田滔

四川科銳得實(shí)業(yè)集團(tuán)有限公司都江堰分公司 四川 都江堰 611800

引言

進(jìn)入到新時(shí)期的發(fā)展環(huán)境當(dāng)中，信息技術(shù)的廣泛應(yīng)用為企業(yè)提供了較大的便利條件，但是與此同時(shí)，企業(yè)也面臨著一定的信息安全威脅。在應(yīng)用公共網(wǎng)絡(luò)、手機(jī)移動(dòng)應(yīng)用或是業(yè)務(wù)網(wǎng)站的過程中，各種信息交互中可能會(huì)出現(xiàn)信息泄露的情況，從而成為黑客的首要攻擊目標(biāo)。因此，加強(qiáng)信息安全保障至關(guān)重要。基于環(huán)境、動(dòng)態(tài)化形成對(duì)信息安全風(fēng)險(xiǎn)加以分析的技術(shù)，態(tài)勢(shì)感知技術(shù)建立在安全大數(shù)據(jù)的基礎(chǔ)上，可實(shí)現(xiàn)更加良好的風(fēng)險(xiǎn)識(shí)別功能，有助于強(qiáng)化系統(tǒng)全局的感知能力，并對(duì)運(yùn)行風(fēng)險(xiǎn)加以智能掌控。

1 態(tài)勢(shì)感知技術(shù)特征

態(tài)勢(shì)感知技術(shù)對(duì)于保障現(xiàn)代信息安全具有積極作用。處于信息化時(shí)代環(huán)境中，信息戰(zhàn)爭無處不在，且信息安全也成為人們所關(guān)切的關(guān)鍵問題。一旦發(fā)生信息安全威脅，將會(huì)對(duì)信息使用者造成不可估量的威脅。信息技術(shù)本身具有較強(qiáng)的創(chuàng)新性特征，且在社會(huì)發(fā)展前進(jìn)的過程中隨之不斷發(fā)展，在這一階段中為了能夠充分適應(yīng)不同信息技術(shù)的應(yīng)用環(huán)境，要求網(wǎng)絡(luò)安全保障技術(shù)也能夠與時(shí)俱進(jìn)，形成相互適應(yīng)的保障性作用[1]。在此背景下衍生出了更加先進(jìn)的態(tài)勢(shì)感知技術(shù)，該技術(shù)的衍生與應(yīng)用能夠?qū)崿F(xiàn)對(duì)信息的有效安全保障，通過改變傳統(tǒng)信息安全保障的靜態(tài)、短期針對(duì)性安全監(jiān)控模式，促使其逐漸轉(zhuǎn)變?yōu)殚L期、動(dòng)態(tài)且全面有效的安全監(jiān)控工作，確保通過該技術(shù)監(jiān)測預(yù)警主動(dòng)防御意識(shí)，進(jìn)而為企業(yè)提供更為良好的信息安全保障工作。

2 在信息安全保障中應(yīng)用態(tài)勢(shì)感知技術(shù)的優(yōu)勢(shì)

在當(dāng)前階段進(jìn)入到信息時(shí)代的大環(huán)境之后，處于互聯(lián)網(wǎng)廣泛應(yīng)用的背景下，企業(yè)信息安全至關(guān)重要。企業(yè)信息安全經(jīng)常遭受危機(jī)，若出現(xiàn)嚴(yán)重的信息安全事故不僅會(huì)對(duì)企業(yè)造成不可挽回的經(jīng)濟(jì)損失，嚴(yán)重的也將會(huì)促使企業(yè)面臨破產(chǎn)危險(xiǎn)。其中信息安全風(fēng)險(xiǎn)最為常見的就是對(duì)企業(yè)產(chǎn)生木馬以及釣魚攻擊，或是開展分布式拒接服務(wù)攻擊等，在企業(yè)中構(gòu)建的傳統(tǒng)信息安全管理方式中，僅僅是在受到攻擊之后開展相應(yīng)的安全防御模式進(jìn)行被動(dòng)防御。無法構(gòu)建有效的安全預(yù)測系統(tǒng)，難以在風(fēng)險(xiǎn)發(fā)生之前就開展相應(yīng)的預(yù)防工作，容易造成嚴(yán)重的信息安全問題。但是在全面應(yīng)用態(tài)勢(shì)感知技術(shù)之后，則能夠在攻擊發(fā)生之前通過創(chuàng)建相應(yīng)信息安全監(jiān)管模型，對(duì)數(shù)據(jù)加以分析預(yù)測，進(jìn)而以主動(dòng)預(yù)防的方式，有效保障數(shù)據(jù)安全。

