1、学术论文DOl:10.12379/j.issn.2096-1057.2024.04.10ResearchPapers基于数据挖掘的等级保护测评数据再利用模型研究赵佳璐李格菲葛晓1朱磊韦宇星”严毅恒4阿依登塔布斯1(国家信息中心北京100045)(广西警察学院南宁530 0 2 8)3(广西壮族自治区信息中心南宁4(上海市公安局网络安全保卫总队5(新疆维吾尔自治区公安厅网络安全保卫总队乌鲁木齐()Research on Data Reuse Model of Classified Protection ofCybersecurity Based on Data Mining530201)上海2
2、0 0 0 40)830099)Zhao Jialu,Li Gefei,Ge Xiaonan,Zhu Lei?,Wei Yuxing,Yan Yiheng,and Ayideng Tabusis(State Information Center,Beijing 100045)2(Guangri Police College,Nanming 530028)3(Information Center of Guangri Zhuang Autonomous Region,Nanning 530201)4(Network Security Corps of Shanghai Municipal Pub
3、lic Security Bureau,Shanghai 200040)5(Netveork Security Corps of Xinjiang Uygur Autonomous Region Public Security Department,Urumqi 830099)Abstract Addressing the underutilization of the evaluation data in classified cybersecurityprotection,this paper presents a model for reusing the evaluation data
4、 of classified protection ofcybersecurity,comprising three dimensions:data classification,data reuse process and typicalapplication scenarios.Firstly,the data is classified according to the application scenarios,and basicdata is statistically analyzed to draw conclusions from various perspectives.Se
5、condly,utilizing thebasic evaluation data and initial analysis conclusions as input,a data reuse model based on datamining is constructed to meet the diverse needs of different stakeholders.This model providesfunctions such as correlation analysis,classification analysis and cluster analysis,enablin
6、g a deeperexploration of the information behind the data.This approach facilitates the safe and effectiveutilization of data by relevant stakeholders,leveraging data as a strong support to play a morepositive role in building a network security system.Key words data security;classified protection of
