賈克 王立海 劉迪

摘要：2019年7月水利部印發(fā)了《加快推進智慧水利的指導意見和智慧水利總體方案》，提出到2021年基本建成水利網(wǎng)絡安全防護體系，到2025年全面形成水利網(wǎng)絡安全防護體系的具體目標。對照目標，長江水文急需補齊安全態(tài)勢感知的短板。結合網(wǎng)絡安全存在的問題，探討了長江水文網(wǎng)絡安全態(tài)勢感知系統(tǒng)建設目標，以及如何構建網(wǎng)絡安全態(tài)勢感知系統(tǒng)，闡述了系統(tǒng)建設的關鍵技術和推進的工作策略，為下一步系統(tǒng)建設奠定了基礎。

關鍵詞：態(tài)勢感知系統(tǒng);網(wǎng)絡安全;監(jiān)測預警;長江水文

中圖法分類號：TP393.08文獻標志碼：ADOI：10.15974/j.cnki.slsdkb.2021.03.014

文章編號：1006 - 0081（2021）03 - 0079- 06

網(wǎng)絡安全作為一項系統(tǒng)性工程，是信息化建設與運維的一項非?；A而關鍵的工作，是信息系統(tǒng)安全穩(wěn)定運行的重要保障。在中央網(wǎng)絡安全和信息化領導小組第一次會議上，習近平總書記強調(diào)，網(wǎng)絡安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、部署、推進和實施，做到協(xié)調(diào)一致、齊頭并進，以安全保發(fā)展、以發(fā)展促安全。

2019年7月水利部正式印發(fā)《加快推進智慧水利的指導意見和智慧水利總體方案》（以下簡稱《意見和方案》）。智慧水利旨在應用云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)網(wǎng)和人工智能等新一代信息技術，實現(xiàn)對水利對象及活動的透徹感知、全面互聯(lián)、智能應用與泛在服務，從而促進水治理體系和治理能力現(xiàn)代化建設。《意見和方案》提出了建設基礎大平臺、水利大數(shù)據(jù)、應用大系統(tǒng)及網(wǎng)絡大安全的總體目標，要求建立多層級、一體化、主動感知、自動防御的網(wǎng)絡大安全，具體到2021年，基本建成水利網(wǎng)絡安全防護體系，到2025年全面形成水利網(wǎng)絡安全防護體系?！兑庖姾头桨浮穼⑺W(wǎng)絡安全防護體系分為技術、管理及運營3個部分，全面概括了網(wǎng)絡安全的總體框架[1]。

通過多年的建設，特別是在“水文三年信息化提升工程”的帶動下，長江水文網(wǎng)絡安全保障能力有所提高，但是跟《意見和方案》確定的目標仍然存在差距。主要不足為：缺少規(guī)劃引領、縱深防御能力不足、預警能力弱、安全管理及運營缺乏系統(tǒng)性等，網(wǎng)絡安全態(tài)勢感知處于空白，無法發(fā)現(xiàn)潛在威脅，距離全網(wǎng)安全態(tài)勢感知還存在很大的差距。

態(tài)勢感知最早來源于美國軍方在軍事對抗中的研究。在軍事術語中，態(tài)勢感知的目的是使指揮官了解雙方的情況，包括敵我的所在位置、當前狀態(tài)和作戰(zhàn)能力，以便能做出快速而正確的決策，達到知己制彼、百戰(zhàn)不殆的目的[2]。由于網(wǎng)絡空間的威脅與對抗，跟傳統(tǒng)軍事對抗有著極高的相似度，所以一些研究人員把態(tài)勢感知引入到網(wǎng)絡安全領域。傳統(tǒng)的脆弱性檢測、入侵檢測、惡意代碼檢測等從不同的技術視角發(fā)現(xiàn)網(wǎng)絡中可能存在的安全威脅，但缺乏全局性、宏觀性，需要網(wǎng)絡安全管理人員大量的人工分析和干預，導致整個安全運維效率低下。

近年來，網(wǎng)絡安全態(tài)勢感知系統(tǒng)逐步成熟，作為一種新型的網(wǎng)絡安全監(jiān)測預警手段，能較好地識別出網(wǎng)絡內(nèi)的各類網(wǎng)絡活動，以及可能存在的網(wǎng)絡威脅，并發(fā)出預警，供網(wǎng)絡安全管理人員分析研判。

