吳英 馬立國 梁晶晶

【摘要】? ? 如今我國已經(jīng)進(jìn)入數(shù)字化信息時代，計算機網(wǎng)絡(luò)已經(jīng)深入各行各業(yè)。信息資訊爆炸式發(fā)展，我們面臨的網(wǎng)絡(luò)安全形勢和挑戰(zhàn)日益嚴(yán)峻，加強我國網(wǎng)絡(luò)安全建設(shè)迫在眉睫。本文著重闡述建設(shè)信息網(wǎng)絡(luò)安全管控與態(tài)勢分析云平臺建設(shè)的目的、原則、功能和特點，以及特殊行業(yè)網(wǎng)絡(luò)安全管控系統(tǒng)和信息網(wǎng)絡(luò)態(tài)勢分析云平臺的建設(shè)方案。

【關(guān)鍵詞】? ? 信息網(wǎng)絡(luò)? ? 網(wǎng)絡(luò)安全? ? 態(tài)勢分析? ? 管控系統(tǒng)

引言

習(xí)主席深刻指出：“要樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強網(wǎng)絡(luò)安全防御能力和威懾能力”。政務(wù)、金融、物流、教育、科技、交通、地理、電信等，各個領(lǐng)域、各個行業(yè)的網(wǎng)絡(luò)數(shù)據(jù)對個人信息保護(hù)和維護(hù)國家社會安全都非常重要。據(jù)調(diào)查，目前國內(nèi)外許多機構(gòu)的網(wǎng)站、服務(wù)器都遭受過非法入侵，很多重要數(shù)據(jù)丟失或被竊取，造成重大經(jīng)濟(jì)上和軍事上的損失，同時造成計算機網(wǎng)絡(luò)癱瘓，無法保證網(wǎng)絡(luò)服務(wù)的正常運行?，F(xiàn)如今各個行業(yè)的網(wǎng)絡(luò)信息安全都是重中之重，而網(wǎng)絡(luò)信息安全的核心內(nèi)容就是要提升網(wǎng)絡(luò)中的信息安全。

那么如何做好計算機網(wǎng)絡(luò)安全保密工作，實時掌握網(wǎng)絡(luò)運行狀態(tài)，精準(zhǔn)網(wǎng)絡(luò)動態(tài)分析和預(yù)測，快速采取具有針對性的、行之有效的安防策略，積極應(yīng)對、主動防御各類網(wǎng)絡(luò)安全風(fēng)險是十分必要的。針對具有跨域、復(fù)雜和多級等特點的政府、軍隊、大型企業(yè)等特殊行業(yè)內(nèi)部網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)安全管控與態(tài)勢分析云平臺，有助于網(wǎng)絡(luò)管理者監(jiān)控和處理內(nèi)部網(wǎng)絡(luò)各類安全問題。

一、信息網(wǎng)絡(luò)安全管控與態(tài)勢分析云平臺建設(shè)基本原則

1.1安全防護(hù)全時全面覆蓋

基于“全面防護(hù)、全時反饋、功能互補”原則，統(tǒng)籌建設(shè)網(wǎng)絡(luò)系統(tǒng)，滿足各類數(shù)據(jù)傳輸處理、業(yè)務(wù)訪問和信息流轉(zhuǎn)的安全需求，實現(xiàn)全域覆蓋、全時監(jiān)控、高速互聯(lián)和安全穩(wěn)定，為網(wǎng)絡(luò)安全和網(wǎng)絡(luò)值勤等業(yè)務(wù)提供有效支撐。

1.2 構(gòu)建分域單元控制體系

在總體架構(gòu)上按照分域保護(hù)思路，將網(wǎng)絡(luò)系統(tǒng)從結(jié)構(gòu)邏輯上劃分為不同的安全區(qū)域單元，以安全區(qū)域為單位進(jìn)行安全防御措施建設(shè)，形成分域安全單元控制體系。

