前言：尋找寫(xiě)作靈感？中文期刊網(wǎng)用心挑選的水利工程網(wǎng)絡(luò)安全構(gòu)建思路，希望能為您的閱讀和創(chuàng)作帶來(lái)靈感，歡迎大家閱讀并分享。

摘要：以江都水利樞紐網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)為研究對(duì)象，分析水利工程網(wǎng)絡(luò)安全態(tài)勢(shì)感知的內(nèi)容和需求，從平臺(tái)架構(gòu)、關(guān)鍵技術(shù)和軟件模塊設(shè)計(jì)多個(gè)角度，探討平臺(tái)構(gòu)建的可行性及必要性，推動(dòng)水利樞紐態(tài)勢(shì)感知的數(shù)字化、信息化建設(shè)。通過(guò)態(tài)勢(shì)感知平臺(tái)建設(shè)，可以有效分析多源數(shù)據(jù)并預(yù)測(cè)網(wǎng)絡(luò)潛在風(fēng)險(xiǎn)漏洞，大幅度提升水利樞紐網(wǎng)絡(luò)安全管理水平，為保障水利工程關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)的可靠運(yùn)行提供借鑒。

關(guān)鍵詞：水利信息化；網(wǎng)絡(luò)安全；態(tài)勢(shì)感知；平臺(tái)構(gòu)建；江都水利樞紐

網(wǎng)絡(luò)安全是國(guó)家安全的重要組成部分。水利行業(yè)作為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要行業(yè)之一，保護(hù)水利關(guān)鍵信息基礎(chǔ)設(shè)施安全具有十分重要的意義，關(guān)鍵信息基礎(chǔ)設(shè)施一旦遭到破壞、喪失關(guān)鍵核心功能或者引起數(shù)據(jù)泄露，會(huì)對(duì)國(guó)家安全、國(guó)計(jì)民生、公共利益等造成安全隱患。隨著工程管理現(xiàn)代化進(jìn)程的推進(jìn)，江蘇省江都水利工程管理處高度重視水利信息化建設(shè)，搭建了集中監(jiān)控系統(tǒng)和基于集控中心的遠(yuǎn)程監(jiān)視和控制體系，有效實(shí)現(xiàn)了江都水利樞紐工程的整體管控。但是，由于長(zhǎng)期缺乏安全需求的推動(dòng)，現(xiàn)有的信息化系統(tǒng)在設(shè)計(jì)、研發(fā)中沒(méi)有充分考慮安全問(wèn)題，在部署、運(yùn)維中缺乏有效的管理手段，存在著系統(tǒng)被病毒或惡意軟件破壞、核心數(shù)據(jù)被竊取、控制流程被篡改、工控?cái)?shù)據(jù)或應(yīng)用軟件被惡意操縱等安全隱患。因此，開(kāi)展江都水利樞紐網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)研究，對(duì)于江蘇乃至全國(guó)水利工程全面構(gòu)建網(wǎng)絡(luò)安全防線具有非常重要的示范意義。

