上海代写论文网专业提供代写毕业论文、代写本科论文服务
电子政务信息安全中态势感知技术的运用
发布时间:2020-06-23

  摘    要: 随着全球信息化的飞速发展,网络空间已经成为第五维空间,对网络安全的态势感知技术应运而生.在对美国、北约及国内态势感知技术发展历史及现状进行梳理的基础上,提出了针对电子政务信息安全领域,能够进行实时监测预警的网络安全态势感知平台应用,并进一步详述了该平台实现的功能及关键技术.根据现有的网络安全态势感知平台实现的功能、关键技术、需求和存在的困难,以监管者的角度提出了发展方向及前景.

  关键词: 态势感知; 网络安全; 电子政务; 监测预警; 大数据;

  Abstract: With the advancement of global information technology,cyberspace has become the“fifth space”,and situation awareness technology for cyber security has emerged as required.Basing on the analyzing the development,history and current circumstances of cyber security situation awareness technology in the United States,NATO and China,this paper proposes the application of cyber security situation awareness platform for real-time monitoring and early warning of e-government information security.Futher more,it explains the function realized and key technologies of situation awareness in the field of information security of e-government network.According to the function realized,key technologies,demand and existing difficulties of the current situation awareness platform,the development direction and prospect are proposed from the perspective of regulators.

  Keyword: situation awareness; cyber security; e-government; monitoring and warning; big data;

  随着信息技术的飞速发展,网络空间已被称为陆地、海洋、天空以及太空四维空间之外的第五维空间.诚然,与西方一些信息化成熟的国家和地区相比,中国在这方面还有很大的发展空间,但最近几年,在国家相关法律的颁发、经济利益的驱动、网络生态环境的治理乃至国家层面的战略等多方需求驱动下,网络安全的市场规模持续快速发展.国家层面对网络安全愈加重视,连续出台了多个网络安全相关的政策法规及相关办法.根据《IDC全球网络安全支出指南》预测[1],2020年,国内网络信息安全市场总支出将达到87.5亿美元,与2019年同比增长24%,增速在全球范围内达到前列,网络安全的重要性不言而喻.
 

电子政务信息安全中态势感知技术的运用
 

  1)电子政务网络安全现状

  当前信息安全形势下,电子政务因其存储着大量有关国家、政府和公民的敏感信息,一旦信息被掌握或篡改,攻击者不仅牟利甚多,轻则危害政务系统运行,重则将威胁到国家安全.近年来,政府部门和机构的信息系统、政务网站接二连三地被攻击,并且已经形成了大规模、有组织的攻击,如2012年,对我国政府系统、企事业单位及科研机构网站进行有组织攻击的APT组织“海莲花”,2019年10月针对我国政府机构和国防军事部门发起攻击的“响尾蛇”APT组织等,可见,政务网站已经成为网络攻防领域的主要战场.其中,随着经济、军事等综合实力的提高与国际地位的崛起,我国已经成为APT攻击的主要受害国[2].

  2)网络安全态势感知技术兴起

  随着“互联网+政务”服务工作的不断推进,电子政务信息安全防护的主动需求与网络攻防环境下迫切的被动需要,我国电子政务系统大都承载了多方位、多设备的信息安全监管体系.但与此同时,由于电子政务承载信息的特殊性及7×24h全天候、全方位的实时监控需求,一个安全、可感、可视,具备全方面分析、联动分析、主动预测能力的网络安全态势感知系统被越来越多政务单位所熟知,结合了大数据、云计算等技术的网络安全态势感知系统逐渐在电子政务网络安全解决方案中崭露头角.

  3)研究价值

  网络空间安全的竞争已经上升到国家层面,网络安全态势感知技术的研究和应用已经从深度和广度2个范围内大幅度提升.针对电子政务网络安全领域内的态势感知研究有利于加强电子政务网络中安全体系的建设,对其监管和运维具有监督和指导意义.

  本文从政务人员即监管方的角度,浅析态势感知技术在电子政务网络信息安全中的应用,基于北京市应急中心使用的网络安全态势感知系统,提出了电子政务信息安全态势感知搭建思路,从而解决监管方信息缺乏联动、监控预警不及时、可视化差的问题.同时,结合态势感知理论知识,以实际的应用案例展示了电子政务信息安全态势感知平台的应用,使态势感知的研究能从监管方的角度发现问题.

