杨玉璞 毛新然
神州数码信息系统有限公司 100085
智慧城市安全服务平台面向已有的扬州、无锡、镇江、张家港和佛山等8个以及未来增加的智慧城市提供信息安全服务,跨城市安全态势感知服务是平台所提供的信息安全服务中的重要一项,除此之外还有跨城市的身份认证和授权管理等服务。
态势感知(SituationAwareness)这个概念来自我国古代的《孙子兵法》。一般地,态势感知的核心部分可以理解为一个渐进明晰的过程,它通过态势要素获取,获得必要的数据,然后通过数据分析进行态势理解,进而实现对未来短期时间内的态势预测。态势感知最终达成的目标是实现对未来的短期预测,是一个动态、准实时系统。
目前,对于安全态势感知尚无统一定义,以下给出几个描述性定义:
定义1:态势感知是指在大规模系统环境中,对能够引起系统态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。
定义2:网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。
建设安全态势分析数据库,研制安全威胁主动发现和探测、安全态势数据监测、安全事件关联分析与预警、网络安全指数计算、网络安全态势展示等子系统,形成安全监测与态势感知服务系统,为政务部门提供安全威胁检测、状态监测、安全态势感知和趋势预测等安全保障服务。
安全态势分析数据库,用于存储态势分析的相关数据,包括安全事件、资产配置及漏洞信息、安全基线信息、网络拓扑及配置信息、安全威胁以及关联规则等。数据库是分布式的,在中央级、省级、市级以及县级都有自己的网络安全态势分析数据库,且提供相应的数据的存储、查询、处理以及维护等功能。数据库信息能够及时更新,能随时更新新形态的木马病毒的特征(包括专门针对于政务网络的特殊木马);可以更新关联规则。及可以直接提供数据服务,可支持其他安全服务系统。
安全威胁主动发现和探测子系统以高级别的安全威胁探测功能为核心,能够主动探测各种新出现的威胁(尤其是特种木马),并能够根据异常行为模式甄别和捕捉最新的安全威胁。
安全态势数据监测子系统通过对网络信息流进行深度包检测(DPI),即对网络信息流的协议分布、应用状态、用户行为模式和内容代码特征进行深度检测,掌握网络和信息系统的总体运行状况,及时发现异常情况。
网络安全事件的关联分析与预警子系统对不同安全域、不同时间的多来源安全相关事件进行多维度(多种时空属性和网络属性)的关联分析,揭示和还原出真实的安全事件,识别真实的安全风险,并对重大安全事件进行预警。通过多源事件多维度的关联分析,提供全方位的安全态势分析服务。
网络安全指数计算子系统通过对当前安全事件的量化评估,计算当前时间范围内的网络安全指数。网络安全指数计算主要从网络基础运行维度、网络脆弱性维度和网络威胁性维度三个维度,对网络安全态势形成一个完整的评价。
网络安全态势展示子系统提供一套完整的针对网络安全态势的可视化展示工具,由通用报表生成软件、图形生成软件、地理地图态势展示软件以及通用数据库查询工具等部分组成。结合安全事件汇总分析与数据挖掘中查询与显示需求,实现网络安全态势展示。
安全危险检测包括两类服务,一是安全威胁主动发现和探测,以高级别的安全威胁探测功能为核心,能够主动探测各种新出现的威胁(尤其是特种木马),并能够根据异常行为模式甄别和捕捉最新的安全威胁。二是安全态势数据监测,通过对网络信息流进行深度包检测(DPI),即对网络信息流的协议分布、应用状态、用户行为模式和内容代码特征进行深度检测,掌握网络和信息系统的总体运行状况,及时发现异常情况。
对不同安全域、不同时间的多来源安全相关事件进行多维度(多种时空属性和网络属性)的关联分析,揭示和还原出真实的安全事件,识别真实的安全风险,并对重大安全事件进行预警。通过多源事件多维度的关联分析,提供全方位的安全态势分析服务。
整个模型分为要素信息采集、事件归一化、事件预处理、态势评估、业务评估、预警与响应、流程处理、态势可视化和历史数据分析等几个主要部分。
智慧城市安全服务平台态势感知服务系统作为上述安全态势感知系统模型的一个实例,虽然不是很完善,但是已经实现了其中一些关键技术,包括总体架构已经搭建起来、并实现了基于流数据的实时关联分析技术、高性能事件处理技术、海量事件分析技术、信息可视化技术,等等。态势感知相关技术的发展和成熟有助于为用户抽取出有价值的安全信息和安全知识。最后,安全态势感知技术的突破和应用还为将来的平台作为网络可生存性(NetworkSurvivability)的控制中枢提供了基础支撑。
[1]韦勇, 连一峰. 基于日志审计与性能修正算法的网络安全态势评估模型. 计算机学报, 2009.4, 32(4): 763-772.
[2]刘聪林.电子政务系统安全性研究[J].电脑知识与技术,2010,6(4):841-842.
[3]朱方. 点滴汇聚智能运筹智慧城市公共安全平台探索. 中国公共安全(综合版) ,2012年13期