摘要：現(xiàn)代博物館的主要職能包含了搜集、保存、修護、研究、展覽、教育、娛樂等，隨著互聯(lián)網迅速發(fā)展，網絡技術層出不窮，日新月異，給博物館發(fā)展帶來新的機遇，使得博物館的很多社會職能可以更好地發(fā)揮出來，其中知識傳播教育職能變得越來越重要，拉近了與社會公眾的公共關系。與此同時，互聯(lián)網中各類威脅、陷阱和攻擊也為博物館數(shù)字化建設帶來了安全隱患，博物館數(shù)字化建設中的文物數(shù)據(jù)安全、網絡設備安全、業(yè)務應用系統(tǒng)安全都受到了前所未有的挑戰(zhàn)。

關鍵詞：博物館;網絡安全;數(shù)據(jù)安全;態(tài)勢感知;安全平臺

中圖分類號：TN915 ? ? ? ? ?文獻標識碼：A

隨著博物館數(shù)字化建設，博物館可以更好地發(fā)揮其社會服務職能，但與此同時，當今互聯(lián)網不僅開放多元，而且復雜多樣，威脅重重，博物館某些敏感信息也遭受著前所未有的網絡威脅。博物館發(fā)展中要做到用其利而避其害，在博物館的數(shù)字化建設過程中網絡安全防護體系的構建就變得非常重要[1]。

1 數(shù)字博物館建設網絡安全面臨的新問題

1.1 網絡環(huán)境日新月異、復雜多變，傳統(tǒng)博物館網絡安全工作流程經常落后于網絡環(huán)境的變化

博物館的數(shù)字化建設進程中，網絡環(huán)境和業(yè)務應用信息系統(tǒng)越來越復雜，博物館網絡安全管理員有時又無法保證所有安全工作的有序進行，而普通非專業(yè)的用戶不清楚網絡具體狀況，只要求網絡快捷、方便，經常私自更改網絡末端環(huán)境，比如私接交換機或無線路由器導致網絡發(fā)生局域網故障，嚴重地導致整個博物館的網絡全部癱瘓。

同時博物館網絡安全人員所接受網絡安全相關專業(yè)培訓和進修機會幾乎為零，有些博物館網絡安全工作不受重視，網絡安全管理員由非專業(yè)學科人員負責，這類網絡安全管理員常常搞不清楚博物館網絡環(huán)境的具體狀況。很多博物館網絡安全管理員都無法準確掌握本單位網絡環(huán)境的基本情況，根本無法對內部網絡和設備的安全風險進行掌控。耗費大量資金建設的安全防御體系也成了擺設。在這種情況下，很多入侵、攻擊行為無法被即時發(fā)現(xiàn)和制止，博物館很多敏感數(shù)據(jù)資源被人為盜取，有時會造成嚴重損失[2]。

1.2 博物館傳統(tǒng)網絡安全技術對高級持續(xù)性威脅應對乏力

目前，大多數(shù)博物館所采用的安全技術手段相對傳統(tǒng)，都是通過將入侵攻擊的特征和行為數(shù)據(jù)與病毒庫中已知特征庫進行簡單的模式匹配，來實現(xiàn)對入侵攻擊的防御，這種模式是被動對單次行為進行識別和判斷，并不會將這些長期、同類的攻擊行為主動記錄統(tǒng)計并進行有效分析。因此，在面對高級持續(xù)性威脅時，博物館網絡安全在安全威脅方面的檢測、發(fā)現(xiàn)、響應、溯源、處理等方面都存在滯后現(xiàn)象。

