面向关键信息基础设施的网络安全评价体系研究

---------------------高孟茹1,谢方军1,董红琴1,林祥2 ---------------------------------------------

(1.上海市公安局网络安全保卫总队，上海200025; 2.上海交通大学信息安全学院，上海200240 )

摘要：随着互联网和云计算的广泛应用，关键信息基础设施安全问题日益突出。 当前关键信息基础设施安全保障评价指标体系的三层分级结构存在缺乏量化指标以及管

理指标与技术指标缺乏关联等问题，这些问题导致安全风险评估过程信息化程度低、周

期长。针对上述问题，文章引入知识图谱建立管理指标和技术指标之间的关联，同时通 过实际态势数据分类细化技术指标，形成基于知识图谱技术的网络安全四级量化评价体 系。通过监管部门实际应用，该体系可以实时地对关键信息基础设施的互联网资产进行

网络安全风险评估，显著提升监管效率。关键词：网络安全评价体系；知识图谱；指标量化中图分类号：TP309文献标识码：A文章编号：1671-1122 (2019) 09-0111-04中文引用格式：高孟茹，谢方军，董红琴，等.面向关键信息基础设施的网络安全评价体系研究[J].信息 网络安全，2019, 19(9):111-114.英文引用格式：GAO Mengru, XIE Fangjun, DONG Hongqin, et al. Research on Network Security Evaluation

System Oriented to Critical Information Infrastructure[J]. Netinfo Security, 2019,19(9): 111-114.Research on Network Security Evaluation System Oriented to

Critical Information InfrastructureGAO Mengru1, XIE Fangjun1, DONG Hongqin1, LIN Xiang2(1. Network Security Corps of Shanghai Public Security Bureau, Shanghai 200025, China; 2. School of

Cybersecurity, Shanghai Jiaotong University, Shanghai 200240, China)Abstract: With the wide application of Internet and cloud computing, the security problem of critical information infrastructure has become increasingly prominent. At present, the three- tier hierarchical structure of the critical information infrastructure security index system has the problems that lacking of quantify indicators, and lacking of correlation between management indicators and technical indicators. These problems lead to the low degree of informatization and a long period of security risk assessment. In order to solve the above problems, this paper establishes the relationship between management indicators and technical indicators by introducing the knowledge graph, and forms the four-level network security quantitative evaluation system based on knowledge graph by classifying the actual situation data to refine the technical indicators.收稿日期：2019-7-15基金项目：国家重点研发计划[2017YFC0821305];上海市科学技术委员会科研计划[18511105902,18JG0500400]作者简介：高孟茹（1990—）,女，江西，工程师，硕士，主要研究方向为网络安全；谢方军（1973—）,男，四川，高级工程师，博士,

主要研究方向为网络安全及大数据分析；董红琴（1982—）,女，江苏，工程师，硕士，主要研究方向为网络安全；林祥（1979—）,男, 福建，工程师，博士，主要研究方向为网络空间安全。通信作者：谢方军xiefangjun@163.com111nCtinfoSECURITY入选论文Through the practical application, the system can assess the security risk of Internet assets of critical information infrastructure in near real-time, and significantly improve the efficiency of s叩ervision.Key words: network security evaluation system; knowledge graph; indicator quantification0引言2017年6月1日，《中华人民共和国网络安全法》

正式实施，提出在网络安全等级保护制度的基础上， 对关键信息基础设施实行重点保护，并且明确监管部 门应针对关键信息基础軽的安全风险进行监测并对

其网络存在的安全风险进行评估。关键信息基础设施 是指面向公众提供网络信息服务或支撑能源、通信、 金融、交通、公共事业等重要行业运行的信息系统或 工业控制系统闪，其网络运行安全对于国家社会稳定有

着极其重要的作用。因此，监管部门需要有专门的保

障指标体系用珈行舷的删和W?。当前关键信息基础设施安全保障评价指标体系存 在两个主要问题:一是管理指标设置的事件评级以主

观性强的“重大”、“较大”等词汇进行描述，无法区

分不同类型的威胁、隐患、事件对信息系统安全状况

的影响程度;二是管理指标与技术指标完全割裂，如 技术指怖分的高低能在一定程度上反映管理指标的

落实情况，但指标体系无法反映技术指标与管理指标

之间的这种关联关系叫近年来我国发布了《关键信息 基础设施安全保障评价指标体系》征求意见稿，明确 了关键信息基础设施的范畴和安全保障的三级指标体 系，但该指标体系仍有待完善和提高。上述问题导致对关键信息基础设施评估过程缺乏 细粒度的标准和评估体系，使得监管部门在开展关键 信息基础设施网络安全风险评估时眄需人工摸排辖

