王志奇 陳宇 雷亞

1. 河南省公安廳網(wǎng)絡(luò)安全保衛(wèi)總隊 2. 鄭州信大天瑞信息技術(shù)有限公司

引言

隨著我國信息化建設(shè)步伐的加快，信息系統(tǒng)建設(shè)已經(jīng)達到了一個相當?shù)囊?guī)模，據(jù)有關(guān)部門統(tǒng)計，目前我國各行業(yè)重要系統(tǒng)的數(shù)量（等級保護第三級以上的系統(tǒng)）已經(jīng)達到數(shù)萬個。這些系統(tǒng)中承載著我國各行業(yè)的重要業(yè)務(wù)，正發(fā)揮越來越重要的作用，成為我國的關(guān)鍵信息基礎(chǔ)設(shè)施。

與此同時，國內(nèi)國外均有大量針對我國網(wǎng)絡(luò)空間“第五疆域”的安全威脅。國外，有組織的黑客攻擊破壞活動頻發(fā)；國內(nèi)，各類網(wǎng)絡(luò)安全事件嚴重影響著社會秩序。這些問題均暴露了我國目前重要信息系統(tǒng)安全防護能力和網(wǎng)絡(luò)安全事件監(jiān)測預(yù)警手段的不足。因此，我國已將網(wǎng)絡(luò)空間安全問題提升到國家安全戰(zhàn)略的高度，加強和完善網(wǎng)絡(luò)安全監(jiān)測預(yù)警與主動防御能力刻不容緩。針對這一問題，以云計算、大數(shù)據(jù)為代表的新技術(shù)在促進數(shù)據(jù)信息應(yīng)用和提升協(xié)同計算能力方面成效卓著，為問題的解決提供了可適用的參考模式。因此，面對當前嚴峻的互聯(lián)網(wǎng)安全形勢，有必要引入新的技術(shù)理念，建設(shè)基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢分析平臺，實現(xiàn)對安全風(fēng)險的實時監(jiān)測與精準預(yù)警，以及對網(wǎng)絡(luò)安全態(tài)勢的全面感知和響應(yīng)，有效對抗各類新型安全威脅。

基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢分析平臺正是在這樣的背景下研發(fā)，旨在提高公安機關(guān)網(wǎng)絡(luò)安全監(jiān)管部門及各行業(yè)信息系統(tǒng)運維管理部門的網(wǎng)絡(luò)安全態(tài)勢感知能力，增強我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的整體防護能力，網(wǎng)絡(luò)安全事件應(yīng)急處置與網(wǎng)絡(luò)功能恢復(fù)能力，以及依法偵查打擊針對和利用關(guān)鍵信息基礎(chǔ)設(shè)施實施的違法犯罪活動的能力。

一、公安行業(yè)需求分析

經(jīng)過十多年的高速信息化發(fā)展建設(shè)，我國各地關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)均逐步完成了安全功能和產(chǎn)品的基礎(chǔ)建設(shè)。為各級政務(wù)外網(wǎng)、各政府及企事業(yè)單位互聯(lián)網(wǎng)站服務(wù)的大量安全產(chǎn)品已可以在較大程度上滿足其基本安全需求，能夠有效完成訪問控制、入侵偵測、漏洞掃描、防病毒等具體的安全功能和技術(shù)需求。

但是，隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境的不斷變化及日益復(fù)雜，網(wǎng)絡(luò)安全事件仍然層出不窮。

2017年6月1日起，《中華人民共和國網(wǎng)絡(luò)安全法》正式落地實施，根據(jù)第一章第8條的要求，公安部門作為依照本法律及有關(guān)法律、行政法規(guī)負責網(wǎng)絡(luò)安全保護及監(jiān)督管理的主體單位，肩負著實施我國境內(nèi)的重要信息系統(tǒng)安全監(jiān)管、網(wǎng)絡(luò)與信息安全信息通報、打擊與預(yù)防網(wǎng)絡(luò)違法犯罪等重要的職責。然而，各級公安網(wǎng)絡(luò)安全監(jiān)管部門逐漸發(fā)現(xiàn)，僅僅依托于用戶信息系統(tǒng)環(huán)境中部署的各類基礎(chǔ)安全措施，無法準確把握所轄區(qū)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)的底數(shù)，對其轄區(qū)安全態(tài)勢的感知及全局把握能力、對突發(fā)安全事件的應(yīng)急處理能力、對大規(guī)模安全事件的協(xié)調(diào)處理能力、網(wǎng)絡(luò)安全犯罪行為的追查處置能力等，均難以有效提升。各地各級公安部門在執(zhí)行《網(wǎng)絡(luò)安全法》賦予的職責的同時，普遍面臨著以下幾種突出的問題：

