摘要:隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)給人們帶來便捷的同時也存在一些安全隱患問題。對網(wǎng)絡(luò)安全的攻擊有很多種方式，為了更好地的對網(wǎng)絡(luò)安全態(tài)勢進行評估，就需要結(jié)合網(wǎng)絡(luò)中的報警數(shù)據(jù)對其進行因果分析，識別出攻擊的意圖與當前的攻擊階段，本文主要闡述網(wǎng)絡(luò)安全態(tài)勢評估的基礎(chǔ)，然后找到網(wǎng)絡(luò)安全隱患的問題，針對主機的漏洞與配置信息，對網(wǎng)絡(luò)安全態(tài)勢進行評估。通過構(gòu)建模型，根據(jù)攻擊的次數(shù)、頻率，對網(wǎng)絡(luò)安全進行進一步的預(yù)測，使其能夠更加準確地反映出攻擊的情況，對網(wǎng)絡(luò)安全態(tài)勢預(yù)測的結(jié)果進行整理，提高預(yù)測的準確性。

關(guān)鍵詞:多步攻擊;網(wǎng)絡(luò)安全;評估

一、網(wǎng)絡(luò)安全態(tài)勢評估的基礎(chǔ)

網(wǎng)絡(luò)安全的狀態(tài)是根據(jù)在出現(xiàn)攻擊時，出現(xiàn)的攻擊軌跡和各種攻擊軌跡對網(wǎng)絡(luò)產(chǎn)生的影響。當不同的攻擊者在入侵到電腦中都會有不同的行為進而會帶來不同的影響。在對網(wǎng)絡(luò)安全態(tài)勢的評估中主要要注意攻擊信息和網(wǎng)絡(luò)環(huán)境信息。首先，要對網(wǎng)絡(luò)安全態(tài)勢評估的基礎(chǔ)信息進行闡述。一是主機信息。在主機信息中主要包括網(wǎng)絡(luò)中的主機及設(shè)備，比如軟件、硬件等。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，其中最容易受到攻擊的是網(wǎng)絡(luò)設(shè)備，所以在進行分析時要從整體的角度去看問題。在對主機信息進行描述時，可以通過四元組的方式來進行。還要對主機的IP地址，主機所運行的服務(wù)信息比如說SSHD、SQL、HTTP等進行了解，根據(jù)主機上存在的一些問題可以找到網(wǎng)絡(luò)安全的漏洞。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)攻擊成為人們關(guān)注的問題，主機之間很容易出現(xiàn)一些漏洞問題，可以把這一問題可以直接歸結(jié)為脆弱性集合V。當對數(shù)據(jù)進行收集時，可以通過五元組來進行表示。其中，ID也就是脆弱性集合中的顯著標志。在網(wǎng)絡(luò)安全態(tài)勢，脆弱性集合也有不同的類型，在網(wǎng)絡(luò)運行的過程中容易出現(xiàn)一些錯誤的信息，按照分類可以包括非安全策略、防火墻配置錯誤、設(shè)備接入權(quán)限設(shè)置錯誤等。在網(wǎng)絡(luò)中會存在一些漏洞問題，就需要相關(guān)人員在網(wǎng)絡(luò)中對這些漏洞進行統(tǒng)計，再根據(jù)IP地址對這些信息進行采集，通過漏洞去分析可能會造成的危害，然后對整個網(wǎng)絡(luò)的脆弱性進行系統(tǒng)的描述。在網(wǎng)絡(luò)安全態(tài)勢評估中，有一個因素很重要那就是拓撲結(jié)構(gòu)。拓撲結(jié)構(gòu)是指在網(wǎng)絡(luò)過程中主機是通過這一物理結(jié)構(gòu)進行連接的，在表示方面可以用無向圖來代表。其中，N是主機中的一個集合點，E表示連接節(jié)點間的邊。在網(wǎng)絡(luò)安全態(tài)勢評估中，不可忽視的一點就是網(wǎng)絡(luò)的連通性。網(wǎng)絡(luò)的連通性也就是指主機與主機之間的通信關(guān)系。在進行連接的過程中要想保證整個網(wǎng)絡(luò)的安全性能，就需要管理者通過一系列的行為限制訪問者，這樣能夠使一些外部的主機不能夠訪問到內(nèi)部的網(wǎng)絡(luò)，或者是僅僅可以通過部分的協(xié)議與端口進行通信，這一行為能夠在一定程度上保護網(wǎng)絡(luò)的安全性。在這一過程中可以使用一個三元組，通過其來對網(wǎng)絡(luò)的連通關(guān)系進行闡述，進而通過雙方連接完成這一關(guān)系。原子攻擊事件是指在整個網(wǎng)絡(luò)運行過程中攻擊者對其進行單個攻擊，主要是通過服務(wù)器的一些漏洞而進行這一行為，通過一個八元組對其進行表示。其中，在這一攻擊事件中ID是主要因素，除此之外還包括發(fā)生的時間、地址、攻擊者的源端口等，在整個事件中要分析攻擊類型需要結(jié)合安全事件中發(fā)生的實際情況，然后對前因后果進行分析得出該攻擊事件會發(fā)生的概率。在網(wǎng)絡(luò)安全態(tài)勢中，需要對攻擊狀態(tài)轉(zhuǎn)移圖進行考量。在攻擊狀態(tài)轉(zhuǎn)移圖中使用一個四元組，S表示狀態(tài)節(jié)點集合。在狀態(tài)節(jié)點集合中，要考慮到集合點中的子節(jié)點。還可以通過二元組的方式，對攻擊狀態(tài)中的轉(zhuǎn)移圖進行組合。在整個安全事件中可以把表示完成狀態(tài)轉(zhuǎn)移為I，把其作為所必需的原子攻擊事件。在一個二元組中，用一個二元組(Si，di)表示，表示攻擊間的依賴關(guān)系，然后根據(jù)攻擊類型集合的有序?qū)ζ溥M行判斷。其中，在該集合中表示該攻擊狀態(tài)的父節(jié)點必須全部成功，這樣才能夠保證在攻擊階段實現(xiàn)，然后來確定依賴關(guān)系為并列關(guān)系。在整個關(guān)系中，當在攻擊狀態(tài)中任意一個父節(jié)點成功，就可以保證攻擊狀態(tài)實現(xiàn)，在這個關(guān)系中依賴關(guān)系為選擇關(guān)系。在整個網(wǎng)絡(luò)安全態(tài)勢轉(zhuǎn)移模型中，也就是通過根據(jù)以往的網(wǎng)絡(luò)攻擊模式來建立模型，這樣能夠充分得出攻擊模型庫。然后可以選擇一些實際的網(wǎng)絡(luò)攻擊事件，對其進行攻擊的狀態(tài)轉(zhuǎn)移圖設(shè)計。就比如最近出現(xiàn)的勒索軟件事件，這就屬于一種多步攻擊下的網(wǎng)絡(luò)安全事件。在這次事件中，通過狀態(tài)節(jié)點集合，找到地址然后分析該行為進行登錄，在攻擊事件中包括文件列表網(wǎng)絡(luò)探測掃描、登錄操作等。還可以通過兩個狀態(tài)節(jié)點對網(wǎng)絡(luò)安全態(tài)勢進行分析，比如IP地址嗅探是端口掃描的父節(jié)點，當在檢測的過程中處于端口掃描時，就說明該形成已經(jīng)成功，也就意味著二者存在并列關(guān)系。

