王志奇 陳宇 雷亞

1. 河南省公安廳網(wǎng)絡(luò)安全保衛(wèi)總隊(duì) 2. 鄭州信大天瑞信息技術(shù)有限公司

引言

隨著我國(guó)信息化建設(shè)步伐的加快，信息系統(tǒng)建設(shè)已經(jīng)達(dá)到了一個(gè)相當(dāng)?shù)囊?guī)模，據(jù)有關(guān)部門(mén)統(tǒng)計(jì)，目前我國(guó)各行業(yè)重要系統(tǒng)的數(shù)量（等級(jí)保護(hù)第三級(jí)以上的系統(tǒng)）已經(jīng)達(dá)到數(shù)萬(wàn)個(gè)。這些系統(tǒng)中承載著我國(guó)各行業(yè)的重要業(yè)務(wù)，正發(fā)揮越來(lái)越重要的作用，成為我國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施。

與此同時(shí)，國(guó)內(nèi)國(guó)外均有大量針對(duì)我國(guó)網(wǎng)絡(luò)空間“第五疆域”的安全威脅。國(guó)外，有組織的黑客攻擊破壞活動(dòng)頻發(fā)；國(guó)內(nèi)，各類(lèi)網(wǎng)絡(luò)安全事件嚴(yán)重影響著社會(huì)秩序。這些問(wèn)題均暴露了我國(guó)目前重要信息系統(tǒng)安全防護(hù)能力和網(wǎng)絡(luò)安全事件監(jiān)測(cè)預(yù)警手段的不足。因此，我國(guó)已將網(wǎng)絡(luò)空間安全問(wèn)題提升到國(guó)家安全戰(zhàn)略的高度，加強(qiáng)和完善網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與主動(dòng)防御能力刻不容緩。針對(duì)這一問(wèn)題，以云計(jì)算、大數(shù)據(jù)為代表的新技術(shù)在促進(jìn)數(shù)據(jù)信息應(yīng)用和提升協(xié)同計(jì)算能力方面成效卓著，為問(wèn)題的解決提供了可適用的參考模式。因此，面對(duì)當(dāng)前嚴(yán)峻的互聯(lián)網(wǎng)安全形勢(shì)，有必要引入新的技術(shù)理念，建設(shè)基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)分析平臺(tái)，實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)測(cè)與精準(zhǔn)預(yù)警，以及對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的全面感知和響應(yīng)，有效對(duì)抗各類(lèi)新型安全威脅。

基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)分析平臺(tái)正是在這樣的背景下研發(fā)，旨在提高公安機(jī)關(guān)網(wǎng)絡(luò)安全監(jiān)管部門(mén)及各行業(yè)信息系統(tǒng)運(yùn)維管理部門(mén)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力，增強(qiáng)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的整體防護(hù)能力，網(wǎng)絡(luò)安全事件應(yīng)急處置與網(wǎng)絡(luò)功能恢復(fù)能力，以及依法偵查打擊針對(duì)和利用關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施的違法犯罪活動(dòng)的能力。

一、公安行業(yè)需求分析

經(jīng)過(guò)十多年的高速信息化發(fā)展建設(shè)，我國(guó)各地關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)均逐步完成了安全功能和產(chǎn)品的基礎(chǔ)建設(shè)。為各級(jí)政務(wù)外網(wǎng)、各政府及企事業(yè)單位互聯(lián)網(wǎng)站服務(wù)的大量安全產(chǎn)品已可以在較大程度上滿足其基本安全需求，能夠有效完成訪問(wèn)控制、入侵偵測(cè)、漏洞掃描、防病毒等具體的安全功能和技術(shù)需求。

但是，隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境的不斷變化及日益復(fù)雜，網(wǎng)絡(luò)安全事件仍然層出不窮。

2017年6月1日起，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式落地實(shí)施，根據(jù)第一章第8條的要求，公安部門(mén)作為依照本法律及有關(guān)法律、行政法規(guī)負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)及監(jiān)督管理的主體單位，肩負(fù)著實(shí)施我國(guó)境內(nèi)的重要信息系統(tǒng)安全監(jiān)管、網(wǎng)絡(luò)與信息安全信息通報(bào)、打擊與預(yù)防網(wǎng)絡(luò)違法犯罪等重要的職責(zé)。然而，各級(jí)公安網(wǎng)絡(luò)安全監(jiān)管部門(mén)逐漸發(fā)現(xiàn)，僅僅依托于用戶(hù)信息系統(tǒng)環(huán)境中部署的各類(lèi)基礎(chǔ)安全措施，無(wú)法準(zhǔn)確把握所轄區(qū)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)的底數(shù)，對(duì)其轄區(qū)安全態(tài)勢(shì)的感知及全局把握能力、對(duì)突發(fā)安全事件的應(yīng)急處理能力、對(duì)大規(guī)模安全事件的協(xié)調(diào)處理能力、網(wǎng)絡(luò)安全犯罪行為的追查處置能力等，均難以有效提升。各地各級(jí)公安部門(mén)在執(zhí)行《網(wǎng)絡(luò)安全法》賦予的職責(zé)的同時(shí)，普遍面臨著以下幾種突出的問(wèn)題：

