网络安全态势感知平台

摘  要

近年来各种网络安全事件频繁发生，人们越发关注网络安全防御体系的建设，对安全防护工作愈发重视，坚强的网络安全防御体系已经成为众多企事业单位构建信息内网的目标。网络安全态势感知是信息安全管理方面的一项重要技术，是多项安全技术的复合与增强，它强调对网络安全态势变化的实时捕获，并据此评估网络安全情况。具体来说，是通过技术手段从时间和空间维度来感知并获取安全相关元数据，通过数据信息的融合分析动态反映网络安全状况并预测其未来的发展趋势，最终为增强网络安全性提供可靠的决策支持。

关键词：网络安全态势感知 多源数据融合 态势评估 态势预测

1 系统背景

1.1 系统建设目的

面对越来越高的内外部安全风险，现有的安全设备各自为战，可以应对单一安全威胁。这种现状导致各安全设备不能协同工作的局面，严重制约了信息安全防护水平的提升，同时也对运维人员提出了非常高的专业技术能力要求。随着技术的进步和观念的改变，IT资源本身的安全管理不再是唯一的目标，核心需求变为要保障IT资源所承载的信息系统的安全性和可靠性。要保障信息系统安全，就需要建立一个集中的安全态势感知平台，以资产为核心，以安全事件管理为关键流程，建立一套实时的风险控制模型，协助系统管理员进行事件分析、风险分析、预警管理和应急响应处理。

网络安全态势感知平台，实现收集、关联和实时分析各种信息安全监测数据和安全检查等安全数据，通过高效专业化支撑平台和先进监测工具及时发现、识别安全事件，及时掌握政务外网整体安全态势，了解针对某地区的网络攻击、网站篡改和异常行为等信息安全事件，为告警、安全事件处置提供丰富的数据支撑。

网络安全态势感知平台的建设目标主要包括以下内容：

l 集中管理：目前电子政务外网中部署了具备独立防护功能的安全系统，在防护功能上相对独立并缺少联系，需要集成化的平台技术手段实现对各类异构安全防护系统的集中化管理，实现网络、系统、应用各层面安全防护系统的集中接入和运行状态的集中管理，将原本孤立的安全防护手段纳入到统一的平台管理架构中。

l 集中监控：安全态势感知平台通过资产上发现的威胁事件进行集中监控处置，实现对各类安全风险的快速定位和分析处理，甄别源头和成因、还原事件的发生过程、评估风险的影响范围、为安全监控运维管理提供可依据的技术手段。

l 集中运维：安全态势感知平台借助流程化的安全运维处理机制，实现各类安全运行维护问题的集中下发、处理、跟踪和复核，能够有效的支持安全运维工作。

l 集中支援：安全态势感知平台能够为安全事件的定位、成因分析和溯源提供必要的数据支持；可以针对导致安全事故发生的已知威胁提供可靠的解决方案。

1.2 系统建设内容

网络安全态势感知平台的建设目标是通过安全事件监测、分析、响应、处置和安全管理流程整合，建立起包括事件分析、风险分析、预警管理、合规性管理、安全绩效考核和应急响应处置等一体化集中管控和安全运行的自动化支撑平台，从而更好的掌控电子政务外网的安全态势，并构建由人、技术和管理三个元素组成的安全运行组织体系，形成电子政务外网事前防范、事中监控、事后追溯的闭环安全运行管理体系。

网络安全态势感知平台依据等级保护的思想和适度安全的原则，将信息安全风险管理目标转化为可测量、可验证的信息安全风险管理指标体系，并以其为依据，全面收集与信息安全风险管理相关的指标数据，综合分析电子政务外网IT系统所面临的信息安全风险，指导、监督、检查信息安全措施的执行和落实情况。

