基于ISCM策略的自動化安全控制評估方法

王秉政，許玉娜

（中國電子技術標準化研究院，北京100007）

1 引言

自動化網絡攻擊技術飛速發展，使得信息系統面臨的網絡攻擊與日俱增，系統的安全缺陷很快就會被攻擊者挖掘并利用。大多數組織會采取必要的手動缺陷檢測和評估措施，包括安全控制評估技術和系統安全信息分析技術。然而，面對攻擊者利用大量的安全缺陷快速實施網絡攻擊的現狀，手動檢測評估時間和資本投入高，并很難取得預期的評估效果。

近年來，美國NIST發布了NISTIR 8011系列研究報告，卷1《安全控制評估自動化支撐》提出了一個可操作的安全控制措施自動化評估通用方法，卷2、卷3和卷4分別就硬件資產、軟件資產、軟件漏洞等安全管理的自動化評估給出了實現案例。系列研究報告最終由13卷組成，其他卷將分別對安全配置、信任、邊界、事件等管理能力進行自動化評估方案描述。

2 安全風險管理框架

美國國家標準與技術研究院（NIST）從生命周期的角度定義了風險管理框架（RMF），以信息系統分類為起點，依次經過安全控制選擇、安全控制實施、安全控制評估、信息系統授權、安全狀態監控等環節，如圖1所示?？蚣芨鳝h節實施過程可參考NISTSP 800相關標準。風險管理框架提供了將信息安全和風險管理活動整合于系統開發生命周期的結構化流程，持續監控是風險管理流程中的關鍵部分，通?？稍诔跏荚u估和授權環節之后實施ISCM策略下的自動化評估過程，進行系統安全操作和維護階段的安全控制性能持續監控。

3 ISCM安全策略

信息安全持續監控（ISCM）安全策略通過對組織的安全威脅和風險進行持續性監控，保障系統受到安全威脅而發生變化時仍運行在可接受的風險范圍內，并為其風險管理決策提供支持。ISCM安全策略具體目標為：（1）幫助管理員為組織設定優先級和管理風險；（2）提供相關指標，衡量組織各層級的安全狀況；（3）監控安全控制措施的持續有效性；（4）驗證是否符合信息安全要求，符合組織任務、職能、法律法規和標準等；（5）持續關注系統運行中的安全威脅。

在實施ISCM策略前，需對ISCM策略進行定義，范圍涵蓋技術、流程、外部環境與人為管理等，具體可包括風險管理與評估、系統工程彈性執行、操作動態管理、事件管理、異常檢測、應急響應與修復等。組織運營者可根據特定的安全目標，自定義ISCM中的安全能力或添加附加功能。

4 自動化安全控制評估流程

自動化安全控制評估通過采集、記錄、分析系統狀態信息，定位可能的安全控制措施失效風險點，以評估控制措施實施的正確性和有效性，具體流程如圖2所示，主要包括八個步驟：（1）定義安全能力，確立安全目標；（2）收集真實狀態信息；（3）定義目標狀態規范信息；（4）真實和目標狀態信息對比分析并實施缺陷檢測；（5）定義安全評估計劃；（6）風險評估與打分；（7）定義風險評估結果；（8）評估結果響應，如果風險不能被接受，則需要持續調整真實狀態或目標狀態。

4.1 前期準備

從手動安全控制評估過渡到自動安全控制評估，需要做好一些準備工作，用以支持自動化運行的ISCM數據采集系統與可視化信息系統：（1）實際狀態與行為信息的數據化標識；（2）目標狀態與行為的規范化數據標識，能夠與實際狀態信息進行比較；（3）定義一種能夠計算識別缺陷（目標狀態與實際狀態間的差異）的方法；（4）定義一種自動化安全評估報告模板，以便組織進行基于風險的分析決策；（5）設置缺陷檢查完整性和及時性的結構性閾值。

圖1 信息安全風險管理框架

完整性和及時性是評價缺陷檢測效果的兩大因素。完整性表示自動化評估方法能夠對所有可能具有此缺陷的被評估對象進行必要的缺陷檢測。及時性表示對缺陷評估對象組合的測試周期至少與ISCM策略中指定的頻率相同，使得自動化評估系統能在黑客利用系統缺陷前就發現缺陷并預留時間做出響應。

4.2 安全能力定義

安全能力是指一組由技術、物理和過程方法實現的相互增強的安全控制措施的集合。為便于自動化評估操作，需將系統安全能力架構進行抽象分層。抽象分層能夠建立跨層級跨能力的協同操作，為安全控制措施的選擇和安全能力的重構提供指引。

（1）攻擊步驟層。從惡意攻擊視角定義攻擊步驟模型，具體步驟可包括獲取內部權限、發動內部攻擊、獲得內部據點、獲取持續攻擊條件、擴大攻擊范圍并提升內部權限級別、完成攻擊目的等，系統運營者在特定環境下可定義或附加其他攻擊步驟

（2）安全能力層。安全能力是一系列相輔相成的安全控制措施的集合，一項安全控制措施可以支持多項安全能力。安全能力與攻擊步驟間能夠構建映射關系，用于追蹤安全能力防范特定攻擊的過程