一、現(xiàn)實(shí)需求

江都水利樞紐工程位于江蘇省揚(yáng)州市境內(nèi)，坐落在京杭大運(yùn)河、淮河入江水道與新通揚(yáng)運(yùn)河的交匯處，北瀕淮河、南連長(zhǎng)江，由4座大型電力抽水站、12座大中型水閘以及輸變電工程、引排河道組成。經(jīng)過(guò)多年持續(xù)投入和建設(shè)，江都水利樞紐工程網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和信息化工作取得顯著成績(jī)，但是面對(duì)互聯(lián)網(wǎng)發(fā)展的新情況和新動(dòng)向，在網(wǎng)絡(luò)安全方面仍然存在不少短板和問(wèn)題，其痛難點(diǎn)和現(xiàn)實(shí)需求主要集中在以下幾點(diǎn)。1.應(yīng)用數(shù)據(jù)采集難隨著水利行業(yè)信息化程度的提升，交換的數(shù)據(jù)類(lèi)型從傳統(tǒng)的水文狀態(tài)、工程運(yùn)行等監(jiān)控程序數(shù)據(jù)逐步向更加智能化的程序文件轉(zhuǎn)換，信息更新和交換越來(lái)越頻繁。同時(shí)現(xiàn)場(chǎng)工控設(shè)備種類(lèi)繁多，涉及不同品牌的系統(tǒng)和協(xié)議，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備無(wú)法對(duì)工控協(xié)議進(jìn)行識(shí)別，導(dǎo)致工控設(shè)備產(chǎn)生的網(wǎng)絡(luò)安全數(shù)據(jù)不能及時(shí)同步到信息辦公網(wǎng)絡(luò)，無(wú)法實(shí)時(shí)掌握其工作狀態(tài)。提高對(duì)工業(yè)協(xié)議的識(shí)別和指令級(jí)的協(xié)議解析，提高數(shù)據(jù)安全交換能力是首要解決的技術(shù)難點(diǎn)。因此，平臺(tái)的構(gòu)建需支持常見(jiàn)的工業(yè)基礎(chǔ)設(shè)施、主流工業(yè)控制協(xié)議、常見(jiàn)工業(yè)上位機(jī)組態(tài)軟件，為智慧水利工業(yè)互聯(lián)網(wǎng)整體態(tài)勢(shì)感知提供數(shù)據(jù)支撐服務(wù)。2.多源信息分析難當(dāng)前江都水利樞紐工控網(wǎng)內(nèi)包含各類(lèi)防火墻、入侵防御等多種安全產(chǎn)品，各自屬于不同的廠家，在功能、日志上各自獨(dú)立，對(duì)于發(fā)生的安全事件一般采取人工分析的方式，效率與準(zhǔn)確率較低。因此需要通過(guò)安全信息資源整合的方式整合分散的工業(yè)互聯(lián)網(wǎng)安全數(shù)據(jù)，形成江都水利樞紐全局的工控安全態(tài)勢(shì)感知能力，從而達(dá)到主動(dòng)感知、主動(dòng)防御的目的。3.安全風(fēng)險(xiǎn)識(shí)別難雖然江都水利樞紐擁有獨(dú)立的網(wǎng)絡(luò)安全產(chǎn)品，但是外部的黑客入侵和內(nèi)部操作的違規(guī)行為在邏輯或時(shí)序上相互關(guān)聯(lián)，并分為若干步驟，每個(gè)操作步驟都會(huì)在相關(guān)設(shè)備和系統(tǒng)上留下一定的痕跡。如果要發(fā)現(xiàn)其中的隱患，需要把相關(guān)設(shè)備的日志進(jìn)行相互關(guān)聯(lián)后統(tǒng)籌分析，然而現(xiàn)有的網(wǎng)絡(luò)安全產(chǎn)品缺乏統(tǒng)一分析功能，關(guān)聯(lián)分析功能的實(shí)現(xiàn)迫在眉睫。該功能可以把不同安全設(shè)備產(chǎn)生的日志、響應(yīng)等文件，根據(jù)條件進(jìn)行關(guān)聯(lián)，以便后續(xù)分析和相關(guān)處理。

二、平臺(tái)總體架構(gòu)設(shè)計(jì)

為滿足上述需求和解決關(guān)鍵痛難點(diǎn)，需建立江都水利樞紐網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，系統(tǒng)結(jié)構(gòu)如圖1所示。態(tài)勢(shì)感知平臺(tái)采用功能化的設(shè)計(jì)思想，使系統(tǒng)具有預(yù)判性、互操作性和通用性等特征，并實(shí)現(xiàn)關(guān)鍵信息的公開(kāi)透明。從總體上，平臺(tái)具有六個(gè)相互獨(dú)立且關(guān)聯(lián)的功能，分別是數(shù)據(jù)源輸入、信息采集、信息分析、安全處置、系統(tǒng)支撐和用戶(hù)呈現(xiàn)視圖。數(shù)據(jù)源輸入、信息采集主要位于信息采集模塊，應(yīng)進(jìn)行統(tǒng)一的流程設(shè)計(jì)；信息分析、安全處置、系統(tǒng)支撐和用戶(hù)呈現(xiàn)視圖主要為功能設(shè)計(jì)模塊，可按照實(shí)際應(yīng)用需求進(jìn)行詳細(xì)功能設(shè)計(jì)。

三、數(shù)據(jù)采集分析流程設(shè)計(jì)

