◎常凱 張雅菲 齊俊鵬 鮑春鳴 禹東山

（1.齊齊哈爾市信息中心主任；2.中國航天系統(tǒng)科學(xué)與工程研究院；3.北京啟明星辰信息安全技術(shù)有限公司）

隨著云計(jì)算技術(shù)的快速發(fā)展，中國信息時(shí)代也隨之進(jìn)入新的階段。隨著政務(wù)云業(yè)務(wù)量的不斷增大，特別是在云計(jì)算環(huán)境中，數(shù)據(jù)管理權(quán)與所有權(quán)分離，從而使應(yīng)用和數(shù)據(jù)高度集中，導(dǎo)致其面臨的網(wǎng)絡(luò)惡意攻擊、數(shù)據(jù)泄露等安全問題不斷顯露。并且，政務(wù)信息系統(tǒng)的業(yè)務(wù)范圍與民眾息息相關(guān)，發(fā)生安全事故的影響面是巨大的，損失不可估量。所以，使政務(wù)云的安全性能得到有效的提高是推動(dòng)政務(wù)云進(jìn)一步發(fā)展的重要手段，也是政務(wù)信息系統(tǒng)高效使用的基本保障。

基于上述問題，本文對(duì)政務(wù)云的安全風(fēng)險(xiǎn)特征進(jìn)行詳細(xì)分析，并對(duì)政務(wù)云的信息安全監(jiān)管進(jìn)行有針對(duì)性的設(shè)計(jì)。

一、政務(wù)云信息安全監(jiān)管需求分析

（一）風(fēng)險(xiǎn)與威脅分析

針對(duì)云平臺(tái)自身，其存儲(chǔ)空間中存放了大量云租戶的數(shù)據(jù)，假設(shè)存儲(chǔ)空間回收后剩余信息不能夠得到完全清除，攻擊者獲取了遠(yuǎn)程管理云平臺(tái)資源的賬戶登錄信息，就很容易對(duì)業(yè)務(wù)運(yùn)行數(shù)據(jù)進(jìn)行竊取與破壞。同時(shí)，攻擊者還可以利用政務(wù)云平臺(tái)的資源優(yōu)勢對(duì)其它業(yè)務(wù)系統(tǒng)發(fā)起攻擊。同時(shí)，政務(wù)云平臺(tái)的云服務(wù)和應(yīng)用程序均提供API接口，不安全的API就可能存在越權(quán)訪問、注入攻擊和跨站請(qǐng)求偽造攻擊等問題。目前，不同的云平臺(tái)使用不同的標(biāo)準(zhǔn)和接口，云租戶的數(shù)據(jù)及應(yīng)用系統(tǒng)很難相互遷移，從而導(dǎo)致了云租戶對(duì)特定云服務(wù)商的過度依賴，數(shù)據(jù)遷移將付出過高的代價(jià)。

針對(duì)云平臺(tái)的用戶，內(nèi)部人員、應(yīng)用廠商、網(wǎng)絡(luò)設(shè)備廠商等各類人群均可能通過貌似合理的方式，通過一定的手段接入云平臺(tái)，這類威脅破壞面廣、力度大，可輻射其整個(gè)云環(huán)境；而電子政務(wù)云預(yù)期承載大量的業(yè)務(wù)應(yīng)用，業(yè)務(wù)及數(shù)據(jù)高度集中，單個(gè)云租戶自身的安全問題很容易擴(kuò)散至整個(gè)云平臺(tái)，容易導(dǎo)致平臺(tái)云資源濫用。

針對(duì)網(wǎng)絡(luò)安全攻擊行為，高級(jí)持續(xù)性威脅（APT）通常隱蔽性很強(qiáng)，一旦APT滲透進(jìn)政務(wù)云平臺(tái)內(nèi)部，建立起橋頭堡，即可源源不斷地偷走大量數(shù)據(jù)。另外，很多用戶需要有7×24小時(shí)的不間斷服務(wù)，這就使得互聯(lián)網(wǎng)中的一大威脅——分布式拒絕服務(wù)（DDoS）顯得尤為突出。政務(wù)云平臺(tái)由于需要對(duì)互聯(lián)網(wǎng)公眾用戶提供各類政務(wù)服務(wù)，必然要面臨上述互聯(lián)網(wǎng)側(cè)的拒絕服務(wù)攻擊威脅。

（二）信息安全監(jiān)管需求分析

基于電子政務(wù)云平臺(tái)所面臨的風(fēng)險(xiǎn)與威脅分析，可將電子政務(wù)云信息安全監(jiān)管服務(wù)的建設(shè)需求分為6類。

