基于态势感知理念的交通运输行业网络安全体系构建探析

张焱+冯翠平

摘 要：通过网络安全态势的预警功能，可以对网络上各类的入侵行为进行实时监控，并且可以预测出入侵行为将会造成的危害及后果；一旦检测出入侵行为，可以提前对入侵行为采取有效的防御措施，最终能够有效地提高网络安全防护系统的效能。本文将对目前的网络安全形势进行全面分析，并提出基于交通运输行业基于态势感知的网络安全体系构建方案。

关键词：交通运输；态势感知；网络安全；入侵检测

中图分类号：U111 文献标识码：A 文章编号：1006—7973（2017）06-0026-02

习近平总书记在四一九网络安全和信息化工作座谈会上提出“要以信息化推进国家治理体系和治理能力现代化，统筹发展电子政务，构建一体化在线服务平台，分级分类推进新型智慧城市建设，打通信息壁垒，构建全国信息资源共享体系，利用信息化手段感知社会态势、畅通沟通渠道、辅助科学建设”，2016年12月27日，国务院全文刊发了《“十三五”国家信息化规划》“十大任务”中的最后一项，健全网络安全保障体系，提出“全天候全方位感知网络安全态势”，再次强调了态势感知的重要性。

交通运输行业是国家经济社会发展的先行官，在交通运输发展方面具有极其重要的作用。而交通信息化的发展对国家的战略实施、行业及现代化治理方面具有关键的辅助作用。面对“十三五”期新形势、新要求，“要以国家信息化战略为引领，强化信息化顶层设计，实现行业重要信息系统的互联互通；要结合行业转型升级发展要求，推进信息技术与行业管理和服务的深度融合；要大力促进大数据发展应用，深化政府与企业间合作，共同打造交通信息服务产业新生态；要加强新技术应用，强化网络与信息安全保障体系建设。”

1 国内互联网安全背景

目前国内的信息化水平迅速提高，为了跟上时代的步伐，传统行业迅速转型，导致信息化的消费也在逐年提高。为了保证信息化水平继续逐年稳步提高，则必须有充分的网络安全防护作为保障。2013年以来，我国互联网安全的整体态势主要表现在三个方面：一是网络总体情况比较稳定，但类似于域名系统等薄弱环节仍然需要改进，无法对拒绝服务攻击和安全漏洞进行有效的防御。二是移动互联网快速发展，导致移动互联网的恶意APP迅速增多，生态污染问题亟待解决。三是来自病毒、蠕虫、木马和僵尸的威胁，频繁的恶意程序传播活动将使用户上网面临的感染恶意程序风险加大。

近年来，根据国家互联网应急中心的安全数据分析，web端的安全形势同样令人堪忧。公家互联网安装状况报告年报显示，政府网站、金融行业、媒体、旅游以及网上交易网站最容易遭受不法分子攻击，而安全漏洞往往是实施攻击的必要条件。不法分子通过入侵网站发布违规信息，首先会导致政府在公众面前的形象遭受损失，更重要的是政治风险无法避免。

2 交通运输行业信息安全体系构建

网络安全监测预警项目正是基于“监测+响应”的理念进行功能设计的，能够全面、有效、及时的向各单位提供安全预警和应急服务。交通运输行业信息化建设发展是以行业信息化重点工程和示范试点工程为依托，努力实现交通运输信息化的上下贯通、左右连通和内外融通，促进现代综合交通运输体系发展。交通运输行业有很多重要的大型数据网络平台如路网监测、救助信息、运营管理、物联网监控、智能交通管控等，这些大型网络数据平台的安全运维是关系到行业稳定发展和国计民生的重要环节，必须保障其安全稳定。

因此，必须利用先进的网络安全态势感知策略积极构建行业信息安全体系，通过“防护+监测+响应”来全方位保障网络平台安全已经成为必行趋势。本文就行业搭建态势感知网络平台相关的内容进行了系统分析，对其主要技术架构建议如下：

2.1 建设目标及原则

（1）建设目标。首先需要对网络的骨干节点进行实时监测，一旦发现恶意的入侵行为或者木马、蠕虫等病毒传播，系统需要立即发出警报并推送给用户；在系统未遭受攻击时，可以对系统进行安全漏洞扫描，一旦发现薄弱环节，同样需要推送给用户。随着系统的不断完善，可以对多个重点系统进行完善的保护，确保入侵行为无法奏效；同时需要对已经阻止的入侵行为进行分析，收集并整理出易受攻击的时间段及系统，有策略的加强局部安全防护。通过态势感知系统的布置，可以对入侵行为进行有效的防护并对网络的整体安全状况有充分的了解、为今后的信息安全策略提供有效的基础性依据。

