王凱麗 門寧 付博 張成

摘要

網(wǎng)絡(luò)安全態(tài)勢(shì)感知能夠?qū)W(wǎng)絡(luò)整體安全風(fēng)險(xiǎn)進(jìn)行展現(xiàn)，能夠提高單位網(wǎng)絡(luò)安全主動(dòng)防御能力。河南省環(huán)保系統(tǒng)網(wǎng)絡(luò)安全建設(shè)，結(jié)合已有安全防護(hù)措施與工作中遇到的問(wèn)題，實(shí)施網(wǎng)絡(luò)安全事件分析風(fēng)險(xiǎn)監(jiān)控。通過(guò)安全事件數(shù)據(jù)分析工作，協(xié)助落實(shí)全覆蓋、全流程、全崗責(zé)的省級(jí)網(wǎng)絡(luò)安全工作格局。本文對(duì)環(huán)保網(wǎng)絡(luò)安全事件分析與安全態(tài)勢(shì)展現(xiàn)的建設(shè)需求、建設(shè)模型、建設(shè)思路進(jìn)行了闡述。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 事件分析 態(tài)勢(shì)感知 態(tài)勢(shì)展現(xiàn)

1 背景

2016年3月發(fā)布的《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十三個(gè)五年規(guī)劃綱要》，簡(jiǎn)稱“十三五”規(guī)劃（2016-2020年），第二十八章為“強(qiáng)化信息安全保障”，指出：統(tǒng)籌網(wǎng)絡(luò)安全和信息化發(fā)展，完善國(guó)家網(wǎng)絡(luò)安全保障體系，強(qiáng)化重要信息系統(tǒng)和數(shù)據(jù)資源保護(hù)，提高網(wǎng)絡(luò)治理能力，保障國(guó)家信息安全，明確要求加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施威脅感知和持續(xù)防御能力建設(shè)。2017年6月1日實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，要求關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)。

環(huán)保信息系統(tǒng)屬于關(guān)鍵信息基礎(chǔ)設(shè)施類的系統(tǒng)，系統(tǒng)安全直接關(guān)乎國(guó)家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定和公共利益。環(huán)保業(yè)務(wù)網(wǎng)絡(luò)規(guī)模上已形成了國(guó)家、省、市分級(jí)部署。近兩年，根據(jù)國(guó)家對(duì)信息安全管理工作的要求，結(jié)合環(huán)保業(yè)務(wù)網(wǎng)絡(luò)、數(shù)據(jù)、系統(tǒng)和網(wǎng)管安管平臺(tái)等工作基礎(chǔ)和信息安全現(xiàn)狀，加強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)分析、風(fēng)險(xiǎn)監(jiān)控、預(yù)測(cè)預(yù)警管理工作成為了省局單位在網(wǎng)絡(luò)管理中的重要需求。

2 網(wǎng)絡(luò)安全現(xiàn)狀及問(wèn)題

省局環(huán)保網(wǎng)絡(luò)系統(tǒng)已經(jīng)建立了邊界防護(hù)措施、縱深防御系統(tǒng)體系，已經(jīng)建設(shè)防火墻、接入VPN、入侵防御、VVEB應(yīng)用防護(hù)等安全防護(hù)措施。但隨著新技術(shù)的不斷發(fā)展，攻擊者的手段也在不斷發(fā)展變化，傳統(tǒng)的監(jiān)測(cè)技術(shù)相對(duì)固化，越來(lái)越難以有效地識(shí)別攻擊，難以防御和應(yīng)對(duì)。問(wèn)題表現(xiàn)為：

2.1 缺乏對(duì)各類IT資產(chǎn)以及邊界運(yùn)行情況的了解，應(yīng)急響應(yīng)速度慢

隨著安全體系架構(gòu)和IT資產(chǎn)的日益復(fù)雜，應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端等資產(chǎn)的運(yùn)行情況、連接狀態(tài)、版本信息、流量信息、配置信息、漏洞信息以及由此產(chǎn)生的流量異常和連接異常行為，在發(fā)生網(wǎng)絡(luò)安全事件時(shí)，無(wú)法準(zhǔn)確定位故障點(diǎn)。

