吳英 馬立國(guó) 梁晶晶

【摘要】? ? 如今我國(guó)已經(jīng)進(jìn)入數(shù)字化信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入各行各業(yè)。信息資訊爆炸式發(fā)展，我們面臨的網(wǎng)絡(luò)安全形勢(shì)和挑戰(zhàn)日益嚴(yán)峻，加強(qiáng)我國(guó)網(wǎng)絡(luò)安全建設(shè)迫在眉睫。本文著重闡述建設(shè)信息網(wǎng)絡(luò)安全管控與態(tài)勢(shì)分析云平臺(tái)建設(shè)的目的、原則、功能和特點(diǎn)，以及特殊行業(yè)網(wǎng)絡(luò)安全管控系統(tǒng)和信息網(wǎng)絡(luò)態(tài)勢(shì)分析云平臺(tái)的建設(shè)方案。

【關(guān)鍵詞】? ? 信息網(wǎng)絡(luò)? ? 網(wǎng)絡(luò)安全? ? 態(tài)勢(shì)分析? ? 管控系統(tǒng)

引言

習(xí)主席深刻指出：“要樹(shù)立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力”。政務(wù)、金融、物流、教育、科技、交通、地理、電信等，各個(gè)領(lǐng)域、各個(gè)行業(yè)的網(wǎng)絡(luò)數(shù)據(jù)對(duì)個(gè)人信息保護(hù)和維護(hù)國(guó)家社會(huì)安全都非常重要。據(jù)調(diào)查，目前國(guó)內(nèi)外許多機(jī)構(gòu)的網(wǎng)站、服務(wù)器都遭受過(guò)非法入侵，很多重要數(shù)據(jù)丟失或被竊取，造成重大經(jīng)濟(jì)上和軍事上的損失，同時(shí)造成計(jì)算機(jī)網(wǎng)絡(luò)癱瘓，無(wú)法保證網(wǎng)絡(luò)服務(wù)的正常運(yùn)行。現(xiàn)如今各個(gè)行業(yè)的網(wǎng)絡(luò)信息安全都是重中之重，而網(wǎng)絡(luò)信息安全的核心內(nèi)容就是要提升網(wǎng)絡(luò)中的信息安全。

那么如何做好計(jì)算機(jī)網(wǎng)絡(luò)安全保密工作，實(shí)時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)，精準(zhǔn)網(wǎng)絡(luò)動(dòng)態(tài)分析和預(yù)測(cè)，快速采取具有針對(duì)性的、行之有效的安防策略，積極應(yīng)對(duì)、主動(dòng)防御各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是十分必要的。針對(duì)具有跨域、復(fù)雜和多級(jí)等特點(diǎn)的政府、軍隊(duì)、大型企業(yè)等特殊行業(yè)內(nèi)部網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)安全管控與態(tài)勢(shì)分析云平臺(tái)，有助于網(wǎng)絡(luò)管理者監(jiān)控和處理內(nèi)部網(wǎng)絡(luò)各類安全問(wèn)題。

一、信息網(wǎng)絡(luò)安全管控與態(tài)勢(shì)分析云平臺(tái)建設(shè)基本原則

1.1安全防護(hù)全時(shí)全面覆蓋

基于“全面防護(hù)、全時(shí)反饋、功能互補(bǔ)”原則，統(tǒng)籌建設(shè)網(wǎng)絡(luò)系統(tǒng)，滿足各類數(shù)據(jù)傳輸處理、業(yè)務(wù)訪問(wèn)和信息流轉(zhuǎn)的安全需求，實(shí)現(xiàn)全域覆蓋、全時(shí)監(jiān)控、高速互聯(lián)和安全穩(wěn)定，為網(wǎng)絡(luò)安全和網(wǎng)絡(luò)值勤等業(yè)務(wù)提供有效支撐。

1.2 構(gòu)建分域單元控制體系

在總體架構(gòu)上按照分域保護(hù)思路，將網(wǎng)絡(luò)系統(tǒng)從結(jié)構(gòu)邏輯上劃分為不同的安全區(qū)域單元，以安全區(qū)域?yàn)閱挝贿M(jìn)行安全防御措施建設(shè)，形成分域安全單元控制體系。

