随着“互联网+”在广电行业的全面推进,广电网络技术的IP化、IT化和云化的趋势愈发明显,广电网络安全形势日益严峻。本文分析了辽宁广电行业的网络安全现状,阐述我省广电行业网络安全态势感知平台的研究与设计。  

随着信息化系统数量日趋增多,系统的关联性和复杂度不断增强,使得当前广电行业网络安全形势日益严峻。作为我国第一部全面规范网络空间安全管理方面问题的基础性法律《中华人民共和国网络安全法》,已于2017年6月1日起正式施行。《网络安全法》对“关键信息基础设施”在法律和制度层面进行了重点保护。  

对于我省广电行业来说,网络安全监管主要是对辖区内广电行业政务网站、业务网站、基于互联网应用的重要信息系统以及逐步建设完成的基于云平台的县级融媒体中心等重要信息系统的安全监管。目前我省广电网络安全体系主要以“防护”为主,缺乏网络安全的监测和响应能力,缺少全面感知行业网络安全问题、安全事件监测预警和事件处置快速响应等能力,无法满足新形势下对广电行业网络安全监测监管的要求。根据我省广电行业的网络安全现状,如何建立全天候全方位的态势感知平台,提升全行业网络安全保障能力,成为亟待解决的问题。  

1设计思路  

网络安全不存在绝对的安全,也没有一劳永逸的解决方案,网络安全是一个动态的、不断完善的过程。  

我省以网络安全滑动标尺模型作为网络安全措施的基本框架(图1)。网络安全滑动标尺模型包含架构安全、被动防御、积极防御、情报和进攻五大类别。按照此模型对我省广电行业现有网络安全防御措施、能力进行分类,找出薄弱环节,结合建设目标,进行合理投资,从而达到较少资源发挥更大作用的目的。 

image.png 

现阶段我省广电行业网络安全防护工作基本聚焦于架构安全的被动防御状态,多数停留在等级保护合规要求层面,无法实现对系统可用性和健康状态的主动有效监控,存在主动对抗安全威胁能力薄弱等问题。因此,针对我省广电行业网络安全工作这一实际情况,设计我省广电行业网络安全态势感知平台方案时,遵循了以下设计思路。  

首先,摸清全行业网络安全的信息底数。对我省广播电视行业政务网站、业务网站以及基于互联网应用的重要信息系统相关情况进行调查摸底,全面摸清我省广电行业重要网站和系统的信息底数,全面梳理网络安全现状。网站信息主要包括ICP备案号、域名、运行状态、运维方式、政务外网接入等情况;系统信息主要包括业务类型、运维方式、定级备案等情况。  

其次,建设网络安全态势感知平台。在完善防御体系基础建设的前提下,增加网络安全的预测能力、防御能力、监测能力以及响应能力。及时掌握全省行业内网络安全风险状态,完成对行业内重要部门、重要单位的监测和分析,对未来风险进行预测,及时排查行业网络安全薄弱位置。  

最后,倒逼网络安全薄弱单位,对安全防护薄弱系统进行整改,完善防御体系基础建设,补强行业重要信息系统的被动防御能力,不断完善和提升全省广电行业网络安全防护能力。  

2设计方案  

2.1平台架构  

平台主要包括四个层次,包括采集层、数据层、服务层和业务层,平台总体架构如图2所示。

image.png  

(1)采集层  

数据采集是整个平台的基础,其为后续网络安全态势感知提供数据支撑。数据采集的内容主要包括对我省广播电视行业政务网站、业务网站以及基于互联网应用的重要信息系统的日志数据、流量信息、漏洞信息等数据。  

通过前期上报梳理,我省广播电视行业政务网站、业务网站以及基于互联网应用的重要信息系统均没有建立态势感知平台,因此只能采用布放流量传感器、资产扫描设备、漏洞探针等方式采集数据。  

(2)数据层  

数据层的工作主要是完成对采集数据的预处理和存储,为下一步网络安全事件分析、预测做好准备工作。数据预处理主要包括将采集到的数据按照统一标准进行过滤处理后进行存储。  

数据过滤包括对格式错误、不完整等问题的数据进行转换,对错误的数据进行修改,同时删除一些重复性的数据。平台数据存储技术采用了HDFS分布式文件系统技术,不但可以保证数据存储的可靠性,还能满足大规模数据集上的应用。  

(3)服务层  

服务层是平台的核心部分,也是承上启下的一部分,其主要承担的是向上完成与业务层应用的对接,向下完成数据层提供数据的分析及应用。通过对数据层提供数据进行关联分析、场景分析发现安全事件,然后通过安全事件监测、响应机制反馈到业务层中的相关应用,进而完成对安全事件的发现、响应和处置。  

关联分析通过内置的150多条关联规则,对日志过滤、日志链接、聚类统计、阈值比较和序列分析等计算单元进行组合计算,及时发现暴力破解攻击、装酷攻击、流量异常等威胁事件,产生精准告警。  

场景分析通过图、表等多维度视角展示相关数据,为发现、判别网络安全问题提供易读、可视化的帮助。如暴力破解威胁分析,显示被尝试最多的登录账号,登陆失败次数最多的源IP等。  

(4)业务层  

业务层主要负责完成人机交互的功能。众所周知,网络安全工作是专业性极强的工作,对网络安全工作人员要求较高,需要非常熟悉网络安全的相关技术。但通过我们调研发现,全省广电行业网络安全专业工作人员极度缺乏,对网络安全分析处置能力有限。业务层通过可视化展示等手段,将安全数据、威胁预警、分析处置等信息实时反映给网络安全监测人员,使其快速、宏观的了解整个行业的网络安全情况,确保我省广电行业网络安全态势可见、可控、能控、在控。  

2.2平台主要功能  

平台功能主要包括威胁态势感知、漏洞态势感知及安全运营态势感知等。平台功能界面如图3所示。

image.png  

(1)威胁态势感知  

一方面展现来自行业外部安全威胁,掌握外部威胁的主要分类、主要来源国、主要攻击源,快速感知外部威胁的攻击分布和攻击趋势。  

一方面展现行业内部的威胁情况以及威胁是否蔓延。实时了解行业内网安全状况,快速了解内网威胁个数、威胁类型、威胁等级、攻击发起区域和攻击者,可通过“跨网段攻击分析”和“网段受攻击分析”两个分析视角,快速处理威胁攻击源,实时了解内网安全态势变化趋势。  

(2)漏洞态势感知  

能够持续监控行业网络内部漏洞威胁,可视化展示漏洞分布情况,漏洞的处置情况、被攻击者利用的漏洞情况以及漏洞的平均修复时间等,通过全网漏洞态势,及时消除基础的安全隐患。  

(3)安全运营态势感知  

对全网安全事件、威胁事件、攻击事件,按时间、类型、危险级别进行统计、分析和可视化展示,全面直观感受整体行业网络安全运营总体态势。  

3结束语  

要实现全省广电行业网络安全监管全覆盖,是需要接下来几年逐步完成的,辽宁广电行业网络安全态势感知平台在科学制定整体规划基础上,分期建设、逐步实现行业全覆盖。  

平台一期建设于2020年建设完成,可实现对全省广播电视行业政务网站的安全情况进行7×24h的监测,包括网站可用性、漏洞监测、网页篡改监测、网页挂马监测、内容变更监测、黑词监测、黑链监测、敏感词等违法违规行为的监测,第一时间发现问题,通报预警。系统投入使用至今,累计向相关网站管理部门通报安全事件42起,涉及网站9家,有效保障了我省广电视听行业网络运行环境的安全。