遼寧廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)研究與設(shè)計(jì)

2021-03-02 08:21:54遼寧省廣播電視及信息網(wǎng)絡(luò)視聽節(jié)目監(jiān)測(cè)臺(tái)王嬌婷

電子世界 2021年24期

遼寧省廣播電視及信息網(wǎng)絡(luò)視聽節(jié)目監(jiān)測(cè)臺(tái) 王嬌婷

隨著“互聯(lián)網(wǎng)+”在廣電行業(yè)的全面推進(jìn)，廣電網(wǎng)絡(luò)技術(shù)的IP化、IT化和云化的趨勢(shì)愈發(fā)明顯，廣電網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻。本文分析了遼寧廣電行業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀，闡述我省廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的研究與設(shè)計(jì)。

隨著信息化系統(tǒng)數(shù)量日趨增多，系統(tǒng)的關(guān)聯(lián)性和復(fù)雜度不斷增強(qiáng)，使得當(dāng)前廣電行業(yè)網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻。作為我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，已于2017年6月1日起正式施行。《網(wǎng)絡(luò)安全法》對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”在法律和制度層面進(jìn)行了重點(diǎn)保護(hù)。

對(duì)于我省廣電行業(yè)來(lái)說，網(wǎng)絡(luò)安全監(jiān)管主要是對(duì)轄區(qū)內(nèi)廣電行業(yè)政務(wù)網(wǎng)站、業(yè)務(wù)網(wǎng)站、基于互聯(lián)網(wǎng)應(yīng)用的重要信息系統(tǒng)以及逐步建設(shè)完成的基于云平臺(tái)的縣級(jí)融媒體中心等重要信息系統(tǒng)的安全監(jiān)管。目前我省廣電網(wǎng)絡(luò)安全體系主要以“防護(hù)”為主，缺乏網(wǎng)絡(luò)安全的監(jiān)測(cè)和響應(yīng)能力，缺少全面感知行業(yè)網(wǎng)絡(luò)安全問題、安全事件監(jiān)測(cè)預(yù)警和事件處置快速響應(yīng)等能力，無(wú)法滿足新形勢(shì)下對(duì)廣電行業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)監(jiān)管的要求。根據(jù)我省廣電行業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀，如何建立全天候全方位的態(tài)勢(shì)感知平臺(tái)，提升全行業(yè)網(wǎng)絡(luò)安全保障能力，成為亟待解決的問題。

1 設(shè)計(jì)思路

網(wǎng)絡(luò)安全不存在絕對(duì)的安全，也沒有一勞永逸的解決方案，網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的、不斷完善的過程。

我省以網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型作為網(wǎng)絡(luò)安全措施的基本框架（圖1）。網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型包含架構(gòu)安全、被動(dòng)防御、積極防御、情報(bào)和進(jìn)攻五大類別。按照此模型對(duì)我省廣電行業(yè)現(xiàn)有網(wǎng)絡(luò)安全防御措施、能力進(jìn)行分類，找出薄弱環(huán)節(jié)，結(jié)合建設(shè)目標(biāo)，進(jìn)行合理投資，從而達(dá)到較少資源發(fā)揮更大作用的目的。

圖1 網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型

現(xiàn)階段我省廣電行業(yè)網(wǎng)絡(luò)安全防護(hù)工作基本聚焦于架構(gòu)安全的被動(dòng)防御狀態(tài)，多數(shù)停留在等級(jí)保護(hù)合規(guī)要求層面，無(wú)法實(shí)現(xiàn)對(duì)系統(tǒng)可用性和健康狀態(tài)的主動(dòng)有效監(jiān)控，存在主動(dòng)對(duì)抗安全威脅能力薄弱等問題。因此，針對(duì)我省廣電行業(yè)網(wǎng)絡(luò)安全工作這一實(shí)際情況，設(shè)計(jì)我省廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)方案時(shí)，遵循了以下設(shè)計(jì)思路。

首先，摸清全行業(yè)網(wǎng)絡(luò)安全的信息底數(shù)。對(duì)我省廣播電視行業(yè)政務(wù)網(wǎng)站、業(yè)務(wù)網(wǎng)站以及基于互聯(lián)網(wǎng)應(yīng)用的重要信息系統(tǒng)相關(guān)情況進(jìn)行調(diào)查摸底，全面摸清我省廣電行業(yè)重要網(wǎng)站和系統(tǒng)的信息底數(shù)，全面梳理網(wǎng)絡(luò)安全現(xiàn)狀。網(wǎng)站信息主要包括ICP備案號(hào)、域名、運(yùn)行狀態(tài)、運(yùn)維方式、政務(wù)外網(wǎng)接入等情況；系統(tǒng)信息主要包括業(yè)務(wù)類型、運(yùn)維方式、定級(jí)備案等情況。

