張 東，李 韜

(河南省廣播電視安全播出調度指揮中心，河南 鄭州 450002)

0 引言

為貫徹落實黨中央、國家廣電總局關于網(wǎng)絡安全管理的有關要求，河南省建設了廣播電視網(wǎng)絡安全態(tài)勢感知預警平臺項目。該項目采集信息系統(tǒng)交換設備網(wǎng)絡流量，結合網(wǎng)絡安全威脅情報，感知網(wǎng)絡安全風險態(tài)勢，預警高危安全事件，全面掌控信息系統(tǒng)網(wǎng)絡安全狀況。該項目的建成與投入使用，在廣電行業(yè)網(wǎng)絡化、融媒化的今天，是一項里程碑式的探索。

1 系統(tǒng)建設背景

為貫徹國家《網(wǎng)絡安全法》及相關法律法規(guī)，依據(jù)國家廣電總局網(wǎng)絡安全管理辦法和網(wǎng)絡安全事件應急預案的有關要求，河南省廣播電視安全播出調度指揮中心建設了省廣播電視網(wǎng)絡安全態(tài)勢感知預警平臺。該平臺由1個核心域和多個探測域組成，探測域設置在廣播電視監(jiān)測監(jiān)管系統(tǒng)、政府網(wǎng)站和門戶網(wǎng)站等，部署探針設備，實時采集探測域核心交換設備出入流量數(shù)據(jù)，并將流量數(shù)據(jù)傳送至核心域；實時分析網(wǎng)絡安全設備日志，將探知的異常信息傳送至核心域。在核心域部署儲存分析設備、網(wǎng)絡設備、安全設備和等保工具箱等，收集、分析從探測域采集的數(shù)據(jù)流量和安全日志，結合從國家信息安全權威機構、信息安全廠商獲取到的威脅情報，從時間、空間等不同維度，分析感知網(wǎng)絡中存在的有害程序、網(wǎng)絡攻擊、信息破壞等網(wǎng)絡安全風險態(tài)勢，對可能出現(xiàn)的高危網(wǎng)絡安全事件進行通報預警，從而實時掌握信息系統(tǒng)網(wǎng)絡安全態(tài)勢和外部網(wǎng)絡安全威脅，實現(xiàn)對重要信息系統(tǒng)網(wǎng)絡安全保障工作進行監(jiān)督管理的目標[1]。

該平臺設計架構邏輯嚴謹、層次間支撐性強、業(yè)務功能豐富且實用性高，充分應用大數(shù)據(jù)、云計算等一系列新技術，開展數(shù)據(jù)儲存、挖掘以及網(wǎng)站監(jiān)測、漏掃等工作，為全國廣電行業(yè)開展網(wǎng)絡安全態(tài)勢感知預警平臺建設樹立了標桿。對平臺技術特點進行研究，深入解析態(tài)勢感知技術，將有效促進態(tài)勢感知技術在行業(yè)中的應用、發(fā)展和深化，進一步推動廣電行業(yè)的發(fā)展。

2 系統(tǒng)技術特點

2.1 先進的平臺架構

該平臺架構設計先進、邏輯嚴謹，包括采集層、存儲層、分析層、呈現(xiàn)層共4層。采集層利用部署在探測域的探針，將采集到的原始流量數(shù)據(jù)和網(wǎng)絡安全設備日志上傳至存儲層。存儲層支持日志數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、情報數(shù)據(jù)、策略數(shù)據(jù)等多元數(shù)據(jù)的存儲，建立索引進行快速檢索查詢，并且對數(shù)據(jù)進行備份。分析層利用大數(shù)據(jù)分析技術對存儲層中的數(shù)據(jù)進行分析，通過數(shù)據(jù)預處理、實時計算、數(shù)據(jù)挖掘等技術，實現(xiàn)日志歸并、事件提取、風險評估、預警分析，為呈現(xiàn)層提供數(shù)據(jù)支撐。呈現(xiàn)層將分析層推送來的數(shù)據(jù)進行可視化展示，包括綜合分析、風險態(tài)勢和資產(chǎn)態(tài)勢、數(shù)據(jù)分析和系統(tǒng)管理等的呈現(xiàn)。

