陳 妍 朱 燕 劉玉嶺 劉星材

1(公安部第三研究所公安部信息安全產(chǎn)品檢測中心 上海 200031)2(中國科學(xué)院信息工程研究所第六研究室 北京 100093)(chenyan@mctc.org.cn)

隨著組織信息化建設(shè)規(guī)模的擴(kuò)大，安全架構(gòu)日趨復(fù)雜，各種類型的安全設(shè)備、安全數(shù)據(jù)越來越多，組織自身的安全運(yùn)維壓力不斷加大.另一方面，以高級可持續(xù)威脅(advanced persistent threat, APT)為代表的新型攻擊的興起[1-2]，隨著內(nèi)控與合規(guī)的深入，越來越需要組織充分利用更多的安全數(shù)據(jù)進(jìn)行分析檢測，對基礎(chǔ)架構(gòu)安全、應(yīng)用安全、數(shù)據(jù)安全乃至業(yè)務(wù)安全中面臨的各類高級威脅作出判定和響應(yīng)，以支撐業(yè)務(wù)持續(xù)穩(wěn)定和安全運(yùn)行.網(wǎng)絡(luò)安全態(tài)勢感知[3-4]是一種基于環(huán)境動(dòng)態(tài)地、整體地洞悉安全風(fēng)險(xiǎn)的能力，綜合利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況，為網(wǎng)絡(luò)安全保障提供技術(shù)支撐.

不同于傳統(tǒng)防火墻、入侵檢測、安全審計(jì)等功能相對固化的產(chǎn)品，網(wǎng)絡(luò)安全態(tài)勢感知的概念及應(yīng)用則復(fù)雜很多.很多產(chǎn)品或系統(tǒng)都宣稱具備網(wǎng)絡(luò)安全態(tài)勢感知的三要素：態(tài)勢獲取、態(tài)勢理解和態(tài)勢預(yù)測，但實(shí)際部署后的系統(tǒng)應(yīng)用效果千差萬別，沒有給用戶帶來實(shí)際的網(wǎng)絡(luò)安全監(jiān)測與防護(hù)效果，反而造成了資源浪費(fèi)，同時(shí)給市場帶來了一定的混亂.這一方面是缺乏網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)、框架、功能等標(biāo)準(zhǔn)導(dǎo)致的，另一方面原因在于缺少業(yè)界公認(rèn)的針對網(wǎng)絡(luò)安全態(tài)勢感知的綜合評價(jià)指標(biāo).另外，網(wǎng)絡(luò)安全態(tài)勢感知平臺需要從多種數(shù)據(jù)源進(jìn)行數(shù)據(jù)采集，并與多個(gè)其他安全產(chǎn)品和系統(tǒng)進(jìn)行聯(lián)動(dòng)，存在較多需要定義的數(shù)據(jù)和功能接口，目前各產(chǎn)品廠商、各平臺建設(shè)單位各自為政，缺乏統(tǒng)一的數(shù)據(jù)接口，數(shù)據(jù)對接、威脅情報(bào)共享工作的實(shí)際落地較為困難.

解決這些問題需要有配套的態(tài)勢感知標(biāo)準(zhǔn)來對相關(guān)系統(tǒng)和產(chǎn)品的功能進(jìn)行規(guī)范，保障相關(guān)產(chǎn)品和系統(tǒng)的質(zhì)量；對態(tài)勢感知的評價(jià)指標(biāo)進(jìn)行構(gòu)建，保證系統(tǒng)輸出結(jié)果的一致性；對系統(tǒng)間數(shù)據(jù)采集、數(shù)據(jù)共享、協(xié)同聯(lián)動(dòng)的接口進(jìn)行統(tǒng)一，促進(jìn)不同廠商產(chǎn)品和系統(tǒng)之間的互聯(lián)互通.本文在調(diào)研國內(nèi)外網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)的基礎(chǔ)上，圍繞組織在進(jìn)行網(wǎng)絡(luò)安全態(tài)勢感知能力建設(shè)、廠商在開發(fā)和設(shè)計(jì)網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品時(shí)面臨的問題，給出了網(wǎng)絡(luò)安全態(tài)勢感知的標(biāo)準(zhǔn)架構(gòu).

1 網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)標(biāo)準(zhǔn)梳理分析

隨著網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品的增多，以及各級網(wǎng)絡(luò)安全態(tài)勢感知平臺的建設(shè)和實(shí)踐，需要配套的網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)規(guī)范產(chǎn)品和系統(tǒng)的核心功能，構(gòu)建態(tài)勢感知能力評價(jià)體系，統(tǒng)一平臺間數(shù)據(jù)采集共享和協(xié)同聯(lián)動(dòng)接口，促進(jìn)不同產(chǎn)品和平臺的互聯(lián)互通，從而增強(qiáng)網(wǎng)絡(luò)安全態(tài)勢感知能力.