1 安全態(tài)勢感知系統(tǒng)建設目標

智慧水利網(wǎng)絡安全體系涵蓋了安全管理、安全技術、安全運營三大部分，其中安全技術部分又包括縱深防御、監(jiān)測預警、應急響應3個層面的建設內(nèi)容，總體架構如圖1所示。

從完整性考慮，本文引用智慧水利網(wǎng)絡安全體系總體框架，但僅將“網(wǎng)絡安全態(tài)勢感知系統(tǒng)”作為重點討論對象。網(wǎng)絡安全態(tài)勢感知系統(tǒng)作為監(jiān)測預警手段之一，主要實現(xiàn)如下目標。

（1）安全信息全網(wǎng)感知。通過分布式數(shù)據(jù)采集獲取全網(wǎng)的安全日志、流量信息、威脅行為及各類安全情報和輿情，實現(xiàn)長江水利委員會（以下簡稱“長江委”）水文局網(wǎng)絡內(nèi)安全信息的全網(wǎng)感知。

（2）異構數(shù)據(jù)治理。實現(xiàn)多源異構網(wǎng)絡安全數(shù)據(jù)的治理。解決各類數(shù)據(jù)源適配問題，實現(xiàn)數(shù)據(jù)采集、清洗、標準化存儲，提供離線、實時、全文檢索等多種數(shù)據(jù)訂閱及分析。

（3）安全數(shù)據(jù)集中管控。對獲取的各類安全類數(shù)據(jù)進行集中管控，具體包括網(wǎng)絡設備、安全設備、主機及應用的日志，流量探針、APT威脅的采集信息，威脅情報及輿情等。

（4）安全威脅檢測及溯源分析。與終端防護EDR聯(lián)動，實現(xiàn)網(wǎng)絡威脅防御、異常行為檢測與響應;通過日志關聯(lián)分析、異常行為檢測、攻擊者畫像等，對攻擊者進行溯源，滿足快速處置的要求。

（5）支撐安全運維管理。針對資產(chǎn)、行為、數(shù)據(jù)等網(wǎng)絡威脅的關聯(lián)要素進行可視化展示，提供威脅的預警與追蹤，為日常安全運維提供支撐。

2 網(wǎng)絡安全態(tài)勢感知系統(tǒng)設計

網(wǎng)絡安全態(tài)勢感知系統(tǒng)總體設計遵循3層架構，具體架構如圖2所示。

2.1 數(shù)據(jù)采集感知層

感知層主要任務是對外收集網(wǎng)絡安全情報與輿情，對內(nèi)收集網(wǎng)絡設備、安全設備、主機及各類應用日志及安全探針等與網(wǎng)絡安全相關的各類數(shù)據(jù)，通過數(shù)據(jù)清洗、范式化、歸一化等數(shù)據(jù)治理技術對數(shù)據(jù)進行整理，形成有意義、可分類的安全數(shù)據(jù)[3]。

2.1.1 分布式數(shù)據(jù)采集

通過分布式部署采集探針，實現(xiàn)網(wǎng)絡環(huán)境安全類、管理類、流量數(shù)據(jù)以及資產(chǎn)、用戶基本數(shù)據(jù)的收集。數(shù)據(jù)采集探針部署要點如下。

（1）范圍廣，覆蓋局機關及勘測局全江主要網(wǎng)絡區(qū)域;

（2）控邊界，收集全江主要安全邊界的數(shù)據(jù)流量;

（3）多類型，數(shù)據(jù)探針類型多樣，包括日志采集探針、流量采集探針、終端采集探針、數(shù)據(jù)庫采集探針和郵件行為采集探針等。

安全要素采集的類型包括以下幾點。

（1）各類網(wǎng)絡設備數(shù)據(jù)：路由器、交換機、DNS、網(wǎng)站訪問日志等;

（2）網(wǎng)絡安全設備數(shù)據(jù)：移動惡意代碼、僵木蠕、異常流量、攻擊溯源系統(tǒng)、域名安全分析系統(tǒng)、DDOS、防火墻、IDS、IPS、WAF等日志;

