張 東，李 韜

(河南省廣播電視安全播出調(diào)度指揮中心，河南 鄭州 450002)

0 引言

為貫徹落實黨中央、國家廣電總局關(guān)于網(wǎng)絡(luò)安全管理的有關(guān)要求，河南省建設(shè)了廣播電視網(wǎng)絡(luò)安全態(tài)勢感知預(yù)警平臺項目。該項目采集信息系統(tǒng)交換設(shè)備網(wǎng)絡(luò)流量，結(jié)合網(wǎng)絡(luò)安全威脅情報，感知網(wǎng)絡(luò)安全風(fēng)險態(tài)勢，預(yù)警高危安全事件，全面掌控信息系統(tǒng)網(wǎng)絡(luò)安全狀況。該項目的建成與投入使用，在廣電行業(yè)網(wǎng)絡(luò)化、融媒化的今天，是一項里程碑式的探索。

1 系統(tǒng)建設(shè)背景

為貫徹國家《網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)，依據(jù)國家廣電總局網(wǎng)絡(luò)安全管理辦法和網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的有關(guān)要求，河南省廣播電視安全播出調(diào)度指揮中心建設(shè)了省廣播電視網(wǎng)絡(luò)安全態(tài)勢感知預(yù)警平臺。該平臺由1個核心域和多個探測域組成，探測域設(shè)置在廣播電視監(jiān)測監(jiān)管系統(tǒng)、政府網(wǎng)站和門戶網(wǎng)站等，部署探針設(shè)備，實時采集探測域核心交換設(shè)備出入流量數(shù)據(jù)，并將流量數(shù)據(jù)傳送至核心域；實時分析網(wǎng)絡(luò)安全設(shè)備日志，將探知的異常信息傳送至核心域。在核心域部署儲存分析設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和等保工具箱等，收集、分析從探測域采集的數(shù)據(jù)流量和安全日志，結(jié)合從國家信息安全權(quán)威機(jī)構(gòu)、信息安全廠商獲取到的威脅情報，從時間、空間等不同維度，分析感知網(wǎng)絡(luò)中存在的有害程序、網(wǎng)絡(luò)攻擊、信息破壞等網(wǎng)絡(luò)安全風(fēng)險態(tài)勢，對可能出現(xiàn)的高危網(wǎng)絡(luò)安全事件進(jìn)行通報預(yù)警，從而實時掌握信息系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢和外部網(wǎng)絡(luò)安全威脅，實現(xiàn)對重要信息系統(tǒng)網(wǎng)絡(luò)安全保障工作進(jìn)行監(jiān)督管理的目標(biāo)[1]。

該平臺設(shè)計架構(gòu)邏輯嚴(yán)謹(jǐn)、層次間支撐性強(qiáng)、業(yè)務(wù)功能豐富且實用性高，充分應(yīng)用大數(shù)據(jù)、云計算等一系列新技術(shù)，開展數(shù)據(jù)儲存、挖掘以及網(wǎng)站監(jiān)測、漏掃等工作，為全國廣電行業(yè)開展網(wǎng)絡(luò)安全態(tài)勢感知預(yù)警平臺建設(shè)樹立了標(biāo)桿。對平臺技術(shù)特點進(jìn)行研究，深入解析態(tài)勢感知技術(shù)，將有效促進(jìn)態(tài)勢感知技術(shù)在行業(yè)中的應(yīng)用、發(fā)展和深化，進(jìn)一步推動廣電行業(yè)的發(fā)展。

2 系統(tǒng)技術(shù)特點

2.1 先進(jìn)的平臺架構(gòu)

該平臺架構(gòu)設(shè)計先進(jìn)、邏輯嚴(yán)謹(jǐn)，包括采集層、存儲層、分析層、呈現(xiàn)層共4層。采集層利用部署在探測域的探針，將采集到的原始流量數(shù)據(jù)和網(wǎng)絡(luò)安全設(shè)備日志上傳至存儲層。存儲層支持日志數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、情報數(shù)據(jù)、策略數(shù)據(jù)等多元數(shù)據(jù)的存儲，建立索引進(jìn)行快速檢索查詢，并且對數(shù)據(jù)進(jìn)行備份。分析層利用大數(shù)據(jù)分析技術(shù)對存儲層中的數(shù)據(jù)進(jìn)行分析，通過數(shù)據(jù)預(yù)處理、實時計算、數(shù)據(jù)挖掘等技術(shù)，實現(xiàn)日志歸并、事件提取、風(fēng)險評估、預(yù)警分析，為呈現(xiàn)層提供數(shù)據(jù)支撐。呈現(xiàn)層將分析層推送來的數(shù)據(jù)進(jìn)行可視化展示，包括綜合分析、風(fēng)險態(tài)勢和資產(chǎn)態(tài)勢、數(shù)據(jù)分析和系統(tǒng)管理等的呈現(xiàn)。

