陳 嵐，周維續(xù)

（水利部水利信息中心，北京 100053）

水利網(wǎng)絡(luò)安全監(jiān)測與預(yù)警方法

陳 嵐，周維續(xù)

（水利部水利信息中心，北京 100053）

指出水利網(wǎng)絡(luò)面臨的主要安全威脅，介紹水利網(wǎng)絡(luò)安全監(jiān)測方法，闡述水利網(wǎng)絡(luò)安全預(yù)警機(jī)制，明確監(jiān)測預(yù)警在水利網(wǎng)絡(luò)安全工作中的重要性，展望態(tài)勢感知技術(shù)在水利網(wǎng)絡(luò)安全監(jiān)測預(yù)警中的應(yīng)用前景。

水利；網(wǎng)絡(luò)安全；信息化；監(jiān)測；預(yù)警；信息通報

0 引言

從 20 世紀(jì) 90年代開始，依托國家防汛抗旱指揮系統(tǒng)工程，水利部逐漸形成了連通水利部機(jī)關(guān)、水利部各直屬單位、部分國家防汛抗旱總指揮部成員單位及 32 個省級水行政主管部門的水利信息網(wǎng)，其承載了水利行業(yè)防汛抗旱、水資源管理、水土保持監(jiān)測、異地視頻會商等多項關(guān)鍵業(yè)務(wù)應(yīng)用。水利信息網(wǎng)的構(gòu)建，極大地推動了水利信息化的發(fā)展，提高了水利管理水平和能力，但是，水利信息網(wǎng)在帶來工作便利的同時，也帶來了日益突出的網(wǎng)絡(luò)安全風(fēng)險，如何盡快發(fā)現(xiàn)威脅控制風(fēng)險成為網(wǎng)絡(luò)安全工作中面臨的一大問題。

《中華人民共和國網(wǎng)絡(luò)安全法》在第五章以大量篇幅對監(jiān)測預(yù)警進(jìn)行了詮釋，突顯了其在網(wǎng)絡(luò)安全工作中的重要性。水利部遵照國家相關(guān)規(guī)章制度，利用網(wǎng)絡(luò)安全監(jiān)測預(yù)警新技術(shù)，經(jīng)過多年的探索，初步形成了 1 套切合水利行業(yè)實際的網(wǎng)絡(luò)安全監(jiān)測與預(yù)警方法。

1 水利網(wǎng)絡(luò)面臨的安全威脅

近年來，隨著多項重大水利信息化工程的建設(shè)實施，水利信息網(wǎng)安全防護(hù)設(shè)施老化、手段單一的矛盾得到了緩解，但是水利網(wǎng)絡(luò)安全面臨的威脅并未消除，主要來源于：

1）網(wǎng)絡(luò)攻擊日益猖獗。帶有國家背景的網(wǎng)絡(luò)攻擊核彈級武器的研發(fā)與泄露，正在引發(fā)全球性網(wǎng)絡(luò)災(zāi)難。一個名叫 WannaCrypt（永恒之藍(lán)）的勒索蠕蟲病毒成為美國國家安全局網(wǎng)絡(luò)軍火庫全球民用化的第 1 例，從 2017年 5月 12日開始，在 1 d 多時間內(nèi)攻擊了近百個國家的超過 10 萬家企業(yè)和公共組織，致數(shù)萬臺電腦癱瘓，并以恐怖的速度在全球繼續(xù)蔓延，國內(nèi)被感染的組織和機(jī)構(gòu)覆蓋了幾乎所有地區(qū)，影響范圍遍布高校、火車站、自助終端、郵政、加油站、醫(yī)院、政府等多個領(lǐng)域[1]。水利部機(jī)關(guān)今年 4月份防御了上百萬次網(wǎng)絡(luò)攻擊，攻擊目標(biāo)主要針對水利部網(wǎng)站，其中入侵攻擊事件占 45.79%，拒絕服務(wù)攻擊事件占 38.59%。面對大規(guī)模網(wǎng)絡(luò)武器級攻擊，一個行業(yè)、一個部門很難以一己之力進(jìn)行抵御。