2.1 預(yù)測未知數(shù)據(jù)

基于企業(yè)發(fā)展的大環(huán)境，信息與數(shù)據(jù)成為企業(yè)的重要資源，在信息化背景下，注重企業(yè)信息安全至關(guān)重要。處于信息化時(shí)代中，容易影響企業(yè)數(shù)據(jù)安全保障的因素之一就是現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全防護(hù)措施已經(jīng)無法適應(yīng)更加多元的網(wǎng)絡(luò)攻擊手段?；趯?shí)際而言，建立在已知網(wǎng)絡(luò)安全攻擊基礎(chǔ)上的風(fēng)險(xiǎn)防范工作無法對(duì)未知的全新信息威脅加以預(yù)防。在處于信息安全保障設(shè)計(jì)中，安全防御技術(shù)本身存在著一定的落后性，基于技術(shù)上的缺陷，無法及時(shí)有效更新將會(huì)在新威脅發(fā)生時(shí)缺乏良好的防御手段與措施，當(dāng)企業(yè)信息安全受到的攻擊方式出現(xiàn)變化時(shí)，傳統(tǒng)信息安全保護(hù)系統(tǒng)僅僅是能夠?qū)ζ溟_展以往的防御工作，留有較大的漏洞，并難以對(duì)信息安全風(fēng)險(xiǎn)類別加以識(shí)別，從而無法開展有效的預(yù)防方式[2]。而在態(tài)勢(shì)感知技術(shù)的應(yīng)用下，構(gòu)建了更加完整的動(dòng)態(tài)化信息安全預(yù)測系統(tǒng)，能夠根據(jù)企業(yè)信息安全遭受攻擊的頻率以及位置等加以分析，從而創(chuàng)建更加完善的安全防范系統(tǒng)，并對(duì)今后信息安全可能會(huì)出現(xiàn)的變化加以預(yù)測，以主動(dòng)防御思想開展信息安全保障工作。

2.2 安全預(yù)測范圍更廣

信息技術(shù)高速發(fā)展，在現(xiàn)代社會(huì)環(huán)境的各個(gè)領(lǐng)域當(dāng)中廣泛應(yīng)用各種不同的先進(jìn)信息技術(shù)。企業(yè)在經(jīng)營發(fā)展過程當(dāng)中，將各種傳統(tǒng)的資源均轉(zhuǎn)化為了信息數(shù)據(jù)形式加以儲(chǔ)存，因此面對(duì)龐大的數(shù)據(jù)信息量，若企業(yè)仍舊應(yīng)用傳統(tǒng)的信息安全管理方式，則難以實(shí)現(xiàn)更加廣闊范圍的安全預(yù)測工作。在數(shù)據(jù)信息種類更加繁雜的背景下，如何根據(jù)數(shù)據(jù)的特性以及種類等對(duì)其加以收集并在其中進(jìn)行提取，從而獲得企業(yè)發(fā)展建設(shè)所需的關(guān)鍵數(shù)據(jù)信息成為關(guān)鍵，與此同時(shí)，對(duì)海量數(shù)據(jù)加以分析，并對(duì)其中隱藏的不良信息以及安全隱患等加以篩選也成為關(guān)鍵性的話題。

3 企業(yè)信息安全保障中的態(tài)勢(shì)感知技術(shù)

3.1 數(shù)據(jù)集成技術(shù)

