徐影，吳釗，李祉岐

（1.北京聯合大學，北京 100101；2.國網信息通信產業(yè)集團有限公司，北京 102200；3.北京國電通網絡技術有限公司，北京 100070）

面向大型企業(yè)信息安全建設的虛擬化威脅感知技術

徐影1，吳釗2，李祉岐3

（1.北京聯合大學，北京 100101；2.國網信息通信產業(yè)集團有限公司，北京 102200；3.北京國電通網絡技術有限公司，北京 100070）

面對信息化建設進程的快速推進，如何有效實現風險防控，建立先進實用、安全可靠的信息安全保障體系，是大型企業(yè)都要面臨的嚴峻考驗。分析了大型企業(yè)在信息化建設中面臨的各種安全風險和信息安全防護工作的主要特性，提出了具有實踐意義的信息安全防護體系建設思路。分析了大型企業(yè)信息安全建設虛擬化環(huán)境面臨的威脅，設計出一種虛擬化安全威脅感知系統(tǒng)，該系統(tǒng)由威脅情報平臺、本地檢測系統(tǒng)和數據分析平臺組成。

信息安全；安全風險；安全防護；威脅感知

1 引言

網絡與信息安全風險隨著信息化建設的加速推進和發(fā)展而增高，企業(yè)必須高度重視網絡與信息安全體系的建設。習近平總書記于2016年4月19日在網絡安全和信息化工作座談會[1]上明確指出：網絡安全和信息化是相輔相成的，安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。大型企業(yè)作為國家經濟的主體，信息安全工作十分重要且繁雜，既要考慮信息安全對企業(yè)管理、運營以及社會、經濟效應的影響，又要考慮企業(yè)肩負的法律與社會責任乃至國家安全責任。隨著云計算、大數據、物聯網、移動應用（簡稱“云大物移”）等新技術的迅猛發(fā)展，新技術的快速應用與落后的企業(yè)傳統(tǒng)信息安全管理之間的矛盾日益凸顯。大型企業(yè)如何建立有效的信息安全保障體系、形成基于自身特點的防護策略、有效提升信息安全防護與管理水平、加強網絡安全防御和威懾能力，是當前大型企業(yè)信息安全工作面臨的首要任務。

2 大型企業(yè)信息安全建設現狀

在國家“積極防御、綜合防范”的信息安全戰(zhàn)略引領下，企業(yè)對信息安全給予高度重視，已將信息安全建設視為企業(yè)發(fā)展戰(zhàn)略的重要組成部分，正在陸續(xù)加快信息安全自身能力建設。但總體來看，多數企業(yè)的信息安全保障體系建設仍有待完善。大型企業(yè)信息安全建設宜從以下幾方面入手。

2.1 信息安全威脅源

企業(yè)要從自身的社會和經濟價值出發(fā)，全面分析企業(yè)面臨的安全威脅，既要明確威脅源的等級，也要結合企業(yè)安全責任來分析威脅。企業(yè)必須全面梳理信息安全需要保護什么、為什么保護和如何保護等關鍵問題，明確對現實中的安全威脅和未來可能的安全風險的預期。企業(yè)可能的威脅源如圖1所示。

大型企業(yè)擁有大量商業(yè)及企業(yè)機密，容易成為惡意競爭對手和黑客集團的攻擊對象，生產經營中的大量有價值的數據信息，可能成為不法分子和黑客獲取利益的目標。部分企業(yè)涉及國家科研、國防等重要領域，承擔國家重要基礎設施建設，擁有重要的國家機密，容易被敵對勢力及政治團體選中作為主要的攻擊對象。敏感信息泄露、重要數據被破壞、業(yè)務系統(tǒng)被非法控制、商業(yè)信譽遭惡意言論攻擊，任意一種情況都將造成重大社會影響，甚至危及國家安全。威脅源分類及其帶來的安全威脅見表1。

