基于態(tài)勢感知的等級保護(hù)監(jiān)管技術(shù)研究

王大為

摘 ? 要：文章針對各級網(wǎng)絡(luò)安全或行業(yè)網(wǎng)絡(luò)安全監(jiān)管部門開展等級保護(hù)監(jiān)管工作的業(yè)務(wù)現(xiàn)狀和存在的困難進(jìn)行深入研究，在當(dāng)前監(jiān)管工作流程的基礎(chǔ)上，提出了利用態(tài)勢感知技術(shù)和其掌握的各監(jiān)管單位安全建設(shè)情況進(jìn)行框架設(shè)計(jì)并細(xì)化功能，構(gòu)建具備動(dòng)態(tài)監(jiān)測和監(jiān)管展示的系統(tǒng)。為等級保護(hù)的監(jiān)督管理工作提供可靠的數(shù)據(jù)情報(bào)和高效的管理手段。

關(guān)鍵詞：等級保護(hù);態(tài)勢感知;動(dòng)態(tài)監(jiān)測;數(shù)據(jù)情報(bào)

1 ? ?等級保護(hù)概況

近年來，我國信息技術(shù)發(fā)展迅猛，現(xiàn)階段各級政府部門及企事業(yè)單位基本上實(shí)現(xiàn)了業(yè)務(wù)信息化，并且為了便于為民眾提供服務(wù)，將其系統(tǒng)面向互聯(lián)網(wǎng)進(jìn)行開放。《中華人民共和國網(wǎng)絡(luò)安全法》自2017年6月1日起正式施行，要求各大系統(tǒng)不但要注重安全合規(guī)性建設(shè)，更要及時(shí)完成等級保護(hù)的備案、整改建設(shè)和測評工作。

2 ? ?等級保護(hù)監(jiān)管過程中產(chǎn)生的問題

（1）等級保護(hù)工作基礎(chǔ)數(shù)據(jù)收集不完備，信息涵蓋單位系統(tǒng)各個(gè)方面的基礎(chǔ)數(shù)據(jù)。傳統(tǒng)管理方式往往是所轄單位各自匯報(bào)，存在漏報(bào)、瞞報(bào)的情況，而監(jiān)管部門由于沒有技術(shù)手段進(jìn)行比對、判斷和總結(jié)、整理，很容易出現(xiàn)疏漏。

（2）缺乏監(jiān)督預(yù)警手段，難以把控管轄范圍內(nèi)的安全情況，大多采用定期組織檢查的形式開展重要信息系統(tǒng)安全大檢查，既浪費(fèi)了人力、物力，也缺乏實(shí)時(shí)性，還存在標(biāo)準(zhǔn)執(zhí)行不統(tǒng)一等問題，難以真正把控存在的安全問題，更無法作到預(yù)先發(fā)現(xiàn)和經(jīng)驗(yàn)總結(jié)。

（3）缺乏技術(shù)手段管理監(jiān)管成果，建設(shè)和整改情況缺乏信息化的管理手段。在等級保護(hù)監(jiān)督管理過程中，一般是通過對當(dāng)前周期的安全檢查成果進(jìn)行總結(jié)，給出響應(yīng)的法律文書或者通告發(fā)文，被通知單位的負(fù)責(zé)人員進(jìn)行簽收、處置并反饋處理結(jié)果，不利于歸納、總結(jié)和對比。

（4）安全威脅情報(bào)的獲取和推送，安全資源難以積累、總結(jié)，不但浪費(fèi)人力、物力，而且時(shí)效性、針對性差，不能很好地進(jìn)行資源儲(chǔ)備和經(jīng)驗(yàn)總結(jié)，對過往積累也存在不足。

3 ? ?實(shí)現(xiàn)等級保護(hù)安全監(jiān)管技術(shù)的思路

通過態(tài)勢感知技術(shù)構(gòu)建等級保護(hù)監(jiān)管平臺(tái)，對信息系統(tǒng)備案情況、基礎(chǔ)資產(chǎn)情況、信息安全資產(chǎn)情況、信息系統(tǒng)配置情況、等級保護(hù)建設(shè)整改情況等進(jìn)行標(biāo)準(zhǔn)化登錄與采集，加強(qiáng)安全監(jiān)管檢查能力[1-2]。

首先，要實(shí)現(xiàn)等級保護(hù)全過程的監(jiān)管并形成分析、分享、研判機(jī)制，既要總結(jié)整個(gè)監(jiān)管過程中的各個(gè)環(huán)節(jié)和信息要素，又要結(jié)合態(tài)勢感知技術(shù)形成標(biāo)準(zhǔn)化的流程監(jiān)管技術(shù)體系。

其次，綜合利用采集數(shù)據(jù)，使用數(shù)據(jù)挖掘技術(shù)，做到更好的等級保護(hù)監(jiān)管態(tài)勢分析，對已知信息進(jìn)行歸類、對比，展示預(yù)見的風(fēng)險(xiǎn)和未知的威脅。