7、 cybersecurity;data mining;data classification;clusteranalysis收稿日期:2 0 2 3-0 6-2 1基金项目:国家信息中心2 0 2 3年度青年人才基础研究项目(2 0 2 3-0 4)通信作者:李格菲()引用格式:赵佳璐,李格菲,葛晓因,等。基于数据挖掘的等级保护测评数据再利用模型研究.信息安全研究,2 0 2 4,10(4):353-359网址http:/1 353信息安全研究第10 卷第4期2 0 2 4年4月Journalot Informatien Security ResearchVol.10No.4Apr.2024摘
8、要针对网络安全等级保护测评数据资源未有效利用的问题,提出一种包括数据分类、数据再利用流程、典型应用场景3个维度的网络安全等级保护测评数据再利用模型.首先,将数据按照应用场景进行分类,统计分析测评基础数据,形成不同角度的分析结论;其次,利用测评基础数据以及初步分析结论作为输入,根据各方应用需求构建基于数据挖掘的测评数据再利用模型,提供关联分析、分类分析、聚类分析等功能,深入挖掘数据背后的信息.从而帮助相关各方安全有效利用数据,以数据作为一个强力支撑,为构建网络安全体系发挥更大积极作用。关键词数据安全;网络安全等级保护;数据挖掘;数据分类;聚类分析中图法分类号TP274随着网络安全等级保护工作的广
9、泛开展,测评过程中不断产生并积累大量的测评数据,目前,这些数据普遍归档于各责任单位、主管部门、监管部门及各测评机构中,并未对其进行充分分析和有效利用.当前,全球网络安全形势日益严峻.全社会各部门如何在现有工作的基础上有效应对网络安全风险、确保自身重要数据安全成为当务之急。本文以合规有效实用为前提,根据测评数据的特点,采用数据挖掘算法,创新性地设计了包括数据分类、数据再利用流程、典型应用场景3个维度的网络安全等级保护测评数据再利用模型,统计分析测评基础数据并进一步采用聚类分析等方式深度挖掘数据.最后,通过对政务领域测评数据的聚类挖掘证明了该模型的可靠性和实用性,为上述单位应对网络攻击提供了新思路
10、和新方法.1 背 景1.1冈网络安全等级保护测评概述随着信息技术的飞速发展,各类网络安全设备和信息系统已经渗透到社会经济发展和人们生活的方方面面.因此,网络安全问题成为全球日益关注的焦点。网络安全等级保护制度是应对网络安全事件的关键措施之一,以对不同类型、不同等级的信息系统实施相应级别的安全防护 1.网络安全等级保护测评是一种对信息系统进行安全评估的方法,旨在确定系统安全性的等级,并验证系统是否满足该等级的安全需求.测评结果可为决策者提供对系统安全状况的参考,从而制定和执行适当的防护措施 2 .然而,传统的测评数据一般仅限于生成单次测评过程文档和最终报告,未将数据汇聚并3541进行充分分析与挖
11、掘应用,浪费了数据巨大的应用价值。1.2测评数据再利用的意义及挑战1.2.1测评数据再利用的意义通过深入分析和挖掘测评数据,可以实现数据资源的重新整合和最大化利用,产生新的知识和新的价值.具体概括如下:1)历史趋势和模式的识别.测评数据包含大量的历史信息,通过分析过去的安全事件、问题和解决方案,可以揭示出特定的趋势和模式。2)安全预警和预测.利用历史数据可以构建预测模型,预测未来可能出现的安全问题,从而实现安全预警目标.这种预警和预测能力是提高系统安全性的关键因素。3)系统安全性能优化.通过对历史测评数据的深入挖掘,可以找出本单位的网络安全弱点和痛点,提出相应的优化措施,持续提高本单位系统的安
12、全性能。4)决策支持.根据数据分析的结果,为网络安全主管部门的决策提供依据,协助其制定更科学、更有效的安全策略和管理措施.1.2.2#测评数据再利用面临的挑战一方面,测评数据的解析和处理需要大量的专业知识,这在一定程度上限制了数据再利用的可能性.例如数据的整合和清洗工作,测评数据来自不同的测评系统、测评机构,存在数据存储不一致、数据穴余、数据值缺失、数据包含噪声等问题,需要进行数据整合和清洗,以构建一个统一可用的数据集.此外,需要选择和应用适当的数据分析方法和工具,构建有效的数据再利用模型等.另一方面,由于测评数据的敏感性,在数据的存储、传输和处理过程中,需采用正确的数据脱敏手段,以防止数据被
