内部网络安全监管指标体系设计与实现

2　内部网络安全监管指标体系设计

2.1　网络安全监管指标体系设计原则

2.2　网络安全监管指标体系设计

2.2.1　资产健康度指标

2.2.2　网络安全风险

2.2.3　保密风险指标

内部网络是采用 Internet 技术，建立在政府机构、企事业单位内部的专用网络。内部网络是辅助日常办公和科研生产的重要网络，通常处理的数据涉及国家秘密信息或工作秘密信息，因此往往与国际互联网进行物理隔离或高强度逻辑隔离。当前，大多数内部网络遵循等级保护或分级保护要求进行了较为完善的防护，但是在监管方面通常都是被动地接收安全设备、安全系统上报的安全事件、行为操作、运行状态等数据，还处于有什么数据做什么分析的阶段。伴随着网络安全威胁的种类和数量的不断增加，网络攻击行为向着分布化、规模化、复杂化的趋势发展。此外，内部网络还面对着内部人员异常行为导致的失窃密事件难以及时发现等安全现状。作为监管者，应站在顶层视角来思考如何体系化地设计整网的网络安全监管，从而从上到下地反推网络安全监管需要什么样的数据，数据来源于哪里，以及数据如何分析，进而充分地挖掘安全设备、安全系统的能力。本文根据内部网络的特点，设计了一套符合内部网络的网络安全监管指标体系，提出了一种实用的评估模型和实现框架，供业界同行在设计内部网络安全监管指标体系时参考。

关于指标体系的研究，国内主要集中在网络安全风险态势评估和网络安全态势感知方面。2006 年国内陈秀真等人提出一种层次化安全威胁态势定量评估模型及相应的量化计算方法，从服务、主机、局域网系统 3 个层次进行安全威胁态势评估。2007年吴果等人开创性地将多源多对象的各种影响网络安全态势的因素合并整理，并根据层次原则和分类原则，提出了网络安全态势感知指标体系，此外，根据分类情况，将各指标分为脆弱性指标、容灾性指标、威胁性指标和稳定性指标。2017 年邓美林提出了资产、脆弱性、可用性和威胁性的网络安全态势指标体系。2020 年李欣等人针对视频专网自身特点，构建了一套适用于视频专网的网络安全态势指标体系，包括基础网络运行安全、系统脆弱性、网络安全威胁、前端设备运行安全和边界运行安全指标，并给出了指标值的计算方法。

通过上述指标体系的分析，现有指标体系既缺乏评估保密风险的相关指标，还缺乏衡量安全保密事件处置质效的指标，不能很好地适用于内部网络环境，因此，迫切需要研究一套适用于内部网络的安全监管指标体系。

2.1　网络安全监管指标体系设计原则

网络安全监管指标体系设计需结合内部网络复杂性高、保密程度高及 IT 运维普遍外包等特性，明确业务目标，确保构建的指标数据的完备性和有效性，从而赋能业务。指标体系设计需要遵从以下原则：（1）完备性：内网环境中，对网络安全构成影响的要素众多，如果指标建立不全面、不准确，就很难反映网络安全的整体态势水平，因此在设计指标时要确保指标数据完备。（2）系统性：因网络安全监管指标是对内部网络安全水平的综合评价，在考虑指标数据完备性基础上，要充分考虑指标的层级性及指标间不相关性。（3）可实施性：在满足完备性和系统性的基础上，设计的指标数据要确保可采集、可计算、可落地。

2.2　网络安全监管指标体系设计

基于指标体系设计原则，本文在网络安全监管指标体系设计时，主要采用分层、分类方法。分层法是基于因果关联关系对指标体系进行分层，从而构建 1 到 N 层级指标体系。指标分层方法一方面当某些指标变化时，会同步关联上下层级指标，另一方面便于指标体系的后续扩展。分类法是在各层级指标内，充分考虑指标间的独立性和不可替代性，基于不相关性对各层级指标进行分类，从而构建无相关性的指标类型及量化指标。指标分类的优势在于，当某一类指标变化时不会影响同层其他指标，使得同层指标计算可完全解偶。

根据 GB/T 20984—2007《信息安全技术 信息安全风险评估规范》，信息系统的风险主要在于其面临的威胁和其本身的脆弱性，但是在网络实际运行中，资产的健康度往往直接或者间接影响整个网络的安全，而且在内部网络中，对失密、泄密、窃密的监管更为重要，此外，如果发现了安全保密事件而不及时有效处置，也会导致整个网络风险持续攀升。因此，本文选取资产健康度、网络安全风险、保密风险和处置质效 4 个指标，作为内部网络安全监管的一级指标。内部网络安全监管指标体系如图 1 所示。