通过网络安全态势感知平台建设，最终达到提升电子政务外网信息安全综合管控能力，保障生产系统安全可靠运行的目标，具体目标表现在以下四个方面：

l 分析决策：对电子政务外网各信息系统风险管理数据进行收集和分析，为决策层提供决策支持。

l 风险管理：向管理层展现目前所面临的信息安全风险状况，为信息安全风险管理的规划提供数据支撑。

l 处置响应：向执行层提供日常信息安全风险管理数据的收集、整理、关联分析和解决措施建议服务。

l 能力提升：收集和分析历史数据，全面展现一段时期内信息安全风险管理的对比情况，以确认信息安全风险管理是走在一个不断提升的良性发展轨道上。

通过建设安全态势感知平台，积极促进“集中管理、统一协调”、“业务协同、资源共享”、“工作常态化、自动化”等信息安全管理目标的实现。

通过部署各类安全检测设备，开发数据采集系统完成安全监测数据的采集，通过大数据分析、风险分析等手段进行数据的综合安全分析，通过应用支撑系统建设，开发WEB安全监测、知识库等功能来支撑实际业务开展，并通过安全态势提供直观、易懂的可视化效果，实现实时的安全状态获取与展示。

1.3系统范围

管理的资产类型主要包含以下类别：

资产类型

类型

相关模块

网络设备

路由器、交换机

安全态势、安全巡检、基线核查、漏洞扫描、问题管理、高级威胁监测、知识库

安全设备

防火墙

安全态势、漏洞扫描、问题管理、高级威胁监测、知识库

操作系统

CentOs 、Windows

安全态势、安全巡检、基线核查、漏洞扫描、问题管理、知识库

中间件

Tomcat、IIS、Nginx 、Weblogic

安全态势、安全巡检、基线核查、漏洞扫描、问题管理、知识库

数据库

Mysql、SqlServer、Oracle、PostgreSQL

安全态势、安全巡检、基线核查、漏洞扫描、问题管理、知识库

其它

网站

WEB安全监测

1.4 技术标准与规范

《信息安全等级保护管理办法》

《信息系统安全等级保护实施指南》

《信息系统安全等级保护基本要求》

《网络基础安全技术要求》（GB/T 20270-2006）

1.5 术语与缩写解释

Sensor：数据采集引擎，用于任务的下发

安全巡检：安全巡检功能模块指代安全异常信息分析功能模块

基线核查：基线核查功能模块指代安全基线核查功能模块

漏洞扫描：漏洞扫描功能模块指代安全漏洞检测功能模块

安全态势：综合系统中各类信息以衡量系统安全性的指标

2 需求分析

2.1 现状分析

近年来，随着我国信息化建设的不断推进及信息技术的广泛应用，在促进经济发展、社会进步、科技创新的同时，也带来了十分突出的信息安全问题。面对我国信息安全问题日益严重的现状，国家层面陆续出台了相关的网络信息安全保护政策和法律法规。各行各业根据不同时代，威胁对象及方法的不同，都在不断完善自身的安全建设。

网络安全态势感知是网络安全发展的一个重要趋势。2016年4月19日，习近平主持召开网络安全和信息化工作座谈会，习总书记强调“全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。”由此可见，从国家层面，已经认识到网络安全态势感知在信息安全建设中的需求。

根据目前我国信息化建设的现状和要求，中共中央办公厅和国务院办公厅转发了国家信息化领导小组制定的《国家信息化领导小组关于加强信息安全保障工作意见》（中办发[2003]27号）。中办发[2003]27号文明确提出了要“建设信息安全监控体系，及时发现和处置网络攻击，防止有害信息传播，对网络和系统实施保护。

2012年6月28日《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)中明确指出健全安全防护和管理，保障重点领域信息安全以及加快能力建设，提升网络与信息安全保障水平为后期的工作重点，要“提升网络与信息安全监管能力。完善国家网络与信息安全基础设施，加强网络与信息安全专业骨干队伍和应急技术支撑队伍建设，提高风险隐患发现、监测预警和突发事件处置能力。”

