网络安全态势感知标准架构设计

陈 妍 朱 燕 刘玉岭 刘星材

1(公安部第三研究所公安部信息安全产品检测中心 上海 200031)2(中国科学院信息工程研究所第六研究室 北京 100093)(chenyan@mctc.org.cn)

随着组织信息化建设规模的扩大，安全架构日趋复杂，各种类型的安全设备、安全数据越来越多，组织自身的安全运维压力不断加大.另一方面，以高级可持续威胁(advanced persistent threat, APT)为代表的新型攻击的兴起[1-2]，随着内控与合规的深入，越来越需要组织充分利用更多的安全数据进行分析检测，对基础架构安全、应用安全、数据安全乃至业务安全中面临的各类高级威胁作出判定和响应，以支撑业务持续稳定和安全运行.网络安全态势感知[3-4]是一种基于环境动态地、整体地洞悉安全风险的能力，综合利用数据融合、数据挖掘、智能分析和可视化等技术，直观显示网络环境的实时安全状况，为网络安全保障提供技术支撑.

不同于传统防火墙、入侵检测、安全审计等功能相对固化的产品，网络安全态势感知的概念及应用则复杂很多.很多产品或系统都宣称具备网络安全态势感知的三要素：态势获取、态势理解和态势预测，但实际部署后的系统应用效果千差万别，没有给用户带来实际的网络安全监测与防护效果，反而造成了资源浪费，同时给市场带来了一定的混乱.这一方面是缺乏网络安全态势感知技术、框架、功能等标准导致的，另一方面原因在于缺少业界公认的针对网络安全态势感知的综合评价指标.另外，网络安全态势感知平台需要从多种数据源进行数据采集，并与多个其他安全产品和系统进行联动，存在较多需要定义的数据和功能接口，目前各产品厂商、各平台建设单位各自为政，缺乏统一的数据接口，数据对接、威胁情报共享工作的实际落地较为困难.

解决这些问题需要有配套的态势感知标准来对相关系统和产品的功能进行规范，保障相关产品和系统的质量；对态势感知的评价指标进行构建，保证系统输出结果的一致性；对系统间数据采集、数据共享、协同联动的接口进行统一，促进不同厂商产品和系统之间的互联互通.本文在调研国内外网络安全态势感知标准的基础上，围绕组织在进行网络安全态势感知能力建设、厂商在开发和设计网络安全态势感知产品时面临的问题，给出了网络安全态势感知的标准架构.

1 网络安全态势感知相关标准梳理分析

随着网络安全态势感知产品的增多，以及各级网络安全态势感知平台的建设和实践，需要配套的网络安全态势感知标准规范产品和系统的核心功能，构建态势感知能力评价体系，统一平台间数据采集共享和协同联动接口，促进不同产品和平台的互联互通，从而增强网络安全态势感知能力.

深受先贤理念润泽，紧跟时代步伐，百余年来，广雅一直在传承坚守“和谐”教育理念，不断发展和丰富“和谐”教育内涵，通过制度建设和体系完善、环境美化和平台优化，积极营造和谐的教育生态，引领学生自由、健康成长。

本节梳理分析国内外标准化组织的已有工作，为后面标准框架的构建提供研究基础和技术依据，具体如表1所示.

通过表1可以看出，当前网络安全态势感知仍存在以下亟需解决的标准问题：

表1 网络安全态势感知国内外标准化情况梳理分析

1) 开发厂商、平台建设单位虽然一定程度上可以使用已有的脆弱性、威胁情报、安全事件标准，但是缺乏统一的数据接口，给平台对接、数据交换和威胁情报共享等增加了工作量和困难；

2) 缺乏统一的安全态势感知功能要求标准，容易导致网络安全态势感知平台建设单位对态势感知的认识不到位、系统架构设计不合理、态势感知功能模糊不清、能力参差不齐，无法真正实现网络安全态势感知；

3) 缺乏态势感知前端数据源标准规范，导致前端采集源与平台、平台内部高度融合，无法与其他优秀的前端采集源、分析能力进行异构兼容.

集体备课可以有效提升教师的专业素养，特别是对青年教师群体业务能力的锻炼.集体备课的主要目的就是发挥教研组全体教师的集体智慧，老教师提供经验方法，年轻教师贡献教学新思路，共同优化教学设计，提高教学质量.与此同时，集体备课可以为教师提供交流的平台，便于课程教学策略与改革方案的实施.

考虑到网络安全态势感知的复杂性，需建立标准体系来规范和指导网络安全态势感知工作.目前已有的标准主要从某一方面对网络安全态势感知进行了规范，比如参考设计、功能要求、数据交换等，但没有一个完整的标准体系设计，为此，亟待从技术和产业发展角度加快推进网络安全态势感知的标准化工作，为我国网络安全态势感知的健康发展提供有力保障.

2 网络安全态势感知标准架构

本文调研了国内外典型的网络安全态势感知系统架构[5-14]，对网络安全标准体系进行了研究，认为网络安全态势感知标准体系的构成要素应涵盖技术要求标准、安全管理标准、检测评价标准、应用指南标准等标准类型，覆盖数据采集、数据存储、数据处理、数据分析、数据共享等关键技术全链条，同时包括态势获取、态势理解和态势预测等能力，各要素之间相辅相成，互相支撑，如图1所示:

图1 网络安全态势感知标准需求图

基于网络安全态势感知标准需求及网络安全态势感知系统架构，本节设计了基于数据处理流程的网络安全态势感知标准架构，如图2所示，该标准架构可以有效指导网络安全态势感知系统的设计、开发和建设.

如图2所示，网络安全态势感知标准架构主要包括总体框架标准、前端数据源类标准、数据标准、应用标准、数据共享标准和业务支撑标准.其中数据标准包括数据预处理标准、数据存储标准和数据服务接口标准；应用标准包括安全功能类标准、安全指标体系类标准和安全可视化要素类标准；业务支撑标准包括基础标准和管理标准.各标准的定位以及作用如表2所示.

图2 网络安全态势感知标准架构

表2 网络安全态势感知各标准定位

基于上述的网络安全态势标准框架，可以对态势感知能力的建设起到规范和指导作用，主要体现在如下方面：一是通过规范态势感知产品开发者、平台建设者的设计、开发和建设流程，统一系统框架，提升系统的技术水平；二是通过规范态势感知服务组织的基础安全管理、数据安全管理、系统安全管理和安全运维等，提升系统防范安全风险的能力；三是规范行业体系，对系统的数据采集、数据共享、协同联动的接口进行统一，促进不同厂商产品和系统之间的互联互通，从而进一步支撑网络安全态势感知的健康发展.

3 结束语

网络安全态势感知作为实现网络安全实时监测和防护的一种手段，其作用至关重要.但由于网络安全态势感知能力建设的复杂性，即使如美国等网络安全强国也一直在摸索相关方案，我国也一样在摸索中前进.本文在调研国内外网络安全态势感知典型模型的基础上，给出了网络安全态势感知的系统架构，并以问题导向为原则，给出了网络安全态势感知的标准架构.网络安全态势感知的工作任重而道远，标准化工作则极为重要.未来需要在《中华人民共和国网络安全法》的指引下，紧密围绕国家网络安全战略需要，持续完善和优化我国网络安全态势感知的标准体系建设.网络安全态势感知标准体系建设一方面可以为网络安全态势感知的标准编制工作提供方向性指导；另一方面也能为网络安全态势感知研发、生产和检测单位开展规范化科研、生产和检测提供依据.