当今世界,网络已经渗透到社会的方方面面,成为社会顺畅运行不可或缺的要素,深刻影响着人们的日常工作和生活。随着城市的飞速发展,尤其是智慧城市建设的快速推进,城市网络空间的规模不断扩大,与此同时,一些个人和组织也常常利用网络漏洞实施攻击和入侵行动,非法窃取敏感信息,以期获得政治、军事、经济等方面的不当利益,网络空间安全形势严峻。
党和政府对网络空间安全高度重视,国家互联网信息办公室发布的《国家网络空间安全战略》,提出“坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作”九项战略任务。作为一家信息产业央企,普天积极响应国家网络空间安全战略要求,充分发挥信息技术国家队优势,以智慧城市建设为抓手,组织精干力量开展网络空间安全方案编制和产品研发工作,成功推出了普天网络空间态势感知系统,并紧密围绕智慧城市建设开展了多个项目应用。
系统简介
普天网络空间态势感知系统利用大数据采集、存储、分析技术,通过收集多种安全数据,将各类安全数据进行关联分析,采用大数据可视化手段,将空间资产、关键基础设施、重点网站和系统脆弱性等对象的安全态势进行可视化展示,实现对城市网络空间安全的检测、预警、溯源。系统在总体架构上分为数据采集层、应用分析层和可视化展示层,如图1所示.
图1 系统总体架构
系统通过识别工具收集网络资产、关键基础设施、网站、DDOS攻击等数据,通过数据分析模型对采集后的各类数据进行分析,再可视化展示网络资产、关键基础设施、web应用、DDOS攻击等态势分布。
系统在技术架构上采用基于JavaEE的分层结构,以实现低耦合、高扩展性的架构策略,如图2所示。底层是数据采集的对象,中间是采集的工具,上层是数据分析和展示。
图2 系统技术架构
系统可部署于数据中心或运维中心的管理区,部署简单、易操作,部署架构如图3所示。
图3 系统部署架构
系统支持对内网和外网的扫描与监控,扫描策略灵活配置,监控界面友好,展示方式多样。
系统扩展性良好,目前主要有4个采集功能:关键基础设施扫描系统、漏洞扫描系统、web应用监测综合分析平台和抗DDOS防火墙。根据应用的需要,系统还可扩展其他功能,如物联网终端管控、移动安全管控等功能。
系统用户包括监管机构以及政府、金融机构、大型企业等。对于监管机构,系统支持从国家层面,或者是省市大地域层面,关注与国计民生相关的关键基础设施,对它们的安全态势进行整体监测。对于政府、金融机构、大型企业,系统支持对内部有价值的核心资产、业务系统,从日常的安全工作角度出发,发现各类威胁与内部异常违规,及时解决问题,保证业务系统安全运行;支持对下属各级单位和部门的监管,掌握整体安全态势;支持在事件应急处置及威胁情报方面与监管机构开展合作。系统应用可以全面强化对城市网络空间安全风险的把控能力。
系统功能
普天网络空间态势感知系统的功能主要有网络空间态势感知、Web应用监测分析、网络空间资产识别、关键基础设施监测、DDOS攻击检测等。
网络空间态势感知
网络空间态势感知是在城市网络空间环境中,对能够引起网络态势发生变化的要素进行获取、理解、评估、显示以及对未来发展趋势的预测。网络空间态势感知可独立工作,并提供信息共享,通过海量多样的信息带来丰富而准确的分析结果,为风险评估、决策制定提供支持。
网络空间态势感知通过网络空间的信息采集系统,支撑网络空间安全态势感知,根据态势感知的分析结果,有效支撑安全决策。其功能如图4所示。
图4 网络空间态势感知功能
Web应用监测分析
Web应用监测分析集网站上的内容变更监测预警、页面敏感词预警、暗链监测预警、黑名单监测预警、挂马监测预警、错误页和连接错误监测预警等为一体,实现全面的Web应用监测。Web应用监测采用高效的网站诊断监测技术对目标网站进行监测,针对网站进行采集、分析、预警、统计,通过强大的对比分析技术,及时反应网站变化情况,及时监测网站危害性信息以及敏感信息,并以立体感图片墙的形式展现出来。如果网页发生异常变化,则平台会在线发送实时提醒并邮件发送告警信息给网站联系人邮箱。其功能如图5所示。
图5 Web应用监测分析功能
网络空间资产识别