XX区电子政务外网经过多年的建设，并通过这两年的建设，已经对电子政务外网的网络进行了优化，并且在安全防护上做了相应的改进。

2.2 系统管理需求

目前XX区数据统筹办和下级单位所使用的防火墙、入侵检测、服务器等设备分别属于多家厂商，目前处于各自为政的分散管理状态。通过安全态势感知平台的建设，可以实现对于现有各类资产的集中管理。

2.2.1 集中监控需求

安全态势感知平台通过对各类资产产生的威胁事件进行集中监控，实现对各类安全风险的快速定位和分析处理，甄别威胁产生的源头和成因、还原事件的发生过程、评估风险的影响范围，为后期的运维和处置提供可依据的技术手段和数据支撑。

2.2.2 集中运维需求

安全态势感知平台借助流程化的安全运维机制，实现各类安全问题的集中下发、处理、跟踪和复核；安全态势感知平台应实现对安全运维工作过程的有效支持。通过积累使用者的安全经验，有针对性地提供安全运维所需的知识，实现对安全运维工作的科学化支持。

2.2.3 集中支援需求

安全态势感知平台，应能为安全事件发生时的定位、影响范围提供必要的数据支持；同时能够对导致安全事件发生的已知威胁提供处置方式和溯源定位的能力。

2.3 系统功能需求

安全态势感知平台的部署和应用与信息化发展息息相关，根据调研市场主流的安全厂商和客户群体，2010年之后在金融、政务等信息化发展水平较高的行业中，安全态势感知平台已经逐步得到了应用。在政务行业，很多部门都建立了面向政务体系的安全态势感知平台，实现对政务网络、重要信息系统的安全监控和管理，用于了解政务信息安全状况。

根据行业特点，对于安全态势感知平台系统的需求主要包括安全态势需求、基线核查需求、安全巡检需求、漏洞扫描需求、问题管理需求、高级威胁事件分析需求、采集管理需求、资源管理需求、系统自身管理需求等，详细需求参考如下描述。

2.3.1 安全态势需求

安全态势感知平台系统应该具有显示实际安全状态和实时风险指数的功能，并且能够多维度的进行风险计算并展示计算结果；同时能够综合的考虑脆弱性、威胁、漏洞等多方面的因素，结合资产的价值，评估出最符合当时场景的安全指数。同时，系统具有评估防护措施有效性的功能，可以通过对比防护措施控制前后的安全指数来衡量防护措施的有效程度。

安全态势感知平台系统需要对客户的综合安全指数据进行呈现。可按照使用人员角色的不同呈现不同的内容，便于不同层级的用户把握管理范围内客户的安全情况。

XX区数据统筹办对下级单位的安全状态具有管理和监督的职责，所以数据统筹办期望能够掌握整个区的整体安全状态；而下级单位则需要了解自身的安全情况，提高风险隐患的整改能力。

安全态势页面配色和谐，操作流畅，布局合理，能够保证用户得到良好的用户体验。

2.3.2 基线核查需求

电子政务外网业务系统运行在规模庞大、结构复杂的各类IT基础设施上，除了采用先进信息安全防护技术与存储手段对设备进行主动防护外，还需要依托安全态势感知平台建立脆弱性管理模块，对系统配置进行检查和修复，实现对IT基础设施的全面安全防护，保障业务基础支撑资源受到完善的安全防护管理。

数据统筹办期望能够对自身和下级单位的基础设施进行安全合规性检查，可以将发现的问题下发给问题单位，并要求其限期整改，同时对整改的结果及时复核；同时，期望能够对整改的过程进行跟踪，便于后续的问题管理和绩效考评。

