基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)安全威脅情報工作思路探討

王曉周，喬喆，李雨昂，李斐

（中國移動通信集團(tuán)公司信息安全管理與運行中心，北京 100053）

隨著信息技術(shù)飛速發(fā)展，網(wǎng)絡(luò)安全威脅形勢日益嚴(yán)峻。早在2010年就爆發(fā)了著名的Google“極光”事件，網(wǎng)絡(luò)犯罪團(tuán)體采用高級持續(xù)性攻擊模式（APT）滲透入侵Google公司計算機長達(dá)數(shù)月，導(dǎo)致關(guān)鍵知識產(chǎn)權(quán)數(shù)據(jù)被盜。2017年5月，Wanacry勒索病毒席卷全球，150多個國家的近30萬臺終端被襲擊，但美國政府網(wǎng)絡(luò)幾乎未受影響，其主因是美國網(wǎng)絡(luò)威脅情報整合中心（CTIIC）在讓白宮掌握事態(tài)發(fā)展方面發(fā)揮了重大作用。總體來看，網(wǎng)絡(luò)攻擊呈現(xiàn)出越來越強的隱蔽性、持續(xù)性和目的性，導(dǎo)致我們不得不以“假設(shè)可能或者已遭受入侵”的方式來思考如何做好網(wǎng)絡(luò)安全防護(hù)，而充分利用網(wǎng)絡(luò)安全情報是實現(xiàn)主動防護(hù)的關(guān)鍵所在。

我國基礎(chǔ)電信運營商作為國有大型電信企業(yè)，運營著全球最龐大的基礎(chǔ)通信網(wǎng)絡(luò)，擁有海量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要敏感數(shù)據(jù)，做好網(wǎng)絡(luò)安全防護(hù)的重要性不言而喻。而傳統(tǒng)被動式防護(hù)手段已很難滿足運營商網(wǎng)絡(luò)安全防護(hù)需求，網(wǎng)絡(luò)安全防護(hù)的思路要由過去基于漏洞為中心向基于威脅情報為中心轉(zhuǎn)變，而如何持續(xù)獲取高價值的網(wǎng)絡(luò)安全威脅情報，形成完善的網(wǎng)絡(luò)安全威脅情報工作體系，將成為實現(xiàn)轉(zhuǎn)變的重中之重。

本文分析了當(dāng)前國際、國內(nèi)網(wǎng)絡(luò)安全威脅情報工作體系發(fā)展情況，從基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)安全威脅情報工作現(xiàn)狀及問題入手，通過深入分析，從機制、管理、共享等方面提出了具體的工作思路，為基礎(chǔ)電信企業(yè)進(jìn)一步加強網(wǎng)絡(luò)安全威脅情報工作頂層設(shè)計、建立網(wǎng)絡(luò)安全威脅情報工作體系、健全網(wǎng)絡(luò)安全威脅情報工作機制，提供有益參考和借鑒。

1 網(wǎng)絡(luò)安全威脅情報的概念及特性

知名咨詢公司Gartner于2013年給出了網(wǎng)絡(luò)安全威脅情報的定義，即基于一系列證據(jù)的知識集合，包括結(jié)合具體場景、利用某種機制、指標(biāo)和各種蛛絲馬跡的消息等提出的具有可操作性的建議，這些建議可以為決策者保護(hù)信息資產(chǎn)面臨網(wǎng)絡(luò)安全威脅或風(fēng)險需要做出正確決定時提供意見參考。

威脅情報具有六大特征：一是真實性，所有推演或預(yù)測一定基于事實基礎(chǔ)；二是場景性，威脅情報一定是在某個當(dāng)下的場景中得到的，時空上具有局限性；三是手段性，威脅情報獲取方法和途徑不同，采集機制有差異；四是特征性，威脅情報都能用指標(biāo)來進(jìn)行表征，以便更好的共享利用；五是分析性，威脅情報都需要通過分析一些明確或潛在的數(shù)據(jù)信息來獲取；六是建議性，威脅情報的機制在于其是否能被有效利用以降低網(wǎng)絡(luò)安全威脅或風(fēng)險。

