陳偉雄，楊曉晨，春增軍，李若蘭，張華

（1. 中廣核智能科技（深圳）有限責(zé)任公司，廣東 深圳 518026； 2. 上海中廣核工程科技有限公司，上海 200241； 3. 中國(guó)廣核集團(tuán)有限公司，廣東 深圳 518026）

0 引言

網(wǎng)絡(luò)安全是國(guó)家安全的重要組成部分，是國(guó)家安全的基礎(chǔ)。近年來(lái)，黨中央高度重視網(wǎng)絡(luò)安全工作，并對(duì)網(wǎng)絡(luò)安全工作提出明確要求，采取措施，監(jiān)測(cè)、防御、處置境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)建設(shè)，建立健全網(wǎng)絡(luò)安全保障體系，全方位提升網(wǎng)絡(luò)安全防護(hù)能力。

所謂網(wǎng)絡(luò)安全威脅情報(bào)，是指對(duì)企業(yè)產(chǎn)生潛在與非潛在危害的網(wǎng)絡(luò)安全信息的集合，它主要利用互聯(lián)網(wǎng)資源、網(wǎng)絡(luò)安全機(jī)構(gòu)或人員，預(yù)測(cè)企業(yè)潛在的網(wǎng)絡(luò)安全威脅。電力企業(yè)開(kāi)展網(wǎng)絡(luò)安全威脅情報(bào)的工作目標(biāo)：為電力企業(yè)建立一個(gè)網(wǎng)絡(luò)安全預(yù)警機(jī)制，在網(wǎng)絡(luò)安全攻擊到達(dá)前，減少或消除網(wǎng)絡(luò)安全漏洞等風(fēng)險(xiǎn)；為電力企業(yè)提供更完善的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案；通過(guò)02ay/N2ay漏洞補(bǔ)丁更新，提升電力企業(yè)部署網(wǎng)絡(luò)安全設(shè)備資產(chǎn)的安全能力，避免成為攻擊利用突破口；加強(qiáng)攻擊IP地址、惡意程序/網(wǎng)站、網(wǎng)絡(luò)釣魚(yú)、勒索病毒的情報(bào)收集，建立電力企業(yè)的快速響應(yīng)與標(biāo)準(zhǔn)化工作機(jī)制；基于網(wǎng)絡(luò)安全“以攻促防”理念，反推攻擊者攻擊思路與攻擊鏈路，針對(duì)性防護(hù)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)。

目前網(wǎng)絡(luò)安全威脅情報(bào)工作存在如下問(wèn)題。

（1）情報(bào)來(lái)源多、范圍廣

目前網(wǎng)絡(luò)安全情報(bào)來(lái)源國(guó)家、省、市網(wǎng)絡(luò)安全主管機(jī)構(gòu)，也有國(guó)內(nèi)主流網(wǎng)絡(luò)安全技術(shù)機(jī)構(gòu)，還有電力企業(yè)網(wǎng)絡(luò)安全同行，更多來(lái)自互聯(lián)網(wǎng)（技術(shù)論壇、微信公眾號(hào)等）。網(wǎng)絡(luò)安全情報(bào)信息來(lái)源不同、范圍廣、非結(jié)構(gòu)化，增加了網(wǎng)絡(luò)安全情報(bào)人員人工收集和分析成本，也增加了網(wǎng)絡(luò)安全快速響應(yīng)時(shí)間，對(duì)于情報(bào)信息收集標(biāo)準(zhǔn)化、規(guī)范化工作和提升快速響應(yīng)水平存在一定障礙。

（2）情報(bào)價(jià)值與漏洞風(fēng)險(xiǎn)評(píng)價(jià)

在電力企業(yè)實(shí)際工作過(guò)程中，經(jīng)常遇到很多網(wǎng)絡(luò)安全威脅情報(bào)（如操作系統(tǒng)漏洞、網(wǎng)絡(luò)安全產(chǎn)品漏洞、中間件漏洞等），如何根據(jù)目前各種情報(bào)，快速篩選威脅情報(bào)價(jià)值高、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)比較高進(jìn)行優(yōu)先處置，這需要考慮情報(bào)價(jià)值評(píng)估方法。

（3）網(wǎng)絡(luò)安全情報(bào)快速處置

電力企業(yè)經(jīng)常遇到網(wǎng)絡(luò)安全情報(bào)多、漏洞風(fēng)險(xiǎn)多、下屬部門(mén)人員多，如何快速有效地進(jìn)行網(wǎng)絡(luò)安全漏洞排查，建立高效的漏洞情報(bào)排查跟蹤機(jī)制，也是網(wǎng)絡(luò)安全情報(bào)工作體系的工作要求。

