刘 晔，郭金根

（浙江省电力公司，杭州 310007）

1 概述

信息系统是我国国民经济的重要组成部分，信息系统、信息资产安全风险管理已成为企业、机构信息化建设的一个重要环节。目前具有代表性的风险评估方法中，NIST SP800系列的SP 800－30《信息技术系统的风险管理指南》（Risk Management Guide for Information Technology Systems）提出了具有高可操作性的分析流程和方法，其中，BS7799从管理和技术两方面建立了一整套信息安全评估体系，GMITS（ISO 13335）则提出了以相乘法和矩阵法计算风险值。

风险分析依据对风险值的计算，有定量分析和定性分析两种方式，较多采用的是定性与定量相结合的方法。但是风险的量化非常复杂，风险的来源、表现形式、造成的后果、出现的概率千差万别，需要精细考虑并建立数学模型。一般而言，这些被量化或被定性的风险是已存在或已发生的安全状况，而对企业真正有价值的应是未来将要发生的。

BS7799标准提供了基于PDCA（Plan，Do，Check，Act，即通常所说的戴明环）的持续改进的管理模型，是持续跟踪与改善不断循环的过程，其缺点是容易形成被动防范，可能导致企业不断亡羊补牢的局面。信息安全风险态势分析则可以准确有效地预测未来的信息安全风险，在战略性决策时提供建设性意见，并对信息安全系统进行前瞻性建设，使风险评估变被动为主动。

2 态势分析及相关概念

2.1 信息资产

根据ISO 027001对信息资产的描述和定义，信息资产应包含：服务（Service）、 数据（Data）、 软件（Software）、 硬件（Hardware）、 文档（Document）、设备（Facility）、 人员（HR）及其他（Other）。

2.2 态势感知

信息安全风险分析就是对信息资产最终的风险状况与该资产的价值、现存的弱点、现有的安全措施、面对的威胁、威胁发生的概率及风险发生的可能性以及预计产生的后果等因素所构成的整个信息安全现状和变化趋势的态势分析。通过建立描述信息安全态势的分析管理体系,就可以对当前信息安全状况有直观全面的了解,从而为实现主动安全防御打下良好的基础。值得注意的是,态势是一种趋势,是一个整体和全局的概念,任何单一的情况或状态都不能称之为态势。信息安全态势感知就是对会引起信息安全态势变化的安全要素进行获取、理解、显示并预测未来的发展趋势。

态势感知包括态势元素提取、当前态势分析和未来态势预测，主要涵盖以下几个方面∶

（1）在一定的环境下,提取进行态势估计要考虑的各种要素，为态势推理做好准备。

（2）分析并确定事件发生的深层次原因，给出对所监控的信息安全当前态势的理解或综合评价。

（3）已知T时刻发生的事件，预测T+1，T+2,…，T+n时刻可能发生的事件，进而确定信息安全态势的发展趋势。

3 宏观态势分析在信息安全管理中的应用

目前的态势分析研究更多的集中于微观技术层面。为了对宏观信息安全态势进行有效评估和预测，可以结合信息安全自身的特征，从信息安全的脆弱、容灾、威胁、稳定4个方面定量描述信息安全各部分的特征。

考虑企业未来信息安全发展方向，宏观态势分析必须包含：

（1）企业的核心使命和核心资产。企业信息安全管理的目的是为了更好地促进企业使命的达成，因此进行态势分析时必须考虑企业未来3～5年核心使命的变迁以及核心资产的进化情况。举例来说，宏观态势分析需要确认企业的核心业务是否会发生转移，以往分布式的结构是否会大集中，业务区域是否会整合或细分，企业的核心资产是否会随着时间而折旧等。

（2）信息安全大环境的发展趋势。信息安全发展的大环境对于信息安全管理有着深远的影响。如Windows7出现后，针对主机层面的安全事件明显有所减少，常规性的病毒、蠕虫爆发等有逐渐降低的趋势；mobile设备则因其在安全控制上的缺失带来了另外的安全问题。安全管理需要从自身整体业务、系统和应用出发，信息技术整体发展趋势、技术采纳适用性、过程是引发额外的风险或是抑制风险，这些因素应重点考虑。

（3）社会环境的影响。要考虑重大的自然、政治、经济等事件对整个信息安全的影响。

（4）法律法规的要求。针对企业信息安全系统管理的法律法规很多，在态势分析中，需要考虑法律法规的适用性问题，及采用相关标准后对于整个信息体系的影响。

在实际的风险分析过程中，以上因素对于定量和定性评估都有非常重要的指导意义。一般可以采用以下公式表示风险的影响：

Threat（威胁）＝impact×likelihood（影响×可能性）

将上述公式做扩展，逻辑意义上可以将风险表述如下：

Risk（风险）＝asset×vulnerability×threat（资产×脆弱性×威胁）

宏观因素对于threat（威胁）值几乎具有决定性的影响，比如说安全趋势、自然环境和社会环境的变化，会增加或者遏制威胁代理与威胁源的产生；而企业核心使命与基础建设则直接影响信息资产的价值及其相关的脆弱性，进而影响到威胁实现的可能性。需要在微观的态势分析中将各种因素作为知识库或者规则来参考，以适当的权重调整具体的安全风险细节。