区大量的潜在检査对象，耗费人力多、周期长。因此

急需对关键信息基础设施网络安全风险评估体系进行 量化，通过监测辖区内关键信息基础帧的管理、技

术体系方面的问题，提升工作效率，促进关键信息基

础设施提高安全防护能力以及防护水平。1相关研究我国学术界对于关键信息基础设施网络安全风

112险评估方法的相关研究主要集中在基于特定技术对当

前网络状态的风险情况进行量化评估。文伟平冋等人 提出一套结合了漏洞检测能力的网络安全风险评估系 统。李涛固等人提出基于信息安全等保标准完成网络

安全风险评估。席蓉蓉问等人提出结合网络环境信息

改进原基于隐马尔科夫模型的网络安全态势量化评估 方法，从而提升量化的准确度。杨宏宇同等人提出基

于攻击图的多Agent网络安全风险评估模型，通过建 立攻击路径从而获取目标网络的风险指标。上述研究

均较为深入地探讨了网络风险评估的具体技术方法, 但尚缺乏针对与网络安全监管部门的具体实践进行结 合的分析研究，还需要在这个方面做出更多的研究和

探索。2基于知识图谱的网络安全指标体系当前，知识图谱技术的应用主要集中在网络威胁 分析以及网络安全可视化领域，尚未涉及网癥全风 险评估⑺刃。关键信息基础设施中的技术指标包括安

全威胁指标、安全隐患指标和事件指标，对应的统计 度量为威胁事件数量;管理指标的设定是为了预防特

定类型的攻击。因此技术指标和管理指标之间可以通

过攻击类型建立关系。知识图谱技术通过实体间的关 系建立知识语义网，符合将管理指标和技术指标建立 联系的需求㈣。通过在关键信息基础设施的网络安全

评价中引入知识图谱，将威胁、隐患造成的风险与违

反合规标准条例所造成的风险进行对齐，从而建立技 术指标与管理指标之间的映射关系，实现近乎实时的 网络安全风险评价。2.1知识图谱的构建2.1.1安全知识本体库在建立知识图谱的过程中，为便于各行业的应用 推广，本文根据《关键信息基础设施安全保»«

N0TINFO SECURITY__________________________________________________________________________________________________ 2019年第9期入选论文标体系》和关键信息基础轆安全知孵，参照SITX 2.0中的12个对象域的划分以及当前世界范围内对安全 元素描述所飾的较为广泛的标准，定义了攻击戦、

恶意代码、隐患、目标客体、威胁主体、案例、风险、 合规、事件等本枠。其中，攻击模式、隐患、事件、 合规为关键信息基础雌安全评价指标体系的关键本

枠。技术指标对应事枠本体，描述攻击事枠型; 管理指标对应合规类本体，描述各类安全标准的裁 条例项。通过事件类本体造成的安全风险与合规类本

体违规造成的风险的对应关系建立管理指标与技术指 标的关系。2.1.2本体间逻辑关系在建立安全知识本体库之后，基于知识图谱架构 中本体之间的逻辑关系进行连接。本体之间的逻辑关 系能够有效反映出本体之间的相互关系，用于后续的 量化评价。参考信息安全风险评估规范，风险取决于

威胁、脆弱性以及资产3个要素，3要素之间的逻辑关 系是威胁利用脆弱性、脆弱性存在于资产。3要素对

应于知识图谱中的攻击模式、隐患和目标客体3个本 体，因此3个本体之间的逻辑关系是攻击模式利用隐 患、隐患存在于目标客体。2.2管理与技术指标的关联映射管理指标与技术指标分别对应于知识图谱中的合

规类实体和事件类实体。事件类实体通过监测的攻击 事件类型获取，合规类实体对应于安全标准条例项。

通过将攻击事件造成的风险与标准条例进行映射从而 虹管理指标与妬指标的关系。以攻击者利用“永恒之蓝”漏洞进行入侵为例。

攻击者利用缓冲区溢出漏洞对系统进行入侵，对应入 侵类事件实体，入侵事件暴露了高危端口 445开放的

风险。等级保护条例”等级保护一主机安全一访问控 制”中有对主机高危端口禁止开放的要求，对应合规

类实体。通过主机高危端口开放这一风险，建立起事 件类实体与合规类实体的映射关系。上述过程具体表

现为技术指标（对应于“关键信息基础设施安全保障

评价指标体系七全态势指标一事件指标”）监测到 缓冲区溢出攻击事件，映射出管理指标“主机访问控 制”条例的违规，从而指导主机访问控制策略的调整。事件类型扩展之后，根据事件类型的相似度将该

类事件归类至已有事件实体中，并利用已有的映射关

系进行关联。例如，Microsofl: Windows Server服务远 程缓冲区溢出攻击，因为利用高危端口 139和445,同

样映射至管理指标“主机访问控制”条例的违规。2.3四级量化指标体系四级量化指标体系的形成过程是:首先在构建的 关键信息基础设施的网络安全指标体系的知识图谱上

生成第四级安全指标项，然后量化评估各个安全项, 最终构建四级量化指标体系。基于知识图谱的高维空间语义聚类技术，结合自 然语义理解和机器学习技术，以关键信息基础设施安 全保障评价三级指标项的词条为聚类中心，自动聚合 语义相近的知识元，形成三级指标项的知识空间。结

合高维知识空间的语义测度算法和分割技术，根据知

识元与聚类中心的测度距离，将知识空间正交分割为 与四级指标项相关的知识簇。通过提取知识簇中描述 本体属性和关系的词条，进行语义消歧合并和推理压

缩，聚合为知识簇共性语义中心的词条，经过人工筛 选，确定三级指标项（聚类中心）对应的四级指标。根据各知识簇（四级指标项）与聚类中心（三级 指标项）的测度距离大小，量化嘶四级指标项对三

