摘　要：隨著政務(wù)信息系統(tǒng)大量部署于政務(wù)云平臺中，網(wǎng)絡(luò)安全已成為建設(shè)數(shù)字政府所面臨的主要問題，而基于態(tài)勢感知技術(shù)的政務(wù)云安全防護體系，可以及時有效地應(yīng)對各種威脅和攻擊。首先，從態(tài)勢感知、態(tài)勢理解和態(tài)勢預(yù)測分析了安全數(shù)據(jù)采集和處理；其次，構(gòu)建了基于 SA-GRU 的政務(wù)云安全態(tài)勢神經(jīng)網(wǎng)絡(luò)訓(xùn)練模型，對安全態(tài)勢定量評估；最后，基于網(wǎng)絡(luò)安全態(tài)勢感知模型設(shè)計了一套安全防護體系，實現(xiàn)對政務(wù)云系統(tǒng)安全態(tài)勢的監(jiān)測預(yù)警、檢測和防護，保障云上信息系統(tǒng)運行安全。

內(nèi)容目錄：

1　網(wǎng)絡(luò)安全態(tài)勢感知模型建設(shè)
1.1　態(tài)勢感知
1.2　態(tài)勢理解
1.3　態(tài)勢預(yù)測
2　安全防護體系設(shè)計
2.1　態(tài)勢感知聯(lián)合防火墻自動布防
2.2　態(tài)勢理解加強網(wǎng)絡(luò)安全保障
2.3　態(tài)勢預(yù)測建立自適應(yīng)安全防御
3　結(jié)　語

政務(wù)云是專門服務(wù)于政府領(lǐng)域的一種云計算技術(shù)，面向各類政府機構(gòu)提供電子政務(wù)服務(wù)。在政務(wù)信息系統(tǒng)整體部署、互聯(lián)互通、資源共享和業(yè)務(wù)協(xié)同的背景下，政府電子信息系統(tǒng)逐步遷移到政務(wù)云平臺。政務(wù)云在節(jié)約資源、提升經(jīng)濟效益和公共服務(wù)水平方面具有顯著優(yōu)勢，但同時也帶來了信息安全方面的問題，比如面臨網(wǎng)絡(luò)攻擊與數(shù)據(jù)泄露風(fēng)險，缺乏適當(dāng)?shù)纳矸蒡炞C與訪問控制機制，數(shù)據(jù)備份與容災(zāi)機制不完善等。隨著政府領(lǐng)域利用云平臺來管理公共服務(wù)和治理的普及，將網(wǎng)絡(luò)安全放在首位并投資于強大的安全措施以保護敏感數(shù)據(jù)和確保國家安全變得至關(guān)重要。傳統(tǒng)的網(wǎng)絡(luò)安全防護方法（如防火墻、漏洞掃描、殺毒軟件和入侵檢測等）雖然能在特定功能上實現(xiàn)安全防御，但在面對云上復(fù)雜的網(wǎng)絡(luò)環(huán)境時仍存在很多不足，無法實現(xiàn)多個方法之間的聯(lián)動，更不能從全局上主動對網(wǎng)絡(luò)威脅進行防御。傳統(tǒng)安全防護的重心在于邊界防護（如終端防護、網(wǎng)絡(luò)防護、主機防護等），隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新技術(shù)的普及，越來越多的數(shù)據(jù)存儲在云端，超越了傳統(tǒng)的安全防護邊界，同時日益增長的物聯(lián)網(wǎng)設(shè)備也在挑戰(zhàn)傳統(tǒng)安全防護方法的防護能力。與日趨乏力的安全防護手段相比，攻擊者的攻擊手段（如零日漏洞、高級持續(xù)攻擊、網(wǎng)絡(luò)軍火武器等）卻日趨高級，在層出不窮的漏洞和高級攻擊手段面前，看似堅固的傳統(tǒng)網(wǎng)絡(luò)安全防護堡壘成為擺設(shè) 。因此，本文使用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，采集網(wǎng)絡(luò)安全設(shè)備防火墻、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)及終端威脅防御系統(tǒng)的日志數(shù)據(jù)，研究基于政務(wù)云多源異構(gòu)數(shù)據(jù)的云安全防護體系建設(shè)，加強政務(wù)云自身的安全防護及云上政務(wù)數(shù)據(jù)安全保障。

1 網(wǎng)絡(luò)安全態(tài)勢感知模型建設(shè)

