.....L . 0)00::fi mip ilin i p o i a1000l 001^^B iO IO ^M |i &«^r a ^O lD O i'O o jin D 烛卿議则1 Ig O O IO O lO lD lC r o o i o o f i t j o i B i本期专I sC ^fe T jT m T iy■(oioiieicf.u /〇:o r '产OWOlOO W Q fj 丨(H ,ml l f fi 0.1Q ^100l 01Q D 10l |l 0p l t )0:f l t j i o i i K i 政—’侧,o fiitr r 伞diooioiiiMiL ju ttoo iod ai gi noiijoiMioioo M fiip o io o ]iio^〇]〇j^]〇o io ilM K io fi)〇i(jRA_30100丨丨丨010100丨_丨:;C 3卬 I。
Q !I ]丨Q I fl G D 丨 f firtlD ’lE fiffiB B W P010*******i 0(基于大数据的网络安全态势分析平台态势感知,即利用当前数据趋势预测未来事件,其思路是通过现有数据预测 即将到来的网络攻击■并进行必要的防护。
与被动防御相比,通过科学的数据分析 进行态势感知,从而发现未知风险,对于网络安全具有重要意义。
本期专题介绍了一种基于大数据技术的网络安全态势分析平台,从系统基本 信息、受攻击事件、系统漏洞、系统风险等多个维度对大量信息系统进行全方位安 全监控,对安全事件和漏洞情况及时告警和预警,并提供全部监测目标的全局统计报表和趋势分析,为公安机关维护网络安全提供了有力的技术支撑。
i 01G H 01I)-fbl 1〇t 44111 l t 〇10101010101〇fbl011011111110101010101CD111111101010101010101)网络安全态势分析平台王志奇1陈宇2雷亚21.河南省公安厅网络安全保卫总队2.郑州信大天瑞信息技术有限公司摘要:针对目前我国网络空间安全管理领域出现的安全威胁频发、安全态势感知手段欠缺等问题,提出并实现了—种基于大数据技术的网络安全态势分析平台。
平台以R 3-AST 三要素管理模型为信息系统风险分析思路,技术结构以数据采集、汇聚处理、资源存储、分析挖掘、业务应用、展示显示等六层结构为主体, 实现了网络威胁的感知与态势分析、海量异构安全信息采集汇总及分析展示、数据决策及监督执行等功 能,在直观展示网络安全态势的同时,为网络安全管理者提供了一种安全管理体系构建及运行的有效机 制,将传统的网络安全应急响应升级为持续管理、持续响应的新水平,能够充分满足等级保护体系对网 络安全管理体系的建设运行要求。
在多地公安网监部门的应用效果表明,平台能够为提升网安部门的关 键信息基础设施安全监管工作效率起到积极的推动作用。
关键词:信息錄大麵网 态势态势!離分析引言随着我国信息化建设步伐的加快,信息系统 建设已经达到了一个相当的规模,据有关部门统 计,目前我国各行业重要系统的数量(等级保护第 三级以上的系统)已经达到数万个。
这些系统中承 载着我国各行业的重要业务,正发挥越来越重要的 作用,成为我国的关键信息基础设施。
与此同时,国内国外均有大量针对我国网络 空间“第五疆域”的安全威胁。
国外,有组织的黑 客攻击破坏活动频发;国内,各类网络安全事件严 重影响着社会秩序。
这些问题均暴露了我国目前重 要信息系统安全防护能力和网络安全事件监测预瞥手段的不足。
因此,我国已将网络空间安全问题提升到国家安全战略的高度,加强和完善网络安全监 测预警与主动防御能力刻不容缓。
针对这一问题, 以云计算、大数据为代表的新技术在促进数据信息 应用和提升协同计算能力方面成效卓著,为问题的 解决提供了可适用的参考模式。
因此,面对当前严 峻的互联网安全形势,有必要引入新的技术理念, 建设基于大数据的网络安全态势分析平台,实现对 安全风险的实时监测与精准预瞥,以及对网络安全 态势的全面感知和响应,有效对抗各类新型安全威 胁。
基于大数据的网络安全态势分析平台正是在 这样的背景下研发,旨在提高公安机关网络安全监68 I 罾親涿3 2018年第5期基于大数据的网络安全态势分析平台管部门及各行业信息系统运维管理部门的网络安全 态势感知能力,增强我国关键信息基础设施安全保 护的整体防护能力,网络安全事件应急处置与网络 功能恢复能力,以及依法侦查打击针对和利用关键 信息基础设施实施的违法犯罪活动的能力。
一、公安行业需求分析经过十多年的高速信息化发展建设,我国各 地关键信息基础设施网络均逐步完成了安全功能和 产品的基础建设。
为各级政务外网、各政府及企事 业单位互联网站服务的大量安全产品已可以在较大 程度上满足其基本安全需求,能够有效完成访问控 制、入侵侦测、漏洞扫描、防病毒等具体的安全功 能和技术需求。
但是,随着互联网网络安全环境的不断变化 及日益复杂,网络安全事件仍然层出不穷。
2017年6月1日起,《中华人民共和国网络安 全法》正式落地实施,根据第一章第8条的要求, 公安部门作为依照本法律及有关法律、行政法规负 责网络安全保护及监督管理的主体单位,肩负着实 施我国境内的重要信息系统安全监管、网络与信息 安全信息通报、打击与预防网络违法犯罪等重要的 职责。
