地下金屬管線數(shù)據(jù)中心安全研究

賀成梅，楊志剛

（1.山東明嘉勘察測(cè)繪有限公司，山東 淄博 255000；2.天津市地下空間規(guī)劃管理信息中心，天津 300191）

地下金屬管線是保障城市運(yùn)行的重要基礎(chǔ)設(shè)施和“生命線”[1]。隨著各個(gè)城市地下管線普查工作的逐步展開(kāi)，大量的地下管線數(shù)據(jù)被收集整理入庫(kù)。根據(jù)住房城鄉(xiāng)建設(shè)部和國(guó)家保密局聯(lián)合下發(fā)的相關(guān)文件的要求，地下管線各專(zhuān)業(yè)工程的現(xiàn)狀圖、規(guī)劃圖及管線綜合圖文資料屬于秘密級(jí)信息。如何保障管線數(shù)據(jù)在各部門(mén)間流轉(zhuǎn)使用，同時(shí)符合數(shù)據(jù)安全保密要求，是擺在地下管線數(shù)據(jù)管理者面前的一個(gè)新課題。

利用互聯(lián)網(wǎng)或者城域網(wǎng)等網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)相關(guān)數(shù)據(jù)在各部門(mén)間的流轉(zhuǎn)是目前流行的方式，但是網(wǎng)絡(luò)安全問(wèn)題一直是擺在秘密數(shù)據(jù)前的一大重要障礙。外部網(wǎng)絡(luò)攻擊的快速演進(jìn)，如APT，利用0Day漏洞的勒索病毒攻擊等；新技術(shù)的采用，如云、物聯(lián)網(wǎng)等對(duì)安全格局帶來(lái)根本性的變革[2]。

鑒于目前的網(wǎng)絡(luò)安全情況以及國(guó)家對(duì)地下金屬管線管理的要求，管線信息的管理潛在的威脅著實(shí)令所有地下管線管理者憂慮。這些都對(duì)地下管線數(shù)據(jù)的保護(hù)提出了更高的要求，隨著新的中國(guó)國(guó)家信息安全法及信息系統(tǒng)安全等保2.0的實(shí)施，建立地下管線的統(tǒng)一安全防護(hù)體系是目前當(dāng)務(wù)之急。

1 地下金屬管線信息安全運(yùn)營(yíng)中心目標(biāo)

地下管線信息安全運(yùn)營(yíng)中心（GSOC）是一個(gè)安全綜合管理平臺(tái)，通過(guò)監(jiān)控、分析、偵查等手段，在一個(gè)安全基準(zhǔn)（企業(yè)安全基線定義）之上對(duì)安全事件做出及時(shí)準(zhǔn)確的響應(yīng)，應(yīng)對(duì)各種突發(fā)性安全事件。GSOC的核心是檢測(cè)和響應(yīng)功能，分析整個(gè)系統(tǒng)的安全狀態(tài)和安全趨勢(shì)。GSOC的首要目標(biāo)是增強(qiáng)安全、降低風(fēng)險(xiǎn)的同時(shí)保證安全符合規(guī)定要求，防止拒絕服務(wù)或欺詐等對(duì)組織產(chǎn)生負(fù)面影響。不同于傳統(tǒng)的網(wǎng)絡(luò)運(yùn)營(yíng)中心，GSOC更側(cè)重對(duì)安全事件的主動(dòng)檢測(cè)和響應(yīng)，及時(shí)阻斷和反擊，提供更全面的攻擊防護(hù)和安全評(píng)估管理。

如何建立一個(gè)高效、具備解決問(wèn)題能力的安全運(yùn)維隊(duì)伍？如何建立適合核心業(yè)務(wù)需求的安全事件處理機(jī)制、流程？是擺在地下管理系統(tǒng)安全的首要問(wèn)題。而采用GSOC（安全運(yùn)營(yíng)中心）理念將現(xiàn)有安全系統(tǒng)納入統(tǒng)一的管理平臺(tái)，實(shí)現(xiàn)安全形勢(shì)全局分析和動(dòng)態(tài)監(jiān)控是地下管線數(shù)據(jù)各級(jí)系統(tǒng)維護(hù)部門(mén)的最佳選擇。

一個(gè)完整的GSOC有三個(gè)部分組成：管理人員、管理制度及技術(shù)手段。

圖1 安全運(yùn)營(yíng)中心組成

（1）人員-職業(yè)化、經(jīng)驗(yàn)豐富的安全和風(fēng)險(xiǎn)專(zhuān)家，或者是地信領(lǐng)域的安全架構(gòu)師等。

（2）技術(shù)-直觀、易用的信息安全管理工具，用于展現(xiàn)整體安全視圖。

（3）管理制度-約定好的職責(zé)和流程，位于運(yùn)營(yíng)中心的指揮中樞必須能夠緩解一線和二線安全突發(fā)事件，并知道何時(shí)升級(jí)到三線突發(fā)事件。

