态势感知平台建设思路

态势感知平台建设思路

王新峰

河南中烟工业有限责任公司许昌卷烟厂，河南 许昌 461000

【摘要】目前，态势感知平台的需求主要源于企业和组织管理层和执行层不同角色人员对于安全管理工作的切身需要。本文主要描述态势感知平台的建设思路。

【关键词】态势感知；平台；网络安全

态势感知（Situation Awareness，SA）最早来源于美国军方在军事对抗中的研究。在军事术语中，态势感知的目标是使指挥官了解双方的情况，包括敌我的所在位置、当前状态和作战能力，以便能做出快速而正确的决策，达到知己知彼的目的。态势感知方法在人机交互系统、战场指挥和医疗应急调度等领域均有应用。

目前，态势感知平台的需求主要源于企业和组织管理层和执行层不同角色人员对于安全管理工作的切身需要。态势感知平台建设思路如下：

1、平台建设原则

习近平总书记在讲话中对网络安全和信息化作出了重要论断：“没有网络安全就没有国家安全，没有信息化就没有现代化”。深刻阐述了网络安全信息化发展的辩证关系，指出“网络安全和信息化是一体之两翼，驱动之双轮，必须统一谋划，统一部署，统一推进，统一实施。”各级政府、相关部委和企业按照习总书记讲话精神，积极行动，参与构建日益清朗的网络空间治理体系。

根据项目建设目标要求，在方案设计和软硬件产品选型过程中需严格遵守以下项目建设原则：

合规性原则

统一性原则

先进性原则

实用性原则

可扩展性原则

最小化影响性原则

可靠性原则

兼容性原则

标准化原则

可管理性原则

2、平台基本功能

2.1宏观安全态势感知

宏观安全态势感知功能分为技术指标和管理指标两方面，以宏观的纬度与指标化的手段来呈现当前网络的运行态势与信息化工作的完成情况。技术指标通过宏观分析模型对当前网络访问情况进行计算，从而判断当前网络运行状况是否存在异常；管理指标则是结合管理层对信息化工作的管理要求，将其中能够在网络中进行采集或统计的管理项（如防病毒软件安装率）进行整合与计算，从而为领导呈现当前管理要求的实现状况。

2.2IT资产管理

ISO17799-2005中对资产的定义是：“任何对组织和企业有价值的事务”。设备资产是企业和组织的IT环境的核心，承载了当今绝大部分企业和组织的业务。重要资产的安全属性决定了企业和组织的核心竞争力和命脉。企业安全管理的一个很重要的工作就是确保资产安全。

建设资产管理功能能够帮助信息化部门管理当前资产，评估和分析在遭受安全威胁的情况下资产的受影响程度，从而进行企业和组织的安全风险管理。

2.3IT资产运行状态监控

由于目前尚未建设设备运行状态监控相关的系统或功能，信息化人员无法直观的查看当前网络中各设备的运行状况，仅能在网络使用出现故障时进行被动的响应与设备查看，因此信息化人员日常工作需要有运行状态监控功能来实时查看当前网络中设备运行是否正常，从而及时发现设备故障等需要及时处理的问题。

2.4安全事件可视化

针对IT计算环境的统一监控，必然会收集并呈现大量的信息。如何将这些信息进行有效的组织，呈现给信息化人员，并真正提升他们的管理效率是十分关键的问题。借助信息可视化技术实现安全事件的可视化展示，能够大大提升信息化人员的安全运维工作效率，使信息化人员的日常工作实现从认知到感知的跨越。

2.5安全事件实时监控

事件实时监控功能是信息安全工作的主要组成部分。实时监控不依赖于事件存储数据库，而是直接从管控中心服务器的内存中进行事件分析，从而能够帮助信息化人员及时高效地发现安全隐患。管理员可以自由地定义各类实时监视的场景，并在不同的场景之间快速切换，即时掌握全网各类设备、主机和业务系统的安全运行状态。

实时监控的场景具有丰富的可视化展示能力，可以通过二维或者三维的形式清晰完整展现整个用户机房的运行状态，方便管理人员进行感知运维。

2.6快速故障定位

快速故障定位是安全运维管理和信息安全工作的核心部分，快速的故障定位是体现企业内部信息工作能力的直接体现，快速故障定位主要体现在两个方面：一是快速定位故障在系统拓扑上的逻辑位置，二是快速定位故障出现在机房机架的物理位置。

