基于態(tài)勢感知的信息安全監(jiān)測預(yù)警機(jī)制實踐研究

王文泉

摘要：隨著信息化建設(shè)的推進(jìn)，如何做好信息安全工作是值得研究的課題。監(jiān)測預(yù)警是信息安全工作中重要一環(huán)，該研究基于態(tài)勢感知，構(gòu)建信息安全監(jiān)測預(yù)警機(jī)制，在實際應(yīng)用中，發(fā)現(xiàn)其能夠有效促進(jìn)信息安全整體防護(hù)工作的推進(jìn)。

關(guān)鍵詞：態(tài)勢感知;監(jiān)測預(yù)警;信息安全

中圖分類號：TP393.08 ? ? ? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）31-0076-02

Abstract： With the advancement of information construction， how to do a good job in information security is worth studying. Monitoring and warning is an important part of information security work. Based on situation awareness， this study constructs an information security monitoring and warning mechanism. In practical application， it is found that the mechanism can promote the protection of information security.

Key words： situation awareness; monitoring and warning; information security

1引言

OpenSSL“心臟滴血”漏洞、“徐玉玉”電信詐騙案、“WannaCry”勒索病毒……信息安全事件頻頻浮現(xiàn)，安全態(tài)勢越來越嚴(yán)峻。與此同時，信息安全重要性逐漸凸顯。習(xí)近平指出“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪”;2017年6月1日起正式實施的《網(wǎng)絡(luò)安全法》，從法律層面標(biāo)明了“國家信息安全觀”;“GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求”“等保2.0”新標(biāo)準(zhǔn)于2019年12月1日起正式實施。

信息安全涉及技術(shù)、管理、人員等方方面面。無論以何種模式，從何種角度來看，監(jiān)測預(yù)警都是信息安全防護(hù)工作中重要組成部分。等級保護(hù)安全框架明確提出設(shè)立“安全監(jiān)測”“通報預(yù)警”“態(tài)勢感知”舉措[1];信息安全保障模型PPDR（Policy-Protection-Detection-Response，策略-保護(hù)-檢測-響應(yīng)）強(qiáng)調(diào)安全檢測、漏洞監(jiān)測的重要性，以保障系統(tǒng)動態(tài)安全。由此可見，構(gòu)建監(jiān)測預(yù)警機(jī)制是信息安全防護(hù)中不可或缺的環(huán)節(jié)。

要監(jiān)測，要預(yù)警，就要建立“態(tài)勢感知”。態(tài)勢感知是一種基于環(huán)境的、動態(tài)、整體地洞悉安全風(fēng)險的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。

2監(jiān)測預(yù)警機(jī)制實現(xiàn)及其應(yīng)用

2.1 需求分析

信息安全監(jiān)測預(yù)警機(jī)制的建設(shè)應(yīng)堅持“主動、全面、協(xié)同、閉環(huán)”的原則[2]，從技術(shù)和管理等維度確立監(jiān)測預(yù)警機(jī)制應(yīng)滿足功能需求如圖1所示。

2.2 機(jī)制實現(xiàn)

以深圳信息職業(yè)技術(shù)學(xué)院為例，結(jié)合實際網(wǎng)絡(luò)拓?fù)?，?gòu)建信息安全監(jiān)測預(yù)警機(jī)制如圖2所示。

來源&提取環(huán)節(jié)：態(tài)勢感知的輸入流量來自兩方面，流量監(jiān)測探針和安全設(shè)備。在互聯(lián)網(wǎng)出口區(qū)和DMZ區(qū)域分別部署一臺探針，以獲取服務(wù)器、互聯(lián)網(wǎng)、終端三者之間各個方向的流量。此外，抓取出口防火墻、DMZ防火墻、虛擬化防火墻、上網(wǎng)行為管理、終端安全檢測系統(tǒng)等安全設(shè)備的流量，這樣全網(wǎng)流量均納入“感知”范圍。

檢測&分析環(huán)節(jié)：此環(huán)節(jié)主要是采用大數(shù)據(jù)、機(jī)器學(xué)習(xí)、檢測算法等進(jìn)行行為分析、關(guān)聯(lián)分析，以發(fā)現(xiàn)各種攻擊威脅與異常，特別是針對性攻擊。

