遼寧廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺研究與設(shè)計

遼寧省廣播電視及信息網(wǎng)絡(luò)視聽節(jié)目監(jiān)測臺 王嬌婷

隨著“互聯(lián)網(wǎng)+”在廣電行業(yè)的全面推進，廣電網(wǎng)絡(luò)技術(shù)的IP化、IT化和云化的趨勢愈發(fā)明顯，廣電網(wǎng)絡(luò)安全形勢日益嚴(yán)峻。本文分析了遼寧廣電行業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀，闡述我省廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺的研究與設(shè)計。

隨著信息化系統(tǒng)數(shù)量日趨增多，系統(tǒng)的關(guān)聯(lián)性和復(fù)雜度不斷增強，使得當(dāng)前廣電行業(yè)網(wǎng)絡(luò)安全形勢日益嚴(yán)峻。作為我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律《中華人民共和國網(wǎng)絡(luò)安全法》，已于2017年6月1日起正式施行。《網(wǎng)絡(luò)安全法》對“關(guān)鍵信息基礎(chǔ)設(shè)施”在法律和制度層面進行了重點保護。

對于我省廣電行業(yè)來說，網(wǎng)絡(luò)安全監(jiān)管主要是對轄區(qū)內(nèi)廣電行業(yè)政務(wù)網(wǎng)站、業(yè)務(wù)網(wǎng)站、基于互聯(lián)網(wǎng)應(yīng)用的重要信息系統(tǒng)以及逐步建設(shè)完成的基于云平臺的縣級融媒體中心等重要信息系統(tǒng)的安全監(jiān)管。目前我省廣電網(wǎng)絡(luò)安全體系主要以“防護”為主，缺乏網(wǎng)絡(luò)安全的監(jiān)測和響應(yīng)能力，缺少全面感知行業(yè)網(wǎng)絡(luò)安全問題、安全事件監(jiān)測預(yù)警和事件處置快速響應(yīng)等能力，無法滿足新形勢下對廣電行業(yè)網(wǎng)絡(luò)安全監(jiān)測監(jiān)管的要求。根據(jù)我省廣電行業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀，如何建立全天候全方位的態(tài)勢感知平臺，提升全行業(yè)網(wǎng)絡(luò)安全保障能力，成為亟待解決的問題。

1 設(shè)計思路

網(wǎng)絡(luò)安全不存在絕對的安全，也沒有一勞永逸的解決方案，網(wǎng)絡(luò)安全是一個動態(tài)的、不斷完善的過程。

我省以網(wǎng)絡(luò)安全滑動標(biāo)尺模型作為網(wǎng)絡(luò)安全措施的基本框架（圖1）。網(wǎng)絡(luò)安全滑動標(biāo)尺模型包含架構(gòu)安全、被動防御、積極防御、情報和進攻五大類別。按照此模型對我省廣電行業(yè)現(xiàn)有網(wǎng)絡(luò)安全防御措施、能力進行分類，找出薄弱環(huán)節(jié)，結(jié)合建設(shè)目標(biāo)，進行合理投資，從而達到較少資源發(fā)揮更大作用的目的。

圖1 網(wǎng)絡(luò)安全滑動標(biāo)尺模型

現(xiàn)階段我省廣電行業(yè)網(wǎng)絡(luò)安全防護工作基本聚焦于架構(gòu)安全的被動防御狀態(tài)，多數(shù)停留在等級保護合規(guī)要求層面，無法實現(xiàn)對系統(tǒng)可用性和健康狀態(tài)的主動有效監(jiān)控，存在主動對抗安全威脅能力薄弱等問題。因此，針對我省廣電行業(yè)網(wǎng)絡(luò)安全工作這一實際情況，設(shè)計我省廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺方案時，遵循了以下設(shè)計思路。

首先，摸清全行業(yè)網(wǎng)絡(luò)安全的信息底數(shù)。對我省廣播電視行業(yè)政務(wù)網(wǎng)站、業(yè)務(wù)網(wǎng)站以及基于互聯(lián)網(wǎng)應(yīng)用的重要信息系統(tǒng)相關(guān)情況進行調(diào)查摸底，全面摸清我省廣電行業(yè)重要網(wǎng)站和系統(tǒng)的信息底數(shù)，全面梳理網(wǎng)絡(luò)安全現(xiàn)狀。網(wǎng)站信息主要包括ICP備案號、域名、運行狀態(tài)、運維方式、政務(wù)外網(wǎng)接入等情況；系統(tǒng)信息主要包括業(yè)務(wù)類型、運維方式、定級備案等情況。