2.7安全事件报警

为了快速、准确定位安全事件来源，及时处理安全事件，建设态势感知平台需要具备实时报警功能，报警方式应该多样化，如实时屏幕显示、电子邮件和短信等。

对于需要进行后续处理的重要安全事件，态势感知平台应能够与电子工单系统对接，向电子工单系统自动提交电子工单。

2.8安全事件响应

在事件管理系列功能成功发现当前网络中的潜在威胁时，信息化人员需要对该威胁及时作出响应，这就需要建设适合信息化人员工作习惯的安全响应功能，在发生重要事件后能够提醒相关人员及时处理，帮忙信息化人员高效、准确的解决当前网络中的问题。

2.9安全事件采集功能

当前没有建设集中的事件采集系统，信息化人员无法查看当前网络中的重要日志，难以对一些设备故障或者高危操作做出及时响应，因此需要建设事件集中采集功能来实现当前网络中的设备日志的采集与汇总工作。

数据来源与内容：事件数据源需要包括信息系统各组件的日志产生点，如主机操作日志、操作系统日志、数据库审计日志、安全设备日志等。网络告警信息一般来自于网管系统，而数据库日志和管理员操作日志来自于数据库审计系统和运维审计系统。如果网管系统、数据库审计系统及运维审计系统没有覆盖到，则需要管控平台直接采集。

数据分类：安全事件在采集后必须进行分类，以便于管控平台的安全管理人员能快速对事件进行分析

2.10安全事件关联分析

外部入侵和内部违规行为从来都不是单一的行为，都是有时序或者逻辑上的联系的，黑客的攻击和内部的违规操作往往是分为若干步骤的，每个步骤都会在不同的设备和系统上留下蛛丝马迹，单看某个设备的日志可能无法发现问题，但是将所有这些信息合到一起，就可能发现其中的隐患，而这正是关联分析的目的所在。

为了解决目前日益严重的复合型风险威胁，安全管控系统需要具有关联分析功能：将不同安全设备的响应通过多种条件关联起来，以便于管理员的分析和处理。例如当一个严重的事件或用户行为发生后，从网络层面、主机/服务器层面、数据（库）、安全层面到应用层面可能都会有所反应（响应），这时候审计系统将进行数据挖掘，将上述多个层面、多个维度的事件或行为数据挖掘和抽取、关联，将关联的结果呈现给使用者。

系统的关联分析引擎不仅要能够帮助管理员发现外部入侵，还要能帮助管理员识别内部违规行为，进行合规性审计。

2.11威胁情报

威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。从来源上讲威胁情报又分为外部的威胁情报和企业内部的威胁情报，在态势感知的建设中，引入内部和外部的威胁情报辅助进行事件分析能够帮助管理员更快更好的发现网络中的安全风险。

2.12异常流量监控

虽然已经建设了流量控制设备，但是流控设备并不擅长发现流量中的攻击行为，异常流量监控功能通过DFI流量监测技术去分析发现当前流量中的攻击行为，与IDS类检测在攻击行为的监测方式上形成互补，从而使态势感知平台的安全监控功能覆盖面更加广泛而有效。

2.13风险管理

风险（Risk）是资产价值、弱点度量值与威胁度量值根据量化算法而得到的一个量化的安全检测结果。风险分析过程是建立在资产管理、弱点管理和威胁管理的基础上的。

态势感知平台自动化、定量化计算资产及其业务系统的风险值的功能，能够协助信息化人员进行定量的风险评估。通过对当前网络进行风险评估以及通过事件处理、故障排除等手段来降低当前网络风险的过程，态势感知平台实现了整个信息化网络安全建设的良性循环。

2.14安全报表

报表是信息化工作成果总结的主要手段，因此态势感知平台需要具有报表功能，为系统呈现灵活多样的报表功能。既有丰富的内置报表，也提供报表编辑器，供信息化人员自定义报表。报表支持多种格式导出，包括支持EXCEL格式的报表导出。信息化人员可以对报表生成制定计划，定期自动生成报表，并支持邮件递送。系统能够针对存储的海量事件快速生成月报、季报和年报。

1