2 國內(nèi)外網(wǎng)絡(luò)安全威脅情報工作體系發(fā)展情況

通過對當(dāng)前國內(nèi)外網(wǎng)絡(luò)安全威脅情報工作體系發(fā)展進(jìn)行深入調(diào)研，可從功能角度將威脅情報工作歸納為4個領(lǐng)域，如圖1所示；4個領(lǐng)域相輔相成，互為依托，構(gòu)成網(wǎng)絡(luò)安全威脅情報POSI工作體系。

（1）政策法規(guī)，從立法上明確頂層架構(gòu)，從政策上明確發(fā)展導(dǎo)向，是威脅情報工作發(fā)展的頂層設(shè)計。

（2）組織機制，從理順多方共同參與的分工職責(zé)等方面形成合理的威脅情報工作框架和機制。

（3）共享標(biāo)準(zhǔn)，形成統(tǒng)一威脅情報標(biāo)準(zhǔn)格式為威脅情報自動化收集、分析及共享提供了先決條件。

（4）產(chǎn)業(yè)發(fā)展，只有激活產(chǎn)業(yè)發(fā)展生態(tài)圈，才能不斷推動威脅情報工作體系不斷豐富、迭代、演進(jìn)和發(fā)展。

2.1 國際方面

以美、日為代表的發(fā)達(dá)國家對網(wǎng)絡(luò)安全威脅情報高度重視，在政策法規(guī)、組織機制、共享標(biāo)準(zhǔn)和產(chǎn)業(yè)發(fā)展等各方面已形成較為成熟的網(wǎng)絡(luò)安全情報工作體系。

圖1 網(wǎng)絡(luò)安全威脅情報POSI工作體系

（1）政策法規(guī)：以美國為例，2012年頒布《國家信息共享和保衛(wèi)戰(zhàn)略》，允許政府部門間共享信息并加強敏感信息保障；2013年簽發(fā)政令《增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》給民營企業(yè)向政府共享網(wǎng)絡(luò)安全信息提供標(biāo)準(zhǔn)；2014年通過《網(wǎng)絡(luò)安全保護(hù)法》等法律，明確了國家網(wǎng)絡(luò)安全和通信綜合中心（NCCIC）“作為聯(lián)邦與非聯(lián)邦實體的接口，共享與網(wǎng)絡(luò)安全有關(guān)的風(fēng)險、事件、分析和告警”等7項職能；發(fā)布了《美國政府網(wǎng)絡(luò)威脅情報共享指南標(biāo)準(zhǔn)》，對網(wǎng)絡(luò)安全威脅情報共享中的隱私及敏感數(shù)據(jù)保護(hù)、情報標(biāo)識追蹤等進(jìn)行明確規(guī)定。

（2）組織機制：2015年2月，美國在國土安全部下設(shè)網(wǎng)絡(luò)威脅情報整合中心（CTIIC），作為美國政府防范和應(yīng)對網(wǎng)絡(luò)威脅的主要部門和全國性網(wǎng)絡(luò)威脅情報中心，負(fù)責(zé)整合國家安全局、中央情報局等多個部門所擁有的網(wǎng)絡(luò)可疑行為數(shù)據(jù)，向美國政府匯集和傳送有關(guān)網(wǎng)絡(luò)破壞的數(shù)據(jù)，協(xié)調(diào)網(wǎng)絡(luò)威脅的分析和評估，提高政府對于網(wǎng)絡(luò)威脅的集體反應(yīng)能力，協(xié)助政府更有效地防范和應(yīng)對網(wǎng)絡(luò)攻擊。

（3）共享標(biāo)準(zhǔn)：美國已制定眾多威脅情報共享交換標(biāo)準(zhǔn)，主流的標(biāo)準(zhǔn)包括STIX、TAXII、OpenIOC等，可對網(wǎng)絡(luò)安全威脅因素、活動、事件特征等形成標(biāo)準(zhǔn)化描述，使安全威脅自動化處理得以實現(xiàn)，使情報的交換傳遞效率及準(zhǔn)確率大大提升。其中STIX具有較高的實用性、靈活可擴(kuò)展性；TAXII是對STIX傳輸層面的補充，在共享傳輸速度、安全隱私保護(hù)、低技術(shù)門檻、多方參與分析優(yōu)化等方面具有明顯優(yōu)勢；OpenIOC可提供豐富靈活的格式將數(shù)據(jù)轉(zhuǎn)化為機讀形式。

