摘 要：

　　當前，內(nèi)部網(wǎng)絡缺乏一套科學的網(wǎng)絡安全監(jiān)管指標體系，導致內(nèi)部網(wǎng)絡安全監(jiān)管難以達到預期效果。因此，設計了一套集資產(chǎn)健康度、網(wǎng)絡安全風險、保密風險和處置質(zhì)效四位一體的安全監(jiān)管指標體系，并結(jié)合信息科學中常用的神經(jīng)網(wǎng)絡激活函數(shù) Sigmoid 函數(shù)及層次加權(quán)遞歸思想，設計了一種適用于指標體系安全評估的算法。此外，在內(nèi)部網(wǎng)絡安全監(jiān)管指標體系的實現(xiàn)方面，對指標數(shù)據(jù)采集、指標量化統(tǒng)計、指標體系安全評估及指標態(tài)勢可視化進行了設計。實踐表明，此設計的內(nèi)部網(wǎng)絡安全監(jiān)管指標體系及其實現(xiàn)方法科學有效，能夠提升內(nèi)部網(wǎng)絡安全風險感知能力和治理水平。

　　內(nèi)容目錄：

　　1　網(wǎng)絡安全監(jiān)管指標體系的現(xiàn)狀

　　2　內(nèi)部網(wǎng)絡安全監(jiān)管指標體系設計

　　2.1　網(wǎng)絡安全監(jiān)管指標體系設計原則

　　2.2　網(wǎng)絡安全監(jiān)管指標體系設計

　　2.2.1　資產(chǎn)健康度指標

　　2.2.2　網(wǎng)絡安全風險

　　2.2.3　保密風險指標

　　2.2.4　處置質(zhì)效指標

　　3　內(nèi)部網(wǎng)絡安全監(jiān)管指標體系評估模型設計

　　3.1　指標體系數(shù)據(jù)結(jié)構(gòu)的數(shù)學模型

　　3.2　Sigmoid 激活函數(shù)和層次遞歸計算方法

　　4 　內(nèi)部網(wǎng)絡安全監(jiān)管指標體系實現(xiàn)

　　5　結(jié)　語

　　內(nèi)部網(wǎng)絡是采用 Internet 技術(shù)，建立在政府機構(gòu)、企事業(yè)單位內(nèi)部的專用網(wǎng)絡。內(nèi)部網(wǎng)絡是輔助日常辦公和科研生產(chǎn)的重要網(wǎng)絡，通常處理的數(shù)據(jù)涉及國家秘密信息或工作秘密信息，因此往往與國際互聯(lián)網(wǎng)進行物理隔離或高強度邏輯隔離。當前，大多數(shù)內(nèi)部網(wǎng)絡遵循等級保護或分級保護要求進行了較為完善的防護，但是在監(jiān)管方面通常都是被動地接收安全設備、安全系統(tǒng)上報的安全事件、行為操作、運行狀態(tài)等數(shù)據(jù)，還處于有什么數(shù)據(jù)做什么分析的階段。伴隨著網(wǎng)絡安全威脅的種類和數(shù)量的不斷增加，網(wǎng)絡攻擊行為向著分布化、規(guī)?；?、復雜化的趨勢發(fā)展。此外，內(nèi)部網(wǎng)絡還面對著內(nèi)部人員異常行為導致的失竊密事件難以及時發(fā)現(xiàn)等安全現(xiàn)狀。作為監(jiān)管者，應站在頂層視角來思考如何體系化地設計整網(wǎng)的網(wǎng)絡安全監(jiān)管，從而從上到下地反推網(wǎng)絡安全監(jiān)管需要什么樣的數(shù)據(jù)，數(shù)據(jù)來源于哪里，以及數(shù)據(jù)如何分析，進而充分地挖掘安全設備、安全系統(tǒng)的能力。本文根據(jù)內(nèi)部網(wǎng)絡的特點，設計了一套符合內(nèi)部網(wǎng)絡的網(wǎng)絡安全監(jiān)管指標體系，提出了一種實用的評估模型和實現(xiàn)框架，供業(yè)界同行在設計內(nèi)部網(wǎng)絡安全監(jiān)管指標體系時參考。

