信息網絡安全管控與態(tài)勢分析云平臺建設的探究

吳英 馬立國 梁晶晶

【摘要】? ? 如今我國已經進入數(shù)字化信息時代，計算機網絡已經深入各行各業(yè)。信息資訊爆炸式發(fā)展，我們面臨的網絡安全形勢和挑戰(zhàn)日益嚴峻，加強我國網絡安全建設迫在眉睫。本文著重闡述建設信息網絡安全管控與態(tài)勢分析云平臺建設的目的、原則、功能和特點，以及特殊行業(yè)網絡安全管控系統(tǒng)和信息網絡態(tài)勢分析云平臺的建設方案。

【關鍵詞】? ? 信息網絡? ? 網絡安全? ? 態(tài)勢分析? ? 管控系統(tǒng)

引言

習主席深刻指出：“要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態(tài)勢，增強網絡安全防御能力和威懾能力”。政務、金融、物流、教育、科技、交通、地理、電信等，各個領域、各個行業(yè)的網絡數(shù)據(jù)對個人信息保護和維護國家社會安全都非常重要。據(jù)調查，目前國內外許多機構的網站、服務器都遭受過非法入侵，很多重要數(shù)據(jù)丟失或被竊取，造成重大經濟上和軍事上的損失，同時造成計算機網絡癱瘓，無法保證網絡服務的正常運行?，F(xiàn)如今各個行業(yè)的網絡信息安全都是重中之重，而網絡信息安全的核心內容就是要提升網絡中的信息安全。

那么如何做好計算機網絡安全保密工作，實時掌握網絡運行狀態(tài)，精準網絡動態(tài)分析和預測，快速采取具有針對性的、行之有效的安防策略，積極應對、主動防御各類網絡安全風險是十分必要的。針對具有跨域、復雜和多級等特點的政府、軍隊、大型企業(yè)等特殊行業(yè)內部網絡研發(fā)網絡安全管控與態(tài)勢分析云平臺，有助于網絡管理者監(jiān)控和處理內部網絡各類安全問題。

一、信息網絡安全管控與態(tài)勢分析云平臺建設基本原則

1.1安全防護全時全面覆蓋

基于“全面防護、全時反饋、功能互補”原則，統(tǒng)籌建設網絡系統(tǒng)，滿足各類數(shù)據(jù)傳輸處理、業(yè)務訪問和信息流轉的安全需求，實現(xiàn)全域覆蓋、全時監(jiān)控、高速互聯(lián)和安全穩(wěn)定，為網絡安全和網絡值勤等業(yè)務提供有效支撐。

1.2 構建分域單元控制體系

在總體架構上按照分域保護思路，將網絡系統(tǒng)從結構邏輯上劃分為不同的安全區(qū)域單元，以安全區(qū)域為單位進行安全防御措施建設，形成分域安全單元控制體系。

1.3 構建縱深的防御體系

主要從物理安全、網絡安全、數(shù)據(jù)安全、系統(tǒng)軟件安全、應用安全、用戶安全和管理安全七個方面進行安全技術和管理設計，實現(xiàn)業(yè)務應用的可用性、完整性和保密性，充分運用各種新興技術組合或功能的互補，綜合施策，從內到外形成有梯次、有縱深的網絡安全防御體系。

1.4 保證一致的安全強度

根據(jù)安全等級的要求，采用分級的辦法，確保同一安全域的系統(tǒng)以最高安全等級為標準，采取強度一致的安全措施和統(tǒng)一的防護策略，消除安全短板，構建出動態(tài)、嚴密的防護體系。

二、信息網絡安全管控與態(tài)勢分析云平臺建設特點

2.1網絡資源統(tǒng)管性

平臺具備對內部網絡所有資源、網絡設備、服務器進行管理的統(tǒng)一操作、管理的功能。通過客戶端、核心服務器及數(shù)據(jù)庫系統(tǒng)實現(xiàn)對網絡的拓撲管理、告警事件管理、安全管理、日志管理和配置狀態(tài)管理等。

2.2網絡信息共享性

網絡信息的實時共享可以加快網絡信息更新速度，提高數(shù)據(jù)信息修正能力，加強云平臺分析處理安全事件抵御風險的能力，為網絡安全事件分析預判提供依據(jù)。云平臺核心服務器群與下屬各網絡節(jié)點服務器建立數(shù)據(jù)信息共享機制，下級服務器實時上傳本地信息數(shù)據(jù)到核心服務器數(shù)據(jù)庫，核心服務器群通過特征提取、數(shù)據(jù)融合、關聯(lián)分析等方式對原始數(shù)據(jù)進行數(shù)據(jù)預處理，包括數(shù)據(jù)清洗、數(shù)據(jù)融合和數(shù)據(jù)關聯(lián)幾個流程，提取出有用的安全數(shù)據(jù)[1]，利用云計算大數(shù)據(jù)分析得出結論，下級服務器可根據(jù)權限訪問核心服務器群獲取相關數(shù)據(jù)信息。

