徐 楓，邱 黎，林 紅

（武漢廣播電視臺，湖北 武漢 430022）

0 引言

隨著互聯(lián)網(wǎng)應(yīng)用的高速發(fā)展，社會各行業(yè)的網(wǎng)上業(yè)務(wù)越來越多，用戶對數(shù)據(jù)交互、資源共享的需求不斷提高。信息化平臺的互聯(lián)互通方便實(shí)現(xiàn)數(shù)據(jù)交換，有利于提高工作效率和管理效能。但在系統(tǒng)開放互聯(lián)的同時，各類網(wǎng)絡(luò)安全隱患也隨之而來，網(wǎng)絡(luò)釣魚、勒索軟件、高級可持續(xù)威脅（Advanced Persistent Threat，APT）以及加密貨幣劫持等各種新形式的網(wǎng)絡(luò)攻擊也愈演愈烈。在這樣的新型網(wǎng)絡(luò)環(huán)境下，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)高效、安全的互聯(lián)互通，統(tǒng)籌應(yīng)用內(nèi)容資源、平臺資源及網(wǎng)絡(luò)資源，實(shí)現(xiàn)數(shù)據(jù)的高效交互使用，實(shí)現(xiàn)資源的統(tǒng)一存儲和管理，是技術(shù)人員不斷探尋的目標(biāo)[1]。

面對越來越專業(yè)的惡意攻擊，人們已經(jīng)不能再用傳統(tǒng)的方式進(jìn)行抗衡，網(wǎng)絡(luò)安全態(tài)勢感知應(yīng)時而生。網(wǎng)絡(luò)安全態(tài)勢感知是2018 年全國科學(xué)技術(shù)名詞審定委員會公布的計(jì)算機(jī)科學(xué)技術(shù)名詞，被業(yè)界公認(rèn)為是解決網(wǎng)絡(luò)安全問題的一種新的方法。它可以綜合分析各網(wǎng)絡(luò)部件對安全事件的檢測，讓網(wǎng)絡(luò)安全工作更具主動性[2]。網(wǎng)絡(luò)安全態(tài)勢感知能夠及時感知網(wǎng)絡(luò)安全風(fēng)險，已成為國際上的一個熱門研究領(lǐng)域。

1 多業(yè)務(wù)系統(tǒng)互聯(lián)互通的意義和安全挑戰(zhàn)

當(dāng)前，新一輪科技革命和產(chǎn)業(yè)變革加速推進(jìn)，數(shù)字技術(shù)創(chuàng)新實(shí)現(xiàn)多點(diǎn)突破，傳統(tǒng)經(jīng)濟(jì)產(chǎn)業(yè)模式數(shù)字化轉(zhuǎn)型加速?；ヂ?lián)網(wǎng)作為互聯(lián)互通的重要信息平臺，在社會經(jīng)濟(jì)中發(fā)揮著重要作用。多業(yè)務(wù)系統(tǒng)互聯(lián)互通是通過整體規(guī)劃，對數(shù)據(jù)進(jìn)行有效利用和深層次挖掘，對不同功能網(wǎng)絡(luò)、不同業(yè)務(wù)應(yīng)用、不同廠商設(shè)備實(shí)現(xiàn)安全互聯(lián)，消除信息孤島，實(shí)現(xiàn)多網(wǎng)絡(luò)、多平臺、多業(yè)務(wù)系統(tǒng)數(shù)據(jù)的全面共享和全程管理。在網(wǎng)絡(luò)安全方面，人們通過在各系統(tǒng)部署安全接入平臺保障數(shù)據(jù)安全交互，同時各分區(qū)之間設(shè)置有效隔離，根據(jù)業(yè)務(wù)訪問要求實(shí)施安全訪問策略，讓系統(tǒng)的硬件、軟件及數(shù)據(jù)受到保護(hù)，避免遭到損壞、篡改和泄密，保障網(wǎng)絡(luò)服務(wù)不中斷，使系統(tǒng)可以連續(xù)、正常地運(yùn)行[3]。

多業(yè)務(wù)系統(tǒng)互聯(lián)互通給人們帶來信息資源共享、管理便捷高效的同時，也對網(wǎng)絡(luò)安全提出了更高的技術(shù)要求。為有效應(yīng)對網(wǎng)絡(luò)威脅，保護(hù)系統(tǒng)運(yùn)行的整體安全，技術(shù)工作者應(yīng)統(tǒng)籌考慮整體布局，網(wǎng)絡(luò)安全防御措施應(yīng)全面覆蓋各業(yè)務(wù)系統(tǒng)的各個層次，包括網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用及數(shù)據(jù)等。