  1、 态势感知技术概述

  在当代社会,态势感知最早出现在军事领域,女研究学者、前美国空军首席科学家Endsley博士[3]提出的Endsley态势感知3层模型,将态势感知归纳为3个级别:感知、理解、预测.由此可以看出,通用的态势感知是指:由数据驱动的,对事物的全要素进行收集、处理、关联、整合,并对结果进行整体、综合性分析,描述其动态发展趋势和状态,并依据分析结果对事物的发展进行投影预测的技术.

  网络信息安全中的态势感知概念首次出现于1999年,美国安全顾问Bass[4]提出基于数据、信息、知识3层的Bass模型框架,该框架也成为了网络态势感知研究的基础模型.值得注意的是,态势感知模型框架并非单次的数据挖掘、整合所能实现的,它是一个实时的带有正反馈的动态感知过程.

  国内的网络安全态势感知技术首次出现于2015年,阿里云安全研究员吴翰清[5]介绍了网络安全态势感知的概念,由此打开了态势感知在国内网络信息安全的新纪元.如今,态势感知技术已经成为网络空间领域家喻户晓的解决方案之一,是当下网络安全攻防对抗的流行趋势,同时也是大数据技术、物联网技术等多种新型技术、物理设备相融合的新体现和新应用.

  1.1、 国外网络安全态势感知发展现状

  2008年,美国发布了国家网络安全综合计划,其中就包含与态势感知技术密切相关的“可信互联网连接”计划和“爱因斯坦”计划.“可信互联网计划”旨在推行各联邦机构、政府部门网站统一的网络安全外线防御蓝图,合并或减少其外部接入点[6],并实施统一的安全解决方案.广为人知的“爱因斯坦”计划经历了3个版本的迭代.最初的“爱因斯坦Ⅰ”计划是基于流量分析技术,能够采集各机构的流量数据,加以分析并掌握网络态势.其后的“爱因斯坦Ⅱ”计划中,加入了基于特征库和异常行为的检测技术,能够实现恶意攻击行为检测等技术.在“爱因斯坦Ⅲ”计划中,借助运营商在政务网与互联网边界部署的流量探针,对出入流量进行实时的全流量检测,以增强政务网络的安全分析、态势感知和应急响应能力,提升政务网络的防御作战能力.

  2009年起,美国政府在国家层面明确提出了对态势感知能力及体系搭建的需求,随后,美国逐渐进入了态势感知体系建设阶段,防御战略由传统的“积极防御”逐渐转化为国家安全层面的“攻击威慑”,建立了世界最大的数据中心并投入使用,收集并存储了全世界包括个人、组织和机构在内的所有网络交流信息、数据和记录,并依靠大数据技术进行处理、分析,以对全球范围内的网络实施监控.

  2014年,包括加拿大、荷兰等国在内的北约5国和北约通信与信息局签约并实施了“多国网络防御能力发展项目”,该项目推动了北约5国在网络安全防御技术、网络威胁态势感知和威胁情报等方面的资源共享,并逐步覆盖了29个成员国的网络安全机构,搭建了高效共享的网络防御态势感知体系.

  1.2、 国内网络安全态势感知发展及现状

  态势感知技术在我国的计算机网络领域已经经过了数年的衍变,现如今,已经广泛应用于我国的各个领域及行业.从监管机构到企业,从对国家层面的网络安全防护到对企业内部的核心价值资产保护,都已经引入态势感知技术,借此提升对态势的全面掌控和感知预测.

  在政策法规方面,2016年,习总书记明确提出要搭建“全天候全方位感知网络安全态势”[7],至此,我国的态势感知技术正式受到业界的瞩目,网络安全态势感知技术进入高速发展阶段.随后发布的《“十三五”国家信息化规划》中[8],根据当前信息化建设进程,确定了十大任务,其最后一项任务即“完善网络空间治理体系和健全网络安全保障体系”,到此,全天候的网络信息安全态势感知体系建设被写入国家信息化建设规划中.

  随后国家出台的多部保护网络安全的法规政策,有了国家政策的保障和市场需求的双重驱动力,政府机构和企事业单位纷纷开始搭建、完善态势感知系统,以应对日趋严峻的网络安全形势和攻击形势.

  在实践应用上,2017年2月20日,360率先搭建了针对国内工业互联网网络安全的态势感知平台,用于监测工业互联网内的网络安全风险,以实时感知工业互联网内的态势并及时预警,防范潜在风险可能带来的巨大威胁.

  2019年12月9日,国家工信部召开了国家层面态势感知和风险预警平台搭建的启动仪式,即国家工业互联网安全态势感知与风险预警平台和工信部网络安全威胁信息共享平台正式宣布启动[9].其态势感知与风险预警平台利用主动探测与流量分析技术相结合,从多个维度感知国家工业互联网的网络安全态势,并进行风险监测、实时预警等监测保障,为我国工业互联网安全稳定高速的发展提供了坚实的保障.

