賈克 王立海 劉迪

摘要：2019年7月水利部印發(fā)了《加快推進(jìn)智慧水利的指導(dǎo)意見(jiàn)和智慧水利總體方案》，提出到2021年基本建成水利網(wǎng)絡(luò)安全防護(hù)體系，到2025年全面形成水利網(wǎng)絡(luò)安全防護(hù)體系的具體目標(biāo)。對(duì)照目標(biāo)，長(zhǎng)江水文急需補(bǔ)齊安全態(tài)勢(shì)感知的短板。結(jié)合網(wǎng)絡(luò)安全存在的問(wèn)題，探討了長(zhǎng)江水文網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)目標(biāo)，以及如何構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，闡述了系統(tǒng)建設(shè)的關(guān)鍵技術(shù)和推進(jìn)的工作策略，為下一步系統(tǒng)建設(shè)奠定了基礎(chǔ)。

關(guān)鍵詞：態(tài)勢(shì)感知系統(tǒng);網(wǎng)絡(luò)安全;監(jiān)測(cè)預(yù)警;長(zhǎng)江水文

中圖法分類號(hào)：TP393.08文獻(xiàn)標(biāo)志碼：ADOI：10.15974/j.cnki.slsdkb.2021.03.014

文章編號(hào)：1006 - 0081（2021）03 - 0079- 06

網(wǎng)絡(luò)安全作為一項(xiàng)系統(tǒng)性工程，是信息化建設(shè)與運(yùn)維的一項(xiàng)非常基礎(chǔ)而關(guān)鍵的工作，是信息系統(tǒng)安全穩(wěn)定運(yùn)行的重要保障。在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上，習(xí)近平總書(shū)記強(qiáng)調(diào)，網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、部署、推進(jìn)和實(shí)施，做到協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全。

2019年7月水利部正式印發(fā)《加快推進(jìn)智慧水利的指導(dǎo)意見(jiàn)和智慧水利總體方案》（以下簡(jiǎn)稱《意見(jiàn)和方案》）。智慧水利旨在應(yīng)用云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)和人工智能等新一代信息技術(shù)，實(shí)現(xiàn)對(duì)水利對(duì)象及活動(dòng)的透徹感知、全面互聯(lián)、智能應(yīng)用與泛在服務(wù)，從而促進(jìn)水治理體系和治理能力現(xiàn)代化建設(shè)?！兑庖?jiàn)和方案》提出了建設(shè)基礎(chǔ)大平臺(tái)、水利大數(shù)據(jù)、應(yīng)用大系統(tǒng)及網(wǎng)絡(luò)大安全的總體目標(biāo)，要求建立多層級(jí)、一體化、主動(dòng)感知、自動(dòng)防御的網(wǎng)絡(luò)大安全，具體到2021年，基本建成水利網(wǎng)絡(luò)安全防護(hù)體系，到2025年全面形成水利網(wǎng)絡(luò)安全防護(hù)體系。《意見(jiàn)和方案》將水利網(wǎng)絡(luò)安全防護(hù)體系分為技術(shù)、管理及運(yùn)營(yíng)3個(gè)部分，全面概括了網(wǎng)絡(luò)安全的總體框架[1]。

通過(guò)多年的建設(shè)，特別是在“水文三年信息化提升工程”的帶動(dòng)下，長(zhǎng)江水文網(wǎng)絡(luò)安全保障能力有所提高，但是跟《意見(jiàn)和方案》確定的目標(biāo)仍然存在差距。主要不足為：缺少規(guī)劃引領(lǐng)、縱深防御能力不足、預(yù)警能力弱、安全管理及運(yùn)營(yíng)缺乏系統(tǒng)性等，網(wǎng)絡(luò)安全態(tài)勢(shì)感知處于空白，無(wú)法發(fā)現(xiàn)潛在威脅，距離全網(wǎng)安全態(tài)勢(shì)感知還存在很大的差距。

態(tài)勢(shì)感知最早來(lái)源于美國(guó)軍方在軍事對(duì)抗中的研究。在軍事術(shù)語(yǔ)中，態(tài)勢(shì)感知的目的是使指揮官了解雙方的情況，包括敵我的所在位置、當(dāng)前狀態(tài)和作戰(zhàn)能力，以便能做出快速而正確的決策，達(dá)到知己制彼、百戰(zhàn)不殆的目的[2]。由于網(wǎng)絡(luò)空間的威脅與對(duì)抗，跟傳統(tǒng)軍事對(duì)抗有著極高的相似度，所以一些研究人員把態(tài)勢(shì)感知引入到網(wǎng)絡(luò)安全領(lǐng)域。傳統(tǒng)的脆弱性檢測(cè)、入侵檢測(cè)、惡意代碼檢測(cè)等從不同的技術(shù)視角發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的安全威脅，但缺乏全局性、宏觀性，需要網(wǎng)絡(luò)安全管理人員大量的人工分析和干預(yù)，導(dǎo)致整個(gè)安全運(yùn)維效率低下。