（1）網(wǎng)絡(luò)攻防雙方的技術(shù)力量不對(duì)等帶來(lái)的系統(tǒng)修復(fù)滯后，導(dǎo)致網(wǎng)絡(luò)安全事件不可能完全避免；

（2）等級(jí)保護(hù)制度雖然已實(shí)施多年，但由于欠缺實(shí)施技術(shù)手段、管理流程自動(dòng)化水平較低等，其覆蓋范圍、實(shí)施精度和深度等均有待加強(qiáng)；

（3）由于缺乏網(wǎng)絡(luò)安全事件研判手段及有效的技術(shù)工具支撐，對(duì)網(wǎng)絡(luò)安全事件的研判能力較低，從而導(dǎo)致相關(guān)通報(bào)的權(quán)威性受到一定程度的影響；

（4）由于缺乏有效的網(wǎng)絡(luò)安全預(yù)警發(fā)布及通告平臺(tái)，當(dāng)發(fā)現(xiàn)安全事件預(yù)警信息時(shí)，預(yù)警信息往往難以及時(shí)發(fā)布和通知，造成了對(duì)病毒、攻擊等安全事件擴(kuò)散的控制能力較弱；

（5）由于缺乏針對(duì)安全事件的分析及應(yīng)急處置平臺(tái)，網(wǎng)絡(luò)安全事件發(fā)生時(shí)的應(yīng)急處置流程往往規(guī)范性較差，并且缺乏針對(duì)多項(xiàng)相關(guān)安全事件的關(guān)聯(lián)分析能力，不利于事件的及時(shí)處置及相關(guān)案件的分析判斷；

（6）由于缺乏網(wǎng)絡(luò)安全事件發(fā)生機(jī)理的分析手段及技術(shù)能力，事件發(fā)生后往往無(wú)法定位和發(fā)現(xiàn)攻擊者，導(dǎo)致事件線索難以轉(zhuǎn)化為公安部門(mén)的案件線索，并且針對(duì)目前猖獗的網(wǎng)絡(luò)犯罪行為，事件溯源及案件取證都缺乏有力的手段。

以上各項(xiàng)問(wèn)題，最終導(dǎo)致了大量網(wǎng)絡(luò)安全事件及網(wǎng)絡(luò)安全違法犯罪行為無(wú)法得到及時(shí)處置、大量犯罪人員無(wú)法定位和處理、網(wǎng)絡(luò)環(huán)境的治理效果較差、網(wǎng)絡(luò)公共空間安全秩序混亂等后果。

基于以上問(wèn)題，各級(jí)公安機(jī)關(guān)亟需建設(shè)立足于頂層視角、旨在網(wǎng)絡(luò)安全態(tài)勢(shì)感知與協(xié)同處理的基于大數(shù)據(jù)的安全分析平臺(tái)，協(xié)助網(wǎng)絡(luò)安全監(jiān)管部門(mén)掌握網(wǎng)絡(luò)安全態(tài)勢(shì)，提升網(wǎng)絡(luò)安全事件的防范能力，有力打擊和預(yù)防網(wǎng)絡(luò)違法犯罪行為。

二、平臺(tái)系統(tǒng)

（一）設(shè)計(jì)思路及理論依據(jù)

1. R3-AST風(fēng)險(xiǎn)管理思路

在進(jìn)行信息安全系統(tǒng)的建設(shè)和運(yùn)行工作中，風(fēng)險(xiǎn)管理是一個(gè)根本性的思路。風(fēng)險(xiǎn)管理思路已經(jīng)被業(yè)界廣泛認(rèn)可。

在《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估》（GB/T 20984-2007）規(guī)范中，比較全面地闡述了風(fēng)險(xiǎn)管理的幾個(gè)主要要素，并詳盡而準(zhǔn)確地闡述了各要素之間的關(guān)系。上圖中的每一個(gè)要素，都可以成為風(fēng)險(xiǎn)管理乃至信息安全管理工作中的要點(diǎn)。

風(fēng)險(xiǎn)要素模型有不同的形式，為了能夠更好地抓住風(fēng)險(xiǎn)管理的線索，便于實(shí)際工作，將上述風(fēng)險(xiǎn)10要素（含風(fēng)險(xiǎn)）總結(jié)為風(fēng)險(xiǎn)三要素（不含風(fēng)險(xiǎn)），如圖2所示。

在國(guó)家標(biāo)準(zhǔn)中的10要素，業(yè)務(wù)戰(zhàn)略、資產(chǎn)、資產(chǎn)價(jià)值被合并為本模型的資產(chǎn)；安全需求和安全措施被合并為保障措施；脆弱性、威脅（狹義）、安全事件被合并為廣義的威脅；風(fēng)險(xiǎn)和殘余風(fēng)險(xiǎn)都是風(fēng)險(xiǎn)。