為實(shí)現(xiàn)安全態(tài)勢(shì)感知的各項(xiàng)功能需求，江都水利樞紐網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的數(shù)據(jù)采集分析應(yīng)按照采集流程設(shè)計(jì)各功能組件，具體包含數(shù)據(jù)采集識(shí)別、隔離過(guò)濾、信息匯總分析、態(tài)勢(shì)感知及預(yù)測(cè)告警。其中，數(shù)據(jù)采集識(shí)別功能組件需要從處理功能組件、業(yè)務(wù)數(shù)據(jù)解析中分別采集識(shí)別感知信息，然后通過(guò)內(nèi)部私有協(xié)議，態(tài)勢(shì)感知隔離過(guò)濾功能組件獲取相關(guān)感知數(shù)據(jù)。業(yè)務(wù)功能單元和態(tài)勢(shì)分析軟件之間的數(shù)據(jù)隔離防護(hù)功能通過(guò)隔離過(guò)濾功能組件實(shí)現(xiàn)，從而降低內(nèi)部態(tài)勢(shì)信息軟件遭受外部攻擊、內(nèi)部態(tài)勢(shì)信息泄露等風(fēng)險(xiǎn)和威脅。通過(guò)隔離過(guò)濾的感知信息將輸入信息匯總分析功能組件，實(shí)現(xiàn)感知數(shù)據(jù)的分類(lèi)、合并和綜合分析，經(jīng)過(guò)處理后的信息存儲(chǔ)在相關(guān)數(shù)據(jù)庫(kù)中；在態(tài)勢(shì)感知及預(yù)測(cè)告警功能組件中，可以讀取數(shù)據(jù)庫(kù)的相關(guān)信息并對(duì)信息特征進(jìn)行識(shí)別，在此基礎(chǔ)上預(yù)測(cè)相關(guān)態(tài)勢(shì)，對(duì)潛在的安全和隱患進(jìn)行及時(shí)告警。相關(guān)流程如圖2所示。①態(tài)勢(shì)感知信息產(chǎn)生。通常而言，業(yè)務(wù)通信數(shù)據(jù)及其狀態(tài)會(huì)產(chǎn)生相應(yīng)的態(tài)勢(shì)感知信息，感知信息分為基本狀態(tài)類(lèi)信息（包括線路接口、傳輸誤碼統(tǒng)計(jì)和流量統(tǒng)計(jì)等）和攻擊態(tài)勢(shì)類(lèi)信息（包括偽造攻擊、重放攻擊等）。②數(shù)據(jù)采集識(shí)別。業(yè)務(wù)數(shù)據(jù)處理功能單元中嵌入的網(wǎng)絡(luò)安全態(tài)勢(shì)感知采集識(shí)別組件，可以采集和識(shí)別已定義的態(tài)勢(shì)信息。③隔離過(guò)濾。安全態(tài)勢(shì)感知平臺(tái)的內(nèi)部私有協(xié)議是實(shí)現(xiàn)各個(gè)組件、功能單元之間相互通信的基礎(chǔ)。此外，內(nèi)部私有協(xié)議把內(nèi)部通信與外部接口進(jìn)行隔離，保證了內(nèi)部通信的安全和穩(wěn)定。通過(guò)自定義相關(guān)對(duì)應(yīng)策略，篩選并丟棄各功能單元采集到的信息，消亡丟棄的信息。④態(tài)勢(shì)感知信息匯總分析?？紤]到不同的感知源可以獲得不同的感知信息，并且同一個(gè)感知源可以同時(shí)獲得不同類(lèi)型的感知數(shù)據(jù)，需要對(duì)感知數(shù)據(jù)進(jìn)行分類(lèi)，按數(shù)據(jù)內(nèi)容的不同可分為三類(lèi)，分別是攻擊類(lèi)數(shù)據(jù)、設(shè)備運(yùn)行類(lèi)數(shù)據(jù)和線路狀態(tài)類(lèi)數(shù)據(jù)。⑤態(tài)勢(shì)感知信息存儲(chǔ)。匯總后的分類(lèi)數(shù)據(jù)存儲(chǔ)在平臺(tái)的感知數(shù)據(jù)庫(kù)中，根據(jù)數(shù)據(jù)的優(yōu)先級(jí)對(duì)相關(guān)數(shù)據(jù)的消亡周期進(jìn)行設(shè)置，數(shù)據(jù)一旦到達(dá)消亡時(shí)間就會(huì)自動(dòng)消亡，實(shí)現(xiàn)了設(shè)備存儲(chǔ)容量的動(dòng)態(tài)調(diào)整。此外，根據(jù)已經(jīng)設(shè)置好的容量上限，在超過(guò)容量上限時(shí)之前的數(shù)據(jù)會(huì)被同一優(yōu)先級(jí)的數(shù)據(jù)覆蓋。⑥統(tǒng)計(jì)分析。在統(tǒng)計(jì)分析過(guò)程中，根據(jù)數(shù)據(jù)類(lèi)型可以分為兩類(lèi)，分別是單類(lèi)別數(shù)據(jù)的對(duì)比分析和多類(lèi)別數(shù)據(jù)的關(guān)聯(lián)分析。單類(lèi)別數(shù)據(jù)的對(duì)比分析是指在同一類(lèi)型的數(shù)據(jù)中通過(guò)對(duì)比正常數(shù)據(jù)和異常數(shù)據(jù)以及歷史數(shù)據(jù)，提取異常數(shù)據(jù)發(fā)生的時(shí)間、頻率、原因等特征信息進(jìn)行分析和統(tǒng)計(jì)；多類(lèi)別數(shù)據(jù)的關(guān)聯(lián)分析是指通過(guò)提取數(shù)據(jù)的多維信息特征（包括類(lèi)型、時(shí)間、感知源、歷史信息等），經(jīng)過(guò)統(tǒng)計(jì)分析形成關(guān)聯(lián)規(guī)則。不論是單類(lèi)別數(shù)據(jù)的對(duì)比分析還是多類(lèi)別數(shù)據(jù)的關(guān)聯(lián)分析，都是預(yù)測(cè)告警的數(shù)據(jù)支撐。

