網絡安全態(tài)勢感知是在大規(guī)模網絡環(huán)境中，對能夠引起網絡態(tài)勢發(fā)生變化的所有安全要素進行獲取、理解、顯示以及預測未來的發(fā)展趨勢，并不拘泥于單一的安全要素。態(tài)勢感知體系包括四個部分：態(tài)勢察覺、態(tài)勢理解和評估、態(tài)勢預測和安全決策。它們分別如何實現(xiàn)并互相協(xié)作呢?

隨著金融科技的發(fā)展，商業(yè)銀行電子渠道業(yè)務的迅速擴張，如網上銀行、手機銀行、直銷銀行等一系列的電子銀行業(yè)務，由于其全天候、不分地域、開放程度高等特點，成為了網絡攻擊的重點，帶來了更多的信息安全風險。各種網絡攻擊、數(shù)據(jù)泄露事件層出不窮，要確保金融科技的平穩(wěn)健康發(fā)展，必須妥善解決好網絡安全的問題。

在網絡信息系統(tǒng)安全技術研究中，由于已有防御手段無法有效應對各種復雜的網絡和業(yè)務環(huán)境，目前網絡安全態(tài)勢感知的研究成為新一代網絡安全技術的焦點。

本文結合目前網絡安全態(tài)勢感知的發(fā)展現(xiàn)狀針對商業(yè)銀行網絡安全態(tài)勢感知體系的建設思路做了簡單地梳理。

一、什么是態(tài)勢感知

態(tài)勢感知(Situation Awareness，SA)就是在一定的時間和空間條件下，對環(huán)境因素的感知、理解以及對其未來發(fā)展趨勢的預測，態(tài)勢感知的思想起源于戰(zhàn)爭中敵我雙方攻防態(tài)勢的估計，早在《孫子兵法》中就有“知己知彼，百戰(zhàn)不殆”的描述。

1988年，Endsley把態(tài)勢感知分成感知、理解和預測三個層次的信息處理。即：

• 感知(Perception)：感知和獲取環(huán)境中的重要線索或元素;
• 理解(Comprehension)：整合感知到的數(shù)據(jù)和信息，分析其相關性;
• 預測(Projection)：基于對環(huán)境信息的感知和理解，預測相關知識的未來的發(fā)趨勢。

二、網絡安全態(tài)勢感知體系

網絡安全態(tài)勢是指整個網絡當前狀態(tài)和變化趨勢，是一個整體和全局的概念，任何單一的情況或狀態(tài)都不能稱之為態(tài)勢。

網絡安全態(tài)勢感知是在大規(guī)模網絡環(huán)境中，對能夠引起網絡態(tài)勢發(fā)生變化的所有安全要素進行獲取、理解、顯示以及預測未來的發(fā)展趨勢，并不拘泥于單一的安全要素。態(tài)勢感知技術首先對各種影響系統(tǒng)安全性的要素進行檢測獲取，然后對安全信息采用分類、歸并、建立數(shù)據(jù)模型、分析等手段進行融合，接著對融合的信息進行綜合分析，得到網絡的整體安全狀況及其應對措施，并對網絡安全狀況的發(fā)展趨勢進行預測，最后為商業(yè)銀行信息安全管理提供可靠的數(shù)據(jù)參考和決策支持。

本文提出的商業(yè)銀行網絡安全態(tài)勢感知體系，包括如下四個部分：

• 態(tài)勢察覺：主動探測+被動監(jiān)聽采集實現(xiàn)多維度多層次數(shù)據(jù)源收集;
• 態(tài)勢理解和評估：對數(shù)據(jù)源進行預處理、數(shù)據(jù)融合并進行多層次多維度的態(tài)勢評估;
• 態(tài)勢預測：運用數(shù)據(jù)分析模型實現(xiàn)態(tài)勢預測，并通過可視化技術集中呈現(xiàn)，提供決策數(shù)據(jù)，指導進行安全防御體系的敏捷調整和持續(xù)運營;
• 安全決策：高層領導、部門領導、安全經理和運維人員在內的四層網絡安全態(tài)勢管理模式。

1. 態(tài)勢察覺

任何單一的情況或狀態(tài)都不能稱之為態(tài)勢，網絡安全態(tài)勢感知體系需實現(xiàn)多層次多維度的態(tài)勢要素采集，包括對以下六種類型的數(shù)據(jù)的接入：

