周榮娟，李 偉，李曉花

（63610 部隊(duì)，新疆 庫(kù)爾勒 841001）

0 引 言

隨著網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的不斷建設(shè)，大量安防設(shè)備在使用過(guò)程中產(chǎn)生的海量安全日志告警，缺少有效地告警歸并措施，給運(yùn)維人員造成了較大困擾，在安全事件風(fēng)險(xiǎn)分析和應(yīng)急響應(yīng)方面也無(wú)法形成協(xié)同效益。建立一個(gè)對(duì)各類安全態(tài)勢(shì)信息進(jìn)行統(tǒng)計(jì)分析和多形式的可視化呈現(xiàn)，可基于各類態(tài)勢(shì)信息評(píng)估全系統(tǒng)、區(qū)域、設(shè)備等的安全威脅等級(jí)，對(duì)網(wǎng)絡(luò)攻擊、威脅重點(diǎn)區(qū)域、威脅發(fā)展趨勢(shì)等進(jìn)行預(yù)警的安全態(tài)勢(shì)感知系統(tǒng)，以便網(wǎng)絡(luò)運(yùn)維管理人員隨時(shí)掌握全網(wǎng)安全態(tài)勢(shì)，為運(yùn)維人員決策提供支撐，具有十分重要的意義。

1 國(guó)內(nèi)外研究現(xiàn)狀趨勢(shì)及必要性分析

1.1 國(guó)內(nèi)外研究現(xiàn)狀及趨勢(shì)

現(xiàn)代意義上的態(tài)勢(shì)感知（Situation Awareness，SA）研究也來(lái)自于戰(zhàn)爭(zhēng)的需要，其在二戰(zhàn)后美國(guó)空軍對(duì)提升飛行員空戰(zhàn)能力的人因（Human Factor）工程學(xué)研究過(guò)程中被提出來(lái)，是為提升空戰(zhàn)能力、分析空戰(zhàn)環(huán)境信息、快速判斷當(dāng)前及未來(lái)形勢(shì)，以做出正確反應(yīng)而進(jìn)行的研究探索，至今仍是軍事科學(xué)領(lǐng)域的重要研究課題[1]。

Mica R.Endsley 對(duì)態(tài)勢(shì)感知的經(jīng)典定義：“在一定時(shí)間和空間內(nèi)觀察環(huán)境中的元素，理解這些元素的意義并預(yù)測(cè)這些元素在不久將來(lái)的狀態(tài)”。20 世紀(jì)90 年代，態(tài)勢(shì)感知的概念開(kāi)始逐漸被接受，并隨著網(wǎng)絡(luò)的興起升級(jí)為網(wǎng)絡(luò)態(tài)勢(shì)感 知（Cyberspace Situation Awareness，CSA），具體指在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)變化的安全要素進(jìn)行獲取、理解、顯示及發(fā)展趨勢(shì)的順延性預(yù)測(cè)，而最終的目的是要進(jìn)行網(wǎng)絡(luò)空間防御決策與行動(dòng)[2]。

隨著網(wǎng)絡(luò)安全重要性的凸顯，態(tài)勢(shì)感知開(kāi)始在網(wǎng)絡(luò)安全領(lǐng)域嶄露頭角。2009 年，美國(guó)白宮在公布的網(wǎng)絡(luò)空間安全戰(zhàn)略文件中明確提出，要構(gòu)建態(tài)勢(shì)感知能力和職責(zé)的國(guó)家級(jí)網(wǎng)絡(luò)安全中心或機(jī)構(gòu)，包含國(guó)家網(wǎng)絡(luò)安全中心（NCSC）、情報(bào)部門(mén)、司法與反間諜部門(mén)、美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組（US-CERT）、網(wǎng)絡(luò)作戰(zhàn)部門(mén)的網(wǎng)絡(luò)安全中心（Cybersecurity Center）等，覆蓋國(guó)家安全、情報(bào)、司法、公私合作等各個(gè)領(lǐng)域[3]。

