李 焕

（中国电力科学研究院 北京100192）

1 引言

信息安全监测预警是指通过对某类事件或几类事件的异常跟踪，发现特定问题，并阻止以及即时上报，通过警报系统上报疑似威胁或脆弱环节的特点与特征。传统的信息安全监测，单纯采用防护设备无法保证信息网络和系统免受不断出现的新型风险的威胁。监测预警技术的重点在于对动态的攻击提供主动式的早期通报，让安全管理人员能够提前预测和判定风险，及早防范，从被动的“事中”防护走向“事前”预警，做到防患于未然，避免信息网络和系统遭受巨大损失。

在预警技术方面，国内外早已开展了早期预警系统的研究，通过对一些重要的政治、军事、经济网络上非法入侵进行实施监测，陆续提出了信息站攻击威胁评测、战略情报预警、智能化预警决策支持系统、入侵监测和预警系统的体系结构等研究成果。本文结合大型企业信息安全防护体系的结构特点，在已有信息安全监测的基础上，开展信息安全预警模型的研究和设计。

2 信息安全监测预警体系结构

企业信息安全监测预警体系结构采用分层结构（如图1所示），主要分为3层：一层为监测点，采集信息安全监测设备（IPS、IDS、防火墙、网闸等）的攻击、风险日志；二层为分监测预警中心，收集并上传区域内监测点的安全监测日志，对上层发布的预警通告实施相应安全对策，并承担区域内预警通告工作；三层为总监测预警中心，汇总并分析分监测预警中心上传的安全监测日志，结合安全分析结果发布安全预警通告。在网络区域角色上，一、二层为二级单位信息网络，三层为企业总部信息网络。

3 基于信息安全监测的预警模型设计

3.1 信息安全风险严重程度的计算

目前，国内外主要互联网安全机构采取基于安全风险评估的安全风险预警方法，这种方法通过对安全事件的危害和影响以及采取一定安全策略对安全危害的消减等方面进行评估，判断该安全事件的风险严重程度；按风险严重程度划分安全预警级别，并针对不同级别的安全预警级别提出相应的安全防护策略和安全通告方式进行安全风险预警。

安全风险预警方法的关键在于风险严重程度的确定。恶意网络活动的风险严重程度由以下公式计算得出：

严重程度=（危险程度+毁坏程度）-（系统对策+网络对策）

通过定义危险程度 （C）、毁坏程度 （L）、系统对策（SC）、网络对策（NC）的不同情况和赋值，计算四大要素的取值。危险程度按照不同攻击对象进行赋值，毁坏程度按照不同的潜在损坏情况进行赋值，系统对策和网络对策则按照不同的主机和网络防护措施进行赋值。

3.2 基于信息安全监测数据的风险评估

目前，企业信息安全监测可涵盖互联网边界安全、桌面终端安全、信息内外网网络安全、信息内外网应用安全等方面数据。利用监测数据信息，对危险程度、毁坏程度、系统对策、网络对策四大要素的评估计算，进而实现基于信息安全监测数据的风险评估。

（1）危险程度的评估

按照不同攻击对象，分别对危险程度赋值为：

C=5总部级和二、三级单位信息内网的核心网络或服务，如核心路由器、防火墙、VPN、IDS、DNS服务器、认证服务器、重要终端等；

C=4总部级和二级单位信息外网的核心网络或服务，如核心路由器、防火墙、VPN、IDS、DNS服务器、认证服务器等；

C=3总部级和二级单位信息网络中邮件、网站、重要应用的服务器及数据库；

C=2总部级和二级单位信息网络中次重要应用服务，或三级单位信息网络自有应用服务；

C=1信息外网客户端。

当监测到攻击对象为多类时，按攻击对象最高级别的危险程度取值进行赋值。

（2）毁坏程度的评估

毁坏程度是指信息网络、系统的潜在损坏情况，其评估过程考虑了企业实际监测攻击情况和互联网当前攻击情况两方面因素的影响。毁坏程度L的计算公式如下：

其中，X为企业实际监测攻击情况赋值，Y为互联网当前攻击情况赋值，α为公司受攻击影响权重 （1<α<1，取经验值0.6）。具体赋值情况如下：

X=5实际监测攻击总数处于历史水平130%以上；

X=4实际监测攻击总数处于历史水平110%～130%；

X=3实际监测攻击总数处于历史水平90%～110%；

X=2实际监测攻击总数处于历史水平70%～90%；

X=1实际监测攻击总数处于历史水平70%以下。

Y值参考国家互联网应急中心发布的《网络安全信息与动态周报》中网络安全基本态势情况，Y按照网络安全基本态势危、差、中、良、优分别赋值为5、4、3、2、1。

（3）系统对策和网络对策的评估

系统对策的评估参考桌面终端安全、信息内外网应用安全方面的监测情况，网络对策的评估参考信息内外网网络安全方面的监测情况。按照监测漏洞和问题量多少，分别对危险程度赋值为：

SC（NC）=5连续3期未监测到系统（网络）漏洞和问题；

SC（NC）=4未监测到系统（网络）漏洞和问题；

SC（NC）=3监测到系统（网络）漏洞和问题少于企业平均水平；

SC（NC）=2监测到系统（网络）漏洞和问题等于企业平均水平；

表1 预警指标等级

SC（NC）=1监测到系统（网络）漏洞和问题多于企业平均水平。

3.3 预警指标设定

按风险严重程度的取值划分出5个安全预警指标级别，用于显示被监测单位当前的恶意网络活动和安全风险水平，反映了潜在的或实际的损害。该指标由低到高分为绿、蓝、黄、橙、红5个等级（见表1），两级安全监测预警中心可针对不同级别的安全预警级别提出相应的安全防护策略和安全通告方式进行安全风险预警。

4 结束语

本文设计的信息安全监测预警模型，借助企业已有信息安全监测工具对海量监测数据进行挖掘、分析，从而做出更科学、有效的信息安全预警通报及安全防护对策建议。通过信息安全监测预警体系研究，建立历史数据分析与企业信息安全通报等机制结合的预警模型，将有效提高企业安全保障和安全运维水平，对我国大型企业信息安全监测预警体系的研究有一定的参考意义。