為解決以上問題，本文從態(tài)勢感知、態(tài)勢理解和態(tài)勢預(yù)測 3 個方面實現(xiàn)安全態(tài)勢感知模型的建設(shè)。

安全數(shù)據(jù)是指在計算機網(wǎng)絡(luò)和系統(tǒng)中產(chǎn)生的與安全相關(guān)的各種信息和記錄，包括但不限于登錄記錄、網(wǎng)絡(luò)流量、系統(tǒng)日志、惡意代碼樣本及異常行為等。來源涵蓋網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、應(yīng)用程序、防火墻、入侵檢測系統(tǒng)（Intrusion Detection System，IDS）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）及日志文件等。安全數(shù)據(jù)采集被視為持續(xù)監(jiān)測、分析和響應(yīng)網(wǎng)絡(luò)和系統(tǒng)安全狀態(tài)，及早識別和應(yīng)對潛在的安全威脅和風(fēng)險的基礎(chǔ)。

政務(wù)云環(huán)境是指專門為政府部門和機構(gòu)提供的云計算基礎(chǔ)設(shè)施和服務(wù)。具有存儲、計算、網(wǎng)絡(luò)和業(yè)務(wù) 4 個方面的特點：存儲包含敏感信息，如個人身份信息、機密文件等，具有存儲安全性要求高、數(shù)據(jù)歸檔與長期保留特點；計算具有隨著業(yè)務(wù)需求的變化而波動的計算需求特點；網(wǎng)絡(luò)需要提供高速穩(wěn)定的網(wǎng)絡(luò)連接，保持隔離不同政府部門和機構(gòu)之間的數(shù)據(jù)；業(yè)務(wù)要符合政府法規(guī)和合規(guī)性要求，支持多個政府部門和機構(gòu)共享?？傊?wù)云環(huán)境的存儲、計算、網(wǎng)絡(luò)和業(yè)務(wù)特點是為了滿足政府部門的特定需求，包括安全性、合規(guī)性、靈活性及高可用性等方面的要求。

當(dāng)進行安全態(tài)勢感知時，將從脆弱性分析、生存性分析、威脅性分析、平穩(wěn)性分析 4 個層面對安全數(shù)據(jù)進行采集和分析（如表 1 所示），并再細分為二級指標(biāo)得到政務(wù)云中實體數(shù)據(jù)源。脆弱性分析是指對系統(tǒng)暴露在外的、容易被攻擊的自身缺陷的分析；生存性分析是指對發(fā)生的安全事件的分析，目的是從事件中汲取經(jīng)驗教訓(xùn)，加強對外部威脅的抵御能力；威脅性分析是指對資產(chǎn)的各類攻擊進行分析和評估；平穩(wěn)性分析是指減少風(fēng)險的發(fā)生，保證系統(tǒng)穩(wěn)定運行。

表 1　安全數(shù)據(jù)采集分析

1.1　態(tài)勢感知

態(tài)勢感知是實現(xiàn)態(tài)勢感知模型過程的核心概念和關(guān)鍵組成部分。針對政務(wù)云中多源異構(gòu)、數(shù)據(jù)量大的安全態(tài)勢數(shù)據(jù)，通過網(wǎng)絡(luò)設(shè)備采集和挖掘重要的數(shù)據(jù)，對采集后的數(shù)據(jù)進行數(shù)據(jù)清洗、格式化處理等操作，把異構(gòu)數(shù)據(jù)融合關(guān)聯(lián)到一起，并存儲到數(shù)據(jù)庫中。

基于 Agent 數(shù)據(jù)采集和應(yīng)用程序編程接口（Application Program Interface，API）的安全數(shù)據(jù)采集系統(tǒng)，包含 Agent 實時數(shù)據(jù)采集、數(shù)據(jù)分析處理、數(shù)據(jù)格式化、數(shù)據(jù)上傳的通信模塊、配置管理等，對不同安全數(shù)據(jù)類型，開發(fā)相應(yīng)的數(shù)據(jù)采集 Agent。從物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境和系統(tǒng)安全等方面實時采集系統(tǒng)運行的安全數(shù)據(jù)，并將采集后的數(shù)據(jù)上傳到接口，接口接收后進行數(shù)據(jù)的格式化統(tǒng)一，消除數(shù)據(jù)冗余、類型和格式的差異，然后進行統(tǒng)一語義封裝，消除語義理解的差異，最后將數(shù)據(jù)存儲到安全信息庫中。