近年來(lái)，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)逐步成熟，作為一種新型的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警手段，能較好地識(shí)別出網(wǎng)絡(luò)內(nèi)的各類網(wǎng)絡(luò)活動(dòng)，以及可能存在的網(wǎng)絡(luò)威脅，并發(fā)出預(yù)警，供網(wǎng)絡(luò)安全管理人員分析研判。

1 安全態(tài)勢(shì)感知系統(tǒng)建設(shè)目標(biāo)

智慧水利網(wǎng)絡(luò)安全體系涵蓋了安全管理、安全技術(shù)、安全運(yùn)營(yíng)三大部分，其中安全技術(shù)部分又包括縱深防御、監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)3個(gè)層面的建設(shè)內(nèi)容，總體架構(gòu)如圖1所示。

從完整性考慮，本文引用智慧水利網(wǎng)絡(luò)安全體系總體框架，但僅將“網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)”作為重點(diǎn)討論對(duì)象。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)作為監(jiān)測(cè)預(yù)警手段之一，主要實(shí)現(xiàn)如下目標(biāo)。

（1）安全信息全網(wǎng)感知。通過(guò)分布式數(shù)據(jù)采集獲取全網(wǎng)的安全日志、流量信息、威脅行為及各類安全情報(bào)和輿情，實(shí)現(xiàn)長(zhǎng)江水利委員會(huì)（以下簡(jiǎn)稱“長(zhǎng)江委”）水文局網(wǎng)絡(luò)內(nèi)安全信息的全網(wǎng)感知。

（2）異構(gòu)數(shù)據(jù)治理。實(shí)現(xiàn)多源異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)的治理。解決各類數(shù)據(jù)源適配問(wèn)題，實(shí)現(xiàn)數(shù)據(jù)采集、清洗、標(biāo)準(zhǔn)化存儲(chǔ)，提供離線、實(shí)時(shí)、全文檢索等多種數(shù)據(jù)訂閱及分析。

（3）安全數(shù)據(jù)集中管控。對(duì)獲取的各類安全類數(shù)據(jù)進(jìn)行集中管控，具體包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)及應(yīng)用的日志，流量探針、APT威脅的采集信息，威脅情報(bào)及輿情等。

（4）安全威脅檢測(cè)及溯源分析。與終端防護(hù)EDR聯(lián)動(dòng)，實(shí)現(xiàn)網(wǎng)絡(luò)威脅防御、異常行為檢測(cè)與響應(yīng);通過(guò)日志關(guān)聯(lián)分析、異常行為檢測(cè)、攻擊者畫(huà)像等，對(duì)攻擊者進(jìn)行溯源，滿足快速處置的要求。

（5）支撐安全運(yùn)維管理。針對(duì)資產(chǎn)、行為、數(shù)據(jù)等網(wǎng)絡(luò)威脅的關(guān)聯(lián)要素進(jìn)行可視化展示，提供威脅的預(yù)警與追蹤，為日常安全運(yùn)維提供支撐。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)總體設(shè)計(jì)遵循3層架構(gòu)，具體架構(gòu)如圖2所示。

2.1 數(shù)據(jù)采集感知層

感知層主要任務(wù)是對(duì)外收集網(wǎng)絡(luò)安全情報(bào)與輿情，對(duì)內(nèi)收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)及各類應(yīng)用日志及安全探針等與網(wǎng)絡(luò)安全相關(guān)的各類數(shù)據(jù)，通過(guò)數(shù)據(jù)清洗、范式化、歸一化等數(shù)據(jù)治理技術(shù)對(duì)數(shù)據(jù)進(jìn)行整理，形成有意義、可分類的安全數(shù)據(jù)[3]。

2.1.1 分布式數(shù)據(jù)采集

通過(guò)分布式部署采集探針，實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境安全類、管理類、流量數(shù)據(jù)以及資產(chǎn)、用戶基本數(shù)據(jù)的收集。數(shù)據(jù)采集探針部署要點(diǎn)如下。

（1）范圍廣，覆蓋局機(jī)關(guān)及勘測(cè)局全江主要網(wǎng)絡(luò)區(qū)域;

（2）控邊界，收集全江主要安全邊界的數(shù)據(jù)流量;

