基于態(tài)勢(shì)感知的智慧圖書館網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建

宋 欣，劉 娜，蘇 葉

近年來，隨著云計(jì)算、大數(shù)據(jù)和人工智能等新信息技術(shù)的不斷發(fā)展和廣泛應(yīng)用，圖書館正朝著智慧圖書館的方向發(fā)展。智慧圖書館以云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等技術(shù)為依托，能夠自動(dòng)識(shí)別和感知用戶所需信息，并為其提供方便、快捷、準(zhǔn)確的智慧化、個(gè)性化信息服務(wù)。智慧圖書館云服務(wù)基礎(chǔ)設(shè)施用于支撐各類信息數(shù)據(jù)的采集、傳輸、處理、存儲(chǔ)等，是智慧圖書館服務(wù)應(yīng)用系統(tǒng)高效運(yùn)行的基本保障，通常采用云模式的組織架構(gòu)。云數(shù)據(jù)中心匯集了大量數(shù)據(jù)信息和網(wǎng)絡(luò)設(shè)備，導(dǎo)致集中化的海量數(shù)據(jù)信息在存儲(chǔ)和傳輸過程中面臨被破壞的安全風(fēng)險(xiǎn)，一旦云數(shù)據(jù)中心遭受攻擊將造成極大的影響。總之，云計(jì)算和虛擬化在給智慧圖書館數(shù)據(jù)中心帶來便利的同時(shí)也帶來了新的安全風(fēng)險(xiǎn)與挑戰(zhàn)。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系已無法滿足智慧圖書館網(wǎng)絡(luò)安全防護(hù)需求，需要一種新技術(shù)解決傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的不足，為智慧圖書館的網(wǎng)絡(luò)安全防護(hù)提供有效支撐，提升智慧圖書館的安全性和可靠性。

態(tài)勢(shì)感知源于戰(zhàn)爭(zhēng)與對(duì)抗行動(dòng)，主要包括對(duì)敵我雙方兵力、武器等直接戰(zhàn)斗要素定量定性的了解和對(duì)作戰(zhàn)地理、氣候、水文等環(huán)境特征的掌握，實(shí)現(xiàn)對(duì)敵我雙方作戰(zhàn)目的、戰(zhàn)術(shù)戰(zhàn)法、攻防行動(dòng)的分析預(yù)測(cè)，以便做出快速正確的決策，達(dá)到知己知彼、百戰(zhàn)不殆的目的。20 世紀(jì)90 年代末，態(tài)勢(shì)感知被引入信息技術(shù)安全領(lǐng)域，并首先用于下一代入侵檢測(cè)系統(tǒng)的研究［1］，出現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念。當(dāng)前國(guó)內(nèi)外在網(wǎng)絡(luò)安全態(tài)勢(shì)感知理論、技術(shù)和方法等方面已有相關(guān)研究，但在基于態(tài)勢(shì)感知技術(shù)并結(jié)合智慧圖書館建設(shè)進(jìn)行網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建方面鮮有研究。本文在對(duì)智慧圖書館網(wǎng)絡(luò)環(huán)境下傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系存在的不足進(jìn)行分析的基礎(chǔ)上，結(jié)合態(tài)勢(shì)感知技術(shù)的特點(diǎn)，通過探討和構(gòu)建基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系，實(shí)現(xiàn)圖書館網(wǎng)絡(luò)安全管理和運(yùn)維效率的有效提升，為智慧圖書館網(wǎng)絡(luò)信息化服務(wù)提供安全保障。

1 傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系

傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系主要通過在數(shù)據(jù)中心部署防火墻、入侵防御系統(tǒng)、Web 應(yīng)用防火墻、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)等安全設(shè)備來了解和分析網(wǎng)絡(luò)的安全狀態(tài)，保障整個(gè)數(shù)據(jù)中心的邊界安全、運(yùn)行環(huán)境安全、網(wǎng)絡(luò)通信安全及數(shù)據(jù)信息安全。

