許 源

（河北省水利廳，河北 石家莊 050011）

現(xiàn)代計(jì)算機(jī)技術(shù)被逐漸應(yīng)用到了水利領(lǐng)域中，而網(wǎng)絡(luò)遭到的持續(xù)威脅也變得越來(lái)越復(fù)雜和難以被發(fā)現(xiàn)。盡管網(wǎng)絡(luò)管理人員采用了一些網(wǎng)絡(luò)安全防護(hù)措施，但是他們所采用的辦法沒(méi)有進(jìn)行全面整體的考慮，沒(méi)有將各種防護(hù)措施相結(jié)合，因此這種方法不具有很好的預(yù)警與抵御效果。信息安全感知態(tài)勢(shì)系統(tǒng)就是在這種情況下發(fā)展起來(lái)的，并且很好地被應(yīng)用到了水利領(lǐng)域中。

伴隨著計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的可應(yīng)用范圍隨之?dāng)U大，但是，這樣的發(fā)展速度也為相應(yīng)領(lǐng)域帶來(lái)了一些困擾，其中最令人擔(dān)憂的就是信息安全問(wèn)題，計(jì)算機(jī)病毒、軟件破壞等侵?jǐn)_造成的損失在不斷地增長(zhǎng)，網(wǎng)絡(luò)破壞呈現(xiàn)出分散性、隱蔽性、繁雜性、目的性及持續(xù)性等特點(diǎn)。從另一個(gè)角度來(lái)說(shuō)，這推動(dòng)了水利體系向更加安全的方向發(fā)展，新興的安全體系不僅有最基本的病毒防控裝置，而且還有數(shù)據(jù)庫(kù)審計(jì)、高級(jí)持續(xù)性風(fēng)險(xiǎn)防控系統(tǒng)等強(qiáng)大的裝置。這些安全防御設(shè)施的創(chuàng)建，構(gòu)成了最基本的防護(hù)網(wǎng)。但是，在信息安全技術(shù)水平的不斷提升下，專門圍繞水利系統(tǒng)的攻擊也越來(lái)越難以被捕捉，尤其是在目前大流量和大數(shù)據(jù)的覆蓋下，網(wǎng)絡(luò)入侵和數(shù)據(jù)暴露等問(wèn)題變得越來(lái)越難以被察覺(jué)，通常是發(fā)現(xiàn)信息被公開或被進(jìn)行交易時(shí)才發(fā)現(xiàn)已被攻擊或被攻擊單位發(fā)現(xiàn)自己的信息已遭到泄露，而這也對(duì)受害者或單位造成了非常大的損失，特別是高級(jí)持續(xù)性的攻擊，更是使得管理人員無(wú)法應(yīng)對(duì)。所以，對(duì)于水利系統(tǒng)來(lái)說(shuō)，施行全方位網(wǎng)絡(luò)安全態(tài)勢(shì)感知、隨時(shí)監(jiān)測(cè)網(wǎng)絡(luò)安全狀況、確保信息安全就變得尤其重要。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的基本原理

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)技術(shù)指的是通過(guò)對(duì)以往的以及現(xiàn)在的網(wǎng)絡(luò)安全態(tài)勢(shì)的記錄情況進(jìn)行了解，依據(jù)原有的經(jīng)驗(yàn)基礎(chǔ)和理論知識(shí)進(jìn)行總結(jié)并推斷網(wǎng)絡(luò)安全在將來(lái)的發(fā)展趨勢(shì)。大家都知道，網(wǎng)絡(luò)安全態(tài)勢(shì)感知的發(fā)展有著很大的不確定性，并且不同的條件限制有不同的預(yù)測(cè)方法。按照本質(zhì)，可以將預(yù)測(cè)方法分為判定性預(yù)測(cè)法、時(shí)間序列分析法和因果預(yù)測(cè)法。在這當(dāng)中，網(wǎng)絡(luò)安全態(tài)勢(shì)感知判定性預(yù)測(cè)法是將原來(lái)的網(wǎng)絡(luò)態(tài)勢(shì)與現(xiàn)在的網(wǎng)絡(luò)態(tài)勢(shì)相結(jié)合，依靠自己的感覺(jué)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。時(shí)間序列分析法則是指根據(jù)之前的數(shù)據(jù)情況并結(jié)合時(shí)間來(lái)對(duì)下一次的態(tài)勢(shì)進(jìn)行推算。但是，由于此種方法更多的是與時(shí)間相結(jié)合，所以它更適合應(yīng)用于簡(jiǎn)單并隨時(shí)間變化的數(shù)據(jù)分析中。最后一種分析方法與系統(tǒng)本身的各個(gè)變量有關(guān)，所以，使用此種方法時(shí)，首先要明確不同因素導(dǎo)致的不同后果，然后根據(jù)它的分析結(jié)果構(gòu)建數(shù)學(xué)模型，最后則是依照不同因素的變化情況，對(duì)其變化趨向進(jìn)行預(yù)測(cè)。

