态势感知方案
XX单位
安全感知平台项目建设方案
目录
1 项目概况 (1)
1.1 项目名称 (1)
1.2 编制依据 (1)
1.3 项目立项依据 (2)
1.4 项目建设的必要性 (3)
1.5 项目建设目标 (4)
1.6 总投资估算 (5)
2 需求分析 (5)
2.1 信息化和安全建设现状分析 (5)
2.2 行业现状和攻防对抗需求分析 (6)
2.2.1 传统威胁有增无减,新型威胁层出不穷 (6)
2.2.2 已有检测技术难以应对新型威胁 (7)
2.2.3 未知威胁检测能力已经成为标配 (8)
2.3 现有安全体系的不足分析 (8)
2.3.1 看不清自身业务逻辑 (9)
2.3.2 看不见潜藏威胁隐患 (10)
2.3.3 缺乏整体安全感知能力 (11)
3 方案理念 (13)
3.1 看清业务逻辑 (13)
3.2 看见潜在威胁 (14)
3.3 看懂安全风险 (15)
3.4 辅助分析决策 (16)
4 解决方案 (16)
4.1 方案概述 (16)
4.2 安全感知系统 (17)
4.2.1 系统架构 (17)
4.2.2 部署拓扑 (18)
4.2.3 组件实现 (19)
4.2.4 主要功能 (28)
4.3 监测响应服务 (41)
4.3.1 安全事件监测、预警和通报 (41)
4.3.2 安全事件应急响应处置 (42)
4.3.3 重要时期信息安全保障 (44)
4.3.4 常规驻场值守服务 (44)
5 方案价值和主要技术优势 (44)
5.1 全网业务资产可视化 (44)
5.2 全网访问关系可视化 (45)
5.3 多维度威胁检测能力 (47)
5.4 安全风险告警和分析 (48)
5.5 全局视角态势可感知 (49)
6 价格估算表..................................................... 错误!未定义书签。
1项目概况
1.1项目名称
XX市局网络安全态势感知项目
1.2编制依据
《中华人民共和国网络安全法》
《“十三五”国家信息化规划》(国发〔2016〕73号)
《信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006)
《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)
《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》
《国家信息化领导小组关于加强信息安全保障工作的意见》
《市、县两级机关“云上、智能防控”第一战略建设第一批任务清单》(浙公办〔2017〕157号)
1.3项目立项依据
习总书记在2016年“419讲话”中提出“全天候全方位感知网络安全态势”,将网络安全的思维模式从单纯强调防护,转变到注重预警、检测、响应的格局,安全能力从“防范”为主转向“持续检测和快速响应”,实时防御将以威胁为中心,以数据为驱动解决安全问题。
2016年12月27日,国务院全文刊发了《“十三五”国家信息化规划》,再次强调了态势感知的重要性,“十大任务”中的最后一项,“完善网络空间治理体系和健全网络安全保障体系”,再次提出“全天候全方位感知网络安全态势”。
2017年6月1日正式实施《中华人民共和国网络安全法》,明确指出国家建立网络安全监测预警和信息通报制度,相关部门应加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全检查信息,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于6个月;。
2017年7月28日,XX省厅下发《市、县两级机关“云上、智能防控”第一战略建设第一批任务清单》(浙公办〔2017〕157号)文件要求,开展网(含视频专网)网络流量还原取证系统建设,通过流量镜像方式记录关键网络节点的网络流量数据,能够在网(含视频专网)发生异常网络攻击和入侵后,能够通过倒查还原网络流量数据及时进行准确定位和取证,流量还原审计数据应保存6个月以上;
1.4项目建设的必要性
随着网络信息化工作的不断深入,信息主导警务的趋势日益明显,信息通信网同外部接入单位之间的数据交换量逐渐增大,网络的攻击、入侵、病毒、木马等各种类型的安全威胁日益增大,信息通信网上信息的完整性、安全性面临的挑战越来越多。
1、安全事件分析难度大,安全威胁处理陷入困局
随着通信网络的不断延伸与扩展,网络中的设备数量和服务类型也越来越多,网络中的关键安全设备和业务服务器产生了大量的安全事件日志,安全运维人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,工作效率极低,难以发现真正的安全隐患。
2、网络攻击越来越复杂,安全问题难以检测
云计算技术的发展将IT资产不断向虚拟化迁移,业务的增删查改变化大,IT业务向互联网、移动互联网、公有云的演进为攻击者提供了更多的攻击向量,安全边界变得越发模糊,而传统的安全防御模式还停留在网络与应用系统,导致看不清资产变化,看不清业务访问关系,更看不清内部的横向攻击、异常访问与违规操作,黑客一旦突破边界以后,往往利用合法用户身份渗透内部其他业务系统,窃取核心数据。
3、贯彻落实政策文件要求,全面加强信息安全建设
根据习主席“419讲话”精神和《网络安全法》等相关政策文件要求,结合我局安全建设需求,形成一套符合我局防御、监测、响应为一体的安全体系,对于全面推进我局安全建设具有指导意义。一方面消除高危安全隐患,提高抵御攻击能力,从整体上提高安全防护与监测水平;另一方面,通过建立快速的事件响应与处理机制,配合专业安全专家团队,防止因为响应能力不足导致安全威胁扩散,提升响应速度,提升响应效果,形成最佳实践。
1.5项目建设目标
本项目的建设目标是:强化XX市局网络信息安全监测预警能力,主要解决当前网网络的信息安全监测预警能力薄弱、数据来源单一等问题,进一步提高网突发安全事件监测和预警能力,实现市级结点和地市结点安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理。
通过部署监测管理平台、网络安全监测探针等,实现有效发现未知威胁攻击,达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。实现以下效果:?从防御层次向“持续检测、快速响应”步进,打造一站式的“预防,检测,响应,加固”的四维服务,真正做到“安全
态势可感知、安全威胁可预警、异常行为可监控、安全价值