13、非法访问、泄露或滥用 31学术论文.ResearchPapers表1测评基础数据类型2测评数据再利用模型设计2.1模型框架模型框架包括数据分类、数据再利用流程、典型应用场景3个维度,如图1所示:数据分类系统数据用户数据资产数据结论数据管理数据评估数据典型应用场景掌握单位整体安全防护情况数据类型系统名称、安全保护等级、系统类型、系统规模、系系统数据统架构等单位名称、所属类型、上级主管部门、建设单位、运用户数据维单位等物理机房、网络设备、安全设备、服务器、终端设备、资产数据系统管理软件/平台、业务应用软件/平台、密码产品、数据资源、安全相关人员、安全管理文档等安全控制措施、安全问题、风险程度、整改
14、建议等以评估数据数据再利用流程及漏洞扫描和渗透测试结果等级测评结论、综合得分、总体评价(高中低风险问结论数据数据预处理阶段题数量)等管理数据项目组织结构、项目过程情况等数据分析阶段主要内容主管部门掌握行业安全态势协助监管部门阻断网络攻击测评行业服务国家战略其他智能应用图1网络安全等级保护测评数据再利用模型框架首先,将数据按照应用场景进行分类,统计分析测评基础数据,形成不同角度的分析结论;其次,利用测评基础数据以及初步分析结论作为输入,根据各方应用需求构建基于数据挖掘的测评数据再利用模型,提供关联分析、分类分析、聚类分析等功能,深人挖掘数据背后的信息.数据最重要的价值在于应用,为将数据真正应用到
15、相关行业,根据多年测评经验以及技术实践,从系统单位、行业主管部门、监管部门、测评行业等角度出发分析典型应用场景,将数据以清晰易懂的方式展示出来,从而帮助相关各方安全有效利用数据,以数据作为一个强力支撑,为构建网络安全体系发挥积极作用.2.2楼数据分类等级测评工作包括4个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动,每项测评活动都有相应的工作流程和输出文档 4.测评基础数据主要从测评报告中获取,数据分类情况如表1所示.测评基础数据具有多样性、敏感性、动态性、完整性、规范性的特点,如表2 所示.不仅是数据挖掘的基础,其自身也具有很高的数据支撑价值。表2 测评基础数据特点数据
16、建模阶段数据特点多样性测评数据来自各行各业,系统种类多样,架构多样数据可视化应用阶段敏感性系统漏洞、网络拓扑具有高度敏感性动态性系统外部和内部安全环境动态变化完整性测评数据是对系统安全状况的一次完整描述测评分为10 个层面,测评结果分为符合、部分符合规范性和不符合1)资产数据。统计分析资产数据信息,从存储、操作系统、数据库、中间件等多个层面,了解相关国产化产品发展现状、国产化产品替代能力以及不同行业基础设施国产化率,分析信创供应链发展情况.2)评估和结论数据.从大量系统的评估和结论数据中统计问题类型、原因、风险程度、整改建议等信息,深入分析单位安全管理能力、技术措施防护能力、应急保障能力、等级
17、保护执行情况等,为单位整体安全发展提供数据支撑;统计行业内所有单位系统数据,分析行业整体安全态势,为网络安全攻防演练提供数据支撑.其中,漏洞扫描报告和渗透测试报告作为测评报告的附件,也可以直接被相关方利用,从中获取系统漏洞信息,全面评估系统的安全性。3)系统、用户和管理数据.根据系统数据和用户数据,统计各单位系统数量、系统类型、系统架构等信息以及建设单位和运维单位支撑数据,深入了解各单位信息化发展情况;同时结合管理数据,共同为单位信息化主管网址http:/1355主要内容信息安全研究第10 卷第4期2 0 2 4年4月Journalot Informatien Security Researc
18、hVol.10No.4Apr.2024部门等级测评、风险评估等安全服务提供经费、配合时间人员参考,更好地开展信息化工作2.3数据再利用流程2.3.1楼数据预处理阶段数据预处理阶段主要针对测评基础数据进行数据脱敏、数据清理 5、数据转换等,达到数据挖掘模型所要求的数据格式,增加数据挖掘效率和准确率 6 .由于测评基础数据中的系统漏洞IP地址、网络拓扑情况、单位名称等属于敏感数据,需要首先根据数据挖掘场景制定不同的脱敏策略,保证数据可用性和安全性的平衡.2.3.2数据分析阶段数据分析阶段主要结合实际应用需求,研究待挖掘数据,分析数据集中各字段对数据挖掘的影响程度,为数据建模作准备。2.3.3楼数据