四、態(tài)勢(shì)感知平臺(tái)功能模塊設(shè)計(jì)

江都水利樞紐網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)采用“平臺(tái)+檢測(cè)探針”方式部署系統(tǒng)，探針采集各個(gè)站點(diǎn)內(nèi)、核心交換機(jī)上的工控業(yè)務(wù)流量進(jìn)行初步分析，態(tài)勢(shì)感知依據(jù)采集的信息通過(guò)場(chǎng)景化策略、關(guān)聯(lián)分析規(guī)則展現(xiàn)網(wǎng)絡(luò)安全當(dāng)前現(xiàn)狀，其軟件平臺(tái)功能模塊設(shè)計(jì)如下。

1.數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊功能是系統(tǒng)內(nèi)的日志抓取與收集，這些系統(tǒng)包括主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備系統(tǒng)、備份系統(tǒng)和管理系統(tǒng)等。系統(tǒng)的各個(gè)不同組件日志產(chǎn)生點(diǎn)都是數(shù)據(jù)來(lái)源，例如安全設(shè)備日志、主機(jī)操作日志和數(shù)據(jù)庫(kù)審計(jì)日志等?？紤]到安全信息和事件對(duì)于所要搭建的態(tài)勢(shì)感知平臺(tái)至關(guān)重要，因此需要運(yùn)用可靠的信息采集策略（包括信息的采集頻率、合并策略與信息傳輸策略等），在保證信息完整的同時(shí)又需避免采集過(guò)程對(duì)系統(tǒng)的影響。因此，預(yù)先設(shè)定日志信息傳輸策略，既可以保證動(dòng)態(tài)網(wǎng)絡(luò)下信息按序傳輸?shù)椒治瞿K，又能避免日志信息增加過(guò)多占用網(wǎng)絡(luò)帶寬資源，有效提高了信息的傳送效率。

