宋 欣，刘 娜，苏 叶

近年来，随着云计算、大数据和人工智能等新信息技术的不断发展和广泛应用，图书馆正朝着智慧图书馆的方向发展。智慧图书馆以云计算、移动互联、物联网等技术为依托，能够自动识别和感知用户所需信息，并为其提供方便、快捷、准确的智慧化、个性化信息服务。智慧图书馆云服务基础设施用于支撑各类信息数据的采集、传输、处理、存储等，是智慧图书馆服务应用系统高效运行的基本保障，通常采用云模式的组织架构。云数据中心汇集了大量数据信息和网络设备，导致集中化的海量数据信息在存储和传输过程中面临被破坏的安全风险，一旦云数据中心遭受攻击将造成极大的影响。总之，云计算和虚拟化在给智慧图书馆数据中心带来便利的同时也带来了新的安全风险与挑战。传统的网络安全防护体系已无法满足智慧图书馆网络安全防护需求，需要一种新技术解决传统网络安全防护体系的不足，为智慧图书馆的网络安全防护提供有效支撑，提升智慧图书馆的安全性和可靠性。

态势感知源于战争与对抗行动，主要包括对敌我双方兵力、武器等直接战斗要素定量定性的了解和对作战地理、气候、水文等环境特征的掌握，实现对敌我双方作战目的、战术战法、攻防行动的分析预测，以便做出快速正确的决策，达到知己知彼、百战不殆的目的。20 世纪90 年代末，态势感知被引入信息技术安全领域，并首先用于下一代入侵检测系统的研究［1］，出现了网络安全态势感知的概念。当前国内外在网络安全态势感知理论、技术和方法等方面已有相关研究，但在基于态势感知技术并结合智慧图书馆建设进行网络安全防护体系构建方面鲜有研究。本文在对智慧图书馆网络环境下传统网络安全防护体系存在的不足进行分析的基础上，结合态势感知技术的特点，通过探讨和构建基于态势感知的网络安全防护体系，实现图书馆网络安全管理和运维效率的有效提升，为智慧图书馆网络信息化服务提供安全保障。

1 传统的网络安全防护体系

传统的网络安全防护体系主要通过在数据中心部署防火墙、入侵防御系统、Web 应用防火墙、漏洞扫描系统、安全审计系统等安全设备来了解和分析网络的安全状态，保障整个数据中心的边界安全、运行环境安全、网络通信安全及数据信息安全。

防火墙通过在内外网之间建立一个安全网关，确保内部网络免受外来用户的攻击和入侵，实现内外网或不同信任网络区域之间的隔离，从而起到对网络访问进行有效控制的作用。入侵防御系统通过监控网络和网络设备及网络数据传输行为，对一些异常或具有伤害性的网络数据传输行为进行阻断或隔离。Web 应用防火墙针对Web 页面进行应用扫描、木马检测、安全防护和访问控制等，能够有效地防护网页网站的安全。漏洞扫描系统主要对系统、网站、端口、应用软件、数据库等一些网络应用进行扫描检测，并对其检测出的漏洞进行报警，提示对漏洞进行修复。安全审计系统主要针对数据中心内部的各种安全隐患和业务风险，根据既定的规则跟踪记录数据中心系统运行生成的各种操作日志和数据，审计和检测数据中心存在的安全漏洞及安全漏洞被利用的方式。

随着智慧图书馆的建设发展及其业务应用的快速增长，图书馆的网络规模日益扩大，拓扑结构日益复杂，安全问题也日益突出。而传统的网络安全防护体系基本都采用相对独立的网络安全设备或信息安全防护措施，它们只是从各自的角度发现网络中存在的问题［2］，彼此之间缺乏有效的协作与关联，难以对网络的整体安全状况进行全面准确的展现和统一有效的防护，一旦图书馆网络系统遭受攻击或安全威胁，排查处理比较困难。而态势感知技术可以带动传统的网络安全防护体系的全面升级，应对智慧图书馆网络架构下面临的威胁和挑战。

2 态势感知技术

态势感知是指对一定时间和空间范围内环境要素的提取、理解和对未来状态的预测。通过态势要素提取，获得必要的数据，然后通过数据分析进行态势理解，进而实现对未来的态势预测。