互聯(lián)網(wǎng)連接各行各業(yè)，網(wǎng)絡(luò)安全牽一發(fā)而動(dòng)全身，日益成為我國(guó)非傳統(tǒng)領(lǐng)域的重中之重。維護(hù)網(wǎng)絡(luò)安全迫在眉睫、刻不容緩，網(wǎng)絡(luò)安全態(tài)勢(shì)感知便是國(guó)家提高整體網(wǎng)絡(luò)安全保障能力的重要措施。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十一條規(guī)定，國(guó)家建立網(wǎng)絡(luò)安全檢測(cè)預(yù)警和信息通報(bào)制度。國(guó)家網(wǎng)信部門(mén)應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)加強(qiáng)網(wǎng)絡(luò)信息安全收集、分析和通報(bào)工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全檢測(cè)預(yù)警信息[4]。這是從國(guó)家層面要建立安全態(tài)勢(shì)感知與信息通報(bào)制度。

2016 年4 月19 日，習(xí)近平總書(shū)記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上講到：“要梳理正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。”同時(shí)指出，“知己知彼，才能百戰(zhàn)不殆。感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基本最基礎(chǔ)的工作。要全面加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改。要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制、情報(bào)共享機(jī)制、研判處置機(jī)制，準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向、趨勢(shì)。”[5]“十三五”國(guó)家信息化規(guī)劃也提出要全天候、全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，加強(qiáng)相關(guān)能力的建設(shè)。

2017 年5 月爆發(fā)“永恒之藍(lán)”勒索蠕蟲(chóng)攻擊事件，360 勒索蠕蟲(chóng)專項(xiàng)態(tài)勢(shì)感知系統(tǒng)抗擊勒索蠕蟲(chóng)72 小時(shí)，實(shí)時(shí)掌握蠕蟲(chóng)傳播態(tài)勢(shì)，并及時(shí)實(shí)施處置策略和相關(guān)措施，抑制“永恒之藍(lán)”的大面積爆發(fā)。

在黨的十九大網(wǎng)絡(luò)安全保衛(wèi)項(xiàng)目中，公安機(jī)關(guān)利用態(tài)勢(shì)感知系統(tǒng)實(shí)時(shí)掌握安全風(fēng)向，與重保單位進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)安全信息通報(bào)，實(shí)時(shí)處置和響應(yīng)突發(fā)事件，保障會(huì)議期間的安全。

2020 年國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)等12 個(gè)部門(mén)聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》[6]。

1.2 必要性分析

一是業(yè)務(wù)承載網(wǎng)信息鉸鏈關(guān)系復(fù)雜，需確保各子網(wǎng)之間實(shí)現(xiàn)數(shù)據(jù)跨網(wǎng)跨域安全交換；二是航天發(fā)射測(cè)控系統(tǒng)長(zhǎng)期與不受控的國(guó)際測(cè)控系統(tǒng)、國(guó)外站互聯(lián)，易受到來(lái)自境外的網(wǎng)絡(luò)滲透、攻擊和破壞，需確保對(duì)外受控互聯(lián)；三是大量采用非自主可控產(chǎn)品和技術(shù)，信息系統(tǒng)存在安全隱患，需加大國(guó)產(chǎn)自主化要求和應(yīng)對(duì)未知網(wǎng)絡(luò)入侵的能力；四是業(yè)務(wù)承載網(wǎng)面臨計(jì)算機(jī)系統(tǒng)信息泄露和病毒傳播內(nèi)部安全威脅，需加強(qiáng)應(yīng)對(duì)內(nèi)部威脅的有效措施。

基于以上四點(diǎn)，系統(tǒng)從頂層進(jìn)行安全防護(hù)的統(tǒng)籌規(guī)劃、集中統(tǒng)管、有機(jī)結(jié)合，進(jìn)行整體的安全防護(hù)體系聯(lián)動(dòng)，著眼于當(dāng)前業(yè)務(wù)承載網(wǎng)安全建設(shè)，立足于現(xiàn)有配備的安全設(shè)備，通過(guò)對(duì)各網(wǎng)絡(luò)安全情況匯集整編和態(tài)勢(shì)融合展現(xiàn)功能，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間態(tài)勢(shì)常態(tài)化監(jiān)控，幫助網(wǎng)絡(luò)運(yùn)維人員隨時(shí)掌握網(wǎng)絡(luò)空間情況，以提升整體安全防護(hù)能力。

