摘要：現(xiàn)代博物館的主要職能包含了搜集、保存、修護、研究、展覽、教育、娛樂等，隨著互聯(lián)網(wǎng)迅速發(fā)展，網(wǎng)絡(luò)技術(shù)層出不窮，日新月異，給博物館發(fā)展帶來新的機遇，使得博物館的很多社會職能可以更好地發(fā)揮出來，其中知識傳播教育職能變得越來越重要，拉近了與社會公眾的公共關(guān)系。與此同時，互聯(lián)網(wǎng)中各類威脅、陷阱和攻擊也為博物館數(shù)字化建設(shè)帶來了安全隱患，博物館數(shù)字化建設(shè)中的文物數(shù)據(jù)安全、網(wǎng)絡(luò)設(shè)備安全、業(yè)務(wù)應(yīng)用系統(tǒng)安全都受到了前所未有的挑戰(zhàn)。

關(guān)鍵詞：博物館;網(wǎng)絡(luò)安全;數(shù)據(jù)安全;態(tài)勢感知;安全平臺

中圖分類號：TN915 ? ? ? ? ?文獻標識碼：A

隨著博物館數(shù)字化建設(shè)，博物館可以更好地發(fā)揮其社會服務(wù)職能，但與此同時，當今互聯(lián)網(wǎng)不僅開放多元，而且復(fù)雜多樣，威脅重重，博物館某些敏感信息也遭受著前所未有的網(wǎng)絡(luò)威脅。博物館發(fā)展中要做到用其利而避其害，在博物館的數(shù)字化建設(shè)過程中網(wǎng)絡(luò)安全防護體系的構(gòu)建就變得非常重要[1]。

1 數(shù)字博物館建設(shè)網(wǎng)絡(luò)安全面臨的新問題

1.1 網(wǎng)絡(luò)環(huán)境日新月異、復(fù)雜多變，傳統(tǒng)博物館網(wǎng)絡(luò)安全工作流程經(jīng)常落后于網(wǎng)絡(luò)環(huán)境的變化

博物館的數(shù)字化建設(shè)進程中，網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)應(yīng)用信息系統(tǒng)越來越復(fù)雜，博物館網(wǎng)絡(luò)安全管理員有時又無法保證所有安全工作的有序進行，而普通非專業(yè)的用戶不清楚網(wǎng)絡(luò)具體狀況，只要求網(wǎng)絡(luò)快捷、方便，經(jīng)常私自更改網(wǎng)絡(luò)末端環(huán)境，比如私接交換機或無線路由器導致網(wǎng)絡(luò)發(fā)生局域網(wǎng)故障，嚴重地導致整個博物館的網(wǎng)絡(luò)全部癱瘓。

同時博物館網(wǎng)絡(luò)安全人員所接受網(wǎng)絡(luò)安全相關(guān)專業(yè)培訓和進修機會幾乎為零，有些博物館網(wǎng)絡(luò)安全工作不受重視，網(wǎng)絡(luò)安全管理員由非專業(yè)學科人員負責，這類網(wǎng)絡(luò)安全管理員常常搞不清楚博物館網(wǎng)絡(luò)環(huán)境的具體狀況。很多博物館網(wǎng)絡(luò)安全管理員都無法準確掌握本單位網(wǎng)絡(luò)環(huán)境的基本情況，根本無法對內(nèi)部網(wǎng)絡(luò)和設(shè)備的安全風險進行掌控。耗費大量資金建設(shè)的安全防御體系也成了擺設(shè)。在這種情況下，很多入侵、攻擊行為無法被即時發(fā)現(xiàn)和制止，博物館很多敏感數(shù)據(jù)資源被人為盜取，有時會造成嚴重損失[2]。

1.2 博物館傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)對高級持續(xù)性威脅應(yīng)對乏力

目前，大多數(shù)博物館所采用的安全技術(shù)手段相對傳統(tǒng)，都是通過將入侵攻擊的特征和行為數(shù)據(jù)與病毒庫中已知特征庫進行簡單的模式匹配，來實現(xiàn)對入侵攻擊的防御，這種模式是被動對單次行為進行識別和判斷，并不會將這些長期、同類的攻擊行為主動記錄統(tǒng)計并進行有效分析。因此，在面對高級持續(xù)性威脅時，博物館網(wǎng)絡(luò)安全在安全威脅方面的檢測、發(fā)現(xiàn)、響應(yīng)、溯源、處理等方面都存在滯后現(xiàn)象。