防火墻通過在內(nèi)外網(wǎng)之間建立一個(gè)安全網(wǎng)關(guān)，確保內(nèi)部網(wǎng)絡(luò)免受外來用戶的攻擊和入侵，實(shí)現(xiàn)內(nèi)外網(wǎng)或不同信任網(wǎng)絡(luò)區(qū)域之間的隔離，從而起到對(duì)網(wǎng)絡(luò)訪問進(jìn)行有效控制的作用。入侵防御系統(tǒng)通過監(jiān)控網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)數(shù)據(jù)傳輸行為，對(duì)一些異?；蚓哂袀π缘木W(wǎng)絡(luò)數(shù)據(jù)傳輸行為進(jìn)行阻斷或隔離。Web 應(yīng)用防火墻針對(duì)Web 頁面進(jìn)行應(yīng)用掃描、木馬檢測(cè)、安全防護(hù)和訪問控制等，能夠有效地防護(hù)網(wǎng)頁網(wǎng)站的安全。漏洞掃描系統(tǒng)主要對(duì)系統(tǒng)、網(wǎng)站、端口、應(yīng)用軟件、數(shù)據(jù)庫等一些網(wǎng)絡(luò)應(yīng)用進(jìn)行掃描檢測(cè)，并對(duì)其檢測(cè)出的漏洞進(jìn)行報(bào)警，提示對(duì)漏洞進(jìn)行修復(fù)。安全審計(jì)系統(tǒng)主要針對(duì)數(shù)據(jù)中心內(nèi)部的各種安全隱患和業(yè)務(wù)風(fēng)險(xiǎn)，根據(jù)既定的規(guī)則跟蹤記錄數(shù)據(jù)中心系統(tǒng)運(yùn)行生成的各種操作日志和數(shù)據(jù)，審計(jì)和檢測(cè)數(shù)據(jù)中心存在的安全漏洞及安全漏洞被利用的方式。

隨著智慧圖書館的建設(shè)發(fā)展及其業(yè)務(wù)應(yīng)用的快速增長(zhǎng)，圖書館的網(wǎng)絡(luò)規(guī)模日益擴(kuò)大，拓?fù)浣Y(jié)構(gòu)日益復(fù)雜，安全問題也日益突出。而傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系基本都采用相對(duì)獨(dú)立的網(wǎng)絡(luò)安全設(shè)備或信息安全防護(hù)措施，它們只是從各自的角度發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問題［2］，彼此之間缺乏有效的協(xié)作與關(guān)聯(lián)，難以對(duì)網(wǎng)絡(luò)的整體安全狀況進(jìn)行全面準(zhǔn)確的展現(xiàn)和統(tǒng)一有效的防護(hù)，一旦圖書館網(wǎng)絡(luò)系統(tǒng)遭受攻擊或安全威脅，排查處理比較困難。而態(tài)勢(shì)感知技術(shù)可以帶動(dòng)傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系的全面升級(jí)，應(yīng)對(duì)智慧圖書館網(wǎng)絡(luò)架構(gòu)下面臨的威脅和挑戰(zhàn)。

2 態(tài)勢(shì)感知技術(shù)

態(tài)勢(shì)感知是指對(duì)一定時(shí)間和空間范圍內(nèi)環(huán)境要素的提取、理解和對(duì)未來狀態(tài)的預(yù)測(cè)。通過態(tài)勢(shì)要素提取，獲得必要的數(shù)據(jù)，然后通過數(shù)據(jù)分析進(jìn)行態(tài)勢(shì)理解，進(jìn)而實(shí)現(xiàn)對(duì)未來的態(tài)勢(shì)預(yù)測(cè)。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知以安全大數(shù)據(jù)為基礎(chǔ)，在大規(guī)模網(wǎng)絡(luò)環(huán)境中，通過數(shù)據(jù)采集、挖掘和智能推演等方式，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示［3］，結(jié)合大數(shù)據(jù)平臺(tái)進(jìn)行智能化關(guān)聯(lián)分析，判斷當(dāng)前網(wǎng)絡(luò)整體安全狀況，預(yù)測(cè)未來網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展趨勢(shì)，以實(shí)現(xiàn)對(duì)安全威脅的全面感知、主動(dòng)防護(hù)、風(fēng)險(xiǎn)預(yù)測(cè)和聯(lián)動(dòng)響應(yīng)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的過程主要分為感知、理解和預(yù)測(cè)3 個(gè)階段。

