浅谈网络安全态势感知架构在企业中的建设思路

（兰州生物制品研究所有限责任公司，兰州 730046）

在近些年，信息化技术在社会的各个领域有建树更有突破，随着工业4.0概念的不断深入和落地，工业企业开始接入互联网，生产设备、管理系统、业务系统以及与众多企业的协同都将互联。随着时代的进步发展，信息化技术也在不断的提升，网络的规模也在无线的扩散，网络平台的发展也在逐渐的规范化、集成化，同时其中网络上恶意的攻击状态也更加的隐秘，攻击的时间也更长，现阶段的传统的网络技术已经不能够满足以及抵御其攻击的状态，只能被动的接受，网络安全状态受到攻击，造成了多种网络安全事态的发生，很多企业、网络相关的企业都遭到巨大的损失，面临着相当严峻且复杂的网络安全形势，使得企业的CFO、CTO及CIO等高层的领导人，更加重视这一类的网络安全问题。

网络安全态势感知技术是一种主动性的防御技术，它复合与增强了多项信息安全技术。上世纪末90年代的美国，态势感知（Situation Awareness）才被引入到信息技术安全领域，并首先用于对下一代入侵检测系统的研究。

1 网络安全态势感知技术架构

安全态势感知就是利用数据获取采集、数据挖掘、数据融合、智能分析、面向多类型的网络安全性相关的技术，能够主动并及时的进行网络状态的监控，对当前和未来一段时间内网络的安全状况进行全面分析评估，从而预测网络安全风险，实现动静相结合的安全防御方式。态势感知的基本架构，如图1所示：

图1

2 关键技术

想要构建一个安全的网络状态，其网络支点和节点是很多的，且分布也很复杂。随着时代的不断进步，网络入侵和攻击这两项信息技术的内容正在向更加规范化的模式运转，为了能够对网络状态机性实时的检测，将其潜在的危险进行控制，必须通过相关的关键解决上述问题。

2.1 数据挖掘

数据挖掘主要是指在众多的数据中进行优选，将无用的或是有问题的数据进行选择，选择有用价值的数据进行使用。将大数据的分析模型以及机器学习等算法进行有效的利用，帮助用户建立相关的浏览记录，并将有危险的数据进行分析、预警以及攻击，通过已知行为的检测，有效的降低了网络使用的危险风险，通过可视化展现及时通报给相关网络安全人员进行处置。

2.2 数据融合

对数据整体进行高性能的处理，以互动的形式对数据进行多维度的裁剪和可视化。通过属性融合、关系拓展、群体聚类等方式挖掘数据之间的直接或潜在的相关性，进行汇聚、多维度深度融合、统一存储管理和安全共享的多维度数据融合。只有这样才能确保网络态势的安全，并能够高效快捷的掌握先关的数据。

2.3 面向多类型的网络安全威胁评估技术

通过不同数据元素着手，就可以有效的消除来自互联网云平台上的潜在数据的的病毒威胁，大数据平台可以有效的消除在流量及域名等多个安全元素进行全面的分析、检测。大数据平台会通过多次、分类的进行检测，进行病毒攻击、预警，多种方式共用的进行数据的统计、代码攻击。

3 企业引入态势感知技术的价值和建设思路

3.1 实现对企业内部全网的业务资产及业务访问关系的可视化管理

通过安全检测探针可主动识别业务系统下属的所有业务资产，可主动发现新增资产，实现全网业务资产的有效识别；资产暴露面可视化：将已识别的资产进行安全评估，将资产的配置信息与暴露面进行呈现，包括开放的端口、可登录的web后台等。

通过访问关系的学习，可以展现出如：用户、业务系统、互联网之间访问关系，区分不同危险等级用户、业务系统，可视化的呈现以识别非法的访问。对于业务系统的应用、流量、会话数进行可视化的呈现，并提供流量趋势分析。

3.2 实现企业内部攻击、违规操作及用户异常行为的可视化

对于企业内网的横向攻击，违规访问业务系统的行为，非正常时间主动发起的请求、业务主动向外发起非正常请求（如DNS请求）、异常流量及行为可以及时予以安全事件响应。

结合企业业务信息、业务访问关系、违规操作、异常行为、攻击趋势、有效攻击、业务资产脆弱性对全网安全态势进行整体评价，以业务系统的视角进行呈现，可有效的把握企业内网整体的安全态势并进行有效、精准的安全决策分析。

4 结束语

本文在对网络安全态势感知技术架构的研究分析的基础上，对网络安全态势感知建设进行了探讨。网络安全态势感知是多项技术的复合的一种系统，企业信息管理、用户需求分析、实现方式、平台建设、运维管理、相适应的管理制度等各方面，因此需要企业结合自身的实际情况、管理水平、功能需求分析，进行分阶段建设。