通過(guò)風(fēng)險(xiǎn)的三要素，可以抓住風(fēng)險(xiǎn)管理的實(shí)質(zhì)。也就是被保護(hù)的“資產(chǎn)”，可能產(chǎn)生侵害的“威脅”，防范威脅保護(hù)資產(chǎn)的“保障措施”。

在一個(gè)實(shí)際的信息安全保障體系中，必須全面考慮資產(chǎn)、威脅和保障措施這三個(gè)方面，片面地考慮一個(gè)或者兩個(gè)，都可能產(chǎn)生遺漏和偏離。所以說(shuō)，R3-AST的風(fēng)險(xiǎn)三要素思路，充分體現(xiàn)了信息安全特征的思路，需要在整個(gè)方案中得到體現(xiàn)，也要在實(shí)際的執(zhí)行過(guò)程中不斷反省。

2. 遵循的國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)和規(guī)范

平臺(tái)在研制設(shè)計(jì)過(guò)程中，遵循的相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范主要包括：

（1）信息安全運(yùn)營(yíng)中心系統(tǒng)建設(shè)服從信息安全風(fēng)險(xiǎn)評(píng)估方法——按照國(guó)信辦頒發(fā)的《關(guān)于印發(fā)<信息安全風(fēng)險(xiǎn)評(píng)估指南>的通知》（國(guó)信辦[2006]9號(hào)）；

（2）ISO 27001信息安全管理體系國(guó)際標(biāo)準(zhǔn)；

（3）公安部頒布的《信息安全等級(jí)保護(hù)管理辦法（試行）》及相關(guān)規(guī)定；

（4）CCISO 15408 和GB/T 18336 信息技術(shù)安全性評(píng)估準(zhǔn)則；

（5）GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范；

（6）ISO-13335 IT 安全管理指南。

（二）技術(shù)架構(gòu)

平臺(tái)的基本架構(gòu)如圖3所示。

平臺(tái)基本架構(gòu)根據(jù)系統(tǒng)處理流程可分為數(shù)據(jù)采集、匯聚處理、資源存儲(chǔ)、分析挖掘、業(yè)務(wù)應(yīng)用、展示顯示六個(gè)層次，其中：

1. 數(shù)據(jù)采集層

通過(guò)收集與網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)的互聯(lián)網(wǎng)數(shù)據(jù)、重點(diǎn)單位監(jiān)測(cè)數(shù)據(jù)、信息安全企業(yè)相關(guān)數(shù)據(jù)、G01攻擊監(jiān)測(cè)數(shù)據(jù)、專(zhuān)家系統(tǒng)分析數(shù)據(jù)、等保相關(guān)數(shù)據(jù)、其他網(wǎng)安業(yè)務(wù)相關(guān)數(shù)據(jù)、其他共享交換數(shù)據(jù)等，為安全態(tài)勢(shì)感知業(yè)務(wù)應(yīng)用的實(shí)現(xiàn)提供數(shù)據(jù)基礎(chǔ)。

2. 匯聚處理層

根據(jù)統(tǒng)一規(guī)范的數(shù)據(jù)標(biāo)準(zhǔn)，將數(shù)據(jù)采集層收集到的數(shù)據(jù)進(jìn)行歸類(lèi)整理，形成統(tǒng)一格式的數(shù)據(jù)，將其送入資源存儲(chǔ)層實(shí)施存儲(chǔ)，留待后續(xù)分析處理。

3. 資源存儲(chǔ)層

利用大數(shù)據(jù)存儲(chǔ)技術(shù)，集中存儲(chǔ)經(jīng)匯聚處理層歸類(lèi)整理過(guò)的規(guī)范化數(shù)據(jù)。

4. 分析挖掘?qū)?/p>

針對(duì)業(yè)務(wù)應(yīng)用層的數(shù)據(jù)分析要求，利用聚類(lèi)分析、神經(jīng)網(wǎng)絡(luò)等大數(shù)據(jù)分析挖掘及知識(shí)發(fā)現(xiàn)技術(shù)，對(duì)海量安全相關(guān)數(shù)據(jù)進(jìn)行深度分析挖掘，形成知識(shí)化數(shù)據(jù)，為業(yè)務(wù)應(yīng)用層提供數(shù)據(jù)結(jié)果支撐。

5. 業(yè)務(wù)應(yīng)用層

根據(jù)平臺(tái)功能設(shè)計(jì)系統(tǒng)業(yè)務(wù)流程，利用分析挖掘?qū)拥臄?shù)據(jù)分析結(jié)果，為追蹤溯源、事件應(yīng)急、重大活動(dòng)安保等網(wǎng)絡(luò)安全態(tài)勢(shì)感知相關(guān)業(yè)務(wù)流程的實(shí)施提供平臺(tái)及手段。

6. 展示顯示層

利用可視化技術(shù)，將看似混亂無(wú)序的各類(lèi)安全數(shù)據(jù)轉(zhuǎn)化成直觀的可視化信息，形成明晰且直觀的實(shí)時(shí)網(wǎng)絡(luò)安全感知，為公安部門(mén)網(wǎng)絡(luò)安全管理業(yè)務(wù)的實(shí)施提供便利的決策手段。

