智慧城市安全服務(wù)平臺(tái)態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)

楊玉璞 毛新然

神州數(shù)碼信息系統(tǒng)有限公司 100085

引言

智慧城市安全服務(wù)平臺(tái)面向已有的揚(yáng)州、無錫、鎮(zhèn)江、張家港和佛山等8個(gè)以及未來增加的智慧城市提供信息安全服務(wù)，跨城市安全態(tài)勢(shì)感知服務(wù)是平臺(tái)所提供的信息安全服務(wù)中的重要一項(xiàng)，除此之外還有跨城市的身份認(rèn)證和授權(quán)管理等服務(wù)。

態(tài)勢(shì)感知（SituationAwareness）這個(gè)概念來自我國(guó)古代的《孫子兵法》。一般地，態(tài)勢(shì)感知的核心部分可以理解為一個(gè)漸進(jìn)明晰的過程，它通過態(tài)勢(shì)要素獲取，獲得必要的數(shù)據(jù)，然后通過數(shù)據(jù)分析進(jìn)行態(tài)勢(shì)理解，進(jìn)而實(shí)現(xiàn)對(duì)未來短期時(shí)間內(nèi)的態(tài)勢(shì)預(yù)測(cè)。態(tài)勢(shì)感知最終達(dá)成的目標(biāo)是實(shí)現(xiàn)對(duì)未來的短期預(yù)測(cè)，是一個(gè)動(dòng)態(tài)、準(zhǔn)實(shí)時(shí)系統(tǒng)。

目前，對(duì)于安全態(tài)勢(shì)感知尚無統(tǒng)一定義，以下給出幾個(gè)描述性定義：

定義1：態(tài)勢(shì)感知是指在大規(guī)模系統(tǒng)環(huán)境中，對(duì)能夠引起系統(tǒng)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來的發(fā)展趨勢(shì)。

定義2：網(wǎng)絡(luò)態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)最近的發(fā)展趨勢(shì)。

1 建設(shè)內(nèi)容

建設(shè)安全態(tài)勢(shì)分析數(shù)據(jù)庫，研制安全威脅主動(dòng)發(fā)現(xiàn)和探測(cè)、安全態(tài)勢(shì)數(shù)據(jù)監(jiān)測(cè)、安全事件關(guān)聯(lián)分析與預(yù)警、網(wǎng)絡(luò)安全指數(shù)計(jì)算、網(wǎng)絡(luò)安全態(tài)勢(shì)展示等子系統(tǒng)，形成安全監(jiān)測(cè)與態(tài)勢(shì)感知服務(wù)系統(tǒng)，為政務(wù)部門提供安全威脅檢測(cè)、狀態(tài)監(jiān)測(cè)、安全態(tài)勢(shì)感知和趨勢(shì)預(yù)測(cè)等安全保障服務(wù)。

安全態(tài)勢(shì)分析數(shù)據(jù)庫，用于存儲(chǔ)態(tài)勢(shì)分析的相關(guān)數(shù)據(jù)，包括安全事件、資產(chǎn)配置及漏洞信息、安全基線信息、網(wǎng)絡(luò)拓?fù)浼芭渲眯畔?、安全威脅以及關(guān)聯(lián)規(guī)則等。數(shù)據(jù)庫是分布式的，在中央級(jí)、省級(jí)、市級(jí)以及縣級(jí)都有自己的網(wǎng)絡(luò)安全態(tài)勢(shì)分析數(shù)據(jù)庫，且提供相應(yīng)的數(shù)據(jù)的存儲(chǔ)、查詢、處理以及維護(hù)等功能。數(shù)據(jù)庫信息能夠及時(shí)更新，能隨時(shí)更新新形態(tài)的木馬病毒的特征（包括專門針對(duì)于政務(wù)網(wǎng)絡(luò)的特殊木馬）；可以更新關(guān)聯(lián)規(guī)則。及可以直接提供數(shù)據(jù)服務(wù)，可支持其他安全服務(wù)系統(tǒng)。

安全威脅主動(dòng)發(fā)現(xiàn)和探測(cè)子系統(tǒng)以高級(jí)別的安全威脅探測(cè)功能為核心，能夠主動(dòng)探測(cè)各種新出現(xiàn)的威脅（尤其是特種木馬），并能夠根據(jù)異常行為模式甄別和捕捉最新的安全威脅。

安全態(tài)勢(shì)數(shù)據(jù)監(jiān)測(cè)子系統(tǒng)通過對(duì)網(wǎng)絡(luò)信息流進(jìn)行深度包檢測(cè)（DPI），即對(duì)網(wǎng)絡(luò)信息流的協(xié)議分布、應(yīng)用狀態(tài)、用戶行為模式和內(nèi)容代碼特征進(jìn)行深度檢測(cè)，掌握網(wǎng)絡(luò)和信息系統(tǒng)的總體運(yùn)行狀況，及時(shí)發(fā)現(xiàn)異常情況。