2 系統(tǒng)設(shè)計(jì)

在系統(tǒng)架構(gòu)設(shè)計(jì)上，系統(tǒng)按照安全數(shù)據(jù)接入?yún)R聚、安全數(shù)據(jù)處理分析和安全態(tài)勢(shì)呈現(xiàn)三個(gè)層次的總體架構(gòu)設(shè)計(jì)，通過(guò)鏡像流量、syslog以及安管GCB010-2015 標(biāo)準(zhǔn)接口進(jìn)行安全數(shù)據(jù)采集，利用大數(shù)據(jù)技術(shù)進(jìn)行數(shù)據(jù)預(yù)處理和存儲(chǔ)，結(jié)合互聯(lián)網(wǎng)威脅情報(bào)大數(shù)據(jù)進(jìn)行智能分析以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)威脅，對(duì)分析結(jié)果進(jìn)行態(tài)勢(shì)呈現(xiàn)，同時(shí)自動(dòng)化或結(jié)合安全運(yùn)維人員進(jìn)行安全事件處置，形成安全事件的監(jiān)測(cè)、分析、預(yù)警、呈現(xiàn)、處置的完整流程。各層級(jí)以及模塊之間的功能設(shè)計(jì)具有相對(duì)的獨(dú)立性，采用行業(yè)通用接口和軍隊(duì)標(biāo)準(zhǔn)接口進(jìn)行信息交互，從而使得系統(tǒng)整體具有較高的擴(kuò)展性。同時(shí)，依托業(yè)務(wù)承載網(wǎng)自身的物理安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等多維度安全措施實(shí)現(xiàn)業(yè)務(wù)承載網(wǎng)的安全保障。提早發(fā)現(xiàn)關(guān)鍵威脅、持續(xù)感知網(wǎng)絡(luò)安全態(tài)勢(shì)、預(yù)警網(wǎng)絡(luò)安全事件，同時(shí)支撐網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作。系統(tǒng)總體架構(gòu)設(shè)計(jì)如圖1 所示。

圖1 系統(tǒng)架構(gòu)設(shè)計(jì)

2.1 安全數(shù)據(jù)接入?yún)R聚

安全數(shù)據(jù)接入?yún)R聚是整個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的系統(tǒng)輸入，是網(wǎng)絡(luò)安全數(shù)據(jù)分析和態(tài)勢(shì)感知呈現(xiàn)的前提和基礎(chǔ)，安全數(shù)據(jù)匯聚接入層通過(guò)流量采集器、日志采集器、資產(chǎn)探測(cè)器等設(shè)備進(jìn)行數(shù)據(jù)采集。數(shù)據(jù)采集按照統(tǒng)一規(guī)劃和統(tǒng)一標(biāo)準(zhǔn)獲取業(yè)務(wù)承載網(wǎng)的關(guān)鍵網(wǎng)絡(luò)流量、各設(shè)備的日志和告警信息、資產(chǎn)數(shù)據(jù)，確保系統(tǒng)輸入的安全數(shù)據(jù)全面、充分、詳實(shí)、準(zhǔn)確，為安全分析和掌握整體安全態(tài)勢(shì)打下基礎(chǔ)。數(shù)據(jù)采集框架如圖2 所示。

