網絡安全態勢感知實用研究

汪秀莉+蔣飄蓬+王蓉+王紅麗

摘要：隨著信息化的發展，網絡面臨著嚴峻的安全問題，傳統的依靠獨立網絡安全設備的防護方法已不適用。網絡態勢感知技術綜合通過對多種安全措施進行融合，實現對當前網絡狀況的評估，以及對未來網絡變化趨勢的預測，可實現對網絡的優化管理以及對網絡安全的有效防護。該文針對網絡態勢感知技術的實用性進行了初步探討。

關鍵詞： 網絡安全；態勢感知；網絡防護

中圖分類號： TP393 文獻標識碼：A 文章編號：1009-3044（2018）02-0025-02

隨著信息化的發展，網絡的應用觸手可及，但這隨處可用的網絡的安全性卻無法得到大眾的廣泛認可。我們面臨著嚴峻的網絡安全問題：網絡所承載的應用和重要信息系統底數不清，情況不明，無法清晰準確判斷安全態勢和風險點；各種安全威脅缺乏有效預警、通報機制、手段、技術；安全事件處置、應急缺乏有效平臺和手段，已經發生的安全事件，需要專業化的人員、工具等技術力量進行及時、有效的應急處置，安全事件取證、問題處理等響應手段。如何檢測安全網絡與應用系統的安全性，提升安全網絡系統的安全防御能力，夯實網絡信息安全等問題亟需解決。

1 傳統網絡防護的不足

傳統網絡防護體系，也是現在多數局域網采用的網絡防護方法大致有三種：一是檢測、防護、響應加策略的防護體系；二是采用多臺網絡安全設備堆砌的線性木桶式防護體系；三是關注操作系統和應用的不同層面安全的防御體系[1]。

在傳統網絡體系中，網絡安全一直是“魔高一丈”的狀態，只有在威脅被發覺之后才能獲知該信息。而防御方法也主要依靠升級特征庫。傳統網絡防護體系中的各種警告信息不斷產生，但是有效信息難以甄別，誤報率很高。在這樣一種網絡環境下， 網絡管理人員不能了解當前網絡安全的真實狀況， 不能針對警告信息采取相應的防護措施， 致使網絡管理難度不斷提高。

傳統的網絡防護體系中的安全設備各司其職，看似專業，實則孤立，沒有有效的協同防御；對于威脅，只有補救，沒有預警，只能后知后覺；而且，真有攻擊事件發生時回溯分析困難。

2 網絡態勢感知技術

網絡安全態勢感知指的是通過技術措施從時間和空間感知并獲取相應元素， 同時研究分析此類元素來了解當前安全狀況， 并預測后續發展。

網絡安全態勢感知包括網絡安全態勢覺察、網絡安全態勢理解和網絡安全態勢投射3個層面，是一個完整的認知過程。它不僅僅是將網絡中的安全要素進行簡單的匯總和疊加，而是根據不同的用戶需求，以一系列具有理論支撐的模型為支持，找出這些安全要素之間的內在關系，實時地分析網絡的安全狀況[2]。

3 網絡態勢感知實用分析

網絡態勢感知技術的落地需要滿足網站安全監測、通報預警管理和等保等方面的相應要求。

網站安全監測方面，能針對網站及重要信息系統進行持續、多維度安全監測，可以實時了解到所有Web資產面臨的風險，實現快速故障定位，當有異常情況或征兆時能夠及時提示，并提供專業的修補建議，以便及時采取應對措施。

安全通報預警管理方面，需要把監測到的安全事件信息通過安全通報管理技術發布到下級管理員那里進行處理，并通過電子化的工單方式實現安全事件未處理和已處理以及如何處理等行為進行記錄和追蹤，最終，在此子系統中實現多源、多點事件的關聯分析，網絡攻擊行為分布展示，從收集多源異構數據，到及時發現并判斷可疑事件，最終實現安全態勢的可視化展現。

等保方面，可以利用等保工具檢查的結果和安全通報平臺實現無縫對接，將安全風險統一由安全通報子系統進行處理，同時將最終檢查報告統一匯總進行展示。

3.1 主要內容

網絡安全態勢感知體系中的通報預警平臺包含通報預警與應用安全監測，以及網絡系統安全事件、流量、應用系統和網站安全事件的數量統計和整體分析，形成比較直觀的態勢預警通報。

另外，對于一些重點網站需要結合業內積累的漏洞庫進行多方位的威脅監測，以便形成專項通報機制，進行處理；對于突發事件，需要在快速處置模塊下進行處理；安全事件要有追蹤溯源的功能，通過關聯分析，找出安全事件源頭，作為處理憑證；同時可進行等保的功能建設，形成統一的監管依據。內容具體分為以下六個部分：

3.1.1 安全態勢感知

安全態勢感知系統包括五大感知態勢維度，分別為資產態勢、攻擊態勢、威脅態勢、事件態勢、處置態勢，從事前、事中、事后的角度對網站及重要信息系統安全狀況進行全面的分析和可視化展示。從數據角度分析信息系統內重要信息系統和重點網站（包括域名、網站標題、網站IP、行政屬地、等保情況、聯系人等）、網絡設備資產情況與指紋信息（操作系統類型、開放端口、開放服務、平臺中間件、技術架構等）、網絡攻擊行為、網絡安全事件等方面提供多層面視角范圍的安全態勢。

3.1.2 安全事件的通報預警

結合網絡安全監測、上級安全事件通告、第三方事件通報平臺進行網絡安全通報，結合郵件、短信、移動APP等多種通報方式，實現監管部門到網站建設單位的信息互通，提供實時告警，提升管理員安全響應速度，可支持管理員處理安全事件響應零延遲。

3.1.3 漏洞的定向預警

針對如Struts 2 遠程命令執行、Openssl等重大、典型漏洞實現在線檢測，并結合最新挖掘的0day與業內披露的漏洞信息，對最新威脅影響進行預判，并第一時間進行定向預警。

3.1.4 攻擊事件的通知與相關網站的預警

當發生對系統網站的網絡攻擊與篡改攻擊等事件，能夠進行定向預警，督促各單位進行部署防御。

3.1.5 應用安全監測

對網站和重要應用系統進行定期監測服務，實現全局網站和應用系統的漏洞監測、網頁木馬監測、篡改檢測、可用性監測與關鍵詞監測，提供詳盡的數據與分析報告。

3.1.6 等級保護管理

按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求完成信息系統的定級、備案和第三級以上信息系統的測評、整改工作。

3.2 使用效果

通過網絡態勢感知體系，可以提升網絡管理和網絡安全水平，實現以下目標：

1） 實現對系統網絡安全態勢和威脅感知；

2） 實現網絡威脅和漏洞第一時間預警；

3） 實現網絡安全事件第一時間通報處置；

4） 實現網絡安全監管執法工作信息化和數據化；

5） 實現以APP、短信、等保工具箱等構建網絡安全可視化感知、預警、通報、處置工作流閉環。

4 結束語

在信息技術快速發展的過程中， 網絡攻擊事件時有發生。網絡安全已經成為人們高度重視的問題。現有公司、企業和高校的網絡大部分都是由局域網接入互聯網，建設結構簡單，缺乏嚴密的安全措施。網絡安全態勢感知技術是目前能夠有效保障網絡安全的技術，在實際應用中可行，值得普及推廣。

參考文獻：

[1] 管磊，胡光俊，王專.基于大數據的網絡安全態勢感知技術研究[J].2017.

[2] 龔儉，臧小東，蘇琪，胡曉艷，徐杰.網絡安全態勢感知綜述[J].軟件學報，2017，28（4）：1010-1026.endprint