1、集中安全監(jiān)測服務(wù)能力的需求：通過集中安全監(jiān)測，對(duì)云計(jì)算平臺(tái)及各類安全事件進(jìn)行實(shí)時(shí)監(jiān)控，并進(jìn)行有效處理。

2、綜合安全分析服務(wù)能力的需求：利用基于大數(shù)據(jù)技術(shù)的安全監(jiān)管分析工具實(shí)現(xiàn)對(duì)海量安全要素的快速高效批量處理，準(zhǔn)確識(shí)別并挖掘各類攻擊行為或違規(guī)通信及操作行為，定位薄弱風(fēng)險(xiǎn)點(diǎn)，以支撐安全加固操作。

3、安全監(jiān)管資源池化定制供應(yīng)服務(wù)能力的需求：通過信息安全監(jiān)管資源池化后定制化供應(yīng)服務(wù)的能力建設(shè)，提供可選的適應(yīng)不同安全需求的安全技術(shù)手段，實(shí)現(xiàn)對(duì)云計(jì)算環(huán)境深度集成覆蓋。

4、威脅情報(bào)綜合利用服務(wù)的需求：通過威脅情報(bào)綜合利用服務(wù)的能力建設(shè)，實(shí)現(xiàn)以安全威脅識(shí)別分析與情報(bào)利用為核心的快速響應(yīng)能力建設(shè)，與現(xiàn)有安全能力形成有機(jī)安全聯(lián)動(dòng)機(jī)制，達(dá)到對(duì)各類安全威脅與風(fēng)險(xiǎn)的快速響應(yīng)與處置。

5、全面安全態(tài)勢感知服務(wù)能力的需求：通過對(duì)全局安全態(tài)勢要素的采集與處理，實(shí)現(xiàn)全方位覆蓋的安全態(tài)勢感知水平。

6、獨(dú)立安全運(yùn)營支撐服務(wù)能力的需求：通過專業(yè)技能和安全工具，覆蓋云平臺(tái)自身并全面覆蓋各政務(wù)云租戶的定制化安全運(yùn)營支撐能力需求。

二、信息安全監(jiān)管服務(wù)能力總體設(shè)計(jì)

通過信息安全監(jiān)管服務(wù)能力的整體建設(shè)，應(yīng)能覆蓋電子政務(wù)云集中信息安全監(jiān)管能力的訴求，同時(shí)應(yīng)充分利用云平臺(tái)原有安全能力建設(shè)的良好基礎(chǔ)，實(shí)現(xiàn)有機(jī)整合，滿足集中監(jiān)管、獨(dú)立運(yùn)營、全面覆蓋的信息安全監(jiān)管能力建設(shè)要求，為電子政務(wù)云及承載應(yīng)用的穩(wěn)定運(yùn)行提供高效能、高可靠、靈敏快速的信息安全服務(wù)支撐保障能力。

（一）總體框架

信息安全監(jiān)管服務(wù)由安全態(tài)勢感知服務(wù)、威脅情報(bào)綜合利用服務(wù)、安全監(jiān)管資源池化服務(wù)、獨(dú)立安全運(yùn)營支撐服務(wù)、集中安全監(jiān)測服務(wù)、綜合安全分析服務(wù)六大核心組成部分。其主要提供以分析為核心的安全態(tài)勢能力、以情報(bào)為核心的威脅管控能力、池化的安全監(jiān)管資源分配能力、定制化的安全運(yùn)營支撐能力、供應(yīng)核心安全能力、集中安全監(jiān)測及支撐的綜合安全分析服務(wù)，與現(xiàn)有的各類安全能力及計(jì)算資源充分整合，采集所需的安全分析數(shù)據(jù)，并將態(tài)勢監(jiān)管數(shù)據(jù)應(yīng)用于安全技術(shù)能力實(shí)現(xiàn)及安全策略調(diào)整，實(shí)現(xiàn)閉環(huán)的安全監(jiān)管機(jī)制。信息安全監(jiān)管中心同時(shí)著重于業(yè)務(wù)與數(shù)據(jù)安全的監(jiān)管，從而實(shí)現(xiàn)數(shù)據(jù)全生命周期安全監(jiān)管、業(yè)務(wù)服務(wù)可持續(xù)性供應(yīng)、安全風(fēng)險(xiǎn)可控制、安全事件可追溯的電子政務(wù)云安全監(jiān)管服務(wù)目標(biāo)。

（二）信息安全監(jiān)管職能目標(biāo)