圖2 安全數(shù)據(jù)匯聚接入

流量采集器以網(wǎng)絡(luò)旁路的形式部署各節(jié)點(diǎn)核心交換機(jī)處，對(duì)關(guān)鍵網(wǎng)絡(luò)鏡像流量采集后進(jìn)行流量還原和分析，生成流量日志和流量告警信息。其中流量日志主要記錄數(shù)據(jù)包的時(shí)間、IP 地址、端口、協(xié)議信息等；流量告警是流量數(shù)據(jù)還原后與病毒庫(kù)、特征庫(kù)等進(jìn)行比對(duì)，分析威脅形成告警信息。通過(guò)對(duì)網(wǎng)絡(luò)元數(shù)據(jù)、網(wǎng)絡(luò)傳輸數(shù)據(jù)、載荷行為數(shù)據(jù)等信息的全要素、細(xì)粒度記錄，提升對(duì)定向攻擊、高級(jí)威脅的發(fā)現(xiàn)和溯源能力，從而達(dá)到對(duì)潛在威脅、未知威脅的持續(xù)檢測(cè)效果。

日志采集器進(jìn)行日志、告警信息的采集。日志信息采集對(duì)終端主機(jī)（終端防護(hù)軟件）、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備、漏洞掃描設(shè)備等進(jìn)行日志和告警信息采集，具體包括業(yè)務(wù)服務(wù)器、業(yè)務(wù)終端、路由器、交換機(jī)、防火墻、流量探針、網(wǎng)絡(luò)隔離設(shè)備、安全管理系統(tǒng)、漏洞掃描設(shè)備等。終端主機(jī)的數(shù)據(jù)采集通過(guò)終端安全管控軟件、殺毒軟件等終端現(xiàn)有客戶端軟件，從業(yè)務(wù)網(wǎng)中的計(jì)算機(jī)及各類終端資產(chǎn)中采集各類安全數(shù)據(jù)，采集終端產(chǎn)生的所有全量數(shù)據(jù)，包括違規(guī)日志數(shù)據(jù)、補(bǔ)丁信息數(shù)據(jù)、終端中毒情況、終端日志數(shù)據(jù)等；網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)采集主要采集日志信息和狀態(tài)信息等；安全防護(hù)設(shè)備的數(shù)據(jù)采集主要采集接入策略日志、報(bào)警日志、操作日志和狀態(tài)信息等；漏洞掃描設(shè)備的數(shù)據(jù)采集主要采集漏洞信息。

資產(chǎn)探測(cè)器采用主動(dòng)探測(cè)方式對(duì)網(wǎng)絡(luò)內(nèi)的所有終端、網(wǎng)絡(luò)和安全防護(hù)設(shè)備進(jìn)行周期性掃描探測(cè)和識(shí)別，獲取資產(chǎn)的類型、IP 地址、操作系統(tǒng)、軟件版本、協(xié)議、服務(wù)、開(kāi)放的端口等信息，信息通過(guò)API 調(diào)用方式上報(bào)至安全數(shù)據(jù)總線。

2.2 安全數(shù)據(jù)處理分析

安全數(shù)據(jù)處理分析是安全態(tài)勢(shì)準(zhǔn)確感知呈現(xiàn)的重要保證，系統(tǒng)在安全體系的保障及標(biāo)準(zhǔn)體系的指導(dǎo)下，通過(guò)建設(shè)數(shù)據(jù)接入、數(shù)據(jù)處理、數(shù)據(jù)組織、數(shù)據(jù)分析、數(shù)據(jù)治理和信息共享服務(wù)，全方位打造“采集”“融合”“服務(wù)”于一體的大數(shù)據(jù)處理分析。數(shù)據(jù)分析處理邏輯架構(gòu)如圖3 所示。

圖3 數(shù)據(jù)分析處理邏輯架構(gòu)

數(shù)據(jù)接入部分負(fù)責(zé)多元異構(gòu)數(shù)據(jù)的高效、靈活接入與分發(fā)。

數(shù)據(jù)處理利用數(shù)據(jù)治理的成果以及知識(shí)庫(kù)中的模型、規(guī)則等知識(shí)，完成數(shù)據(jù)組織中原始庫(kù)、資源庫(kù)、主題庫(kù)、業(yè)務(wù)庫(kù)等的構(gòu)造，產(chǎn)生數(shù)據(jù)關(guān)聯(lián)信息，實(shí)現(xiàn)數(shù)據(jù)融合，提升數(shù)據(jù)價(jià)值。