感知：通過檢測(cè)工具對(duì)影響網(wǎng)絡(luò)安全的各種要素進(jìn)行檢測(cè)，采集防火墻、入侵防御系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備的日志、告警等信息，并確保所獲取數(shù)據(jù)的準(zhǔn)確性，以保證后續(xù)所做的決策基于事實(shí)。

理解：在獲取大量網(wǎng)絡(luò)安全數(shù)據(jù)的基礎(chǔ)上，通過解析信息之間的關(guān)聯(lián)性，對(duì)其進(jìn)行融合和分析，了解網(wǎng)絡(luò)攻擊造成的影響、判斷攻擊者的行為意圖及當(dāng)前態(tài)勢(shì)發(fā)生的原因和方式，得出網(wǎng)絡(luò)的整體安全狀況。

預(yù)測(cè)：基于對(duì)網(wǎng)絡(luò)環(huán)境信息的感知和理解，獲取、處理及分析歷史和當(dāng)前的態(tài)勢(shì)數(shù)據(jù)，采用定量、定性預(yù)測(cè)方式探尋態(tài)勢(shì)數(shù)據(jù)之間的變化規(guī)律，預(yù)測(cè)未來網(wǎng)絡(luò)安全狀況的發(fā)展趨勢(shì)，并給出相應(yīng)的應(yīng)對(duì)措施。

3 基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建

隨著智能技術(shù)在圖書館建設(shè)中的應(yīng)用，圖書館的智慧化程度越來越高，智慧圖書館網(wǎng)絡(luò)空間涵蓋了圖書館的基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、硬件設(shè)備等［4］，網(wǎng)絡(luò)安全在智慧圖書館建設(shè)與服務(wù)中具有重要作用。因此，需要構(gòu)建牢固可靠的網(wǎng)絡(luò)安全防護(hù)體系，有效提高圖書館的安全水平，保障智慧圖書館穩(wěn)定運(yùn)行，為用戶提供安全可靠的智慧服務(wù)。

基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系通過在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)部署探針和數(shù)據(jù)收集程序來監(jiān)聽、檢測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)流及各種網(wǎng)絡(luò)行為，對(duì)網(wǎng)絡(luò)中的安全要素進(jìn)行掃描、采集、核查后將獲取到的信息傳輸和存儲(chǔ)到安全感知平臺(tái)。安全感知平臺(tái)對(duì)收集到的各網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)進(jìn)行分析，將分析結(jié)果以圖形化的方式直觀展現(xiàn)，并利用機(jī)器學(xué)習(xí)進(jìn)行風(fēng)險(xiǎn)建模，檢測(cè)異常行為，安全人員基于威脅情報(bào)采用管理分析技術(shù)確定已發(fā)生或潛在的安全威脅，從而實(shí)現(xiàn)安全態(tài)勢(shì)可感知、安全威脅可預(yù)警、異常行為可追溯的目的。

3.1 體系架構(gòu)

基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系是利用用戶行為關(guān)聯(lián)分析技術(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行安全檢測(cè)和預(yù)警，形成持續(xù)檢測(cè)、快速響應(yīng)的技術(shù)架構(gòu)。通過部署潛伏威脅探針和安全感知平臺(tái)，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解和顯示，預(yù)測(cè)近期的發(fā)展趨勢(shì)和未來的安全狀態(tài)?；趹B(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)見圖1。

