關鍵信息基礎設施中的網絡安全運營研究

袁國偉

(國防科技大學 信息通信學院，湖北 武漢 430014)

0 引言

近年，國內重點行業領域加大信息化建設，構建覆蓋多區域、多節點的廣域網信息基礎設施。在促進行業領域發展的同時，基于廣域網體系架構、計算環境、邊界防護的特殊性，關鍵信息基礎設施存在諸多安全風險。2022年9月27日，國家計算機病毒應急處置中心公告了美國國家安全局特定入侵行動辦公室對西北工業大學的網絡攻擊行動，披露了其對我國關鍵基礎設施實施攻擊并竊取數據的事實。此次事件引起政府、社會和行業領域的廣泛關注，加強關鍵信息基礎設施網絡安全防護成為各領域的共識。

1 網絡安全風險及需求分析

1.1 基本情況

廣域網是由不同地區局域網或者城域網連接而成的通信網絡。隨著信息化技術快速發展，很多政府部門、國防工業、大型企業等重點行業和領域通過光纜、衛通等鏈路，使用光傳輸系統、網絡交換設備建立了專用的廣域網。比如國家稅務局構建了從總局到省、市、縣四級廣域網，各大銀行構建了從總行到分行再到支行和營業點的專網網絡[1]。

城域網結構通常采用“核心-匯聚-接入”分層結構，出口通過路由器連接廣域網，依托保密機和防火墻等安防設備進行邊界防護；核心層由多臺萬兆交換機組成，進行業務的交換轉發；匯聚層使用千兆交換機，連接不同的接入節點；接入層負責將終端接入網絡，如圖1所示。

圖1 城域網拓撲

1.2 風險分析

1.2.1 脆弱性分析

廣域網基于其自身的特點，在保證重點領域和行業從總部到節點間的信息傳遞的同時，存在諸多薄弱環節。一是在對外聯網方面，大多數行業領域需對外提供服務和業務，或由外部為本行業提供服務和業務，存在多節點對外聯網需求，外部行業環境、人員、網絡、終端不受控，接入方式各不相同，存在較大風險。二是在傳輸層方面，各節點內部主要依托光纜資源完成內部城域網或者局域網組網，總部至節點和節點間主要采用光纜資源和衛星通信構建廣域網。其中光纜資源主要采取自建或者租用運營商鏈路，易被物理破壞或遭受自然災害，進而導致通信中斷；衛通鏈路鑒于其傳輸體制透明公開的特性，易受收到電磁干擾而導致中斷。三是在用網設備方面，很多行業領域在網絡建設初期未考慮安全防護要求，大量使用國外設備和操作系統，相關設備和系統存在很多先天漏洞，如未及時進行更換或者漏洞修復，極易被不法分子所利用。

1.2.2 威脅識別

基于重點行業領域的特殊地位和關鍵信息基礎設施廣域網復雜架構，根據威脅的屬性，從自然威脅和人為威脅兩方面進行分析。自然威脅方面，可能的威脅有地震、雷擊、洪水、靜電等；人為威脅方面，主要包括敵對國家、黑客組織、網絡恐怖分子的網絡攻擊行為和內部工作人員的不安全網絡行為，如表1所示。

表1 威脅描述

1.2.3 存在的主要風險

廣域網自身存在的脆弱性，使得自然和人為威脅存在造成安全事件的可能。通過上述分析，從內部和外部兩個維度分析關鍵信息基礎設施存在的主要風險。

(1)內部風險：主要包括人員操作、設備問題、信息安全防護等方面。一是人員操作方面，受限于人員用網安全意識不強，存在違規跨網傳遞數據、接入外聯設備導致信息泄露、病毒植入等風險。另外，由于運營人員自身安全運營能力不足導致安全事件擴散的風險。二是設備自身方面，由于用網裝備開發、設計、生產和使用未考慮安全防護要求，安全管理設備自動化、通用化程度不高，加之日常管理不規范，從而因設備自身問題導致網絡異常。三是信息安全防護方面，由于網內盜版軟件、操作系統存在安全漏洞和病毒特征，存在被攻擊、利用、嗅探的風險。

(2)外部風險主要體現在網絡外聯、自然災害和敵對勢力攻擊幾個方面。重點行業領域大多存在對外聯網需求，存在因邊界管控不到位而被不法分子利用實施網絡攻擊的風險。由于廣域網主要依托有線、衛通鏈路組網，一旦遭受地震、雷擊等不可抗力影響，造成某一節點或者鏈路受損，將直接導致網絡中斷。基于關鍵信息基礎設施的特殊重要性，敵對勢力易采取通信鏈路干擾、網絡攻擊、木馬植入等手段，對其實施硬摧毀或者軟殺傷，進而影響業務系統安全。