另外通過專用接口獲取互聯(lián)網網絡安防數(shù)據(jù)信息，第一時間接收官方發(fā)布的系統(tǒng)漏洞通知、最新病毒特征及相關處理方案供云平臺分析和學習。

2.3網絡態(tài)勢可視性

網絡安全態(tài)勢感知整個過程，最重要的任務就是準確展示和表達數(shù)據(jù)所包含的信息，建立網絡安全信息數(shù)據(jù)到可視化元素的映射。網絡安全態(tài)勢圖可以幫助安全分析人員更快速有效地識別網絡中的攻擊和異常事件，將抽象的網絡和系統(tǒng)數(shù)據(jù)以模型和圖像的方式展現(xiàn)出來，形成安全態(tài)勢圖幫助網絡安全分析人員鑒別網絡狀態(tài)，識別網絡異常和非法入侵，預測網絡安全事件發(fā)展趨勢。

2.4防御主動性

云平臺建設主動型的防御系統(tǒng)，網絡安全主動防御就是在增強和保證網絡安全的同時發(fā)現(xiàn)正在進行的網絡攻擊，預測和識別未知的入侵，并采取相應措施使攻擊者無法達成目的，是一種前攝性的防御，可使網絡系統(tǒng)在無需人為被動響應的情況下，預防網絡安全事件。

相較于網絡安全被動防御，主動防御具有較大優(yōu)勢：一是可以及時智能檢測未知攻擊，從根本上改變過去防御過于落后的被動局面;二是具有自主學習能力，能夠實時對網絡防御技術進行動態(tài)加固;三是能夠對檢測到的網絡攻擊進行實時響應，對網絡攻擊技術進行分析、取證、對攻擊者進行跟蹤甚至反擊[2]。

利用云平臺中心強大的數(shù)據(jù)存儲、匯總及計算分析能力，可在網絡安全主動防御智能檢測方面，著力開發(fā)基于人工智能的自主學習檢測、識別安全威脅的功能，將網絡攻擊檢測時間下降幾十倍。病毒在系統(tǒng)內存的任何操作，都能被自動截獲，根據(jù)病毒活動特點定義出惡意威脅的等級、種類，并制定相應的處置方案。實現(xiàn)由單點防御到全網協(xié)防，攻擊平均響應時間下降到一天，從而實現(xiàn)自主學習，不斷提高網絡防御水平。

三、建設基本架構及內容

信息網絡安全管控與態(tài)勢分析云平臺在核心區(qū)域數(shù)據(jù)中心建立信息網絡安全態(tài)勢管控中心;下屬單位網絡節(jié)點建立前沿感知系統(tǒng)，以信息網絡安全態(tài)勢管控中心為本系統(tǒng)核心統(tǒng)管下級單位節(jié)點，通過實時接收下級單位前沿感知系統(tǒng)回傳的安防數(shù)據(jù)信息，錄入數(shù)據(jù)庫，經過云平臺分析積極響應各類安防事件，形成針對性安防策略報告，反饋至下級單位前沿感知系統(tǒng)，動態(tài)提供行之有效的指導性安防策略;統(tǒng)籌評估所有下級單位整體安防態(tài)勢，歸納各類安防事件攻擊、傳播等特點，形成案例數(shù)據(jù)庫，為日后網絡安防評估提供數(shù)據(jù)支撐。

同時，為防止特殊情況下下級單位不能及時與信息網絡安全態(tài)勢管控中心數(shù)據(jù)交互，在下級單位網絡節(jié)點建立安防態(tài)勢管控子中心，形成備用網絡安防體系。

四、信息網絡安防態(tài)勢管控中心的系統(tǒng)支撐：

4.1安全基礎網絡層

根據(jù)等級保護要求，網絡骨干節(jié)點應采用雙機熱備方式實現(xiàn)冗余備份，并根據(jù)實際情況劃分安全域，包括安全運維中心、邊界網絡區(qū)、業(yè)務服務器群、終端接入?yún)^(qū)、數(shù)據(jù)中心、運維管理區(qū)等。

4.2安全區(qū)域邊界

安全區(qū)域邊界，部署入侵檢測系統(tǒng)，防病毒系統(tǒng)、防火墻、漏洞掃描系統(tǒng)、準入網關、流量監(jiān)控系統(tǒng)等安全設備。在業(yè)務交換區(qū)邊界、大數(shù)據(jù)區(qū)域邊界、核心服務器區(qū)域邊界、安全運維中心等不同防護等級安全區(qū)域邊界部署防火墻進行訪問控制;在不同網系邊界部署安全隔離網閘實現(xiàn)內網區(qū)與互聯(lián)網之間的數(shù)據(jù)交換;在終端接入?yún)^(qū)部署嚴格準入控制系統(tǒng)實現(xiàn)邊界完整性保護;在不可信網絡接入?yún)^(qū)域（無線網絡接入?yún)^(qū)域）邊界部署可抵御高級威脅的檢測與防御系統(tǒng)實現(xiàn)入侵檢測與終端入網規(guī)范。