2.3.3 安全巡检需求

采集现有的主流操作系统、网络设备、数据库和中间件的运行信息，对账户异常、异常访问等进行分析，发现运行过程中的安全隐患。

依托安全态势感知平台的巡检基线，通过定期执行巡检任务可以及时发现设备在运行过程的威胁，并对出现威胁信息的资产进行标记，便于后续的跟踪和处置。

安全巡检属于周期性业务，系统可以按照客户指定的时间周期性地自动执行任务，减少了用户的操作，提高了工作效率。

2.3.4 漏洞扫描需求

客户期望能够扫描到基础设施上存在的安全漏洞，实现对主流操作系统、网络设备、数据库和中间件的漏洞发现能力，并在平台进行统一分析和展示。

客户期望能够掌握安全漏洞的整体情况。系统提供最近一次检查得到的不同级别的漏洞的分布情况、漏洞的类别的功能，提供查看漏洞的详细信息的功能，同时以图表的形式，展示现有漏洞的等级、数量、类型等分布情况，便于用户从整体层面把握安全漏洞业务的实际情况，利于后续分析处置，效果直观易懂。

2.3.5 问题管理需求

为了确保安全运维工作的规范性和时效性，客户期望能够通过安全态势感知平台系统对系统中发现的问题进行统一的下发，落实问题定位、责任到人的管理流程。将现有的线下问题通报流程线上化，遵守有据可查、有章可依的管理制度，为业务运行保驾护航。

其主要诉求在于：

L 规范化：通过安全态势感知平台系统落实问题的管理工作，规范化运维工作中的问题处置的流程。

l 系统化：通过安全态势感知平台系统对不合规项、漏洞等问题进行统一的管理，提升工作效率。

l 可跟踪：通过安全态势感知平台系统对问题的处置情况跟踪，了解问题处置现状。

l 提升效率：通过安全态势感知平台系统支持漏洞、脆弱点等问题的管理工作，规范工作流程，实现数字化的问题管理体系，有效提升工作效率。

3 设计概述

3.1 系统概述

网络安全态势感知平台的建设目标是通过对安全事件监测、分析、响应、处置和安全管理流程整合，建立起包括事件分析、风险分析、预警管理、合规性管理、安全绩效考核和应急响应处置等一体化集中管控和安全运行的自动化支撑平台，从而更好的掌控XX区电子政务外网的安全态势，并构建由人、技术和管理三个元素组成的安全运行组织体系，形成电子政务外网事前防范、事中监控、事后追溯的闭环安全运行管理体系。

3.2 设计目标

对于网络安全态势感知平台系统的需求主要包括安全态势需求、基线核查需求、安全巡检需求、漏洞扫描需求、问题管理需求、高级威胁事件分析需求、采集管理需求、资源管理需求、系统自身管理需求等约束和假定。

3.3 用户约束

本系统面向的用户是网络安全态势感知平台的运维人员，用户具有基本的平台操作能力，能够对系统数据进行增加、修改、删除、查询等操作。用户操作客户端是IE8以上、火狐、谷歌等主流浏览器中的一种或多种。

4 系统设计

4.1 系统总体框架

网络安全态势感知平台按照功能划分为展示功能、操作功能、支撑功能。展示功能包括安全态势中的整体安全态势与各下级单位安全态势，通过不同的维度，更好的帮助管理层以及决策层把控问题，且实现安全态势的度量和感知。

网络安全态势感知平台的操作功能包括：对“基线核查”、“漏洞扫描”、“安全巡检”任务的管理与问题的管理，实现了发现问题、下发问题、落实问题、上报问题的流程线上化，并且遵循相关的管理制度，为业务的正常运转起到至关重要的作用。高级威胁分析是通过监控互联网出口的流量，检测WEB异常、邮件异常、C&C异常、隐蔽通道、恶意代码/恶意文件等网络异常行为，并根据这些识别出的异常行为最终判定网络中存在的威胁事件。Web安全检测通过监测系统范围内网站的页面挂马、页面篡改、敏感内容、实现安全事件的智能检测和发现，为网站运营单位安全整改加固提供依据，及时发现安全事件，便于网站运营单位开展应急处置，控制影响范围。

网络安全态势感知平台的支撑功能主要包括知识库管理、资源管理、和系统管理。知识库管理是为了对平台运行和日常工作过程中的知识进行积累，帮助运维人员后期进行学习，并在处置时进行借鉴。资源管理是安全态势感知平台的核心模块，组织并存储了安全态势感知平台的所管理的资源信息。

