王文泉

摘要：随着信息化建设的推进，如何做好信息安全工作是值得研究的课题。监测预警是信息安全工作中重要一环，该研究基于态势感知，构建信息安全监测预警机制，在实际应用中，发现其能够有效促进信息安全整体防护工作的推进。

关键词：态势感知;监测预警;信息安全

中图分类号：TP393.08        文献标识码：A

文章编号：1009-3044（2020）31-0076-02

Abstract： With the advancement of information construction， how to do a good job in information security is worth studying. Monitoring and warning is an important part of information security work. Based on situation awareness， this study constructs an information security monitoring and warning mechanism. In practical application， it is found that the mechanism can promote the protection of information security.

Key words： situation awareness; monitoring and warning; information security

1引言

OpenSSL“心脏滴血”漏洞、“徐玉玉”电信诈骗案、“WannaCry”勒索病毒……信息安全事件频频浮现，安全态势越来越严峻。与此同时，信息安全重要性逐渐凸显。习近平指出“网络安全和信息化是一体之两翼、驱动之双轮”;2017年6月1日起正式实施的《网络安全法》，从法律层面标明了“国家信息安全观”;“GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求”“等保2.0”新标准于2019年12月1日起正式实施。

信息安全涉及技术、管理、人员等方方面面。无论以何种模式，从何种角度来看，监测预警都是信息安全防护工作中重要组成部分。等级保护安全框架明确提出设立“安全监测”“通报预警”“态势感知”举措[1];信息安全保障模型PPDR（Policy-Protection-Detection-Response，策略-保护-检测-响应）强调安全检测、漏洞监测的重要性，以保障系统动态安全。由此可见，构建监测预警机制是信息安全防护中不可或缺的环节。

要监测，要预警，就要建立“态势感知”。态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

2监测预警机制实现及其应用

2.1 需求分析

信息安全监测预警机制的建设应坚持“主动、全面、协同、闭环”的原则[2]，从技术和管理等维度确立监测预警机制应满足功能需求如图1所示。

2.2 机制实现

以深圳信息职业技术学院为例，结合实际网络拓扑，构建信息安全监测预警机制如图2所示。

来源&提取环节：态势感知的输入流量来自两方面，流量监测探针和安全设备。在互联网出口区和DMZ区域分别部署一台探针，以获取服务器、互联网、终端三者之间各个方向的流量。此外，抓取出口防火墙、DMZ防火墙、虚拟化防火墙、上网行为管理、终端安全检测系统等安全设备的流量，这样全网流量均纳入“感知”范围。

检测&分析环节：此环节主要是采用大数据、机器学习、检测算法等进行行为分析、关联分析，以发现各种攻击威胁与异常，特别是针对性攻击。

交付&可视环节：此环节对威胁的影响范围、攻击路径、目的、手段进行快速研判后，建立全局可视化，将整体安全态势、业务风险、外部攻击、横向威胁、异常画像、失陷举证等内容呈现出来，提供预警。

处置&响应环节：决策环节，针对发现的攻击、威胁，进行联动处置。对于确定存在安全隐患的资产，可以通过防火墙、上网行为管理、终端安全检测系统等安全设备发起封堵、病毒查杀、异常提醒等联动处置行为。

2.3 实践应用

实际应用中，以终端安全管理为例，当发现终端“已失陷”或者“高危”时，可以开展联动防火墙对其进行断网封堵、通过上网行为管理平台提醒其杀毒、通过终端安全检测系统对其进行病毒查杀等举措;而当终端为“中危”或“低危”时，则只需要向终端用户发送杀毒提醒即可。风险终端处理实例如图3所示。

2.4 意义分析

态势感知的应用，帮助建立了有效的信息安全监测预警机制，其意义如下：

（1）有助于了解安全现状

解决了“安全不安全、哪里不安全、怎样不安全（危害）”一片茫然的窘境，全局可视化后，攻击趋势、有效攻击、业务资产脆弱性等一目了然，有助于看清业务、看到威胁、看懂风险。

（2）变被动为主动

不再是等到造成损害再去处理，而是发现风险隐患及时干预，将威胁消灭在萌芽状态，将攻击阻断在边界入口。主动、及早处置，不仅可以降低信息泄露诈骗、网站被挂反动标语等信息安全事件的危害程度，而且可以避免因此带来的社会不良影响。

（3）缓解工作压力，提高工作效率

高校IT管理人员往往不充足，一方面信息化建设部门人员资源紧张，既要服务和参与学校所有信息化建设项目，又要做好日常维护，工作量大;另一方面，学校各二级单位的IT运维人员并不专业。因此，智能化是高校信息安全的首要需求[3]。而态势感知平台恰好可以满足智能化的需求，节约人力。

3结束语

当前阶段，态势感知技术正如火如荼地发展，伴随着其与信息技术的高效融合，态势感知必将朝着实时、全面、更准确、更智能的方向发展，为信息安全决策提供强有力的支撑。

参考文献：

[1] 国家市场监督管理总局，国家标准化管理委员会.信息安全技术 网络安全等级保护基本要求：GB/T 22239-2019[S].北京：中國标准出版社，2019.

[2] 王栋，王婵，颜佳.一体化信息安全监测预警和调度指挥平台架构研究[J].电力信息与通信技术，2014，12（11）：115-120.

[3] 黄志宏，梁卓明.高校信息安全漏洞和威胁管理的研究与实践[J].重庆理工大学学报（自然科学），2019，33（2）：117-124.

[4] 王聪，薛静，王革明.智慧治理高校信息安全的多重线性规划策略[J].现代教育技术，2019，29（6）：19-25.

[5] 刘思博，刘鹏.态势感知在电子政务信息安全中的应用[J].信息安全研究，2020，6（6）：530-536.

【通联编辑：代影】