（3）管理類數(shù)據(jù)：資產(chǎn)數(shù)據(jù)、審計數(shù)據(jù)、網(wǎng)絡劃分環(huán)境數(shù)據(jù);

（4）流量數(shù)據(jù)：網(wǎng)絡全流量數(shù)據(jù);

（5）數(shù)據(jù)庫請求、訪問數(shù)據(jù)：數(shù)據(jù)庫請求訪問審計;

（6）WEB請求數(shù)據(jù)：基于WEB請求日志審計;

（7）郵件審計數(shù)據(jù)：郵件服務器的流量數(shù)據(jù)審計;

（8）基礎數(shù)據(jù)：基礎信息、黑白名單庫，IP基礎信息、域名基礎信息、URL基礎信息、漏洞庫、樣本庫、事件庫等;

（9）終端數(shù)據(jù)：主機進程信息、登錄信息、感染病毒、U盤使用記錄、軟件安裝信息。

2.1.2 數(shù)據(jù)監(jiān)控

對采集器的健康狀況及性能進行監(jiān)控，具備發(fā)現(xiàn)接收采集異常及時告警的能力，保證采集性能與數(shù)據(jù)量匹配，防止數(shù)據(jù)采集不完整。

2.1.3 數(shù)據(jù)字典

采集的各類信息類型眾多、數(shù)據(jù)量大，通過建立數(shù)據(jù)字典，實現(xiàn)對各類描述數(shù)據(jù)信息集合的組織、定義及修改。

2.1.4 數(shù)據(jù)接口

為了兼容更多系統(tǒng)日志數(shù)據(jù)，系統(tǒng)須支持接口方式獲取第三方數(shù)據(jù)，包括：①JDBC接口，與第三方數(shù)據(jù)庫層面提供標準的JDBC接口的方式對接;②WEB Service接口，提供基于XML格式的結構化數(shù)據(jù)，用來與第三方系統(tǒng)應用層面的數(shù)據(jù)對接;③FTP/SFTP接口，進行文件層面的數(shù)據(jù)對接，實現(xiàn)與第三方平臺離線數(shù)據(jù)以文件的方式對接。

2.2 數(shù)據(jù)處理和要素管理層

數(shù)據(jù)處理和要素管理層主要任務是處理和存儲各類安全要素，包括識別的信息資產(chǎn)、各類漏洞和安全脆弱性信息以及安全事件等。

2.2.1 信息資產(chǎn)管理

信息資產(chǎn)管理作為網(wǎng)絡安全態(tài)勢感知系統(tǒng)的最基礎功能，確定了安全管理的對象和目標，將所有業(yè)務系統(tǒng)的網(wǎng)絡設備、安全設備、服務器及其承載的操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、接口方式、硬件屬性、使用維護人員等信息均作為資產(chǎn)管理的內(nèi)容，提供資產(chǎn)錄入、管理、變更等管理功能。信息資產(chǎn)管理主要實現(xiàn)如下功能。

（1）提供與第三方資源管理系統(tǒng)的接口以實現(xiàn)資源共享、同步更新、信息的查詢和導入等功能;內(nèi)置資產(chǎn)通用屬性接口，用于實現(xiàn)與第三方資產(chǎn)管理系統(tǒng)的數(shù)據(jù)格式相互轉換。

（2）信息資產(chǎn)的各項屬性被安全事件管理、脆弱性管理、風險管理、拓撲視圖、報表系統(tǒng)等其他安全管理模塊調(diào)用。

（3）提供資產(chǎn)的手動和自動發(fā)現(xiàn)功能，資產(chǎn)接入或移除，能夠自動更新，并作出提示，對新接入資產(chǎn)進行預管理，對移除資產(chǎn)進行記錄管理。

（4）將安全事件與資產(chǎn)進行綁定關聯(lián)，實現(xiàn)以資產(chǎn)視角的安全事件管理，在資產(chǎn)拓撲視圖上直接展現(xiàn)安全事件的信息。

（5）提供根據(jù)長江委水文局組織架構或者網(wǎng)絡架構進行資產(chǎn)域/安全域劃分信息。

2.2.2 脆弱性管理

網(wǎng)絡安全態(tài)勢感知系統(tǒng)本身不具備直接發(fā)現(xiàn)脆弱性的功能。依靠外面知識共享、脆弱性發(fā)現(xiàn)工具接入等方式，脆弱性管理掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞以及整體分布情況，并支持提供排名、分布等展示。脆弱性管理主要實現(xiàn)如下功能。