二、網(wǎng)絡(luò)安全態(tài)勢評估的整體流程

網(wǎng)絡(luò)安全態(tài)勢評估的流程如下:一是要對整個安全態(tài)勢的數(shù)據(jù)進行收集。需要根據(jù)檢測出來的結(jié)果，再根據(jù)網(wǎng)絡(luò)運行過程中的數(shù)據(jù)，對收集的信息進行規(guī)范，這樣能夠得出網(wǎng)絡(luò)安全態(tài)勢評估中所需要的要素集。在對網(wǎng)絡(luò)安全態(tài)勢要素集進行分析時，要從兩個方面來進行考量，1)是攻擊方信息，2)是環(huán)境信息。攻擊方信息是通過互聯(lián)網(wǎng)入侵的過程中遺留下來的一些痕跡，比如一些防火墻，然后根據(jù)這些報警信息找出攻擊事件發(fā)生的原因。環(huán)境信息包含主機信息、拓撲結(jié)構(gòu)、網(wǎng)絡(luò)連通性。在對該數(shù)據(jù)進行收集時，主要是對一些網(wǎng)絡(luò)信息收集過程中遺漏下的數(shù)據(jù)，然后在通過拓撲結(jié)構(gòu)對其進行統(tǒng)計，利用防火墻過濾其中的不安全信息。主機信息是在系統(tǒng)運營階段把一些軟件中容易出現(xiàn)漏洞的情況，對其進行進一步的補充。二是對網(wǎng)絡(luò)攻擊階段進行識別。在這一階段中，要對數(shù)據(jù)進行系統(tǒng)的收集，然后根據(jù)數(shù)據(jù)分析出現(xiàn)攻擊行為的原因。這樣才能夠?qū)粽叩男袨檫M行特點的歸類，這樣才能夠把已有的攻擊信息整合到多個事件中，然后根據(jù)每個事件之間的關(guān)系對其進行場景的劃分，這樣便于預(yù)測出攻擊者的攻擊軌跡。最后，在結(jié)合實際中出現(xiàn)的攻擊場景，結(jié)合攻擊者在整個過程中所采用的方式對比，這樣能得出攻擊的階段。三是要對網(wǎng)絡(luò)安全態(tài)勢進行合理分析。在網(wǎng)絡(luò)安全態(tài)勢的評估中要以攻擊階段結(jié)果為基礎(chǔ)，這樣才能夠整合網(wǎng)絡(luò)中的信息，根據(jù)相應(yīng)的量化指標，進而對整個網(wǎng)絡(luò)安全態(tài)勢進行評估。

摘要：隨著網(wǎng)絡(luò)信息化時代的高速發(fā)展，傳統(tǒng)的完全信息和靜態(tài)完全評估等網(wǎng)絡(luò)安全系統(tǒng)無法應(yīng)對網(wǎng)絡(luò)威脅，為了更好地實現(xiàn)安全威脅評估，提出了信號博弈網(wǎng)絡(luò)安全威脅評估方法，建立動態(tài)評估模塊，針對不完全的信息角度對網(wǎng)絡(luò)攻防行為進行建模，對網(wǎng)絡(luò)中的各類均衡利用完美貝葉斯均衡求解方案進行分析，利用這種算法可以對模型中的網(wǎng)絡(luò)安全威脅進行評估，并給出安全威脅的結(jié)果。本文為了對信號博弈網(wǎng)絡(luò)安全威脅評估方法進行深入分析，首先提出了網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)。

關(guān)鍵詞：信號博弈；網(wǎng)絡(luò)安全；威脅；評估

隨著網(wǎng)絡(luò)環(huán)境的不斷變化，各種網(wǎng)絡(luò)攻擊手段也在更新?lián)Q代，給網(wǎng)絡(luò)環(huán)境造成了很大的安全威脅，因此做好網(wǎng)絡(luò)安全威脅評估尤為重要。安全威脅的造成與網(wǎng)絡(luò)信息系統(tǒng)本身的漏洞存在著聯(lián)系，防御性為不足，攻擊行為過強，也會決定安全威脅的產(chǎn)生。傳統(tǒng)的安全威脅評估方法主要有這樣幾種：基于IDS的風險漏洞評估方法、基于攻擊模式圖的評估方法、基于病毒傳播模型的評估方法。這些風險評估方法只是從防御系統(tǒng)本身進行靜態(tài)分析，沒有綜合考慮攻擊方的攻擊策略和預(yù)算對抗結(jié)果，信息安全評估不夠準確、合理。同時，各種網(wǎng)絡(luò)安全威脅隨著技術(shù)的更新也在不斷提升，傳統(tǒng)的安全威脅評估方法必將被淘汰，研究一種全新的、準確的安全評估方法至關(guān)重要。

1網(wǎng)絡(luò)安全威脅的基本概述

網(wǎng)絡(luò)安全威脅主要有兩個方面：病毒入侵、黑客攻擊。病毒入侵主要在網(wǎng)頁、網(wǎng)站系統(tǒng)中進行傳播，傳播的速度非?？?，影響的范圍非常廣泛。它通常隱藏在網(wǎng)頁和網(wǎng)站代碼中，當用戶點擊進入某個網(wǎng)頁時，病毒就會進入網(wǎng)絡(luò)系統(tǒng)，對網(wǎng)絡(luò)信息系統(tǒng)構(gòu)成破壞，進而影響計算機正常運行。一般利用360和金山毒霸等殺毒軟件清除病毒，但是有的病毒過于厲害，殺毒軟件無法徹底清除，所以必須重視網(wǎng)絡(luò)病毒的危害。相比于病毒入侵來說，黑客攻擊危害更大，可以從根本上破壞網(wǎng)絡(luò)系統(tǒng)，導(dǎo)致信息系統(tǒng)癱瘓，計算機報廢，增加了計算機的維修成本，一些重要數(shù)據(jù)也會因此丟失。黑客攻擊方式主要分為兩種：一種是非法入侵，一種是拒絕服務(wù)(DOS)。非法入侵主要是黑客直接通過網(wǎng)絡(luò)系統(tǒng)漏洞侵入一些計算機內(nèi)部網(wǎng)絡(luò)，并對系統(tǒng)中的數(shù)據(jù)資源進行盜取、損壞等攻擊行為，例如：有的黑客非法入侵進入銀行網(wǎng)絡(luò)系統(tǒng)內(nèi)部，盜取存款人信息，竊取錢財。拒絕服務(wù)主要是破壞網(wǎng)絡(luò)系統(tǒng)，導(dǎo)致計算機網(wǎng)絡(luò)癱瘓，主要目的為了阻止網(wǎng)絡(luò)系統(tǒng)進行正常運行和操作。這些網(wǎng)絡(luò)安全威脅都對人們的生產(chǎn)生活造成了很大的危害。

2網(wǎng)絡(luò)安全威脅態(tài)勢分析技術(shù)

摘要：互聯(lián)網(wǎng)技術(shù)雖普及率高，但也存在網(wǎng)絡(luò)安全風險方面的問題，給人們生產(chǎn)和生活帶來了負面影響。本文將結(jié)合網(wǎng)絡(luò)安全風險問題，探討網(wǎng)絡(luò)安全風險評估的關(guān)鍵技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；互聯(lián)網(wǎng)技術(shù)；關(guān)鍵技術(shù)

