廣播電視網絡安全態勢感知預警平臺技術研究

張 東，李 韜

(河南省廣播電視安全播出調度指揮中心，河南 鄭州 450002)

0 引言

為貫徹落實黨中央、國家廣電總局關于網絡安全管理的有關要求，河南省建設了廣播電視網絡安全態勢感知預警平臺項目。該項目采集信息系統交換設備網絡流量，結合網絡安全威脅情報，感知網絡安全風險態勢，預警高危安全事件，全面掌控信息系統網絡安全狀況。該項目的建成與投入使用，在廣電行業網絡化、融媒化的今天，是一項里程碑式的探索。

1 系統建設背景

為貫徹國家《網絡安全法》及相關法律法規，依據國家廣電總局網絡安全管理辦法和網絡安全事件應急預案的有關要求，河南省廣播電視安全播出調度指揮中心建設了省廣播電視網絡安全態勢感知預警平臺。該平臺由1個核心域和多個探測域組成，探測域設置在廣播電視監測監管系統、政府網站和門戶網站等，部署探針設備，實時采集探測域核心交換設備出入流量數據，并將流量數據傳送至核心域；實時分析網絡安全設備日志，將探知的異常信息傳送至核心域。在核心域部署儲存分析設備、網絡設備、安全設備和等保工具箱等，收集、分析從探測域采集的數據流量和安全日志，結合從國家信息安全權威機構、信息安全廠商獲取到的威脅情報，從時間、空間等不同維度，分析感知網絡中存在的有害程序、網絡攻擊、信息破壞等網絡安全風險態勢，對可能出現的高危網絡安全事件進行通報預警，從而實時掌握信息系統網絡安全態勢和外部網絡安全威脅，實現對重要信息系統網絡安全保障工作進行監督管理的目標[1]。

該平臺設計架構邏輯嚴謹、層次間支撐性強、業務功能豐富且實用性高，充分應用大數據、云計算等一系列新技術，開展數據儲存、挖掘以及網站監測、漏掃等工作，為全國廣電行業開展網絡安全態勢感知預警平臺建設樹立了標桿。對平臺技術特點進行研究，深入解析態勢感知技術，將有效促進態勢感知技術在行業中的應用、發展和深化，進一步推動廣電行業的發展。

2 系統技術特點

2.1 先進的平臺架構

該平臺架構設計先進、邏輯嚴謹，包括采集層、存儲層、分析層、呈現層共4層。采集層利用部署在探測域的探針，將采集到的原始流量數據和網絡安全設備日志上傳至存儲層。存儲層支持日志數據、資產數據、情報數據、策略數據等多元數據的存儲，建立索引進行快速檢索查詢，并且對數據進行備份。分析層利用大數據分析技術對存儲層中的數據進行分析，通過數據預處理、實時計算、數據挖掘等技術，實現日志歸并、事件提取、風險評估、預警分析，為呈現層提供數據支撐。呈現層將分析層推送來的數據進行可視化展示，包括綜合分析、風險態勢和資產態勢、數據分析和系統管理等的呈現。

2.2 豐富的業務功能

該平臺業務功能涵蓋面廣、實用性高，包括綜合分析、風險安全預警、資產安全預警、系統管理4類業務功能。綜合分析功能能夠將各類安全事件進行綜合分析，呈現整體安全評分、攻擊鏈分析、攻擊地圖展示等。安全風險預警功能包含網絡入侵、異常流量、僵木蠕傳播、網站安全、系統漏洞等安全態勢感知預警能力，支持對上述各類風險開展動態監控、查詢分析和統計報告。資產安全預警功能從資產角度開展安全態勢感知預警，包括資產角度的綜合概覽、安全事件分析、風險評分等。系統管理功能包括資產登記管理、流量與事件查詢、用戶管理與監控配置等。

2.3 利用大數據技術進行數據儲存分析

該平臺利用海量數據儲存、數據分析、機器學習等大數據技術，對數據進行存儲和分析，有效提升了數據存儲和分析的效能。海量數據儲存技術支持結構化日志數據和TXT、圖片等非結構化日志數據的存儲，通過索引實現數據快速查詢，利用分布式存儲技術實現數據的高速存儲處理。數據分析技術采用大數據專用的快速計算引擎，利用回歸分析、關聯規則、預測模型等方法，從不同角度對海量數據進行挖掘，分析計算出有價值的數據。機器學習技術內置多種安全應用場景，在應用場景中通過機器自我演練學習，持續豐富安全事件樣本庫，提高安全事件匹配準確率。