數(shù)據(jù)治理通過(guò)管理數(shù)據(jù)資源目錄、元數(shù)據(jù)、分級(jí)分類、血緣關(guān)系等信息，定義數(shù)據(jù)匯聚于融合后的期望效果，規(guī)范數(shù)據(jù)組織形式，對(duì)數(shù)據(jù)質(zhì)量進(jìn)行管控，通過(guò)運(yùn)維手段確保數(shù)據(jù)全生命周期的運(yùn)行。

表1 數(shù)據(jù)組織類別

數(shù)據(jù)組織規(guī)范了數(shù)據(jù)價(jià)值逐步提升過(guò)程中數(shù)據(jù)的組織、展示形態(tài)。數(shù)據(jù)組織類別如表1所示。原始庫(kù)是對(duì)所有不同來(lái)源的數(shù)據(jù)按原格式進(jìn)行存儲(chǔ)，支持所有數(shù)據(jù)類型，因此原始庫(kù)的數(shù)據(jù)組織方式與接入時(shí)的數(shù)據(jù)組織方式直接一一對(duì)應(yīng)，不對(duì)數(shù)據(jù)做任何處理，所有原始日志信息和原始告警信息分別存于原始日志庫(kù)和原始告警庫(kù)，用于后期攻擊威脅的追蹤溯源；資源庫(kù)對(duì)原始庫(kù)里的數(shù)據(jù)按照一定的規(guī)則進(jìn)行過(guò)濾、清洗、標(biāo)準(zhǔn)化，并按業(yè)務(wù)使用規(guī)則或?qū)傩砸?guī)則等進(jìn)行整合加工與匯總，為整個(gè)平臺(tái)提供基礎(chǔ)數(shù)據(jù)資源支撐的數(shù)據(jù)集合；主題庫(kù)是在資源庫(kù)的基礎(chǔ)之上進(jìn)行抽象，依據(jù)本體邏輯建模（LDM）方法，構(gòu)建了相關(guān)領(lǐng)域的實(shí)體及關(guān)系；知識(shí)庫(kù)是指網(wǎng)絡(luò)安全領(lǐng)域或與網(wǎng)絡(luò)安全專業(yè)領(lǐng)域相關(guān)的特征知識(shí)數(shù)據(jù)和規(guī)則方法集合，包括一些全領(lǐng)域共享的特定知識(shí)性數(shù)據(jù)集合，知識(shí)庫(kù)的數(shù)據(jù)來(lái)源比較廣，既有從現(xiàn)有各業(yè)務(wù)系統(tǒng)中提煉的相關(guān)知識(shí)類信息，也有在數(shù)據(jù)處理過(guò)程的不同階段累積的知識(shí)類數(shù)據(jù)，同時(shí)這些數(shù)據(jù)又對(duì)進(jìn)入平臺(tái)的各類業(yè)務(wù)數(shù)據(jù)的匯聚融合、分析挖掘、價(jià)值提升等提供了指導(dǎo)性的規(guī)則。

數(shù)據(jù)分析通過(guò)使用資源庫(kù)、主題庫(kù)、業(yè)務(wù)庫(kù)的數(shù)據(jù)，結(jié)合已有知識(shí)庫(kù)信息，通過(guò)分析、挖掘手段構(gòu)建分析模型，完成知識(shí)庫(kù)的更新積累，為數(shù)據(jù)處理及數(shù)據(jù)服務(wù)提供智能化支撐。

數(shù)據(jù)服務(wù)給上層應(yīng)用提供透明、一致、靈活的數(shù)據(jù)服務(wù)。

2.3 安全態(tài)勢(shì)呈現(xiàn)

