摘要:现代博物馆的主要职能包含了搜集、保存、修护、研究、展览、教育、娱乐等,随着互联网迅速发展,网络技术层出不穷,日新月异,给博物馆发展带来新的机遇,使得博物馆的很多社会职能可以更好地发挥出来,其中知识传播教育职能变得越来越重要,拉近了与社会公众的公共关系。与此同时,互联网中各类威胁、陷阱和攻击也为博物馆数字化建设带来了安全隐患,博物馆数字化建设中的文物数据安全、网络设备安全、业务应用系统安全都受到了前所未有的挑战。
关键词:博物馆;网络安全;数据安全;态势感知;安全平台
中图分类号:TN915 文献标识码:A
随着博物馆数字化建设,博物馆可以更好地发挥其社会服务职能,但与此同时,当今互联网不仅开放多元,而且复杂多样,威胁重重,博物馆某些敏感信息也遭受着前所未有的网络威胁。博物馆发展中要做到用其利而避其害,在博物馆的数字化建设过程中网络安全防护体系的构建就变得非常重要[1]。
1 数字博物馆建设网络安全面临的新问题
1.1 网络环境日新月异、复杂多变,传统博物馆网络安全工作流程经常落后于网络环境的变化
博物馆的数字化建设进程中,网络环境和业务应用信息系统越来越复杂,博物馆网络安全管理员有时又无法保证所有安全工作的有序进行,而普通非专业的用户不清楚网络具体状况,只要求网络快捷、方便,经常私自更改网络末端环境,比如私接交换机或无线路由器导致网络发生局域网故障,严重地导致整个博物馆的网络全部瘫痪。
同时博物馆网络安全人员所接受网络安全相关专业培训和进修机会几乎为零,有些博物馆网络安全工作不受重视,网络安全管理员由非专业学科人员负责,这类网络安全管理员常常搞不清楚博物馆网络环境的具体状况。很多博物馆网络安全管理员都无法准确掌握本单位网络环境的基本情况,根本无法对内部网络和设备的安全风险进行掌控。耗费大量资金建设的安全防御体系也成了摆设。在这种情况下,很多入侵、攻击行为无法被即时发现和制止,博物馆很多敏感数据资源被人为盗取,有时会造成严重损失[2]。
1.2 博物館传统网络安全技术对高级持续性威胁应对乏力
目前,大多数博物馆所采用的安全技术手段相对传统,都是通过将入侵攻击的特征和行为数据与病毒库中已知特征库进行简单的模式匹配,来实现对入侵攻击的防御,这种模式是被动对单次行为进行识别和判断,并不会将这些长期、同类的攻击行为主动记录统计并进行有效分析。因此,在面对高级持续性威胁时,博物馆网络安全在安全威胁方面的检测、发现、响应、溯源、处理等方面都存在滞后现象。
1.3 博物馆围墙式安全防御体系不再适应当前的网络环境
博物馆传统网络安全体系建设是根据不同应用信息系统的安全需求,将网络资源分割成不同的区域各自维护,安全控制一般部署在边界处,从而达到对入侵攻击的有效检测和主动防御。但随着网络技术的发展,进入“互联网+”时代,物联网技术、云计算、移动互联等新技术、新产品、新服务在博物馆的应用越来越广泛,原来物理上的边界概念已经变得非常模糊。虽然博物馆数字化建设中部署了一些安全硬件设备和软件系统,但这些硬件设备和软件系统基本都是各自独立运行,没有形成联动安全防御机制,事实上形成了一个个信息安全孤岛。对于一些复杂、隐蔽的攻击行为,如果仅依靠某一个或一类安全设备,就会导致大量漏报或误报情况的发生。因此,博物馆网络安全管理部门必须将这些信息安全孤岛整合起来,建设博物馆全面数字安全感知体系,可以真正对入侵攻击行为进行积极防御,及时有效处理,同时还可以消除各应用系统之间的数据流通壁垒,使博物馆数字化建设中的数字化成果变为真正有用的数字资源。
要解决这些新的安全问题,亟须使用新的技术手段来掌控全局的安全态势,从而优化安全运营过程,将电子政务网络的安全风险控制在合理的区间内。
2 博物馆对态势感知与安全运营平台的要求
2.1 对博物馆进行全方位数据采集与分析
为实现对博物馆安全管理的全面监控,在数据采集方面,要明确包括所有部门的业务范围,然后进行数据采集。
对于传统事件采集,通过态势感知,全面获取各种网络设备、安全设备的系统日志syslog、用户流flow日志、中间件等其他类型日志。
对于新事件采集,与传统netflow等采样式流量采集方法不同,态势感知平台通过专业流量传感器对流量中的会话行为、事务、应用动作进行还原、采集,再对形成相关的日志进行数据清洗、分析和处理[3]。
