汪秀莉+蔣飄蓬+王蓉+王紅麗

摘要：隨著信息化的發(fā)展，網(wǎng)絡(luò)面臨著嚴(yán)峻的安全問題，傳統(tǒng)的依靠獨(dú)立網(wǎng)絡(luò)安全設(shè)備的防護(hù)方法已不適用。網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)綜合通過對(duì)多種安全措施進(jìn)行融合，實(shí)現(xiàn)對(duì)當(dāng)前網(wǎng)絡(luò)狀況的評(píng)估，以及對(duì)未來網(wǎng)絡(luò)變化趨勢(shì)的預(yù)測(cè)，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的優(yōu)化管理以及對(duì)網(wǎng)絡(luò)安全的有效防護(hù)。該文針對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)的實(shí)用性進(jìn)行了初步探討。

關(guān)鍵詞： 網(wǎng)絡(luò)安全；態(tài)勢(shì)感知；網(wǎng)絡(luò)防護(hù)

中圖分類號(hào)： TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）02-0025-02

隨著信息化的發(fā)展，網(wǎng)絡(luò)的應(yīng)用觸手可及，但這隨處可用的網(wǎng)絡(luò)的安全性卻無法得到大眾的廣泛認(rèn)可。我們面臨著嚴(yán)峻的網(wǎng)絡(luò)安全問題：網(wǎng)絡(luò)所承載的應(yīng)用和重要信息系統(tǒng)底數(shù)不清，情況不明，無法清晰準(zhǔn)確判斷安全態(tài)勢(shì)和風(fēng)險(xiǎn)點(diǎn)；各種安全威脅缺乏有效預(yù)警、通報(bào)機(jī)制、手段、技術(shù)；安全事件處置、應(yīng)急缺乏有效平臺(tái)和手段，已經(jīng)發(fā)生的安全事件，需要專業(yè)化的人員、工具等技術(shù)力量進(jìn)行及時(shí)、有效的應(yīng)急處置，安全事件取證、問題處理等響應(yīng)手段。如何檢測(cè)安全網(wǎng)絡(luò)與應(yīng)用系統(tǒng)的安全性，提升安全網(wǎng)絡(luò)系統(tǒng)的安全防御能力，夯實(shí)網(wǎng)絡(luò)信息安全等問題亟需解決。

1 傳統(tǒng)網(wǎng)絡(luò)防護(hù)的不足

傳統(tǒng)網(wǎng)絡(luò)防護(hù)體系，也是現(xiàn)在多數(shù)局域網(wǎng)采用的網(wǎng)絡(luò)防護(hù)方法大致有三種：一是檢測(cè)、防護(hù)、響應(yīng)加策略的防護(hù)體系；二是采用多臺(tái)網(wǎng)絡(luò)安全設(shè)備堆砌的線性木桶式防護(hù)體系；三是關(guān)注操作系統(tǒng)和應(yīng)用的不同層面安全的防御體系[1]。

在傳統(tǒng)網(wǎng)絡(luò)體系中，網(wǎng)絡(luò)安全一直是“魔高一丈”的狀態(tài)，只有在威脅被發(fā)覺之后才能獲知該信息。而防御方法也主要依靠升級(jí)特征庫。傳統(tǒng)網(wǎng)絡(luò)防護(hù)體系中的各種警告信息不斷產(chǎn)生，但是有效信息難以甄別，誤報(bào)率很高。在這樣一種網(wǎng)絡(luò)環(huán)境下， 網(wǎng)絡(luò)管理人員不能了解當(dāng)前網(wǎng)絡(luò)安全的真實(shí)狀況， 不能針對(duì)警告信息采取相應(yīng)的防護(hù)措施， 致使網(wǎng)絡(luò)管理難度不斷提高。

傳統(tǒng)的網(wǎng)絡(luò)防護(hù)體系中的安全設(shè)備各司其職，看似專業(yè)，實(shí)則孤立，沒有有效的協(xié)同防御；對(duì)于威脅，只有補(bǔ)救，沒有預(yù)警，只能后知后覺；而且，真有攻擊事件發(fā)生時(shí)回溯分析困難。

