馮 偉

(安徽省茨淮新河工程管理局，安徽 懷遠 233415)

水利行業(yè)是信息密集的國家重點行業(yè)，隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計算機網(wǎng)絡(luò)應用越來越廣泛，規(guī)模的增大帶來了更多的攻擊面，多形式的安全威脅和風險也一直在增長，計算機病毒、拒絕服務攻擊等攻擊方式構(gòu)成的威脅和損失越來越大，網(wǎng)絡(luò)入侵行為由原來的單一性演變成為具有分布性、規(guī)模性、間接性和復雜性的特點。在這種背景下水利系統(tǒng)已開始構(gòu)建更為豐富的內(nèi)部安全系統(tǒng)，新的安全系統(tǒng)不僅包括防火墻、IDS、防病毒等基礎(chǔ)設(shè)備；還包括目前主流的堡壘機、數(shù)據(jù)庫審計、高級持續(xù)性威脅防御等。這些安全防護設(shè)備構(gòu)建的防護屏障滿足了基礎(chǔ)安全防護需求，但隨著信息安全技術(shù)的不斷進步，針對水利系統(tǒng)內(nèi)部的攻擊行為也逐漸變得更為難以捕獲，特別是在當前大量數(shù)據(jù)流量的掩蓋下，網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件變得更加難以發(fā)現(xiàn)， 往往只有等到事件在網(wǎng)絡(luò)上被公開或數(shù)據(jù)在暗網(wǎng)上售賣時被攻擊單位才會發(fā)現(xiàn)曾經(jīng)發(fā)生過信息安全事故，然而發(fā)生事故的具體時間和損失程度都已無法追溯，尤其是高級持續(xù)性惡意攻擊，更是讓管理員防不勝防。因此，對于水利系統(tǒng)實現(xiàn)多方位網(wǎng)絡(luò)安全態(tài)勢感知、實時網(wǎng)絡(luò)運行狀況監(jiān)控、信息資產(chǎn)安全保障，顯得尤其重要。

圖1 態(tài)勢感知模型圖

1 信息安全態(tài)勢感知模型

信息安全態(tài)勢感知模型如圖1所示，它由數(shù)據(jù)區(qū)域、信息區(qū)域、知識區(qū)域構(gòu)成。結(jié)構(gòu)如下：①數(shù)據(jù)區(qū)域在底層。包括數(shù)據(jù)采集和數(shù)據(jù)預處理，主要完成數(shù)據(jù)清洗、校準、多元數(shù)據(jù)格式化、數(shù)據(jù)關(guān)聯(lián)分析等工作。②信息區(qū)域在中層。是在底層數(shù)據(jù)分析的基礎(chǔ)上對網(wǎng)絡(luò)態(tài)勢進行動態(tài)推理的過程。③知識區(qū)域在上層。對知識進行轉(zhuǎn)化預測當前網(wǎng)絡(luò)中可能發(fā)生的安全事件，并對網(wǎng)絡(luò)威脅的程度進行評估。靜態(tài)庫初始由開源的威脅信息提取構(gòu)成，作為威脅信息評估的參考依據(jù)。綜合多維度數(shù)據(jù)評估后的威脅信息可動態(tài)添加進靜態(tài)庫以擴充靜態(tài)庫數(shù)據(jù)，靜態(tài)庫的不斷擴充也為后續(xù)準確有效的進行態(tài)勢分析提供了依據(jù)。

圖2 水利信息安全態(tài)勢感知系統(tǒng)架構(gòu)圖

2 水利信息安全態(tài)勢感知系統(tǒng)架構(gòu)

