態勢感知技術在信息安全保障中的應用

許卓偉

摘 要：如何在信息技術日益發展的網絡大環境下提高信息全面保障的能力以及提升信息可靠處理效率，成為當前有關部門研究的重點。本文對態勢感知技術內涵進行了簡要分析，重點探討了態勢感知技術在信息安全保障中的應用情況，以期為不斷提升態勢感知技術深度應用水平，更好地發揮其優勢方面的探究提供一定的參考或者幫助。

關鍵詞：態勢感知技術 信息安全 保障 防范 不良監測 應用

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3791（2018）11（a）-000-02

1 態勢感知技術內涵及關鍵技術探討

隨著網絡安全事件發生率越來越高，安全威脅形勢日益嚴峻，新形勢下對加強網絡信息安全提出了更高的要求，既需要不斷地對特異性應對處理技術進行升級，同時還要關口前移，不斷提高全局防控能力，借助感知信息系統，對各類發生的運行狀態和可能面臨的安全風險等進行綜合比較和研究，進而構建全方位的信息防護系統，才能不斷提高綜合防御和處理水平。

態勢感知技術作為一種動態的、基礎的、綜合性的安全風險防控技術，通過構建安全大數據平臺，從而從全局的角度對安全風險或者威脅進行識別、排查、分析和響應。

1.1 數據集成處理技術

對于數據管理事項而言，其中重要的一項基礎工作是對各類數據進行收集、整理和集中處理，將關聯數據進行整合，提高數據邏輯性和系統性。數據集成技術是態勢感知技術的一項基礎部分，最常用的技術當屬數據倉庫技術。該技術主要是通過對不同渠道、模式和類型的結構化和非結構化數據進行集中抽取，并構建一個臨時中間層進行過渡處理，從而實現數據綜合調度和加載，為后續數據基礎處理和深度應用等奠定基礎。

數據集成處理技術是一個系統的應用過程，主要涉及數據抽取、數據轉換與加工處理、數據裝載3個環節。

數據集成處理的第一個階段是數據抽取，也就是從信息數據庫中抽取有用的關鍵的數據，進而為后續應用等奠定基礎。數據抽取需要根據不同的實際需要選擇不同的抽取模式，通常可分為全量抽取和增量抽取兩種。前者是直接對原數據庫系統中的數據直接進行提取，進而按照既定的轉換模式和格式進行識別和處理。后者主要是在已經進行基礎抽取的基礎上按照相關的要求進行再次抽取和數據提取，從而更好地篩選出新增或者刪除等變化的數據。

數據集成處理的第二個階段是數據的加工環節。數據提取完成后需要對數據提取情況進行加工和轉化，按照既定的需求和轉換模式轉化成便于協同處理的數據信息。進行數據轉換既可以直接在數據倉庫技術引擎系統中進行直接處理，也可以進行數據抽取和轉換同步處理。前者主要是借助數據倉庫技術引擎系統內部的支撐技術，為數據轉換、加工提供相應的功能服務，直接實現數據計算、分析、檢驗、替換、過濾、加密防護以及拆分與合并等，按照既定的流程模式進行有序操作即可。后者主要是借助SQL語句和函數自身具備的數據處理功能進行參數轉化和處理。當然由于數據本身的多樣性，決定了后續處理難度較大。

數據集成處理的第三個階段是數據裝載階段，在裝載階段一方面可以借助SQL語句進行直接進行升級、刪除等處理，另一方面為了提高集中裝載效率，也可以借助sqlldr技術進行批量裝載，但是需要針對不同的數據類型和差異進行規范化處理，必要時還要進行數據恢復，所以處理難度較大。

1.2 數據分析處理技術

在信息安全保障體系中引入態勢感知技術，除了進行基礎數據處理以外，還要對信息進行關聯度分析，從而更好地提升數據深度挖掘處理分析水平，更好地加以應用。該技術有兩種處理模式：一種是按照一定的規則和匹配方式創建相應的關聯指標，設置相關的限制條件，從而對關鍵事件和關注的要素進行提取，橫向縱向對比分析，形成具體的分析結果。另一種是綜合關聯分析。該技術還可以分成規則關聯、統計關聯與漏洞庫關聯3種方法。將相關的安全事件和漏洞數據等通過設定相應的規則，進行多重關聯分析，創建具體的功能情境，進而對數據進行多維度分析，總結相關的特征和差異，提高綜合處理水平。