以往的安防系統(tǒng)建設(shè)往往呈現(xiàn)一種“煙囪林立”的狀態(tài)，大量的安防設(shè)備在功能上重疊，數(shù)據(jù)卻無(wú)交互，產(chǎn)生的海量告警信息、安全日志信息需要耗費(fèi)大量時(shí)間和精力去判別維護(hù)。本系統(tǒng)以安全大數(shù)據(jù)、業(yè)務(wù)建模、機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)手段為支撐，通過(guò)改造、集成業(yè)務(wù)承載網(wǎng)內(nèi)各類安全基礎(chǔ)設(shè)施，通過(guò)采集網(wǎng)絡(luò)流量，安全日志、安全告警、威脅情報(bào)等安全數(shù)據(jù)，利用數(shù)據(jù)分析和機(jī)器學(xué)習(xí)技術(shù)，分析網(wǎng)絡(luò)行為及用戶行為等因素，對(duì)網(wǎng)絡(luò)當(dāng)天狀態(tài)和發(fā)展趨勢(shì)進(jìn)行分析和預(yù)測(cè)，將采集和處理分析的數(shù)據(jù)結(jié)果，依托態(tài)勢(shì)感知系統(tǒng)軟件，運(yùn)用可視化技術(shù)將其轉(zhuǎn)化為易于理解的曲線圖表形式呈現(xiàn)，實(shí)現(xiàn)安全事件、攻擊路徑、地域可視化，降低運(yùn)維難度。

3 系統(tǒng)實(shí)現(xiàn)和測(cè)試

完成設(shè)備安裝部署后，進(jìn)行系統(tǒng)調(diào)試測(cè)試，對(duì)設(shè)備參數(shù)配置、功能和性能進(jìn)行檢查，錄入部分各類參試硬件設(shè)備參數(shù)測(cè)試，測(cè)試資產(chǎn)管理模塊功能。測(cè)試表明，資產(chǎn)管理支持按單位、站點(diǎn)管理，支持手動(dòng)及自動(dòng)發(fā)現(xiàn)軟硬件資產(chǎn)；支持對(duì)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等設(shè)備的識(shí)別，具體包括交換機(jī)、路由器、防火墻、Windows 服務(wù)器、Linux 服務(wù)器、SQL Server、Oracle、DB2、MySQL 等；支持對(duì)網(wǎng)絡(luò)中設(shè)備數(shù)量和類型的分類統(tǒng)計(jì)；支持對(duì)內(nèi)網(wǎng)操作系統(tǒng)的識(shí)別，能夠準(zhǔn)確獲取操作系統(tǒng)具體版本；支持對(duì)操作系統(tǒng)和版本的手動(dòng)修正；支持對(duì)內(nèi)網(wǎng)設(shè)備類型、開(kāi)放端口、開(kāi)放服務(wù)等多種屬性識(shí)別，能感知網(wǎng)絡(luò)內(nèi)設(shè)備的變更事件，記錄設(shè)備類型、操作系統(tǒng)、交換機(jī)IP、交換機(jī)端口變更等詳細(xì)信息；能夠感知網(wǎng)絡(luò)設(shè)備屬性，對(duì)網(wǎng)絡(luò)設(shè)備狀態(tài)、網(wǎng)絡(luò)性能、CPU 利用率、內(nèi)存利用率等監(jiān)控，設(shè)備面板管理，可以對(duì)重點(diǎn)端口進(jìn)行流量監(jiān)控并且配置告警閾值；通過(guò)掃描引擎能夠?qū)σ阎拔粗馁Y產(chǎn)信息進(jìn)行有效補(bǔ)充，擴(kuò)大監(jiān)管范圍，破除監(jiān)管盲點(diǎn)。資產(chǎn)管理模塊的硬件資產(chǎn)統(tǒng)計(jì)如圖4 所示。

圖4 資產(chǎn)統(tǒng)計(jì)