此外,态势感知与安全运营平台还能对接博物馆网络中的各种终端行为日志,因为终端日志比网络日志记录更加翔实,可以帮助分析人员发现恶意进程的相关文件,不仅可以发现威胁,还可以对网络安全问题进行回溯分析。
2.2 优化数据存储
博物馆数字化网络每天产生大量日志数据,便于分析但能耗较大。传统关系型数据库由于自身设计缺陷,在达到10亿条日志时会出现性能的剧烈下降,大量流量日志、终端日志、操作系统日志都面临存储风险。
为解决海量数据的快速存储和读取问题,态势感知与运营平台需要使用大数据基础架构对传统数据的存储和计算方式进行优化处理。利用分布式全文检索技术,预先对相关日志建立全文索引,存储在多块磁盘或多台设备,保证日志安全精确入库。查询日志时,可以将对应检索命令分发到多台设备执行,利用大内存提高平台查询效率,即便是千亿条日志规模,也能实现秒级查询。
2.3 日志处理专业度高
数字化博物馆业务范围广、事务多,不同的业务需求,许多传统SOC/SIEM功能模块需要定制开发,每一次开发都会产生成本,运行后期维护兼容性较差,一般只能谁开发谁运维。而态势感知与安全运营平台通过设计专家搜索模式,将SQL最佳功能与Unix管道语法封装成执行脚本,终端用户调入相关命令就可从海量日志中进行数据检索,然后对查询结果进行关联、分析和可视化操作[4]。
2.4 强劲的关联分析处理能力
关联分析的主要作用是发现威胁,但面对当前博物馆中数量庞大的安全设备和服务器,传统的关联分析往往仅能提供3000 EPS(Event per Second)到5000 EPS的处理能力,根本无法满足安全需求。因此只有通过态势感知与运营平台设计专业关联分析核心引擎,把复杂事件处理技术(CEP)和安全业务场景结合起来,实现功能加速,逻辑优化,达到20 000 EPS(50条规则)关联处理能力来满足博物馆的安全需求。
3 态势感知与安全运营平台对博物馆数字化建设的意义
对于博物馆数字化建设,态势感知和安全平台有以下几个重要意义。
3.1 发现博物馆数字建设中的安全隐患,完善博物馆网络安全防护体系
目前,博物馆网络安全设备基本上都是只对自身负责区域的流量信息进行分析处理,对已知的安全威胁进行有效防护,而对于未知威胁处理能力则非常弱。态势感知利用基于大数据的云端威胁情报数据库,可以更好地借助互联网云计算帮助博物馆进行数据挖掘和分析攻击线索,可以提高未知威胁和APT攻击的检出效率,因此,可以有效发现博物館数字建设中的安全隐患,提升博物馆网络安全防护能力[5]。
3.2 改变安全管理人员防御思想,提高博物馆网络安全防护能力
传统博物馆对网络安全重视程度不足,防御体系构建比较简单,属于被动式防御,认为处于网络出口设备处最容易受到攻击,是信息安全建设的重点,在出口处部署安全设备可以及早应对攻击。因此,博物馆网络安全管理部门在出口处部署相应的检测与防御设备,如IDS、IPS、 UTM(安全网关)、FW、Audit(安全审计)、网闸等。这样博物馆网络安全仅依靠最外层的防御设备,一旦最外层设备被攻破,那么内部设备和应用系统安全就没有任何保障。在实际环境中,最外层检测与防御设备经常被攻击入侵成功,网络安全面临非常大的风险,需要改陈破旧,在思想认识方面重视网络安全,把网络安全战线延长,当最外层检测设备失效,防御系统被攻破的情况下,后续网络设备和防御系统可以继续发挥作用,实现危险快速警告、分析日志、回溯信息、分析攻击过程,网络安全部门才能迅速制定合理解决方案,防止攻击造成更大范围的影响。态势感知方案利用威胁情报库和规则链技术,构建成监听和主动回溯、研判和主动监测的入侵检测防御体系,实现由被动式防御体系向主动式防御体系转变,在很大程度上可以提高博物馆网络安全防御主动性。
参考文献
[1] 宋岍龙.基于网络数据的网络安全态势感知平台设计[J].中国新通信,2019,21(18):134-135.
[2] 管小娟,张涛,马媛媛,等.网络安全态势感知研究综述[J].电力信息与通信技术,2014,12(5):1-4.
[3] 王丹琛,徐扬,李斌,等.基于业务效能的信息系统安全态势指标[J].清华大学学报(自然科学版),2016,100(5):517-521,529.
[4] 施驰乐.电子政务系统网络安全安全防护之变:浅谈态势感知与安全运营平台[J].中国信息化,2019,16(6):59-62.
[5] 张宝圣.山西博物院数字化平台建设研究[J].图书情报导刊,2019,29(7):28-31.