面向大型企業(yè)信息安全建設(shè)的虛擬化威脅感知技術(shù)

徐影，吳釗，李祉岐

（1.北京聯(lián)合大學(xué)，北京 100101；2.國網(wǎng)信息通信產(chǎn)業(yè)集團有限公司，北京 102200；3.北京國電通網(wǎng)絡(luò)技術(shù)有限公司，北京 100070）

面向大型企業(yè)信息安全建設(shè)的虛擬化威脅感知技術(shù)

徐影1，吳釗2，李祉岐3

（1.北京聯(lián)合大學(xué)，北京 100101；2.國網(wǎng)信息通信產(chǎn)業(yè)集團有限公司，北京 102200；3.北京國電通網(wǎng)絡(luò)技術(shù)有限公司，北京 100070）

面對信息化建設(shè)進程的快速推進，如何有效實現(xiàn)風(fēng)險防控，建立先進實用、安全可靠的信息安全保障體系，是大型企業(yè)都要面臨的嚴峻考驗。分析了大型企業(yè)在信息化建設(shè)中面臨的各種安全風(fēng)險和信息安全防護工作的主要特性，提出了具有實踐意義的信息安全防護體系建設(shè)思路。分析了大型企業(yè)信息安全建設(shè)虛擬化環(huán)境面臨的威脅，設(shè)計出一種虛擬化安全威脅感知系統(tǒng)，該系統(tǒng)由威脅情報平臺、本地檢測系統(tǒng)和數(shù)據(jù)分析平臺組成。

信息安全；安全風(fēng)險；安全防護；威脅感知

1 引言

網(wǎng)絡(luò)與信息安全風(fēng)險隨著信息化建設(shè)的加速推進和發(fā)展而增高，企業(yè)必須高度重視網(wǎng)絡(luò)與信息安全體系的建設(shè)。習(xí)近平總書記于2016年4月19日在網(wǎng)絡(luò)安全和信息化工作座談會[1]上明確指出：網(wǎng)絡(luò)安全和信息化是相輔相成的，安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。大型企業(yè)作為國家經(jīng)濟的主體，信息安全工作十分重要且繁雜，既要考慮信息安全對企業(yè)管理、運營以及社會、經(jīng)濟效應(yīng)的影響，又要考慮企業(yè)肩負的法律與社會責(zé)任乃至國家安全責(zé)任。隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動應(yīng)用（簡稱“云大物移”）等新技術(shù)的迅猛發(fā)展，新技術(shù)的快速應(yīng)用與落后的企業(yè)傳統(tǒng)信息安全管理之間的矛盾日益凸顯。大型企業(yè)如何建立有效的信息安全保障體系、形成基于自身特點的防護策略、有效提升信息安全防護與管理水平、加強網(wǎng)絡(luò)安全防御和威懾能力，是當(dāng)前大型企業(yè)信息安全工作面臨的首要任務(wù)。

2 大型企業(yè)信息安全建設(shè)現(xiàn)狀

在國家“積極防御、綜合防范”的信息安全戰(zhàn)略引領(lǐng)下，企業(yè)對信息安全給予高度重視，已將信息安全建設(shè)視為企業(yè)發(fā)展戰(zhàn)略的重要組成部分，正在陸續(xù)加快信息安全自身能力建設(shè)。但總體來看，多數(shù)企業(yè)的信息安全保障體系建設(shè)仍有待完善。大型企業(yè)信息安全建設(shè)宜從以下幾方面入手。

2.1 信息安全威脅源

企業(yè)要從自身的社會和經(jīng)濟價值出發(fā)，全面分析企業(yè)面臨的安全威脅，既要明確威脅源的等級，也要結(jié)合企業(yè)安全責(zé)任來分析威脅。企業(yè)必須全面梳理信息安全需要保護什么、為什么保護和如何保護等關(guān)鍵問題，明確對現(xiàn)實中的安全威脅和未來可能的安全風(fēng)險的預(yù)期。企業(yè)可能的威脅源如圖1所示。

