田滔

四川科銳得實(shí)業(yè)集團(tuán)有限公司都江堰分公司 四川 都江堰 611800

引言

進(jìn)入到新時(shí)期的發(fā)展環(huán)境當(dāng)中，信息技術(shù)的廣泛應(yīng)用為企業(yè)提供了較大的便利條件，但是與此同時(shí)，企業(yè)也面臨著一定的信息安全威脅。在應(yīng)用公共網(wǎng)絡(luò)、手機(jī)移動應(yīng)用或是業(yè)務(wù)網(wǎng)站的過程中，各種信息交互中可能會出現(xiàn)信息泄露的情況，從而成為黑客的首要攻擊目標(biāo)。因此，加強(qiáng)信息安全保障至關(guān)重要?；诃h(huán)境、動態(tài)化形成對信息安全風(fēng)險(xiǎn)加以分析的技術(shù)，態(tài)勢感知技術(shù)建立在安全大數(shù)據(jù)的基礎(chǔ)上，可實(shí)現(xiàn)更加良好的風(fēng)險(xiǎn)識別功能，有助于強(qiáng)化系統(tǒng)全局的感知能力，并對運(yùn)行風(fēng)險(xiǎn)加以智能掌控。

1 態(tài)勢感知技術(shù)特征

態(tài)勢感知技術(shù)對于保障現(xiàn)代信息安全具有積極作用。處于信息化時(shí)代環(huán)境中，信息戰(zhàn)爭無處不在，且信息安全也成為人們所關(guān)切的關(guān)鍵問題。一旦發(fā)生信息安全威脅，將會對信息使用者造成不可估量的威脅。信息技術(shù)本身具有較強(qiáng)的創(chuàng)新性特征，且在社會發(fā)展前進(jìn)的過程中隨之不斷發(fā)展，在這一階段中為了能夠充分適應(yīng)不同信息技術(shù)的應(yīng)用環(huán)境，要求網(wǎng)絡(luò)安全保障技術(shù)也能夠與時(shí)俱進(jìn)，形成相互適應(yīng)的保障性作用[1]。在此背景下衍生出了更加先進(jìn)的態(tài)勢感知技術(shù)，該技術(shù)的衍生與應(yīng)用能夠?qū)崿F(xiàn)對信息的有效安全保障，通過改變傳統(tǒng)信息安全保障的靜態(tài)、短期針對性安全監(jiān)控模式，促使其逐漸轉(zhuǎn)變?yōu)殚L期、動態(tài)且全面有效的安全監(jiān)控工作，確保通過該技術(shù)監(jiān)測預(yù)警主動防御意識，進(jìn)而為企業(yè)提供更為良好的信息安全保障工作。

2 在信息安全保障中應(yīng)用態(tài)勢感知技術(shù)的優(yōu)勢

在當(dāng)前階段進(jìn)入到信息時(shí)代的大環(huán)境之后，處于互聯(lián)網(wǎng)廣泛應(yīng)用的背景下，企業(yè)信息安全至關(guān)重要。企業(yè)信息安全經(jīng)常遭受危機(jī)，若出現(xiàn)嚴(yán)重的信息安全事故不僅會對企業(yè)造成不可挽回的經(jīng)濟(jì)損失，嚴(yán)重的也將會促使企業(yè)面臨破產(chǎn)危險(xiǎn)。其中信息安全風(fēng)險(xiǎn)最為常見的就是對企業(yè)產(chǎn)生木馬以及釣魚攻擊，或是開展分布式拒接服務(wù)攻擊等，在企業(yè)中構(gòu)建的傳統(tǒng)信息安全管理方式中，僅僅是在受到攻擊之后開展相應(yīng)的安全防御模式進(jìn)行被動防御。無法構(gòu)建有效的安全預(yù)測系統(tǒng)，難以在風(fēng)險(xiǎn)發(fā)生之前就開展相應(yīng)的預(yù)防工作，容易造成嚴(yán)重的信息安全問題。但是在全面應(yīng)用態(tài)勢感知技術(shù)之后，則能夠在攻擊發(fā)生之前通過創(chuàng)建相應(yīng)信息安全監(jiān)管模型，對數(shù)據(jù)加以分析預(yù)測，進(jìn)而以主動預(yù)防的方式，有效保障數(shù)據(jù)安全。