（1）主流掃描設備的數(shù)據(jù)接入功能，實現(xiàn)對接入數(shù)據(jù)的對比、去重，形成整體脆弱性報告。

（2）各個資產(chǎn)的整體脆弱性展示，對整個網(wǎng)絡的脆弱性進行展示，支持根據(jù)掃描器類型、CVE/CNVD編號、弱點名稱、危害程度以及受影響的資產(chǎn)等條件進行檢索。

（3）脆弱性數(shù)據(jù)與資產(chǎn)和資產(chǎn)域，對資產(chǎn)域內(nèi)的脆弱性分布展示;跟蹤脆弱性被利用行為，實現(xiàn)分析和溯源。

2.2.3 安全事件管理

安全事件管理承擔獨立的安全事件采集、分析和集中控管功能，為網(wǎng)絡態(tài)勢感知系統(tǒng)的安全狀態(tài)展現(xiàn)、安全管理調(diào)度提供支撐服務。主要提供如下功能。

（1）安全設備告警事件管理。為用戶提供集中的安全設備告警事件管理功能，支持事件分析和處置及誤報標記。

（2）安全事件統(tǒng)計。提供以資產(chǎn)維度和攻擊鏈維度的安全事件統(tǒng)計功能，支持根據(jù)資產(chǎn)和攻擊鏈進行事件檢索和攻擊影響范圍分析。

2.3 數(shù)據(jù)分析與展示層

數(shù)據(jù)分析與展示層提供各類維度安全分析的可視化與成果展示，包括網(wǎng)絡層面、主機、終端、數(shù)據(jù)庫及應用系統(tǒng)等，是網(wǎng)絡安全態(tài)勢感知系統(tǒng)供管理員決策分析的工作界面。

2.3.1 網(wǎng)絡安全分析

對網(wǎng)絡層設備的安全分析結果進行可視化，以及提供審計服務。涉及到的設備包括：交換機、防火墻、IDS等安全設備和網(wǎng)絡設備等。滿足網(wǎng)絡層面的安全攻擊、入侵分析要求。網(wǎng)絡安全分析主要提供如下功能。

（1）攻擊方向識別。通過日志數(shù)據(jù)/流量數(shù)據(jù)以及長江委水文局網(wǎng)絡環(huán)境關聯(lián)分析，實現(xiàn)對攻擊方向的識別，提供并區(qū)分外對內(nèi)、內(nèi)對內(nèi)及內(nèi)對外攻擊視角。提供外部威脅感知、橫向威脅感知和資產(chǎn)外聯(lián)感知功能。

（2）異常行為分析。通過深度及關聯(lián)的安全分析模型及算法，利用AI分析模型發(fā)現(xiàn)各系統(tǒng)存在的安全風險和異常的用戶行為，主要包括但不限于下列分析場景：賬戶異常行為分析、賬戶權限變更行為分析、資產(chǎn)被訪問異常分析、賬戶監(jiān)測異常、非法外聯(lián)外訪、數(shù)據(jù)違法泄露、業(yè)務違規(guī)場景、APT攻擊場景、挖礦病毒類等異常場景。

（3）網(wǎng)絡安全分析報告。對網(wǎng)絡安全分析提供報告輸出。

2.3.2 主機安全分析

對主機、服務器、中間件等訪問、操作日志進行安全分析，提供安全分析結果、審計結果可視化。主要提供如下功能。

（1）操作對象安全分析。提供對主機的操作對象進行安全分析，分析對象包括主機的登陸用戶、訪問用戶等，對主機的惡意操作、刪除日志、修改權限、病毒擴散等高風險操作行為進行安全分析和審計。

（2）應用性能分析。提供對主機、服務器、中間件、數(shù)據(jù)庫以及應用系統(tǒng)的可用性、性能參數(shù)進行監(jiān)控的功能，保障主機承載服務的連續(xù)性和可用性。