大型企業(yè)擁有大量商業(yè)及企業(yè)機密，容易成為惡意競爭對手和黑客集團的攻擊對象，生產(chǎn)經(jīng)營中的大量有價值的數(shù)據(jù)信息，可能成為不法分子和黑客獲取利益的目標。部分企業(yè)涉及國家科研、國防等重要領(lǐng)域，承擔(dān)國家重要基礎(chǔ)設(shè)施建設(shè)，擁有重要的國家機密，容易被敵對勢力及政治團體選中作為主要的攻擊對象。敏感信息泄露、重要數(shù)據(jù)被破壞、業(yè)務(wù)系統(tǒng)被非法控制、商業(yè)信譽遭惡意言論攻擊，任意一種情況都將造成重大社會影響，甚至危及國家安全。威脅源分類及其帶來的安全威脅見表1。

圖1 企業(yè)可能的威脅源

表1 威脅源及其安全威脅

2.2 企業(yè)的自身特性

信息安全工作不能是盲目的、通用的建設(shè)工作。信息安全工作首先應(yīng)該從企業(yè)自身特性入手，做好常規(guī)安全措施的同時，深挖企業(yè)安全薄弱點進行加固、加強，有點有面，才能保證信息安全工作的效果。大型企業(yè)與信息安全建設(shè)緊密相關(guān)的特性如下。

（1）資產(chǎn)規(guī)模大、分布廣泛

大到企業(yè)生產(chǎn)經(jīng)營、金融財務(wù)，小到企業(yè)知識產(chǎn)權(quán)、生產(chǎn)工藝、流程配方、方案圖紙、客戶資源及各種數(shù)據(jù)，都是企業(yè)長期積累下來的財富，關(guān)系到企業(yè)的生存與發(fā)展，是企業(yè)安全防護的重要保護對象。這些龐大的無形及有形資產(chǎn)廣泛分布于企業(yè)的各個系統(tǒng)中，給信息安全防護帶來更高的要求。

（2）網(wǎng)絡(luò)覆蓋廣、需求復(fù)雜

企業(yè)網(wǎng)絡(luò)和系統(tǒng)結(jié)構(gòu)復(fù)雜、交互需求多樣。很多集團類大型企業(yè)信息網(wǎng)絡(luò)由總公司、本地下屬工廠、子公司獨立建成局域網(wǎng)，并形成各自的應(yīng)用系統(tǒng)，總公司整合分散的局域網(wǎng)構(gòu)成總公司級局域網(wǎng)，并形成總公司級的應(yīng)用系統(tǒng)，如ERP（enterprise resource planning，企業(yè)資源計劃）系統(tǒng)和OA（office automation，辦公自動化）系統(tǒng)，再發(fā)展到利用專線將跨省市的外地子公司及下屬工廠的局域網(wǎng)相連，形成了復(fù)雜的網(wǎng)絡(luò)環(huán)境及系統(tǒng)結(jié)構(gòu)。有些大型企業(yè)各地內(nèi)部相關(guān)系統(tǒng)與其他單位系統(tǒng)有相互訪問的需求，部分大型企業(yè)既承擔(dān)著民用設(shè)施的建設(shè)，又涉及軍工設(shè)備的制造，這些特點都是企業(yè)信息安全應(yīng)重點關(guān)注的問題，也給信息安全工作提出了不同的防護需求。

（3）安全管理難、風(fēng)險較高

大型企業(yè)人員眾多、信息安全管理工作涉及面廣、管理工作相對繁雜。安全培訓(xùn)工作的全面開展、員工安全防護意識培養(yǎng)、辦公系統(tǒng)與生產(chǎn)系統(tǒng)安全的區(qū)分管理、應(yīng)用系統(tǒng)安全的統(tǒng)一建設(shè)、安全機制建設(shè)漏洞與安全保障措施執(zhí)行力度檢查，都是企業(yè)信息安全工作的重要部分，如果有一個環(huán)節(jié)被不法集團利用，就容易形成“木桶效應(yīng)”，會給原有嚴密規(guī)劃的縱深安全防御體系造成漏洞。

2.3 信息化安全的建設(shè)過程

企業(yè)的信息安全工作應(yīng)該融入自身信息化建設(shè)過程中。IT技術(shù)產(chǎn)品的應(yīng)用不僅要符合企業(yè)架構(gòu)與流程的變化，也要充分考慮信息安全的問題，加大信息化建設(shè)中“人”的安全意識、IT技術(shù)產(chǎn)品的安全性[2]，在信息化建設(shè)規(guī)劃的同時，開展信息安全防護研究和配套安全設(shè)施的建設(shè)。信息系統(tǒng)與設(shè)備的安全風(fēng)險如圖2所示。