1.3 博物館圍墻式安全防御體系不再適應(yīng)當前的網(wǎng)絡(luò)環(huán)境

博物館傳統(tǒng)網(wǎng)絡(luò)安全體系建設(shè)是根據(jù)不同應(yīng)用信息系統(tǒng)的安全需求，將網(wǎng)絡(luò)資源分割成不同的區(qū)域各自維護，安全控制一般部署在邊界處，從而達到對入侵攻擊的有效檢測和主動防御。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，進入“互聯(lián)網(wǎng)+”時代，物聯(lián)網(wǎng)技術(shù)、云計算、移動互聯(lián)等新技術(shù)、新產(chǎn)品、新服務(wù)在博物館的應(yīng)用越來越廣泛，原來物理上的邊界概念已經(jīng)變得非常模糊。雖然博物館數(shù)字化建設(shè)中部署了一些安全硬件設(shè)備和軟件系統(tǒng)，但這些硬件設(shè)備和軟件系統(tǒng)基本都是各自獨立運行，沒有形成聯(lián)動安全防御機制，事實上形成了一個個信息安全孤島。對于一些復(fù)雜、隱蔽的攻擊行為，如果僅依靠某一個或一類安全設(shè)備，就會導致大量漏報或誤報情況的發(fā)生。因此，博物館網(wǎng)絡(luò)安全管理部門必須將這些信息安全孤島整合起來，建設(shè)博物館全面數(shù)字安全感知體系，可以真正對入侵攻擊行為進行積極防御，及時有效處理，同時還可以消除各應(yīng)用系統(tǒng)之間的數(shù)據(jù)流通壁壘，使博物館數(shù)字化建設(shè)中的數(shù)字化成果變?yōu)檎嬲杏玫臄?shù)字資源。

要解決這些新的安全問題，亟須使用新的技術(shù)手段來掌控全局的安全態(tài)勢，從而優(yōu)化安全運營過程，將電子政務(wù)網(wǎng)絡(luò)的安全風險控制在合理的區(qū)間內(nèi)。

2 博物館對態(tài)勢感知與安全運營平臺的要求

2.1 對博物館進行全方位數(shù)據(jù)采集與分析

為實現(xiàn)對博物館安全管理的全面監(jiān)控，在數(shù)據(jù)采集方面，要明確包括所有部門的業(yè)務(wù)范圍，然后進行數(shù)據(jù)采集。

對于傳統(tǒng)事件采集，通過態(tài)勢感知，全面獲取各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備的系統(tǒng)日志syslog、用戶流flow日志、中間件等其他類型日志。

對于新事件采集，與傳統(tǒng)netflow等采樣式流量采集方法不同，態(tài)勢感知平臺通過專業(yè)流量傳感器對流量中的會話行為、事務(wù)、應(yīng)用動作進行還原、采集，再對形成相關(guān)的日志進行數(shù)據(jù)清洗、分析和處理[3]。

此外，態(tài)勢感知與安全運營平臺還能對接博物館網(wǎng)絡(luò)中的各種終端行為日志，因為終端日志比網(wǎng)絡(luò)日志記錄更加翔實，可以幫助分析人員發(fā)現(xiàn)惡意進程的相關(guān)文件，不僅可以發(fā)現(xiàn)威脅，還可以對網(wǎng)絡(luò)安全問題進行回溯分析。

2.2 優(yōu)化數(shù)據(jù)存儲

博物館數(shù)字化網(wǎng)絡(luò)每天產(chǎn)生大量日志數(shù)據(jù)，便于分析但能耗較大。傳統(tǒng)關(guān)系型數(shù)據(jù)庫由于自身設(shè)計缺陷，在達到10億條日志時會出現(xiàn)性能的劇烈下降，大量流量日志、終端日志、操作系統(tǒng)日志都面臨存儲風險。

為解決海量數(shù)據(jù)的快速存儲和讀取問題，態(tài)勢感知與運營平臺需要使用大數(shù)據(jù)基礎(chǔ)架構(gòu)對傳統(tǒng)數(shù)據(jù)的存儲和計算方式進行優(yōu)化處理。利用分布式全文檢索技術(shù)，預(yù)先對相關(guān)日志建立全文索引，存儲在多塊磁盤或多臺設(shè)備，保證日志安全精確入庫。查詢?nèi)罩緯r，可以將對應(yīng)檢索命令分發(fā)到多臺設(shè)備執(zhí)行，利用大內(nèi)存提高平臺查詢效率，即便是千億條日志規(guī)模，也能實現(xiàn)秒級查詢。

2.3 日志處理專業(yè)度高

數(shù)字化博物館業(yè)務(wù)范圍廣、事務(wù)多，不同的業(yè)務(wù)需求，許多傳統(tǒng)SOC/SIEM功能模塊需要定制開發(fā)，每一次開發(fā)都會產(chǎn)生成本，運行后期維護兼容性較差，一般只能誰開發(fā)誰運維。而態(tài)勢感知與安全運營平臺通過設(shè)計專家搜索模式，將SQL最佳功能與Unix管道語法封裝成執(zhí)行腳本，終端用戶調(diào)入相關(guān)命令就可從海量日志中進行數(shù)據(jù)檢索，然后對查詢結(jié)果進行關(guān)聯(lián)、分析和可視化操作[4]。