圖1 企業(yè)可能的威脅源

表1 威脅源及其安全威脅

2.2 企業(yè)的自身特性

信息安全工作不能是盲目的、通用的建設工作。信息安全工作首先應該從企業(yè)自身特性入手，做好常規(guī)安全措施的同時，深挖企業(yè)安全薄弱點進行加固、加強，有點有面，才能保證信息安全工作的效果。大型企業(yè)與信息安全建設緊密相關的特性如下。

（1）資產規(guī)模大、分布廣泛

大到企業(yè)生產經營、金融財務，小到企業(yè)知識產權、生產工藝、流程配方、方案圖紙、客戶資源及各種數據，都是企業(yè)長期積累下來的財富，關系到企業(yè)的生存與發(fā)展，是企業(yè)安全防護的重要保護對象。這些龐大的無形及有形資產廣泛分布于企業(yè)的各個系統(tǒng)中，給信息安全防護帶來更高的要求。

（2）網絡覆蓋廣、需求復雜

企業(yè)網絡和系統(tǒng)結構復雜、交互需求多樣。很多集團類大型企業(yè)信息網絡由總公司、本地下屬工廠、子公司獨立建成局域網，并形成各自的應用系統(tǒng)，總公司整合分散的局域網構成總公司級局域網，并形成總公司級的應用系統(tǒng)，如ERP（enterprise resource planning，企業(yè)資源計劃）系統(tǒng)和OA（office automation，辦公自動化）系統(tǒng)，再發(fā)展到利用專線將跨省市的外地子公司及下屬工廠的局域網相連，形成了復雜的網絡環(huán)境及系統(tǒng)結構。有些大型企業(yè)各地內部相關系統(tǒng)與其他單位系統(tǒng)有相互訪問的需求，部分大型企業(yè)既承擔著民用設施的建設，又涉及軍工設備的制造，這些特點都是企業(yè)信息安全應重點關注的問題，也給信息安全工作提出了不同的防護需求。

（3）安全管理難、風險較高

大型企業(yè)人員眾多、信息安全管理工作涉及面廣、管理工作相對繁雜。安全培訓工作的全面開展、員工安全防護意識培養(yǎng)、辦公系統(tǒng)與生產系統(tǒng)安全的區(qū)分管理、應用系統(tǒng)安全的統(tǒng)一建設、安全機制建設漏洞與安全保障措施執(zhí)行力度檢查，都是企業(yè)信息安全工作的重要部分，如果有一個環(huán)節(jié)被不法集團利用，就容易形成“木桶效應”，會給原有嚴密規(guī)劃的縱深安全防御體系造成漏洞。

2.3 信息化安全的建設過程

企業(yè)的信息安全工作應該融入自身信息化建設過程中。IT技術產品的應用不僅要符合企業(yè)架構與流程的變化，也要充分考慮信息安全的問題，加大信息化建設中“人”的安全意識、IT技術產品的安全性[2]，在信息化建設規(guī)劃的同時，開展信息安全防護研究和配套安全設施的建設。信息系統(tǒng)與設備的安全風險如圖2所示。

圖2 信息系統(tǒng)與設備的安全風險

目前多數大型企業(yè)在業(yè)務系統(tǒng)和辦公終端的管理建設中，并未建立全面統(tǒng)一的漏洞狀況監(jiān)控系統(tǒng)，也未建立終端補丁統(tǒng)一管理、補丁統(tǒng)一分發(fā)的安全控制系統(tǒng)，使得系統(tǒng)及終端在補丁及時更新、漏洞全面修復等方面不具備條件，企業(yè)內部信息安全由于漏洞修復不及時、不全面而陷于大量的威脅之中。

3 企業(yè)虛擬化環(huán)境威脅梳理

3.1 傳統(tǒng)防護手段面臨失效

高級持續(xù)性威脅 （APT）是一種可以繞過各種傳統(tǒng)安全檢測防護措施，通過精心偽裝、定點攻擊、長期潛伏、持續(xù)滲透[3]等方式，伺機竊取網絡信息系統(tǒng)核心資料和各類情報的攻擊方式。事實證明，傳統(tǒng)安全設備已經無法抵御復雜、隱蔽的APT攻擊。