（1）網(wǎng)絡(luò)攻防雙方的技術(shù)力量不對等帶來的系統(tǒng)修復(fù)滯后，導(dǎo)致網(wǎng)絡(luò)安全事件不可能完全避免；

（2）等級保護制度雖然已實施多年，但由于欠缺實施技術(shù)手段、管理流程自動化水平較低等，其覆蓋范圍、實施精度和深度等均有待加強；

（3）由于缺乏網(wǎng)絡(luò)安全事件研判手段及有效的技術(shù)工具支撐，對網(wǎng)絡(luò)安全事件的研判能力較低，從而導(dǎo)致相關(guān)通報的權(quán)威性受到一定程度的影響；

（4）由于缺乏有效的網(wǎng)絡(luò)安全預(yù)警發(fā)布及通告平臺，當發(fā)現(xiàn)安全事件預(yù)警信息時，預(yù)警信息往往難以及時發(fā)布和通知，造成了對病毒、攻擊等安全事件擴散的控制能力較弱；

（5）由于缺乏針對安全事件的分析及應(yīng)急處置平臺，網(wǎng)絡(luò)安全事件發(fā)生時的應(yīng)急處置流程往往規(guī)范性較差，并且缺乏針對多項相關(guān)安全事件的關(guān)聯(lián)分析能力，不利于事件的及時處置及相關(guān)案件的分析判斷；

（6）由于缺乏網(wǎng)絡(luò)安全事件發(fā)生機理的分析手段及技術(shù)能力，事件發(fā)生后往往無法定位和發(fā)現(xiàn)攻擊者，導(dǎo)致事件線索難以轉(zhuǎn)化為公安部門的案件線索，并且針對目前猖獗的網(wǎng)絡(luò)犯罪行為，事件溯源及案件取證都缺乏有力的手段。

以上各項問題，最終導(dǎo)致了大量網(wǎng)絡(luò)安全事件及網(wǎng)絡(luò)安全違法犯罪行為無法得到及時處置、大量犯罪人員無法定位和處理、網(wǎng)絡(luò)環(huán)境的治理效果較差、網(wǎng)絡(luò)公共空間安全秩序混亂等后果。

基于以上問題，各級公安機關(guān)亟需建設(shè)立足于頂層視角、旨在網(wǎng)絡(luò)安全態(tài)勢感知與協(xié)同處理的基于大數(shù)據(jù)的安全分析平臺，協(xié)助網(wǎng)絡(luò)安全監(jiān)管部門掌握網(wǎng)絡(luò)安全態(tài)勢，提升網(wǎng)絡(luò)安全事件的防范能力，有力打擊和預(yù)防網(wǎng)絡(luò)違法犯罪行為。

二、平臺系統(tǒng)

（一）設(shè)計思路及理論依據(jù)

1. R3-AST風(fēng)險管理思路

在進行信息安全系統(tǒng)的建設(shè)和運行工作中，風(fēng)險管理是一個根本性的思路。風(fēng)險管理思路已經(jīng)被業(yè)界廣泛認可。

在《信息安全技術(shù)信息安全風(fēng)險評估》（GB/T 20984-2007）規(guī)范中，比較全面地闡述了風(fēng)險管理的幾個主要要素，并詳盡而準確地闡述了各要素之間的關(guān)系。上圖中的每一個要素，都可以成為風(fēng)險管理乃至信息安全管理工作中的要點。

風(fēng)險要素模型有不同的形式，為了能夠更好地抓住風(fēng)險管理的線索，便于實際工作，將上述風(fēng)險10要素（含風(fēng)險）總結(jié)為風(fēng)險三要素（不含風(fēng)險），如圖2所示。