（3）多類型，數(shù)據(jù)探針類型多樣，包括日志采集探針、流量采集探針、終端采集探針、數(shù)據(jù)庫(kù)采集探針和郵件行為采集探針等。

安全要素采集的類型包括以下幾點(diǎn)。

（1）各類網(wǎng)絡(luò)設(shè)備數(shù)據(jù)：路由器、交換機(jī)、DNS、網(wǎng)站訪問(wèn)日志等;

（2）網(wǎng)絡(luò)安全設(shè)備數(shù)據(jù)：移動(dòng)惡意代碼、僵木蠕、異常流量、攻擊溯源系統(tǒng)、域名安全分析系統(tǒng)、DDOS、防火墻、IDS、IPS、WAF等日志;

（3）管理類數(shù)據(jù)：資產(chǎn)數(shù)據(jù)、審計(jì)數(shù)據(jù)、網(wǎng)絡(luò)劃分環(huán)境數(shù)據(jù);

（4）流量數(shù)據(jù)：網(wǎng)絡(luò)全流量數(shù)據(jù);

（5）數(shù)據(jù)庫(kù)請(qǐng)求、訪問(wèn)數(shù)據(jù)：數(shù)據(jù)庫(kù)請(qǐng)求訪問(wèn)審計(jì);

（6）WEB請(qǐng)求數(shù)據(jù)：基于WEB請(qǐng)求日志審計(jì);

（7）郵件審計(jì)數(shù)據(jù)：郵件服務(wù)器的流量數(shù)據(jù)審計(jì);

（8）基礎(chǔ)數(shù)據(jù)：基礎(chǔ)信息、黑白名單庫(kù)，IP基礎(chǔ)信息、域名基礎(chǔ)信息、URL基礎(chǔ)信息、漏洞庫(kù)、樣本庫(kù)、事件庫(kù)等;

（9）終端數(shù)據(jù)：主機(jī)進(jìn)程信息、登錄信息、感染病毒、U盤(pán)使用記錄、軟件安裝信息。

2.1.2 數(shù)據(jù)監(jiān)控

對(duì)采集器的健康狀況及性能進(jìn)行監(jiān)控，具備發(fā)現(xiàn)接收采集異常及時(shí)告警的能力，保證采集性能與數(shù)據(jù)量匹配，防止數(shù)據(jù)采集不完整。

2.1.3 數(shù)據(jù)字典

采集的各類信息類型眾多、數(shù)據(jù)量大，通過(guò)建立數(shù)據(jù)字典，實(shí)現(xiàn)對(duì)各類描述數(shù)據(jù)信息集合的組織、定義及修改。

2.1.4 數(shù)據(jù)接口

為了兼容更多系統(tǒng)日志數(shù)據(jù)，系統(tǒng)須支持接口方式獲取第三方數(shù)據(jù)，包括：①JDBC接口，與第三方數(shù)據(jù)庫(kù)層面提供標(biāo)準(zhǔn)的JDBC接口的方式對(duì)接;②WEB Service接口，提供基于XML格式的結(jié)構(gòu)化數(shù)據(jù)，用來(lái)與第三方系統(tǒng)應(yīng)用層面的數(shù)據(jù)對(duì)接;③FTP/SFTP接口，進(jìn)行文件層面的數(shù)據(jù)對(duì)接，實(shí)現(xiàn)與第三方平臺(tái)離線數(shù)據(jù)以文件的方式對(duì)接。

2.2 數(shù)據(jù)處理和要素管理層

數(shù)據(jù)處理和要素管理層主要任務(wù)是處理和存儲(chǔ)各類安全要素，包括識(shí)別的信息資產(chǎn)、各類漏洞和安全脆弱性信息以及安全事件等。

2.2.1 信息資產(chǎn)管理

信息資產(chǎn)管理作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的最基礎(chǔ)功能，確定了安全管理的對(duì)象和目標(biāo)，將所有業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器及其承載的操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、接口方式、硬件屬性、使用維護(hù)人員等信息均作為資產(chǎn)管理的內(nèi)容，提供資產(chǎn)錄入、管理、變更等管理功能。信息資產(chǎn)管理主要實(shí)現(xiàn)如下功能。

（1）提供與第三方資源管理系統(tǒng)的接口以實(shí)現(xiàn)資源共享、同步更新、信息的查詢和導(dǎo)入等功能;內(nèi)置資產(chǎn)通用屬性接口，用于實(shí)現(xiàn)與第三方資產(chǎn)管理系統(tǒng)的數(shù)據(jù)格式相互轉(zhuǎn)換。

（2）信息資產(chǎn)的各項(xiàng)屬性被安全事件管理、脆弱性管理、風(fēng)險(xiǎn)管理、拓?fù)湟晥D、報(bào)表系統(tǒng)等其他安全管理模塊調(diào)用。

