張焱+馮翠平

摘 要：通過網(wǎng)絡安全態(tài)勢的預警功能，可以對網(wǎng)絡上各類的入侵行為進行實時監(jiān)控，并且可以預測出入侵行為將會造成的危害及后果；一旦檢測出入侵行為，可以提前對入侵行為采取有效的防御措施，最終能夠有效地提高網(wǎng)絡安全防護系統(tǒng)的效能。本文將對目前的網(wǎng)絡安全形勢進行全面分析，并提出基于交通運輸行業(yè)基于態(tài)勢感知的網(wǎng)絡安全體系構建方案。

關鍵詞：交通運輸；態(tài)勢感知；網(wǎng)絡安全；入侵檢測

中圖分類號：U111 文獻標識碼：A 文章編號：1006—7973（2017）06-0026-02

習近平總書記在四一九網(wǎng)絡安全和信息化工作座談會上提出“要以信息化推進國家治理體系和治理能力現(xiàn)代化，統(tǒng)籌發(fā)展電子政務，構建一體化在線服務平臺，分級分類推進新型智慧城市建設，打通信息壁壘，構建全國信息資源共享體系，利用信息化手段感知社會態(tài)勢、暢通溝通渠道、輔助科學建設”，2016年12月27日，國務院全文刊發(fā)了《“十三五”國家信息化規(guī)劃》“十大任務”中的最后一項，健全網(wǎng)絡安全保障體系，提出“全天候全方位感知網(wǎng)絡安全態(tài)勢”，再次強調(diào)了態(tài)勢感知的重要性。

交通運輸行業(yè)是國家經(jīng)濟社會發(fā)展的先行官，在交通運輸發(fā)展方面具有極其重要的作用。而交通信息化的發(fā)展對國家的戰(zhàn)略實施、行業(yè)及現(xiàn)代化治理方面具有關鍵的輔助作用。面對“十三五”期新形勢、新要求，“要以國家信息化戰(zhàn)略為引領，強化信息化頂層設計，實現(xiàn)行業(yè)重要信息系統(tǒng)的互聯(lián)互通；要結合行業(yè)轉型升級發(fā)展要求，推進信息技術與行業(yè)管理和服務的深度融合；要大力促進大數(shù)據(jù)發(fā)展應用，深化政府與企業(yè)間合作，共同打造交通信息服務產(chǎn)業(yè)新生態(tài)；要加強新技術應用，強化網(wǎng)絡與信息安全保障體系建設?！?/p>

1 國內(nèi)互聯(lián)網(wǎng)安全背景

目前國內(nèi)的信息化水平迅速提高，為了跟上時代的步伐，傳統(tǒng)行業(yè)迅速轉型，導致信息化的消費也在逐年提高。為了保證信息化水平繼續(xù)逐年穩(wěn)步提高，則必須有充分的網(wǎng)絡安全防護作為保障。2013年以來，我國互聯(lián)網(wǎng)安全的整體態(tài)勢主要表現(xiàn)在三個方面：一是網(wǎng)絡總體情況比較穩(wěn)定，但類似于域名系統(tǒng)等薄弱環(huán)節(jié)仍然需要改進，無法對拒絕服務攻擊和安全漏洞進行有效的防御。二是移動互聯(lián)網(wǎng)快速發(fā)展，導致移動互聯(lián)網(wǎng)的惡意APP迅速增多，生態(tài)污染問題亟待解決。三是來自病毒、蠕蟲、木馬和僵尸的威脅，頻繁的惡意程序傳播活動將使用戶上網(wǎng)面臨的感染惡意程序風險加大。

近年來，根據(jù)國家互聯(lián)網(wǎng)應急中心的安全數(shù)據(jù)分析，web端的安全形勢同樣令人堪憂。公家互聯(lián)網(wǎng)安裝狀況報告年報顯示，政府網(wǎng)站、金融行業(yè)、媒體、旅游以及網(wǎng)上交易網(wǎng)站最容易遭受不法分子攻擊，而安全漏洞往往是實施攻擊的必要條件。不法分子通過入侵網(wǎng)站發(fā)布違規(guī)信息，首先會導致政府在公眾面前的形象遭受損失，更重要的是政治風險無法避免。

