密码安全态势感知系统架构与应用研究

党的十八大以来，我国商用密码工作全面推进。例如：《中华人民共和国密码法》的颁布和《金融和重要领域密码应用与创新发展工作规划（2018—2022年）》（以下简称“工作规划”）的印发，为促进商用密码事业的跨越式发展提供了法律法规保障；商用密码理论和技术的研究在密码算法设计与分析方面取得了一系列高水平、原创性的科研成果；商用密码产品种类不断增多、功能不断丰富、性能不断优化，市场空间广阔。然而，由于商用密码管理体制尚需健全、标准体系尚待完善、产业支撑力量不足、技术自主可控度仍需提升、密码人才严重匮乏，导致商用密码存在应用领域不够广泛、应用方式不够规范、应用服务不够安全、应用需求难以契合等诸多问题。若不能完善防御手段和监管措施，建立健全的商用密码监管机制和安全保障机制，容易在管理和应用中形成隐性的安全风险，不利于密码系统的安全、可靠运行。工作规划提出“建设全局性密码态势感知系统”，将态势感知技术运用到保障商用密码安全当中，通过态势觉察、态势理解、态势预测，可帮助密码管理人员收集、分析、理解密码安全信息，发现密码安全问题，预判密码安全发展态势，从而对危害密码安全的情况采取防护措施。国家各重点领域在全力推进商用密码应用的过程中，也对感知密码安全态势形成了初步需求并开展了相关工作。例如：在金融领域，对智能IC卡等密码应用的全局安全情况进行监控及安全风险预测；在能源领域，对典型工控系统与密码安全进行关联分析；在广电领域，针对应急广播密码应用播发消息真实性、完整性保护过程中的风险及对密码应用质效进行预测分析。各领域还着力于构建密码保障系统，建立健全的密码管理机制，并要求持续开展商用密码应用与安全性评估工作，以保障商用密码合规、正确、有效地使用。我国对密码安全态势感知的研究起步较晚，缺乏完整的体系规划，无法在国家各重点领域广泛开展应用。深入研究密码安全态势感知的概念、技术和应用场景，实现密码安全态势感知体系管理的标准化和统一化，全面部署密码安全态势感知系统，对完善各重点领域商用密码应用需求、提升商用密码工作水平、保障商用密码安全具有重要的理论价值和现实意义。1研究背景及现存问题态势感知的思想起源于航空领域的人因工程研究，其共识概念最早由Endsley提出。传统态势感知模型主要包括Endsley提出的动态决策中的态势感知模型、美国国防部实验室联合领导机构提出的数据融合模型以及Bass提出的基于数据融合模型的入侵检测模型。国际方面，以美国为例，其国家态势感知体系由国土安全部负责的联邦政府网络态势感知体系和国家安全局负责的军事网络态势感知体系构成，侧重于实现入侵检测、入侵防御、安全分析、信息共享等功能。学术研究方面，其网络安全态势感知的文献数量位居全球第一。然而，鲜有学者将密码安全纳入安全态势感知的研究范畴。部分学者聚焦于密码技术和功能的研究，旨在利用密码技术实现更安全、更可靠的态势感知应用方案。

国内方面，自习近平总书记提出“全天候全方位感知网络安全态势”的要求后，网络安全态势感知成为研究热点，形成了一系列应用标准和规范。随着网络安全态势感知研究的不断深入，部分学者和主流密码企业也对态势感知在商用密码领域的应用进行了探索。顶层设计方面，系统设计架构多基于密码监管、密码保障的需求构建，缺乏理论和概念研究，且鲜有学者站在保障密码整体安全的角度对密码安全和密码安全态势感知提出完整的定义。应用方面，部分学者对网络加密流量的识别技术进行了研究，缺少对密码整体安全的探索。总体来看，国内关于密码安全态势感知的研究较少，角度单一，存在问题如下文所述。（1）未从保障密码整体安全的角度研究密码安全态势感知。部分学者对密码安全和密码安全态势感知研究的系统性不足，未梳理密码监管与业务协同的关系，未有效结合业务需要，对影响密码安全的因素考虑不全面。“态不足、势不明”的情况直接影响密码管理人员的安全决策。（2）未形成规范化、统一化的密码安全态势感知体系。