（三）核心技術(shù)與創(chuàng)新優(yōu)勢(shì)

基于大數(shù)據(jù)的安全分析平臺(tái)，通過(guò)在安全全要素?cái)?shù)據(jù)采集、安全事件分析研判、安全事件通報(bào)處置等領(lǐng)域開(kāi)展新技術(shù)應(yīng)用研究，推進(jìn)公安機(jī)關(guān)與其他網(wǎng)絡(luò)安全監(jiān)督職能部門(mén)、行業(yè)單位、信息安全企業(yè)、專(zhuān)家團(tuán)隊(duì)等協(xié)同聯(lián)動(dòng)，能夠協(xié)助平臺(tái)用戶(hù)構(gòu)建起條塊結(jié)合、縱橫互通的數(shù)據(jù)通道，形成威脅感知能力、應(yīng)急指揮調(diào)度能力等大規(guī)模網(wǎng)絡(luò)安全管理及應(yīng)急能力。平臺(tái)實(shí)現(xiàn)的主要技術(shù)創(chuàng)新包括：

1. 全要素高環(huán)境適應(yīng)性數(shù)據(jù)采集技術(shù)

在平臺(tái)設(shè)計(jì)中，數(shù)據(jù)采集模塊負(fù)責(zé)采集與安全相關(guān)的海量異構(gòu)數(shù)據(jù)。針對(duì)安全態(tài)勢(shì)分析與安全趨勢(shì)預(yù)測(cè)等功能技術(shù)要求，為了完整收集所有安全相關(guān)要素的數(shù)據(jù)，平臺(tái)設(shè)計(jì)中提出并實(shí)現(xiàn)了全要素高環(huán)境適應(yīng)性數(shù)據(jù)采集技術(shù)，將安全要素?cái)?shù)據(jù)根據(jù)采集技術(shù)特點(diǎn)的不同分為了三大類(lèi)型，并針對(duì)各類(lèi)數(shù)據(jù)采取不同的采集技術(shù)進(jìn)行數(shù)據(jù)收集。具體分類(lèi)方式為：

第一類(lèi)，威脅探測(cè)器采集數(shù)據(jù)：通過(guò)在現(xiàn)網(wǎng)安全域的關(guān)鍵位置部署相應(yīng)的網(wǎng)絡(luò)威脅采集引擎，可對(duì)全網(wǎng)安全威脅包括業(yè)務(wù)系統(tǒng)漏洞、應(yīng)用配置問(wèn)題、安全事件、病毒木馬等安全威脅進(jìn)行監(jiān)測(cè)；對(duì)用戶(hù)網(wǎng)絡(luò)資產(chǎn)信息、內(nèi)外部威脅情報(bào)進(jìn)行采集；

第二類(lèi)，高頻數(shù)據(jù)：也就是通常所說(shuō)的大數(shù)據(jù)，以海量、高速、異構(gòu)為特征，主要有外部流、運(yùn)行狀態(tài)和性能數(shù)據(jù)、日志和事件、原始流量鏡像包和Flow流數(shù)據(jù)等，通過(guò)高速數(shù)據(jù)總線采集；

第三類(lèi)，低頻數(shù)據(jù)：包括常見(jiàn)的資產(chǎn)信息、配置信息、弱點(diǎn)信息、身份信息和威脅情報(bào)等，通過(guò)低頻數(shù)據(jù)總線進(jìn)行采集。

除此之外，基于大數(shù)據(jù)的安全分析平臺(tái)還擁有三個(gè)可選對(duì)接維度的數(shù)據(jù)源：（1）平臺(tái)集成了創(chuàng)新的威脅情報(bào)體系，可有效獲取與外部情報(bào)相結(jié)合的威脅信息；（2）平臺(tái)可與運(yùn)維平臺(tái)對(duì)接，實(shí)現(xiàn)內(nèi)網(wǎng)運(yùn)營(yíng)情境數(shù)據(jù)采集，包括內(nèi)部人員行為審計(jì)日志、日常網(wǎng)絡(luò)運(yùn)行安全數(shù)據(jù)、漏洞管理信息等；（3）系統(tǒng)可接收來(lái)自公安部一所G01系統(tǒng)的互聯(lián)網(wǎng)安防業(yè)務(wù)數(shù)據(jù)。

2. 全業(yè)務(wù)流程安全分析技術(shù)

任何業(yè)務(wù)化平臺(tái)要得到好的應(yīng)用效果，都必須在用戶(hù)交互環(huán)節(jié)設(shè)計(jì)合理、完備的業(yè)務(wù)流程。在這方面，基于大數(shù)據(jù)的安全分析平臺(tái)采用了全業(yè)務(wù)流程安全分析技術(shù)，在交互部分設(shè)計(jì)實(shí)現(xiàn)了以下四大業(yè)務(wù)流程分析功能，為安全管理人員提供了可靠的態(tài)勢(shì)感知、安全事件處理能力及漏洞、情報(bào)預(yù)警能力：