在企業(yè)信息安全保障中態(tài)勢(shì)感知技術(shù)的應(yīng)用主要是為安全事件以及數(shù)據(jù)等加以處理，在數(shù)據(jù)處理過程中，面對(duì)數(shù)據(jù)的不同類型、來源以及格式等，均需要集中進(jìn)行處理。這些數(shù)據(jù)在邏輯上或是物理上具有較高一致性表現(xiàn)，便于開展全面數(shù)據(jù)共享或是集中管理。對(duì)這些數(shù)據(jù)加以收集的過程就是數(shù)據(jù)集成。當(dāng)前廣泛應(yīng)用ETL技術(shù)作為數(shù)據(jù)集成手段，作為構(gòu)建數(shù)據(jù)倉庫的關(guān)鍵環(huán)節(jié)，在集中差異性來源、類型以及格式的關(guān)系與非關(guān)系數(shù)據(jù)之后，在其中進(jìn)行抽取，并借助于中間層對(duì)其進(jìn)行清洗轉(zhuǎn)換與集成。在經(jīng)過處理后，向數(shù)據(jù)倉庫傳遞數(shù)據(jù)。在ETL處理流程下完成的數(shù)據(jù)一般可以作為后續(xù)對(duì)數(shù)據(jù)處理的基礎(chǔ)[3]。

3.1.1 數(shù)據(jù)抽取。數(shù)據(jù)抽取是數(shù)據(jù)集成中的第一環(huán)節(jié)，其主要功能表示為在大量的原始數(shù)據(jù)源中對(duì)關(guān)鍵數(shù)據(jù)加以抽取，從其中獲取對(duì)后續(xù)數(shù)據(jù)處理流程有利的數(shù)據(jù)，一般可以分為全量抽取以及增量抽取兩種方式。

全量抽取下的方式相對(duì)較為簡單，通過原封不動(dòng)的在數(shù)據(jù)庫中提取原始數(shù)據(jù)員中的數(shù)據(jù)視圖以及數(shù)據(jù)表等。在該數(shù)據(jù)抽取方式下，最為關(guān)鍵的就是在完成數(shù)據(jù)抽取之后將其向ETL可識(shí)別的格式加以轉(zhuǎn)換。

增量抽取方式相對(duì)較為復(fù)雜，在增量抽取下，一般情況是建立在已經(jīng)完成抽取數(shù)據(jù)的基礎(chǔ)上，針對(duì)上次完成數(shù)據(jù)抽取后的數(shù)據(jù)庫中出現(xiàn)的修改或是新增數(shù)據(jù)加以抽取。該數(shù)據(jù)抽取方式也是當(dāng)前最為廣泛應(yīng)用的一種方式。

3.1.2 轉(zhuǎn)換加工。完成數(shù)據(jù)抽取之后，僅僅憑借于這一處理結(jié)果難以滿足后續(xù)的數(shù)據(jù)處理需求，因此需要對(duì)完成數(shù)據(jù)抽取之后的結(jié)果加以轉(zhuǎn)換，開展深層次的加工處理。一般是在ETL引擎中獨(dú)立完成，或是也可以在實(shí)際中結(jié)合數(shù)據(jù)庫的關(guān)系加以協(xié)同完成。在ETL引擎中轉(zhuǎn)換并加工數(shù)據(jù)，通常會(huì)獲得可供完成數(shù)據(jù)轉(zhuǎn)換以及加工的組件，包括數(shù)據(jù)拆分、合并、清洗、過濾、計(jì)算、驗(yàn)證、加解密以及替換等組件這些組件按照具體的處理方式進(jìn)行組合優(yōu)化之后將會(huì)按照標(biāo)準(zhǔn)流程執(zhí)行數(shù)據(jù)轉(zhuǎn)換以及加工工作。

或是可以在數(shù)據(jù)庫中直接對(duì)數(shù)據(jù)加工，在函數(shù)以及SQL語句本身所具有的強(qiáng)大數(shù)據(jù)處理功能背景下，相較于在ETL中對(duì)數(shù)據(jù)加以加工，利用這一方式對(duì)數(shù)據(jù)加以處理能夠形成更加簡潔清晰的特征[4]。但是基于實(shí)際而言，在這一方式下對(duì)數(shù)據(jù)加以加工處理存在著一定的局限性表現(xiàn)，難以通過更為簡單的SQL語句實(shí)現(xiàn)操作，需要同步結(jié)合ETL引擎開展協(xié)同處理工作。

3.2 數(shù)據(jù)分析技術(shù)