宏观的态势分析能够为企业战略、战术性的安全管理提供有效的参考依据，并且能够对量化的微观风险态势分析提供重要的输入，从而更有针对性地指导企业的信息安全建设工作。

4 微观态势分析在信息安全管理中的应用

国内外在微观态势分析领域已经取得了长足的进步，其理论研究正逐步与应用相结合。

Endsley的模型把态势感知分成感知、理解和预测3个层次的信息处理。感知（Perception）即感知和获取环境中的重要线索或元素，这是态势感知最基础的部分。理解（Comprehension）是整合感知到的数据和信息，分析其相关性。预测（Projection）是基于对环境信息的感知和理解，预测未来的发展趋势，这是态势感知中最高层次的要求。

在Endsley模型的引导下，态势分析在实际应用中得到了推广。其中较为热门的是美国国防部提出的 JDL（Joint Director of Laboratories）模型，该模型提出了网络态势感知总体框架结构，主要包括多源异构数据采集、数据预处理、事件关联和目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等功能模块。JDL模型是一种通用的数据融合模型，应用于信息安全管理时可以将其实体化。图1就是JDL模型在一个信息安全事件分析过程中的应用。

图1 JDL模型的应用

如图1所示，首先通过感知环境收集信息资产，然后进行初步过滤，去掉噪音数据，并且针对非结构化或半结构化等数据进行修正。排列是将所有衡量机制置于一个公共的同一时空参考系，建立统一的信息安全数据库。关联是将新的风险测量机制与所有已知目标的预报状态相联系，从而确定每个测量机制是否可以用于对已知记录的更新。跟踪是指任何目标的数据序列用于开发一个动态目标模型，通过与各种新感应数据的关联、动态行为模式的修正，可以预测目标在未来进程空间范围内的状态。识别是对指定目标的所有关联数据执行自动的目标识别，并且将目标分派到一个或者多个特定类型中。2级和3级处理是指在考虑整个场景模式以及应用环境的前提下（地域、目标混杂与时空交错），用通用的术语和方法（威胁、脆弱性等）给出当前安全风险的真实态势。

目前，微观态势分析技术已经被一些SOC（Security Operations Center，信息安全管理平台）产品所采用，图2就是将态势感知相关技术应用于信息安全监测分析的一个实例。

图2 信息安全的微观态势分析

微观态势分析应用一般以资产为核心，以安全事件管理为关键流程，采用安全域划分，建立一套实时的资产风险模型，和协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。能够从理论化的模型保证日常运维安全管理的需求，提供数小时至几周内的安全态势分析展示。

5 专家系统在态势分析中的应用

图3是简化后的元素关系图，综合了多个要素，构成态势分析的基本单元，一般情况下可采用贝叶斯算法进行分析。贝叶斯算法通过统计学研究来进行概率推论，核心思想是根据已发生的事件来测算将来可能发生的事件，目前已成功应用于垃圾邮件的判别，但是作为决策逻辑，其在可能性概念的解析上有着更为广泛的应用。

贝叶斯算法有一定的局限性，虽然判断独立或单个事件可能性的准确性很高，但对具有海量数据的复杂信息系统进行安全态势分析时，单纯依靠贝叶斯算法则会变得过于复杂而无法处理。在这种情况下，确信因子（Cerntainy Factors,CF）理论可以作为很好的替代。CF理论来源于早期基于规则的专家系统。该理论考察一个介于1与-1的值，用以度量专家的确信程度。如果H是假设，E是证据，cf是一个规则的确信因子，那么：

图3 态势分析元素关系图

CF（H， E）＝CF（E）×cf

可以假定场景、给定的信息系统的核心使命、资产、相关逻辑联系等因素，查找与核心使命相关的资产以及服务、资产对应的脆弱性、可利用该脆弱性的威胁、相关的安全事件和告警、与该安全事件相关的各种环境因素影响、针对上述获取的各个元素进行迭代查找，最终形成总体风险证据。

逻辑实现实际上就是针对态势分析过程中的各元素进行不同属性的赋值、分类，并利用CF理论进行计算的一个过程。这个计算过程是专家判断过程，因此需要有一个知识库，提供一些基本的规则和IF-THEN的表述。举例来说：“IF威胁增加，THEN脆弱性被利用的可能性增高”。

虽然可以简单地用数学表达式来实现，但是这些假定在真正实施的时候，应该采用模糊逻辑，这样才能更好地处理定性知识，提高判断结果的“可信等级”，使分析结果更加准确。

6 结语

企业信息安全管理工作的核心是安全风险管理，但目前无论采用静态分析方法还是微观技术理论，为企业做出安全管理决策都有不足之处。而在微观态势分析中融入宏观态势分析则能更有效、更准确地预测信息安全风险，可以作为感性模式应用在企业的日常信息安全管理中，同时也可以作为一种模型应用于安全管理与安全监控类产品或服务中。尽管宏观还是微观态势分析都有很大的不确定性，但是通过先进的专家系统和模糊逻辑运算能够达到最大限度的统计学正确性，这是企业信息化管理非常关键的参考数据和决策依据，同时能极大地提高安全管理水平和工作效率，提高信息安全事件响应的及时性和准确性。

[1]张耀疆.《BS7799 标准全面解析（新版）》[M].上海：上海安信信息技术有限公司.

[2]王志强，李建刚，颜立，等.基于ISO/IEC 27001标准的信息安全管理体系建设[J].浙江电力，2008，27（4）：47-49.

[3]SHON HARRIS.《CISSP认证考试全面指南(CISSP Certification All-in-One Exam Guide）》第 4 版[M].北京：清华大学出版社.