可呈现”
?对现有业务系统核心资产进行识别,梳理用户与资产的访问关系;
?对绕过边界防御的进入到内网的攻击进行检测,以弥补静态防御的不足,第一时间发现已发生的安全事件;
?对内部用户、业务资产的异常行为进行持续的检测,发现潜在风险以降低可能的损失;
?对业务资产存在的脆弱性进行持续检测,及时发现业务上线以及更新产生的漏洞及安全隐患;
?对全市网的风险进行可视化的呈现,看到全网的风险以实现有效的安全处置;
1.6总投资估算
本项目总投资估算110万元,其中软硬件设备投资105万,集成和服务费5万。
2需求分析
2.1信息化和安全建设现状分析
内网建设是业务信息化建设的先导工程,XX市局按照部和省厅的网络安全和信息化发展的工作要求,结合本地的业务建设规模和特色,以统筹协调全市机关单位全面提升网基础网络建设、安全建设、业务建设为目标,构建XX市体系信息化建设,已建成警用地理平台、城市视频监控系统、警务综合平台、综合查询等关键业务系
统系统。从2013年开展网网络信息安全保障体系的规划设计及建设工作,目前项目各项建设工作进展正常。近年来重点完成了两方面的工作:一是有效支撑了全市各分局网络信息安全建设方向和保密检查工作;二是构建全市网信息安全服务支撑体系。初步形成了我局网络与信息安全工作推进的长效机制,实现了信息安全保障工作的体系化和常态化,全面提高了网内网业务安全水平。
为了进一步加快我局网络安全体系建设,推动各部门利用网络便捷安全的开展各类应用,充分发挥网的作用和效能,根据部和省厅相关政策文件精神,提升我局网络网络信息安全保障体系的服务能力,增加网信息安全基础设施及技术手段,加强安全威胁监测能力和预警能力,确保我局网安全运行和健康发展是我局网安全建设的主要课题。
2.2行业现状和攻防对抗需求分析
2.2.1传统威胁有增无减,新型威胁层出不穷
随着网承载的业务越来越多,边界越来越多,信息安全的问题也随之越来越严峻。目前,木马、勒索病毒、僵尸网络等新型攻击层出不穷,分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等网络攻击愈演愈烈。
以APT攻击为例,传统的安全防御工具已无法进行有效的防御。APT攻击不是一个整体,而是将众多入侵渗透技术进行整合而实现的隐秘性的攻击手法,可以在很长一段时间内逐步完成突破、渗透、
窃听、偷取数据等任务,其体现出两方面的特点——“针对性”和“持久性”。APT攻击的主要目标行业有政府、军队、金融机构、电信等行业,主要途径是通过电子邮件、社交网站、系统漏洞、病毒等一系列方式入侵用户电脑。
2.2.2已有检测技术难以应对新型威胁
传统的防御措施主要是依靠防火墙技术、入侵检测技术以及防病毒技术,任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这三样,传统的防御虽然起到了很大的作用,但还是面临着许多新的问题。
首先,用户系统虽然部署了防火墙,但仍然避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。并且未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
其次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然传统的防御仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处,因为它已经无法检测和防御新型攻击。简单的说,网络攻击技术已经超过了目前大多数企业使用的防御技术。
2.2.3未知威胁检测能力已经成为标配
Gartner公司的2016年信息安全趋势与总结中提出,当前我们所知道的关于安全的一切都在变化:常规路线逐渐失控;所有的实体需要识别潜在的攻击者;大量的资源将会组合使用;常规安全控制手段逐渐失效;需要从以堆叠来保护信息的方式进行改变;入侵、高级持续性攻击极难被发现。
在《Gartner 2016年信息安全趋势与总结》中提出:传统的安全手段无法防范APT等高级定向攻击;随着云计算、BYOD的兴起,用户的IT系统将不在属于用户自己所有或维护管理;仅仅靠防范措施是不能够应对安全威胁,安全监控和响应能力是安全能力的一个关键点;没有集体共享的威胁和攻击的情报,单个企业将无法保卫自己。报告中还发表了一个数据,预测2020年,60%的信息安全预算的将用于快速检测和响应方面,而2013还不到10%。
2.3现有安全体系的不足分析
目前,之所以难以及时发现黑客入侵的主要原因可以总结为“三个看不清”和“三个看不见”,继而由此产生了的安全技术保障体系和安全治理管理体系的脱节,简单堆砌的防火墙、入侵检测、防病毒等产品无法提供管理决策所需的数据支撑,而管理决策体系确定的安全策略也缺乏对应的抓手却检测是否真正实现和落地了。
2.3.1看不清自身业务逻辑
信息安全保障的是核心业务和数据资产,如果我们都不清楚被保护的主体包含了哪些系统、哪些资产以及他们之间是如何交互、如何互相访问的,那么就谈不上建立针对性的安全保障体系。越来越多的黑客攻击已经开始基于业务逻辑和业务流开始构建自己的攻击过程,例如著名的孟加拉央行劫案,都不是通用安全防护设备能够应对的;而来自恶意内部员工的窃密和攻击,多数时候甚至都不是严格意义上的网络攻击行为,更加无法依赖标准化交付的安全产品实现。
而“看不清”自身业务主要包括以下三个维度:
?看不清的新增资产产生安全洼地
关键IT资产的梳理和清单目录是许多IT运维人员最头疼的问题,特别是随着IT资产逐步向虚拟化迁移,新增部署一台虚拟机往往只需要数分钟的时间,而在服务器上开启服务或者端口的管控机制也不健全。
看不清的新增资产会因为缺少安全检查与访问控制,成为攻击者攻入关键业务区的跳板;看不清的资产配置信息及开放的服务端口,会由于缺乏安全访问规则的控制,成为远程接入的最佳途径;看不清的资产漏洞,会由于没有适当的安全加固,最简单的攻击代码就能轻易攻陷这些机器。
?看不清的业务关系使业务安全防护失效
目前大部分安全防护的重点均停留在网络与应用系统侧,对业务与数据访问的防护还不健全。黑客在突破和绕过边界以后,往往利用合法用户的计算机与身份对数据库、财务系统、客户关系管理系统等关键资产进行非法访问、数据窃取与资产破坏行为。而这些访问往往只是正常的增删查改操作,并不需要借用攻击代码或恶意软件,传统基于网络和应用系统的防御措置往往无法识别。
?缺乏有效手段主动识别新增业务
