企业信息安全预警模型

1.信息安全预警体系结构

企业信息安全监测预警体系结构采用分层结构，主要分为三层：第一层为监测点，采集信息安全监测设备（IPS、IDS、防火墙、网闸等）的攻击、风险日志；第二层为分监测预警中心，收集并上传区域内监测点的安全监测日志，对上层发布的预警通告实施相应的安全对策，并承担区域内预警通告工作；第三层为总监测预警中心，汇总并分析分监测预警中心上传的安全监测日志，结合安全分析结果发布安全预警通告。在网络区域角色上，第一、第二层为二级单位信息网络，第三层为企业总部信息网络。

2.信息安全风险严重程度的计算

目前，国内外主要互联网安全机构采取基于安全风险评估的安全风险预警方法，这种方法通过对安全事件的危害和影响，以及采取一定安全策略对安全危害的消减等方面进行评估，判断该安全事件的风险严重程度；按风险严重程度划分安全预警级别，并针对不同的安全预警级别提出相应的安全防护策略和安全通告方式进行安全风险预警。安全风险预警方法的关键在于风险严重程度的确定。恶意网络活动的风险严重程度由以下公式计算得出：

严重程度=（危险程度+毁坏程度）—（系统对策+网络对策）

通过定义危险程度（C）、毁坏程度（L）、系统对策（SC）、网络对策（NC）的不同情况和赋值，计算四大要素的取值。危险程度按照不同的攻击对象进行赋值，毁坏程度按照不同的潜在损坏情况进行赋值，系统对策和网络对策则按照不同的主机和网络防护措施进行赋值。

3.基于信息安全数据的风险评估

目前，企业信息安全监测可涵盖互联网边界安全、桌面终端安全、信息内外网网络安全、信息内外网应用安全等方面数据。利用监测数据信息，对危险程度、毁坏程度、系统对策、网络对策四大要素的评估计算，进而实现基于信息安全监测数据的风险评估。

危险程度的评估：按照不同攻击对象，分别对危险程度赋值。

毁坏程度的评估：毁坏程度是指信息网络、系统的潜在损坏情况，其评估过程考虑了企业实际监测攻击情况和互联网当前攻击情况两方面因素的影响。

系统对策的评估：系统对策的评估，参考桌面终端安全、信息内外网应用安全方面的监测情况。

网络对策的评估：参考信息内外网网络安全方面的监测情况。按照监测漏洞和问题量多少，分别对危险程度赋值。

4.预警指标设定

按风险严重程度的取值，划分出五个安全预警指标级别，用于显示被监测单位当前的恶意网络活动和安全风险水平，反映了潜在的或实际的损害。该指标由低到高分为绿、蓝、黄、橙、红五个等级（如表8-2所示），两级安全监测预警中心可针对不同级别的安全预警级别，提出相应的安全防护策略和安全通告方式进行安全风险预警。

表8-2　预警指标等级