基于態(tài)勢感知系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)與應(yīng)用

殷亞玲

摘 要：本文以某電力企業(yè)網(wǎng)站安全為實(shí)例，通過NGSOC對(duì)態(tài)勢感知系統(tǒng)的部署應(yīng)用，以監(jiān)測手段、數(shù)據(jù)可視化、安全信息的時(shí)效性進(jìn)行可行性實(shí)踐，通過資產(chǎn)、威脅、漏洞三者共同構(gòu)成的風(fēng)險(xiǎn)監(jiān)測方法，為企業(yè)的大規(guī)模網(wǎng)站安全監(jiān)管提供了便利的技術(shù)手段，在提升企業(yè)的網(wǎng)絡(luò)安全運(yùn)營水平的同時(shí)，提升了主動(dòng)發(fā)現(xiàn)未知網(wǎng)站威脅能力。

關(guān)鍵詞：態(tài)勢感知;NGSOC;數(shù)據(jù)可視化;風(fēng)險(xiǎn)監(jiān)測

Abstract：This paper takes the website security of a power enterprise as an example，through the deployment and application of ngsoc to the situation awareness system，through the feasibility practice of monitoring means，data visualization and timeliness of security information，through the risk monitoring method composed of assets，threats and loopholes，it provides convenient technical means for the large-scale website security supervision of the enterprise，and improves the network of the enterprise At the same time，the network security operation level improves the ability to actively discover unknown website threats.

Key words：Situational awareness;NGSOC;Data visualization;Risk monitoring

近年來隨著互聯(lián)網(wǎng)的發(fā)展極大地改變了人類的生活方式，但網(wǎng)絡(luò)安全事件也呈逐年上升狀態(tài)。目前各個(gè)企業(yè)或服務(wù)商雖然已經(jīng)提高了網(wǎng)絡(luò)安全防護(hù)意識(shí)，并且采用了較為先進(jìn)的防護(hù)措施，但基本都是采用單一的網(wǎng)絡(luò)安全產(chǎn)品或者信息安全防護(hù)措施，導(dǎo)致各個(gè)安全產(chǎn)品和信息系統(tǒng)之間關(guān)聯(lián)性較差，無法進(jìn)行統(tǒng)一的網(wǎng)絡(luò)安全防護(hù)，極大地增加了從入侵威脅報(bào)警到網(wǎng)站管理員判斷處理問題的時(shí)間，從而有可能造成危機(jī)處理的最佳時(shí)機(jī)被貽誤。

1 態(tài)勢感知系統(tǒng)防護(hù)流程

以網(wǎng)絡(luò)安全威脅特有的數(shù)據(jù)進(jìn)行規(guī)則匹配，提煉出其中主要的安全態(tài)勢特征[1]，輔助網(wǎng)絡(luò)管理員進(jìn)行安全策略的決策與實(shí)施，從而保證網(wǎng)絡(luò)威脅，盡可能減少損失。態(tài)勢感知防護(hù)系統(tǒng)按照系統(tǒng)的安全防護(hù)流程可分為四個(gè)步驟進(jìn)行：

（1）對(duì)網(wǎng)絡(luò)架構(gòu)的態(tài)勢信息進(jìn)行獲取;

（2）建立安全態(tài)勢模型;

（3）對(duì)威脅數(shù)據(jù)進(jìn)行檢測和存儲(chǔ)、網(wǎng)絡(luò)架構(gòu)安全的趨勢預(yù)估;

（4）完成本系統(tǒng)的安全防護(hù)策略部署，以此來構(gòu)建出完整的安全態(tài)勢感知防護(hù)系統(tǒng)[2]。

防護(hù)流程如圖1所示：

2 系統(tǒng)架構(gòu)

數(shù)據(jù)是平臺(tái)分析的基礎(chǔ)[3]，系統(tǒng)中對(duì)數(shù)據(jù)支撐能力主要體現(xiàn)在對(duì)于多源大數(shù)據(jù)的采集多樣性。通過日志采集探針和流量傳感器分別進(jìn)行不同系統(tǒng)日志和流量日志的采集和處理?？筛采w市面常見的百余家廠商的上千種設(shè)備，并實(shí)現(xiàn)日志無縫對(duì)接。

與此同時(shí)，為了應(yīng)對(duì)不同應(yīng)用場景對(duì)數(shù)據(jù)采集、處理和存儲(chǔ)的需求，數(shù)據(jù)支撐平臺(tái)均采用插件式架構(gòu)，本態(tài)勢感知系統(tǒng)在豐富的大數(shù)據(jù)經(jīng)驗(yàn)的基礎(chǔ)上通過使用奇安信前沿的大數(shù)據(jù)基礎(chǔ)組件完成平臺(tái)架構(gòu)的構(gòu)建。系統(tǒng)架構(gòu)圖如圖2所示：

3 方案實(shí)施

3.1 硬件安裝

本態(tài)勢感知系統(tǒng)所涉及到硬件設(shè)備均為標(biāo)準(zhǔn)的機(jī)架產(chǎn)品，根據(jù)計(jì)算需要客戶機(jī)房安排至少總共為7U的機(jī)架空間來滿足所有設(shè)備的安裝擺放，設(shè)備擺放示意圖如圖3所示：

3.2 軟件安裝

使用root賬號(hào)登入NGSOC主節(jié)點(diǎn)服務(wù)器，執(zhí)行安裝命令，出現(xiàn)Install ngsoc complete即為安裝成功，如圖4所示：

4 系統(tǒng)測試

依據(jù)測試步驟的測試結(jié)果截圖如圖5所示：

5 結(jié)語

經(jīng)多方面測試，系統(tǒng)各項(xiàng)功能均正常。本態(tài)勢感知系統(tǒng)可以成功采集到網(wǎng)站的流量數(shù)據(jù)、系統(tǒng)和設(shè)備日志，并能提供本地的流量數(shù)據(jù)及系統(tǒng)和設(shè)備的日志存儲(chǔ)，管理員可以通過語法或網(wǎng)頁點(diǎn)擊操作的方式進(jìn)行查詢?nèi)罩竞蛿?shù)據(jù)，實(shí)現(xiàn)網(wǎng)站威脅及時(shí)發(fā)現(xiàn)，并能夠協(xié)助管理員進(jìn)行快速處置，數(shù)據(jù)展示清晰明了，數(shù)據(jù)內(nèi)容詳細(xì)精準(zhǔn)，基本符合本系統(tǒng)在項(xiàng)目建設(shè)初期的建設(shè)目標(biāo)。

參考文獻(xiàn)：

[1]崔穎.政府門戶網(wǎng)站的網(wǎng)絡(luò)安全分析[J].電腦知識(shí)與技術(shù)，2019（21）：89-92.

[2]舒航，王穎穎，程魯鑫.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].福建電腦，2017（08）：9-12.

[3]劉煜.網(wǎng)絡(luò)安全態(tài)勢感知與防護(hù)體系[J].電子技術(shù)，2017（9）：154-156.