在國家標準中的10要素，業(yè)務(wù)戰(zhàn)略、資產(chǎn)、資產(chǎn)價值被合并為本模型的資產(chǎn)；安全需求和安全措施被合并為保障措施；脆弱性、威脅（狹義）、安全事件被合并為廣義的威脅；風(fēng)險和殘余風(fēng)險都是風(fēng)險。

通過風(fēng)險的三要素，可以抓住風(fēng)險管理的實質(zhì)。也就是被保護的“資產(chǎn)”，可能產(chǎn)生侵害的“威脅”，防范威脅保護資產(chǎn)的“保障措施”。

在一個實際的信息安全保障體系中，必須全面考慮資產(chǎn)、威脅和保障措施這三個方面，片面地考慮一個或者兩個，都可能產(chǎn)生遺漏和偏離。所以說，R3-AST的風(fēng)險三要素思路，充分體現(xiàn)了信息安全特征的思路，需要在整個方案中得到體現(xiàn)，也要在實際的執(zhí)行過程中不斷反省。

2. 遵循的國際國內(nèi)標準和規(guī)范

平臺在研制設(shè)計過程中，遵循的相關(guān)技術(shù)標準和規(guī)范主要包括：

（1）信息安全運營中心系統(tǒng)建設(shè)服從信息安全風(fēng)險評估方法——按照國信辦頒發(fā)的《關(guān)于印發(fā)<信息安全風(fēng)險評估指南>的通知》（國信辦[2006]9號）；

（2）ISO 27001信息安全管理體系國際標準；

（3）公安部頒布的《信息安全等級保護管理辦法（試行）》及相關(guān)規(guī)定；

（4）CCISO 15408 和GB/T 18336 信息技術(shù)安全性評估準則；

（5）GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范；

（6）ISO-13335 IT 安全管理指南。

（二）技術(shù)架構(gòu)

平臺的基本架構(gòu)如圖3所示。

平臺基本架構(gòu)根據(jù)系統(tǒng)處理流程可分為數(shù)據(jù)采集、匯聚處理、資源存儲、分析挖掘、業(yè)務(wù)應(yīng)用、展示顯示六個層次，其中：

1. 數(shù)據(jù)采集層

通過收集與網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)的互聯(lián)網(wǎng)數(shù)據(jù)、重點單位監(jiān)測數(shù)據(jù)、信息安全企業(yè)相關(guān)數(shù)據(jù)、G01攻擊監(jiān)測數(shù)據(jù)、專家系統(tǒng)分析數(shù)據(jù)、等保相關(guān)數(shù)據(jù)、其他網(wǎng)安業(yè)務(wù)相關(guān)數(shù)據(jù)、其他共享交換數(shù)據(jù)等，為安全態(tài)勢感知業(yè)務(wù)應(yīng)用的實現(xiàn)提供數(shù)據(jù)基礎(chǔ)。

2. 匯聚處理層

根據(jù)統(tǒng)一規(guī)范的數(shù)據(jù)標準，將數(shù)據(jù)采集層收集到的數(shù)據(jù)進行歸類整理，形成統(tǒng)一格式的數(shù)據(jù)，將其送入資源存儲層實施存儲，留待后續(xù)分析處理。

3. 資源存儲層

利用大數(shù)據(jù)存儲技術(shù)，集中存儲經(jīng)匯聚處理層歸類整理過的規(guī)范化數(shù)據(jù)。

4. 分析挖掘?qū)?/p>

針對業(yè)務(wù)應(yīng)用層的數(shù)據(jù)分析要求，利用聚類分析、神經(jīng)網(wǎng)絡(luò)等大數(shù)據(jù)分析挖掘及知識發(fā)現(xiàn)技術(shù)，對海量安全相關(guān)數(shù)據(jù)進行深度分析挖掘，形成知識化數(shù)據(jù)，為業(yè)務(wù)應(yīng)用層提供數(shù)據(jù)結(jié)果支撐。

5. 業(yè)務(wù)應(yīng)用層

根據(jù)平臺功能設(shè)計系統(tǒng)業(yè)務(wù)流程，利用分析挖掘?qū)拥臄?shù)據(jù)分析結(jié)果，為追蹤溯源、事件應(yīng)急、重大活動安保等網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)業(yè)務(wù)流程的實施提供平臺及手段。

