朱嶷東 薛 質(zhì) 王洪濤 劉 宏 吳晨煒 胡廣躍

1(國金證券股份有限公司 上海 201204)

2(上海交通大學網(wǎng)絡空間安全學院 上海 200240)

3(海通證券股份有限公司 上海 200001)

4(光大證券股份有限公司 上海 200040)

證券期貨業(yè)網(wǎng)絡安全事件是指由于人為原因或非人為等其他因素,發(fā)生網(wǎng)絡和信息系統(tǒng)服務能力異?；蛘邤?shù)據(jù)損毀、泄露,通過對證券期貨業(yè)網(wǎng)絡和信息系統(tǒng)或者數(shù)據(jù)造成影響,進而影響國家金融安全、社會秩序等方面的事件[1].監(jiān)管層面要求證券機構(gòu)建立應急處置機制,及時處置網(wǎng)絡安全事件,盡快恢復信息系統(tǒng)正常運行,保護事件現(xiàn)場和相關(guān)證據(jù),向中國證監(jiān)會及其派出機構(gòu)進行無欺瞞行為的應急報告的陳述說明[2].證券網(wǎng)絡安全事件應急響應的目的在于預防和減少安全事件帶來的損失和傷害,維護國家金融安全和社會穩(wěn)定,保障投資者的合法利益[3].

在網(wǎng)絡安全事件應急研究方面,馮濤等人[4]以目前的應急響應技術(shù)為基礎(chǔ),提出了一套網(wǎng)絡安全事件應急響應聯(lián)動系統(tǒng)的基本模型,討論了應急響應聯(lián)動的概念與意義,并詳細分析了應急響應聯(lián)動的組織功能、運行方式、策略研究、軟件平臺和若干關(guān)鍵技術(shù).張臻等人[5]在全面梳理相關(guān)政策法規(guī)文件基礎(chǔ)上,從法律體系、組織體系和運行體系方面系統(tǒng)分析了美國網(wǎng)絡安全應急管理體系的內(nèi)容和特點,結(jié)合我國實際,提出了加快建立法律體系、健全網(wǎng)絡安全應急指揮體系、完善事件分級響應機制、建立信息共享機制和多種突發(fā)事件的應急協(xié)調(diào)機制5點啟示.陳美華等人[6]通過網(wǎng)絡調(diào)研及內(nèi)容分析法解讀了美國相關(guān)政策對網(wǎng)絡安全事件的定義、分級、重大網(wǎng)絡事件應急響應的戰(zhàn)略框架及工作流程等內(nèi)容;總結(jié)了響應過程中情報保障的突出特色,以及對我國重大網(wǎng)絡安全事件響應的情報工作研究啟示及建議.

在模糊灰色綜合評價方法方面,馮旭剛等人[7]提出了一種基于信息熵-灰色模糊融合模型的火電機組燃燒檢測儀器綜合性能評價方法,建立了信息熵-灰色模糊評價模型,與單因素分析方法相比,該模型在評價結(jié)果上具有一致性,在多數(shù)據(jù)分析和去人為干擾中表現(xiàn)出更好的綜合評價效能.劉永磊等人[8]使用STRIDE威脅模型建立指標體系,使用模糊綜合評價方法對交易進行風險評估,并建立了基于可信網(wǎng)絡連接的威脅緩解模型,根據(jù)評估結(jié)果對移動支付交易進行安全性增強,在評估中使用量化指標并達到了交易級細粒度的風險評估.蔡青等人[9]根據(jù)網(wǎng)絡防御作戰(zhàn)的特點,分析了網(wǎng)絡防御作戰(zhàn)4項能力需求,選取了評估指標,對效能評估方法層次分析法/熵值法和灰色模糊綜合評價法進行分析,說明其適用性,并建立了評估指標模型,采用AHP/熵值法確定指標權(quán)重,運用灰色模糊綜合評價方法評估指標模型中各項指標灰色度和模糊性,準確定位網(wǎng)絡防御作戰(zhàn)能力是否良好.