目前有關(guān)網(wǎng)絡(luò)安全威脅情報(bào)已有一些研究。王長(zhǎng)杰等[1]提出一種針對(duì)惡意軟件家族的威脅情報(bào)生成方法；陳劍鋒等[2]提出了一種面向網(wǎng)絡(luò)空間安全的威脅情報(bào)本體化共享方法；陳明等[3]提出網(wǎng)絡(luò)空間安全戰(zhàn)略情報(bào)保障能力是由情報(bào)保障工作主體、情報(bào)信息、情報(bào)手段、目標(biāo)追求，以及時(shí)空條件等要素體系化運(yùn)作后表現(xiàn)出的一種體系能力；徐銳等[4]提出從網(wǎng)絡(luò)防御的視角介紹安全威脅情報(bào)的作用和工作流程，設(shè)計(jì)安全威脅情報(bào)即服務(wù)（threat intelligence as a service，TIaaS）的體系架構(gòu)；徐留杰等[5]提出一種多源網(wǎng)絡(luò)安全威脅情報(bào)采集與封裝技術(shù)。以上網(wǎng)絡(luò)安全威脅情報(bào)研究方法對(duì)當(dāng)前網(wǎng)絡(luò)安全威脅情報(bào)具有一定參考價(jià)值，但是在網(wǎng)絡(luò)安全實(shí)踐中，需要進(jìn)一步驗(yàn)證。

1 網(wǎng)絡(luò)安全威脅情報(bào)管理體系構(gòu)建

綜合當(dāng)前網(wǎng)絡(luò)安全情報(bào)主要問(wèn)題，本文提出建立電力企業(yè)網(wǎng)絡(luò)安全威脅情報(bào)管理工作體系，包括情報(bào)來(lái)源、情報(bào)研判、情報(bào)處置、情報(bào)平臺(tái)、情報(bào)績(jī)效5個(gè)方面內(nèi)容，網(wǎng)絡(luò)安全威脅情報(bào)管理體系的架構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全威脅情報(bào)管理體系的架構(gòu)

1.1 情報(bào)來(lái)源——建立網(wǎng)絡(luò)安全威脅情報(bào)主動(dòng)收集機(jī)制

網(wǎng)絡(luò)安全情報(bào)包括漏洞風(fēng)險(xiǎn)、APT（a2vance2 persistent threat）攻擊、惡意IP地址、釣魚(yú)攻擊等信息，有來(lái)自國(guó)家漏洞中心、應(yīng)急響應(yīng)中心、國(guó)內(nèi)主流網(wǎng)絡(luò)安全機(jī)構(gòu)的信息，也有來(lái)自非公開(kāi)情報(bào)機(jī)構(gòu)等的信息，情報(bào)格式有漏洞報(bào)告、郵件預(yù)警、微信共享、威脅通報(bào)等不同格式，為此，利用情報(bào)管理平臺(tái)，統(tǒng)一網(wǎng)絡(luò)安全情報(bào)格式信息：情報(bào)編號(hào)、情報(bào)類(lèi)別、風(fēng)險(xiǎn)級(jí)別、情報(bào)來(lái)源、排查類(lèi)別、收集日期、相關(guān)單位、評(píng)估狀態(tài)，統(tǒng)一通過(guò)情報(bào)管理平臺(tái)進(jìn)行收集工作。網(wǎng)絡(luò)安全威脅情報(bào)收集流程如圖2所示。

圖2 網(wǎng)絡(luò)安全威脅情報(bào)收集流程

1.2 情報(bào)研判——根據(jù)不同漏洞類(lèi)型評(píng)估緊急程度

網(wǎng)絡(luò)安全情報(bào)根據(jù)不同漏洞類(lèi)型進(jìn)行技術(shù)研判，主要包括Web漏洞（SQL注入、XSS漏洞、上傳漏洞、Struts2遠(yuǎn)程命令執(zhí)行、敏感信息泄露等）、系統(tǒng)漏洞（Win2ows 操作系統(tǒng)、Linux系統(tǒng)、Exchange Server等）、服務(wù)漏洞（FTP服務(wù)漏洞、SSH服務(wù)、Win2ows 遠(yuǎn)程連接漏洞、DHCP服務(wù)等）、協(xié)議漏洞（ARP漏洞、DNS協(xié)議漏洞、FTP漏洞等）。根據(jù)網(wǎng)絡(luò)安全情報(bào)確定超高危、高危、中危、低危漏洞，并根據(jù)情報(bào)評(píng)估規(guī)則，判定緊急程度（高、中、低）及其對(duì)應(yīng)優(yōu)先級(jí)別。網(wǎng)絡(luò)安全威脅情報(bào)研判評(píng)估流程如圖3所示。