6. 展示顯示層

利用可視化技術(shù)，將看似混亂無序的各類安全數(shù)據(jù)轉(zhuǎn)化成直觀的可視化信息，形成明晰且直觀的實時網(wǎng)絡(luò)安全感知，為公安部門網(wǎng)絡(luò)安全管理業(yè)務(wù)的實施提供便利的決策手段。

（三）核心技術(shù)與創(chuàng)新優(yōu)勢

基于大數(shù)據(jù)的安全分析平臺，通過在安全全要素數(shù)據(jù)采集、安全事件分析研判、安全事件通報處置等領(lǐng)域開展新技術(shù)應(yīng)用研究，推進公安機關(guān)與其他網(wǎng)絡(luò)安全監(jiān)督職能部門、行業(yè)單位、信息安全企業(yè)、專家團隊等協(xié)同聯(lián)動，能夠協(xié)助平臺用戶構(gòu)建起條塊結(jié)合、縱橫互通的數(shù)據(jù)通道，形成威脅感知能力、應(yīng)急指揮調(diào)度能力等大規(guī)模網(wǎng)絡(luò)安全管理及應(yīng)急能力。平臺實現(xiàn)的主要技術(shù)創(chuàng)新包括：

1. 全要素高環(huán)境適應(yīng)性數(shù)據(jù)采集技術(shù)

在平臺設(shè)計中，數(shù)據(jù)采集模塊負責采集與安全相關(guān)的海量異構(gòu)數(shù)據(jù)。針對安全態(tài)勢分析與安全趨勢預(yù)測等功能技術(shù)要求，為了完整收集所有安全相關(guān)要素的數(shù)據(jù)，平臺設(shè)計中提出并實現(xiàn)了全要素高環(huán)境適應(yīng)性數(shù)據(jù)采集技術(shù)，將安全要素數(shù)據(jù)根據(jù)采集技術(shù)特點的不同分為了三大類型，并針對各類數(shù)據(jù)采取不同的采集技術(shù)進行數(shù)據(jù)收集。具體分類方式為：

第一類，威脅探測器采集數(shù)據(jù)：通過在現(xiàn)網(wǎng)安全域的關(guān)鍵位置部署相應(yīng)的網(wǎng)絡(luò)威脅采集引擎，可對全網(wǎng)安全威脅包括業(yè)務(wù)系統(tǒng)漏洞、應(yīng)用配置問題、安全事件、病毒木馬等安全威脅進行監(jiān)測；對用戶網(wǎng)絡(luò)資產(chǎn)信息、內(nèi)外部威脅情報進行采集；

第二類，高頻數(shù)據(jù)：也就是通常所說的大數(shù)據(jù)，以海量、高速、異構(gòu)為特征，主要有外部流、運行狀態(tài)和性能數(shù)據(jù)、日志和事件、原始流量鏡像包和Flow流數(shù)據(jù)等，通過高速數(shù)據(jù)總線采集；

第三類，低頻數(shù)據(jù)：包括常見的資產(chǎn)信息、配置信息、弱點信息、身份信息和威脅情報等，通過低頻數(shù)據(jù)總線進行采集。

除此之外，基于大數(shù)據(jù)的安全分析平臺還擁有三個可選對接維度的數(shù)據(jù)源：（1）平臺集成了創(chuàng)新的威脅情報體系，可有效獲取與外部情報相結(jié)合的威脅信息；（2）平臺可與運維平臺對接，實現(xiàn)內(nèi)網(wǎng)運營情境數(shù)據(jù)采集，包括內(nèi)部人員行為審計日志、日常網(wǎng)絡(luò)運行安全數(shù)據(jù)、漏洞管理信息等；（3）系統(tǒng)可接收來自公安部一所G01系統(tǒng)的互聯(lián)網(wǎng)安防業(yè)務(wù)數(shù)據(jù)。

2. 全業(yè)務(wù)流程安全分析技術(shù)

任何業(yè)務(wù)化平臺要得到好的應(yīng)用效果，都必須在用戶交互環(huán)節(jié)設(shè)計合理、完備的業(yè)務(wù)流程。在這方面，基于大數(shù)據(jù)的安全分析平臺采用了全業(yè)務(wù)流程安全分析技術(shù)，在交互部分設(shè)計實現(xiàn)了以下四大業(yè)務(wù)流程分析功能，為安全管理人員提供了可靠的態(tài)勢感知、安全事件處理能力及漏洞、情報預(yù)警能力：