圖2 信息系統(tǒng)與設(shè)備的安全風(fēng)險

目前多數(shù)大型企業(yè)在業(yè)務(wù)系統(tǒng)和辦公終端的管理建設(shè)中，并未建立全面統(tǒng)一的漏洞狀況監(jiān)控系統(tǒng)，也未建立終端補丁統(tǒng)一管理、補丁統(tǒng)一分發(fā)的安全控制系統(tǒng)，使得系統(tǒng)及終端在補丁及時更新、漏洞全面修復(fù)等方面不具備條件，企業(yè)內(nèi)部信息安全由于漏洞修復(fù)不及時、不全面而陷于大量的威脅之中。

3 企業(yè)虛擬化環(huán)境威脅梳理

3.1 傳統(tǒng)防護手段面臨失效

高級持續(xù)性威脅 （APT）是一種可以繞過各種傳統(tǒng)安全檢測防護措施，通過精心偽裝、定點攻擊、長期潛伏、持續(xù)滲透[3]等方式，伺機竊取網(wǎng)絡(luò)信息系統(tǒng)核心資料和各類情報的攻擊方式。事實證明，傳統(tǒng)安全設(shè)備已經(jīng)無法抵御復(fù)雜、隱蔽的APT攻擊。

幾乎所有被曝光的APT攻擊都是以入侵者的全面成功而結(jié)束，在這些已公開的APT攻擊中，傳統(tǒng)安全設(shè)備的防御體系均被輕易繞過而失去防御能力。在某些APT攻擊的案例（如震網(wǎng)攻擊、夜龍攻擊）中，傳統(tǒng)安全防御設(shè)備甚至在長達數(shù)年的持續(xù)攻擊中毫無察覺，傳統(tǒng)安全設(shè)備無法抵御網(wǎng)絡(luò)攻擊的核武器——APT。

傳統(tǒng)安全防御體系的框架一般包括：接入控制、安全隔離、邊界檢測/防御、終端防御、網(wǎng)絡(luò)審計、訪問控制等，所涉及的安全產(chǎn)品包括：防火墻、IDS/IPS、殺毒軟件、桌面管理軟件、網(wǎng)絡(luò)審計、雙因素認證token等。

從傳統(tǒng)安全防御體系的設(shè)備和產(chǎn)品可以看出，這些產(chǎn)品遍布網(wǎng)絡(luò)2～7層，其中，與APT攻擊相關(guān)的7層設(shè)備主要是IDS、IPS、審計，而負責(zé)7層檢測的IDS、IPS采用經(jīng)典的CIDF檢測模型，該模型最核心的思想就是依靠攻擊特征庫的模式匹配完成對攻擊行為的檢測。反觀APT攻擊，其采用的攻擊手法和技術(shù)都是未知漏洞（0day）、未知惡意代碼等未知行為，在這種情況下，依靠已知特征、已知行為模式進行檢測的IDS、IPS在無法預(yù)知攻擊特征、攻擊行為模式的情況下，理論上就已無法檢測APT攻擊。

這些由黑色產(chǎn)業(yè)鏈或國家驅(qū)動的APT攻擊通常都具備強大的攻擊手段和技術(shù)，且手法多樣，在一次攻擊過程中經(jīng)常采用多種手段和技術(shù)，包括社會工程學(xué)攻擊、0day漏洞利用、免殺木馬、定制化工具、逃逸技術(shù)等，尋找內(nèi)部安全薄弱環(huán)節(jié)，所以可以屢屢得手，很難被發(fā)現(xiàn)。

（2）攻擊隱蔽性強

在大部分APT攻擊中，攻擊者針對不同的攻擊目標會采用不同的策略，并在攻擊前有針對性地進行信息收集，準備特定的攻擊工具，攻擊發(fā)起的整個過程時間可長可短，少則數(shù)小時，多則潛伏數(shù)月、數(shù)年，由于這些攻擊均會使用高級免殺技術(shù)以逃避傳統(tǒng)安全設(shè)備的特征檢測，因此隱蔽性極強。