（4）產(chǎn)業(yè)發(fā)展：各大廠商紛紛建設(shè)了自己的威脅情報平臺，如RSA的NetWitness Live、IBM的QRadar SIP、McAfee的Threat Intelligence等。

2.2 國內(nèi)方面

我國高度重視網(wǎng)絡(luò)安全及威脅情報工作，近年來已從立法、機制、標(biāo)準(zhǔn)等各方面都加強了布局。

（1） 政策法規(guī)： 2016年全國人大常務(wù)委員會發(fā)布《網(wǎng)絡(luò)安全法》中明確“促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者以及有關(guān)研究機構(gòu)、網(wǎng)絡(luò)安全服務(wù)機構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”，“國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度”；2017年中央網(wǎng)信辦發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系和信息通報方面作出明確要求；同年，工信部下發(fā)《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》，明確要建設(shè)網(wǎng)絡(luò)安全威脅信息共享平臺，統(tǒng)一匯集、存儲、分析、通報、發(fā)布網(wǎng)絡(luò)安全威脅。

（2）組織機制：成立了中央網(wǎng)絡(luò)安全和信息化委員會，研究制定網(wǎng)絡(luò)安全發(fā)展戰(zhàn)略和重大政策，推動網(wǎng)絡(luò)安全建設(shè)，委員會下設(shè)辦公室，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)推動全國網(wǎng)絡(luò)安全工作落實；在委員會辦公室下設(shè)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT），統(tǒng)籌對網(wǎng)絡(luò)攻擊、威脅、漏洞、隱患等信息進(jìn)行監(jiān)測、預(yù)警、分析處置和防范。

（3）共享標(biāo)準(zhǔn)：2018年10月發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》（GB/T 36643-2018），從觀測數(shù)據(jù)、攻擊指標(biāo)、安全事件、攻擊活動、威脅主體、攻擊目標(biāo)、攻擊方法、應(yīng)對措施等8個組件進(jìn)行描述，并將組件劃分為對象、方法和事件3個域，構(gòu)建出一個完整的網(wǎng)絡(luò)安全威脅信息表達(dá)模型，為國內(nèi)網(wǎng)絡(luò)安全威脅情報的自動化獲取和分析奠定了良好基礎(chǔ)。

（4）產(chǎn)業(yè)發(fā)展：近年已涌現(xiàn)出一批網(wǎng)絡(luò)安全情報平臺，如360威脅情報中心、谷安天下安全值、微步在線、趨勢科技的安全情報分析中心、FireEye安全情報搜集與分析服務(wù)等。

2.3 小結(jié)

綜合以上分析可知，美國等發(fā)達(dá)國家已建立相對完備的網(wǎng)絡(luò)威脅情報工作體系，為政府實時掌握來自國內(nèi)外的網(wǎng)絡(luò)威脅情報，應(yīng)對國家安全特別是網(wǎng)絡(luò)安全威脅提供了強有力的支持；而我國在這些方面還處于快速發(fā)展和成長期，有待進(jìn)一步加快立法進(jìn)程，構(gòu)建適應(yīng)新時期的網(wǎng)絡(luò)安全威脅情報工作的制度體系，形成國家級跨行業(yè)的網(wǎng)絡(luò)安全威脅情報共享平臺，推動產(chǎn)業(yè)各方逐步走向成熟。