2.1 預(yù)測未知數(shù)據(jù)

基于企業(yè)發(fā)展的大環(huán)境，信息與數(shù)據(jù)成為企業(yè)的重要資源，在信息化背景下，注重企業(yè)信息安全至關(guān)重要。處于信息化時(shí)代中，容易影響企業(yè)數(shù)據(jù)安全保障的因素之一就是現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全防護(hù)措施已經(jīng)無法適應(yīng)更加多元的網(wǎng)絡(luò)攻擊手段?；趯?shí)際而言，建立在已知網(wǎng)絡(luò)安全攻擊基礎(chǔ)上的風(fēng)險(xiǎn)防范工作無法對未知的全新信息威脅加以預(yù)防。在處于信息安全保障設(shè)計(jì)中，安全防御技術(shù)本身存在著一定的落后性，基于技術(shù)上的缺陷，無法及時(shí)有效更新將會在新威脅發(fā)生時(shí)缺乏良好的防御手段與措施，當(dāng)企業(yè)信息安全受到的攻擊方式出現(xiàn)變化時(shí)，傳統(tǒng)信息安全保護(hù)系統(tǒng)僅僅是能夠?qū)ζ溟_展以往的防御工作，留有較大的漏洞，并難以對信息安全風(fēng)險(xiǎn)類別加以識別，從而無法開展有效的預(yù)防方式[2]。而在態(tài)勢感知技術(shù)的應(yīng)用下，構(gòu)建了更加完整的動態(tài)化信息安全預(yù)測系統(tǒng)，能夠根據(jù)企業(yè)信息安全遭受攻擊的頻率以及位置等加以分析，從而創(chuàng)建更加完善的安全防范系統(tǒng)，并對今后信息安全可能會出現(xiàn)的變化加以預(yù)測，以主動防御思想開展信息安全保障工作。

2.2 安全預(yù)測范圍更廣

信息技術(shù)高速發(fā)展，在現(xiàn)代社會環(huán)境的各個(gè)領(lǐng)域當(dāng)中廣泛應(yīng)用各種不同的先進(jìn)信息技術(shù)。企業(yè)在經(jīng)營發(fā)展過程當(dāng)中，將各種傳統(tǒng)的資源均轉(zhuǎn)化為了信息數(shù)據(jù)形式加以儲存，因此面對龐大的數(shù)據(jù)信息量，若企業(yè)仍舊應(yīng)用傳統(tǒng)的信息安全管理方式，則難以實(shí)現(xiàn)更加廣闊范圍的安全預(yù)測工作。在數(shù)據(jù)信息種類更加繁雜的背景下，如何根據(jù)數(shù)據(jù)的特性以及種類等對其加以收集并在其中進(jìn)行提取，從而獲得企業(yè)發(fā)展建設(shè)所需的關(guān)鍵數(shù)據(jù)信息成為關(guān)鍵，與此同時(shí)，對海量數(shù)據(jù)加以分析，并對其中隱藏的不良信息以及安全隱患等加以篩選也成為關(guān)鍵性的話題。

3 企業(yè)信息安全保障中的態(tài)勢感知技術(shù)

3.1 數(shù)據(jù)集成技術(shù)

