網絡安全態勢感知在政府部門的應用研究

◆曹茂虹 廖方旭 張銀環

（青島市電子政務和信息資源管理辦公室 山東 266071）

網絡安全態勢感知在政府部門的應用研究

◆曹茂虹 廖方旭 張銀環

（青島市電子政務和信息資源管理辦公室 山東 266071）

隨著政府部門對網絡和信息技術的深度依賴，傳統網絡安全防護技術已經難以適應新形式下的網絡安全威脅。本文著重介紹了網絡安全態勢感知的關鍵技術，并對其在政府部門的應用提出了相關建議。

網絡安全態勢感知；數據挖掘；數據融合；數據可視化

0 引言

隨著網絡和信息技術的快速發展以及“互聯網+政務”的深入推進，政府對信息技術的依賴程度越來越高，面臨的網絡安全威脅也隨之增多。國家互聯網應急中心2017年7月的數據顯示：境內政府網站被篡改的數量為 114個，環比下降 2.6%；境內政府網站被植入后門的數量為280個，環比增長31.5%；政府網站和金融行業網站依然是不法分子攻擊的重點目標。

近年來，政府部門對網絡安全越來越重視，投入也越來越大，但是傳統完全防護技術的不足也逐漸顯現：一是被動式防御，誤報率較高。安全防護設備和系統大多基于特征匹配和黑名單機制，事件發生時只對能夠識別的攻擊進行攔截告警，而且存在誤報和重復上報的問題，無法主動進行安全策略的響應，難以適應大數據形式下網絡威脅的變化。二是單點式管理，碎片化明顯。偏重網站或單位個體的安全防護，不同節點安全設備和系統廠商各異，監控日志碎片化，不能有效地切入用戶業務流程，在深度縱向分析攻擊源、攻擊目標和攻擊方法，以及威脅事件的關聯性方面效果較差。三是監管手段匱乏，全局掌控性差。在發現安全問題時，主管單位大多通過發函的方式通知相關單位進行整改，效率較低、指導性差。整改效果完全依賴單位自身的重視程度，難以進行有效評估和驗證。為了解決上述問題，網絡安全態勢感知技術受到越來越多的重視。

1 網絡安全態勢感知技術

1.1 態勢感知簡介

“態勢感知”概念起源于20世紀80年代的美國空軍，主要用來分析空戰環境信息，快速判斷當前及未來形勢并做出正確反應。目前已廣泛應用于軍事、航空、工業生產和安全防控等領域，對輔助決策起到重要作用。習近平總書記在2016年“419網絡安全和信息化工作座談會”上提出“要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力?！睉B勢感知首次被提升到了國家高度，并迅速成為網絡安全領域的熱點。

網絡安全態勢感知是在大規模網絡中，對能夠引起網絡安全狀態變化的安全要素進行獲取、理解以及預測未來的趨勢。網絡安全態勢感知強調整體的狀態趨勢，是一個宏觀的概念，它運用數據融合技術，通過對影響網絡安全態勢的多種因素進行綜合分析，提供全面宏觀的網絡安全狀態映射，從而加強對網絡的理解與控制，同時給出網絡安全狀態的評估及預測結果，為網絡安全管理提供及時準確的決策依據。

1.2 態勢感知關鍵技術

（1）數據挖掘技術

數據挖掘技術是指對海量、冗余數據進行分析，發現其內在隱含規律和潛在關聯關系，并將其服務于特定應用場合的過程。在入侵檢測領域主要有四種分析方法，分別是關聯分析、序列模式分析、分類分析和聚類分析。關聯分析和序列模式分析主要用于模式發現和特征構造，前者側重于挖掘數據之間的聯系，后者側重于分析數據間的因果關系。分類分析和聚類分析主要用于最后的檢測模型。

（2）數據融合技術

數據融合技術是一種對多源數據進行分析和綜合處理，以服務于特定任務決策的技術，常用手段有以下幾種：一是特征提取技術，可以提升海量數據高速網絡實時檢測率；二是事件聚類技術，用來將物理或抽象的數據，按照對象間的相似性進行分組或分類；三是事件關聯技術，通過將多個安全事件聯系在一起進行綜合評判，重建攻擊過程并實現對整體網絡安全狀況的判定。