　?。?/p>

　　網(wǎng)絡安全監(jiān)管指標體系的現(xiàn)狀

　　關(guān)于指標體系的研究，國內(nèi)主要集中在網(wǎng)絡安全風險態(tài)勢評估和網(wǎng)絡安全態(tài)勢感知方面。2006 年國內(nèi)陳秀真等人提出一種層次化安全威脅態(tài)勢定量評估模型及相應的量化計算方法，從服務、主機、局域網(wǎng)系統(tǒng) 3 個層次進行安全威脅態(tài)勢評估。2007年吳果等人開創(chuàng)性地將多源多對象的各種影響網(wǎng)絡安全態(tài)勢的因素合并整理，并根據(jù)層次原則和分類原則，提出了網(wǎng)絡安全態(tài)勢感知指標體系，此外，根據(jù)分類情況，將各指標分為脆弱性指標、容災性指標、威脅性指標和穩(wěn)定性指標。2017 年鄧美林提出了資產(chǎn)、脆弱性、可用性和威脅性的網(wǎng)絡安全態(tài)勢指標體系。2020 年李欣等人針對視頻專網(wǎng)自身特點，構(gòu)建了一套適用于視頻專網(wǎng)的網(wǎng)絡安全態(tài)勢指標體系，包括基礎網(wǎng)絡運行安全、系統(tǒng)脆弱性、網(wǎng)絡安全威脅、前端設備運行安全和邊界運行安全指標，并給出了指標值的計算方法。

　　通過上述指標體系的分析，現(xiàn)有指標體系既缺乏評估保密風險的相關(guān)指標，還缺乏衡量安全保密事件處置質(zhì)效的指標，不能很好地適用于內(nèi)部網(wǎng)絡環(huán)境，因此，迫切需要研究一套適用于內(nèi)部網(wǎng)絡的安全監(jiān)管指標體系。

　?。?/p>

　　內(nèi)部網(wǎng)絡安全監(jiān)管指標體系設計

　　2.1　網(wǎng)絡安全監(jiān)管指標體系設計原則

　　網(wǎng)絡安全監(jiān)管指標體系設計需結(jié)合內(nèi)部網(wǎng)絡復雜性高、保密程度高及 IT 運維普遍外包等特性，明確業(yè)務目標，確保構(gòu)建的指標數(shù)據(jù)的完備性和有效性，從而賦能業(yè)務。指標體系設計需要遵從以下原則：（1）完備性：內(nèi)網(wǎng)環(huán)境中，對網(wǎng)絡安全構(gòu)成影響的要素眾多，如果指標建立不全面、不準確，就很難反映網(wǎng)絡安全的整體態(tài)勢水平，因此在設計指標時要確保指標數(shù)據(jù)完備。（2）系統(tǒng)性：因網(wǎng)絡安全監(jiān)管指標是對內(nèi)部網(wǎng)絡安全水平的綜合評價，在考慮指標數(shù)據(jù)完備性基礎上，要充分考慮指標的層級性及指標間不相關(guān)性。（3）可實施性：在滿足完備性和系統(tǒng)性的基礎上，設計的指標數(shù)據(jù)要確?？刹杉?、可計算、可落地。

　　2.2　網(wǎng)絡安全監(jiān)管指標體系設計

　　基于指標體系設計原則，本文在網(wǎng)絡安全監(jiān)管指標體系設計時，主要采用分層、分類方法。分層法是基于因果關(guān)聯(lián)關(guān)系對指標體系進行分層，從而構(gòu)建 1 到 N 層級指標體系。指標分層方法一方面當某些指標變化時，會同步關(guān)聯(lián)上下層級指標，另一方面便于指標體系的后續(xù)擴展。分類法是在各層級指標內(nèi)，充分考慮指標間的獨立性和不可替代性，基于不相關(guān)性對各層級指標進行分類，從而構(gòu)建無相關(guān)性的指標類型及量化指標。指標分類的優(yōu)勢在于，當某一類指標變化時不會影響同層其他指標，使得同層指標計算可完全解偶。

　　根據(jù) GB/T 20984—2007《信息安全技術(shù) 信息安全風險評估規(guī)范》，信息系統(tǒng)的風險主要在于其面臨的威脅和其本身的脆弱性，但是在網(wǎng)絡實際運行中，資產(chǎn)的健康度往往直接或者間接影響整個網(wǎng)絡的安全，而且在內(nèi)部網(wǎng)絡中，對失密、泄密、竊密的監(jiān)管更為重要，此外，如果發(fā)現(xiàn)了安全保密事件而不及時有效處置，也會導致整個網(wǎng)絡風險持續(xù)攀升。因此，本文選取資產(chǎn)健康度、網(wǎng)絡安全風險、保密風險和處置質(zhì)效 4 個指標，作為內(nèi)部網(wǎng)絡安全監(jiān)管的一級指標。內(nèi)部網(wǎng)絡安全監(jiān)管指標體系如圖 1 所示。