（1）安全監(jiān)測(cè)：輔助用戶(hù)對(duì)重點(diǎn)部位、專(zhuān)項(xiàng)威脅、特定對(duì)象開(kāi)展監(jiān)測(cè)工作。同時(shí)對(duì)網(wǎng)頁(yè)篡改、網(wǎng)站掛馬、流量告警、入侵檢測(cè)事件等網(wǎng)站安全狀態(tài)信息進(jìn)行全面監(jiān)測(cè)。能夠?qū)Ψ侵匾獔?bào)警進(jìn)行智能過(guò)濾，解決傳統(tǒng)監(jiān)控設(shè)備（如IDS）大量報(bào)警導(dǎo)致威脅分析和處理難的問(wèn)題，不再需要使用者在海量的日志數(shù)據(jù)中進(jìn)行人工分析，提高使用者的工作效率。

（2）態(tài)勢(shì)分析：從宏觀方面分析整個(gè)互聯(lián)網(wǎng)的總體安全狀況，包括各類(lèi)網(wǎng)絡(luò)安全威脅態(tài)勢(shì)分析和展示；從微觀方面提供對(duì)特定保護(hù)對(duì)象所受各種攻擊的趨勢(shì)分析和展示。此外，還提供網(wǎng)絡(luò)安全總體態(tài)勢(shì)的展示和呈現(xiàn)功能。

（3）漏洞預(yù)警：支持針對(duì)各種安全數(shù)據(jù)自動(dòng)生成預(yù)警通報(bào)，包括Web站點(diǎn)漏洞信息、安全配置問(wèn)題等，協(xié)助用戶(hù)對(duì)Web問(wèn)題提早發(fā)現(xiàn)并及時(shí)整改，對(duì)未發(fā)現(xiàn)漏洞的攻擊事件及已發(fā)現(xiàn)漏洞的聯(lián)動(dòng)攻擊事件進(jìn)行通報(bào)預(yù)警。同時(shí)，通過(guò)漏洞掃描引擎達(dá)成資產(chǎn)感知能力。

（4）事件分析：通過(guò)對(duì)威脅數(shù)據(jù)的聚類(lèi)和關(guān)聯(lián)挖掘有價(jià)值的威脅事件線索，對(duì)重點(diǎn)事件、嫌疑對(duì)象、跳板主機(jī)、攻擊溯源等提供分析支撐。采取的技術(shù)包括三元組分析、異常服務(wù)分析、攻擊者分析等，支持分析提供異常服務(wù)和參與對(duì)外攻擊的主機(jī)，支持分析挖掘疑似攻擊人員相關(guān)信息，并支持非技術(shù)化語(yǔ)言的威脅分析，以及對(duì)事件的關(guān)聯(lián)分析。

3. 第三方運(yùn)維系統(tǒng)松耦合融合技術(shù)

作為一個(gè)復(fù)雜的安全管理平臺(tái)，為了減小用戶(hù)的整體IT管理工作量，降低平臺(tái)使用門(mén)檻，平臺(tái)設(shè)計(jì)中實(shí)現(xiàn)了第三方運(yùn)維系統(tǒng)松耦合融合技術(shù)，較好地保障了平臺(tái)與第三方平臺(tái)的融合對(duì)接。平臺(tái)系統(tǒng)通過(guò)實(shí)現(xiàn)第三方運(yùn)維系統(tǒng)松耦合融合技術(shù)，提供廣泛通用的接口支持能力，能夠有效地支持與各類(lèi)業(yè)務(wù)信息系統(tǒng)、統(tǒng)一告警平臺(tái)、電子運(yùn)維系統(tǒng)、網(wǎng)管系統(tǒng)、綜合拓?fù)浔O(jiān)控系統(tǒng)等的無(wú)縫對(duì)接。平臺(tái)滿足的接口原則包括：

（1）松耦合原則：此原則包括接口方式與信息模型的松耦合以及系統(tǒng)與外部信息源的松耦合兩個(gè)層面。其中接口方式與信息模型的松耦合要求需與本平臺(tái)進(jìn)行接口的應(yīng)用系統(tǒng)均遵循統(tǒng)一的信息模型與本平臺(tái)進(jìn)行信息交互。本平臺(tái)與外部信息源的松耦合要求通過(guò)接口的信息交互，不應(yīng)使本平臺(tái)與采集信息源或監(jiān)控對(duì)象之間存在強(qiáng)依賴(lài)的關(guān)系。

（2）可靠性原則：接口方式是信息模型的載體，無(wú)論采取何種接口方式，都保證所傳遞的信息是可靠、完整和一致的。接口可靠性不僅要求交互方式的可靠與穩(wěn)定，還要求接口的實(shí)現(xiàn)不能對(duì)參與接口的系統(tǒng)的可靠性造成任何不良影響，如當(dāng)采集鏈路或程序異常時(shí)，不應(yīng)造成數(shù)據(jù)丟失以及對(duì)接口相關(guān)系統(tǒng)的正常工作造成影響。

