李 倩

（河鋼集團(tuán)唐鋼微爾自動化有限公司 河北 唐山 063000）

1 引言

基于云平臺的智能態(tài)勢感知系統(tǒng)硬件設(shè)備包含IPS、漏洞掃描等硬件設(shè)備，軟件包括安全網(wǎng)關(guān)等軟件，結(jié)合高效運(yùn)營、節(jié)能環(huán)保、降低投資、對外經(jīng)營等途徑，可節(jié)省企業(yè)投入成本。通過收集分析各安全設(shè)備的處理信息，實現(xiàn)對云平臺應(yīng)用的全方位防護(hù)，提高了軟硬件資源的利用率和防護(hù)水平，節(jié)省了各個業(yè)務(wù)系統(tǒng)安全防護(hù)設(shè)備的重復(fù)建設(shè)成本。

2 可行性分析

為實現(xiàn)云平臺的安全檢測防護(hù)軟件和設(shè)備能夠協(xié)同工作，從而建全信息安全體系架構(gòu)，簡化安全管理，解決海量數(shù)據(jù)和信息孤島的困擾，我們將智慧安全態(tài)勢感知系統(tǒng)與云平臺進(jìn)行了整合。智慧安全態(tài)勢感知系統(tǒng)將所有的信息安全產(chǎn)品銜接起來，對那些能夠引發(fā)網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的要素進(jìn)行全面、快速和準(zhǔn)確地捕獲和分析，把用戶當(dāng)前遇到的安全威脅與過去的威脅進(jìn)行關(guān)聯(lián)回溯和大數(shù)據(jù)分析，最終產(chǎn)出未來可能產(chǎn)生的安全事件的威脅風(fēng)險，并提供一個體系化的安全解決方案。

通過智慧安全態(tài)勢感知系統(tǒng)與云平臺的整合，實現(xiàn)基礎(chǔ)的數(shù)據(jù)收集、流量監(jiān)測、惡意主機(jī)漏掃、惡意web漏掃、釣魚郵件攻擊、釣魚網(wǎng)站攻擊、操作系統(tǒng)漏洞攻擊監(jiān)測、應(yīng)用服務(wù)器程序漏洞攻擊、瀏覽器漏洞攻擊、文件格式漏洞攻擊、web漏洞攻擊、惡意軟件傳播、惡意軟件行為、異常電子郵件行為監(jiān)測、異常web訪問行為監(jiān)測、異常遠(yuǎn)程控制行為監(jiān)測、漏洞攻擊逃避監(jiān)測防護(hù)、惡意軟件逃避監(jiān)測防護(hù)、隱蔽信道逃避監(jiān)測防護(hù)、未知威脅分析等等。

3 系統(tǒng)組成

云平臺主要由基礎(chǔ)云平臺、監(jiān)控云平臺和云服務(wù)自助平臺和云安全四大部分組成。基于云平臺的智慧安全態(tài)勢感知系統(tǒng)屬于云安全的主要組成部分。本課題圍繞智慧安全態(tài)勢感知系統(tǒng)的構(gòu)建與應(yīng)用進(jìn)行闡述，著重從以下幾點闡述：態(tài)勢感知系統(tǒng)的總體架構(gòu)、態(tài)勢感知系統(tǒng)的硬件部署和主要功能、態(tài)勢感知系統(tǒng)的數(shù)據(jù)采集、處理分析、評估、行預(yù)測等幾部分。

4 技術(shù)方案

（1）智慧安全態(tài)勢感知系統(tǒng)的構(gòu)成

云平臺主要由基礎(chǔ)云平臺、監(jiān)控云平臺和云服務(wù)自助平臺和云安全四大部分組成。智慧安全態(tài)勢感知系統(tǒng)架構(gòu)如圖1所示。

圖1 智慧安全態(tài)勢感知系統(tǒng)架構(gòu)圖

本課題圍繞智慧安全態(tài)勢感知系統(tǒng)的構(gòu)建與應(yīng)用進(jìn)行闡述，著重從以下幾點闡述：態(tài)勢感知系統(tǒng)的總體架構(gòu)、態(tài)勢感知系統(tǒng)的硬件部署和主要功能、態(tài)勢感知系統(tǒng)的數(shù)據(jù)采集、處理分析、評估、預(yù)測等幾部分。

①安全防護(hù)系統(tǒng)的搭建

云平臺安全防護(hù)體系分三層：

一層：云平臺網(wǎng)絡(luò)架構(gòu)終端安全防護(hù)、通訊和數(shù)據(jù)安全：主要涉及病毒控制、防火墻、入侵檢測、瀏覽器沙箱、反垃圾郵件系統(tǒng)、系統(tǒng)升級、在線補(bǔ)丁。

對于安全網(wǎng)關(guān)方面，整個云平臺部署3臺NISG集成安全網(wǎng)關(guān)，其中2臺部署在出口互聯(lián)區(qū)云平臺邊界，并通過HA進(jìn)行雙擊熱備，NISG集成防火墻、VPN、防病毒等功能實現(xiàn)邊界區(qū)域控制和病毒防護(hù)；另一臺部署在財務(wù)部網(wǎng)絡(luò)邊界，與云平臺之間通過VPN專線互聯(lián)，實現(xiàn)邊界訪問控制。