1.3 構(gòu)建縱深的防御體系

主要從物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、系統(tǒng)軟件安全、應(yīng)用安全、用戶安全和管理安全七個(gè)方面進(jìn)行安全技術(shù)和管理設(shè)計(jì)，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的可用性、完整性和保密性，充分運(yùn)用各種新興技術(shù)組合或功能的互補(bǔ)，綜合施策，從內(nèi)到外形成有梯次、有縱深的網(wǎng)絡(luò)安全防御體系。

1.4 保證一致的安全強(qiáng)度

根據(jù)安全等級(jí)的要求，采用分級(jí)的辦法，確保同一安全域的系統(tǒng)以最高安全等級(jí)為標(biāo)準(zhǔn)，采取強(qiáng)度一致的安全措施和統(tǒng)一的防護(hù)策略，消除安全短板，構(gòu)建出動(dòng)態(tài)、嚴(yán)密的防護(hù)體系。

二、信息網(wǎng)絡(luò)安全管控與態(tài)勢(shì)分析云平臺(tái)建設(shè)特點(diǎn)

2.1網(wǎng)絡(luò)資源統(tǒng)管性

平臺(tái)具備對(duì)內(nèi)部網(wǎng)絡(luò)所有資源、網(wǎng)絡(luò)設(shè)備、服務(wù)器進(jìn)行管理的統(tǒng)一操作、管理的功能。通過(guò)客戶端、核心服務(wù)器及數(shù)據(jù)庫(kù)系統(tǒng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的拓?fù)涔芾?、告警事件管理、安全管理、日志管理和配置狀態(tài)管理等。

2.2網(wǎng)絡(luò)信息共享性

網(wǎng)絡(luò)信息的實(shí)時(shí)共享可以加快網(wǎng)絡(luò)信息更新速度，提高數(shù)據(jù)信息修正能力，加強(qiáng)云平臺(tái)分析處理安全事件抵御風(fēng)險(xiǎn)的能力，為網(wǎng)絡(luò)安全事件分析預(yù)判提供依據(jù)。云平臺(tái)核心服務(wù)器群與下屬各網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)器建立數(shù)據(jù)信息共享機(jī)制，下級(jí)服務(wù)器實(shí)時(shí)上傳本地信息數(shù)據(jù)到核心服務(wù)器數(shù)據(jù)庫(kù)，核心服務(wù)器群通過(guò)特征提取、數(shù)據(jù)融合、關(guān)聯(lián)分析等方式對(duì)原始數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，包括數(shù)據(jù)清洗、數(shù)據(jù)融合和數(shù)據(jù)關(guān)聯(lián)幾個(gè)流程，提取出有用的安全數(shù)據(jù)[1]，利用云計(jì)算大數(shù)據(jù)分析得出結(jié)論，下級(jí)服務(wù)器可根據(jù)權(quán)限訪問(wèn)核心服務(wù)器群獲取相關(guān)數(shù)據(jù)信息。

另外通過(guò)專用接口獲取互聯(lián)網(wǎng)網(wǎng)絡(luò)安防數(shù)據(jù)信息，第一時(shí)間接收官方發(fā)布的系統(tǒng)漏洞通知、最新病毒特征及相關(guān)處理方案供云平臺(tái)分析和學(xué)習(xí)。

2.3網(wǎng)絡(luò)態(tài)勢(shì)可視性

網(wǎng)絡(luò)安全態(tài)勢(shì)感知整個(gè)過(guò)程，最重要的任務(wù)就是準(zhǔn)確展示和表達(dá)數(shù)據(jù)所包含的信息，建立網(wǎng)絡(luò)安全信息數(shù)據(jù)到可視化元素的映射。網(wǎng)絡(luò)安全態(tài)勢(shì)圖可以幫助安全分析人員更快速有效地識(shí)別網(wǎng)絡(luò)中的攻擊和異常事件，將抽象的網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)以模型和圖像的方式展現(xiàn)出來(lái)，形成安全態(tài)勢(shì)圖幫助網(wǎng)絡(luò)安全分析人員鑒別網(wǎng)絡(luò)狀態(tài)，識(shí)別網(wǎng)絡(luò)異常和非法入侵，預(yù)測(cè)網(wǎng)絡(luò)安全事件發(fā)展趨勢(shì)。

