一种面向智慧城市的跨城市安全服务平台态势感知技术的方法
【技术领域】
[0001]本发明涉及一种面向智慧城市安全服务平台的态势感知技术的方法,尤其是支撑跨城市的智慧城市安全服务平台。
【背景技术】
[0002]随着网络时代的来临,互联网的规模和应用领域不断发展,其基础性、全局性的地位逐渐增强。同时,网络攻击和破坏行为日益普遍,且逐渐呈现出组织严密化、行为趋利化和目标直接化等特点。网络安全问题逐渐成为影响社会经济发展和国家战略部署的重要因素,是世界各国共同关注的焦点问题。然而,当前网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于彼此间缺乏有效的协作,使得各类安全产品的效能无法得到充分地发挥。网络系统的安全问题没有从根本上得以解决,且已成为影响Internet及其各类应用发展的主要问题。
[0003]智慧城市的研究在我国虽然刚刚起步,但已经出现了很强的发展势头。在全球智慧城市技术日新月异的今天,我国的“智慧城市”建设开始进入实质性的启动阶段,中国有近700个大中城市,大约有30000个小城镇。初步不完全统计:已有23个大中城市(北京、上海、深圳、广州、南京、武汉、成都、无锡、杭州、沈阳、宁波、佛山、昆山、镇江、张家港、扬州、兰州等)发布了智慧城市战略或者规划,还有60多个大中城市正在加紧规划中。
[0004]就整个智慧城市的建设而言,安全问题就更为突出、严重,随着智慧城市快速发展和应用系统应用深化,对信息技术的依赖日趋严重,服务范围变广、应用交互增多、数据交换频繁、系统构建复杂度增大,城市信息安全问题已经成为事关城市经济和社会稳定的重大问题,成为了城市管理者重点关注的牵一发而动全身的问题。目前大部分城市在此方面的安全体系还不是很完善、安全措施还不是很到位、安全防护能力亟待提高。
【发明内容】
[0005]为了克服上述智慧城市建设中面临的安全问题,提早对网络及系统的安全态势做出评价有利于发挥跨城市安全服务平台的优势。本发明提供了一种面向智慧城市的安全态势感知系统,该系统包括安全态势分析数据库、安全威胁主动发现和探测子系统、网络安全事件的关联分析与预警子系统、网络安全指数计算子系统和网络安全态势展示子系统。通过建设安全态势分析数据库,研制安全威胁主动发现和探测、安全态势数据监测、安全事件关联分析与预警、网络安全指数计算、网络安全态势展示等子系统,形成安全监测与态势感知服务系统,提供安全威胁检测、状态监测、安全态势感知和趋势预测等安全保障服务。本发明的安全态势感知系统支撑全国跨城市平台应用模式。
[0006]为了实现上述的目的,在神州数码智慧城市工程建设的基础上,建设一个服务能力覆盖全国的云安全服务平台,安全服务平台先期为神州数码已拥有智慧城市业务的8个地方城市信息系统提供统一的安全服务,包括城市内和跨城市的安全服务。
【附图说明】
[0007]图1面向智慧城市的跨城市安全服务平台安全态势感知服务建设内容
[0008]图2安全态势感知层次化模型
【具体实施方式】
[0009]1、安全态势感知系统建设内容
[0010]图1面向智慧城市的跨城市安全服务平台安全态势感知服务建设内容如下:
[0011]I)安全态势分析数据库
[0012]安全态势分析数据库,用于存储态势分析的相关数据,包括安全事件、资产配置及漏洞信息、安全基线信息、网络拓扑及配置信息、安全威胁以及关联规则等。数据库是分布式的,在中央级、省级、市级以及县级都有自己的网络安全态势分析数据库,且提供相应的数据的存储、查询、处理以及维护等功能。数据库信息能够及时更新,能随时更新新形态的木马病毒的特征(包括专门针对于政务网络的特殊木马);可以更新关联规则。及可以直接提供数据服务,可支持其他安全服务系统。
[0013]2)安全威胁主动发现和探测子系统
[0014]安全威胁主动发现和探测子系统以高级别的安全威胁探测功能为核心,能够主动探测各种新出现的威胁(尤其是特种木马),并能够根据异常行为模式甄别和捕捉最新的安全威胁。
[0015]3)安全态势数据监测子系统
[0016]安全态势数据监测子系统通过对网络信息流进行深度包检测(DPI),即对网络信息流的协议分布、应用状态、用户行为模式和内容代码特征进行深度检测,掌握网络和信息系统的总体运行状况,及时发现异常情况。
[0017]4)网络安全事件的关联分析与预警子系统
[0018]网络安全事件的关联分析与预警子系统对不同安全域、不同时间的多来源安全相关事件进行多维度(多种时空属性和网络属性)的关联分析,揭示和还原出真实的安全事件,识别真实的安全风险,并对重大安全事件进行预警。通过多源事件多维度的关联分析,提供全方位的安全态势分析服务。
[0019]5)网络安全指数计算子系统
[0020]网络安全指数计算子系统通过对当前安全事件的量化评估,计算当前时间范围内的网络安全指数。网络安全指数计算主要从网络基础运行维度、网络脆弱性维度和网络威胁性维度三个维度,对网络安全态势形成一个完整的评价。
[0021]6)网络安全态势展示子系统
[0022]网络安全态势展示子系统提供一套完整的针对网络安全态势的可视化展示工具,由通用报表生成软件、图形生成软件、地理地图态势展示软件以及通用数据库查询工具等部分组成。结合安全事件汇总分析与数据挖掘中查询与显示需求,实现网络安全态势展示。
[0023]经过态势分析与生成阶段,获得的态势以抽象的数据形式存在。如何经过恰当的表示,使得安全管理员能够直观、正确地理解安全态势,辅助安全态势头脑模型的形成,需要对安全态势进行有效的表示。对此,可考虑利用人的视觉处理能力,采取可视化手段,减少人们在认识全局或局部结构时所面临的认知上的负担,从而使安全管理员能从众多数据中迅速、准确地作出分析和判断。
[0024]已有安全的研究中,可视化表示主要集中在统计图上。例如,发现了多少漏洞,各级别漏洞所占的比例,出现了多少告警信息等,采用的是曲线、饼图等方式,这对于全网安全状态的表示还很不够。我们从全网安全的表示入手,考虑如下可视化方式:
[0025]态势评估曲线图:安全态势作为安全的全局视图,首先应向安全管理员提供安全的整体状态概念,即目前我们的网络是否安全。因此,需要一个总体态势评估的数据表示,通过该表示,安全管理员能够对全网的安全状态得出整体的判断。
[0026]基于网络逻辑图的安全状态分布图:作为全网的安全态势,安全管理员需要了解全网各部分的安全状态。节点链路图是表现网络逻辑拓扑最常见的方式,同时应在网络拓扑图的基础上表现网络各部分的安全状态。
[0027]基于网络地理图的安全状态分布图:在实际作战中,网络对抗是整个