（3）提供資產(chǎn)的手動(dòng)和自動(dòng)發(fā)現(xiàn)功能，資產(chǎn)接入或移除，能夠自動(dòng)更新，并作出提示，對(duì)新接入資產(chǎn)進(jìn)行預(yù)管理，對(duì)移除資產(chǎn)進(jìn)行記錄管理。

（4）將安全事件與資產(chǎn)進(jìn)行綁定關(guān)聯(lián)，實(shí)現(xiàn)以資產(chǎn)視角的安全事件管理，在資產(chǎn)拓?fù)湟晥D上直接展現(xiàn)安全事件的信息。

（5）提供根據(jù)長(zhǎng)江委水文局組織架構(gòu)或者網(wǎng)絡(luò)架構(gòu)進(jìn)行資產(chǎn)域/安全域劃分信息。

2.2.2 脆弱性管理

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)本身不具備直接發(fā)現(xiàn)脆弱性的功能。依靠外面知識(shí)共享、脆弱性發(fā)現(xiàn)工具接入等方式，脆弱性管理掌握全網(wǎng)各個(gè)系統(tǒng)中存在的安全漏洞以及整體分布情況，并支持提供排名、分布等展示。脆弱性管理主要實(shí)現(xiàn)如下功能。

（1）主流掃描設(shè)備的數(shù)據(jù)接入功能，實(shí)現(xiàn)對(duì)接入數(shù)據(jù)的對(duì)比、去重，形成整體脆弱性報(bào)告。

（2）各個(gè)資產(chǎn)的整體脆弱性展示，對(duì)整個(gè)網(wǎng)絡(luò)的脆弱性進(jìn)行展示，支持根據(jù)掃描器類型、CVE/CNVD編號(hào)、弱點(diǎn)名稱、危害程度以及受影響的資產(chǎn)等條件進(jìn)行檢索。

（3）脆弱性數(shù)據(jù)與資產(chǎn)和資產(chǎn)域，對(duì)資產(chǎn)域內(nèi)的脆弱性分布展示;跟蹤脆弱性被利用行為，實(shí)現(xiàn)分析和溯源。

2.2.3 安全事件管理

安全事件管理承擔(dān)獨(dú)立的安全事件采集、分析和集中控管功能，為網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)的安全狀態(tài)展現(xiàn)、安全管理調(diào)度提供支撐服務(wù)。主要提供如下功能。

（1）安全設(shè)備告警事件管理。為用戶提供集中的安全設(shè)備告警事件管理功能，支持事件分析和處置及誤報(bào)標(biāo)記。

（2）安全事件統(tǒng)計(jì)。提供以資產(chǎn)維度和攻擊鏈維度的安全事件統(tǒng)計(jì)功能，支持根據(jù)資產(chǎn)和攻擊鏈進(jìn)行事件檢索和攻擊影響范圍分析。

2.3 數(shù)據(jù)分析與展示層

數(shù)據(jù)分析與展示層提供各類維度安全分析的可視化與成果展示，包括網(wǎng)絡(luò)層面、主機(jī)、終端、數(shù)據(jù)庫(kù)及應(yīng)用系統(tǒng)等，是網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)供管理員決策分析的工作界面。

2.3.1 網(wǎng)絡(luò)安全分析

對(duì)網(wǎng)絡(luò)層設(shè)備的安全分析結(jié)果進(jìn)行可視化，以及提供審計(jì)服務(wù)。涉及到的設(shè)備包括：交換機(jī)、防火墻、IDS等安全設(shè)備和網(wǎng)絡(luò)設(shè)備等。滿足網(wǎng)絡(luò)層面的安全攻擊、入侵分析要求。網(wǎng)絡(luò)安全分析主要提供如下功能。

（1）攻擊方向識(shí)別。通過(guò)日志數(shù)據(jù)/流量數(shù)據(jù)以及長(zhǎng)江委水文局網(wǎng)絡(luò)環(huán)境關(guān)聯(lián)分析，實(shí)現(xiàn)對(duì)攻擊方向的識(shí)別，提供并區(qū)分外對(duì)內(nèi)、內(nèi)對(duì)內(nèi)及內(nèi)對(duì)外攻擊視角。提供外部威脅感知、橫向威脅感知和資產(chǎn)外聯(lián)感知功能。