网络安全态势感知以安全大数据为基础，在大规模网络环境中，通过数据采集、挖掘和智能推演等方式，对能够引起网络态势发生变化的安全要素进行获取、理解、显示［3］，结合大数据平台进行智能化关联分析，判断当前网络整体安全状况，预测未来网络安全态势的发展趋势，以实现对安全威胁的全面感知、主动防护、风险预测和联动响应。网络安全态势感知的过程主要分为感知、理解和预测3 个阶段。

感知：通过检测工具对影响网络安全的各种要素进行检测，采集防火墙、入侵防御系统等网络安全设备的日志、告警等信息，并确保所获取数据的准确性，以保证后续所做的决策基于事实。

理解：在获取大量网络安全数据的基础上，通过解析信息之间的关联性，对其进行融合和分析，了解网络攻击造成的影响、判断攻击者的行为意图及当前态势发生的原因和方式，得出网络的整体安全状况。

预测：基于对网络环境信息的感知和理解，获取、处理及分析历史和当前的态势数据，采用定量、定性预测方式探寻态势数据之间的变化规律，预测未来网络安全状况的发展趋势，并给出相应的应对措施。

3 基于态势感知的网络安全防护体系构建

随着智能技术在图书馆建设中的应用，图书馆的智慧化程度越来越高，智慧图书馆网络空间涵盖了图书馆的基础信息网络、重要信息系统、数据库系统、硬件设备等［4］，网络安全在智慧图书馆建设与服务中具有重要作用。因此，需要构建牢固可靠的网络安全防护体系，有效提高图书馆的安全水平，保障智慧图书馆稳定运行，为用户提供安全可靠的智慧服务。

基于态势感知的网络安全防护体系通过在网络关键节点部署探针和数据收集程序来监听、检测网络中的数据流及各种网络行为，对网络中的安全要素进行扫描、采集、核查后将获取到的信息传输和存储到安全感知平台。安全感知平台对收集到的各网络节点的数据进行分析，将分析结果以图形化的方式直观展现，并利用机器学习进行风险建模，检测异常行为，安全人员基于威胁情报采用管理分析技术确定已发生或潜在的安全威胁，从而实现安全态势可感知、安全威胁可预警、异常行为可追溯的目的。

3.1 体系架构

基于态势感知的网络安全防护体系是利用用户行为关联分析技术对网络流量进行安全检测和预警，形成持续检测、快速响应的技术架构。通过部署潜伏威胁探针和安全感知平台，对能够引起网络态势发生变化的安全要素进行获取、理解和显示，预测近期的发展趋势和未来的安全状态。基于态势感知的网络安全防护体系架构见图1。

图1 基于态势感知的网络安全防护体系架构

如图1 所示，在核心交换层与内部网络区域部署潜伏威胁探针，通过网络流量镜像的方式识别网段内各类业务资产和用户行为，提取网络环境中相关安全对象的状态、属性和动态等信息，对捕捉到的网络信息进行检测，然后将其提交至安全感知平台。安全感知平台对各节点安全检测探针的数据进行收集，对当前网络的信息特征进行关联、组合和分析，从而了解当前网络的总体安全态势，检测和发现安全事件，分析评估网络的脆弱点和被攻击的过程，以可视化的形式进行呈现，并由安全人员基于威胁情报关联进行分析处理，预测网络中的安全事件和网络安全态势在未来一段时间的发展趋势。

3.2 实现方式

网络安全态势感知防护体系的实现方式主要包括数据采集、数据处理、态势评估、态势预测等。此外，安全人员和威胁情报也是与网络安全态势感知防护体系密切相关的内容。

3.2.1 数据采集

通过软硬件技术相结合的方式采集网络安全数据，并从这些海量网络数据中抽取影响安全态势的关键信息，为态势理解和预测打下数据基础。数据的采集处理对整个态势的提取、分析和呈现有着重要的影响。数据采集过程中需要对每种数据源进行详细分析，明确采集的位置点，核算其存储空间和保存周期，制订出合理的数据采集计划。根据具体情况和实际应用，针对性地选取容易造成入侵威胁、引起负面影响的位置所产生的数据，通过SNMP、Telnet、SSH 或数据采集工具采集数据。