过去的IT管理需要大量管理设备与专业人士进行业务资产的识别与梳理,很多情况下要发现新增业务资产往往只能依赖定期的安全巡检,效率不高且滞后。如果不能通过自动化的手段对新增业务资产及其开放端口、使用协议、系统配置信息进行识别,以及对关键业务访问关系及其流量模型的可视化呈现,那么管理人员手里的资产台账永远都只是过去时态,难以应对安全事件分析的需求。
2.3.2看不见潜藏威胁隐患
“三个看不见”,即看不见黑客发起的内网横向攻击、看不见内部人员的违规操作以及看不见内网异常行为,其中:第一个看不见是指攻击者绕过边界防护后,发生在内网的横向移动攻击是无法检测到的,例如通过失陷主机向内网业务资产或业
务资产管理员发起的横向移动或者跳板攻击,包括内网嗅探、内网扫描、漏洞利用、远程控制、攻击会话等都无法被边界设备检测;
第二个看不见是指攻击者的行为往往不是病毒、漏洞利用等明显恶意行为,而是通过社会工程学、钓鱼、跳板等更加隐蔽的手段获取高级管理员的账号与权限,同时,内部潜藏的恶意用户也会通过窃取、窥探等手段获得合法权限;
第三个看不见是指攻击者在嗅探、突破、渗透、横移、会话维持、捕获占领的整个攻击链中,会将关键文件进行打包加密甚至隐写,所有的网络会话也会在加密通道上传输,而会话维持以及远程控制服务器的通信会夹杂在代理、VPN隧道、NTP、DNS等正常网络协议中混淆视听,从而隐藏自己的攻击行为。
在看不见的环境中与黑客较量无异于遮住眼睛与人搏斗,只有看清了全网业务和流量,对内部的攻击行为、违规操作和异常行为进行持续检测,利用威胁情报、流量监测、机器学习等核心技术有效识别内网中潜伏的威胁,才能通过可视化平台将这安全状态实时地展现给安全部门,从而让内鬼和黑客无所遁形。
2.3.3缺乏整体安全感知能力
安全技术保障体系和安全治理管理体系的脱节,主要是指安全组件发现的安全问题缺乏相应的检测分析能力和追溯能力,无法提供有效的事件应对处置闭环;而安全治理所需系统状态、安全态势也缺乏相应的感知和可视手段,无法实现真正的看到和看懂。
图2-1 传统的安全体系缺乏看到看懂的感知环节
?事后难以追溯取证
市面上绝大多数网络安全类产品只能保持HTTP、DNS等常见应用日志的记录,而ARP请求、数据包和特殊的网络行为则无法存储和识别。这将导致日志记录太过单一,引起文件误报等行为,给用户决策带来干扰。其次,在追溯网络犯罪过程中没有原始的数据包作为支撑,当我们故障排查的时候很难准确定位问题环节,阻碍深入追溯分析的进行,给攻击目标带来无法挽回的损失。
?单点检测管中窥豹
现如今的安全防御软件检测方式单一。如传统防火墙根据一定格式的协议对文件访问进行过滤,不能防范攻击者IP欺骗攻击;反病毒软件根据病毒特征或者黑白名单判断文件攻击性,无法阻止变种软件攻击等。而当前新型病毒具备多样性和高度隐藏功能,能够在不同的环境中通过合理的变形和伪装躲避反病毒软件的查杀,最终侵入系统核心部位爆发。
这些新型攻击手段,显然需要防御者能够综合分析多维度的信息,进行综合判断才能进行及时的检测和处置。
3方案理念
针对传统安全保障体系难以新型威胁和APT攻击,以及缺乏看到看懂的感知环节的不足,提出了基于行为检测和关联分析技术、对全网流量进行安全监测的可视化和预警检测解决方案。方案设计体现适用性、前瞻性、可行性的基本原则,实现安全效果可评估、安全态势可视化。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计实现的。
图3-1 安全感知平台整体逻辑架构
3.1看清业务逻辑
信息安全的核心目标是解决组织和企业核心业务的安全、稳定运行,如果安全检测系统不了解信息系统的资产有哪些、业务逻辑关系如何,而是无论在哪一个客户的网络中都复用同一套安全判断
准则,那么它提供的检测能力显然是脱离实际的。所以未知威胁检测和安全感知的首要需求就是看清业务逻辑,即:
?能够对业务系统的核心资产进行识别,梳理用户与资产的访问关系;
?对业务资产存在的脆弱性进行持续检测,及时发现新业务上线以及系统更新产生的漏洞及安全隐患,识别新增业务资产以及业务访问关系;
3.2看见潜在威胁
信息安全是一个涉及多个领域的复杂问题,攻击者可能包括外部黑客、心怀不满的员工、以及内外勾结等各种情况,攻击途径更是包括了暴力攻击、社会工程学、恶意代码、APT、漏洞利用等等数百种不同手段。防御者需要全面监控,但攻击者只需要一点突破即可,如果没有系统的检测能力,即使别人告诉你被黑客攻击了,都找不出黑客是怎么攻击的。
而新一代的未知威胁检测和安全感知技术,正是由于其对现有业务及其逻辑关系具备深入的理解,就能够有别于传统检测系统,实现更加全面的潜伏威胁检测和安全态势感知分析能力:
?传统的安全防御体系过于关注边界防护,对绕过边界防御的进入内网的攻击缺乏监测手段,需要对东西向流量和访问行为进行监测和分析,弥补传统边界和静态防御的不足;
?黑客攻击过程特别是以窃取信息为目的的APT攻击,都具备较长的攻击链条,如果能够对网络内部信息资产已发生的安全事件进行持续检测,就能够通过对不同事件和告警之间的关联分析,真正还原整个攻击链从而及时遏止黑客进一步攻击,在产生实际危害前进行封堵;
?对内部用户、业务资产的异常行为进行持续检测,通过建立合法行为基线,对传统入侵防御系统无能为力的内鬼作案和内外勾结窃取敏感信息行为进行监控;
?针对新型威胁快速更新迭代的特点,就更加需要建立海量威胁情报关联体系,通过国内外权威情报库和云端关联强化新型威胁检测能力;
3.3看懂安全风险
信息安全系统除了需要能够及时发现问题外,还需要保障系统的易用性,确保客户技术人员能够方便快速的发现安全问题、了解影响范围、定位问题源头,提供响应的展示告警和分析举证服务。只有人性化的安全事件分析告警和举证分析服务,才能真正为安全保障部门的事件分析和应急处置提供有效帮助:
?打破传统的网络拓扑展示局限,采取基于系统业务逻辑的业务访问视图,安不安全、哪里不安全一目了然;
?从运维和安全应急人员视角,在失陷业务、风险用户和有效攻击等不同维度分析和展示安全风险,方便定位安全问题;
3.4辅助分析决策
除了专业的威胁检测和风险分析效果,安全感知的核心目标还是全面展示安全态势与辅助安全决策分析:
?安全态势展示:可视化的形式呈现关键业务资产及针对关键业务资产的攻击与潜在威胁,通过全网攻击监测、分支机构监管、风险外联监测等多个不同视角的大屏展示,提供对失陷业务和主机的报告导出和分析服务,为信息安全主管提供驾驶舱式的辅助决策服务。
?辅助决策分析:通过访问逻辑展示、主机威胁活动链分析、安全日志举证和查询、以及基于特定资产的深度业务逻辑分析和威胁攻击链钻取(潜伏威胁黄金眼),更是可以快速定位问题影响和源头,进行相应的分析研判;