网络空间资产识别具有对网络上的设备的扫描、发现、识别、分类、记录等功能,并提供便于调用的接口形式,以便和其它系统快速、便捷、稳定地集成。可扫描的设备涵盖通用设备、网络安全设备、通信设备、无线设备、物联网设备、工控设备6类,共42小类。可扫描的服务包含基础服务、中间件服务、邮件服务、Web应用服务、数据类服务、工控服务6类。其功能如图6所示。
图6 网络空间资产识别功能
关键基础设施监测
关键基础设施监测针对用户自行定义的关键基础设施数据库,以及漏洞库、风险信息库,实现对关键基础设施的扫描和安全风险监控,能够概览显示全国基础设施地理位置分布、关键基础设施类型分组比率、按漏洞分组数据、关键基础设施数量变化、漏洞数量变化等。其功能如图7所示。
图7 关键基础设施监测功能
DDOS攻击检测
DDOS攻击检测为被动模式侦听分析,通过收集网络设备上的数据流量进行分析,判断出攻击源IP、源IP所在省份、攻击目标IP、攻击目标所在省份、开始攻击时间、结束攻击时间,识别出DDOS攻击模式后进行显示。其功能如图8所示。
图8 DDOS攻击检测功能
方案亮点采用分布式网络扫描技术
该方案采用分布式网络扫描技术,使网络资产的扫描不再受网络地域的局限,实现了跨地域对多网络同时进行扫描,同时也大大降低了对网络带宽资源的占用;通过负载均衡扫描,提高了扫描速度,并加强了扫描过程的安全性,实现了网络空间资产的快速、高效匹配。
定义了网络资产全分类模型
归纳定义了网络资产全分类模型,该模型以当前网络资产为基础,以资产识别指纹库为依托,构建了可扩充、可扩展的全网络资产模型架构和理论。并以此理论为技术基础,指导形成系统研发业务功能。
遵从国际标准漏洞库、弱点库
遵从国际标准漏洞库、弱点库,基于网络资产特征匹配技术并结合漏洞匹配技术,动态对网络关键基础设施进行风险评估,判断其脆弱性,可有效提高网络风险评估的准确度与实时性,进而根据风险评估结果实施安全防御措施,及时、有效地控制风险。
采用主动网站扫描模式、用户可设置特征指标、网站爬虫技术
采用主动网站扫描模式和用户可设置的特征指标,结合自行开发的网站爬虫技术,实现了对Web网站安全性、数据变化、性能三大指标的数字化监控,随时跟踪提取用户关注的网站信息并可通知报告。
采用数据分析技术、GIS技术、Web矢量图表技术、数据推送技术
基于数据分析技术、GIS技术和Web矢量图表技术,将传统的数据分析报告转换为Web图表,直观、动态地呈现出来。采用数据推送技术,实时将结果发送到前端,方便用户观看。
系统应用湖南龙山智慧城市网络空间安全应用
龙山县隶属于湖南省湘西州,辖5个街道、10个镇、5个乡。目前城市管理逐步由数字城市向智慧城市发展,智慧城市的一个重要指标就是能自动对城市的状态进行实时、透彻、全方位地了解和感知,而这就是网络空间态势感知。龙山县在云计算中心通过采用普天网络空间态势感知系统,借助图形化的方式直观地展示各地区的安全态势分布。图9为应用界面。
图9 龙山县网络空间安全态势分布
山东高青智慧城市网络空间安全应用
高青县隶属于山东省淄博市,是淄博市惟一纳入黄河三角洲高效生态经济区的区县和省财政直管县,辖7个镇、2个街道、1个省级经济开发区。高青是国家智慧城市建设试点单位,获得了巴塞罗那智博会“数字化转型奖,”县委县政府认为智慧高青建设是推动高青转型升级、跨越发展、走到前列的重大举措,提出要全力推动智慧城市建设各项任务的落地落实,紧扣县域实际,聚焦政务管理、社会治理、民生服务等关键领域,接地气、重实效,切实让群众感受到便捷和实惠。
基于上述考虑,结合智慧高青建设对网络空间安全的迫切需要,高青县在大数据中心部署安装普天网络空间态势感知系统,对县域网络空间实行全方位大纵深的扫描和监控,实时感知县域网络空间的安全态势,为智慧城市的各项应用保驾护航。图10为应用界面。
图10 高青县网络空间安全态势分布
结束语
普天网络空间态势感知系统的研制和应用响应了国家网络空间安全战略要求,切合政府、社会和公众对网络空间安全的需要,通过后续市场的大力拓展和产品的规模化应用,可有效应对当前愈来愈严峻的网络安全形势,遏制不法组织和个人的网络攻击行为,减少社会和公众的经济损失,维护国家安全。
普天将继续高举央企大旗,勇于承担社会责任,积极发挥自身优势,不断完善产品功能,扩大应用范围,为全面推进智慧城市建设、保障网络空间安全奉献力量。