2.2 豐富的業(yè)務(wù)功能

該平臺業(yè)務(wù)功能涵蓋面廣、實用性高，包括綜合分析、風(fēng)險安全預(yù)警、資產(chǎn)安全預(yù)警、系統(tǒng)管理4類業(yè)務(wù)功能。綜合分析功能能夠?qū)⒏黝惏踩录M(jìn)行綜合分析，呈現(xiàn)整體安全評分、攻擊鏈分析、攻擊地圖展示等。安全風(fēng)險預(yù)警功能包含網(wǎng)絡(luò)入侵、異常流量、僵木蠕傳播、網(wǎng)站安全、系統(tǒng)漏洞等安全態(tài)勢感知預(yù)警能力，支持對上述各類風(fēng)險開展動態(tài)監(jiān)控、查詢分析和統(tǒng)計報告。資產(chǎn)安全預(yù)警功能從資產(chǎn)角度開展安全態(tài)勢感知預(yù)警，包括資產(chǎn)角度的綜合概覽、安全事件分析、風(fēng)險評分等。系統(tǒng)管理功能包括資產(chǎn)登記管理、流量與事件查詢、用戶管理與監(jiān)控配置等。

2.3 利用大數(shù)據(jù)技術(shù)進(jìn)行數(shù)據(jù)儲存分析

該平臺利用海量數(shù)據(jù)儲存、數(shù)據(jù)分析、機(jī)器學(xué)習(xí)等大數(shù)據(jù)技術(shù)，對數(shù)據(jù)進(jìn)行存儲和分析，有效提升了數(shù)據(jù)存儲和分析的效能。海量數(shù)據(jù)儲存技術(shù)支持結(jié)構(gòu)化日志數(shù)據(jù)和TXT、圖片等非結(jié)構(gòu)化日志數(shù)據(jù)的存儲，通過索引實現(xiàn)數(shù)據(jù)快速查詢，利用分布式存儲技術(shù)實現(xiàn)數(shù)據(jù)的高速存儲處理。數(shù)據(jù)分析技術(shù)采用大數(shù)據(jù)專用的快速計算引擎，利用回歸分析、關(guān)聯(lián)規(guī)則、預(yù)測模型等方法，從不同角度對海量數(shù)據(jù)進(jìn)行挖掘，分析計算出有價值的數(shù)據(jù)。機(jī)器學(xué)習(xí)技術(shù)內(nèi)置多種安全應(yīng)用場景，在應(yīng)用場景中通過機(jī)器自我演練學(xué)習(xí)，持續(xù)豐富安全事件樣本庫，提高安全事件匹配準(zhǔn)確率。

2.4 外部威脅情報的獲取使用

該平臺與國家網(wǎng)絡(luò)安全權(quán)威機(jī)構(gòu)和國際網(wǎng)絡(luò)安全權(quán)威情報商進(jìn)行數(shù)據(jù)對接，定時獲取最新外部威脅情報，運用不同技術(shù)手段，分析利用不同類型的威脅情報，用以全面感知信息系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險。外部威脅情報的使用方法如下：(1)IP地址情報。該平臺將訪問探測域的用戶IP與外部威脅情報庫提供的惡意IP進(jìn)行比對，從而感知探測域面臨的惡意IP網(wǎng)絡(luò)攻擊風(fēng)險態(tài)勢。(2)域名情報。該平臺將資產(chǎn)經(jīng)常訪問的域名與外部威脅情報庫提供的惡意域名進(jìn)行比對，從而感知核心域面臨僵木蠕感染的風(fēng)險態(tài)勢。(3)主機(jī)特征情報。該平臺將訪問探測域的用戶瀏覽器User-Agent、登錄賬戶名及訪問頻率的主機(jī)特征與外部威脅情報庫提供的惡意主機(jī)特征進(jìn)行比對，從而感知探測域面臨的惡意主機(jī)信息破壞風(fēng)險態(tài)勢。(4)攻擊工具情報。該平臺將探測域安全設(shè)備日志信息與外部威脅情報庫提供的攻擊工具信息進(jìn)行比對分析，從而感知探測域可能遭受的網(wǎng)絡(luò)攻擊類型。

2.5 網(wǎng)站云安全服務(wù)

由于計劃探測的政府網(wǎng)站已遷至云平臺，本地服務(wù)器、安全設(shè)備和路由交換設(shè)備也隨之撤銷，無法在網(wǎng)站部署探針獲取流量數(shù)據(jù)和安全日志，因此我們采用網(wǎng)絡(luò)安全公司提供的云安全服務(wù)，對網(wǎng)站進(jìn)行周期性監(jiān)測和漏洞掃描，發(fā)現(xiàn)問題及時發(fā)出預(yù)警信息，從而實現(xiàn)對網(wǎng)站安全態(tài)勢的感知預(yù)警[2]。云監(jiān)測和云漏掃具體功能如下。