2）安全措施落實不到位。盡管大部分單位制定了網(wǎng)絡(luò)安全管理制度，但是在工作中未嚴(yán)格遵照執(zhí)行；盡管部署了防火墻、網(wǎng)絡(luò)安全審計、入侵檢測等多種安全防護(hù)設(shè)備，但是健全的安全體系并未形成，加之安全策略不科學(xué)、不細(xì)致，造成安全風(fēng)險不能及時發(fā)現(xiàn)。重建設(shè)輕管理的現(xiàn)象頻發(fā)，以致安全措施不能完全發(fā)揮應(yīng)有的作用。

3）安全漏洞處置不及時。大部分單位定期進(jìn)行漏洞掃描，但由于技術(shù)人員缺乏、技術(shù)力量薄弱等多種因素，造成相當(dāng)一部分單位停留在出安全檢測報告層面，不能及時整改，導(dǎo)致系統(tǒng)長期帶病運行，安全隱患層出不窮，這成為歷年網(wǎng)絡(luò)安全檢查中表現(xiàn)比較突出的一個問題。

2 規(guī)范水利網(wǎng)絡(luò)安全監(jiān)測

經(jīng)過多年的摸索，近年水利部逐漸形成了一套上下聯(lián)動、內(nèi)外結(jié)合的行業(yè)網(wǎng)絡(luò)安全風(fēng)險監(jiān)測體系。主要包括：

1）形成多級監(jiān)測架構(gòu)。形成由水利部、流域機(jī)構(gòu)/省級水行政主管部門組成的多級監(jiān)測架構(gòu)。水利部負(fù)責(zé)對其機(jī)關(guān)及行業(yè)性網(wǎng)絡(luò)安全風(fēng)險進(jìn)行監(jiān)測；各流域機(jī)構(gòu)/省級水行政主管部門負(fù)責(zé)對本單位及下屬單位的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行監(jiān)測。

2）完成外部威脅信息收集，整合形成水利網(wǎng)絡(luò)安全威脅情報信息，指導(dǎo)行業(yè)實施防御。水利部在中央網(wǎng)信辦、公安部、工信部等國家網(wǎng)絡(luò)安全主管部門的指導(dǎo)下，結(jié)合網(wǎng)絡(luò)安全支撐單位提供的網(wǎng)絡(luò)安全威脅情報，整合形成水利網(wǎng)絡(luò)安全威脅情報信息，實現(xiàn)對各類網(wǎng)絡(luò)安全攻擊行為，特別是對大規(guī)模、有針對性、有組織的安全攻擊行為進(jìn)行事前預(yù)警。例如 2017年的 WannaCrypt 勒索蠕蟲病毒攻擊應(yīng)對工作，就是在國家相關(guān)部門指導(dǎo)下，水利部迅速形成詳細(xì)的水利行業(yè)防范處置方案，指導(dǎo)水利行業(yè)進(jìn)行防御，有效阻斷了病毒在水利信息網(wǎng)中的傳播，最大限度地減輕了危害。

3）開展水利部互聯(lián)網(wǎng)服務(wù)安全風(fēng)險監(jiān)測。針對水利行業(yè)重點門戶網(wǎng)站和面向互聯(lián)網(wǎng)服務(wù)的重要業(yè)務(wù)系統(tǒng)實施專項安全監(jiān)測，主要監(jiān)測系統(tǒng)是否存在漏洞、篡改、掛馬和暗鏈等情況。水利部負(fù)責(zé)對水利部機(jī)關(guān)及流域機(jī)構(gòu)/省級水行政主管部門的重要互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全監(jiān)測；各流域機(jī)構(gòu)/省級水行政主管部門負(fù)責(zé)對本單位及下屬單位的互聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全監(jiān)測。