密码安全态势感知体系的研究仍处于起步探索阶段，缺乏相关法律法规、管理规范和通用技术标准的支持，缺乏统一的顶层设计，建设和运维力量不足，无法形成规范化、统一化的密码安全态势感知体系。（3）未形成标准化的密码安全态势感知系统设计方案。各领域、企业的系统设计方案在架构、功能模块设计、技术实现路径、部署模式等方面均存在较大差异，现有成果还不足以支撑形成一套标准化的密码安全态势感知系统设计方案。（4）缺少完善的密码安全态势感知产品及实践应用。部分企业仅在其密码管理、应用平台架构方案中，或某些领域的体系设计框架中加入了态势感知的单元或功能模块，采集方式依赖于单一探针或采集器，采集来源、数据有限，特别是从非感知域获取的信息不够完整。部分企业仅提出了密码安全态势感知系统的设计方案和说明，或是其已生产的产品中包含密码安全态势感知功能，缺乏经过密码管理和业务管理部门使用和迭代的产品。2密码安全态势感知体系架构设计2.1基本定义基于上述分析，我们尝试给出商用密码安全和密码安全态势感知的定义。商用密码安全是指商用密码自身安全和商用密码应用安全的整体安全。商用密码自身安全表现为商用密码技术、管理工作方面是否存在漏洞；商用密码应用安全表现为商用密码技术、产品、服务的使用是否合规、正确、有效，商用密码应用是否实现了保障信息机密性、来源真实性、数据完整性、行为不可否认性的密码功能，商用密码系统是否遭受攻击和威胁，相关资产、信息的安全程度是否达到保障密码安全的要求。密码安全态势感知是指从密码技术、密码产品、密码服务、密码应用及应用环境（网络环境、物理环境）、密码管理等方面研究影响密码安全的要素和事件，提取相关数据进行分析处理，全方位、全天候评估密码安全状况，并预测密码安全的发展趋势，进而有效地支持安全监管、通报预警、应急处置、指挥调度以及安全审查业务的需要。2.2体系框架从商用密码的整体安全出发，基于现有国家政策、法律法规和标准规范，结合“按‘条’逐级部署与统筹”“按‘块’分别评估与管理”的需要，综合各地区国家重点领域、权威组织机构、商用密码产业单位、商用密码检测机构等方面的实际情况，构建适用于多领域、多模式的密码安全态势感知体系架构。下面给出一种密码安全态势感知体系架构设计，包含由用户与环境、业务应用架构、态势感知架构、基础支撑层构成的技术体系、政策法规及标准保障体系和管理及支撑保障体系，如图1所示。图1密码安全态势感知体系架构该体系架构提供基于态势分析算法和基于用户特定需求的感知服务能力，两种服务能力互为支撑，协同作用。前者依赖于标准过程和固有算法模型，呈现针对固定对象的态势分析结果，可为用户提供感知密码安全态势的基本需求；后者将“人”融入需求和决策过程，重视系统监管者、建设者、运维人员等密码人员的特殊需求，提供基于需求的分析服务能力，可在灵活、动态调用各类知识、资源的基础上，针对从各系统、设备、数据库以及环境、人员等方面实时采集到的数据，采取可配置的分析模型，结合知识库，实现对不同对象的分析并生成对应的态势结果。同时，该体系架构具备对密码系统安全状态、网络加密流量、密码应用环境状态等与密码安全相关的要素进行采集的功能，对密码安全事件、密码应用规模等进行综合分析的功能，以及基于知识库、统计结果和预测分析的状态呈现功能。上述服务能力和功能旨在为用户实现更高效、更全面的安全分析和响应，以达到更主动、更准确感知密码安全态势的目的。2.3关键组成基于成熟的态势感知体系架构，研究密码安全态势感知体系，需要在采集对象、平台接口、数据规范、指标选取分析、系统迭代的可持续性方面形成创新，同时考虑系统自身的安全性，应重点关注3个方面。2.3.1标准规范体系构建规范化的密码安全态势感知体系需要依靠标准规范体系的支撑。除了要严格遵循现有商用密码和等级保护标准规范，还应在密码安全态势感知系统规划、建设、实施、运行期间，建立包含总体框架标准、前端数据源标准、密码安全事件分类标准、数据类标准（数据存储标准、数据处理标准、数据服务接口标准、数据共享标准）、技术类标准（插件、探针标准）、应用类标准（安全功能类标准、态势指标体系类标准、安全可视化要素类标准）、业务支撑标准（业务流程标准、管理标准）在内的密码安全态势感知标准规范。