（1）安全監(jiān)測：輔助用戶對重點部位、專項威脅、特定對象開展監(jiān)測工作。同時對網(wǎng)頁篡改、網(wǎng)站掛馬、流量告警、入侵檢測事件等網(wǎng)站安全狀態(tài)信息進行全面監(jiān)測。能夠?qū)Ψ侵匾獔缶M行智能過濾，解決傳統(tǒng)監(jiān)控設(shè)備（如IDS）大量報警導(dǎo)致威脅分析和處理難的問題，不再需要使用者在海量的日志數(shù)據(jù)中進行人工分析，提高使用者的工作效率。

（2）態(tài)勢分析：從宏觀方面分析整個互聯(lián)網(wǎng)的總體安全狀況，包括各類網(wǎng)絡(luò)安全威脅態(tài)勢分析和展示；從微觀方面提供對特定保護對象所受各種攻擊的趨勢分析和展示。此外，還提供網(wǎng)絡(luò)安全總體態(tài)勢的展示和呈現(xiàn)功能。

（3）漏洞預(yù)警：支持針對各種安全數(shù)據(jù)自動生成預(yù)警通報，包括Web站點漏洞信息、安全配置問題等，協(xié)助用戶對Web問題提早發(fā)現(xiàn)并及時整改，對未發(fā)現(xiàn)漏洞的攻擊事件及已發(fā)現(xiàn)漏洞的聯(lián)動攻擊事件進行通報預(yù)警。同時，通過漏洞掃描引擎達成資產(chǎn)感知能力。

（4）事件分析：通過對威脅數(shù)據(jù)的聚類和關(guān)聯(lián)挖掘有價值的威脅事件線索，對重點事件、嫌疑對象、跳板主機、攻擊溯源等提供分析支撐。采取的技術(shù)包括三元組分析、異常服務(wù)分析、攻擊者分析等，支持分析提供異常服務(wù)和參與對外攻擊的主機，支持分析挖掘疑似攻擊人員相關(guān)信息，并支持非技術(shù)化語言的威脅分析，以及對事件的關(guān)聯(lián)分析。

3. 第三方運維系統(tǒng)松耦合融合技術(shù)

作為一個復(fù)雜的安全管理平臺，為了減小用戶的整體IT管理工作量，降低平臺使用門檻，平臺設(shè)計中實現(xiàn)了第三方運維系統(tǒng)松耦合融合技術(shù)，較好地保障了平臺與第三方平臺的融合對接。平臺系統(tǒng)通過實現(xiàn)第三方運維系統(tǒng)松耦合融合技術(shù)，提供廣泛通用的接口支持能力，能夠有效地支持與各類業(yè)務(wù)信息系統(tǒng)、統(tǒng)一告警平臺、電子運維系統(tǒng)、網(wǎng)管系統(tǒng)、綜合拓撲監(jiān)控系統(tǒng)等的無縫對接。平臺滿足的接口原則包括：

（1）松耦合原則：此原則包括接口方式與信息模型的松耦合以及系統(tǒng)與外部信息源的松耦合兩個層面。其中接口方式與信息模型的松耦合要求需與本平臺進行接口的應(yīng)用系統(tǒng)均遵循統(tǒng)一的信息模型與本平臺進行信息交互。本平臺與外部信息源的松耦合要求通過接口的信息交互，不應(yīng)使本平臺與采集信息源或監(jiān)控對象之間存在強依賴的關(guān)系。

（2）可靠性原則：接口方式是信息模型的載體，無論采取何種接口方式，都保證所傳遞的信息是可靠、完整和一致的。接口可靠性不僅要求交互方式的可靠與穩(wěn)定，還要求接口的實現(xiàn)不能對參與接口的系統(tǒng)的可靠性造成任何不良影響，如當采集鏈路或程序異常時，不應(yīng)造成數(shù)據(jù)丟失以及對接口相關(guān)系統(tǒng)的正常工作造成影響。