2.2 傳統(tǒng)安全分析能力力不從心，無(wú)法追蹤溯源

在安全體系架構(gòu)日益復(fù)雜的同時(shí)，各種類型的安全數(shù)據(jù)越來(lái)越多，網(wǎng)絡(luò)安全數(shù)據(jù)分析工作中，安全審計(jì)崗的工作顯得尤為突出，在滿足日志留存至少6個(gè)月的同時(shí)，安全審計(jì)崗人員還需對(duì)日志和網(wǎng)絡(luò)流量等數(shù)據(jù)進(jìn)行深度的分析審計(jì)，使得事后能及時(shí)追蹤溯源，調(diào)整優(yōu)化策略。但因安全審計(jì)工作的特殊性，單純的依靠網(wǎng)絡(luò)中部署傳統(tǒng)的日志審計(jì)、網(wǎng)絡(luò)行為審計(jì)、數(shù)據(jù)庫(kù)審計(jì)和主機(jī)審計(jì)等審計(jì)類設(shè)備來(lái)完成，且設(shè)備在最初采購(gòu)后添加少量的策略，未及時(shí)進(jìn)行深度的策略配置，面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)，僅僅依靠單臺(tái)未及時(shí)更新策略的審計(jì)設(shè)備和不夠健全的安全管理制度，無(wú)法及時(shí)應(yīng)對(duì)復(fù)雜嚴(yán)重的安全事件，且設(shè)備誤報(bào)幾率大，影響安全審計(jì)工作效果，同時(shí)在發(fā)生“刪庫(kù)”等安全事件后，無(wú)法追蹤溯源。

2.3 缺少主動(dòng)式網(wǎng)絡(luò)安全防護(hù)

環(huán)保網(wǎng)絡(luò)架構(gòu)在橫向可劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、業(yè)務(wù)專網(wǎng)區(qū)，如何將區(qū)域關(guān)鍵數(shù)據(jù)統(tǒng)一集中數(shù)據(jù)分析，并有效的展現(xiàn)，成為建設(shè)態(tài)勢(shì)感知平臺(tái)的基礎(chǔ)。而實(shí)現(xiàn)系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)分析及態(tài)勢(shì)展現(xiàn)，需要有專業(yè)的人員，采用專業(yè)的設(shè)備，專業(yè)的安全服務(wù)。

3 總體設(shè)計(jì)

為使網(wǎng)絡(luò)安全數(shù)據(jù)分析及態(tài)勢(shì)展現(xiàn)效果更加突出，需要采集網(wǎng)絡(luò)資產(chǎn)所產(chǎn)生的協(xié)議流量、日志、攻擊病毒、資源能耗、漏洞違規(guī)、服務(wù)器主機(jī)及應(yīng)用等組成部分，進(jìn)行全方位的整體關(guān)聯(lián)分析，確保事件分析和態(tài)勢(shì)展現(xiàn)結(jié)果精準(zhǔn)可靠。并結(jié)合《網(wǎng)絡(luò)安全法》要求，最大程度上解決用數(shù)據(jù)分析等需求，建立以數(shù)據(jù)收集與處理、數(shù)據(jù)分析和數(shù)據(jù)展現(xiàn)的全流程機(jī)制。

網(wǎng)絡(luò)安全事件分析從原始數(shù)據(jù)的來(lái)源采集、采集之后的數(shù)據(jù)處理，通過(guò)數(shù)據(jù)分析，采用關(guān)多事件關(guān)聯(lián)分析，針對(duì)威脅目標(biāo)、威脅源、攻擊過(guò)程等進(jìn)行詳細(xì)的數(shù)據(jù)分析，最后通過(guò)工具進(jìn)行態(tài)勢(shì)展現(xiàn)。整體設(shè)計(jì)如圖1所示。

4 網(wǎng)絡(luò)安全事件分析與態(tài)勢(shì)展現(xiàn)環(huán)節(jié)

4.1 數(shù)據(jù)采集

現(xiàn)有網(wǎng)絡(luò)安全數(shù)據(jù)采集分析對(duì)象主要以包數(shù)據(jù)、流數(shù)據(jù)和事件數(shù)據(jù)等組成，其中最常見的包括日志、流量等，日志或者日志消息是數(shù)據(jù)的核心，日志消息就是計(jì)算機(jī)系統(tǒng)、設(shè)備、軟件等在某種攻擊環(huán)境“刺激”下反應(yīng)生成的數(shù)據(jù)，確切的“刺激”在很大程度上取決于日志消息的來(lái)源，如Linux操作系統(tǒng)會(huì)記錄用戶登錄和注銷的消息，防火墻將記錄ACL通過(guò)和拒絕的消息等。