3 基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)安全威脅情報工作現(xiàn)狀及存在問題

基礎(chǔ)電信企業(yè)一直以積極履行網(wǎng)絡(luò)安全責(zé)任，按要求全力開展網(wǎng)絡(luò)安全威脅治理：一是由安全專職部門或歸口管理部門統(tǒng)籌開展企業(yè)網(wǎng)絡(luò)安全工作，相關(guān)資產(chǎn)、系統(tǒng)、業(yè)務(wù)、平臺的運營歸口管理單位，分別落實本專業(yè)條線內(nèi)網(wǎng)絡(luò)安全威脅的監(jiān)測和應(yīng)急處置， 依托日常管理手段實現(xiàn)跨部門信息共享、預(yù)警和聯(lián)動處置；二是對業(yè)務(wù)、日志、信令等數(shù)據(jù)進(jìn)行統(tǒng)一采集，針對移動惡意程序、僵木蠕病毒程序、垃圾彩信、違規(guī)網(wǎng)站等建設(shè)了系列網(wǎng)絡(luò)安全監(jiān)管手段，并全力配合上級常態(tài)化開展DDoS、域名劫持、網(wǎng)頁篡改等攻擊監(jiān)測和應(yīng)急處置，有效保障了客戶及自身網(wǎng)絡(luò)安全；三是按照“同步規(guī)劃、同步建設(shè)、同步運行”的指導(dǎo)思想，將網(wǎng)絡(luò)安全工作貫穿于網(wǎng)絡(luò)建設(shè)、系統(tǒng)維護(hù)及業(yè)務(wù)發(fā)展的各個環(huán)節(jié)。

但對標(biāo)國內(nèi)外先進(jìn)實踐，基礎(chǔ)電信企業(yè)在威脅情報工作方面還存在差距：一是威脅情報內(nèi)容及來源單一。通過部署監(jiān)測采集設(shè)備，已掌握包括流量、日志、業(yè)務(wù)等相關(guān)數(shù)據(jù)及惡意程序、惡意資源等安全平臺監(jiān)測數(shù)據(jù)，但未實現(xiàn)與外部威脅情報的有機整合，未形成多元化威脅情報庫；二是威脅情報數(shù)據(jù)分散缺乏統(tǒng)一管理。內(nèi)部安全漏洞、安全事件、惡意程序、病毒、惡意網(wǎng)絡(luò)資源等威脅數(shù)據(jù)分散于各系統(tǒng)中，未形成威脅數(shù)據(jù)集中化存儲、管理及有效的報送機制；三是利用威脅情報輔助應(yīng)急的能力有限。網(wǎng)絡(luò)安全威脅情報的收集和應(yīng)急處置工作還基本處于經(jīng)驗管理階段，未實現(xiàn)自動化收集及利用大數(shù)據(jù)技術(shù)結(jié)合外部威脅情報進(jìn)行建模分析，形成高價值的威脅情報及合理的共享機制，快速生成安全策略并指導(dǎo)應(yīng)急處置的能力還有待提升。

4 基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)安全威脅情報工作思路

根據(jù)以上分析可知，當(dāng)前網(wǎng)絡(luò)安全威脅情報工作已經(jīng)不容忽視，基礎(chǔ)電信企業(yè)要緊跟國內(nèi)外技術(shù)發(fā)展，結(jié)合自身實際對標(biāo)POSI工作體系，從機制、管理、共享等重要方面，明確網(wǎng)絡(luò)安全威脅情報的工作思路和舉措，加快推動內(nèi)部網(wǎng)絡(luò)安全威脅情報工作體系建設(shè)，進(jìn)一步提升網(wǎng)絡(luò)安全防護(hù)能力和水平。

4.1 全面梳理、集中管理

網(wǎng)絡(luò)安全是全局性問題，不能完全依靠單個部門解決，建議對企業(yè)內(nèi)部各專業(yè)條線分割管理的資產(chǎn)、數(shù)據(jù)、監(jiān)測平臺等進(jìn)行全面梳理，按上級監(jiān)測處置要求，強化對流量、日志、業(yè)務(wù)數(shù)據(jù)和惡意程序及資源、安全漏洞及事件等數(shù)據(jù)的集中匯聚和統(tǒng)一管理，引入第三方威脅情報數(shù)據(jù)，進(jìn)行分類整合，形成多元化網(wǎng)絡(luò)安全威脅情報庫。

