許卓偉

摘 要：如何在信息技術(shù)日益發(fā)展的網(wǎng)絡(luò)大環(huán)境下提高信息全面保障的能力以及提升信息可靠處理效率，成為當前有關(guān)部門研究的重點。本文對態(tài)勢感知技術(shù)內(nèi)涵進行了簡要分析，重點探討了態(tài)勢感知技術(shù)在信息安全保障中的應(yīng)用情況，以期為不斷提升態(tài)勢感知技術(shù)深度應(yīng)用水平，更好地發(fā)揮其優(yōu)勢方面的探究提供一定的參考或者幫助。

關(guān)鍵詞：態(tài)勢感知技術(shù) 信息安全 保障 防范 不良監(jiān)測 應(yīng)用

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3791（2018）11（a）-000-02

1 態(tài)勢感知技術(shù)內(nèi)涵及關(guān)鍵技術(shù)探討

隨著網(wǎng)絡(luò)安全事件發(fā)生率越來越高，安全威脅形勢日益嚴峻，新形勢下對加強網(wǎng)絡(luò)信息安全提出了更高的要求，既需要不斷地對特異性應(yīng)對處理技術(shù)進行升級，同時還要關(guān)口前移，不斷提高全局防控能力，借助感知信息系統(tǒng)，對各類發(fā)生的運行狀態(tài)和可能面臨的安全風險等進行綜合比較和研究，進而構(gòu)建全方位的信息防護系統(tǒng)，才能不斷提高綜合防御和處理水平。

態(tài)勢感知技術(shù)作為一種動態(tài)的、基礎(chǔ)的、綜合性的安全風險防控技術(shù)，通過構(gòu)建安全大數(shù)據(jù)平臺，從而從全局的角度對安全風險或者威脅進行識別、排查、分析和響應(yīng)。

1.1 數(shù)據(jù)集成處理技術(shù)

對于數(shù)據(jù)管理事項而言，其中重要的一項基礎(chǔ)工作是對各類數(shù)據(jù)進行收集、整理和集中處理，將關(guān)聯(lián)數(shù)據(jù)進行整合，提高數(shù)據(jù)邏輯性和系統(tǒng)性。數(shù)據(jù)集成技術(shù)是態(tài)勢感知技術(shù)的一項基礎(chǔ)部分，最常用的技術(shù)當屬數(shù)據(jù)倉庫技術(shù)。該技術(shù)主要是通過對不同渠道、模式和類型的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)進行集中抽取，并構(gòu)建一個臨時中間層進行過渡處理，從而實現(xiàn)數(shù)據(jù)綜合調(diào)度和加載，為后續(xù)數(shù)據(jù)基礎(chǔ)處理和深度應(yīng)用等奠定基礎(chǔ)。

數(shù)據(jù)集成處理技術(shù)是一個系統(tǒng)的應(yīng)用過程，主要涉及數(shù)據(jù)抽取、數(shù)據(jù)轉(zhuǎn)換與加工處理、數(shù)據(jù)裝載3個環(huán)節(jié)。

數(shù)據(jù)集成處理的第一個階段是數(shù)據(jù)抽取，也就是從信息數(shù)據(jù)庫中抽取有用的關(guān)鍵的數(shù)據(jù)，進而為后續(xù)應(yīng)用等奠定基礎(chǔ)。數(shù)據(jù)抽取需要根據(jù)不同的實際需要選擇不同的抽取模式，通?？煞譃槿砍槿『驮隽砍槿煞N。前者是直接對原數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)直接進行提取，進而按照既定的轉(zhuǎn)換模式和格式進行識別和處理。后者主要是在已經(jīng)進行基礎(chǔ)抽取的基礎(chǔ)上按照相關(guān)的要求進行再次抽取和數(shù)據(jù)提取，從而更好地篩選出新增或者刪除等變化的數(shù)據(jù)。