2.2 豐富的業(yè)務功能

該平臺業(yè)務功能涵蓋面廣、實用性高，包括綜合分析、風險安全預警、資產(chǎn)安全預警、系統(tǒng)管理4類業(yè)務功能。綜合分析功能能夠將各類安全事件進行綜合分析，呈現(xiàn)整體安全評分、攻擊鏈分析、攻擊地圖展示等。安全風險預警功能包含網(wǎng)絡入侵、異常流量、僵木蠕傳播、網(wǎng)站安全、系統(tǒng)漏洞等安全態(tài)勢感知預警能力，支持對上述各類風險開展動態(tài)監(jiān)控、查詢分析和統(tǒng)計報告。資產(chǎn)安全預警功能從資產(chǎn)角度開展安全態(tài)勢感知預警，包括資產(chǎn)角度的綜合概覽、安全事件分析、風險評分等。系統(tǒng)管理功能包括資產(chǎn)登記管理、流量與事件查詢、用戶管理與監(jiān)控配置等。

2.3 利用大數(shù)據(jù)技術進行數(shù)據(jù)儲存分析

該平臺利用海量數(shù)據(jù)儲存、數(shù)據(jù)分析、機器學習等大數(shù)據(jù)技術，對數(shù)據(jù)進行存儲和分析，有效提升了數(shù)據(jù)存儲和分析的效能。海量數(shù)據(jù)儲存技術支持結構化日志數(shù)據(jù)和TXT、圖片等非結構化日志數(shù)據(jù)的存儲，通過索引實現(xiàn)數(shù)據(jù)快速查詢，利用分布式存儲技術實現(xiàn)數(shù)據(jù)的高速存儲處理。數(shù)據(jù)分析技術采用大數(shù)據(jù)專用的快速計算引擎，利用回歸分析、關聯(lián)規(guī)則、預測模型等方法，從不同角度對海量數(shù)據(jù)進行挖掘，分析計算出有價值的數(shù)據(jù)。機器學習技術內置多種安全應用場景，在應用場景中通過機器自我演練學習，持續(xù)豐富安全事件樣本庫，提高安全事件匹配準確率。

2.4 外部威脅情報的獲取使用

該平臺與國家網(wǎng)絡安全權威機構和國際網(wǎng)絡安全權威情報商進行數(shù)據(jù)對接，定時獲取最新外部威脅情報，運用不同技術手段，分析利用不同類型的威脅情報，用以全面感知信息系統(tǒng)面臨的網(wǎng)絡安全風險。外部威脅情報的使用方法如下：(1)IP地址情報。該平臺將訪問探測域的用戶IP與外部威脅情報庫提供的惡意IP進行比對，從而感知探測域面臨的惡意IP網(wǎng)絡攻擊風險態(tài)勢。(2)域名情報。該平臺將資產(chǎn)經(jīng)常訪問的域名與外部威脅情報庫提供的惡意域名進行比對，從而感知核心域面臨僵木蠕感染的風險態(tài)勢。(3)主機特征情報。該平臺將訪問探測域的用戶瀏覽器User-Agent、登錄賬戶名及訪問頻率的主機特征與外部威脅情報庫提供的惡意主機特征進行比對，從而感知探測域面臨的惡意主機信息破壞風險態(tài)勢。(4)攻擊工具情報。該平臺將探測域安全設備日志信息與外部威脅情報庫提供的攻擊工具信息進行比對分析，從而感知探測域可能遭受的網(wǎng)絡攻擊類型。

2.5 網(wǎng)站云安全服務

由于計劃探測的政府網(wǎng)站已遷至云平臺，本地服務器、安全設備和路由交換設備也隨之撤銷，無法在網(wǎng)站部署探針獲取流量數(shù)據(jù)和安全日志，因此我們采用網(wǎng)絡安全公司提供的云安全服務，對網(wǎng)站進行周期性監(jiān)測和漏洞掃描，發(fā)現(xiàn)問題及時發(fā)出預警信息，從而實現(xiàn)對網(wǎng)站安全態(tài)勢的感知預警[2]。云監(jiān)測和云漏掃具體功能如下。