在采集数据时，应当尽量降低数据冗余，避免采集重复、无用的数据。也就是说，采集点的位置尽可能是单一获得目标数据的位置，而不是随意部署、容易引起重复采集的位置。此外，还应考虑数据采集的覆盖面，在采集数据时通常会优先考虑边界设备，如防火墙等。虽然这些边界设备上产生的数据量相对来说更重要，但内部网络的数据同样有价值。因此，在进行采集点部署时应当兼顾边界和内部网络，尽量覆盖所有数据流发生的地方，这样才不会因遗漏而对后续分析和态势理解造成影响。

3.2.2 数据处理

由于网络安全相关的数据量巨大，采集的数据可能存在数据重复、数据偏差等情况，因此要进行数据清洗，提高数据质量，从而提高分析结果的质量。此外，由于网络环境中的各种设备信息、安全告警信息及网络流量信息等数据的多源异构性，还需要对获取的多源数据进行融合处理，以得到准确的网络安全态势信息。

数据清洗是对不同来源、不同格式的数据进行去重、格式转换等操作，去除无关的数据，并以网络攻击知识库、网络威胁情报库、黑白名单库等为基础，在海量原始数据规整过程中同步进行数据标注，将异常、报警、威胁等关键信息标记出来，形成精准的基础安全数据。数据融合是对清洗后的数据进行多级别、多层次的处理，充分利用其冗余性和互补性，以获得更高精度、概率或置信度的信息，从而为感知过程提供保障，以便更准确地生成网络态势信息。

3.2.3 态势评估

网络安全态势评估是以各类网络安全设备所采集的安全数据和事件为基础，通过提取、过滤和关联分析，并根据当前网络安全评估的需要，选取并借助合适的数学模型进行计算和评价，得到当前网络安全态势的评估结果，分析网络安全状态所处的阶段及遭受攻击后所造成的影响，从而全面掌握网络整体的安全状况。

通过网络安全态势评估对网络系统整体的运行状况、漏洞情况、所遭受安全威胁的影响范围与程度等进行综合评估，全面掌握当前网络安全态势，提前发现网络中存在的安全隐患，以便在网络攻击发生之前对这些威胁采取遏制和阻止措施，使系统免受攻击和破坏，网络安全得到充分保护。网络安全态势评估的重要作用是为安全防护手段的实施提供强有力的支持［5］。通过对网络安全态势进行评估，得出安全事件对网络的影响后，才能对未来的网络安全态势进行预测，从而及时选择安全防护手段。

3.2.4 态势预测

网络安全态势预测为态势感知的最高层级，是指根据网络安全态势的历史信息和当前状态对网络未来一段时间的发展趋势进行预测［6］。网络安全态势预测的内容包括对当前正在发生的网络攻击事件的演化进行预测，对未来可能发生的网络攻击行为进行预测，对网络安全整体态势进行预测等。

网络攻击具有随机性和不确定性，因此网络安全态势变化是一个复杂的非线性过程。态势预测首先获取历史态势数据序列，运用技术方法处理和变换当前态势数据序列，然后通过建立预测模型分析安全态势数据序列之间的关系，得出发展变化规律，提前估计事件将来的变化趋势，获取未来安全状况的可能情形，同时对尚未发生的事件和情况进行预先判断和估计，做出定性或定量的描述，发布预警，为安全人员制定正确的规划、决策提供参考依据。

3.2.5 安全人员

尽管网络安全态势感知有大数据平台加持，以及各类数据处理和安全分析工具辅助，但有时仍需要人工进行一系列的调查取证和安全分析等操作，以准确判断某些网络安全事件的发生和严重程度。因此，在基于态势感知的网络安全防护体系中，专门从事网络安全工作、解决网络安全问题的安全人员是态势感知的决定性因素，是组织进行网络安全防护的关键所在。根据在态势感知中所从事的工作内容和角色岗位的不同，安全人员大致分为首席安全官、安全架构师、安全工程师、安全分析师、数据恢复工程师等。