政務(wù)云信息安全監(jiān)管服務(wù)能力的實(shí)現(xiàn)應(yīng)通過建設(shè)信息安全監(jiān)管中心組織，引入新型信息技術(shù)和人員服務(wù)投入，實(shí)現(xiàn)以信息數(shù)據(jù)為主體依據(jù)的網(wǎng)絡(luò)安全體系化運(yùn)營，用以對(duì)抗新型安全威脅、提升網(wǎng)絡(luò)安全監(jiān)測預(yù)警發(fā)現(xiàn)能力和應(yīng)急響應(yīng)能力，解決當(dāng)前政務(wù)云環(huán)境中開放、復(fù)雜的網(wǎng)絡(luò)安全問題，實(shí)現(xiàn)集中化的信息安全監(jiān)測能力、綜合性的安全分析能力、定制安全資源池化供應(yīng)、威脅情報(bào)綜合利用能力、全面安全態(tài)勢感知能力、獨(dú)立安全運(yùn)營能力等安全目標(biāo)。

（三）集成配合

電子政務(wù)云信息安全監(jiān)管服務(wù)供應(yīng)既實(shí)現(xiàn)獨(dú)立的安全監(jiān)管能力，又與現(xiàn)有的政務(wù)云平臺(tái)、承載業(yè)務(wù)、平臺(tái)運(yùn)營團(tuán)隊(duì)等有機(jī)集成配合，形成閉環(huán)的安全監(jiān)管處置運(yùn)維支撐體系。

信息安全監(jiān)管組織通過按需供應(yīng)的信息安全監(jiān)管服務(wù)，履行信息安全監(jiān)管職能，不受政務(wù)云平臺(tái)、云平臺(tái)運(yùn)營方管理，實(shí)現(xiàn)獨(dú)立的安全監(jiān)管，避免資源與權(quán)限的過度集中。

同時(shí)信息安全監(jiān)管服務(wù)能力與外部配合關(guān)系如下。

1、電子政務(wù)云：信息安全監(jiān)管組織通過供應(yīng)信息安全監(jiān)管服務(wù)，采集政務(wù)云平臺(tái)基礎(chǔ)計(jì)算環(huán)境及承載各委辦局業(yè)務(wù)應(yīng)用的安全要素?cái)?shù)據(jù)，包括日志、配置、告警、性能等數(shù)據(jù)，信息安全監(jiān)管中心利用采集的各類安全要素?cái)?shù)據(jù)，進(jìn)行綜合處理、關(guān)聯(lián)分析、態(tài)勢展現(xiàn)等，并指導(dǎo)監(jiān)督政務(wù)云平臺(tái)進(jìn)行安全建設(shè)、整改、策略調(diào)整等。

2、電子政務(wù)云運(yùn)營方：信息安全監(jiān)管組織通過供應(yīng)信息安全監(jiān)管服務(wù)，綜合分析各類安全事件、脆弱性信息等，通過威脅情報(bào)生成及利用、綜合安全場景建立及告警輸出、安全風(fēng)險(xiǎn)評(píng)估等手段生成安全處置任務(wù)，通過政府授權(quán)或認(rèn)定的方式提供給云平臺(tái)運(yùn)營方，供其進(jìn)行安全處置；云平臺(tái)運(yùn)營方處置后將處理結(jié)果反饋給信息安全監(jiān)管中心和政府，實(shí)現(xiàn)雙向閉環(huán)的任務(wù)下發(fā)-處理反饋機(jī)制，通過信息安全監(jiān)管中心提供的實(shí)時(shí)監(jiān)控分析、快速風(fēng)險(xiǎn)識(shí)別、綜合態(tài)勢感知等能力，實(shí)現(xiàn)快速的安全問題響應(yīng)及處置。

信息安全監(jiān)管中心職能示意圖

安全監(jiān)管處置運(yùn)維支撐體系

3、電子政務(wù)云配套的安全技術(shù)手段：信息安全監(jiān)管組織通過供應(yīng)信息安全監(jiān)管服務(wù)，采集現(xiàn)有防火墻、IPS等各類安全能力的安全數(shù)據(jù)包括安全漏洞、病毒信息、入侵事件等，并結(jié)合云平臺(tái)自身的各類安全要素?cái)?shù)據(jù)進(jìn)行綜合關(guān)聯(lián)分析，輸出威脅風(fēng)險(xiǎn)信息數(shù)據(jù)，并用于指導(dǎo)各類安全產(chǎn)品的安全策略調(diào)整，作用的發(fā)揮等。

