淺談新形勢下重要時期地質環境網絡安全保障工作的開展

殷銘 張鳴之 楊淑云 任曉霞 楊飛

摘? 要：新形勢下，網絡空間安全威脅多樣化、復雜化，地質環境領域網絡安全工作面臨新的挑戰。本文闡述了重要時期面對攻擊流量爆發式的增長，如何保障基礎網絡環境、關鍵業務系統、對外服務窗口安全穩定運行的方法和網絡安全防控措施流程，及在重要會議期間地質環境領域網絡安全保障的工作實踐，以期能對相關領域網絡安全工作提供參考。

關鍵詞：重要時期;地質環境;防控措施;安全保障

中圖分類號：P628? ? ? 文獻標識碼：A? ? ?文章編號：1007-1903（2019）02-0001-05

Abstract： It is diversity and complexity in cyberspace security threats， and the network security in the geological environment is facing new challenges under the new situation. Faced with the explosive growth of attack traffic in important periods， this paper describes how to guarantee the basic network environment， key business systems， safe and stable operation of external service windows， network security control measures， and the practice of network security assurance in the terms of geological and environmental fields during some important meetings. It can provide reference for network security in related fields.

Keywords： Important period; Geological environment; Prevention and control measures; Security guarantee

0 前言

近年來在中央網絡安全和信息化領導小組的領導下，我國制定實施《中華人民共和國網絡安全法》、重拳整治網絡空間亂象、堅持依法管網與綜合治理并舉（黃庭滿，2017）。在國家的高度重視和各單位嚴格落實、共同努力下，我國網絡安全形勢呈明顯好轉趨勢。當前網絡空間依然存在著四大安全威脅：網絡恐怖襲擊、網絡經濟犯罪、網絡輿論亂局和網絡軍備競賽，網絡空間愈來愈成為一個新的角力戰場（跨界聯動打造網絡空間安全學術社區，2017）。隨著信息技術的發展、虛擬世界的拓展、網絡漏洞的累積及經濟模式的創新，也給新形勢下網絡空間的犯罪帶來新的特點。特別是在各類行業盛會、黨政會議、全球峰會、維穩等重要時間窗口，尤其在政治類活動期間，境內外敵對勢力利用信息化手段進行滲透和破壞（鄧少君，2016），嚴重危害了國家安全和社會穩定。

地質環境專網服務于地質災害、地下水、礦山地質環境、地面沉降、地質遺跡等地質環境領域，為各業務系統建立專用通道，提供安全穩定的數據采集、傳輸、發布服務。地質環境專網傳輸的是地質環境領域專業數據，涉及相關單位利益，不影響國家安全，因此其安全保護等級定為二級。自地質環境信息化工作開展至今，已建成數量眾多的業務信息系統（中國地質環境監測院，2012），隨著地質環境領域信息安全等級保護工作的開展，及信息系統上線安全檢測工作的穩步推進，已經形成了相對完善的信息安全保護體系，能夠基本保障日常地質環境業務系統安全、穩定、高效地運行（中國地質環境監測院，2014），持續為專業用戶及普通大眾提供專業、權威的地質調查與公共公益服務。

新形勢下，尤其是在重要時期，針對地質環境領域業務系統網絡犯罪行為也呈現劇增的特征，網絡攻擊的類型、現象以及危害如表1：

重要時期面對頻次更高、強度更大的網絡攻擊，如何做好網絡安全保障工作、維護網絡空間和平，做好地質環境業務網的網絡安全防范，保障地質環境領域業務系統的安全運行、業務服務的連續穩定，已經成為網絡安全工作的重中之重和地質環境信息化工作的新課題。

1 重要時期網絡安全防控措施與工作流程

1.1 地質環境安全能力建設

地質環境信息安全體系建設，經歷了幾個階段的更迭。最初的信息安全保障體系建設是基于IATF信息安全保障技術框架，將防御體系分為策略、組織、技術和操作4個要素，強調在安全體系中進行多層保護（圖1），強調的是安全防護與對抗能力、安全運行能力、響應與恢復能力和持續改進的能力的建設。

隨著地質環境信息化的進展，信息安全體系建設的重點，也從“防范”為主轉向“檢測和響應”為主的安全能力構建上來。依據業務系統生命周期理論，安全能力的建設在規劃、建設、運維和合規四個維度進行不斷的完善，核心就是確保業務系統安全。

