◆曹茂虹 廖方旭 張銀環(huán)

（青島市電子政務(wù)和信息資源管理辦公室 山東 266071）

網(wǎng)絡(luò)安全態(tài)勢感知在政府部門的應(yīng)用研究

◆曹茂虹 廖方旭 張銀環(huán)

（青島市電子政務(wù)和信息資源管理辦公室 山東 266071）

隨著政府部門對網(wǎng)絡(luò)和信息技術(shù)的深度依賴，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)已經(jīng)難以適應(yīng)新形式下的網(wǎng)絡(luò)安全威脅。本文著重介紹了網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)，并對其在政府部門的應(yīng)用提出了相關(guān)建議。

網(wǎng)絡(luò)安全態(tài)勢感知；數(shù)據(jù)挖掘；數(shù)據(jù)融合；數(shù)據(jù)可視化

0 引言

隨著網(wǎng)絡(luò)和信息技術(shù)的快速發(fā)展以及“互聯(lián)網(wǎng)+政務(wù)”的深入推進(jìn)，政府對信息技術(shù)的依賴程度越來越高，面臨的網(wǎng)絡(luò)安全威脅也隨之增多。國家互聯(lián)網(wǎng)應(yīng)急中心2017年7月的數(shù)據(jù)顯示：境內(nèi)政府網(wǎng)站被篡改的數(shù)量為 114個，環(huán)比下降 2.6%；境內(nèi)政府網(wǎng)站被植入后門的數(shù)量為280個，環(huán)比增長31.5%；政府網(wǎng)站和金融行業(yè)網(wǎng)站依然是不法分子攻擊的重點目標(biāo)。

近年來，政府部門對網(wǎng)絡(luò)安全越來越重視，投入也越來越大，但是傳統(tǒng)完全防護(hù)技術(shù)的不足也逐漸顯現(xiàn)：一是被動式防御，誤報率較高。安全防護(hù)設(shè)備和系統(tǒng)大多基于特征匹配和黑名單機(jī)制，事件發(fā)生時只對能夠識別的攻擊進(jìn)行攔截告警，而且存在誤報和重復(fù)上報的問題，無法主動進(jìn)行安全策略的響應(yīng)，難以適應(yīng)大數(shù)據(jù)形式下網(wǎng)絡(luò)威脅的變化。二是單點式管理，碎片化明顯。偏重網(wǎng)站或單位個體的安全防護(hù)，不同節(jié)點安全設(shè)備和系統(tǒng)廠商各異，監(jiān)控日志碎片化，不能有效地切入用戶業(yè)務(wù)流程，在深度縱向分析攻擊源、攻擊目標(biāo)和攻擊方法，以及威脅事件的關(guān)聯(lián)性方面效果較差。三是監(jiān)管手段匱乏，全局掌控性差。在發(fā)現(xiàn)安全問題時，主管單位大多通過發(fā)函的方式通知相關(guān)單位進(jìn)行整改，效率較低、指導(dǎo)性差。整改效果完全依賴單位自身的重視程度，難以進(jìn)行有效評估和驗證。為了解決上述問題，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)受到越來越多的重視。

1 網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)

1.1 態(tài)勢感知簡介

“態(tài)勢感知”概念起源于20世紀(jì)80年代的美國空軍，主要用來分析空戰(zhàn)環(huán)境信息，快速判斷當(dāng)前及未來形勢并做出正確反應(yīng)。目前已廣泛應(yīng)用于軍事、航空、工業(yè)生產(chǎn)和安全防控等領(lǐng)域，對輔助決策起到重要作用。習(xí)近平總書記在2016年“419網(wǎng)絡(luò)安全和信息化工作座談會”上提出“要樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。”態(tài)勢感知首次被提升到了國家高度，并迅速成為網(wǎng)絡(luò)安全領(lǐng)域的熱點。