首席安全官是整个组织机构网络安全的最高负责人，主要负责设计安全框架、选择网络安全防护策略或决定网络安全响应措施，并在其组织机构中推行和落实有关标准和法规。安全架构师主要负责组织内不同安全领域的技术架构和安全系统的设计，并提出合理的网络安全解决方案。安全工程师主要负责分析网络现状，对网络系统进行安全评估和安全加固，在检测发现安全事件或攻击行为时，触发应急响应操作。安全分析师主要负责在出现网络攻击或安全事件时，通过调查取证和安全分析等评估安全事件对网络和业务服务造成的危害，并提出合适的安全解决方案。数据恢复工程师主要负责在系统和数据遭受攻击时，通过采用专业软硬件工具对出现问题的存储介质进行检测处理，恢复上面的有效数据。

3.2.6 威胁情报

威胁情报是指通过各种来源获取环境所面临威胁的相关知识。通过大数据的收集方法获取并形成最全、最新的安全事件数据集，以提高网络安全态势感知工作中对新型和高级危险的察觉能力［7］。在基于态势感知的网络安全防护体系中，安全人员采取一定手段获取威胁情报，对其进行分析并采取相应的保护措施。通过威胁情报可以知晓攻击者的原貌、攻击目标、攻击手段、攻击程度、攻击后果及如何补救。

威胁情报主要来源于网络系统内部和外部两个方面。内部威胁情报可以参考网络安全态势感知的安全数据来源，即网络安全态势感知收集到的被保护网络中的各类安全数据和信息。外部威胁情报来源相对复杂，也更为重要。从第三方来源收集外部威胁数据，并将这些数据与收集来的内部威胁情报数据相关联，最终建立专用完备的情报。无论是从内部采集的信息，还是从外部获取的信息，最后都将被融合起来，由安全人员进行统一分析处理，从而发现攻击者的行为踪迹并帮助安全人员做出更好的决策。

3.3 应用效果

基于态势感知技术构建的智慧图书馆网络安全防护体系能够实现业务资产、业务系统应用及流量的可视化，将网络安全态势，包括攻击、漏洞、失陷主机、安全事件、操作行为等信息，通过可视化的方式统一进行展现［8］。基于态势感知的网络安全防护体系能够对业务资产异常行为、内外攻击行为、违规访问行为进行实时检测与报警，并对整体安全态势进行把握和评价，然后进行有效的安全决策分析。

通过部署安全检测探针，网络系统可主动发现和有效监控网络系统中的所有业务资产，并对已识别的资产进行安全评估。通过访问关系图学习展示网络、用户及业务系统之间的访问关系，实现了对业务系统的应用、流量、会话数等感知态势信息的可视化呈现，提供了易于直观理解和使用态势感知技术的方式。结合全网的资产及访问关系，对业务资产在非正常时间主动发起的请求、业务主动向外发起的非正常请求、越过边界防护或以内部主机为跳板的横向攻击等异常行为和违规访问业务系统的行为进行检测和预警，防止进一步的攻击。基于态势感知的网络安全防护体系以大数据、机器学习、深度分析、可视化为技术基础，将异常流量监测、数据深度挖掘、安全策略解析、威胁情报分析等多种功能进行融合，实现了对网络安全态势的实时感知、攻击行为的准确发现和预测等，提升了网络的安全运行和管理维护效率。

4 结语

随着智慧图书馆建设的广泛开展，图书馆数据中心业务的快速增长，各类业务应用对网络安全的要求也越来越高。基于态势感知的网络安全防护体系能够适配智慧图书馆的网络安全需求，通过对网络设备运行状况、网络行为及用户行为等的变化进行获取、理解、分析、评估，进一步对未来发展趋势进行预判和预警，全方位感知智慧图书馆网络安全态势，有利于形成较强的网络安全防御体系和应急响应工作体系［9］，进而有效提高网络信息的安全性和可靠性，提升网络安全运行和管理维护效率，为智慧图书馆开展各项智慧服务提供安全保障。构建基于态势感知的网络安全防护体系是针对攻击行为的主动防御，现有的很多关键技术难点还需要进一步突破，如如何获取较高层次的网络安全信息数据、准确高效地预测态势发展趋势等。尽管大数据、人工智能和机器学习的出现和快速发展对态势感知获取较高层次信息起到一定的推动作用，但目前网络安全态势感知的自动化程度仍较低，对此类关键技术难点的突破将是实现态势感知和主动防御的重要环节。