1.3 構(gòu)建縱深的防御體系

主要從物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、系統(tǒng)軟件安全、應(yīng)用安全、用戶安全和管理安全七個方面進(jìn)行安全技術(shù)和管理設(shè)計，實現(xiàn)業(yè)務(wù)應(yīng)用的可用性、完整性和保密性，充分運用各種新興技術(shù)組合或功能的互補，綜合施策，從內(nèi)到外形成有梯次、有縱深的網(wǎng)絡(luò)安全防御體系。

1.4 保證一致的安全強度

根據(jù)安全等級的要求，采用分級的辦法，確保同一安全域的系統(tǒng)以最高安全等級為標(biāo)準(zhǔn)，采取強度一致的安全措施和統(tǒng)一的防護(hù)策略，消除安全短板，構(gòu)建出動態(tài)、嚴(yán)密的防護(hù)體系。

二、信息網(wǎng)絡(luò)安全管控與態(tài)勢分析云平臺建設(shè)特點

2.1網(wǎng)絡(luò)資源統(tǒng)管性

平臺具備對內(nèi)部網(wǎng)絡(luò)所有資源、網(wǎng)絡(luò)設(shè)備、服務(wù)器進(jìn)行管理的統(tǒng)一操作、管理的功能。通過客戶端、核心服務(wù)器及數(shù)據(jù)庫系統(tǒng)實現(xiàn)對網(wǎng)絡(luò)的拓?fù)涔芾?、告警事件管理、安全管理、日志管理和配置狀態(tài)管理等。

2.2網(wǎng)絡(luò)信息共享性

網(wǎng)絡(luò)信息的實時共享可以加快網(wǎng)絡(luò)信息更新速度，提高數(shù)據(jù)信息修正能力，加強云平臺分析處理安全事件抵御風(fēng)險的能力，為網(wǎng)絡(luò)安全事件分析預(yù)判提供依據(jù)。云平臺核心服務(wù)器群與下屬各網(wǎng)絡(luò)節(jié)點服務(wù)器建立數(shù)據(jù)信息共享機制，下級服務(wù)器實時上傳本地信息數(shù)據(jù)到核心服務(wù)器數(shù)據(jù)庫，核心服務(wù)器群通過特征提取、數(shù)據(jù)融合、關(guān)聯(lián)分析等方式對原始數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，包括數(shù)據(jù)清洗、數(shù)據(jù)融合和數(shù)據(jù)關(guān)聯(lián)幾個流程，提取出有用的安全數(shù)據(jù)[1]，利用云計算大數(shù)據(jù)分析得出結(jié)論，下級服務(wù)器可根據(jù)權(quán)限訪問核心服務(wù)器群獲取相關(guān)數(shù)據(jù)信息。

另外通過專用接口獲取互聯(lián)網(wǎng)網(wǎng)絡(luò)安防數(shù)據(jù)信息，第一時間接收官方發(fā)布的系統(tǒng)漏洞通知、最新病毒特征及相關(guān)處理方案供云平臺分析和學(xué)習(xí)。

2.3網(wǎng)絡(luò)態(tài)勢可視性

網(wǎng)絡(luò)安全態(tài)勢感知整個過程，最重要的任務(wù)就是準(zhǔn)確展示和表達(dá)數(shù)據(jù)所包含的信息，建立網(wǎng)絡(luò)安全信息數(shù)據(jù)到可視化元素的映射。網(wǎng)絡(luò)安全態(tài)勢圖可以幫助安全分析人員更快速有效地識別網(wǎng)絡(luò)中的攻擊和異常事件，將抽象的網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)以模型和圖像的方式展現(xiàn)出來，形成安全態(tài)勢圖幫助網(wǎng)絡(luò)安全分析人員鑒別網(wǎng)絡(luò)狀態(tài)，識別網(wǎng)絡(luò)異常和非法入侵，預(yù)測網(wǎng)絡(luò)安全事件發(fā)展趨勢。