19、建模阶段数据建模阶段首先根据应用需求以及数据集特点建立模型,然后经过多次实验验证模型适用性,分析数据挖掘结果,不断调整模型,2.3.4楼数据可视化应用阶段数据可视化应用阶段主要是分析挖掘结论,并将结论可视化展示给各相关方,从而帮助其安全有效利用数据.2.4典型应用场景2.4.1室掌握单位整体安全防护情况从系统所在单位整体安全防护角度看,等级测评工作定期进行,不断产生大量的测评数据.通过分析研究发现,同一单位多系统的测评数据再利用可以有效助力其安全管理和维护工作.例如,单位可以通过对多系统测评数据的分析,发现各个系统中的共性安全问题或系统间可能存在的安全漏洞.从而可以针对这些共性问题和漏洞制定出
20、统一的安全防护策略,在减少运维压力的同时提高单位的整体防护能力;对同一系统多年测评情况的总结及数据再利用,可以帮助单位了解系统的安全性随时间、经费支持、整改措施的变化情况,以及系统的安全问题是否得到有效解决,随着新的安全措施的施行是否出现新的衍生安全问题,系统的整体安全性能是否有所改善,从而帮助单位更好地规划未来安全发展.2.4.2三主管部门掌握行业安全态势从行业主管部门对行业安全态势掌握的角度3561看,测评基础数据以及挖掘结论是其掌握行业安全态势、施行有效管理的重要工具.具体来说,行业主管部门可以对测评数据所揭示的各个系统的安全问题进行详细分析,识别出行业内普遍存在的“主要矛盾”及可能出现
21、的系统性风险,并根据这些问题制定并推广全行业的防护策略或行业标准,提升整体的安全性.另外,通过分析行业整体安全趋势,当发现整体安全性能下滑或新的安全风险出现时,主管部门就能及时介入,制定应对策略.最后,在安全管理上,行业主管单位可以在不同系统、不同单位或不同地区间进行横向安全对比,推动安全工作相对落后的系统、单位或地区进行改善,同时促进安全工作较完善的系统、单位或地区的经验分享,从而提升整个行业的安全管理水平。2.4.3十协助监管部门阻断网络攻击从网络安全监管部门阻断网络攻击角度看,测评基础数据以及挖掘结论可以帮助监管部门有针对性地进行网络攻击的预警、研判和应对.首先,测评数据可以为监管部门提
22、供详尽的网络空间资产数据、安全隐患、设备人力配置等安全性信息,形成网络系统资产完整画像,通过对潜在弱点和漏洞的揭示,监管部门可以了解整个网络系统中最短板,从而主动动态调整相应的防护策略,完善网络安全防护措施,提高抵御网络攻击的能力.其次,测评数据可以帮助监管部门对网络攻击进行针对性的预防.通过对攻击行为进行跨时间比较和趋势分析,形成网络攻击预警模型,监管部门可以预见未来可能出现的安全威胁.如数据显示某种新的攻击方式发生的频率正在增加,监管部门就可以提前制定相应的防御策略,避免或减轻其对网络系统的影响.此外,监管部门还可以利用测评数据进行精细化的网络安全管理.通过对不同类型、不同规模或不同行业的
23、网络系统的测评数据进行对比分析,监管部门可以了解各类网络系统的安全状况,分析其独特的安全问题和需求,进行有针对性的技术支持及安全监管,进一步完善各行业网络安全的顶层设计和建设规划.2.4.4测评行业服务国家战略从促使整体测评行业更好地服务于国家网络安全战略的角度看,对测评数据的再利用可以帮助测评行业提高服务质量,更好地服务于国家网络安全战略.例如,各测评机构通过大量测评数据学术论文.ResearchPapers可以了解常见的安全问题和对应实践有效的安全措施,进一步调整优化测评流程和方法,使其更具针对性.此外,通过对测评结论的趋势分析,各测评机构能够了解自身服务是否有所改进以及用户的安全状况是否
24、有所提升,在提升自身服务质量的同时增加用户的信任和满意度.最后,测评数据的再利用可以帮助测评行业持续学习和创新,在网络安全技术不断发展、新的安全威胁不断出现的今天,测评机构需要通过不断自我革新,才能持续提供高质量的服务,更好地服务于国家网络安全战略。3测评数据分析方法测评基础数据挖掘步骤包括数据预处理、数据分析、数据建模、数据可视化应用4个阶段,根据应用场景的不同,选择不同的数据集,采用关联分析、分类分析、聚类分析等方式对数据进行深入挖掘,从而得到需要的数据.本节以聚类算法在测评数据中的应用为例,通过聚类把系统分为具有不同特征的几大类,分析研究各类的特征和薄弱点,针对性地提出安全方案。3.1数
