基于態(tài)勢(shì)感知理念的交通運(yùn)輸行業(yè)網(wǎng)絡(luò)安全體系構(gòu)建探析

張焱+馮翠平

摘 要：通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)警功能，可以對(duì)網(wǎng)絡(luò)上各類的入侵行為進(jìn)行實(shí)時(shí)監(jiān)控，并且可以預(yù)測(cè)出入侵行為將會(huì)造成的危害及后果；一旦檢測(cè)出入侵行為，可以提前對(duì)入侵行為采取有效的防御措施，最終能夠有效地提高網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的效能。本文將對(duì)目前的網(wǎng)絡(luò)安全形勢(shì)進(jìn)行全面分析，并提出基于交通運(yùn)輸行業(yè)基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全體系構(gòu)建方案。

關(guān)鍵詞：交通運(yùn)輸；態(tài)勢(shì)感知；網(wǎng)絡(luò)安全；入侵檢測(cè)

中圖分類號(hào)：U111 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006—7973（2017）06-0026-02

習(xí)近平總書記在四一九網(wǎng)絡(luò)安全和信息化工作座談會(huì)上提出“要以信息化推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化，統(tǒng)籌發(fā)展電子政務(wù)，構(gòu)建一體化在線服務(wù)平臺(tái)，分級(jí)分類推進(jìn)新型智慧城市建設(shè)，打通信息壁壘，構(gòu)建全國(guó)信息資源共享體系，利用信息化手段感知社會(huì)態(tài)勢(shì)、暢通溝通渠道、輔助科學(xué)建設(shè)”，2016年12月27日，國(guó)務(wù)院全文刊發(fā)了《“十三五”國(guó)家信息化規(guī)劃》“十大任務(wù)”中的最后一項(xiàng)，健全網(wǎng)絡(luò)安全保障體系，提出“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”，再次強(qiáng)調(diào)了態(tài)勢(shì)感知的重要性。

交通運(yùn)輸行業(yè)是國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展的先行官，在交通運(yùn)輸發(fā)展方面具有極其重要的作用。而交通信息化的發(fā)展對(duì)國(guó)家的戰(zhàn)略實(shí)施、行業(yè)及現(xiàn)代化治理方面具有關(guān)鍵的輔助作用。面對(duì)“十三五”期新形勢(shì)、新要求，“要以國(guó)家信息化戰(zhàn)略為引領(lǐng)，強(qiáng)化信息化頂層設(shè)計(jì)，實(shí)現(xiàn)行業(yè)重要信息系統(tǒng)的互聯(lián)互通；要結(jié)合行業(yè)轉(zhuǎn)型升級(jí)發(fā)展要求，推進(jìn)信息技術(shù)與行業(yè)管理和服務(wù)的深度融合；要大力促進(jìn)大數(shù)據(jù)發(fā)展應(yīng)用，深化政府與企業(yè)間合作，共同打造交通信息服務(wù)產(chǎn)業(yè)新生態(tài)；要加強(qiáng)新技術(shù)應(yīng)用，強(qiáng)化網(wǎng)絡(luò)與信息安全保障體系建設(shè)?！?/p>

1 國(guó)內(nèi)互聯(lián)網(wǎng)安全背景

目前國(guó)內(nèi)的信息化水平迅速提高，為了跟上時(shí)代的步伐，傳統(tǒng)行業(yè)迅速轉(zhuǎn)型，導(dǎo)致信息化的消費(fèi)也在逐年提高。為了保證信息化水平繼續(xù)逐年穩(wěn)步提高，則必須有充分的網(wǎng)絡(luò)安全防護(hù)作為保障。2013年以來(lái)，我國(guó)互聯(lián)網(wǎng)安全的整體態(tài)勢(shì)主要表現(xiàn)在三個(gè)方面：一是網(wǎng)絡(luò)總體情況比較穩(wěn)定，但類似于域名系統(tǒng)等薄弱環(huán)節(jié)仍然需要改進(jìn)，無(wú)法對(duì)拒絕服務(wù)攻擊和安全漏洞進(jìn)行有效的防御。二是移動(dòng)互聯(lián)網(wǎng)快速發(fā)展，導(dǎo)致移動(dòng)互聯(lián)網(wǎng)的惡意APP迅速增多，生態(tài)污染問(wèn)題亟待解決。三是來(lái)自病毒、蠕蟲、木馬和僵尸的威脅，頻繁的惡意程序傳播活動(dòng)將使用戶上網(wǎng)面臨的感染惡意程序風(fēng)險(xiǎn)加大。