4）加強(qiáng)水利信息網(wǎng)內(nèi)部風(fēng)險監(jiān)測。通過水利信息安全管理平臺，收集服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、應(yīng)用中間件、網(wǎng)絡(luò)設(shè)備等軟硬件日志，采集防火墻、入侵檢測、Web 應(yīng)用防火墻、漏洞掃描、上網(wǎng)行為管理等網(wǎng)絡(luò)安全設(shè)備的告警信息，實時監(jiān)測水利信息網(wǎng)全網(wǎng)安全狀況，實現(xiàn)水利行業(yè)海量安全事件的匯總、過濾、收集和關(guān)聯(lián)分析，從全局角度進(jìn)行安全風(fēng)險分析，形成統(tǒng)一的安全決策，并對安全事件進(jìn)行響應(yīng)和處理，發(fā)揮行業(yè)整體安全效益。平臺分為部、省兩級節(jié)點，采用內(nèi)部級聯(lián)，部級平臺可以完成水利行業(yè)安全風(fēng)險統(tǒng)一管理和數(shù)據(jù)匯總。水利信息安全管理平臺框架如圖1 所示。

圖1 水利信息安全管理平臺框架

平臺基于 J2EE 架構(gòu)，通過采集層、應(yīng)用功能層、展示層，實現(xiàn)被保護(hù)對象的安全風(fēng)險閉環(huán)管理。平臺主要包含資產(chǎn)管理、業(yè)務(wù)管理、性能監(jiān)控、事件管理、弱點管理、風(fēng)險管理、態(tài)勢分析及預(yù)警管理等功能模塊，設(shè)計通過漏洞掃描、配置安全核查等主動化的弱點管理，主動獲悉資產(chǎn)和業(yè)務(wù)的脆弱性，預(yù)防攻擊與違規(guī)事件的發(fā)生；通過預(yù)警信息，分析可能受影響的資產(chǎn)，提前了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患，達(dá)到提前防御的目的；通過智能事件關(guān)聯(lián)分析引擎，對資產(chǎn)、弱點、拓?fù)涞惹榫?，從周期性行為、邏輯與統(tǒng)計關(guān)系等方面進(jìn)行關(guān)聯(lián)分析，識別安全威脅[2]。

3 建立水利網(wǎng)絡(luò)安全預(yù)警機(jī)制

水利網(wǎng)絡(luò)安全預(yù)警機(jī)制主要包括建立水利網(wǎng)絡(luò)安全信息通報機(jī)制和通過水利信息安全管理平臺實現(xiàn)自動預(yù)警。

3.1 通過水利信息安全管理平臺預(yù)警

水利信息安全管理平臺是行業(yè)內(nèi)網(wǎng)絡(luò)安全預(yù)警展示的重要載體，平臺主要通過展示層實現(xiàn)預(yù)警信息可視化，達(dá)到主動防御的目的。水利信息安全管理平臺預(yù)警功能示意圖如圖2 所示。

圖2 水利信息安全管理平臺預(yù)警功能示意圖

水利信息安全管理平臺通過發(fā)布外部安全通知和攻擊、漏洞、病毒及內(nèi)部安全事件等早期預(yù)警信息，分析可能受影響的資產(chǎn)，提前讓水利部網(wǎng)絡(luò)安全各級管理人員了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全風(fēng)險[2]。

3.2 建立水利部網(wǎng)絡(luò)安全信息通報機(jī)制

這是水利行業(yè)網(wǎng)絡(luò)安全建設(shè)的重要組成部分，是行業(yè)內(nèi)網(wǎng)絡(luò)安全上下聯(lián)動的重要手段，是實現(xiàn)主動防御、綜合防護(hù)的主要途徑之一。2013年，水利部加入國家信息安全信息通報機(jī)制，成為機(jī)制成員單位，并在行業(yè)內(nèi)建立網(wǎng)絡(luò)安全信息通報機(jī)制。明確水利部網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室（以下簡稱部網(wǎng)信辦）為水利部網(wǎng)絡(luò)安全信息通報機(jī)制主管部門，各流域機(jī)構(gòu)/省級水行政主管部門及其他部直屬單位為機(jī)制成員單位。要求各單位網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)負(fù)責(zé)信息通報機(jī)制工作，指定一名網(wǎng)絡(luò)安全工作職能部門領(lǐng)導(dǎo)為聯(lián)絡(luò)員。各流域機(jī)構(gòu)/省級水行政主管部門負(fù)責(zé)組建本流域/省網(wǎng)絡(luò)安全信息通報機(jī)制，將通報機(jī)制延伸到下級單位。

