◆鄧 鑫 田 征 李 楠 弋小虎

淺析網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)在氣象網(wǎng)絡(luò)中的實(shí)踐與應(yīng)用

◆鄧 鑫 田 征 李 楠 弋小虎

（國家氣象信息中心 北京 100081）

隨著新興網(wǎng)絡(luò)技術(shù)的發(fā)展及日益嚴(yán)峻的外部網(wǎng)絡(luò)安全環(huán)境，承載氣象業(yè)務(wù)的氣象網(wǎng)絡(luò)安全問題越發(fā)受到關(guān)注。本文通過分析氣象業(yè)務(wù)安全的新需求，按照“一個(gè)中心三重防御“的設(shè)計(jì)思路，構(gòu)建安全態(tài)勢感知平臺，實(shí)現(xiàn)對氣象網(wǎng)絡(luò)安全風(fēng)險(xiǎn)實(shí)時(shí)感知、威脅精準(zhǔn)研判和安全快速處置，增強(qiáng)氣象網(wǎng)絡(luò)安全防護(hù)能力。

安全態(tài)勢感知；一個(gè)中心三重防御

氣象工作服務(wù)于國家和人民，是關(guān)系國計(jì)民生的重要公益性部門，氣象工作的觀測、預(yù)報(bào)、服務(wù)三大業(yè)務(wù)都具有實(shí)時(shí)性高、連續(xù)不可中斷的特點(diǎn)，而海量的氣象數(shù)據(jù)更是各項(xiàng)工作的基礎(chǔ)，保障業(yè)務(wù)和數(shù)據(jù)的安全對于氣象工作發(fā)展的重要性不言而喻。《氣象信息化發(fā)展規(guī)劃（2018-2022）》提出了2018-2022年全國氣象信息化發(fā)展的指導(dǎo)思想、目標(biāo)、任務(wù)、建設(shè)工程，是我國氣象信息化發(fā)展的綱領(lǐng)性文件，其中明確提出要健全安全技術(shù)手段，完善被動防御能力，構(gòu)建主動防御能力，全面落實(shí)信息安全等級保護(hù)制度，強(qiáng)化外部安全風(fēng)險(xiǎn)防控，提升感知預(yù)警能力，完善應(yīng)急處置機(jī)制，全面保障氣象系統(tǒng)業(yè)務(wù)與信息安全，形成具有主動防御和協(xié)同管理能力的新一代氣象信息安全保障技術(shù)體系。

1 氣象網(wǎng)絡(luò)安全風(fēng)險(xiǎn)需求分析

（1）全量數(shù)據(jù)采集與分析需求

在氣象網(wǎng)絡(luò)安全運(yùn)維中，需要統(tǒng)一采集安全分析所需的各類數(shù)據(jù)，尤其是流量數(shù)據(jù)、系統(tǒng)和業(yè)務(wù)日志等原始數(shù)據(jù)，利用這些數(shù)據(jù)對內(nèi)網(wǎng)環(huán)境中的各類資產(chǎn)和網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行識別，同時(shí)可利用預(yù)定義的分析模型、分析規(guī)則對采集的數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析，以提高安全威脅的檢出率、降低誤報(bào)率。

（2）自動化的告警響應(yīng)處置需求

當(dāng)氣象網(wǎng)絡(luò)中發(fā)現(xiàn)安全威脅時(shí)應(yīng)及時(shí)進(jìn)行響應(yīng)，盡可能減小安全威脅帶來的風(fēng)險(xiǎn)和實(shí)際損失，系統(tǒng)在檢測到有攻擊行為或違規(guī)訪問時(shí)，除能夠利用微信、短信等方式向管理員發(fā)出告警外，對于可信度高且有明確處置方法的安全事件，可通過設(shè)備聯(lián)動進(jìn)行自動處置，自動處置可通過兩個(gè)方面實(shí)現(xiàn)，一是針對有害連接，在網(wǎng)關(guān)設(shè)備上自動阻斷有害連接；二是對于在終端發(fā)現(xiàn)的有害進(jìn)程，可直接在終端封堵或關(guān)閉進(jìn)程。

