數(shù)字博物館建設(shè)中網(wǎng)絡(luò)安全防護(hù)中新問題研究

摘要：現(xiàn)代博物館的主要職能包含了搜集、保存、修護(hù)、研究、展覽、教育、娛樂等，隨著互聯(lián)網(wǎng)迅速發(fā)展，網(wǎng)絡(luò)技術(shù)層出不窮，日新月異，給博物館發(fā)展帶來新的機(jī)遇，使得博物館的很多社會(huì)職能可以更好地發(fā)揮出來，其中知識(shí)傳播教育職能變得越來越重要，拉近了與社會(huì)公眾的公共關(guān)系。與此同時(shí)，互聯(lián)網(wǎng)中各類威脅、陷阱和攻擊也為博物館數(shù)字化建設(shè)帶來了安全隱患，博物館數(shù)字化建設(shè)中的文物數(shù)據(jù)安全、網(wǎng)絡(luò)設(shè)備安全、業(yè)務(wù)應(yīng)用系統(tǒng)安全都受到了前所未有的挑戰(zhàn)。

關(guān)鍵詞：博物館;網(wǎng)絡(luò)安全;數(shù)據(jù)安全;態(tài)勢(shì)感知;安全平臺(tái)

中圖分類號(hào)：TN915 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

隨著博物館數(shù)字化建設(shè)，博物館可以更好地發(fā)揮其社會(huì)服務(wù)職能，但與此同時(shí)，當(dāng)今互聯(lián)網(wǎng)不僅開放多元，而且復(fù)雜多樣，威脅重重，博物館某些敏感信息也遭受著前所未有的網(wǎng)絡(luò)威脅。博物館發(fā)展中要做到用其利而避其害，在博物館的數(shù)字化建設(shè)過程中網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建就變得非常重要[1]。

1 數(shù)字博物館建設(shè)網(wǎng)絡(luò)安全面臨的新問題

1.1 網(wǎng)絡(luò)環(huán)境日新月異、復(fù)雜多變，傳統(tǒng)博物館網(wǎng)絡(luò)安全工作流程經(jīng)常落后于網(wǎng)絡(luò)環(huán)境的變化

博物館的數(shù)字化建設(shè)進(jìn)程中，網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)應(yīng)用信息系統(tǒng)越來越復(fù)雜，博物館網(wǎng)絡(luò)安全管理員有時(shí)又無法保證所有安全工作的有序進(jìn)行，而普通非專業(yè)的用戶不清楚網(wǎng)絡(luò)具體狀況，只要求網(wǎng)絡(luò)快捷、方便，經(jīng)常私自更改網(wǎng)絡(luò)末端環(huán)境，比如私接交換機(jī)或無線路由器導(dǎo)致網(wǎng)絡(luò)發(fā)生局域網(wǎng)故障，嚴(yán)重地導(dǎo)致整個(gè)博物館的網(wǎng)絡(luò)全部癱瘓。

同時(shí)博物館網(wǎng)絡(luò)安全人員所接受網(wǎng)絡(luò)安全相關(guān)專業(yè)培訓(xùn)和進(jìn)修機(jī)會(huì)幾乎為零，有些博物館網(wǎng)絡(luò)安全工作不受重視，網(wǎng)絡(luò)安全管理員由非專業(yè)學(xué)科人員負(fù)責(zé)，這類網(wǎng)絡(luò)安全管理員常常搞不清楚博物館網(wǎng)絡(luò)環(huán)境的具體狀況。很多博物館網(wǎng)絡(luò)安全管理員都無法準(zhǔn)確掌握本單位網(wǎng)絡(luò)環(huán)境的基本情況，根本無法對(duì)內(nèi)部網(wǎng)絡(luò)和設(shè)備的安全風(fēng)險(xiǎn)進(jìn)行掌控。耗費(fèi)大量資金建設(shè)的安全防御體系也成了擺設(shè)。在這種情況下，很多入侵、攻擊行為無法被即時(shí)發(fā)現(xiàn)和制止，博物館很多敏感數(shù)據(jù)資源被人為盜取，有時(shí)會(huì)造成嚴(yán)重?fù)p失[2]。

1.2 博物館傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)對(duì)高級(jí)持續(xù)性威脅應(yīng)對(duì)乏力