其次，建設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)。在完善防御體系基礎(chǔ)建設(shè)的前提下，增加網(wǎng)絡(luò)安全的預(yù)測(cè)能力、防御能力、監(jiān)測(cè)能力以及響應(yīng)能力。及時(shí)掌握全省行業(yè)內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀態(tài)，完成對(duì)行業(yè)內(nèi)重要部門、重要單位的監(jiān)測(cè)和分析，對(duì)未來(lái)風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)，及時(shí)排查行業(yè)網(wǎng)絡(luò)安全薄弱位置。

最后，倒逼網(wǎng)絡(luò)安全薄弱單位，對(duì)安全防護(hù)薄弱系統(tǒng)進(jìn)行整改，完善防御體系基礎(chǔ)建設(shè)，補(bǔ)強(qiáng)行業(yè)重要信息系統(tǒng)的被動(dòng)防御能力，不斷完善和提升全省廣電行業(yè)網(wǎng)絡(luò)安全防護(hù)能力。

2 設(shè)計(jì)方案

2.1 平臺(tái)架構(gòu)

平臺(tái)主要包括四個(gè)層次，包括采集層、數(shù)據(jù)層、服務(wù)層和業(yè)務(wù)層，平臺(tái)總體架構(gòu)如圖2所示。

圖2 平臺(tái)總體架構(gòu)

（1）采集層

數(shù)據(jù)采集是整個(gè)平臺(tái)的基礎(chǔ)，其為后續(xù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知提供數(shù)據(jù)支撐。數(shù)據(jù)采集的內(nèi)容主要包括對(duì)我省廣播電視行業(yè)政務(wù)網(wǎng)站、業(yè)務(wù)網(wǎng)站以及基于互聯(lián)網(wǎng)應(yīng)用的重要信息系統(tǒng)的日志數(shù)據(jù)、流量信息、漏洞信息等數(shù)據(jù)。

通過前期上報(bào)梳理，我省廣播電視行業(yè)政務(wù)網(wǎng)站、業(yè)務(wù)網(wǎng)站以及基于互聯(lián)網(wǎng)應(yīng)用的重要信息系統(tǒng)均沒有建立態(tài)勢(shì)感知平臺(tái)，因此只能采用布放流量傳感器、資產(chǎn)掃描設(shè)備、漏洞探針等方式采集數(shù)據(jù)。

（2）數(shù)據(jù)層

數(shù)據(jù)層的工作主要是完成對(duì)采集數(shù)據(jù)的預(yù)處理和存儲(chǔ)，為下一步網(wǎng)絡(luò)安全事件分析、預(yù)測(cè)做好準(zhǔn)備工作。數(shù)據(jù)預(yù)處理主要包括將采集到的數(shù)據(jù)按照統(tǒng)一標(biāo)準(zhǔn)進(jìn)行過濾處理后進(jìn)行存儲(chǔ)。

數(shù)據(jù)過濾包括對(duì)格式錯(cuò)誤、不完整等問題的數(shù)據(jù)進(jìn)行轉(zhuǎn)換，對(duì)錯(cuò)誤的數(shù)據(jù)進(jìn)行修改，同時(shí)刪除一些重復(fù)性的數(shù)據(jù)。平臺(tái)數(shù)據(jù)存儲(chǔ)技術(shù)采用了HDFS分布式文件系統(tǒng)技術(shù)，不但可以保證數(shù)據(jù)存儲(chǔ)的可靠性，還能滿足大規(guī)模數(shù)據(jù)集上的應(yīng)用。

（3）服務(wù)層

服務(wù)層是平臺(tái)的核心部分，也是承上啟下的一部分，其主要承擔(dān)的是向上完成與業(yè)務(wù)層應(yīng)用的對(duì)接，向下完成數(shù)據(jù)層提供數(shù)據(jù)的分析及應(yīng)用。通過對(duì)數(shù)據(jù)層提供數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析、場(chǎng)景分析發(fā)現(xiàn)安全事件，然后通過安全事件監(jiān)測(cè)、響應(yīng)機(jī)制反饋到業(yè)務(wù)層中的相關(guān)應(yīng)用，進(jìn)而完成對(duì)安全事件的發(fā)現(xiàn)、響應(yīng)和處置。