圖3 網(wǎng)絡(luò)安全威脅情報(bào)研判評(píng)估流程

1.3 情報(bào)處置——建立網(wǎng)絡(luò)安全威脅情報(bào)標(biāo)準(zhǔn)化處置流程

建立了網(wǎng)絡(luò)安全威脅情報(bào)標(biāo)準(zhǔn)化處理流程（stan2ar2 operation proce2ure，SOP），如圖4所示，包括情報(bào)收集、分類(lèi)處理、處置反饋、通報(bào)考核4個(gè)方面。

圖4 網(wǎng)絡(luò)安全威脅情報(bào)標(biāo)準(zhǔn)化處理流程（SOP）

? 情報(bào)收集方面，充分利用各同行、各地區(qū)網(wǎng)絡(luò)安全情報(bào)分享、專(zhuān)業(yè)化網(wǎng)絡(luò)安全保障機(jī)構(gòu)等各方面來(lái)源及時(shí)收集匯總。

? 分類(lèi)處理方面，加強(qiáng)網(wǎng)絡(luò)安全威脅情報(bào)分類(lèi)收集和處理，由專(zhuān)業(yè)技術(shù)研判人員判斷排查對(duì)象，確定需要網(wǎng)絡(luò)安全排查范圍和排查緊急程度。

? 處置反饋方面，通過(guò)網(wǎng)絡(luò)安全情報(bào)跟蹤平臺(tái)下發(fā)排查整改通知，郵件或微信提醒，如發(fā)現(xiàn)相關(guān)問(wèn)題，要求及時(shí)整改；若未找到相關(guān)解決方法，需做臨時(shí)下線處理，持續(xù)追蹤。

? 通報(bào)考核方面，加強(qiáng)網(wǎng)絡(luò)安全威脅情報(bào)排查管控，并在網(wǎng)絡(luò)安全態(tài)勢(shì)感知會(huì)議通報(bào)各單位網(wǎng)絡(luò)安全考核結(jié)果。

1.4 情報(bào)平臺(tái)——建立網(wǎng)絡(luò)安全情報(bào)管理平臺(tái)

網(wǎng)絡(luò)安全威脅情報(bào)納入電力企業(yè)網(wǎng)絡(luò)安全管理平臺(tái)專(zhuān)項(xiàng)跟蹤，實(shí)現(xiàn)電子化管理，及時(shí)統(tǒng)計(jì)和提醒下屬各單位網(wǎng)絡(luò)安全漏洞排查整改情況，并通過(guò)郵件或手機(jī)短信等形式進(jìn)行提醒。

1.5 績(jī)效評(píng)估——加強(qiáng)各網(wǎng)絡(luò)安全情報(bào)績(jī)效評(píng)估工作

網(wǎng)絡(luò)安全情報(bào)來(lái)源主要分為外部情報(bào)與內(nèi)部威脅情報(bào)，外部威脅情報(bào)來(lái)自相關(guān)機(jī)構(gòu)提供的情報(bào)信息。內(nèi)部威脅情報(bào)基于自建的威脅挖掘團(tuán)隊(duì)，通過(guò)聯(lián)合各大專(zhuān)業(yè)廠商，部署了如態(tài)勢(shì)感知、下一代防火墻等監(jiān)測(cè)及防護(hù)類(lèi)設(shè)備，對(duì)日常訪問(wèn)的流量及日志進(jìn)行統(tǒng)一收集，同時(shí)組織各廠商安排大量技術(shù)專(zhuān)家對(duì)收集的數(shù)據(jù)進(jìn)行分析處理，輸出威脅情報(bào)以供指揮部參考，及時(shí)調(diào)整防護(hù)策略及網(wǎng)絡(luò)節(jié)點(diǎn)，同時(shí)還會(huì)反推產(chǎn)品升級(jí)，增強(qiáng)產(chǎn)品防護(hù)與監(jiān)測(cè)能力。網(wǎng)絡(luò)安全威脅情報(bào)績(jī)效考核示意圖如圖5所示，網(wǎng)絡(luò)安全威脅情報(bào)績(jī)效考核包括如下內(nèi)容。