圖1 基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)

如圖1 所示，在核心交換層與內(nèi)部網(wǎng)絡(luò)區(qū)域部署潛伏威脅探針，通過網(wǎng)絡(luò)流量鏡像的方式識(shí)別網(wǎng)段內(nèi)各類業(yè)務(wù)資產(chǎn)和用戶行為，提取網(wǎng)絡(luò)環(huán)境中相關(guān)安全對(duì)象的狀態(tài)、屬性和動(dòng)態(tài)等信息，對(duì)捕捉到的網(wǎng)絡(luò)信息進(jìn)行檢測(cè)，然后將其提交至安全感知平臺(tái)。安全感知平臺(tái)對(duì)各節(jié)點(diǎn)安全檢測(cè)探針的數(shù)據(jù)進(jìn)行收集，對(duì)當(dāng)前網(wǎng)絡(luò)的信息特征進(jìn)行關(guān)聯(lián)、組合和分析，從而了解當(dāng)前網(wǎng)絡(luò)的總體安全態(tài)勢(shì)，檢測(cè)和發(fā)現(xiàn)安全事件，分析評(píng)估網(wǎng)絡(luò)的脆弱點(diǎn)和被攻擊的過程，以可視化的形式進(jìn)行呈現(xiàn)，并由安全人員基于威脅情報(bào)關(guān)聯(lián)進(jìn)行分析處理，預(yù)測(cè)網(wǎng)絡(luò)中的安全事件和網(wǎng)絡(luò)安全態(tài)勢(shì)在未來一段時(shí)間的發(fā)展趨勢(shì)。

3.2 實(shí)現(xiàn)方式

網(wǎng)絡(luò)安全態(tài)勢(shì)感知防護(hù)體系的實(shí)現(xiàn)方式主要包括數(shù)據(jù)采集、數(shù)據(jù)處理、態(tài)勢(shì)評(píng)估、態(tài)勢(shì)預(yù)測(cè)等。此外，安全人員和威脅情報(bào)也是與網(wǎng)絡(luò)安全態(tài)勢(shì)感知防護(hù)體系密切相關(guān)的內(nèi)容。

3.2.1 數(shù)據(jù)采集

通過軟硬件技術(shù)相結(jié)合的方式采集網(wǎng)絡(luò)安全數(shù)據(jù)，并從這些海量網(wǎng)絡(luò)數(shù)據(jù)中抽取影響安全態(tài)勢(shì)的關(guān)鍵信息，為態(tài)勢(shì)理解和預(yù)測(cè)打下數(shù)據(jù)基礎(chǔ)。數(shù)據(jù)的采集處理對(duì)整個(gè)態(tài)勢(shì)的提取、分析和呈現(xiàn)有著重要的影響。數(shù)據(jù)采集過程中需要對(duì)每種數(shù)據(jù)源進(jìn)行詳細(xì)分析，明確采集的位置點(diǎn)，核算其存儲(chǔ)空間和保存周期，制訂出合理的數(shù)據(jù)采集計(jì)劃。根據(jù)具體情況和實(shí)際應(yīng)用，針對(duì)性地選取容易造成入侵威脅、引起負(fù)面影響的位置所產(chǎn)生的數(shù)據(jù)，通過SNMP、Telnet、SSH 或數(shù)據(jù)采集工具采集數(shù)據(jù)。