1 安全事件應急響應評價指標體系

1.1 網(wǎng)絡安全事件應急響應流程

應急響應流程按照時間軸動作可以劃分為檢測響應、止損阻斷、分析溯源、清除恢復、加固復驗環(huán)節(jié)[10-11].

檢測響應環(huán)節(jié)通過監(jiān)控、告警、通告等手段發(fā)現(xiàn)安全事件,第1步對事件類型進行判斷和整理,常見的通用應急事件場景包括PC終端或服務器勒索病毒、挖礦木馬、Webshell、DDOS攻擊、數(shù)據(jù)泄露、流量劫持、釣魚郵件等,此外證券行業(yè)還包括交易系統(tǒng)軟件缺陷、自動化運維流程執(zhí)行故障場景等.明確安全事件關(guān)聯(lián)場景后開始進行信息收集工作,包括流量、鏡像、日志、惡意樣本、網(wǎng)絡狀態(tài)等.

止損阻斷環(huán)節(jié)的目的是在明確當前的情況后,及時采取包括主備切換、網(wǎng)絡斷開、關(guān)停服務等措施確保影響不再擴大,以勒索病毒場景為例,主要工作內(nèi)容包括斷開失陷機器網(wǎng)絡阻斷感染源,通過觀察病毒行為和流量特征阻斷對內(nèi)通信行為和對外連接動作.目的在于將影響面收攏在最小范圍內(nèi).

分析溯源環(huán)節(jié)通過對包括安全設備告警、操作系統(tǒng)、Web訪問等渠道在內(nèi)日志和流量進行分析,結(jié)合病毒木馬樣本和行為狀態(tài),分析攻擊或故障產(chǎn)生原因和路徑,推演故障及攻擊過程,發(fā)現(xiàn)安全事件誘發(fā)原因和風險點.

清除恢復環(huán)節(jié)進行故障狀態(tài)恢復或清除Webshell及勒索軟件等,確保系統(tǒng)或網(wǎng)絡以安全的狀態(tài)恢復可用性,以Webshell場景為例,普通情況下可以針對性地停止禁用惡意進程、刪除惡意文件、使用殺毒軟件全盤掃描,確保無木馬文件遺漏,而一旦面臨內(nèi)存木馬或無文件木馬等持續(xù)性攻擊的方式,需要考慮極端情況下的磁盤清理系統(tǒng)重裝等.

加固復驗環(huán)節(jié)對整個應急響應流程進行復盤總結(jié),查找故障或風險薄弱點并進行加強加固,如補丁更新、收斂互聯(lián)網(wǎng)攻擊面等,并結(jié)合企業(yè)內(nèi)部情況,針對性地按季度開展應急演練和培訓事宜,例如證監(jiān)會要求證券機構(gòu)每年至少開展1次網(wǎng)絡安全應急演練.

1.2 網(wǎng)絡安全事件應急響應能力指標

從工具運用、日志覆蓋、人員技能、職責分工、通報處置、宣傳教育方面構(gòu)建本次應急響應能力評價指標體系[12-14].

1) 工具運用層面.主要考量應急響應工具的儲備情況和運用情況:①流量分析工具方面,應具備包括Wireshark,TCPView以及商業(yè)產(chǎn)品網(wǎng)絡分析工具,以便能夠?qū)W(wǎng)絡流量進行分析,發(fā)現(xiàn)故障及攻擊特征誘因;②進程分析工具方面,應能夠使用ProcessHacker和PC Hunter等進程分析工具分析惡意進程和系統(tǒng)故障原因;③輔助分析工具,利用WinHex、文件Hash工具、搜索工具、文件解鎖工具等輔助分析,滿足溯源過程的需求;④其他工具,如特定病毒木馬查殺工具、啟動項分析工具等.

