基于態(tài)勢感知系統(tǒng)的網(wǎng)絡(luò)安全防護與應(yīng)用

殷亞玲

摘 要：本文以某電力企業(yè)網(wǎng)站安全為實例，通過NGSOC對態(tài)勢感知系統(tǒng)的部署應(yīng)用，以監(jiān)測手段、數(shù)據(jù)可視化、安全信息的時效性進行可行性實踐，通過資產(chǎn)、威脅、漏洞三者共同構(gòu)成的風(fēng)險監(jiān)測方法，為企業(yè)的大規(guī)模網(wǎng)站安全監(jiān)管提供了便利的技術(shù)手段，在提升企業(yè)的網(wǎng)絡(luò)安全運營水平的同時，提升了主動發(fā)現(xiàn)未知網(wǎng)站威脅能力。

關(guān)鍵詞：態(tài)勢感知;NGSOC;數(shù)據(jù)可視化;風(fēng)險監(jiān)測

Abstract：This paper takes the website security of a power enterprise as an example，through the deployment and application of ngsoc to the situation awareness system，through the feasibility practice of monitoring means，data visualization and timeliness of security information，through the risk monitoring method composed of assets，threats and loopholes，it provides convenient technical means for the large-scale website security supervision of the enterprise，and improves the network of the enterprise At the same time，the network security operation level improves the ability to actively discover unknown website threats.

Key words：Situational awareness;NGSOC;Data visualization;Risk monitoring

近年來隨著互聯(lián)網(wǎng)的發(fā)展極大地改變了人類的生活方式，但網(wǎng)絡(luò)安全事件也呈逐年上升狀態(tài)。目前各個企業(yè)或服務(wù)商雖然已經(jīng)提高了網(wǎng)絡(luò)安全防護意識，并且采用了較為先進的防護措施，但基本都是采用單一的網(wǎng)絡(luò)安全產(chǎn)品或者信息安全防護措施，導(dǎo)致各個安全產(chǎn)品和信息系統(tǒng)之間關(guān)聯(lián)性較差，無法進行統(tǒng)一的網(wǎng)絡(luò)安全防護，極大地增加了從入侵威脅報警到網(wǎng)站管理員判斷處理問題的時間，從而有可能造成危機處理的最佳時機被貽誤。

1 態(tài)勢感知系統(tǒng)防護流程

以網(wǎng)絡(luò)安全威脅特有的數(shù)據(jù)進行規(guī)則匹配，提煉出其中主要的安全態(tài)勢特征[1]，輔助網(wǎng)絡(luò)管理員進行安全策略的決策與實施，從而保證網(wǎng)絡(luò)威脅，盡可能減少損失。態(tài)勢感知防護系統(tǒng)按照系統(tǒng)的安全防護流程可分為四個步驟進行：

（1）對網(wǎng)絡(luò)架構(gòu)的態(tài)勢信息進行獲取;

（2）建立安全態(tài)勢模型;

（3）對威脅數(shù)據(jù)進行檢測和存儲、網(wǎng)絡(luò)架構(gòu)安全的趨勢預(yù)估;

（4）完成本系統(tǒng)的安全防護策略部署，以此來構(gòu)建出完整的安全態(tài)勢感知防護系統(tǒng)[2]。

防護流程如圖1所示：

2 系統(tǒng)架構(gòu)

數(shù)據(jù)是平臺分析的基礎(chǔ)[3]，系統(tǒng)中對數(shù)據(jù)支撐能力主要體現(xiàn)在對于多源大數(shù)據(jù)的采集多樣性。通過日志采集探針和流量傳感器分別進行不同系統(tǒng)日志和流量日志的采集和處理。可覆蓋市面常見的百余家廠商的上千種設(shè)備，并實現(xiàn)日志無縫對接。

與此同時，為了應(yīng)對不同應(yīng)用場景對數(shù)據(jù)采集、處理和存儲的需求，數(shù)據(jù)支撐平臺均采用插件式架構(gòu)，本態(tài)勢感知系統(tǒng)在豐富的大數(shù)據(jù)經(jīng)驗的基礎(chǔ)上通過使用奇安信前沿的大數(shù)據(jù)基礎(chǔ)組件完成平臺架構(gòu)的構(gòu)建。系統(tǒng)架構(gòu)圖如圖2所示：

3 方案實施

3.1 硬件安裝

本態(tài)勢感知系統(tǒng)所涉及到硬件設(shè)備均為標(biāo)準(zhǔn)的機架產(chǎn)品，根據(jù)計算需要客戶機房安排至少總共為7U的機架空間來滿足所有設(shè)備的安裝擺放，設(shè)備擺放示意圖如圖3所示：

3.2 軟件安裝

使用root賬號登入NGSOC主節(jié)點服務(wù)器，執(zhí)行安裝命令，出現(xiàn)Install ngsoc complete即為安裝成功，如圖4所示：

4 系統(tǒng)測試

依據(jù)測試步驟的測試結(jié)果截圖如圖5所示：

5 結(jié)語

經(jīng)多方面測試，系統(tǒng)各項功能均正常。本態(tài)勢感知系統(tǒng)可以成功采集到網(wǎng)站的流量數(shù)據(jù)、系統(tǒng)和設(shè)備日志，并能提供本地的流量數(shù)據(jù)及系統(tǒng)和設(shè)備的日志存儲，管理員可以通過語法或網(wǎng)頁點擊操作的方式進行查詢?nèi)罩竞蛿?shù)據(jù)，實現(xiàn)網(wǎng)站威脅及時發(fā)現(xiàn)，并能夠協(xié)助管理員進行快速處置，數(shù)據(jù)展示清晰明了，數(shù)據(jù)內(nèi)容詳細精準(zhǔn)，基本符合本系統(tǒng)在項目建設(shè)初期的建設(shè)目標(biāo)。

參考文獻：

[1]崔穎.政府門戶網(wǎng)站的網(wǎng)絡(luò)安全分析[J].電腦知識與技術(shù)，2019（21）：89-92.

[2]舒航，王穎穎，程魯鑫.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].福建電腦，2017（08）：9-12.

[3]劉煜.網(wǎng)絡(luò)安全態(tài)勢感知與防護體系[J].電子技術(shù)，2017（9）：154-156.