文 | 中国银行数据中心(上海)副总经理 林蓉

大数据、云计算、移动支付、物联网等新技术的不断兴起,一方面,促进了金融机构积极进行数字化转型和互联网化改造,另一方面,更是给金融机构的服务模式和经营理念带来了深刻变革。在新兴技术推动金融机构不断创新的同时,随之而来的各类新型安全威胁已悄然改变传统的金融风险内涵,金融机构面临的内外部安全威胁不断增加。金融机构信息系统的安全稳定与国家、金融行业、金融客户的利益息息相关,有效防范信息系统的安全威胁已成为金融工作的重要环节之一。

为有效应对内外部网络安全威胁,保障信息系统安全稳定运行,金融机构不断加强在信息安全管理和防御技术领域的投入,提升抵御网络攻击的能力。在不断拓宽防御覆盖面和提升防御水平的同时,金融机构需要找到一个全局视角、多维度综合把控、实时度量机构网络安全态势水平的分析模型和评价指标,以帮助其时刻对自身的安全态势有真实、客观、准确的评估与把握,使得安全防护工作更具有针对性。

安全态势通常是指综合各方面安全因素,从整体上动态反映网络安全状况,并对网络安全的发展趋势进行预测和预警。通过多个维度的评估,综合反映当前的网络安全形势,整体把控网络安全防御水平。现有的ISO27001、PCI-DSS、COBIT等涉及信息安全的标准与体系多从安全管理角度评价机构的安全防护水平,这些标准缺乏可计算性,无法全面定义网络安全保障技术维度、量化各项安全技术能力,不能很好地适用于金融机构的安全态势评价。

以建立适合金融机构的网络安全态势分析数学模型和网络安全保障技术水平量化评价指标为目标,通过对标FFIECCAT、CISCSC、等级保护等国内外信息安全标准、规范和最佳实践,结合金融机构网络安全现状,本文提出了涵盖威胁管理、漏洞管理、情报管理三大领域的适用于金融机构的网络安全态势评价指标体系,帮助金融机构对自身安全技术保障水平与抵御网络安全威胁的能力进行有效的评价。

一、全局视角、多维衡量的网络安全态势分析模型

金融机构网络安全态势评价指标的设计从网络安全态势分析数学模型的建立出发。模型设计初期的主要工作为调研对标,主要对标了ISO27001、FFIECCAT、CISCSC、等级保护、IPDRR框架模型这五类国内外公认的信息安全标准。在充分了解各类指标的侧重领域、技术要求的情况下,结合金融机构的网络安全工作特点,从监测领域、维度、指标参数、组织架构轴向、时间轴向五方面考虑,完成数学模型的设计。

基于金融机构面临的内外部安全威胁以及网络安全防御工作的侧重点,设计威胁事件管理、漏洞管理、情报管理作为数学模型的三大监测领域。威胁事件是组织机构了解自身安全状态的主要信息来源之一,对威胁事件进行全面、高效的管理是将数据转换为有用信息的关键。漏洞是引发组织机构脆弱性的一个重要因素,对漏洞实行严格管理对于缓解机构风险、提高系统鲁棒性至关重要。情报弥补了威胁告警可靠程度不高、威胁事件响应被动等方面的短板,情报通常只搜集与特定威胁个体相关的定制化数据,以避免琐碎、不关联的情报资源浪费。

根据三大监测领域的工作覆盖范围和要求,模型在监测领域的基础上,共设计12个测算维度以及各维度下的27个一级评价指标,便于三大监测领域的态势水平评估。

  • 威胁事件管理领域从事件、监测、响应、调查取证和演练这5个维度进行评价;

  • 漏洞管理领域包括受漏洞影响导致系统产生的脆弱性、系统对于自身具有漏洞的发现能力以及系统对于发现漏洞的修复能力3个部分;

  • 情报管理领域则整合了钓鱼网站、被曝光漏洞、外泄客户信息以及情报共享4个维度。网络安全态势分析模型如图1所示。

二、全面准确、量化评价的网络安全态势评价指标

在网络安全态势分析数学模型的基础上,围绕金融机构信息资产,以指标参数可获得、态势水平可度量为目标,结合金融机构的实际组织架构以及评价指标的时间因素,设计面向金融机构的网络安全态势评价指标,对模型中的一级评价指标进行了细化和量化。

数学模型中定义的监测领域、维度、一级评价指标的划分多从网络安全工作的整体覆盖面考虑,指标尚未细化,指标数据不便于直接获取和计算。因此在评价指标的设计中,首先对27个一级评价指标进行了细化,针对各类一级指标数据源的不同类型,设计了64个二级评价指标。例如,根据威胁事件来源的不同,将各级事件数量指标细化为内部威胁事件总量和外部威胁事件总量2个二级评价指标;根据漏洞危害程度的不同,将修复时间指标细化为低危漏洞修复时间、中危漏洞修复时间、高危漏洞修复时间、特危漏洞修复时间4个二级评价指标;根据情报数据类型的不同,将发现能力指标细化为恶意URL数、恶意代码特征码数、僵尸网络IP数3个二级评价指标。