各类标准规范应互为支撑，有些可在现有标准规范的基础上细化和扩展，有些则需要结合行业需求建立，以此共同构建密码安全态势感知标准规范体系。2.3.2密码安全态势评估指标体系构建密码安全态势评估指标体系，可以为密码人员提供更加客观、准确的密码安全形势的描述，有助于提升密码安全态势的可理解性和可视化程度。应从局域、区域、全局3个维度，围绕密码系统、密码技术、密码管理、密码服务、密码应用、网络环境、物理环境7个评估对象进行构建；并结合商用密码应用与安全性评估、信息安全风险评估等相关标准，确定能反映评估对象整体密码安全态势的评估要素，如合规性、正确性、有效性、保密性、完整性、可用性、攻击与威胁、漏洞等。在此基础上，综合考虑不同行业密码安全与应用需求及各层级密码管理局对保障密码安全做出的规定和要求，选取概念明确、内涵清晰、能反映密码安全特征的指标。2.3.3人才队伍建设准确且高效地建立密码安全态势感知体系，依赖于是否建立了有维护国家安全意识，熟悉相关法律法规、标准规范，精通安全分析和态势评估，擅用商用密码设备与技术的密码安全团队。基于此，应尽快完善密码人才培养机制，加强密码学科建设和人才培养输出，充分利用好密码工程技术人员和密码技术应用员等职业规范，明确各类密码人员的资质要求、能力等级和核心技能。由密码安全管理人员制定、执行和修改管理规章制度；由密码技术人员完成分析密码安全态势的工作，并辅助系统完成数据采集、处理、分析、评估的过程；由应急响应人员接收各层级系统传达的风险处置指令，实施应对措施；由运维人员执行和优化运维防护过程等，以此发挥密码人才的高效辅助作用。3密码安全态势感知系统设计方案密码安全态势感知系统应能利用数据采集、数据存储、数据处理、数据可视化呈现等大数据分析技术，在综合考虑不同密码监管维度、评估对象和评估要素的基础上，选取合适的态势评估方法，从保障密码整体安全的角度宏观刻画密码安全态势，并对态势发展进行准确预测。图2是基于密码安全态势感知体系架构提出的一种系统设计方案，包含数据采集层、数据处理与分析层、态势评估层、态势展示层以及基础资源管理模块和安全保障子系统。

图2密码安全态势感知系统设计方案3.1系统的关键组成3.1.1数据源与数据采集系统应采集各领域、各单位被纳入态势评估范围内的所有含有密码产品或使用密码技术的系统或设备，支撑关键业务但不使用密码技术的系统或设备，数据文档、软硬件、服务、人员等其他重要资产，针对密码安全所制定的管理制度和标准规范，以及关键区域（如机房）的物理环境等方面的密码安全相关数据。数据源涵盖了密码系统、密码技术、密码管理、密码服务、密码应用、使用商用密码的网络环境和物理环境等7个评估对象的密码安全要素，并能对各安全要素提供完整的内容描述。可依据数据性质将其分为状态数据（如设备状态数据、密码人员状态数据）、告警数据、备案信息、实际资产属性信息和第三方上报类信息。在数据采集层设计了两种数据采集方式：一是自动采集与检测，包含内置在采集对象中的插件（如接口监测程序）等主动式采集方式，外置在采集对象中的代理，如网络抓包工具、具有智能分析能力的摄像头、入侵检测系统（IntrusionDetectionSystem，IDS）工具等被动式数据采集方式等；二是人工参与的采集，包括服务于各领域、各单位、各密码管理部门、社会监督、第三方权威机构的工具，为其提供统一的数据信息上报渠道。3.1.2态势评估层态势评估层是系统的核心部分，用于完成态势评估和态势预测两个阶段的内容。在态势评估阶段，围绕密码安全态势评估指标体系，综合各领域、各单位、各密码管理部门差异化的需求和要求，建立包含评估异常指标、计算当前态势值、关联密码安全事件、判断事件风险等级等方法在内的密码安全态势评估实施指南；在态势预测阶段，基于现有数学模型预测密码安全态势变化和密码安全事件的演化趋势，完成对密码安全事件的溯源分析，并通过对预测模型的不断评估和改正，得到更具体的分析结果。