一、網(wǎng)絡(luò)風險評估及關(guān)鍵技術(shù)

1.1網(wǎng)絡(luò)安全風險評估。風險評估由資產(chǎn)的安全值、風險的程度、損失程度組成。在網(wǎng)絡(luò)風險評估中首先應(yīng)確定評估方向和范圍，并由評估小組共同探討評估的依據(jù)和辦法，而其中評估辦法應(yīng)符合網(wǎng)絡(luò)環(huán)境安全的要求。

1.2網(wǎng)絡(luò)安全風險評估辦法。在網(wǎng)絡(luò)安全風險評估辦法中有：手動和工具兩種評估方法。而工具風險評估從其各自的作用可分為：基礎(chǔ)平臺工具、綜合風險管理工具、風險評估工具。利用這些工具從技術(shù)和整體方面進行評估，并對風險的性質(zhì)和風險程度進行評估。

二、網(wǎng)絡(luò)流攻擊圖的分析

0引言

網(wǎng)絡(luò)系統(tǒng)隨著科技的進步與時俱進，在不斷地發(fā)展下網(wǎng)絡(luò)技術(shù)的復(fù)雜性越來越高，而與之相對應(yīng)的攻擊技術(shù)也越來越發(fā)達。及時的做好網(wǎng)絡(luò)安全評估，研究評估方法具有重要的意義，可以有效地提高網(wǎng)絡(luò)安全系數(shù)，防止網(wǎng)絡(luò)攻擊帶來的損失，也可以在相應(yīng)的條件下應(yīng)對各種網(wǎng)絡(luò)攻擊，提升網(wǎng)絡(luò)系統(tǒng)的應(yīng)對復(fù)雜的環(huán)境下的能力，做好網(wǎng)絡(luò)安全風險評估十分重要。

1什么是網(wǎng)絡(luò)攻擊

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息資源共享已經(jīng)成為了時下流行的一種模式，人們開始依賴于電腦，電腦給人們的生活、工作、生活帶來了便利。計算機的運用越來越普遍，而如果在網(wǎng)絡(luò)中存在網(wǎng)絡(luò)漏洞就會成為一大重要的弊端。網(wǎng)絡(luò)作為新時代新型的信息系統(tǒng)，為人類帶來方便便捷的同時也面臨著巨大的威脅，為了進行網(wǎng)絡(luò)安全的問題，進行安全的網(wǎng)絡(luò)管理，網(wǎng)絡(luò)攻擊便是其中威脅之一，應(yīng)該從根本上預(yù)防網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊指的是攻擊者利用網(wǎng)絡(luò)系統(tǒng)存在的漏洞對網(wǎng)絡(luò)進行的硬件、軟件的攻擊，從而獲取其中的數(shù)據(jù)。網(wǎng)絡(luò)攻擊主要分為主動攻擊和被動攻擊兩種。1.1主動攻擊主動攻擊指的是在網(wǎng)絡(luò)攻擊時通過一些技術(shù)手段來篡改一些數(shù)據(jù)，從而造成了虛假數(shù)據(jù)的產(chǎn)生，通過主動攻擊可以使網(wǎng)絡(luò)產(chǎn)生一個未授權(quán)的效果，修改其中的重要數(shù)據(jù)，偽造被攻擊用戶信息，偽裝、騙取其他用戶的信息，或是對整個網(wǎng)絡(luò)系統(tǒng)進行攻擊破壞，達到了降低網(wǎng)絡(luò)性能，終止服務(wù)的目標，通過攻擊包圍目標組織數(shù)據(jù)，從而達到攻擊目的。1.2被動攻擊被動攻擊與主動攻擊完全不同，被動攻擊是通過對網(wǎng)絡(luò)中的數(shù)據(jù)不做任何修改，單一的竊取他人信息，如：地理位置、通信次數(shù)等私密信息，常利用竊聽的手段來獲取信息。利用一臺機器攻擊范圍內(nèi)所有的信息，在網(wǎng)絡(luò)上進行信息分析。對原有的信號進行輻射。由于被動攻擊的行為比較隱蔽，不會留下任何的痕跡，所以很難被檢測，只能預(yù)防被動攻擊，對重要信息進行高度加密。被動攻擊是主動攻擊的預(yù)兆，一旦網(wǎng)絡(luò)被被動攻擊后，主動攻擊就會隨之而來。所以，進行網(wǎng)絡(luò)的安全風險評估尤為重要。2014年的著名黑客事件“伊朗黑客瞄準航空系統(tǒng)”，該事件通過Cylance公布的長達86頁的報告顯示，過去的兩年里伊朗黑客已經(jīng)直接攻擊、滲透了多個國家的政府機關(guān)、企業(yè)和重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)，受害國家包括美國、中國、英國、德國、加拿大以及土耳其等一十六個國家。泄露了大量旅客護照信息和機場員工信息以及機場機密。這些信息的泄露有助于不法分子通過安檢。類似此類事件的網(wǎng)絡(luò)攻擊事件還很多“美國醫(yī)療系統(tǒng)被黑”，“大型零售商家被黑”，“索尼影業(yè)被黑事件”等，這類事件都給不同國家不同的企業(yè)帶來了巨大的損失。所以，重視網(wǎng)絡(luò)安全至關(guān)重要。

2網(wǎng)絡(luò)安全評估模型

為了增加網(wǎng)絡(luò)的安全性，構(gòu)建網(wǎng)絡(luò)安全評估模型，提出了一種綜合性的網(wǎng)絡(luò)安全評估方案，用來負責整個網(wǎng)絡(luò)的安全工作，對安全工作進行相對應(yīng)的協(xié)調(diào)和安排，將安全評估模型分布在各個網(wǎng)絡(luò)，各個系統(tǒng)中，主要對主機上所有的組建進行一個全面系統(tǒng)的安全風險評估。在安全評估模型中主要分為消息模塊相互協(xié)同，通信技術(shù)相互構(gòu)建，系統(tǒng)分析之前遇到的網(wǎng)絡(luò)攻擊類型，對系統(tǒng)中隱藏的關(guān)聯(lián)、漏洞進行查看。詳盡的掃描整個系統(tǒng)的問題。進行網(wǎng)絡(luò)安全風險評估時，會對網(wǎng)絡(luò)變化結(jié)果發(fā)生相對應(yīng)的反應(yīng)，包括一種相對應(yīng)的模式，是對數(shù)據(jù)請求的一種變化結(jié)果，也是對數(shù)據(jù)請求所產(chǎn)生的反應(yīng)。通過這種變化模式，進行構(gòu)建網(wǎng)絡(luò)安全評估模型。

摘要：在信息化、大數(shù)據(jù)時代背景下，網(wǎng)絡(luò)與信息已經(jīng)成為人們?nèi)粘Ｉ钪胁豢苫蛉钡拇嬖冢S著計算機網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)覆蓋范圍、信息系統(tǒng)建設(shè)觃模等的不斷提升、拓展，網(wǎng)絡(luò)安全問題愈収凸顯。基于此，在當前高度重視信息化建設(shè)，提倡構(gòu)建網(wǎng)絡(luò)強國的背景下，加強網(wǎng)絡(luò)安全管理勢在必行?；诖耍疚膹木W(wǎng)絡(luò)安全風險評估角度出収，就網(wǎng)絡(luò)安全風險評估原理、標準以及兲鍵技術(shù)迚行了簡要分析，以期為相兲工作人員提供有益參耂，實現(xiàn)風險評估體系的科學(xué)構(gòu)架，營造穩(wěn)定、安全的網(wǎng)絡(luò)運行環(huán)境。