適度冗余可以作為安全管理平臺(tái)接口的建設(shè)參考，以在某種接口方式失效時(shí)保證信息的正常交互。

（3）安全性原則：安全管理平臺(tái)與外部系統(tǒng)通過(guò)接口交互的信息有著不同的安全保密要求，如配置信息通常比安全事件信息更需要保密，根據(jù)信息的安全級(jí)別可采取內(nèi)網(wǎng)傳輸?shù)榷喾N方式進(jìn)行保護(hù)。

（4）高效性原則：安全管理平臺(tái)的運(yùn)行效率與接口效率密切相關(guān)，接口的高效性要求采用的接口方式與實(shí)現(xiàn)技術(shù)必須保證接口的暢通以及不會(huì)造成待交互信息的積壓或延遲。

（5）擴(kuò)展性原則：接口的可擴(kuò)展性包括多個(gè)層面的意義：

管理功能的可擴(kuò)展性：接口的定義不應(yīng)限制安全管理平臺(tái)的功能實(shí)現(xiàn)，并且在將來(lái)安全管理平臺(tái)管理功能發(fā)生改變時(shí)，接口方式應(yīng)能繼續(xù)提供支持；

信息模型的可擴(kuò)展性：隨著通信網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備及業(yè)務(wù)應(yīng)用必然發(fā)生變化，管理對(duì)象的種類(lèi)和具體指標(biāo)都會(huì)發(fā)生改變。無(wú)論采取何種接口方式，都應(yīng)能很好地支持信息模型的改變；

與其他系統(tǒng)的連通性：安全管理平臺(tái)也需要與其他系統(tǒng)互聯(lián)來(lái)交換信息，各系統(tǒng)之間建議采用統(tǒng)一、通用的接口方式進(jìn)行互聯(lián)。

（6）成熟性原則：接口方式與實(shí)現(xiàn)應(yīng)當(dāng)盡可能采用成熟的先進(jìn)技術(shù)，與國(guó)際主流技術(shù)保持一致，從而使系統(tǒng)得到較好的投資保護(hù)。本系統(tǒng)要求采用標(biāo)準(zhǔn)接口模塊，支持多種接口模式。

（7）保留對(duì)被管對(duì)象的控制接口：大部分安全管理平臺(tái)接口，如與系統(tǒng)或應(yīng)用的接口，都以采集或監(jiān)視信息的上行為主要信息流向，建議接口方式也應(yīng)當(dāng)支持控制信息的下行，即支持安全管理平臺(tái)對(duì)被管對(duì)象進(jìn)行適當(dāng)控制的擴(kuò)展接口。

（8）自維護(hù)能力：安全管理平臺(tái)在異常發(fā)生后，可以向其他系統(tǒng)如統(tǒng)一告警平臺(tái)發(fā)出告警信息，提示監(jiān)控人員注意，并具有一定的自我恢復(fù)能力。

（四）功能服務(wù)

通過(guò)平臺(tái)的建設(shè)，各級(jí)公安部門(mén)能夠在數(shù)據(jù)采集、分析研判、通報(bào)處置的方向推進(jìn)多種信息安全相關(guān)業(yè)務(wù)，能夠有效推進(jìn)公安機(jī)關(guān)與其他網(wǎng)絡(luò)安全監(jiān)督職能部門(mén)、行業(yè)單位、信息安全企業(yè)、專(zhuān)家團(tuán)隊(duì)等的協(xié)同聯(lián)動(dòng)，構(gòu)建條塊結(jié)合、縱橫互通的數(shù)據(jù)通道，形成威脅感知能力、應(yīng)急指揮調(diào)度能力，形成協(xié)同防御的網(wǎng)絡(luò)安全防御體系，提升關(guān)鍵基礎(chǔ)設(shè)施的主動(dòng)防御能力。實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)管部門(mén)的全景安全視野，增強(qiáng)決策支撐，規(guī)范安全事件處置流程，持續(xù)優(yōu)化管理辦法，提高響應(yīng)能力。

平臺(tái)建設(shè)能夠?qū)崿F(xiàn)的功能包括：

1. 網(wǎng)絡(luò)威脅感知與態(tài)勢(shì)分析

幫助用戶(hù)實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知與安全預(yù)警，是本平臺(tái)的核心設(shè)計(jì)目標(biāo)和功能。平臺(tái)通過(guò)在一級(jí)節(jié)點(diǎn)部署高性能大數(shù)據(jù)計(jì)算集群，實(shí)現(xiàn)數(shù)據(jù)分析和存儲(chǔ)功能，建設(shè)可編輯的研判分析數(shù)學(xué)模型，進(jìn)行實(shí)時(shí)計(jì)算，從而實(shí)現(xiàn)：第一時(shí)間通報(bào)已爆發(fā)的網(wǎng)絡(luò)入侵行為、病毒傳播等事件；對(duì)網(wǎng)絡(luò)潛在的安全風(fēng)險(xiǎn)以及惡意攻擊行為進(jìn)行分析預(yù)警；對(duì)業(yè)務(wù)系統(tǒng)漏洞及配置弱點(diǎn)進(jìn)行告警。進(jìn)而為保障關(guān)鍵信息系統(tǒng)的安全運(yùn)行、掌握網(wǎng)絡(luò)總體安全狀況、制定信息安全策略等提供基礎(chǔ)數(shù)據(jù)和決策依據(jù)。