　　2.2.1　資產(chǎn)健康度指標

　　資產(chǎn)健康度指標包括終端安全健康度、服務器健康度、網(wǎng)絡設備健康度、安全保密系統(tǒng)健康度、業(yè)務系統(tǒng)健康度和動環(huán)系統(tǒng)健康度 6 個二級指標。

　　終端健康度指標重點關(guān)注終端安全軟件安裝率。服務器健康度、網(wǎng)絡設備健康度和安全保密系統(tǒng)健康度指標重點關(guān)注資產(chǎn)在離線狀態(tài)、資產(chǎn)故障狀態(tài)和資產(chǎn)性能異常狀態(tài)。業(yè)務系統(tǒng)健康度指標重點關(guān)注業(yè)務服務可用性。動環(huán)系統(tǒng)健康度指標重點關(guān)注溫濕度等異常狀況，包括溫度異常告警、濕度異常告警、電壓異常告警、漏水異常告警、粉塵超標告警和煙霧異常告警。

　　2.2.2　網(wǎng)絡安全風險

　　網(wǎng)絡安全風險指標包括資產(chǎn)脆弱性和網(wǎng)絡安全威脅兩個二級指標。

　　資產(chǎn)脆弱性指標包括漏洞風險、安全配置風險和口令風險 3 個三級指標。漏洞風險指標是根據(jù)漏洞等級、漏洞數(shù)量和漏洞是否可利用來評估網(wǎng)絡環(huán)境中的漏洞風險情況。安全配置風險指標是根據(jù)不合規(guī)配置項的風險等級和數(shù)量來評估網(wǎng)絡環(huán)境中的安全配置風險情況。口令風險指標是根據(jù)弱口令數(shù)量和弱口令資產(chǎn)占比來評估網(wǎng)絡環(huán)境中的口令風險情況。網(wǎng)絡安全威脅指標包括網(wǎng)絡攻擊威脅、惡意程序威脅、策略配置威脅和未知資源威脅 4 個三級指標。網(wǎng)絡攻擊威脅指標包括攻擊嘗試威脅、攻擊成功威脅和攻擊結(jié)果不明威脅 3 個指標。惡意程序威脅指標是根據(jù)惡意程序的等級、惡意程序發(fā)生頻率、惡意程序的處置情況來評估網(wǎng)絡環(huán)境中的惡意程序威脅風險情況。策略配置威脅指標關(guān)注安全策略偏離基線所帶來的威脅。未知資源威脅指標關(guān)注網(wǎng)絡中出現(xiàn)的非法資產(chǎn)和非法服務所帶來的威脅。

　　2.2.3　保密風險指標

　　在內(nèi)部網(wǎng)絡中，保密風險主要來源于人的異常行為，因此保密風險指標包括用戶異常行為指標和運維人員異常行為指標。

　　用戶異常行為包括用戶使用計算機異常、用戶訪問網(wǎng)絡異常和用戶數(shù)據(jù)處理異常。用戶使用計算機異常包括冒用身份登錄異常、破壞本地安全機制、用戶違規(guī)接入非授權(quán)計算機和存儲介質(zhì)、用戶異常更換計算機部件等。用戶訪問網(wǎng)絡異常包括用戶采用不明終端接入網(wǎng)絡、用戶違規(guī)連接國際互聯(lián)網(wǎng)、用戶登錄其他非授權(quán)終端和服務器、用戶非授權(quán)訪問應用系統(tǒng)、用戶異常掃描網(wǎng)絡、用戶發(fā)起或執(zhí)行遠程命令等。用戶數(shù)據(jù)處理異常包括用戶異常打印或刻錄文件、用戶修改敏感數(shù)據(jù)標識、用戶違規(guī)存儲非知悉范圍數(shù)據(jù)、用戶向非知悉范圍人員流轉(zhuǎn)敏感數(shù)據(jù)、用戶短時間內(nèi)下載數(shù)量大的敏感數(shù)據(jù)等。

　　運維人員異常行為包括運維人員使用計算機異常、運維人員運維工作異常和運維人員數(shù)據(jù)處理異常。運維人員使用計算機異常包括冒用身份登錄異常、破壞終端或服務器安全機制、違規(guī)接入非授權(quán)計算機和存儲介質(zhì)、運維人員異常更換計算機和服務器部件等。運維人員運維工作異常包括運維終端或服務器違規(guī)連接國際互聯(lián)網(wǎng)、進行網(wǎng)絡掃描探測、繞過運維管理域認證機制直接運維、使用異常端口運維、運維人員訪問非授權(quán)業(yè)務和數(shù)據(jù)等。運維人員數(shù)據(jù)處理異常包括運維人員異常打印或刻錄文件、運維人員修改敏感數(shù)據(jù)標識、運維人員違規(guī)存儲非知悉范圍數(shù)據(jù)、運維人員向非知悉范圍人員流轉(zhuǎn)敏感數(shù)據(jù)、運維人員短時間內(nèi)下載數(shù)量大的敏感數(shù)據(jù)等。