用戶和角色管理部分，支持對(duì)系統(tǒng)用戶所屬組織機(jī)構(gòu)進(jìn)行管理，角色管理支持對(duì)系統(tǒng)角色的添加、修改刪除、查看等操作，綁定登錄用戶信息和用戶組信息，構(gòu)成整個(gè)平臺(tái)的數(shù)據(jù)權(quán)限體系，系統(tǒng)可以靈活自定義根據(jù)需求預(yù)置相應(yīng)的角色。系統(tǒng)管理員給各站建立一個(gè)可以查看對(duì)應(yīng)各單位設(shè)備、網(wǎng)絡(luò)安全態(tài)勢(shì)信息的用戶，各站可自行查詢本單位的網(wǎng)絡(luò)安全態(tài)勢(shì)，將各站通信崗位人員納入安全運(yùn)維行列，節(jié)省中心網(wǎng)管人員時(shí)間精力，擴(kuò)大了全單位安全運(yùn)維隊(duì)伍，從人員的角度提升整體安全運(yùn)維能力。

安全態(tài)勢(shì)感知實(shí)現(xiàn)對(duì)安全態(tài)勢(shì)進(jìn)行評(píng)估和多維度呈現(xiàn)。網(wǎng)絡(luò)數(shù)據(jù)流量采集后，通過(guò)惡意代碼分析、異常流量分析、威脅分析等技術(shù)進(jìn)行攻擊行為分析，以此來(lái)評(píng)估當(dāng)前網(wǎng)絡(luò)的整體安全態(tài)勢(shì)，以使用單位為視角，對(duì)本單位監(jiān)管范圍下的單位安全狀態(tài)進(jìn)行監(jiān)測(cè)，并且根據(jù)系統(tǒng)內(nèi)置的風(fēng)險(xiǎn)評(píng)估算法給出當(dāng)前被監(jiān)管單位整體分級(jí)的安全評(píng)估?；谕{發(fā)現(xiàn)和風(fēng)險(xiǎn)分析的結(jié)果，對(duì)攻擊者進(jìn)行信息獲取和深度分析，同時(shí)對(duì)安全事件、風(fēng)險(xiǎn)評(píng)估、資產(chǎn)信息、漏洞信息進(jìn)行綜合分析，形成攻擊鏈和攻擊者畫(huà)像等信息，從全網(wǎng)和各單位角度對(duì)多種信息進(jìn)行整合呈現(xiàn)，實(shí)現(xiàn)安全態(tài)勢(shì)的監(jiān)測(cè)和展示，包括全網(wǎng)的綜合安全態(tài)勢(shì)、區(qū)域安全態(tài)勢(shì)、資產(chǎn)態(tài)勢(shì)和攻擊態(tài)勢(shì)等。

綜合態(tài)勢(shì)呈現(xiàn)，可根據(jù)需要定制顯示攻擊事件類型、攻擊源、受影響單位、安全事件同比環(huán)比分析、安全事件等級(jí)分布、安全事件實(shí)時(shí)監(jiān)測(cè)、安全事件趨勢(shì)分析等模塊可視化呈現(xiàn)當(dāng)前綜合安全態(tài)勢(shì)，實(shí)時(shí)展示各個(gè)維度的安全威脅同比變化比例，便于迅速及時(shí)掌握整個(gè)網(wǎng)絡(luò)空間安全現(xiàn)狀。綜合態(tài)勢(shì)大屏顯示如圖5 所示。

圖5 綜合態(tài)勢(shì)大屏

攻擊態(tài)勢(shì)主要是針對(duì)全網(wǎng)遭受攻擊狀況的可視化呈現(xiàn)。通過(guò)攻擊態(tài)勢(shì)頁(yè)面，可以直觀了解到所有監(jiān)控資源的脆弱性分布，遭受攻擊的情況以及最終受損的情況，實(shí)時(shí)感知當(dāng)前發(fā)生的各種攻擊事件和資產(chǎn)威脅情況，展現(xiàn)攻擊者攻擊方式、攻擊來(lái)源及目的地址、攻擊頻次等信息，以3D 地球的方式進(jìn)行實(shí)時(shí)攻擊展示，便于直觀了解攻擊源和攻擊目的關(guān)系和屬地關(guān)系，通過(guò)溯源挖掘分析這些事件產(chǎn)生的原因，掌握黑客攻擊路徑，提供處置建議和流程，提高運(yùn)維質(zhì)量和效率。攻擊態(tài)勢(shì)顯示如圖6 所示。