4、外部安全支撐團(tuán)隊(duì)：信息安全監(jiān)管組織通過供應(yīng)信息安全監(jiān)管服務(wù)，承擔(dān)起日常的信息安全監(jiān)管職能并協(xié)助平臺(tái)運(yùn)營團(tuán)隊(duì)實(shí)現(xiàn)應(yīng)急響應(yīng)及安全處置工作，同時(shí)配合電子政務(wù)云建立多層次的安全應(yīng)急支撐體系，包括現(xiàn)場級(jí)的日常安全運(yùn)營及外部專家級(jí)安全支撐團(tuán)隊(duì)。外部安全支撐團(tuán)隊(duì)將針對(duì)重大安全事件、綜合性強(qiáng)的復(fù)雜安全問題進(jìn)行專業(yè)級(jí)技術(shù)支撐。

（四）核心服務(wù)支撐技術(shù)

信息安全監(jiān)管服務(wù)能力由如下核心服務(wù)技術(shù)能力予以具體支撐實(shí)現(xiàn)。

1、信息安全監(jiān)管服務(wù)體系中安全監(jiān)管服務(wù)能力的彈性、池化的安全服務(wù)能力實(shí)現(xiàn)。這種彈性表現(xiàn)在功能、規(guī)模和時(shí)間三個(gè)維度，自動(dòng)、請(qǐng)求和確認(rèn)三種形式，從而使云安全監(jiān)管服務(wù)能力具有全方位的自治特征，可以滿足針對(duì)云平臺(tái)及各租戶、承載業(yè)務(wù)的個(gè)性化安全服務(wù)能力輸出需求按需分配。

2、云計(jì)算模式下的安全態(tài)勢感知服務(wù)技術(shù)。采用具備主動(dòng)、被動(dòng)安全要素采集能力，可有效適應(yīng)云計(jì)算平臺(tái)的特性，實(shí)現(xiàn)指定安全要素?cái)?shù)據(jù)的有效采集，同時(shí)通過適配云平臺(tái)環(huán)境的安全態(tài)勢分析工具的集成，針對(duì)云平臺(tái)環(huán)境安全要素?cái)?shù)據(jù)的有效關(guān)聯(lián)分析，針對(duì)云計(jì)算平臺(tái)的安全場景梳理及威脅識(shí)別，以及符合云計(jì)算平臺(tái)監(jiān)管展現(xiàn)要求的覆蓋宏觀及微觀層面的安全態(tài)勢感知服務(wù)技術(shù)。

3、傳統(tǒng)安全監(jiān)管資源的虛擬化實(shí)現(xiàn)服務(wù)技術(shù)。通過安全技術(shù)能力的虛擬化實(shí)現(xiàn)，特別是訪問隔離技術(shù)的虛擬化，使得傳統(tǒng)的安全技術(shù)能力不僅可以覆蓋云平臺(tái)的外部環(huán)境，還可以兼顧云計(jì)算平臺(tái)、云租戶、承載業(yè)務(wù)與數(shù)據(jù)的安全需求，實(shí)現(xiàn)對(duì)云計(jì)算環(huán)境下設(shè)備和用戶的安全保障。

4、針對(duì)云平臺(tái)中虛擬化層的脆弱性評(píng)估服務(wù)技術(shù)。虛擬化是實(shí)現(xiàn)云計(jì)算的一項(xiàng)關(guān)鍵技術(shù)，由于虛擬化作為一種技術(shù)，其本身也可能存在安全缺陷。通過實(shí)現(xiàn)針對(duì)虛擬化環(huán)境的脆弱性評(píng)估服務(wù)，可從不同的功能粒度對(duì)虛擬技術(shù)進(jìn)行劃分，開發(fā)針對(duì)不同的虛擬技術(shù)的脆弱性評(píng)估服務(wù)，從而滿足云計(jì)算環(huán)境下的安全評(píng)估、審計(jì)、監(jiān)管需求。

三、信息安全監(jiān)管服務(wù)能力詳細(xì)設(shè)計(jì)

（一）安全態(tài)勢感知

電子政務(wù)云的建設(shè)涉及資產(chǎn)、組網(wǎng)、元素等內(nèi)容，十分復(fù)雜，涉及到的安全問題也層出不窮，因此應(yīng)建設(shè)全面的安全態(tài)勢感知能力，通過直觀可視化方式展現(xiàn)云計(jì)算平臺(tái)所面臨的安全問題。

安全態(tài)勢感知服務(wù)應(yīng)能覆蓋電子政務(wù)云平臺(tái)網(wǎng)絡(luò)中的安全設(shè)備或安全子系統(tǒng)，實(shí)現(xiàn)各類型、多廠商安全監(jiān)測防護(hù)資源的整合，安全態(tài)勢感知服務(wù)能力可覆蓋全網(wǎng)攻擊行為信息、資產(chǎn)及業(yè)務(wù)脆弱性信息、異常流量信息、威脅情報(bào)及未知威脅等信息，并在此基礎(chǔ)上綜合分析呈現(xiàn)，形成包括被攻擊對(duì)象和攻擊源識(shí)別、脆弱性識(shí)別、攻擊過程及影響分析、安全風(fēng)險(xiǎn)態(tài)勢等在內(nèi)的多視角、全方位、全天候的安全態(tài)勢感知能力。