级指标项的影响力，经过人工研判，构建四级指标项

的量化测评模型。增加的四级技术指标包括10类四级 威胁指标、2类四级隐患指标和8类事件指标。管理指标扩展采用自上而下的方式，参考《关键 信息基础设施安全控制措施》中的安全控制措施进行 三级指标项映射叫以三级指标中的灾难备份指标为

例，可细化为灾难策略、灾难中心选址以及业务连续 性等四级指标;又如三级指标中的安全处置指标，根

据处置的安全事件类型，细化为漏洞、病毒、入侵等 四级指标。113nCtinfoSECURITY入选论文3结束语本文对关键信息基础设施网络安全评价体系进行 研究，利用知识图谱技术建立关键信息基础设施的管

理指标和技术指标体系，构建了关键信息基础设施四

级指标体系，能够为网络安全监管工作提供可实施的 量化指标，并对关键信息基础设施的互联网设施提供 实时的量化网络安全风险评估。但是目前该体系中指 标关系的映射采用CSF规则，在部分事件中，仍存在

不能准确覆盖标准条例的问题。下一步将围绕这个问 题研究更细粒度的映射规则，以满足我国标准条例的 关联需求。♦(责编马珂)参考文献：[1] LIU Yu. Information Decurity Evaluation and Its Index R.esearch[D].

Beijing: BeijingJiaotong University, 2014.刘昱.信息安全评估及其指数研究[D].北京：北京交通大学，2014.[2] LI Jiayuan. Information Construction, Information Security and

Information Security Evaluation Index System[J]. Information & Communications, 2012(4): 117.李嘉渊•信息化建设、信息安全保障和信息安全评价指标体系[J]•信

息通信，2012(4)： 117.[3] WEN Weiping, GUO Ronghua, MEN Zheng, et al. Research and Implementation of Key Technology of Information Security Risk

Assessment[J]. Netinfo Security, 2015,15⑵:7—14.文伟平,郭荣华，孟正，等.信息安全风险评估关键技术研究与实现U].

信息网络安全，2015, 15(2)： 7-14.[4] LI Tao, ZHANG Chi. Research on Network Security Risk Model Based on Information Security StandardsQ]. Netinfo Security, 2016,

16(9): 177-183.李涛，张驰.基于信息安全等保标准的网络安全风险模型研究UJ.信 息网络安全，2016, 16 ( 9)： 177-183.⑸ XI Rongrong, YUN Xiaochun, ZHANG Yongzheng. Quantitative

114Assessment Method ofNetwork Threat Situation Based on Environment

Attribute^]. Journal ofSoftware, 2015,26(7): 1638—1649.席荣荣，云晓春，张永铮•基于环境属性的网络威胁态势量化评估

方法[J].软件学报，2015, 26(7)： 1638-1649.[6] YANG Hongyu, JIANG Hua. Multi—agent Network Security Risk

Assessment Model Based on Attack Graph[J]. Computer Science, 2013, 40⑵：148-152.杨宏宇，江华•基于攻击图的多Agent网络安全风险评估模型[J].计

算机科学，2013, 40(2)： 148-152.[7] ZHU Lin. Visualization of Computer Network Security Based on. Knowledge Graph[J]. Information Technology and Informatization, 2019(4): 73-75.朱琳.基于知识图谱的计算机网络安全可视化研究[J].信息技术与信 息化，2019 (4)： 73-75.[8] CHEN Xianglong. Research on Threat Intelligence Credible Analysis System Based on Machine Leaming[D]. Beijing: Beijing University ofPosts

and Telecommunications, 2019.程翔龙.基于机器学习的威胁情报可信分析系统的研究[D].北京：北

京邮电大学，2019.[9] LIANG Zhong, ZHOU Jiakun, ZHU Han, et al. Research on

Information Security Knowledge Aggregation Technology Based on Security Ontology [J]. Netinfo Security, 2017,17(4): 78—85.梁中，周嘉坤，朱汉，等•基于妥全本体的信息安全知识聚合技术研

究[J].信息网络安全，2017, 17 ( 4)： 78-85.[10] LIU Qiao, LI Yang, DUAN Hong, et al. Overview of Knowledge Mapping Techniquesf]]. Journal ofComputer Research and Development, 2016, 53⑶:582-600.刘怖，李杨，段宏，等.知识图谱构建技术综述[J].计算机研究与发

展，2016, 53(3)： 582-600.[11] National Information Security Standardization Technical Committee. Critical Information Infrastructure Security Control Measures[EB/OL]. https://www.tc260.org.cn/file/2018—06—13/0ca68c67—c92b~45dd—

M99-d317b6d723b2.docx, 2019-7-1.全国信息安全标准化技术委员会.关键信息基础设施安全控制措

施[EB/OL|. https:^Www;tc260.oig.cn/file/2018—06—13/0ca68c67—c92b—

45dd-bl99-d317b6d723b2.docx, 2019-7-1.