2 信息安全態(tài)勢(shì)感知模型的基本構(gòu)造

信息安全態(tài)勢(shì)感知模型由數(shù)據(jù)板塊、信息板塊、知識(shí)板塊組成，從下往上依次是數(shù)據(jù)板塊、信息板塊和知識(shí)板塊。數(shù)據(jù)板塊包括數(shù)據(jù)收集和數(shù)據(jù)預(yù)處理，這一部分的核心功能是數(shù)據(jù)校準(zhǔn)、數(shù)據(jù)格式化和數(shù)據(jù)分析等。而信息板塊則是在數(shù)據(jù)處理的基礎(chǔ)上對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行推導(dǎo)的過(guò)程。對(duì)于知識(shí)板塊來(lái)說(shuō)，它的主要任務(wù)就是對(duì)知識(shí)進(jìn)行轉(zhuǎn)換，監(jiān)測(cè)網(wǎng)絡(luò)中可能會(huì)出現(xiàn)的安全問(wèn)題，并對(duì)其危害度進(jìn)行預(yù)估。此外，在結(jié)合多方面的測(cè)評(píng)結(jié)果之后，危險(xiǎn)信息會(huì)被加入靜態(tài)庫(kù)，并以此來(lái)增加靜態(tài)庫(kù)的數(shù)據(jù)。靜態(tài)庫(kù)的不斷擴(kuò)大，可以更加有效地保障信息安全態(tài)勢(shì)分析的高效性和準(zhǔn)確性。

3 水利信息安全態(tài)勢(shì)感知系統(tǒng)的主要功能

3.1 智能感知

水利安全態(tài)勢(shì)感知系統(tǒng)通過(guò)運(yùn)用大數(shù)據(jù)的技術(shù)手段，可以有效地處理持續(xù)性威脅，預(yù)防發(fā)現(xiàn)工作中的模型歸納、問(wèn)題察探等方面的問(wèn)題，達(dá)到實(shí)現(xiàn)核心數(shù)據(jù)提煉、模型創(chuàng)建、結(jié)果顯示等功能的目的。

3.2 隱形秘密通道的發(fā)現(xiàn)及對(duì)客戶行為的剖析

隱形秘密通道包含系統(tǒng)的后門通道和利用合法網(wǎng)絡(luò)載荷交換非法數(shù)據(jù)兩部分。而大數(shù)據(jù)技術(shù)可以很好地辨別出隱形通道，從而使得隱形通道被發(fā)現(xiàn)并將其所傳輸?shù)臄?shù)據(jù)進(jìn)行復(fù)原。以客戶的行為為標(biāo)準(zhǔn)，自動(dòng)總結(jié)客戶行為的模型，應(yīng)用機(jī)器學(xué)習(xí)技術(shù)，通過(guò)自我修改，進(jìn)行自身的調(diào)節(jié)矯正，不需要人工介入就可以達(dá)到基線訂正和行為偏離警告。

3.3 追蹤溯源并收集證據(jù)

攻擊者一旦對(duì)系統(tǒng)進(jìn)行攻擊，態(tài)勢(shì)感知系統(tǒng)就會(huì)自動(dòng)記錄下來(lái)，就算攻擊者刪除了系統(tǒng)日志，系統(tǒng)還是可以追尋到攻擊源頭。不僅如此，它還可以清晰地描繪出攻擊者的攻擊途徑，并以數(shù)據(jù)信息的形式記錄在態(tài)勢(shì)感知系統(tǒng)中，且不可被刪除。所以，這一技術(shù)手段在進(jìn)行實(shí)時(shí)取證、為國(guó)家公安機(jī)關(guān)破獲網(wǎng)絡(luò)犯罪案件等方面可以提供有效幫助。