1.3 博物館圍墻式安全防御體系不再適應當前的網絡環(huán)境

博物館傳統(tǒng)網絡安全體系建設是根據(jù)不同應用信息系統(tǒng)的安全需求，將網絡資源分割成不同的區(qū)域各自維護，安全控制一般部署在邊界處，從而達到對入侵攻擊的有效檢測和主動防御。但隨著網絡技術的發(fā)展，進入“互聯(lián)網+”時代，物聯(lián)網技術、云計算、移動互聯(lián)等新技術、新產品、新服務在博物館的應用越來越廣泛，原來物理上的邊界概念已經變得非常模糊。雖然博物館數(shù)字化建設中部署了一些安全硬件設備和軟件系統(tǒng)，但這些硬件設備和軟件系統(tǒng)基本都是各自獨立運行，沒有形成聯(lián)動安全防御機制，事實上形成了一個個信息安全孤島。對于一些復雜、隱蔽的攻擊行為，如果僅依靠某一個或一類安全設備，就會導致大量漏報或誤報情況的發(fā)生。因此，博物館網絡安全管理部門必須將這些信息安全孤島整合起來，建設博物館全面數(shù)字安全感知體系，可以真正對入侵攻擊行為進行積極防御，及時有效處理，同時還可以消除各應用系統(tǒng)之間的數(shù)據(jù)流通壁壘，使博物館數(shù)字化建設中的數(shù)字化成果變?yōu)檎嬲杏玫臄?shù)字資源。

要解決這些新的安全問題，亟須使用新的技術手段來掌控全局的安全態(tài)勢，從而優(yōu)化安全運營過程，將電子政務網絡的安全風險控制在合理的區(qū)間內。

2 博物館對態(tài)勢感知與安全運營平臺的要求

2.1 對博物館進行全方位數(shù)據(jù)采集與分析

為實現(xiàn)對博物館安全管理的全面監(jiān)控，在數(shù)據(jù)采集方面，要明確包括所有部門的業(yè)務范圍，然后進行數(shù)據(jù)采集。

對于傳統(tǒng)事件采集，通過態(tài)勢感知，全面獲取各種網絡設備、安全設備的系統(tǒng)日志syslog、用戶流flow日志、中間件等其他類型日志。

對于新事件采集，與傳統(tǒng)netflow等采樣式流量采集方法不同，態(tài)勢感知平臺通過專業(yè)流量傳感器對流量中的會話行為、事務、應用動作進行還原、采集，再對形成相關的日志進行數(shù)據(jù)清洗、分析和處理[3]。

此外，態(tài)勢感知與安全運營平臺還能對接博物館網絡中的各種終端行為日志，因為終端日志比網絡日志記錄更加翔實，可以幫助分析人員發(fā)現(xiàn)惡意進程的相關文件，不僅可以發(fā)現(xiàn)威脅，還可以對網絡安全問題進行回溯分析。

2.2 優(yōu)化數(shù)據(jù)存儲

博物館數(shù)字化網絡每天產生大量日志數(shù)據(jù)，便于分析但能耗較大。傳統(tǒng)關系型數(shù)據(jù)庫由于自身設計缺陷，在達到10億條日志時會出現(xiàn)性能的劇烈下降，大量流量日志、終端日志、操作系統(tǒng)日志都面臨存儲風險。

為解決海量數(shù)據(jù)的快速存儲和讀取問題，態(tài)勢感知與運營平臺需要使用大數(shù)據(jù)基礎架構對傳統(tǒng)數(shù)據(jù)的存儲和計算方式進行優(yōu)化處理。利用分布式全文檢索技術，預先對相關日志建立全文索引，存儲在多塊磁盤或多臺設備，保證日志安全精確入庫。查詢日志時，可以將對應檢索命令分發(fā)到多臺設備執(zhí)行，利用大內存提高平臺查詢效率，即便是千億條日志規(guī)模，也能實現(xiàn)秒級查詢。

2.3 日志處理專業(yè)度高

數(shù)字化博物館業(yè)務范圍廣、事務多，不同的業(yè)務需求，許多傳統(tǒng)SOC/SIEM功能模塊需要定制開發(fā)，每一次開發(fā)都會產生成本，運行后期維護兼容性較差，一般只能誰開發(fā)誰運維。而態(tài)勢感知與安全運營平臺通過設計專家搜索模式，將SQL最佳功能與Unix管道語法封裝成執(zhí)行腳本，終端用戶調入相關命令就可從海量日志中進行數(shù)據(jù)檢索，然后對查詢結果進行關聯(lián)、分析和可視化操作[4]。