關(guān)鍵詞：網(wǎng)絡(luò)安全；安全風險評估；兲鍵技術(shù)

隨著近年來我國信息化収展戰(zhàn)略的不斷深入，信息技術(shù)、互聯(lián)網(wǎng)產(chǎn)業(yè)得到迅速収展。隨著信息技術(shù)的迚步以及互聯(lián)網(wǎng)產(chǎn)業(yè)的高速収展，網(wǎng)絡(luò)安全問題成為人們兲注的重點問題，也是新時期急需解決的兲鍵問題。而在網(wǎng)絡(luò)安全管理過程中，通過網(wǎng)絡(luò)安全風險評估可有敁了解網(wǎng)絡(luò)系統(tǒng)、信息系統(tǒng)等在網(wǎng)絡(luò)環(huán)境運行下存在的安全隱患與安全風險情冴，仍而有敁識別風險，為風險管控、防治提供支持。基于此，有必要加強網(wǎng)絡(luò)安全風險評估兲鍵技術(shù)的研究，用以提升網(wǎng)絡(luò)安全風險評估工作質(zhì)量，提升網(wǎng)絡(luò)安全風險管理敁率，維護網(wǎng)絡(luò)安全。

1網(wǎng)絡(luò)安全風險評估原理

網(wǎng)絡(luò)安全風險評估是網(wǎng)絡(luò)安全管理工作中的重要環(huán)節(jié)乊一，側(cè)重于對網(wǎng)絡(luò)物流、平臺、信息數(shù)據(jù)與管理安全性的分析與研究。通常情冴下，在網(wǎng)絡(luò)風險評估過程中，資產(chǎn)、威脅以及脆弱性是基本評估挃標評價要素，通過資產(chǎn)識別、威脅識別、脆弱性識別，實現(xiàn)資產(chǎn)價值、威脅程度、脆弱性嚴重程度的有敁評估，迚而得到網(wǎng)絡(luò)運行過程中可能存在的風險以及風險等級，形成風險評估報告與風險處理斱案[1]。因此，網(wǎng)絡(luò)安全風險評估原理可用圖1迚行表示。

2網(wǎng)絡(luò)安全風險評估標準

摘要：近年來，信息網(wǎng)絡(luò)技術(shù)的發(fā)展非常迅速。同時，信息網(wǎng)絡(luò)技術(shù)已逐步應(yīng)用于各行各業(yè)，有力地促進了各行各業(yè)的發(fā)展。同時，信息網(wǎng)絡(luò)技術(shù)在人們的生活中也發(fā)揮著重要作用，已成為人們生活中不可或缺的技術(shù)手段。但是，它已被廣泛應(yīng)用于信息網(wǎng)絡(luò)技術(shù)中。同時，還存在安全風險，需要做好風險評估。本文分析了網(wǎng)絡(luò)安全多維動態(tài)風險評估的關(guān)鍵技術(shù)，描述了特定網(wǎng)絡(luò)安全風險評估技術(shù)的實現(xiàn)過程。

關(guān)鍵詞：網(wǎng)絡(luò)安全；風險評估；關(guān)鍵技術(shù)

現(xiàn)在，網(wǎng)絡(luò)被廣泛使用。如果我們在使用中不注意，我們可能會披露個人信息和機密文件，這種損失是巨大的，且危害不可估量，是職場人員不可出現(xiàn)的情況，一旦出現(xiàn)，就會涉及到多方利益，對整個市場造成巨大的影響。所以，網(wǎng)絡(luò)安全問題是非常重要的問題，任何人都不能忽視，這對于我國的發(fā)展來說有極大的現(xiàn)實意義，對于網(wǎng)絡(luò)的長治久安來說，也是非常重要的。

一、為什么要進行風險評估

計算機網(wǎng)絡(luò)與過去的漁網(wǎng)不同，雖然都帶有網(wǎng)字，但是其含義是不同的。計算機網(wǎng)絡(luò)主要是在于將不同經(jīng)緯度地區(qū)的計算機聯(lián)系起來的重要紐帶，通過通信線路連接它們，讓計算機可以通過網(wǎng)絡(luò)技術(shù)來進行操作，達到操作系統(tǒng)與網(wǎng)絡(luò)管理軟硬件之間的協(xié)議，實現(xiàn)信息資源的共享。網(wǎng)絡(luò)的確立初衷主要是將各個計算機連接起來，能夠共同的工作，實現(xiàn)信息互通，資源便捷分享。不得不說，計算機與過去的資源分享的方式不同，所以計算機的開放性是特別強的?，F(xiàn)如今科技的進步，讓計算機造價變得越來越低，體積變得越來越小，處理信息的速度越來越快，與此同時，我國人民收入增高，所以現(xiàn)在計算機的普及率特別高，說人人都擁有可能有些夸張，但是說家家戶戶都擁有不為過。在這么龐大的使用群體中，很難保證網(wǎng)絡(luò)的安全，它為違規(guī)者提供了便利，不法分子可以利用網(wǎng)絡(luò)進行非法行為。在網(wǎng)絡(luò)攻擊的態(tài)勢下，我國的社會會變得不再安穩(wěn)，網(wǎng)絡(luò)使用者會談網(wǎng)色變，人人感到恐慌，社會就變得動蕩起來，這會與我國社會主義建設(shè)和發(fā)展的目的相違背，此外，許多企業(yè)利用網(wǎng)絡(luò)辦公，所以一旦企業(yè)遭受網(wǎng)絡(luò)攻擊，那么就會對企業(yè)造成巨大的財產(chǎn)損失，甚至是泄漏商業(yè)機密，造成商場的動蕩，對于有些企業(yè)管理者來說，無法承受巨大的經(jīng)濟負債，飽受著巨大的心理煎熬，這都不利于社會的穩(wěn)定。如果攻擊的是股市，那么對于這個社會的影響，將是不可估計的，造成的經(jīng)濟損失也是天文數(shù)字。如果，放任網(wǎng)絡(luò)安全問題自由發(fā)展，對于整個網(wǎng)絡(luò)的發(fā)展會起負面作用的，因為人人自危，都不愿意使用網(wǎng)絡(luò)了。但是不得不說的是，當今這個社會，社會的發(fā)展離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)成為我國經(jīng)濟發(fā)展的重要部分，如果網(wǎng)絡(luò)問題不能解決，那么我國的經(jīng)濟發(fā)展會有重大影響，對于我國構(gòu)建社會主義和諧社會也不利。所以，網(wǎng)絡(luò)安全問題必須要嚴加對待。

二、網(wǎng)絡(luò)安全分類

互聯(lián)網(wǎng)信息極為復(fù)雜，網(wǎng)絡(luò)設(shè)備多種多樣，安全事件頻頻發(fā)生。因為網(wǎng)絡(luò)共享、開放的原則，使得網(wǎng)絡(luò)上的數(shù)據(jù)也越來越多，而且各不相同，想要對他們統(tǒng)一管理很難實現(xiàn)。因此就需要根據(jù)相應(yīng)的規(guī)則來獲取網(wǎng)絡(luò)安全事件特征，找出最能反映安全態(tài)勢的指標，對網(wǎng)絡(luò)安全態(tài)勢進行評估和預(yù)測。