二级评价指标细化了一级评价指标的内容,指标体系更加丰富。但是,设计的二级评价指标仍多为定性指标,无法直接参与态势水平的测算。在指标细化的基础上,需要对二级评价指标进行进一步的量化处理,使得各评价指标均可采集、可用于计算。在64个二级评价指标的基础上,进一步设计了202个采集指标。例如,根据威胁事件严重程度的不同,将外部威胁事件总量指标分为待观察威胁事件、一般威胁事件、重大威胁事件三个采集指标;根据漏洞修复时间的考量点不同,将低危漏洞修复时间指标分为要求修复时间、实际平均修复时间两个采集指标;根据情报信息发现方式的不同,将发现信息数量指标分为被动公开信息条数、主动发现信息条数两个采集指标。

采集指标涉及多种类型,不同类型采集指标的量化处理和计算方法均不同。通过分析各采集指标之间的关联关系,按照不同的量化方法,将采集指标分为时间指标、频率指标、专家经验指标、正相关性指标、趋势指标5类。

  • 时间指标是通过时间进行衡量和测算的指标,根据各类指标的实际时间与要求时间的差距进行量化;

  • 频率指标通过指标对应数据的更新情况进行衡量,通过将不同的更新频率映射为不同的离散值进行量化;

  • 专家经验指标是网络安全专家结合实际工作经验进行量化的指标,将指标数据分成多个区间,对落入不同区间的指标赋予不同层次的离散值;

  • 正相关性指标是与其他指标存在正相关性的指标,采用当前指标与存在正相关性指标的比值进行量化;

  • 趋势指标反映指标在一定时间范围内的变化趋势,方便指标的横向比较,根据某一时间点的指标值与指标趋势的差距完成量化。采集指标确保了每一个指标均可以采集到相应的数据,并根据指标数据的不同类型采用相应的量化处理方法。

  • 网络安全态势评价指标同时考虑了金融机构的组织架构特点以及各评价指标的时间因素,增加了总部级别和分支机构级别两个组织架构轴向,以及日评价指标、月评价指标、年评价指标、常量评价指标四个时间轴向,使得指标体系与金融机构的实际组织架构更加契合,各评价指标也更符合金融机构网络安全工作的特点。

三、自底向上、逐级收敛的网络安全态势评价方法

建立网络安全态势分析数学模型和评价指标的最终目标是通过采集到的网络安全运维数据,依托模型和各类指标,完成金融机构网络安全态势水平的评价。评价指标中的一级评价指标、二级评价指标、采集指标为逐步细化、层层递进的关系,因此,网络安全态势评分采用自底向上加权的方法进行态势水平测算。

本文采用层次分析法(AHP)确定出各级指标的权重。AHP法是一种定性与定量分析相结合的多目标决策分析方法,将复杂问题分解为多个组成因素,并将这些因素按支配关系进一步分解,形成一个多目标、多层次的有序递阶层次结构。AHP法的基本思想是将多个元素权重的整体判断转变为对这些元素进行“两两比较”,然后再对这些元素的整体权重进行排序判断,最后确定各元素的权重。

鉴于各类采集指标的数据类型、数值范围存在差异,模型计算前需要对各类采集指标进行标准化处理。本文针对数据的标准化处理采用了Min-max标准化处理方法,以消除变量之间的量纲关系,使数据具有可比性。Min-max标准化方法是对原始数据进行线性变换,通过变换将原始数据映射到0~1的数值区间。

网络安全态势评价以标准化处理后的各类量化采集指标为起点,根据AHP法确定的各级指标权重,自底向上逐步加权收敛,最终形成最上层的全局网络安全态势评分。

四、总结与展望

本文建立的金融机构网络安全态势分析模型和评价指标以安全防御技术为主视角,从安全威胁监测,安全威胁响应、处置、调查全流程,安全漏洞发现、确认、修复、验证全生命周期,安全防御技术部署,威胁情报收集等多维度综合考量金融机构应对网络攻击的安全保障能力,能够分析出金融机构当前的网络安全态势,同时能够对网络安全保障工作的技术水平给出评价。

网络安全态势分析数学模型是网络安全保障实践工作的数学投影,金融机构已具备大量可用于网络安全保障水平分析的原始数据,可结合该研究成果,将一手的运维数据应用于网络安全态势分析工作中。网络安全态势量化评价指标体系能有效衡量金融机构各级安全防护技术水平,识别安全防护薄弱点,同时能够自适应不同层级带来的差异,以实现在一体化管理框架下的个体评价。

金融机构网络安全态势是一个新生事物,金融机构尚未有整体网络安全态势分析数学模型及安全保障技术水平量化评价体系的先例,市场上也无成熟的技术和产品。本文较为前瞻性的研究成果对于金融机构的网络安全保障和防御技术建设具有指导性的意义。

声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。