2.4防御主動性

云平臺建設(shè)主動型的防御系統(tǒng)，網(wǎng)絡(luò)安全主動防御就是在增強和保證網(wǎng)絡(luò)安全的同時發(fā)現(xiàn)正在進(jìn)行的網(wǎng)絡(luò)攻擊，預(yù)測和識別未知的入侵，并采取相應(yīng)措施使攻擊者無法達(dá)成目的，是一種前攝性的防御，可使網(wǎng)絡(luò)系統(tǒng)在無需人為被動響應(yīng)的情況下，預(yù)防網(wǎng)絡(luò)安全事件。

相較于網(wǎng)絡(luò)安全被動防御，主動防御具有較大優(yōu)勢：一是可以及時智能檢測未知攻擊，從根本上改變過去防御過于落后的被動局面;二是具有自主學(xué)習(xí)能力，能夠?qū)崟r對網(wǎng)絡(luò)防御技術(shù)進(jìn)行動態(tài)加固;三是能夠?qū)z測到的網(wǎng)絡(luò)攻擊進(jìn)行實時響應(yīng)，對網(wǎng)絡(luò)攻擊技術(shù)進(jìn)行分析、取證、對攻擊者進(jìn)行跟蹤甚至反擊[2]。

利用云平臺中心強大的數(shù)據(jù)存儲、匯總及計算分析能力，可在網(wǎng)絡(luò)安全主動防御智能檢測方面，著力開發(fā)基于人工智能的自主學(xué)習(xí)檢測、識別安全威脅的功能，將網(wǎng)絡(luò)攻擊檢測時間下降幾十倍。病毒在系統(tǒng)內(nèi)存的任何操作，都能被自動截獲，根據(jù)病毒活動特點定義出惡意威脅的等級、種類，并制定相應(yīng)的處置方案。實現(xiàn)由單點防御到全網(wǎng)協(xié)防，攻擊平均響應(yīng)時間下降到一天，從而實現(xiàn)自主學(xué)習(xí)，不斷提高網(wǎng)絡(luò)防御水平。

三、建設(shè)基本架構(gòu)及內(nèi)容

信息網(wǎng)絡(luò)安全管控與態(tài)勢分析云平臺在核心區(qū)域數(shù)據(jù)中心建立信息網(wǎng)絡(luò)安全態(tài)勢管控中心;下屬單位網(wǎng)絡(luò)節(jié)點建立前沿感知系統(tǒng)，以信息網(wǎng)絡(luò)安全態(tài)勢管控中心為本系統(tǒng)核心統(tǒng)管下級單位節(jié)點，通過實時接收下級單位前沿感知系統(tǒng)回傳的安防數(shù)據(jù)信息，錄入數(shù)據(jù)庫，經(jīng)過云平臺分析積極響應(yīng)各類安防事件，形成針對性安防策略報告，反饋至下級單位前沿感知系統(tǒng)，動態(tài)提供行之有效的指導(dǎo)性安防策略;統(tǒng)籌評估所有下級單位整體安防態(tài)勢，歸納各類安防事件攻擊、傳播等特點，形成案例數(shù)據(jù)庫，為日后網(wǎng)絡(luò)安防評估提供數(shù)據(jù)支撐。

同時，為防止特殊情況下下級單位不能及時與信息網(wǎng)絡(luò)安全態(tài)勢管控中心數(shù)據(jù)交互，在下級單位網(wǎng)絡(luò)節(jié)點建立安防態(tài)勢管控子中心，形成備用網(wǎng)絡(luò)安防體系。