4.2 数据采集设计

数据采集包括状态信息采集、配置采集、漏洞采集、日志采集和原始流量采集。

日志采集器负责日志采集，流探针负责原始流量采集。日志采集流程包括日志接收、日志分类、日志归一化和日志转发。流量采集流程包括流量采集、协议解析、文件还原和流量元数据上报。

同时通过对服务器、网络设备的配置信息、漏洞信息和状态信息采集，依托智能分析和评估模型，快速发现现有业务系统中存在的脆弱点，并给出对应的安全加固解决建议，实现网络安全环境的持续改善。

4.2.1 日志采集

通过优化的多管道并发处理机制，实现日志/事件的高性能采集和预处理，主要功能包括：

l Syslog日志采集

支持采集第三方系统（ArcSight）和安全设备（Firehunter）的Syslog日志；

支持将采集的第三方Syslog日志格式化为系统统一的归一化数据格式；

支持将归一化的日志转发给大数据安全平台；

支持按配置的大数据平台接收IP轮询发送归一化后的Syslog日志；

l Netflow数据采集

支持采集网络/安全设备上报的Netflow数据；

支持将采集的Netflow数据转发给大数据安全平台；

支持按配置的大数据平台接收IP轮询发送归一化的Netflow日志；

4.2.2 流量采集

通过优化的DPI技术高效提取原始流量的协议特性，实现高性能的流量数据采集和协议还原，流量采集主要功能包括：

l 协议解析：

Ø HTTP协议解析：支持解析HTTP 0.9, 1.0, 1.1版本的应用协议信息，包括请求主机名、应答码、Refer、User-Agent、请求URL、上传/下载的文件名；

Ø 邮件协议解析：支持解析SMTP/POP3/IMAP4的应用协议信息，包括收件人、发件人、邮件主题、邮件附件名称、邮件正文；

Ø DNS协议解析：支持解析DNS流量的应用协议信息，包括请求的域名/IP、RR类、RR类型、资源记录缓存时间、响应延迟、资源记录中的IPV4/IPV6地址

l 文件还原：

Ø HTTP文件还原：支持还原通过HTTP协议上传/下载的文件还原；

Ø 邮件附件还原：支持还原通过SMTP/POP3/IMAP4协议发送的邮件的附件还原

l 流量抓包：

支持按照抓包规则进行抓包，并保存成PCAP文件；

4.2.3 配置采集

配置脆弱性是指系统中的某项不符合合规标准的配置，涉及到身份鉴别、安全审计、剩余信息保护、入侵防范、访问控制、资源控制等类型，利用这些脆弱性能够使得未授权人员访问并获得主机存放的敏感信息，或者破坏系统，损坏文件，从而造成损失。配置采集根据不同的设备类型采用不同的协议、通过特定的配置规则，检测目标资产以发现可能存在的配置脆弱性。主要功能如下：

l 配置库

配置库主要用来存放从第三方得到的配置信息，当前主要来源为：美国国家漏洞库（NVD），以CCE作为唯一标识，中文标题、描述、手工检查方法、手工加固方式来自于人工翻译，配置库涵盖全部检查的配置项。

l 配置基线库

配置基线库主要用于存放CCE列表给定的初始建议，或来自于CIS（Center For Internet Security：互联网安全中心）的安全基线（Security Benchmarks），从这两种来源获取的基线经审核后得到的为基线标准库。系统提供参考基线标准库，针对库中部分配置，为资产制订标准基线。基线库中所有基线与CCE相关联，作为基线与配置关联点。

