◆戚 犇 郭 靖

（中國人民公安大學 北京 100038）

信息安全等級保護中的態(tài)勢感知

◆戚 犇 郭 靖

（中國人民公安大學 北京 100038）

近年來，隨著我國科學技術水平的飛速發(fā)展，互聯網、專網、大數據、云計算、物聯網、移動互聯網等給我國的網絡社會增添了很多活力。但是網絡安全問題也日趨嚴重。一方面是不法分子可利用的網絡漏洞越來越多，網絡詐騙、網絡色情、網絡賭博等問題變得越來越猖獗；另一方面，網絡上的大國博弈也越來越普遍，網絡變成了國家政治角力的競技場。態(tài)勢感知技術是等級保護工作中的一把利劍。在等級保護中起到重要作用。

信息安全等級保護；態(tài)勢感知；算法

0 前言

信息安全等級保護制度與網絡生活息息相關，它維護了網絡生活的秩序，但是網絡上的不法現象仍十分嚴重。因此，在智能化、大數據、物聯網、云計算出現的關鍵節(jié)點上，需要找到新技術、新方法、新思路彌補之前網絡安全保護工作的不足。

1 信息安全等級保護

1.1 等級保護的概念、目標

信息安全等級保護制度，主要是對我國關鍵基礎設施和重要行業(yè)信息系統(tǒng)的安全保護。等級保護的戰(zhàn)略目標是通過對重要關鍵基礎設施、信息系統(tǒng)、大數據、云平臺、工控系統(tǒng)的保護，提高網絡安全在主動防御、監(jiān)測發(fā)現、通報預警、快速處置、情報信息、監(jiān)督管理和態(tài)勢感知方面的能力。信息安全等級保護體系將全國的信息系統(tǒng)、關鍵基礎設施分成5個安全保護等級，重要性逐級增加，以此來對其進行監(jiān)管和保護。其中二級及二級以上的信息系統(tǒng)需要在公安系統(tǒng)進行備案，并在有關部分的監(jiān)管指導下進行定級、備案、建設、測評、檢查[1]。由此來防護網絡安全問題并進行應急響應。

1.2 等級保護的重要環(huán)節(jié)和技術

等級保護的主要環(huán)節(jié)就是定級、備案、安全建設、安全測評和安全檢查。

一是定級。信息系統(tǒng)所屬的單位按照《信息安全等級保護管理辦法》和《信息安全等級保護指南》初步給系統(tǒng)定級。運營單位提出信息系統(tǒng)所屬等級以后交由專家進行評審，評審結果產生后，交由公安機關進行審核保護。

二是備案。公安機關對二級及二級以上的信息系統(tǒng)進行審核和備案，并根據《信息安全等級保護備案實施細則》發(fā)放相應的證明。

三是安全建設整改工作。被要求整改的部門要從本單位的安全需求作為出發(fā)點和落腳點，按照等級保護安全建設的相關要求對建設整改工作進行設計、規(guī)劃、實施。

四是安全測評和安全檢查。安全測評可以發(fā)現關鍵基礎設施和信息系統(tǒng)中存在的問題，可以提高相應的保護能力。公安機關對需要監(jiān)管的信息系統(tǒng)的安全進行檢查。

為了達到測評、整改、建設的要求，根據《信息安全等級保護基本要求》的規(guī)定，針對不同的信息系統(tǒng)提出了相應的要求。要求包括技術要求和管理要求兩大類，管理要求包括對整改單位的組織建設、能力建設、教育培訓等。技術要求包括對訪問限制、身份驗證、入侵檢測等。

1.3 網絡安全綜合防御體系

網絡安全綜合防御體系是在信息安全等級保護之上進行的安全管理、評估、安全建設、安全風險體系建設。其中，安全風險體系主要作用是進行風險規(guī)避。信息系統(tǒng)運行過程中存在諸多的風險，包括信息系統(tǒng)敏感信息的泄露，有組織、有目的的網絡攻擊以及測評工作產生的風險問題，安全風險體系負責將局域網或者信息系統(tǒng)發(fā)生危害時控制在可控范圍。安全管理體系主要是通過管理，明確領導機構和責任部門按照相關規(guī)定進行管理。

2 態(tài)勢感知技術

2.1 態(tài)勢感知的概述

態(tài)勢感知（Situation Awareness）是近年討論的熱門話題。主要是經過數據融合技術、數據挖掘技術以及統(tǒng)計學的知識，實現對網絡狀態(tài)的提取、分析及預測，及時遏止網絡安全事件的發(fā)生，提高網絡空間的通報預警能力、安全監(jiān)控能力、可視化技術，提高整個網絡的防御體系。同時態(tài)勢感知也為等級保護中的建設、測評提供重要的依據。

態(tài)勢感知的技術源于航天事業(yè)的研究，后來在軍事、交通、醫(yī)學、經濟方面都發(fā)揮了重要的作用。Endsley認為態(tài)勢感知是“一定時空條件下，對環(huán)境因素的獲取、理解以及對未來狀態(tài)的預測”[2]。態(tài)勢感知的模型如圖1所示。

圖1 態(tài)勢感知模型圖[2]

由圖1可以直觀的知道態(tài)勢感知的三個方面，首先從大規(guī)模的多源異構的網絡中將態(tài)勢因子提取出來。態(tài)勢因子，就是可以代表網絡狀態(tài)的因子，例如，網絡流量日志、系統(tǒng)硬件數據、入侵檢測數據等。態(tài)勢感知需要人的主體性認識，涉及到一個人對客觀態(tài)勢的分析。