2) 日志覆蓋層面.日志類型應覆蓋運維日志、應用系統(tǒng)日志、操作系統(tǒng)日志、安全告警日志、網(wǎng)絡日志,保存期限至少不低于6個月:①運維日志包括自動化運維平臺的執(zhí)行日志和各類特權(quán)平臺,如堡壘機、統(tǒng)一身份認證管理平臺等操作和審計日志,能夠提供關(guān)鍵人員操作內(nèi)容及要素信息;②應用系統(tǒng)日志包括應用系統(tǒng)的訪問日志、系統(tǒng)異常報錯日志以及中間件日志信息等;③操作系統(tǒng)日志覆蓋Linux,Windows等系統(tǒng)的審計日志、操作日志、故障日志等;④安全告警日志包括安全設備,如Web應用安全防護WAF、流量分析檢測NTA等自身運行日志情況以及各類攔截阻斷和放行的告警日志;⑤網(wǎng)絡日志包括各類網(wǎng)絡設備交換機、路由器等運行日志和配置信息.

3) 人員技能層面.應急響應人員應具備以下能力:①基礎(chǔ)技能技術(shù),包括系統(tǒng)基本系信息、用戶信息、啟動項信息、計劃任務、進程排查、服務排查、文件痕跡排查等能力;②惡意代碼技術(shù),具備病毒、蠕蟲、木馬、Rootkit等惡意代碼排查和清除能力;③終端檢測與響應技術(shù),具備網(wǎng)絡連接及進程分析、可疑用戶排查、歷史命令排查、可疑文件排查等能力;④電子取證技術(shù),包括具備內(nèi)存鏡像、易失信息提取、文件復制保存等技術(shù)能力.

4) 職責分工層面.①應急指揮中心:制定應急處置制度和預案并宣傳、培訓和演練,檢查安全事件隱患,指揮安全事件應急處置及善后工作.②安全主管部門:負責安全事件的應急響應的統(tǒng)一協(xié)調(diào)和資源調(diào)度處置工作.③業(yè)務部門:負責安全事件發(fā)生時的業(yè)務方面的應急工作.④財務部門:負責安全事件發(fā)生時的專項財務預算審批支持和調(diào)撥,確保能夠及時采購應急資源.

5) 通報處置層面.①應急預案機制:建立健全網(wǎng)絡安全應急預案,明確應急目標、組織和處置流程,應急場景應當覆蓋網(wǎng)絡安全事件等.②事件分類機制:發(fā)生網(wǎng)絡安全事件,在應急處置和調(diào)查處理時,應依據(jù)事件影響程度及范圍進行分類.③演練情況報告:證券機構(gòu)每年至少開展1次演練,并將總結(jié)報告報送至監(jiān)管機構(gòu)及行業(yè)協(xié)會.④應急處置機制報告:建立應急處置機制,及時處置網(wǎng)絡安全事件,盡快恢復信息系統(tǒng)正常運行,保護事件現(xiàn)場和相關(guān)證據(jù),向監(jiān)管機構(gòu)如實報告.⑤安全事件通報:發(fā)生網(wǎng)絡安全事件對投資者造成影響的,及時通過官方網(wǎng)站等有效渠道通知相關(guān)方可以采取的替代方式或者應急措施,提示相關(guān)方防范和應對可能出現(xiàn)的風險.⑥監(jiān)管預警處置:針對監(jiān)管通報的漏洞及各類攻擊組織信息,做好自查、檢查工作并記錄臺賬,建立特定關(guān)系人聯(lián)絡制度,及時進行信息報送工作等.

6) 宣傳培訓層面.①宣傳教育:利用各類組織媒介對客戶和內(nèi)部員工定期推送安全事件應急處置的法律法規(guī)和政策宣傳,歸納總結(jié)安全事件常見形式,開展安全知識競賽技能活動,提高客戶及員工安全意識,減少安全事件的發(fā)生及減少損失.②培訓教育:定期組織內(nèi)外部結(jié)合的員工安全意識培訓課程,并納入個人績效考核.

