淺談網絡安全態(tài)勢感知架構在企業(yè)中的建設思路

（蘭州生物制品研究所有限責任公司，蘭州 730046）

在近些年，信息化技術在社會的各個領域有建樹更有突破，隨著工業(yè)4.0概念的不斷深入和落地，工業(yè)企業(yè)開始接入互聯網，生產設備、管理系統、業(yè)務系統以及與眾多企業(yè)的協同都將互聯。隨著時代的進步發(fā)展，信息化技術也在不斷的提升，網絡的規(guī)模也在無線的擴散，網絡平臺的發(fā)展也在逐漸的規(guī)范化、集成化，同時其中網絡上惡意的攻擊狀態(tài)也更加的隱秘，攻擊的時間也更長，現階段的傳統的網絡技術已經不能夠滿足以及抵御其攻擊的狀態(tài)，只能被動的接受，網絡安全狀態(tài)受到攻擊，造成了多種網絡安全事態(tài)的發(fā)生，很多企業(yè)、網絡相關的企業(yè)都遭到巨大的損失，面臨著相當嚴峻且復雜的網絡安全形勢，使得企業(yè)的CFO、CTO及CIO等高層的領導人，更加重視這一類的網絡安全問題。

網絡安全態(tài)勢感知技術是一種主動性的防御技術，它復合與增強了多項信息安全技術。上世紀末90年代的美國，態(tài)勢感知（Situation Awareness）才被引入到信息技術安全領域，并首先用于對下一代入侵檢測系統的研究。

1 網絡安全態(tài)勢感知技術架構

安全態(tài)勢感知就是利用數據獲取采集、數據挖掘、數據融合、智能分析、面向多類型的網絡安全性相關的技術，能夠主動并及時的進行網絡狀態(tài)的監(jiān)控，對當前和未來一段時間內網絡的安全狀況進行全面分析評估，從而預測網絡安全風險，實現動靜相結合的安全防御方式。態(tài)勢感知的基本架構，如圖1所示：

圖1

2 關鍵技術

想要構建一個安全的網絡狀態(tài)，其網絡支點和節(jié)點是很多的，且分布也很復雜。隨著時代的不斷進步，網絡入侵和攻擊這兩項信息技術的內容正在向更加規(guī)范化的模式運轉，為了能夠對網絡狀態(tài)機性實時的檢測，將其潛在的危險進行控制，必須通過相關的關鍵解決上述問題。

2.1 數據挖掘

數據挖掘主要是指在眾多的數據中進行優(yōu)選，將無用的或是有問題的數據進行選擇，選擇有用價值的數據進行使用。將大數據的分析模型以及機器學習等算法進行有效的利用，幫助用戶建立相關的瀏覽記錄，并將有危險的數據進行分析、預警以及攻擊，通過已知行為的檢測，有效的降低了網絡使用的危險風險，通過可視化展現及時通報給相關網絡安全人員進行處置。

2.2 數據融合

對數據整體進行高性能的處理，以互動的形式對數據進行多維度的裁剪和可視化。通過屬性融合、關系拓展、群體聚類等方式挖掘數據之間的直接或潛在的相關性，進行匯聚、多維度深度融合、統一存儲管理和安全共享的多維度數據融合。只有這樣才能確保網絡態(tài)勢的安全，并能夠高效快捷的掌握先關的數據。

2.3 面向多類型的網絡安全威脅評估技術

通過不同數據元素著手，就可以有效的消除來自互聯網云平臺上的潛在數據的的病毒威脅，大數據平臺可以有效的消除在流量及域名等多個安全元素進行全面的分析、檢測。大數據平臺會通過多次、分類的進行檢測，進行病毒攻擊、預警，多種方式共用的進行數據的統計、代碼攻擊。

3 企業(yè)引入態(tài)勢感知技術的價值和建設思路

3.1 實現對企業(yè)內部全網的業(yè)務資產及業(yè)務訪問關系的可視化管理

通過安全檢測探針可主動識別業(yè)務系統下屬的所有業(yè)務資產，可主動發(fā)現新增資產，實現全網業(yè)務資產的有效識別；資產暴露面可視化：將已識別的資產進行安全評估，將資產的配置信息與暴露面進行呈現，包括開放的端口、可登錄的web后臺等。

通過訪問關系的學習，可以展現出如：用戶、業(yè)務系統、互聯網之間訪問關系，區(qū)分不同危險等級用戶、業(yè)務系統，可視化的呈現以識別非法的訪問。對于業(yè)務系統的應用、流量、會話數進行可視化的呈現，并提供流量趨勢分析。

3.2 實現企業(yè)內部攻擊、違規(guī)操作及用戶異常行為的可視化

對于企業(yè)內網的橫向攻擊，違規(guī)訪問業(yè)務系統的行為，非正常時間主動發(fā)起的請求、業(yè)務主動向外發(fā)起非正常請求（如DNS請求）、異常流量及行為可以及時予以安全事件響應。

結合企業(yè)業(yè)務信息、業(yè)務訪問關系、違規(guī)操作、異常行為、攻擊趨勢、有效攻擊、業(yè)務資產脆弱性對全網安全態(tài)勢進行整體評價，以業(yè)務系統的視角進行呈現，可有效的把握企業(yè)內網整體的安全態(tài)勢并進行有效、精準的安全決策分析。

4 結束語

本文在對網絡安全態(tài)勢感知技術架構的研究分析的基礎上，對網絡安全態(tài)勢感知建設進行了探討。網絡安全態(tài)勢感知是多項技術的復合的一種系統，企業(yè)信息管理、用戶需求分析、實現方式、平臺建設、運維管理、相適應的管理制度等各方面，因此需要企業(yè)結合自身的實際情況、管理水平、功能需求分析，進行分階段建設。