汪秀莉+蔣飄蓬+王蓉+王紅麗

摘要：隨著信息化的發(fā)展，網(wǎng)絡面臨著嚴峻的安全問題，傳統(tǒng)的依靠獨立網(wǎng)絡安全設備的防護方法已不適用。網(wǎng)絡態(tài)勢感知技術綜合通過對多種安全措施進行融合，實現(xiàn)對當前網(wǎng)絡狀況的評估，以及對未來網(wǎng)絡變化趨勢的預測，可實現(xiàn)對網(wǎng)絡的優(yōu)化管理以及對網(wǎng)絡安全的有效防護。該文針對網(wǎng)絡態(tài)勢感知技術的實用性進行了初步探討。

關鍵詞： 網(wǎng)絡安全；態(tài)勢感知；網(wǎng)絡防護

中圖分類號： TP393 文獻標識碼：A 文章編號：1009-3044（2018）02-0025-02

隨著信息化的發(fā)展，網(wǎng)絡的應用觸手可及，但這隨處可用的網(wǎng)絡的安全性卻無法得到大眾的廣泛認可。我們面臨著嚴峻的網(wǎng)絡安全問題：網(wǎng)絡所承載的應用和重要信息系統(tǒng)底數(shù)不清，情況不明，無法清晰準確判斷安全態(tài)勢和風險點；各種安全威脅缺乏有效預警、通報機制、手段、技術；安全事件處置、應急缺乏有效平臺和手段，已經(jīng)發(fā)生的安全事件，需要專業(yè)化的人員、工具等技術力量進行及時、有效的應急處置，安全事件取證、問題處理等響應手段。如何檢測安全網(wǎng)絡與應用系統(tǒng)的安全性，提升安全網(wǎng)絡系統(tǒng)的安全防御能力，夯實網(wǎng)絡信息安全等問題亟需解決。

1 傳統(tǒng)網(wǎng)絡防護的不足

傳統(tǒng)網(wǎng)絡防護體系，也是現(xiàn)在多數(shù)局域網(wǎng)采用的網(wǎng)絡防護方法大致有三種：一是檢測、防護、響應加策略的防護體系；二是采用多臺網(wǎng)絡安全設備堆砌的線性木桶式防護體系；三是關注操作系統(tǒng)和應用的不同層面安全的防御體系[1]。

在傳統(tǒng)網(wǎng)絡體系中，網(wǎng)絡安全一直是“魔高一丈”的狀態(tài)，只有在威脅被發(fā)覺之后才能獲知該信息。而防御方法也主要依靠升級特征庫。傳統(tǒng)網(wǎng)絡防護體系中的各種警告信息不斷產(chǎn)生，但是有效信息難以甄別，誤報率很高。在這樣一種網(wǎng)絡環(huán)境下， 網(wǎng)絡管理人員不能了解當前網(wǎng)絡安全的真實狀況， 不能針對警告信息采取相應的防護措施， 致使網(wǎng)絡管理難度不斷提高。

傳統(tǒng)的網(wǎng)絡防護體系中的安全設備各司其職，看似專業(yè)，實則孤立，沒有有效的協(xié)同防御；對于威脅，只有補救，沒有預警，只能后知后覺；而且，真有攻擊事件發(fā)生時回溯分析困難。

2 網(wǎng)絡態(tài)勢感知技術

網(wǎng)絡安全態(tài)勢感知指的是通過技術措施從時間和空間感知并獲取相應元素， 同時研究分析此類元素來了解當前安全狀況， 并預測后續(xù)發(fā)展。

網(wǎng)絡安全態(tài)勢感知包括網(wǎng)絡安全態(tài)勢覺察、網(wǎng)絡安全態(tài)勢理解和網(wǎng)絡安全態(tài)勢投射3個層面，是一個完整的認知過程。它不僅僅是將網(wǎng)絡中的安全要素進行簡單的匯總和疊加，而是根據(jù)不同的用戶需求，以一系列具有理論支撐的模型為支持，找出這些安全要素之間的內(nèi)在關系，實時地分析網(wǎng)絡的安全狀況[2]。

3 網(wǎng)絡態(tài)勢感知實用分析

網(wǎng)絡態(tài)勢感知技術的落地需要滿足網(wǎng)站安全監(jiān)測、通報預警管理和等保等方面的相應要求。

網(wǎng)站安全監(jiān)測方面，能針對網(wǎng)站及重要信息系統(tǒng)進行持續(xù)、多維度安全監(jiān)測，可以實時了解到所有Web資產(chǎn)面臨的風險，實現(xiàn)快速故障定位，當有異常情況或征兆時能夠及時提示，并提供專業(yè)的修補建議，以便及時采取應對措施。

安全通報預警管理方面，需要把監(jiān)測到的安全事件信息通過安全通報管理技術發(fā)布到下級管理員那里進行處理，并通過電子化的工單方式實現(xiàn)安全事件未處理和已處理以及如何處理等行為進行記錄和追蹤，最終，在此子系統(tǒng)中實現(xiàn)多源、多點事件的關聯(lián)分析，網(wǎng)絡攻擊行為分布展示，從收集多源異構(gòu)數(shù)據(jù)，到及時發(fā)現(xiàn)并判斷可疑事件，最終實現(xiàn)安全態(tài)勢的可視化展現(xiàn)。