（3）攻擊目標明確

APT攻擊往往具有明確的攻擊目的，如竊取有價值的數(shù)據(jù)、破壞重要系統(tǒng)等，由于傳統(tǒng)防護手段很難對此類攻擊有防護效果，一旦受到攻擊，其對企業(yè)和單位所造成的危害也是直接而巨大的。

在安全形勢極不樂觀的環(huán)境下，如何擺脫傳統(tǒng)思路，尋求精確的APT攻擊檢測方法是亟待解決的問題。

3.2 免殺木馬無法檢測

木馬（trojan），也稱木馬病毒，是通過特定的程序（木馬程序）來控制另一臺計算機的軟件。木馬通常有兩個可執(zhí)行程序：控制端和被控制端。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身進行偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。在APT攻擊中，通常使用“免殺木馬”，這類木馬會利用加冷門殼、加花指令、改程序入口點、修改內(nèi)存特征碼等免殺技巧來避免自身被殺毒軟件查殺。

起升機構(gòu)變頻調(diào)速啟動加速過程如圖1所示，從低頻啟動，其電壓和頻率按既定的壓頻比遞增。變頻調(diào)速電動機啟動形式雖是直接啟動，卻不在額定工頻啟動，是在確保一定的啟動轉(zhuǎn)矩和盡量小的啟動電流時分頻段啟動到額定工頻。

3.3 大量內(nèi)網(wǎng)數(shù)據(jù)無法有效利用

APT攻擊通常都會在內(nèi)網(wǎng)的各個角落留下蛛絲馬跡，真相往往隱藏在網(wǎng)絡(luò)的流量中。傳統(tǒng)的安全事件分析思路是遍歷各個安全設(shè)備的告警日志，嘗試找出其中的關(guān)聯(lián)關(guān)系。但根據(jù)上文的分析，由于APT攻擊的隱蔽性和特殊性，傳統(tǒng)安全設(shè)備通常都無法對APT攻擊的各個階段進行有效的檢測，也就無法產(chǎn)生相應(yīng)的告警，安全人員花費大量精力進行告警日志分析往往都是徒勞無功。如果采用全流量采集的思路，一方面是存儲不方便，每天產(chǎn)生的全流量數(shù)據(jù)會占用過多的存儲空間，組織通常沒有足夠的資源來支撐長時間的存儲；另一方面是全流量數(shù)據(jù)包含了結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)，涵蓋了視頻、圖片、文本等多種格式，無法直接進行格式化檢索，安全人員也就無法從海量的數(shù)據(jù)中找到有價值的信息。

因此，如何以恰當(dāng)?shù)姆绞介L時間保存對安全分析有價值的流量數(shù)據(jù)，是檢測、回溯APT攻擊必須解決的問題。

4 企業(yè)信息安全建設(shè)思路

大型企業(yè)的信息安全建設(shè)，首先應(yīng)明確安全需求，制定企業(yè)總體安全防護策略。在總體策略的指導(dǎo)下，開展針對企業(yè)自身特性的安全防護體系建設(shè)，規(guī)劃和設(shè)計總體防護結(jié)構(gòu)，形成信息安全防護技術(shù)典型設(shè)計。在堅持和落實企業(yè)防護策略的基礎(chǔ)上，逐步標準化技術(shù)要求、細化技術(shù)措施，最終形成人員、管理、技術(shù)的有效措施。大型企業(yè)安全工作建設(shè)思路如圖3所示。

圖3 大型企業(yè)安全工作建設(shè)思路

4.1 制定與落實企業(yè)總體防護策略

企業(yè)要深入分析梳理各級工作內(nèi)容、明確方針策略和防護原則、構(gòu)建安全防護總體策略。通過安全管理、人員組織、工作機制、標準規(guī)范、技術(shù)措施、運行管控等手段規(guī)范指導(dǎo)企業(yè)的信息安全建設(shè)工作，確保信息安全策略的一致性，在具體方案中堅持策略。公司各級單位要根據(jù)總體防護策略并結(jié)合自身實際，在遵循主體內(nèi)容不變的基礎(chǔ)上開展信息安全防護工作。