25、据预测处理阶段本文聚类分析需求是通过测评基础数据中10个安全层面的扣分情况,聚类挖掘不同类别系统隐含的信息。3.2数据分析阶段基于数据集特点,选择基于划分的聚类算法K-means 进行聚类,即把所有的数据对象划分成N个不同的部分.其基本思想为:把整个数据集分成K个簇,质心为每个簇的平均值,经过不断地循环,当每个中心点不再发生变化时停止.此时每个簇内相似性最大7.3.3数据建模阶段确定数据集和聚类算法后进行聚类分析.首先通过手肘法确定 K 值,然后采用 IBM SPSS Modeler进行聚类分析.3.4数据可视化应用阶段测评数据挖掘结论可视化与展示可以大大提高数据的易用性和价值,帮助各方更好地
26、理解和利用数据,包括数据分布图、趋势图、关系图、数据报告等方式.例如:通过数据分布图展示不同类型的安全事件的数量分布;通过关系图展示用户行为与安全事件发生的关系;通过趋势图展示系统安全性能的变化趋势等.4行政务领域测评数据再利用实验和结果分析基于多年政务领域等级保护测评经验,本节利用政务信息系统等级保护测评数据,结合数据再利用模型,采用聚类分析技术进行数据挖掘实验,通过实验结果分析得出结论,为各相关方提供有效参考.4.1政务领域测评数据再利用实验实验初始数据集为2 6 0 个政务信息系统的扣分项汇总表,每个系统的扣分项汇总表初始导出结果如表3所示.汇总所需数据、汇总结果如图2所示.表3扣分项汇
27、总表序号测评项01安全物理环境02安全通信网络03安全区域边界04安全计算环境05安全管理中心06安全管理制度07安全管理机构08安全管理人员09安全建设管理10安全运维管理ABCDEFG0102123231.0454065760008.42871.050.92 0.465.541.38981.861.640.47 2.920.93注:每行代表1个系统,每列为10 个安全层面的扣分情况。图2 汇总结果基于数据集特点,采用基于划分的聚类算法K-means 进行聚类,通过手肘法确定 K 值为 4.将数据集和模型参数输人IBMSPSSModeler,得到聚类分析结果.网址http:/1357扣分值部
28、分符合和不符合数1.0421.2523.3347.56202.54001.4620.4217.93121.26303041.041.25001.253.33008.972.11.861.640.47 2.740.931.3K05064.16 7.252.0906.411.041.047.562.50701.46001.4600.7900000.260000080.636.6805.450.427.930.793.4204.25.9604.8604.209101.264.41.263.690.75.444.390.7信息安全研究第10 卷第4期2 0 2 4年4月Journalot Inform
29、atien Security ResearchVol.10No.4Apr.20244.2正政务领域测评数据再利用结果分析根据每类系统的分类情况,聚类分析结果如表4所示:表4聚类分析结果聚类类别聚类数量各层面扣分较少.此类系统基本为新建信14221263624304类系统基本对应等级保护测评结论的优良中差,第2 类系统最多,其次是第3类,2 级系统得分普遍高于3级系统,聚类结果较为合理,下面对每一类进行详细分析.第1类系统共42 个,其中3级系统8 个,2 级系统34个,此类系统各层面扣分较少,技术和管理防护较为全面,且部分系统为采购的定制化成熟产品,例如档案管理系统.其中2 级系统较多,因为安
30、全防护要求较3级低,易扣分项少.3级系统均为单位重要信息系统,包含大量重要业务数据和个人信息,安全防护要求高,有较为完善的制度体系和运维流程。第2 类系统共12 6 个,其中3级系统6 9 个,2级系统57 个,此类系统占比最大,各层面扣分相对第1类较多.管理问题主要包括:网络安全岗位不足,人员短缺;网络安全制度体系不全面,部分操作规程及记录表单缺失,无法将网络安全落到实处;未针对重点岗位人员签订安全保密协议及岗位责任协议;未依据网络安全应急预案定期开展应急培训和应急演练;数据安全、个人信息保护不够完善等.技术问题主要包括:部分服务器未安装杀毒软件或病毒库未及时更新;未部署恶意代码防范系统,无
