网络安全态势感知实用研究

1、    网络安全态势感知实用研究    汪秀莉+蒋飘蓬+王蓉+王红丽摘要：随着信息化的发展，网络面临着严峻的安全问题，传统的依靠独立网络安全设备的防护方法已不适用。网络态势感知技术综合通过对多种安全措施进行融合，实现对当前网络状况的评估，以及对未来网络变化趋势的预测，可实现对网络的优化管理以及对网络安全的有效防护。该文针对网络态势感知技术的实用性进行了初步探讨。关键词： 网络安全；态势感知；网络防护： tp393 ：a ：1009-3044（2018）02-0025-02随着信息化的发展，网络的应用触手可及，但这随处可用的网络的安全性却无法得到大众的广泛

2、认可。我们面临着严峻的网络安全问题：网络所承载的应用和重要信息系统底数不清，情况不明，无法清晰准确判断安全态势和风险点；各种安全威胁缺乏有效预警、通报机制、手段、技术；安全事件处置、应急缺乏有效平台和手段，已经发生的安全事件，需要专业化的人员、工具等技术力量进行及时、有效的应急处置，安全事件取证、问题处理等响应手段。如何检测安全网络与应用系统的安全性，提升安全网络系统的安全防御能力，夯实网络信息安全等问题亟需解决。1 传统网络防护的不足传统网络防护体系，也是现在多数局域网采用的网络防护方法大致有三种：一是检测、防护、响应加策略的防护体系；二是采用多台网络安全设备堆砌的线性木桶式防护体系；三是关

3、注操作系统和应用的不同层面安全的防御体系1。在传统网络体系中，网络安全一直是“魔高一丈”的状态，只有在威胁被发觉之后才能获知该信息。而防御方法也主要依靠升级特征库。传统网络防护体系中的各种警告信息不断产生，但是有效信息难以甄别，误报率很高。在这样一种网络环境下， 网络管理人员不能了解当前网络安全的真实状况， 不能针对警告信息采取相应的防护措施， 致使网络管理难度不断提高。传统的网络防护体系中的安全设备各司其职，看似专业，实则孤立，没有有效的协同防御；对于威胁，只有补救，没有预警，只能后知后觉；而且，真有攻击事件发生时回溯分析困难。2 网络态势感知技术网络安全态势感知指的是通过技术措施从时间和空

4、间感知并获取相应元素， 同时研究分析此类元素来了解当前安全状况， 并预测后续发展。网络安全态势感知包括网络安全态势觉察、网络安全态势理解和网络安全态势投射3个层面，是一个完整的认知过程。它不仅仅是将网络中的安全要素进行简单的汇总和叠加，而是根据不同的用户需求，以一系列具有理论支撑的模型为支持，找出这些安全要素之间的内在关系，实时地分析网络的安全状况2。3 网络态势感知实用分析网络态势感知技术的落地需要满足网站安全监测、通报预警管理和等保等方面的相应要求。网站安全监测方面，能针对网站及重要信息系统进行持续、多维度安全监测，可以实时了解到所有web资产面临的风险，实现快速故障定位，当有异常情况或征

5、兆时能够及时提示，并提供专业的修补建议，以便及时采取应对措施。安全通报预警管理方面，需要把监测到的安全事件信息通过安全通报管理技术发布到下级管理员那里进行处理，并通过电子化的工单方式实现安全事件未处理和已处理以及如何处理等行为进行记录和追踪，最终，在此子系统中实现多源、多点事件的关联分析，网络攻击行为分布展示，从收集多源异构数据，到及时发现并判断可疑事件，最终实现安全态势的可视化展现。等保方面，可以利用等保工具检查的结果和安全通报平台实现无缝对接，将安全风险统一由安全通报子系统进行处理，同时将最终检查报告统一汇总进行展示。3.1 主要内容网络安全态势感知体系中的通报预警平台包含通报预警与应用安

6、全监测，以及网络系统安全事件、流量、应用系统和網站安全事件的数量统计和整体分析，形成比较直观的态势预警通报。另外，对于一些重点网站需要结合业内积累的漏洞库进行多方位的威胁监测，以便形成专项通报机制，进行处理；对于突发事件，需要在快速处置模块下进行处理；安全事件要有追踪溯源的功能，通过关联分析，找出安全事件源头，作为处理凭证；同时可进行等保的功能建设，形成统一的监管依据。内容具体分为以下六个部分：3.1.1 安全态势感知安全态势感知系统包括五大感知态势维度，分别为资产态势、攻击态势、威胁态势、事件态势、处置态势，从事前、事中、事后的角度对网站及重要信息系统安全状况进行全面的分析和可视化展示。从数

7、据角度分析信息系统内重要信息系统和重点网站（包括域名、网站标题、网站ip、行政属地、等保情况、联系人等）、网络设备资产情况与指纹信息（操作系统类型、开放端口、开放服务、平台中间件、技术架构等）、网络攻击行为、网络安全事件等方面提供多层面视角范围的安全态势。3.1.2 安全事件的通报预警结合网络安全监测、上级安全事件通告、第三方事件通报平台进行网络安全通报，结合邮件、短信、移动app等多种通报方式，实现监管部门到网站建设单位的信息互通，提供实时告警，提升管理员安全响应速度，可支持管理员处理安全事件响应零延迟。3.1.3 漏洞的定向预警针对如struts 2 远程命令执行、openssl等重大、典

8、型漏洞实现在线检测，并结合最新挖掘的0day与业内披露的漏洞信息，对最新威胁影响进行预判，并第一时间进行定向预警。3.1.4 攻击事件的通知与相关网站的预警当发生对系统网站的网络攻击与篡改攻击等事件，能够进行定向预警，督促各单位进行部署防御。3.1.5 应用安全监测对网站和重要应用系统进行定期监测服务，实现全局网站和应用系统的漏洞监测、网页木马监测、篡改检测、可用性监测与关键词监测，提供详尽的数据与分析报告。3.1.6 等级保护管理按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成信息系统的定级、备案和第三级以上信息系统的测评、整改工作。3.2 使用效果通过网络态势感知体系，可以提升网络管理和网络安全水平，实现以下目标：1） 实现对系统网络安全态势和威胁感知；2） 实现网络威胁和漏洞第一时间预警；3） 实现网络安全事件第一时间通报处置；4） 实现网络安全监管执法工作信息化和数据化；5） 实现以app、短信、等保工具箱等构建网络安全可视化感知、预警、通报、处置工作流闭环。4 结束语在信息技术快速发展的过程中， 网络攻击事件时有发生。网络安全已经成为人们高度重视的问题。现有公司、企业和高校的网络大部分都是由局域网接入互联网，建设结构简单，缺乏严密的安全措施。网络安全态势感知技术是目前能够有效保障网络安