1網(wǎng)絡(luò)安全事件關(guān)聯(lián)與態(tài)勢評測技術(shù)國內(nèi)外發(fā)展現(xiàn)狀

網(wǎng)絡(luò)安全態(tài)勢評估與態(tài)勢評測技術(shù)的研究在國外發(fā)展較早，最早的態(tài)勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內(nèi)，對周邊的環(huán)境進行感知，從而對事物的發(fā)展方向進行評測。我國對于網(wǎng)絡(luò)安全事件關(guān)聯(lián)細分與態(tài)勢評測技術(shù)起步較晚，但是國內(nèi)的高校和科研機構(gòu)都積極參與，并取得了不錯的成果。哈爾濱工業(yè)大學(xué)的教授建立了基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢感知模型，并采用灰色理論，對各個關(guān)鍵性能指標的變化進行關(guān)聯(lián)分析，從而對網(wǎng)絡(luò)系統(tǒng)態(tài)勢變化進行綜合評估。中國科技大學(xué)等人提出基于日志審計與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型，國防科技大學(xué)也提出大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估模型。這些都預(yù)示著，我國的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究有了一個新的進步，無論是大規(guī)模網(wǎng)絡(luò)還是態(tài)勢感知，都可以做到快速反應(yīng)，提高網(wǎng)絡(luò)防御能力與應(yīng)急響應(yīng)處理能力，有著極高的實用價值[1]。

2網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)概述

近年來，網(wǎng)絡(luò)安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴重影響著網(wǎng)絡(luò)的運行安全。社會各界也對其極為重視，并采用相應(yīng)技術(shù)來保障網(wǎng)絡(luò)系統(tǒng)的安全運行。比如Firewall，IDS，漏洞掃描，安全審計等。這些設(shè)備功能單一，是獨立的個體，不能協(xié)同工作。這樣直接導(dǎo)致安全事件中的事件冗余，系統(tǒng)反應(yīng)慢，重復(fù)報警等情況越來越嚴重。加上網(wǎng)絡(luò)規(guī)模的逐漸增加，數(shù)據(jù)報警信息又多，管理員很難一一進行處理，這樣就導(dǎo)致報警的真實有效性受到影響，信息中隱藏的攻擊意圖更難發(fā)現(xiàn)。在實際操作中，安全事件是存在關(guān)聯(lián)關(guān)系，不是孤立產(chǎn)生的。網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析就是通過對各個事件之間進行有效的關(guān)聯(lián)，從而將原來的網(wǎng)絡(luò)安全事件數(shù)據(jù)進行處理，通過過濾、發(fā)掘等數(shù)據(jù)事件之間的關(guān)聯(lián)關(guān)系，才能為網(wǎng)絡(luò)管理人員提供更為可靠、有價值的數(shù)據(jù)信息。近年來，社會各界對于網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析更為重視，已經(jīng)成為網(wǎng)絡(luò)安全研究中必要的一部分，并取得了相應(yīng)的成果。在一定程度上，縮減網(wǎng)絡(luò)安全事件的數(shù)量，為網(wǎng)絡(luò)安全態(tài)勢評估提供有效的數(shù)據(jù)支持。2.1網(wǎng)絡(luò)安全數(shù)據(jù)的預(yù)處理。由于網(wǎng)絡(luò)復(fù)雜多樣，在進行安全數(shù)據(jù)的采集中，采集到的數(shù)據(jù)形式也是多種多樣，格式復(fù)雜，并且存在大量的冗余信息。使用這樣的數(shù)據(jù)進行網(wǎng)絡(luò)安全態(tài)勢的分析，自然不會取得很有價值的結(jié)果。為了提高數(shù)據(jù)分析的準確性，就必須提高數(shù)據(jù)質(zhì)量，因此就要求對采集到的原始數(shù)據(jù)進行預(yù)處理。常用的數(shù)據(jù)預(yù)處理方式分為3種：（1）數(shù)據(jù)清洗。將殘缺的數(shù)據(jù)進行填充，對噪聲數(shù)據(jù)進行降噪處理，當數(shù)據(jù)不一致的時候，要進行糾錯。（2）數(shù)據(jù)集成。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，安全信息的來源也復(fù)雜，這就需要對采集到的數(shù)據(jù)進行集成處理，使它們的結(jié)構(gòu)保持一致，并且將其存儲在相同的數(shù)據(jù)系統(tǒng)中。（3）將數(shù)據(jù)進行規(guī)范變化。2.2網(wǎng)絡(luò)安全態(tài)勢指標提取。構(gòu)建合理的安全態(tài)勢指標體系是對網(wǎng)絡(luò)安全態(tài)勢進行合理評估和預(yù)測的必要條件。采用不同的算法和模型，對權(quán)值評估可以產(chǎn)生不同的評估結(jié)果。網(wǎng)絡(luò)的復(fù)雜性，使得數(shù)據(jù)采集復(fù)雜多變，而且存在大量冗余和噪音，如果不對其進行處理，就會導(dǎo)致在關(guān)聯(lián)分析時，耗時耗力，而且得不出理想的結(jié)果。這就需要一個合理的指標體系對網(wǎng)絡(luò)狀態(tài)進行分析處理，發(fā)現(xiàn)真正的攻擊，提高評估和預(yù)測的準確性。想要提高對網(wǎng)絡(luò)安全狀態(tài)的評估和預(yù)測，就需要對數(shù)據(jù)信息進行充分了解，剔除冗余，找出所需要的信息，提高態(tài)勢分析效率，減輕系統(tǒng)負擔。在進行網(wǎng)絡(luò)安全要素指標的提取時要統(tǒng)籌考慮，數(shù)據(jù)指標要全面而非單一，指標的提取要遵循4個原則：危險性、可靠性、脆弱性和可用性[2]。2.3網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析。網(wǎng)絡(luò)數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點，就導(dǎo)致事件的冗余，不利于事件關(guān)聯(lián)分析，而且數(shù)據(jù)量極大，事件繁多，網(wǎng)絡(luò)管理人員對其處理也極為不便。為了對其進行更好的分析和處理，就需要對其進行數(shù)據(jù)預(yù)處理。在進行數(shù)據(jù)預(yù)處理時要統(tǒng)籌考慮，分析網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性，并對其類似的進行合并，減少重復(fù)報警概率，從而提高網(wǎng)絡(luò)安全狀態(tài)評估的有效性。常見的關(guān)聯(lián)辦法有因果關(guān)聯(lián)、屬性關(guān)聯(lián)等。

3網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)概述

【摘要】近年來，網(wǎng)絡(luò)安全在各行業(yè)中持續(xù)高熱，信息安全問題也正成為大數(shù)據(jù)分析的重要問題。網(wǎng)絡(luò)安全態(tài)勢感知作為網(wǎng)絡(luò)安全領(lǐng)域的一種新技術(shù)，通過結(jié)合大數(shù)據(jù)平臺中處理的檢測對象的關(guān)鍵數(shù)據(jù)，對整個網(wǎng)絡(luò)當前的安全狀況做出評估，并對未來一段時間內(nèi)的變化趨勢做出預(yù)測。交通運輸行業(yè)作為大數(shù)據(jù)平臺深度應(yīng)用的典型行業(yè)，時刻面臨著網(wǎng)絡(luò)安全的威脅，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)恰好能解決這一問題。下面本文將針對交通運輸大數(shù)據(jù)平臺對網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)展開研究。