深受先賢理念潤澤，緊跟時(shí)代步伐，百余年來，廣雅一直在傳承堅(jiān)守“和諧”教育理念，不斷發(fā)展和豐富“和諧”教育內(nèi)涵，通過制度建設(shè)和體系完善、環(huán)境美化和平臺優(yōu)化，積極營造和諧的教育生態(tài)，引領(lǐng)學(xué)生自由、健康成長。

本節(jié)梳理分析國內(nèi)外標(biāo)準(zhǔn)化組織的已有工作，為后面標(biāo)準(zhǔn)框架的構(gòu)建提供研究基礎(chǔ)和技術(shù)依據(jù)，具體如表1所示.

通過表1可以看出，當(dāng)前網(wǎng)絡(luò)安全態(tài)勢感知仍存在以下亟需解決的標(biāo)準(zhǔn)問題：

表1 網(wǎng)絡(luò)安全態(tài)勢感知國內(nèi)外標(biāo)準(zhǔn)化情況梳理分析

1) 開發(fā)廠商、平臺建設(shè)單位雖然一定程度上可以使用已有的脆弱性、威脅情報(bào)、安全事件標(biāo)準(zhǔn)，但是缺乏統(tǒng)一的數(shù)據(jù)接口，給平臺對接、數(shù)據(jù)交換和威脅情報(bào)共享等增加了工作量和困難；

2) 缺乏統(tǒng)一的安全態(tài)勢感知功能要求標(biāo)準(zhǔn)，容易導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢感知平臺建設(shè)單位對態(tài)勢感知的認(rèn)識不到位、系統(tǒng)架構(gòu)設(shè)計(jì)不合理、態(tài)勢感知功能模糊不清、能力參差不齊，無法真正實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知；

3) 缺乏態(tài)勢感知前端數(shù)據(jù)源標(biāo)準(zhǔn)規(guī)范，導(dǎo)致前端采集源與平臺、平臺內(nèi)部高度融合，無法與其他優(yōu)秀的前端采集源、分析能力進(jìn)行異構(gòu)兼容.

集體備課可以有效提升教師的專業(yè)素養(yǎng)，特別是對青年教師群體業(yè)務(wù)能力的鍛煉.集體備課的主要目的就是發(fā)揮教研組全體教師的集體智慧，老教師提供經(jīng)驗(yàn)方法，年輕教師貢獻(xiàn)教學(xué)新思路，共同優(yōu)化教學(xué)設(shè)計(jì)，提高教學(xué)質(zhì)量.與此同時(shí)，集體備課可以為教師提供交流的平臺，便于課程教學(xué)策略與改革方案的實(shí)施.

考慮到網(wǎng)絡(luò)安全態(tài)勢感知的復(fù)雜性，需建立標(biāo)準(zhǔn)體系來規(guī)范和指導(dǎo)網(wǎng)絡(luò)安全態(tài)勢感知工作.目前已有的標(biāo)準(zhǔn)主要從某一方面對網(wǎng)絡(luò)安全態(tài)勢感知進(jìn)行了規(guī)范，比如參考設(shè)計(jì)、功能要求、數(shù)據(jù)交換等，但沒有一個(gè)完整的標(biāo)準(zhǔn)體系設(shè)計(jì)，為此，亟待從技術(shù)和產(chǎn)業(yè)發(fā)展角度加快推進(jìn)網(wǎng)絡(luò)安全態(tài)勢感知的標(biāo)準(zhǔn)化工作，為我國網(wǎng)絡(luò)安全態(tài)勢感知的健康發(fā)展提供有力保障.

2 網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)架構(gòu)

本文調(diào)研了國內(nèi)外典型的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)架構(gòu)[5-14]，對網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系進(jìn)行了研究，認(rèn)為網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)體系的構(gòu)成要素應(yīng)涵蓋技術(shù)要求標(biāo)準(zhǔn)、安全管理標(biāo)準(zhǔn)、檢測評價(jià)標(biāo)準(zhǔn)、應(yīng)用指南標(biāo)準(zhǔn)等標(biāo)準(zhǔn)類型，覆蓋數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)分析、數(shù)據(jù)共享等關(guān)鍵技術(shù)全鏈條，同時(shí)包括態(tài)勢獲取、態(tài)勢理解和態(tài)勢預(yù)測等能力，各要素之間相輔相成，互相支撐，如圖1所示:

圖1 網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)需求圖

基于網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)需求及網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)架構(gòu)，本節(jié)設(shè)計(jì)了基于數(shù)據(jù)處理流程的網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)架構(gòu)，如圖2所示，該標(biāo)準(zhǔn)架構(gòu)可以有效指導(dǎo)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的設(shè)計(jì)、開發(fā)和建設(shè).