（2）異常行為分析。通過(guò)深度及關(guān)聯(lián)的安全分析模型及算法，利用AI分析模型發(fā)現(xiàn)各系統(tǒng)存在的安全風(fēng)險(xiǎn)和異常的用戶行為，主要包括但不限于下列分析場(chǎng)景：賬戶異常行為分析、賬戶權(quán)限變更行為分析、資產(chǎn)被訪問(wèn)異常分析、賬戶監(jiān)測(cè)異常、非法外聯(lián)外訪、數(shù)據(jù)違法泄露、業(yè)務(wù)違規(guī)場(chǎng)景、APT攻擊場(chǎng)景、挖礦病毒類等異常場(chǎng)景。

（3）網(wǎng)絡(luò)安全分析報(bào)告。對(duì)網(wǎng)絡(luò)安全分析提供報(bào)告輸出。

2.3.2 主機(jī)安全分析

對(duì)主機(jī)、服務(wù)器、中間件等訪問(wèn)、操作日志進(jìn)行安全分析，提供安全分析結(jié)果、審計(jì)結(jié)果可視化。主要提供如下功能。

（1）操作對(duì)象安全分析。提供對(duì)主機(jī)的操作對(duì)象進(jìn)行安全分析，分析對(duì)象包括主機(jī)的登陸用戶、訪問(wèn)用戶等，對(duì)主機(jī)的惡意操作、刪除日志、修改權(quán)限、病毒擴(kuò)散等高風(fēng)險(xiǎn)操作行為進(jìn)行安全分析和審計(jì)。

（2）應(yīng)用性能分析。提供對(duì)主機(jī)、服務(wù)器、中間件、數(shù)據(jù)庫(kù)以及應(yīng)用系統(tǒng)的可用性、性能參數(shù)進(jìn)行監(jiān)控的功能，保障主機(jī)承載服務(wù)的連續(xù)性和可用性。

（3）主機(jī)安全分析報(bào)告。對(duì)主機(jī)安全分析結(jié)果提供分析報(bào)告輸出。

2.3.3 終端行為分析

提供對(duì)終端用戶的行為審計(jì)功能，主要包括終端的訪問(wèn)時(shí)間審計(jì)、訪問(wèn)地點(diǎn)審計(jì)、訪問(wèn)的應(yīng)用系統(tǒng)審計(jì)、訪問(wèn)頻率審計(jì)等。結(jié)合用戶畫(huà)像和資產(chǎn)畫(huà)像，及時(shí)發(fā)現(xiàn)異常的終端行為。如利用安全事件溯源分析引擎，發(fā)現(xiàn)應(yīng)用系統(tǒng)受到的攻擊來(lái)自某個(gè)終端用戶，結(jié)合用戶畫(huà)像，定位到具體的終端責(zé)任人，提供相應(yīng)終端用戶的行為審計(jì)報(bào)告和統(tǒng)計(jì)結(jié)果。主要提供如下功能。

（1）異常登錄行為分析。包括異常時(shí)間登錄、異常地點(diǎn)登錄、堡壘機(jī)繞過(guò)等異常行為分析。

（2）終端安全事件溯源。結(jié)合用戶畫(huà)像分析，當(dāng)終端發(fā)生安全事件時(shí)，可以定位到具體的責(zé)任人。

（3）終端用戶行為分析報(bào)告。提供安全分析報(bào)表輸出。

2.3.4 數(shù)據(jù)安全分析

基于關(guān)系型數(shù)據(jù)庫(kù)的安全審計(jì)分析。主要為了確保數(shù)據(jù)訪問(wèn)是否經(jīng)過(guò)授權(quán)、檢測(cè)可疑訪問(wèn)和越權(quán)訪問(wèn)等，保障數(shù)據(jù)不被非法竊取、刪除、篡改等惡意操作。主要提供如下功能。

（1）數(shù)據(jù)庫(kù)操作行為分析。利用審計(jì)結(jié)果，提供對(duì)數(shù)據(jù)庫(kù)操作的安全分析，對(duì)數(shù)據(jù)的惡意操作、刪除、篡改等高風(fēng)險(xiǎn)操作行為進(jìn)行安全分析和告警。