1.3 數據展示技術

該技術目前最新的功能是可以借助互聯網前端編程語言HTML5、響應式布局、瀏覽器插件支持從而實現良好的界面展示效果，提高數據展示的直觀性、形象化，滿足用戶的個體需求。通常可以分為大屏展示和磁貼式展示兩種技術。根據用戶不同需求和展示的具體維度，設定不同的定義模式，從而實現個體化模式監測和豐富的內容展現。

2 態勢感知技術在信息安全保障中的應用設計

態勢感知技術在信息安全保障中具體應用，需要根據基本需求進行綜合設計，才能保證技術功能的發揮。具體應當包含以下幾個環節。

（1）根據具體信息安全保障要求，確定態勢感知技術的具體設計目的或者功能模塊。通常態勢感知平臺的運行是為了滿足相應的功能需要，在信息安全保障方面主要是為了防止信息泄露、被惡意攻擊或者防范服務器終端漏洞等。為了實現這一目的，一方面需要加強基礎平臺建設，確保態勢感知平臺系統能夠支持建立各類不良信息、安全漏洞、惡意移動應用樣本庫等防護體系。另一方面不斷完善數據集成系統，對系統運行數據、安全事件等相關信息實時動態采集，從而更好地實現平臺多功能感知及自動監測。

（2）根據整體信息安全保障要求和設計目標，構建完善的平臺技術體系。通常按照態勢感知技術體系基本層級配置要求，可以設置成數據采集層、安全分析層、態勢感知層3個處理層級和功能模塊。最底層的基礎部分是數據采集功能模塊，主要是為了對各類和網站資源、資產、流量以及移動數據相關的原始數據、監測數據等進行收集，并按照采集處理程序進行分步處理、存儲和共享，對數據進行分類、標識和檢索，完成基本數據整合。中間層級是安全分析模塊，該部分功能模塊是最關鍵的技術模塊，主要是對關聯數據、不良信息以及安全風險等進行實時監測，建立自動化檢測和惡意攻擊篡改防御體系，需要配置安全技術庫、安全知識庫等關鍵技術和資源，對信息動態變化情況和發展態勢進行綜合分析、研判和總結。態勢感知功能模塊主要是對前兩個層級收集整理分析的數據結果按照既定的設計頁面和指標統計系統進行分類整合，同時進行跟蹤定位，動態可視化進行展示，對安全態勢以及異常行為等進行全面多級監控，便于進行總結和觀測是否存在不良狀況。

在信息安全保障體系建設中態勢感知技術以其獨特的優勢發揮著重要的防護和保障作用，在具體運行過程中，一方面可以通過對網站等各類數據以及監測到的各類數據等進行動態監控，從而針對可能存在的隱患點進行重點監督排查，確保網站始終處于安全防護動態管理狀態下。另一方面還可以對網站各類攻擊信息等進行重點過濾、篩選和監測，一旦超出設定標準，將立即啟動報警響應程序，同時動態監測各類不良信息的變化、歷史數據規律等情況。此外隨著技術不斷升級，態勢感知技術還可以借助收集的統一深度報告檢測流量數據，對惡意樣本等進行綜合多維度分析，并對發展態勢進行觀察、預測和研判，提前便于制定防護處理措施，降低不良風險發生率和擴散度。

3 結語

總之，態勢感知技術在信息安全保障領域具有強大的支撐保障作用，相信隨著技術不斷升級，將會在更多的領域實現更多的功能，從而為維護網絡信息安全，提高信息綜合處置利用水平提供重要的技術支持。

參考文獻

[1] 葛琳.電信網信息內容安全事件態勢感知技術研究[D].解放軍信息工程大學，2014.

[2] 舒航，王穎穎，程魯鑫.網絡安全態勢感知研究綜述[J].福建電腦，2017，33（8）：5-8.

[3] 丁聰.基于粗糙集的網絡安全態勢感知方法研究[D].蘭州大學，2015.