1）通報內(nèi)容。a. 水利關(guān)鍵信息基礎(chǔ)設(shè)施、基礎(chǔ)信息網(wǎng)絡(luò)、重要業(yè)務(wù)系統(tǒng)、單位網(wǎng)站、大中型水利工程控制系統(tǒng)的網(wǎng)絡(luò)安全狀況；b. 網(wǎng)絡(luò)攻擊、病毒傳播、系統(tǒng)漏洞情況；c. 網(wǎng)絡(luò)安全保障體系建設(shè)和工作開展情況；d. 信息通報機(jī)制建設(shè)和工作開展情況；e. 網(wǎng)絡(luò)安全突發(fā)事件或事故及其處置情況；f. 重大活動和重要敏感時期網(wǎng)絡(luò)安全情況。

2）通報要求。a. 通報內(nèi)容的前四項以季報形式，在季度末報送部網(wǎng)信辦；b. 通報內(nèi)容的 e 項要在事發(fā)后及時通過電話或傳真，將事件或事故簡要情況通報部網(wǎng)信辦。并在事件處置結(jié)束后，將詳情通報部網(wǎng)信辦；c. 通報內(nèi)容的f項以及其它專項工作按照規(guī)定報送；d.年末報送全年網(wǎng)絡(luò)安全工作總結(jié)；e.在接到部網(wǎng)信辦網(wǎng)絡(luò)安全事件和隱患漏洞通報后，應(yīng)及時處置、消除隱患并上報整改情況。

3）通報方式。包含涉密或敏感內(nèi)容的信息通報必須經(jīng)機(jī)要交換，其他通過普通公函、水利信息安全管理平臺、電子郵件或工作微信群通報[3]。

4）通報成果。通報機(jī)制建立以來，水利部向相關(guān)單位發(fā)函通報安全隱患 90 多次，通過水利信息安全管理平臺發(fā)布網(wǎng)絡(luò)安全情況等報告 200 多份，通過電子郵件收集多種信息，通過工作微信群進(jìn)行過多次時效強(qiáng)、頻次高的雙向通報。2017年的WannaCrypt 勒索蠕蟲病毒爆發(fā)于周末，水利部最開始就是利用工作微信群即時組織部署防范工作，然后通過水利信息安全管理平臺下發(fā)緊急通知及工具軟件，加大防范力度。通過多種通報方式的綜合運用，構(gòu)成了一個全方位、立體的通報機(jī)制，極大地縮短了安全事件快速響應(yīng)時間，提高了處置效率，實現(xiàn)了成果最大化。

4 展望

傳統(tǒng)的基于規(guī)則的網(wǎng)絡(luò)安全監(jiān)測預(yù)警技術(shù)進(jìn)入發(fā)展的瓶頸，自從習(xí)總書記 419 講話中提出“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力”后，隨著《中華人民共和國網(wǎng)絡(luò)安全法》《“十三五”國家信息化規(guī)劃》的相繼出臺，推動了“網(wǎng)絡(luò)安全態(tài)勢感知”技術(shù)快速發(fā)展[4]，這是一種基于算法和模型進(jìn)行威脅分析和風(fēng)險研判的技術(shù)，其利用大數(shù)據(jù)等新技術(shù)，挖掘與分析可能面臨的網(wǎng)絡(luò)安全風(fēng)險或正在發(fā)生的網(wǎng)絡(luò)安全事件，預(yù)判未來可能產(chǎn)生的安全事件的威脅風(fēng)險，及時向有關(guān)單位發(fā)出預(yù)警，以便相關(guān)單位及時采取應(yīng)對措施?！熬W(wǎng)絡(luò)安全態(tài)勢感知”可以說在網(wǎng)絡(luò)安全監(jiān)測預(yù)警方面體現(xiàn)出巨大的價值，換句話說，網(wǎng)絡(luò)安全監(jiān)測預(yù)警的未來是態(tài)勢感知。

