网络安全态势感知在政府部门的应用研究
2017-03-10曹茂虹廖方旭张银环
◆曹茂虹 廖方旭 张银环
(青岛市电子政务和信息资源管理办公室 山东 266071)
网络安全态势感知在政府部门的应用研究
◆曹茂虹 廖方旭 张银环
(青岛市电子政务和信息资源管理办公室 山东 266071)
随着政府部门对网络和信息技术的深度依赖,传统网络安全防护技术已经难以适应新形式下的网络安全威胁。本文着重介绍了网络安全态势感知的关键技术,并对其在政府部门的应用提出了相关建议。
网络安全态势感知;数据挖掘;数据融合;数据可视化
0 引言
随着网络和信息技术的快速发展以及“互联网+政务”的深入推进,政府对信息技术的依赖程度越来越高,面临的网络安全威胁也随之增多。国家互联网应急中心2017年7月的数据显示:境内政府网站被篡改的数量为 114个,环比下降 2.6%;境内政府网站被植入后门的数量为280个,环比增长31.5%;政府网站和金融行业网站依然是不法分子攻击的重点目标。
近年来,政府部门对网络安全越来越重视,投入也越来越大,但是传统完全防护技术的不足也逐渐显现:一是被动式防御,误报率较高。安全防护设备和系统大多基于特征匹配和黑名单机制,事件发生时只对能够识别的攻击进行拦截告警,而且存在误报和重复上报的问题,无法主动进行安全策略的响应,难以适应大数据形式下网络威胁的变化。二是单点式管理,碎片化明显。偏重网站或单位个体的安全防护,不同节点安全设备和系统厂商各异,监控日志碎片化,不能有效地切入用户业务流程,在深度纵向分析攻击源、攻击目标和攻击方法,以及威胁事件的关联性方面效果较差。三是监管手段匮乏,全局掌控性差。在发现安全问题时,主管单位大多通过发函的方式通知相关单位进行整改,效率较低、指导性差。整改效果完全依赖单位自身的重视程度,难以进行有效评估和验证。为了解决上述问题,网络安全态势感知技术受到越来越多的重视。
1 网络安全态势感知技术
1.1 态势感知简介
“态势感知”概念起源于20世纪80年代的美国空军,主要用来分析空战环境信息,快速判断当前及未来形势并做出正确反应。目前已广泛应用于军事、航空、工业生产和安全防控等领域,对辅助决策起到重要作用。习近平总书记在2016年“419网络安全和信息化工作座谈会”上提出“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”态势感知首次被提升到了国家高度,并迅速成为网络安全领域的热点。
网络安全态势感知是在大规模网络中,对能够引起网络安全状态变化的安全要素进行获取、理解以及预测未来的趋势。网络安全态势感知强调整体的状态趋势,是一个宏观的概念,它运用数据融合技术,通过对影响网络安全态势的多种因素进行综合分析,提供全面宏观的网络安全状态映射,从而加强对网络的理解与控制,同时给出网络安全状态的评估及预测结果,为网络安全管理提供及时准确的决策依据。
1.2 态势感知关键技术
(1)数据挖掘技术
数据挖掘技术是指对海量、冗余数据进行分析,发现其内在隐含规律和潜在关联关系,并将其服务于特定应用场合的过程。在入侵检测领域主要有四种分析方法,分别是关联分析、序列模式分析、分类分析和聚类分析。关联分析和序列模式分析主要用于模式发现和特征构造,前者侧重于挖掘数据之间的联系,后者侧重于分析数据间的因果关系。分类分析和聚类分析主要用于最后的检测模型。
(2)数据融合技术
数据融合技术是一种对多源数据进行分析和综合处理,以服务于特定任务决策的技术,常用手段有以下几种:一是特征提取技术,可以提升海量数据高速网络实时检测率;二是事件聚类技术,用来将物理或抽象的数据,按照对象间的相似性进行分组或分类;三是事件关联技术,通过将多个安全事件联系在一起进行综合评判,重建攻击过程并实现对整体网络安全状况的判定。
(3)安全态势评估技术
安全态势评估主要指在态势感知操作期间,将攻击事件作为评估对象并全面分析攻击事件频率和网络威胁程度,最终提升攻击事件的处理效果。常见的有分层感知技术和综合威胁量化技术。前者利用IDS的报警信息和网络性能指标对网络安全进行定量评估;后者建立威胁分级模型,通过计算威胁值来评估不同的危险程度。
(4)安全态势预测技术
安全态势预测技术基于态势分析与评估结果,对网络安全状况进行预测,动态地展示网络安全状态,为管理员更好的呈现安全发展趋势,以便判断未来的网络安全情况,为用户提供安全策略和做出正确的决策。常见的态势预测方法有人工神经网络预测、灰色理论预测、时间序列预测和马尔科夫预测。
(5)数据可视化技术
在态势数据分析过程中,为了突破传统文本形式的局限性,需要将大量抽象复杂的态势数据,转换为图形,且增加图形信息搜索功能,以便于管理人员借助图形信息搜索平台,实时掌握当前态势和未来态势预测信息。方法有很多,按照显示效果可分为动态可视化和静态可视化,按照显示数据纬可分为二维、三纬以及多纬可视化,按照现实数据内容可分为内容可视化、行为可视化和结构可视化。
2 态势感知应用建议
2.1 积极转变思路,建立主动防御的思维
安全的本质是攻防和技术的对抗,随着各类攻击手段的升级,传统的静态防御思想已不能适应外在形势的变化和内在发展的需要,要建立主动防御和对抗的思维,在安全事件发生之前通过一系列的技术手段降低或阻断其风险,从安全的本源考虑问题,在现实对抗环境下,快速的发现攻击,并进行定位和阻击。
2.2 结合内外数据,做好各种设备的协同
建立态势感知系统首先要从单位内部的微观层面获取完整的安全要素数据,其次要结合外部安全大数据的情报,从中观层面来分析数据、发现威胁与异常。此外,为了实现对整个网络安全态势状况的监测,应注重实现多种管理标准的统一性、协同性和联动性,在实际工作中通过不同产品间的协作与信息沟通,掌握整个网络的安全态势。
2.3 注重人的力量,增强网络安全教育
态势感知不光是数据、技术与平台,还要结合人的能力,要融入人的经验和智慧。这其中既包括对日常安全事件处理的运维人员,也包括对数据进行深度分析的研判人员,还包括汇总信息后进行行动安排的决策人员。此外,要大力普及网络安全知识,让维护网络安全成为每一名单位员工的自觉行为,避免堡垒从内部瓦解。
3 结语
我国正在大力推动“互联网+政务”服务,这意味着电子政务系统会面临更大的安全威胁,安全形势非常严峻,尤其是“永恒之蓝”勒索蠕虫事件的爆发再次验证了“世界上没有攻不破的网络,也没有不存在漏洞的系统”。2017年2月上海建成国内首个区域性的网络安全态势感知和应急处置平台,可以给全上海市数百个重要网络节点和信息系统提供保护。相信随着技术的不断成熟,网络安全态势感知会在政府部门得到更加广泛的部署与应用。
[1]龚俭,臧小东,苏琪,胡晓艳,徐杰.网络安全态势感知综述[J].软件学报,2016.
[2]易静.网络安全态势感知及其相关技术[J].网络安全技术与应用,2016.
[3]李奎.网络安全态势感知关键技术研究[J].电脑知识与技术,2016.
[4]管磊,胡光俊,王专.基于大数据的网络安全态势感知技术研究[J].信息网络安全,2016.