王秉政，許玉娜

（中國電子技術(shù)標準化研究院，北京100007）

1 引言

自動化網(wǎng)絡(luò)攻擊技術(shù)飛速發(fā)展，使得信息系統(tǒng)面臨的網(wǎng)絡(luò)攻擊與日俱增，系統(tǒng)的安全缺陷很快就會被攻擊者挖掘并利用。大多數(shù)組織會采取必要的手動缺陷檢測和評估措施，包括安全控制評估技術(shù)和系統(tǒng)安全信息分析技術(shù)。然而，面對攻擊者利用大量的安全缺陷快速實施網(wǎng)絡(luò)攻擊的現(xiàn)狀，手動檢測評估時間和資本投入高，并很難取得預(yù)期的評估效果。

近年來，美國NIST發(fā)布了NISTIR 8011系列研究報告，卷1《安全控制評估自動化支撐》提出了一個可操作的安全控制措施自動化評估通用方法，卷2、卷3和卷4分別就硬件資產(chǎn)、軟件資產(chǎn)、軟件漏洞等安全管理的自動化評估給出了實現(xiàn)案例。系列研究報告最終由13卷組成，其他卷將分別對安全配置、信任、邊界、事件等管理能力進行自動化評估方案描述。

2 安全風(fēng)險管理框架

美國國家標準與技術(shù)研究院（NIST）從生命周期的角度定義了風(fēng)險管理框架（RMF），以信息系統(tǒng)分類為起點，依次經(jīng)過安全控制選擇、安全控制實施、安全控制評估、信息系統(tǒng)授權(quán)、安全狀態(tài)監(jiān)控等環(huán)節(jié)，如圖1所示?？蚣芨鳝h(huán)節(jié)實施過程可參考NISTSP 800相關(guān)標準。風(fēng)險管理框架提供了將信息安全和風(fēng)險管理活動整合于系統(tǒng)開發(fā)生命周期的結(jié)構(gòu)化流程，持續(xù)監(jiān)控是風(fēng)險管理流程中的關(guān)鍵部分，通常可在初始評估和授權(quán)環(huán)節(jié)之后實施ISCM策略下的自動化評估過程，進行系統(tǒng)安全操作和維護階段的安全控制性能持續(xù)監(jiān)控。

3 ISCM安全策略

信息安全持續(xù)監(jiān)控（ISCM）安全策略通過對組織的安全威脅和風(fēng)險進行持續(xù)性監(jiān)控，保障系統(tǒng)受到安全威脅而發(fā)生變化時仍運行在可接受的風(fēng)險范圍內(nèi)，并為其風(fēng)險管理決策提供支持。ISCM安全策略具體目標為：（1）幫助管理員為組織設(shè)定優(yōu)先級和管理風(fēng)險；（2）提供相關(guān)指標，衡量組織各層級的安全狀況；（3）監(jiān)控安全控制措施的持續(xù)有效性；（4）驗證是否符合信息安全要求，符合組織任務(wù)、職能、法律法規(guī)和標準等；（5）持續(xù)關(guān)注系統(tǒng)運行中的安全威脅。

在實施ISCM策略前，需對ISCM策略進行定義，范圍涵蓋技術(shù)、流程、外部環(huán)境與人為管理等，具體可包括風(fēng)險管理與評估、系統(tǒng)工程彈性執(zhí)行、操作動態(tài)管理、事件管理、異常檢測、應(yīng)急響應(yīng)與修復(fù)等。組織運營者可根據(jù)特定的安全目標，自定義ISCM中的安全能力或添加附加功能。

4 自動化安全控制評估流程

自動化安全控制評估通過采集、記錄、分析系統(tǒng)狀態(tài)信息，定位可能的安全控制措施失效風(fēng)險點，以評估控制措施實施的正確性和有效性，具體流程如圖2所示，主要包括八個步驟：（1）定義安全能力，確立安全目標；（2）收集真實狀態(tài)信息；（3）定義目標狀態(tài)規(guī)范信息；（4）真實和目標狀態(tài)信息對比分析并實施缺陷檢測；（5）定義安全評估計劃；（6）風(fēng)險評估與打分；（7）定義風(fēng)險評估結(jié)果；（8）評估結(jié)果響應(yīng)，如果風(fēng)險不能被接受，則需要持續(xù)調(diào)整真實狀態(tài)或目標狀態(tài)。