4.2.4 漏洞采集

通过高效并发的采集方式，实现对主流操作系统、数据库和Web中间件的漏洞发现和分析能力，为运维提供可视化性已更高效的开展工作，并减少成本。主要功能为：

l 高效的漏洞收集能力

通过分布式、并发的采集引擎，提供高效的漏洞发现能力；

l 最及时的漏洞信息

参照CNNVD标准，及时、准确的更新内外最新的漏洞库，并提供完善的漏洞加固建议和解决方案。

4.2.5 状态信息采集

一期工程已设置低周低压减载装置3台，出口数量满足本站终期规模要求，本期无扩建内容。

状态信息采集对主流操作系统、网络设备、数据库和中间件在满足业务正常运行的前提下，使用与资产类型相匹配的协议，获取具体资产的信息。主要设计如下：

l 支持多种采集接口的适配

通过标准的管理协议、接口，与主机、网络等设备进行通讯，实现资源驱动管理功能。可采用标准接口包括TELNET、SSH（用户名/密码认证、公钥认证）、SNMP、FTP、SMB等；

l 支持多种部署方式

根据用户网络情况的不同，支持分布式和集中式数据采集方式，并在数据传输过程中采用加密处理，保证数据的安全性；

l 完善的状态信息

系统进程、端口、服务、共享、账户、磁盘、CPU、内存等；

4.3 安全分析设计

4.3.1事件关联分析原理

关联分析主要通过挖掘事件之间的关联和时序关系，从而发现有效的攻击。关联分析采用了高性能的流计算引擎，关联分析引擎直接从分布式消息总线上获取归一化日志装入内存，并根据系统加载的关联规则进行在线分析。

系统预置了一部分关联分析规则，用户也可以自定义关联分析规则。当多条日志匹配了某一关联规则，则认为它们之间存在对应的关联关系，输出异常事件，同时将匹配用到的原始日志记录到异常事件中。

4.3.2 流量基线异常检测原理

流量基线异常检测主要解决网络内部的主机/区域之间（内外区域之间、内网区域与互联网之间、内网主机之间、内网主机与互联网之间、内网主机与区域之间）的异常访问问题。流量基线是指网络内部主机之间、区域之间或者内外网之间的访问规则，包括指定时间段内是否允许访问、访问的频次范围、流量大小范围等。

流量基线可以有两种来源：系统自学习和用户自定义配置。流量基线自学习，就是系统自动统计一段时间内（比如一个月）网络内部各主机、区域以及内外网之间的访问和流量信息，以此访问和流量信息为基础（对于流量数据，还会自动设置合适的上下浮动范围），自动生成流量基线。用户自定义流量基线：用户手工配置网络内部各主机、区域以及内外网之间的访问和流量规则。

流量基线异常检测将自学习和用户自定义的流量基线加载到内存中，并对流量数据进行在线统计和分析，一旦网络行为与流量基线存在偏差，即输出异常事件。

4.3.3 大数据安全分析

大数据安全分析包含web异常检测、邮件异常检测、C&C异常检测、隐蔽通道异常检测和威胁判定。

l WEB异常检测

WEB异常检测主要用于检测通过WEB进行的渗透和异常通信，从历史数据中提取HTTP流量元数据，通过分析HTTP协议中的URL、User-Agent、Refer和上传/下载的文件MD5等信息，并结合沙箱文件检测结果，离线挖掘和检测下载恶意文件、访问不常见网站和非浏览器流量等异常。

l 邮件异常检测

WEB异常检测主要从历史数据中提取邮件流量元数据，通过分析SMTP/POP3/IMAP协议中的收件人、发件人、邮件服务器、邮件正文、邮件附件等信息，并结合沙箱文件检测结果，离线挖掘和检测收发件人异常、下载恶意邮件、访问邮件服务器、邮件正文URL异常等。

l C&C异常

C&C异常检测主要通过对的DNS协议流量的分析检测C&C通信异常。C&C异常检测采用机器学习的方法，利用样本数据进行训练，从而生成分类器模型，并在客户环境利用分类器模型识别访问DGA或Fast-Flux域名的异常通信，从而发现僵尸主机或者APT攻击在命令控制阶段的异常行为。

l 隐蔽通道异常检测

隐蔽通道异常检测主要用于发现被入侵主机通过正常的协议和通道传输非授权数据的异常，检测方法包括Ping Tunnel、HTTP Tunnel、DNS Tunnel和文件防躲避检测。