1.2　態(tài)勢理解

態(tài)勢理解是將采集到的多種類型數(shù)據(jù)清洗、格式化，采用分類、歸并、層次分析、關(guān)聯(lián)分析等方法對網(wǎng)絡(luò)安全系統(tǒng)中的要素進行統(tǒng)計，包括資產(chǎn)管理、風(fēng)險發(fā)現(xiàn)、威脅監(jiān)測和基線檢查等。再對各類數(shù)據(jù)要素定性分析，找到要素之間的相互聯(lián)系，通過警報匹配方法計算警報相關(guān)信息與目標(biāo)系統(tǒng)資產(chǎn)和配置的相關(guān)性，監(jiān)測入侵檢測報警信息、漏洞信息及網(wǎng)絡(luò)與主機安全評估，結(jié)合攻擊發(fā)生頻率、帶寬占用率及對網(wǎng)絡(luò)的影響，評估出對整個服務(wù)器的影響威脅。根據(jù)指標(biāo)體系選取數(shù)據(jù)，進行態(tài)勢量化處理得到態(tài)勢值，同時為態(tài)勢預(yù)測提供準(zhǔn)確的預(yù)測數(shù)據(jù)集。

1.3　態(tài)勢預(yù)測

態(tài)勢預(yù)測是網(wǎng)絡(luò)安全態(tài)勢感知的最終目標(biāo)，可讓網(wǎng)絡(luò)防護人員及時或提前掌握網(wǎng)絡(luò)運行的狀況。網(wǎng)絡(luò)安全數(shù)據(jù)具有信息關(guān)聯(lián)性，通過海量連接和攻擊嘗試，會產(chǎn)生具有時間序列特性的網(wǎng)絡(luò)安全數(shù)據(jù)。長短期記憶網(wǎng)絡(luò)（Long Short Term Memory，LSTM）具有獨特的“門”結(jié)構(gòu)，能夠更好地記錄時間序列數(shù)據(jù)關(guān)系，具有記憶功能?；趯ο嚓P(guān)網(wǎng)絡(luò)安全數(shù)據(jù)的理解，對網(wǎng)絡(luò)安全數(shù)據(jù)進行數(shù)據(jù)預(yù)處理、數(shù)據(jù)格式化、模型預(yù)訓(xùn)練。具體步驟如下：

（1）構(gòu)造數(shù)據(jù)集。對威脅進行權(quán)重分配，網(wǎng)絡(luò)安全態(tài)勢值的計算方法為：

式中：SA為安全態(tài)勢值；i為威脅種類；w為權(quán)重；為某類威脅的數(shù)量；為最大時數(shù)值。并對安全態(tài)勢值進行歸一化預(yù)處理

（2） 特 征 提 取。基 于 自 編 碼 器（Auto-Encoder，AE）的特征提取，AE 利用原始數(shù)據(jù)參考，進行自監(jiān)督學(xué)習(xí)特征提取。

編碼過程表示為：

式中：為編碼器的輸出；為編碼部分激活函數(shù)；為權(quán)重矩陣；X 為 n 維向量；為編碼部分偏置。

解碼過程表示為：

式中：為解碼器的輸出；為解碼部分激活函數(shù)；為解碼部分的權(quán)重矩陣；為解碼部分偏置。

MSE 損失函數(shù)表示為：

式中：為損失函數(shù)；k 為樣本數(shù)；j 為樣本序列；為預(yù)測值；為目標(biāo)值。

（3）基于自注意力門控單元（Self-Attention Gate Recurrent Unit，SA-GRU）的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法，對態(tài)勢數(shù)據(jù)進行表征學(xué)習(xí)進而實現(xiàn)預(yù)測。將通過網(wǎng)絡(luò)態(tài)勢評估獲得的態(tài)勢數(shù)據(jù)按一定的比例分為預(yù)測訓(xùn)練集和預(yù)測測試集，將預(yù)測訓(xùn)練集輸入 SA-GRU 神經(jīng)網(wǎng)絡(luò)模型進行態(tài)勢模型訓(xùn)練（如圖 1 所示），將預(yù)測數(shù)據(jù)輸入訓(xùn)練好的網(wǎng)絡(luò)進行預(yù)測，得到預(yù)測值。