2 網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知指的是通過技術(shù)措施從時(shí)間和空間感知并獲取相應(yīng)元素， 同時(shí)研究分析此類元素來了解當(dāng)前安全狀況， 并預(yù)測(cè)后續(xù)發(fā)展。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知包括網(wǎng)絡(luò)安全態(tài)勢(shì)覺察、網(wǎng)絡(luò)安全態(tài)勢(shì)理解和網(wǎng)絡(luò)安全態(tài)勢(shì)投射3個(gè)層面，是一個(gè)完整的認(rèn)知過程。它不僅僅是將網(wǎng)絡(luò)中的安全要素進(jìn)行簡(jiǎn)單的匯總和疊加，而是根據(jù)不同的用戶需求，以一系列具有理論支撐的模型為支持，找出這些安全要素之間的內(nèi)在關(guān)系，實(shí)時(shí)地分析網(wǎng)絡(luò)的安全狀況[2]。

3 網(wǎng)絡(luò)態(tài)勢(shì)感知實(shí)用分析

網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)的落地需要滿足網(wǎng)站安全監(jiān)測(cè)、通報(bào)預(yù)警管理和等保等方面的相應(yīng)要求。

網(wǎng)站安全監(jiān)測(cè)方面，能針對(duì)網(wǎng)站及重要信息系統(tǒng)進(jìn)行持續(xù)、多維度安全監(jiān)測(cè)，可以實(shí)時(shí)了解到所有Web資產(chǎn)面臨的風(fēng)險(xiǎn)，實(shí)現(xiàn)快速故障定位，當(dāng)有異常情況或征兆時(shí)能夠及時(shí)提示，并提供專業(yè)的修補(bǔ)建議，以便及時(shí)采取應(yīng)對(duì)措施。

安全通報(bào)預(yù)警管理方面，需要把監(jiān)測(cè)到的安全事件信息通過安全通報(bào)管理技術(shù)發(fā)布到下級(jí)管理員那里進(jìn)行處理，并通過電子化的工單方式實(shí)現(xiàn)安全事件未處理和已處理以及如何處理等行為進(jìn)行記錄和追蹤，最終，在此子系統(tǒng)中實(shí)現(xiàn)多源、多點(diǎn)事件的關(guān)聯(lián)分析，網(wǎng)絡(luò)攻擊行為分布展示，從收集多源異構(gòu)數(shù)據(jù)，到及時(shí)發(fā)現(xiàn)并判斷可疑事件，最終實(shí)現(xiàn)安全態(tài)勢(shì)的可視化展現(xiàn)。

等保方面，可以利用等保工具檢查的結(jié)果和安全通報(bào)平臺(tái)實(shí)現(xiàn)無縫對(duì)接，將安全風(fēng)險(xiǎn)統(tǒng)一由安全通報(bào)子系統(tǒng)進(jìn)行處理，同時(shí)將最終檢查報(bào)告統(tǒng)一匯總進(jìn)行展示。

3.1 主要內(nèi)容

網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系中的通報(bào)預(yù)警平臺(tái)包含通報(bào)預(yù)警與應(yīng)用安全監(jiān)測(cè)，以及網(wǎng)絡(luò)系統(tǒng)安全事件、流量、應(yīng)用系統(tǒng)和網(wǎng)站安全事件的數(shù)量統(tǒng)計(jì)和整體分析，形成比較直觀的態(tài)勢(shì)預(yù)警通報(bào)。

另外，對(duì)于一些重點(diǎn)網(wǎng)站需要結(jié)合業(yè)內(nèi)積累的漏洞庫進(jìn)行多方位的威脅監(jiān)測(cè)，以便形成專項(xiàng)通報(bào)機(jī)制，進(jìn)行處理；對(duì)于突發(fā)事件，需要在快速處置模塊下進(jìn)行處理；安全事件要有追蹤溯源的功能，通過關(guān)聯(lián)分析，找出安全事件源頭，作為處理憑證；同時(shí)可進(jìn)行等保的功能建設(shè)，形成統(tǒng)一的監(jiān)管依據(jù)。內(nèi)容具體分為以下六個(gè)部分：

3.1.1 安全態(tài)勢(shì)感知

安全態(tài)勢(shì)感知系統(tǒng)包括五大感知態(tài)勢(shì)維度，分別為資產(chǎn)態(tài)勢(shì)、攻擊態(tài)勢(shì)、威脅態(tài)勢(shì)、事件態(tài)勢(shì)、處置態(tài)勢(shì)，從事前、事中、事后的角度對(duì)網(wǎng)站及重要信息系統(tǒng)安全狀況進(jìn)行全面的分析和可視化展示。從數(shù)據(jù)角度分析信息系統(tǒng)內(nèi)重要信息系統(tǒng)和重點(diǎn)網(wǎng)站（包括域名、網(wǎng)站標(biāo)題、網(wǎng)站IP、行政屬地、等保情況、聯(lián)系人等）、網(wǎng)絡(luò)設(shè)備資產(chǎn)情況與指紋信息（操作系統(tǒng)類型、開放端口、開放服務(wù)、平臺(tái)中間件、技術(shù)架構(gòu)等）、網(wǎng)絡(luò)攻擊行為、網(wǎng)絡(luò)安全事件等方面提供多層面視角范圍的安全態(tài)勢(shì)。