4.1 前期準備

從手動安全控制評估過渡到自動安全控制評估，需要做好一些準備工作，用以支持自動化運行的ISCM數(shù)據(jù)采集系統(tǒng)與可視化信息系統(tǒng)：（1）實際狀態(tài)與行為信息的數(shù)據(jù)化標識；（2）目標狀態(tài)與行為的規(guī)范化數(shù)據(jù)標識，能夠與實際狀態(tài)信息進行比較；（3）定義一種能夠計算識別缺陷（目標狀態(tài)與實際狀態(tài)間的差異）的方法；（4）定義一種自動化安全評估報告模板，以便組織進行基于風(fēng)險的分析決策；（5）設(shè)置缺陷檢查完整性和及時性的結(jié)構(gòu)性閾值。

圖1 信息安全風(fēng)險管理框架

完整性和及時性是評價缺陷檢測效果的兩大因素。完整性表示自動化評估方法能夠?qū)λ锌赡芫哂写巳毕莸谋辉u估對象進行必要的缺陷檢測。及時性表示對缺陷評估對象組合的測試周期至少與ISCM策略中指定的頻率相同，使得自動化評估系統(tǒng)能在黑客利用系統(tǒng)缺陷前就發(fā)現(xiàn)缺陷并預(yù)留時間做出響應(yīng)。

4.2 安全能力定義

安全能力是指一組由技術(shù)、物理和過程方法實現(xiàn)的相互增強的安全控制措施的集合。為便于自動化評估操作，需將系統(tǒng)安全能力架構(gòu)進行抽象分層。抽象分層能夠建立跨層級跨能力的協(xié)同操作，為安全控制措施的選擇和安全能力的重構(gòu)提供指引。

（1）攻擊步驟層。從惡意攻擊視角定義攻擊步驟模型，具體步驟可包括獲取內(nèi)部權(quán)限、發(fā)動內(nèi)部攻擊、獲得內(nèi)部據(jù)點、獲取持續(xù)攻擊條件、擴大攻擊范圍并提升內(nèi)部權(quán)限級別、完成攻擊目的等，系統(tǒng)運營者在特定環(huán)境下可定義或附加其他攻擊步驟

（2）安全能力層。安全能力是一系列相輔相成的安全控制措施的集合，一項安全控制措施可以支持多項安全能力。安全能力與攻擊步驟間能夠構(gòu)建映射關(guān)系，用于追蹤安全能力防范特定攻擊的過程

（3）安全子能力層。安全能力由子能力構(gòu)成，子能力具有唯一確定性，且僅屬于其對應(yīng)的安全能力。不同的安全能力下可定義相似的子能力。安全子能力的關(guān)鍵在于能夠定義其對應(yīng)的缺陷檢測方法，用來檢測安全目標是否實現(xiàn)，最適合開展自動化評估

（4）控制條目層。安全控制項包含基線級控制和增強級控制，均可細化為多項控制條目，以確保每項控制措施都是獨立可測試的，一項控制條目可支持多重安全能力要求

4.3 信息收集

ISCM信息收集系統(tǒng)包含收集器，存儲單元、協(xié)調(diào)中心、分析引擎、報告生成器與可視化界面。其中，協(xié)調(diào)中心用于協(xié)調(diào)收集器收集時間和事件驅(qū)動數(shù)據(jù)；分析引擎用于查找缺陷并鑒別所需的事件驅(qū)動數(shù)據(jù)，協(xié)助通過風(fēng)險評分方法進行優(yōu)先級排序和響應(yīng)。

查找缺陷的核心要素是目標狀態(tài)的規(guī)范標識，目標狀態(tài)是指組織為降低系統(tǒng)安全風(fēng)險，通過數(shù)值、列表或規(guī)則等定義的機器可讀的定義值，用與實際狀態(tài)值進行比較，兩個值不匹配則表示一個或多個安全控制的有效性存在缺陷。真實狀態(tài)數(shù)據(jù)被信息收集器收集，數(shù)據(jù)收集器可以是傳感器、掃描儀、數(shù)字輸入設(shè)備等。

4.4 對比分析

圖2 自動化安全控制評估流程

對比分析過程旨在通過計算真實狀態(tài)和目標狀態(tài)信息的差異進行缺陷檢測。缺陷檢測通常以安全子能力為單位，基于判定語句對評估對象進行自動化驗證。缺陷檢測過程中需要進行文檔化處理，文檔信息包括缺陷檢測信息和應(yīng)對措施，列出缺陷檢測名稱、評估標準、子能力名稱及目標、評估標準筆記、選擇該缺陷與否、缺陷響應(yīng)等信息。在完成缺陷檢測后，應(yīng)當(dāng)基于真實狀態(tài)和目標狀態(tài)對風(fēng)險進行評分、排序和響應(yīng)。

