基于廣電網絡信息安全體系的研究

張浩波

（江蘇省廣電有線信息網絡股份有限公司，南京 210000）

1 廣電網絡信息安全現狀分析

隨著云計算、大數據、人工智能等新技術飛速發展，APT 攻擊、勒索病毒、木馬僵尸網絡、互聯網惡意代碼等網絡攻擊手段層出不窮，江蘇有線在信息安全領域面臨著巨大的挑戰，傳統廣電業務相對封閉，面對外部網絡安全威脅較小，信息安全防護體系主要基于網絡邊界處防火墻、IPS 等安全設備進行訪問控制，但這種靜態防御的安全管控對于當前復雜多變的網絡安全攻擊作用越來越小，如何主動發現安全威脅，構建一套基于信息系統全生命周期的信息安全動態防護體系，成為廣電運營商面臨的新課題。

2 廣電網絡信息安全體系規劃

為此，我們通過三個維度規劃設計了一套閉環信息安全防護體系（見圖1），主要包含以下三方面內容：一是信息系統生命周期管理；二是安全能力提升；三是安全管理與安全技術。通過信息安全防護體系的構建，實現“事先化、主動化、自動化、常態化、集約化”要求，打造安全技術核心能力，全面提升企業安全運營能力。

圖1 廣電網絡信息安全體系

根據上述體系規劃，我們實施以下舉措，以保障企業各類信息系統持續、穩定、安全地運行：一是建立健全企業網絡信息安全管理組織，明確人員崗位及職責；二是形成一套完整的、可操作的安全制度、機制、規范及流程，確保安全工作有法可依、有章可循；三是圍繞信息系統生命周期，將安全工作固化到日常工作運行流程，形成前后端閉環、內外部處置閉環的安全工作機制；四是確保企業信息系統和數據在全生命周期均具備風險控制、威脅防范、安全感知與快速響應能力，構建起全網聯動的縱深安全防護體系；五是打造企業信息安全專業人才隊伍，形成多級安全人才梯隊，確保企業信息安全工作有專業化的安全人員實施落實。

3 安全體系建設重點分析

本節將重點討論信息安全體系建設中核心技術內容，包含基礎設施網絡安全、數據與應用安全兩方面，并重點介紹基于廣電網絡的信息安全態勢感知系統與風險發現的閉環處置過程：

3.1 基礎設施網絡安全

近年來廣電業務逐漸互聯網化，面臨的外部安全威脅越來越大，依據“等保2.0”要求，我們對現有網絡進行設計重構，重點構建“網絡安全等級保護管理中心”域（見圖2），在原有網絡邊界安全防護基礎上，新增部署終端安全管理、堡壘機、漏洞掃描、數據庫審計、日志集中分析以及安全管理中心等系統，從邊界防護、入侵檢測、安全審計以及安全響應等方面全面提升安全審計能力、終端管控能力以及漏洞發現能力，確保系統網絡架構的安全可控。

圖2 廣電網絡安全防護架構

3.2 數據與應用安全

數據與應用是企業信息化的核心資產，依據“等保2.0”要求，我們從身份鑒別、訪問控制、安全審計、軟件容錯、資源訪問控制、數據完整、保密性、可用性、用戶個人信息保護、應用編碼安全這十個方面進行安全防護，完善在數據與應用方面的技術支撐和保障能力。通過部署堡壘機、防火墻、VPN、數據庫加密、DLP 等系統進行安全加固（見圖3），一方面加強系統的訪問控制與安全審計能力，另一方面也加強了核心數據的保護，實現了“進不來，拿不走，看不懂，改不了，走不脫”的信息安全建設目標。

圖3 數據與應用安全平臺和工具

3.3 態勢感知系統

態勢感知這一概念源于航天飛行中的人的因素研究，此后在空中交通監管、醫療應急調度以及軍事戰場等領域中被廣泛研究。1999年，Bass 首次提出網絡態勢感知概念，所謂網絡態勢感知是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。一般來說，對于態勢感知評估方法通常可以基于數學模型、知識推理、模式識別等方法進行展開，目前隨著IT 技術發展，利用機器學習結合大數據技術，可以客觀、科學的從海量歷史數據中獲取態勢劃分、判斷的信息，在非實時環境中具備良好的效果。

考慮到當前廣電網絡安全體系建設需要，江蘇有線態勢感知系統通過收集、監視和報告各類安全設備的日志數據，并收集整合操作系統日志、漏洞信息、原始流量等數據，將安全監控及防御體系融合為一個整體。同時利用大數據、機器學習、人工智能等技術，結合內外威脅情報，對原始數據進行有效清洗、歸并、關聯、排序，快速定位關鍵風險，迅速甄別關鍵威脅并作出智能響應，同時進行持續的合規性掃描檢測，幫助安全管理人員高效分析、處理海量安全數據，提升整體安全防御能力。另外儀表盤、報表等可視化技術可直觀展現全網安全狀態和趨勢，實現統一視角、數據化、可視化的安全態勢感知，為各級安全管理提供科學有效的依據，同時也滿足各級單位對網絡態勢感知、安全管控的需求。

區別于傳統態勢感知解決方案，基于持續自適應風險與信任評估理念打造的安全態勢感知系統實現了高效、智能驅動的安全閉環。系統一方面在底層數據收集時對異構數據進行統一泛化關聯，建立標準化安全大數據中心，另一方面通過集成資產管理，日志管理，流量采集，漏洞管理等應用功能模塊，利用多維數據信息進行智能關聯分析，提供威脅分析數據，實現安全事件管理自動化，為企業信息安全管理提供有效的數據支撐和輔助決策。

3.4 風險發現閉環處置

信息系統風險發現工作一直以來存在諸多困難，比如風險獲悉范圍不全、欠缺智能化分析手段、風險處置技術手段缺乏等，傳統網絡安全防護體系更多的依賴于邊界安全設備的配置部署，通過訪問控制來保護信息系統不受外部攻擊，但隨著網絡安全態勢感知系統的使用，我們可以對風險發現工作實現閉環處置，主要包含以下四方面：一是更新安全風險分類，通過自動化手段覆蓋安全風險分類，滿足風險獲悉要求；二是使用云計算、大數據技術，智能分析安全風險的發生層面、影響范圍和危害程度；三是通過賦能一線處置人員工具手段，降低安全事件處置門檻、知識門檻、操作門檻，實現安全風險快速事中處置；四是憑借信息化優勢，進行風險自動化檢查，并記錄總結，形成風險閉環經驗知識庫。我們通過威脅情報、人工智能、機器學習等技術幫助實現上述處置過程，從而建立起動態為主的網絡安全防御體系。

4 結束語

本文通過對廣電網絡信息安全現狀分析，發現傳統廣電網絡運營商在信息安全工作中的難點，并規劃重構信息安全體系，改善網絡安全架構，配置部署安全設備，建設網絡態勢感知系統，從而可以動態監控網絡中的安全威脅，實現風險發現的閉環處置過程，全面提升了企業信息安全管理與技術水平。