其中，為提高信息整合分析、情報生成和共享的效率，可從網(wǎng)絡(luò)安全防護(hù)的角度將網(wǎng)絡(luò)安全威脅細(xì)化為4大類21小類（如圖2所示）；其中，惡意網(wǎng)絡(luò)資源還可細(xì)分為13小類，包括釣魚網(wǎng)站服務(wù)器IP地址、計算機放馬服務(wù)器IP地址、移動惡意程序傳播服務(wù)器IP地址、計算機惡意控制端服務(wù)器IP地址、釣魚網(wǎng)站地址、計算機放馬地址、計算機惡意控制端地址、移動惡意程序傳播地址和控制端地址、惡意手機號、惡意短信、惡意郵件等。

4.2 建設(shè)手段、提升能力

建議基礎(chǔ)電信企業(yè)建設(shè)集中化的網(wǎng)絡(luò)安全威脅情報共享平臺，集中承載和管理網(wǎng)絡(luò)安全威脅情報信息，形成威脅信息自動化報送、集中研判認(rèn)定、策略統(tǒng)一下發(fā)、安全威脅預(yù)警、應(yīng)急協(xié)調(diào)處置和信息通報高效的閉環(huán)聯(lián)動體系，積極構(gòu)建多元化網(wǎng)絡(luò)安全威脅情報庫，結(jié)合大數(shù)據(jù)分析，對采集數(shù)據(jù)進(jìn)行價值提煉，實現(xiàn)從數(shù)據(jù)采集、威脅信息梳理、威脅知識更新、特征匹配，再到威脅情報的價值轉(zhuǎn)換的整體架構(gòu)（如圖3所示），其過程可概括如下。

（1）通過采集流量、日志數(shù)據(jù)或主動爬取數(shù)據(jù)等，結(jié)合第三方威脅數(shù)據(jù)，進(jìn)行清洗、集成、變換、規(guī)約及離散化的數(shù)據(jù)預(yù)處理，形成標(biāo)準(zhǔn)化格式的數(shù)據(jù)。

（2）采用HDFS等基于穩(wěn)定的分布式存儲系統(tǒng)，部署HBase、MySQL等數(shù)據(jù)庫，實現(xiàn)海量數(shù)據(jù)存儲。

（3）基于已建立的特征庫對存儲的標(biāo)準(zhǔn)化數(shù)據(jù)進(jìn)行XSS、APK哈希值、Web shell、SQL注入、遠(yuǎn)程命令執(zhí)行等惡意攻擊規(guī)則匹配，生成威脅信息庫。

圖2 網(wǎng)絡(luò)安全威脅分類示意圖

圖3 基于大數(shù)據(jù)分析的網(wǎng)絡(luò)安全情報處理架構(gòu)

（4）對威脅信息庫中的數(shù)據(jù)進(jìn)行分類及聚類、上下文關(guān)聯(lián)、攻擊樹構(gòu)建等大數(shù)據(jù)挖掘分析，進(jìn)一步生成威脅知識庫。

（5）采用貝葉斯網(wǎng)絡(luò)算法、神經(jīng)網(wǎng)絡(luò)預(yù)測等方法預(yù)測攻擊趨勢，生成決策性威脅情報，并據(jù)此形成安全防護(hù)策略，輔助提升網(wǎng)絡(luò)安全防護(hù)能力，并根據(jù)內(nèi)部實際應(yīng)用情況，探索對外提供網(wǎng)絡(luò)安全威脅情報服務(wù)。

4.3 健全組織、完善機制

當(dāng)前基礎(chǔ)電信企業(yè)已按相關(guān)要求成立了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組并下設(shè)辦公室，由辦公室負(fù)責(zé)統(tǒng)籌協(xié)調(diào)企業(yè)內(nèi)部網(wǎng)絡(luò)安全工作開展，各小組成員單位負(fù)責(zé)各自職能條線內(nèi)的工作落實。參考國內(nèi)外的優(yōu)秀實踐，結(jié)合基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)安全工作模式，建議集中設(shè)置網(wǎng)絡(luò)安全威脅情報統(tǒng)一歸口管理部門，下設(shè)分級聯(lián)動應(yīng)急支撐團(tuán)隊，基于威脅情報共享平臺，實現(xiàn)統(tǒng)一聯(lián)動閉環(huán)管理，形成適用于基礎(chǔ)電信企業(yè)的工作機制（如圖4所示），機制的構(gòu)建思路如下。

