楊玉璞 毛新然

神州數(shù)碼信息系統(tǒng)有限公司 100085

引言

智慧城市安全服務平臺面向已有的揚州、無錫、鎮(zhèn)江、張家港和佛山等8個以及未來增加的智慧城市提供信息安全服務，跨城市安全態(tài)勢感知服務是平臺所提供的信息安全服務中的重要一項，除此之外還有跨城市的身份認證和授權(quán)管理等服務。

態(tài)勢感知（SituationAwareness）這個概念來自我國古代的《孫子兵法》。一般地，態(tài)勢感知的核心部分可以理解為一個漸進明晰的過程，它通過態(tài)勢要素獲取，獲得必要的數(shù)據(jù)，然后通過數(shù)據(jù)分析進行態(tài)勢理解，進而實現(xiàn)對未來短期時間內(nèi)的態(tài)勢預測。態(tài)勢感知最終達成的目標是實現(xiàn)對未來的短期預測，是一個動態(tài)、準實時系統(tǒng)。

目前，對于安全態(tài)勢感知尚無統(tǒng)一定義，以下給出幾個描述性定義：

定義1：態(tài)勢感知是指在大規(guī)模系統(tǒng)環(huán)境中，對能夠引起系統(tǒng)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預測未來的發(fā)展趨勢。

定義2：網(wǎng)絡態(tài)勢感知是指在大規(guī)模網(wǎng)絡環(huán)境中，對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預測最近的發(fā)展趨勢。

1 建設內(nèi)容

建設安全態(tài)勢分析數(shù)據(jù)庫，研制安全威脅主動發(fā)現(xiàn)和探測、安全態(tài)勢數(shù)據(jù)監(jiān)測、安全事件關聯(lián)分析與預警、網(wǎng)絡安全指數(shù)計算、網(wǎng)絡安全態(tài)勢展示等子系統(tǒng)，形成安全監(jiān)測與態(tài)勢感知服務系統(tǒng)，為政務部門提供安全威脅檢測、狀態(tài)監(jiān)測、安全態(tài)勢感知和趨勢預測等安全保障服務。

安全態(tài)勢分析數(shù)據(jù)庫，用于存儲態(tài)勢分析的相關數(shù)據(jù)，包括安全事件、資產(chǎn)配置及漏洞信息、安全基線信息、網(wǎng)絡拓撲及配置信息、安全威脅以及關聯(lián)規(guī)則等。數(shù)據(jù)庫是分布式的，在中央級、省級、市級以及縣級都有自己的網(wǎng)絡安全態(tài)勢分析數(shù)據(jù)庫，且提供相應的數(shù)據(jù)的存儲、查詢、處理以及維護等功能。數(shù)據(jù)庫信息能夠及時更新，能隨時更新新形態(tài)的木馬病毒的特征（包括專門針對于政務網(wǎng)絡的特殊木馬）；可以更新關聯(lián)規(guī)則。及可以直接提供數(shù)據(jù)服務，可支持其他安全服務系統(tǒng)。

安全威脅主動發(fā)現(xiàn)和探測子系統(tǒng)以高級別的安全威脅探測功能為核心，能夠主動探測各種新出現(xiàn)的威脅（尤其是特種木馬），并能夠根據(jù)異常行為模式甄別和捕捉最新的安全威脅。

安全態(tài)勢數(shù)據(jù)監(jiān)測子系統(tǒng)通過對網(wǎng)絡信息流進行深度包檢測（DPI），即對網(wǎng)絡信息流的協(xié)議分布、應用狀態(tài)、用戶行為模式和內(nèi)容代碼特征進行深度檢測，掌握網(wǎng)絡和信息系統(tǒng)的總體運行狀況，及時發(fā)現(xiàn)異常情況。

網(wǎng)絡安全事件的關聯(lián)分析與預警子系統(tǒng)對不同安全域、不同時間的多來源安全相關事件進行多維度（多種時空屬性和網(wǎng)絡屬性）的關聯(lián)分析，揭示和還原出真實的安全事件，識別真實的安全風險，并對重大安全事件進行預警。通過多源事件多維度的關聯(lián)分析，提供全方位的安全態(tài)勢分析服務。