2.4防御主動(dòng)性

云平臺(tái)建設(shè)主動(dòng)型的防御系統(tǒng)，網(wǎng)絡(luò)安全主動(dòng)防御就是在增強(qiáng)和保證網(wǎng)絡(luò)安全的同時(shí)發(fā)現(xiàn)正在進(jìn)行的網(wǎng)絡(luò)攻擊，預(yù)測(cè)和識(shí)別未知的入侵，并采取相應(yīng)措施使攻擊者無(wú)法達(dá)成目的，是一種前攝性的防御，可使網(wǎng)絡(luò)系統(tǒng)在無(wú)需人為被動(dòng)響應(yīng)的情況下，預(yù)防網(wǎng)絡(luò)安全事件。

相較于網(wǎng)絡(luò)安全被動(dòng)防御，主動(dòng)防御具有較大優(yōu)勢(shì)：一是可以及時(shí)智能檢測(cè)未知攻擊，從根本上改變過(guò)去防御過(guò)于落后的被動(dòng)局面;二是具有自主學(xué)習(xí)能力，能夠?qū)崟r(shí)對(duì)網(wǎng)絡(luò)防御技術(shù)進(jìn)行動(dòng)態(tài)加固;三是能夠?qū)z測(cè)到的網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)響應(yīng)，對(duì)網(wǎng)絡(luò)攻擊技術(shù)進(jìn)行分析、取證、對(duì)攻擊者進(jìn)行跟蹤甚至反擊[2]。

利用云平臺(tái)中心強(qiáng)大的數(shù)據(jù)存儲(chǔ)、匯總及計(jì)算分析能力，可在網(wǎng)絡(luò)安全主動(dòng)防御智能檢測(cè)方面，著力開(kāi)發(fā)基于人工智能的自主學(xué)習(xí)檢測(cè)、識(shí)別安全威脅的功能，將網(wǎng)絡(luò)攻擊檢測(cè)時(shí)間下降幾十倍。病毒在系統(tǒng)內(nèi)存的任何操作，都能被自動(dòng)截獲，根據(jù)病毒活動(dòng)特點(diǎn)定義出惡意威脅的等級(jí)、種類，并制定相應(yīng)的處置方案。實(shí)現(xiàn)由單點(diǎn)防御到全網(wǎng)協(xié)防，攻擊平均響應(yīng)時(shí)間下降到一天，從而實(shí)現(xiàn)自主學(xué)習(xí)，不斷提高網(wǎng)絡(luò)防御水平。

三、建設(shè)基本架構(gòu)及內(nèi)容

信息網(wǎng)絡(luò)安全管控與態(tài)勢(shì)分析云平臺(tái)在核心區(qū)域數(shù)據(jù)中心建立信息網(wǎng)絡(luò)安全態(tài)勢(shì)管控中心;下屬單位網(wǎng)絡(luò)節(jié)點(diǎn)建立前沿感知系統(tǒng)，以信息網(wǎng)絡(luò)安全態(tài)勢(shì)管控中心為本系統(tǒng)核心統(tǒng)管下級(jí)單位節(jié)點(diǎn)，通過(guò)實(shí)時(shí)接收下級(jí)單位前沿感知系統(tǒng)回傳的安防數(shù)據(jù)信息，錄入數(shù)據(jù)庫(kù)，經(jīng)過(guò)云平臺(tái)分析積極響應(yīng)各類安防事件，形成針對(duì)性安防策略報(bào)告，反饋至下級(jí)單位前沿感知系統(tǒng)，動(dòng)態(tài)提供行之有效的指導(dǎo)性安防策略;統(tǒng)籌評(píng)估所有下級(jí)單位整體安防態(tài)勢(shì)，歸納各類安防事件攻擊、傳播等特點(diǎn)，形成案例數(shù)據(jù)庫(kù)，為日后網(wǎng)絡(luò)安防評(píng)估提供數(shù)據(jù)支撐。

同時(shí)，為防止特殊情況下下級(jí)單位不能及時(shí)與信息網(wǎng)絡(luò)安全態(tài)勢(shì)管控中心數(shù)據(jù)交互，在下級(jí)單位網(wǎng)絡(luò)節(jié)點(diǎn)建立安防態(tài)勢(shì)管控子中心，形成備用網(wǎng)絡(luò)安防體系。