目前，大多數(shù)博物館所采用的安全技術(shù)手段相對(duì)傳統(tǒng)，都是通過將入侵攻擊的特征和行為數(shù)據(jù)與病毒庫中已知特征庫進(jìn)行簡單的模式匹配，來實(shí)現(xiàn)對(duì)入侵攻擊的防御，這種模式是被動(dòng)對(duì)單次行為進(jìn)行識(shí)別和判斷，并不會(huì)將這些長期、同類的攻擊行為主動(dòng)記錄統(tǒng)計(jì)并進(jìn)行有效分析。因此，在面對(duì)高級(jí)持續(xù)性威脅時(shí)，博物館網(wǎng)絡(luò)安全在安全威脅方面的檢測(cè)、發(fā)現(xiàn)、響應(yīng)、溯源、處理等方面都存在滯后現(xiàn)象。

1.3 博物館圍墻式安全防御體系不再適應(yīng)當(dāng)前的網(wǎng)絡(luò)環(huán)境

博物館傳統(tǒng)網(wǎng)絡(luò)安全體系建設(shè)是根據(jù)不同應(yīng)用信息系統(tǒng)的安全需求，將網(wǎng)絡(luò)資源分割成不同的區(qū)域各自維護(hù)，安全控制一般部署在邊界處，從而達(dá)到對(duì)入侵攻擊的有效檢測(cè)和主動(dòng)防御。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，進(jìn)入“互聯(lián)網(wǎng)+”時(shí)代，物聯(lián)網(wǎng)技術(shù)、云計(jì)算、移動(dòng)互聯(lián)等新技術(shù)、新產(chǎn)品、新服務(wù)在博物館的應(yīng)用越來越廣泛，原來物理上的邊界概念已經(jīng)變得非常模糊。雖然博物館數(shù)字化建設(shè)中部署了一些安全硬件設(shè)備和軟件系統(tǒng)，但這些硬件設(shè)備和軟件系統(tǒng)基本都是各自獨(dú)立運(yùn)行，沒有形成聯(lián)動(dòng)安全防御機(jī)制，事實(shí)上形成了一個(gè)個(gè)信息安全孤島。對(duì)于一些復(fù)雜、隱蔽的攻擊行為，如果僅依靠某一個(gè)或一類安全設(shè)備，就會(huì)導(dǎo)致大量漏報(bào)或誤報(bào)情況的發(fā)生。因此，博物館網(wǎng)絡(luò)安全管理部門必須將這些信息安全孤島整合起來，建設(shè)博物館全面數(shù)字安全感知體系，可以真正對(duì)入侵攻擊行為進(jìn)行積極防御，及時(shí)有效處理，同時(shí)還可以消除各應(yīng)用系統(tǒng)之間的數(shù)據(jù)流通壁壘，使博物館數(shù)字化建設(shè)中的數(shù)字化成果變?yōu)檎嬲杏玫臄?shù)字資源。

要解決這些新的安全問題，亟須使用新的技術(shù)手段來掌控全局的安全態(tài)勢(shì)，從而優(yōu)化安全運(yùn)營過程，將電子政務(wù)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)控制在合理的區(qū)間內(nèi)。

2 博物館對(duì)態(tài)勢(shì)感知與安全運(yùn)營平臺(tái)的要求

2.1 對(duì)博物館進(jìn)行全方位數(shù)據(jù)采集與分析

為實(shí)現(xiàn)對(duì)博物館安全管理的全面監(jiān)控，在數(shù)據(jù)采集方面，要明確包括所有部門的業(yè)務(wù)范圍，然后進(jìn)行數(shù)據(jù)采集。

對(duì)于傳統(tǒng)事件采集，通過態(tài)勢(shì)感知，全面獲取各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備的系統(tǒng)日志syslog、用戶流flow日志、中間件等其他類型日志。

對(duì)于新事件采集，與傳統(tǒng)netflow等采樣式流量采集方法不同，態(tài)勢(shì)感知平臺(tái)通過專業(yè)流量傳感器對(duì)流量中的會(huì)話行為、事務(wù)、應(yīng)用動(dòng)作進(jìn)行還原、采集，再對(duì)形成相關(guān)的日志進(jìn)行數(shù)據(jù)清洗、分析和處理[3]。