四、信息網(wǎng)絡(luò)安防態(tài)勢管控中心的系統(tǒng)支撐：

4.1安全基礎(chǔ)網(wǎng)絡(luò)層

根據(jù)等級保護(hù)要求，網(wǎng)絡(luò)骨干節(jié)點應(yīng)采用雙機熱備方式實現(xiàn)冗余備份，并根據(jù)實際情況劃分安全域，包括安全運維中心、邊界網(wǎng)絡(luò)區(qū)、業(yè)務(wù)服務(wù)器群、終端接入?yún)^(qū)、數(shù)據(jù)中心、運維管理區(qū)等。

4.2安全區(qū)域邊界

安全區(qū)域邊界，部署入侵檢測系統(tǒng)，防病毒系統(tǒng)、防火墻、漏洞掃描系統(tǒng)、準(zhǔn)入網(wǎng)關(guān)、流量監(jiān)控系統(tǒng)等安全設(shè)備。在業(yè)務(wù)交換區(qū)邊界、大數(shù)據(jù)區(qū)域邊界、核心服務(wù)器區(qū)域邊界、安全運維中心等不同防護(hù)等級安全區(qū)域邊界部署防火墻進(jìn)行訪問控制;在不同網(wǎng)系邊界部署安全隔離網(wǎng)閘實現(xiàn)內(nèi)網(wǎng)區(qū)與互聯(lián)網(wǎng)之間的數(shù)據(jù)交換;在終端接入?yún)^(qū)部署嚴(yán)格準(zhǔn)入控制系統(tǒng)實現(xiàn)邊界完整性保護(hù);在不可信網(wǎng)絡(luò)接入?yún)^(qū)域（無線網(wǎng)絡(luò)接入?yún)^(qū)域）邊界部署可抵御高級威脅的檢測與防御系統(tǒng)實現(xiàn)入侵檢測與終端入網(wǎng)規(guī)范。

4.3 安全核心數(shù)據(jù)防護(hù)

在安全核心數(shù)據(jù)防護(hù)部署漏洞掃描系統(tǒng)、補丁分發(fā)系統(tǒng)、防病毒查殺系統(tǒng)、網(wǎng)絡(luò)行為審計系統(tǒng)、日志管理系統(tǒng)、備份恢復(fù)系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、物理安防監(jiān)控報警系統(tǒng)、網(wǎng)絡(luò)終端安全防護(hù)系統(tǒng);在終端安全方面，部署準(zhǔn)入控制系統(tǒng)能夠防止設(shè)備非法接入內(nèi)網(wǎng)及防止內(nèi)網(wǎng)用戶非法外聯(lián)。在服務(wù)器安全方面，針對主機的入侵防范，在網(wǎng)絡(luò)層面具有基于網(wǎng)絡(luò)的威脅檢測與防御系統(tǒng)可以起到防范針對內(nèi)部網(wǎng)絡(luò)的攻擊行為;采用安全掃描對信息系統(tǒng)主機進(jìn)行安全性檢測;通過對操作系統(tǒng)人工加固的方式，提升業(yè)務(wù)服務(wù)器的抗攻擊能力;采用運維安全網(wǎng)關(guān)，實現(xiàn)運維權(quán)限的集中管控和運維行為的全程審計。

在應(yīng)用系統(tǒng)安全方面，采用基于網(wǎng)絡(luò)的威脅檢測與防御系統(tǒng)可以起到防范針對內(nèi)部網(wǎng)絡(luò)的攻擊行為;由安全專家依據(jù)前期風(fēng)險分析結(jié)果，針對應(yīng)用系統(tǒng)存在的漏洞提供解決建議及人工加固。

在數(shù)據(jù)庫安全方面，應(yīng)在核心服務(wù)器區(qū)部署數(shù)據(jù)庫安全審計系統(tǒng)，實現(xiàn)對數(shù)據(jù)庫系統(tǒng)的安全審計。在網(wǎng)絡(luò)設(shè)備防護(hù)方面，涉及到網(wǎng)絡(luò)交換核心設(shè)備、網(wǎng)絡(luò)信道加密設(shè)備等，這些設(shè)備和主機的安全要求均需要進(jìn)行深入的安全加固才能滿足等級保護(hù)的基本要求。