然而,各级公安网络安全监管部门逐渐发 现,仅仅依托于用户信息系统环境中部署的各类基 础安全措施,无法准确把握所辖区域关键信息基础 设施网络的底数,对其辖区安全态势的感知及全局 把握能力、对突发安全事件的应急处理能力、对大 规模安全事件的协调处理能力、网络安全犯罪行为 的追查处置能力等,均难以有效提升。
各地各级公 安部门在执行《网络安全法》赋予的职责的同时, 普遍面临着以下几种突出的问题:(1 )网络攻防双方的技术力量不对等带来的系 统修复滞后,导致网络安全事件不可能完全避免;(2)等级保护制度虽然已实施多年,但由于欠缺实施技术手段、管理流程自动化水平较低等, 其覆盖范围、实施精度和深度等均有待加强;(3)由于缺乏网络安全事件研判手段及有效的技术工具支撑,对网络安全事件的研判能力较低, 从而导致相关通报的权威性受到一定程度的影响;(4)由于缺乏有效的网络安全预警发布及通 告平台,当发现安全事件预警信息时,预警信息往往难以及时发布和通知,造成了对病毒、攻击等安 全事件扩散的控制能力较弱;(5)由于缺乏针对安全事件的分析及应急处 置平台,网络安全事件发生时的应急处置流程往往 规范性较差,并且缺乏针对多项相关安全事件的关 联分析能力,不利于事件的及时处置及相关案件的 分析判断;(6 )由于缺乏网络安全事件发生机理的分析 手段及技术能力,事件发生后往往无法定位和发现 攻击者,导致事件线索难以转化为公安部门的案件 线索,并且针对目前猖獗的网络犯罪行为,事件溯 源及案件取证都缺乏有力的手段。
以上各项问题,最终导致了大量网络安全事 件及网络安全违法犯罪行为无法得到及时处置、大 量犯罪人员无法定位和处理、网络环境的治理效果 较差、网络公共空间安全秩序混乱等后果。
基于以上问题,各级公安机关亟需建设立足 于顶层视角、旨在网络安全态势感知与协同处理的 基于大数据的安全分析平台,协助网络安全监管部 门掌握网络安全态势,提升网络安全事件的防范能 力,有力打击和预防网络违法犯罪行为。
_、平台系统(一)设计思路及理论依据1. R 3-AST 风险管理思路在进行信息安全系统的建设和运行工作中, 风险管理是一个根本性的思路。
风险管理思路已经 被业界广泛认可。
图1风险管理思路在《信息安全技术信息安全风险评估》(GB /T 20984-2007 )规范中,比较全面地阐述 了风险管理的几个主要要素,并详尽而准确地阐述〇丨^6(:1111〇丨〇97 2018年第5期69了各要素之间的关系。
上图中的每一个要素,都可 以成为风险管理乃至信息安全管理工作中的要点。
风险要素模型有不同的形式,为了能够更好 地抓住风险管理的线索,便于实际工作,将上述风 险10要素(含风险)总结为风险三要素(不含风 险),如图2所示。
三要素风险模型R3 -AST'资产和业务Asset 保障措施Safeguard威胁Thread图2风险要素图在国家标准中的10要素,业务战略、资产、 资产价值被合并为本模型的资产;安全需求和安全 措施被合并为保障措施;脆弱性、威胁(狭义)、 安全事件被合并为广义的威胁;风险和残佘风险都 是风险。
通过风险的三要素,可以抓住风险管理的实 质。
也就是被保护的“资产”,可能产生侵害的 “威胁",防范威胁保护资产的“保障措施"。
在一个实际的信息安全保障体系中,必须全(二)技术架构平台的基本架构如图3所示。
平台基本架构根据系统处理流程可分为数据 采集、汇聚处理、资源存储、分析挖掘、业务应 用、展不显小/、个层次,其中:1.数据采集层通过收集与网络安全态势感知相关的互联网 数据、重点单位监测数据、信息安全企业相关数 据、G 01攻击监测数据、专家系统分析数据、等保 相关数据、其他网安业务相关数据、其他共享交换 数据等,为安全态势感知业务应用的实现提供数据 基础。
面考虑资产、威胁和保障措施这三个方面,片面地 考虑一个或者两个,都可能产生遗漏和偏离。
所以 说,R 3-AST 的风险三要素思路,充分体现了信息 安全特征的思路,需要在整个方案中得到体现,也 要在实际的执行过程中不断反省。
2.遵循的国际国内标准和规范平台在研制设计过程中,遵循的相关技术标 准和规范主要包括:(1 )信息安全运营中心系统建设服从信息安 全风险评估方法一按照国信办颁发的《关于印发 <信息安全风险评估指南>的通知》(国信办[2006] 9号);【2) ISO 27001信息安全管理体系国际标 2. 汇聚处理层根据统一规范的数据标准,将数据采集层收 集到的数据进行归类整理,形成统一格式的数据, 将其送入资源存储层实施存储,留待后续分析处理。
3. 资源存储层利用大数据存储技术,集中存储经汇聚处理 层归类整理过的规范化数据。
4. 分析挖掘层针对业务应用层的数据分析要求,利用聚类 分析、神经网络等大数据分析挖掘及知识发现技 术,对海量安全相关数据进行深度分析挖掘,形成 知识化数据,为业务应用层提供数据结果支撑。
准;【3)公安部颁布的《信息安全等级保护管理 办法(试行)》及相关规定;【4 ) CCISO 15408 和G BH " 18336 信息技术 安全性评估准则;【5 ) G B /T 20984-2007信息安全技术信息安 全风险评估规范;【6 ) ISO -13335 IT 安全管理指南。