適度冗余可以作為安全管理平臺接口的建設(shè)參考，以在某種接口方式失效時保證信息的正常交互。

（3）安全性原則：安全管理平臺與外部系統(tǒng)通過接口交互的信息有著不同的安全保密要求，如配置信息通常比安全事件信息更需要保密，根據(jù)信息的安全級別可采取內(nèi)網(wǎng)傳輸?shù)榷喾N方式進行保護。

（4）高效性原則：安全管理平臺的運行效率與接口效率密切相關(guān)，接口的高效性要求采用的接口方式與實現(xiàn)技術(shù)必須保證接口的暢通以及不會造成待交互信息的積壓或延遲。

（5）擴展性原則：接口的可擴展性包括多個層面的意義：

管理功能的可擴展性：接口的定義不應(yīng)限制安全管理平臺的功能實現(xiàn)，并且在將來安全管理平臺管理功能發(fā)生改變時，接口方式應(yīng)能繼續(xù)提供支持；

信息模型的可擴展性：隨著通信網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備及業(yè)務(wù)應(yīng)用必然發(fā)生變化，管理對象的種類和具體指標都會發(fā)生改變。無論采取何種接口方式，都應(yīng)能很好地支持信息模型的改變；

與其他系統(tǒng)的連通性：安全管理平臺也需要與其他系統(tǒng)互聯(lián)來交換信息，各系統(tǒng)之間建議采用統(tǒng)一、通用的接口方式進行互聯(lián)。

（6）成熟性原則：接口方式與實現(xiàn)應(yīng)當盡可能采用成熟的先進技術(shù)，與國際主流技術(shù)保持一致，從而使系統(tǒng)得到較好的投資保護。本系統(tǒng)要求采用標準接口模塊，支持多種接口模式。

（7）保留對被管對象的控制接口：大部分安全管理平臺接口，如與系統(tǒng)或應(yīng)用的接口，都以采集或監(jiān)視信息的上行為主要信息流向，建議接口方式也應(yīng)當支持控制信息的下行，即支持安全管理平臺對被管對象進行適當控制的擴展接口。

（8）自維護能力：安全管理平臺在異常發(fā)生后，可以向其他系統(tǒng)如統(tǒng)一告警平臺發(fā)出告警信息，提示監(jiān)控人員注意，并具有一定的自我恢復(fù)能力。

（四）功能服務(wù)

通過平臺的建設(shè)，各級公安部門能夠在數(shù)據(jù)采集、分析研判、通報處置的方向推進多種信息安全相關(guān)業(yè)務(wù)，能夠有效推進公安機關(guān)與其他網(wǎng)絡(luò)安全監(jiān)督職能部門、行業(yè)單位、信息安全企業(yè)、專家團隊等的協(xié)同聯(lián)動，構(gòu)建條塊結(jié)合、縱橫互通的數(shù)據(jù)通道，形成威脅感知能力、應(yīng)急指揮調(diào)度能力，形成協(xié)同防御的網(wǎng)絡(luò)安全防御體系，提升關(guān)鍵基礎(chǔ)設(shè)施的主動防御能力。實現(xiàn)網(wǎng)絡(luò)安全監(jiān)管部門的全景安全視野，增強決策支撐，規(guī)范安全事件處置流程，持續(xù)優(yōu)化管理辦法，提高響應(yīng)能力。

平臺建設(shè)能夠?qū)崿F(xiàn)的功能包括：

1. 網(wǎng)絡(luò)威脅感知與態(tài)勢分析

幫助用戶實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知與安全預(yù)警，是本平臺的核心設(shè)計目標和功能。平臺通過在一級節(jié)點部署高性能大數(shù)據(jù)計算集群，實現(xiàn)數(shù)據(jù)分析和存儲功能，建設(shè)可編輯的研判分析數(shù)學(xué)模型，進行實時計算，從而實現(xiàn)：第一時間通報已爆發(fā)的網(wǎng)絡(luò)入侵行為、病毒傳播等事件；對網(wǎng)絡(luò)潛在的安全風(fēng)險以及惡意攻擊行為進行分析預(yù)警；對業(yè)務(wù)系統(tǒng)漏洞及配置弱點進行告警。進而為保障關(guān)鍵信息系統(tǒng)的安全運行、掌握網(wǎng)絡(luò)總體安全狀況、制定信息安全策略等提供基礎(chǔ)數(shù)據(jù)和決策依據(jù)。