近年來(lái)，根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的安全數(shù)據(jù)分析，web端的安全形勢(shì)同樣令人堪憂。公家互聯(lián)網(wǎng)安裝狀況報(bào)告年報(bào)顯示，政府網(wǎng)站、金融行業(yè)、媒體、旅游以及網(wǎng)上交易網(wǎng)站最容易遭受不法分子攻擊，而安全漏洞往往是實(shí)施攻擊的必要條件。不法分子通過(guò)入侵網(wǎng)站發(fā)布違規(guī)信息，首先會(huì)導(dǎo)致政府在公眾面前的形象遭受損失，更重要的是政治風(fēng)險(xiǎn)無(wú)法避免。

2 交通運(yùn)輸行業(yè)信息安全體系構(gòu)建

網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警項(xiàng)目正是基于“監(jiān)測(cè)+響應(yīng)”的理念進(jìn)行功能設(shè)計(jì)的，能夠全面、有效、及時(shí)的向各單位提供安全預(yù)警和應(yīng)急服務(wù)。交通運(yùn)輸行業(yè)信息化建設(shè)發(fā)展是以行業(yè)信息化重點(diǎn)工程和示范試點(diǎn)工程為依托，努力實(shí)現(xiàn)交通運(yùn)輸信息化的上下貫通、左右連通和內(nèi)外融通，促進(jìn)現(xiàn)代綜合交通運(yùn)輸體系發(fā)展。交通運(yùn)輸行業(yè)有很多重要的大型數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)如路網(wǎng)監(jiān)測(cè)、救助信息、運(yùn)營(yíng)管理、物聯(lián)網(wǎng)監(jiān)控、智能交通管控等，這些大型網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)的安全運(yùn)維是關(guān)系到行業(yè)穩(wěn)定發(fā)展和國(guó)計(jì)民生的重要環(huán)節(jié)，必須保障其安全穩(wěn)定。

因此，必須利用先進(jìn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知策略積極構(gòu)建行業(yè)信息安全體系，通過(guò)“防護(hù)+監(jiān)測(cè)+響應(yīng)”來(lái)全方位保障網(wǎng)絡(luò)平臺(tái)安全已經(jīng)成為必行趨勢(shì)。本文就行業(yè)搭建態(tài)勢(shì)感知網(wǎng)絡(luò)平臺(tái)相關(guān)的內(nèi)容進(jìn)行了系統(tǒng)分析，對(duì)其主要技術(shù)架構(gòu)建議如下：

2.1 建設(shè)目標(biāo)及原則

（1）建設(shè)目標(biāo)。首先需要對(duì)網(wǎng)絡(luò)的骨干節(jié)點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，一旦發(fā)現(xiàn)惡意的入侵行為或者木馬、蠕蟲等病毒傳播，系統(tǒng)需要立即發(fā)出警報(bào)并推送給用戶；在系統(tǒng)未遭受攻擊時(shí)，可以對(duì)系統(tǒng)進(jìn)行安全漏洞掃描，一旦發(fā)現(xiàn)薄弱環(huán)節(jié)，同樣需要推送給用戶。隨著系統(tǒng)的不斷完善，可以對(duì)多個(gè)重點(diǎn)系統(tǒng)進(jìn)行完善的保護(hù)，確保入侵行為無(wú)法奏效；同時(shí)需要對(duì)已經(jīng)阻止的入侵行為進(jìn)行分析，收集并整理出易受攻擊的時(shí)間段及系統(tǒng)，有策略的加強(qiáng)局部安全防護(hù)。通過(guò)態(tài)勢(shì)感知系統(tǒng)的布置，可以對(duì)入侵行為進(jìn)行有效的防護(hù)并對(duì)網(wǎng)絡(luò)的整體安全狀況有充分的了解、為今后的信息安全策略提供有效的基礎(chǔ)性依據(jù)。