在企業(yè)信息安全保障中態(tài)勢感知技術(shù)的應(yīng)用主要是為安全事件以及數(shù)據(jù)等加以處理，在數(shù)據(jù)處理過程中，面對數(shù)據(jù)的不同類型、來源以及格式等，均需要集中進(jìn)行處理。這些數(shù)據(jù)在邏輯上或是物理上具有較高一致性表現(xiàn)，便于開展全面數(shù)據(jù)共享或是集中管理。對這些數(shù)據(jù)加以收集的過程就是數(shù)據(jù)集成。當(dāng)前廣泛應(yīng)用ETL技術(shù)作為數(shù)據(jù)集成手段，作為構(gòu)建數(shù)據(jù)倉庫的關(guān)鍵環(huán)節(jié)，在集中差異性來源、類型以及格式的關(guān)系與非關(guān)系數(shù)據(jù)之后，在其中進(jìn)行抽取，并借助于中間層對其進(jìn)行清洗轉(zhuǎn)換與集成。在經(jīng)過處理后，向數(shù)據(jù)倉庫傳遞數(shù)據(jù)。在ETL處理流程下完成的數(shù)據(jù)一般可以作為后續(xù)對數(shù)據(jù)處理的基礎(chǔ)[3]。

3.1.1 數(shù)據(jù)抽取。數(shù)據(jù)抽取是數(shù)據(jù)集成中的第一環(huán)節(jié)，其主要功能表示為在大量的原始數(shù)據(jù)源中對關(guān)鍵數(shù)據(jù)加以抽取，從其中獲取對后續(xù)數(shù)據(jù)處理流程有利的數(shù)據(jù)，一般可以分為全量抽取以及增量抽取兩種方式。

全量抽取下的方式相對較為簡單，通過原封不動的在數(shù)據(jù)庫中提取原始數(shù)據(jù)員中的數(shù)據(jù)視圖以及數(shù)據(jù)表等。在該數(shù)據(jù)抽取方式下，最為關(guān)鍵的就是在完成數(shù)據(jù)抽取之后將其向ETL可識別的格式加以轉(zhuǎn)換。

增量抽取方式相對較為復(fù)雜，在增量抽取下，一般情況是建立在已經(jīng)完成抽取數(shù)據(jù)的基礎(chǔ)上，針對上次完成數(shù)據(jù)抽取后的數(shù)據(jù)庫中出現(xiàn)的修改或是新增數(shù)據(jù)加以抽取。該數(shù)據(jù)抽取方式也是當(dāng)前最為廣泛應(yīng)用的一種方式。

3.1.2 轉(zhuǎn)換加工。完成數(shù)據(jù)抽取之后，僅僅憑借于這一處理結(jié)果難以滿足后續(xù)的數(shù)據(jù)處理需求，因此需要對完成數(shù)據(jù)抽取之后的結(jié)果加以轉(zhuǎn)換，開展深層次的加工處理。一般是在ETL引擎中獨(dú)立完成，或是也可以在實(shí)際中結(jié)合數(shù)據(jù)庫的關(guān)系加以協(xié)同完成。在ETL引擎中轉(zhuǎn)換并加工數(shù)據(jù)，通常會獲得可供完成數(shù)據(jù)轉(zhuǎn)換以及加工的組件，包括數(shù)據(jù)拆分、合并、清洗、過濾、計(jì)算、驗(yàn)證、加解密以及替換等組件這些組件按照具體的處理方式進(jìn)行組合優(yōu)化之后將會按照標(biāo)準(zhǔn)流程執(zhí)行數(shù)據(jù)轉(zhuǎn)換以及加工工作。

或是可以在數(shù)據(jù)庫中直接對數(shù)據(jù)加工，在函數(shù)以及SQL語句本身所具有的強(qiáng)大數(shù)據(jù)處理功能背景下，相較于在ETL中對數(shù)據(jù)加以加工，利用這一方式對數(shù)據(jù)加以處理能夠形成更加簡潔清晰的特征[4]。但是基于實(shí)際而言，在這一方式下對數(shù)據(jù)加以加工處理存在著一定的局限性表現(xiàn)，難以通過更為簡單的SQL語句實(shí)現(xiàn)操作，需要同步結(jié)合ETL引擎開展協(xié)同處理工作。