2 安全事件應急響應能力評價方法

2.1 確定評價指標

根據(jù)上述指標構(gòu)建過程,構(gòu)建評價指標體系,如表1所示:

表1 評價指標體系

2.2 確定指標權(quán)重

采取層次分析法確定指標的權(quán)重,層次分析法的步驟如下:

1) 構(gòu)建判斷(成對比較)矩陣.

所謂判斷矩陣是以矩陣的形式表述每個層次中各要素相對其上層要素的相對重要程度.為了使各因素之間進行兩兩比較得到量化的判斷矩陣,引入托馬斯·賽蒂的1～9標度法[15],如表2所示:

表2 標度及描述

2) 計算過程與方法.

用幾何平均法可以計算特征值的近似值[16-17].

① 將判斷矩陣各行連乘:

(1)

② 將各行連乘結(jié)果開n次方,得到特征向量bi:

(2)

③ 將bi歸一化,w即為B的特征向量的近似值,得到指標權(quán)重向量:

w=(w0,w1,w2,…,wn)T.

(3)

(4)

④ 求指標權(quán)重向量w對應的最大特征值:

(5)

⑤ 用一致性指標進行檢驗:

(6)

一致性指標RI與N階矩陣對應關(guān)系為:N(1,2,3,4,5,6,7,8)→RI(0,0,0.58,0.90,1.12,1.24,1.32,1.41).

3) 判斷矩陣計算過程及結(jié)果.

判斷矩陣采用專家問卷的形式獲得,經(jīng)過對多位專家的意見進行整理和統(tǒng)一,構(gòu)建判斷矩陣,如表3所示:

表3 目標層與一級指標層兩兩比較判斷矩陣

依據(jù)式(1)～(6)計算過程如下:

連乘結(jié)果:

開n次方,得到特征向量bi:

將bi歸一化,得到指標權(quán)重向量:

0.2780,0.4438,0.0219)T.

權(quán)重向量W對應的最大特征值:

求得λmax=6.4855,對于該判斷矩陣,n=6,RI=1.24,CI=(6.4855-6)/5=0.0971,CR=0.0971/1.24=0.0783<0.1.故判斷矩陣通過一致性檢驗.

同理可計算得到各二級指標的權(quán)重,判斷矩陣、權(quán)重及一致性檢驗結(jié)果.

4) 指標權(quán)重結(jié)果及層次總排序.

計算出準則層和各指標層的指標權(quán)重之后,為了更好地比較各指標層的重要度大小,需要計算其全局權(quán)重,方法為各二級指標層乘以其對應的一級指標層權(quán)重[18-20].最后對層次分析法所得到的權(quán)重值進行整理,得到最終權(quán)重及排序如表4所示:

表4 指標權(quán)重及排序

3 基于模糊灰色綜合評價的實例驗證及分析

3.1 某證券實例驗證

1) 確定評價對象.

因素集是影響評價對象的各個因素所組成的一個集合,用U表示:設U={U1,U2,…,Un},在本文中,U就是表1中的25個二級指標層指標.

2) 確定評價標準.

評價集是評價者對判斷對象作出的各種總的評判所組成的一個集合,根據(jù)實際情況,將評價等級劃分為高、較高、中等、低4個層次.用模糊評判向量V表示:設V=(V1,V2,V3,V4).在評價因素時,模糊矩陣運算后得到的是一個模糊向量,不能直接用于結(jié)果評價,因此對各等級進行賦值.等級高取值為0.9,區(qū)間為[0.7,0.9];等級較高取值為0.7,區(qū)間為[0.5,0.7),等級低取值為0.3,區(qū)間為[0.1,0.3).

3) 確定指標權(quán)重.

指標權(quán)重由第2節(jié)表4層次分析法得到.

4) 確定樣本矩陣.