2. 海量異構(gòu)安全信息采集、匯總及分析展示

要獲悉全網(wǎng)的整體安全態(tài)勢，首先需從現(xiàn)有各類IT系統(tǒng)及安全系統(tǒng)中采集相關(guān)日志信息，即在需監(jiān)測的業(yè)務(wù)系統(tǒng)中部署日志采集手段，在安全域的主交換節(jié)點部署流量采集設(shè)備，用以收集海量的異構(gòu)安全數(shù)據(jù)，為態(tài)勢感知平臺提供大數(shù)據(jù)計算基礎(chǔ)。上述信息的完整采集能夠保證態(tài)勢分析研判的準確性及安全事件回溯及取證分析的準確性，并最終通過直觀的分析結(jié)果展示，使數(shù)據(jù)分析為安全管理流程所用，為管理層提供決策支持。

3. 數(shù)據(jù)決策后的監(jiān)督執(zhí)行

將態(tài)勢感知的數(shù)據(jù)發(fā)現(xiàn)和決策，快速通告組織內(nèi)的負責人及相關(guān)執(zhí)行者，并且持續(xù)反饋過程處理；針對事件處置進行全流程監(jiān)督，并且反饋經(jīng)驗及沉淀知識庫。

4. 構(gòu)建安全管理的長效機制

有效保障組織的戰(zhàn)略可持續(xù)運營，問題的處理反饋能夠不斷優(yōu)化管理辦法，強化組織結(jié)構(gòu)，持續(xù)提高效率。因此，需要從業(yè)務(wù)系統(tǒng)的高度去看待建設(shè)需求，通過構(gòu)建安全管理長效機制，進一步實現(xiàn)持續(xù)的安全運營。

5. 安全應(yīng)急響應(yīng)到持續(xù)響應(yīng)的升級

將現(xiàn)網(wǎng)內(nèi)多項安全能力、諸多安全產(chǎn)品進行集成整合，得到數(shù)據(jù)決策后，快速實現(xiàn)安全能力和策略的調(diào)整與部署，打通“發(fā)現(xiàn)、通告、響應(yīng)、復(fù)盤”的全流程，將安全防御的動作從應(yīng)急響應(yīng)發(fā)展到持續(xù)響應(yīng)。

6. 符合并體現(xiàn)等級保護及信息安全管理體系的要求

隨著安全管理需求的不斷提高，等級保護和信息安全管理體系建設(shè)已成為安全管理工作中必不可少的職責。各類信息系統(tǒng)管理運維單位均需建立并完善其信息安全保障體系和安全管理體系，以達到系統(tǒng)、完整地保障其信息系統(tǒng)安全的目的。

三、平臺應(yīng)用

目前，基于大數(shù)據(jù)的安全分析平臺已經(jīng)在河南省洛陽、新鄉(xiāng)等多個地市的公安網(wǎng)絡(luò)監(jiān)管部門投入應(yīng)用。平臺收集了海量的異構(gòu)安全態(tài)勢要素信息，對河南省范圍內(nèi)的1950臺關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)器實施了安全監(jiān)督，監(jiān)管系統(tǒng)數(shù)量近2萬個，日均監(jiān)測發(fā)現(xiàn)攻擊行為13萬次以上，每天發(fā)布預(yù)警信息超過1000條，為提升河南省內(nèi)公安網(wǎng)安部門的關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)管工作效率起到了積極的推動作用。

以洛陽市為例，系統(tǒng)于2017年9月部署上線，洛陽市公安網(wǎng)安部門民警每天通過登錄本平臺，能夠概覽與洛陽全市互聯(lián)網(wǎng)信息安全態(tài)勢相關(guān)的安全要素數(shù)據(jù)，及時接收系統(tǒng)推送的預(yù)警與告警信息。系統(tǒng)上線后，對洛陽市1276個單位的1894個互聯(lián)網(wǎng)信息系統(tǒng)實施監(jiān)管，攻擊行為檢測數(shù)量超過1.8萬次/天。另外，根據(jù)安全事件導(dǎo)致的系統(tǒng)告警信息，責任民警也能根據(jù)事件信息及時發(fā)起案事件處置業(yè)務(wù)流程，第一時間通知事件處理流程后方的相關(guān)下游政企單位，使安全事件處置鏈條高效運轉(zhuǎn)。系統(tǒng)上線后，日均發(fā)布告警信息4條，目前為止的安全事件告警處置率87.6%，事件平均處置時間8.73天。