幾乎所有被曝光的APT攻擊都是以入侵者的全面成功而結束，在這些已公開的APT攻擊中，傳統(tǒng)安全設備的防御體系均被輕易繞過而失去防御能力。在某些APT攻擊的案例（如震網攻擊、夜龍攻擊）中，傳統(tǒng)安全防御設備甚至在長達數年的持續(xù)攻擊中毫無察覺，傳統(tǒng)安全設備無法抵御網絡攻擊的核武器——APT。

傳統(tǒng)安全防御體系的框架一般包括：接入控制、安全隔離、邊界檢測/防御、終端防御、網絡審計、訪問控制等，所涉及的安全產品包括：防火墻、IDS/IPS、殺毒軟件、桌面管理軟件、網絡審計、雙因素認證token等。

從傳統(tǒng)安全防御體系的設備和產品可以看出，這些產品遍布網絡2～7層，其中，與APT攻擊相關的7層設備主要是IDS、IPS、審計，而負責7層檢測的IDS、IPS采用經典的CIDF檢測模型，該模型最核心的思想就是依靠攻擊特征庫的模式匹配完成對攻擊行為的檢測。反觀APT攻擊，其采用的攻擊手法和技術都是未知漏洞（0day）、未知惡意代碼等未知行為，在這種情況下，依靠已知特征、已知行為模式進行檢測的IDS、IPS在無法預知攻擊特征、攻擊行為模式的情況下，理論上就已無法檢測APT攻擊。

這些由黑色產業(yè)鏈或國家驅動的APT攻擊通常都具備強大的攻擊手段和技術，且手法多樣，在一次攻擊過程中經常采用多種手段和技術，包括社會工程學攻擊、0day漏洞利用、免殺木馬、定制化工具、逃逸技術等，尋找內部安全薄弱環(huán)節(jié)，所以可以屢屢得手，很難被發(fā)現。

（2）攻擊隱蔽性強

在大部分APT攻擊中，攻擊者針對不同的攻擊目標會采用不同的策略，并在攻擊前有針對性地進行信息收集，準備特定的攻擊工具，攻擊發(fā)起的整個過程時間可長可短，少則數小時，多則潛伏數月、數年，由于這些攻擊均會使用高級免殺技術以逃避傳統(tǒng)安全設備的特征檢測，因此隱蔽性極強。

（3）攻擊目標明確

APT攻擊往往具有明確的攻擊目的，如竊取有價值的數據、破壞重要系統(tǒng)等，由于傳統(tǒng)防護手段很難對此類攻擊有防護效果，一旦受到攻擊，其對企業(yè)和單位所造成的危害也是直接而巨大的。

在安全形勢極不樂觀的環(huán)境下，如何擺脫傳統(tǒng)思路，尋求精確的APT攻擊檢測方法是亟待解決的問題。

3.2 免殺木馬無法檢測

木馬（trojan），也稱木馬病毒，是通過特定的程序（木馬程序）來控制另一臺計算機的軟件。木馬通常有兩個可執(zhí)行程序：控制端和被控制端。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身進行偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。在APT攻擊中，通常使用“免殺木馬”，這類木馬會利用加冷門殼、加花指令、改程序入口點、修改內存特征碼等免殺技巧來避免自身被殺毒軟件查殺。

起升機構變頻調速啟動加速過程如圖1所示，從低頻啟動，其電壓和頻率按既定的壓頻比遞增。變頻調速電動機啟動形式雖是直接啟動，卻不在額定工頻啟動，是在確保一定的啟動轉矩和盡量小的啟動電流時分頻段啟動到額定工頻。

