徐 楓，邱 黎，林 紅

（武漢廣播電視臺(tái)，湖北 武漢 430022）

0 引言

隨著互聯(lián)網(wǎng)應(yīng)用的高速發(fā)展，社會(huì)各行業(yè)的網(wǎng)上業(yè)務(wù)越來越多，用戶對(duì)數(shù)據(jù)交互、資源共享的需求不斷提高。信息化平臺(tái)的互聯(lián)互通方便實(shí)現(xiàn)數(shù)據(jù)交換，有利于提高工作效率和管理效能。但在系統(tǒng)開放互聯(lián)的同時(shí)，各類網(wǎng)絡(luò)安全隱患也隨之而來，網(wǎng)絡(luò)釣魚、勒索軟件、高級(jí)可持續(xù)威脅（Advanced Persistent Threat，APT）以及加密貨幣劫持等各種新形式的網(wǎng)絡(luò)攻擊也愈演愈烈。在這樣的新型網(wǎng)絡(luò)環(huán)境下，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)高效、安全的互聯(lián)互通，統(tǒng)籌應(yīng)用內(nèi)容資源、平臺(tái)資源及網(wǎng)絡(luò)資源，實(shí)現(xiàn)數(shù)據(jù)的高效交互使用，實(shí)現(xiàn)資源的統(tǒng)一存儲(chǔ)和管理，是技術(shù)人員不斷探尋的目標(biāo)[1]。

面對(duì)越來越專業(yè)的惡意攻擊，人們已經(jīng)不能再用傳統(tǒng)的方式進(jìn)行抗衡，網(wǎng)絡(luò)安全態(tài)勢感知應(yīng)時(shí)而生。網(wǎng)絡(luò)安全態(tài)勢感知是2018 年全國科學(xué)技術(shù)名詞審定委員會(huì)公布的計(jì)算機(jī)科學(xué)技術(shù)名詞，被業(yè)界公認(rèn)為是解決網(wǎng)絡(luò)安全問題的一種新的方法。它可以綜合分析各網(wǎng)絡(luò)部件對(duì)安全事件的檢測，讓網(wǎng)絡(luò)安全工作更具主動(dòng)性[2]。網(wǎng)絡(luò)安全態(tài)勢感知能夠及時(shí)感知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，已成為國際上的一個(gè)熱門研究領(lǐng)域。

1 多業(yè)務(wù)系統(tǒng)互聯(lián)互通的意義和安全挑戰(zhàn)

當(dāng)前，新一輪科技革命和產(chǎn)業(yè)變革加速推進(jìn)，數(shù)字技術(shù)創(chuàng)新實(shí)現(xiàn)多點(diǎn)突破，傳統(tǒng)經(jīng)濟(jì)產(chǎn)業(yè)模式數(shù)字化轉(zhuǎn)型加速。互聯(lián)網(wǎng)作為互聯(lián)互通的重要信息平臺(tái)，在社會(huì)經(jīng)濟(jì)中發(fā)揮著重要作用。多業(yè)務(wù)系統(tǒng)互聯(lián)互通是通過整體規(guī)劃，對(duì)數(shù)據(jù)進(jìn)行有效利用和深層次挖掘，對(duì)不同功能網(wǎng)絡(luò)、不同業(yè)務(wù)應(yīng)用、不同廠商設(shè)備實(shí)現(xiàn)安全互聯(lián)，消除信息孤島，實(shí)現(xiàn)多網(wǎng)絡(luò)、多平臺(tái)、多業(yè)務(wù)系統(tǒng)數(shù)據(jù)的全面共享和全程管理。在網(wǎng)絡(luò)安全方面，人們通過在各系統(tǒng)部署安全接入平臺(tái)保障數(shù)據(jù)安全交互，同時(shí)各分區(qū)之間設(shè)置有效隔離，根據(jù)業(yè)務(wù)訪問要求實(shí)施安全訪問策略，讓系統(tǒng)的硬件、軟件及數(shù)據(jù)受到保護(hù)，避免遭到損壞、篡改和泄密，保障網(wǎng)絡(luò)服務(wù)不中斷，使系統(tǒng)可以連續(xù)、正常地運(yùn)行[3]。