1、安全態(tài)勢要素集成

通過安全態(tài)勢要素集成可以采集電子政務(wù)云及承載環(huán)境、應(yīng)用系統(tǒng)中海量與安全相關(guān)的異構(gòu)數(shù)據(jù)。

此外，在電子政務(wù)云項(xiàng)目中，將通過威脅情報(bào)綜合利用服務(wù)提供外部威脅情報(bào)數(shù)據(jù)及部分內(nèi)部安全數(shù)據(jù)，同時(shí)利用平臺(tái)自身的安全態(tài)勢采集能力可以實(shí)現(xiàn)內(nèi)部安全數(shù)據(jù)的采集。

通過在電子政務(wù)云網(wǎng)絡(luò)關(guān)鍵位置進(jìn)行安全態(tài)勢要素采集，充分利用現(xiàn)有各類安全能力可對(duì)安全漏洞、攻擊行為等安全威脅進(jìn)行監(jiān)測。

2、安全態(tài)勢可視化展現(xiàn)

安全態(tài)勢可視化展現(xiàn)服務(wù)提供網(wǎng)絡(luò)安全總體態(tài)勢的展示和呈現(xiàn)。系統(tǒng)具備全方位態(tài)勢感知的功能，感知流程至少包括4個(gè)步驟，分別是各類安全要素信息的獲取、面向態(tài)勢感知的集中數(shù)據(jù)分析、多維度態(tài)勢感知的呈現(xiàn)、預(yù)警通告及處置。

安全態(tài)勢可視化展現(xiàn)服務(wù)是一個(gè)全面信息收集、融合處理感知安全狀態(tài)及風(fēng)險(xiǎn)并進(jìn)行態(tài)勢可視化呈現(xiàn)的過程，通過連續(xù)的信息采集分析不斷更新對(duì)目標(biāo)網(wǎng)絡(luò)安全態(tài)勢的認(rèn)知理解，掌握安全狀態(tài)、識(shí)別發(fā)展規(guī)律、認(rèn)識(shí)威脅預(yù)警。因此態(tài)勢感知至少應(yīng)形成由多個(gè)維度組合構(gòu)成的態(tài)勢感知體系，這些維度分別是資產(chǎn)感知、攻擊感知、脆弱性感知、資產(chǎn)漏洞感知、惡意IP、運(yùn)行感知、威脅感知和風(fēng)險(xiǎn)感知、總體態(tài)勢感知，綜合這8個(gè)感知形成全方位的安全態(tài)勢總覽。

（二）綜合安全分析

1、事件深層鉆取

綜合安全分析服務(wù)將海量風(fēng)險(xiǎn)情報(bào)數(shù)據(jù)按照完整的邏輯順序進(jìn)行歸類整理。數(shù)據(jù)按照整體區(qū)域狀態(tài)顯示、區(qū)分地區(qū)顯示，具體問題顯示。多層級(jí)方式展現(xiàn)問題，可以用全局的視角查看深層潛藏事件，實(shí)現(xiàn)事件分析數(shù)據(jù)鉆取的整體流程：“整體-區(qū)域-細(xì)節(jié)-源數(shù)據(jù)”。

2、惡意代碼分析

針對(duì)發(fā)現(xiàn)的安全威脅，綜合安全分析服務(wù)追溯原始的數(shù)據(jù)包，對(duì)原始數(shù)據(jù)完成取證。通過對(duì)原始數(shù)據(jù)的還原和解析，數(shù)據(jù)回放引擎可完成對(duì)惡意代碼的分析。對(duì)于可疑流量進(jìn)行惡意流量分析和歷史關(guān)聯(lián)分析，發(fā)現(xiàn)攻擊行為和步驟。

3、攻擊路徑分析

安全服務(wù)人員通過綜合安全分析服務(wù)對(duì)現(xiàn)有攻擊場景進(jìn)行總結(jié)，建立全面的場景知識(shí)庫，然后基于匯總的實(shí)時(shí)報(bào)警信息檢測潛在的攻擊行為。綜合安全分析服務(wù)采用啟發(fā)式場景重建技術(shù)，主要原理包括：

