淺析網絡安全態勢感知技術在氣象網絡中的實踐與應用

◆鄧 鑫 田 征 李 楠 弋小虎

淺析網絡安全態勢感知技術在氣象網絡中的實踐與應用

◆鄧 鑫 田 征 李 楠 弋小虎

（國家氣象信息中心 北京 100081）

隨著新興網絡技術的發展及日益嚴峻的外部網絡安全環境，承載氣象業務的氣象網絡安全問題越發受到關注。本文通過分析氣象業務安全的新需求，按照“一個中心三重防御“的設計思路，構建安全態勢感知平臺，實現對氣象網絡安全風險實時感知、威脅精準研判和安全快速處置，增強氣象網絡安全防護能力。

安全態勢感知；一個中心三重防御

氣象工作服務于國家和人民，是關系國計民生的重要公益性部門，氣象工作的觀測、預報、服務三大業務都具有實時性高、連續不可中斷的特點，而海量的氣象數據更是各項工作的基礎，保障業務和數據的安全對于氣象工作發展的重要性不言而喻。《氣象信息化發展規劃（2018-2022）》提出了2018-2022年全國氣象信息化發展的指導思想、目標、任務、建設工程，是我國氣象信息化發展的綱領性文件，其中明確提出要健全安全技術手段，完善被動防御能力，構建主動防御能力，全面落實信息安全等級保護制度，強化外部安全風險防控，提升感知預警能力，完善應急處置機制，全面保障氣象系統業務與信息安全，形成具有主動防御和協同管理能力的新一代氣象信息安全保障技術體系。

1 氣象網絡安全風險需求分析

（1）全量數據采集與分析需求

在氣象網絡安全運維中，需要統一采集安全分析所需的各類數據，尤其是流量數據、系統和業務日志等原始數據，利用這些數據對內網環境中的各類資產和網絡結構進行識別，同時可利用預定義的分析模型、分析規則對采集的數據進行實時關聯分析，以提高安全威脅的檢出率、降低誤報率。

（2）自動化的告警響應處置需求

當氣象網絡中發現安全威脅時應及時進行響應，盡可能減小安全威脅帶來的風險和實際損失，系統在檢測到有攻擊行為或違規訪問時，除能夠利用微信、短信等方式向管理員發出告警外，對于可信度高且有明確處置方法的安全事件，可通過設備聯動進行自動處置，自動處置可通過兩個方面實現，一是針對有害連接，在網關設備上自動阻斷有害連接；二是對于在終端發現的有害進程，可直接在終端封堵或關閉進程。

（3）安全線索調查分析需求

在氣象網絡中發現的線上安全告警是攻擊者留下的行為片段，線下的安全事件是攻擊的結果和造成的影響，并不是攻擊的全貌。要想對攻擊追本溯源，了解攻擊者的企圖、使用了哪些手段和資源、攻擊的影響面、還原完整的攻擊鏈，需要安全分析人員能從少量的線索出發，利用本地全量的網絡和主機行為日志，以及云端威脅情報和互聯網數據進行深入的調查，利用搜索、統計、可視化關聯等方法和技術，在海量數據中找出與攻擊者相關聯的更多蛛絲馬跡，從而拼湊出攻擊者完整的行為鏈條，還原攻擊的全貌。

為滿足以上安全需求，需要以持續分析監測為主導思想，構建以態勢感知平臺技術為核心手段的整體安全運營體系，整合安全信息孤島，打通數據間的隔閡，形成氣象網絡中的安全感知體系，實現安全威脅的積極防御和有效應對。

2 氣象網絡的安全設計思路

隨著等保2.0在2019年12月的正式實施，可以深刻體會到整個等級保護體系的設計更加強調全方位主動防御、安全可信、動態感知和全面審計，實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋，體現了“一個中心三重防御”的思想，一個中心指安全管理中心，三重防御指安全區域邊界、安全網絡通信、安全計算環境。

安全區域邊界是最重要的一道安全防線。在不同安全域之間，匯聚了所有流經區域的數據流，必須在安全域的網絡邊界建立有效的網絡安全措施，通過部署防火墻實現區域間的邊界防護，以及對網絡內外部發起攻擊行為時進行有效的監視和控制。

安全網絡通信是劃分和區隔網絡的重要手段。為了保證整體氣象業務服務的連續性，除了需根據高峰業務流量選擇關鍵網絡設備，保證網絡設備的處理能力及帶寬能夠支撐業務高峰的數據量之外，更重要的是對整個網絡進行網絡區域劃分，確保重要網絡區域與其他網絡區域之間采取可靠的技術隔離手段，并提供安全通信線路、關鍵網絡設備和關鍵計算設備硬件冗余。