图 1 内部网络安全监管指标体系

2.2.1　资产健康度指标

资产健康度指标包括终端安全健康度、服务器健康度、网络设备健康度、安全保密系统健康度、业务系统健康度和动环系统健康度 6 个二级指标。

终端健康度指标重点关注终端安全软件安装率。服务器健康度、网络设备健康度和安全保密系统健康度指标重点关注资产在离线状态、资产故障状态和资产性能异常状态。业务系统健康度指标重点关注业务服务可用性。动环系统健康度指标重点关注温湿度等异常状况，包括温度异常告警、湿度异常告警、电压异常告警、漏水异常告警、粉尘超标告警和烟雾异常告警。

2.2.2　网络安全风险

网络安全风险指标包括资产脆弱性和网络安全威胁两个二级指标。

资产脆弱性指标包括漏洞风险、安全配置风险和口令风险 3 个三级指标。漏洞风险指标是根据漏洞等级、漏洞数量和漏洞是否可利用来评估网络环境中的漏洞风险情况。安全配置风险指标是根据不合规配置项的风险等级和数量来评估网络环境中的安全配置风险情况。口令风险指标是根据弱口令数量和弱口令资产占比来评估网络环境中的口令风险情况。网络安全威胁指标包括网络攻击威胁、恶意程序威胁、策略配置威胁和未知资源威胁 4 个三级指标。网络攻击威胁指标包括攻击尝试威胁、攻击成功威胁和攻击结果不明威胁 3 个指标。恶意程序威胁指标是根据恶意程序的等级、恶意程序发生频率、恶意程序的处置情况来评估网络环境中的恶意程序威胁风险情况。策略配置威胁指标关注安全策略偏离基线所带来的威胁。未知资源威胁指标关注网络中出现的非法资产和非法服务所带来的威胁。

2.2.3　保密风险指标

在内部网络中，保密风险主要来源于人的异常行为，因此保密风险指标包括用户异常行为指标和运维人员异常行为指标。

用户异常行为包括用户使用计算机异常、用户访问网络异常和用户数据处理异常。用户使用计算机异常包括冒用身份登录异常、破坏本地安全机制、用户违规接入非授权计算机和存储介质、用户异常更换计算机部件等。用户访问网络异常包括用户采用不明终端接入网络、用户违规连接国际互联网、用户登录其他非授权终端和服务器、用户非授权访问应用系统、用户异常扫描网络、用户发起或执行远程命令等。用户数据处理异常包括用户异常打印或刻录文件、用户修改敏感数据标识、用户违规存储非知悉范围数据、用户向非知悉范围人员流转敏感数据、用户短时间内下载数量大的敏感数据等。

运维人员异常行为包括运维人员使用计算机异常、运维人员运维工作异常和运维人员数据处理异常。运维人员使用计算机异常包括冒用身份登录异常、破坏终端或服务器安全机制、违规接入非授权计算机和存储介质、运维人员异常更换计算机和服务器部件等。运维人员运维工作异常包括运维终端或服务器违规连接国际互联网、进行网络扫描探测、绕过运维管理域认证机制直接运维、使用异常端口运维、运维人员访问非授权业务和数据等。运维人员数据处理异常包括运维人员异常打印或刻录文件、运维人员修改敏感数据标识、运维人员违规存储非知悉范围数据、运维人员向非知悉范围人员流转敏感数据、运维人员短时间内下载数量大的敏感数据等。

2.2.4　处置质效指标

处置质效指标包括处置时效性和处置质量两个二级指标。处置时效性关注运维人员处置安全事件时的及时性和处置效率，处置质量关注事件分析准确性和事件处置合理性。

国内外在网络安全监管指标体系评估方面的研究与设计比较少。目前国内比较成熟的研究与设计基本是面向互联网领域，如吴果等人＼提出的相关性分析方法，并且都是比较侧重指标的优化选择。而内部网络安全监管指标体系模型评估是一个相当复杂的过程。指标体系从不同维度、不同层次对内部网络安全监管要求进行了归类，不同类型指标对安全风险的影响程度不相同。此外，指标项量化多元化，包括了数值、百分比、是 / 否等多种类型，需要针对不同类型量化值对指标的贡献权重设计合理算法。然而魏军等人 提出的将层次分析法应用于指标权重计算的方法相对还处于理论层面，不足以指导实践。

综上所述，为了能更好地适应内部网络安全监管指标量化多元化的特点，以及各层级指标对风险影响程度的差异，本文提出一种基于 Sigmoid 激活函数和层次递归计算方法的内部网络安全监管指标安全评估模型。评估模型遵照2.2 节指标体系的分类、分层原则进行设计，以便于算法扩展。实践证明，该评估模型在满足工程落地实施的情况下能够得出较实时且可解释的结果。