2 地下金屬管線統(tǒng)一安全運(yùn)維平臺(tái)架構(gòu)體系

（1）地下管線的業(yè)務(wù)流程。管線數(shù)據(jù)詳細(xì)描述了地下管線生命周期[3]中各階段的特性和參數(shù)。地下管線信息系統(tǒng)依托于管線數(shù)據(jù)提供綜合的查詢、檢索、分析、規(guī)劃、建議等服務(wù)。其業(yè)務(wù)邏輯由底向上分別為管線生命周期層、數(shù)據(jù)層及管線服務(wù)系統(tǒng)層。地下管線信息化發(fā)展的一個(gè)顯著特點(diǎn)是：資源平臺(tái)化、數(shù)據(jù)集中化、信息渠道多樣化。對(duì)于數(shù)據(jù)安全系統(tǒng)也在安全隔離的基本原則上，輔助建立了很多安全控制點(diǎn)，比如終端準(zhǔn)入系統(tǒng)，文件加密審計(jì)系統(tǒng)及防火墻等。但隨著安全要求的不斷加強(qiáng)，這種點(diǎn)線式的防御設(shè)計(jì)已漸漸力不從心，無(wú)法應(yīng)對(duì)新式的安全攻擊。

地下管線信息安全保障系統(tǒng)作為信息系統(tǒng)的重要組成部分，其中地下管線安全運(yùn)維平臺(tái)，即GSOC，是完成信息情報(bào)搜集，安全水平提升的核心平臺(tái)，是整合地下管線的信息安全體系，全流程覆蓋，確保管線數(shù)據(jù)全生命周期的安全提升[4]。

（2）安全運(yùn)維中心的架構(gòu)。依據(jù)信息系統(tǒng)生命周期理論，與信息的產(chǎn)生、傳輸、存儲(chǔ)、分析、處理五個(gè)環(huán)節(jié)相對(duì)應(yīng)，GSOC主要包括事件發(fā)生器模塊、收集模塊、存儲(chǔ)模塊、分析模塊及響應(yīng)模塊等基礎(chǔ)模塊。事件發(fā)生器負(fù)責(zé)生成安全事件，可分為基于數(shù)據(jù)的事件發(fā)生器和基于狀態(tài)的事件發(fā)生器。收集模塊負(fù)責(zé)從不同傳感器收集信息并轉(zhuǎn)換為標(biāo)準(zhǔn)格式。存儲(chǔ)模塊可以簡(jiǎn)單理解為數(shù)據(jù)庫(kù)。分析模塊負(fù)責(zé)分析存儲(chǔ)在數(shù)據(jù)庫(kù)中的事件，為響應(yīng)模塊提供響應(yīng)的充分依據(jù)（告警信息）。分析過(guò)程又離不開(kāi)知識(shí)庫(kù)（K模塊）的支持，知識(shí)庫(kù)存儲(chǔ)入侵路徑、系統(tǒng)安全模型、安全策略等知識(shí)。分析模塊是GSOC系統(tǒng)最復(fù)雜的部分，包括相關(guān)性分析、結(jié)構(gòu)化分析、入侵路徑分析、行為分析。響應(yīng)模塊功能負(fù)責(zé)對(duì)安全事件做出及時(shí)有效響應(yīng)，反擊正在發(fā)生安全事件和生成報(bào)告。各個(gè)模塊協(xié)調(diào)運(yùn)作、互相作用形成四個(gè)功能中心。

①事件監(jiān)控中心-監(jiān)控各個(gè)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等日志信息，以便及時(shí)發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件。②漏洞評(píng)估中心-通過(guò)它掌握全網(wǎng)各個(gè)系統(tǒng)中存在的安全漏洞情況，可以借助弱點(diǎn)評(píng)估中心的技術(shù)手段和安全考核機(jī)制督促各級(jí)安全管理機(jī)構(gòu)落實(shí)安全工作。③綜合分析決策支持與預(yù)警中心-綜合安全運(yùn)行管理平臺(tái)的核心模塊，基于資產(chǎn)和網(wǎng)絡(luò)拓?fù)溥M(jìn)行風(fēng)險(xiǎn)評(píng)估關(guān)聯(lián)分析，按照風(fēng)險(xiǎn)優(yōu)先級(jí)針對(duì)各個(gè)業(yè)務(wù)區(qū)域和具體事件產(chǎn)生預(yù)警。④應(yīng)急管理中心-應(yīng)急管理中心作為GSOC的重要組成部分之一為應(yīng)急響應(yīng)服務(wù)實(shí)現(xiàn)工具化、程序化、規(guī)范化提供了管理平臺(tái)。