2.安全分析模塊

在對(duì)江都水利樞紐關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行統(tǒng)一的監(jiān)控過(guò)程中，系統(tǒng)必然會(huì)產(chǎn)生大量的信息，如果不能及時(shí)交由專(zhuān)業(yè)人員處理并進(jìn)行有效分析，將會(huì)嚴(yán)重影響網(wǎng)絡(luò)安全平臺(tái)的運(yùn)行和管理效率。安全分析模塊的功能是在宏觀層面合理設(shè)置有效的指標(biāo)即技術(shù)指標(biāo)和管理指標(biāo)，并按指標(biāo)呈現(xiàn)實(shí)時(shí)的網(wǎng)絡(luò)安全和運(yùn)行態(tài)勢(shì)，顯示當(dāng)前信息化建設(shè)過(guò)程和已完成的工作量。具體來(lái)說(shuō)，技術(shù)指標(biāo)是對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)從信息安全技術(shù)層面進(jìn)行特征提取并進(jìn)行相關(guān)分析，涉及計(jì)算整體網(wǎng)絡(luò)安全的狀態(tài)并預(yù)測(cè)其發(fā)展趨勢(shì)。在一段時(shí)間內(nèi)，系統(tǒng)收集安全事件的發(fā)送IP地址并進(jìn)行熵值計(jì)算，從而得到IP聚合度的變化度，基于此刻畫(huà)該時(shí)間段內(nèi)此類(lèi)安全事件所屬資產(chǎn)系統(tǒng)、業(yè)務(wù)系統(tǒng)或其他系統(tǒng)的整體安全狀態(tài)并預(yù)測(cè)未來(lái)安全趨勢(shì)。通過(guò)模塊提供的安全態(tài)勢(shì)曲線，可以定位影響網(wǎng)絡(luò)安全的事件，從微觀層面對(duì)威脅網(wǎng)絡(luò)安全的事件進(jìn)行分析。管理指標(biāo)是從系統(tǒng)安全管理和建設(shè)水平的安全域出發(fā)，計(jì)算某個(gè)系統(tǒng)或者安全領(lǐng)域的安全指數(shù)，得到該系統(tǒng)或者安全領(lǐng)域的安全水平評(píng)級(jí)，通過(guò)該評(píng)級(jí)可以合理表明該系統(tǒng)或者安全領(lǐng)域的信息安全建設(shè)成熟情況。每個(gè)系統(tǒng)或者安全領(lǐng)域的安全評(píng)估曲線通過(guò)安全分析模塊進(jìn)行可視化展示，并可進(jìn)行環(huán)比統(tǒng)計(jì)分析和跨域的同比分析，實(shí)現(xiàn)各項(xiàng)安全管理指標(biāo)的定位。

3.安全管控模塊

安全管理模塊的核心功能是抵御越來(lái)越多的復(fù)合型網(wǎng)絡(luò)風(fēng)險(xiǎn)威脅。不同安全設(shè)備的響應(yīng)通過(guò)安全管理模塊相互關(guān)聯(lián)，呈現(xiàn)給網(wǎng)絡(luò)管理人員進(jìn)行相應(yīng)的分析和處置。當(dāng)網(wǎng)絡(luò)威脅發(fā)生時(shí)，網(wǎng)絡(luò)層、主機(jī)層、數(shù)據(jù)庫(kù)等層面都會(huì)進(jìn)行響應(yīng)，審計(jì)系統(tǒng)通過(guò)數(shù)據(jù)挖掘?qū)⒁陨蠈用姘l(fā)生的威脅事件進(jìn)行抽取和關(guān)聯(lián)，并把結(jié)果反饋給網(wǎng)絡(luò)管理人員。此時(shí)，網(wǎng)絡(luò)管理人員可以根據(jù)相關(guān)策略進(jìn)行處置。安全管控模塊存儲(chǔ)的各類(lèi)安全事件支持網(wǎng)絡(luò)管理人員的細(xì)粒度查詢(xún)（包括關(guān)鍵字、時(shí)間段、源地址、目的地址、設(shè)備類(lèi)型、事件類(lèi)型等多個(gè)條件的組合查詢(xún)），對(duì)安全事件進(jìn)行正確的分析和判斷。此外，安全管控模塊支持不同場(chǎng)景之間的切換，網(wǎng)絡(luò)管理人員可以從宏觀層面及時(shí)掌握風(fēng)險(xiǎn)威脅的發(fā)展規(guī)律。