企業(yè)的防護策略要有穩(wěn)定性和前瞻性，要結(jié)合技術(shù)和業(yè)務(wù)發(fā)展趨勢，一方面需針對“云大物移”等新技術(shù)的引入，從宏觀上對技術(shù)應(yīng)用帶來的風(fēng)險進行綜合考慮，對在建項目在規(guī)劃階段就展開安全防護研究和運行管控；另一方面不斷提升自身認知，保障企業(yè)的安全方針和策略要在一段時期內(nèi)持續(xù)有效，形成規(guī)劃總體防護策略的演進線路，以適應(yīng)或引領(lǐng)企業(yè)信息安全的發(fā)展潮流。

4.2 規(guī)劃與設(shè)計總體防護結(jié)構(gòu)

企業(yè)要明確內(nèi)部各級單位各類場景的防護需求、規(guī)劃和設(shè)計總體防護結(jié)構(gòu)。總體防護結(jié)構(gòu)要遵循國家有關(guān)信息安全法規(guī)、標準和行業(yè)監(jiān)管要求[4]，堅持“規(guī)劃定級、標準設(shè)計、全面建設(shè)、有效防護”的工作原則，有效銜接自身安全防護體系和國家防護體系，形成企業(yè)內(nèi)部、外部有效協(xié)同和整體聯(lián)動機制。

企業(yè)總體防護結(jié)構(gòu)要充分結(jié)合自身特點展開設(shè)計，要實現(xiàn)管理技術(shù)與技術(shù)體系的融合，有效支撐業(yè)務(wù)安全發(fā)展。企業(yè)在總體防護結(jié)構(gòu)的框架下，繼承和鞏固已有的成果，逐步細化完善各級保護標準，開展新技術(shù)、新制度的創(chuàng)新應(yīng)用。

4.3 構(gòu)建全生命周期的管理機制

在健全信息安全規(guī)章制度、加強安全管理體系、安全技術(shù)體系、安全運維體系的基礎(chǔ)上，企業(yè)應(yīng)構(gòu)建全生命周期的管理機制。規(guī)范風(fēng)險控制方法和工作流程，強化信息安全風(fēng)險識別、風(fēng)險評估、措施制定、過程控制和應(yīng)急處置等工作，從信息化管理機制、規(guī)章制度、標準規(guī)范、設(shè)備設(shè)施、軟件質(zhì)量、人員管理等多方面出發(fā)，將信息安全貫穿信息系統(tǒng)規(guī)劃、設(shè)計、研發(fā)、建設(shè)、施工、運維到銷毀等生命周期的全過程和信息化全部領(lǐng)域，形成有效的企業(yè)信息安全體系，融入信息化管理各項工作中。全生命周期管理機制的構(gòu)建見表2。

同時，企業(yè)應(yīng)健全和完善信息化考核評價管理體系，建立信息化建設(shè)與運行過程情況的有效描述模型，幫助企業(yè)識別相關(guān)技術(shù)與管理的不足，逐步改善信息化過程，達到持續(xù)改進的目標。

4.4 提高信息安全動員和協(xié)調(diào)能力

在信息安全技術(shù)威脅復(fù)雜多變的新形勢下，企業(yè)需提高信息安全協(xié)調(diào)動員能力，確保發(fā)生重大安全事件的追查處理能力。從企業(yè)組織機構(gòu)設(shè)置、人員隊伍建設(shè)和管理機制方面進行建設(shè)提升，提高企業(yè)的信息安全動員能力，形成分工明確、專業(yè)處置、快速響應(yīng)的信息安全管控隊伍；建設(shè)網(wǎng)絡(luò)安全事件應(yīng)急處置工作機制，做到積極預(yù)防、及時發(fā)現(xiàn)、快速響應(yīng)、確保恢復(fù)。

企業(yè)需提高各個業(yè)務(wù)部門的安全協(xié)作意識，確保防護策略能夠有效貫徹和落實到各個業(yè)務(wù)部門，確保系統(tǒng)建設(shè)從規(guī)劃設(shè)計、上線運行到下線報廢的各個環(huán)節(jié)都在安全部門的有效監(jiān)管下進行，安全部門在防護方案、安全測評、安全運行和應(yīng)急響應(yīng)等各個方面提供支撐服務(wù)，以形成高效的安全管控機制。