• 來自網絡安全防護系統(tǒng)的數(shù)據(jù)：例如防火墻、IDS/IPS、WAF、網絡安全審計系統(tǒng)等設備的日志或告警數(shù)據(jù);
• 來自重要服務器與主機的數(shù)據(jù)：例如服務器安全日志、進程調用和文件訪問等信息，基于網絡與基于主機的協(xié)同能夠大大提升網絡威脅感知能力;
• 網絡骨干節(jié)點的數(shù)據(jù)：例如核心交換的原始網絡數(shù)據(jù)，網絡節(jié)點數(shù)據(jù)采集的越多，追蹤、確認網絡攻擊路徑的可能性就越大;
• 漏洞數(shù)據(jù)：基于主動的漏洞評估、滲透測試發(fā)現(xiàn)的漏洞數(shù)據(jù);
• 直接的威脅感知數(shù)據(jù)：例如Honeynet(蜜網)誘捕的網絡攻擊數(shù)據(jù)，對網絡攻擊源及攻擊路徑的追蹤探測數(shù)據(jù);
• 協(xié)同合作數(shù)據(jù)：包括權威部門發(fā)布的病毒蠕蟲爆發(fā)的預警數(shù)據(jù)，網絡安全公司或研究機構提供的威脅情報等。

2. 態(tài)勢理解

為保障態(tài)勢感知結果準確和全面，應最大限度地確保獲取數(shù)據(jù)的完整，因此需對所有檢測設備獲得的原始數(shù)據(jù)進行分析。因處理的數(shù)據(jù)量大，如采取較為復雜的關聯(lián)技術，則處理時間會較長，系統(tǒng)的實時性較差。為滿足系統(tǒng)實時性的要求，網絡安全態(tài)勢感知體系的態(tài)勢理解過程首先可采用簡單的數(shù)據(jù)級融合，然后分析融合后數(shù)據(jù)的相關性，具體處理過程分為如下幾步：

• 分析原始安全數(shù)據(jù)，將安全數(shù)據(jù)歸類為資產數(shù)據(jù)、威脅數(shù)據(jù)、脆弱性數(shù)據(jù)，不考慮數(shù)據(jù)類之間的關系;
• 去除重復冗余信息，合并同類信息，修正錯誤信息，得到規(guī)范化的資產數(shù)據(jù)集、威脅數(shù)據(jù)集、脆弱性數(shù)據(jù)集;
• 將資產、威脅和脆弱性相關聯(lián)，綜合分析得到安全事件數(shù)據(jù)集。

3. 態(tài)勢評估

態(tài)勢評估是網絡安全態(tài)勢感知的核心，是對網絡安全狀況的定性定量描述?？刹捎枚鄬哟味嗑S度多粒度的態(tài)勢評估框架。由專題評估、要素評估和整體評估三個層次構成，每個層次分別從不同的維度，每個維度分別從不同的粒度對網絡安全態(tài)勢進行評估。

4. 態(tài)勢預測

網絡安全態(tài)勢感知體系中的態(tài)勢預測指根據(jù)當前的網絡狀況，找出網絡安全隱患進行分析，對未來一定時間內的安全趨勢進行判斷，并提供相應的解決方法。

在全面獲取網絡威脅相關狀態(tài)數(shù)據(jù)的前提下，設定不同的場景和條件，根據(jù)網絡安全的歷史和當前狀態(tài)信息，建立符合網絡及業(yè)務場景的分析模型，并基于網絡威脅結合資產脆弱性來進行態(tài)勢預測，能夠更好地反映網絡安全在未來一段時間內的發(fā)展趨勢。

安全態(tài)勢預測的目標不是產生準確的預警信息，而是要將預測結果用于決策分析與支持，特別是對網絡攻防對抗的支持。

5. 安全決策

網絡態(tài)勢感知體系為商業(yè)銀行提供不同層級的安全決策支撐，推動安全決策的地執(zhí)行實現(xiàn)感知-響應的閉環(huán)：

• 管理層的高層領導，可掌握全網的整體安全態(tài)勢，評估全網和為安全態(tài)勢感知提供必要的決策支撐。
• 管理層的各部門領導，可掌握部門所屬業(yè)務信息系統(tǒng)的安全態(tài)勢，查閱所屬業(yè)務系統(tǒng)的運行報告和安全報告，并協(xié)調部門間運維流程和安全事件的處理。
• 執(zhí)行層的安全經理，可將管理層的工作目標落實分解，形成系統(tǒng)可執(zhí)行的策略、指標、規(guī)則、計劃和任務;可以查看網絡和業(yè)務系統(tǒng)的安全資產運行狀況、安全風險走勢、重要的安全事件處理情況，安全分析報表報告;可以隨時掌握計劃和任務的進展情況，實現(xiàn)對一線運維人員的考核。安全經理最終可以通過系統(tǒng)生成提交給管理層的各類安全報表報告。
• 執(zhí)行層的運維人員，可持續(xù)對網絡資產及信息系統(tǒng)進行運行監(jiān)測、安全審計、任務處理與應急響應。

三、結束語

未來網絡安全態(tài)勢感知體系的建設還將有很多新的升級，包括引入威脅自動化處置機制以大幅降低威脅檢測及響應處置時間;但同時，安全運營離不開安全人員的參與。在進行網絡安全態(tài)勢感知體系，尤其是威脅自動化處置機制建設時，還需進一步提高安全運維人員的技能及安全團隊建設，為未來網絡安全態(tài)勢感知體系安全能力的落地提供保障。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉載請通過51CTO聯(lián)系原作者獲取授權】

戳這里，看該作者更多好文