利用態(tài)勢感知模型建立的水利信息安全態(tài)勢感知系統(tǒng)架構(gòu)圖如圖2所示。它包括：①智能威脅防御。安全態(tài)勢感知系統(tǒng)利用大數(shù)據(jù)技術(shù)解決了傳統(tǒng)APT防御中關(guān)于大數(shù)據(jù)量存儲、問題調(diào)查、模型歸納等問題。實現(xiàn)關(guān)鍵數(shù)據(jù)提取、環(huán)境集成、模型建立、模型計算、結(jié)果展示等功能。②隱秘通道挖掘。隱秘通道包括系統(tǒng)后門通道和利用合法網(wǎng)絡(luò)載荷交換非法數(shù)據(jù)，大數(shù)據(jù)技術(shù)及機器學習算法應用能夠有效識別出隱秘通道特征，從而實現(xiàn)隱秘通道的挖掘以及其所傳送數(shù)據(jù)的還原。③用戶行為分析。以用戶行為為基準，自動歸納用戶行為模型。采用機器學習技術(shù)通過自我修正行為模型進行調(diào)整校正，無需人工參與實現(xiàn)基線修正以及行為偏離告警。④攻擊溯源取證。攻擊者的攻擊行為會在態(tài)勢感知系統(tǒng)中被記錄下來，即使攻擊者清除了淪陷主機的系統(tǒng)日志，攻擊溯源取證依然能夠清楚的刻畫攻擊者的所有攻擊行為并以數(shù)據(jù)信息的形式保存在態(tài)勢感知系統(tǒng)中，可以隨時進行分析取證或供國家相關(guān)部門進行調(diào)取和查詢以發(fā)現(xiàn)網(wǎng)絡(luò)犯罪行為。⑤實時安全監(jiān)測。它綜合IPS、WAF、數(shù)據(jù)庫審計等設(shè)備的安全事件信息形成關(guān)聯(lián)信息實時監(jiān)測網(wǎng)絡(luò)中的安全狀態(tài)。同時進行多維度監(jiān)測，從整體角度進行全方位安全監(jiān)測。(6)合規(guī)審計。對異構(gòu)網(wǎng)絡(luò)環(huán)境各系統(tǒng)的日志異地集中保存能夠滿足《信息安全等級保護管理辦法》等文件中對日志審計的合規(guī)性要求，同時對日志進行多維度分析充分挖掘海量日志的潛在價值。

通過對當前時間或過去某段時間水利信息系統(tǒng)內(nèi)的態(tài)勢要素進行理解和分析，形成水利網(wǎng)絡(luò)安全態(tài)勢的歷史趨勢和短期的未來預測。信息安全態(tài)勢分析基于安全合規(guī)、安全審計進行實時安全監(jiān)測來實現(xiàn)其基礎(chǔ)功能，通過智能威脅防御技術(shù)、隱秘通道挖掘技術(shù)、用戶行為分析技術(shù)、攻擊溯源取證技術(shù)等功能支撐最終實現(xiàn)安全態(tài)勢分析。結(jié)合態(tài)勢分析的量化指標協(xié)助用戶直觀的了解當前信息系統(tǒng)整體安全狀況以及預測短期網(wǎng)絡(luò)安全態(tài)勢。

3 水利信息安全態(tài)勢感知可視化

根據(jù)信息安全態(tài)勢感知系統(tǒng)架構(gòu)建立水利信息態(tài)勢感知平臺，對水利行業(yè)信息安全威脅狀況進行可視化、全方位呈現(xiàn)。態(tài)勢感知平臺基于三維地理空間，對分布在地理位置不同的水利網(wǎng)節(jié)點及關(guān)鍵基礎(chǔ)設(shè)施的綜合安全信息進行網(wǎng)絡(luò)安全態(tài)勢監(jiān)控，系統(tǒng)運行時如圖3所示：

圖3 水利信息態(tài)勢感知系統(tǒng)

水利信息態(tài)勢感知平臺具有全方位的入侵檢測分析功能，對網(wǎng)絡(luò)內(nèi)各節(jié)點進行實時檢測，分析節(jié)點上的安全數(shù)據(jù)和網(wǎng)絡(luò)流量信息，并將分析后的威脅信息以多種圖表的方式進行展示。對達到一定等級的威脅信息提供告警機制，及時通知網(wǎng)絡(luò)安全管理人員知曉。基于高級可持續(xù)性攻擊檢測技術(shù)的態(tài)勢感知系統(tǒng)可對攻擊來源、攻擊路徑、攻擊點進行分析，并根據(jù)安全威脅攻擊信息和目標信息結(jié)合地理信息系統(tǒng)技術(shù)將虛擬的網(wǎng)絡(luò)攻擊和現(xiàn)實世界相關(guān)聯(lián)，實現(xiàn)網(wǎng)絡(luò)攻擊的地理可視化。網(wǎng)絡(luò)威脅地圖和網(wǎng)絡(luò)威脅流量分別如圖4和圖5所示。

圖4 網(wǎng)絡(luò)威脅實時地圖

圖5 網(wǎng)絡(luò)威脅實時流量圖(每秒檢測)

4 結(jié)束語

本文介紹了水利網(wǎng)絡(luò)態(tài)勢感知的安全需求和態(tài)勢感知模型，通過構(gòu)建水利信息安全態(tài)勢感知系統(tǒng)架構(gòu)建立水利信息態(tài)勢感知平臺，實現(xiàn)全方位監(jiān)控水利信息網(wǎng)絡(luò)安全態(tài)勢并進行可視化呈現(xiàn)。隨著信息安全技術(shù)和互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，水利信息安全態(tài)勢感知平臺必定為水利行業(yè)信息安全建設(shè)助力。