3.3 大量內網數據無法有效利用

APT攻擊通常都會在內網的各個角落留下蛛絲馬跡，真相往往隱藏在網絡的流量中。傳統(tǒng)的安全事件分析思路是遍歷各個安全設備的告警日志，嘗試找出其中的關聯關系。但根據上文的分析，由于APT攻擊的隱蔽性和特殊性，傳統(tǒng)安全設備通常都無法對APT攻擊的各個階段進行有效的檢測，也就無法產生相應的告警，安全人員花費大量精力進行告警日志分析往往都是徒勞無功。如果采用全流量采集的思路，一方面是存儲不方便，每天產生的全流量數據會占用過多的存儲空間，組織通常沒有足夠的資源來支撐長時間的存儲；另一方面是全流量數據包含了結構化數據、非結構化數據，涵蓋了視頻、圖片、文本等多種格式，無法直接進行格式化檢索，安全人員也就無法從海量的數據中找到有價值的信息。

因此，如何以恰當的方式長時間保存對安全分析有價值的流量數據，是檢測、回溯APT攻擊必須解決的問題。

4 企業(yè)信息安全建設思路

大型企業(yè)的信息安全建設，首先應明確安全需求，制定企業(yè)總體安全防護策略。在總體策略的指導下，開展針對企業(yè)自身特性的安全防護體系建設，規(guī)劃和設計總體防護結構，形成信息安全防護技術典型設計。在堅持和落實企業(yè)防護策略的基礎上，逐步標準化技術要求、細化技術措施，最終形成人員、管理、技術的有效措施。大型企業(yè)安全工作建設思路如圖3所示。

圖3 大型企業(yè)安全工作建設思路

4.1 制定與落實企業(yè)總體防護策略

企業(yè)要深入分析梳理各級工作內容、明確方針策略和防護原則、構建安全防護總體策略。通過安全管理、人員組織、工作機制、標準規(guī)范、技術措施、運行管控等手段規(guī)范指導企業(yè)的信息安全建設工作，確保信息安全策略的一致性，在具體方案中堅持策略。公司各級單位要根據總體防護策略并結合自身實際，在遵循主體內容不變的基礎上開展信息安全防護工作。

企業(yè)的防護策略要有穩(wěn)定性和前瞻性，要結合技術和業(yè)務發(fā)展趨勢，一方面需針對“云大物移”等新技術的引入，從宏觀上對技術應用帶來的風險進行綜合考慮，對在建項目在規(guī)劃階段就展開安全防護研究和運行管控；另一方面不斷提升自身認知，保障企業(yè)的安全方針和策略要在一段時期內持續(xù)有效，形成規(guī)劃總體防護策略的演進線路，以適應或引領企業(yè)信息安全的發(fā)展潮流。

4.2 規(guī)劃與設計總體防護結構

企業(yè)要明確內部各級單位各類場景的防護需求、規(guī)劃和設計總體防護結構?？傮w防護結構要遵循國家有關信息安全法規(guī)、標準和行業(yè)監(jiān)管要求[4]，堅持“規(guī)劃定級、標準設計、全面建設、有效防護”的工作原則，有效銜接自身安全防護體系和國家防護體系，形成企業(yè)內部、外部有效協同和整體聯動機制。

企業(yè)總體防護結構要充分結合自身特點展開設計，要實現管理技術與技術體系的融合，有效支撐業(yè)務安全發(fā)展。企業(yè)在總體防護結構的框架下，繼承和鞏固已有的成果，逐步細化完善各級保護標準，開展新技術、新制度的創(chuàng)新應用。

4.3 構建全生命周期的管理機制

在健全信息安全規(guī)章制度、加強安全管理體系、安全技術體系、安全運維體系的基礎上，企業(yè)應構建全生命周期的管理機制。規(guī)范風險控制方法和工作流程，強化信息安全風險識別、風險評估、措施制定、過程控制和應急處置等工作，從信息化管理機制、規(guī)章制度、標準規(guī)范、設備設施、軟件質量、人員管理等多方面出發(fā)，將信息安全貫穿信息系統(tǒng)規(guī)劃、設計、研發(fā)、建設、施工、運維到銷毀等生命周期的全過程和信息化全部領域，形成有效的企業(yè)信息安全體系，融入信息化管理各項工作中。全生命周期管理機制的構建見表2。