（2）建設(shè)原則。一是系統(tǒng)完整性原則，一旦安全體系建設(shè)不完整，致使不法分子有可乘之機(jī)，導(dǎo)致前功盡棄。二是系統(tǒng)實(shí)用性原則，確保系統(tǒng)的有效性及可用性。三是安全目標(biāo)與效率、投入之間的平衡原則。四是系統(tǒng)動(dòng)態(tài)發(fā)展原則，安全防范體系的建設(shè)必須不斷完善和升級(jí)發(fā)展。五是利舊原則，盡量通過(guò)采集已有設(shè)備數(shù)據(jù)信息完成態(tài)勢(shì)分析。

2.2 架構(gòu)總覽

系統(tǒng)分為分析交互、大數(shù)據(jù)分析和數(shù)據(jù)采集三層。如下圖1所示：

（1） 數(shù)據(jù)采集層。使用部署在網(wǎng)絡(luò)骨干的引擎，監(jiān)控Web服務(wù)系統(tǒng)的漏洞、安全事件、系統(tǒng)配置問(wèn)題、木馬、病毒等安全威脅，并對(duì)威脅進(jìn)行采集收集。數(shù)據(jù)采集模塊采集到的各類數(shù)據(jù)可以劃分為兩種類型，第一種為高頻數(shù)據(jù)，也稱大數(shù)據(jù)，通過(guò)高速數(shù)據(jù)總線收集，其主要特點(diǎn)為高速、海量、異構(gòu)，大數(shù)據(jù)主要包含性能及系統(tǒng)狀態(tài)數(shù)據(jù)，此外還包括日志、事件、流數(shù)據(jù)等；第二種為低頻數(shù)據(jù)，通過(guò)低頻數(shù)據(jù)總線進(jìn)行采集，低頻數(shù)據(jù)主要包括配置信息、資產(chǎn)信息、漏洞信息、人員信息和威脅情報(bào)等。

除此之外，數(shù)據(jù)類型還可以根據(jù)采集位置區(qū)分，一種是采集于內(nèi)網(wǎng)的內(nèi)部數(shù)據(jù)，通常包含網(wǎng)絡(luò)安全數(shù)據(jù)、員工審計(jì)信息、漏洞信息等，另一種數(shù)據(jù)采集與互聯(lián)網(wǎng)出口，稱之為外部數(shù)據(jù)，一般包含外部威脅等信息。

（2）大數(shù)據(jù)處理層。該模塊可以對(duì)采集到的海量數(shù)據(jù)進(jìn)行系統(tǒng)的分類，將其轉(zhuǎn)換為有結(jié)構(gòu)的大數(shù)據(jù)集。對(duì)于不能轉(zhuǎn)換為結(jié)構(gòu)化的數(shù)據(jù)需要添加相應(yīng)的索引，最終將兩種數(shù)據(jù)儲(chǔ)存起來(lái)以便分析交互層進(jìn)行分析。