3.1.3态势展示层可视化界面的设计充分考虑了界面之间的关联性、展示内容的真实性以及功能模块的实用性。可视化界面应至少包括主界面及其下穿界面、专题态势展示界面及其下穿界面，用于展示不同管理层级的密码安全态势。展示的内容包括但不限于：各类密码安全事件及其发生的频率、密度、发展趋势、地域分布、地域排名、实时信息更新，攻击行为（攻击类型、分布、来源、趋势、结果等）信息展示，各类密码安全事件风险值、风险等级及风险等级地域分布，告警信息及地域分布，预测的风险信息，责任部门信息，态势感知的范围、信息资产等。同时应具备查询功能和态势报告生成功能，方便密码管理人员快速筛选有用信息，准确做出决策。3.2密码安全态势感知领域知识库密码安全态势的判识和预测离不开科学完备的知识体系。需搭建具有处理自然语言、数据查询、存储、知识管理、推理等一系列功能，涵盖基本信息库、规则模型库、评估模型库和预测模型库的密码安全态势感知领域知识库，在提供信息和知识保障的同时满足智能化的决策支持。由于各行业及密码管理部门对保障密码安全的需求和要求不同，评估方法存在局限性，致其态势评估过程所使用的规则、模型和基本知识也会存在差异，且部分知识会随时间推移和技术发展不断发生变化。因此，知识库的设计应注重提升多元知识融合、知识复用和实时更新等功能模块的性能，便于新知识的加入和错误知识的更改，并在保证评估准确性和效率的前提下，尽可能地补充和优化知识库中的算法，提高结果的准确性。3.3具体应用本节以某部委为例，分析构建该部委密码安全态势感知系统的过程。3.3.1系统规划阶段该部委的密码安全态势感知系统应具备评估和预测商用密码在保障资产安全、经济活动安全、核心技术安全等方面的密码安全态势和发展趋势的能力，以及评估和预测该部委管理的各内设机构和直属机构、各单位的整体密码安全态势的能力，并通过可视化技术对上述信息进行分级、分层按需展示，便于该部委及其下属单位及时做出管理决策，调整工作重点。该系统应按照纵向逐级部署、横向属地化监管应用的方式进行规划。根据“部委（含内设机构和直属机构）—各单位—各单位下属子单位”的三级管理结构进行逐级部署与统筹；属地化监管应用中，在满足该部委各机构日常管理需求的同时，将该部委各机构的整体密码安全态势分别实时汇总至各层级密码管理部门的密码安全态势感知系统，形成各省该部委单位的整体密码安全态势。该系统通过多点汇聚的方式，将各类数据源按照标准规范体系中的前端数据源标准、数据处理标准、数据存储标准，在各采集点进行规范化、统一化、标准化的处理和存储，并基于数据服务接口类标准，通过多种接口协议将格式化后的数据上报至各层级系统进行评估与预测。在应用阶段，首先摸清该部委各机构综合管理信息系统、主营业务信息系统等关键信息系统的底数，并将其分类为密码系统和非密码系统，统计不同类别信息系统等保定级的情况。其次基于各单位各类信息系统的安全策略，将该部委密码安全态势感知系统划分为接入域、网络交换域、服务域、公共管理域等具备不同防护策略和安全等级的安全域进行建设，设计隔离交换区域，实现异构网络接入的逻辑隔离。3.3.2建设实施阶段在该部委各级机构的各类信息系统以及关键区域中，重点部署自动采集组件和检测组件，用于采集业务数据、运行数据、行为数据等，自动检测和识别针对密码系统和设备的入侵攻击行为。数据采集层配置人工上报模块，便于各单位及时、主动地更新有关信息系统（如名称、版本、数量）、密码人员配置（如责任、权限、所属部门）、管理规章制度、重要文件及物件（如密钥归档、资产分类信息）等方面的信息。除此之外，由第三方测评机构针对该部委各级机构的管理制度执行情况、信息系统部署情况等不易通过智能方式评估密码安全的方面进行人工核查，并通过该功能模块上报检测评估数据。同时，建立包含密码与网络安全领域基本信息、该部委信息系统基本信息、资产信息、标准规范、管理制度、数学模型等静态数据信息在内的领域知识库，与密码技术漏洞知识库、外部网络安全态势信息共同为系统提供知识和技术上的支撑。在