2.5.1 云監(jiān)測

云監(jiān)測包括可用性監(jiān)測、DNS劫持監(jiān)測、篡改監(jiān)測和暗鏈監(jiān)測等功能?？捎眯员O(jiān)測功能通過部署在全國的監(jiān)測點向網(wǎng)站發(fā)起請求，根據(jù)網(wǎng)站是否響應(yīng)及響應(yīng)時間，判斷網(wǎng)站的可用狀態(tài)。DNS劫持功能監(jiān)測周期性地向DNS發(fā)送域名解析請求，對響應(yīng)結(jié)果進(jìn)行集中匯總和分析匹配，從而快速、準(zhǔn)確地發(fā)現(xiàn)域名劫持行為。篡改監(jiān)測功能周期性地對網(wǎng)站進(jìn)行頁面抓取，進(jìn)行圖片、敏感詞信息對比驗證，分析變更的頁面是否含有(涉黃、涉政、涉暴等)篡改信息。暗鏈監(jiān)測功能周期性地對網(wǎng)站主動探測，及時發(fā)現(xiàn)規(guī)則異常的鏈接并對惡意網(wǎng)址進(jìn)行分析。

2.5.2 云漏掃

云漏掃支持多種類型的安全漏洞檢測，包括命令、代碼執(zhí)行類型的安全漏洞以及信息泄露、拒絕服務(wù)等邏輯攻擊類型的安全漏洞。

2.6 信息安全等保測評

該平臺包含測評表單模塊，并配有等保工具箱，其可輔助開展信息安全等級的保護(hù)測評工作。

2.6.1 等保工具箱

等保工具箱主要包括Windows主機(jī)配置檢查工具、Linux主機(jī)配置檢查工具、網(wǎng)絡(luò)及安全設(shè)備配置檢查工具、病毒檢查工具、木馬檢查工具、網(wǎng)站惡意代碼檢查工具、弱口令檢查工具、數(shù)據(jù)庫安全檢查工具、網(wǎng)站安全檢查工具、系統(tǒng)漏洞檢查工具等，通過使用等保工具箱來檢查信息系統(tǒng)安全漏洞及配置是否滿足等級保護(hù)的相關(guān)要求，并且可導(dǎo)出測評報告。

2.6.2 測評表單模塊

可將等保工具箱中導(dǎo)出的測評報告導(dǎo)入該平臺的測評表單模塊，在平臺上統(tǒng)一查看被測評信息系統(tǒng)的測評情況，測評項目包含物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理共10項[3]。

網(wǎng)絡(luò)安全態(tài)勢感知預(yù)警平臺的建成與投入使用，一是加強(qiáng)了政府網(wǎng)站的安全防護(hù)，保障相關(guān)行政審批備案工作正常運轉(zhuǎn)；二是提升了廣播電視監(jiān)測監(jiān)管系統(tǒng)的安全防范能力，保障廣播電視網(wǎng)絡(luò)視聽安全播出和網(wǎng)絡(luò)安全，為河南省意識形態(tài)和宣傳輿論工作保駕護(hù)航；三是加固了門戶網(wǎng)站網(wǎng)絡(luò)安全屏障，保障大型綜合類門戶網(wǎng)站更好地服務(wù)人民群眾的日常生活。

隨著河南省廣電行業(yè)的深度變革，以及融媒體中心建設(shè)工作的逐漸推進(jìn)，廣電行業(yè)將進(jìn)一步網(wǎng)絡(luò)化、智能化，隨之而來的網(wǎng)絡(luò)安全問題更加凸出。下一步，將深入調(diào)研全省廣電行業(yè)重要網(wǎng)絡(luò)與信息系統(tǒng)網(wǎng)絡(luò)的安全現(xiàn)狀與防護(hù)措施，與信息系統(tǒng)單位開展廣泛的技術(shù)研討，計劃將平臺覆蓋范圍向廣電行業(yè)其他省級重點信息系統(tǒng)以及地市級重要信息系統(tǒng)延伸，充分發(fā)揮平臺技術(shù)優(yōu)勢，逐步為全省廣電行業(yè)重要信息系統(tǒng)提供網(wǎng)絡(luò)安全態(tài)勢感知預(yù)警服務(wù)。

3 結(jié)語

網(wǎng)絡(luò)技術(shù)在不斷發(fā)展，網(wǎng)絡(luò)安全環(huán)境也在發(fā)生著深刻的變化。在網(wǎng)絡(luò)化、智能化、AI化以及5G技術(shù)不斷發(fā)展的今天，廣電行業(yè)既要積極創(chuàng)新，有所作為，還要做好關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)和網(wǎng)絡(luò)安全的保障工作。廣電行業(yè)監(jiān)管部門要積極運用態(tài)勢感知技術(shù)，加強(qiáng)網(wǎng)絡(luò)安全的監(jiān)測監(jiān)管，促進(jìn)廣電行業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全，保障廣電行業(yè)平穩(wěn)、有序、健康地發(fā)展。