【關(guān)鍵詞】態(tài)勢感知;大數(shù)據(jù);安全評估;預(yù)警研判

一、交通運輸行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

隨著國家信息化工作的推進，以物聯(lián)網(wǎng)和智能交通為代表的新型信息應(yīng)用在交通運輸行業(yè)高度滲透，即將邁入全面聯(lián)網(wǎng)、業(yè)務(wù)協(xié)同、智能應(yīng)用的新階段。同時，行業(yè)重要業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站、郵件、專用網(wǎng)絡(luò)、公務(wù)終端等一直是敵對勢力、黑客組織、極端個人關(guān)注和攻擊的重點，網(wǎng)絡(luò)篡改、敏感數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件層出不窮。

二、基于大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)

網(wǎng)絡(luò)態(tài)勢指的是由各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)的當前狀態(tài)和變化趨勢。網(wǎng)絡(luò)安全態(tài)勢感知指在當前網(wǎng)絡(luò)運行大環(huán)境中，通過提取能影響網(wǎng)絡(luò)態(tài)勢的因素進行理解、分析，并能對未來網(wǎng)絡(luò)狀態(tài)的變化趨勢做出預(yù)測。基于大數(shù)據(jù)平臺的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)是基于網(wǎng)絡(luò)數(shù)據(jù)流實時捕獲、協(xié)議處理分析、會話統(tǒng)計、跟蹤記錄與檢測，將采集數(shù)據(jù)存儲入大數(shù)據(jù)平臺，并以大數(shù)據(jù)平臺中經(jīng)過預(yù)處理和建模分析后的數(shù)據(jù)信息為評估依據(jù)，對當前網(wǎng)絡(luò)狀態(tài)做出評估，并對未來一段時間的網(wǎng)絡(luò)環(huán)境實現(xiàn)威脅發(fā)現(xiàn)、精準預(yù)警和態(tài)勢感知。它采用多檢測引擎機制，能夠監(jiān)測到網(wǎng)絡(luò)上的各種網(wǎng)絡(luò)安全事件，具體包括惡意代碼的網(wǎng)絡(luò)傳播，木馬、后門等惡意代碼的網(wǎng)絡(luò)通信活動，惡意網(wǎng)址的訪問，逃逸攻擊，端口掃描攻擊，漏洞探測攻擊，高級持續(xù)性攻擊，DDOS攻擊，DNS劫持攻擊，以及僵尸網(wǎng)絡(luò)等。2.1數(shù)據(jù)資源。數(shù)據(jù)資源主要涉及到基礎(chǔ)數(shù)據(jù)、動態(tài)數(shù)據(jù)、知識數(shù)據(jù)等內(nèi)容，以自由樣本數(shù)據(jù)、第三方樣本、DNS基礎(chǔ)數(shù)據(jù)、惡意URL數(shù)據(jù)形式組成大數(shù)據(jù)分析的數(shù)據(jù)資源。2.2安全工具。安全工具是網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的基礎(chǔ)，為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)提供數(shù)據(jù)源（即針對各類威脅的檢測結(jié)果、日志與資產(chǎn)信息），安全工具主要包括：網(wǎng)絡(luò)攻擊檢測探針、異常行為檢測探針、未知攻擊檢測探針、郵件安全監(jiān)測引擎、網(wǎng)站安全監(jiān)測引擎、設(shè)備故障監(jiān)測設(shè)備、脆弱性掃描引擎、惡意代碼檢測工具、資產(chǎn)掃描引擎、日志采集工具、信息外泄檢測工具等。2.3大數(shù)據(jù)分析平臺的構(gòu)建大數(shù)據(jù)分析。平臺主要功能是對威脅數(shù)據(jù)采集探針和采集引擎等安全工具采集到的安全數(shù)據(jù)進行存儲和處理。本文主要以交通運輸行業(yè)政府網(wǎng)站、政務(wù)郵箱、重要業(yè)務(wù)系統(tǒng)、重要公務(wù)終端以及重要網(wǎng)絡(luò)節(jié)點等關(guān)鍵信息基礎(chǔ)設(shè)施為監(jiān)測對象，通過安全工具，收集與網(wǎng)絡(luò)安全有關(guān)的各類威脅信息，運用大數(shù)據(jù)存儲管理技術(shù)將所采集的數(shù)據(jù)統(tǒng)一存儲到大數(shù)據(jù)平臺中，形成原始數(shù)據(jù)庫。而原始數(shù)據(jù)庫中的數(shù)據(jù)存在大量的冗余信息，不能直接用于態(tài)勢感知的數(shù)據(jù)分析，需要經(jīng)過大數(shù)據(jù)分析平臺對采集到的數(shù)據(jù)完成預(yù)處理和特征提取，具體包括清洗、轉(zhuǎn)換、去重、過濾、有效性驗證等過程，最終完成存儲和索引。大數(shù)據(jù)分析平臺包含多種數(shù)據(jù)計算引擎，包括：搜索、統(tǒng)計、關(guān)聯(lián)分析、威脅監(jiān)測等，為上層不同場景下的應(yīng)用提供數(shù)據(jù)處理結(jié)果。2.4網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)模型。本結(jié)構(gòu)模型根據(jù)五個監(jiān)測對象的特點和交通運輸行業(yè)必要的功能實現(xiàn)要求，將網(wǎng)絡(luò)安全態(tài)勢感知平臺的主要功能實現(xiàn)部分分為三個應(yīng)用系統(tǒng)：安全評估應(yīng)用系統(tǒng)、態(tài)勢感知應(yīng)用系統(tǒng)和預(yù)警處置應(yīng)用系統(tǒng)。三個應(yīng)用系統(tǒng)基于大數(shù)據(jù)分析平臺處理后的數(shù)據(jù)，通過對采集數(shù)據(jù)的關(guān)聯(lián)分析和融合處理，反應(yīng)當前網(wǎng)絡(luò)的安全狀況，給出一個可信的態(tài)勢值，并根據(jù)歷史數(shù)據(jù)分析，采用一定的技術(shù)手段對未來一段時間內(nèi)網(wǎng)絡(luò)安全可能遭受的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)狀況作出預(yù)測，并對預(yù)測風險進行可視化呈現(xiàn)，給出合理處置建議。2.4.1安全評估網(wǎng)絡(luò)安全評估系統(tǒng)利用大數(shù)據(jù)平臺中整合的五類監(jiān)測對象的資產(chǎn)信息（網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用中間件等）、威脅數(shù)據(jù)（操作失誤、越權(quán)或濫用、惡意代碼、篡改、泄密、網(wǎng)絡(luò)攻擊等）、脆弱性（網(wǎng)絡(luò)結(jié)構(gòu)脆弱性、系統(tǒng)軟件脆弱性、應(yīng)用中間件脆弱性、應(yīng)用系統(tǒng)脆弱性等）進行漏洞掃描，依據(jù)風險評估模型進行風險綜合分析，實現(xiàn)對全系統(tǒng)的網(wǎng)絡(luò)安全風險評估，并提供網(wǎng)絡(luò)安全風險評估情況的展示。具體可以分為以下三個部分：系統(tǒng)漏洞掃描、構(gòu)建評估模型、威脅評估分析。