3.2 數(shù)據(jù)分析技術(shù)

信息安全態(tài)勢感知技術(shù)的應(yīng)用通過對各類風(fēng)險(xiǎn)時(shí)間加以分析并完成處理，從而對當(dāng)前企業(yè)信息安全的發(fā)展勢態(tài)加以分析，進(jìn)而獲得最為精確的分析結(jié)果，在關(guān)聯(lián)分析、綜合分析等技術(shù)的應(yīng)用下形成較高的功能執(zhí)行效率。

3.2.1 關(guān)聯(lián)分析。建立在規(guī)則匹配的基礎(chǔ)上，適用于關(guān)聯(lián)分析方式，通過分析完成后，為其創(chuàng)建相應(yīng)的匹配規(guī)則，進(jìn)而針對事件的結(jié)構(gòu)以及類型等具體的特征對其加以匹配，從而對事件得出分析結(jié)果的過程就是關(guān)聯(lián)分析。關(guān)聯(lián)分析一般情況下將會結(jié)合信息安全事件中的相關(guān)屬性或是關(guān)鍵信息等作為限制因素，進(jìn)而基于關(guān)鍵性質(zhì)加以分析對比之后，對其具體的規(guī)則匹配結(jié)果加以確定[5]。

3.2.2 綜合關(guān)聯(lián)分析。在結(jié)合多種不同的關(guān)聯(lián)分析功能之后，在統(tǒng)一判斷之下完成原始安全事件與安全漏洞的匹配，經(jīng)過多種關(guān)聯(lián)分析之后，能夠充分掌握其中所涉及的信息安全風(fēng)險(xiǎn)，這一分析流程就是綜合關(guān)聯(lián)分析。在綜合關(guān)聯(lián)分析系統(tǒng)當(dāng)中一般會形成三種不同的關(guān)聯(lián)分析類型，表示為統(tǒng)計(jì)關(guān)聯(lián)分析、漏洞庫關(guān)聯(lián)分析以及規(guī)則關(guān)聯(lián)分析。在創(chuàng)建具體的規(guī)則以及關(guān)聯(lián)條件時(shí)，應(yīng)對關(guān)聯(lián)模塊的差異性功能特性等進(jìn)行分析考慮，并對業(yè)務(wù)應(yīng)用安全控制策略以及安全領(lǐng)域等進(jìn)行綜合考慮之后加以設(shè)定。

4 基于態(tài)勢感知技術(shù)的企業(yè)信息安全保障平臺

4.1 分析平臺功能

在企業(yè)信息安全保障當(dāng)中應(yīng)用態(tài)勢感知技術(shù)，可以通過搭建態(tài)勢感知技術(shù)平臺的方式實(shí)現(xiàn)有效的安全保障作用。在創(chuàng)建完整的態(tài)勢感知平臺之前，應(yīng)當(dāng)充分分析平臺的使用功能，創(chuàng)建這一平臺主要的任務(wù)就是充分滿足監(jiān)測企業(yè)移動應(yīng)用、業(yè)務(wù)服務(wù)以及資產(chǎn)網(wǎng)站等需求，對企業(yè)創(chuàng)建的網(wǎng)站中所存在的安全漏洞或是移動端設(shè)備使用中出現(xiàn)的惡意URL地址等加以監(jiān)測，同時(shí)也需要滿足對移動設(shè)備端使用過程中出現(xiàn)的安全風(fēng)險(xiǎn)或是惡意篡改漏洞等加以全方位的監(jiān)控[6]。為滿足上述目的，在創(chuàng)建態(tài)勢感知平臺時(shí)，應(yīng)對各類安全知識庫加以支撐，包括安全漏洞庫、惡意應(yīng)用、惡意移動應(yīng)用樣本以及不良信息庫等。同時(shí)創(chuàng)建平臺，也應(yīng)當(dāng)對企業(yè)系統(tǒng)運(yùn)行過程中各類型數(shù)據(jù)以及安全事件數(shù)據(jù)等加以采集，包括企業(yè)網(wǎng)站運(yùn)行數(shù)據(jù)內(nèi)容、自由移動端的應(yīng)用數(shù)據(jù)、終端安全監(jiān)測數(shù)據(jù)等。