最后，通過知識(shí)庫和經(jīng)驗(yàn)總結(jié)并利用信息推送技術(shù)實(shí)現(xiàn)風(fēng)險(xiǎn)揭示、情報(bào)分享以及研判處置推送，形成各環(huán)節(jié)信息推送機(jī)制，用技術(shù)手段解決人力、物力的不足，提高監(jiān)管能力和效率。

通過對上述3個(gè)方面進(jìn)行分析，能夠形成標(biāo)準(zhǔn)化的監(jiān)督管理流程。信息化技術(shù)手段可以將監(jiān)管的整個(gè)過程和各節(jié)點(diǎn)的情況有效地反應(yīng)并記錄，能夠?qū)ΡO(jiān)督管理提供風(fēng)險(xiǎn)和威脅分析的參考依據(jù)，這個(gè)過程的主要工作如下：

（1）總結(jié)標(biāo)準(zhǔn)流程，通過對等級保護(hù)監(jiān)管工作全過程的總結(jié)，分析其監(jiān)管流程和關(guān)鍵屬性元素，將監(jiān)管過程流程化、程序化，對其各個(gè)過程節(jié)點(diǎn)的屬性元素標(biāo)準(zhǔn)化，形成標(biāo)準(zhǔn)流程。

（2）組建系統(tǒng)平臺(tái)，通過對等級保護(hù)監(jiān)管各個(gè)環(huán)節(jié)管理過程的總結(jié)及標(biāo)準(zhǔn)的擬定，形成具備風(fēng)險(xiǎn)研判、預(yù)警能力的監(jiān)管系統(tǒng)平臺(tái)，提高監(jiān)管能力。

4 ? ?體系架構(gòu)及實(shí)現(xiàn)

依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級保護(hù)制度及各行業(yè)對信息安全下發(fā)的相關(guān)標(biāo)準(zhǔn)和監(jiān)督管理政策，研究、開發(fā)一個(gè)集信息系統(tǒng)安全建設(shè)基礎(chǔ)信息采集、監(jiān)測、挖掘、分析預(yù)警及展示的平臺(tái)，使等級保護(hù)變得監(jiān)管可視化、可管理、可預(yù)測，體系架構(gòu)如圖1所示。依托的技術(shù)有以下5個(gè)[3-4]。

4.1 ?多種異構(gòu)數(shù)據(jù)源

進(jìn)行等級保護(hù)監(jiān)督管理，其數(shù)據(jù)來源復(fù)雜，包括：（1）等級保護(hù)系統(tǒng)信息同步、等級保護(hù)工具箱的檢查、大數(shù)據(jù)導(dǎo)入、網(wǎng)站ICP注冊等公開信息。（2）網(wǎng)站監(jiān)測引擎、搜索引擎、網(wǎng)絡(luò)情報(bào)、資產(chǎn)審計(jì)以及監(jiān)控、運(yùn)維工具的日志分析。（3）平臺(tái)收集、匯總的歷史大數(shù)據(jù)和知識(shí)庫。

4.2 ?信息挖掘和數(shù)據(jù)融合

利用數(shù)據(jù)融合技術(shù)，對采集和匯集的數(shù)據(jù)實(shí)現(xiàn)標(biāo)準(zhǔn)化和歸一化存儲(chǔ)，并在此基礎(chǔ)上進(jìn)行數(shù)據(jù)碰撞、信息理解和數(shù)據(jù)挖掘。實(shí)現(xiàn)多種攻擊溯源，包括：DDoS、僵木蠕、APT攻擊溯源、安全情報(bào)溯源、綜合溯源等。

4.3 ?可視化展現(xiàn)

使用主流的各種可視化工具及3D網(wǎng)絡(luò)拓?fù)?、資產(chǎn)展示效果，實(shí)現(xiàn)在電子地圖上準(zhǔn)確顯示被攻擊的單位、網(wǎng)站以及網(wǎng)站的可用性、網(wǎng)絡(luò)攻擊路線，直觀顯示通報(bào)排查的進(jìn)展。

4.4 ?通報(bào)和排查工作流

依據(jù)總結(jié)出的標(biāo)準(zhǔn)事件通報(bào)和隱患排查工作流，可用于“部—省—市—區(qū)/縣”等多級系統(tǒng)之間，基于態(tài)勢感知的安全事件和網(wǎng)絡(luò)隱患進(jìn)行處置，并支持監(jiān)管部門上門檢查和整改告知流程[5-6]。

4.5 ?知識(shí)庫與歷史大數(shù)據(jù)

研究出完備的知識(shí)庫、網(wǎng)絡(luò)安全專家?guī)臁⒕W(wǎng)絡(luò)隱患提取和數(shù)據(jù)采集的規(guī)則庫、歷史事件處理的經(jīng)驗(yàn)庫和最佳實(shí)踐等，可用于幫助監(jiān)管部門處理新增的安全事件和網(wǎng)絡(luò)隱患，同時(shí)，把它們都保存、匯總到歷史大數(shù)據(jù)庫中。