等保方面，可以利用等保工具檢查的結(jié)果和安全通報平臺實現(xiàn)無縫對接，將安全風險統(tǒng)一由安全通報子系統(tǒng)進行處理，同時將最終檢查報告統(tǒng)一匯總進行展示。

3.1 主要內(nèi)容

網(wǎng)絡安全態(tài)勢感知體系中的通報預警平臺包含通報預警與應用安全監(jiān)測，以及網(wǎng)絡系統(tǒng)安全事件、流量、應用系統(tǒng)和網(wǎng)站安全事件的數(shù)量統(tǒng)計和整體分析，形成比較直觀的態(tài)勢預警通報。

另外，對于一些重點網(wǎng)站需要結(jié)合業(yè)內(nèi)積累的漏洞庫進行多方位的威脅監(jiān)測，以便形成專項通報機制，進行處理；對于突發(fā)事件，需要在快速處置模塊下進行處理；安全事件要有追蹤溯源的功能，通過關聯(lián)分析，找出安全事件源頭，作為處理憑證；同時可進行等保的功能建設，形成統(tǒng)一的監(jiān)管依據(jù)。內(nèi)容具體分為以下六個部分：

3.1.1 安全態(tài)勢感知

安全態(tài)勢感知系統(tǒng)包括五大感知態(tài)勢維度，分別為資產(chǎn)態(tài)勢、攻擊態(tài)勢、威脅態(tài)勢、事件態(tài)勢、處置態(tài)勢，從事前、事中、事后的角度對網(wǎng)站及重要信息系統(tǒng)安全狀況進行全面的分析和可視化展示。從數(shù)據(jù)角度分析信息系統(tǒng)內(nèi)重要信息系統(tǒng)和重點網(wǎng)站（包括域名、網(wǎng)站標題、網(wǎng)站IP、行政屬地、等保情況、聯(lián)系人等）、網(wǎng)絡設備資產(chǎn)情況與指紋信息（操作系統(tǒng)類型、開放端口、開放服務、平臺中間件、技術架構(gòu)等）、網(wǎng)絡攻擊行為、網(wǎng)絡安全事件等方面提供多層面視角范圍的安全態(tài)勢。

3.1.2 安全事件的通報預警

結(jié)合網(wǎng)絡安全監(jiān)測、上級安全事件通告、第三方事件通報平臺進行網(wǎng)絡安全通報，結(jié)合郵件、短信、移動APP等多種通報方式，實現(xiàn)監(jiān)管部門到網(wǎng)站建設單位的信息互通，提供實時告警，提升管理員安全響應速度，可支持管理員處理安全事件響應零延遲。

3.1.3 漏洞的定向預警

針對如Struts 2 遠程命令執(zhí)行、Openssl等重大、典型漏洞實現(xiàn)在線檢測，并結(jié)合最新挖掘的0day與業(yè)內(nèi)披露的漏洞信息，對最新威脅影響進行預判，并第一時間進行定向預警。

3.1.4 攻擊事件的通知與相關網(wǎng)站的預警

當發(fā)生對系統(tǒng)網(wǎng)站的網(wǎng)絡攻擊與篡改攻擊等事件，能夠進行定向預警，督促各單位進行部署防御。

3.1.5 應用安全監(jiān)測

對網(wǎng)站和重要應用系統(tǒng)進行定期監(jiān)測服務，實現(xiàn)全局網(wǎng)站和應用系統(tǒng)的漏洞監(jiān)測、網(wǎng)頁木馬監(jiān)測、篡改檢測、可用性監(jiān)測與關鍵詞監(jiān)測，提供詳盡的數(shù)據(jù)與分析報告。

3.1.6 等級保護管理

按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求完成信息系統(tǒng)的定級、備案和第三級以上信息系統(tǒng)的測評、整改工作。

3.2 使用效果

通過網(wǎng)絡態(tài)勢感知體系，可以提升網(wǎng)絡管理和網(wǎng)絡安全水平，實現(xiàn)以下目標：

1） 實現(xiàn)對系統(tǒng)網(wǎng)絡安全態(tài)勢和威脅感知；

2） 實現(xiàn)網(wǎng)絡威脅和漏洞第一時間預警；

3） 實現(xiàn)網(wǎng)絡安全事件第一時間通報處置；

4） 實現(xiàn)網(wǎng)絡安全監(jiān)管執(zhí)法工作信息化和數(shù)據(jù)化；

5） 實現(xiàn)以APP、短信、等保工具箱等構(gòu)建網(wǎng)絡安全可視化感知、預警、通報、處置工作流閉環(huán)。

4 結(jié)束語

在信息技術快速發(fā)展的過程中， 網(wǎng)絡攻擊事件時有發(fā)生。網(wǎng)絡安全已經(jīng)成為人們高度重視的問題。現(xiàn)有公司、企業(yè)和高校的網(wǎng)絡大部分都是由局域網(wǎng)接入互聯(lián)網(wǎng)，建設結(jié)構(gòu)簡單，缺乏嚴密的安全措施。網(wǎng)絡安全態(tài)勢感知技術是目前能夠有效保障網(wǎng)絡安全的技術，在實際應用中可行，值得普及推廣。

參考文獻：

[1] 管磊，胡光俊，王專.基于大數(shù)據(jù)的網(wǎng)絡安全態(tài)勢感知技術研究[J].2017.

[2] 龔儉，臧小東，蘇琪，胡曉艷，徐杰.網(wǎng)絡安全態(tài)勢感知綜述[J].軟件學報，2017，28（4）：1010-1026.endprint