對(duì)于匯總到的報(bào)警事件，首先基于已有的攻擊場景知識(shí)庫進(jìn)行報(bào)警事件間的關(guān)聯(lián)。

對(duì)于匹配中的攻擊序列，如果新接收到的報(bào)警可以與現(xiàn)有攻擊序列匹配，則直接進(jìn)行關(guān)聯(lián)；如果不能與現(xiàn)有攻擊序列匹配，但能夠與某個(gè)攻擊序列的后續(xù)事件匹配，則將新接收到的報(bào)警與該序列匹配，并產(chǎn)生一個(gè)“虛報(bào)警”標(biāo)志缺失的事件類型。

根據(jù)攻擊路徑圖的描述確定虛報(bào)警的事件類型，并根據(jù)該虛報(bào)警前后相關(guān)報(bào)警的時(shí)間確定該虛報(bào)警時(shí)間范圍的描述，再利用原始數(shù)據(jù)進(jìn)行回溯分析，查找是否存在漏報(bào)的報(bào)警事件，如果找到則將其重新加入到攻擊序列中，直至匹配完整個(gè)攻擊路徑圖。

通過綜合安全分析服務(wù)進(jìn)行事件的深度挖掘、攻擊路徑及惡意代碼分析，構(gòu)建綜合安全分析場景，并進(jìn)行針對(duì)性的安全分析策略設(shè)置與調(diào)整，可發(fā)現(xiàn)電子政務(wù)云潛藏的深層安全問題。

（三）集中安全監(jiān)測

集中安全監(jiān)測服務(wù)是針對(duì)云平臺(tái)及承載的委辦局租戶業(yè)務(wù)，利用現(xiàn)有的安全技術(shù)手段，提供不間斷安全實(shí)時(shí)監(jiān)控。主要包括事件監(jiān)控、綜合分析、分級(jí)處理等。針對(duì)安全事件隱藏的問題與云平臺(tái)運(yùn)維團(tuán)隊(duì)一起進(jìn)行具體處置工作。

通過安全產(chǎn)品并結(jié)合信息安全監(jiān)管工具，實(shí)時(shí)對(duì)云平臺(tái)計(jì)算環(huán)境及承載業(yè)務(wù)所產(chǎn)生的各類安全事件進(jìn)行監(jiān)測，對(duì)各類安全事件進(jìn)行評(píng)估，并依托成熟的事件分級(jí)分類標(biāo)準(zhǔn)，對(duì)安全事件按照不同的級(jí)別進(jìn)行相應(yīng)的流程處理，包括對(duì)低等級(jí)安全事件的歸并、過濾，對(duì)高等級(jí)安全事件的告警輸出，協(xié)同云平臺(tái)運(yùn)營方進(jìn)行運(yùn)維處理，并按計(jì)劃對(duì)安全監(jiān)測效果進(jìn)行總結(jié)報(bào)告等。

集中安全監(jiān)測服務(wù)通過采集資產(chǎn)信息，使網(wǎng)絡(luò)內(nèi)具備IP的所有可檢測資產(chǎn)進(jìn)行聯(lián)動(dòng)管理，使之與相關(guān)設(shè)備發(fā)現(xiàn)的漏洞、配置問題、入侵事件等安全威脅進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)安全數(shù)據(jù)的結(jié)構(gòu)化統(tǒng)一管理。

對(duì)于各類安全事件進(jìn)行準(zhǔn)確高效的檢測，并進(jìn)行綜合威脅分析，實(shí)現(xiàn)對(duì)于威脅事件線索挖掘，為系統(tǒng)運(yùn)營提供數(shù)據(jù)支撐，從而對(duì)威脅進(jìn)行有效處理。

（四）威脅情報(bào)綜合利用

為了更有效地應(yīng)對(duì)不斷更新變化的新型攻擊行為、0DAY漏洞、迅速變化的惡意代碼，建立基于威脅情報(bào)的獲取和應(yīng)用的安全流程體系，實(shí)現(xiàn)主動(dòng)的、前瞻性的安全監(jiān)管及響應(yīng)處置能力，電子政務(wù)云需充分引入并利用威脅情報(bào)綜合利用服務(wù)，打破攻擊者的先手優(yōu)勢、縮小攻防之間的不對(duì)等，從被動(dòng)應(yīng)對(duì)突發(fā)事件、應(yīng)急解決問題轉(zhuǎn)變?yōu)轭A(yù)見問題、提前進(jìn)行防范。威脅情報(bào)服務(wù)能力適用于電子政務(wù)云的安全監(jiān)管能力建設(shè)工作，建立獨(dú)立運(yùn)行又可被關(guān)聯(lián)應(yīng)用于整體安全監(jiān)管能力體系的、覆蓋云平臺(tái)及業(yè)務(wù)的威脅情報(bào)綜合利用服務(wù)是一個(gè)非常重要的關(guān)鍵環(huán)節(jié)。