圖 1　基于 SA-GRU 的政務(wù)云安全態(tài)勢神經(jīng)網(wǎng)絡(luò)訓(xùn)練模型

2 安全防護體系設(shè)計

基于網(wǎng)絡(luò)安全態(tài)勢感知模型設(shè)計一套安全防護體系，主要分為態(tài)勢感知聯(lián)合防火墻自動布防、態(tài)勢理解加強網(wǎng)絡(luò)安全保障和態(tài)勢預(yù)測建立自適應(yīng)安全防御 3 個方向。

2.1　態(tài)勢感知聯(lián)合防火墻自動布防

部署態(tài)勢感知管控中心和 Agent 探針，采集網(wǎng)絡(luò)安全設(shè)備防火墻、僵尸網(wǎng)絡(luò)木馬和蠕蟲監(jiān)測與處置系統(tǒng)及終端威脅防御系統(tǒng)的日志數(shù)據(jù)，實現(xiàn)對網(wǎng)絡(luò)安全的態(tài)勢覺察、跟蹤和預(yù)警，及時掌握網(wǎng)絡(luò)安全威脅、風(fēng)險和隱患，監(jiān)測漏洞、病毒木馬、網(wǎng)絡(luò)攻擊情況，發(fā)現(xiàn)網(wǎng)絡(luò)安全事件線索，防范網(wǎng)絡(luò)攻擊等惡意行為。

將態(tài)勢感知中心與邊界防火墻設(shè)備進行聯(lián)動處置，通過郵件、企業(yè)微信等方式實時推送事件告警。同時，在態(tài)勢感知中心可一鍵下發(fā)配置安全防護策略，邊界防火墻可自動更新相關(guān)配置，從而實現(xiàn)半自動化運維，提高日常運維的工作效率。

（1）攻擊源和攻擊類型實時監(jiān)測。將攻擊分為高風(fēng)險、中風(fēng)險、低風(fēng)險，包括攻擊源和被攻擊主機，并在頁面上根據(jù)攻擊類型顯示注入攻擊、掃描探測、文件漏洞攻擊、瀏覽器挾持、非授權(quán)訪問等其他信息。

（2）主機和業(yè)務(wù)系統(tǒng)動態(tài)防護。對主機進行安全防護，防止對主機的惡意攻擊，實時記錄僵尸主機和被控制的主機，監(jiān)測被入侵的主機。業(yè)務(wù)系統(tǒng)動態(tài)防護是對業(yè)務(wù)系統(tǒng)進行安全防護，對受影響業(yè)務(wù)（如 Web 應(yīng)用、數(shù)據(jù)庫）進行及時維護。

（3）告警和惡意文件管理控制。基于防護規(guī)則統(tǒng)計分析告警事件，包括規(guī)則編號、事件描述、級別、攻擊次數(shù)。詳細記錄告警信息，包括告警內(nèi)容、告警級別、告警類型、最近發(fā)生時間、告警狀態(tài)和操作。

實時主動控制安全策略，防止惡意文件的傳播和攻擊，面對惡意 IP、惡意域名、惡意統(tǒng)一資 源 定 位 符（Uniform Resource Locator，URL）傳播源、感染主機、惡意程序、疑似惡意程序、聯(lián)動阻斷等威脅，做到及時發(fā)現(xiàn)并采取相應(yīng)措施，實現(xiàn)一鍵封堵功能。

2.2　態(tài)勢理解加強網(wǎng)絡(luò)安全保障

建立自適應(yīng)安全防御機制，對攻擊模式、攻擊手段、攻擊目標(biāo)進行分析，了解安全的動態(tài)變化，以自適應(yīng)安全架構(gòu)和云工作負載保護平臺為核心理念，采用“管控中心 +Agent 探針”的部署方式，保證政務(wù)云上租戶的主機應(yīng)用及數(shù)據(jù)安全。同時，結(jié)合實際情況，將自適應(yīng)安全防御軟件與安全服務(wù)充分結(jié)合，加強對新型未知病毒及高級攻擊的防御能力，提供全棧保護能力與安全巡檢。自適應(yīng)安全防御機制的主要功能如下：