2 傳統(tǒng)網(wǎng)絡(luò)安全策略的局限性

傳統(tǒng)網(wǎng)絡(luò)安全主要通過防火墻、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）以及病毒查殺等技術(shù)、設(shè)備，重點(diǎn)在于邊界防護(hù)，在不同的區(qū)域間通過安全設(shè)備構(gòu)建隔離的安全防護(hù)體系[4]。各安全設(shè)備彼此之間各自為戰(zhàn)，缺乏信息共享和防護(hù)協(xié)同，因此面對新型安全威脅存在先天缺陷，這些新型安全威脅主要有：

（1）對還沒有補(bǔ)丁的漏洞進(jìn)行的攻擊——0-day；

（2）對攻擊時間長、隱蔽性高的高級可持續(xù)威脅攻擊（APT）的防御能力不足；

（3）與受害者進(jìn)行交互式行為的社會工程學(xué)攻擊。

究其原因，主要由以下先天不足導(dǎo)致，且很難通過升級方式克服。

2.1 以合規(guī)性評測為主，無法有效檢測已知威脅

目前，對進(jìn)口的網(wǎng)絡(luò)信息技術(shù)和產(chǎn)品監(jiān)測分析以合規(guī)性評測為主，較少監(jiān)測軟件核心技術(shù)，綜合漏洞分析評估能力較低，對安全漏洞“后門”的監(jiān)測能力較差。同時，在大數(shù)據(jù)、云計(jì)算、安全智能聯(lián)動等重點(diǎn)領(lǐng)域的技術(shù)實(shí)力不夠，難以對新興信息技術(shù)行業(yè)的相關(guān)產(chǎn)品進(jìn)行安全監(jiān)測[5]。

2.2 沒有數(shù)據(jù)智能，缺乏整體安全感知能力

傳統(tǒng)的安全防護(hù)設(shè)備是通過一個個文件、數(shù)據(jù)流進(jìn)行檢測，具有局限性。例如，防火墻可以分析過濾由外至內(nèi)的數(shù)據(jù)流，但對于內(nèi)部的橫向攻擊無法防止；防病毒軟件通過已有的病毒庫數(shù)據(jù)對比識別病毒攻擊，但新型網(wǎng)絡(luò)攻擊往往具有多樣性、高隱蔽性，通過組合多種網(wǎng)絡(luò)攻擊手段，且通過偽裝、變形來躲避安全防御檢測，最終完成入侵。

2.3 沒有數(shù)據(jù)支撐，無法對已知攻擊進(jìn)行溯源分析

目前，人們對于海量的網(wǎng)絡(luò)數(shù)據(jù)缺少有效的分析手段，對APT 等新型網(wǎng)絡(luò)攻擊的監(jiān)測技術(shù)不完善，由于回溯手段不足，很難找到攻擊的源頭。傳統(tǒng)的網(wǎng)絡(luò)防護(hù)著重于IP 訪問和應(yīng)用安全方面，對于業(yè)務(wù)與數(shù)據(jù)流的安全保護(hù)缺乏相關(guān)防護(hù)措施。如果攻擊者越過邊界，獲取管理或使用權(quán)限，就能對生產(chǎn)業(yè)務(wù)系統(tǒng)實(shí)施信息竊取、數(shù)據(jù)刪除等行為。由于這些訪問或者會話通常都只具備數(shù)據(jù)流向特征，傳統(tǒng)的安全設(shè)備無法防御。

3 基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案

面對新的網(wǎng)絡(luò)安全形勢，針對傳統(tǒng)網(wǎng)絡(luò)安全防御體系的不足，基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案利用其智能感知技術(shù)，實(shí)現(xiàn)對上網(wǎng)用戶流量、日志、漏洞消息及告警消息等各種數(shù)據(jù)的收集，對網(wǎng)絡(luò)安全活動及使用者活動等各種因素形成的信息安全狀況和趨勢的深度剖析，對可能引發(fā)網(wǎng)絡(luò)安全狀態(tài)變化的信息安全基本要素的收集、整理、回溯和可視化展示，對網(wǎng)絡(luò)安全發(fā)展態(tài)勢的及時檢測和預(yù)告，并在此基礎(chǔ)上，針對多業(yè)務(wù)系統(tǒng)互聯(lián)的特點(diǎn)，強(qiáng)化網(wǎng)絡(luò)安全設(shè)備、資源及人員管理，探索安全資源集約共享的路徑[6]。態(tài)勢感知防護(hù)可以理解為在網(wǎng)絡(luò)安全中引入了“人工智能”，賦予了多業(yè)務(wù)系統(tǒng)對抗新型威脅的強(qiáng)大智慧。