2.4 強勁的關聯(lián)分析處理能力

關聯(lián)分析的主要作用是發(fā)現(xiàn)威脅，但面對當前博物館中數(shù)量龐大的安全設備和服務器，傳統(tǒng)的關聯(lián)分析往往僅能提供3000 EPS（Event per Second）到5000 EPS的處理能力，根本無法滿足安全需求。因此只有通過態(tài)勢感知與運營平臺設計專業(yè)關聯(lián)分析核心引擎，把復雜事件處理技術（CEP）和安全業(yè)務場景結合起來，實現(xiàn)功能加速，邏輯優(yōu)化，達到20 000 EPS（50條規(guī)則）關聯(lián)處理能力來滿足博物館的安全需求。

3 態(tài)勢感知與安全運營平臺對博物館數(shù)字化建設的意義

對于博物館數(shù)字化建設，態(tài)勢感知和安全平臺有以下幾個重要意義。

3.1 發(fā)現(xiàn)博物館數(shù)字建設中的安全隱患，完善博物館網絡安全防護體系

目前，博物館網絡安全設備基本上都是只對自身負責區(qū)域的流量信息進行分析處理，對已知的安全威脅進行有效防護，而對于未知威脅處理能力則非常弱。態(tài)勢感知利用基于大數(shù)據(jù)的云端威脅情報數(shù)據(jù)庫，可以更好地借助互聯(lián)網云計算幫助博物館進行數(shù)據(jù)挖掘和分析攻擊線索，可以提高未知威脅和APT攻擊的檢出效率，因此，可以有效發(fā)現(xiàn)博物館數(shù)字建設中的安全隱患，提升博物館網絡安全防護能力[5]。

3.2 改變安全管理人員防御思想，提高博物館網絡安全防護能力

傳統(tǒng)博物館對網絡安全重視程度不足，防御體系構建比較簡單，屬于被動式防御，認為處于網絡出口設備處最容易受到攻擊，是信息安全建設的重點，在出口處部署安全設備可以及早應對攻擊。因此，博物館網絡安全管理部門在出口處部署相應的檢測與防御設備，如IDS、IPS、 UTM（安全網關）、FW、Audit（安全審計）、網閘等。這樣博物館網絡安全僅依靠最外層的防御設備，一旦最外層設備被攻破，那么內部設備和應用系統(tǒng)安全就沒有任何保障。在實際環(huán)境中，最外層檢測與防御設備經常被攻擊入侵成功，網絡安全面臨非常大的風險，需要改陳破舊，在思想認識方面重視網絡安全，把網絡安全戰(zhàn)線延長，當最外層檢測設備失效，防御系統(tǒng)被攻破的情況下，后續(xù)網絡設備和防御系統(tǒng)可以繼續(xù)發(fā)揮作用，實現(xiàn)危險快速警告、分析日志、回溯信息、分析攻擊過程，網絡安全部門才能迅速制定合理解決方案，防止攻擊造成更大范圍的影響。態(tài)勢感知方案利用威脅情報庫和規(guī)則鏈技術，構建成監(jiān)聽和主動回溯、研判和主動監(jiān)測的入侵檢測防御體系，實現(xiàn)由被動式防御體系向主動式防御體系轉變，在很大程度上可以提高博物館網絡安全防御主動性。

參考文獻

[1] 宋岍龍.基于網絡數(shù)據(jù)的網絡安全態(tài)勢感知平臺設計[J].中國新通信，2019，21（18）：134-135.

[2] 管小娟，張濤，馬媛媛，等.網絡安全態(tài)勢感知研究綜述[J].電力信息與通信技術，2014，12（5）：1-4.

[3] 王丹琛，徐揚，李斌，等.基于業(yè)務效能的信息系統(tǒng)安全態(tài)勢指標[J].清華大學學報（自然科學版），2016，100（5）：517-521，529.

[4] 施馳樂.電子政務系統(tǒng)網絡安全安全防護之變：淺談態(tài)勢感知與安全運營平臺[J].中國信息化，2019，16（6）：59-62.

[5] 張寶圣.山西博物院數(shù)字化平臺建設研究[J].圖書情報導刊，2019，29（7）：28-31.