发生时的业务方面的应急工作.④财务部门:负责安全事件发生时的专项财务预算审批支持和调拨,确保能够及时采购应急资源.
5) 通报处置层面.①应急预案机制:建立健全网络安全应急预案,明确应急目标、组织和处置流程,应急场景应当覆盖网络安全事件等.②事件分类机制:发生网络安全事件,在应急处置和调查处理时,应依据事件影响程度及范围进行分类.③演练情况报告:证券机构每年至少开展1次演练,并将总结报告报送至监管机构及行业协会.④应急处置机制报告:建立应急处置机制,及时处置网络安全事件,尽快恢复信息系统正常运行,保护事件现场和相关证据,向监管机构如实报告.⑤安全事件通报:发生网络安全事件对投资者造成影响的,及时通过官方网站等有效渠道通知相关方可以采取的替代方式或者应急措施,提示相关方防范和应对可能出现的风险.⑥监管预警处置:针对监管通报的漏洞及各类攻击组织信息,做好自查、检查工作并记录台账,建立特定关系人联络制度,及时进行信息报送工作等.
6) 宣传培训层面.①宣传教育:利用各类组织媒介对客户和内部员工定期推送安全事件应急处置的法律法规和政策宣传,归纳总结安全事件常见形式,开展安全知识竞赛技能活动,提高客户及员工安全意识,减少安全事件的发生及减少损失.②培训教育:定期组织内外部结合的员工安全意识培训课程,并纳入个人绩效考核.
根据上述指标构建过程,构建评价指标体系,如表1所示:
表1 评价指标体系
采取层次分析法确定指标的权重,层次分析法的步骤如下:
1) 构建判断(成对比较)矩阵.
所谓判断矩阵是以矩阵的形式表述每个层次中各要素相对其上层要素的相对重要程度.为了使各因素之间进行两两比较得到量化的判断矩阵,引入托马斯·赛蒂的1~9标度法[15],如表2所示:
表2 标度及描述
2) 计算过程与方法.
用几何平均法可以计算特征值的近似值[16-17].
① 将判断矩阵各行连乘:
(1)
② 将各行连乘结果开n次方,得到特征向量bi:
(2)
③ 将bi归一化,w即为B的特征向量的近似值,得到指标权重向量:
w=(w0,w1,w2,…,wn)T.
(3)
(4)
④ 求指标权重向量w对应的最大特征值:
(5)
⑤ 用一致性指标进行检验:
(6)
一致性指标RI与N阶矩阵对应关系为:N(1,2,3,4,5,6,7,8)→RI(0,0,0.58,0.90,1.12,1.24,1.32,1.41).
3) 判断矩阵计算过程及结果.
判断矩阵采用专家问卷的形式获得,经过对多位专家的意见进行整理和统一,构建判断矩阵,如表3所示:
表3 目标层与一级指标层两两比较判断矩阵
依据式(1)~(6)计算过程如下:
连乘结果:
开n次方,得到特征向量bi:
将bi归一化,得到指标权重向量:
0.2780,0.4438,0.0219)T.
权重向量W对应的最大特征值:
求得λmax=6.4855,对于该判断矩阵,n=6,RI=1.24,CI=(6.4855-6)/5=0.0971,CR=0.0971/1.24=0.0783<0.1.故判断矩阵通过一致性检验.
同理可计算得到各二级指标的权重,判断矩阵、权重及一致性检验结果.
4) 指标权重结果及层次总排序.
计算出准则层和各指标层的指标权重之后,为了更好地比较各指标层的重要度大小,需要计算其全局权重,方法为各二级指标层乘以其对应的一级指标层权重[18-20].最后对层次分析法所得到的权重值进行整理,得到最终权重及排序如表4所示:
表4 指标权重及排序
1) 确定评价对象.
因素集是影响评价对象的各个因素所组成的一个集合,用U表示:设U={U1,U2,…,Un},在本文中,U就是表1中的25个二级指标层指标.
2) 确定评价标准.
评价集是评价者对判断对象作出的各种总的评判所组成的一个集合,根据实际情况,将评价等级划分为高、较高、中等、低4个层次.用模糊评判向量V表示:设V=(V1,V2,V3,V4).在评价因素时,模糊矩阵运算后得到的是一个模糊向量,不能直接用于结果评价,因此对各等级进行赋值.等级高取值为0.9,区间为[0.7,0.9];等级较高取值为0.7,区间为[0.5,0.7),等级低取值为0.3,区间为[0.1,0.3).
3) 确定指标权重.
指标权重由第2节表4层次分析法得到.
4) 确定样本矩阵.
从证券行业内抽选5位网络安全相关领域的专家组成评价小组,根据评价准则对各单项指标进行打分,分数在0~1之间取值,得到i因素第j指标的评价向量为(Xij1,Xij2,…,Xijw),构成评价矩阵.5位专家对网络安全事件应急响应能力各评价指标打分,如表5所示:
表5 专家打分结果
5) 建立评价灰类.
采用灰色理论的灰评估方法计算出评价指标的权矩阵.按照灰类给各定性指标作白化函数.4个灰类对应的白化函数如下:
计算灰色统计数,以流量分析工具C1指标为例,其各灰类统计数为
f1(x13)+f1(x14)+f1(x15)=0.6667+0.8889+0.7778+0.6667+0.7778=3.7778,
f2(x13)+f2(x14)+f2(x15)=0.8571+0.6667+1.0000+0.8571+1.0000=4.3810,
f3(x13)+f3(x14)+f3(x15)=0.8000+0.4000+0.6000+0.8000+0.6000=3.2000,
f4(x13)+f4(x14)+f4(x15)=0.5714+0.2857+0.4286+0.5714+0.4286=2.2857.
