27
1 引言
随着信息技术不断发展,网络安全已经成为确保广电行业各项业务顺利开展的重要保障因素,网络安全监管也成为监督指导行业网络安全工作的重要支撑平台。网络安全法明确提出应当建立健全本行业、本领域的网络安全监测预警和信息通报制度。《国家信息化发展战略纲要》提出要提升 全天候全方位感知网络安全态势能力,完善网络安全监测预警和网络安全重大事件应急处置机制。2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上的讲话中谈到网络安全发展的时候提到关键性的一点就是网络安全态势感知和通报预警工作。
对于广电行业网络安全监管来说,建设网络安全监管平台,实现对广电行业重要网站和网上重要信息系统的网络安全监测、态势感知、通报预警、 应急处置、态势分析、安全事件(事故)管理、管理督查等功能,提升全行业网络安全保障能力是非常必要的。
2 广播电视网络安全监管
平台建设的目标
建设广播电视网络安全监管平台要主要实现以下目标。
(1)掌握行业重要信息系统网络安全基本情况,实现网络安全管理信息化。掌握全行业重要信息系统底数和动态变化是进行网络安全监管的基 础,掌握行业信息系统数量、业务类型、系统构成、服务范围、管理和运维机构、定级备案测评等基本情况。
(2)建立主动探测与被动监测相结合的安全态势感知体系,及时获取风险信息。网络威胁感知的主动性,进行有目标的数据抓取,以实现对网络空间威胁的全程感知。网络的安全
态势感知所需要的信息,一方面需要从信息系统的运行信息和网络的流量信息以及从各种防护措施的日志采集和分析技术获取的胁信息,一方面需
要通过远程监测获取对外服务系统的漏洞、被侵害信息等。
(3)建设网络安全信息通报预警
系统,实现网络安全事件预警和应急处置。实现对重要信息系统的安全监测、态势分析、通报预警、安全事件(事故)管理、应急处置等功能,利用大数据分析技术对收集、监测的安全数据进行挖掘分析,针对潜在的系统安全威胁,能够及时有效地面向有关对象进行预警,尽可能降低发生安全事件的风险;当发生网络安全事件时,
有关单位能够快速及时地将相关信息
进行及时上报,有关部门可以通过平台提供指导、监督、远程处置协同等。
3 总体设计
广播电视网络安全监管平台的监管对象主要分为两种:一是互联网及基于互联网应用的系统,主要包括网络广播电视台、行业内视音频网站、其他基于互联网应用的行业重要业务系统、与互联网连通的行业业务应用系统、互联网集成播控平台、IPTV 总平台以及国家广播电视总局政府网站、直属单位互联网站;二是广播电视生产业务系统,主要包括节目覆盖全国
如何构建广播电视网络安全 预警和态势感知系统
王昌明 国家广播电视总局监管中心
摘要:本文根据广播电视行业网络安全监测监管的需求,分析了广播电视行业信息系统的构成,并分析了不同类型的信息系统的监测监管需求,提出了两级网络安全预警和态势感知平台的技术构架。
关键词:网络安全 监测 态势感知
28
《有线电视技术》 2018年第8期 总第344期矫姿带
的电台和电视台的重要业务系统、全国广播电视节目传输网。
监管平台网络分为中央和省两级架构,中央级平台的监测范围主要包括总局直属单位的相关技术系统的网络安全监管,同时接收各省级平台上传的监测数据。省级监管平台主要负责监测辖区内广播电视业务系统的网络安全状况,并把相关监测数据报送至中央监管平台。基于互联网应用的业务系统监测数据通过互联网进行收集,广播电视生产业务系统网络安全监测数据通过专网进行收集,各省级平台的网络安全数据也通过专网上传至中央平台。同时监管平台与国家网络安全管理、监测第三方,如网信办、CNCERT 等预留对接接口,便于根据国家相关要求进行平台的对接。中央级平台和省级平台采
用相似的网络结
构, 根据不同级别的监测平台,对相关单位网络的安全日志分析、网络流量监测和应用系统的监测等,平台主要划分集中管控区、安全审记处置区、身份验证计算区、安全隔离区和安全接入区。网络结构如图1所示。
4 平台实现与功能
监管平台从基础数据库、监测及态势分析、安全事件处置、通报预警、风险自评估、运行管理、大数据分析、可视化系统、第三方集成接口等方面进行功能设计。
4.1 基础资源库
网络安全基础资源库:对被监测对象整体的信息系统有关情况进行采集,包括网络安全管理组织机构和人员信息、管理制度、网络安全技术防护体系构成、信息系统组成、设备构
成及型号、操作系统类型、应用软件构成、网络安全相关部门及人员信息、定级备案信息、安全测评信息、培训教育等,建设各单位网络安全保障体系资料库。