（3）安全運(yùn)維中心流程。地下管線安全運(yùn)維中心采用三級(jí)安全事件響應(yīng)機(jī)制，分為三類(lèi)。

①一線監(jiān)控人員負(fù)責(zé)過(guò)濾虛假情報(bào)，并對(duì)于實(shí)際威脅事件或不能確定的時(shí)間開(kāi)具工單并指派給二線安全分析師；②二線人員或使用分析工具研究時(shí)間并確定威脅程度，嘗試解決，對(duì)不能解決的問(wèn)題上交給三線團(tuán)隊(duì)；③三線團(tuán)隊(duì)可以是自有人員或者是第三方協(xié)助團(tuán)隊(duì)。二線，三線團(tuán)隊(duì)或其部分人員組成時(shí)間快速響應(yīng)小組。

依照目前各地地下金屬管線綜合信息管理安全運(yùn)維成熟度情況，可有序開(kāi)展流程和制度建設(shè)，逐步完善組織架構(gòu)，并最終形成地下管線安全運(yùn)營(yíng)的制度、人員和技術(shù)齊備的穩(wěn)定平臺(tái)。通過(guò)引入自動(dòng)化處理，更多的采用自動(dòng)化的解決方案，通過(guò)定制化的流程加速調(diào)查，并聯(lián)動(dòng)警告和事件處理系統(tǒng)。通過(guò)定期溝通、內(nèi)部安全通報(bào)和建議，不斷展現(xiàn)安全運(yùn)維的價(jià)值。

3 地下管線安全運(yùn)維中心關(guān)鍵技術(shù)

在安全事件的一體化處理流程中，GSOC采用一系列新技術(shù)，在有效提高應(yīng)用系統(tǒng)安全性的同時(shí)，盡量減輕安全事件相關(guān)操作對(duì)業(yè)務(wù)系統(tǒng)性能的影響。

（1）可視化-將原來(lái)不可見(jiàn)的轉(zhuǎn)變?yōu)榭梢?jiàn)。GSOC必須采用可視化手段，將威脅情報(bào)展現(xiàn)出來(lái)。

（2）情報(bào)共享及更新-不斷收集更新內(nèi)部情報(bào)及外部情報(bào)。并利用這些信息來(lái)改善內(nèi)部檢測(cè)和防御機(jī)制。外部網(wǎng)絡(luò)情報(bào)包括新聞提要、脆弱性警報(bào)等，安全人員必須為監(jiān)視工具不斷注入威脅情報(bào)，保持最新的威脅情報(bào)信息。

（3）沙箱動(dòng)態(tài)檢測(cè)-區(qū)別于針對(duì)已知威脅的特征碼檢測(cè)。包括瀏覽器沙箱、文件沙箱等。

（4）整體協(xié)調(diào)、預(yù)防性相應(yīng)-通過(guò)結(jié)合高度嫻熟的安全分析師與安全自動(dòng)化，提高組織分析能力，更好的防止數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊。

4 結(jié)語(yǔ)

本文對(duì)建立地下金屬管線安全運(yùn)維中心的基本框架進(jìn)行了研究，通過(guò)多種方式可以實(shí)現(xiàn)管線安全運(yùn)營(yíng)中心的建設(shè)從而保證其數(shù)據(jù)安全。

同時(shí)，地下管線安全運(yùn)維中心是一個(gè)需要投入大量資金和時(shí)間的社會(huì)工程，它要求組織有一定的安全成熟度，體系架構(gòu)也會(huì)依據(jù)不同的應(yīng)用單位有所不同。安全運(yùn)維中心的項(xiàng)目建設(shè)不同于網(wǎng)絡(luò)中心，而是需要單獨(dú)立項(xiàng)、分階段部署和實(shí)施，對(duì)安全數(shù)據(jù)源的引入也需要分階段逐步實(shí)施。另外，海量事件和漏洞信息需要有專(zhuān)門(mén)安全事件管理工具進(jìn)行收集過(guò)濾、管理和分析；事件和業(yè)務(wù)資產(chǎn)的結(jié)合分析、需要使用信息資產(chǎn)管理工具的支持。

隨著國(guó)家對(duì)城市地下空間開(kāi)發(fā)利用的重視程度的不斷提升，各政府部門(mén)需要使用統(tǒng)一的基礎(chǔ)數(shù)據(jù)，實(shí)現(xiàn)政府部門(mén)之間的數(shù)據(jù)共享是下一步趨勢(shì)，建立地下管線信息安全運(yùn)營(yíng)中心將會(huì)實(shí)現(xiàn)政府部門(mén)間數(shù)據(jù)的共享，實(shí)現(xiàn)政府規(guī)劃、管理和建設(shè)部門(mén)間在同一平臺(tái)上進(jìn)行城市的綜合運(yùn)營(yíng)管理。