水利信息安全態勢感知系統探討

馮 偉

(安徽省茨淮新河工程管理局，安徽 懷遠 233415)

水利行業是信息密集的國家重點行業，隨著計算機網絡技術的飛速發展，計算機網絡應用越來越廣泛，規模的增大帶來了更多的攻擊面，多形式的安全威脅和風險也一直在增長，計算機病毒、拒絕服務攻擊等攻擊方式構成的威脅和損失越來越大，網絡入侵行為由原來的單一性演變成為具有分布性、規模性、間接性和復雜性的特點。在這種背景下水利系統已開始構建更為豐富的內部安全系統，新的安全系統不僅包括防火墻、IDS、防病毒等基礎設備；還包括目前主流的堡壘機、數據庫審計、高級持續性威脅防御等。這些安全防護設備構建的防護屏障滿足了基礎安全防護需求，但隨著信息安全技術的不斷進步，針對水利系統內部的攻擊行為也逐漸變得更為難以捕獲，特別是在當前大量數據流量的掩蓋下，網絡攻擊和數據泄露事件變得更加難以發現， 往往只有等到事件在網絡上被公開或數據在暗網上售賣時被攻擊單位才會發現曾經發生過信息安全事故，然而發生事故的具體時間和損失程度都已無法追溯，尤其是高級持續性惡意攻擊，更是讓管理員防不勝防。因此，對于水利系統實現多方位網絡安全態勢感知、實時網絡運行狀況監控、信息資產安全保障，顯得尤其重要。

圖1 態勢感知模型圖

1 信息安全態勢感知模型

信息安全態勢感知模型如圖1所示，它由數據區域、信息區域、知識區域構成。結構如下：①數據區域在底層。包括數據采集和數據預處理，主要完成數據清洗、校準、多元數據格式化、數據關聯分析等工作。②信息區域在中層。是在底層數據分析的基礎上對網絡態勢進行動態推理的過程。③知識區域在上層。對知識進行轉化預測當前網絡中可能發生的安全事件，并對網絡威脅的程度進行評估。靜態庫初始由開源的威脅信息提取構成，作為威脅信息評估的參考依據。綜合多維度數據評估后的威脅信息可動態添加進靜態庫以擴充靜態庫數據，靜態庫的不斷擴充也為后續準確有效的進行態勢分析提供了依據。

圖2 水利信息安全態勢感知系統架構圖

2 水利信息安全態勢感知系統架構

利用態勢感知模型建立的水利信息安全態勢感知系統架構圖如圖2所示。它包括：①智能威脅防御。安全態勢感知系統利用大數據技術解決了傳統APT防御中關于大數據量存儲、問題調查、模型歸納等問題。實現關鍵數據提取、環境集成、模型建立、模型計算、結果展示等功能。②隱秘通道挖掘。隱秘通道包括系統后門通道和利用合法網絡載荷交換非法數據，大數據技術及機器學習算法應用能夠有效識別出隱秘通道特征，從而實現隱秘通道的挖掘以及其所傳送數據的還原。③用戶行為分析。以用戶行為為基準，自動歸納用戶行為模型。采用機器學習技術通過自我修正行為模型進行調整校正，無需人工參與實現基線修正以及行為偏離告警。④攻擊溯源取證。攻擊者的攻擊行為會在態勢感知系統中被記錄下來，即使攻擊者清除了淪陷主機的系統日志，攻擊溯源取證依然能夠清楚的刻畫攻擊者的所有攻擊行為并以數據信息的形式保存在態勢感知系統中，可以隨時進行分析取證或供國家相關部門進行調取和查詢以發現網絡犯罪行為。⑤實時安全監測。它綜合IPS、WAF、數據庫審計等設備的安全事件信息形成關聯信息實時監測網絡中的安全狀態。同時進行多維度監測，從整體角度進行全方位安全監測。(6)合規審計。對異構網絡環境各系統的日志異地集中保存能夠滿足《信息安全等級保護管理辦法》等文件中對日志審計的合規性要求，同時對日志進行多維度分析充分挖掘海量日志的潛在價值。

通過對當前時間或過去某段時間水利信息系統內的態勢要素進行理解和分析，形成水利網絡安全態勢的歷史趨勢和短期的未來預測。信息安全態勢分析基于安全合規、安全審計進行實時安全監測來實現其基礎功能，通過智能威脅防御技術、隱秘通道挖掘技術、用戶行為分析技術、攻擊溯源取證技術等功能支撐最終實現安全態勢分析。結合態勢分析的量化指標協助用戶直觀的了解當前信息系統整體安全狀況以及預測短期網絡安全態勢。

3 水利信息安全態勢感知可視化

根據信息安全態勢感知系統架構建立水利信息態勢感知平臺，對水利行業信息安全威脅狀況進行可視化、全方位呈現。態勢感知平臺基于三維地理空間，對分布在地理位置不同的水利網節點及關鍵基礎設施的綜合安全信息進行網絡安全態勢監控，系統運行時如圖3所示：

圖3 水利信息態勢感知系統

水利信息態勢感知平臺具有全方位的入侵檢測分析功能，對網絡內各節點進行實時檢測，分析節點上的安全數據和網絡流量信息，并將分析后的威脅信息以多種圖表的方式進行展示。對達到一定等級的威脅信息提供告警機制，及時通知網絡安全管理人員知曉?；诟呒壙沙掷m性攻擊檢測技術的態勢感知系統可對攻擊來源、攻擊路徑、攻擊點進行分析，并根據安全威脅攻擊信息和目標信息結合地理信息系統技術將虛擬的網絡攻擊和現實世界相關聯，實現網絡攻擊的地理可視化。網絡威脅地圖和網絡威脅流量分別如圖4和圖5所示。

圖4 網絡威脅實時地圖

圖5 網絡威脅實時流量圖(每秒檢測)

4 結束語

本文介紹了水利網絡態勢感知的安全需求和態勢感知模型，通過構建水利信息安全態勢感知系統架構建立水利信息態勢感知平臺，實現全方位監控水利信息網絡安全態勢并進行可視化呈現。隨著信息安全技術和互聯網技術的飛速發展，水利信息安全態勢感知平臺必定為水利行業信息安全建設助力。