4解决方案
4.1方案概述
基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路,安全感知解决方案主要通过技术监测平台和相关安全监测服务共同实现,由安全感知系统建立基本的潜伏威胁检测和安全感知能力,而专业的云端安全专家和应急响应专家团队则为客户提供系统的检测响应闭环服务。
4.2 安全感知系统
4.2.1 系统架构
图3-2 安全感知平台系统架构
安全感知平台是基于威胁建模、行为分析技术,对全网流量进行检测分析的可视化平台,支持模块化的方式逐步引入多种数据源,基于大数据分析和威胁情报共享技术提供全网安全感知和预警服务。
图3-3 安全感知平台数据流程
?
采集层基于探针/EDR/其他安全设备进行收据收集,数据来源更齐静态样本
系统、软件
行为数据(进程、网络访问、文件…)
硬件资产1
电力物联网全场景安全态势感知解决方案
电力物联网全场景安全态势感知解决方案 电力物联网全场景态势感知解决方案根据电力物联网典型的“云、网、边、端”分层结构构建安全防护体系,提升电力物联网全场景安全态势感知能力,解决电力物联网安全态势感知体系欠缺和应急响应能力不足的问题。 摘要 电力物联网全场景态势感知解决方案根据电力物联网典型的“云、网、边、端”分层结构构建安全防护体系,提升电力物联网全场景安全态势感知能力,解决电力物联网安全态势感知体系欠缺和应急响应能力不足的问题。对全业务电力物联网的各环节进行安全保障,防止恶意渗透攻击、防止数据丢失、防止恶意篡改,确保接入终端可信、传输通道可靠、业务应用可控,实现全景安全监测,全面提高全业务电力物联网安全综合防御能力。 关键词:电力物联网;全场景安全态势感知体系;云边协同;局部安全自治;联防联动机制 内容目录: 0 引言 1 目标及内涵 1.1 电力物联网特点
1.2 总体目标 2 关键产品及防护能力 2.1 “云”态势感知技术及产品 2.2 “网”态势感知技术及产品 2.3 “边”态势监测技术及产品 2.4 “端”态势监测技术及产品 3 应用案例 4 结语 0引言 电力物联网是物联网在电力行业的具体表现形式和应用落地,通过将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备,以及人和物连接起来,产生共享数据,为用户、电网、发电、供应商和政府社会服务,以电网为枢纽,发挥平台和共享作用,为全行业和更多市场主体发展创造更大机遇,提供价值服务。作为落实建设能源互联网,加快新型数字基础设施建设的核心任务,建设电力物联网势不可挡。 然而,电力物联网的建设将极大改变现有电力业务模式和专业体系,也不可避免的对电网现有网络安全防护体系产生冲击;同时,随着国内外安全形势的不断变化,以及国家要求的进一步明确,都对物联网安全提出了新要求。
态势感知整理版
态势感知研究和应用现状 0、定义 0.1态势感知 “态势感知”这个词最早源于军事。美国研发的各类导弹预警系统,就是这个概念最初的应用。公认的态势感知概念是:在特定时空下,对动态环境中各元素或对象的感知、理解以及对未来状态的预测。 0.2网络态势 网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 0.3网络态势感知 网络态势感知则是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势。网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报。[3] 态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋势做出预测;整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化,会影响到其他网络实体的状态,进而影响整个网络的态势。 0.4网络安全态势感知 网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取有效措施;网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。[7] 0.5深度态势感知 深度态势感知的含义是“对态势感知的感知,是一种人机智慧,既包括了人的智慧,也融合了机器的智能(人工智能)”,是能指+所指,既涉及事物的属性(能指、感觉)又关联它们之间的关系(所指、知觉),既能够理解弦外之音,也能够明白言外之意。它是在Endsley以主体态势感知(包括信息输入、处理、输出环节)的基础上,是包括人、机(物)、环境(自然、社会)及其相互关系的整体系统趋势分析,具有“软/硬”两种调节反馈机制;既包括自组织、自适应,也包括他组织、互适应;既包括局部的定量计算预测,也包括全局的定性算计评估,是一种具有自主、自动弥聚效应的信息修正、补偿的期望-选择-预测-控制体系。从某种意义上讲,深度态势感知是为完成主题任务在特定环境下组织系统充分运用各种类人认知活动(如目的、感觉、注意、动因、预测、自动性、运动技能、计划、模式识别、决策、动机、经验及知识的提取、存储、执行、反
智能态势感知系统
智能态势感知系统 产品简介 产品文档
【版权声明】 ?2013-2018 腾讯云版权所有 本文档著作权归腾讯云单独所有,未经腾讯云事先书面许可,任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。 【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算(北京)有限责任公司及其关联公司所有。本文档涉及的第三方主体的商标,依法由权利人所有。 【服务声明】 本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况,部分产品、服务的内容可能有所调整。您所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定,除非双方另有约定,否则,腾讯云对本文档内容不做任何明示或模式的承诺或保证。
文档目录 产品简介 产品概述 产品优势 应用场景