Ping Tunnel检测是通过对一个时间窗内同组源/目的IP之间的ICMP报文的载荷内容进行分析和比较，从而发现Ping Tunnel异常通信。

HTTP Tunnel检测是通过对一个时间窗内同组源/目的IP之间的HTTP报文协议字段进行分析和比较，从而发现HTTP Tunnel异常通信。

DNS Tunnel检测通过对一个时间窗内同组源/目的IP之间的DNS报文的域名合法性检测和DNS请求/应答频率分析，从而发现DNS Tunnel异常通信。

文件防躲避检测通过对流量元数据中的文件类型的分析和比较，从而发现文件类型与实际扩展名不一致的异常。

l 威胁判定

威胁判定根据多个异常进行关联、评估和判定产生高级威胁，为威胁监控和攻击链路可视化提供数据。威胁判定按照攻击链的阶段标识/分类各种异常，并以异常发生的时间为准，通过主机IP、文件MD5和URL建立异常的时序和关联关系，根据预定义的行为判定模式判定是否高级威胁，同时根据相关联的异常的严重程度、影响范围、可信度进行打分和评估，从而产生威胁事件。

4.3.4 恶意代码/文件检测

本期工程3#主变按侧配置0.5S级全电子式多功能电能表，布置于原主变电度表屏备用位置即可，35kV出线、10kV出线、电容器配置0.5S级全电子式多功能电能表，安装在开关柜上。

本工程一期已配置1台电量采集装置，满足终期规模要求，本期不再考虑。

4.3.5 风险分析

风险分析主要包括威胁分析、脆弱点分析和系统整体风险分析。

l 威胁分析

威胁分析针对高级威胁监测分析获取的安全事件进一步分析，将安全事件转化为可量化、可评估的具体威胁数值。

l 脆弱性分析

脆弱性分析针对安全巡检、基线核查和漏洞扫描获取的漏洞或者脆弱点信息进行整理，并进一步分析，将任务结果转化为可量化、可评估的具体脆弱性数值。

l 系统整体风险分析

系统整体威胁分析考虑多重因素的综合影响对系统安全现状进行评估。考虑的因素有资产的价值，资产的威胁数值，资产的脆弱性数值，业务系统的价值等参数。

4.3.6 巡检分析

平台安全巡检功能提供对主流操作系统、网络设备、数据库和中间件的信息采集，采集账户、端口、进程、服务、共享信息。

平台提供巡检分析功能，分析各类操作系统和网络设备运行信息（如进程变化、端口变化、服务变化和账号状态等），发现运行过程中的安全隐患。通过监测可以及时发现可疑的相关类型（如可疑账户、可疑进程），并分析出现可疑信息的可疑资产。

4.4 角色权限设计

image.png

系统内置三个角色：审计员、管理员和操作员。每个单位配备一个角色：运维员。数据统筹办作为特殊单位，具备以上四种角色，可以对其他单位进行管理。

审计员：管理审计日志

管理员：系统配置，知识库升级，用户管理，组织机构管理，sensor管理

操作员：资源管理，任务制定，问题下发，知识库查看，安全态势，高级威胁监测分析，web安全监测

运维员：知识库查看，资源查看，问题查看和问题处理

角色对应功能模块图：

image.png

4.5 公共组件设计

l 复用的公共构件：

MyBatis代码生成组件、阿里数据源。

l 贡献的公共构件：

分页组件：用于分页的统一处理。

5 错误与日志

5.1 错误处理

本系统采用统一的错误处理机制，所有的错误、异常由统一的拦截器拦截并记录日志。发生页面错误跳转到专有的错误提示页面进行用户提示。

5.2 审计日志

审计日志采用Spring AOP结合自定义注解方式处理，需要在每个控制类中增加AuditlogDes注解，并说明此方法所属的模块和具体操作。并通过java的事件驱动模式定义多种审计日志发送方式，可记录到本系统的审计日志表中，也可以通过syslog等方式发送到第三方审计系统。

