基于ISCM策略的自动化安全控制评估方法

王秉政，许玉娜

（中国电子技术标准化研究院，北京100007）

1 引言

自动化网络攻击技术飞速发展，使得信息系统面临的网络攻击与日俱增，系统的安全缺陷很快就会被攻击者挖掘并利用。大多数组织会采取必要的手动缺陷检测和评估措施，包括安全控制评估技术和系统安全信息分析技术。然而，面对攻击者利用大量的安全缺陷快速实施网络攻击的现状，手动检测评估时间和资本投入高，并很难取得预期的评估效果。

近年来，美国NIST发布了NISTIR 8011系列研究报告，卷1《安全控制评估自动化支撑》提出了一个可操作的安全控制措施自动化评估通用方法，卷2、卷3和卷4分别就硬件资产、软件资产、软件漏洞等安全管理的自动化评估给出了实现案例。系列研究报告最终由13卷组成，其他卷将分别对安全配置、信任、边界、事件等管理能力进行自动化评估方案描述。

2 安全风险管理框架

美国国家标准与技术研究院（NIST）从生命周期的角度定义了风险管理框架（RMF），以信息系统分类为起点，依次经过安全控制选择、安全控制实施、安全控制评估、信息系统授权、安全状态监控等环节，如图1所示。框架各环节实施过程可参考NISTSP 800相关标准。风险管理框架提供了将信息安全和风险管理活动整合于系统开发生命周期的结构化流程，持续监控是风险管理流程中的关键部分，通常可在初始评估和授权环节之后实施ISCM策略下的自动化评估过程，进行系统安全操作和维护阶段的安全控制性能持续监控。

3 ISCM安全策略

信息安全持续监控（ISCM）安全策略通过对组织的安全威胁和风险进行持续性监控，保障系统受到安全威胁而发生变化时仍运行在可接受的风险范围内，并为其风险管理决策提供支持。ISCM安全策略具体目标为：（1）帮助管理员为组织设定优先级和管理风险；（2）提供相关指标，衡量组织各层级的安全状况；（3）监控安全控制措施的持续有效性；（4）验证是否符合信息安全要求，符合组织任务、职能、法律法规和标准等；（5）持续关注系统运行中的安全威胁。

在实施ISCM策略前，需对ISCM策略进行定义，范围涵盖技术、流程、外部环境与人为管理等，具体可包括风险管理与评估、系统工程弹性执行、操作动态管理、事件管理、异常检测、应急响应与修复等。组织运营者可根据特定的安全目标，自定义ISCM中的安全能力或添加附加功能。

4 自动化安全控制评估流程

自动化安全控制评估通过采集、记录、分析系统状态信息，定位可能的安全控制措施失效风险点，以评估控制措施实施的正确性和有效性，具体流程如图2所示，主要包括八个步骤：（1）定义安全能力，确立安全目标；（2）收集真实状态信息；（3）定义目标状态规范信息；（4）真实和目标状态信息对比分析并实施缺陷检测；（5）定义安全评估计划；（6）风险评估与打分；（7）定义风险评估结果；（8）评估结果响应，如果风险不能被接受，则需要持续调整真实状态或目标状态。

4.1 前期准备

从手动安全控制评估过渡到自动安全控制评估，需要做好一些准备工作，用以支持自动化运行的ISCM数据采集系统与可视化信息系统：（1）实际状态与行为信息的数据化标识；（2）目标状态与行为的规范化数据标识，能够与实际状态信息进行比较；（3）定义一种能够计算识别缺陷（目标状态与实际状态间的差异）的方法；（4）定义一种自动化安全评估报告模板，以便组织进行基于风险的分析决策；（5）设置缺陷检查完整性和及时性的结构性阈值。

图1 信息安全风险管理框架

完整性和及时性是评价缺陷检测效果的两大因素。完整性表示自动化评估方法能够对所有可能具有此缺陷的被评估对象进行必要的缺陷检测。及时性表示对缺陷评估对象组合的测试周期至少与ISCM策略中指定的频率相同，使得自动化评估系统能在黑客利用系统缺陷前就发现缺陷并预留时间做出响应。

4.2 安全能力定义

安全能力是指一组由技术、物理和过程方法实现的相互增强的安全控制措施的集合。为便于自动化评估操作，需将系统安全能力架构进行抽象分层。抽象分层能够建立跨层级跨能力的协同操作，为安全控制措施的选择和安全能力的重构提供指引。

（1）攻击步骤层。从恶意攻击视角定义攻击步骤模型，具体步骤可包括获取内部权限、发动内部攻击、获得内部据点、获取持续攻击条件、扩大攻击范围并提升内部权限级别、完成攻击目的等，系统运营者在特定环境下可定义或附加其他攻击步骤

（2）安全能力层。安全能力是一系列相辅相成的安全控制措施的集合，一项安全控制措施可以支持多项安全能力。安全能力与攻击步骤间能够构建映射关系，用于追踪安全能力防范特定攻击的过程