31、法对其进行检测和清除;口令复杂度策略及口令有效期策略安全强度不达标等.针对以上问题,相关单位应进一步落实安全工作责任,做到权责分明、分工有序;及时修复漏洞,做好网3581络安全监督检查工作;强化网络安全技术保护措施,落实网络安全法要求;加强应急体系建设,提高预防和处置突发事件的能力。第3类系统共6 2 个,其中3级系统44个,2级系统18 个,部分技术层面扣分较多,建设和运分析维管理层面扣分较多,此类系统仅具备基本的日息系统,技术和管理防护较全面,部分系常维护,除存在第2 类系统所包含的问题外,还存统为定制化成熟产品在弱口令、开启不必要端口、安全教育培训不到位各层面扣分相对第1类较多.管理层面
32、的运维管理流程不够完善,技术层面的部分网络设备、安全设备、服务器、数据库等技术防护措施不够完善部分技术层面扣分较多.建设和运维管理层面扣分较多,此类系统仅具备基本的日常维护,制度实施和运维管理落实不到位各层面扣分较多.此类系统大部分是使用频率较低、建设时间较长的系统,且缺乏日常运行维护等问题,需各单位继续加强网络安全保障体系建设,逐步提高自身的网络安全防护能力.第4类系统共30 个,其中3级系统2 8 个,2级系统2 个,此类各层面扣分较多,大部分是使用频率较低建设时间较长的系统,且缺乏日常运行维护。由于等级保护数据具有敏感性,所以实验数据集较小,可能导致数据挖掘结果并不全面.此外,还可以继续
33、加入其他数据,例如系统资产情况,重新进行聚类分析,得出相应结论.5 结语本文基于数据挖掘技术,针对测评数据再利用需求,设计了包括数据分类、数据再利用流程、典型应用场景3个维度的网络安全等级保护测评数据再利用模型,通过聚类分析等方式对数据进行深入挖掘,让测评数据赋能相关行业,辅助决策,为网络安全保护带来新的视角和解决方案.在新一轮科技革命和产业变革加速演进的今天,推进数据挖掘再利用任重道远.如何对测评数据进行脱敏、如何收集整合全行业测评数据以及如何将数据分析结果更好地应用在各行业中,是需要继续研究的重点内容.本课题组将持续关注最新的技术进展,并积极探索和应用新的数据脱敏手段和数据挖掘技术,让网络
34、安全等级保护测评数据以及其他合规性检测数据在未来发挥更大的价值,共建联防联控的网络安全保护体系.参考文献1沈昌祥。我国信息安全等级保护制度的创新与发展 .信息安全与技术,2 0 16,7(11):5-6学术论文ResearchPapers2胡赞鹏。网络信息安全等级保护测评方法分析门.信息与电脑:理论版,2 0 19(4):2 19-2 2 03唐迪,顾健,俞优,等。基于等级保护的个人信息安全分级方法研究J.信息网络安全,2 0 2 0(S02):13-164陈广勇,祝国邦,范春玲.信息安全技术网络安全等级保护测评要求(GB/T284482019)标准解读 J.信息网络安全,2 0 19(7):
35、1-75Komoliddinqizi Q N,Mamarasulovich B O,XudayarogliZ U.Modern data mining technologies JJ.ACADEMICIAAn International Multidisciplinary Research Journal,2020,10(4):6576营志刚,金旭。数据挖掘中数据预处理的研究与实现。计算机应用研究,2 0 0 4(7):118-119,1587 Xie T,Zhang T.The fast clustering algorithm for the bigdata based on K-means JJ.International Journal ofWavelets Multiresolution and Information Processing,2020(10):1-15赵佳璐硕士,工程师.主要研究方向为政务数据安全、网络安全。葛晓圆硕士,工程师.主要研究方向为数据安全、信息安全风险评估。朱磊硕士,高级工程师.主要研究方向为网络安全管理。韦宇星工程师.主要研究方向为政务云、网络安全,数据安全。严毅恒工程师.主要研究方向为网络安全李格菲硕士,工程师.主要研究方向为数据安全、网络安全等级保护测评。阿依登塔布斯工程师.主要研究方向为网络安全监管。网址http:/1359
浙ICP备2021020529号-1 | 浙B2-20240490 