從證券行業(yè)內(nèi)抽選5位網(wǎng)絡安全相關(guān)領(lǐng)域的專家組成評價小組,根據(jù)評價準則對各單項指標進行打分,分數(shù)在0～1之間取值,得到i因素第j指標的評價向量為(Xij1,Xij2,…,Xijw),構(gòu)成評價矩陣.5位專家對網(wǎng)絡安全事件應急響應能力各評價指標打分,如表5所示:

表5 專家打分結(jié)果

5) 建立評價灰類.

采用灰色理論的灰評估方法計算出評價指標的權(quán)矩陣.按照灰類給各定性指標作白化函數(shù).4個灰類對應的白化函數(shù)如下:

計算灰色統(tǒng)計數(shù),以流量分析工具C1指標為例,其各灰類統(tǒng)計數(shù)為

f1(x13)+f1(x14)+f1(x15)=0.6667+0.8889+0.7778+0.6667+0.7778=3.7778,

f2(x13)+f2(x14)+f2(x15)=0.8571+0.6667+1.0000+0.8571+1.0000=4.3810,

f3(x13)+f3(x14)+f3(x15)=0.8000+0.4000+0.6000+0.8000+0.6000=3.2000,

f4(x13)+f4(x14)+f4(x15)=0.5714+0.2857+0.4286+0.5714+0.4286=2.2857.

同理,可以得出其他指標的灰色統(tǒng)計數(shù),如表6所示:

表6 灰色統(tǒng)計數(shù)結(jié)果

計算灰色評估權(quán)值,形成權(quán)矩陣,對于流量分析工具C1,屬于各灰類的評估數(shù)為

同理可以依次計算出各指標屬于各灰類的評估數(shù),可以組成一個矩陣R,如表7所示:

表7 綜合模糊矩陣

根據(jù)表8建立指標層綜合模糊矩陣:

表8 其他二級指標測評結(jié)果

1) 工具運用B1的測評.

WB1=(0.3846,0.3674,0.1738,0.0742),

SB1=WB1RB1=(0.2522,0.3109,0.2549,0.1820).

2) 日志覆蓋B2的測評.

SB2=WB2RB2=(0.2701,0.3184,0.2401,0.1715).

3) 人員技能B3的測評.

SB3=WB3RB3=(0.2353,0.3025,0.2600,0.2022).

4) 職責分工B4的測評.

SB4=WB4RB4=(0.3815,0.3049,0.1829,0.1307).

5) 通報處置B5的測評.

SB5=WB5RB5=(0.3826,0.3004,0.1849,0.1321).

6) 宣傳培訓B6的測評.

SB6=WB6RB6=(0.1977,0.2542,0.3198,0.2284).

多因素模糊測評,目標層A的綜合測評為

SA=WARA=(0.3457,0.3036,0.2038,0.1469).

綜合測評結(jié)果為

Mi=SiV,MA=(0.3457,0.3036,0.2038,0.1469)

評價結(jié)果為0.6696,按照前面的評價準則,網(wǎng)絡安全事件響應綜合能力屬于較高.

為了進一步分析各指標具體的表現(xiàn)情況,同理可算出其他指標得分及評價,如表8所示:

3.2 實例驗證分析

以X證券為例,從綜合評價、指標層、準則層評價該公司網(wǎng)絡安全事件應急響應能力:

1) 綜合評價.

網(wǎng)絡安全綜合應急響應處置能力為較高,綜合評分為0.6696,接近于評語高級別[0.7,0.9],已建立較為完備的覆蓋整體網(wǎng)絡安全事件應急響應流程的框架、制度、體系、流程和人員,具備對網(wǎng)絡安全事件應急響應處置的較高能力水準,能夠及時處置各類安全事件,有效保障業(yè)務穩(wěn)定安全運行.

2) 指標層評價.