4.4 安全管理中心

在系統(tǒng)管理、審計管理和安全管理方面，需要新增日志審計系統(tǒng)，對設(shè)備、主機、應(yīng)用產(chǎn)生的日志實現(xiàn)集中統(tǒng)一管理。在審計集中管控方面，需通過在不同區(qū)域，不同層次，不同業(yè)務(wù)部署數(shù)據(jù)采集引擎，再建立安全大數(shù)據(jù)平臺，結(jié)合安全大數(shù)據(jù)提供的數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)存儲、外部接口等服務(wù)，在此基礎(chǔ)上建立數(shù)據(jù)審計集中監(jiān)管和安全事件集中管控系統(tǒng)，實現(xiàn)對全網(wǎng)數(shù)據(jù)與網(wǎng)絡(luò)安全態(tài)勢的集中監(jiān)測。在安全策略集中管控方面，采用信息綜合監(jiān)控管理系統(tǒng)，全面覆蓋等級保護(hù)工作、運行、維護(hù)、管理的全過程、一體化的安全工作與策略綜合管理平臺。

在安全事件集中管控方面，通過分布于業(yè)主單位網(wǎng)絡(luò)中的高級威脅檢測與防御系統(tǒng)、日志審計系統(tǒng)等探針，對全網(wǎng)安全風(fēng)險數(shù)據(jù)搜集整理，基于大數(shù)據(jù)平臺提供的深度分析和感知能力，實現(xiàn)覆蓋全網(wǎng)安全事件的態(tài)勢監(jiān)測能力，包括總體網(wǎng)絡(luò)安全態(tài)勢、在線資源態(tài)勢、安全事件態(tài)勢、攻擊態(tài)勢和預(yù)警通報等。

4.5數(shù)據(jù)中心

在數(shù)據(jù)中心部署具備數(shù)據(jù)庫靜態(tài)審計功能的安全設(shè)備，其可代替繁瑣的手工檢查，預(yù)防安全事件的發(fā)生。利用具備權(quán)威的數(shù)據(jù)庫安全規(guī)則庫，自動完成對不當(dāng)?shù)臄?shù)據(jù)庫安全配置、潛在弱點、用戶弱口令、數(shù)據(jù)庫軟件補丁、數(shù)據(jù)庫潛藏木馬等靜態(tài)審計。通過靜態(tài)審計，可為后續(xù)的動態(tài)防護(hù)與審計的安全策略設(shè)置提供依據(jù)。

五、結(jié)論

信息網(wǎng)絡(luò)安全管控與態(tài)勢分析云平臺是一款集網(wǎng)絡(luò)資源管理、信息共享、設(shè)備配置、數(shù)據(jù)分析、情況預(yù)判、策略制定的主動安防信息管理系統(tǒng)，可用于政府、軍隊、企業(yè)等機構(gòu)的內(nèi)部網(wǎng)絡(luò)。

建設(shè)信息網(wǎng)絡(luò)安全管控與態(tài)勢分析云平臺是一項復(fù)雜的系統(tǒng)工程，它涵蓋內(nèi)容廣泛，使用高新技術(shù)多、理論新、功能全面，并且要求各種網(wǎng)絡(luò)設(shè)備具有良好的兼容性，這對系統(tǒng)的研發(fā)和后期的改進(jìn)優(yōu)化都提出了比較高的要求，要不斷將新技術(shù)融入其中，使其功能更加完善，系統(tǒng)更加優(yōu)化，安防能力逐漸提高，更好的為網(wǎng)絡(luò)安全服務(wù)。

參? 考? 文? 獻(xiàn)

[1] 李俊磊.高校校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)研究.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2020（08）：96-98

[2] 邱子越.下好網(wǎng)絡(luò)安全主動防御先手棋.中國國防報2019-02-27