交付&可視環(huán)節(jié)：此環(huán)節(jié)對威脅的影響范圍、攻擊路徑、目的、手段進(jìn)行快速研判后，建立全局可視化，將整體安全態(tài)勢、業(yè)務(wù)風(fēng)險、外部攻擊、橫向威脅、異常畫像、失陷舉證等內(nèi)容呈現(xiàn)出來，提供預(yù)警。

處置&響應(yīng)環(huán)節(jié)：決策環(huán)節(jié)，針對發(fā)現(xiàn)的攻擊、威脅，進(jìn)行聯(lián)動處置。對于確定存在安全隱患的資產(chǎn)，可以通過防火墻、上網(wǎng)行為管理、終端安全檢測系統(tǒng)等安全設(shè)備發(fā)起封堵、病毒查殺、異常提醒等聯(lián)動處置行為。

2.3 實踐應(yīng)用

實際應(yīng)用中，以終端安全管理為例，當(dāng)發(fā)現(xiàn)終端“已失陷”或者“高?！睍r，可以開展聯(lián)動防火墻對其進(jìn)行斷網(wǎng)封堵、通過上網(wǎng)行為管理平臺提醒其殺毒、通過終端安全檢測系統(tǒng)對其進(jìn)行病毒查殺等舉措;而當(dāng)終端為“中危”或“低?！睍r，則只需要向終端用戶發(fā)送殺毒提醒即可。風(fēng)險終端處理實例如圖3所示。

2.4 意義分析

態(tài)勢感知的應(yīng)用，幫助建立了有效的信息安全監(jiān)測預(yù)警機(jī)制，其意義如下：

（1）有助于了解安全現(xiàn)狀

解決了“安全不安全、哪里不安全、怎樣不安全（危害）”一片茫然的窘境，全局可視化后，攻擊趨勢、有效攻擊、業(yè)務(wù)資產(chǎn)脆弱性等一目了然，有助于看清業(yè)務(wù)、看到威脅、看懂風(fēng)險。

（2）變被動為主動

不再是等到造成損害再去處理，而是發(fā)現(xiàn)風(fēng)險隱患及時干預(yù)，將威脅消滅在萌芽狀態(tài)，將攻擊阻斷在邊界入口。主動、及早處置，不僅可以降低信息泄露詐騙、網(wǎng)站被掛反動標(biāo)語等信息安全事件的危害程度，而且可以避免因此帶來的社會不良影響。

（3）緩解工作壓力，提高工作效率

高校IT管理人員往往不充足，一方面信息化建設(shè)部門人員資源緊張，既要服務(wù)和參與學(xué)校所有信息化建設(shè)項目，又要做好日常維護(hù)，工作量大;另一方面，學(xué)校各二級單位的IT運維人員并不專業(yè)。因此，智能化是高校信息安全的首要需求[3]。而態(tài)勢感知平臺恰好可以滿足智能化的需求，節(jié)約人力。

3結(jié)束語

當(dāng)前階段，態(tài)勢感知技術(shù)正如火如荼地發(fā)展，伴隨著其與信息技術(shù)的高效融合，態(tài)勢感知必將朝著實時、全面、更準(zhǔn)確、更智能的方向發(fā)展，為信息安全決策提供強(qiáng)有力的支撐。

參考文獻(xiàn)：

[1] 國家市場監(jiān)督管理總局，國家標(biāo)準(zhǔn)化管理委員會.信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求：GB/T 22239-2019[S].北京：中國標(biāo)準(zhǔn)出版社，2019.

[2] 王棟，王嬋，顏佳.一體化信息安全監(jiān)測預(yù)警和調(diào)度指揮平臺架構(gòu)研究[J].電力信息與通信技術(shù)，2014，12（11）：115-120.

[3] 黃志宏，梁卓明.高校信息安全漏洞和威脅管理的研究與實踐[J].重慶理工大學(xué)學(xué)報（自然科學(xué)），2019，33（2）：117-124.

[4] 王聰，薛靜，王革明.智慧治理高校信息安全的多重線性規(guī)劃策略[J].現(xiàn)代教育技術(shù)，2019，29（6）：19-25.

[5] 劉思博，劉鵬.態(tài)勢感知在電子政務(wù)信息安全中的應(yīng)用[J].信息安全研究，2020，6（6）：530-536.

【通聯(lián)編輯：代影】