表2 全生命周期管理機制的構(gòu)建

5 虛擬化安全威脅感知系統(tǒng)架構(gòu)設(shè)計

5.1 虛擬化安全威脅感知系統(tǒng)的組成

（1）威脅情報平臺

為保障虛擬化網(wǎng)絡(luò)的安全，避免重要機密和信息被竊，需要建立基于大數(shù)據(jù)分析的威脅情報平臺?；诖髷?shù)據(jù)分析的威脅情報[5]平臺，可通過對互聯(lián)網(wǎng)上的海量數(shù)據(jù)進行深度挖掘，從而有效發(fā)現(xiàn)APT攻擊，生成威脅情報。

（2）本地檢測平臺

傳統(tǒng)防病毒網(wǎng)關(guān)和殺毒軟件對于免殺木馬的查殺無能為力，為有效檢測網(wǎng)內(nèi)的免殺木馬，應(yīng)該建立本地檢測平臺。

本地檢測平臺可對APT攻擊的核心環(huán)節(jié)——惡意代碼植入進行檢測，與傳統(tǒng)的基于惡意代碼特征匹配的檢測方法不同，基于多引擎沙箱的本地檢測平臺采用的多引擎沙箱方法可以對未知的惡意代碼進行有效檢測，可以避免因為無法提前獲得未知惡意代碼特征而漏檢的問題，在無需提前預(yù)知惡意代碼樣本的情況下，仍然可以對惡意代碼樣本進行有效的檢測，因為免殺木馬是APT攻擊的核心步驟，因此對未知惡意代碼樣本的有效檢測，可以有效解決APT攻擊過程中的檢測問題。

（3）數(shù)據(jù)分析平臺

為有效發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部的安全問題，必然需要對網(wǎng)絡(luò)內(nèi)部的流量信息和終端的日志信息進行抓取，這必然帶來如何在海量數(shù)據(jù)中快速搜索有用信息的問題。為了解決這個問題，應(yīng)該建立基于搜索技術(shù)的數(shù)據(jù)分析平臺。基于搜索技術(shù)的數(shù)據(jù)分析平臺可對本地抓取的海量數(shù)據(jù)進行快速檢索從而進行高效分析，對內(nèi)網(wǎng)的攻擊行為進行歷史回溯。

5.2 本地信息處理

本地信息采集是通過虛擬化安全威脅感知系統(tǒng)傳感器[6]（采集設(shè)備）對網(wǎng)絡(luò)流量進行解碼，還原出真實流量提取網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的頭部信息，甚至是重要負載信息，這些信息將通過加密通道傳送到分析平臺進行統(tǒng)一處理。

分析平臺承擔(dān)對所有數(shù)據(jù)進行存儲、預(yù)處理和檢索的工作。由于傳統(tǒng)關(guān)系型數(shù)據(jù)庫在面對大量數(shù)據(jù)存儲時經(jīng)常出現(xiàn)性能不足的問題導(dǎo)致查詢相關(guān)數(shù)據(jù)緩慢，因此分析平臺底層的數(shù)據(jù)檢索模塊需要采用分布式計算和搜索引擎技術(shù)對所有數(shù)據(jù)進行處理，通過建立多臺設(shè)備的集群以保證存儲空間和計算能力的供應(yīng)。

5.3 本地沙箱檢測

虛擬化安全威脅感知系統(tǒng)通過檢測器對文件進行高級威脅檢測，威脅器可以接收還原自采集器的大量PE和非PE文件，使用靜態(tài)檢測、動態(tài)檢測等一系列無簽名檢測方式發(fā)現(xiàn)傳統(tǒng)安全設(shè)備無法發(fā)現(xiàn)的高級威脅，并將威脅相關(guān)情況提供給安全管理人員。檢測器上的相關(guān)告警也可發(fā)送至分析平臺，實現(xiàn)告警的統(tǒng)一管理和后續(xù)分析。

5.4 云端威脅情報

5.4.1 大數(shù)據(jù)分析

虛擬化安全威脅感知系統(tǒng)依托IP、DNS、URL、文件黑白名單信譽數(shù)據(jù)庫[7]，對互聯(lián)網(wǎng)上活躍的任何一次攻擊進行記錄。DNS庫、樣本庫以及主防庫需要定期維護更新，因為要發(fā)現(xiàn)未知威脅需要真實網(wǎng)絡(luò)環(huán)境下的大量數(shù)據(jù)支撐。