（2）數(shù)據(jù)庫(kù)安全分析評(píng)估。完成對(duì)不當(dāng)?shù)臄?shù)據(jù)庫(kù)配置、潛在弱點(diǎn)、數(shù)據(jù)庫(kù)用戶弱口令、數(shù)據(jù)庫(kù)軟件補(bǔ)丁等的漏洞檢測(cè)，包括：①風(fēng)險(xiǎn)趨勢(shì)管理。通過(guò)基線掃描發(fā)現(xiàn)數(shù)據(jù)庫(kù)結(jié)構(gòu)的變化，實(shí)現(xiàn)基于基線的風(fēng)險(xiǎn)趨勢(shì)分析。②弱點(diǎn)檢測(cè)與弱點(diǎn)分析。根據(jù)內(nèi)置的弱點(diǎn)規(guī)則，對(duì)數(shù)據(jù)庫(kù)配置信息、數(shù)據(jù)庫(kù)對(duì)象安全檢測(cè)。③弱口令檢測(cè)。依據(jù)內(nèi)嵌的弱口令字典完成對(duì)口令強(qiáng)弱檢測(cè)。④補(bǔ)丁檢測(cè)。根據(jù)補(bǔ)丁信息庫(kù)匹配被掃描數(shù)據(jù)庫(kù)，完成補(bǔ)丁安裝檢測(cè)。⑤存儲(chǔ)過(guò)程檢測(cè)。根據(jù)內(nèi)嵌的安全規(guī)則，對(duì)存儲(chǔ)過(guò)程進(jìn)行安全檢測(cè)，比如是否存在SQL注入漏洞等。

（3）關(guān)聯(lián)審計(jì)分析。將WEB審計(jì)與數(shù)據(jù)庫(kù)審計(jì)進(jìn)行關(guān)聯(lián)，追溯“用戶-應(yīng)用-數(shù)據(jù)庫(kù)”整個(gè)過(guò)程的訪問(wèn)鏈，實(shí)現(xiàn)攻擊源定位及路徑追蹤分析。

（4）數(shù)據(jù)安全分析報(bào)告。提供數(shù)據(jù)安全分析報(bào)表輸出。

2.3.5 應(yīng)用安全分析

實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的訪問(wèn)行為、連接行為、攻擊行為以及應(yīng)用系統(tǒng)性能的審計(jì)分析，及時(shí)發(fā)現(xiàn)異常行為并進(jìn)行分析和預(yù)警。主要提供如下功能。

（1）操作對(duì)象分析。對(duì)應(yīng)用系統(tǒng)的訪問(wèn)用戶進(jìn)行安全分析，包括訪問(wèn)頻次、訪問(wèn)時(shí)間、訪問(wèn)地點(diǎn)等行為的安全審計(jì)。

（2）訪問(wèn)流量審計(jì)分析。對(duì)應(yīng)用系統(tǒng)訪問(wèn)流量進(jìn)行分析，特別是來(lái)自互聯(lián)網(wǎng)的訪問(wèn)流量，包括協(xié)議解析、應(yīng)用會(huì)話行為、深度風(fēng)險(xiǎn)行為以及合規(guī)行為等。

（3）應(yīng)用系統(tǒng)漏洞被利用行為審計(jì)分析。對(duì)應(yīng)用系統(tǒng)的漏洞被利用、嘗試?yán)寐┒垂舻刃袨檫M(jìn)行安全分析，及時(shí)發(fā)現(xiàn)漏洞的被利用情況，監(jiān)控漏洞的修復(fù)進(jìn)度，提供漏洞數(shù)據(jù)進(jìn)行安全審計(jì)功能。

（4）應(yīng)用性能監(jiān)控。對(duì)應(yīng)用程序的性能進(jìn)行監(jiān)控，保障應(yīng)用服務(wù)的連續(xù)可用。

（5）應(yīng)用安全分析報(bào)告。提供應(yīng)用安全分析報(bào)表輸出。

2.3.6 安全風(fēng)險(xiǎn)展示

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)集成多種報(bào)表樣式。報(bào)表統(tǒng)計(jì)維度包括資產(chǎn)類、潛在威脅類、安全防御類、安全風(fēng)險(xiǎn)類等。支持不同周期、維度統(tǒng)計(jì)，結(jié)合定義網(wǎng)絡(luò)安全關(guān)鍵指標(biāo)，通過(guò)各種常見(jiàn)的圖表（樹(shù)狀表、柱狀圖、雷達(dá)圖和餅狀圖等）進(jìn)行展示，并支持word、pdf等格式導(dǎo)出。

2.3.7 安全威脅情報(bào)管理與共享

實(shí)現(xiàn)管理內(nèi)外部各類安全情報(bào)、安全事件、安全通知、安全通報(bào)等，并通過(guò)共享模塊實(shí)現(xiàn)相關(guān)安全信息的共享交換。在數(shù)據(jù)流走向上分為南北向及東西向。南北向數(shù)據(jù)，即縱向數(shù)據(jù)，指來(lái)自水利部、長(zhǎng)江委等上級(jí)單位自上而下的安全信息;東西向數(shù)據(jù)，即橫向數(shù)據(jù)，指來(lái)自其他業(yè)務(wù)單位、外部企業(yè)及互聯(lián)網(wǎng)上獲取的安全信息。

3 關(guān)鍵技術(shù)