1.3 需求分析

1.3.1 網絡安全運營

業界對網絡安全運營的定義不盡相同，經過多年的理論研究和運營實踐，核心思想趨于一致。這里參照《網絡安全運營服務能力指南》[2]，將其定義為以確保網絡安全為目標，以資產管理為核心，以安全事件管理為關鍵流程，以安全態勢感知為主要技術手段，進而協調各級組織和人員，開展安全審計、風險評估和事件處置等工作。其內容從技術和管理兩個維度進行概況，技術層面具體包括資產監視、安全防御、監測分析、應急處置等相關內容；管理包括制度建立、機構設置、人員管理、運維管理等內容。

《中華人民共和國網絡安全法》《網絡安全等級保護條例》(以下簡稱“等保”)對廣域網架構下的關鍵信息基礎設施安全運營建設內容進行規定，明確關鍵信息基礎設施為相關領域和行業遭到破壞可能危害國家安全、國計民生、公共利益的重要網絡設施和信息系統。據此，關鍵信息基礎設施按照“等保”定級指南，需按照三級及以上安全防護等級執行防控措施，并進行重點保護。這里從技術和管理兩個維度，參照“關保”“等保”中的標準要求，結合網絡安全風險實際，對網絡安全運營建設需求進行分析，確保體系建設合規。

1.3.2 網絡安全運營技術需求

“等保”“關保”圍繞資產管理、安全防護、監測分析、事件管理等方面，提出開展資產梳理、加強邊界監測、事件集中管理等標準要求，強調網絡運營的主動防御、動態防御[3]。可以看出，關鍵信息基礎設施網絡安全運營技術體系建設上，需借助數據采集、融合分析、態勢顯示等態勢感知技術，圍繞資產監視、安全防御、監測分析、應急處置等流程，構建立體、動態的防御體系，形成覆蓋全局安全態勢，并與網絡設備和運營人員進行有機聯動，及時響應安全事件，實現網絡安全的閉環管理[4]。

1.3.3 網絡安全運營管理需求

“等保”“關保”圍繞組織體系和制度體系兩方面，就目標策略制定、組織體系建立、規章制度構建提出了具體標準要求。可以看出，關鍵信息基礎設施網絡安全管理體系建設上，需建立覆蓋安全管理活動制度、規程、機制，明晰各級管理責任，通過規范化的人員培養，建立完備安全運維、檢查評估、監測預警和事件處置流程，實現組織、制度、流程的體系化設計，為網絡安全運營提供制度支撐[5]。

2 安全運營體系構建

2.1 體系框架

對照前述技術和管理需求，參照“等保”“關保”有關標準要求，圍繞組織、制度、技術對關鍵信息基礎設施網絡安全運營進行體系化設計，通過構建規范化的組織體系、一體化的態勢感知運營平臺和系統化的管理制度規范，進而實現網絡安全運營的體系化建設[6]。

2.2 網絡安全運營組織體系

區分技術和行政管理，按照“誰主管、誰負責，誰維護、誰負責，誰使用、誰負責”的原則，建立包含決策層、管理層和支撐層、執行層的自上而下的組織體系(如圖2所示)。

圖2 關鍵信息基礎設施組織體系

在總部設立網絡安全管理委員會，作為決策機構負責網絡安全的全面工作，最高領導由總部網絡主管領導擔任，成員包含下屬單位網絡主管領導、總部信息化部門領導以及網絡安全運營中心領導，下設辦公室具體負責日常業務協調。管理委員會履行審批網絡安全管理目標、安全制度、重大項目、工作報告，決策處置重大突發事件等職能。

總部信息化部門牽頭負責總部安全運營管理工作，履行運營制度制定、網絡事件指揮協調，并檢查督導各級執行制度要求等職能。

總部網絡安全運營中心負責總部的關鍵信息基礎設施的安全工作，并負責為其他單位網絡安全運營提供技術支撐。各下級單位網絡管理部門承擔本單位的網絡安全主體責任，細化分級上級制度，并按要求調配運營力量，為主要執行力量。總部審計部門獨立于網絡安全管理組織和網絡安全執行組織，強調事后審計，主要是對總部信息化部門和各級單位網絡管理部門進行網絡安全工作評價。

2.3 網絡安全運營制度

如圖3所示，制度體系上，以國家相關制度和標準為基本依據，由網絡安全管理委員會審定網絡運營總體目標、安全策略和安全保護計劃，由信息化部門制定配套的安全管理制度，并由網絡安全運營中心結合日常運營實際制定相應的運維機制，進而形成集策略方針、管理制度和運維機制于一體的制度體系，指導并有效規范各級開展網絡安全運營工作。通過嚴格制度和發布、評審和修訂，實現制度間的有效銜接和一致性。