同時，企業(yè)應健全和完善信息化考核評價管理體系，建立信息化建設與運行過程情況的有效描述模型，幫助企業(yè)識別相關技術與管理的不足，逐步改善信息化過程，達到持續(xù)改進的目標。

4.4 提高信息安全動員和協調能力

在信息安全技術威脅復雜多變的新形勢下，企業(yè)需提高信息安全協調動員能力，確保發(fā)生重大安全事件的追查處理能力。從企業(yè)組織機構設置、人員隊伍建設和管理機制方面進行建設提升，提高企業(yè)的信息安全動員能力，形成分工明確、專業(yè)處置、快速響應的信息安全管控隊伍；建設網絡安全事件應急處置工作機制，做到積極預防、及時發(fā)現、快速響應、確?；謴汀?/p>

企業(yè)需提高各個業(yè)務部門的安全協作意識，確保防護策略能夠有效貫徹和落實到各個業(yè)務部門，確保系統(tǒng)建設從規(guī)劃設計、上線運行到下線報廢的各個環(huán)節(jié)都在安全部門的有效監(jiān)管下進行，安全部門在防護方案、安全測評、安全運行和應急響應等各個方面提供支撐服務，以形成高效的安全管控機制。

表2 全生命周期管理機制的構建

5 虛擬化安全威脅感知系統(tǒng)架構設計

5.1 虛擬化安全威脅感知系統(tǒng)的組成

（1）威脅情報平臺

為保障虛擬化網絡的安全，避免重要機密和信息被竊，需要建立基于大數據分析的威脅情報平臺。基于大數據分析的威脅情報[5]平臺，可通過對互聯網上的海量數據進行深度挖掘，從而有效發(fā)現APT攻擊，生成威脅情報。

（2）本地檢測平臺

傳統(tǒng)防病毒網關和殺毒軟件對于免殺木馬的查殺無能為力，為有效檢測網內的免殺木馬，應該建立本地檢測平臺。

本地檢測平臺可對APT攻擊的核心環(huán)節(jié)——惡意代碼植入進行檢測，與傳統(tǒng)的基于惡意代碼特征匹配的檢測方法不同，基于多引擎沙箱的本地檢測平臺采用的多引擎沙箱方法可以對未知的惡意代碼進行有效檢測，可以避免因為無法提前獲得未知惡意代碼特征而漏檢的問題，在無需提前預知惡意代碼樣本的情況下，仍然可以對惡意代碼樣本進行有效的檢測，因為免殺木馬是APT攻擊的核心步驟，因此對未知惡意代碼樣本的有效檢測，可以有效解決APT攻擊過程中的檢測問題。

（3）數據分析平臺

為有效發(fā)現網絡內部的安全問題，必然需要對網絡內部的流量信息和終端的日志信息進行抓取，這必然帶來如何在海量數據中快速搜索有用信息的問題。為了解決這個問題，應該建立基于搜索技術的數據分析平臺?；谒阉骷夹g的數據分析平臺可對本地抓取的海量數據進行快速檢索從而進行高效分析，對內網的攻擊行為進行歷史回溯。

5.2 本地信息處理

本地信息采集是通過虛擬化安全威脅感知系統(tǒng)傳感器[6]（采集設備）對網絡流量進行解碼，還原出真實流量提取網絡層、傳輸層和應用層的頭部信息，甚至是重要負載信息，這些信息將通過加密通道傳送到分析平臺進行統(tǒng)一處理。

分析平臺承擔對所有數據進行存儲、預處理和檢索的工作。由于傳統(tǒng)關系型數據庫在面對大量數據存儲時經常出現性能不足的問題導致查詢相關數據緩慢，因此分析平臺底層的數據檢索模塊需要采用分布式計算和搜索引擎技術對所有數據進行處理，通過建立多臺設備的集群以保證存儲空間和計算能力的供應。