網(wǎng)絡(luò)安全態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)中，對能夠引起網(wǎng)絡(luò)安全狀態(tài)變化的安全要素進(jìn)行獲取、理解以及預(yù)測未來的趨勢。網(wǎng)絡(luò)安全態(tài)勢感知強(qiáng)調(diào)整體的狀態(tài)趨勢，是一個宏觀的概念，它運(yùn)用數(shù)據(jù)融合技術(shù)，通過對影響網(wǎng)絡(luò)安全態(tài)勢的多種因素進(jìn)行綜合分析，提供全面宏觀的網(wǎng)絡(luò)安全狀態(tài)映射，從而加強(qiáng)對網(wǎng)絡(luò)的理解與控制，同時給出網(wǎng)絡(luò)安全狀態(tài)的評估及預(yù)測結(jié)果，為網(wǎng)絡(luò)安全管理提供及時準(zhǔn)確的決策依據(jù)。

1.2 態(tài)勢感知關(guān)鍵技術(shù)

（1）數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘技術(shù)是指對海量、冗余數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)其內(nèi)在隱含規(guī)律和潛在關(guān)聯(lián)關(guān)系，并將其服務(wù)于特定應(yīng)用場合的過程。在入侵檢測領(lǐng)域主要有四種分析方法，分別是關(guān)聯(lián)分析、序列模式分析、分類分析和聚類分析。關(guān)聯(lián)分析和序列模式分析主要用于模式發(fā)現(xiàn)和特征構(gòu)造，前者側(cè)重于挖掘數(shù)據(jù)之間的聯(lián)系，后者側(cè)重于分析數(shù)據(jù)間的因果關(guān)系。分類分析和聚類分析主要用于最后的檢測模型。

（2）數(shù)據(jù)融合技術(shù)

數(shù)據(jù)融合技術(shù)是一種對多源數(shù)據(jù)進(jìn)行分析和綜合處理，以服務(wù)于特定任務(wù)決策的技術(shù)，常用手段有以下幾種：一是特征提取技術(shù)，可以提升海量數(shù)據(jù)高速網(wǎng)絡(luò)實時檢測率；二是事件聚類技術(shù)，用來將物理或抽象的數(shù)據(jù)，按照對象間的相似性進(jìn)行分組或分類；三是事件關(guān)聯(lián)技術(shù)，通過將多個安全事件聯(lián)系在一起進(jìn)行綜合評判，重建攻擊過程并實現(xiàn)對整體網(wǎng)絡(luò)安全狀況的判定。

（3）安全態(tài)勢評估技術(shù)

安全態(tài)勢評估主要指在態(tài)勢感知操作期間，將攻擊事件作為評估對象并全面分析攻擊事件頻率和網(wǎng)絡(luò)威脅程度，最終提升攻擊事件的處理效果。常見的有分層感知技術(shù)和綜合威脅量化技術(shù)。前者利用IDS的報警信息和網(wǎng)絡(luò)性能指標(biāo)對網(wǎng)絡(luò)安全進(jìn)行定量評估；后者建立威脅分級模型，通過計算威脅值來評估不同的危險程度。

（4）安全態(tài)勢預(yù)測技術(shù)

安全態(tài)勢預(yù)測技術(shù)基于態(tài)勢分析與評估結(jié)果，對網(wǎng)絡(luò)安全狀況進(jìn)行預(yù)測，動態(tài)地展示網(wǎng)絡(luò)安全狀態(tài)，為管理員更好的呈現(xiàn)安全發(fā)展趨勢，以便判斷未來的網(wǎng)絡(luò)安全情況，為用戶提供安全策略和做出正確的決策。常見的態(tài)勢預(yù)測方法有人工神經(jīng)網(wǎng)絡(luò)預(yù)測、灰色理論預(yù)測、時間序列預(yù)測和馬爾科夫預(yù)測。

（5）數(shù)據(jù)可視化技術(shù)

在態(tài)勢數(shù)據(jù)分析過程中，為了突破傳統(tǒng)文本形式的局限性，需要將大量抽象復(fù)雜的態(tài)勢數(shù)據(jù)，轉(zhuǎn)換為圖形，且增加圖形信息搜索功能，以便于管理人員借助圖形信息搜索平臺，實時掌握當(dāng)前態(tài)勢和未來態(tài)勢預(yù)測信息。方法有很多，按照顯示效果可分為動態(tài)可視化和靜態(tài)可視化，按照顯示數(shù)據(jù)緯可分為二維、三緯以及多緯可視化，按照現(xiàn)實數(shù)據(jù)內(nèi)容可分為內(nèi)容可視化、行為可視化和結(jié)構(gòu)可視化。