威脅情報(bào)服務(wù)采用了全新的大數(shù)據(jù)技術(shù)，從攻擊者、被攻擊者、樣本、事件等多維視角進(jìn)行鉆取分析，追蹤溯源，讓潛藏的威脅無所遁形。系統(tǒng)通過與云端或離線的威脅情報(bào)配合，碰撞實(shí)時(shí)或歷史的威脅線索與行為日志，提供政務(wù)云全面的威脅感知能力。該系統(tǒng)生成的用戶側(cè)威脅情報(bào)信息可分發(fā)于電子政務(wù)云現(xiàn)有的IPS、安全網(wǎng)關(guān)等安全設(shè)備上，形成完整、閉環(huán)的整體安全聯(lián)動(dòng)能力。

威脅情報(bào)綜合利用

威脅情報(bào)管理服務(wù)將覆蓋威脅情報(bào)采集、分析優(yōu)化、關(guān)聯(lián)利用、綜合展現(xiàn)等針對(duì)威脅情報(bào)供應(yīng)的核心需求。

1、威脅情報(bào)采集生成

威脅情報(bào)的采集生成服務(wù)是整個(gè)威脅情報(bào)服務(wù)供應(yīng)能力正常運(yùn)轉(zhuǎn)的基礎(chǔ)，通過威脅情報(bào)的采集為后續(xù)的情報(bào)生產(chǎn)和輸出提供基礎(chǔ)的元數(shù)據(jù)。威脅情報(bào)的采集主要包括外部數(shù)據(jù)采集、內(nèi)部威脅情報(bào)生成、專業(yè)人員分析數(shù)據(jù)三個(gè)部分。威脅情報(bào)的基礎(chǔ)數(shù)據(jù)包括IP地址、域名和樣本三個(gè)主要的數(shù)據(jù)類型，通過對(duì)這些數(shù)據(jù)的分析和關(guān)聯(lián)，形成完整的威脅情報(bào)信息鏈。

威脅情報(bào)的數(shù)據(jù)采集方式以自動(dòng)化外部數(shù)據(jù)采集為主，同時(shí)結(jié)合安全態(tài)勢感知服務(wù)過程中所生成的內(nèi)部威脅情報(bào)，輔以威脅情報(bào)專家的人工分析。威脅情報(bào)的主要外部來源可以包括自有云端情報(bào)采集系統(tǒng)的循環(huán)挖掘、第三方商業(yè)情報(bào)交換、開源情報(bào)（開源沙箱、技術(shù)論壇、開源樣本網(wǎng)站、安全從業(yè)人員社交媒體、開源情報(bào)網(wǎng)站等）、用戶和產(chǎn)品上報(bào)等。威脅情報(bào)的外部情報(bào)數(shù)據(jù)主要通過云端情報(bào)接口接入專業(yè)的定期更新的威脅情報(bào)數(shù)據(jù)，通過機(jī)器學(xué)習(xí)和NLP算法分析出所需要的專屬威脅情報(bào)信息，達(dá)到威脅信息提取加工的目的。同時(shí)也可以定制化接入電子政務(wù)云其它可供給的情報(bào)數(shù)據(jù)，如國家監(jiān)管單位、政府機(jī)構(gòu)內(nèi)部下發(fā)的行業(yè)情報(bào)信息、安全預(yù)警信息、安全通告數(shù)據(jù)等。

2、威脅情報(bào)分析優(yōu)化

來自于不同來源的威脅情報(bào)要經(jīng)過清洗、分析、關(guān)聯(lián)、鑒定、入庫等一系列過程之后才會(huì)發(fā)布使用，這一過程將通過威脅情報(bào)分析優(yōu)化服務(wù)完成。威脅情報(bào)分析優(yōu)化服務(wù)在對(duì)采集的海量惡意代碼樣本進(jìn)行行為分析的基礎(chǔ)上，綜合各類分析數(shù)據(jù)，結(jié)合惡意代碼的執(zhí)行過程、行為特征、生成關(guān)系、事件關(guān)聯(lián)和二進(jìn)制漏洞利用情況等關(guān)鍵數(shù)據(jù)，挖掘海量樣本之間在代碼行為上的同源關(guān)系，以及與已知攻擊組織的關(guān)聯(lián)關(guān)系，為及時(shí)發(fā)現(xiàn)攻擊組織新動(dòng)向，提供攻擊組織攻擊分析報(bào)告以及新情報(bào)的IOC標(biāo)定提供有力支撐。

威脅情報(bào)分析優(yōu)化服務(wù)對(duì)各種高?；蜿P(guān)注的情報(bào)源進(jìn)行二次挖掘，并將二次挖掘的情報(bào)再次進(jìn)行綜合分析，主要包括已知黑客組織情報(bào)監(jiān)測、重點(diǎn)/流行樣本分析監(jiān)測、重點(diǎn)客戶來源樣本監(jiān)測、白名單數(shù)據(jù)監(jiān)測。