4.2 系統(tǒng)平臺技術(shù)架構(gòu)

根據(jù)保障企業(yè)信息安全的實(shí)際功能需求，創(chuàng)建態(tài)勢感知平臺時(shí)，對于平臺的技術(shù)架構(gòu)等應(yīng)加以充分的分析規(guī)劃，基于在實(shí)際當(dāng)中的應(yīng)用需求，態(tài)勢感知平臺的構(gòu)建應(yīng)滿足分層設(shè)計(jì)要求。確保每一層級應(yīng)對相應(yīng)的功能模塊，促使每一層級之間形成良好的相互協(xié)調(diào)運(yùn)行表現(xiàn)，每一功能模塊之間達(dá)到良好的分工合作，并全范圍感知預(yù)警信息安全事件。

數(shù)據(jù)采集層。在該層級當(dāng)中，主要是對各種原始數(shù)據(jù)加以自動采集，要求實(shí)現(xiàn)企業(yè)自運(yùn)行網(wǎng)站資產(chǎn)數(shù)據(jù)、網(wǎng)站運(yùn)行數(shù)據(jù)、自由移動端的數(shù)據(jù)以及統(tǒng)一DPI流量數(shù)據(jù)等，完成對各項(xiàng)監(jiān)測數(shù)據(jù)的自動采集工作。完成數(shù)據(jù)采集之后，需要規(guī)則化處理數(shù)據(jù)并對其加以儲存，通過對應(yīng)不同數(shù)據(jù)類型，為其創(chuàng)建相適配的數(shù)據(jù)標(biāo)識、快捷搜索引擎等，從而為后續(xù)數(shù)據(jù)安全分析層奠定良好基礎(chǔ)。

安全分析層。在該層級當(dāng)中，主要是針對采集完成的數(shù)據(jù)加以分析，從而掌握其中的安全風(fēng)險(xiǎn)。作為在態(tài)勢感知平臺當(dāng)中的核心結(jié)構(gòu)，安全分析層能夠直觀的檢測企業(yè)網(wǎng)站運(yùn)行狀態(tài)、安全分析數(shù)據(jù)、資產(chǎn)以及網(wǎng)站等不良信息數(shù)據(jù)。并分析自有移動終端數(shù)據(jù)受到篡改的可能，進(jìn)而在數(shù)據(jù)分析層中能夠?qū)Ξ?dāng)前企業(yè)信息安全的整體發(fā)展趨勢以及態(tài)勢結(jié)果加以掌控。在安全分析層中除了上述模塊，同時(shí)也需要建立在關(guān)鍵技術(shù)以及資源的支撐下，包括最為基礎(chǔ)的安全知識庫以及安全技術(shù)庫。

5 結(jié)束語

作為在現(xiàn)代社會環(huán)境中保障企業(yè)信息安全的先進(jìn)技術(shù)之一，態(tài)勢感知技術(shù)的應(yīng)用將會實(shí)現(xiàn)更廣范圍的安全預(yù)測，且對未知的信息安全風(fēng)險(xiǎn)加以動態(tài)預(yù)測。在企業(yè)實(shí)際應(yīng)用中，主要是通過數(shù)據(jù)集成技術(shù)、數(shù)據(jù)分析技術(shù)以及數(shù)據(jù)展示技術(shù)等構(gòu)建專項(xiàng)的態(tài)勢感知平臺，對企業(yè)的全部數(shù)據(jù)加以綜合分析，對風(fēng)險(xiǎn)隱患加以預(yù)測，創(chuàng)建更加完善的安全防護(hù)工作。