3.1 系統(tǒng)架構(gòu)

基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案的總體架構(gòu)主要分為安全信息數(shù)據(jù)源、網(wǎng)絡(luò)安全態(tài)勢感知內(nèi)核、多業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)絡(luò)安全管理基本要素（包括安全信息數(shù)據(jù)共享、整體安全運(yùn)維、安全資源動態(tài)調(diào)節(jié)）三部分。其中，安全態(tài)勢感知的內(nèi)核是實(shí)現(xiàn)安全數(shù)據(jù)挖掘、融合、分析、感知的關(guān)鍵核心技術(shù)，主要由數(shù)據(jù)融合、統(tǒng)計(jì)分析、數(shù)據(jù)監(jiān)測及可視化態(tài)勢四個模塊組成[7]。具體架構(gòu)如圖1所示。

圖1 總體架構(gòu)

3.2 功能模塊

數(shù)據(jù)融合模塊是態(tài)勢感知的基礎(chǔ)。數(shù)據(jù)融合模塊包含數(shù)據(jù)信息收集、深度融合以及統(tǒng)一存儲三個部分。數(shù)據(jù)信息收集是通過文件傳輸協(xié)議（File Transfer Protocol，F(xiàn)TP）、FTPS、超文本傳輸協(xié)議（Hyper Text Transfer Protocol，HTTP）、HTTPS、安全外殼協(xié)議（Secure Shell，SSH）、簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）等多種數(shù)據(jù)采集協(xié)議從前端數(shù)據(jù)信息源的各個目標(biāo)和對象收集不同類別的數(shù)據(jù)信息，包括上網(wǎng)用戶流量、信息系統(tǒng)消息、日志、漏洞消息、使用者情況、預(yù)警消息以及威脅消息等各種數(shù)據(jù)消息。深度融合指對安全信息數(shù)據(jù)源采集的信息進(jìn)行初步篩選，將不完整、重復(fù)、錯誤的信息剔除，然后采用統(tǒng)一的格式進(jìn)行歸類存放。同時，還要將不完整的原始數(shù)據(jù)補(bǔ)充完整，包括相關(guān)網(wǎng)絡(luò)設(shè)備的屬性、關(guān)聯(lián)設(shè)備的信息等。統(tǒng)一存儲是將采集到的海量安全信息數(shù)據(jù)分為業(yè)務(wù)類、管理類、信息類進(jìn)行統(tǒng)一、分類存儲。

統(tǒng)計(jì)分析模塊是態(tài)勢感知的核心。統(tǒng)計(jì)分析模塊包括攻擊行為分析、系統(tǒng)風(fēng)險分析以及異常風(fēng)險分析三個部分。攻擊行為分析是指對攻擊行為的類型、屬性、內(nèi)容進(jìn)行分析。攻擊行為的類型包括漏洞、分布式拒絕服務(wù)攻擊（Distributed Denial of Service attack，DDoS）、郵件詐騙及釣魚網(wǎng)站等，攻擊行為的屬性包括發(fā)生時間、持續(xù)時間、對象、產(chǎn)生的影響及攻擊手段等，攻擊行為的內(nèi)容包括范圍、次數(shù)及程度等。通過大數(shù)據(jù)關(guān)聯(lián)，分析各種類的特征，從多個維度構(gòu)建攻擊行為全貌，并且實(shí)現(xiàn)對未來變化情況和影響程度的預(yù)測。系統(tǒng)風(fēng)險分析結(jié)合系統(tǒng)功能、類型、地理位置及強(qiáng)壯性等分析系統(tǒng)風(fēng)險，定義系統(tǒng)的風(fēng)險級別，識別系統(tǒng)的潛在威脅，預(yù)測未來變化情況。異常風(fēng)險分析通過關(guān)注業(yè)務(wù)流程、大數(shù)據(jù)關(guān)聯(lián)等技術(shù)，識別網(wǎng)絡(luò)系統(tǒng)中的異常行為，如登錄位置異常、流量訪問大小異常以及動作執(zhí)行頻率異常等。