5.3 本地沙箱檢測

虛擬化安全威脅感知系統(tǒng)通過檢測器對文件進行高級威脅檢測，威脅器可以接收還原自采集器的大量PE和非PE文件，使用靜態(tài)檢測、動態(tài)檢測等一系列無簽名檢測方式發(fā)現傳統(tǒng)安全設備無法發(fā)現的高級威脅，并將威脅相關情況提供給安全管理人員。檢測器上的相關告警也可發(fā)送至分析平臺，實現告警的統(tǒng)一管理和后續(xù)分析。

5.4 云端威脅情報

5.4.1 大數據分析

虛擬化安全威脅感知系統(tǒng)依托IP、DNS、URL、文件黑白名單信譽數據庫[7]，對互聯網上活躍的任何一次攻擊進行記錄。DNS庫、樣本庫以及主防庫需要定期維護更新，因為要發(fā)現未知威脅需要真實網絡環(huán)境下的大量數據支撐。

5.4.2 數據處理

通過DNS解析記錄、樣本信息、文件行為日志等內容，對全網抓取數據、可視化的分析數據以及其他多個維度的數據進行關聯分析和歷史檢索，依賴于虛擬化安全威脅感知系統(tǒng)發(fā)現APT攻擊組織信息，并不斷地跟蹤相關信息，依賴于海量數據對攻擊背景做出準確的判定。

5.4.3 確認未知威脅

所有大數據分析出的未知威脅都通過專業(yè)的人員進行人工干預，做到精細分析，確認攻擊手段、攻擊對象以及攻擊的目的，通過人工智能結合大數據知識以及攻擊者的多個維度特征還原出攻擊者的全貌，包括程序形態(tài)、不同編碼風格和不同攻擊原理的同源木馬程序、惡意服務器（C&C）等，通過全貌特征“跟蹤”攻擊者，持續(xù)地發(fā)現未知威脅，最終確保發(fā)現的未知威脅的準確性。

5.4.4 情報交付

為了將云端的攻擊發(fā)現成果傳遞到管理側，虛擬化安全威脅感知系統(tǒng)將所有與攻擊相關的信息（如攻擊團體、惡意域名、受害者IP地址、惡意文件MD5等）進行匯總，按照標準格式封裝成威脅情報，并通過加密通道推送到管理側的威脅感知系統(tǒng)。作為系統(tǒng)整個方案的核心內容，威脅情報承擔了連接互聯網信息和本地信息的重要作用，為APT事件在管理側的最終定位提供了數據線索和定位依據。

6 某大型企業(yè)的信息安全建設實踐

某大型企業(yè)在“十一五”期間，遵循國家信息安全戰(zhàn)略，提出了信息安全保障體系的建設需求，制定了信息安全防護體系總體策略，按照“雙網雙機、分區(qū)分域、等級防護、多層防御”的總體思路，建成了以“三道防線”為基礎的總體布防結構，初步建設了信息安全等級保護縱深防護體系，如圖4所示。

圖4 某大型企業(yè)的信息安全體系

在“十二五”期間，通過信息安全頂層設計，確立安全方針和策略，形成多層次、系統(tǒng)性的規(guī)范文件，并在規(guī)范文件的指導下，建立信息安全管理體系、技防體系和技術體系。

安全管理和各類防護措施進一步細化，持續(xù)完善管理與制度保障體系，建立有效管理機制，推進自主可控安全建設，開展人才隊伍管理與建設，從人才技術水平提升、技術裝備提升兩方面提升信息安全專業(yè)隊伍水平。

展望“十三五”，該企業(yè)充分考慮新技術安全需求與挑戰(zhàn)，提出了“可管可控、精準防護、可視可信、智能防護”的安全防護理念，強化了網絡與信息安全技術檢查、網絡與信息安全內控、網絡與信息安全基礎防護和信息安全動員等能力建設，對信息安全主動防御體系進行優(yōu)化提升，為新技術應用安全防護提供技術路線，保障信息化戰(zhàn)略的創(chuàng)新演進，為信息安全防護體系創(chuàng)新提供了新動力。