二層：病毒數(shù)據(jù)庫模型的建立：根據(jù)最新的病毒庫，病毒類型及病毒危險程度，建立多級別多角度的病毒庫數(shù)據(jù)模型系統(tǒng)，云安全平臺實時監(jiān)測流量數(shù)據(jù)，類比病毒模型系統(tǒng)，將檢測結(jié)果進(jìn)行數(shù)據(jù)分析，根據(jù)危險程度反映在云安全平臺界面，供云平臺運(yùn)維人員查看。

三層：安全防護(hù)平臺，實時顯示跟蹤的流量校驗結(jié)果，及時作出感知預(yù)警。

基于安防體系的建立完成，形成智慧安全態(tài)勢感知系統(tǒng)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)入侵態(tài)勢感知，DDOS態(tài)勢感知，僵木蠕態(tài)勢感知， APT攻擊態(tài)勢感知，脆弱性態(tài)勢，網(wǎng)站安全，態(tài)勢溯源功能。同時在通信安全、多級權(quán)限控制、數(shù)據(jù)安全方面進(jìn)行安全防護(hù)，具體如下：

A通信安全：保護(hù)云用戶的安全地虛擬地接入云端，主要涉及身份認(rèn)證、安全信道、數(shù)據(jù)完整性等。

B多級權(quán)限控制：對云計算資源的訪問和管理涉及多個安全領(lǐng)域，每一個安全領(lǐng)域都需要進(jìn)行權(quán)限控制，一般分為以下幾類：機(jī)房管理和維護(hù)人員，云計算管理員，云計算維護(hù)員，系統(tǒng)管理員。

C數(shù)據(jù)安全：數(shù)據(jù)在通訊過程中和存儲以及處理時的安全，主要涉及數(shù)據(jù)的隔離、加密、備份。

②數(shù)據(jù)采集系統(tǒng)

態(tài)勢感知數(shù)據(jù)采集系統(tǒng)的建立。數(shù)據(jù)采集系統(tǒng)包含四個層次。

A數(shù)據(jù)采集技術(shù)

云平臺安全態(tài)勢感知系統(tǒng)在IT基礎(chǔ)資源信息數(shù)據(jù)采集實現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用、機(jī)房環(huán)境等的配置、性能、告警、日志以及各類安全事件的信息數(shù)據(jù)采集。

B數(shù)據(jù)處理技術(shù)

本技術(shù)集中信息安全風(fēng)險監(jiān)控管理，實現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用、機(jī)房環(huán)境的運(yùn)行狀態(tài)、實時事件日志、告警信息、配置數(shù)據(jù)、性能參數(shù)以及各類事件數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化、歸并壓制、過濾、匯聚等預(yù)處理工作。系統(tǒng)將性能數(shù)據(jù)、告警、網(wǎng)絡(luò)、故障以及安全事件、配置等不同的信息數(shù)據(jù)采集后提交數(shù)據(jù)總線，數(shù)據(jù)總線經(jīng)過匯聚和預(yù)先定義配置后將不同的數(shù)據(jù)分發(fā)給不同的數(shù)據(jù)處理組件進(jìn)行處理，防止同一數(shù)據(jù)被不同的數(shù)據(jù)處理組件模塊分別處理出現(xiàn)重復(fù)和多余、不同的告警和故障信息，防止重復(fù)采集和重復(fù)告警。

5 實施效果

5.1 通過對云平臺智慧安全態(tài)勢感知系統(tǒng)的研發(fā)和搭建，可以實現(xiàn)有效監(jiān)測并感知全流量安全事件，從而得出實時而有效的結(jié)論。同時，把云平臺大數(shù)據(jù)與網(wǎng)絡(luò)安全風(fēng)險防護(hù)管理相結(jié)合的思路，改變了傳統(tǒng)網(wǎng)絡(luò)空間安全與情報分析的研究格局，提高了高級網(wǎng)絡(luò)攻擊檢測、信息安全風(fēng)險感知與威脅情報分析處理等網(wǎng)絡(luò)安全防御技術(shù)水平。

5.2 通過智慧安全態(tài)勢感知系統(tǒng)與云平臺的整合，聯(lián)動各類的安全檢測防護(hù)軟件和設(shè)備，實現(xiàn)了高效運(yùn)營、節(jié)能環(huán)保、降低投資、對外經(jīng)營，消化了一次性投入成本節(jié)省了各個業(yè)務(wù)系統(tǒng)安全防護(hù)設(shè)備的重復(fù)建設(shè)成本。同時通過收集分析各安全設(shè)備的處理信息，實現(xiàn)對云平臺應(yīng)用的全方位防護(hù)，提高了軟硬件資源的利用率和防護(hù)水平，極大的節(jié)省后續(xù)遷移的應(yīng)用的安全防護(hù)成本。

5.3 通過云平臺安全態(tài)勢感知系統(tǒng)，可實現(xiàn)高效的信息安全運(yùn)維管理，節(jié)省了大量的硬件資源、網(wǎng)絡(luò)資源與人力成本。安全態(tài)勢感知系統(tǒng)可以實時掌控云平臺安全運(yùn)行情況，并融合了網(wǎng)管平臺與安管平臺的功能到IT綜合管理平臺之下，從而使得工單處理、事故管理、配置管理、變更管理得到統(tǒng)一的處理。同時避免了安管與網(wǎng)管兩套系統(tǒng)重復(fù)對IT資源進(jìn)行信息采集的資源浪費(fèi)、避免了數(shù)據(jù)采集的網(wǎng)絡(luò)流量對正常業(yè)務(wù)數(shù)據(jù)流的影響。