  1.3、 智慧城市中的网络空间安全态势感知

  当前,城市网络空间不断扩大,城市网络空间安全状况愈加复杂,在国家的安全战略要求和引导下,许多省市在企业的协助下搭建了智慧城市网络,以大数据为基础,结合态势感知技术,大幅提升了城市治理能力,态势感知在智慧城市网络空间安全中的作用日渐突出.

  2009年,北京市逐步开展了关于“智慧北京”的建设.随着政务云的搭建和实施,多家政务单位的信息系统已经逐步完成上云的迁移,云安全态势感知体系的建设需求尤为迫切.云上的网络安全态势感知存在一些困难,对海量数据作聚类分析,特征提取,对云上流量的监测需要强大的异常检测能力;出于对政务信息资产的保护,同时缓解政务信息系统责任单位的运行压力,保护云上信息系统资产安全的重担大部分在云服务商身上,部分云用户并不愿意安装终端检测与响应(EDR)或其他主机安全产品,搭载包括沙箱技术、蜜罐技术在内的网络入侵检测系统的态势感知平台是目前比较有效应对网络威胁的解决方案之一.

  除网络安全外,态势感知体系因其强大的数据分析展示能力、与新技术的强融合性,也应用于政务领域的其他方面,如对城市运行状况的态势感知.2020年初,大量爆发的新冠肺炎疫情迅速席卷全国各地,各级政府联合多家企业,充分利用大数据、物联网以及态势感知技术,迅速、高效地搭建了包括新冠肺炎疫情跟踪系统、疫情人流监控态势感知系统[10],以帮助政府及时、全面地掌握新冠肺炎疫情动态,为控制疫情蔓延及进一步有效防控打下了良好的基础.

  2 、在电子政务信息安全中的应用

  政务网络和电子政务信息系统作为政务网络安全中的具体保障对象,应用网络态势感知的目的是全面掌握电子政务资产及其脆弱性、面临的威胁、风险和攻击等,并在发生安全问题后进行应急响应及溯源取证等处置环节.北京市应急中心于2016年起,搭建了北京市电子政务信息安全态势感知平台,用于对市级电子政务网络安全态势进行感知及预警.

  2.1、 整体架构

  应急中心的电子政务信息安全态势感知平台实现的具体方法是通过在全市部署的近百余个监测节点和流量探针,其中包括互联网节点、政务外网节点、重要信息系统节点、政务云节点,及千余台监测设备,包括日志收集系统、病毒检测系统、流量监测系统等,进行全流量采集和日志采集,实现包括政务云流量、安全日志、情报、信息资产以及邮件日志等在内的全面电子政务信息数据收集.

  根据数据的采集结果,对有价值的数据进行加工存储,融合多方威胁情报,基于大数据平台进行关联分析,并最终形成可视化界面进行数据展示,实现日志查询、流量分析、基线分析、画像分析、资产发现、工单管理、威胁预警等功能,为安全运营团队提供技术支持,如图1所示:

  图1 态势感知平台整体架构
图1 态势感知平台整体架构

  2.2 、实现的功能

  网络安全态势感知就是利用数据集成、数据分析及可视化等技术,对当前电子政务网络的运行状态和安全形势进行实时直观的展示,使安全人员可以快速查看当前网络安全状况,并预见潜在的风险.

  电子政务信息安全态势感知平台主要实现的功能有:

  1)监测预警平台.该平台主要实现了态势感知中理解层所需要的大数据的存储、计算、查询功能.由图1可以看出,北京市政务网络安全态势感知平台感知的数据主要有网络流量和安全日志2部分,该平台日均收集安全设备日志及Nginx日志近30亿条,每日监测网络流量超70TB,监测范围的通信IP地址超160万个,存储数据约10TB.在网站监控方面,该平台每日监测1 600余个信息系统的近50万个网页,采集300万个网页文件.如此庞大的数据量主要通过Storm集群、ES集群以及Hadoop集群这3个集群实现.通过分布式日志采集系统Flume对海量数据进行收集,利用分布式消息系统Kafka回传数据,Storm集群进行数据填充,并将全部数据存储至ES集群,划分冷、热节点,热节点用于监测预警平台的热数据检索功能,以提高平台的性能.同时,平台还搭载了Spark引擎与Hbase数据库结合的方式实现对政务网站及信息系统的网页爬虫、网站监控报警等定时任务.