圖6 攻擊態(tài)勢(shì)

日志檢索模塊，記錄安全設(shè)備全部原始日志數(shù)據(jù)信息，可以更靈活調(diào)取各個(gè)時(shí)間段數(shù)據(jù)，并按需求自定義安全報(bào)表，定制記錄表單，滿足規(guī)范要求和安全檢查需求。

安全監(jiān)測(cè)模塊，根據(jù)事件類型、發(fā)生時(shí)間、次數(shù)展示近期的安全事件，包含威脅源、受影響資源、受影響資源所屬單位、站點(diǎn)信息，方便攻擊溯源，追查問(wèn)題。

通報(bào)預(yù)警模塊，能對(duì)預(yù)警信息進(jìn)行匯總、分析、研判，并及時(shí)將情況上報(bào)、通報(bào)、下達(dá)，采用特定對(duì)象安全評(píng)估通報(bào)、定期綜合通報(bào)、突發(fā)事件通報(bào)、專項(xiàng)通報(bào)等方式進(jìn)行通報(bào)。事件分析展示安全事件相關(guān)單位、責(zé)任部門(mén)、域名IP、事件類型等信息，可及時(shí)發(fā)布通告預(yù)警督促相關(guān)單位進(jìn)行整改和治理，權(quán)責(zé)清晰，形成監(jiān)管閉環(huán)。如圖7 所示為某單位某IP 對(duì)應(yīng)的通報(bào)預(yù)警統(tǒng)計(jì)。

圖7 通報(bào)預(yù)警

驗(yàn)證測(cè)試表明，業(yè)務(wù)承載網(wǎng)安全態(tài)勢(shì)感知系統(tǒng)對(duì)原有網(wǎng)絡(luò)及運(yùn)行在此網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)無(wú)影響。通過(guò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)，實(shí)現(xiàn)了在保障網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，運(yùn)用大數(shù)據(jù)技術(shù)提升安全威脅發(fā)現(xiàn)能力，運(yùn)用威脅情報(bào)提升攻擊檢測(cè)與追蹤溯源能力，運(yùn)用可視化技術(shù)提升安全態(tài)勢(shì)呈現(xiàn)能力，運(yùn)用安全數(shù)據(jù)聯(lián)動(dòng)提升主動(dòng)防御能力，運(yùn)用智能化技術(shù)提升安全檢測(cè)評(píng)估能力，多維度全流程掌握業(yè)務(wù)承載網(wǎng)安全態(tài)勢(shì)，構(gòu)建網(wǎng)絡(luò)安全監(jiān)控常態(tài)化、重點(diǎn)單位監(jiān)測(cè)持續(xù)化、網(wǎng)絡(luò)資源監(jiān)管全面化、預(yù)警響應(yīng)機(jī)制高效化的網(wǎng)絡(luò)安全監(jiān)管體系，有效提升了整個(gè)系統(tǒng)的安全強(qiáng)度。

4 結(jié) 語(yǔ)

習(xí)近平總書(shū)記指出，維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)。正所謂“聰者聽(tīng)于無(wú)聲，明者見(jiàn)于未形”。感知網(wǎng)絡(luò)態(tài)勢(shì)是最基本最基礎(chǔ)的工作。

結(jié)合業(yè)務(wù)承載的安全實(shí)際需求，建設(shè)集攻擊威脅發(fā)現(xiàn)、位置威脅預(yù)警、應(yīng)急響應(yīng)處置、安全態(tài)勢(shì)監(jiān)測(cè)為一體的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，提升業(yè)務(wù)承載網(wǎng)的網(wǎng)絡(luò)安全監(jiān)測(cè)、感知和防御能力，確保業(yè)務(wù)承載網(wǎng)安全態(tài)勢(shì)可知、可控、可管，推動(dòng)大數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)安全體系防御能力全面躍升。