2.2 國外態(tài)勢感知的研究

圖2 NSSA模型結構圖

1988年，M.R.Endsley在設計飛機系統(tǒng)時，在他的論文里對感知進入進行了描述。后來，Endsley又提出了動態(tài)系統(tǒng)態(tài)勢感知理論，將人類決策的理論融入到態(tài)勢感知的模型中[3]。在動態(tài)的系統(tǒng)感知中，決策是跨越一定的空間和時間并且向上凝聚的一個過程，并且與網絡環(huán)境息息相關。圖2是NSSA模型結構圖。

2.3 態(tài)勢感知關鍵技術

2.3.1 態(tài)勢評估

態(tài)勢感知中態(tài)勢評估為網絡安全的態(tài)勢決策和態(tài)勢預測提供數據支持、安全模式識別、降低安全風險。由NSSA模型，可以將態(tài)勢感知分成三個部分。一是資產識別，資產識別是態(tài)勢評估的首要問題。所以我們首先要關注對資產安全的保護。資產識別主要識別的是網絡主機上的信息。包括兩個部分：資產賦值和資產自動識別。資產自動識別包括軟件資產和硬件資產的識別。二是脆弱性評估。首先要進行脆弱性識別。脆弱性識別是對系統(tǒng)中的系統(tǒng)的信息、漏洞補丁、安全軟件等進行掃描，查出哪些端口有漏洞等。展示出系統(tǒng)最容易遭受攻擊的地方，然后針對系統(tǒng)的脆弱性進行評估。三是威脅檢測。威脅檢測是對系統(tǒng)的內容進行檢測。通過對系統(tǒng)日志、應用程序行為的檢測，判斷系統(tǒng)是否處于危險之中。威脅檢測能夠保障系統(tǒng)的安全，在出故障之前檢測出系統(tǒng)的漏洞。

因此可以通過對資產評估、脆弱性評估以及威脅評估來評估系統(tǒng)的安全狀態(tài)。

2.3.2 態(tài)勢預測

態(tài)勢預測主要是基于數據挖掘技術。數據挖掘融合了人工智能、統(tǒng)計學、機器學習等關鍵技術，在安全態(tài)勢的理解與預測中發(fā)揮了重要作用[4]。在態(tài)勢感知的模型構建中，常常利用分類分析中的支持向量機算法、神經網絡算法、貝葉斯算法對態(tài)勢預測和感知。

2.4 態(tài)勢感知模型

2.4.1 支持向量機模型

支持向量機算法是知名的十大算法之一，是基于統(tǒng)計學理論和VC維理論的機器學習算法。在一個平面的空間內，將兩類點分離開來，我們首先需要在這兩類點中畫一條線，使得這兩類各居一邊，也就是在樣本空間內找到一個劃分的超平面，將樣本分開。如何找到這個超平面，就是我們需要考慮的問題。通過將平面上的劃分方法進行映射，得到多維平面上支持向量機的劃分方法。平面上劃分超平面的線性方程為：。在多維平面上的支持向量機公式為[5]：

通過這種算法我們將復雜多變的網絡數據轉換成維度空間的點然后利用支持向量機模型進行分類。

2.4.2 貝葉斯網絡模型

貝葉斯網絡是貝葉斯公式的一種延伸，在統(tǒng)計學上經常用到。簡單來說，就是通過條件概率進行分類。貝葉斯公式[6]：

貝葉斯公式常用到兩種概率：先驗概率和后驗概率。

貝葉斯網絡是將各個事件之間的關系形成一個有向無環(huán)圖。通過有向無環(huán)圖的各個節(jié)點之間條件概率的獨立性和節(jié)點之間的依賴關系，通過復雜父節(jié)點的先驗概率得出變量的分類。也就是說，通過判別網絡態(tài)勢因子的條件概率以及他們之間的依賴關系來評估網絡態(tài)勢。

3 綜合安全防御體系下的態(tài)勢感知

綜合安全防御體系是以等級保護的工作為抓手，目的是加強行業(yè)管理和技術防范，提高網絡安全保障能力。下圖是等級保護綜合防御體系。

圖3 等級保護綜合防御體系圖[1]

圖中，跟信息安全等級保護相配套的技術措施包括應急處理、能力建設、技術檢測、安全可控等。態(tài)勢感知是這類技術得以實現的重要基礎。態(tài)勢感知為系統(tǒng)的評估、預警、處置、防御提供了可靠的依據，讓網絡安全的被動防御變?yōu)榱酥鲃臃烙?，提高了網絡安全。保障了國家關鍵基礎設施。

4 總結

等級保護是態(tài)勢感知的重要基礎，態(tài)勢感知對等級保護工作起到了重要的支撐作用。通過對系統(tǒng)、程序、終端等行為的實時監(jiān)測得到有關網絡的流量、日志、事件的信息，利用基于行為和內容的檢測方法，對網絡、系統(tǒng)的狀態(tài)進行評估和預警。這將對網絡安全保障工作中的研判、偵察、追蹤溯源、情報等提供重要依據，有利于整體網絡狀態(tài)的穩(wěn)定，提高了快速處置的能力。因此，態(tài)勢感知技術將在我國的等級保護體系中持續(xù)發(fā)揮重要作用。

[1]公安部信息安全等級保護評估中心.信息安全等級保護政策培訓教程[M].電子工業(yè)出版社，2010.

[2]王慧強，賴積保，朱亮.網絡態(tài)勢感知系統(tǒng)研究綜述[J].計算機科學，2006.

[3]陳娜.網絡安全態(tài)勢感知體系及關鍵技術研究[J].自動化與儀器儀表，2015.

[4]李碩，戴欣，周渝霞.網絡安全態(tài)勢感知研究進展[J].計算機應用研究，2010.

[5]謝錦彪.內網安全態(tài)勢感知技術的研究與實現[D].廣東工業(yè)大學，2015.

[6]李艷美.基于貝葉斯網絡的數據挖掘應用研究[D].西安電子科技大學，2008.