2. 海量異構(gòu)安全信息采集、匯總及分析展示

要獲悉全網(wǎng)的整體安全態(tài)勢(shì)，首先需從現(xiàn)有各類(lèi)IT系統(tǒng)及安全系統(tǒng)中采集相關(guān)日志信息，即在需監(jiān)測(cè)的業(yè)務(wù)系統(tǒng)中部署日志采集手段，在安全域的主交換節(jié)點(diǎn)部署流量采集設(shè)備，用以收集海量的異構(gòu)安全數(shù)據(jù)，為態(tài)勢(shì)感知平臺(tái)提供大數(shù)據(jù)計(jì)算基礎(chǔ)。上述信息的完整采集能夠保證態(tài)勢(shì)分析研判的準(zhǔn)確性及安全事件回溯及取證分析的準(zhǔn)確性，并最終通過(guò)直觀的分析結(jié)果展示，使數(shù)據(jù)分析為安全管理流程所用，為管理層提供決策支持。

3. 數(shù)據(jù)決策后的監(jiān)督執(zhí)行

將態(tài)勢(shì)感知的數(shù)據(jù)發(fā)現(xiàn)和決策，快速通告組織內(nèi)的負(fù)責(zé)人及相關(guān)執(zhí)行者，并且持續(xù)反饋過(guò)程處理；針對(duì)事件處置進(jìn)行全流程監(jiān)督，并且反饋經(jīng)驗(yàn)及沉淀知識(shí)庫(kù)。

4. 構(gòu)建安全管理的長(zhǎng)效機(jī)制

有效保障組織的戰(zhàn)略可持續(xù)運(yùn)營(yíng)，問(wèn)題的處理反饋能夠不斷優(yōu)化管理辦法，強(qiáng)化組織結(jié)構(gòu)，持續(xù)提高效率。因此，需要從業(yè)務(wù)系統(tǒng)的高度去看待建設(shè)需求，通過(guò)構(gòu)建安全管理長(zhǎng)效機(jī)制，進(jìn)一步實(shí)現(xiàn)持續(xù)的安全運(yùn)營(yíng)。

5. 安全應(yīng)急響應(yīng)到持續(xù)響應(yīng)的升級(jí)

將現(xiàn)網(wǎng)內(nèi)多項(xiàng)安全能力、諸多安全產(chǎn)品進(jìn)行集成整合，得到數(shù)據(jù)決策后，快速實(shí)現(xiàn)安全能力和策略的調(diào)整與部署，打通“發(fā)現(xiàn)、通告、響應(yīng)、復(fù)盤(pán)”的全流程，將安全防御的動(dòng)作從應(yīng)急響應(yīng)發(fā)展到持續(xù)響應(yīng)。

6. 符合并體現(xiàn)等級(jí)保護(hù)及信息安全管理體系的要求

隨著安全管理需求的不斷提高，等級(jí)保護(hù)和信息安全管理體系建設(shè)已成為安全管理工作中必不可少的職責(zé)。各類(lèi)信息系統(tǒng)管理運(yùn)維單位均需建立并完善其信息安全保障體系和安全管理體系，以達(dá)到系統(tǒng)、完整地保障其信息系統(tǒng)安全的目的。

三、平臺(tái)應(yīng)用

目前，基于大數(shù)據(jù)的安全分析平臺(tái)已經(jīng)在河南省洛陽(yáng)、新鄉(xiāng)等多個(gè)地市的公安網(wǎng)絡(luò)監(jiān)管部門(mén)投入應(yīng)用。平臺(tái)收集了海量的異構(gòu)安全態(tài)勢(shì)要素信息，對(duì)河南省范圍內(nèi)的1950臺(tái)關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)器實(shí)施了安全監(jiān)督，監(jiān)管系統(tǒng)數(shù)量近2萬(wàn)個(gè)，日均監(jiān)測(cè)發(fā)現(xiàn)攻擊行為13萬(wàn)次以上，每天發(fā)布預(yù)警信息超過(guò)1000條，為提升河南省內(nèi)公安網(wǎng)安部門(mén)的關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)管工作效率起到了積極的推動(dòng)作用。

以洛陽(yáng)市為例，系統(tǒng)于2017年9月部署上線，洛陽(yáng)市公安網(wǎng)安部門(mén)民警每天通過(guò)登錄本平臺(tái)，能夠概覽與洛陽(yáng)全市互聯(lián)網(wǎng)信息安全態(tài)勢(shì)相關(guān)的安全要素?cái)?shù)據(jù)，及時(shí)接收系統(tǒng)推送的預(yù)警與告警信息。系統(tǒng)上線后，對(duì)洛陽(yáng)市1276個(gè)單位的1894個(gè)互聯(lián)網(wǎng)信息系統(tǒng)實(shí)施監(jiān)管，攻擊行為檢測(cè)數(shù)量超過(guò)1.8萬(wàn)次/天。另外，根據(jù)安全事件導(dǎo)致的系統(tǒng)告警信息，責(zé)任民警也能根據(jù)事件信息及時(shí)發(fā)起案事件處置業(yè)務(wù)流程，第一時(shí)間通知事件處理流程后方的相關(guān)下游政企單位，使安全事件處置鏈條高效運(yùn)轉(zhuǎn)。系統(tǒng)上線后，日均發(fā)布告警信息4條，目前為止的安全事件告警處置率87.6%，事件平均處置時(shí)間8.73天。