　　2.2.4　處置質(zhì)效指標

　　處置質(zhì)效指標包括處置時效性和處置質(zhì)量兩個二級指標。處置時效性關(guān)注運維人員處置安全事件時的及時性和處置效率，處置質(zhì)量關(guān)注事件分析準確性和事件處置合理性。

　?。?/p>

　　內(nèi)部網(wǎng)絡安全監(jiān)管指標體系評估模型設計

　　國內(nèi)外在網(wǎng)絡安全監(jiān)管指標體系評估方面的研究與設計比較少。目前國內(nèi)比較成熟的研究與設計基本是面向互聯(lián)網(wǎng)領域，如吳果等人＼提出的相關(guān)性分析方法，并且都是比較側(cè)重指標的優(yōu)化選擇。而內(nèi)部網(wǎng)絡安全監(jiān)管指標體系模型評估是一個相當復雜的過程。指標體系從不同維度、不同層次對內(nèi)部網(wǎng)絡安全監(jiān)管要求進行了歸類，不同類型指標對安全風險的影響程度不相同。此外，指標項量化多元化，包括了數(shù)值、百分比、是 / 否等多種類型，需要針對不同類型量化值對指標的貢獻權(quán)重設計合理算法。然而魏軍等人 提出的將層次分析法應用于指標權(quán)重計算的方法相對還處于理論層面，不足以指導實踐。

　　綜上所述，為了能更好地適應內(nèi)部網(wǎng)絡安全監(jiān)管指標量化多元化的特點，以及各層級指標對風險影響程度的差異，本文提出一種基于 Sigmoid 激活函數(shù)和層次遞歸計算方法的內(nèi)部網(wǎng)絡安全監(jiān)管指標安全評估模型。評估模型遵照2.2 節(jié)指標體系的分類、分層原則進行設計，以便于算法擴展。實踐證明，該評估模型在滿足工程落地實施的情況下能夠得出較實時且可解釋的結(jié)果。

　　3.1　指標體系數(shù)據(jù)結(jié)構(gòu)的數(shù)學模型

　　將 2.2 節(jié)指標體系結(jié)構(gòu)抽象為可表達的數(shù)學模型。設圖片為指標體系的層級，圖片層內(nèi)每個層級的指標類型，圖片為第N 層實測指標，則指標體系結(jié)構(gòu)數(shù)據(jù)的數(shù)學模型如圖 2 所示。

　　3.2　Sigmoid 激活函數(shù)和層次遞歸計算方法

　　Sigmoid 激活函數(shù)在指標體系評估過程中的主要作用是，根據(jù)圖 2 數(shù)學模型中的圖片層指標項實測值，利用 Sigmoid 激活函數(shù)計算其對圖片層指標的貢獻權(quán)重。層次遞歸加權(quán)算法在指標體系評估過程中的主要作用是，對圖 2 中的圖片到 L1 層根據(jù)指標類型對網(wǎng)絡安全指標體系的影響程度，采用自底向上的逐層遞歸加權(quán)，得到每一層的評估結(jié)果，最終得出整個指標體系的安全總分。

　　Sigmoid 激活函數(shù)因其具備可以把實數(shù)域平滑映射到 （0,1） 空間的特點，以及具備單調(diào)遞增特性和連續(xù)可導等優(yōu)勢，在神經(jīng)網(wǎng)絡中被廣泛應用。而恰好 Sigmoid 激活函數(shù)在神經(jīng)網(wǎng)絡中被廣泛應用的特性符合網(wǎng)絡安全指標體系安全評估的要求，所以本文充分利用 Sigmoid 激活函數(shù)特性原理實現(xiàn)對網(wǎng)絡安全指標體系的安全評估。Sigmoid 激活函數(shù)數(shù)學表達式：