多業(yè)務(wù)系統(tǒng)互聯(lián)互通給人們帶來信息資源共享、管理便捷高效的同時(shí)，也對(duì)網(wǎng)絡(luò)安全提出了更高的技術(shù)要求。為有效應(yīng)對(duì)網(wǎng)絡(luò)威脅，保護(hù)系統(tǒng)運(yùn)行的整體安全，技術(shù)工作者應(yīng)統(tǒng)籌考慮整體布局，網(wǎng)絡(luò)安全防御措施應(yīng)全面覆蓋各業(yè)務(wù)系統(tǒng)的各個(gè)層次，包括網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用及數(shù)據(jù)等。

2 傳統(tǒng)網(wǎng)絡(luò)安全策略的局限性

傳統(tǒng)網(wǎng)絡(luò)安全主要通過防火墻、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）以及病毒查殺等技術(shù)、設(shè)備，重點(diǎn)在于邊界防護(hù)，在不同的區(qū)域間通過安全設(shè)備構(gòu)建隔離的安全防護(hù)體系[4]。各安全設(shè)備彼此之間各自為戰(zhàn)，缺乏信息共享和防護(hù)協(xié)同，因此面對(duì)新型安全威脅存在先天缺陷，這些新型安全威脅主要有：

（1）對(duì)還沒有補(bǔ)丁的漏洞進(jìn)行的攻擊——0-day；

（2）對(duì)攻擊時(shí)間長、隱蔽性高的高級(jí)可持續(xù)威脅攻擊（APT）的防御能力不足；

（3）與受害者進(jìn)行交互式行為的社會(huì)工程學(xué)攻擊。

究其原因，主要由以下先天不足導(dǎo)致，且很難通過升級(jí)方式克服。

2.1 以合規(guī)性評(píng)測為主，無法有效檢測已知威脅

目前，對(duì)進(jìn)口的網(wǎng)絡(luò)信息技術(shù)和產(chǎn)品監(jiān)測分析以合規(guī)性評(píng)測為主，較少監(jiān)測軟件核心技術(shù)，綜合漏洞分析評(píng)估能力較低，對(duì)安全漏洞“后門”的監(jiān)測能力較差。同時(shí)，在大數(shù)據(jù)、云計(jì)算、安全智能聯(lián)動(dòng)等重點(diǎn)領(lǐng)域的技術(shù)實(shí)力不夠，難以對(duì)新興信息技術(shù)行業(yè)的相關(guān)產(chǎn)品進(jìn)行安全監(jiān)測[5]。

2.2 沒有數(shù)據(jù)智能，缺乏整體安全感知能力

傳統(tǒng)的安全防護(hù)設(shè)備是通過一個(gè)個(gè)文件、數(shù)據(jù)流進(jìn)行檢測，具有局限性。例如，防火墻可以分析過濾由外至內(nèi)的數(shù)據(jù)流，但對(duì)于內(nèi)部的橫向攻擊無法防止；防病毒軟件通過已有的病毒庫數(shù)據(jù)對(duì)比識(shí)別病毒攻擊，但新型網(wǎng)絡(luò)攻擊往往具有多樣性、高隱蔽性，通過組合多種網(wǎng)絡(luò)攻擊手段，且通過偽裝、變形來躲避安全防御檢測，最終完成入侵。