（3）安全線索調(diào)查分析需求

在氣象網(wǎng)絡(luò)中發(fā)現(xiàn)的線上安全告警是攻擊者留下的行為片段，線下的安全事件是攻擊的結(jié)果和造成的影響，并不是攻擊的全貌。要想對攻擊追本溯源，了解攻擊者的企圖、使用了哪些手段和資源、攻擊的影響面、還原完整的攻擊鏈，需要安全分析人員能從少量的線索出發(fā)，利用本地全量的網(wǎng)絡(luò)和主機(jī)行為日志，以及云端威脅情報(bào)和互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行深入的調(diào)查，利用搜索、統(tǒng)計(jì)、可視化關(guān)聯(lián)等方法和技術(shù)，在海量數(shù)據(jù)中找出與攻擊者相關(guān)聯(lián)的更多蛛絲馬跡，從而拼湊出攻擊者完整的行為鏈條，還原攻擊的全貌。

為滿足以上安全需求，需要以持續(xù)分析監(jiān)測為主導(dǎo)思想，構(gòu)建以態(tài)勢感知平臺技術(shù)為核心手段的整體安全運(yùn)營體系，整合安全信息孤島，打通數(shù)據(jù)間的隔閡，形成氣象網(wǎng)絡(luò)中的安全感知體系，實(shí)現(xiàn)安全威脅的積極防御和有效應(yīng)對。

2 氣象網(wǎng)絡(luò)的安全設(shè)計(jì)思路

隨著等保2.0在2019年12月的正式實(shí)施，可以深刻體會到整個(gè)等級保護(hù)體系的設(shè)計(jì)更加強(qiáng)調(diào)全方位主動防御、安全可信、動態(tài)感知和全面審計(jì)，實(shí)現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對象的全覆蓋，體現(xiàn)了“一個(gè)中心三重防御”的思想，一個(gè)中心指安全管理中心，三重防御指安全區(qū)域邊界、安全網(wǎng)絡(luò)通信、安全計(jì)算環(huán)境。

安全區(qū)域邊界是最重要的一道安全防線。在不同安全域之間，匯聚了所有流經(jīng)區(qū)域的數(shù)據(jù)流，必須在安全域的網(wǎng)絡(luò)邊界建立有效的網(wǎng)絡(luò)安全措施，通過部署防火墻實(shí)現(xiàn)區(qū)域間的邊界防護(hù)，以及對網(wǎng)絡(luò)內(nèi)外部發(fā)起攻擊行為時(shí)進(jìn)行有效的監(jiān)視和控制。

安全網(wǎng)絡(luò)通信是劃分和區(qū)隔網(wǎng)絡(luò)的重要手段。為了保證整體氣象業(yè)務(wù)服務(wù)的連續(xù)性，除了需根據(jù)高峰業(yè)務(wù)流量選擇關(guān)鍵網(wǎng)絡(luò)設(shè)備，保證網(wǎng)絡(luò)設(shè)備的處理能力及帶寬能夠支撐業(yè)務(wù)高峰的數(shù)據(jù)量之外，更重要的是對整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域劃分，確保重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間采取可靠的技術(shù)隔離手段，并提供安全通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備硬件冗余。

安全計(jì)算環(huán)境為氣象業(yè)務(wù)應(yīng)用的安全持續(xù)運(yùn)行提供了根本的保障。計(jì)算環(huán)境的安全需要從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備及應(yīng)用系統(tǒng)等多方面進(jìn)行針對性防護(hù)。應(yīng)用安全防護(hù)方面，通過采取身份認(rèn)證、訪問控制等安全措施，保證應(yīng)用系統(tǒng)自身的安全性，以及在與其他系統(tǒng)或者用戶進(jìn)行數(shù)據(jù)交互時(shí)，能夠在應(yīng)用層通過密碼技術(shù)確保傳輸數(shù)據(jù)的完整性，并在服務(wù)器端對數(shù)據(jù)有效性進(jìn)行校驗(yàn)，確保只處理未經(jīng)修改的數(shù)據(jù)。