可視化展示模塊是態(tài)勢感知的關(guān)鍵。可視化展示模塊分為整體態(tài)勢可視化、分類態(tài)勢可視化以及數(shù)據(jù)匯總報(bào)告。整體態(tài)勢可視化是針對整個監(jiān)測網(wǎng)絡(luò)在一段時間或者某個時間點(diǎn)的安全狀態(tài)和發(fā)展趨勢，用標(biāo)準(zhǔn)量化的形式進(jìn)行測評，并且以可視化的圖表進(jìn)行展示。分類態(tài)勢可視化是對某一類的安全信息數(shù)據(jù)的態(tài)勢進(jìn)行展示，分為系統(tǒng)信息態(tài)勢、數(shù)據(jù)流量態(tài)勢、設(shè)備狀態(tài)態(tài)勢、系統(tǒng)脆弱性態(tài)勢、網(wǎng)絡(luò)攻擊態(tài)勢、網(wǎng)絡(luò)異常行為態(tài)勢以及安全事件態(tài)勢。數(shù)據(jù)匯總報(bào)告包括數(shù)據(jù)查詢、數(shù)據(jù)統(tǒng)計(jì)以及分析匯總報(bào)告。數(shù)據(jù)查詢可以根據(jù)自定義的時間點(diǎn)、時間段、IP 地址信息、設(shè)備信息等字段或相互組合進(jìn)行查詢，幫助針對性分析網(wǎng)絡(luò)安全狀態(tài)，合理調(diào)配安全設(shè)備資源。數(shù)據(jù)統(tǒng)計(jì)報(bào)告根據(jù)安全態(tài)勢監(jiān)測、安全信息數(shù)據(jù)匯總分析，實(shí)現(xiàn)自定義時間段或者月度、季度、年度的安全信息態(tài)勢匯總報(bào)表，可以為制定下一階段的安全建設(shè)計(jì)劃提供依據(jù)。分析匯總報(bào)告是對一段指定時間內(nèi)的網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行匯總，或者兩個時間段的安全數(shù)據(jù)匯總對比，分析相關(guān)行業(yè)、相關(guān)區(qū)域或相關(guān)業(yè)務(wù)的整體網(wǎng)絡(luò)安全情況。

數(shù)據(jù)監(jiān)測模塊是態(tài)勢感知的保障。數(shù)據(jù)監(jiān)測模塊包括監(jiān)測預(yù)報(bào)和安全預(yù)報(bào)兩部分。監(jiān)測預(yù)報(bào)是根據(jù)網(wǎng)絡(luò)安全防護(hù)策略對監(jiān)測的系統(tǒng)進(jìn)行實(shí)時監(jiān)測，根據(jù)不同的系統(tǒng)設(shè)備需求、設(shè)備的應(yīng)用場景設(shè)置不同的監(jiān)測信息，如安全權(quán)限、信息數(shù)據(jù)內(nèi)容、流量閾值等。對相關(guān)的監(jiān)測結(jié)果進(jìn)行反饋并對應(yīng)不同的警告級別，根據(jù)需求可以與網(wǎng)絡(luò)安全設(shè)備聯(lián)動，自動處理警告問題，如自動發(fā)送檢測預(yù)報(bào)信息至有權(quán)限的安全管理人員的手機(jī)、電子郵件、短信、微信，聯(lián)動平臺等設(shè)備或終端。此外，還可以設(shè)備聯(lián)動自動進(jìn)行隔離、放行、記錄等處置。安全預(yù)報(bào)采取分級預(yù)報(bào)的管理方式，根據(jù)事件的危害性、重要性、范圍大小等劃分級別進(jìn)行管理，根據(jù)安全事件處置流程及相關(guān)設(shè)備的預(yù)報(bào)策略定義相關(guān)規(guī)則。

3.3 接口功能

基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案中的接口是安全信息數(shù)據(jù)源設(shè)備采集和網(wǎng)絡(luò)安全態(tài)勢感知內(nèi)核功能模塊之間數(shù)據(jù)交互的接口，用于數(shù)據(jù)的傳輸。接口功能直接決定著安全信息數(shù)據(jù)源采集的多元化和全面性，決定著四個功能模塊的數(shù)據(jù)交互的及時性和完整性。接口按照功能劃分，可分為交互功能接口、關(guān)聯(lián)分析接口以及系統(tǒng)聯(lián)動接口。