此外，態(tài)勢(shì)感知與安全運(yùn)營平臺(tái)還能對(duì)接博物館網(wǎng)絡(luò)中的各種終端行為日志，因?yàn)榻K端日志比網(wǎng)絡(luò)日志記錄更加翔實(shí)，可以幫助分析人員發(fā)現(xiàn)惡意進(jìn)程的相關(guān)文件，不僅可以發(fā)現(xiàn)威脅，還可以對(duì)網(wǎng)絡(luò)安全問題進(jìn)行回溯分析。

2.2 優(yōu)化數(shù)據(jù)存儲(chǔ)

博物館數(shù)字化網(wǎng)絡(luò)每天產(chǎn)生大量日志數(shù)據(jù)，便于分析但能耗較大。傳統(tǒng)關(guān)系型數(shù)據(jù)庫由于自身設(shè)計(jì)缺陷，在達(dá)到10億條日志時(shí)會(huì)出現(xiàn)性能的劇烈下降，大量流量日志、終端日志、操作系統(tǒng)日志都面臨存儲(chǔ)風(fēng)險(xiǎn)。

為解決海量數(shù)據(jù)的快速存儲(chǔ)和讀取問題，態(tài)勢(shì)感知與運(yùn)營平臺(tái)需要使用大數(shù)據(jù)基礎(chǔ)架構(gòu)對(duì)傳統(tǒng)數(shù)據(jù)的存儲(chǔ)和計(jì)算方式進(jìn)行優(yōu)化處理。利用分布式全文檢索技術(shù)，預(yù)先對(duì)相關(guān)日志建立全文索引，存儲(chǔ)在多塊磁盤或多臺(tái)設(shè)備，保證日志安全精確入庫。查詢?nèi)罩緯r(shí)，可以將對(duì)應(yīng)檢索命令分發(fā)到多臺(tái)設(shè)備執(zhí)行，利用大內(nèi)存提高平臺(tái)查詢效率，即便是千億條日志規(guī)模，也能實(shí)現(xiàn)秒級(jí)查詢。

2.3 日志處理專業(yè)度高

數(shù)字化博物館業(yè)務(wù)范圍廣、事務(wù)多，不同的業(yè)務(wù)需求，許多傳統(tǒng)SOC/SIEM功能模塊需要定制開發(fā)，每一次開發(fā)都會(huì)產(chǎn)生成本，運(yùn)行后期維護(hù)兼容性較差，一般只能誰開發(fā)誰運(yùn)維。而態(tài)勢(shì)感知與安全運(yùn)營平臺(tái)通過設(shè)計(jì)專家搜索模式，將SQL最佳功能與Unix管道語法封裝成執(zhí)行腳本，終端用戶調(diào)入相關(guān)命令就可從海量日志中進(jìn)行數(shù)據(jù)檢索，然后對(duì)查詢結(jié)果進(jìn)行關(guān)聯(lián)、分析和可視化操作[4]。

2.4 強(qiáng)勁的關(guān)聯(lián)分析處理能力

關(guān)聯(lián)分析的主要作用是發(fā)現(xiàn)威脅，但面對(duì)當(dāng)前博物館中數(shù)量龐大的安全設(shè)備和服務(wù)器，傳統(tǒng)的關(guān)聯(lián)分析往往僅能提供3000 EPS（Event per Second）到5000 EPS的處理能力，根本無法滿足安全需求。因此只有通過態(tài)勢(shì)感知與運(yùn)營平臺(tái)設(shè)計(jì)專業(yè)關(guān)聯(lián)分析核心引擎，把復(fù)雜事件處理技術(shù)（CEP）和安全業(yè)務(wù)場(chǎng)景結(jié)合起來，實(shí)現(xiàn)功能加速，邏輯優(yōu)化，達(dá)到20 000 EPS（50條規(guī)則）關(guān)聯(lián)處理能力來滿足博物館的安全需求。