3.1 用戶實(shí)體行為分析（UEBA）

用戶實(shí)體行為分析（User Entity Behavior Analytics，UEBA）是一種面向用戶和實(shí)體的行為，采用高級(jí)數(shù)據(jù)分析方法刻畫(huà)正常行為、發(fā)現(xiàn)異常行為的技術(shù)[4]。從用戶入手，圍繞用戶行為展開(kāi)分析是UEBA的最主要特點(diǎn)。UEBA通過(guò)持續(xù)性的記錄和分析人或?qū)嶓w的行為，來(lái)分析和檢測(cè)所從事的操作是否存在異常行為，有助于從大量的告警中定位到存在的風(fēng)險(xiǎn)點(diǎn)。

UEBA將人的基礎(chǔ)屬性數(shù)據(jù)與行為數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，圍繞人的各類數(shù)據(jù)，包括基礎(chǔ)檔案類、授權(quán)類、登陸類、行為類等數(shù)據(jù)，建立畫(huà)像和標(biāo)簽，通過(guò)可視化的方式直觀呈現(xiàn)人的行為及軌跡，同時(shí)展現(xiàn)人的概況和行為數(shù)據(jù)，以形成行為輪廓，實(shí)現(xiàn)對(duì)攻擊者的多維度分析。

3.2 復(fù)雜異構(gòu)數(shù)據(jù)的智能識(shí)別

網(wǎng)絡(luò)存在大量異構(gòu)設(shè)備，比如：不同品牌的服務(wù)器、交換機(jī)、路由器、防火墻等安全設(shè)備。這些設(shè)備產(chǎn)生大量的結(jié)構(gòu)化和非結(jié)構(gòu)化日志數(shù)據(jù)，在部分環(huán)境中存在壓縮傳輸和壓縮存儲(chǔ)等現(xiàn)象，導(dǎo)致這部分?jǐn)?shù)據(jù)無(wú)法解析和分詞。針對(duì)大量復(fù)雜的異構(gòu)日志，通過(guò)分詞模塊、詞義分析模塊、詞義特征提取模塊以及特征匹配模塊，智能識(shí)別解決實(shí)現(xiàn)對(duì)復(fù)雜異構(gòu)的非結(jié)構(gòu)和半結(jié)構(gòu)日志數(shù)據(jù)的解析和處理。實(shí)現(xiàn)對(duì)不同類型日志數(shù)據(jù)的解析，并提供人機(jī)交互的二次解析功能，實(shí)現(xiàn)更準(zhǔn)確、更充分的日志解析。

3.3 AI建模

在長(zhǎng)江委水文局安全場(chǎng)景下，通過(guò)機(jī)器學(xué)習(xí)算法進(jìn)行訓(xùn)練，實(shí)現(xiàn)對(duì)異常行為的定位跟蹤，風(fēng)險(xiǎn)閾值的智能動(dòng)態(tài)調(diào)整，智能安全判定，對(duì)殘余風(fēng)險(xiǎn)、隱蔽威脅、未知攻擊和0day攻擊等未知風(fēng)險(xiǎn)檢測(cè)。系統(tǒng)提供AI安全分析建模如下。

（1）攻擊者畫(huà)像建模分析。對(duì)攻擊者的多維度畫(huà)像分析，包含攻擊者的網(wǎng)絡(luò)指紋數(shù)據(jù)、偏好攻擊手段、攻擊破壞力分析等維度，實(shí)現(xiàn)攻擊者維度對(duì)事件的追溯分析。

（2）資產(chǎn)畫(huà)像建模分析。對(duì)內(nèi)網(wǎng)信息資產(chǎn)的多維度畫(huà)像分析，包含資產(chǎn)的風(fēng)險(xiǎn)點(diǎn)、被攻擊的趨勢(shì)、頻繁被攻擊方式、攻擊影響范圍以及資產(chǎn)的風(fēng)險(xiǎn)值等，并提供高度可視化的攻擊，實(shí)現(xiàn)資產(chǎn)維度安全事件的追蹤溯源分析。

（3）安全事件組合關(guān)聯(lián)分析。針對(duì)某一安全事件的攻擊鏈追溯分析，提供針對(duì)資產(chǎn)的關(guān)聯(lián)攻擊鏈日志以及系統(tǒng)漏洞信息關(guān)聯(lián)分析，為運(yùn)維人員提供攻擊鏈日志和漏洞對(duì)比信息，快速感知當(dāng)前資產(chǎn)的安全狀況。