四、結(jié)語(yǔ)

通過(guò)基于大數(shù)據(jù)的安全分析平臺(tái)的建設(shè)，協(xié)助信息安全監(jiān)管單位對(duì)政府部門(mén)、企事業(yè)單位網(wǎng)站及重要信息系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)現(xiàn)立體安全監(jiān)測(cè)，從系統(tǒng)基本信息、受攻擊事件、系統(tǒng)漏洞、系統(tǒng)風(fēng)險(xiǎn)等多個(gè)維度對(duì)大量信息系統(tǒng)進(jìn)行全方位安全監(jiān)控，對(duì)安全事件和漏洞情況及時(shí)告警和預(yù)警，并可提供全部監(jiān)測(cè)目標(biāo)的全局統(tǒng)計(jì)報(bào)表和趨勢(shì)分析，為監(jiān)管層改進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施安全狀況提供有價(jià)值的參考數(shù)據(jù)。

最終實(shí)現(xiàn)提高公安網(wǎng)監(jiān)部門(mén)及各行業(yè)信息系統(tǒng)運(yùn)維管理部門(mén)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力，增強(qiáng)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的整體防護(hù)能力，網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能恢復(fù)能力，以及依法偵查打擊針對(duì)和利用關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施的違法犯罪活動(dòng)的能力，為在當(dāng)前日益復(fù)雜的國(guó)際網(wǎng)絡(luò)安全生態(tài)中提升我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施整體安全狀況提供有力的技術(shù)支撐。

李 欣

博士，現(xiàn)任中國(guó)人民公安大學(xué)信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院院長(zhǎng)，中國(guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專(zhuān)業(yè)委員會(huì)委員，公安部通信標(biāo)委會(huì)委員，公安部公安視頻監(jiān)控專(zhuān)業(yè)人才庫(kù)專(zhuān)家。長(zhǎng)期從事信息處理和信息安全相關(guān)領(lǐng)域的教學(xué)和科研工作，完成了科研項(xiàng)目二十余項(xiàng)，發(fā)表論文二十余篇，獲得發(fā)明專(zhuān)利授權(quán)4項(xiàng)，獲得國(guó)家科技進(jìn)步二等獎(jiǎng)一項(xiàng)，公安部科技進(jìn)步三等獎(jiǎng)一項(xiàng)。

近年來(lái)，國(guó)內(nèi)外大量針對(duì)我國(guó)網(wǎng)絡(luò)空間的安全威脅事件頻發(fā)，嚴(yán)重威脅著國(guó)家安全、社會(huì)秩序和人民生活。加強(qiáng)和完善網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力刻不容緩，提高感知網(wǎng)絡(luò)安全態(tài)勢(shì)的能力十分重要。由于缺乏網(wǎng)絡(luò)安全事件研判分析、技術(shù)支撐工具、應(yīng)急處置手段等因素，大量網(wǎng)絡(luò)安全事件及網(wǎng)絡(luò)安全違法犯罪行為無(wú)法得到及時(shí)處置，相關(guān)犯罪人員無(wú)法定位和處理，導(dǎo)致網(wǎng)絡(luò)環(huán)境的治理效果較差、網(wǎng)絡(luò)公共空間安全秩序混亂等問(wèn)題。

本文基于大數(shù)據(jù)技術(shù)，面向公安實(shí)戰(zhàn)需求設(shè)計(jì)開(kāi)發(fā)了一種基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)分析平臺(tái)，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的感知和響應(yīng)，安全風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)測(cè)與預(yù)警。該平臺(tái)在安全全要素?cái)?shù)據(jù)采集、安全事件分析研判和安全事件通報(bào)處置等方面具有自身的優(yōu)勢(shì)。平臺(tái)在河南省洛陽(yáng)、新鄉(xiāng)等多個(gè)地市的公安網(wǎng)絡(luò)監(jiān)管部門(mén)投入使用，能監(jiān)測(cè)發(fā)現(xiàn)攻擊行為和發(fā)布預(yù)警信息，獲得了實(shí)戰(zhàn)的檢驗(yàn)。

未來(lái)，面對(duì)網(wǎng)絡(luò)空間的各類(lèi)新型安全威脅，應(yīng)不斷發(fā)展完善網(wǎng)絡(luò)安全態(tài)勢(shì)分析技術(shù)，提高相關(guān)部門(mén)的安全管理及應(yīng)急能力，更好地維護(hù)國(guó)家網(wǎng)絡(luò)空間安全主權(quán)。