（3）安全態勢評估技術

安全態勢評估主要指在態勢感知操作期間，將攻擊事件作為評估對象并全面分析攻擊事件頻率和網絡威脅程度，最終提升攻擊事件的處理效果。常見的有分層感知技術和綜合威脅量化技術。前者利用IDS的報警信息和網絡性能指標對網絡安全進行定量評估；后者建立威脅分級模型，通過計算威脅值來評估不同的危險程度。

（4）安全態勢預測技術

安全態勢預測技術基于態勢分析與評估結果，對網絡安全狀況進行預測，動態地展示網絡安全狀態，為管理員更好的呈現安全發展趨勢，以便判斷未來的網絡安全情況，為用戶提供安全策略和做出正確的決策。常見的態勢預測方法有人工神經網絡預測、灰色理論預測、時間序列預測和馬爾科夫預測。

（5）數據可視化技術

在態勢數據分析過程中，為了突破傳統文本形式的局限性，需要將大量抽象復雜的態勢數據，轉換為圖形，且增加圖形信息搜索功能，以便于管理人員借助圖形信息搜索平臺，實時掌握當前態勢和未來態勢預測信息。方法有很多，按照顯示效果可分為動態可視化和靜態可視化，按照顯示數據緯可分為二維、三緯以及多緯可視化，按照現實數據內容可分為內容可視化、行為可視化和結構可視化。

2 態勢感知應用建議

2.1 積極轉變思路，建立主動防御的思維

安全的本質是攻防和技術的對抗，隨著各類攻擊手段的升級，傳統的靜態防御思想已不能適應外在形勢的變化和內在發展的需要，要建立主動防御和對抗的思維，在安全事件發生之前通過一系列的技術手段降低或阻斷其風險，從安全的本源考慮問題，在現實對抗環境下，快速的發現攻擊，并進行定位和阻擊。

2.2 結合內外數據，做好各種設備的協同

建立態勢感知系統首先要從單位內部的微觀層面獲取完整的安全要素數據，其次要結合外部安全大數據的情報，從中觀層面來分析數據、發現威脅與異常。此外，為了實現對整個網絡安全態勢狀況的監測，應注重實現多種管理標準的統一性、協同性和聯動性，在實際工作中通過不同產品間的協作與信息溝通，掌握整個網絡的安全態勢。

2.3 注重人的力量，增強網絡安全教育

態勢感知不光是數據、技術與平臺，還要結合人的能力，要融入人的經驗和智慧。這其中既包括對日常安全事件處理的運維人員，也包括對數據進行深度分析的研判人員，還包括匯總信息后進行行動安排的決策人員。此外，要大力普及網絡安全知識，讓維護網絡安全成為每一名單位員工的自覺行為，避免堡壘從內部瓦解。

3 結語

我國正在大力推動“互聯網+政務”服務，這意味著電子政務系統會面臨更大的安全威脅，安全形勢非常嚴峻，尤其是“永恒之藍”勒索蠕蟲事件的爆發再次驗證了“世界上沒有攻不破的網絡，也沒有不存在漏洞的系統”。2017年2月上海建成國內首個區域性的網絡安全態勢感知和應急處置平臺，可以給全上海市數百個重要網絡節點和信息系統提供保護。相信隨著技術的不斷成熟，網絡安全態勢感知會在政府部門得到更加廣泛的部署與應用。

[1]龔儉，臧小東，蘇琪，胡曉艷，徐杰．網絡安全態勢感知綜述[J]．軟件學報，2016．

[2]易靜．網絡安全態勢感知及其相關技術[J]．網絡安全技術與應用，2016．

[3]李奎．網絡安全態勢感知關鍵技術研究[J]．電腦知識與技術，2016．

[4]管磊，胡光俊，王專．基于大數據的網絡安全態勢感知技術研究[J]．信息網絡安全，2016．