产品简介 产品概述 最近更新时间:2018-12-18 17:16:40 什么是腾讯态势感知(私有云)? 腾讯态势感知(私有云)(下文也叫御见)是腾讯面向政府、军队、金融、制造业、医疗、教育等大型企事业单位,推出的安全大数据分析及可视化平台。御见以安全检测为核心、以事件关联分析和腾讯威胁情报为重点、以 3D 可视化为特色、以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险,进行深度检测,为企业提供及时的安全告警。通过对海量数据进行多维度分析和及时预警,能及时智能处理安全威胁,实现企业全网安全态势可知、可见、可控的闭环。 主要功能 态势总览 通过态势总览,直观展示企业在全网范围内的资产安全状况、最新待处理威胁、风险事件、安全事件趋势等,运用安全评分、趋势图、柱状图、分布图等直观图形,实现可视化展示,结合平台所收集、加工、分析后的多维数据,直观查看结果,方便安全运维人员及时发现和处理威胁,从而帮助客户有效洞察企业所面临的外部威胁和内部脆弱性风险,极大地提高了安全运维团队的监测、管理、处置安全事件的效率。 资产感知 提供资产可视功能,帮助用户从资产的角度了解安全态势。盘点现有资产,对资产进行编辑管理。通过流量发现、第三设备导入、用户主动添加等手段,摸清企业内网资产,建立完整、丰富的资产库,为实现威胁、风险事件与企业内网资产紧密关联打下基础,方便运维人员对企业内网资产进行管理。 威胁发现 对接第三方设备日志、流量日志、威胁情报等数据,御见大数据分析平台对数据进行清洗、过滤、归一后,进行安全规则检测,实时发现最新威胁事件,并进行威胁态势感知与威胁事件告警,方便运维人员查询具体的威胁事件,从中获得威胁事件更详细信息,帮助调查分析、溯源事件、联动处置问题。 风险预警 实时收集互联网最新安全漏洞情报,向客户传递最新漏洞情报。通过持续监控外部威胁和内部风险,全面分析事件详情,为客户提供专业的处置方案,协助客户快速定位问题、精准定位溯源、及时正确处置威胁,做到及时查漏补缺、防患未然。
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
【安全】信息安全态势感知平台技术白皮书
【关键字】安全 信息安全态势感知平台 技术白皮书 注意 本文档以及所含信息仅用于为最终用户提供信息,成都思维世纪科技有限责任公司(以下简称“思维世纪”)有权更改或撤销其内容。 未经思维世纪的事先书面许可,不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。 本文档以及本文档所提及的任何产品的使用均受到最终用户许可协议限制。 本文档由思维世纪制作。思维世纪保留所有权利。
目录 1.综述....................................................................... 错误!未定义书签。 1.1.项目背景.......................................................................... 错误!未定义书签。 1.2.管理现状.......................................................................... 错误!未定义书签。 1.3.需求描述.......................................................................... 错误!未定义书签。 2.建设目标............................................................... 错误!未定义书签。 3.整体解决方案 ...................................................... 错误!未定义书签。 3.1.解决思路.......................................................................... 错误!未定义书签。 3.2.平台框架 ........................................................................ 错误!未定义书签。 动态掌握全网风险状态 ................................... 错误!未定义书签。 实时感知未来风险趋势 ................................... 错误!未定义书签。 安全管理提供数据支撑 ................................... 错误!未定义书签。 决策执行效果进行评价 ................................... 错误!未定义书签。 4.平台功能介绍 ...................................................... 错误!未定义书签。 4.1.全网安全风险实时监测.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.2.业务系统安全风险管理.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.3.内容安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.4.数据安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.5.重大安全事件态势分析.................................................. 错误!未定义书签。
态势感知方案
XX单位 安全感知平台项目建设方案
目录 1 项目概况 (1) 1.1 项目名称 (1) 1.2 编制依据 (1) 1.3 项目立项依据 (2) 1.4 项目建设的必要性 (3) 1.5 项目建设目标 (4) 1.6 总投资估算 (5) 2 需求分析 (5) 2.1 信息化和安全建设现状分析 (5) 2.2 行业现状和攻防对抗需求分析 (6) 2.2.1 传统威胁有增无减,新型威胁层出不穷 (6) 2.2.2 已有检测技术难以应对新型威胁 (7) 2.2.3 未知威胁检测能力已经成为标配 (8) 2.3 现有安全体系的不足分析 (8) 2.3.1 看不清自身业务逻辑 (9) 2.3.2 看不见潜藏威胁隐患 (10) 2.3.3 缺乏整体安全感知能力 (11) 3 方案理念 (13) 3.1 看清业务逻辑 (13) 3.2 看见潜在威胁 (14)