3.4 隨時(shí)隨地進(jìn)行安全監(jiān)控以及檢測(cè)并保證審計(jì)工作的合理性

水利安全態(tài)勢(shì)感知系統(tǒng)及其他設(shè)備的安全信息互為一體，形成了關(guān)聯(lián)體系，從而可以對(duì)網(wǎng)絡(luò)中信息的安全性進(jìn)行及時(shí)監(jiān)察。與此同時(shí)，還可以進(jìn)行多角度監(jiān)察。從審計(jì)方面來(lái)說(shuō)，不同網(wǎng)絡(luò)環(huán)境下的日志保存不僅要滿足信息安全管理?xiàng)l例規(guī)定，還要依法對(duì)日志進(jìn)行審計(jì)，確保其規(guī)范性。另外，要對(duì)日志進(jìn)行全方位的思考，盡可能地發(fā)現(xiàn)日志的潛在價(jià)值，發(fā)揮其作用。

3.5 預(yù)測(cè)短期網(wǎng)絡(luò)安全態(tài)勢(shì)

通過(guò)智能威脅防御技術(shù)、隱形秘密通道的發(fā)現(xiàn)等功能支持，完成安全態(tài)勢(shì)剖析。依靠態(tài)勢(shì)剖析的數(shù)據(jù)信息或圖像展示，幫助客戶更加輕松地認(rèn)識(shí)目前信息系統(tǒng)全局的安全情況以及更準(zhǔn)確地預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)。

4 水利信息安全態(tài)勢(shì)感知可視化

依據(jù)信息安全態(tài)勢(shì)感知系統(tǒng)的結(jié)構(gòu)來(lái)創(chuàng)建水利信息態(tài)勢(shì)感知平臺(tái)，對(duì)水利行業(yè)存在的信息安全問(wèn)題進(jìn)行可視化、多角度的展現(xiàn)。態(tài)勢(shì)感知平臺(tái)是以三維地理空間為基礎(chǔ)，對(duì)分散在不同地方的水利網(wǎng)節(jié)點(diǎn)和核心設(shè)備的所有信息進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)察與控制。

水利信息態(tài)勢(shì)感知系統(tǒng)擁有非常強(qiáng)大的外界監(jiān)測(cè)分析和風(fēng)險(xiǎn)預(yù)警能力，對(duì)網(wǎng)絡(luò)內(nèi)的各個(gè)節(jié)點(diǎn)進(jìn)行及時(shí)監(jiān)測(cè)，掌握節(jié)點(diǎn)上數(shù)據(jù)，并將掌握到的危險(xiǎn)信息以幾種不同的圖像展現(xiàn)出來(lái)。對(duì)于對(duì)信息造成一定影響的危險(xiǎn)信息及時(shí)給出警示，確保網(wǎng)絡(luò)安全管理人員可以隨時(shí)掌控信息安全情況。具備持續(xù)性攻擊檢測(cè)技術(shù)的態(tài)勢(shì)感知系統(tǒng)可以追溯到攻擊源頭，描繪出攻擊途徑，確定攻擊點(diǎn)。同時(shí)，將危險(xiǎn)信息和目標(biāo)信息與地理信息技術(shù)相結(jié)合，即將虛擬的網(wǎng)絡(luò)攻擊與實(shí)際物體相聯(lián)系，完成網(wǎng)絡(luò)攻擊的地理可視化。

5 結(jié)語(yǔ)

本文簡(jiǎn)單地說(shuō)明了水利安全網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)的安全要求及模型，通過(guò)水利信息安全態(tài)勢(shì)感知系統(tǒng)的結(jié)構(gòu)來(lái)創(chuàng)建水利信息態(tài)勢(shì)感知平臺(tái)，對(duì)水利信息網(wǎng)絡(luò)安全態(tài)勢(shì)實(shí)行全面監(jiān)管，并將其以可視化的形式展現(xiàn)出來(lái)。在信息安全技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步與完善下，水利信息安全態(tài)勢(shì)感知平臺(tái)一定會(huì)為水利領(lǐng)域的信息安全做出巨大貢獻(xiàn)。同時(shí)，水利網(wǎng)絡(luò)與信息安全工作是水利信息化發(fā)展過(guò)程中非常關(guān)鍵的一步，預(yù)防與保護(hù)體系的創(chuàng)建將更好地提升水利網(wǎng)絡(luò)與信息安全系統(tǒng)中的安全保障和防護(hù)工作。除此之外，還應(yīng)根據(jù)工作中可能會(huì)出現(xiàn)的不同情況，提升和完善水利網(wǎng)絡(luò)與信息安全預(yù)防和保護(hù)體系，推動(dòng)水利信息化向更加安全、穩(wěn)定的方向發(fā)展。