同理,可以得出其他指标的灰色统计数,如表6所示:
表6 灰色统计数结果
计算灰色评估权值,形成权矩阵,对于流量分析工具C1,属于各灰类的评估数为
同理可以依次计算出各指标属于各灰类的评估数,可以组成一个矩阵R,如表7所示:
表7 综合模糊矩阵
根据表8建立指标层综合模糊矩阵:
表8 其他二级指标测评结果
1) 工具运用B1的测评.
WB1=(0.3846,0.3674,0.1738,0.0742),
SB1=WB1RB1=(0.2522,0.3109,0.2549,0.1820).
2) 日志覆盖B2的测评.
SB2=WB2RB2=(0.2701,0.3184,0.2401,0.1715).
3) 人员技能B3的测评.
SB3=WB3RB3=(0.2353,0.3025,0.2600,0.2022).
4) 职责分工B4的测评.
SB4=WB4RB4=(0.3815,0.3049,0.1829,0.1307).
5) 通报处置B5的测评.
SB5=WB5RB5=(0.3826,0.3004,0.1849,0.1321).
6) 宣传培训B6的测评.
SB6=WB6RB6=(0.1977,0.2542,0.3198,0.2284).
多因素模糊测评,目标层A的综合测评为
SA=WARA=(0.3457,0.3036,0.2038,0.1469).
综合测评结果为
Mi=SiV,MA=(0.3457,0.3036,0.2038,0.1469)
评价结果为0.6696,按照前面的评价准则,网络安全事件响应综合能力属于较高.
为了进一步分析各指标具体的表现情况,同理可算出其他指标得分及评价,如表8所示:
以X证券为例,从综合评价、指标层、准则层评价该公司网络安全事件应急响应能力:
1) 综合评价.
网络安全综合应急响应处置能力为较高,综合评分为0.6696,接近于评语高级别[0.7,0.9],已建立较为完备的覆盖整体网络安全事件应急响应流程的框架、制度、体系、流程和人员,具备对网络安全事件应急响应处置的较高能力水准,能够及时处置各类安全事件,有效保障业务稳定安全运行.
2) 指标层评价.
6项二级指标中各项能力均处于较高级别.职责分工B4评分最高,职责清晰分工明确的安全事件响应组织架构是各类安全事件能够快速响应处置的必要保证,确保责任到人、操作到位;通报处置B5评分第二,顺畅的通报机制和高效的处置流程能够在第一时间调动资源分发指令,各环节的紧密配合协作满足了内外部业务发展和监管要求的合规指引;工具运用B1和日志覆盖B2排名较为靠前,在工具储备和日志收集方面,工具覆盖各类事件的处置需求和应用场景需要,能够为事件的止损和调查分析提供支撑,日志的全面性能够帮助事件处置人员分析各类诱因和排查隐患,从而明确响应处置方向和关注要点,提高响应效率和缩短排查时间;人员技能B3和宣传培训B6评分较为落后,原因分析为事件驱动下的技能要求难以全量储备和运用,可以借助外部安全厂商的力量和支持,在发生安全事件时及时沟通协调厂商入场协助处置,建立行业间共享专项安全专家机制,宣传培训方面仍需加大宣传力度和培训频度及覆盖范围,从事前、事中、事后多个层次和维度强化安全意识的培训,从意识层面改进安全事件的认识水平和防范能力.
3) 准则层评价.
准则层中,应急指挥中心C14、应急处置机制C21、监管预警处置C23评分较高,为0.7035,电子取证技术C13评分为0.5314,排名最后,其他准则层指标评分为较高均衡分布在0.5818~0.6828.应急指挥中心C14是安全事件响应处置的“中枢”,指标权重为0.1192,综合评分为0.7035,排名第一,是安全事件应急响应中最重要和资源投入最充裕的区域;应急处置机制C21指标权重为0.1163,综合评分为0.7035,排名第二,应急处置机制的完备性和非事件发生时常态下的运营对于紧急情况下的响应至关重要;监管预警处置C23指标权重为0.1108,综合评分为0.7035,排名第三,表明监管层面的通告预警处置和信息报送与安全合规息息相关,在安全事件应急处置中占据相当重要的比例,需要投入较多的关注和资源倾斜;电子取证技术C13要求复杂难度高,一般证券行业机构很难具备相应技术和能力,需要从其他方面改进优化,弥补该项不足.
本文以构建证券机构网络安全事件应急响应能力指标体系为基础,通过模糊层次分析和模糊综合评价方案方法,建立了证券安全事件响应能力评价模型,并以X证券为目标进行了实例验证研究.结果表明,证券机构在内部业务需求和外部监管要求下安全事件应急响应能力A评价较高;指标层中涉及职责分工B4和通报处置B5评分较高,人员技能和宣传培训略有不足;准则层中应急指挥中心C14、应急处置机制C21、监管预警处置C23评分为高,电子取证技术C13评分落后,其他准则层评分均为较高,整体能力处于较高级别.
本文模型构建上沿用了行业安全事件应急响应传统指标和扩展延伸,新增了部分新指标,体现了网络安全继承与发展的变化趋势;采用主客观结合的方式,将模糊层次分析法、模糊灰色综合评价法和专家判断法有机结合在一起,避免了主观的随意性和客观脱离实际机械化的情况,解决了不同专家对同一特定指标评价结果差异性较大的问题;通过实例验证和分析,为行业提供了应用案例和实践参考.