　　根據(jù)圖3可知，Sigmoid激活函數(shù)具有如下特性：（1）函數(shù)曲線具有單增特性，符合網(wǎng)絡安全指標評估 GB/T 20984—2007《信息安全技術(shù)—信息安全風險評估規(guī)范》的要求；（2）函數(shù)值域取值范圍屬于 [0,1），對應到網(wǎng)絡安全評估結(jié)果中，滿足對評估結(jié)果歸一化要求；（3）當橫坐標取值為 0 時，對應的縱坐標值等于 0.5。以上即為 Sigmoid 激活函數(shù)的獨有特性。而基于上述特性第（3）點可以看出，當函數(shù)自變量 Z取值為零時，對應的函數(shù)值域取值為 0.5。如果將該函數(shù)對應關(guān)系映射到網(wǎng)絡安全評估中，即當網(wǎng)絡安全指標量化值為零時，將得出網(wǎng)絡安全評估結(jié)果仍有 0.5×100=50，故不符合網(wǎng)絡安全評估的實際業(yè)務要求。對此，本文對原 Sigmoid 激活函數(shù)進行了優(yōu)化改造，改造后的函數(shù)表達式為：

　?。?/p>

　　內(nèi)部網(wǎng)絡安全監(jiān)管指標體系實現(xiàn)

　　依據(jù)內(nèi)部網(wǎng)絡安全監(jiān)管指標體系設計和算法設計，整個監(jiān)管系統(tǒng)的實現(xiàn)包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)存儲、數(shù)據(jù)分析、指標項統(tǒng)計、指標分計算、可視化呈現(xiàn)等環(huán)節(jié)，可分為 4 個主要流程：監(jiān)管指標數(shù)據(jù)采集、指標項統(tǒng)計、指標分數(shù)計算和指標態(tài)勢可視化呈現(xiàn)。

　　監(jiān)管指標數(shù)據(jù)采集流程如圖 5 所示。監(jiān)管指標數(shù)據(jù)采集負責收集與指標計算相關(guān)的原始數(shù)據(jù)，主要包括安全設備、安全系統(tǒng)、保密設備、網(wǎng)絡設備、服務器等資產(chǎn)上報的安全日志、操作日志、狀態(tài)日志、性能數(shù)據(jù)等。所有數(shù)據(jù)按照數(shù)據(jù)類型進行統(tǒng)一的范式化處理，形成標準的數(shù)據(jù)格式后存入數(shù)據(jù)庫。系統(tǒng)基于規(guī)則分析、機器學習、基線分析技術(shù)對原始數(shù)據(jù)進行分析，識別出滿足指標體系的異常數(shù)據(jù)，并存回數(shù)據(jù)庫供指標項統(tǒng)計模塊使用。

　　指標項統(tǒng)計通過定時任務觸發(fā)，周期性地從原始數(shù)據(jù)中拉取與指標項統(tǒng)計相關(guān)的原始數(shù)據(jù)，經(jīng)過統(tǒng)計計算后得出指標項統(tǒng)計值并更新到指標模型數(shù)據(jù)庫中，完成指標的量化評估。指標項統(tǒng)計值包含數(shù)值型、百分比、是 / 否三種類型的統(tǒng)計值。指標分數(shù)計算流程如圖 7 所示。

　　指標分數(shù)計算通過定時任務觸發(fā)，周期性地從指標模型數(shù)據(jù)庫中拉取與指標相關(guān)的指標項統(tǒng)計值，根據(jù)不同的指標項類型調(diào)用不同的權(quán)重計算算法，計算出該指標項對指標的影響權(quán)重。最后基于指標權(quán)重、指標量化數(shù)據(jù)、指標計算算法計算出各級指標的指標分，并更新到指標模型數(shù)據(jù)庫中。

　　計算出所有指標的指標分后，可從安全監(jiān)管態(tài)勢、保密態(tài)勢、網(wǎng)絡安全態(tài)勢、資產(chǎn)運行態(tài)勢等不同維度將相關(guān)指標的安全分以及重要的指標量化數(shù)據(jù)進行可視化呈現(xiàn)，從而輔助監(jiān)管者及時、全面地掌握網(wǎng)絡安全監(jiān)管現(xiàn)狀，輔助進行安全管理和指揮決策。

　　５

　　結(jié)　語

　　本文針對內(nèi)部網(wǎng)絡安全性和保密性要求高的特點，按照分層、分類法，設計了一套內(nèi)部網(wǎng)絡的網(wǎng)絡安全監(jiān)管指標體系，重點設計了保密風險和處置質(zhì)效兩個重要指標，同時提出了基于 Sigmoid 激活函數(shù)和層次遞歸計算方法的評估模型。本文設計的指標體系和評估模型已經(jīng)應用到了實際用戶環(huán)境，實踐表明，能夠大幅提升內(nèi)部網(wǎng)絡安全風險感知能力和風險治理水平。