2.4 強勁的關(guān)聯(lián)分析處理能力

關(guān)聯(lián)分析的主要作用是發(fā)現(xiàn)威脅，但面對當前博物館中數(shù)量龐大的安全設(shè)備和服務(wù)器，傳統(tǒng)的關(guān)聯(lián)分析往往僅能提供3000 EPS（Event per Second）到5000 EPS的處理能力，根本無法滿足安全需求。因此只有通過態(tài)勢感知與運營平臺設(shè)計專業(yè)關(guān)聯(lián)分析核心引擎，把復(fù)雜事件處理技術(shù)（CEP）和安全業(yè)務(wù)場景結(jié)合起來，實現(xiàn)功能加速，邏輯優(yōu)化，達到20 000 EPS（50條規(guī)則）關(guān)聯(lián)處理能力來滿足博物館的安全需求。

3 態(tài)勢感知與安全運營平臺對博物館數(shù)字化建設(shè)的意義

對于博物館數(shù)字化建設(shè)，態(tài)勢感知和安全平臺有以下幾個重要意義。

3.1 發(fā)現(xiàn)博物館數(shù)字建設(shè)中的安全隱患，完善博物館網(wǎng)絡(luò)安全防護體系

目前，博物館網(wǎng)絡(luò)安全設(shè)備基本上都是只對自身負責區(qū)域的流量信息進行分析處理，對已知的安全威脅進行有效防護，而對于未知威脅處理能力則非常弱。態(tài)勢感知利用基于大數(shù)據(jù)的云端威脅情報數(shù)據(jù)庫，可以更好地借助互聯(lián)網(wǎng)云計算幫助博物館進行數(shù)據(jù)挖掘和分析攻擊線索，可以提高未知威脅和APT攻擊的檢出效率，因此，可以有效發(fā)現(xiàn)博物館數(shù)字建設(shè)中的安全隱患，提升博物館網(wǎng)絡(luò)安全防護能力[5]。

3.2 改變安全管理人員防御思想，提高博物館網(wǎng)絡(luò)安全防護能力

傳統(tǒng)博物館對網(wǎng)絡(luò)安全重視程度不足，防御體系構(gòu)建比較簡單，屬于被動式防御，認為處于網(wǎng)絡(luò)出口設(shè)備處最容易受到攻擊，是信息安全建設(shè)的重點，在出口處部署安全設(shè)備可以及早應(yīng)對攻擊。因此，博物館網(wǎng)絡(luò)安全管理部門在出口處部署相應(yīng)的檢測與防御設(shè)備，如IDS、IPS、 UTM（安全網(wǎng)關(guān)）、FW、Audit（安全審計）、網(wǎng)閘等。這樣博物館網(wǎng)絡(luò)安全僅依靠最外層的防御設(shè)備，一旦最外層設(shè)備被攻破，那么內(nèi)部設(shè)備和應(yīng)用系統(tǒng)安全就沒有任何保障。在實際環(huán)境中，最外層檢測與防御設(shè)備經(jīng)常被攻擊入侵成功，網(wǎng)絡(luò)安全面臨非常大的風險，需要改陳破舊，在思想認識方面重視網(wǎng)絡(luò)安全，把網(wǎng)絡(luò)安全戰(zhàn)線延長，當最外層檢測設(shè)備失效，防御系統(tǒng)被攻破的情況下，后續(xù)網(wǎng)絡(luò)設(shè)備和防御系統(tǒng)可以繼續(xù)發(fā)揮作用，實現(xiàn)危險快速警告、分析日志、回溯信息、分析攻擊過程，網(wǎng)絡(luò)安全部門才能迅速制定合理解決方案，防止攻擊造成更大范圍的影響。態(tài)勢感知方案利用威脅情報庫和規(guī)則鏈技術(shù)，構(gòu)建成監(jiān)聽和主動回溯、研判和主動監(jiān)測的入侵檢測防御體系，實現(xiàn)由被動式防御體系向主動式防御體系轉(zhuǎn)變，在很大程度上可以提高博物館網(wǎng)絡(luò)安全防御主動性。

參考文獻

[1] 宋岍龍.基于網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺設(shè)計[J].中國新通信，2019，21（18）：134-135.

[2] 管小娟，張濤，馬媛媛，等.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].電力信息與通信技術(shù)，2014，12（5）：1-4.

[3] 王丹琛，徐揚，李斌，等.基于業(yè)務(wù)效能的信息系統(tǒng)安全態(tài)勢指標[J].清華大學學報（自然科學版），2016，100（5）：517-521，529.

[4] 施馳樂.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全安全防護之變：淺談態(tài)勢感知與安全運營平臺[J].中國信息化，2019，16（6）：59-62.

[5] 張寶圣.山西博物院數(shù)字化平臺建設(shè)研究[J].圖書情報導刊，2019，29（7）：28-31.