關(guān)聯(lián)分析通過內(nèi)置的150多條關(guān)聯(lián)規(guī)則，對(duì)日志過濾、日志鏈接、聚類統(tǒng)計(jì)、閾值比較和序列分析等計(jì)算單元進(jìn)行組合計(jì)算，及時(shí)發(fā)現(xiàn)暴力破解攻擊、裝酷攻擊、流量異常等威脅事件，產(chǎn)生精準(zhǔn)告警。

場(chǎng)景分析通過圖、表等多維度視角展示相關(guān)數(shù)據(jù)，為發(fā)現(xiàn)、判別網(wǎng)絡(luò)安全問題提供易讀、可視化的幫助。如暴力破解威脅分析，顯示被嘗試最多的登錄賬號(hào)，登陸失敗次數(shù)最多的源IP等。

（4）業(yè)務(wù)層

業(yè)務(wù)層主要負(fù)責(zé)完成人機(jī)交互的功能。眾所周知，網(wǎng)絡(luò)安全工作是專業(yè)性極強(qiáng)的工作，對(duì)網(wǎng)絡(luò)安全工作人員要求較高，需要非常熟悉網(wǎng)絡(luò)安全的相關(guān)技術(shù)。但通過我們調(diào)研發(fā)現(xiàn)，全省廣電行業(yè)網(wǎng)絡(luò)安全專業(yè)工作人員極度缺乏，對(duì)網(wǎng)絡(luò)安全分析處置能力有限。業(yè)務(wù)層通過可視化展示等手段，將安全數(shù)據(jù)、威脅預(yù)警、分析處置等信息實(shí)時(shí)反映給網(wǎng)絡(luò)安全監(jiān)測(cè)人員，使其快速、宏觀的了解整個(gè)行業(yè)的網(wǎng)絡(luò)安全情況，確保我省廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)可見、可控、能控、在控。

2.2 平臺(tái)主要功能

平臺(tái)功能主要包括威脅態(tài)勢(shì)感知、漏洞態(tài)勢(shì)感知及安全運(yùn)營(yíng)態(tài)勢(shì)感知等。平臺(tái)功能界面如圖3所示。

圖3 平臺(tái)界面

（1）威脅態(tài)勢(shì)感知

一方面展現(xiàn)來(lái)自行業(yè)外部安全威脅，掌握外部威脅的主要分類、主要來(lái)源國(guó)、主要攻擊源，快速感知外部威脅的攻擊分布和攻擊趨勢(shì)。

一方面展現(xiàn)行業(yè)內(nèi)部的威脅情況以及威脅是否蔓延。實(shí)時(shí)了解行業(yè)內(nèi)網(wǎng)安全狀況，快速了解內(nèi)網(wǎng)威脅個(gè)數(shù)、威脅類型、威脅等級(jí)、攻擊發(fā)起區(qū)域和攻擊者，可通過“跨網(wǎng)段攻擊分析”和“網(wǎng)段受攻擊分析”兩個(gè)分析視角，快速處理威脅攻擊源，實(shí)時(shí)了解內(nèi)網(wǎng)安全態(tài)勢(shì)變化趨勢(shì)。

（2）漏洞態(tài)勢(shì)感知

能夠持續(xù)監(jiān)控行業(yè)網(wǎng)絡(luò)內(nèi)部漏洞威脅，可視化展示漏洞分布情況，漏洞的處置情況、被攻擊者利用的漏洞情況以及漏洞的平均修復(fù)時(shí)間等，通過全網(wǎng)漏洞態(tài)勢(shì)，及時(shí)消除基礎(chǔ)的安全隱患。

（3）安全運(yùn)營(yíng)態(tài)勢(shì)感知

對(duì)全網(wǎng)安全事件、威脅事件、攻擊事件，按時(shí)間、類型、危險(xiǎn)級(jí)別進(jìn)行統(tǒng)計(jì)、分析和可視化展示，全面直觀感受整體行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)總體態(tài)勢(shì)。

3 結(jié)束語(yǔ)

要實(shí)現(xiàn)全省廣電行業(yè)網(wǎng)絡(luò)安全監(jiān)管全覆蓋，是需要接下來(lái)幾年逐步完成的，遼寧廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)在科學(xué)制定整體規(guī)劃基礎(chǔ)上，分期建設(shè)、逐步實(shí)現(xiàn)行業(yè)全覆蓋。