（1）資產(chǎn)管理功能。按照 IP、主機、資產(chǎn)3 個維度進行分類，主機資產(chǎn)統(tǒng)計包括管控主機的總數(shù)，即在線、離線和未管控的主機。操作系統(tǒng)統(tǒng)計包括 Linux、Server 以及對政務(wù)云環(huán)境中賬號、端口、進程、軟件、數(shù)據(jù)庫及容器的細分資產(chǎn)的統(tǒng)計，包括開通賬號、端口和各類數(shù)據(jù)庫的主機數(shù)。

（2）風(fēng)險發(fā)現(xiàn)功能。檢測出系統(tǒng)漏洞、中間件漏洞、數(shù)據(jù)庫漏洞、配置缺陷及弱口令。

（3）威脅監(jiān)測功能。實時監(jiān)測暴力破解并自動封停，對主機存在的病毒及 WebShell 后門程序進行隔離清除。

（4）基線檢查功能。配置合規(guī)且包含等保基線檢查規(guī)則在內(nèi)的模板，為網(wǎng)絡(luò)安全防護提供更加準(zhǔn)確的合規(guī)判別。

2.3　態(tài)勢預(yù)測建立自適應(yīng)安全防御

遠程監(jiān)控提供實時預(yù)警，對政務(wù)云服務(wù)平臺進行 24 小時重點網(wǎng)站遠程監(jiān)控，及時發(fā)現(xiàn)政務(wù)門戶網(wǎng)站等 Web 應(yīng)用系統(tǒng)存在的安全問題，針對網(wǎng)站掛馬、首頁篡改、敏感關(guān)鍵字、暗鏈等異常操作，在第一時間通過短信、郵件、電話等方式進行預(yù)警。通知格式包括標(biāo)題、網(wǎng)站名稱和 URL、事件發(fā)生的時間和類型、事件發(fā)生錯誤概覽等內(nèi)容 。

日常防護包括使用各種攻擊技術(shù)對網(wǎng)站、App、小程序等互聯(lián)網(wǎng)系統(tǒng)和內(nèi)網(wǎng)系統(tǒng)進行每季度一次的滲透測試。此外，還包括授權(quán)測試、業(yè)務(wù)邏輯測試、配置及部署管理、客戶端測試、數(shù)據(jù)驗證、身份認證、信息泄露、會話管理等方面，從而發(fā)現(xiàn)系統(tǒng)存在的安全隱患。

3 結(jié)　語

本文研究了基于態(tài)勢感知技術(shù)的政務(wù)云安全防護體系建設(shè)，從態(tài)勢感知、態(tài)勢理解和態(tài)勢預(yù)測方面解決了海量、多源、異構(gòu)安全數(shù)據(jù)采集和處理的難題，構(gòu)建了基于 SA-GRU 的政務(wù)云安全態(tài)勢神經(jīng)網(wǎng)絡(luò)訓(xùn)練模型，實現(xiàn)對安全態(tài)勢定量評估，設(shè)計包括態(tài)勢感知聯(lián)合防火墻自動布防、態(tài)勢理解加強網(wǎng)絡(luò)安全保障和態(tài)勢預(yù)測建立自適應(yīng)安全防御 3 個子系統(tǒng)的安全平臺，實現(xiàn)對政務(wù)云上信息系統(tǒng)安全態(tài)勢的監(jiān)測預(yù)警、檢測、防護及安全能力的全面提升，保證云上系統(tǒng)數(shù)據(jù)安全，提高了政務(wù)云平臺服務(wù)能力和安全管理人員的工作效率。

引用格式：梁昊 , 丁宏 , 文蘭 , 等 . 基于態(tài)勢感知技術(shù)的政務(wù)云安全防護體系建設(shè)研究 [J]. 信息安全與通信保密 ,2023(8):82-87.
作者簡介 >>>
梁　昊，男，碩士，工程師，主要研究方向為環(huán)境信息化與網(wǎng)絡(luò)安全；
丁　宏，男，學(xué)士，高級工程師，主要研究方向為環(huán)境信息化與大數(shù)據(jù)應(yīng)用；
文　蘭， 女， 碩 士， 工 程 師，主要研究方向為環(huán)境信息化與環(huán)境保護；
趙立健，男，碩士，高級工程師，主要研究方向為環(huán)境大數(shù)據(jù)與環(huán)境數(shù)字化。
選自《信息安全與通信保密》2023年第8期（為便于排版，已省去原文參考文獻）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點，轉(zhuǎn)載的目的在于傳遞更多知識和信息。

相關(guān)閱讀：互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定：使用安全連接方式訪問