水利信息安全管理平臺在構(gòu)建之初就引入了“網(wǎng)絡(luò)安全態(tài)勢感知”的理念，其設(shè)計思想是以水利業(yè)務(wù)建模、健康指數(shù)等為核心，采取脆弱性管控、預(yù)警管理、主動運維等內(nèi)部主動安全管理機(jī)制，通過智能化關(guān)聯(lián)、智能流安全和智能化態(tài)勢等分析，實現(xiàn)主動化、智能化的網(wǎng)絡(luò)安全管理[5]，如圖3 所示。

圖3 水利信息安全管理平臺設(shè)計理念

隨著“網(wǎng)絡(luò)安全態(tài)勢感知”技術(shù)日趨成熟，結(jié)合即將構(gòu)建的國家網(wǎng)絡(luò)安全態(tài)勢感知平臺，以水利信息安全管理平臺為基礎(chǔ)，形成具有水利特點的水利網(wǎng)絡(luò)安全態(tài)勢感知平臺，必將使水利網(wǎng)絡(luò)安全監(jiān)測預(yù)警得到長足發(fā)展。

5 結(jié)語

多年來，網(wǎng)絡(luò)安全監(jiān)測與預(yù)警已成為水利網(wǎng)絡(luò)安全工作的重要一環(huán)，是保障水利網(wǎng)絡(luò)安全、防范風(fēng)險的主要手段。隨著《中華人民共和國網(wǎng)絡(luò)安全法》的實施，為適應(yīng)國家在網(wǎng)絡(luò)安全監(jiān)測預(yù)警方面的新要求，水利網(wǎng)絡(luò)安全監(jiān)測與預(yù)警工作也迎來了發(fā)展的新契機(jī)，特別是網(wǎng)絡(luò)安全態(tài)勢感知的廣泛應(yīng)用，必將在水利網(wǎng)絡(luò)安全工作中發(fā)揮更為重要的作用。

[1] 新浪.“永恒之藍(lán)”14日最新態(tài)勢：教育科研成重災(zāi)區(qū)[EB/OL].[2017-05-20]. http://tech.sina.com.cn/roll/2017-05-14/doc-ifyfecvz1280637. shtml.

[2] 國家防汛抗旱指揮系統(tǒng)工程項目建設(shè)辦公室. 國家防汛抗旱指揮系統(tǒng)二期工程計算機(jī)網(wǎng)絡(luò)與安全系統(tǒng)安全管理平臺建設(shè)項目詳細(xì)設(shè)計說明書 [R]. 北京：國家防汛抗旱指揮系統(tǒng)工程項目建設(shè)辦公室，2016: 3-8.

[3] 水利部網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室. 關(guān)于進(jìn)一步加強(qiáng)水利行業(yè)網(wǎng)絡(luò)安全信息通報機(jī)制工作的通知[R]. 北京：水利部網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室，2016: 1-2.

[4] 王慧強(qiáng)，賴積保，朱亮，等. 網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J]. 計算機(jī)科學(xué)，2006，33 （10）: 5-10.

[5] 朱曉莉. 信息網(wǎng)絡(luò)安全監(jiān)測預(yù)警機(jī)制研究 [J]. 信息網(wǎng)絡(luò)安全，2013 （10）: 136-137.

Water conservancy cybersecurity monitoring and early warning methods

CHEN Lan, ZHOU Weixu

（Water Resources Information Center, the Ministry of Water Resource, Beijing 100053, China）

This paper points out the main security threat facing by the water conservancy cyber, introduces the security monitoring methods of water conservancy cyber, expounds the cybersecurity early warning mechanism of water conservancy, clears the importance of cybersecurity monitoring and early warning in the water conservancy porecasts application prospect of situation awareness technology in cyber security monitoring and early warning of water conservancy．

water conservancy; cybersecurity; informationize; monitoring; early warning; information notification

TV21；TP393.08

A

1674-9405（2017）03-0029-04

2017-05-16

陳 嵐（1968-），女，福建永定人，教授級高工，主要研究方向：網(wǎng)絡(luò)安全。

10.19364/j.1674-9405.2017.03.007