5.4.2 數(shù)據(jù)處理

通過DNS解析記錄、樣本信息、文件行為日志等內(nèi)容，對全網(wǎng)抓取數(shù)據(jù)、可視化的分析數(shù)據(jù)以及其他多個維度的數(shù)據(jù)進行關(guān)聯(lián)分析和歷史檢索，依賴于虛擬化安全威脅感知系統(tǒng)發(fā)現(xiàn)APT攻擊組織信息，并不斷地跟蹤相關(guān)信息，依賴于海量數(shù)據(jù)對攻擊背景做出準確的判定。

5.4.3 確認未知威脅

所有大數(shù)據(jù)分析出的未知威脅都通過專業(yè)的人員進行人工干預(yù)，做到精細分析，確認攻擊手段、攻擊對象以及攻擊的目的，通過人工智能結(jié)合大數(shù)據(jù)知識以及攻擊者的多個維度特征還原出攻擊者的全貌，包括程序形態(tài)、不同編碼風(fēng)格和不同攻擊原理的同源木馬程序、惡意服務(wù)器（C&C）等，通過全貌特征“跟蹤”攻擊者，持續(xù)地發(fā)現(xiàn)未知威脅，最終確保發(fā)現(xiàn)的未知威脅的準確性。

5.4.4 情報交付

為了將云端的攻擊發(fā)現(xiàn)成果傳遞到管理側(cè)，虛擬化安全威脅感知系統(tǒng)將所有與攻擊相關(guān)的信息（如攻擊團體、惡意域名、受害者IP地址、惡意文件MD5等）進行匯總，按照標準格式封裝成威脅情報，并通過加密通道推送到管理側(cè)的威脅感知系統(tǒng)。作為系統(tǒng)整個方案的核心內(nèi)容，威脅情報承擔(dān)了連接互聯(lián)網(wǎng)信息和本地信息的重要作用，為APT事件在管理側(cè)的最終定位提供了數(shù)據(jù)線索和定位依據(jù)。

6 某大型企業(yè)的信息安全建設(shè)實踐

某大型企業(yè)在“十一五”期間，遵循國家信息安全戰(zhàn)略，提出了信息安全保障體系的建設(shè)需求，制定了信息安全防護體系總體策略，按照“雙網(wǎng)雙機、分區(qū)分域、等級防護、多層防御”的總體思路，建成了以“三道防線”為基礎(chǔ)的總體布防結(jié)構(gòu)，初步建設(shè)了信息安全等級保護縱深防護體系，如圖4所示。

圖4 某大型企業(yè)的信息安全體系

在“十二五”期間，通過信息安全頂層設(shè)計，確立安全方針和策略，形成多層次、系統(tǒng)性的規(guī)范文件，并在規(guī)范文件的指導(dǎo)下，建立信息安全管理體系、技防體系和技術(shù)體系。

安全管理和各類防護措施進一步細化，持續(xù)完善管理與制度保障體系，建立有效管理機制，推進自主可控安全建設(shè)，開展人才隊伍管理與建設(shè)，從人才技術(shù)水平提升、技術(shù)裝備提升兩方面提升信息安全專業(yè)隊伍水平。

展望“十三五”，該企業(yè)充分考慮新技術(shù)安全需求與挑戰(zhàn)，提出了“可管可控、精準防護、可視可信、智能防護”的安全防護理念，強化了網(wǎng)絡(luò)與信息安全技術(shù)檢查、網(wǎng)絡(luò)與信息安全內(nèi)控、網(wǎng)絡(luò)與信息安全基礎(chǔ)防護和信息安全動員等能力建設(shè)，對信息安全主動防御體系進行優(yōu)化提升，為新技術(shù)應(yīng)用安全防護提供技術(shù)路線，保障信息化戰(zhàn)略的創(chuàng)新演進，為信息安全防護體系創(chuàng)新提供了新動力。