網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析與預(yù)警子系統(tǒng)對(duì)不同安全域、不同時(shí)間的多來源安全相關(guān)事件進(jìn)行多維度（多種時(shí)空屬性和網(wǎng)絡(luò)屬性）的關(guān)聯(lián)分析，揭示和還原出真實(shí)的安全事件，識(shí)別真實(shí)的安全風(fēng)險(xiǎn)，并對(duì)重大安全事件進(jìn)行預(yù)警。通過多源事件多維度的關(guān)聯(lián)分析，提供全方位的安全態(tài)勢(shì)分析服務(wù)。

網(wǎng)絡(luò)安全指數(shù)計(jì)算子系統(tǒng)通過對(duì)當(dāng)前安全事件的量化評(píng)估，計(jì)算當(dāng)前時(shí)間范圍內(nèi)的網(wǎng)絡(luò)安全指數(shù)。網(wǎng)絡(luò)安全指數(shù)計(jì)算主要從網(wǎng)絡(luò)基礎(chǔ)運(yùn)行維度、網(wǎng)絡(luò)脆弱性維度和網(wǎng)絡(luò)威脅性維度三個(gè)維度，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)形成一個(gè)完整的評(píng)價(jià)。

網(wǎng)絡(luò)安全態(tài)勢(shì)展示子系統(tǒng)提供一套完整的針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的可視化展示工具，由通用報(bào)表生成軟件、圖形生成軟件、地理地圖態(tài)勢(shì)展示軟件以及通用數(shù)據(jù)庫查詢工具等部分組成。結(jié)合安全事件匯總分析與數(shù)據(jù)挖掘中查詢與顯示需求，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)展示。

2 服務(wù)內(nèi)容

2.1 安全危險(xiǎn)檢測(cè)

安全危險(xiǎn)檢測(cè)包括兩類服務(wù)，一是安全威脅主動(dòng)發(fā)現(xiàn)和探測(cè)，以高級(jí)別的安全威脅探測(cè)功能為核心，能夠主動(dòng)探測(cè)各種新出現(xiàn)的威脅（尤其是特種木馬），并能夠根據(jù)異常行為模式甄別和捕捉最新的安全威脅。二是安全態(tài)勢(shì)數(shù)據(jù)監(jiān)測(cè)，通過對(duì)網(wǎng)絡(luò)信息流進(jìn)行深度包檢測(cè)（DPI），即對(duì)網(wǎng)絡(luò)信息流的協(xié)議分布、應(yīng)用狀態(tài)、用戶行為模式和內(nèi)容代碼特征進(jìn)行深度檢測(cè)，掌握網(wǎng)絡(luò)和信息系統(tǒng)的總體運(yùn)行狀況，及時(shí)發(fā)現(xiàn)異常情況。

2.2 態(tài)勢(shì)感知和預(yù)測(cè)預(yù)警

對(duì)不同安全域、不同時(shí)間的多來源安全相關(guān)事件進(jìn)行多維度（多種時(shí)空屬性和網(wǎng)絡(luò)屬性）的關(guān)聯(lián)分析，揭示和還原出真實(shí)的安全事件，識(shí)別真實(shí)的安全風(fēng)險(xiǎn)，并對(duì)重大安全事件進(jìn)行預(yù)警。通過多源事件多維度的關(guān)聯(lián)分析，提供全方位的安全態(tài)勢(shì)分析服務(wù)。

3 態(tài)勢(shì)感知模型

整個(gè)模型分為要素信息采集、事件歸一化、事件預(yù)處理、態(tài)勢(shì)評(píng)估、業(yè)務(wù)評(píng)估、預(yù)警與響應(yīng)、流程處理、態(tài)勢(shì)可視化和歷史數(shù)據(jù)分析等幾個(gè)主要部分。

4 小結(jié)

智慧城市安全服務(wù)平臺(tái)態(tài)勢(shì)感知服務(wù)系統(tǒng)作為上述安全態(tài)勢(shì)感知系統(tǒng)模型的一個(gè)實(shí)例，雖然不是很完善，但是已經(jīng)實(shí)現(xiàn)了其中一些關(guān)鍵技術(shù)，包括總體架構(gòu)已經(jīng)搭建起來、并實(shí)現(xiàn)了基于流數(shù)據(jù)的實(shí)時(shí)關(guān)聯(lián)分析技術(shù)、高性能事件處理技術(shù)、海量事件分析技術(shù)、信息可視化技術(shù)，等等。態(tài)勢(shì)感知相關(guān)技術(shù)的發(fā)展和成熟有助于為用戶抽取出有價(jià)值的安全信息和安全知識(shí)。最后，安全態(tài)勢(shì)感知技術(shù)的突破和應(yīng)用還為將來的平臺(tái)作為網(wǎng)絡(luò)可生存性（NetworkSurvivability）的控制中樞提供了基礎(chǔ)支撐。

[1]韋勇, 連一峰. 基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型. 計(jì)算機(jī)學(xué)報(bào), 2009.4, 32(4): 763-772.

[2]劉聰林.電子政務(wù)系統(tǒng)安全性研究[J].電腦知識(shí)與技術(shù),2010,6(4):841-842.

[3]朱方. 點(diǎn)滴匯聚智能運(yùn)籌智慧城市公共安全平臺(tái)探索. 中國(guó)公共安全(綜合版) ,2012年13期