  2)感知攻击.攻击是网络安全态势感知的重要感知对象之一,所谓感知攻击就是在发现零星的攻击后,迅速建立关联,结合建模、威胁情报、安全经验等知识,在遇到针对政府的、有组织的APT攻击行为时,尽早发现攻击行为,达到预警的作用.在感知攻击的过程中,对于已经存在的攻击,需要全面掌握其攻击来源、攻击目标、攻击方式以及攻击强度等.

  3)感知政务信息资产的脆弱性.对于信息资产的脆弱性感知,平台在政务外网和互联网内重要信息系统的节点部署数据采集设备,实时收集网络层、传输层、应用层及系统层面的数据,定期对包括身份认证漏洞、开放敏感端口在内的多种安全漏洞进行扫描,实时监测政务网络的运行情况.对脆弱性的感知将有利于搭建更完善的电子政务网络体系,如前几年大规模横向传播的木马病毒,使得云服务商发现云内租户的逻辑隔离机制、纵深防御能力还有待完善和加强,种种问题的发现将进一步优化政务信息安全机制.

  4)感知威胁.在过去的几年中,除了针对政府的APT攻击外,木马病毒、僵尸网络、蠕虫传播等计算机安全问题也大规模爆发.通过态势感知平台,一旦发现计算机病毒广泛传播,或者当具有相同特征的安全问题在政务外网中发生,安全人员将迅速发现其关联.在资产发现和资产管理的基础上,当发生传染性强的蠕虫、病毒或新的漏洞问题,安全人员可以评估、预测其带来的影响,并对其他信息系统做到及时预警,保护政务信息资产安全.

  基于监测预警平台提供的大数据收集整合功能,通过对政务资产、脆弱性、威胁的多方感知,网络安全态势感知平台可以帮助安全人员了解到政务信息资产安全现状、发展趋势及面临的风险.

  2.3、 主要技术

  在网络安全的态势感知平台搭建过程中,电子政务信息安全数据要尽可能全面涵盖政务网络流量数据、安全设备日志、用户异常行为数据、威胁情报、攻击数据等.全面的数据为态势感知带来更大的驱动力,同时也带来了很多问题,借助数据集成技术、信息安全评估技术可以有效解决搭建态势感知平台过程中的一些困难.

  1)数据集成.由于电子政务信息安全态势感知的数据来自于多家厂商的多个网络设备,其日志的格式、内容、字段定义都可能存在差异.将来自于不同设备的数据进行归一化融合,不仅减少了数据传递的工作量,还为电子政务信息安全态势感知平台提供了全面的数据源,能够更加精准地描述网络安全态势.

  2)网络入侵检测系统.对于政务云上的安全态势数据收集,采用了沙箱、蜜罐诱捕技术,在对政务外网云流量的数据进行分析后,部署蜜罐系统对每个数据连接进行数据控制和数据捕获,针对攻击者尝试进行的登录账户、口令、访问请求资源都自动进行提取记录,并实时回传到监控预警平台.

  3)威胁情报收集.“独木不成林”,网络空间中威胁情报的共享是影响态势感知能力的关键要素,完善的情报共享机制和情报搜集能力对态势感知平台尤为重要.现有威胁情报来源主要有:收集的流量、Syslog日志信息、蜜罐捕获的攻击、国内外开源情报、CNCERT等威胁情报联盟共享和一些合作三方、企业提供的精准情报.

  4)态势评估模型.在电子政务网络安全态势评估模型的设计方面,需要考虑多层次、多角度的安全问题,需要从政务信息资产及其脆弱性、政务网络中的安全事件和威胁情报等多方面共同进行评估,还可以通过其访问次数、访问流量、系统规模评估政务网站热度和重要性.

  5)基线评估技术.基线评估的安全基线是指最低的安全要求.安全基线评估技术的难点在于确定基线水平的高低,建立安全基线需要漏洞信息、安全配置和系统的重要状态3个方面进行考量[11],评估包括软件版本、网络协议在内的系统自身缺陷、人为可能造成的漏洞、系统运行动态情况等内容.

  6)可视化技术.在电子政务信息安全监测中,态势感知结果可视化技术为高效决策起到了强有力的辅助作用.数据可视化技术将传统数据库中大量繁琐、复杂的数据通过关联和组合,转化成包含各类趋势图、分布图等图形的数据仪表盘,使得用户可以直观地看出事情的发展趋势和走向,快速发现安全问题.由于其与用户的高度交互性、使用的便捷性、数据的实时性,能够根据不同用户的不同需求生成有针对性的态势评估报表,可视化技术已经成为态势感知中不可或缺的关键技术.

