信息系統(tǒng)安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)體系研究與應(yīng)用

譚君+周旭+黃羽+宋皓

摘要：為了進(jìn)一步量化信息系統(tǒng)安全態(tài)勢(shì)情況，我們?cè)O(shè)計(jì)了一套信息系統(tǒng)安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)體系，用于對(duì)信息系統(tǒng)的整體安全情況進(jìn)行評(píng)價(jià)。指標(biāo)體系主要從領(lǐng)導(dǎo)域安全態(tài)勢(shì)、業(yè)務(wù)域安全態(tài)勢(shì)、開發(fā)域安全態(tài)勢(shì)、安全域安全態(tài)勢(shì)、運(yùn)維域安全態(tài)勢(shì)五大方面進(jìn)行評(píng)價(jià)，完整的描述了信息系統(tǒng)的安全態(tài)勢(shì)。

關(guān)鍵詞：信息安全；安全態(tài)勢(shì)；評(píng)價(jià)指標(biāo)體系

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）06-0225-01

信息系統(tǒng)安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)體系是一個(gè)多維度多層次的業(yè)務(wù)安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)架構(gòu)，從IT架構(gòu)、業(yè)務(wù)領(lǐng)域、安全態(tài)勢(shì)多個(gè)維度，從領(lǐng)導(dǎo)域、業(yè)務(wù)域、開發(fā)域、安全域、運(yùn)維域等多個(gè)層次，構(gòu)建了安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)體系的架構(gòu)。

1 業(yè)務(wù)安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)架構(gòu)

信息系統(tǒng)安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)體系是一個(gè)多層次多維度的安全態(tài)勢(shì)評(píng)價(jià)體系，從安全態(tài)勢(shì)維度上來說，主要為分為領(lǐng)導(dǎo)域安全態(tài)勢(shì)、業(yè)務(wù)域安全態(tài)勢(shì)、開發(fā)域安全態(tài)勢(shì)、安全域安全態(tài)勢(shì)、運(yùn)維域安全態(tài)勢(shì)；從IT架構(gòu)層次上來說，主要分為物理層、網(wǎng)絡(luò)層、主要/基礎(chǔ)軟件層、應(yīng)用系統(tǒng)層；從業(yè)務(wù)領(lǐng)域來說，主要是各信息系統(tǒng)，如辦公管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、客戶關(guān)系管理系統(tǒng)等。如圖1所示。

2 業(yè)務(wù)安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)體系選取原則

在信息系統(tǒng)安全態(tài)勢(shì)指標(biāo)體系的選取方面需要遵循以下原則：

2.1 動(dòng)態(tài)化原則

信息安全是一個(gè)動(dòng)態(tài)的過程，在系統(tǒng)運(yùn)行過程中信息安全受到外部安全環(huán)境變更、內(nèi)部安全防護(hù)措施與能力的變更以及信息資產(chǎn)本身價(jià)值變更三個(gè)主要因素的影響。因此安全態(tài)勢(shì)指標(biāo)體系的選取和建立也是一個(gè)動(dòng)態(tài)的過程，管理人員需要根據(jù)安全現(xiàn)狀及時(shí)調(diào)整安全指標(biāo)。

2.2 準(zhǔn)確客觀性原則

安全態(tài)勢(shì)指標(biāo)體系需使用準(zhǔn)確具體、客觀公正的數(shù)據(jù)來形成指標(biāo)，避免采用參雜人工主觀性因素的指標(biāo)。

2.3 自動(dòng)化原則

安全態(tài)勢(shì)指標(biāo)體系很大一部分來自信息設(shè)備和業(yè)務(wù)系統(tǒng)，為保障指標(biāo)的實(shí)效性、準(zhǔn)確性，減少采集環(huán)節(jié)，提高采集效率，應(yīng)盡可能通過平臺(tái)對(duì)采集目標(biāo)進(jìn)行自動(dòng)化數(shù)據(jù)采集。

2.4 簡潔直觀原則

應(yīng)盡量避免采用復(fù)合指標(biāo)，而應(yīng)采用具有典型性和針對(duì)性的單項(xiàng)指標(biāo)。通過指標(biāo)能直接反映采集對(duì)象的問題所在，協(xié)助管理人員迅速做出判斷和處理。

3 業(yè)務(wù)安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)體系組成

信息系統(tǒng)安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)體系主要由領(lǐng)導(dǎo)域安全態(tài)勢(shì)、業(yè)務(wù)域安全態(tài)勢(shì)、開發(fā)域安全態(tài)勢(shì)、安全域安全態(tài)勢(shì)、運(yùn)維域安全態(tài)勢(shì)五大態(tài)勢(shì)組成。

領(lǐng)導(dǎo)域安全態(tài)勢(shì)主要是從總體態(tài)勢(shì)進(jìn)行概覽，涵蓋了業(yè)務(wù)系統(tǒng)的訪問量、可用率、中間件、數(shù)據(jù)庫、主機(jī)、網(wǎng)絡(luò)設(shè)備等指標(biāo)信息，主要包括：