7 結(jié)束語

新型國家信息安全形勢下，針對大型企業(yè)信息化建設(shè)進程中存在的風(fēng)險、特性和實際訴求結(jié)合當(dāng)前虛擬化網(wǎng)絡(luò)環(huán)境設(shè)計出一種基于大數(shù)據(jù)分析的虛擬化安全威脅感知系統(tǒng)。詳細闡述了企業(yè)信息安全工作需要考慮和關(guān)注的問題，提出了大型企業(yè)信息安全建設(shè)的總體思路，并列舉了某大型企業(yè)的信息安全建設(shè)實踐。大型企業(yè)信息安全防護，只有通過持續(xù)不斷地創(chuàng)新建設(shè)，不斷優(yōu)化和完善企業(yè)信息化管理體系，遵守符合各種業(yè)務(wù)發(fā)展需要及國家行業(yè)政策的要求，才能使企業(yè)的信息安全保障能力和風(fēng)險管控能力不斷提升到更高的水平。

[1]習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上的重要講話[EB/OL].（2016-04-26）[2016-08-01].http://news.xinhuanet.com/ newmedia/2016-04/26/c_135312437.htm. President Xi’s important speech at the forum on network security and information technology[EB/OL]. (2016-04-26) [2016-08-01].http://news.xinhuanet.com/newmedia/2016-04/ 26/c_135312437.htm.

[2]互聯(lián)網(wǎng)時代的企業(yè)安全發(fā)展趨勢專題研究報告[EB/OL]. (2013-09-24)[2016-08-01].http://www.newhua.com/2013/0924/ 233390.shtml. Research on the development trend of enterprise security in internet era[EB/OL].(2013-09-24)[2016-08-01]. http://www. newhua.com/2013/0924/233390.shtml.

[3]閆世杰,陳永剛,劉鵬,等.云計算中虛擬機計算環(huán)境安全防護方案[J].通信學(xué)報,2015,11(1):15-36. YAN S J,XU Y G,LIU P,et al.Security protection scheme of computing environment of virtual machine in cloud computing[J]. Journal of Communications,2015,11(1):15-36.

[4]中國電子信息產(chǎn)業(yè)發(fā)展研究院.信息安全產(chǎn)業(yè)發(fā)展白皮書（2015版）[R].[S.l.:s.n.],2015. China Electronic Information Industry Development Research Institute.The white book of the development of information security industry(2015 edition)[R].[S.l.:s.n.],2015.

[5]DENI C.Acronis releases vmProtect 6 data protection for virtual machines[J].ProQuest,2013,11(3):1-23.

[6]TIM G.Start-up offers rootkit protection,partitions virtual machines[J].ProQuest,2013,5(2):24-44.

[7]SHI J,YANG Y,TANG C.Hardware assisted hypervisor introspection[J].Springerplus,2016,5(1):1-23.

徐影（1974-），女，北京聯(lián)合大學(xué)電信實訓(xùn)基地講師，主要研究方向為計算機技術(shù)、信息安全。

吳釗（1972-），男，國網(wǎng)信息通信產(chǎn)業(yè)集團有限公司高級工程師，主要研究方向為信息化規(guī)劃、IT治理、信息安全。

李祉岐（1986-），男，北京國電通網(wǎng)絡(luò)技術(shù)有限公司工程師，主要研究方向為電力云計算系統(tǒng)架構(gòu)、云安全。

Perception technology of virtual threat for large enterprise’s information security construction

XU Ying1,WU Zhao2,LI Zhiqi3
1.Beijing Union University,Beijing 100101,China 2.State Grid Information&Telecommunication Group Co.,Ltd.,Beijing 102200,China 3.Beijing Guodiantong Network Technical Co.,Ltd.,Beijing 100070,China

Facing with the rapid develop ment of the progress of the information construction,how to effectively achieve the risk prevention and control,in order to build the advanced,practical,safe and reliable information security system,is a severe test to every large enterprise.By analyzing the main characteristics of various security risks and the information security protection,which are faced by large enterprises in the information construction, the practical ideas for the construction of information security system was put forward.Furthermore,the threat that faced by the large enterprise’s virtual environment of information security construction was analyzed,a virtual threat perception system was destgned,which consists of threat intelligence platform,the local detection system and data analysis platform.

information security,security risk,security protection,threat perception

TP309

A

10.11959/j.issn.1000-0801.2016310

2016-11-10；

2016-12-08