四、信息網(wǎng)絡(luò)安防態(tài)勢(shì)管控中心的系統(tǒng)支撐：

4.1安全基礎(chǔ)網(wǎng)絡(luò)層

根據(jù)等級(jí)保護(hù)要求，網(wǎng)絡(luò)骨干節(jié)點(diǎn)應(yīng)采用雙機(jī)熱備方式實(shí)現(xiàn)冗余備份，并根據(jù)實(shí)際情況劃分安全域，包括安全運(yùn)維中心、邊界網(wǎng)絡(luò)區(qū)、業(yè)務(wù)服務(wù)器群、終端接入?yún)^(qū)、數(shù)據(jù)中心、運(yùn)維管理區(qū)等。

4.2安全區(qū)域邊界

安全區(qū)域邊界，部署入侵檢測(cè)系統(tǒng)，防病毒系統(tǒng)、防火墻、漏洞掃描系統(tǒng)、準(zhǔn)入網(wǎng)關(guān)、流量監(jiān)控系統(tǒng)等安全設(shè)備。在業(yè)務(wù)交換區(qū)邊界、大數(shù)據(jù)區(qū)域邊界、核心服務(wù)器區(qū)域邊界、安全運(yùn)維中心等不同防護(hù)等級(jí)安全區(qū)域邊界部署防火墻進(jìn)行訪問(wèn)控制;在不同網(wǎng)系邊界部署安全隔離網(wǎng)閘實(shí)現(xiàn)內(nèi)網(wǎng)區(qū)與互聯(lián)網(wǎng)之間的數(shù)據(jù)交換;在終端接入?yún)^(qū)部署嚴(yán)格準(zhǔn)入控制系統(tǒng)實(shí)現(xiàn)邊界完整性保護(hù);在不可信網(wǎng)絡(luò)接入?yún)^(qū)域（無(wú)線網(wǎng)絡(luò)接入?yún)^(qū)域）邊界部署可抵御高級(jí)威脅的檢測(cè)與防御系統(tǒng)實(shí)現(xiàn)入侵檢測(cè)與終端入網(wǎng)規(guī)范。

4.3 安全核心數(shù)據(jù)防護(hù)

在安全核心數(shù)據(jù)防護(hù)部署漏洞掃描系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)、防病毒查殺系統(tǒng)、網(wǎng)絡(luò)行為審計(jì)系統(tǒng)、日志管理系統(tǒng)、備份恢復(fù)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、物理安防監(jiān)控報(bào)警系統(tǒng)、網(wǎng)絡(luò)終端安全防護(hù)系統(tǒng);在終端安全方面，部署準(zhǔn)入控制系統(tǒng)能夠防止設(shè)備非法接入內(nèi)網(wǎng)及防止內(nèi)網(wǎng)用戶非法外聯(lián)。在服務(wù)器安全方面，針對(duì)主機(jī)的入侵防范，在網(wǎng)絡(luò)層面具有基于網(wǎng)絡(luò)的威脅檢測(cè)與防御系統(tǒng)可以起到防范針對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊行為;采用安全掃描對(duì)信息系統(tǒng)主機(jī)進(jìn)行安全性檢測(cè);通過(guò)對(duì)操作系統(tǒng)人工加固的方式，提升業(yè)務(wù)服務(wù)器的抗攻擊能力;采用運(yùn)維安全網(wǎng)關(guān)，實(shí)現(xiàn)運(yùn)維權(quán)限的集中管控和運(yùn)維行為的全程審計(jì)。

在應(yīng)用系統(tǒng)安全方面，采用基于網(wǎng)絡(luò)的威脅檢測(cè)與防御系統(tǒng)可以起到防范針對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊行為;由安全專家依據(jù)前期風(fēng)險(xiǎn)分析結(jié)果，針對(duì)應(yīng)用系統(tǒng)存在的漏洞提供解決建議及人工加固。

在數(shù)據(jù)庫(kù)安全方面，應(yīng)在核心服務(wù)器區(qū)部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的安全審計(jì)。在網(wǎng)絡(luò)設(shè)備防護(hù)方面，涉及到網(wǎng)絡(luò)交換核心設(shè)備、網(wǎng)絡(luò)信道加密設(shè)備等，這些設(shè)備和主機(jī)的安全要求均需要進(jìn)行深入的安全加固才能滿足等級(jí)保護(hù)的基本要求。