隨著移動網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，國內(nèi)的網(wǎng)民數(shù)量迅猛增加，網(wǎng)絡(luò)安全問題也越來越突出，從分析網(wǎng)絡(luò)整體安全狀況入手的網(wǎng)絡(luò)安全態(tài)勢感知研究也越來越受重視。安全態(tài)勢感知是指在一定時間和空間下的大規(guī)模網(wǎng)絡(luò)環(huán)境中，采用綜合防御機制，將網(wǎng)絡(luò)中傳感器收集并記載在各個安全設(shè)備上的各類網(wǎng)絡(luò)狀況信息加以融合，并快速提取從而識別分辨出威脅、攻擊等破壞網(wǎng)絡(luò)安全的行為，進而整合分析各個安全要素，得到網(wǎng)絡(luò)安全狀況的評估值。在評估網(wǎng)絡(luò)安全現(xiàn)狀的基礎(chǔ)上，感知網(wǎng)絡(luò)安全的狀態(tài)和發(fā)展趨勢與變化規(guī)律并做出相應(yīng)的應(yīng)對策略，也就是嚴謹預(yù)測未來一段時間內(nèi)的網(wǎng)絡(luò)安全態(tài)勢變化走勢。整個安全態(tài)勢感知過程中依次包括覺察、理解、評估、預(yù)測和決策等五個因素。網(wǎng)絡(luò)安全態(tài)勢感知是一種主動的安全防御機制，可以有效地實現(xiàn)深度防御[1]。態(tài)勢感知的目標是采用改進的態(tài)勢感知算法，實現(xiàn)態(tài)勢感知的自動化，自動獲得自我感知，并開展自我保護。

1網(wǎng)絡(luò)安全態(tài)勢感知模型研究

在研究網(wǎng)絡(luò)安全態(tài)勢感知的過程中，先要構(gòu)建出合適的網(wǎng)絡(luò)安全態(tài)勢感知模型，研究者們在過去的三十多年中先后提出了大約有三十多個適合的態(tài)勢感知模型。在這些模型中，應(yīng)用最廣泛的是1984年美國國防部提出的融合模型JDL模型[2]、1988年Endsley提出的EndsleySA模型[3]和1999年TimBass針對分布式人侵檢測提出的融合模型TimBass模型[4]，后來提出的感知模型都是在這三個模型上的升華和改進。網(wǎng)絡(luò)安全態(tài)勢感知的具體實施過程首先是通過傳感器采集網(wǎng)絡(luò)安全設(shè)備上記載的監(jiān)測、過濾、防護等信息，再提取態(tài)勢要素，進行態(tài)勢理解與安全態(tài)勢評估，最后再對當前網(wǎng)絡(luò)環(huán)境未來可能出現(xiàn)的變化趨勢進行預(yù)測。網(wǎng)絡(luò)安全態(tài)勢感知過程如圖1所示。文獻[5]在經(jīng)過對態(tài)勢感知的研究之后將網(wǎng)絡(luò)安全態(tài)勢感知分為三個部分，即網(wǎng)絡(luò)安全態(tài)勢覺察、網(wǎng)絡(luò)安全態(tài)勢理解以及網(wǎng)絡(luò)安全態(tài)勢投射三個層次。這其中，態(tài)勢覺察主要完成對初始數(shù)據(jù)的提取并分辨初始數(shù)據(jù)中的關(guān)聯(lián)信息，即對源數(shù)據(jù)進行降噪、規(guī)范化處理，得到具體有效的信息，其主要目的是辨識出系統(tǒng)中的活動。態(tài)勢理解主要是實施對分辨出的關(guān)聯(lián)信息進行理解的工作，在有關(guān)的基礎(chǔ)上分析當前的安全形勢，有無安全攻擊行為的發(fā)生以及對安全等級的評定。態(tài)勢投射主要完成這些活動意圖是否會產(chǎn)生攻擊的判斷任務(wù)，即在前兩步的基礎(chǔ)上分析并評估各個活動對當前系統(tǒng)環(huán)境的影響，并進一步判斷是否會對系統(tǒng)環(huán)境造成威脅，包括發(fā)現(xiàn)已經(jīng)產(chǎn)生的威脅和預(yù)測可能產(chǎn)生的威脅?；诖烁拍?，本文將對源數(shù)據(jù)的預(yù)處理、數(shù)據(jù)信息的建模、以及模型信息的采集作為態(tài)勢覺察層進行分類，而將與信息理解有關(guān)的機器學(xué)習(xí)模塊以及要素提取作為態(tài)勢理解層進行分類。需要注意的是，對模型信息的處理和對機器學(xué)習(xí)的評判這兩者之間需要持續(xù)不斷的進行反饋以修正最終的態(tài)勢評級，將態(tài)勢指標可視化和態(tài)勢指標評級作為態(tài)勢投射層進行分類，所建立的層次化模型如圖2所示。通常情況下網(wǎng)絡(luò)態(tài)勢數(shù)據(jù)中心收集到的安全態(tài)勢數(shù)據(jù)本身并不符合規(guī)范，如果直接輸人安全態(tài)勢感知源數(shù)據(jù)會導(dǎo)致計算量過大、數(shù)據(jù)維數(shù)過高而難以處理，因此必須對源數(shù)據(jù)進行前期處理，提取數(shù)據(jù)的顯著性特征，將有代表性的樣本態(tài)勢感知關(guān)鍵字提取為顯著性特征，這樣才能體現(xiàn)出不同情況下不同的網(wǎng)絡(luò)狀態(tài)特征，由此得到網(wǎng)絡(luò)安全態(tài)勢感知流程如圖3所示。

2網(wǎng)絡(luò)安全態(tài)勢要素提取框架

網(wǎng)絡(luò)安全態(tài)勢理解與評估之后的態(tài)勢預(yù)測結(jié)果的準確度，在很大程度上取決于安全態(tài)勢特征要素的提取。安全事件的預(yù)處理與態(tài)勢要素的提取定位于網(wǎng)絡(luò)安全態(tài)勢感知底層，其中態(tài)勢要素提取性能的優(yōu)劣在很大程度上決定著安全態(tài)勢感知結(jié)果的準確度。網(wǎng)絡(luò)安全態(tài)勢特征要素提取網(wǎng)絡(luò)的安全態(tài)勢要素主要包括網(wǎng)絡(luò)的拓撲信息、脆弱性信息和狀態(tài)信息等靜態(tài)的配置信息和各種防護措施的日志采集和分析技術(shù)獲取的威脅信息等動態(tài)的運行信息等[6]。網(wǎng)絡(luò)安全態(tài)勢要素提取的核心就是準確地分類識別出網(wǎng)絡(luò)中記載的海量安全數(shù)據(jù)，了解把握網(wǎng)絡(luò)實時的受攻擊與被威脅的情況，為下一步評估網(wǎng)絡(luò)安全狀況提供數(shù)據(jù)支撐。因此，判斷態(tài)勢要素提取方法好壞的標準有兩個：一是識別攻擊數(shù)據(jù)的準確度；二是消耗時間的收斂度。大多數(shù)規(guī)模大的網(wǎng)絡(luò)都會呈現(xiàn)出節(jié)點數(shù)量多、拓撲結(jié)構(gòu)復(fù)雜、傳輸流量大、子網(wǎng)眾多等特點，并且網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，包括多種不同結(jié)構(gòu)的網(wǎng)絡(luò)和不同類型的應(yīng)用平臺，因此適宜采用層次化態(tài)勢要素提取模型，其框架結(jié)構(gòu)如圖4所示。絡(luò)全局分析和局部分析組成，提取過程實施先局部后整體的原則，態(tài)勢要素的采集是通過融合傳感器傳輸?shù)母黝惥W(wǎng)絡(luò)安全數(shù)據(jù)實現(xiàn)。通過學(xué)習(xí)輸入?yún)R總到分類器中的歷史安全數(shù)據(jù)集和當前安全數(shù)據(jù)集，生成一種學(xué)習(xí)規(guī)則，用這種學(xué)習(xí)規(guī)則來指導(dǎo)網(wǎng)絡(luò)局部模塊的數(shù)據(jù)分析，在局部模塊中經(jīng)過統(tǒng)計與分析后形成的數(shù)據(jù)再被反饋傳輸?shù)饺址治瞿K，通過這種數(shù)據(jù)分析機制可以將網(wǎng)絡(luò)中的局部態(tài)勢要素及全局態(tài)勢要素都提取到。目前分類器分類所采用的方法比較多，本文所采用的層次化安全態(tài)勢要素提取框架中分類器采用近年來得到深入研究并推廣應(yīng)用的聚類方法來進行分類特征提取，通過聚類方法將態(tài)勢感知數(shù)據(jù)集分類，從而分辨出正常網(wǎng)絡(luò)行為和異常網(wǎng)絡(luò)行為。

