基于云平台的安全态势感知系统

李 倩

（河钢集团唐钢微尔自动化有限公司 河北 唐山 063000）

1 引言

基于云平台的智能态势感知系统硬件设备包含IPS、漏洞扫描等硬件设备，软件包括安全网关等软件，结合高效运营、节能环保、降低投资、对外经营等途径，可节省企业投入成本。通过收集分析各安全设备的处理信息，实现对云平台应用的全方位防护，提高了软硬件资源的利用率和防护水平，节省了各个业务系统安全防护设备的重复建设成本。

2 可行性分析

为实现云平台的安全检测防护软件和设备能够协同工作，从而建全信息安全体系架构，简化安全管理，解决海量数据和信息孤岛的困扰，我们将智慧安全态势感知系统与云平台进行了整合。智慧安全态势感知系统将所有的信息安全产品衔接起来，对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析，把用户当前遇到的安全威胁与过去的威胁进行关联回溯和大数据分析，最终产出未来可能产生的安全事件的威胁风险，并提供一个体系化的安全解决方案。

通过智慧安全态势感知系统与云平台的整合，实现基础的数据收集、流量监测、恶意主机漏扫、恶意web漏扫、钓鱼邮件攻击、钓鱼网站攻击、操作系统漏洞攻击监测、应用服务器程序漏洞攻击、浏览器漏洞攻击、文件格式漏洞攻击、web漏洞攻击、恶意软件传播、恶意软件行为、异常电子邮件行为监测、异常web访问行为监测、异常远程控制行为监测、漏洞攻击逃避监测防护、恶意软件逃避监测防护、隐蔽信道逃避监测防护、未知威胁分析等等。

3 系统组成

云平台主要由基础云平台、监控云平台和云服务自助平台和云安全四大部分组成。基于云平台的智慧安全态势感知系统属于云安全的主要组成部分。本课题围绕智慧安全态势感知系统的构建与应用进行阐述，着重从以下几点阐述：态势感知系统的总体架构、态势感知系统的硬件部署和主要功能、态势感知系统的数据采集、处理分析、评估、行预测等几部分。

4 技术方案

（1）智慧安全态势感知系统的构成

云平台主要由基础云平台、监控云平台和云服务自助平台和云安全四大部分组成。智慧安全态势感知系统架构如图1所示。

图1 智慧安全态势感知系统架构图

本课题围绕智慧安全态势感知系统的构建与应用进行阐述，着重从以下几点阐述：态势感知系统的总体架构、态势感知系统的硬件部署和主要功能、态势感知系统的数据采集、处理分析、评估、预测等几部分。

①安全防护系统的搭建

云平台安全防护体系分三层：

一层：云平台网络架构终端安全防护、通讯和数据安全：主要涉及病毒控制、防火墙、入侵检测、浏览器沙箱、反垃圾邮件系统、系统升级、在线补丁。

对于安全网关方面，整个云平台部署3台NISG集成安全网关，其中2台部署在出口互联区云平台边界，并通过HA进行双击热备，NISG集成防火墙、VPN、防病毒等功能实现边界区域控制和病毒防护；另一台部署在财务部网络边界，与云平台之间通过VPN专线互联，实现边界访问控制。

二层：病毒数据库模型的建立：根据最新的病毒库，病毒类型及病毒危险程度，建立多级别多角度的病毒库数据模型系统，云安全平台实时监测流量数据，类比病毒模型系统，将检测结果进行数据分析，根据危险程度反映在云安全平台界面，供云平台运维人员查看。

三层：安全防护平台，实时显示跟踪的流量校验结果，及时作出感知预警。

基于安防体系的建立完成，形成智慧安全态势感知系统，能够实现网络入侵态势感知，DDOS态势感知，僵木蠕态势感知， APT攻击态势感知，脆弱性态势，网站安全，态势溯源功能。同时在通信安全、多级权限控制、数据安全方面进行安全防护，具体如下：

A通信安全：保护云用户的安全地虚拟地接入云端，主要涉及身份认证、安全信道、数据完整性等。

B多级权限控制：对云计算资源的访问和管理涉及多个安全领域，每一个安全领域都需要进行权限控制，一般分为以下几类：机房管理和维护人员，云计算管理员，云计算维护员，系统管理员。

C数据安全：数据在通讯过程中和存储以及处理时的安全，主要涉及数据的隔离、加密、备份。

②数据采集系统

态势感知数据采集系统的建立。数据采集系统包含四个层次。

A数据采集技术

云平台安全态势感知系统在IT基础资源信息数据采集实现对网络设备、安全设备、主机、数据库、中间件、应用、机房环境等的配置、性能、告警、日志以及各类安全事件的信息数据采集。

B数据处理技术

本技术集中信息安全风险监控管理，实现对网络设备、安全设备、主机、数据库、中间件、应用、机房环境的运行状态、实时事件日志、告警信息、配置数据、性能参数以及各类事件数据进行标准化、归并压制、过滤、汇聚等预处理工作。系统将性能数据、告警、网络、故障以及安全事件、配置等不同的信息数据采集后提交数据总线，数据总线经过汇聚和预先定义配置后将不同的数据分发给不同的数据处理组件进行处理，防止同一数据被不同的数据处理组件模块分别处理出现重复和多余、不同的告警和故障信息，防止重复采集和重复告警。

5 实施效果

5.1 通过对云平台智慧安全态势感知系统的研发和搭建，可以实现有效监测并感知全流量安全事件，从而得出实时而有效的结论。同时，把云平台大数据与网络安全风险防护管理相结合的思路，改变了传统网络空间安全与情报分析的研究格局，提高了高级网络攻击检测、信息安全风险感知与威胁情报分析处理等网络安全防御技术水平。

5.2 通过智慧安全态势感知系统与云平台的整合，联动各类的安全检测防护软件和设备，实现了高效运营、节能环保、降低投资、对外经营，消化了一次性投入成本节省了各个业务系统安全防护设备的重复建设成本。同时通过收集分析各安全设备的处理信息，实现对云平台应用的全方位防护，提高了软硬件资源的利用率和防护水平，极大的节省后续迁移的应用的安全防护成本。

5.3 通过云平台安全态势感知系统，可实现高效的信息安全运维管理，节省了大量的硬件资源、网络资源与人力成本。安全态势感知系统可以实时掌控云平台安全运行情况，并融合了网管平台与安管平台的功能到IT综合管理平台之下，从而使得工单处理、事故管理、配置管理、变更管理得到统一的处理。同时避免了安管与网管两套系统重复对IT资源进行信息采集的资源浪费、避免了数据采集的网络流量对正常业务数据流的影响。