3.3 看懂安全风险 (15) 3.4 辅助分析决策 (16) 4 解决方案 (16) 4.1 方案概述 (16) 4.2 安全感知系统 (17) 4.2.1 系统架构 (17) 4.2.2 部署拓扑 (18) 4.2.3 组件实现 (19) 4.2.4 主要功能 (28) 4.3 监测响应服务 (41) 4.3.1 安全事件监测、预警和通报 (41) 4.3.2 安全事件应急响应处置 (42) 4.3.3 重要时期信息安全保障 (44) 4.3.4 常规驻场值守服务 (44) 5 方案价值和主要技术优势 (44) 5.1 全网业务资产可视化 (44) 5.2 全网访问关系可视化 (45) 5.3 多维度威胁检测能力 (47) 5.4 安全风险告警和分析 (48) 5.5 全局视角态势可感知 (49) 6 价格估算表..................................................... 错误!未定义书签。
态势感知研究的方法论
2011.02/中国信息安全/ 41 文/中国科技大学网络态势感知研究中心 王砚方 态势感知研究的方法论“态势感知”是网络安全文献中使用频度相当高的一个术语,态势感知已成为研究网络安全所必需解决的问题,但业内的专家对此可能有不同的理解。本文企望通过相关的介绍和分析提出一己的看法。“态势感知”概念的来源由于人的因素在动态系统(如飞机驾驶、空中交通管制、电力网管理等)中彰显出越来越大的重要性,M.R.Endsley在1995年提出人类决策模型,总结出包括采集、理解和预测三个层次的态势感知模型。此模型基于各元素间的确定关系,例如由飞机的航速、方位角及风速判断它的落地点和落地时间,机场的空中交通管理人员就可以按事先确定的方案引导飞机安全降落。再如战斗机驾驶员根据空中环境的动态变化,按规定的程序作战场上的各种相应的战术动作。在自动控制设备运行时,遇到异常时操作员如何介入,也可按专家事先制定的方案进行。总之,Endsley模型是指导人——机器的互动的原则:如果用较多的人工,可以得到对机器设备状态的较多的感知,因而可使设备接近最佳的状态;而如果自动程度较高,可以节省人工,但操作员的感知较少,遇 到不理想的情况就难以作出抉择,在这个问题 上,Endsley模型就是要解决人工同自动化之间最好的折中。这种模型适用于处理简单的系统,专家的先验的成分较多。显然,它不适用于复杂网络。事实上自这个模型提出的十五年来,在许多方面开拓了研究,如人员培训、设计、工作团队协调等方法有不少成果。国内有学者把它作为通用的理论模型,提出基于流量和局域网的单机日志的数据融合,建立大规模网络安全的态势评估模型。 到上世纪末,已经有人意识到仅靠在单个计算机上的防入侵设备已不能解决网络的安全问题,出现了把网络上安全传感器和计算机上的防入侵等
业互联网安全监测与态势感知解决方案
业互联网安全监测与态势感知解决方案
一、项目概况 通信管理局担负协调管理省内通信网、互联网、工业互联网网络信息安全的重要职责。为进一步规划统筹省内工业企业网络安全建设,推进“两化融合”进程,实现工业网络向数字化、网络化、智能化转变,某省通信管理局与中新赛克独家合作,通过在监管侧部署工业互联网安全监测与态势感知平台,实现对设备和控制的安全防护、对工业网络进行风险评估、态势感知、监测预警及应急处置。 1.项目背景 今年来,我国从法律法规、战略规划、标准规范等多个层面对工业互联网安 全做出了一系列工作部署,提出了一系列工作要求。某通信管理局在对管局侧信 安系统“专线资源”进行审核时发现,省内企业基数大、工业资产类型繁杂难以实 现有效地统一监管,主要存在以下几种典型的安全问题: ●部分基础企业对互联网专线信息存在漏报、误报等问题,导致管局对专 线数据监管不全,且缺少核验机制; ●对于专线的使用仅仅存在于数据统计,缺乏数据资源获取手段和对专线 数据进行深入挖掘分析的技术手段,无法发现数据的潜在价值; ●缺少对工业互联网协议与设备的识别能力、缺少对专线中存在的工业互 联网安全事件的监测预警、处置溯源能力、安全态势分析能力; ●针对专线接入的重点用户、关键基础设施缺少安全监管和保障手段。 因此,为规范对专线监管的内容和范围,省通信管理局希望通过部署工业互 联网安全监测与态势感知平台,实现对违法开办互联网信息服务进行管控、黑灰 产业链监测预警、防范互联网诈骗、为工业互联网安全等工作打下基础。 2.项目简介 本项目提出的工业互联网安全联动解决方案以工业网络安全数据、关键基础 设施行业数据为基础,以包含工控设备资产指纹、漏洞信息、安全设备信息、物 联网传感数据及工业网络模型等海量数据的资源池为支撑,运用自主知识产权的 云计算、大数据及人工智能安全感知技术,精准定位暴露在网上的工业系统、工业 云平台以及工业设备,进行全面的漏洞扫描,并通过AI 分析网络安全威胁态
安全态势感知系统
点击文章中飘蓝词可直接进入官网查看 安全态势感知系统 安全态势感知已经开始逐渐为大众所熟知,各大网络安全技术公司纷纷发布网络安全态势感知解决方案,安全态势感知也成为网络安全的热点。安全态势感知系统通过收集各类安全日志,实时监控网络流量,利用大数据实时分析,采取主动的安全分析和实时态势感知,快速发现威胁,控制威胁。今天给大家介绍一下如何选择比较好的安全态势感知系统? 安全态势感知系统提供主动获取和被动接收多种事件获取方式,可收集所有类型的事件信息。利用模式匹配进行数据解析,可解析所有格式的事件与日志,事件解析过程中,对解析规则进行智能学习,自动进行规则分类,可实现快速解析。正则表达式可灵活配置,灵活接入新的事件与日志信息,产品可自由扩容,具备灵活的事件合并策略及强大的事件合并能力。 安全态势感知系统流量监控实时监控网络流入流出的网络流量,通过对流量进行协议识别和深度包检测,并对数据包进行还原与重组,提取数据流量中的内容,并对内容进行检测,通过对检测结果的分析,发现数据流量中的异常行为,携带的病毒、木马以及恶意软件,隐藏的泄密行为等。 安全态势感知系统基于僵尸网络活动模式的僵尸网络检测、多维交叉关联的网络安全事件分析挖掘、基于协作的慢速DDoS检测、基于推理空间划分的大规模并行推理引擎、多种预测方式有机结合的网络安全态势预测、基于特征事件序列频繁情节的预测技术、基于高容错、自适应神经网络的预测技术。通过大数据实时、多维度关联分析,挖掘真正的威胁,利用数据挖掘与机器学习提升网络安全态势预测能力。产品内置丰富的关联分析规则,并提供灵活的规则配置界面,可根据需要自由配置,关联分析引擎可自由扩展,通过调度中心灵活控制,产品具有自由的扩容能力与强大的分析能力。 安全态势感知系统告警分析对关联分析结果进行深入分析,结合漏洞信息、资产信息、告警策略信息等,分析告警事件与资产之间的关联关系,告警事件与漏洞之间的关联关系,利用网络安全指标体系计算网络风险值,发现高风险事件,高风险资产,并对整体威胁告警情况进行自动调整。针对分析发现的可疑威胁源与高风险事件,进行持续跟踪分析,并结合历史告警事件进行关联分析,挖掘隐藏的真正威胁,发现长期持续的攻击行为。告警处理以工单派发的形式通知告警处理人员,告警处置为告警分析专家提供调整告警级别的功能,告警处理完成后
