梁 昊，丁 宏，文 蘭，趙立健

（濟南市生態(tài)環(huán)境數(shù)字化應用中心，山東 濟南 250102）

0 引言

政務(wù)云是專門服務(wù)于政府領(lǐng)域的一種云計算技術(shù)，面向各類政府機構(gòu)提供電子政務(wù)服務(wù)。在政務(wù)信息系統(tǒng)整體部署、互聯(lián)互通、資源共享和業(yè)務(wù)協(xié)同的背景下，政府電子信息系統(tǒng)逐步遷移到政務(wù)云平臺。政務(wù)云在節(jié)約資源、提升經(jīng)濟效益和公共服務(wù)水平方面具有顯著優(yōu)勢，但同時也帶來了信息安全方面的問題，比如面臨網(wǎng)絡(luò)攻擊與數(shù)據(jù)泄露風險，缺乏適當?shù)纳矸蒡炞C與訪問控制機制，數(shù)據(jù)備份與容災機制不完善等。隨著政府領(lǐng)域利用云平臺來管理公共服務(wù)和治理的普及，將網(wǎng)絡(luò)安全放在首位并投資于強大的安全措施以保護敏感數(shù)據(jù)和確保國家安全變得至關(guān)重要。傳統(tǒng)的網(wǎng)絡(luò)安全防護方法（如防火墻、漏洞掃描、殺毒軟件和入侵檢測等）雖然能在特定功能上實現(xiàn)安全防御，但在面對云上復雜的網(wǎng)絡(luò)環(huán)境時仍存在很多不足，無法實現(xiàn)多個方法之間的聯(lián)動，更不能從全局上主動對網(wǎng)絡(luò)威脅進行防御。傳統(tǒng)安全防護的重心在于邊界防護（如終端防護、網(wǎng)絡(luò)防護、主機防護等），隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新技術(shù)的普及，越來越多的數(shù)據(jù)存儲在云端，超越了傳統(tǒng)的安全防護邊界，同時日益增長的物聯(lián)網(wǎng)設(shè)備也在挑戰(zhàn)傳統(tǒng)安全防護方法的防護能力。與日趨乏力的安全防護手段相比，攻擊者的攻擊手段（如零日漏洞、高級持續(xù)攻擊、網(wǎng)絡(luò)軍火武器等）卻日趨高級，在層出不窮的漏洞和高級攻擊手段面前，看似堅固的傳統(tǒng)網(wǎng)絡(luò)安全防護堡壘成為擺設(shè)[1]。因此，本文使用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，采集網(wǎng)絡(luò)安全設(shè)備防火墻、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)及終端威脅防御系統(tǒng)的日志數(shù)據(jù)，研究基于政務(wù)云多源異構(gòu)數(shù)據(jù)的云安全防護體系建設(shè)，加強政務(wù)云自身的安全防護及云上政務(wù)數(shù)據(jù)安全保障。

1 網(wǎng)絡(luò)安全態(tài)勢感知模型建設(shè)

為解決以上問題，本文從態(tài)勢感知、態(tài)勢理解和態(tài)勢預測3個方面實現(xiàn)安全態(tài)勢感知模型的建設(shè)。

安全數(shù)據(jù)是指在計算機網(wǎng)絡(luò)和系統(tǒng)中產(chǎn)生的與安全相關(guān)的各種信息和記錄，包括但不限于登錄記錄、網(wǎng)絡(luò)流量、系統(tǒng)日志、惡意代碼樣本及異常行為等。來源涵蓋網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應用程序、防火墻、入侵檢測系統(tǒng)（Intrusion Detection System，IDS）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）及日志文件等。安全數(shù)據(jù)采集被視為持續(xù)監(jiān)測、分析和響應網(wǎng)絡(luò)和系統(tǒng)安全狀態(tài)，及早識別和應對潛在的安全威脅和風險的基礎(chǔ)。

政務(wù)云環(huán)境是指專門為政府部門和機構(gòu)提供的云計算基礎(chǔ)設(shè)施和服務(wù)。具有存儲、計算、網(wǎng)絡(luò)和業(yè)務(wù)4個方面的特點：存儲包含敏感信息，如個人身份信息、機密文件等，具有存儲安全性要求高、數(shù)據(jù)歸檔與長期保留特點；計算具有隨著業(yè)務(wù)需求的變化而波動的計算需求特點；網(wǎng)絡(luò)需要提供高速穩(wěn)定的網(wǎng)絡(luò)連接，保持隔離不同政府部門和機構(gòu)之間的數(shù)據(jù)；業(yè)務(wù)要符合政府法規(guī)和合規(guī)性要求，支持多個政府部門和機構(gòu)共享?？傊?，政務(wù)云環(huán)境的存儲、計算、網(wǎng)絡(luò)和業(yè)務(wù)特點是為了滿足政府部門的特定需求，包括安全性、合規(guī)性、靈活性及高可用性等方面的要求。