如圖2所示，網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)架構(gòu)主要包括總體框架標(biāo)準(zhǔn)、前端數(shù)據(jù)源類標(biāo)準(zhǔn)、數(shù)據(jù)標(biāo)準(zhǔn)、應(yīng)用標(biāo)準(zhǔn)、數(shù)據(jù)共享標(biāo)準(zhǔn)和業(yè)務(wù)支撐標(biāo)準(zhǔn).其中數(shù)據(jù)標(biāo)準(zhǔn)包括數(shù)據(jù)預(yù)處理標(biāo)準(zhǔn)、數(shù)據(jù)存儲標(biāo)準(zhǔn)和數(shù)據(jù)服務(wù)接口標(biāo)準(zhǔn)；應(yīng)用標(biāo)準(zhǔn)包括安全功能類標(biāo)準(zhǔn)、安全指標(biāo)體系類標(biāo)準(zhǔn)和安全可視化要素類標(biāo)準(zhǔn)；業(yè)務(wù)支撐標(biāo)準(zhǔn)包括基礎(chǔ)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn).各標(biāo)準(zhǔn)的定位以及作用如表2所示.

圖2 網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)架構(gòu)

表2 網(wǎng)絡(luò)安全態(tài)勢感知各標(biāo)準(zhǔn)定位

基于上述的網(wǎng)絡(luò)安全態(tài)勢標(biāo)準(zhǔn)框架，可以對態(tài)勢感知能力的建設(shè)起到規(guī)范和指導(dǎo)作用，主要體現(xiàn)在如下方面：一是通過規(guī)范態(tài)勢感知產(chǎn)品開發(fā)者、平臺建設(shè)者的設(shè)計(jì)、開發(fā)和建設(shè)流程，統(tǒng)一系統(tǒng)框架，提升系統(tǒng)的技術(shù)水平；二是通過規(guī)范態(tài)勢感知服務(wù)組織的基礎(chǔ)安全管理、數(shù)據(jù)安全管理、系統(tǒng)安全管理和安全運(yùn)維等，提升系統(tǒng)防范安全風(fēng)險(xiǎn)的能力；三是規(guī)范行業(yè)體系，對系統(tǒng)的數(shù)據(jù)采集、數(shù)據(jù)共享、協(xié)同聯(lián)動(dòng)的接口進(jìn)行統(tǒng)一，促進(jìn)不同廠商產(chǎn)品和系統(tǒng)之間的互聯(lián)互通，從而進(jìn)一步支撐網(wǎng)絡(luò)安全態(tài)勢感知的健康發(fā)展.

3 結(jié)束語

網(wǎng)絡(luò)安全態(tài)勢感知作為實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)測和防護(hù)的一種手段，其作用至關(guān)重要.但由于網(wǎng)絡(luò)安全態(tài)勢感知能力建設(shè)的復(fù)雜性，即使如美國等網(wǎng)絡(luò)安全強(qiáng)國也一直在摸索相關(guān)方案，我國也一樣在摸索中前進(jìn).本文在調(diào)研國內(nèi)外網(wǎng)絡(luò)安全態(tài)勢感知典型模型的基礎(chǔ)上，給出了網(wǎng)絡(luò)安全態(tài)勢感知的系統(tǒng)架構(gòu)，并以問題導(dǎo)向?yàn)樵瓌t，給出了網(wǎng)絡(luò)安全態(tài)勢感知的標(biāo)準(zhǔn)架構(gòu).網(wǎng)絡(luò)安全態(tài)勢感知的工作任重而道遠(yuǎn)，標(biāo)準(zhǔn)化工作則極為重要.未來需要在《中華人民共和國網(wǎng)絡(luò)安全法》的指引下，緊密圍繞國家網(wǎng)絡(luò)安全戰(zhàn)略需要，持續(xù)完善和優(yōu)化我國網(wǎng)絡(luò)安全態(tài)勢感知的標(biāo)準(zhǔn)體系建設(shè).網(wǎng)絡(luò)安全態(tài)勢感知標(biāo)準(zhǔn)體系建設(shè)一方面可以為網(wǎng)絡(luò)安全態(tài)勢感知的標(biāo)準(zhǔn)編制工作提供方向性指導(dǎo)；另一方面也能為網(wǎng)絡(luò)安全態(tài)勢感知研發(fā)、生產(chǎn)和檢測單位開展規(guī)范化科研、生產(chǎn)和檢測提供依據(jù).