在采集數(shù)據(jù)時(shí)，應(yīng)當(dāng)盡量降低數(shù)據(jù)冗余，避免采集重復(fù)、無用的數(shù)據(jù)。也就是說，采集點(diǎn)的位置盡可能是單一獲得目標(biāo)數(shù)據(jù)的位置，而不是隨意部署、容易引起重復(fù)采集的位置。此外，還應(yīng)考慮數(shù)據(jù)采集的覆蓋面，在采集數(shù)據(jù)時(shí)通常會(huì)優(yōu)先考慮邊界設(shè)備，如防火墻等。雖然這些邊界設(shè)備上產(chǎn)生的數(shù)據(jù)量相對(duì)來說更重要，但內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)同樣有價(jià)值。因此，在進(jìn)行采集點(diǎn)部署時(shí)應(yīng)當(dāng)兼顧邊界和內(nèi)部網(wǎng)絡(luò)，盡量覆蓋所有數(shù)據(jù)流發(fā)生的地方，這樣才不會(huì)因遺漏而對(duì)后續(xù)分析和態(tài)勢(shì)理解造成影響。

3.2.2 數(shù)據(jù)處理

由于網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)量巨大，采集的數(shù)據(jù)可能存在數(shù)據(jù)重復(fù)、數(shù)據(jù)偏差等情況，因此要進(jìn)行數(shù)據(jù)清洗，提高數(shù)據(jù)質(zhì)量，從而提高分析結(jié)果的質(zhì)量。此外，由于網(wǎng)絡(luò)環(huán)境中的各種設(shè)備信息、安全告警信息及網(wǎng)絡(luò)流量信息等數(shù)據(jù)的多源異構(gòu)性，還需要對(duì)獲取的多源數(shù)據(jù)進(jìn)行融合處理，以得到準(zhǔn)確的網(wǎng)絡(luò)安全態(tài)勢(shì)信息。

數(shù)據(jù)清洗是對(duì)不同來源、不同格式的數(shù)據(jù)進(jìn)行去重、格式轉(zhuǎn)換等操作，去除無關(guān)的數(shù)據(jù)，并以網(wǎng)絡(luò)攻擊知識(shí)庫、網(wǎng)絡(luò)威脅情報(bào)庫、黑白名單庫等為基礎(chǔ)，在海量原始數(shù)據(jù)規(guī)整過程中同步進(jìn)行數(shù)據(jù)標(biāo)注，將異常、報(bào)警、威脅等關(guān)鍵信息標(biāo)記出來，形成精準(zhǔn)的基礎(chǔ)安全數(shù)據(jù)。數(shù)據(jù)融合是對(duì)清洗后的數(shù)據(jù)進(jìn)行多級(jí)別、多層次的處理，充分利用其冗余性和互補(bǔ)性，以獲得更高精度、概率或置信度的信息，從而為感知過程提供保障，以便更準(zhǔn)確地生成網(wǎng)絡(luò)態(tài)勢(shì)信息。

3.2.3 態(tài)勢(shì)評(píng)估

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是以各類網(wǎng)絡(luò)安全設(shè)備所采集的安全數(shù)據(jù)和事件為基礎(chǔ)，通過提取、過濾和關(guān)聯(lián)分析，并根據(jù)當(dāng)前網(wǎng)絡(luò)安全評(píng)估的需要，選取并借助合適的數(shù)學(xué)模型進(jìn)行計(jì)算和評(píng)價(jià)，得到當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估結(jié)果，分析網(wǎng)絡(luò)安全狀態(tài)所處的階段及遭受攻擊后所造成的影響，從而全面掌握網(wǎng)絡(luò)整體的安全狀況。

通過網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估對(duì)網(wǎng)絡(luò)系統(tǒng)整體的運(yùn)行狀況、漏洞情況、所遭受安全威脅的影響范圍與程度等進(jìn)行綜合評(píng)估，全面掌握當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)，提前發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患，以便在網(wǎng)絡(luò)攻擊發(fā)生之前對(duì)這些威脅采取遏制和阻止措施，使系統(tǒng)免受攻擊和破壞，網(wǎng)絡(luò)安全得到充分保護(hù)。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的重要作用是為安全防護(hù)手段的實(shí)施提供強(qiáng)有力的支持［5］。通過對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行評(píng)估，得出安全事件對(duì)網(wǎng)絡(luò)的影響后，才能對(duì)未來的網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)，從而及時(shí)選擇安全防護(hù)手段。