2 交通運輸行業(yè)信息安全體系構建

網(wǎng)絡安全監(jiān)測預警項目正是基于“監(jiān)測+響應”的理念進行功能設計的，能夠全面、有效、及時的向各單位提供安全預警和應急服務。交通運輸行業(yè)信息化建設發(fā)展是以行業(yè)信息化重點工程和示范試點工程為依托，努力實現(xiàn)交通運輸信息化的上下貫通、左右連通和內(nèi)外融通，促進現(xiàn)代綜合交通運輸體系發(fā)展。交通運輸行業(yè)有很多重要的大型數(shù)據(jù)網(wǎng)絡平臺如路網(wǎng)監(jiān)測、救助信息、運營管理、物聯(lián)網(wǎng)監(jiān)控、智能交通管控等，這些大型網(wǎng)絡數(shù)據(jù)平臺的安全運維是關系到行業(yè)穩(wěn)定發(fā)展和國計民生的重要環(huán)節(jié)，必須保障其安全穩(wěn)定。

因此，必須利用先進的網(wǎng)絡安全態(tài)勢感知策略積極構建行業(yè)信息安全體系，通過“防護+監(jiān)測+響應”來全方位保障網(wǎng)絡平臺安全已經(jīng)成為必行趨勢。本文就行業(yè)搭建態(tài)勢感知網(wǎng)絡平臺相關的內(nèi)容進行了系統(tǒng)分析，對其主要技術架構建議如下：

2.1 建設目標及原則

（1）建設目標。首先需要對網(wǎng)絡的骨干節(jié)點進行實時監(jiān)測，一旦發(fā)現(xiàn)惡意的入侵行為或者木馬、蠕蟲等病毒傳播，系統(tǒng)需要立即發(fā)出警報并推送給用戶；在系統(tǒng)未遭受攻擊時，可以對系統(tǒng)進行安全漏洞掃描，一旦發(fā)現(xiàn)薄弱環(huán)節(jié)，同樣需要推送給用戶。隨著系統(tǒng)的不斷完善，可以對多個重點系統(tǒng)進行完善的保護，確保入侵行為無法奏效；同時需要對已經(jīng)阻止的入侵行為進行分析，收集并整理出易受攻擊的時間段及系統(tǒng)，有策略的加強局部安全防護。通過態(tài)勢感知系統(tǒng)的布置，可以對入侵行為進行有效的防護并對網(wǎng)絡的整體安全狀況有充分的了解、為今后的信息安全策略提供有效的基礎性依據(jù)。

（2）建設原則。一是系統(tǒng)完整性原則，一旦安全體系建設不完整，致使不法分子有可乘之機，導致前功盡棄。二是系統(tǒng)實用性原則，確保系統(tǒng)的有效性及可用性。三是安全目標與效率、投入之間的平衡原則。四是系統(tǒng)動態(tài)發(fā)展原則，安全防范體系的建設必須不斷完善和升級發(fā)展。五是利舊原則，盡量通過采集已有設備數(shù)據(jù)信息完成態(tài)勢分析。

2.2 架構總覽

系統(tǒng)分為分析交互、大數(shù)據(jù)分析和數(shù)據(jù)采集三層。如下圖1所示：

（1） 數(shù)據(jù)采集層。使用部署在網(wǎng)絡骨干的引擎，監(jiān)控Web服務系統(tǒng)的漏洞、安全事件、系統(tǒng)配置問題、木馬、病毒等安全威脅，并對威脅進行采集收集。數(shù)據(jù)采集模塊采集到的各類數(shù)據(jù)可以劃分為兩種類型，第一種為高頻數(shù)據(jù)，也稱大數(shù)據(jù)，通過高速數(shù)據(jù)總線收集，其主要特點為高速、海量、異構，大數(shù)據(jù)主要包含性能及系統(tǒng)狀態(tài)數(shù)據(jù)，此外還包括日志、事件、流數(shù)據(jù)等；第二種為低頻數(shù)據(jù)，通過低頻數(shù)據(jù)總線進行采集，低頻數(shù)據(jù)主要包括配置信息、資產(chǎn)信息、漏洞信息、人員信息和威脅情報等。

除此之外，數(shù)據(jù)類型還可以根據(jù)采集位置區(qū)分，一種是采集于內(nèi)網(wǎng)的內(nèi)部數(shù)據(jù)，通常包含網(wǎng)絡安全數(shù)據(jù)、員工審計信息、漏洞信息等，另一種數(shù)據(jù)采集與互聯(lián)網(wǎng)出口，稱之為外部數(shù)據(jù)，一般包含外部威脅等信息。

