淺析網絡安全態勢感知在省級氣象網絡中的應用

在信息安全的新形勢新變化下，省級氣象部門應加快科技創新，建設網絡安全、數據安全、業務安全一體化安全防護體系，提高服務保障能力，最大化發揮氣象信息支柱作用。本文針對氣象網絡信息安全工作的新變化，依據《中國氣象局網絡安全管理辦法》《中國氣象局網絡安全設計技術方案》，落實“三化六防”要求，按照“資源集約、業務協同”的原則，構建針對省級氣象系統的安全態勢感知系統，實現全天候全方位網絡安全態勢感知，實現安全威脅的提前預判、及時發現和快速應對。

網絡安全態勢感知是指對影響網絡安全的諸多要素進行獲取、理解、評估以及預測未來的發展趨勢，是對網絡安全性定量分析的一種手段，是對網絡安全性的精細度量。網絡安全態勢感知已經成為網絡安全2.0時代安全技術的焦點，對保障網絡安全起著非常重要的作用。

一、省級氣象安全需求分析

（一）全面安全監測與數據采集需求

拓展省級本地化安全監測措施，全面采集、監測網絡攻擊、系統漏洞、風險威脅等數據信息，與現有監測手段、數據融合，建立全天候、深層次、常態化的安全監測能力，準確監測全局性、整體性的安全威脅，響應新形勢下的氣象網絡安全保護要求。

（二）全網安全檢測與發現需求

利用大數據技術以及深度威脅分析引擎，打造本地化的分析研判能力，為網絡安全業務開展提供準確高價值的安全事件及安全情報信息，幫助全域網絡安全宏觀態勢和整體趨勢。

（三）整體安全態勢分析需求

從網絡安全綜合防控體系建設出發，構建集約化的網絡安全分析機制，利用省級態勢感知平臺和地市州等相關單位網絡安全相關數據開展安全分析工作，在機器學習、威脅情報、大數據分析等有效技術手段的輔助下，持續、高效分析和挖掘網絡攻擊事件和安全威脅，實現全省安全分析能力協同、互補，達到有效提升安全分析能力的目的。

傳統依賴產品和局部性、間斷性的安全服務為主的安全建設模式已不能滿足需求，必須構建一個全局的、持續的網絡安全態勢感知平臺，提高省級安全治理和安全風險防御水平。

二、氣象網絡的安全設計思路

當前，氣象網絡的安全設計思路落后于信息化發展，導致安全建設是基于不可修改的信息化底座，面向控制點進行零散部署，因此面臨 “信息孤島”問題。針對網絡信息安全工作的新變化，設計思路上也應進行相應調整。應當遵循“資源集約、業務協同”的原則，在現有基礎上，實現架構彈性擴容。依托海量網絡安全數據，運用數據治理、數據建模等技術手段，基于現有基礎設施，采用面向服務架構，進行標準化、體系化的設計。

保護對象：基于數字經濟、數字化轉型催生更廣泛的安全需求，保護對象從原來的端網云擴展到數據和應用。傳統網絡安全以邊界防護為核心，保護端網、云基礎設施和運行環境。

新形勢下要把保護數據資產作為核心，保護氣象業務系統及其應用和數據，關注運行的業務系統中的數據實體。在做好基礎設施和環境安全的同時，確保運行業務系統中的數據安全。

防護態勢：安全防護已經由靜態保護轉向動態防護。傳統數據安全以靜態地保護數據實體為主。在數字化時代，存在兩方面風險。一方面是來自數據流動保護的風險，包括數據來源、基礎應用、跨域流動等。一方面是數據業務過程的風險，包括數據使用權限、共享交換、數據交易等。因此應以分類分級為基礎，在數據流轉基礎之上做動態的防護。實現數據的采集設備對接和數據存儲的管理功能，對數據接入進行可視化的全流程管理，提供包括數據接入、數據處理、監控預警、查詢檢索等能力，從而達到數據歸一化、過濾、豐富、分類日志信息的目的。

深度融合：由于API應用場景廣泛，API已成為內外部提供業務服務的最主要入口，種類數量眾多，導致暴露面、攻擊面增多，所以需要將安全能力融入應用架構及平臺中，同時安全能力與業務應用、信息系統建設要深度融合。

省級網絡安全態勢感知系統作為網絡安全保障工作的中樞系統，既要做到國省態勢感知一體化監控、信息共享、協同處置，又要實現監控全省市州縣，數據交互并統一指揮。因此，為了防御氣象網絡中將面臨的一些復雜高級的持續攻擊行為，必須進行全新的、全面的安全體系架構設計。

三、網絡安全態勢感知系統建構

（一）架構設計

網絡安全態勢感知系統主要分為網絡安全要素提取、網絡安全態勢理解和網絡安全態勢預測。系統定位為省級氣象局網絡安全保障工作的中樞系統，采用省市縣三級布局架構，實現橫向協同縱向指揮。在橫向協同上，平臺與已建設威脅感知等系統對接，實現本級間信息共享、網絡安全事件協同處置；在縱向指揮上，與市縣單位平臺對接，進行數據交互和統一指揮，形成網絡安全的總體感知、研判、指揮能力，保障氣象信息系統安全穩定運行。

系統設計的關鍵是為氣象部門及業務提供所需的數據及分析，成為輔助管理者提供決策的工具，而不是“有什么”提供什么，“想提供什么”提供什么。所以系統的設計應始于安全度量指標體系，通過對核心氣象業務的系統分析，得出安全點同時對其進行表征，建構適用于本省安全態勢可度量的指標體系。基于上述分析，挑選適配的分析技術和預測模型，建立分析預測的流程及架構；同時將感知系統采集到的原始數據按照不同的采集方式進行處理，無法通過系統直接獲取的數據，經由外部系統進行導入或利用人工評分產生。

（二）部署設計

如圖1所示，系統包括態勢分析平臺和探針兩大部分。探針的部署按照省市縣三級展開。省級部署探針，實現全省范圍的安全數據采集，以及省級數據網、業務網的API接口數據采集和分析。還需對全網服務器終端軟件、進程、賬戶、服務等資產信息采集并傳輸到態勢感知平臺上。市州局部署探針用于市州級網絡數據采集并傳輸到上一級系統，與省級實現對接，為整體網絡態勢感知提供數據來源。縣級部署軟探針用于統計全省終端的業務使用率，以及終端是否出現安全問題，并及時上報態勢感知平臺進行問題分析，確保及時發現安全事件。

省級態勢分析平臺由數據處理、監測告警及安全態勢分析三部分組成，其中數據處理部分包括數據預處理、數據組織、數據治理、數據服務。通過各類采集探針來采集日志數據、流量數據等數據，對數據進行抽取、清洗等處理，實現數據格式相對統一、分類分級明確、標識清晰，并根據上層業務應用需求形成業務庫。然后，進行統一風險評估和綜合管理，提供全天候、全方位的態勢感知，同時監測承接整個平臺的各類告警、事件和風險數據，為具體的事件處理及安全處置提供有價值的基礎數據。這樣邊可以對整體的網絡安全風險進行展示和評估，為相關指揮人員和管理人員提供參考。

四、結語

隨著氣象信息化的迅速發展以及新的氣象業務安全需求的出現，氣象網絡安全防護工作需要不斷增強。網絡安全態勢感知技術的應用能夠使氣象系統、設備、網絡及關鍵信息基礎設施的安全防護水平得到提升，實現對數據流通的全流程監管，對網絡與終端行為的全方位監控，氣象網絡空間安全保障能力的全面提升，為構筑網絡安全立體防御提供堅實基礎。

作者單位：吉林省氣象信息網絡中心