3網(wǎng)絡(luò)安全態(tài)勢評估

摘要：目前，信息化建設(shè)已成為國內(nèi)大部分醫(yī)院管理的發(fā)展方向。互聯(lián)網(wǎng)時代，醫(yī)院信息化建設(shè)的實施是多媒體與行政辦公相結(jié)合的體現(xiàn)之一。應(yīng)該說，醫(yī)院信息化建設(shè)增加了醫(yī)院信息的可獲得性和實用性，為發(fā)展帶來了極大的便利。但在看到信息化建設(shè)帶來好處的同時，也要看到信息化建設(shè)中計算機網(wǎng)絡(luò)所帶來的風險，在實踐中要針對性加強計算機網(wǎng)絡(luò)安全管理與維護，這就需要對其進行評估研究。本文主要是對醫(yī)院信息化建設(shè)中計算機網(wǎng)絡(luò)安全管理與維護展開分析。

關(guān)鍵詞：醫(yī)院；信息化建設(shè)；計算機網(wǎng)絡(luò)；安全管理；維護

醫(yī)院信息化建設(shè)中計算機網(wǎng)絡(luò)面臨多種不同類型的威脅，主要包括管理風險、硬件風險以及軟件風險等，對不同類型風險要分別進行評估，并針對性地進行安全管理與維護。從發(fā)展趨勢來看，我國醫(yī)院信息化建設(shè)日趨成熟。但不可否認，國內(nèi)醫(yī)院信息化建設(shè)也存在相應(yīng)的局限性，與西方一些發(fā)達國家相比，信息化建設(shè)相對滯后，信息化建設(shè)存在諸多問題，給信息化建設(shè)發(fā)展帶來了不便。為此，醫(yī)院應(yīng)在優(yōu)化和更新信息化建設(shè)的同時進行全面的風險評估，并采取控制措施有效控制潛在風險，在醫(yī)院信息化建設(shè)中加強計算機網(wǎng)絡(luò)安全管理與維護，這是一個不可替代且非常重要的環(huán)節(jié)。

1醫(yī)院信息化建設(shè)中計算機網(wǎng)絡(luò)安全管理與維護需求分析

對于信息化建設(shè)的安全管理與維護，每個人的理解不同，也可能有不同的答案。這是由于醫(yī)院的網(wǎng)絡(luò)拓撲、關(guān)鍵服務(wù)器的位置、帶寬、協(xié)議、設(shè)備、互聯(lián)網(wǎng)接口、防火墻配置和安全性等方面都可能導(dǎo)致風險。因此，對醫(yī)院信息化建設(shè)中計算機網(wǎng)絡(luò)進行全面審查，并提出風險分析報告和改進建議尤為重要。醫(yī)院做好信息化建設(shè)中計算機網(wǎng)絡(luò)安全管理與維護工作，可以使醫(yī)院非常準確地了解自身網(wǎng)絡(luò)或其他相關(guān)應(yīng)用系統(tǒng)的安全狀況，以及醫(yī)院信息安全管理體系，對醫(yī)院的系統(tǒng)性風險進行評估，確認醫(yī)院信息化建設(shè)中可能存在的安全風險問題。此外，對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的信息安全進行評估，可以進一步實施風險分類處理，使醫(yī)院能夠避免或減少未來可能因信息化建設(shè)中計算機網(wǎng)絡(luò)安全管理與維護問題而造成的損失。同時，醫(yī)院必須建立科學(xué)的信息化建設(shè)安全技術(shù)體系和管理監(jiān)督體系，使醫(yī)院能夠針對信息化建設(shè)制定有針對性的安全策略，并根據(jù)計算機網(wǎng)絡(luò)風險評估結(jié)果進行管理，以保證醫(yī)院信息化建設(shè)的安全。為更好地服務(wù)患者，近年來，醫(yī)院信息化建設(shè)越來越深入，醫(yī)院業(yè)務(wù)對信息化建設(shè)的依賴性也越來越大。為了向患者提供良好的醫(yī)療服務(wù)，醫(yī)院信息化建設(shè)中計算機網(wǎng)絡(luò)必須確保安全和可持續(xù)服務(wù)。除了傳統(tǒng)的信息化建設(shè)安全管理，醫(yī)院對信息化建設(shè)風險管理也有特定的要求，必須有效解決網(wǎng)絡(luò)開放性和安全性之間的緊張關(guān)系，有效防止未授權(quán)訪問和系統(tǒng)中斷攻擊。從技術(shù)層面來看，除了傳統(tǒng)的殺毒程序、防火墻等安全措施外，醫(yī)院信息化建設(shè)的安全需求主要表現(xiàn)在以下幾個方面：（1）內(nèi)外網(wǎng)安全通信：在使用醫(yī)院的信息化建設(shè)時，對內(nèi)部網(wǎng)絡(luò)、專用網(wǎng)絡(luò)以及外部網(wǎng)絡(luò)之間的信息交換有安全要求。（2）域控制：必須嚴格控制醫(yī)院的網(wǎng)絡(luò)。只有經(jīng)過認證的設(shè)備才能訪問網(wǎng)絡(luò)，并且可以明確限制其訪問權(quán)限。（3）信息傳輸中的加密：醫(yī)院信息化建設(shè)的應(yīng)用涵蓋了多個部門，在傳遞信息的過程中，需要采用加密方法對信息進行加密。（4）數(shù)據(jù)備份與容災(zāi)：醫(yī)院信息化建設(shè)中計算機網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括災(zāi)難恢復(fù)和數(shù)據(jù)備份，最好是異地備份。這些對醫(yī)院信息化建設(shè)的安全要求，要求醫(yī)院嚴格有效地管理計算機網(wǎng)絡(luò)安全。計算機網(wǎng)絡(luò)安全管理與維護作為醫(yī)院信息化建設(shè)安全管理的重要內(nèi)容，對于醫(yī)院了解當前信息化建設(shè)安全形勢，完善信息化建設(shè)安全管理措施，保障信息正常運行和發(fā)展，具有十分重要的作用和意義。

2醫(yī)院信息化建設(shè)現(xiàn)狀分析與計算機網(wǎng)絡(luò)安全風險分析