5 ? ?研究效益分析

（1）基礎(chǔ)數(shù)據(jù)融合，易于資產(chǎn)梳理，并直觀了解建設(shè)情況。將被監(jiān)測的重要信息系統(tǒng)基礎(chǔ)數(shù)據(jù)利用技術(shù)手段實(shí)現(xiàn)收集和融合，包括ICP信息、單位信息，例如地理位置、行業(yè)等。此外，融合了等級保護(hù)系統(tǒng)的數(shù)據(jù)，可以直觀掌握所轄重要信息系統(tǒng)的等級保護(hù)建設(shè)情況，直觀掌握盲區(qū)信息，發(fā)現(xiàn)監(jiān)管漏洞。

（2）便于開展監(jiān)督檢查工作，降低監(jiān)管工作對人力、物力的需求，提高監(jiān)管能力。作為各級公安網(wǎng)監(jiān)部門或各行業(yè)信息安全監(jiān)督管理部門，可以根據(jù)態(tài)勢感知給出的分析檢測結(jié)果，開展所轄重要信息系統(tǒng)監(jiān)督管理工作，并依靠分析結(jié)果開展安全事件通報(bào)、信息安全隱患排查等工作。減少以往需要大量人力、物力的基礎(chǔ)排查工作，并將信息通告到督促整改的全過程利用信息化的手段完成，提高監(jiān)管能力。

（3）資產(chǎn)與工具整合，構(gòu)建開放平臺(tái)。通過將基礎(chǔ)數(shù)據(jù)信息、信息系統(tǒng)狀態(tài)信息、網(wǎng)絡(luò)安全情報(bào)、信息安全動(dòng)態(tài)及監(jiān)督檢查數(shù)據(jù)等進(jìn)行集成，實(shí)現(xiàn)等級保護(hù)監(jiān)管體系的建立。對這些數(shù)據(jù)進(jìn)行歸集、分析，并結(jié)合整個(gè)監(jiān)督管理流程，實(shí)現(xiàn)等級保護(hù)監(jiān)管工作的信息化、智能化，覆蓋整個(gè)等級保護(hù)監(jiān)督管理的全過程?？赏ㄟ^融入更多的新技術(shù)和第三方功能模塊，源源不斷地增加該技術(shù)體系的功能。

6 ? ?結(jié)語

在分析了各級公安網(wǎng)安部門和各行業(yè)信息安全監(jiān)管部門在監(jiān)督管理過程中的難點(diǎn)、重點(diǎn)后，結(jié)合實(shí)際監(jiān)管過程中發(fā)現(xiàn)的各種問題、狀況，分析了當(dāng)前各監(jiān)管部門在進(jìn)行等級保護(hù)監(jiān)管過程中的不足和需求。在捋順、明確等級保護(hù)管理的各階段目標(biāo)和現(xiàn)階段態(tài)勢感知技術(shù)所能達(dá)到的技術(shù)服務(wù)能力的基礎(chǔ)上，研究并設(shè)計(jì)出利用態(tài)勢感知技術(shù)來進(jìn)行等級保護(hù)監(jiān)管工作的技術(shù)體系，以應(yīng)對現(xiàn)階段乃至未來一段時(shí)期等級保護(hù)監(jiān)管工作的人力、物力和技術(shù)要求帶來的困境，實(shí)現(xiàn)等級保護(hù)監(jiān)管標(biāo)準(zhǔn)化、流程化、信息化。

本研究可以幫助等級保護(hù)監(jiān)管部門在現(xiàn)有人力、物力的背景下，有效開展其所轄范圍內(nèi)重要信息系統(tǒng)的監(jiān)督管理工作。因此，需要對基于態(tài)勢感知的等級保護(hù)監(jiān)管技術(shù)予以應(yīng)有的重視，深入進(jìn)行理論研究和科學(xué)實(shí)踐，盡快投放社會(huì)應(yīng)用。

[參考文獻(xiàn)]

[1]北京市公安局網(wǎng)絡(luò)安全保衛(wèi)處.北京市公安局等級保護(hù)監(jiān)督檢查工作情況介紹[J].警察技術(shù)，2010（2）：15-17.

[2]楊兵兵.等級保護(hù)工作的實(shí)踐與思考[J].金融電子化，2012（5）：38.

[3]王慧強(qiáng)，賴積保，朱亮，等.網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J].計(jì)算機(jī)科學(xué)，2006（10）：5-10.

[4]BASS，TIM.Intrusion detection systems and multisensor data fusion[C].Harbin：Association for Computing Machinery，2000.

[5]NONAME.Cyberspace awareness[C].Harbin：Association for Computing Machinery，2000.

[6]STEPHEN L.The spinging cude of potential doom[C].Harbin：Association for Computing Machinery，2000.

Abstract：This paper makes an in-depth study on the current status and difficulties of the network security supervision departments at all levels and industries to carry out the classified protection supervision work. Based on the current supervision workflow， it proposes the use of situational awareness technology and the safety construction of various supervisory units to design the framework and refine features， and a system with dynamic monitoring and regulatory display is constructed. Provide reliable data intelligence and efficient management tools for the supervision and management of classified protection.

Key words：classified protection; situational awareness; dynamic monitoring; data intelligence