圖5 網(wǎng)絡(luò)安全威脅情報(bào)績(jī)效考核示意圖

? 情報(bào)搜集及時(shí)性：評(píng)價(jià)是否及時(shí)收集到網(wǎng)絡(luò)安全漏洞信息，尤其是02ay/N2ay信息；

? 技術(shù)研判準(zhǔn)確性：評(píng)價(jià)是否正確研判網(wǎng)絡(luò)安全漏洞影響范圍、風(fēng)險(xiǎn)大小并評(píng)價(jià)其優(yōu)先程度合理性。

? 應(yīng)急排查及時(shí)性：評(píng)價(jià)是否在規(guī)定時(shí)間組織相關(guān)下屬單位或部門(mén)排查，是否存在指令不通暢情況。

? 漏洞利用比例：評(píng)價(jià)網(wǎng)絡(luò)安全漏洞是否被成功利用數(shù)量比例。

? 實(shí)戰(zhàn)演習(xí)成效：評(píng)價(jià)是否在實(shí)戰(zhàn)演習(xí)下，網(wǎng)絡(luò)安全情報(bào)組織體系是否有實(shí)際效果，收集情報(bào)數(shù)量，并是否可以成功處置02ay/N2ay漏洞。

? 情報(bào)平臺(tái)有效性：情報(bào)平臺(tái)是否可以實(shí)現(xiàn)情報(bào)信息有效排查、跟蹤、統(tǒng)計(jì)，并及時(shí)預(yù)警相關(guān)單位整改等。

2 網(wǎng)絡(luò)安全漏洞評(píng)估方法

網(wǎng)絡(luò)安全威脅情報(bào)來(lái)源多、種類(lèi)多、范圍廣、漏洞風(fēng)險(xiǎn)多，根據(jù)某電力企業(yè)網(wǎng)絡(luò)安全實(shí)際情況，發(fā)現(xiàn)高危漏洞有時(shí)有10～100種漏洞需要緊急排查、整改、安裝漏洞補(bǔ)丁，如何評(píng)估漏洞排查優(yōu)先順序，本文提出漏洞評(píng)估方法，漏洞規(guī)則庫(kù)由漏洞影響范圍和漏洞風(fēng)險(xiǎn)程度組成，影響范圍包括全公司級(jí)、部門(mén)級(jí)、個(gè)人，風(fēng)險(xiǎn)程度分為高、中、低，依次安排計(jì)算因子，漏洞優(yōu)先級(jí)=影響范圍×風(fēng)險(xiǎn)程度，如果優(yōu)先級(jí)分?jǐn)?shù)80分以上，則優(yōu)先安排整改（打漏洞補(bǔ)丁或其他網(wǎng)絡(luò)安全風(fēng)險(xiǎn)排除措施）。網(wǎng)絡(luò)安全威脅情報(bào)漏洞評(píng)估示意圖如圖6所示。

圖6 網(wǎng)絡(luò)安全威脅情報(bào)漏洞評(píng)估示意圖

3 結(jié)束語(yǔ)

以上網(wǎng)絡(luò)安全威脅情報(bào)管理平臺(tái)已在某電力企業(yè)初步應(yīng)用，并在網(wǎng)絡(luò)安全實(shí)戰(zhàn)演習(xí)期間及時(shí)發(fā)布安全漏洞情報(bào)排查通知，累積排查33000多次漏洞且修復(fù)率高達(dá)99.7%，彌補(bǔ)了網(wǎng)絡(luò)安全管理薄弱節(jié)點(diǎn)，保障網(wǎng)絡(luò)安全演習(xí)工作取得了預(yù)期成果。在后續(xù)網(wǎng)絡(luò)安全工作中，作者將加強(qiáng)網(wǎng)絡(luò)安全威脅情報(bào)工作方法論研究，積極向優(yōu)秀網(wǎng)絡(luò)安全單位學(xué)習(xí)經(jīng)驗(yàn)，充分利用網(wǎng)絡(luò)安全保障機(jī)構(gòu)力量，利用“以攻促防”的理念，努力做好網(wǎng)絡(luò)安全保障工作，快速提升電力企業(yè)網(wǎng)絡(luò)安全防護(hù)能力，持續(xù)打贏電力企業(yè)網(wǎng)絡(luò)安全保衛(wèi)戰(zhàn)。