  7)态势预测技术.态势感知技术除了能够帮助监管方理解当前网络安全态势外,其最重要的作用是对未来态势的投影,即预测功能,以防范大规模的安全问题发生.当前的态势预测技术主流模型有遗传算法、神经网络模型等,大都是基于当前网络运行情况和网络安全形势,结合历史资料和威胁情报,运用数据建模和安全管理人员的知识、经验进行预测.

  3、 网络安全态势感知前景

  当前阶段,态势感知技术正如火如荼地发展,由于其能够与大数据、物联网等众多新兴技术的高效融合,应用的广泛性、直观性给监管方、使用方带来了极大的便利,从政府到企业,各行各业各领域都逐渐引入态势感知体系,但与此同时,态势感知技术也存在一些问题亟待解决.

  从态势感知3层体系的角度看,在感知层面,大多数态势感知平台的数据感知能力有限,不能实时、全面地探测到隐蔽的、深层次的攻击;其次,部分数据和情报无法跨单位共享实现协同工作,这些都极大地影响了态势感知系统对网络安全态势的评估和预测.不过,伴随区块链应用的推进与政务云的发展,政务单位间搭建了信息的共享与协同工作机制,可以预测,区块链技术将有利于态势感知的数据感知环节.在理解层,态势感知平台还需要与大数据和人工智能领域中的深度学习、知识图谱[12]等算法、模型进一步融合,加强数据关联和数据挖掘技术,搭建基于行为的检测模型,如基线分析、画像分析等,提升网络安全态势预警工作的分析研判能力和精准性.在预测层,当前的态势感知预测技术还主要依赖于人工推测和判断,未来,通过改进人工智能的模型、算法,在云计算和海量数据的支撑下,态势感知平台有望搭建更加精准的预测模型,以期帮助监管者作出决策支持.

  4 、结语

  本文以电子政务网络安全为切入点,结合作者在实际工作中掌握的电子政务领域中态势感知的应用现状,详述当前政务领域内态势感知技术的主要功能和技术,结合态势技术在电子政务领域的前景,为态势感知技术的下一步发展和广泛应用提供了指导意义.

  参考文献

  [1] IDC.IDC:预计2020年中国网络安全市场总体支出达到87.5亿美元[EB/OL].[2020-03-18].http://www.199it.com/archives/1021906.html
  [2] 腾讯御见威胁情报中心.腾讯安全2018年高级持续性威胁(APT)研究报告[EB/OL].[2019-01-02].https://mp.weixin.qq.com/s/F5hBw_pVithLlY6ixE0 q-g
  [3]Endsley M R.Toward a theory of situation awareness in dynamic systems[J].Human Factors,1995,37(1):32-64
  [4]Bass T.Multisensor data fusion for next generation distributed intrusion detection systems[C]//Proc of the1999 IRIS National Symp on Sensor and Data Fusion.Laurel:The Johns Hopkins University Applied Physics Laboratory,1999:16
  [5] 安全牛.写入“十三五”规划的态势感知,你真正了解它吗?[EB/OL].(2017-01-06)[2020-03-15].https://www.aqniu.com/learn/22135.html
  [6]张文贵,彭博,潘卓.美国《国家网络安全综合计划(CNCI)》综述[J].信息网络安全,2010(9):69-72
  [7] 新华社.习近平总书记在网络安全和信息化工作座谈会上的讲话[EB/OL].(2016-04-19)[2020-03-15].http://www.cac.gov.cn/2 016-04/2 5/c 1 118731366.htm
  [8] 中国信息化编辑部.《“十三五”国家信息化规划》印发[J].中国信息化,2017(1):56-57
  [9] 中国信息通信研究院CAICT.国家工业互联网安全态势感知与风险预警平台、工业和信息化部网络安全威胁信息共享平台启动仪式在京举行[EB/OL].(2019-12-10)[2020-03-15].https://www.chainnews.com/articles/494737220662.htm
  [10] 国家广电智库.腾讯、优酷、咪咕:发挥优势助力战“疫”[EB/OL].[2020-02-07].https://lmtw.com/mzw/content/detail/id/182057
  [11] 徐勇.安全基线评估系统的分析与设计[D].厦门:厦门大学,2011
  [12]陶源,黄涛,张墨涵,等.网络安全态势感知关键技术研究及发展趋势分析[J].信息网络安全,2018(8):79-85

对应分类:
版权所有:上海论文网专业权威的论文代写、论文发表的网站,秉承信誉至上、用户为首的服务理念,服务好每一位客户
本站部分论文收集于网络,如有不慎侵犯您的权益,请您及时致电或写信告知,我们将第一时间处理,邮箱:shlunwen@163.com