（3）分析交互層。分析交互成主要由五個(gè)模塊組成，分別為安全監(jiān)測(cè)、態(tài)勢(shì)分析、漏洞預(yù)警、事件跟蹤及知識(shí)情報(bào)模塊?？梢詫?duì)采集數(shù)據(jù)進(jìn)行科學(xué)系統(tǒng)的分析，最終轉(zhuǎn)換為有價(jià)值的信息。①安全監(jiān)測(cè)。安全監(jiān)測(cè)模塊對(duì)系統(tǒng)整體的安全防護(hù)起到支撐作用，可以對(duì)網(wǎng)絡(luò)上的重點(diǎn)系統(tǒng)、重點(diǎn)人員及重點(diǎn)目標(biāo)進(jìn)行專項(xiàng)監(jiān)測(cè)。于此同時(shí)還可以對(duì)網(wǎng)絡(luò)及系統(tǒng)的狀況進(jìn)行整體監(jiān)測(cè)，如web篡改、病毒入侵、流量告警等威脅信息。該模塊不僅可以對(duì)外部系統(tǒng)威脅信息進(jìn)行監(jiān)測(cè)，如果有內(nèi)部組織或人員對(duì)外部網(wǎng)絡(luò)進(jìn)行攻擊，同樣可以進(jìn)行監(jiān)測(cè)并警告。同時(shí)，系統(tǒng)還具有智能過(guò)濾功能，對(duì)不重要的入侵及攻擊事件進(jìn)行過(guò)濾篩選，以便減輕服務(wù)器及維護(hù)人員的負(fù)擔(dān)。模塊最終分析形成的分析報(bào)表可以對(duì)一定時(shí)間段內(nèi)的安全事件進(jìn)行對(duì)比分析，可以讓使用者對(duì)系統(tǒng)安全進(jìn)行直觀的了解。②態(tài)勢(shì)分析。態(tài)勢(shì)分析模塊包含兩大方面，第一是宏觀分析，可以從宏觀方面分析整個(gè)互聯(lián)網(wǎng)總體信息安全狀態(tài)，對(duì)整個(gè)網(wǎng)絡(luò)的安全威脅進(jìn)行宏觀展示；第二是微觀分析，可以對(duì)重點(diǎn)系統(tǒng)及人員進(jìn)行詳盡的分析，并展示重點(diǎn)目標(biāo)的威脅態(tài)勢(shì)和web安全態(tài)勢(shì)等。③漏洞預(yù)警。漏洞預(yù)警模塊通過(guò)對(duì)系統(tǒng)數(shù)據(jù)全面的檢測(cè)，可以提前發(fā)現(xiàn)系統(tǒng)存在的各種弱點(diǎn)，包括各類網(wǎng)頁(yè)及配置漏洞，發(fā)現(xiàn)漏洞以后可以提前預(yù)警并協(xié)助用戶對(duì)漏洞進(jìn)行防護(hù)，對(duì)可能遭受的威脅進(jìn)行提前感知。④事件分析。事件分析模塊可以對(duì)已發(fā)生的安全事件進(jìn)行匯總并分析，協(xié)助使用者找出重點(diǎn)威脅事件、重點(diǎn)對(duì)象及攻擊源頭。分析方法通常為異常服務(wù)分析、攻擊者分析和三元組分析。其中三元組分析是通過(guò)對(duì)攻擊事件的源IP、目的IP和事件行為進(jìn)行統(tǒng)計(jì)分析。同時(shí)，系統(tǒng)應(yīng)當(dāng)支持分析提供異常服務(wù)和參與對(duì)外攻擊的主機(jī)，支持分析挖掘疑似攻擊人員相關(guān)信息。

3 結(jié)語(yǔ)

綜上所述，應(yīng)用態(tài)勢(shì)感知理念搭建起來(lái)的安全架構(gòu)具有提前預(yù)知入侵、降低入侵危害等特性，行業(yè)內(nèi)各大型數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)和管理單位可以結(jié)合自身情況搭建與之相適應(yīng)的態(tài)勢(shì)感知系統(tǒng)來(lái)應(yīng)對(duì)可能面臨的入侵威脅，確保網(wǎng)絡(luò)及信息系統(tǒng)平穩(wěn)運(yùn)行，努力實(shí)現(xiàn)行業(yè)和國(guó)家《“十三五”國(guó)家信息化規(guī)劃》的宏偉目標(biāo)。

參考文獻(xiàn)：

[1]劉旭東.關(guān)于網(wǎng)絡(luò)安全趨勢(shì)態(tài)勢(shì)感知的預(yù)警技術(shù)分析[J].科技創(chuàng)業(yè)月刊，2016，（29）

[2]彭毅.基于多傳感的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)框架結(jié)構(gòu)[J]網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，（12）

[3]張翼鵬.分析網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)[J].通訊世界，2017，（1）

[4]阮兆文.基于安全態(tài)勢(shì)感知的網(wǎng)絡(luò)安全技術(shù)研究[J].低碳世界，2016，（31）

[5]吳軍英.基于信息安全建設(shè)中安全態(tài)勢(shì)感知系統(tǒng)的設(shè)計(jì)[J].科技創(chuàng)新導(dǎo)報(bào)，2016，（15）