6項二級指標中各項能力均處于較高級別.職責分工B4評分最高,職責清晰分工明確的安全事件響應組織架構(gòu)是各類安全事件能夠快速響應處置的必要保證,確保責任到人、操作到位;通報處置B5評分第二,順暢的通報機制和高效的處置流程能夠在第一時間調(diào)動資源分發(fā)指令,各環(huán)節(jié)的緊密配合協(xié)作滿足了內(nèi)外部業(yè)務發(fā)展和監(jiān)管要求的合規(guī)指引;工具運用B1和日志覆蓋B2排名較為靠前,在工具儲備和日志收集方面,工具覆蓋各類事件的處置需求和應用場景需要,能夠為事件的止損和調(diào)查分析提供支撐,日志的全面性能夠幫助事件處置人員分析各類誘因和排查隱患,從而明確響應處置方向和關(guān)注要點,提高響應效率和縮短排查時間;人員技能B3和宣傳培訓B6評分較為落后,原因分析為事件驅(qū)動下的技能要求難以全量儲備和運用,可以借助外部安全廠商的力量和支持,在發(fā)生安全事件時及時溝通協(xié)調(diào)廠商入場協(xié)助處置,建立行業(yè)間共享專項安全專家機制,宣傳培訓方面仍需加大宣傳力度和培訓頻度及覆蓋范圍,從事前、事中、事后多個層次和維度強化安全意識的培訓,從意識層面改進安全事件的認識水平和防范能力.

3) 準則層評價.

準則層中,應急指揮中心C14、應急處置機制C21、監(jiān)管預警處置C23評分較高,為0.7035,電子取證技術(shù)C13評分為0.5314,排名最后,其他準則層指標評分為較高均衡分布在0.5818～0.6828.應急指揮中心C14是安全事件響應處置的“中樞”,指標權(quán)重為0.1192,綜合評分為0.7035,排名第一,是安全事件應急響應中最重要和資源投入最充裕的區(qū)域;應急處置機制C21指標權(quán)重為0.1163,綜合評分為0.7035,排名第二,應急處置機制的完備性和非事件發(fā)生時常態(tài)下的運營對于緊急情況下的響應至關(guān)重要;監(jiān)管預警處置C23指標權(quán)重為0.1108,綜合評分為0.7035,排名第三,表明監(jiān)管層面的通告預警處置和信息報送與安全合規(guī)息息相關(guān),在安全事件應急處置中占據(jù)相當重要的比例,需要投入較多的關(guān)注和資源傾斜;電子取證技術(shù)C13要求復雜難度高,一般證券行業(yè)機構(gòu)很難具備相應技術(shù)和能力,需要從其他方面改進優(yōu)化,彌補該項不足.

4 結(jié) 語

本文以構(gòu)建證券機構(gòu)網(wǎng)絡安全事件應急響應能力指標體系為基礎(chǔ),通過模糊層次分析和模糊綜合評價方案方法,建立了證券安全事件響應能力評價模型,并以X證券為目標進行了實例驗證研究.結(jié)果表明,證券機構(gòu)在內(nèi)部業(yè)務需求和外部監(jiān)管要求下安全事件應急響應能力A評價較高;指標層中涉及職責分工B4和通報處置B5評分較高,人員技能和宣傳培訓略有不足;準則層中應急指揮中心C14、應急處置機制C21、監(jiān)管預警處置C23評分為高,電子取證技術(shù)C13評分落后,其他準則層評分均為較高,整體能力處于較高級別.

本文模型構(gòu)建上沿用了行業(yè)安全事件應急響應傳統(tǒng)指標和擴展延伸,新增了部分新指標,體現(xiàn)了網(wǎng)絡安全繼承與發(fā)展的變化趨勢;采用主客觀結(jié)合的方式,將模糊層次分析法、模糊灰色綜合評價法和專家判斷法有機結(jié)合在一起,避免了主觀的隨意性和客觀脫離實際機械化的情況,解決了不同專家對同一特定指標評價結(jié)果差異性較大的問題;通過實例驗證和分析,為行業(yè)提供了應用案例和實踐參考.