IDC安全态势感知系统研究与应用
Computer Science and Application 计算机科学与应用, 2019, 9(8), 1611-1624 Published Online August 2019 in Hans. https://www.360docs.net/doc/4017869410.html,/journal/csa https://https://www.360docs.net/doc/4017869410.html,/10.12677/csa.2019.98181 Research and Application of IDC Security Situation Awareness System Zongfu Li1*, Kang Chen1, Ang Li2, Yang Li1 1School of Computer Science, Wuhan University, Wuhan Hubei 2Shenzhen Power Supply Bureau Co. Ltd., Shenzhen Guangdong Received: August 7th, 2019; accepted: August 22nd, 2019; published: August 29th, 2019 Abstract IDC equipment room is responsible for handling the massive data information at all times, and it is of great significance to discover and deal with the hidden dangers in time. In view of the lack of security awareness in data center, the lack of management work, the stubborn existence of illegal and illegal information, and the lack of trace information, this paper designs and implements an IDC security situational awareness system, which implements the early warning of abnormal de-vice information and IP and statistics of illegal and illegal information. Firstly, the overall solution of the system is proposed. The overall architecture, logical architecture, functional modules and structural units of the system are designed. Then the specific implementation methods of each function are described. Finally, the system is fully tested and the feasibility of the system is veri-fied, it has been put into practical use. Keywords IDC, Information Security, IP Detection, Keyword Filtering, Report Statistics IDC安全态势感知系统研究与应用 李宗福1*,陈康1,李昂2,李阳1 1武汉大学,计算机学院,湖北武汉 2深圳供电局有限公司,广东深圳 收稿日期:2019年8月7日;录用日期:2019年8月22日;发布日期:2019年8月29日 摘要 IDC机房时刻承担着处理海量数据信息的重任,及时发现和处理其中的安全隐患具有十分重要的意义。 *通讯作者。
精选-信息安全-深信服安全感知平台(SIP)解决方案模板
1. 目概况 1.1 项目名称 XXX单位安全态势感知项目、XXX单位内网安全监测、XXX单位全网安全可视化项目等等 1.2 编制依据 以下标准作为参考,根据项目实际情况进行增删 1)国家信息安全法规与技术标准文档 《中华人民共和国网络安全法》 《“十三五”国家信息化规划》(国发〔2016〕73号) 《信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息安全技术信息系统通用安全技术要求》(GB/T 20271-2006) 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006) 《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006) 《信息安全技术网络基础安全技术要求》(GB/T 20270-2006) 《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》 《国家信息化领导小组关于加强信息安全保障工作的意见》 2)本省/集团公司政策文件 《xx省电子政务发展规划(2014-2020)》 《xx省电子政务信息安全管理暂行办法》 …… 1.3 建设目标、建设内容和建设周期 本项目的建设目标是:强化xx单位网络信息安全监测预警能力,主要解决当前xx网络的信息安全监测预警能力薄弱、数据来源单一等问题,进一步提高xx