數(shù)據(jù)集成處理的第二個階段是數(shù)據(jù)的加工環(huán)節(jié)。數(shù)據(jù)提取完成后需要對數(shù)據(jù)提取情況進行加工和轉(zhuǎn)化，按照既定的需求和轉(zhuǎn)換模式轉(zhuǎn)化成便于協(xié)同處理的數(shù)據(jù)信息。進行數(shù)據(jù)轉(zhuǎn)換既可以直接在數(shù)據(jù)倉庫技術(shù)引擎系統(tǒng)中進行直接處理，也可以進行數(shù)據(jù)抽取和轉(zhuǎn)換同步處理。前者主要是借助數(shù)據(jù)倉庫技術(shù)引擎系統(tǒng)內(nèi)部的支撐技術(shù)，為數(shù)據(jù)轉(zhuǎn)換、加工提供相應(yīng)的功能服務(wù)，直接實現(xiàn)數(shù)據(jù)計算、分析、檢驗、替換、過濾、加密防護以及拆分與合并等，按照既定的流程模式進行有序操作即可。后者主要是借助SQL語句和函數(shù)自身具備的數(shù)據(jù)處理功能進行參數(shù)轉(zhuǎn)化和處理。當然由于數(shù)據(jù)本身的多樣性，決定了后續(xù)處理難度較大。

數(shù)據(jù)集成處理的第三個階段是數(shù)據(jù)裝載階段，在裝載階段一方面可以借助SQL語句進行直接進行升級、刪除等處理，另一方面為了提高集中裝載效率，也可以借助sqlldr技術(shù)進行批量裝載，但是需要針對不同的數(shù)據(jù)類型和差異進行規(guī)范化處理，必要時還要進行數(shù)據(jù)恢復(fù)，所以處理難度較大。

1.2 數(shù)據(jù)分析處理技術(shù)

在信息安全保障體系中引入態(tài)勢感知技術(shù)，除了進行基礎(chǔ)數(shù)據(jù)處理以外，還要對信息進行關(guān)聯(lián)度分析，從而更好地提升數(shù)據(jù)深度挖掘處理分析水平，更好地加以應(yīng)用。該技術(shù)有兩種處理模式：一種是按照一定的規(guī)則和匹配方式創(chuàng)建相應(yīng)的關(guān)聯(lián)指標，設(shè)置相關(guān)的限制條件，從而對關(guān)鍵事件和關(guān)注的要素進行提取，橫向縱向?qū)Ρ确治?，形成具體的分析結(jié)果。另一種是綜合關(guān)聯(lián)分析。該技術(shù)還可以分成規(guī)則關(guān)聯(lián)、統(tǒng)計關(guān)聯(lián)與漏洞庫關(guān)聯(lián)3種方法。將相關(guān)的安全事件和漏洞數(shù)據(jù)等通過設(shè)定相應(yīng)的規(guī)則，進行多重關(guān)聯(lián)分析，創(chuàng)建具體的功能情境，進而對數(shù)據(jù)進行多維度分析，總結(jié)相關(guān)的特征和差異，提高綜合處理水平。

1.3 數(shù)據(jù)展示技術(shù)

該技術(shù)目前最新的功能是可以借助互聯(lián)網(wǎng)前端編程語言HTML5、響應(yīng)式布局、瀏覽器插件支持從而實現(xiàn)良好的界面展示效果，提高數(shù)據(jù)展示的直觀性、形象化，滿足用戶的個體需求。通常可以分為大屏展示和磁貼式展示兩種技術(shù)。根據(jù)用戶不同需求和展示的具體維度，設(shè)定不同的定義模式，從而實現(xiàn)個體化模式監(jiān)測和豐富的內(nèi)容展現(xiàn)。

2 態(tài)勢感知技術(shù)在信息安全保障中的應(yīng)用設(shè)計

態(tài)勢感知技術(shù)在信息安全保障中具體應(yīng)用，需要根據(jù)基本需求進行綜合設(shè)計，才能保證技術(shù)功能的發(fā)揮。具體應(yīng)當包含以下幾個環(huán)節(jié)。

（1）根據(jù)具體信息安全保障要求，確定態(tài)勢感知技術(shù)的具體設(shè)計目的或者功能模塊。通常態(tài)勢感知平臺的運行是為了滿足相應(yīng)的功能需要，在信息安全保障方面主要是為了防止信息泄露、被惡意攻擊或者防范服務(wù)器終端漏洞等。為了實現(xiàn)這一目的，一方面需要加強基礎(chǔ)平臺建設(shè)，確保態(tài)勢感知平臺系統(tǒng)能夠支持建立各類不良信息、安全漏洞、惡意移動應(yīng)用樣本庫等防護體系。另一方面不斷完善數(shù)據(jù)集成系統(tǒng)，對系統(tǒng)運行數(shù)據(jù)、安全事件等相關(guān)信息實時動態(tài)采集，從而更好地實現(xiàn)平臺多功能感知及自動監(jiān)測。