2.5.1 云監(jiān)測

云監(jiān)測包括可用性監(jiān)測、DNS劫持監(jiān)測、篡改監(jiān)測和暗鏈監(jiān)測等功能?？捎眯员O(jiān)測功能通過部署在全國的監(jiān)測點向網(wǎng)站發(fā)起請求，根據(jù)網(wǎng)站是否響應及響應時間，判斷網(wǎng)站的可用狀態(tài)。DNS劫持功能監(jiān)測周期性地向DNS發(fā)送域名解析請求，對響應結果進行集中匯總和分析匹配，從而快速、準確地發(fā)現(xiàn)域名劫持行為。篡改監(jiān)測功能周期性地對網(wǎng)站進行頁面抓取，進行圖片、敏感詞信息對比驗證，分析變更的頁面是否含有(涉黃、涉政、涉暴等)篡改信息。暗鏈監(jiān)測功能周期性地對網(wǎng)站主動探測，及時發(fā)現(xiàn)規(guī)則異常的鏈接并對惡意網(wǎng)址進行分析。

2.5.2 云漏掃

云漏掃支持多種類型的安全漏洞檢測，包括命令、代碼執(zhí)行類型的安全漏洞以及信息泄露、拒絕服務等邏輯攻擊類型的安全漏洞。

2.6 信息安全等保測評

該平臺包含測評表單模塊，并配有等保工具箱，其可輔助開展信息安全等級的保護測評工作。

2.6.1 等保工具箱

等保工具箱主要包括Windows主機配置檢查工具、Linux主機配置檢查工具、網(wǎng)絡及安全設備配置檢查工具、病毒檢查工具、木馬檢查工具、網(wǎng)站惡意代碼檢查工具、弱口令檢查工具、數(shù)據(jù)庫安全檢查工具、網(wǎng)站安全檢查工具、系統(tǒng)漏洞檢查工具等，通過使用等保工具箱來檢查信息系統(tǒng)安全漏洞及配置是否滿足等級保護的相關要求，并且可導出測評報告。

2.6.2 測評表單模塊

可將等保工具箱中導出的測評報告導入該平臺的測評表單模塊，在平臺上統(tǒng)一查看被測評信息系統(tǒng)的測評情況，測評項目包含物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理共10項[3]。

網(wǎng)絡安全態(tài)勢感知預警平臺的建成與投入使用，一是加強了政府網(wǎng)站的安全防護，保障相關行政審批備案工作正常運轉；二是提升了廣播電視監(jiān)測監(jiān)管系統(tǒng)的安全防范能力，保障廣播電視網(wǎng)絡視聽安全播出和網(wǎng)絡安全，為河南省意識形態(tài)和宣傳輿論工作保駕護航；三是加固了門戶網(wǎng)站網(wǎng)絡安全屏障，保障大型綜合類門戶網(wǎng)站更好地服務人民群眾的日常生活。

隨著河南省廣電行業(yè)的深度變革，以及融媒體中心建設工作的逐漸推進，廣電行業(yè)將進一步網(wǎng)絡化、智能化，隨之而來的網(wǎng)絡安全問題更加凸出。下一步，將深入調研全省廣電行業(yè)重要網(wǎng)絡與信息系統(tǒng)網(wǎng)絡的安全現(xiàn)狀與防護措施，與信息系統(tǒng)單位開展廣泛的技術研討，計劃將平臺覆蓋范圍向廣電行業(yè)其他省級重點信息系統(tǒng)以及地市級重要信息系統(tǒng)延伸，充分發(fā)揮平臺技術優(yōu)勢，逐步為全省廣電行業(yè)重要信息系統(tǒng)提供網(wǎng)絡安全態(tài)勢感知預警服務。

3 結語

網(wǎng)絡技術在不斷發(fā)展，網(wǎng)絡安全環(huán)境也在發(fā)生著深刻的變化。在網(wǎng)絡化、智能化、AI化以及5G技術不斷發(fā)展的今天，廣電行業(yè)既要積極創(chuàng)新，有所作為，還要做好關鍵信息基礎設施的建設和網(wǎng)絡安全的保障工作。廣電行業(yè)監(jiān)管部門要積極運用態(tài)勢感知技術，加強網(wǎng)絡安全的監(jiān)測監(jiān)管，促進廣電行業(yè)信息系統(tǒng)的網(wǎng)絡安全，保障廣電行業(yè)平穩(wěn)、有序、健康地發(fā)展。