四、結(jié)語

通過基于大數(shù)據(jù)的安全分析平臺的建設(shè)，協(xié)助信息安全監(jiān)管單位對政府部門、企事業(yè)單位網(wǎng)站及重要信息系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施實現(xiàn)立體安全監(jiān)測，從系統(tǒng)基本信息、受攻擊事件、系統(tǒng)漏洞、系統(tǒng)風(fēng)險等多個維度對大量信息系統(tǒng)進行全方位安全監(jiān)控，對安全事件和漏洞情況及時告警和預(yù)警，并可提供全部監(jiān)測目標的全局統(tǒng)計報表和趨勢分析，為監(jiān)管層改進關(guān)鍵信息基礎(chǔ)設(shè)施安全狀況提供有價值的參考數(shù)據(jù)。

最終實現(xiàn)提高公安網(wǎng)監(jiān)部門及各行業(yè)信息系統(tǒng)運維管理部門的網(wǎng)絡(luò)安全態(tài)勢感知能力，增強我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的整體防護能力，網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能恢復(fù)能力，以及依法偵查打擊針對和利用關(guān)鍵信息基礎(chǔ)設(shè)施實施的違法犯罪活動的能力，為在當前日益復(fù)雜的國際網(wǎng)絡(luò)安全生態(tài)中提升我國關(guān)鍵信息基礎(chǔ)設(shè)施整體安全狀況提供有力的技術(shù)支撐。

李 欣

博士，現(xiàn)任中國人民公安大學(xué)信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院院長，中國計算機學(xué)會計算機安全專業(yè)委員會委員，公安部通信標委會委員，公安部公安視頻監(jiān)控專業(yè)人才庫專家。長期從事信息處理和信息安全相關(guān)領(lǐng)域的教學(xué)和科研工作，完成了科研項目二十余項，發(fā)表論文二十余篇，獲得發(fā)明專利授權(quán)4項，獲得國家科技進步二等獎一項，公安部科技進步三等獎一項。

近年來，國內(nèi)外大量針對我國網(wǎng)絡(luò)空間的安全威脅事件頻發(fā)，嚴重威脅著國家安全、社會秩序和人民生活。加強和完善網(wǎng)絡(luò)安全監(jiān)測預(yù)警能力刻不容緩，提高感知網(wǎng)絡(luò)安全態(tài)勢的能力十分重要。由于缺乏網(wǎng)絡(luò)安全事件研判分析、技術(shù)支撐工具、應(yīng)急處置手段等因素，大量網(wǎng)絡(luò)安全事件及網(wǎng)絡(luò)安全違法犯罪行為無法得到及時處置，相關(guān)犯罪人員無法定位和處理，導(dǎo)致網(wǎng)絡(luò)環(huán)境的治理效果較差、網(wǎng)絡(luò)公共空間安全秩序混亂等問題。

本文基于大數(shù)據(jù)技術(shù)，面向公安實戰(zhàn)需求設(shè)計開發(fā)了一種基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢分析平臺，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的感知和響應(yīng)，安全風(fēng)險的實時監(jiān)測與預(yù)警。該平臺在安全全要素數(shù)據(jù)采集、安全事件分析研判和安全事件通報處置等方面具有自身的優(yōu)勢。平臺在河南省洛陽、新鄉(xiāng)等多個地市的公安網(wǎng)絡(luò)監(jiān)管部門投入使用，能監(jiān)測發(fā)現(xiàn)攻擊行為和發(fā)布預(yù)警信息，獲得了實戰(zhàn)的檢驗。

未來，面對網(wǎng)絡(luò)空間的各類新型安全威脅，應(yīng)不斷發(fā)展完善網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)，提高相關(guān)部門的安全管理及應(yīng)急能力，更好地維護國家網(wǎng)絡(luò)空間安全主權(quán)。