网络突发安全事件监测和预警能力,实现整体网络的安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理。 通过部署监测管理平台、网络安全监测探针等,实现有效发现未知威胁攻击,达到从局部安全提升为全局安全、从单点预警提升为协同预警、从模糊管理提升为量化管理的效果。 本项目的主要建设内容有: 安全感知系统建设; 监测预警响应服务; 其他计划整体打包交付的安全能力: 本项目的建设周期x 个月,从xxx年xx月至xxx年xx月, 监测预警和响应服务将延续到项目实施并验收通过后的x年。 1.4 总投资估算 本项目总投资估算xx万元,其中软硬件设备投资xx万,集成和服务费xx万。 1.5 文档结构安排 本方案重点介绍xx单位安全态势感知项目建设相关内容,全文结构如下:第2章从用户现状、行业现状和安全管理等方面对项目建设需求进行分析; 第3章基于现状分析提出我司的安全感知理念; 第4章阐明系统设计方案的主要内容和技术原理; 第5章进一步回顾方案的主要价值和优势; 第6章为初步的报价估算。
2019年安全可视化与态势感知平台研发及产业化项目可行性研究报告
2019年安全可视化与态势感知平台研发及产业化项目可行性研究报告 2019年4月
目录 一、项目概况 (3) 二、项目建设的必要性 (3) 1、顺应市场需求,促使网络威胁可视化 (3) 2、产品升级换代,形成公司业务优势,提升竞争力 (4) 三、项目建设的可行性 (4) 1、产业政策大力扶持 (4) 2、良好的人才和技术储备 (5) 四、项目建设资金计划 (5) 五、项目实施方式及地点 (6) 六、项目实施进度 (6) 七、项目效益测算 (7)
一、项目概况 安全可视化与态势感知平台融合业务视角与安全视角关键数据,在安全域基础架构之上构建基于安全生态下业务全生命周期的策略自适应分析与可视化平台,为业务运行安全保驾护航。该项目将在加强现有的核心技术研发和配套条件基础上,投入更多的技术资源,加大自主创新力度,在基于大数据的安全分析、机器学习、威胁感知算法建模、安全可视化技术等方面进一步提升并完善安全可视化与态势感知平台。同时通过市场推广,聚焦行业应用,力争将平台打造成政府或企业整体网络安全态势感知解决方案不可或缺的“内网感知”组件,满足企业发展和国民经济建设的需要,从而取得良好的经济效益及社会效益。 二、项目建设的必要性 1、顺应市场需求,促使网络威胁可视化 随着互联网技术的发展和社会信息化程度的不断提高,网络安全受到了越来越多的关注。面对种类繁多的攻击威胁,传统的安全产品或安全手段一般只能在一定范围内发挥特定的作用,互相之间缺乏有效的数据融合和协同管理机制。同时,面对众多分散的信息,网络安全管理人员无法及时的发现、应对这些网络攻击威胁。因而,众多客户具有了解整体网络安全状况,预警未知威胁的迫切需求,恶意威胁的集中化、可视化和可分析化渐渐成为企业对安全投资的趋势,安全
突发事件态势感知与决策支持的大数据解决方案
当前,我国应急管理体 系主要采用“预测— 应对”型模式[1],主要依赖经验决策、专家咨询、临场会商等传统方法,适用于应对小规模、规律性较强、复杂程度不高、事件态势演变缓慢的突发事件,例如普通的洪涝灾害、可预见的泥石流滑坡、小规模的流感流行等。对于前兆不明、难以准确预测、具有严重灾难后果的非常规突发事件,例如2003年SARS流行、2008年“5?12”汶川特大地震、2009年甲型H1N1流行和2013年“4?20”芦山强烈地震等非常规性的重特大突发事件,其应急响应通常面临极端环境、资源紧张、信息匮乏、高度时效、心理压力、利益冲突等非常态的特殊问题[2],其现场实时信息纷繁复杂且高度动态变化,政府部门间、社会民众间、政府与社会、政府与受灾者等高度融合,相互关联,应急指令往往导致连锁变化,“预测—应对”型应急管理模式很难适应非常规突发事件应急管理的高度时效性、全面性、动态性和交互性要求[3]。 2009年,国家自然科学基 实时掌控,掌控突发事件态势 则取决于事件相关数据全面、 及时、有效的获取及基于数据 的理解与认知。 互联网与移动网络的快速 发展和普及,尤其是社交网络、 微博、博客、播客、在线论坛等 Web社会媒体(Social Media) 的广泛应用,使得社会大众的 信息沟通与实时交互能力达到 空前水平,同时,极大地激发了 大众参与社会事务的热情。大 众不仅能够实时分享并获取信 息,而且能参与创造和传播信 息,网络的社交化、即时化、个 性化已成为不可逆转的发展趋 势[6-8]。近年发展趋势表明,非 常规突发事件一旦出现,我国 的亿万网民会迅速汇集起来并 参与其中,由此形成了滚滚的 数据洪流,包括灾情、救援、生 命通道、避难场所、募捐等,构 成了突发事件大数据,即时性 和交互性强。这些数据的有效 利用,对突发事件科学决策有 着很高的指导价值。 本文主要面向现实物理世 界—虚拟网络空间耦合环境中 非常规突发事件应急管理的特 殊性要求,探讨网络社会化时金委管理科学部启动了“非常 规突发事件应急管理研究”重 大研究计划,核心目标是构建 “情景—应对”型非常规突发 事件应急管理的理论体系,增 强应急管理科技的自主创新能 力。经过几年努力,“情景—应 对”型应急管理模式已在我国 学术界形成共识[1-5],并通过理 论与技术的不断完善,向政府 和产业界推行,逐步确立突发 事件“情景—应对”型应急管理 的新模式。突发事件“情景—应 对”型应急管理,首先需要对物 理和社会空间的突发事件进行 实时而全面的监控与智能分析, 从海量、分散、非结构化、实时 变化的灾情数据中挖掘出有价 值的情报,通过分析获取当前 态势的总体描述,进行态势推 演,而后进行综合研判和决策, 及时将相关信息提供给最需要 的人,使决策者作出恰如其分 的现场处置与应急部署。同时, 还需要及时获取应急管理措施 实施效果的反馈,指导修正应 急管理措施。究其实质,关键在 于突发事件实时监测数据驱动 下的科学决策,而科学决策的 关键则在于对突发事件态势的 突发事件态势感知与决策支持的大数据解决方案*文 曾大军 曹志冬 [摘要] 论文分析了网络社会化时代突发事件大数据的产生背景,并通过“5?12”汶川特大地震和“4?20”芦山强烈地震中Web社会媒体的角色与作用对比,揭示了现实物理世界—虚拟网络空间耦合环境中Web社会媒体及大数据给突发事件态势感知带来的机遇与挑战。在此基础上,归纳突发事件大数据应用需要解决的关键技术难点,提出了一套应用大数据实现突发事件态势感知与决策支持的理论解决方案。 [关键词] Web社会媒体;大数据;非常规突发事件;态势感知 *本文是国家自然科学 基金项目(91024030; 91324007;90924302; 91224008)的阶段性研 究成果。 专家视点