安全管理中心是整個(gè)安全功能及運(yùn)維體系有效運(yùn)作的支撐。安全管理中心通過帶外管理的方式實(shí)現(xiàn)管理流量與業(yè)務(wù)流量的分離，為各級系統(tǒng)管理員、安全管理員和安全審計(jì)員提供身份鑒別和權(quán)限管理的集成平臺，便于不同角色人員完成系統(tǒng)管理、安全管理和審計(jì)管理等操作。同時(shí)通過在安全管理中心部署審計(jì)分析系統(tǒng)、流量分析等設(shè)施，實(shí)現(xiàn)全網(wǎng)日志收集、存儲、審計(jì)分析，對全網(wǎng)安全態(tài)勢進(jìn)行實(shí)時(shí)感知與監(jiān)控，當(dāng)發(fā)生安全事件或設(shè)備故障時(shí)，能夠進(jìn)行實(shí)時(shí)報(bào)警、決策處置及事后追溯分析。

因此，為了應(yīng)對氣象網(wǎng)絡(luò)中將面臨的一些復(fù)雜的高級持續(xù)性攻擊行為，依靠過去孤立的安全設(shè)備筑籬笆似的隔離思維是行不通的，必須貫徹“一個(gè)中心三重防御”的思想，進(jìn)行全新的安全體系架構(gòu)設(shè)計(jì)。

3 如何構(gòu)建安全態(tài)勢感知系統(tǒng)

3.1 架構(gòu)設(shè)計(jì)

安全態(tài)勢感知的目的是反映整體網(wǎng)絡(luò)的安全態(tài)勢，并給出安全態(tài)勢的趨勢預(yù)測，為安全管理者的下一步?jīng)Q策提供依據(jù)，也稱為“宏觀態(tài)勢監(jiān)控”。系統(tǒng)的組成分為數(shù)據(jù)采集、數(shù)據(jù)分析、監(jiān)測告警、安全態(tài)勢呈現(xiàn)四個(gè)部分。與常規(guī)的監(jiān)控系統(tǒng)不同，態(tài)勢感知系統(tǒng)的設(shè)計(jì)是倒推式的。

態(tài)勢感知系統(tǒng)設(shè)計(jì)的關(guān)鍵不是能采集什么數(shù)據(jù)，就顯示什么；也不是我們能分析什么，就給用戶什么；而是氣象業(yè)務(wù)關(guān)心什么，我們就應(yīng)該提供什么。態(tài)勢感知與安全管理不同，它是為管理者輔助決策提供的工具，需求來自管理者。因此，態(tài)勢感知系統(tǒng)的設(shè)計(jì)應(yīng)先從安全度量指標(biāo)體系的確定開始，然后反向倒推，其設(shè)計(jì)的過程如下：

首先了解氣象業(yè)務(wù)的核心與IT承載系統(tǒng)，抽象、分析業(yè)務(wù)重點(diǎn)關(guān)注的安全點(diǎn)，并設(shè)法表征這些安全點(diǎn)，形成對網(wǎng)絡(luò)安全態(tài)勢的度量指標(biāo)體系；

其次是選擇合適的分析技術(shù)、預(yù)測模型，建立分析、預(yù)測模塊的流程與架構(gòu)，并梳理所需的原始數(shù)據(jù)；

最后去感知網(wǎng)絡(luò)中，采集所需要的原始數(shù)據(jù)。有些數(shù)據(jù)是可以直接采集，如安全事件、業(yè)務(wù)流量等；也有些數(shù)據(jù)是需要通過關(guān)聯(lián)、統(tǒng)計(jì)分析后才可以生成的，如溯源定位、熱點(diǎn)服務(wù)等；