（1）由集團(tuán)公司網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組辦公室作為網(wǎng)絡(luò)安全威脅統(tǒng)一歸口管理機構(gòu)，負(fù)責(zé)對網(wǎng)絡(luò)安全威脅的認(rèn)定、預(yù)警、處置建議、反饋結(jié)果等進(jìn)行統(tǒng)籌協(xié)調(diào)、指揮決策和督導(dǎo)管理。

（2）在辦公室下設(shè)專門的網(wǎng)絡(luò)安全應(yīng)急支撐中心（CESC），在各專業(yè)條線及省公司設(shè)置網(wǎng)絡(luò)安全應(yīng)急支撐小組（CEST）。CESC負(fù)責(zé)對威脅共享平臺收集的威脅情報進(jìn)行研判和認(rèn)定，對各CEST反饋的網(wǎng)絡(luò)安全威脅處置情況進(jìn)行復(fù)核并上報網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組辦公室審批； 此外，CESC還要負(fù)責(zé)威脅共享平臺的日常運營，確保平臺正常運轉(zhuǎn)。CEST負(fù)責(zé)按要求分類及時上報網(wǎng)絡(luò)安全威脅信息，并按預(yù)警及處置要求及時開展威脅處置；各專業(yè)條線通過網(wǎng)絡(luò)安全威脅情報共享平臺實現(xiàn)信息共享。

通過以上工作機制的應(yīng)用，基礎(chǔ)電信企業(yè)可形成一整套由威脅情報驅(qū)動的網(wǎng)絡(luò)安全主動防護(hù)體系，網(wǎng)絡(luò)安全威脅情報的集中歸口管理、存儲、分析，也為打破企業(yè)內(nèi)部管理和信息壁壘，實現(xiàn)協(xié)同聯(lián)動的快速反應(yīng)和高效的信息共享提供了良好的基礎(chǔ)。

圖4 基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)安全威脅情報工作機制

4.4 合作共享、協(xié)同聯(lián)動

建議基礎(chǔ)電信企業(yè)根據(jù)國家標(biāo)準(zhǔn)和行業(yè)要求，研究制定基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)威脅情報共享制度規(guī)范，明確網(wǎng)絡(luò)安全威脅情報工作的統(tǒng)一標(biāo)準(zhǔn)、多方參與的協(xié)作方式、隱私保護(hù)及內(nèi)部共享機制，推動企業(yè)網(wǎng)絡(luò)安全威脅情報工作體系不斷完善；同時，加強與上級單位和專業(yè)機構(gòu)、安全廠商、互聯(lián)網(wǎng)公司等的協(xié)同聯(lián)動，積極探索建立內(nèi)外部共享機制，為行業(yè)乃至國家網(wǎng)絡(luò)安全能力提升貢獻(xiàn)力量。

5 總結(jié)

當(dāng)前，國外網(wǎng)絡(luò)安全威脅情報工作體系已較為成熟，國內(nèi)還處于積極嘗試和快速發(fā)展階段，但基于網(wǎng)絡(luò)安全威脅情報的主動防御已是大勢所趨。基礎(chǔ)電信企業(yè)要與時俱進(jìn)，實現(xiàn)以漏洞為中心的被動防護(hù)到以威脅情報為中心的主動防護(hù)理念的轉(zhuǎn)變。本文從管理、機制、標(biāo)準(zhǔn)等方面深入探討網(wǎng)絡(luò)安全威脅情報工作體系發(fā)展，積極探索建立和完善基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)安全情報工作體系的思路，并提出改進(jìn)的具體舉措，助力基礎(chǔ)電信企業(yè)不斷提升網(wǎng)絡(luò)安全主動防護(hù)能力和水平。