3.2.4 態(tài)勢(shì)預(yù)測(cè)

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)為態(tài)勢(shì)感知的最高層級(jí)，是指根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)的歷史信息和當(dāng)前狀態(tài)對(duì)網(wǎng)絡(luò)未來一段時(shí)間的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)［6］。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的內(nèi)容包括對(duì)當(dāng)前正在發(fā)生的網(wǎng)絡(luò)攻擊事件的演化進(jìn)行預(yù)測(cè)，對(duì)未來可能發(fā)生的網(wǎng)絡(luò)攻擊行為進(jìn)行預(yù)測(cè)，對(duì)網(wǎng)絡(luò)安全整體態(tài)勢(shì)進(jìn)行預(yù)測(cè)等。

網(wǎng)絡(luò)攻擊具有隨機(jī)性和不確定性，因此網(wǎng)絡(luò)安全態(tài)勢(shì)變化是一個(gè)復(fù)雜的非線性過程。態(tài)勢(shì)預(yù)測(cè)首先獲取歷史態(tài)勢(shì)數(shù)據(jù)序列，運(yùn)用技術(shù)方法處理和變換當(dāng)前態(tài)勢(shì)數(shù)據(jù)序列，然后通過建立預(yù)測(cè)模型分析安全態(tài)勢(shì)數(shù)據(jù)序列之間的關(guān)系，得出發(fā)展變化規(guī)律，提前估計(jì)事件將來的變化趨勢(shì)，獲取未來安全狀況的可能情形，同時(shí)對(duì)尚未發(fā)生的事件和情況進(jìn)行預(yù)先判斷和估計(jì)，做出定性或定量的描述，發(fā)布預(yù)警，為安全人員制定正確的規(guī)劃、決策提供參考依據(jù)。

3.2.5 安全人員

盡管網(wǎng)絡(luò)安全態(tài)勢(shì)感知有大數(shù)據(jù)平臺(tái)加持，以及各類數(shù)據(jù)處理和安全分析工具輔助，但有時(shí)仍需要人工進(jìn)行一系列的調(diào)查取證和安全分析等操作，以準(zhǔn)確判斷某些網(wǎng)絡(luò)安全事件的發(fā)生和嚴(yán)重程度。因此，在基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系中，專門從事網(wǎng)絡(luò)安全工作、解決網(wǎng)絡(luò)安全問題的安全人員是態(tài)勢(shì)感知的決定性因素，是組織進(jìn)行網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵所在。根據(jù)在態(tài)勢(shì)感知中所從事的工作內(nèi)容和角色崗位的不同，安全人員大致分為首席安全官、安全架構(gòu)師、安全工程師、安全分析師、數(shù)據(jù)恢復(fù)工程師等。

首席安全官是整個(gè)組織機(jī)構(gòu)網(wǎng)絡(luò)安全的最高負(fù)責(zé)人，主要負(fù)責(zé)設(shè)計(jì)安全框架、選擇網(wǎng)絡(luò)安全防護(hù)策略或決定網(wǎng)絡(luò)安全響應(yīng)措施，并在其組織機(jī)構(gòu)中推行和落實(shí)有關(guān)標(biāo)準(zhǔn)和法規(guī)。安全架構(gòu)師主要負(fù)責(zé)組織內(nèi)不同安全領(lǐng)域的技術(shù)架構(gòu)和安全系統(tǒng)的設(shè)計(jì)，并提出合理的網(wǎng)絡(luò)安全解決方案。安全工程師主要負(fù)責(zé)分析網(wǎng)絡(luò)現(xiàn)狀，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估和安全加固，在檢測(cè)發(fā)現(xiàn)安全事件或攻擊行為時(shí)，觸發(fā)應(yīng)急響應(yīng)操作。安全分析師主要負(fù)責(zé)在出現(xiàn)網(wǎng)絡(luò)攻擊或安全事件時(shí)，通過調(diào)查取證和安全分析等評(píng)估安全事件對(duì)網(wǎng)絡(luò)和業(yè)務(wù)服務(wù)造成的危害，并提出合適的安全解決方案。數(shù)據(jù)恢復(fù)工程師主要負(fù)責(zé)在系統(tǒng)和數(shù)據(jù)遭受攻擊時(shí)，通過采用專業(yè)軟硬件工具對(duì)出現(xiàn)問題的存儲(chǔ)介質(zhì)進(jìn)行檢測(cè)處理，恢復(fù)上面的有效數(shù)據(jù)。