安全計算環境為氣象業務應用的安全持續運行提供了根本的保障。計算環境的安全需要從網絡設備、安全設備、主機設備及應用系統等多方面進行針對性防護。應用安全防護方面，通過采取身份認證、訪問控制等安全措施，保證應用系統自身的安全性，以及在與其他系統或者用戶進行數據交互時，能夠在應用層通過密碼技術確保傳輸數據的完整性，并在服務器端對數據有效性進行校驗，確保只處理未經修改的數據。

安全管理中心是整個安全功能及運維體系有效運作的支撐。安全管理中心通過帶外管理的方式實現管理流量與業務流量的分離，為各級系統管理員、安全管理員和安全審計員提供身份鑒別和權限管理的集成平臺，便于不同角色人員完成系統管理、安全管理和審計管理等操作。同時通過在安全管理中心部署審計分析系統、流量分析等設施，實現全網日志收集、存儲、審計分析，對全網安全態勢進行實時感知與監控，當發生安全事件或設備故障時，能夠進行實時報警、決策處置及事后追溯分析。

因此，為了應對氣象網絡中將面臨的一些復雜的高級持續性攻擊行為，依靠過去孤立的安全設備筑籬笆似的隔離思維是行不通的，必須貫徹“一個中心三重防御”的思想，進行全新的安全體系架構設計。

3 如何構建安全態勢感知系統

3.1 架構設計

安全態勢感知的目的是反映整體網絡的安全態勢，并給出安全態勢的趨勢預測，為安全管理者的下一步決策提供依據，也稱為“宏觀態勢監控”。系統的組成分為數據采集、數據分析、監測告警、安全態勢呈現四個部分。與常規的監控系統不同，態勢感知系統的設計是倒推式的。

態勢感知系統設計的關鍵不是能采集什么數據，就顯示什么；也不是我們能分析什么，就給用戶什么；而是氣象業務關心什么，我們就應該提供什么。態勢感知與安全管理不同，它是為管理者輔助決策提供的工具，需求來自管理者。因此，態勢感知系統的設計應先從安全度量指標體系的確定開始，然后反向倒推，其設計的過程如下：

首先了解氣象業務的核心與IT承載系統，抽象、分析業務重點關注的安全點，并設法表征這些安全點，形成對網絡安全態勢的度量指標體系；

其次是選擇合適的分析技術、預測模型，建立分析、預測模塊的流程與架構，并梳理所需的原始數據；

最后去感知網絡中，采集所需要的原始數據。有些數據是可以直接采集，如安全事件、業務流量等；也有些數據是需要通過關聯、統計分析后才可以生成的，如溯源定位、熱點服務等；

若發現有些數據無法從系統直接獲取，可以采用人工參與的評價或打分方式，也可從外部系統數據導入。

3.2 部署設計

氣象安全態勢感知系統采用國省兩級布局架構，國家級態勢感知系統在對國家級網絡安全風險進行監測的同時，通過收集省級態勢感知系統的告警信息，實現全網安全風險的集中監測，省級態勢感知系統承擔省內安全風險監測，同時需要將本省綜合分析后的安全告警按要求發送至國家級態勢感知系統。態勢感知系統由分析平臺、流量探針和內網風險捕獲探針組成。分析平臺部署于安全管理區，用于采集接收防火墻、IDS、終端安全管理等安全設備日志、流量探針采集的信息、漏洞掃描器提供的漏掃報告，以及來自公安部門、網信辦、安全廠商的外部安全情報，并將收集到的各類信息進行綜合分析，結合省級安全告警，實現氣象網絡安全風險的統一監測、分析、告警和展示。流量探針采用流量鏡像方式在國省兩級網絡邊界和區域邊界部署流量探針，實時采集網絡流量用于安全風險監測分析。內網風險捕獲探針在氣象網絡中部署內網風險捕獲探針，模擬氣象業務布設大量存在安全漏洞陷阱的虛擬系統，來捕獲東西向流量中的掃描、嗅探行為。一旦黑客、蠕蟲等攻擊者在網絡中偵查、掃描、移動，就極可能陷入陷阱中，內網風險捕獲探針可以獲取更多的攻擊信息和情報，為安全響應爭取更多的時間，降低氣象業務系統被攻擊的概率，最大限度減少損失。

4 結語

隨著網絡安全威脅的發展呈現出新的特征和氣象業務安全新需求，我們利用網絡安全態勢感知平臺可以實時監測網絡安全攻擊和安全漏洞，快速響應和解決，同時可以檢驗已有網絡安全防御體系的有效性，提升網絡安全協同和響應處置方面的能力，為構筑網絡安全立體防御提供基礎。

[1]《氣象信息化發展規劃（2018-2022年）》.

[2]（美）Andrew Jaquith.Security Metrics[M].電子工業出版社，2007，12.

[3]翟勝軍.針對“云計算”服務安全思路的改進-花瓶模型V4.0[EB/OL].http://zhaisj.blog.51cto.com/219066/541228.