地質環境信息安全能力建設歸納為四句話，全面感知是基礎，異常行為是線索，分析能力是關鍵，響應處置是根本。

1.2 重要期間安全防控工作思路

重要時期網絡安全工作的特點，是對地質環境安全能力成熟度的評價及安全能力的實戰檢驗。針對此次重要時期的安全保障任務，我們從以往單純強調防護的思路轉變到注重預警、檢測、響應的格局，安全能力從“防范”為主轉向“快速檢測和響應能力”的構建。重點部署和配置以下的安全能力，資產管理能力安全評估能力、安全檢測能力、安全監控能力、安全防御能力、安全管理能力、安全運維能力、安全運營能力和安全取證/溯源能力。

重要時期的網絡安全保障工作的思路是，開展網絡安全的自檢自查，進行安全隱患和漏洞的修復，因客觀條件短時間內無法進行整改的情況下的實施風險轉移措施，加強實時監控，對存在高危風險的非關鍵業務系統進行臨時關機。

重要時期網絡安全防控工作流程如下：

（1）信息網絡資產基礎數據梳理

首先在管理層面組建安全保障團隊，制定安全保障承諾書，并進行安全保障任務的宣貫。其次在技術層面，全面梳理暴露在互聯網上的信息資產和業務系統，以等級保護相關技術標準及信息系統上線檢測、網絡安全基線等標準、規范和管理規定為依據，有效地開展網絡安全自檢自查工作，對目標系統進行針對性的漏洞隱患、安全配置、弱口令配置等安全測試，經分項測試、匯總分析后得出信息系統的總體安全態勢狀況，作為技術修復和安全加固的數據基礎。

（2）研究確定重要時期網絡安全保障工作的防護思路和方向

為了防止因安全事故為地質環境領域帶來的不良社會影響，結合以往重要時期安全保障經驗及最新網絡攻擊技術手段，確定重要時期網絡安全保障工作的防護思路是：全面防控和分時段重點控制相結合。重點防護的方向是數據泄露（SQL注入）、遠程控制（遠程代碼執行）等攻擊入侵手段。

（3）關鍵信息系統的重點加固、優化和運行保障

根據信息網絡資產的重要程度和保障要求，選擇性地采用安全加固和修復、禁用互聯網出口、關閉信息網絡系統等不同的處理方法，實現信息網絡系統穩定性、安全性的可控。

地質環境領域信息系統上線檢測及網絡安全基線等管理規定，包含網絡、主機、應用三個層面的技術要求，包含漏洞自查、安全配置自查、弱口令自查、代碼審計自查、安全加固自查等方面，檢查手段包括工具掃描、滲透測試及手工復核（殷銘等，2017）。安全加固和修復就是對運行環境中信息網絡系統與安全基線之間的差距進行安全增強，最終達到消除或減少信息網絡系統運行過程中面臨的潛在威脅、提高信息系統服務能力的目的;對存在安全隱患且短時間無法進行安全加固和修復的信息網絡系統，采取臨時關閉互聯網出口的措施，可以有效防止這些安全隱患和漏洞被惡意利用而導致安全風險在內部網絡環境中擴散的情況;對那些存在重大、高危風險的信息網絡系統，采取臨時關閉信息網絡系統的措施，確保在重要時期這些漏洞不被惡意利用而最終導致信息泄露、遠程控制等安全事件的發生。

（4）加強信息系統運行狀態的監控，做好預警預防工作

重要時期地質環境網絡安全保障工作需要做好監控，包括網站安全監測、DNS域名監測、DDOS攻擊監測、網絡流量監控、網絡入侵監測、系統脈搏監測等（繆麗華，2015），通過分時段進行信息網絡系統安全入侵事件分析，整體掌握網絡安全的綜合態勢和安全趨勢。通過分析互聯網出口處的安全設備采集的入侵日志信息，了解每日遭受攻擊的次數、攻擊手段、攻擊來源、攻擊來源歸屬地、攻擊目標IP和端口信息，及時把握整體安全態勢，合理安排后續網絡安全的工作內容，查漏補缺，確保重要時期關鍵信息網絡系統的運行安全。

加強現場值守工作，合理規劃安排網絡安全保障人員，各司其職，針對各種網絡安全事件實現應急響應，確保第一時間隔離網絡安全事件、預防網絡安全事件的擴大化，并保護事件現場，為網絡安全事件的跟蹤溯源創造條件。