2.3 沒有數(shù)據(jù)支撐，無法對(duì)已知攻擊進(jìn)行溯源分析

目前，人們對(duì)于海量的網(wǎng)絡(luò)數(shù)據(jù)缺少有效的分析手段，對(duì)APT 等新型網(wǎng)絡(luò)攻擊的監(jiān)測技術(shù)不完善，由于回溯手段不足，很難找到攻擊的源頭。傳統(tǒng)的網(wǎng)絡(luò)防護(hù)著重于IP 訪問和應(yīng)用安全方面，對(duì)于業(yè)務(wù)與數(shù)據(jù)流的安全保護(hù)缺乏相關(guān)防護(hù)措施。如果攻擊者越過邊界，獲取管理或使用權(quán)限，就能對(duì)生產(chǎn)業(yè)務(wù)系統(tǒng)實(shí)施信息竊取、數(shù)據(jù)刪除等行為。由于這些訪問或者會(huì)話通常都只具備數(shù)據(jù)流向特征，傳統(tǒng)的安全設(shè)備無法防御。

3 基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案

面對(duì)新的網(wǎng)絡(luò)安全形勢，針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全防御體系的不足，基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案利用其智能感知技術(shù)，實(shí)現(xiàn)對(duì)上網(wǎng)用戶流量、日志、漏洞消息及告警消息等各種數(shù)據(jù)的收集，對(duì)網(wǎng)絡(luò)安全活動(dòng)及使用者活動(dòng)等各種因素形成的信息安全狀況和趨勢的深度剖析，對(duì)可能引發(fā)網(wǎng)絡(luò)安全狀態(tài)變化的信息安全基本要素的收集、整理、回溯和可視化展示，對(duì)網(wǎng)絡(luò)安全發(fā)展態(tài)勢的及時(shí)檢測和預(yù)告，并在此基礎(chǔ)上，針對(duì)多業(yè)務(wù)系統(tǒng)互聯(lián)的特點(diǎn)，強(qiáng)化網(wǎng)絡(luò)安全設(shè)備、資源及人員管理，探索安全資源集約共享的路徑[6]。態(tài)勢感知防護(hù)可以理解為在網(wǎng)絡(luò)安全中引入了“人工智能”，賦予了多業(yè)務(wù)系統(tǒng)對(duì)抗新型威脅的強(qiáng)大智慧。

3.1 系統(tǒng)架構(gòu)

基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案的總體架構(gòu)主要分為安全信息數(shù)據(jù)源、網(wǎng)絡(luò)安全態(tài)勢感知內(nèi)核、多業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)絡(luò)安全管理基本要素（包括安全信息數(shù)據(jù)共享、整體安全運(yùn)維、安全資源動(dòng)態(tài)調(diào)節(jié)）三部分。其中，安全態(tài)勢感知的內(nèi)核是實(shí)現(xiàn)安全數(shù)據(jù)挖掘、融合、分析、感知的關(guān)鍵核心技術(shù)，主要由數(shù)據(jù)融合、統(tǒng)計(jì)分析、數(shù)據(jù)監(jiān)測及可視化態(tài)勢四個(gè)模塊組成[7]。具體架構(gòu)如圖1所示。

圖1 總體架構(gòu)

3.2 功能模塊

數(shù)據(jù)融合模塊是態(tài)勢感知的基礎(chǔ)。數(shù)據(jù)融合模塊包含數(shù)據(jù)信息收集、深度融合以及統(tǒng)一存儲(chǔ)三個(gè)部分。數(shù)據(jù)信息收集是通過文件傳輸協(xié)議（File Transfer Protocol，F(xiàn)TP）、FTPS、超文本傳輸協(xié)議（Hyper Text Transfer Protocol，HTTP）、HTTPS、安全外殼協(xié)議（Secure Shell，SSH）、簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）等多種數(shù)據(jù)采集協(xié)議從前端數(shù)據(jù)信息源的各個(gè)目標(biāo)和對(duì)象收集不同類別的數(shù)據(jù)信息，包括上網(wǎng)用戶流量、信息系統(tǒng)消息、日志、漏洞消息、使用者情況、預(yù)警消息以及威脅消息等各種數(shù)據(jù)消息。深度融合指對(duì)安全信息數(shù)據(jù)源采集的信息進(jìn)行初步篩選，將不完整、重復(fù)、錯(cuò)誤的信息剔除，然后采用統(tǒng)一的格式進(jìn)行歸類存放。同時(shí)，還要將不完整的原始數(shù)據(jù)補(bǔ)充完整，包括相關(guān)網(wǎng)絡(luò)設(shè)備的屬性、關(guān)聯(lián)設(shè)備的信息等。統(tǒng)一存儲(chǔ)是將采集到的海量安全信息數(shù)據(jù)分為業(yè)務(wù)類、管理類、信息類進(jìn)行統(tǒng)一、分類存儲(chǔ)。