（2）建设原则。一是系统完整性原则，一旦安全体系建设不完整，致使不法分子有可乘之机，导致前功尽弃。二是系统实用性原则，确保系统的有效性及可用性。三是安全目标与效率、投入之间的平衡原则。四是系统动态发展原则，安全防范体系的建设必须不断完善和升级发展。五是利旧原则，尽量通过采集已有设备数据信息完成态势分析。

2.2 架构总览

系统分为分析交互、大数据分析和数据采集三层。如下图1所示：

（1） 数据采集层。使用部署在网络骨干的引擎，监控Web服务系统的漏洞、安全事件、系统配置问题、木马、病毒等安全威胁，并对威胁进行采集收集。数据采集模块采集到的各类数据可以划分为两种类型，第一种为高频数据，也称大数据，通过高速数据总线收集，其主要特点为高速、海量、异构，大数据主要包含性能及系统状态数据，此外还包括日志、事件、流数据等；第二种为低频数据，通过低频数据总线进行采集，低频数据主要包括配置信息、资产信息、漏洞信息、人员信息和威胁情报等。

除此之外，数据类型还可以根据采集位置区分，一种是采集于内网的内部数据，通常包含网络安全数据、员工审计信息、漏洞信息等，另一种数据采集与互联网出口，称之为外部数据，一般包含外部威胁等信息。

（2）大数据处理层。该模块可以對采集到的海量数据进行系统的分类，将其转换为有结构的大数据集。对于不能转换为结构化的数据需要添加相应的索引，最终将两种数据储存起来以便分析交互层进行分析。

（3）分析交互层。分析交互成主要由五个模块组成，分别为安全监测、态势分析、漏洞预警、事件跟踪及知识情报模块。可以对采集数据进行科学系统的分析，最终转换为有价值的信息。①安全监测。安全监测模块对系统整体的安全防护起到支撑作用，可以对网络上的重点系统、重点人员及重点目标进行专项监测。于此同时还可以对网络及系统的状况进行整体监测，如web篡改、病毒入侵、流量告警等威胁信息。该模块不仅可以对外部系统威胁信息进行监测，如果有内部组织或人员对外部网络进行攻击，同样可以进行监测并警告。同时，系统还具有智能过滤功能，对不重要的入侵及攻击事件进行过滤筛选，以便减轻服务器及维护人员的负担。模块最终分析形成的分析报表可以对一定时间段内的安全事件进行对比分析，可以让使用者对系统安全进行直观的了解。②态势分析。态势分析模块包含两大方面，第一是宏观分析，可以从宏观方面分析整個互联网总体信息安全状态，对整个网络的安全威胁进行宏观展示；第二是微观分析，可以对重点系统及人员进行详尽的分析，并展示重点目标的威胁态势和web安全态势等。③漏洞预警。漏洞预警模块通过对系统数据全面的检测，可以提前发现系统存在的各种弱点，包括各类网页及配置漏洞，发现漏洞以后可以提前预警并协助用户对漏洞进行防护，对可能遭受的威胁进行提前感知。④事件分析。事件分析模块可以对已发生的安全事件进行汇总并分析，协助使用者找出重点威胁事件、重点对象及攻击源头。分析方法通常为异常服务分析、攻击者分析和三元组分析。其中三元组分析是通过对攻击事件的源IP、目的IP和事件行为进行统计分析。同时，系统应当支持分析提供异常服务和参与对外攻击的主机，支持分析挖掘疑似攻击人员相关信息。

3 结语

综上所述，应用态势感知理念搭建起来的安全架构具有提前预知入侵、降低入侵危害等特性，行业内各大型数据网络平台和管理单位可以结合自身情况搭建与之相适应的态势感知系统来应对可能面临的入侵威胁，确保网络及信息系统平稳运行，努力实现行业和国家《“十三五”国家信息化规划》的宏伟目标。

参考文献：

[1]刘旭东.关于网络安全趋势态势感知的预警技术分析[J].科技创业月刊，2016，（29）

[2]彭毅.基于多传感的网络安全态势感知系统框架结构[J]网络安全技术与应用，2016，（12）

[3]张翼鹏.分析网络安全态势感知系统结构[J].通讯世界，2017，（1）

[4]阮兆文.基于安全态势感知的网络安全技术研究[J].低碳世界，2016，（31）

[5]吴军英.基于信息安全建设中安全态势感知系统的设计[J].科技创新导报，2016，（15）