2 態(tài)勢感知應(yīng)用建議

2.1 積極轉(zhuǎn)變思路，建立主動防御的思維

安全的本質(zhì)是攻防和技術(shù)的對抗，隨著各類攻擊手段的升級，傳統(tǒng)的靜態(tài)防御思想已不能適應(yīng)外在形勢的變化和內(nèi)在發(fā)展的需要，要建立主動防御和對抗的思維，在安全事件發(fā)生之前通過一系列的技術(shù)手段降低或阻斷其風(fēng)險，從安全的本源考慮問題，在現(xiàn)實對抗環(huán)境下，快速的發(fā)現(xiàn)攻擊，并進(jìn)行定位和阻擊。

2.2 結(jié)合內(nèi)外數(shù)據(jù)，做好各種設(shè)備的協(xié)同

建立態(tài)勢感知系統(tǒng)首先要從單位內(nèi)部的微觀層面獲取完整的安全要素數(shù)據(jù)，其次要結(jié)合外部安全大數(shù)據(jù)的情報，從中觀層面來分析數(shù)據(jù)、發(fā)現(xiàn)威脅與異常。此外，為了實現(xiàn)對整個網(wǎng)絡(luò)安全態(tài)勢狀況的監(jiān)測，應(yīng)注重實現(xiàn)多種管理標(biāo)準(zhǔn)的統(tǒng)一性、協(xié)同性和聯(lián)動性，在實際工作中通過不同產(chǎn)品間的協(xié)作與信息溝通，掌握整個網(wǎng)絡(luò)的安全態(tài)勢。

2.3 注重人的力量，增強(qiáng)網(wǎng)絡(luò)安全教育

態(tài)勢感知不光是數(shù)據(jù)、技術(shù)與平臺，還要結(jié)合人的能力，要融入人的經(jīng)驗和智慧。這其中既包括對日常安全事件處理的運(yùn)維人員，也包括對數(shù)據(jù)進(jìn)行深度分析的研判人員，還包括匯總信息后進(jìn)行行動安排的決策人員。此外，要大力普及網(wǎng)絡(luò)安全知識，讓維護(hù)網(wǎng)絡(luò)安全成為每一名單位員工的自覺行為，避免堡壘從內(nèi)部瓦解。

3 結(jié)語

我國正在大力推動“互聯(lián)網(wǎng)+政務(wù)”服務(wù)，這意味著電子政務(wù)系統(tǒng)會面臨更大的安全威脅，安全形勢非常嚴(yán)峻，尤其是“永恒之藍(lán)”勒索蠕蟲事件的爆發(fā)再次驗證了“世界上沒有攻不破的網(wǎng)絡(luò)，也沒有不存在漏洞的系統(tǒng)”。2017年2月上海建成國內(nèi)首個區(qū)域性的網(wǎng)絡(luò)安全態(tài)勢感知和應(yīng)急處置平臺，可以給全上海市數(shù)百個重要網(wǎng)絡(luò)節(jié)點和信息系統(tǒng)提供保護(hù)。相信隨著技術(shù)的不斷成熟，網(wǎng)絡(luò)安全態(tài)勢感知會在政府部門得到更加廣泛的部署與應(yīng)用。

[1]龔儉，臧小東，蘇琪，胡曉艷，徐杰．網(wǎng)絡(luò)安全態(tài)勢感知綜述[J]．軟件學(xué)報，2016．

[2]易靜．網(wǎng)絡(luò)安全態(tài)勢感知及其相關(guān)技術(shù)[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016．

[3]李奎．網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[J]．電腦知識與技術(shù)，2016．

[4]管磊，胡光俊，王專．基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[J]．信息網(wǎng)絡(luò)安全，2016．