統(tǒng)計(jì)分析模塊是態(tài)勢感知的核心。統(tǒng)計(jì)分析模塊包括攻擊行為分析、系統(tǒng)風(fēng)險(xiǎn)分析以及異常風(fēng)險(xiǎn)分析三個(gè)部分。攻擊行為分析是指對(duì)攻擊行為的類型、屬性、內(nèi)容進(jìn)行分析。攻擊行為的類型包括漏洞、分布式拒絕服務(wù)攻擊（Distributed Denial of Service attack，DDoS）、郵件詐騙及釣魚網(wǎng)站等，攻擊行為的屬性包括發(fā)生時(shí)間、持續(xù)時(shí)間、對(duì)象、產(chǎn)生的影響及攻擊手段等，攻擊行為的內(nèi)容包括范圍、次數(shù)及程度等。通過大數(shù)據(jù)關(guān)聯(lián)，分析各種類的特征，從多個(gè)維度構(gòu)建攻擊行為全貌，并且實(shí)現(xiàn)對(duì)未來變化情況和影響程度的預(yù)測。系統(tǒng)風(fēng)險(xiǎn)分析結(jié)合系統(tǒng)功能、類型、地理位置及強(qiáng)壯性等分析系統(tǒng)風(fēng)險(xiǎn)，定義系統(tǒng)的風(fēng)險(xiǎn)級(jí)別，識(shí)別系統(tǒng)的潛在威脅，預(yù)測未來變化情況。異常風(fēng)險(xiǎn)分析通過關(guān)注業(yè)務(wù)流程、大數(shù)據(jù)關(guān)聯(lián)等技術(shù)，識(shí)別網(wǎng)絡(luò)系統(tǒng)中的異常行為，如登錄位置異常、流量訪問大小異常以及動(dòng)作執(zhí)行頻率異常等。

可視化展示模塊是態(tài)勢感知的關(guān)鍵?？梢暬故灸K分為整體態(tài)勢可視化、分類態(tài)勢可視化以及數(shù)據(jù)匯總報(bào)告。整體態(tài)勢可視化是針對(duì)整個(gè)監(jiān)測網(wǎng)絡(luò)在一段時(shí)間或者某個(gè)時(shí)間點(diǎn)的安全狀態(tài)和發(fā)展趨勢，用標(biāo)準(zhǔn)量化的形式進(jìn)行測評(píng)，并且以可視化的圖表進(jìn)行展示。分類態(tài)勢可視化是對(duì)某一類的安全信息數(shù)據(jù)的態(tài)勢進(jìn)行展示，分為系統(tǒng)信息態(tài)勢、數(shù)據(jù)流量態(tài)勢、設(shè)備狀態(tài)態(tài)勢、系統(tǒng)脆弱性態(tài)勢、網(wǎng)絡(luò)攻擊態(tài)勢、網(wǎng)絡(luò)異常行為態(tài)勢以及安全事件態(tài)勢。數(shù)據(jù)匯總報(bào)告包括數(shù)據(jù)查詢、數(shù)據(jù)統(tǒng)計(jì)以及分析匯總報(bào)告。數(shù)據(jù)查詢可以根據(jù)自定義的時(shí)間點(diǎn)、時(shí)間段、IP 地址信息、設(shè)備信息等字段或相互組合進(jìn)行查詢，幫助針對(duì)性分析網(wǎng)絡(luò)安全狀態(tài)，合理調(diào)配安全設(shè)備資源。數(shù)據(jù)統(tǒng)計(jì)報(bào)告根據(jù)安全態(tài)勢監(jiān)測、安全信息數(shù)據(jù)匯總分析，實(shí)現(xiàn)自定義時(shí)間段或者月度、季度、年度的安全信息態(tài)勢匯總報(bào)表，可以為制定下一階段的安全建設(shè)計(jì)劃提供依據(jù)。分析匯總報(bào)告是對(duì)一段指定時(shí)間內(nèi)的網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行匯總，或者兩個(gè)時(shí)間段的安全數(shù)據(jù)匯總對(duì)比，分析相關(guān)行業(yè)、相關(guān)區(qū)域或相關(guān)業(yè)務(wù)的整體網(wǎng)絡(luò)安全情況。