3 態(tài)勢(shì)感知與安全運(yùn)營平臺(tái)對(duì)博物館數(shù)字化建設(shè)的意義

對(duì)于博物館數(shù)字化建設(shè)，態(tài)勢(shì)感知和安全平臺(tái)有以下幾個(gè)重要意義。

3.1 發(fā)現(xiàn)博物館數(shù)字建設(shè)中的安全隱患，完善博物館網(wǎng)絡(luò)安全防護(hù)體系

目前，博物館網(wǎng)絡(luò)安全設(shè)備基本上都是只對(duì)自身負(fù)責(zé)區(qū)域的流量信息進(jìn)行分析處理，對(duì)已知的安全威脅進(jìn)行有效防護(hù)，而對(duì)于未知威脅處理能力則非常弱。態(tài)勢(shì)感知利用基于大數(shù)據(jù)的云端威脅情報(bào)數(shù)據(jù)庫，可以更好地借助互聯(lián)網(wǎng)云計(jì)算幫助博物館進(jìn)行數(shù)據(jù)挖掘和分析攻擊線索，可以提高未知威脅和APT攻擊的檢出效率，因此，可以有效發(fā)現(xiàn)博物館數(shù)字建設(shè)中的安全隱患，提升博物館網(wǎng)絡(luò)安全防護(hù)能力[5]。

3.2 改變安全管理人員防御思想，提高博物館網(wǎng)絡(luò)安全防護(hù)能力

傳統(tǒng)博物館對(duì)網(wǎng)絡(luò)安全重視程度不足，防御體系構(gòu)建比較簡單，屬于被動(dòng)式防御，認(rèn)為處于網(wǎng)絡(luò)出口設(shè)備處最容易受到攻擊，是信息安全建設(shè)的重點(diǎn)，在出口處部署安全設(shè)備可以及早應(yīng)對(duì)攻擊。因此，博物館網(wǎng)絡(luò)安全管理部門在出口處部署相應(yīng)的檢測(cè)與防御設(shè)備，如IDS、IPS、 UTM（安全網(wǎng)關(guān)）、FW、Audit（安全審計(jì)）、網(wǎng)閘等。這樣博物館網(wǎng)絡(luò)安全僅依靠最外層的防御設(shè)備，一旦最外層設(shè)備被攻破，那么內(nèi)部設(shè)備和應(yīng)用系統(tǒng)安全就沒有任何保障。在實(shí)際環(huán)境中，最外層檢測(cè)與防御設(shè)備經(jīng)常被攻擊入侵成功，網(wǎng)絡(luò)安全面臨非常大的風(fēng)險(xiǎn)，需要改陳破舊，在思想認(rèn)識(shí)方面重視網(wǎng)絡(luò)安全，把網(wǎng)絡(luò)安全戰(zhàn)線延長，當(dāng)最外層檢測(cè)設(shè)備失效，防御系統(tǒng)被攻破的情況下，后續(xù)網(wǎng)絡(luò)設(shè)備和防御系統(tǒng)可以繼續(xù)發(fā)揮作用，實(shí)現(xiàn)危險(xiǎn)快速警告、分析日志、回溯信息、分析攻擊過程，網(wǎng)絡(luò)安全部門才能迅速制定合理解決方案，防止攻擊造成更大范圍的影響。態(tài)勢(shì)感知方案利用威脅情報(bào)庫和規(guī)則鏈技術(shù)，構(gòu)建成監(jiān)聽和主動(dòng)回溯、研判和主動(dòng)監(jiān)測(cè)的入侵檢測(cè)防御體系，實(shí)現(xiàn)由被動(dòng)式防御體系向主動(dòng)式防御體系轉(zhuǎn)變，在很大程度上可以提高博物館網(wǎng)絡(luò)安全防御主動(dòng)性。

參考文獻(xiàn)

[1] 宋岍龍.基于網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)設(shè)計(jì)[J].中國新通信，2019，21（18）：134-135.

[2] 管小娟，張濤，馬媛媛，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述[J].電力信息與通信技術(shù)，2014，12（5）：1-4.

[3] 王丹琛，徐揚(yáng)，李斌，等.基于業(yè)務(wù)效能的信息系統(tǒng)安全態(tài)勢(shì)指標(biāo)[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2016，100（5）：517-521，529.

[4] 施馳樂.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全安全防護(hù)之變：淺談態(tài)勢(shì)感知與安全運(yùn)營平臺(tái)[J].中國信息化，2019，16（6）：59-62.

[5] 張寶圣.山西博物院數(shù)字化平臺(tái)建設(shè)研究[J].圖書情報(bào)導(dǎo)刊，2019，29（7）：28-31.