若發(fā)現(xiàn)有些數(shù)據(jù)無法從系統(tǒng)直接獲取，可以采用人工參與的評價(jià)或打分方式，也可從外部系統(tǒng)數(shù)據(jù)導(dǎo)入。

3.2 部署設(shè)計(jì)

氣象安全態(tài)勢感知系統(tǒng)采用國省兩級布局架構(gòu)，國家級態(tài)勢感知系統(tǒng)在對國家級網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行監(jiān)測的同時(shí)，通過收集省級態(tài)勢感知系統(tǒng)的告警信息，實(shí)現(xiàn)全網(wǎng)安全風(fēng)險(xiǎn)的集中監(jiān)測，省級態(tài)勢感知系統(tǒng)承擔(dān)省內(nèi)安全風(fēng)險(xiǎn)監(jiān)測，同時(shí)需要將本省綜合分析后的安全告警按要求發(fā)送至國家級態(tài)勢感知系統(tǒng)。態(tài)勢感知系統(tǒng)由分析平臺、流量探針和內(nèi)網(wǎng)風(fēng)險(xiǎn)捕獲探針組成。分析平臺部署于安全管理區(qū)，用于采集接收防火墻、IDS、終端安全管理等安全設(shè)備日志、流量探針采集的信息、漏洞掃描器提供的漏掃報(bào)告，以及來自公安部門、網(wǎng)信辦、安全廠商的外部安全情報(bào)，并將收集到的各類信息進(jìn)行綜合分析，結(jié)合省級安全告警，實(shí)現(xiàn)氣象網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的統(tǒng)一監(jiān)測、分析、告警和展示。流量探針采用流量鏡像方式在國省兩級網(wǎng)絡(luò)邊界和區(qū)域邊界部署流量探針，實(shí)時(shí)采集網(wǎng)絡(luò)流量用于安全風(fēng)險(xiǎn)監(jiān)測分析。內(nèi)網(wǎng)風(fēng)險(xiǎn)捕獲探針在氣象網(wǎng)絡(luò)中部署內(nèi)網(wǎng)風(fēng)險(xiǎn)捕獲探針，模擬氣象業(yè)務(wù)布設(shè)大量存在安全漏洞陷阱的虛擬系統(tǒng)，來捕獲東西向流量中的掃描、嗅探行為。一旦黑客、蠕蟲等攻擊者在網(wǎng)絡(luò)中偵查、掃描、移動，就極可能陷入陷阱中，內(nèi)網(wǎng)風(fēng)險(xiǎn)捕獲探針可以獲取更多的攻擊信息和情報(bào)，為安全響應(yīng)爭取更多的時(shí)間，降低氣象業(yè)務(wù)系統(tǒng)被攻擊的概率，最大限度減少損失。

4 結(jié)語

隨著網(wǎng)絡(luò)安全威脅的發(fā)展呈現(xiàn)出新的特征和氣象業(yè)務(wù)安全新需求，我們利用網(wǎng)絡(luò)安全態(tài)勢感知平臺可以實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)安全攻擊和安全漏洞，快速響應(yīng)和解決，同時(shí)可以檢驗(yàn)已有網(wǎng)絡(luò)安全防御體系的有效性，提升網(wǎng)絡(luò)安全協(xié)同和響應(yīng)處置方面的能力，為構(gòu)筑網(wǎng)絡(luò)安全立體防御提供基礎(chǔ)。

[1]《氣象信息化發(fā)展規(guī)劃（2018-2022年）》.

[2]（美）Andrew Jaquith.Security Metrics[M].電子工業(yè)出版社，2007，12.

[3]翟勝軍.針對“云計(jì)算”服務(wù)安全思路的改進(jìn)-花瓶模型V4.0[EB/OL].http://zhaisj.blog.51cto.com/219066/541228.