（3）主機安全分析報告。對主機安全分析結果提供分析報告輸出。

2.3.3 終端行為分析

提供對終端用戶的行為審計功能，主要包括終端的訪問時間審計、訪問地點審計、訪問的應用系統(tǒng)審計、訪問頻率審計等。結合用戶畫像和資產(chǎn)畫像，及時發(fā)現(xiàn)異常的終端行為。如利用安全事件溯源分析引擎，發(fā)現(xiàn)應用系統(tǒng)受到的攻擊來自某個終端用戶，結合用戶畫像，定位到具體的終端責任人，提供相應終端用戶的行為審計報告和統(tǒng)計結果。主要提供如下功能。

（1）異常登錄行為分析。包括異常時間登錄、異常地點登錄、堡壘機繞過等異常行為分析。

（2）終端安全事件溯源。結合用戶畫像分析，當終端發(fā)生安全事件時，可以定位到具體的責任人。

（3）終端用戶行為分析報告。提供安全分析報表輸出。

2.3.4 數(shù)據(jù)安全分析

基于關系型數(shù)據(jù)庫的安全審計分析。主要為了確保數(shù)據(jù)訪問是否經(jīng)過授權、檢測可疑訪問和越權訪問等，保障數(shù)據(jù)不被非法竊取、刪除、篡改等惡意操作。主要提供如下功能。

（1）數(shù)據(jù)庫操作行為分析。利用審計結果，提供對數(shù)據(jù)庫操作的安全分析，對數(shù)據(jù)的惡意操作、刪除、篡改等高風險操作行為進行安全分析和告警。

（2）數(shù)據(jù)庫安全分析評估。完成對不當?shù)臄?shù)據(jù)庫配置、潛在弱點、數(shù)據(jù)庫用戶弱口令、數(shù)據(jù)庫軟件補丁等的漏洞檢測，包括：①風險趨勢管理。通過基線掃描發(fā)現(xiàn)數(shù)據(jù)庫結構的變化，實現(xiàn)基于基線的風險趨勢分析。②弱點檢測與弱點分析。根據(jù)內(nèi)置的弱點規(guī)則，對數(shù)據(jù)庫配置信息、數(shù)據(jù)庫對象安全檢測。③弱口令檢測。依據(jù)內(nèi)嵌的弱口令字典完成對口令強弱檢測。④補丁檢測。根據(jù)補丁信息庫匹配被掃描數(shù)據(jù)庫，完成補丁安裝檢測。⑤存儲過程檢測。根據(jù)內(nèi)嵌的安全規(guī)則，對存儲過程進行安全檢測，比如是否存在SQL注入漏洞等。

（3）關聯(lián)審計分析。將WEB審計與數(shù)據(jù)庫審計進行關聯(lián)，追溯“用戶-應用-數(shù)據(jù)庫”整個過程的訪問鏈，實現(xiàn)攻擊源定位及路徑追蹤分析。

（4）數(shù)據(jù)安全分析報告。提供數(shù)據(jù)安全分析報表輸出。

2.3.5 應用安全分析

實現(xiàn)對應用系統(tǒng)的訪問行為、連接行為、攻擊行為以及應用系統(tǒng)性能的審計分析，及時發(fā)現(xiàn)異常行為并進行分析和預警。主要提供如下功能。

（1）操作對象分析。對應用系統(tǒng)的訪問用戶進行安全分析，包括訪問頻次、訪問時間、訪問地點等行為的安全審計。

（2）訪問流量審計分析。對應用系統(tǒng)訪問流量進行分析，特別是來自互聯(lián)網(wǎng)的訪問流量，包括協(xié)議解析、應用會話行為、深度風險行為以及合規(guī)行為等。

（3）應用系統(tǒng)漏洞被利用行為審計分析。對應用系統(tǒng)的漏洞被利用、嘗試利用漏洞攻擊等行為進行安全分析，及時發(fā)現(xiàn)漏洞的被利用情況，監(jiān)控漏洞的修復進度，提供漏洞數(shù)據(jù)進行安全審計功能。

（4）應用性能監(jiān)控。對應用程序的性能進行監(jiān)控，保障應用服務的連續(xù)可用。

（5）應用安全分析報告。提供應用安全分析報表輸出。

2.3.6 安全風險展示

網(wǎng)絡安全態(tài)勢感知系統(tǒng)集成多種報表樣式。報表統(tǒng)計維度包括資產(chǎn)類、潛在威脅類、安全防御類、安全風險類等。支持不同周期、維度統(tǒng)計，結合定義網(wǎng)絡安全關鍵指標，通過各種常見的圖表（樹狀表、柱狀圖、雷達圖和餅狀圖等）進行展示，并支持word、pdf等格式導出。