當進行安全態(tài)勢感知時，將從脆弱性分析、生存性分析、威脅性分析、平穩(wěn)性分析4個層面對安全數(shù)據(jù)進行采集和分析（如表1所示），并再細分為二級指標得到政務(wù)云中實體數(shù)據(jù)源。脆弱性分析是指對系統(tǒng)暴露在外的、容易被攻擊的自身缺陷的分析；生存性分析是指對發(fā)生的安全事件的分析，目的是從事件中汲取經(jīng)驗教訓，加強對外部威脅的抵御能力；威脅性分析是指對資產(chǎn)的各類攻擊進行分析和評估；平穩(wěn)性分析是指減少風險的發(fā)生，保證系統(tǒng)穩(wěn)定運行。

表1 安全數(shù)據(jù)采集分析

1.1 態(tài)勢感知

態(tài)勢感知是實現(xiàn)態(tài)勢感知模型過程的核心概念和關(guān)鍵組成部分。針對政務(wù)云中多源異構(gòu)、數(shù)據(jù)量大的安全態(tài)勢數(shù)據(jù)，通過網(wǎng)絡(luò)設(shè)備采集和挖掘重要的數(shù)據(jù)，對采集后的數(shù)據(jù)進行數(shù)據(jù)清洗、格式化處理等操作，把異構(gòu)數(shù)據(jù)融合關(guān)聯(lián)到一起，并存儲到數(shù)據(jù)庫中。

基于Agent數(shù)據(jù)采集和應用程序編程接口（Application Program Interface，API）的安全數(shù)據(jù)采集系統(tǒng)，包含Agent實時數(shù)據(jù)采集、數(shù)據(jù)分析處理、數(shù)據(jù)格式化、數(shù)據(jù)上傳的通信模塊、配置管理等，對不同安全數(shù)據(jù)類型，開發(fā)相應的數(shù)據(jù)采集Agent。從物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境和系統(tǒng)安全等方面實時采集系統(tǒng)運行的安全數(shù)據(jù)，并將采集后的數(shù)據(jù)上傳到接口，接口接收后進行數(shù)據(jù)的格式化統(tǒng)一，消除數(shù)據(jù)冗余、類型和格式的差異，然后進行統(tǒng)一語義封裝，消除語義理解的差異，最后將數(shù)據(jù)存儲到安全信息庫中[2]。

1.2 態(tài)勢理解

態(tài)勢理解是將采集到的多種類型數(shù)據(jù)清洗、格式化，采用分類、歸并、層次分析、關(guān)聯(lián)分析等方法對網(wǎng)絡(luò)安全系統(tǒng)中的要素進行統(tǒng)計，包括資產(chǎn)管理、風險發(fā)現(xiàn)、威脅監(jiān)測和基線檢查等。再對各類數(shù)據(jù)要素定性分析，找到要素之間的相互聯(lián)系，通過警報匹配方法計算警報相關(guān)信息與目標系統(tǒng)資產(chǎn)和配置的相關(guān)性，監(jiān)測入侵檢測報警信息、漏洞信息及網(wǎng)絡(luò)與主機安全評估，結(jié)合攻擊發(fā)生頻率、帶寬占用率及對網(wǎng)絡(luò)的影響，評估出對整個服務(wù)器的影響威脅。根據(jù)指標體系選取數(shù)據(jù)，進行態(tài)勢量化處理得到態(tài)勢值，同時為態(tài)勢預測提供準確的預測數(shù)據(jù)集。

1.3 態(tài)勢預測

態(tài)勢預測是網(wǎng)絡(luò)安全態(tài)勢感知的最終目標，可讓網(wǎng)絡(luò)防護人員及時或提前掌握網(wǎng)絡(luò)運行的狀況。網(wǎng)絡(luò)安全數(shù)據(jù)具有信息關(guān)聯(lián)性，通過海量連接和攻擊嘗試，會產(chǎn)生具有時間序列特性的網(wǎng)絡(luò)安全數(shù)據(jù)。長短期記憶網(wǎng)絡(luò)（Long Short-Term Memory，LSTM）具有獨特的“門”結(jié)構(gòu)，能夠更好地記錄時間序列數(shù)據(jù)關(guān)系，具有記憶功能?；趯ο嚓P(guān)網(wǎng)絡(luò)安全數(shù)據(jù)的理解，對網(wǎng)絡(luò)安全數(shù)據(jù)進行數(shù)據(jù)預處理、數(shù)據(jù)格式化、模型預訓練。具體步驟如下：