圖3 關鍵信息基礎設施制度體系

2.4 網絡安全態勢感知和運營平臺

2.4.1 設計思路

對照“等保”積極防御、主動防御的技術需要，突出應對關鍵信息基礎設施的現實風險，依托一體化平臺實現對網絡安全運營資產監視、安全防御、監測分析、應急處置等活動的集中管理。系統主要圍繞以下四種能力進行設計。

一是數據集中管控。在網絡層和傳輸層數據的基礎上，引入光傳輸系統、衛通、光纜監視平臺物理層數據，實現從物理層、網絡層到傳輸層的數據集中采集和管理，為數據分析和態勢展示提供多維度、成體系的數據資源。

二是分析決策快速高效。通過提取關鍵特征要素，依托攻擊態勢分析、節點出口監測、重點出口監測、重點區域監測、異常流量分析、訪問行為等分析引擎，形成對關鍵安全域、異常情況的實時分析結論，支撐數據回溯分析和態勢顯示調用。

三是安全態勢一體展示。建立多維度、全時段的網絡安全態勢呈現，滿足指揮、管理和運維各類需求。能夠按照網絡區域、地理區域和網絡安全事件等屬性，提供網絡拓撲、餅圖、表格等多種呈現方式，為運營人員提供直觀展示界面。

四是應急響應快速高效。通過構建應急預案、威脅庫、情報庫、經驗知識庫等各類知識庫，事先對安全事件進行劇本編排，在人、設備、事件有機聯動下，實現對網絡安全事件的自動響應，縮減應急響應時間。

2.4.2 體系架構

針對上述技術建設需求和思路，為更好地應對關鍵信息基礎設施的威脅和風險，參照態勢感知技術模型和SOAR(安全編排自動化與響應)模型[7]，借鑒當前成熟的運營平臺建設經驗，構建集數據平臺、分析平臺、態勢顯示平臺和事件處置平臺于一體的態勢感知和運營平臺架構(如圖4所示)。在對全網流量信息、資產情況進行全面收集、監測的基礎上，利用分析層對數據進行融合分析，其后在顯示層以可視化的界面呈現，進而為事件發現、溯源查證、安全運維和自動化提供技術支撐。

圖4 網絡安全態勢感知和運營平臺架構

(1)數據管理平臺

數據管理平臺主要用于數據的采集和預處理，是其他平臺的數據支撐平臺，包含數據引接模塊、數據組織與管理模塊以及數據分析與服務模塊。平臺接入網絡流量、安全設備、安管平臺、資產信息和威脅情報的數據，并通過數據預處理形成安全數據資源庫；其后通過各種匯聚關聯模型對數據進行業務主題聚合，形成支持安全業務分析的主題數據庫，供業務主題調用。

(2)數據融合分析平臺

數據融合分析平臺利用數據管理平臺引接的數據，結合網絡拓撲繪制、風險告警標繪等，通過多維分析、關聯分析、流量分析、行為分析等數據分析引擎，構建包含安全風險、安全防護、安全策略、安全狀態評價模型，實現對網絡安全狀態的評價指標管理、評價模型管理和評價任務管理。

(3)安全態勢顯示平臺

安全態勢顯示平臺依托數據管理和融合分析平臺，提供數據和分析支撐環境，通過圖層的疊加組合，從網絡綜合安全狀態(如表2所示)和業務域專題安全狀態(如表3所示)兩大視角系統顯示安全狀態信息和各類安全專題信息。平臺以3D可視化技術為基礎，以圖層疊加方式顯示各類安全狀態信息和安全專題信息，以專業視角對各類網絡風險和防護情況進行評估和呈現，對各類網絡專題態勢進行綜合顯示。

表2 網絡綜合安全狀態顯示

表3 網絡綜合安全狀態顯示

(4)事件處置平臺

事件處置平臺基于SOAR設計理念，從數據管理平臺和數據融合平臺獲取安全事件信息，通過事件編排，生成對應處置策略，與運營人員和設備進行有機聯動，實現安全事件的自動響應[8]。

3 結論

本文從關鍵信息基礎設施安全風險著手，以網絡安全可靠為出發點，著眼安全運營合規化建設，提出構建集人、技術、機制的一體化安全運營體系。基于態勢感知技術、制度體系、組織體系建設來提升網絡安全運營能力。網絡安全運營作為一個復雜的系統工程，需要各級持續發力、久久為功，充分運用云計算、大數據等先進技術，打通各系統、各區域的堵塞點，實現網絡安全的積極防御、主動防御。