4.3 安全核心數(shù)據(jù)防護

在安全核心數(shù)據(jù)防護部署漏洞掃描系統(tǒng)、補丁分發(fā)系統(tǒng)、防病毒查殺系統(tǒng)、網絡行為審計系統(tǒng)、日志管理系統(tǒng)、備份恢復系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、物理安防監(jiān)控報警系統(tǒng)、網絡終端安全防護系統(tǒng);在終端安全方面，部署準入控制系統(tǒng)能夠防止設備非法接入內網及防止內網用戶非法外聯(lián)。在服務器安全方面，針對主機的入侵防范，在網絡層面具有基于網絡的威脅檢測與防御系統(tǒng)可以起到防范針對內部網絡的攻擊行為;采用安全掃描對信息系統(tǒng)主機進行安全性檢測;通過對操作系統(tǒng)人工加固的方式，提升業(yè)務服務器的抗攻擊能力;采用運維安全網關，實現(xiàn)運維權限的集中管控和運維行為的全程審計。

在應用系統(tǒng)安全方面，采用基于網絡的威脅檢測與防御系統(tǒng)可以起到防范針對內部網絡的攻擊行為;由安全專家依據(jù)前期風險分析結果，針對應用系統(tǒng)存在的漏洞提供解決建議及人工加固。

在數(shù)據(jù)庫安全方面，應在核心服務器區(qū)部署數(shù)據(jù)庫安全審計系統(tǒng)，實現(xiàn)對數(shù)據(jù)庫系統(tǒng)的安全審計。在網絡設備防護方面，涉及到網絡交換核心設備、網絡信道加密設備等，這些設備和主機的安全要求均需要進行深入的安全加固才能滿足等級保護的基本要求。

4.4 安全管理中心

在系統(tǒng)管理、審計管理和安全管理方面，需要新增日志審計系統(tǒng)，對設備、主機、應用產生的日志實現(xiàn)集中統(tǒng)一管理。在審計集中管控方面，需通過在不同區(qū)域，不同層次，不同業(yè)務部署數(shù)據(jù)采集引擎，再建立安全大數(shù)據(jù)平臺，結合安全大數(shù)據(jù)提供的數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)存儲、外部接口等服務，在此基礎上建立數(shù)據(jù)審計集中監(jiān)管和安全事件集中管控系統(tǒng)，實現(xiàn)對全網數(shù)據(jù)與網絡安全態(tài)勢的集中監(jiān)測。在安全策略集中管控方面，采用信息綜合監(jiān)控管理系統(tǒng)，全面覆蓋等級保護工作、運行、維護、管理的全過程、一體化的安全工作與策略綜合管理平臺。

在安全事件集中管控方面，通過分布于業(yè)主單位網絡中的高級威脅檢測與防御系統(tǒng)、日志審計系統(tǒng)等探針，對全網安全風險數(shù)據(jù)搜集整理，基于大數(shù)據(jù)平臺提供的深度分析和感知能力，實現(xiàn)覆蓋全網安全事件的態(tài)勢監(jiān)測能力，包括總體網絡安全態(tài)勢、在線資源態(tài)勢、安全事件態(tài)勢、攻擊態(tài)勢和預警通報等。

4.5數(shù)據(jù)中心

在數(shù)據(jù)中心部署具備數(shù)據(jù)庫靜態(tài)審計功能的安全設備，其可代替繁瑣的手工檢查，預防安全事件的發(fā)生。利用具備權威的數(shù)據(jù)庫安全規(guī)則庫，自動完成對不當?shù)臄?shù)據(jù)庫安全配置、潛在弱點、用戶弱口令、數(shù)據(jù)庫軟件補丁、數(shù)據(jù)庫潛藏木馬等靜態(tài)審計。通過靜態(tài)審計，可為后續(xù)的動態(tài)防護與審計的安全策略設置提供依據(jù)。

五、結論

信息網絡安全管控與態(tài)勢分析云平臺是一款集網絡資源管理、信息共享、設備配置、數(shù)據(jù)分析、情況預判、策略制定的主動安防信息管理系統(tǒng)，可用于政府、軍隊、企業(yè)等機構的內部網絡。

建設信息網絡安全管控與態(tài)勢分析云平臺是一項復雜的系統(tǒng)工程，它涵蓋內容廣泛，使用高新技術多、理論新、功能全面，并且要求各種網絡設備具有良好的兼容性，這對系統(tǒng)的研發(fā)和后期的改進優(yōu)化都提出了比較高的要求，要不斷將新技術融入其中，使其功能更加完善，系統(tǒng)更加優(yōu)化，安防能力逐漸提高，更好的為網絡安全服務。

參? 考? 文? 獻

[1] 李俊磊.高校校園網網絡安全態(tài)勢感知建設研究.網絡安全技術與應用2020（08）：96-98

[2] 邱子越.下好網絡安全主動防御先手棋.中國國防報2019-02-27