威脅情報(bào)分析優(yōu)化服務(wù)可以從事件驅(qū)使型感知，向情報(bào)引導(dǎo)及風(fēng)險(xiǎn)驅(qū)使型感知轉(zhuǎn)變。利用威脅情報(bào)的發(fā)現(xiàn)與更新，以威脅線索、異常行為、失陷主機(jī)為出發(fā)點(diǎn)，以空間和時(shí)間廣度為分析的數(shù)據(jù)基礎(chǔ)，從攻擊面與被攻擊面、攻擊者與被攻擊者的方向關(guān)系，協(xié)助信息安全監(jiān)管人員實(shí)現(xiàn)對(duì)各類事件的快速追溯和深度分析判定的能力。

3、威脅情報(bào)關(guān)聯(lián)利用

威脅情報(bào)關(guān)聯(lián)利用服務(wù)中，通過對(duì)全球網(wǎng)絡(luò)威脅態(tài)勢的監(jiān)測、攻擊組織的跟蹤、各種威脅信息的分析處理積累了大量的威脅情報(bào)數(shù)據(jù)。威脅情報(bào)關(guān)聯(lián)將外部導(dǎo)入的專業(yè)威脅情報(bào)信息、監(jiān)管機(jī)構(gòu)及行業(yè)發(fā)布的專屬安全通告數(shù)據(jù)、經(jīng)過安全監(jiān)管分析人員人工分析的威脅信息，以及安全態(tài)勢感知服務(wù)所監(jiān)測的內(nèi)部產(chǎn)生的違規(guī)操作行為規(guī)則、告警等形成相關(guān)的預(yù)警進(jìn)行匹配、關(guān)聯(lián)，實(shí)現(xiàn)智能威脅信息的充分利用。威脅情報(bào)關(guān)聯(lián)利用服務(wù)可提供的威脅情報(bào)信息包括黑白名單庫、攻擊特征庫、安全配置基線庫、病毒特征庫、關(guān)聯(lián)規(guī)則庫、安全漏洞庫、惡意URL/IP地址庫、惡意DNS庫和用戶身份信息等，均可以在不同程度上為現(xiàn)有的各類安全技術(shù)手段所利用，提升其主動(dòng)性的安全處置能力。

4、威脅情報(bào)集成展現(xiàn)

通過威脅情報(bào)集成展現(xiàn)服務(wù)可提供對(duì)威脅情報(bào)的可視化查詢展現(xiàn)能力，可綜合展現(xiàn)對(duì)APT攻擊、勒索軟件、蠕蟲木馬對(duì)應(yīng)IP地址、URL的判斷；能夠識(shí)別通過DGA算法生成的惡意域名；能提供攻擊者信息標(biāo)注，如惡意地址來源、惡意家族信息、黑客團(tuán)伙情報(bào)、情報(bào)置信度評(píng)估、風(fēng)險(xiǎn)等級(jí)、定向攻擊判定等；可提供對(duì)威脅情報(bào)上下文信息的豐富性展現(xiàn)能力，包括是否APT、針對(duì)行業(yè)、關(guān)聯(lián)樣本、注冊(cè)人信息、解析IP、關(guān)聯(lián)組織等。可提供對(duì)威脅情報(bào)檢測的命中威脅分析能力，并對(duì)分析結(jié)果進(jìn)行可視化展現(xiàn)，展現(xiàn)分析內(nèi)容包括命中次數(shù)、命中趨勢、主要命中的威脅類型等。

通過威脅情報(bào)集成展現(xiàn)服務(wù)可提供對(duì)威脅情報(bào)信息的批量檢索及可視化展示能力，同時(shí)可以根據(jù)報(bào)表報(bào)告統(tǒng)計(jì)的實(shí)際需求定制化的以xml、pdf、excel等標(biāo)準(zhǔn)文檔格式提供威脅情報(bào)數(shù)據(jù)供歸檔、分析等使用。

四、結(jié)論

本文通過對(duì)政務(wù)云的安全風(fēng)險(xiǎn)特征進(jìn)行詳細(xì)分析，明確了政務(wù)云信息安全監(jiān)管的必要性，并對(duì)政務(wù)云信息安全監(jiān)管進(jìn)行了詳細(xì)設(shè)計(jì)。通過對(duì)政務(wù)云進(jìn)行合理、全面的信息安全監(jiān)管，能夠最大程度保障政務(wù)云的信息安全，避免因安全問題造成的損失。