信息安全態(tài)勢(shì)感知技術(shù)的應(yīng)用通過對(duì)各類風(fēng)險(xiǎn)時(shí)間加以分析并完成處理，從而對(duì)當(dāng)前企業(yè)信息安全的發(fā)展勢(shì)態(tài)加以分析，進(jìn)而獲得最為精確的分析結(jié)果，在關(guān)聯(lián)分析、綜合分析等技術(shù)的應(yīng)用下形成較高的功能執(zhí)行效率。

3.2.1 關(guān)聯(lián)分析。建立在規(guī)則匹配的基礎(chǔ)上，適用于關(guān)聯(lián)分析方式，通過分析完成后，為其創(chuàng)建相應(yīng)的匹配規(guī)則，進(jìn)而針對(duì)事件的結(jié)構(gòu)以及類型等具體的特征對(duì)其加以匹配，從而對(duì)事件得出分析結(jié)果的過程就是關(guān)聯(lián)分析。關(guān)聯(lián)分析一般情況下將會(huì)結(jié)合信息安全事件中的相關(guān)屬性或是關(guān)鍵信息等作為限制因素，進(jìn)而基于關(guān)鍵性質(zhì)加以分析對(duì)比之后，對(duì)其具體的規(guī)則匹配結(jié)果加以確定[5]。

3.2.2 綜合關(guān)聯(lián)分析。在結(jié)合多種不同的關(guān)聯(lián)分析功能之后，在統(tǒng)一判斷之下完成原始安全事件與安全漏洞的匹配，經(jīng)過多種關(guān)聯(lián)分析之后，能夠充分掌握其中所涉及的信息安全風(fēng)險(xiǎn)，這一分析流程就是綜合關(guān)聯(lián)分析。在綜合關(guān)聯(lián)分析系統(tǒng)當(dāng)中一般會(huì)形成三種不同的關(guān)聯(lián)分析類型，表示為統(tǒng)計(jì)關(guān)聯(lián)分析、漏洞庫關(guān)聯(lián)分析以及規(guī)則關(guān)聯(lián)分析。在創(chuàng)建具體的規(guī)則以及關(guān)聯(lián)條件時(shí)，應(yīng)對(duì)關(guān)聯(lián)模塊的差異性功能特性等進(jìn)行分析考慮，并對(duì)業(yè)務(wù)應(yīng)用安全控制策略以及安全領(lǐng)域等進(jìn)行綜合考慮之后加以設(shè)定。

4 基于態(tài)勢(shì)感知技術(shù)的企業(yè)信息安全保障平臺(tái)

4.1 分析平臺(tái)功能

在企業(yè)信息安全保障當(dāng)中應(yīng)用態(tài)勢(shì)感知技術(shù)，可以通過搭建態(tài)勢(shì)感知技術(shù)平臺(tái)的方式實(shí)現(xiàn)有效的安全保障作用。在創(chuàng)建完整的態(tài)勢(shì)感知平臺(tái)之前，應(yīng)當(dāng)充分分析平臺(tái)的使用功能，創(chuàng)建這一平臺(tái)主要的任務(wù)就是充分滿足監(jiān)測企業(yè)移動(dòng)應(yīng)用、業(yè)務(wù)服務(wù)以及資產(chǎn)網(wǎng)站等需求，對(duì)企業(yè)創(chuàng)建的網(wǎng)站中所存在的安全漏洞或是移動(dòng)端設(shè)備使用中出現(xiàn)的惡意URL地址等加以監(jiān)測，同時(shí)也需要滿足對(duì)移動(dòng)設(shè)備端使用過程中出現(xiàn)的安全風(fēng)險(xiǎn)或是惡意篡改漏洞等加以全方位的監(jiān)控[6]。為滿足上述目的，在創(chuàng)建態(tài)勢(shì)感知平臺(tái)時(shí)，應(yīng)對(duì)各類安全知識(shí)庫加以支撐，包括安全漏洞庫、惡意應(yīng)用、惡意移動(dòng)應(yīng)用樣本以及不良信息庫等。同時(shí)創(chuàng)建平臺(tái)，也應(yīng)當(dāng)對(duì)企業(yè)系統(tǒng)運(yùn)行過程中各類型數(shù)據(jù)以及安全事件數(shù)據(jù)等加以采集，包括企業(yè)網(wǎng)站運(yùn)行數(shù)據(jù)內(nèi)容、自由移動(dòng)端的應(yīng)用數(shù)據(jù)、終端安全監(jiān)測數(shù)據(jù)等。