（1）構(gòu)造數(shù)據(jù)集。對威脅進行權(quán)重分配，網(wǎng)絡(luò)安全態(tài)勢值的計算方法為：

式中：SA為安全態(tài)勢值；i為威脅種類；w為權(quán)重；Ti為某類威脅的數(shù)量；Timax為最大時數(shù)值。并對安全態(tài)勢值進行歸一化預處理。

（2）特征提取?；谧跃幋a器（Auto-Encoder，AE）的特征提取，AE利用原始數(shù)據(jù)參考，進行自監(jiān)督學習特征提取。

編碼過程表示為：

式中：he為編碼器的輸出；f e為編碼部分激活函數(shù)；We為權(quán)重矩陣；X為n維向量；be為編碼部分偏置。

解碼過程表示為：

式中：X'為解碼器的輸出；f d為解碼部分激活函數(shù)；Wd為解碼部分的權(quán)重矩陣；bd為解碼部分偏置。

MSE損失函數(shù)表示為：

式中：L(X,X')為損失函數(shù)；k為樣本數(shù)；j為樣本序列；Xj為預測值；Xj'為目標值。

（3）基于自注意力門控單元（Self-Attention Gate Recurrent Unit，SA-GRU）的網(wǎng)絡(luò)安全態(tài)勢預測方法，對態(tài)勢數(shù)據(jù)進行表征學習進而實現(xiàn)預測。將通過網(wǎng)絡(luò)態(tài)勢評估獲得的態(tài)勢數(shù)據(jù)按一定的比例分為預測訓練集和預測測試集，將預測訓練集輸入SA-GRU神經(jīng)網(wǎng)絡(luò)模型進行態(tài)勢模型訓練（如圖1所示），將預測數(shù)據(jù)輸入訓練好的網(wǎng)絡(luò)進行預測，得到預測值。

圖1 基于SA-GRU的政務(wù)云安全態(tài)勢神經(jīng)網(wǎng)絡(luò)訓練模型

2 安全防護體系設(shè)計

基于網(wǎng)絡(luò)安全態(tài)勢感知模型設(shè)計一套安全防護體系，主要分為態(tài)勢感知聯(lián)合防火墻自動布防、態(tài)勢理解加強網(wǎng)絡(luò)安全保障和態(tài)勢預測建立自適應安全防御3個方向。

2.1 態(tài)勢感知聯(lián)合防火墻自動布防

部署態(tài)勢感知管控中心和Agent探針，采集網(wǎng)絡(luò)安全設(shè)備防火墻、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)及終端威脅防御系統(tǒng)的日志數(shù)據(jù)，實現(xiàn)對網(wǎng)絡(luò)安全的態(tài)勢覺察、跟蹤和預警，及時掌握網(wǎng)絡(luò)安全威脅、風險和隱患，監(jiān)測漏洞、病毒木馬、網(wǎng)絡(luò)攻擊情況，發(fā)現(xiàn)網(wǎng)絡(luò)安全事件線索，防范網(wǎng)絡(luò)攻擊等惡意行為[3]。

將態(tài)勢感知中心與邊界防火墻設(shè)備進行聯(lián)動處置，通過郵件、企業(yè)微信等方式實時推送事件告警。同時，在態(tài)勢感知中心可一鍵下發(fā)配置安全防護策略，邊界防火墻可自動更新相關(guān)配置，從而實現(xiàn)半自動化運維，提高日常運維的工作效率。

（1）攻擊源和攻擊類型實時監(jiān)測。將攻擊分為高風險、中風險、低風險，包括攻擊源和被攻擊主機，并在頁面上根據(jù)攻擊類型顯示注入攻擊、掃描探測、文件漏洞攻擊、瀏覽器挾持、非授權(quán)訪問等其他信息。

（2）主機和業(yè)務(wù)系統(tǒng)動態(tài)防護。對主機進行安全防護，防止對主機的惡意攻擊，實時記錄僵尸主機和被控制的主機，監(jiān)測被入侵的主機。業(yè)務(wù)系統(tǒng)動態(tài)防護是對業(yè)務(wù)系統(tǒng)進行安全防護，對受影響業(yè)務(wù)（如Web應用、數(shù)據(jù)庫）進行及時維護。