2.3.7 安全威脅情報管理與共享

實現(xiàn)管理內(nèi)外部各類安全情報、安全事件、安全通知、安全通報等，并通過共享模塊實現(xiàn)相關安全信息的共享交換。在數(shù)據(jù)流走向上分為南北向及東西向。南北向數(shù)據(jù)，即縱向數(shù)據(jù)，指來自水利部、長江委等上級單位自上而下的安全信息;東西向數(shù)據(jù)，即橫向數(shù)據(jù)，指來自其他業(yè)務單位、外部企業(yè)及互聯(lián)網(wǎng)上獲取的安全信息。

3 關鍵技術

3.1 用戶實體行為分析（UEBA）

用戶實體行為分析（User Entity Behavior Analytics，UEBA）是一種面向用戶和實體的行為，采用高級數(shù)據(jù)分析方法刻畫正常行為、發(fā)現(xiàn)異常行為的技術[4]。從用戶入手，圍繞用戶行為展開分析是UEBA的最主要特點。UEBA通過持續(xù)性的記錄和分析人或?qū)嶓w的行為，來分析和檢測所從事的操作是否存在異常行為，有助于從大量的告警中定位到存在的風險點。

UEBA將人的基礎屬性數(shù)據(jù)與行為數(shù)據(jù)進行統(tǒng)計分析，圍繞人的各類數(shù)據(jù)，包括基礎檔案類、授權類、登陸類、行為類等數(shù)據(jù)，建立畫像和標簽，通過可視化的方式直觀呈現(xiàn)人的行為及軌跡，同時展現(xiàn)人的概況和行為數(shù)據(jù)，以形成行為輪廓，實現(xiàn)對攻擊者的多維度分析。

3.2 復雜異構數(shù)據(jù)的智能識別

網(wǎng)絡存在大量異構設備，比如：不同品牌的服務器、交換機、路由器、防火墻等安全設備。這些設備產(chǎn)生大量的結構化和非結構化日志數(shù)據(jù)，在部分環(huán)境中存在壓縮傳輸和壓縮存儲等現(xiàn)象，導致這部分數(shù)據(jù)無法解析和分詞。針對大量復雜的異構日志，通過分詞模塊、詞義分析模塊、詞義特征提取模塊以及特征匹配模塊，智能識別解決實現(xiàn)對復雜異構的非結構和半結構日志數(shù)據(jù)的解析和處理。實現(xiàn)對不同類型日志數(shù)據(jù)的解析，并提供人機交互的二次解析功能，實現(xiàn)更準確、更充分的日志解析。

3.3 AI建模

在長江委水文局安全場景下，通過機器學習算法進行訓練，實現(xiàn)對異常行為的定位跟蹤，風險閾值的智能動態(tài)調(diào)整，智能安全判定，對殘余風險、隱蔽威脅、未知攻擊和0day攻擊等未知風險檢測。系統(tǒng)提供AI安全分析建模如下。

（1）攻擊者畫像建模分析。對攻擊者的多維度畫像分析，包含攻擊者的網(wǎng)絡指紋數(shù)據(jù)、偏好攻擊手段、攻擊破壞力分析等維度，實現(xiàn)攻擊者維度對事件的追溯分析。

（2）資產(chǎn)畫像建模分析。對內(nèi)網(wǎng)信息資產(chǎn)的多維度畫像分析，包含資產(chǎn)的風險點、被攻擊的趨勢、頻繁被攻擊方式、攻擊影響范圍以及資產(chǎn)的風險值等，并提供高度可視化的攻擊，實現(xiàn)資產(chǎn)維度安全事件的追蹤溯源分析。

（3）安全事件組合關聯(lián)分析。針對某一安全事件的攻擊鏈追溯分析，提供針對資產(chǎn)的關聯(lián)攻擊鏈日志以及系統(tǒng)漏洞信息關聯(lián)分析，為運維人員提供攻擊鏈日志和漏洞對比信息，快速感知當前資產(chǎn)的安全狀況。