网络安全知识库:建设网络安全相关政策、标准等知识库,同时收集木马病毒特征库、异常行为库、黑客攻击特征库、威胁情报库等,为各类服务与分析提供数据支撑。
4.2 监测及态势分析
该系统利用技术手段对互联网相关系统进行全面的安全漏洞监测、可用性、篡改、敏感词监测,并结合网络安全设备产生的数据进行态势分析。通过部署在各地的分布式监测节点全天候监测,实时探测刷新网络的设备、端口、资产、应用和流量等重要信息;
另外,通过分布式监测与采集技术积
图1 中央级、省级监管平台网络结构示意图
29
累到的存活域名信息,并动态更新这些域名对应的应用系统名称、归属地
理位置、归属人员机构、域名解析变更、相似域名等相关数据分析实现。
4.2.1 网站、新媒体以及基于互
联网应用的系统的网络安全监测
在监管平台部署网站监测系统和综合扫描引擎,实现Web 安全监测、数据库、操作系统、软件的安全监测。通过对重要网站、新媒体和互联网区域内的应用系统进行Web 应用漏洞扫
描、数据库漏洞扫描、系统层漏洞扫描,来发现漏洞、木马、关键字、可用性、篡改、DNS 变更、域名劫持等,以及应用异常、内容异常监测等。
4.2.2 重要播出机构的重要信息系统的网络安全监测
针对重要播出机构的监测,在被监测单位没有建设监测系统的情况下,在本地接入交换机上旁路部署一台或多台综合日志收集引擎,主要实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合。通过综合日志收集引擎内部的采集器与监管平台间通信,将格式统一后的日志发送到监管平台。如被监测单位已经建设了网络安全监测系统的情况下,监管平台可以跟其进行对接,实现信息资产的安全日志获取。
4.3 安全事件处置
网络安全事件处置提供事件调查、取证分析、事件处置情况记录等功能。对所有安全事件信息建立索引,可以快速查询、管理分析,并可根据不同纬度进行安全事件的综合统计。
4.4 通报预警
通报分为两种:一是被监测单位
将自己发现的安全事件上报监管平台;二是监管平台向各有关单位通报安全
事件有关信息,通报可以是即时通报,也可以是安全周报、月报、年报等,并可以查看和下载。通报渠道通过短信、邮件、预警屏和手机APP 方式。
4.5 安全自评估
通过嵌入的网络安全等级保护测评工具,各被测单位可以开展网络安全自评估,并将自评估结果导入该功
能模块。根据各单位自评估结果,结合第三方测评结果进行风险评估结果进行综合分析,掌握行业网络安全防护概况。
4.6 运行管理
亲贝支持省市县三级数据;以国家最新公布的数据作为基础数据;支持用户、系统设定行政区划;整套系统按区划进行数据权限控制。支持安全周
报、月报、年报。如根据扫描监测数据,定期自动生成标准的周报、月报、年报,提供Word、PDF 等多种格式,支持在线查看、下载。对口令生命周期、帐户锁定策略、系统超时时间等进行设置。对收集到的各类信息以及相应的统计、查询等功能进行维护。实现添加用户、删除用户、用户查询、查看用户状态、强制在线用户下线等功能;可以自定义角权限,对人员按照工作职责进行分角的权限管理。对所
有用户的访问和操作记录,包括操作
的IP 地址来源、用户名、操作时间、操作行为等。监管平台部署统一门户,实现所有用户的统一登录认证和运维管理。
4.7 大数据分析家庭自动化控制系统
监管平台利用大数据相关分析技
术,发现监管对象中可能存在的异常行为或攻击事件,具体应用于以下八个场景和三个分析模型。
4.7.1 分析场景
(1)WebShell 检测
通过基于多维度聚类算法对Web 访问日志进行深度挖掘分析,以聚类结果中离点为异常,将异常结果中的关键信息作为线索,关联分析其它多种类型日志,从而确认出可能存在的WebShell。
(2)Web 攻击检测
针对Web 应用的攻击行为有很多种,例如:对Web 漏洞探测行为、CC 攻击、SQL 注入攻击、低速HTTP 攻击等。不同的攻击行为,检测的算法也不同。例如,对于漏洞探测行为,会产生大量的返回码为404的错误日志。再例如,分析Get 行为的日志,通过相似性分析,以及贝叶斯、决策树、
支持向量机(SVM)等分类算法Web 访问日志进行分析。可以利用手工或攻击工具对目标网站进行攻击,将攻击行为产生的日志当做分类算法所需要的训练数据。
(3)Web 漏洞发现
利用大数据分析发现漏洞的方法不是直接去探测Web 应用,而是利用分析出的成功入侵事件,从这些漏洞利用成功的信息,可以推测出是否存在漏洞。例如,如果发现了非法上传的文件,则可以断定系统存在非法文件上传的漏洞,从而确认Web 漏洞的真实存在。