網(wǎng)絡安全指數(shù)計算子系統(tǒng)通過對當前安全事件的量化評估，計算當前時間范圍內(nèi)的網(wǎng)絡安全指數(shù)。網(wǎng)絡安全指數(shù)計算主要從網(wǎng)絡基礎運行維度、網(wǎng)絡脆弱性維度和網(wǎng)絡威脅性維度三個維度，對網(wǎng)絡安全態(tài)勢形成一個完整的評價。

網(wǎng)絡安全態(tài)勢展示子系統(tǒng)提供一套完整的針對網(wǎng)絡安全態(tài)勢的可視化展示工具，由通用報表生成軟件、圖形生成軟件、地理地圖態(tài)勢展示軟件以及通用數(shù)據(jù)庫查詢工具等部分組成。結(jié)合安全事件匯總分析與數(shù)據(jù)挖掘中查詢與顯示需求，實現(xiàn)網(wǎng)絡安全態(tài)勢展示。

2 服務內(nèi)容

2.1 安全危險檢測

安全危險檢測包括兩類服務，一是安全威脅主動發(fā)現(xiàn)和探測，以高級別的安全威脅探測功能為核心，能夠主動探測各種新出現(xiàn)的威脅（尤其是特種木馬），并能夠根據(jù)異常行為模式甄別和捕捉最新的安全威脅。二是安全態(tài)勢數(shù)據(jù)監(jiān)測，通過對網(wǎng)絡信息流進行深度包檢測（DPI），即對網(wǎng)絡信息流的協(xié)議分布、應用狀態(tài)、用戶行為模式和內(nèi)容代碼特征進行深度檢測，掌握網(wǎng)絡和信息系統(tǒng)的總體運行狀況，及時發(fā)現(xiàn)異常情況。

2.2 態(tài)勢感知和預測預警

對不同安全域、不同時間的多來源安全相關事件進行多維度（多種時空屬性和網(wǎng)絡屬性）的關聯(lián)分析，揭示和還原出真實的安全事件，識別真實的安全風險，并對重大安全事件進行預警。通過多源事件多維度的關聯(lián)分析，提供全方位的安全態(tài)勢分析服務。

3 態(tài)勢感知模型

整個模型分為要素信息采集、事件歸一化、事件預處理、態(tài)勢評估、業(yè)務評估、預警與響應、流程處理、態(tài)勢可視化和歷史數(shù)據(jù)分析等幾個主要部分。

4 小結(jié)

智慧城市安全服務平臺態(tài)勢感知服務系統(tǒng)作為上述安全態(tài)勢感知系統(tǒng)模型的一個實例，雖然不是很完善，但是已經(jīng)實現(xiàn)了其中一些關鍵技術(shù)，包括總體架構(gòu)已經(jīng)搭建起來、并實現(xiàn)了基于流數(shù)據(jù)的實時關聯(lián)分析技術(shù)、高性能事件處理技術(shù)、海量事件分析技術(shù)、信息可視化技術(shù)，等等。態(tài)勢感知相關技術(shù)的發(fā)展和成熟有助于為用戶抽取出有價值的安全信息和安全知識。最后，安全態(tài)勢感知技術(shù)的突破和應用還為將來的平臺作為網(wǎng)絡可生存性（NetworkSurvivability）的控制中樞提供了基礎支撐。

[1]韋勇, 連一峰. 基于日志審計與性能修正算法的網(wǎng)絡安全態(tài)勢評估模型. 計算機學報, 2009.4, 32(4): 763-772.

[2]劉聰林.電子政務系統(tǒng)安全性研究[J].電腦知識與技術(shù),2010,6(4):841-842.

[3]朱方. 點滴匯聚智能運籌智慧城市公共安全平臺探索. 中國公共安全(綜合版) ,2012年13期