7 結束語

新型國家信息安全形勢下，針對大型企業(yè)信息化建設進程中存在的風險、特性和實際訴求結合當前虛擬化網絡環(huán)境設計出一種基于大數據分析的虛擬化安全威脅感知系統(tǒng)。詳細闡述了企業(yè)信息安全工作需要考慮和關注的問題，提出了大型企業(yè)信息安全建設的總體思路，并列舉了某大型企業(yè)的信息安全建設實踐。大型企業(yè)信息安全防護，只有通過持續(xù)不斷地創(chuàng)新建設，不斷優(yōu)化和完善企業(yè)信息化管理體系，遵守符合各種業(yè)務發(fā)展需要及國家行業(yè)政策的要求，才能使企業(yè)的信息安全保障能力和風險管控能力不斷提升到更高的水平。

[1]習近平總書記在網絡安全和信息化工作座談會上的重要講話[EB/OL].（2016-04-26）[2016-08-01].http://news.xinhuanet.com/ newmedia/2016-04/26/c_135312437.htm. President Xi’s important speech at the forum on network security and information technology[EB/OL]. (2016-04-26) [2016-08-01].http://news.xinhuanet.com/newmedia/2016-04/ 26/c_135312437.htm.

[2]互聯網時代的企業(yè)安全發(fā)展趨勢專題研究報告[EB/OL]. (2013-09-24)[2016-08-01].http://www.newhua.com/2013/0924/ 233390.shtml. Research on the development trend of enterprise security in internet era[EB/OL].(2013-09-24)[2016-08-01]. http://www. newhua.com/2013/0924/233390.shtml.

[3]閆世杰,陳永剛,劉鵬,等.云計算中虛擬機計算環(huán)境安全防護方案[J].通信學報,2015,11(1):15-36. YAN S J,XU Y G,LIU P,et al.Security protection scheme of computing environment of virtual machine in cloud computing[J]. Journal of Communications,2015,11(1):15-36.

[4]中國電子信息產業(yè)發(fā)展研究院.信息安全產業(yè)發(fā)展白皮書（2015版）[R].[S.l.:s.n.],2015. China Electronic Information Industry Development Research Institute.The white book of the development of information security industry(2015 edition)[R].[S.l.:s.n.],2015.

[5]DENI C.Acronis releases vmProtect 6 data protection for virtual machines[J].ProQuest,2013,11(3):1-23.

[6]TIM G.Start-up offers rootkit protection,partitions virtual machines[J].ProQuest,2013,5(2):24-44.

[7]SHI J,YANG Y,TANG C.Hardware assisted hypervisor introspection[J].Springerplus,2016,5(1):1-23.

徐影（1974-），女，北京聯合大學電信實訓基地講師，主要研究方向為計算機技術、信息安全。

吳釗（1972-），男，國網信息通信產業(yè)集團有限公司高級工程師，主要研究方向為信息化規(guī)劃、IT治理、信息安全。

李祉岐（1986-），男，北京國電通網絡技術有限公司工程師，主要研究方向為電力云計算系統(tǒng)架構、云安全。

Perception technology of virtual threat for large enterprise’s information security construction

XU Ying1,WU Zhao2,LI Zhiqi3
1.Beijing Union University,Beijing 100101,China 2.State Grid Information&Telecommunication Group Co.,Ltd.,Beijing 102200,China 3.Beijing Guodiantong Network Technical Co.,Ltd.,Beijing 100070,China

Facing with the rapid develop ment of the progress of the information construction,how to effectively achieve the risk prevention and control,in order to build the advanced,practical,safe and reliable information security system,is a severe test to every large enterprise.By analyzing the main characteristics of various security risks and the information security protection,which are faced by large enterprises in the information construction, the practical ideas for the construction of information security system was put forward.Furthermore,the threat that faced by the large enterprise’s virtual environment of information security construction was analyzed,a virtual threat perception system was destgned,which consists of threat intelligence platform,the local detection system and data analysis platform.

information security,security risk,security protection,threat perception

TP309

A

10.11959/j.issn.1000-0801.2016310

2016-11-10；

2016-12-08