（5）持續完善安全保障體系，提升安全保障能力

根據重要時期的網絡安全保障實戰情況，歸納、分析出現的安全事件，總結經驗教訓。針對重要時期安全保障的不足之處，持續更新管理制度、應急響應流程及安全技術防護體系，不斷提高安全保障的能力和質量。

2 重要會議期間網絡安全保障工作實踐

為了以安全穩定的地質環境網絡空間環境保障重要會議的召開，按照相關部門的要求，網絡安全保障人員積極完善和落實重要會議期間安全保障任務的各項安全防范措施，網絡安全風險得到有效降低，為重要時期關鍵網絡系統安全、穩定的運行打下了良好的基礎。

2.1 重要會議期間網絡攻擊特點分析

收集、整理了歷年針對地質環境領域服務器的網絡攻擊頻率，簡單總結其規律如下：

（1）針對信息系統的攻擊頻率逐年上升。

（2）重要時期攻擊流量與日常攻擊流量對比，呈現出典型的重要時期攻擊流量分布特點，即隨時間窗口的臨近攻擊流量爆發式地增長，略有回落后維持高位的攻擊流量。重要會議期間，地質環境領域的信息系統共遭受912487次攻擊，其中網絡攻擊566998次，應用攻擊345489次（圖2）。

（3）重要時期的攻擊源分布更為廣泛，針對地質環境領域的網絡攻擊源歸屬地共來自59個境外國家和地區，其中包括美國、德國、荷蘭等13個非常活躍的國家和地區，英國、越南、巴西等12個較活躍的國家，西班牙、丹麥、羅馬尼亞、巴基斯坦、南非等22個活躍的國家，及比利時、奧地利、澳大利亞等12個一般活躍的國家（圖3）。

（4）從攻擊類型分析，會議前期主要集中在http方法過濾攻擊等針對Web系統應用漏洞的攻擊手段，及口令暴力破解等攻擊踩點行為;采取一定的網絡安全保障措施后，因可被攻擊的網絡系統減少及網絡系統自身安全性有所提高，網絡攻擊類型集中在DDOS等破壞系統服務能力的攻擊手段（圖4）。

2.2 重要會議期間網絡安全防控效果分析

安全管理和技術防控措施的部署實施，可以有效地保障基礎網絡環境、關鍵業務系統和對外服務窗口系統的安全穩定，有效地抑制網絡攻擊頻次，大幅度降低網絡安全風險，實現在重要時期的系統安全穩定運行及業務服務的連續性。

2017年9月—10月初針對地質環境領域的攻擊次數穩定在每天35000次左右，10月13日—10月17日，攻擊次數急劇上升，最高達到每天75000次。積極采取防控措施后網絡攻擊穩定在每天6000～10000次（圖5）。

3 結論

新形勢下，地質環境領域網絡安全工作面臨新的挑戰，重要時期面對攻擊流量爆發式地增長，為保障基礎網絡環境、關鍵業務系統、對外服務窗口的運行穩定和服務的連續性，采取全面防控和分時段重點控制相結合的思路，全面梳理現有信息資產的工作狀態和安全現狀，研究確定重要時期安全保障工作的防護手段和方法，進行關鍵信息系統的重點加固、優化和運行保障，落實安全隱患、安全事件預防措施和后續處理手段，加強信息系統運行狀態的監控，做好預警預防工作，可以有效地降低重要時期的網絡安全風險，為重要時期地質環境領域關鍵網絡系統的安全、穩定地運行打下了良好的基礎。

參考文獻

鄧少君，2016. 風險社會視域下基層矛盾治理研究[D]. 武漢大學.

黃庭滿，2017. 習近平網絡空間治理新理念新思想新戰略研論（下）[J]. 汕頭大學學報（人文社會科學版），33（1）： 10-22+7.

跨界聯動打造網絡空間安全學術社區，2017. InForSec2016年年會在清華大學舉辦[J]. 中國教育網絡 （S1）： 40-41.

繆麗華，2015. 互聯網背景輻射流量的測量與研究[D]. 東南大學.

殷銘，武建飛，屠陳子煜，等，2017. 地質環境信息系統上線安全檢測工作實踐[J]. 國土資源信息化，（2）： 40-44.

中國地質環境監測院，2012. 全國地質環境信息化總體設計[R]. 北京： 2-3.

中國地質環境監測院，2014. 國家級地質環境信息平臺安全防護體系整改（附件4）[R]. 北京： 31-32.