6 系统非功能设计

6.1 安全性设计

对资产的用户名、密码等信息进行加密存储，以防止信息泄露。

系统的访问采用ssl验证方式部署，有效保证数据传输中的数据安全。

数据采集采用加密方式进行数据传输，防止数据在传输中的信息泄露。

系统对操作进行追踪调查、记录并进行分类，具有日志记录和日志审计功能。

6.2 可扩展性设计

功能方面：

系统采用当前流行的面向服务架构，各个模块间以服务的方式存在，可以方便的增加或者删除功能。

Sensor采用分布式部署，可根据需要随时添加和移除节点。

6.3 性能设计

采用数据库连接池来提供数据库的访问性能；

基础数据采用本地缓存的方式，提高基础数据的查询速度；

持久层采用MyBatis，可以对SQL语句进行优化，以提高查询速度，并可以在系统的运行过程中不断的进行优化。

6.4 存储备份设计

对需要备份的数据和备份服务器间采用光纤进行连接，且配备千兆网卡。

对于日志数据可采用定期人工备份，对于业务数据采集定期备份策略，每天进行增量备份，每周、每月进行全备。

致  谢

本论文从选题、设计经历了较长时间，在这段时间得到了老师、同事、朋友以及领导的帮助和支持，在此深表感谢！

首先特别感谢我的毕业设计指导老师延边大学的老师，从论文的修改到最后的定稿，都凝注了指导老师的心血。指导老师渊博的知识、独到的见解都令我颇感敬佩，使我受益匪浅。指导老师对事业的孜孜以求的精神以及高尚的品格，深深影响着我，并为我以后的人生道路，尤其是工作方面，指出了光明的航向！我虽然即将毕业，但指导老师的谆谆教诲，我会永远铭记心中！在此，我要再次向指导老师表示深深的敬意和由衷的感谢！

还要对所有授课老师表示深深的谢意！正是他们的教导，才能使我的知识得以丰富，使我的视野得以拓宽，使我的自身修养得以提高！感谢各位到场专家，是你们在百忙之中抽出时间来对我的论文进行指导，你们的意见和建议将是我一生的财富！感谢所有帮助过我的人们！

感谢我的同事，在我的论文撰写期间给予我工作和生活上的大力支持和帮助。

最后，再次向所有关心我、帮助我、支持我的人们表示深深的谢意！

参考文献

[1] 胡威. 网络安全态势感知若干关键性问题研究[D]. 上海： 上海交通大学， 2007.

[2] 王军英， 马国青. 企业信息安全分析分析及对策[J]. 农电网络信息， 2010（7）：71-73.

[3] 韦勇， 连一峰. 基于日志审计与性能修正算法的网络安全态势评估模型[J]. 计算机学报， 2009， 32（4）：763-771.

[4]  王晋东， 沈柳青， 王坤. 网络安全态势预测及其在智能防护中的应用[J]. 计算机应用， 2010， 30（6）：1480-1488.

[5] 朱周华. 电子政务网络与信息安全保障体系设计[J]. 微计算机信息， 2009（9）.

[6] 朱丽娜， 张作昌， 冯力. 层次化网络安全威胁态势评估技术研[J]. 计算机应用研究， 2011， 28（11）：4303-4306.  

[7] 赵国生， 王慧强， 王健. 基于灰色关联分析的网络可生存性态势评估研究[J].小型微型计算机系统， 2006， 27（10）.

[8] 凯维斯（Kavis，M.J.美国）.让云落地云计算服务模式（SaaS、PaaS和IaaS）设计决策[M].陈志伟，辛敏，译.北京：电子工业出版社，2016.

以上就是关于《网络安全态势感知平台》的相关内容，想了解更多毕业论文资讯，敬请关注《山东毕业论文指导网》。如您有论文需求或投稿，欢迎发送邮件至：1624136919@qq.com，也可在下方表单信息中填写您的信息，便可得到专业解答哦！〜(✿◠‿◠✿)〜