數(shù)據(jù)監(jiān)測模塊是態(tài)勢感知的保障。數(shù)據(jù)監(jiān)測模塊包括監(jiān)測預(yù)報(bào)和安全預(yù)報(bào)兩部分。監(jiān)測預(yù)報(bào)是根據(jù)網(wǎng)絡(luò)安全防護(hù)策略對(duì)監(jiān)測的系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測，根據(jù)不同的系統(tǒng)設(shè)備需求、設(shè)備的應(yīng)用場景設(shè)置不同的監(jiān)測信息，如安全權(quán)限、信息數(shù)據(jù)內(nèi)容、流量閾值等。對(duì)相關(guān)的監(jiān)測結(jié)果進(jìn)行反饋并對(duì)應(yīng)不同的警告級(jí)別，根據(jù)需求可以與網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)，自動(dòng)處理警告問題，如自動(dòng)發(fā)送檢測預(yù)報(bào)信息至有權(quán)限的安全管理人員的手機(jī)、電子郵件、短信、微信，聯(lián)動(dòng)平臺(tái)等設(shè)備或終端。此外，還可以設(shè)備聯(lián)動(dòng)自動(dòng)進(jìn)行隔離、放行、記錄等處置。安全預(yù)報(bào)采取分級(jí)預(yù)報(bào)的管理方式，根據(jù)事件的危害性、重要性、范圍大小等劃分級(jí)別進(jìn)行管理，根據(jù)安全事件處置流程及相關(guān)設(shè)備的預(yù)報(bào)策略定義相關(guān)規(guī)則。

3.3 接口功能

基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案中的接口是安全信息數(shù)據(jù)源設(shè)備采集和網(wǎng)絡(luò)安全態(tài)勢感知內(nèi)核功能模塊之間數(shù)據(jù)交互的接口，用于數(shù)據(jù)的傳輸。接口功能直接決定著安全信息數(shù)據(jù)源采集的多元化和全面性，決定著四個(gè)功能模塊的數(shù)據(jù)交互的及時(shí)性和完整性。接口按照功能劃分，可分為交互功能接口、關(guān)聯(lián)分析接口以及系統(tǒng)聯(lián)動(dòng)接口。

交互功能接口負(fù)責(zé)安全信息數(shù)據(jù)源采集以及四個(gè)內(nèi)核功能模塊之間的數(shù)據(jù)傳輸。交互接口支持不同類型的數(shù)據(jù)，包括上網(wǎng)用戶流量、系統(tǒng)信息、日志、漏洞消息、使用者情況、預(yù)警消息以及威脅消息等。關(guān)聯(lián)分析接口為內(nèi)核功能模塊之間及其他外部信息數(shù)據(jù)通過接口進(jìn)行關(guān)聯(lián)分析，通過關(guān)聯(lián)分析接口可實(shí)現(xiàn)信息匯聚、關(guān)聯(lián)拓展、群體聚類等數(shù)據(jù)關(guān)聯(lián)分析方式。

設(shè)備聯(lián)動(dòng)接口通過接口對(duì)內(nèi)核模塊設(shè)備、外部系統(tǒng)設(shè)備、安全設(shè)備進(jìn)行聯(lián)動(dòng)，通過接口實(shí)現(xiàn)安全策略發(fā)送、漏洞防護(hù)的更新以及批量端口的掃描管理等功能。

