王文泉

摘要：隨著信息化建設的推進，如何做好信息安全工作是值得研究的課題。監(jiān)測預警是信息安全工作中重要一環(huán)，該研究基于態(tài)勢感知，構建信息安全監(jiān)測預警機制，在實際應用中，發(fā)現其能夠有效促進信息安全整體防護工作的推進。

關鍵詞：態(tài)勢感知;監(jiān)測預警;信息安全

中圖分類號：TP393.08 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2020）31-0076-02

Abstract： With the advancement of information construction， how to do a good job in information security is worth studying. Monitoring and warning is an important part of information security work. Based on situation awareness， this study constructs an information security monitoring and warning mechanism. In practical application， it is found that the mechanism can promote the protection of information security.

Key words： situation awareness; monitoring and warning; information security

1引言

OpenSSL“心臟滴血”漏洞、“徐玉玉”電信詐騙案、“WannaCry”勒索病毒……信息安全事件頻頻浮現，安全態(tài)勢越來越嚴峻。與此同時，信息安全重要性逐漸凸顯。習近平指出“網絡安全和信息化是一體之兩翼、驅動之雙輪”;2017年6月1日起正式實施的《網絡安全法》，從法律層面標明了“國家信息安全觀”;“GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求”“等保2.0”新標準于2019年12月1日起正式實施。

信息安全涉及技術、管理、人員等方方面面。無論以何種模式，從何種角度來看，監(jiān)測預警都是信息安全防護工作中重要組成部分。等級保護安全框架明確提出設立“安全監(jiān)測”“通報預警”“態(tài)勢感知”舉措[1];信息安全保障模型PPDR（Policy-Protection-Detection-Response，策略-保護-檢測-響應）強調安全檢測、漏洞監(jiān)測的重要性，以保障系統(tǒng)動態(tài)安全。由此可見，構建監(jiān)測預警機制是信息安全防護中不可或缺的環(huán)節(jié)。

要監(jiān)測，要預警，就要建立“態(tài)勢感知”。態(tài)勢感知是一種基于環(huán)境的、動態(tài)、整體地洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發(fā)現識別、理解分析、響應處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。

2監(jiān)測預警機制實現及其應用

2.1 需求分析

信息安全監(jiān)測預警機制的建設應堅持“主動、全面、協(xié)同、閉環(huán)”的原則[2]，從技術和管理等維度確立監(jiān)測預警機制應滿足功能需求如圖1所示。

2.2 機制實現

以深圳信息職業(yè)技術學院為例，結合實際網絡拓撲，構建信息安全監(jiān)測預警機制如圖2所示。

來源&提取環(huán)節(jié)：態(tài)勢感知的輸入流量來自兩方面，流量監(jiān)測探針和安全設備。在互聯網出口區(qū)和DMZ區(qū)域分別部署一臺探針，以獲取服務器、互聯網、終端三者之間各個方向的流量。此外，抓取出口防火墻、DMZ防火墻、虛擬化防火墻、上網行為管理、終端安全檢測系統(tǒng)等安全設備的流量，這樣全網流量均納入“感知”范圍。

檢測&分析環(huán)節(jié)：此環(huán)節(jié)主要是采用大數據、機器學習、檢測算法等進行行為分析、關聯分析，以發(fā)現各種攻擊威脅與異常，特別是針對性攻擊。

交付&可視環(huán)節(jié)：此環(huán)節(jié)對威脅的影響范圍、攻擊路徑、目的、手段進行快速研判后，建立全局可視化，將整體安全態(tài)勢、業(yè)務風險、外部攻擊、橫向威脅、異常畫像、失陷舉證等內容呈現出來，提供預警。

處置&響應環(huán)節(jié)：決策環(huán)節(jié)，針對發(fā)現的攻擊、威脅，進行聯動處置。對于確定存在安全隱患的資產，可以通過防火墻、上網行為管理、終端安全檢測系統(tǒng)等安全設備發(fā)起封堵、病毒查殺、異常提醒等聯動處置行為。

2.3 實踐應用

實際應用中，以終端安全管理為例，當發(fā)現終端“已失陷”或者“高危”時，可以開展聯動防火墻對其進行斷網封堵、通過上網行為管理平臺提醒其殺毒、通過終端安全檢測系統(tǒng)對其進行病毒查殺等舉措;而當終端為“中危”或“低?！睍r，則只需要向終端用戶發(fā)送殺毒提醒即可。風險終端處理實例如圖3所示。

2.4 意義分析

態(tài)勢感知的應用，幫助建立了有效的信息安全監(jiān)測預警機制，其意義如下：

（1）有助于了解安全現狀

解決了“安全不安全、哪里不安全、怎樣不安全（危害）”一片茫然的窘境，全局可視化后，攻擊趨勢、有效攻擊、業(yè)務資產脆弱性等一目了然，有助于看清業(yè)務、看到威脅、看懂風險。

（2）變被動為主動

不再是等到造成損害再去處理，而是發(fā)現風險隱患及時干預，將威脅消滅在萌芽狀態(tài)，將攻擊阻斷在邊界入口。主動、及早處置，不僅可以降低信息泄露詐騙、網站被掛反動標語等信息安全事件的危害程度，而且可以避免因此帶來的社會不良影響。

（3）緩解工作壓力，提高工作效率

高校IT管理人員往往不充足，一方面信息化建設部門人員資源緊張，既要服務和參與學校所有信息化建設項目，又要做好日常維護，工作量大;另一方面，學校各二級單位的IT運維人員并不專業(yè)。因此，智能化是高校信息安全的首要需求[3]。而態(tài)勢感知平臺恰好可以滿足智能化的需求，節(jié)約人力。

3結束語

當前階段，態(tài)勢感知技術正如火如荼地發(fā)展，伴隨著其與信息技術的高效融合，態(tài)勢感知必將朝著實時、全面、更準確、更智能的方向發(fā)展，為信息安全決策提供強有力的支撐。

參考文獻：

[1] 國家市場監(jiān)督管理總局，國家標準化管理委員會.信息安全技術 網絡安全等級保護基本要求：GB/T 22239-2019[S].北京：中國標準出版社，2019.

[2] 王棟，王嬋，顏佳.一體化信息安全監(jiān)測預警和調度指揮平臺架構研究[J].電力信息與通信技術，2014，12（11）：115-120.

[3] 黃志宏，梁卓明.高校信息安全漏洞和威脅管理的研究與實踐[J].重慶理工大學學報（自然科學），2019，33（2）：117-124.

[4] 王聰，薛靜，王革明.智慧治理高校信息安全的多重線性規(guī)劃策略[J].現代教育技術，2019，29（6）：19-25.

[5] 劉思博，劉鵬.態(tài)勢感知在電子政務信息安全中的應用[J].信息安全研究，2020，6（6）：530-536.

【通聯編輯：代影】