3.2.6 威脅情報(bào)

威脅情報(bào)是指通過各種來源獲取環(huán)境所面臨威脅的相關(guān)知識(shí)。通過大數(shù)據(jù)的收集方法獲取并形成最全、最新的安全事件數(shù)據(jù)集，以提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知工作中對(duì)新型和高級(jí)危險(xiǎn)的察覺能力［7］。在基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系中，安全人員采取一定手段獲取威脅情報(bào)，對(duì)其進(jìn)行分析并采取相應(yīng)的保護(hù)措施。通過威脅情報(bào)可以知曉攻擊者的原貌、攻擊目標(biāo)、攻擊手段、攻擊程度、攻擊后果及如何補(bǔ)救。

威脅情報(bào)主要來源于網(wǎng)絡(luò)系統(tǒng)內(nèi)部和外部?jī)蓚€(gè)方面。內(nèi)部威脅情報(bào)可以參考網(wǎng)絡(luò)安全態(tài)勢(shì)感知的安全數(shù)據(jù)來源，即網(wǎng)絡(luò)安全態(tài)勢(shì)感知收集到的被保護(hù)網(wǎng)絡(luò)中的各類安全數(shù)據(jù)和信息。外部威脅情報(bào)來源相對(duì)復(fù)雜，也更為重要。從第三方來源收集外部威脅數(shù)據(jù)，并將這些數(shù)據(jù)與收集來的內(nèi)部威脅情報(bào)數(shù)據(jù)相關(guān)聯(lián)，最終建立專用完備的情報(bào)。無論是從內(nèi)部采集的信息，還是從外部獲取的信息，最后都將被融合起來，由安全人員進(jìn)行統(tǒng)一分析處理，從而發(fā)現(xiàn)攻擊者的行為蹤跡并幫助安全人員做出更好的決策。

3.3 應(yīng)用效果

基于態(tài)勢(shì)感知技術(shù)構(gòu)建的智慧圖書館網(wǎng)絡(luò)安全防護(hù)體系能夠?qū)崿F(xiàn)業(yè)務(wù)資產(chǎn)、業(yè)務(wù)系統(tǒng)應(yīng)用及流量的可視化，將網(wǎng)絡(luò)安全態(tài)勢(shì)，包括攻擊、漏洞、失陷主機(jī)、安全事件、操作行為等信息，通過可視化的方式統(tǒng)一進(jìn)行展現(xiàn)［8］?；趹B(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系能夠?qū)I(yè)務(wù)資產(chǎn)異常行為、內(nèi)外攻擊行為、違規(guī)訪問行為進(jìn)行實(shí)時(shí)檢測(cè)與報(bào)警，并對(duì)整體安全態(tài)勢(shì)進(jìn)行把握和評(píng)價(jià)，然后進(jìn)行有效的安全決策分析。