（2）大數(shù)據(jù)處理層。該模塊可以對采集到的海量數(shù)據(jù)進行系統(tǒng)的分類，將其轉換為有結構的大數(shù)據(jù)集。對于不能轉換為結構化的數(shù)據(jù)需要添加相應的索引，最終將兩種數(shù)據(jù)儲存起來以便分析交互層進行分析。

（3）分析交互層。分析交互成主要由五個模塊組成，分別為安全監(jiān)測、態(tài)勢分析、漏洞預警、事件跟蹤及知識情報模塊?？梢詫Σ杉瘮?shù)據(jù)進行科學系統(tǒng)的分析，最終轉換為有價值的信息。①安全監(jiān)測。安全監(jiān)測模塊對系統(tǒng)整體的安全防護起到支撐作用，可以對網(wǎng)絡上的重點系統(tǒng)、重點人員及重點目標進行專項監(jiān)測。于此同時還可以對網(wǎng)絡及系統(tǒng)的狀況進行整體監(jiān)測，如web篡改、病毒入侵、流量告警等威脅信息。該模塊不僅可以對外部系統(tǒng)威脅信息進行監(jiān)測，如果有內(nèi)部組織或人員對外部網(wǎng)絡進行攻擊，同樣可以進行監(jiān)測并警告。同時，系統(tǒng)還具有智能過濾功能，對不重要的入侵及攻擊事件進行過濾篩選，以便減輕服務器及維護人員的負擔。模塊最終分析形成的分析報表可以對一定時間段內(nèi)的安全事件進行對比分析，可以讓使用者對系統(tǒng)安全進行直觀的了解。②態(tài)勢分析。態(tài)勢分析模塊包含兩大方面，第一是宏觀分析，可以從宏觀方面分析整個互聯(lián)網(wǎng)總體信息安全狀態(tài)，對整個網(wǎng)絡的安全威脅進行宏觀展示；第二是微觀分析，可以對重點系統(tǒng)及人員進行詳盡的分析，并展示重點目標的威脅態(tài)勢和web安全態(tài)勢等。③漏洞預警。漏洞預警模塊通過對系統(tǒng)數(shù)據(jù)全面的檢測，可以提前發(fā)現(xiàn)系統(tǒng)存在的各種弱點，包括各類網(wǎng)頁及配置漏洞，發(fā)現(xiàn)漏洞以后可以提前預警并協(xié)助用戶對漏洞進行防護，對可能遭受的威脅進行提前感知。④事件分析。事件分析模塊可以對已發(fā)生的安全事件進行匯總并分析，協(xié)助使用者找出重點威脅事件、重點對象及攻擊源頭。分析方法通常為異常服務分析、攻擊者分析和三元組分析。其中三元組分析是通過對攻擊事件的源IP、目的IP和事件行為進行統(tǒng)計分析。同時，系統(tǒng)應當支持分析提供異常服務和參與對外攻擊的主機，支持分析挖掘疑似攻擊人員相關信息。

3 結語

綜上所述，應用態(tài)勢感知理念搭建起來的安全架構具有提前預知入侵、降低入侵危害等特性，行業(yè)內(nèi)各大型數(shù)據(jù)網(wǎng)絡平臺和管理單位可以結合自身情況搭建與之相適應的態(tài)勢感知系統(tǒng)來應對可能面臨的入侵威脅，確保網(wǎng)絡及信息系統(tǒng)平穩(wěn)運行，努力實現(xiàn)行業(yè)和國家《“十三五”國家信息化規(guī)劃》的宏偉目標。

參考文獻：

[1]劉旭東.關于網(wǎng)絡安全趨勢態(tài)勢感知的預警技術分析[J].科技創(chuàng)業(yè)月刊，2016，（29）

[2]彭毅.基于多傳感的網(wǎng)絡安全態(tài)勢感知系統(tǒng)框架結構[J]網(wǎng)絡安全技術與應用，2016，（12）

[3]張翼鵬.分析網(wǎng)絡安全態(tài)勢感知系統(tǒng)結構[J].通訊世界，2017，（1）

[4]阮兆文.基于安全態(tài)勢感知的網(wǎng)絡安全技術研究[J].低碳世界，2016，（31）

[5]吳軍英.基于信息安全建設中安全態(tài)勢感知系統(tǒng)的設計[J].科技創(chuàng)新導報，2016，（15）