4.資產(chǎn)管理模塊

網(wǎng)絡(luò)資產(chǎn)是構(gòu)成信息系統(tǒng)的軟硬件和各類(lèi)服務(wù)等資源的集合。按照面向?qū)ο蟮脑O(shè)計(jì)原則，安全業(yè)務(wù)均會(huì)圍繞資產(chǎn)來(lái)展開(kāi)，不同領(lǐng)域的安全數(shù)據(jù)交織在資產(chǎn)這個(gè)核心數(shù)據(jù)庫(kù)中，構(gòu)成各種業(yè)務(wù)關(guān)系。在精準(zhǔn)識(shí)別和有效管理到資產(chǎn)基礎(chǔ)上，后續(xù)一系列安全保障機(jī)制才能按預(yù)期有效落實(shí)。作為安全領(lǐng)域中環(huán)境感知的一個(gè)重要組成部分，資產(chǎn)管理模塊承擔(dān)著對(duì)各類(lèi)安全對(duì)象包括發(fā)現(xiàn)或?qū)?、存續(xù)管理、風(fēng)險(xiǎn)分析、變更監(jiān)控及下線銷(xiāo)毀等在內(nèi)的全生命周期維護(hù)。具體提供對(duì)各類(lèi)網(wǎng)絡(luò)資產(chǎn)增、刪、改、查、導(dǎo)入導(dǎo)出等的配置管理、統(tǒng)計(jì)分析功能。

5.掃描任務(wù)管理模塊

掃描任務(wù)管理是環(huán)境感知的重要手段，通過(guò)下發(fā)掃描任務(wù)的方式識(shí)別網(wǎng)絡(luò)環(huán)境的資產(chǎn)信息及風(fēng)險(xiǎn)隱患信息。對(duì)于攻擊者來(lái)說(shuō)，信息系統(tǒng)的方方面面都存在脆弱性，既包括常見(jiàn)的操作系統(tǒng)漏洞、應(yīng)用系統(tǒng)漏洞、弱口令，也包括容易被忽略的錯(cuò)誤安全配置問(wèn)題以及違反最小化原則開(kāi)放的不必要的賬號(hào)、服務(wù)、端口等。掃描任務(wù)管理模塊可以全方位檢測(cè)信息化系統(tǒng)存在的脆弱性，發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問(wèn)題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開(kāi)放的賬號(hào)、服務(wù)、端口，形成整體安全風(fēng)險(xiǎn)報(bào)告，幫助網(wǎng)絡(luò)安全管理人員先于攻擊者發(fā)現(xiàn)安全問(wèn)題，及時(shí)進(jìn)行修補(bǔ)。

6.流量統(tǒng)計(jì)模塊

通過(guò)流量統(tǒng)計(jì)分析讓網(wǎng)絡(luò)流量可知、可見(jiàn)，如網(wǎng)絡(luò)帶寬使用情況、當(dāng)前網(wǎng)絡(luò)運(yùn)行應(yīng)用、上下行流量使用情況、IP占用的帶寬情況、并發(fā)的會(huì)話占比、應(yīng)用被訪問(wèn)頻次等。這些問(wèn)題都可以通過(guò)流量統(tǒng)計(jì)直觀清晰地呈現(xiàn)出來(lái)，為日常的網(wǎng)絡(luò)管理帶來(lái)幫助。此外很多異常行為都會(huì)在流量上有所體現(xiàn)，管理人員可以從全局的角度提取重要維度，通過(guò)流量統(tǒng)計(jì)分析發(fā)現(xiàn)異常行為?？梢詫?duì)網(wǎng)絡(luò)中開(kāi)放的端口進(jìn)行統(tǒng)計(jì)分析，察看是否有不常見(jiàn)的端口，是否開(kāi)放了預(yù)期之外的端口，是否是攻擊者預(yù)留的后門(mén)。同時(shí)也可以對(duì)主機(jī)請(qǐng)求的域名數(shù)量進(jìn)行統(tǒng)計(jì)分析并做排序，找出域名請(qǐng)求次數(shù)特別多的主機(jī)，調(diào)查其請(qǐng)求的域名是否正常、是否中病毒，通過(guò)DGA域名和控制端進(jìn)行通信。流量統(tǒng)計(jì)模塊支持全局流量統(tǒng)計(jì)，展示各個(gè)流量探針和總體的流量趨勢(shì)圖。通過(guò)流量趨勢(shì)圖，網(wǎng)絡(luò)管理人員可以直觀地看到各個(gè)探針區(qū)域的流量大小。如果流量趨勢(shì)圖中有明顯的波峰和波谷，那么可能網(wǎng)絡(luò)中的流量有異常情況。