通過部署安全檢測(cè)探針，網(wǎng)絡(luò)系統(tǒng)可主動(dòng)發(fā)現(xiàn)和有效監(jiān)控網(wǎng)絡(luò)系統(tǒng)中的所有業(yè)務(wù)資產(chǎn)，并對(duì)已識(shí)別的資產(chǎn)進(jìn)行安全評(píng)估。通過訪問關(guān)系圖學(xué)習(xí)展示網(wǎng)絡(luò)、用戶及業(yè)務(wù)系統(tǒng)之間的訪問關(guān)系，實(shí)現(xiàn)了對(duì)業(yè)務(wù)系統(tǒng)的應(yīng)用、流量、會(huì)話數(shù)等感知態(tài)勢(shì)信息的可視化呈現(xiàn)，提供了易于直觀理解和使用態(tài)勢(shì)感知技術(shù)的方式。結(jié)合全網(wǎng)的資產(chǎn)及訪問關(guān)系，對(duì)業(yè)務(wù)資產(chǎn)在非正常時(shí)間主動(dòng)發(fā)起的請(qǐng)求、業(yè)務(wù)主動(dòng)向外發(fā)起的非正常請(qǐng)求、越過邊界防護(hù)或以內(nèi)部主機(jī)為跳板的橫向攻擊等異常行為和違規(guī)訪問業(yè)務(wù)系統(tǒng)的行為進(jìn)行檢測(cè)和預(yù)警，防止進(jìn)一步的攻擊?；趹B(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系以大數(shù)據(jù)、機(jī)器學(xué)習(xí)、深度分析、可視化為技術(shù)基礎(chǔ)，將異常流量監(jiān)測(cè)、數(shù)據(jù)深度挖掘、安全策略解析、威脅情報(bào)分析等多種功能進(jìn)行融合，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)感知、攻擊行為的準(zhǔn)確發(fā)現(xiàn)和預(yù)測(cè)等，提升了網(wǎng)絡(luò)的安全運(yùn)行和管理維護(hù)效率。

4 結(jié)語

隨著智慧圖書館建設(shè)的廣泛開展，圖書館數(shù)據(jù)中心業(yè)務(wù)的快速增長(zhǎng)，各類業(yè)務(wù)應(yīng)用對(duì)網(wǎng)絡(luò)安全的要求也越來越高?；趹B(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系能夠適配智慧圖書館的網(wǎng)絡(luò)安全需求，通過對(duì)網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為及用戶行為等的變化進(jìn)行獲取、理解、分析、評(píng)估，進(jìn)一步對(duì)未來發(fā)展趨勢(shì)進(jìn)行預(yù)判和預(yù)警，全方位感知智慧圖書館網(wǎng)絡(luò)安全態(tài)勢(shì)，有利于形成較強(qiáng)的網(wǎng)絡(luò)安全防御體系和應(yīng)急響應(yīng)工作體系［9］，進(jìn)而有效提高網(wǎng)絡(luò)信息的安全性和可靠性，提升網(wǎng)絡(luò)安全運(yùn)行和管理維護(hù)效率，為智慧圖書館開展各項(xiàng)智慧服務(wù)提供安全保障。構(gòu)建基于態(tài)勢(shì)感知的網(wǎng)絡(luò)安全防護(hù)體系是針對(duì)攻擊行為的主動(dòng)防御，現(xiàn)有的很多關(guān)鍵技術(shù)難點(diǎn)還需要進(jìn)一步突破，如如何獲取較高層次的網(wǎng)絡(luò)安全信息數(shù)據(jù)、準(zhǔn)確高效地預(yù)測(cè)態(tài)勢(shì)發(fā)展趨勢(shì)等。盡管大數(shù)據(jù)、人工智能和機(jī)器學(xué)習(xí)的出現(xiàn)和快速發(fā)展對(duì)態(tài)勢(shì)感知獲取較高層次信息起到一定的推動(dòng)作用，但目前網(wǎng)絡(luò)安全態(tài)勢(shì)感知的自動(dòng)化程度仍較低，對(duì)此類關(guān)鍵技術(shù)難點(diǎn)的突破將是實(shí)現(xiàn)態(tài)勢(shì)感知和主動(dòng)防御的重要環(huán)節(jié)。