（2）根據(jù)整體信息安全保障要求和設(shè)計目標，構(gòu)建完善的平臺技術(shù)體系。通常按照態(tài)勢感知技術(shù)體系基本層級配置要求，可以設(shè)置成數(shù)據(jù)采集層、安全分析層、態(tài)勢感知層3個處理層級和功能模塊。最底層的基礎(chǔ)部分是數(shù)據(jù)采集功能模塊，主要是為了對各類和網(wǎng)站資源、資產(chǎn)、流量以及移動數(shù)據(jù)相關(guān)的原始數(shù)據(jù)、監(jiān)測數(shù)據(jù)等進行收集，并按照采集處理程序進行分步處理、存儲和共享，對數(shù)據(jù)進行分類、標識和檢索，完成基本數(shù)據(jù)整合。中間層級是安全分析模塊，該部分功能模塊是最關(guān)鍵的技術(shù)模塊，主要是對關(guān)聯(lián)數(shù)據(jù)、不良信息以及安全風險等進行實時監(jiān)測，建立自動化檢測和惡意攻擊篡改防御體系，需要配置安全技術(shù)庫、安全知識庫等關(guān)鍵技術(shù)和資源，對信息動態(tài)變化情況和發(fā)展態(tài)勢進行綜合分析、研判和總結(jié)。態(tài)勢感知功能模塊主要是對前兩個層級收集整理分析的數(shù)據(jù)結(jié)果按照既定的設(shè)計頁面和指標統(tǒng)計系統(tǒng)進行分類整合，同時進行跟蹤定位，動態(tài)可視化進行展示，對安全態(tài)勢以及異常行為等進行全面多級監(jiān)控，便于進行總結(jié)和觀測是否存在不良狀況。

在信息安全保障體系建設(shè)中態(tài)勢感知技術(shù)以其獨特的優(yōu)勢發(fā)揮著重要的防護和保障作用，在具體運行過程中，一方面可以通過對網(wǎng)站等各類數(shù)據(jù)以及監(jiān)測到的各類數(shù)據(jù)等進行動態(tài)監(jiān)控，從而針對可能存在的隱患點進行重點監(jiān)督排查，確保網(wǎng)站始終處于安全防護動態(tài)管理狀態(tài)下。另一方面還可以對網(wǎng)站各類攻擊信息等進行重點過濾、篩選和監(jiān)測，一旦超出設(shè)定標準，將立即啟動報警響應(yīng)程序，同時動態(tài)監(jiān)測各類不良信息的變化、歷史數(shù)據(jù)規(guī)律等情況。此外隨著技術(shù)不斷升級，態(tài)勢感知技術(shù)還可以借助收集的統(tǒng)一深度報告檢測流量數(shù)據(jù)，對惡意樣本等進行綜合多維度分析，并對發(fā)展態(tài)勢進行觀察、預(yù)測和研判，提前便于制定防護處理措施，降低不良風險發(fā)生率和擴散度。

3 結(jié)語

總之，態(tài)勢感知技術(shù)在信息安全保障領(lǐng)域具有強大的支撐保障作用，相信隨著技術(shù)不斷升級，將會在更多的領(lǐng)域?qū)崿F(xiàn)更多的功能，從而為維護網(wǎng)絡(luò)信息安全，提高信息綜合處置利用水平提供重要的技術(shù)支持。

參考文獻

[1] 葛琳.電信網(wǎng)信息內(nèi)容安全事件態(tài)勢感知技術(shù)研究[D].解放軍信息工程大學，2014.

[2] 舒航，王穎穎，程魯鑫.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].福建電腦，2017，33（8）：5-8.

[3] 丁聰.基于粗糙集的網(wǎng)絡(luò)安全態(tài)勢感知方法研究[D].蘭州大學，2015.