（3）告警和惡意文件管理控制。基于防護規(guī)則統(tǒng)計分析告警事件，包括規(guī)則編號、事件描述、級別、攻擊次數(shù)。詳細記錄告警信息，包括告警內(nèi)容、告警級別、告警類型、最近發(fā)生時間、告警狀態(tài)和操作。

實時主動控制安全策略，防止惡意文件的傳播和攻擊，面對惡意IP、惡意域名、惡意統(tǒng)一資源定位符（Uniform Resource Locator，URL）傳播源、感染主機、惡意程序、疑似惡意程序、聯(lián)動阻斷等威脅，做到及時發(fā)現(xiàn)并采取相應措施，實現(xiàn)一鍵封堵功能。

2.2 態(tài)勢理解加強網(wǎng)絡(luò)安全保障

建立自適應安全防御機制，對攻擊模式、攻擊手段、攻擊目標進行分析，了解安全的動態(tài)變化，以自適應安全架構(gòu)和云工作負載保護平臺為核心理念，采用“管控中心+Agent探針”的部署方式，保證政務(wù)云上租戶的主機應用及數(shù)據(jù)安全[4]。同時，結(jié)合實際情況，將自適應安全防御軟件與安全服務(wù)充分結(jié)合，加強對新型未知病毒及高級攻擊的防御能力，提供全棧保護能力與安全巡檢。自適應安全防御機制的主要功能如下：

（1）資產(chǎn)管理功能。按照IP、主機、資產(chǎn)3個維度進行分類，主機資產(chǎn)統(tǒng)計包括管控主機的總數(shù)，即在線、離線和未管控的主機。操作系統(tǒng)統(tǒng)計包括Linux、Server以及對政務(wù)云環(huán)境中賬號、端口、進程、軟件、數(shù)據(jù)庫及容器的細分資產(chǎn)的統(tǒng)計，包括開通賬號、端口和各類數(shù)據(jù)庫的主機數(shù)。

（2）風險發(fā)現(xiàn)功能。檢測出系統(tǒng)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞、配置缺陷及弱口令。

（3）威脅監(jiān)測功能。實時監(jiān)測暴力破解并自動封停，對主機存在的病毒及WebShell后門程序進行隔離清除。

（4）基線檢查功能。配置合規(guī)且包含等?；€檢查規(guī)則在內(nèi)的模板，為網(wǎng)絡(luò)安全防護提供更加準確的合規(guī)判別。

2.3 態(tài)勢預測建立自適應安全防御

遠程監(jiān)控提供實時預警，對政務(wù)云服務(wù)平臺進行24小時重點網(wǎng)站遠程監(jiān)控，及時發(fā)現(xiàn)政務(wù)門戶網(wǎng)站等Web應用系統(tǒng)存在的安全問題，針對網(wǎng)站掛馬、首頁篡改、敏感關(guān)鍵字、暗鏈等異常操作，在第一時間通過短信、郵件、電話等方式進行預警。通知格式包括標題、網(wǎng)站名稱和URL、事件發(fā)生的時間和類型、事件發(fā)生錯誤概覽等內(nèi)容[5]。

日常防護包括使用各種攻擊技術(shù)對網(wǎng)站、App、小程序等互聯(lián)網(wǎng)系統(tǒng)和內(nèi)網(wǎng)系統(tǒng)進行每季度一次的滲透測試。此外，還包括授權(quán)測試、業(yè)務(wù)邏輯測試、配置及部署管理、客戶端測試、數(shù)據(jù)驗證、身份認證、信息泄露、會話管理等方面，從而發(fā)現(xiàn)系統(tǒng)存在的安全隱患。

3 結(jié)語

本文研究了基于態(tài)勢感知技術(shù)的政務(wù)云安全防護體系建設(shè)，從態(tài)勢感知、態(tài)勢理解和態(tài)勢預測方面解決了海量、多源、異構(gòu)安全數(shù)據(jù)采集和處理的難題，構(gòu)建了基于SA-GRU的政務(wù)云安全態(tài)勢神經(jīng)網(wǎng)絡(luò)訓練模型，實現(xiàn)對安全態(tài)勢定量評估，設(shè)計包括態(tài)勢感知聯(lián)合防火墻自動布防、態(tài)勢理解加強網(wǎng)絡(luò)安全保障和態(tài)勢預測建立自適應安全防御3個子系統(tǒng)的安全平臺，實現(xiàn)對政務(wù)云上信息系統(tǒng)安全態(tài)勢的監(jiān)測預警、檢測、防護及安全能力的全面提升，保證云上系統(tǒng)數(shù)據(jù)安全，提高了政務(wù)云平臺服務(wù)能力和安全管理人員的工作效率。