河南省環保網絡安全事件分析與態勢展現建設

王凱麗 門寧 付博 張成

摘要

網絡安全態勢感知能夠對網絡整體安全風險進行展現，能夠提高單位網絡安全主動防御能力。河南省環保系統網絡安全建設，結合已有安全防護措施與工作中遇到的問題，實施網絡安全事件分析風險監控。通過安全事件數據分析工作，協助落實全覆蓋、全流程、全崗責的省級網絡安全工作格局。本文對環保網絡安全事件分析與安全態勢展現的建設需求、建設模型、建設思路進行了闡述。

【關鍵詞】網絡安全 事件分析 態勢感知 態勢展現

1 背景

2016年3月發布的《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》，簡稱“十三五”規劃（2016-2020年），第二十八章為“強化信息安全保障”，指出：統籌網絡安全和信息化發展，完善國家網絡安全保障體系，強化重要信息系統和數據資源保護，提高網絡治理能力，保障國家信息安全，明確要求加強關鍵信息基礎設施威脅感知和持續防御能力建設。2017年6月1日實施的《中華人民共和國網絡安全法》，要求關鍵信息基礎設施實行重點保護。

環保信息系統屬于關鍵信息基礎設施類的系統，系統安全直接關乎國家安全、經濟安全、社會穩定和公共利益。環保業務網絡規模上已形成了國家、省、市分級部署。近兩年，根據國家對信息安全管理工作的要求，結合環保業務網絡、數據、系統和網管安管平臺等工作基礎和信息安全現狀，加強網絡安全態勢分析、風險監控、預測預警管理工作成為了省局單位在網絡管理中的重要需求。

2 網絡安全現狀及問題

省局環保網絡系統已經建立了邊界防護措施、縱深防御系統體系，已經建設防火墻、接入VPN、入侵防御、VVEB應用防護等安全防護措施。但隨著新技術的不斷發展，攻擊者的手段也在不斷發展變化，傳統的監測技術相對固化，越來越難以有效地識別攻擊，難以防御和應對。問題表現為：

2.1 缺乏對各類IT資產以及邊界運行情況的了解，應急響應速度慢

隨著安全體系架構和IT資產的日益復雜，應用系統、操作系統、數據庫、中間件、網絡設備、安全設備、終端等資產的運行情況、連接狀態、版本信息、流量信息、配置信息、漏洞信息以及由此產生的流量異常和連接異常行為，在發生網絡安全事件時，無法準確定位故障點。

2.2 傳統安全分析能力力不從心，無法追蹤溯源

在安全體系架構日益復雜的同時，各種類型的安全數據越來越多，網絡安全數據分析工作中，安全審計崗的工作顯得尤為突出，在滿足日志留存至少6個月的同時，安全審計崗人員還需對日志和網絡流量等數據進行深度的分析審計，使得事后能及時追蹤溯源，調整優化策略。但因安全審計工作的特殊性，單純的依靠網絡中部署傳統的日志審計、網絡行為審計、數據庫審計和主機審計等審計類設備來完成，且設備在最初采購后添加少量的策略，未及時進行深度的策略配置，面對日益嚴峻的網絡安全態勢，僅僅依靠單臺未及時更新策略的審計設備和不夠健全的安全管理制度，無法及時應對復雜嚴重的安全事件，且設備誤報幾率大，影響安全審計工作效果，同時在發生“刪庫”等安全事件后，無法追蹤溯源。

2.3 缺少主動式網絡安全防護

環保網絡架構在橫向可劃分為互聯網接入區、業務專網區，如何將區域關鍵數據統一集中數據分析，并有效的展現，成為建設態勢感知平臺的基礎。而實現系統網絡安全數據分析及態勢展現，需要有專業的人員，采用專業的設備，專業的安全服務。

3 總體設計

為使網絡安全數據分析及態勢展現效果更加突出，需要采集網絡資產所產生的協議流量、日志、攻擊病毒、資源能耗、漏洞違規、服務器主機及應用等組成部分，進行全方位的整體關聯分析，確保事件分析和態勢展現結果精準可靠。并結合《網絡安全法》要求，最大程度上解決用數據分析等需求，建立以數據收集與處理、數據分析和數據展現的全流程機制。

網絡安全事件分析從原始數據的來源采集、采集之后的數據處理，通過數據分析，采用關多事件關聯分析，針對威脅目標、威脅源、攻擊過程等進行詳細的數據分析，最后通過工具進行態勢展現。整體設計如圖1所示。

4 網絡安全事件分析與態勢展現環節

4.1 數據采集

現有網絡安全數據采集分析對象主要以包數據、流數據和事件數據等組成，其中最常見的包括日志、流量等，日志或者日志消息是數據的核心，日志消息就是計算機系統、設備、軟件等在某種攻擊環境“刺激”下反應生成的數據，確切的“刺激”在很大程度上取決于日志消息的來源，如Linux操作系統會記錄用戶登錄和注銷的消息，防火墻將記錄ACL通過和拒絕的消息等。

4.2 關聯分析

采用集中安全管控分析工具，針對如SQL注入攻擊、網絡口令破解等攻擊特征，建立本地化關聯規則，有效利用收集到的監測日志，實現安全事件的多維度監控，總結析可能形成的攻擊。

例一：注入攻擊通過日志關聯進行分析 （如圖2所示）。

例二：暴力口令破解攻擊利用日志關聯分析（如圖3所示）。

例三：多設備日志關聯的網絡攻擊監控分析（如圖4所示）。

4.3 態勢展現

態勢展現是根據各類感知基礎數據及系統分析后數據進行基于態勢的信息呈現。通過態勢展現界面，安全分析管理人員可以更輕松的處理各種數據，利用可視化的形式關聯數據，查明異常行為，為安全調查提供分析起點。在態勢展現的基礎上，依據現有的風險變化感知將要發生的風險，利用變化的趨勢感知安全態勢，以期達到通過邏輯關系預測安全態勢的思路。

5 總結

通過合理的網絡安全規劃，實施網絡安全事件收集分析，用以保證單位網絡安全平穩運行，安全事件的態勢展現的方式是在不影響實際業務，既保證業務的正常顯示，又能保證業務的安全可靠，同時能全方位的把握網絡安全態勢，便于規劃統籌，提出數據分析及態勢展現建設思考，兼顧了長遠深度態勢感知發展的需要，為深化安全態勢感知系統，建成具備主動防御能力的縱深防御體系打下堅實的基礎。

參考文獻

[1]李明，脫永軍，黃云霞.網絡空間態勢感知模型及應用研究[J].通信技術，2016，（9）：1211-1216.DOI：10.3969/j.issn.1002-0802.2016.09.020.

[2]李碩，戴欣，周渝霞.網絡安全態勢感知研究進展[J].計算機應用研究，2010，（9）：3227-3232.DOI：10.3969/j.issn.1001-3695.2 010.09.006.

[3]章學妙，傅種，盧嘉.基于網絡安全態勢感知的網絡系統自防御體系[J].計算機應用與軟件，2017，（9）：159-165.DOI：10. 3969/.1.issn.1000-386x.2017（09）：032.

[4]馬龍，孫江輝，杜程.基于流量分析的網絡態勢感知系統研究[J].信息技術2016，（8）：97-100，105.DOI：10.13274/j.cnki.hdzj.2016（08）：025.