（1）互聯(lián)網(wǎng)出口攻擊阻斷指標(biāo)。（2）網(wǎng)絡(luò)設(shè)備平均可用率指標(biāo)。（3）服務(wù)器平均可用率指標(biāo)。（4）終端安全接入指標(biāo)。（5）業(yè)務(wù)系統(tǒng)月可用率指標(biāo)。（6）數(shù)據(jù)庫系統(tǒng)月可用率指標(biāo)。（7）中間件系統(tǒng)月可用率指標(biāo)。（8）業(yè)務(wù)系統(tǒng)總訪問量指標(biāo)。

業(yè)務(wù)域安全態(tài)勢(shì)是針對(duì)業(yè)務(wù)系統(tǒng)本身的安全態(tài)勢(shì)分析，涵蓋了業(yè)務(wù)系統(tǒng)的帳戶、在線情況、菜單訪問情況、數(shù)據(jù)修改情況等，主要包括：

（1）帳號(hào)共享指標(biāo)。（2）賬戶異常登錄指標(biāo)。（3）帳號(hào)口令破解指標(biāo)。（4）用戶在線與登錄指標(biāo)。（5）用戶菜單訪問指標(biāo)。（6）用戶數(shù)據(jù)修改指標(biāo)。

開發(fā)域安全態(tài)勢(shì)主要是從業(yè)務(wù)系統(tǒng)開發(fā)人員關(guān)心的角度出發(fā)，對(duì)數(shù)據(jù)庫告警、業(yè)務(wù)系統(tǒng)告警、靜態(tài)資源訪問、業(yè)務(wù)訪問分析等，主要包括：

（1）數(shù)據(jù)庫告警指標(biāo)。（2）數(shù)據(jù)庫錯(cuò)誤指標(biāo)。（3）業(yè)務(wù)系統(tǒng)ERROR指標(biāo)。（4）業(yè)務(wù)系統(tǒng)WARN指標(biāo)。（5）HTTP狀態(tài)碼分析指標(biāo)。（6）獨(dú)立IP訪問數(shù)指標(biāo)。（7）靜態(tài)資源訪問分析指標(biāo)。（8）頁面訪問分析指標(biāo)。

安全域安全態(tài)勢(shì)主要是從安全設(shè)備出發(fā)如WAF、IPS、互聯(lián)網(wǎng)出口防火墻、漏洞掃描等，分析安全事件，主要包括：

（1）惡意IP攻擊指標(biāo)。（2）SQL注入攻擊指標(biāo)。（3）XSS跨站腳本攻擊指標(biāo)。（4）CSRF漏洞攻擊探測(cè)指標(biāo)。（5）Struts2遠(yuǎn)程命令執(zhí)行漏洞指標(biāo)。（6）拒絕服務(wù)惡意腳本攻擊指標(biāo)。（7）互聯(lián)網(wǎng)出口防火墻源IP指標(biāo)。（8）互聯(lián)網(wǎng)出口防火墻目標(biāo)IP指標(biāo)。（9）互聯(lián)網(wǎng)出口防火墻事件指標(biāo)。（10）IT設(shè)備安全基線符合指標(biāo)。（11）IT設(shè)備高中風(fēng)險(xiǎn)漏洞檢出指標(biāo)。

運(yùn)維域安全態(tài)勢(shì)主要是從服務(wù)器cpu、內(nèi)存、磁盤、進(jìn)程、數(shù)據(jù)庫、中間件運(yùn)行情況出發(fā)，主要包括：

（1）IT設(shè)備CPU使用情況指標(biāo)。（2）IT設(shè)備磁盤空間指標(biāo)。（3）IT設(shè)備內(nèi)存使用情況指標(biāo)。（4）IT設(shè)備進(jìn)程使用指標(biāo)。（5）IT設(shè)備異常登陸用戶指標(biāo)。（6）IT設(shè)備成功登陸用戶指標(biāo)。（7）網(wǎng)絡(luò)設(shè)備UP/DOWN運(yùn)行指標(biāo)。

4 綜述

按照本文建立的指標(biāo)體系和評(píng)估模型，設(shè)計(jì)和實(shí)現(xiàn)了信息安全態(tài)勢(shì)評(píng)估子系統(tǒng)原型。該系統(tǒng)具有可配置評(píng)估參數(shù)、評(píng)估周期短和分層多維多域展示態(tài)勢(shì)情況等特點(diǎn)。該系統(tǒng)不僅可以滿足評(píng)估實(shí)時(shí)態(tài)勢(shì)情況的需求，也可以作為指標(biāo)驗(yàn)證、領(lǐng)導(dǎo)決策的輔助工具。對(duì)于信息系統(tǒng)管理乃至安全管理都具有極為重要的現(xiàn)實(shí)意義。

參考文獻(xiàn)

[1]戴媛，郝曉偉，郭巖，余智華.我國網(wǎng)絡(luò)輿情安全評(píng)估指標(biāo)體系的構(gòu)建研究[J].信息網(wǎng)絡(luò)安全，2010年.

[2]王娟，張鳳荔，傅翀，陳麗莎.網(wǎng)絡(luò)態(tài)勢(shì)感知中的指標(biāo)體系研究[J].計(jì)算機(jī)應(yīng)用，2007.

[3]廖輝，凌捷.網(wǎng)絡(luò)終端安全狀況評(píng)估指標(biāo)體系的研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2010.

[4]韓偉紅，隋品波，賈焰.大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)分析與預(yù)測(cè)系統(tǒng)YHSAS[J].信息網(wǎng)絡(luò)安全，2012.endprint