2.4 外部威脅情報的獲取使用

該平臺與國家網絡安全權威機構和國際網絡安全權威情報商進行數據對接，定時獲取最新外部威脅情報，運用不同技術手段，分析利用不同類型的威脅情報，用以全面感知信息系統面臨的網絡安全風險。外部威脅情報的使用方法如下：(1)IP地址情報。該平臺將訪問探測域的用戶IP與外部威脅情報庫提供的惡意IP進行比對，從而感知探測域面臨的惡意IP網絡攻擊風險態勢。(2)域名情報。該平臺將資產經常訪問的域名與外部威脅情報庫提供的惡意域名進行比對，從而感知核心域面臨僵木蠕感染的風險態勢。(3)主機特征情報。該平臺將訪問探測域的用戶瀏覽器User-Agent、登錄賬戶名及訪問頻率的主機特征與外部威脅情報庫提供的惡意主機特征進行比對，從而感知探測域面臨的惡意主機信息破壞風險態勢。(4)攻擊工具情報。該平臺將探測域安全設備日志信息與外部威脅情報庫提供的攻擊工具信息進行比對分析，從而感知探測域可能遭受的網絡攻擊類型。

2.5 網站云安全服務

由于計劃探測的政府網站已遷至云平臺，本地服務器、安全設備和路由交換設備也隨之撤銷，無法在網站部署探針獲取流量數據和安全日志，因此我們采用網絡安全公司提供的云安全服務，對網站進行周期性監測和漏洞掃描，發現問題及時發出預警信息，從而實現對網站安全態勢的感知預警[2]。云監測和云漏掃具體功能如下。

2.5.1 云監測

云監測包括可用性監測、DNS劫持監測、篡改監測和暗鏈監測等功能。可用性監測功能通過部署在全國的監測點向網站發起請求，根據網站是否響應及響應時間，判斷網站的可用狀態。DNS劫持功能監測周期性地向DNS發送域名解析請求，對響應結果進行集中匯總和分析匹配，從而快速、準確地發現域名劫持行為。篡改監測功能周期性地對網站進行頁面抓取，進行圖片、敏感詞信息對比驗證，分析變更的頁面是否含有(涉黃、涉政、涉暴等)篡改信息。暗鏈監測功能周期性地對網站主動探測，及時發現規則異常的鏈接并對惡意網址進行分析。

2.5.2 云漏掃

云漏掃支持多種類型的安全漏洞檢測，包括命令、代碼執行類型的安全漏洞以及信息泄露、拒絕服務等邏輯攻擊類型的安全漏洞。

2.6 信息安全等保測評

該平臺包含測評表單模塊，并配有等保工具箱，其可輔助開展信息安全等級的保護測評工作。

2.6.1 等保工具箱

等保工具箱主要包括Windows主機配置檢查工具、Linux主機配置檢查工具、網絡及安全設備配置檢查工具、病毒檢查工具、木馬檢查工具、網站惡意代碼檢查工具、弱口令檢查工具、數據庫安全檢查工具、網站安全檢查工具、系統漏洞檢查工具等，通過使用等保工具箱來檢查信息系統安全漏洞及配置是否滿足等級保護的相關要求，并且可導出測評報告。

2.6.2 測評表單模塊

可將等保工具箱中導出的測評報告導入該平臺的測評表單模塊，在平臺上統一查看被測評信息系統的測評情況，測評項目包含物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理共10項[3]。

網絡安全態勢感知預警平臺的建成與投入使用，一是加強了政府網站的安全防護，保障相關行政審批備案工作正常運轉；二是提升了廣播電視監測監管系統的安全防范能力，保障廣播電視網絡視聽安全播出和網絡安全，為河南省意識形態和宣傳輿論工作保駕護航；三是加固了門戶網站網絡安全屏障，保障大型綜合類門戶網站更好地服務人民群眾的日常生活。

隨著河南省廣電行業的深度變革，以及融媒體中心建設工作的逐漸推進，廣電行業將進一步網絡化、智能化，隨之而來的網絡安全問題更加凸出。下一步，將深入調研全省廣電行業重要網絡與信息系統網絡的安全現狀與防護措施，與信息系統單位開展廣泛的技術研討，計劃將平臺覆蓋范圍向廣電行業其他省級重點信息系統以及地市級重要信息系統延伸，充分發揮平臺技術優勢，逐步為全省廣電行業重要信息系統提供網絡安全態勢感知預警服務。

3 結語

網絡技術在不斷發展，網絡安全環境也在發生著深刻的變化。在網絡化、智能化、AI化以及5G技術不斷發展的今天，廣電行業既要積極創新，有所作為，還要做好關鍵信息基礎設施的建設和網絡安全的保障工作。廣電行業監管部門要積極運用態勢感知技術，加強網絡安全的監測監管，促進廣電行業信息系統的網絡安全，保障廣電行業平穩、有序、健康地發展。