3.1.2 安全事件的通報(bào)預(yù)警

結(jié)合網(wǎng)絡(luò)安全監(jiān)測(cè)、上級(jí)安全事件通告、第三方事件通報(bào)平臺(tái)進(jìn)行網(wǎng)絡(luò)安全通報(bào)，結(jié)合郵件、短信、移動(dòng)APP等多種通報(bào)方式，實(shí)現(xiàn)監(jiān)管部門到網(wǎng)站建設(shè)單位的信息互通，提供實(shí)時(shí)告警，提升管理員安全響應(yīng)速度，可支持管理員處理安全事件響應(yīng)零延遲。

3.1.3 漏洞的定向預(yù)警

針對(duì)如Struts 2 遠(yuǎn)程命令執(zhí)行、Openssl等重大、典型漏洞實(shí)現(xiàn)在線檢測(cè)，并結(jié)合最新挖掘的0day與業(yè)內(nèi)披露的漏洞信息，對(duì)最新威脅影響進(jìn)行預(yù)判，并第一時(shí)間進(jìn)行定向預(yù)警。

3.1.4 攻擊事件的通知與相關(guān)網(wǎng)站的預(yù)警

當(dāng)發(fā)生對(duì)系統(tǒng)網(wǎng)站的網(wǎng)絡(luò)攻擊與篡改攻擊等事件，能夠進(jìn)行定向預(yù)警，督促各單位進(jìn)行部署防御。

3.1.5 應(yīng)用安全監(jiān)測(cè)

對(duì)網(wǎng)站和重要應(yīng)用系統(tǒng)進(jìn)行定期監(jiān)測(cè)服務(wù)，實(shí)現(xiàn)全局網(wǎng)站和應(yīng)用系統(tǒng)的漏洞監(jiān)測(cè)、網(wǎng)頁木馬監(jiān)測(cè)、篡改檢測(cè)、可用性監(jiān)測(cè)與關(guān)鍵詞監(jiān)測(cè)，提供詳盡的數(shù)據(jù)與分析報(bào)告。

3.1.6 等級(jí)保護(hù)管理

按照“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)”的要求完成信息系統(tǒng)的定級(jí)、備案和第三級(jí)以上信息系統(tǒng)的測(cè)評(píng)、整改工作。

3.2 使用效果

通過網(wǎng)絡(luò)態(tài)勢(shì)感知體系，可以提升網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全水平，實(shí)現(xiàn)以下目標(biāo)：

1） 實(shí)現(xiàn)對(duì)系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)和威脅感知；

2） 實(shí)現(xiàn)網(wǎng)絡(luò)威脅和漏洞第一時(shí)間預(yù)警；

3） 實(shí)現(xiàn)網(wǎng)絡(luò)安全事件第一時(shí)間通報(bào)處置；

4） 實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)管執(zhí)法工作信息化和數(shù)據(jù)化；

5） 實(shí)現(xiàn)以APP、短信、等保工具箱等構(gòu)建網(wǎng)絡(luò)安全可視化感知、預(yù)警、通報(bào)、處置工作流閉環(huán)。

4 結(jié)束語

在信息技術(shù)快速發(fā)展的過程中， 網(wǎng)絡(luò)攻擊事件時(shí)有發(fā)生。網(wǎng)絡(luò)安全已經(jīng)成為人們高度重視的問題?，F(xiàn)有公司、企業(yè)和高校的網(wǎng)絡(luò)大部分都是由局域網(wǎng)接入互聯(lián)網(wǎng)，建設(shè)結(jié)構(gòu)簡(jiǎn)單，缺乏嚴(yán)密的安全措施。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)是目前能夠有效保障網(wǎng)絡(luò)安全的技術(shù)，在實(shí)際應(yīng)用中可行，值得普及推廣。

參考文獻(xiàn)：

[1] 管磊，胡光俊，王專.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[J].2017.

[2] 龔儉，臧小東，蘇琪，胡曉艷，徐杰.網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J].軟件學(xué)報(bào)，2017，28（4）：1010-1026.endprint