3.4 多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全管理

基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案中，多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全管理是指通過集約化的安全數(shù)據(jù)共享、整體安全運(yùn)維、安全資源動(dòng)態(tài)調(diào)節(jié)，實(shí)現(xiàn)網(wǎng)絡(luò)安全資源的最大化利用，實(shí)現(xiàn)安全設(shè)備和安全信息數(shù)據(jù)集約共享，節(jié)約技術(shù)設(shè)備資金投入，節(jié)省人力資源配置。

安全信息數(shù)據(jù)共享通過對(duì)所有監(jiān)測的信息系統(tǒng)和安全設(shè)備的相關(guān)數(shù)據(jù)信息的共享，打破傳統(tǒng)的煙囪式和數(shù)據(jù)孤島的信息壁壘，讓安全信息數(shù)據(jù)聯(lián)動(dòng)分析，有助于更精準(zhǔn)地定位網(wǎng)絡(luò)安全隱患，通過發(fā)現(xiàn)單點(diǎn)問題，避免整體安全風(fēng)險(xiǎn)。

整體安全運(yùn)維是對(duì)監(jiān)測的系統(tǒng)按照區(qū)域、行業(yè)或功能劃分，成立整體的網(wǎng)絡(luò)安全維護(hù)團(tuán)隊(duì)，建設(shè)上遵循“統(tǒng)一管理、聯(lián)動(dòng)管理、整體服務(wù)”的原則，統(tǒng)一管理整體安全運(yùn)維團(tuán)隊(duì)與分域安全團(tuán)隊(duì)，并建立網(wǎng)絡(luò)安全聯(lián)動(dòng)機(jī)制，以局部安全防控為基礎(chǔ)精準(zhǔn)把控整體安全，有利于統(tǒng)籌部署針對(duì)各種攻擊鏈、各個(gè)環(huán)節(jié)的安全防御措施。

安全資源動(dòng)態(tài)調(diào)節(jié)采用虛擬化技術(shù)，對(duì)數(shù)據(jù)庫審計(jì)、堡壘機(jī)、日志審計(jì)、漏洞掃描等安全設(shè)備采取分級(jí)或分域建設(shè)安全資源池的方式，可以隨時(shí)根據(jù)監(jiān)測系統(tǒng)需求分配安全設(shè)備資源，讓安全防護(hù)能力更加快捷地實(shí)現(xiàn)落地，節(jié)省安全設(shè)備的運(yùn)行、管理及維護(hù)成本。

4 結(jié)語

多業(yè)務(wù)系統(tǒng)互聯(lián)互通解決了各系統(tǒng)建設(shè)分散所帶來的數(shù)據(jù)不連通、系統(tǒng)使用不方便、傳輸不及時(shí)等問題，但同時(shí)也擴(kuò)大了系統(tǒng)互聯(lián)后帶來的各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。針對(duì)此問題，基于多業(yè)務(wù)系統(tǒng)互聯(lián)的網(wǎng)絡(luò)安全態(tài)勢感知防護(hù)方案，在實(shí)現(xiàn)數(shù)據(jù)融合匯聚、數(shù)據(jù)分析統(tǒng)計(jì)、數(shù)據(jù)監(jiān)測警告及態(tài)勢發(fā)展可視的基礎(chǔ)上，進(jìn)一步提出了增強(qiáng)多業(yè)務(wù)系統(tǒng)互聯(lián)的集約化網(wǎng)絡(luò)安全管理的思路，有效打通安全信息數(shù)據(jù)壁壘，推進(jìn)安全設(shè)備集約共享，優(yōu)化技術(shù)設(shè)備、資金和人員配置，是當(dāng)前網(wǎng)絡(luò)環(huán)境下一種安全、經(jīng)濟(jì)、實(shí)用的安全方案。