4.4 安全管理中心

在系統(tǒng)管理、審計(jì)管理和安全管理方面，需要新增日志審計(jì)系統(tǒng)，對(duì)設(shè)備、主機(jī)、應(yīng)用產(chǎn)生的日志實(shí)現(xiàn)集中統(tǒng)一管理。在審計(jì)集中管控方面，需通過(guò)在不同區(qū)域，不同層次，不同業(yè)務(wù)部署數(shù)據(jù)采集引擎，再建立安全大數(shù)據(jù)平臺(tái)，結(jié)合安全大數(shù)據(jù)提供的數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)存儲(chǔ)、外部接口等服務(wù)，在此基礎(chǔ)上建立數(shù)據(jù)審計(jì)集中監(jiān)管和安全事件集中管控系統(tǒng)，實(shí)現(xiàn)對(duì)全網(wǎng)數(shù)據(jù)與網(wǎng)絡(luò)安全態(tài)勢(shì)的集中監(jiān)測(cè)。在安全策略集中管控方面，采用信息綜合監(jiān)控管理系統(tǒng)，全面覆蓋等級(jí)保護(hù)工作、運(yùn)行、維護(hù)、管理的全過(guò)程、一體化的安全工作與策略綜合管理平臺(tái)。

在安全事件集中管控方面，通過(guò)分布于業(yè)主單位網(wǎng)絡(luò)中的高級(jí)威脅檢測(cè)與防御系統(tǒng)、日志審計(jì)系統(tǒng)等探針，對(duì)全網(wǎng)安全風(fēng)險(xiǎn)數(shù)據(jù)搜集整理，基于大數(shù)據(jù)平臺(tái)提供的深度分析和感知能力，實(shí)現(xiàn)覆蓋全網(wǎng)安全事件的態(tài)勢(shì)監(jiān)測(cè)能力，包括總體網(wǎng)絡(luò)安全態(tài)勢(shì)、在線資源態(tài)勢(shì)、安全事件態(tài)勢(shì)、攻擊態(tài)勢(shì)和預(yù)警通報(bào)等。

4.5數(shù)據(jù)中心

在數(shù)據(jù)中心部署具備數(shù)據(jù)庫(kù)靜態(tài)審計(jì)功能的安全設(shè)備，其可代替繁瑣的手工檢查，預(yù)防安全事件的發(fā)生。利用具備權(quán)威的數(shù)據(jù)庫(kù)安全規(guī)則庫(kù)，自動(dòng)完成對(duì)不當(dāng)?shù)臄?shù)據(jù)庫(kù)安全配置、潛在弱點(diǎn)、用戶弱口令、數(shù)據(jù)庫(kù)軟件補(bǔ)丁、數(shù)據(jù)庫(kù)潛藏木馬等靜態(tài)審計(jì)。通過(guò)靜態(tài)審計(jì)，可為后續(xù)的動(dòng)態(tài)防護(hù)與審計(jì)的安全策略設(shè)置提供依據(jù)。

五、結(jié)論

信息網(wǎng)絡(luò)安全管控與態(tài)勢(shì)分析云平臺(tái)是一款集網(wǎng)絡(luò)資源管理、信息共享、設(shè)備配置、數(shù)據(jù)分析、情況預(yù)判、策略制定的主動(dòng)安防信息管理系統(tǒng)，可用于政府、軍隊(duì)、企業(yè)等機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)。

建設(shè)信息網(wǎng)絡(luò)安全管控與態(tài)勢(shì)分析云平臺(tái)是一項(xiàng)復(fù)雜的系統(tǒng)工程，它涵蓋內(nèi)容廣泛，使用高新技術(shù)多、理論新、功能全面，并且要求各種網(wǎng)絡(luò)設(shè)備具有良好的兼容性，這對(duì)系統(tǒng)的研發(fā)和后期的改進(jìn)優(yōu)化都提出了比較高的要求，要不斷將新技術(shù)融入其中，使其功能更加完善，系統(tǒng)更加優(yōu)化，安防能力逐漸提高，更好的為網(wǎng)絡(luò)安全服務(wù)。

參? 考? 文? 獻(xiàn)

[1] 李俊磊.高校校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知建設(shè)研究.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2020（08）：96-98

[2] 邱子越.下好網(wǎng)絡(luò)安全主動(dòng)防御先手棋.中國(guó)國(guó)防報(bào)2019-02-27