7.威脅管理模塊

威脅管理可分為兩個(gè)子模塊，一是實(shí)時(shí)威脅監(jiān)控與檢索，從不同維度對(duì)攻擊事件進(jìn)行監(jiān)控，并基于監(jiān)控?cái)?shù)據(jù)進(jìn)行安全性分析，發(fā)現(xiàn)網(wǎng)絡(luò)存在的威脅風(fēng)險(xiǎn)，通過(guò)查詢(xún)?nèi)罩?、流量溯源支持威脅調(diào)查取證，在此基礎(chǔ)上完成事件的運(yùn)行維護(hù)；二是威脅識(shí)別與策略分析，提供行為分析與應(yīng)對(duì)攻擊的策略、規(guī)則知識(shí)庫(kù)的配置、查看入口的功能。同時(shí)平臺(tái)應(yīng)內(nèi)置知識(shí)庫(kù)，包含積累的威脅、可疑行為檢測(cè)規(guī)則，應(yīng)支持自定義規(guī)則作為內(nèi)置規(guī)則的補(bǔ)充；內(nèi)置規(guī)則也可通過(guò)定期提供的補(bǔ)丁包進(jìn)行升級(jí)，從而應(yīng)對(duì)日新月異的攻擊手段。針對(duì)不同的維度提供威脅事件的檢索分析功能，包括基于事件和資產(chǎn)兩種視角，也可以根據(jù)關(guān)注目標(biāo)將資產(chǎn)分為業(yè)務(wù)系統(tǒng)、網(wǎng)站和終端三類(lèi)分別展示。

8.可視化模塊

可視化模塊提供了針對(duì)網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)信息的安全管理，管理人員可以從系統(tǒng)和業(yè)務(wù)的角度查看網(wǎng)絡(luò)的運(yùn)行狀況?？梢越⒚總€(gè)網(wǎng)絡(luò)系統(tǒng)和關(guān)鍵業(yè)務(wù)之間的安全視圖，用于及時(shí)查看、了解系統(tǒng)的整體安全狀況，精準(zhǔn)定位入侵和違規(guī)行為的危險(xiǎn)事件，并實(shí)現(xiàn)安全事件的追蹤。通過(guò)可視化模塊，管理人員可以及時(shí)、動(dòng)態(tài)顯示當(dāng)前業(yè)務(wù)系統(tǒng)的安全狀態(tài)，支持事件展示和告警。此外，通過(guò)對(duì)事件的實(shí)時(shí)監(jiān)控，管理人員可以自定義各類(lèi)實(shí)時(shí)監(jiān)視的場(chǎng)景，并支持場(chǎng)景的切換，以便及時(shí)發(fā)現(xiàn)安全隱患，掌握全網(wǎng)設(shè)備和業(yè)務(wù)系統(tǒng)的安全態(tài)勢(shì)。模塊能夠?qū)⒑Ａ康氖录治鼋Y(jié)果以可視化的方式形象地展示出來(lái)，包括全網(wǎng)的流量行為透視、攻擊態(tài)勢(shì)感知等。全網(wǎng)的流量行為透視呈現(xiàn)為基于時(shí)間和空間等特征值的網(wǎng)絡(luò)流量分析和行為分析，展示樞紐工程信息網(wǎng)絡(luò)流量分布情況、網(wǎng)絡(luò)連接情況、業(yè)務(wù)交互情況，監(jiān)控重要主機(jī)流量、關(guān)鍵業(yè)務(wù)系統(tǒng)流量，為優(yōu)化現(xiàn)有網(wǎng)絡(luò)、問(wèn)題排查、提升問(wèn)題解決速度、構(gòu)建有秩序的網(wǎng)絡(luò)提供可靠的技術(shù)支持；攻擊態(tài)勢(shì)感知頁(yè)面可通過(guò)多個(gè)相關(guān)的展示視圖呈現(xiàn)，包括攻擊數(shù)據(jù)統(tǒng)計(jì)視圖、攻擊地圖、攻擊關(guān)系視圖、宏觀攻擊比例視圖、重點(diǎn)受攻擊對(duì)象視圖、各安全域發(fā)起與遭受攻擊對(duì)比、安全域及業(yè)務(wù)受攻擊監(jiān)視視圖、攻擊威脅KPI視圖、攻擊趨勢(shì)圖、攻擊類(lèi)型與安全域—資產(chǎn)類(lèi)型對(duì)應(yīng)關(guān)系視圖、攻擊交互分析視圖。通過(guò)各個(gè)針對(duì)性的模式，可視化模塊能夠有效提高管理人員的工作效率。