4.2 關(guān)聯(lián)分析

采用集中安全管控分析工具，針對(duì)如SQL注入攻擊、網(wǎng)絡(luò)口令破解等攻擊特征，建立本地化關(guān)聯(lián)規(guī)則，有效利用收集到的監(jiān)測(cè)日志，實(shí)現(xiàn)安全事件的多維度監(jiān)控，總結(jié)析可能形成的攻擊。

例一：注入攻擊通過(guò)日志關(guān)聯(lián)進(jìn)行分析 （如圖2所示）。

例二：暴力口令破解攻擊利用日志關(guān)聯(lián)分析（如圖3所示）。

例三：多設(shè)備日志關(guān)聯(lián)的網(wǎng)絡(luò)攻擊監(jiān)控分析（如圖4所示）。

4.3 態(tài)勢(shì)展現(xiàn)

態(tài)勢(shì)展現(xiàn)是根據(jù)各類感知基礎(chǔ)數(shù)據(jù)及系統(tǒng)分析后數(shù)據(jù)進(jìn)行基于態(tài)勢(shì)的信息呈現(xiàn)。通過(guò)態(tài)勢(shì)展現(xiàn)界面，安全分析管理人員可以更輕松的處理各種數(shù)據(jù)，利用可視化的形式關(guān)聯(lián)數(shù)據(jù)，查明異常行為，為安全調(diào)查提供分析起點(diǎn)。在態(tài)勢(shì)展現(xiàn)的基礎(chǔ)上，依據(jù)現(xiàn)有的風(fēng)險(xiǎn)變化感知將要發(fā)生的風(fēng)險(xiǎn)，利用變化的趨勢(shì)感知安全態(tài)勢(shì)，以期達(dá)到通過(guò)邏輯關(guān)系預(yù)測(cè)安全態(tài)勢(shì)的思路。

5 總結(jié)

通過(guò)合理的網(wǎng)絡(luò)安全規(guī)劃，實(shí)施網(wǎng)絡(luò)安全事件收集分析，用以保證單位網(wǎng)絡(luò)安全平穩(wěn)運(yùn)行，安全事件的態(tài)勢(shì)展現(xiàn)的方式是在不影響實(shí)際業(yè)務(wù)，既保證業(yè)務(wù)的正常顯示，又能保證業(yè)務(wù)的安全可靠，同時(shí)能全方位的把握網(wǎng)絡(luò)安全態(tài)勢(shì)，便于規(guī)劃統(tǒng)籌，提出數(shù)據(jù)分析及態(tài)勢(shì)展現(xiàn)建設(shè)思考，兼顧了長(zhǎng)遠(yuǎn)深度態(tài)勢(shì)感知發(fā)展的需要，為深化安全態(tài)勢(shì)感知系統(tǒng)，建成具備主動(dòng)防御能力的縱深防御體系打下堅(jiān)實(shí)的基礎(chǔ)。

參考文獻(xiàn)

[1]李明，脫永軍，黃云霞.網(wǎng)絡(luò)空間態(tài)勢(shì)感知模型及應(yīng)用研究[J].通信技術(shù)，2016，（9）：1211-1216.DOI：10.3969/j.issn.1002-0802.2016.09.020.

[2]李碩，戴欣，周渝霞.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究進(jìn)展[J].計(jì)算機(jī)應(yīng)用研究，2010，（9）：3227-3232.DOI：10.3969/j.issn.1001-3695.2 010.09.006.

[3]章學(xué)妙，傅種，盧嘉.基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的網(wǎng)絡(luò)系統(tǒng)自防御體系[J].計(jì)算機(jī)應(yīng)用與軟件，2017，（9）：159-165.DOI：10. 3969/.1.issn.1000-386x.2017（09）：032.

[4]馬龍，孫江輝，杜程.基于流量分析的網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)研究[J].信息技術(shù)2016，（8）：97-100，105.DOI：10.13274/j.cnki.hdzj.2016（08）：025.