交互功能接口負(fù)責(zé)安全信息數(shù)據(jù)源采集以及四個內(nèi)核功能模塊之間的數(shù)據(jù)傳輸。交互接口支持不同類型的數(shù)據(jù)，包括上網(wǎng)用戶流量、系統(tǒng)信息、日志、漏洞消息、使用者情況、預(yù)警消息以及威脅消息等。關(guān)聯(lián)分析接口為內(nèi)核功能模塊之間及其他外部信息數(shù)據(jù)通過接口進(jìn)行關(guān)聯(lián)分析，通過關(guān)聯(lián)分析接口可實(shí)現(xiàn)信息匯聚、關(guān)聯(lián)拓展、群體聚類等數(shù)據(jù)關(guān)聯(lián)分析方式。

設(shè)備聯(lián)動接口通過接口對內(nèi)核模塊設(shè)備、外部系統(tǒng)設(shè)備、安全設(shè)備進(jìn)行聯(lián)動，通過接口實(shí)現(xiàn)安全策略發(fā)送、漏洞防護(hù)的更新以及批量端口的掃描管理等功能。

3.4 多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全管理

基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案中，多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全管理是指通過集約化的安全數(shù)據(jù)共享、整體安全運(yùn)維、安全資源動態(tài)調(diào)節(jié)，實(shí)現(xiàn)網(wǎng)絡(luò)安全資源的最大化利用，實(shí)現(xiàn)安全設(shè)備和安全信息數(shù)據(jù)集約共享，節(jié)約技術(shù)設(shè)備資金投入，節(jié)省人力資源配置。

安全信息數(shù)據(jù)共享通過對所有監(jiān)測的信息系統(tǒng)和安全設(shè)備的相關(guān)數(shù)據(jù)信息的共享，打破傳統(tǒng)的煙囪式和數(shù)據(jù)孤島的信息壁壘，讓安全信息數(shù)據(jù)聯(lián)動分析，有助于更精準(zhǔn)地定位網(wǎng)絡(luò)安全隱患，通過發(fā)現(xiàn)單點(diǎn)問題，避免整體安全風(fēng)險。

整體安全運(yùn)維是對監(jiān)測的系統(tǒng)按照區(qū)域、行業(yè)或功能劃分，成立整體的網(wǎng)絡(luò)安全維護(hù)團(tuán)隊(duì)，建設(shè)上遵循“統(tǒng)一管理、聯(lián)動管理、整體服務(wù)”的原則，統(tǒng)一管理整體安全運(yùn)維團(tuán)隊(duì)與分域安全團(tuán)隊(duì)，并建立網(wǎng)絡(luò)安全聯(lián)動機(jī)制，以局部安全防控為基礎(chǔ)精準(zhǔn)把控整體安全，有利于統(tǒng)籌部署針對各種攻擊鏈、各個環(huán)節(jié)的安全防御措施。

安全資源動態(tài)調(diào)節(jié)采用虛擬化技術(shù)，對數(shù)據(jù)庫審計(jì)、堡壘機(jī)、日志審計(jì)、漏洞掃描等安全設(shè)備采取分級或分域建設(shè)安全資源池的方式，可以隨時根據(jù)監(jiān)測系統(tǒng)需求分配安全設(shè)備資源，讓安全防護(hù)能力更加快捷地實(shí)現(xiàn)落地，節(jié)省安全設(shè)備的運(yùn)行、管理及維護(hù)成本。

4 結(jié)語

多業(yè)務(wù)系統(tǒng)互聯(lián)互通解決了各系統(tǒng)建設(shè)分散所帶來的數(shù)據(jù)不連通、系統(tǒng)使用不方便、傳輸不及時等問題，但同時也擴(kuò)大了系統(tǒng)互聯(lián)后帶來的各種網(wǎng)絡(luò)安全風(fēng)險。針對此問題，基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案，在實(shí)現(xiàn)數(shù)據(jù)融合匯聚、數(shù)據(jù)分析統(tǒng)計(jì)、數(shù)據(jù)監(jiān)測警告及態(tài)勢發(fā)展可視的基礎(chǔ)上，進(jìn)一步提出了增強(qiáng)多業(yè)務(wù)系統(tǒng)互聯(lián)的集約化網(wǎng)絡(luò)安全管理的思路，有效打通安全信息數(shù)據(jù)壁壘，推進(jìn)安全設(shè)備集約共享，優(yōu)化技術(shù)設(shè)備、資金和人員配置，是當(dāng)前網(wǎng)絡(luò)環(huán)境下一種安全、經(jīng)濟(jì)、實(shí)用的安全方案。