9.全景態(tài)勢(shì)模塊

全景態(tài)勢(shì)功能以態(tài)勢(shì)感知、運(yùn)維監(jiān)控、安全治理三大主題為軸，為安全決策者及安全管理者提供宏觀態(tài)勢(shì)的感知運(yùn)維及安全治理的宏觀視圖。態(tài)勢(shì)感知需要全面感知網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)，通過(guò)全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，幫助安全人員采取針對(duì)性響應(yīng)處置措施?；谄脚_(tái)中的攻擊識(shí)別引擎、行為分析引擎所具備的網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力，能夠及時(shí)發(fā)現(xiàn)各種攻擊威脅與異常。平臺(tái)態(tài)勢(shì)感知通過(guò)多維度提供威脅調(diào)查分析及可視化能力，可以對(duì)威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進(jìn)行快速判別，從而支撐有效的安全決策和響應(yīng)，有助于管理人員建立安全預(yù)警機(jī)制，提升風(fēng)險(xiǎn)控制、應(yīng)急響應(yīng)和整體安全防護(hù)的水平。

五、結(jié)語(yǔ)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)對(duì)于江都水利樞紐網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)測(cè)和趨勢(shì)預(yù)測(cè)至關(guān)重要。以江都水利樞紐為例，分析了網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)需求，著重研究態(tài)勢(shì)感知平臺(tái)的架構(gòu)設(shè)計(jì)、數(shù)據(jù)流程處理、功能模塊等部分。下一步，江都水利樞紐將繼續(xù)完善、總結(jié)，不斷豐富信息采集類(lèi)型，加強(qiáng)數(shù)據(jù)分析與預(yù)測(cè)能力，提升網(wǎng)絡(luò)抗攻擊能力，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)早日落地應(yīng)用，為全國(guó)水利樞紐的網(wǎng)絡(luò)安全防護(hù)提供借鑒。

參考文獻(xiàn)：

[1]梁藝軍.中國(guó)人民大學(xué):高校Web網(wǎng)站安全防護(hù)策略[J].中國(guó)教育網(wǎng)絡(luò)，2015（Z1）.

[2]薛井俊，袁志波.大型水利樞紐信息資源整合共享技術(shù)研究與實(shí)踐[J].江蘇水利，2019（11）.

[3]倪旻，范菁，李晨光，等.工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)研究綜述[J].云南民族大學(xué)學(xué)報(bào)（自然科學(xué)版），2020（6）.

[4]劉健，尹恒，許文騰.網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)模型設(shè)計(jì)[J].信息技術(shù)與信息化，2022（8）.

[5]李濤.基于等級(jí)保護(hù)2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系研究[J].信息系統(tǒng)工程，2019（11）.

[6]華駿，薛井俊，袁志波.江都水利樞紐泵站智能預(yù)測(cè)預(yù)警系統(tǒng)的構(gòu)建思路[J].江蘇水利，2022（11）.

[7]徐健，李國(guó)忠，徐堅(jiān)，等.智慧水利信息平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)——以福建省沙縣智慧水利信息平臺(tái)為例[J].人民長(zhǎng)江，2021（1）.

[8]蔡陽(yáng)，謝文君，程益聯(lián)，等.全國(guó)水利一張圖關(guān)鍵技術(shù)研究綜述[J].水利學(xué)報(bào)，2020（6）.

作者：魏來(lái) 華駿 袁志波 單位：江蘇省水利信息中心 江蘇省江都水利工程管理處