其次，建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺。在完善防御體系基礎(chǔ)建設(shè)的前提下，增加網(wǎng)絡(luò)安全的預(yù)測能力、防御能力、監(jiān)測能力以及響應(yīng)能力。及時掌握全省行業(yè)內(nèi)網(wǎng)絡(luò)安全風(fēng)險狀態(tài)，完成對行業(yè)內(nèi)重要部門、重要單位的監(jiān)測和分析，對未來風(fēng)險進行預(yù)測，及時排查行業(yè)網(wǎng)絡(luò)安全薄弱位置。

最后，倒逼網(wǎng)絡(luò)安全薄弱單位，對安全防護薄弱系統(tǒng)進行整改，完善防御體系基礎(chǔ)建設(shè)，補強行業(yè)重要信息系統(tǒng)的被動防御能力，不斷完善和提升全省廣電行業(yè)網(wǎng)絡(luò)安全防護能力。

2 設(shè)計方案

2.1 平臺架構(gòu)

平臺主要包括四個層次，包括采集層、數(shù)據(jù)層、服務(wù)層和業(yè)務(wù)層，平臺總體架構(gòu)如圖2所示。

圖2 平臺總體架構(gòu)

（1）采集層

數(shù)據(jù)采集是整個平臺的基礎(chǔ)，其為后續(xù)網(wǎng)絡(luò)安全態(tài)勢感知提供數(shù)據(jù)支撐。數(shù)據(jù)采集的內(nèi)容主要包括對我省廣播電視行業(yè)政務(wù)網(wǎng)站、業(yè)務(wù)網(wǎng)站以及基于互聯(lián)網(wǎng)應(yīng)用的重要信息系統(tǒng)的日志數(shù)據(jù)、流量信息、漏洞信息等數(shù)據(jù)。

通過前期上報梳理，我省廣播電視行業(yè)政務(wù)網(wǎng)站、業(yè)務(wù)網(wǎng)站以及基于互聯(lián)網(wǎng)應(yīng)用的重要信息系統(tǒng)均沒有建立態(tài)勢感知平臺，因此只能采用布放流量傳感器、資產(chǎn)掃描設(shè)備、漏洞探針等方式采集數(shù)據(jù)。

（2）數(shù)據(jù)層

數(shù)據(jù)層的工作主要是完成對采集數(shù)據(jù)的預(yù)處理和存儲，為下一步網(wǎng)絡(luò)安全事件分析、預(yù)測做好準(zhǔn)備工作。數(shù)據(jù)預(yù)處理主要包括將采集到的數(shù)據(jù)按照統(tǒng)一標(biāo)準(zhǔn)進行過濾處理后進行存儲。

數(shù)據(jù)過濾包括對格式錯誤、不完整等問題的數(shù)據(jù)進行轉(zhuǎn)換，對錯誤的數(shù)據(jù)進行修改，同時刪除一些重復(fù)性的數(shù)據(jù)。平臺數(shù)據(jù)存儲技術(shù)采用了HDFS分布式文件系統(tǒng)技術(shù)，不但可以保證數(shù)據(jù)存儲的可靠性，還能滿足大規(guī)模數(shù)據(jù)集上的應(yīng)用。

（3）服務(wù)層

服務(wù)層是平臺的核心部分，也是承上啟下的一部分，其主要承擔(dān)的是向上完成與業(yè)務(wù)層應(yīng)用的對接，向下完成數(shù)據(jù)層提供數(shù)據(jù)的分析及應(yīng)用。通過對數(shù)據(jù)層提供數(shù)據(jù)進行關(guān)聯(lián)分析、場景分析發(fā)現(xiàn)安全事件，然后通過安全事件監(jiān)測、響應(yīng)機制反饋到業(yè)務(wù)層中的相關(guān)應(yīng)用，進而完成對安全事件的發(fā)現(xiàn)、響應(yīng)和處置。

關(guān)聯(lián)分析通過內(nèi)置的150多條關(guān)聯(lián)規(guī)則，對日志過濾、日志鏈接、聚類統(tǒng)計、閾值比較和序列分析等計算單元進行組合計算，及時發(fā)現(xiàn)暴力破解攻擊、裝酷攻擊、流量異常等威脅事件，產(chǎn)生精準(zhǔn)告警。