4 系統(tǒng)建設(shè)的工作策略

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)作為2020年長(zhǎng)江委水文局年度重點(diǎn)工作，是加強(qiáng)網(wǎng)絡(luò)安全管理、提升網(wǎng)絡(luò)安全防護(hù)能力的重要抓手，對(duì)于完善水文局網(wǎng)絡(luò)安全預(yù)警體系，提升全局安全預(yù)警能力具有非常重要的意義。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)覆蓋范圍廣，涉及要素多，筆者認(rèn)為建好、用好、管好該系統(tǒng)可以遵循“全局統(tǒng)領(lǐng)，上下聯(lián)動(dòng)，共建共享，迭代推進(jìn)”的工作策略。

（1）堅(jiān)持全局統(tǒng)領(lǐng)，層層落實(shí)責(zé)任推進(jìn)項(xiàng)目建設(shè)和管理。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)采集端分布式的部署在各勘測(cè)局，中心端部署在長(zhǎng)江委水文局機(jī)關(guān)。系統(tǒng)建設(shè)涉及面廣，協(xié)調(diào)難度大，一些技術(shù)要點(diǎn)還需要集體攻關(guān)。必須堅(jiān)持全局統(tǒng)領(lǐng)，明確項(xiàng)目牽頭和配合單位職責(zé)，分工協(xié)作、層層落實(shí)推進(jìn)系統(tǒng)建設(shè)。

（2）堅(jiān)持上下聯(lián)動(dòng)，確保系統(tǒng)建設(shè)貼近實(shí)際。長(zhǎng)江委水文局機(jī)關(guān)與外業(yè)網(wǎng)絡(luò)環(huán)境存在差異，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在實(shí)際建設(shè)中，各地的策略也需要因地制宜。保持上下聯(lián)動(dòng)，確保系統(tǒng)建設(shè)貼近實(shí)際，并做好內(nèi)外業(yè)的溝通協(xié)調(diào)，及時(shí)收集建設(shè)中的問(wèn)題。

（3）堅(jiān)持共建共享，充分發(fā)揮外業(yè)積極性。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)須建立共建共享的思維，對(duì)內(nèi)充分整合水文局各類網(wǎng)絡(luò)安全信息，對(duì)外跟長(zhǎng)江委網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)進(jìn)行信息共享與交換，發(fā)揮安全威脅信息整合共享效益。水文局下屬勘測(cè)局立足自身提出需求，做好所屬子網(wǎng)的安全信息整合，提升自身安全預(yù)警能力。

（4）堅(jiān)持迭代推進(jìn)，保證系統(tǒng)持續(xù)發(fā)揮效益。目前態(tài)勢(shì)感知系統(tǒng)和技術(shù)仍然處在不斷發(fā)展和完善之中，為保證系統(tǒng)繼續(xù)發(fā)揮效益，需要做好系統(tǒng)日常升級(jí)與維護(hù);同時(shí)，系統(tǒng)的建設(shè)和管理也是迭代推進(jìn)的過(guò)程，持續(xù)建、持續(xù)用、持續(xù)管會(huì)成為日后系統(tǒng)運(yùn)管模式的常態(tài)。

5 結(jié) 語(yǔ)

踐行“水利工程補(bǔ)短板、水利行業(yè)強(qiáng)監(jiān)管”總基調(diào)，堅(jiān)持問(wèn)題導(dǎo)向，落實(shí)水利網(wǎng)信工作“安全、實(shí)用”總要求，對(duì)長(zhǎng)江水文未來(lái)網(wǎng)絡(luò)安全建設(shè)有現(xiàn)實(shí)指導(dǎo)意義。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)將過(guò)去看不見(jiàn)的威脅，通過(guò)可視化手段進(jìn)行呈現(xiàn)與分析，極大的提高了網(wǎng)絡(luò)安全分析預(yù)警能力。但同時(shí)，也應(yīng)該看到網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)實(shí)施階段存在的諸多困難，比如多類型采集端配置、日志匯集的性能適配、內(nèi)外業(yè)視圖管理、建模分析等。需要長(zhǎng)江委水文局各級(jí)單位、部門(mén)扎實(shí)推進(jìn)，才能達(dá)到預(yù)期目標(biāo)。

參考文獻(xiàn)：

[1] 水利部網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室. 智慧水利總體方案[R]. 北京：水利部網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室，2019.

[2] 龔儉，臧小東，蘇琪，等. 網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J]. 軟件學(xué)報(bào)，2017（4）：1010-1026.

[3] 詹全忠，張潮. 智慧水利總體方案之網(wǎng)絡(luò)安全[J]. 水利信息化，2019（4）：20-24，29.

[4] 司德睿，華程，楊紅光，等. 一種基于機(jī)器學(xué)習(xí)的安全威脅分析系統(tǒng)[J]. 網(wǎng)絡(luò)與信息安全，2019（4）：37-41.

（編輯：李 晗）