3.1　指标体系数据结构的数学模型

将 2.2 节指标体系结构抽象为可表达的数学模型。设为指标体系的层级，层内每个层级的指标类型，为第N 层实测指标，则指标体系结构数据的数学模型如图 2 所示。

图 2 指标体系数据结构的数学模型

3.2　Sigmoid 激活函数和层次递归计算方法

Sigmoid 激活函数在指标体系评估过程中的主要作用是，根据图 2 数学模型中的层指标项实测值，利用 Sigmoid 激活函数计算其对层指标的贡献权重。层次递归加权算法在指标体系评估过程中的主要作用是，对图 2 中的到 L1 层根据指标类型对网络安全指标体系的影响程度，采用自底向上的逐层递归加权，得到每一层的评估结果，最终得出整个指标体系的安全总分。

Sigmoid 激活函数因其具备可以把实数域平滑映射到 (0,1) 空间的特点，以及具备单调递增特性和连续可导等优势，在神经网络中被广泛应用。而恰好 Sigmoid 激活函数在神经网络中被广泛应用的特性符合网络安全指标体系安全评估的要求，所以本文充分利用 Sigmoid 激活函数特性原理实现对网络安全指标体系的安全评估。Sigmoid 激活函数数学表达式：

函数的曲线特性如 3 所示。

图 3 Sigmoid 函数曲线特性

根据图3可知，Sigmoid激活函数具有如下特性：（1）函数曲线具有单增特性，符合网络安全指标评估 GB/T 20984—2007《信息安全技术—信息安全风险评估规范》的要求；（2）函数值域取值范围属于 [0,1)，对应到网络安全评估结果中，满足对评估结果归一化要求；（3）当横坐标取值为 0 时，对应的纵坐标值等于 0.5。以上即为 Sigmoid 激活函数的独有特性。而基于上述特性第（3）点可以看出，当函数自变量 Z取值为零时，对应的函数值域取值为 0.5。如果将该函数对应关系映射到网络安全评估中，即当网络安全指标量化值为零时，将得出网络安全评估结果仍有 0.5×100=50，故不符合网络安全评估的实际业务要求。对此，本文对原 Sigmoid 激活函数进行了优化改造，改造后的函数表达式为：

式（2）函数对应的曲线特性如图 4 所示。

图 4　优化后的 Sigmoid 函数曲线特性

根据图 4 可知，优化后的 Sigmoid 激活函数曲线特性完全符合网络安全评估要求。

依据内部网络安全监管指标体系设计和算法设计，整个监管系统的实现包括数据采集、数据处理、数据存储、数据分析、指标项统计、指标分计算、可视化呈现等环节，可分为 4 个主要流程：监管指标数据采集、指标项统计、指标分数计算和指标态势可视化呈现。

监管指标数据采集流程如图 5 所示。监管指标数据采集负责收集与指标计算相关的原始数据，主要包括安全设备、安全系统、保密设备、网络设备、服务器等资产上报的安全日志、操作日志、状态日志、性能数据等。所有数据按照数据类型进行统一的范式化处理，形成标准的数据格式后存入数据库。系统基于规则分析、机器学习、基线分析技术对原始数据进行分析，识别出满足指标体系的异常数据，并存回数据库供指标项统计模块使用。指标项统计流程如图 6 所示。

图 5　监管指标数据采集流程

图6　指标项统计流程

指标项统计通过定时任务触发，周期性地从原始数据中拉取与指标项统计相关的原始数据，经过统计计算后得出指标项统计值并更新到指标模型数据库中，完成指标的量化评估。指标项统计值包含数值型、百分比、是 / 否三种类型的统计值。指标分数计算流程如图 7 所示。

图 7 指标分数计算流程

指标分数计算通过定时任务触发，周期性地从指标模型数据库中拉取与指标相关的指标项统计值，根据不同的指标项类型调用不同的权重计算算法，计算出该指标项对指标的影响权重。最后基于指标权重、指标量化数据、指标计算算法计算出各级指标的指标分，并更新到指标模型数据库中。

计算出所有指标的指标分后，可从安全监管态势、保密态势、网络安全态势、资产运行态势等不同维度将相关指标的安全分以及重要的指标量化数据进行可视化呈现，从而辅助监管者及时、全面地掌握网络安全监管现状，辅助进行安全管理和指挥决策。

本文针对内部网络安全性和保密性要求高的特点，按照分层、分类法，设计了一套内部网络的网络安全监管指标体系，重点设计了保密风险和处置质效两个重要指标，同时提出了基于 Sigmoid 激活函数和层次递归计算方法的评估模型。本文设计的指标体系和评估模型已经应用到了实际用户环境，实践表明，能够大幅提升内部网络安全风险感知能力和风险治理水平。