提取网络安全态势指标需要遵循哪些原则
提取网络安全态势指标需要遵循以下原则:
科学性原则:指标的提取必须以科学理论为指导,指标的概念必须明确,且具有一定的科学内涵,能够度量和反映网络动态的变化特征。各指标的代表性、计算方法、数据收集、指标范围、权重选择等都必须有科学依据;而且应当以系统内部要素及其本质联系为依据,综合运用定性和定量的方式,正确反映网络安全的整体状况和存在的安全威胁。
完备性原则:影响网络的因素众多,受到各种条件制约,因此指标的选取必须遵循完备性原则,尽可能全面地考虑对网络安全产生影响的要素,如网络拓扑结构、网络流量、操作系统、网络设施的容灾性、网络协议、网络服务的可用性、完整性和机密性、漏洞和脆弱性、网络潜在威胁、网络遭受的攻击状况等,能完整、有效地反映网络安全的本质特征和整体性能。
独立性原则:由于态势指标往往具有一定程度的相关性,指标之间往往存在信息上的重叠,所以提取指标时应当尽可能选择那些独立性强的指标,减少指标之间的各种关联,将安全状态用几个相对独立的特征描述出来并用相应指标分别计算和评估,保证指标能从不同方面反映网络安全的实际状态。
主成分性原则:在设置指标时,应尽量选择那些代表性强的综合指标,也就是主成分含量高的“大指标”,这类指标的数值变化能较为宏观地反映网络安全状态的实际变化。
可操作性原则:指标提取要符合实际态势感知工作的需要,应当易于操作和测评,所有指标的支撑数据应便于收集,指标体系的数据来源要可控、可信、可靠和准确,对于难以测量和收集的数据,应当进行估算并寻找替代指标。
可配置性原则:构建的网络安全态势指标体系应当能够满足安全及管理人员在应用过程中对指标体系的不断完善和维护的需求,对指标体系可以随时进行配置,不断实现自我修正与自我完善,从而实现灵活扩展。
单调性、敏感性等指数原则:提取的网络安全态势指标应当具有指数的特征,能够说明网络真实安全状态,并能够及时刻画安全状态所发生的变化,使得指标指数的变化与网络总体安全态势变化保持一致。
态势感知系统有以下作用:
对网络资产进行管控资产:对系统当前所处的网络环境中将其哪些无主资产、僵尸资产进行感知获取并进行管控,在通过强大的资产指纹库建立各类型资产的特征,包括网络设备、安全设备、各类操作系统、数据库和应用中间件等,进行识别资产并完成资产属性的补全,最终实现未知资产的发现、识别与管理。
发现资产脆弱性:资产配置脆弱性感知方法是采用基线安全配置检测工具,深度获取主机、服务器和网络设备等资产的配置信息,并与配置基线进行比较,发现资产配置的脆弱性。最终,在发现脆弱性基础上,维护所有资产脆弱性的生命周期信息,并分析可能的攻击面和攻击路径。
整合安全事件:系统结合安全告警事件的运行环境,对原来相对孤立的低层网络安全事件数据集进行关联整合,并通过过滤、聚合等手段去伪存真,发掘隐藏在这些数据之后的事件之间的真实联系,确定事件的时间、地点、人物、起因、经过和结果。
感知网络威胁:面对层出不穷的网络攻击和新的网络安全形势,感知网络威胁的方法可以概括为“知己”和“知彼”两个方面。“知己”方面是采集内部网络流量数据、日志数据和安全数据等,进行基于大数据分析、人工智能技术的异常行为检测,发现隐藏在海量数据中的网络异常行为,“知彼”方面是通过监测、交换和购买等各种方式,搜集恶意样板Hash值、恶意IP地址、恶意域名、攻击网络或者主机特征、攻击工具、攻击战技术、攻击组织等网络威胁情报数据,用于支撑安全运行维护、安全检测分析和安全运营管理。
评估网络的整体安全风险:网络安全风险感知是在感知网络资产、脆弱性、安全事件、安全威胁和安全攻击的基础上,进一步进行数据融合分析,建立全网的安全风险指标体系和风险评估模型,从抽象的高度来评估当前网络的整体安全风险。