（3）安全子能力層。安全能力由子能力構成，子能力具有唯一確定性，且僅屬于其對應的安全能力。不同的安全能力下可定義相似的子能力。安全子能力的關鍵在于能夠定義其對應的缺陷檢測方法，用來檢測安全目標是否實現，最適合開展自動化評估

（4）控制條目層。安全控制項包含基線級控制和增強級控制，均可細化為多項控制條目，以確保每項控制措施都是獨立可測試的，一項控制條目可支持多重安全能力要求

4.3 信息收集

ISCM信息收集系統包含收集器，存儲單元、協調中心、分析引擎、報告生成器與可視化界面。其中，協調中心用于協調收集器收集時間和事件驅動數據；分析引擎用于查找缺陷并鑒別所需的事件驅動數據，協助通過風險評分方法進行優先級排序和響應。

查找缺陷的核心要素是目標狀態的規范標識，目標狀態是指組織為降低系統安全風險，通過數值、列表或規則等定義的機器可讀的定義值，用與實際狀態值進行比較，兩個值不匹配則表示一個或多個安全控制的有效性存在缺陷。真實狀態數據被信息收集器收集，數據收集器可以是傳感器、掃描儀、數字輸入設備等。

4.4 對比分析

圖2 自動化安全控制評估流程

對比分析過程旨在通過計算真實狀態和目標狀態信息的差異進行缺陷檢測。缺陷檢測通常以安全子能力為單位，基于判定語句對評估對象進行自動化驗證。缺陷檢測過程中需要進行文檔化處理，文檔信息包括缺陷檢測信息和應對措施，列出缺陷檢測名稱、評估標準、子能力名稱及目標、評估標準筆記、選擇該缺陷與否、缺陷響應等信息。在完成缺陷檢測后，應當基于真實狀態和目標狀態對風險進行評分、排序和響應。

4.5 評估計劃制定

制定評估計劃是針對ISCM中每項安全能力設計評估文檔（包含評估過程和評估方法），方便組織根據缺陷檢測信息定位到被評估的安全控制措施。評估計劃文檔針對評估目標描述判定語句、評估方法、缺陷檢測原理等內容。缺陷檢測原理部分需將缺陷檢測的評估標準映射到判定語句的描述中。

4.6 評估結果報告

在評估過程中，通過恰當的參數設定，能夠自動化獲得評估結果文件。其中，調整的參數包括評估范圍、授權邊界及評估對象分類。安全評估報告應當包括詳細的系統缺陷、責任方和設備缺陷的列表，詳細的缺陷引發的全局風險列表，組織機構定義的優先解決的缺陷，總結安全能力、防范管理和系統引發的安全級別，評估給定風險水平的后果，以促進風險管理決策，投資決策。

4.7 評估結果響應

評估結果響應根據優先級排序對所屬安全責任團隊發布缺陷檢測結果并實施補救措施，必要時需要對補救措施進行重新評估。缺陷檢測結果可能與一個或多個控制項失效有關，可依據控制項（包含子條目）到安全目標的因果邏輯關系進行缺陷定位。定位分析過程信息可用于確定修復故障控件的優先順序，協助判定控制失效的風險是否在可接受范圍內。

定位分析方法有兩種：一是基于安全控制類型分析，從安全控制措施生命周期的角度檢驗問題階段，對于重復性缺陷問題，可從系統性角度考慮控制項實施的預期生命周期，查看是否由早期生命周期的缺陷（即工程缺陷）引發的問題；二是基于缺陷類型分析，預測缺陷對安全目標產生的影響與級別。

5 應用與展望

隨著網絡架構與網絡環境日益復雜化，各國對重點領域網絡安全防護與實時監控愈發重視。我國《中華人民共和國網絡安全法》規定，國家采取措施，監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網絡違法犯罪活動，維護網絡空間安全和秩序。ISCM策略為系統安全控制評估提供持續性信息支撐，成為服務系統級安全自動化評估的參考模型，實施ISCM自動化安全評估工程對加強關鍵信息基礎設施領域安全防護與實時監控能力具有重要的現實意義。

圖3 ISCM信息收集系統

當前，安全評估與監控能力的建設，更多地聚焦在流程化聚合的方式上，各體系間基于知識的應用與交互存在錯位和缺失，為更好地彌補安全評估中的不確定性。未來自動化安全評估與監控技術應以安全智能化為方向，著眼于獲取空間級安全信息、決策、執行和成本優勢，積極應用大數據、人工智能等新技術成果，構建與安全信息感知、分析、決策、處置、防御、各層級優化交互模式，使組織和系統具備更智能的內部風險感知、缺陷精準定位、快速決策響應、協同安全防護的體系化能力。

6 結束語

本文以安全能力為切入點，系統地研究了ISCM策略下自動化安全控制評估機制，對大規模網絡與信息系統的安全監控與評估提供了參考。隨著自動化信息處理與安全技術的飛速發展，實施自動化安全控制評估工程的條件日漸成熟，推動自動化、智能化安全控制評估工程的研究與實施，將會更好地服務保障重大網絡系統安全風險與威脅防范工作。