4.5 評估計劃制定

制定評估計劃是針對ISCM中每項安全能力設(shè)計評估文檔（包含評估過程和評估方法），方便組織根據(jù)缺陷檢測信息定位到被評估的安全控制措施。評估計劃文檔針對評估目標描述判定語句、評估方法、缺陷檢測原理等內(nèi)容。缺陷檢測原理部分需將缺陷檢測的評估標準映射到判定語句的描述中。

4.6 評估結(jié)果報告

在評估過程中，通過恰當(dāng)?shù)膮?shù)設(shè)定，能夠自動化獲得評估結(jié)果文件。其中，調(diào)整的參數(shù)包括評估范圍、授權(quán)邊界及評估對象分類。安全評估報告應(yīng)當(dāng)包括詳細的系統(tǒng)缺陷、責(zé)任方和設(shè)備缺陷的列表，詳細的缺陷引發(fā)的全局風(fēng)險列表，組織機構(gòu)定義的優(yōu)先解決的缺陷，總結(jié)安全能力、防范管理和系統(tǒng)引發(fā)的安全級別，評估給定風(fēng)險水平的后果，以促進風(fēng)險管理決策，投資決策。

4.7 評估結(jié)果響應(yīng)

評估結(jié)果響應(yīng)根據(jù)優(yōu)先級排序?qū)λ鶎侔踩?zé)任團隊發(fā)布缺陷檢測結(jié)果并實施補救措施，必要時需要對補救措施進行重新評估。缺陷檢測結(jié)果可能與一個或多個控制項失效有關(guān)，可依據(jù)控制項（包含子條目）到安全目標的因果邏輯關(guān)系進行缺陷定位。定位分析過程信息可用于確定修復(fù)故障控件的優(yōu)先順序，協(xié)助判定控制失效的風(fēng)險是否在可接受范圍內(nèi)。

定位分析方法有兩種：一是基于安全控制類型分析，從安全控制措施生命周期的角度檢驗問題階段，對于重復(fù)性缺陷問題，可從系統(tǒng)性角度考慮控制項實施的預(yù)期生命周期，查看是否由早期生命周期的缺陷（即工程缺陷）引發(fā)的問題；二是基于缺陷類型分析，預(yù)測缺陷對安全目標產(chǎn)生的影響與級別。

5 應(yīng)用與展望

隨著網(wǎng)絡(luò)架構(gòu)與網(wǎng)絡(luò)環(huán)境日益復(fù)雜化，各國對重點領(lǐng)域網(wǎng)絡(luò)安全防護與實時監(jiān)控愈發(fā)重視。我國《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，國家采取措施，監(jiān)測、防御、處置來源于中華人民共和國境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險和威脅，保護關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治網(wǎng)絡(luò)違法犯罪活動，維護網(wǎng)絡(luò)空間安全和秩序。ISCM策略為系統(tǒng)安全控制評估提供持續(xù)性信息支撐，成為服務(wù)系統(tǒng)級安全自動化評估的參考模型，實施ISCM自動化安全評估工程對加強關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域安全防護與實時監(jiān)控能力具有重要的現(xiàn)實意義。

圖3 ISCM信息收集系統(tǒng)

當(dāng)前，安全評估與監(jiān)控能力的建設(shè)，更多地聚焦在流程化聚合的方式上，各體系間基于知識的應(yīng)用與交互存在錯位和缺失，為更好地彌補安全評估中的不確定性。未來自動化安全評估與監(jiān)控技術(shù)應(yīng)以安全智能化為方向，著眼于獲取空間級安全信息、決策、執(zhí)行和成本優(yōu)勢，積極應(yīng)用大數(shù)據(jù)、人工智能等新技術(shù)成果，構(gòu)建與安全信息感知、分析、決策、處置、防御、各層級優(yōu)化交互模式，使組織和系統(tǒng)具備更智能的內(nèi)部風(fēng)險感知、缺陷精準定位、快速決策響應(yīng)、協(xié)同安全防護的體系化能力。

6 結(jié)束語

本文以安全能力為切入點，系統(tǒng)地研究了ISCM策略下自動化安全控制評估機制，對大規(guī)模網(wǎng)絡(luò)與信息系統(tǒng)的安全監(jiān)控與評估提供了參考。隨著自動化信息處理與安全技術(shù)的飛速發(fā)展，實施自動化安全控制評估工程的條件日漸成熟，推動自動化、智能化安全控制評估工程的研究與實施，將會更好地服務(wù)保障重大網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險與威脅防范工作。