4 系統(tǒng)建設的工作策略

網(wǎng)絡安全態(tài)勢感知系統(tǒng)建設作為2020年長江委水文局年度重點工作，是加強網(wǎng)絡安全管理、提升網(wǎng)絡安全防護能力的重要抓手，對于完善水文局網(wǎng)絡安全預警體系，提升全局安全預警能力具有非常重要的意義。網(wǎng)絡安全態(tài)勢感知系統(tǒng)覆蓋范圍廣，涉及要素多，筆者認為建好、用好、管好該系統(tǒng)可以遵循“全局統(tǒng)領，上下聯(lián)動，共建共享，迭代推進”的工作策略。

（1）堅持全局統(tǒng)領，層層落實責任推進項目建設和管理。網(wǎng)絡安全態(tài)勢感知系統(tǒng)采集端分布式的部署在各勘測局，中心端部署在長江委水文局機關。系統(tǒng)建設涉及面廣，協(xié)調(diào)難度大，一些技術要點還需要集體攻關。必須堅持全局統(tǒng)領，明確項目牽頭和配合單位職責，分工協(xié)作、層層落實推進系統(tǒng)建設。

（2）堅持上下聯(lián)動，確保系統(tǒng)建設貼近實際。長江委水文局機關與外業(yè)網(wǎng)絡環(huán)境存在差異，網(wǎng)絡安全態(tài)勢感知系統(tǒng)在實際建設中，各地的策略也需要因地制宜。保持上下聯(lián)動，確保系統(tǒng)建設貼近實際，并做好內(nèi)外業(yè)的溝通協(xié)調(diào)，及時收集建設中的問題。

（3）堅持共建共享，充分發(fā)揮外業(yè)積極性。網(wǎng)絡安全態(tài)勢感知系統(tǒng)須建立共建共享的思維，對內(nèi)充分整合水文局各類網(wǎng)絡安全信息，對外跟長江委網(wǎng)絡安全態(tài)勢感知系統(tǒng)進行信息共享與交換，發(fā)揮安全威脅信息整合共享效益。水文局下屬勘測局立足自身提出需求，做好所屬子網(wǎng)的安全信息整合，提升自身安全預警能力。

（4）堅持迭代推進，保證系統(tǒng)持續(xù)發(fā)揮效益。目前態(tài)勢感知系統(tǒng)和技術仍然處在不斷發(fā)展和完善之中，為保證系統(tǒng)繼續(xù)發(fā)揮效益，需要做好系統(tǒng)日常升級與維護;同時，系統(tǒng)的建設和管理也是迭代推進的過程，持續(xù)建、持續(xù)用、持續(xù)管會成為日后系統(tǒng)運管模式的常態(tài)。

5 結 語

踐行“水利工程補短板、水利行業(yè)強監(jiān)管”總基調(diào)，堅持問題導向，落實水利網(wǎng)信工作“安全、實用”總要求，對長江水文未來網(wǎng)絡安全建設有現(xiàn)實指導意義。網(wǎng)絡安全態(tài)勢感知系統(tǒng)將過去看不見的威脅，通過可視化手段進行呈現(xiàn)與分析，極大的提高了網(wǎng)絡安全分析預警能力。但同時，也應該看到網(wǎng)絡安全態(tài)勢感知系統(tǒng)實施階段存在的諸多困難，比如多類型采集端配置、日志匯集的性能適配、內(nèi)外業(yè)視圖管理、建模分析等。需要長江委水文局各級單位、部門扎實推進，才能達到預期目標。

參考文獻：

[1] 水利部網(wǎng)絡安全與信息化領導小組辦公室. 智慧水利總體方案[R]. 北京：水利部網(wǎng)絡安全與信息化領導小組辦公室，2019.

[2] 龔儉，臧小東，蘇琪，等. 網(wǎng)絡安全態(tài)勢感知綜述[J]. 軟件學報，2017（4）：1010-1026.

[3] 詹全忠，張潮. 智慧水利總體方案之網(wǎng)絡安全[J]. 水利信息化，2019（4）：20-24，29.

[4] 司德睿，華程，楊紅光，等. 一種基于機器學習的安全威脅分析系統(tǒng)[J]. 網(wǎng)絡與信息安全，2019（4）：37-41.

（編輯：李 晗）