(4)DDoS 攻击检测
分布式拒绝服务攻击是一种危害大高频发的攻击。传统的检测方法是通过分析流量日志,发现攻击流量。
大数据技术通过对特定指标的经典统计和模糊粗糙集算法,可以分析出存在的CC攻击、突发异常流量和其他基于各种协议的泛洪攻击。
(5)僵尸网络检测
僵尸程序是DDoS攻击流量的主要来源,僵尸程序植入受害主机后,首先要发送DNS查询请求,以便和C&C服务器联络。通过对DNS查询记录进行相似性分析,可以定位僵尸主机。
(6)内部异常行为及APT检测
利用聚类和相似性分析以及分类等算法,可以发现行为异常的情形:如异常的文件访问和下载流量、数据库访问的异常频繁、异常的DNS查询请求、可疑的回联行为、暴力破解、非授权访问等。
(7)Web篡改发现
分析对相同的URL访问所产生的不同访问日志,比较其中的某些特定属性,如果属性值发生明显的变化,则高度怀疑该URL已被篡改。
(8)网站数据泄露发现
通过访问者IP地址为主体,基于相似性分析方法,出行为异常的IP 地址,特别是与数据库查询相关的操作方面的异常。
4.7.2 分析模型
(1)攻击感知能力分析模型
对安全引擎中的攻击事件、系统弱点、安全状态等安全数据统一收集到大数据安全分析中心,进行综合关联分析,得到立体化的应用系统的攻击感知能力。如成功的CC攻击、成功的暴力拆解、成功的挂马攻击、成功的Web入侵、数据库泄露等。
(2)安全防护能力分析模型
对被监测单位的应用系统安全防
护指标数据进行综合分析,基于安全
防护数据等指标,得出应用系统的安
全防护能力。
(3)安全处置能力分析模型
对被监测单位的应用系统安全防
护指标数据进行综合分析,从安全攻
击和事件的处置能力角度进行分析,
得到应用系统的安全处置能力指标。
4.8 可视化系统
可视化系统通过对监管平台中系
统、主机、网络、服务数据的采集,
绝对值角度编码器
进行多源异构网络数据的处理,通过
数据融合,生成综合的、全局网络安
全态势图,进行多视图、多角度、多
尺度的可视化显示。整体网络安全态
势可视化从资产态势、威胁态势、攻
击态势和事件态势等不同视图进行展
示,并可以通过个人终端PC、平板电
脑、手机和触控大屏进行直观展现。
4.8.1 资产态势可视化
从资产角度出发,包括重要信息
系统、网站等不同资产类型。可实时
获取当前资产总数,按区域、类型、
高危资产分布。重点监控资产的可用
性情况。并结合地图、表单、趋势曲
线图进行生动化展现,还可查看具体
资产详细信息。
4.8.2 威胁态势可视化
从安全威胁角度出发,包括漏洞、
木马、变更、关键字、可用性等不同
威胁类型。后期还支持其他数据来源
接入,形成实时的大数据支撑源。
通过可视化系统,可实时获取当
前安全威胁总数,各类型数量,按区
域、数据来源分布,可用性分布,典
型0Day漏洞区域分布。最新监测发现
的威胁详情,如具体威胁发现时间、
目标IP、等级、来源等信息。
4.8.3 攻击态势可视化
从攻击角度出发,从攻击、访问
两个维度,可实时获取当前攻击总数、
访问总数。结合地图展现攻击实况,
包括攻击时间、攻击源IP、攻击目标
IP、异常行为类型、等级、攻击路线图。
最近24小时,访问、攻击趋势分布。
纯露怎么提取并结合环形、条形、热力图,对主要
攻击类型、攻击源、被攻击对象,访
问源、被访问对象分布、排行进行展现。
4.8.4 事件态势可视化
从安全事件角度出发,包括反共、
、情、暗链、黑页等事件类型。
可实时获取不同事件类型总量,按地
域、时间分布。最新安全事件,发现
时间、事件类型、发生安全事件的网
站、地区、事件来源、取证截图等信息,
以及该事件的处置记录。
综上所述,从资产态势、威胁态
势、攻击态势和事件态势的可视化效
果,实现被监测系统的安全态势感知
及预警监控。将部署的分布式多引擎
(Web漏扫、数据库漏扫、系统漏扫
等)7×24小时发现当前网络环境下
的威胁(木马、漏洞、篡改、可用性、
敏感词等)情况以及安全管理系统等
已有的安全管理设备安全数据信息进
行统一的大屏可视化展态势感知和监
测预警。
4.9 第三方集成接口
监管平台可提供数据导入和读取
电子煎药壶的开放接口,可以与公安部或网信办
的通报中心平台进行对接,如与公安
部网络与网络安全态势感知通报平台
进行对接,平台的接口规范遵循公安
部统一的接口规范标准。CATV
30《有线电视技术》 2018年第8期 总第344期