場景分析通過圖、表等多維度視角展示相關(guān)數(shù)據(jù)，為發(fā)現(xiàn)、判別網(wǎng)絡(luò)安全問題提供易讀、可視化的幫助。如暴力破解威脅分析，顯示被嘗試最多的登錄賬號，登陸失敗次數(shù)最多的源IP等。

（4）業(yè)務(wù)層

業(yè)務(wù)層主要負(fù)責(zé)完成人機交互的功能。眾所周知，網(wǎng)絡(luò)安全工作是專業(yè)性極強的工作，對網(wǎng)絡(luò)安全工作人員要求較高，需要非常熟悉網(wǎng)絡(luò)安全的相關(guān)技術(shù)。但通過我們調(diào)研發(fā)現(xiàn)，全省廣電行業(yè)網(wǎng)絡(luò)安全專業(yè)工作人員極度缺乏，對網(wǎng)絡(luò)安全分析處置能力有限。業(yè)務(wù)層通過可視化展示等手段，將安全數(shù)據(jù)、威脅預(yù)警、分析處置等信息實時反映給網(wǎng)絡(luò)安全監(jiān)測人員，使其快速、宏觀的了解整個行業(yè)的網(wǎng)絡(luò)安全情況，確保我省廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢可見、可控、能控、在控。

2.2 平臺主要功能

平臺功能主要包括威脅態(tài)勢感知、漏洞態(tài)勢感知及安全運營態(tài)勢感知等。平臺功能界面如圖3所示。

圖3 平臺界面

（1）威脅態(tài)勢感知

一方面展現(xiàn)來自行業(yè)外部安全威脅，掌握外部威脅的主要分類、主要來源國、主要攻擊源，快速感知外部威脅的攻擊分布和攻擊趨勢。

一方面展現(xiàn)行業(yè)內(nèi)部的威脅情況以及威脅是否蔓延。實時了解行業(yè)內(nèi)網(wǎng)安全狀況，快速了解內(nèi)網(wǎng)威脅個數(shù)、威脅類型、威脅等級、攻擊發(fā)起區(qū)域和攻擊者，可通過“跨網(wǎng)段攻擊分析”和“網(wǎng)段受攻擊分析”兩個分析視角，快速處理威脅攻擊源，實時了解內(nèi)網(wǎng)安全態(tài)勢變化趨勢。

（2）漏洞態(tài)勢感知

能夠持續(xù)監(jiān)控行業(yè)網(wǎng)絡(luò)內(nèi)部漏洞威脅，可視化展示漏洞分布情況，漏洞的處置情況、被攻擊者利用的漏洞情況以及漏洞的平均修復(fù)時間等，通過全網(wǎng)漏洞態(tài)勢，及時消除基礎(chǔ)的安全隱患。

（3）安全運營態(tài)勢感知

對全網(wǎng)安全事件、威脅事件、攻擊事件，按時間、類型、危險級別進行統(tǒng)計、分析和可視化展示，全面直觀感受整體行業(yè)網(wǎng)絡(luò)安全運營總體態(tài)勢。

3 結(jié)束語

要實現(xiàn)全省廣電行業(yè)網(wǎng)絡(luò)安全監(jiān)管全覆蓋，是需要接下來幾年逐步完成的，遼寧廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢感知平臺在科學(xué)制定整體規(guī)劃基礎(chǔ)上，分期建設(shè)、逐步實現(xiàn)行業(yè)全覆蓋。

平臺一期建設(shè)于2020年建設(shè)完成，可實現(xiàn)對全省廣播電視行業(yè)政務(wù)網(wǎng)站的安全情況進行7×24h的監(jiān)測，包括網(wǎng)站可用性、漏洞監(jiān)測、網(wǎng)頁篡改監(jiān)測、網(wǎng)頁掛馬監(jiān)測、內(nèi)容變更監(jiān)測、黑詞監(jiān)測、黑鏈監(jiān)測、敏感詞等違法違規(guī)行為的監(jiān)測，第一時間發(fā)現(xiàn)問題，通報預(yù)警。系統(tǒng)投入使用至今，累計向相關(guān)網(wǎng)站管理部門通報安全事件42起，涉及網(wǎng)站9家，有效保障了我省廣電視聽行業(yè)網(wǎng)絡(luò)運行環(huán)境的安全。