（3）安全子能力层。安全能力由子能力构成，子能力具有唯一确定性，且仅属于其对应的安全能力。不同的安全能力下可定义相似的子能力。安全子能力的关键在于能够定义其对应的缺陷检测方法，用来检测安全目标是否实现，最适合开展自动化评估

（4）控制条目层。安全控制项包含基线级控制和增强级控制，均可细化为多项控制条目，以确保每项控制措施都是独立可测试的，一项控制条目可支持多重安全能力要求

4.3 信息收集

ISCM信息收集系统包含收集器，存储单元、协调中心、分析引擎、报告生成器与可视化界面。其中，协调中心用于协调收集器收集时间和事件驱动数据；分析引擎用于查找缺陷并鉴别所需的事件驱动数据，协助通过风险评分方法进行优先级排序和响应。

查找缺陷的核心要素是目标状态的规范标识，目标状态是指组织为降低系统安全风险，通过数值、列表或规则等定义的机器可读的定义值，用与实际状态值进行比较，两个值不匹配则表示一个或多个安全控制的有效性存在缺陷。真实状态数据被信息收集器收集，数据收集器可以是传感器、扫描仪、数字输入设备等。

4.4 对比分析

图2 自动化安全控制评估流程

对比分析过程旨在通过计算真实状态和目标状态信息的差异进行缺陷检测。缺陷检测通常以安全子能力为单位，基于判定语句对评估对象进行自动化验证。缺陷检测过程中需要进行文档化处理，文档信息包括缺陷检测信息和应对措施，列出缺陷检测名称、评估标准、子能力名称及目标、评估标准笔记、选择该缺陷与否、缺陷响应等信息。在完成缺陷检测后，应当基于真实状态和目标状态对风险进行评分、排序和响应。

4.5 评估计划制定

制定评估计划是针对ISCM中每项安全能力设计评估文档（包含评估过程和评估方法），方便组织根据缺陷检测信息定位到被评估的安全控制措施。评估计划文档针对评估目标描述判定语句、评估方法、缺陷检测原理等内容。缺陷检测原理部分需将缺陷检测的评估标准映射到判定语句的描述中。

4.6 评估结果报告

在评估过程中，通过恰当的参数设定，能够自动化获得评估结果文件。其中，调整的参数包括评估范围、授权边界及评估对象分类。安全评估报告应当包括详细的系统缺陷、责任方和设备缺陷的列表，详细的缺陷引发的全局风险列表，组织机构定义的优先解决的缺陷，总结安全能力、防范管理和系统引发的安全级别，评估给定风险水平的后果，以促进风险管理决策，投资决策。

4.7 评估结果响应

评估结果响应根据优先级排序对所属安全责任团队发布缺陷检测结果并实施补救措施，必要时需要对补救措施进行重新评估。缺陷检测结果可能与一个或多个控制项失效有关，可依据控制项（包含子条目）到安全目标的因果逻辑关系进行缺陷定位。定位分析过程信息可用于确定修复故障控件的优先顺序，协助判定控制失效的风险是否在可接受范围内。

定位分析方法有两种：一是基于安全控制类型分析，从安全控制措施生命周期的角度检验问题阶段，对于重复性缺陷问题，可从系统性角度考虑控制项实施的预期生命周期，查看是否由早期生命周期的缺陷（即工程缺陷）引发的问题；二是基于缺陷类型分析，预测缺陷对安全目标产生的影响与级别。

5 应用与展望

随着网络架构与网络环境日益复杂化，各国对重点领域网络安全防护与实时监控愈发重视。我国《中华人民共和国网络安全法》规定，国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。ISCM策略为系统安全控制评估提供持续性信息支撑，成为服务系统级安全自动化评估的参考模型，实施ISCM自动化安全评估工程对加强关键信息基础设施领域安全防护与实时监控能力具有重要的现实意义。

图3 ISCM信息收集系统

当前，安全评估与监控能力的建设，更多地聚焦在流程化聚合的方式上，各体系间基于知识的应用与交互存在错位和缺失，为更好地弥补安全评估中的不确定性。未来自动化安全评估与监控技术应以安全智能化为方向，着眼于获取空间级安全信息、决策、执行和成本优势，积极应用大数据、人工智能等新技术成果，构建与安全信息感知、分析、决策、处置、防御、各层级优化交互模式，使组织和系统具备更智能的内部风险感知、缺陷精准定位、快速决策响应、协同安全防护的体系化能力。

6 结束语

本文以安全能力为切入点，系统地研究了ISCM策略下自动化安全控制评估机制，对大规模网络与信息系统的安全监控与评估提供了参考。随着自动化信息处理与安全技术的飞速发展，实施自动化安全控制评估工程的条件日渐成熟，推动自动化、智能化安全控制评估工程的研究与实施，将会更好地服务保障重大网络系统安全风险与威胁防范工作。