政务部门网络安全态势感知系统构建研究

交通运输部海事局王惠

河北海事局刘霓

北海航海保障中心刘东全

“世界上没有攻不破的网络，也没有不存在漏洞的系统”。随着“互联网+政务”服务的不断深化，政务部门会面临更大的安全威胁，安全形势非常严峻。因此，需要从建设网络安全态势感知系统起步，未来，进一步提高态势分析和预测能力，将知识进一步转化为智慧，实现动态自适应防护、智能协同、主动防御的有效防护体系。

一、亟需构建网络安全态势感知系统

随着政务部门信息化建设的逐步推进，政务部门多已实现了网络与边界防护、监控与审计防护、主机安全防护以及应用安全防护，基本形成了全面的安全防护体系。

然而，随着安全体系的建设，各种安全设备以及安全服务手段的引入，给安全监管带来极大的挑战，但是，各系统相互独立，仅能展示自有数据和能力，缺乏有机融合和多维度的关联分析，无法对政务部门整体安全情况进行全局掌握和展示，缺乏全天候全方位感知网络安全态势的能力。

因此，迫切需要建设政务部门网络安全态势感知系统，建立一套有效的网络安全保障体系，对全网进行统一的安全监管，确保信息系统内部不发生安全事件、少发生安全事件或者发生安全事件时能够得到及时处置，减少由于安全事件带来的损失，提高整体网络安全保障水平。

二、构建网络安全态势感知系统的思路

新形势下的网络安全态势感知不仅仅是一套技术，更是全新的安全建设思路和运作体系，体现了安全防护体系构建思路的转变。这些转变包括：在建设目标上，从注重合规向注重对抗转变；在威胁检测上，从知所已知向知所未知转变；在响应处置上，从被动处理向快速主动转变。

适合于政务部门的网络安全态势感知系统，实质就是通过“三个转化”实现对政务部门网络系统的整体安全状态的7*24小时实时监控，从资产、攻击、漏洞、运行、威胁和风险各个维度全方位感知整个网络系统的安全状态与发展趋势。具体而言，态势感知系统首先要进行数据的自动采集和指标提炼，将数据转化为信息，直观展示网络安全现状；其次，通过信息的归纳演绎和集成建模，将信息转化为知识，形成安全事件融合和关联分析所需要的规则；实现网络安全事件智能分析与实时预警；最终利用知识发现所获取的模式信息，规范、约束、推导、修正和补充安全态势模型，将知识转化为智慧，最终形成全局网络安全态势，实现对网络系统的全方位防护。

网络安全态势感知系统的建设不仅仅是一个技术实现，更是一个系统工程，是包括技术平台、标准规范制度、人才队伍的完整体系。它的建设思路即建设目标，是形成一套全方位的网络安全保障体系，构建一个闭环的安全态势感知及处置平台。通过感知政务部门的网络安全态势，提前发现系统风险以及薄弱环节，防患于未然，做到事前感知；当网络受到外部攻击或发生重大安全事件时，即刻发现并精确定位，做到协同处置；事后，通过调查取证，发现薄弱环节，进行系统加固，同时，完善情报库，提高感知能力，确保信息系统不发生安全事件、少发生安全事件或者在发生安全事件时能够得到及时处置，减少安全事件带来的损失，全面提升政务部门网络安全保障能力。

三、构建网络安全态势感知系统的内容

网络安全态势感知系统（图1），应通过数据采集与存储、安全监控态势分析与定位追溯、系统管理与数据展示、数据建模、上下级数据交互、系统基础功能、数据汇总及发布、部局安全态势分析报告8个模块的建立，实现以下功能。

1. 网络拓扑自动发现

通过端口扫描自动发现IT设备并自动描绘网络中资产节点间的网络连接关系，建立全面的网络资产基础信息库，为实现资产管理、可用性监控、资产态势感知提供有利条件。

2. 网络安全数据采集

针对网络安全告警数据的复杂性、多样性以及海量的特点，采用高性能日志采集范式化、大数据分布式存储和流式分析等先进技术，通过对流数据、日志数据、性能数据、安全事件等多源异构数据采集以及清洗、整合，将数据转化为信息，为态势感知提供必要的数据支撑。

3. 主动安全管理与预警

改变以往被动扫描的方式，主动发起漏洞扫描，并将扫描结果与资产进行匹配，完成资产和业务的脆弱性管理；主动的安全基线核查，提高了工作效率、保证了核查数据的及时性和真实性，并可及时进行资产预警。

4. 海量网络安全数据的高效处理与智能分析

通过对安全事件实时监控与报警、信息通报、安全事件挖掘与关联分析，找出大量事件中存在的关系，并从这些大量事件中抽取出真正重要的少量事件，将信息转化为知识，形成安全事件融合和关联分析所需要的规则，同时，依托大数据技术，采用分布式存储和并行计算大幅提升采集数据的处理和存储能力。

5. 态势感知指标化

通过对影响网络安全的各种因素进行梳理、分析、提炼，建立一套包括资产感知、攻击感知、漏洞感知、运行感知、威胁感知和风险感知六个方面的层次化网络安全态势感知指标体系，通过可视化技术建立面向综合态势监视的态势总览，形成感知能力。宏观指标可以感知网络安全总体态势，中观指标和微观指标可以快速感知各种网络安全要素的安全水平及不安全因素的方位。通过层次化指标之间的联动，既可以在出现网络安全事件时追踪溯源，又可以推演具体类型、设备或方位的不安全因素对整体安全态势造成的影响。

6. 一体化态势感知可视化展示

建立包括综合视图、管理视图、运维视图等多维的态势感知指标体系可视化展示（图2）。第一，综合视图。掌握全网的整体安全态势，评估全网和重要业务信息系统安全机制的有效性情况，掌握下一步安全防护改进的重点，为安全管理提供必要的决策支撑。第二，管理视图。查看网络和业务系统的安全资产运行状况、安全风险走势、重要的安全事件处理情况，安全分析报表报告；可以随时掌握计划和任务的进展情况，实现对一线运维人员的考核。安全经理最终可以通过系统生成提交给领导层的各类安全报表报告。第三，运维视图。可以持续对网络及信息系统进行运行监测、安全审计、任务处理与应急响应。

（本文刊登于《中国信息安全》杂志2019年第3期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。