4.2 系統(tǒng)平臺(tái)技術(shù)架構(gòu)

根據(jù)保障企業(yè)信息安全的實(shí)際功能需求，創(chuàng)建態(tài)勢(shì)感知平臺(tái)時(shí)，對(duì)于平臺(tái)的技術(shù)架構(gòu)等應(yīng)加以充分的分析規(guī)劃，基于在實(shí)際當(dāng)中的應(yīng)用需求，態(tài)勢(shì)感知平臺(tái)的構(gòu)建應(yīng)滿足分層設(shè)計(jì)要求。確保每一層級(jí)應(yīng)對(duì)相應(yīng)的功能模塊，促使每一層級(jí)之間形成良好的相互協(xié)調(diào)運(yùn)行表現(xiàn)，每一功能模塊之間達(dá)到良好的分工合作，并全范圍感知預(yù)警信息安全事件。

數(shù)據(jù)采集層。在該層級(jí)當(dāng)中，主要是對(duì)各種原始數(shù)據(jù)加以自動(dòng)采集，要求實(shí)現(xiàn)企業(yè)自運(yùn)行網(wǎng)站資產(chǎn)數(shù)據(jù)、網(wǎng)站運(yùn)行數(shù)據(jù)、自由移動(dòng)端的數(shù)據(jù)以及統(tǒng)一DPI流量數(shù)據(jù)等，完成對(duì)各項(xiàng)監(jiān)測數(shù)據(jù)的自動(dòng)采集工作。完成數(shù)據(jù)采集之后，需要規(guī)則化處理數(shù)據(jù)并對(duì)其加以儲(chǔ)存，通過對(duì)應(yīng)不同數(shù)據(jù)類型，為其創(chuàng)建相適配的數(shù)據(jù)標(biāo)識(shí)、快捷搜索引擎等，從而為后續(xù)數(shù)據(jù)安全分析層奠定良好基礎(chǔ)。

安全分析層。在該層級(jí)當(dāng)中，主要是針對(duì)采集完成的數(shù)據(jù)加以分析，從而掌握其中的安全風(fēng)險(xiǎn)。作為在態(tài)勢(shì)感知平臺(tái)當(dāng)中的核心結(jié)構(gòu)，安全分析層能夠直觀的檢測企業(yè)網(wǎng)站運(yùn)行狀態(tài)、安全分析數(shù)據(jù)、資產(chǎn)以及網(wǎng)站等不良信息數(shù)據(jù)。并分析自有移動(dòng)終端數(shù)據(jù)受到篡改的可能，進(jìn)而在數(shù)據(jù)分析層中能夠?qū)Ξ?dāng)前企業(yè)信息安全的整體發(fā)展趨勢(shì)以及態(tài)勢(shì)結(jié)果加以掌控。在安全分析層中除了上述模塊，同時(shí)也需要建立在關(guān)鍵技術(shù)以及資源的支撐下，包括最為基礎(chǔ)的安全知識(shí)庫以及安全技術(shù)庫。

5 結(jié)束語

作為在現(xiàn)代社會(huì)環(huán)境中保障企業(yè)信息安全的先進(jìn)技術(shù)之一，態(tài)勢(shì)感知技術(shù)的應(yīng)用將會(huì)實(shí)現(xiàn)更廣范圍的安全預(yù)測，且對(duì)未知的信息安全風(fēng)險(xiǎn)加以動(dòng)態(tài)預(yù)測。在企業(yè)實(shí)際應(yīng)用中，主要是通過數(shù)據(jù)集成技術(shù)、數(shù)據(jù)分析技術(shù)以及數(shù)據(jù)展示技術(shù)等構(gòu)建專項(xiàng)的態(tài)勢(shì)感知平臺(tái)，對(duì)企業(yè)的全部數(shù)據(jù)加以綜合分析，對(duì)風(fēng)險(xiǎn)隱患加以預(yù)測，創(chuàng)建更加完善的安全防護(hù)工作。