水利网络安全监测与预警方法

陈 岚，周维续

（水利部水利信息中心，北京 100053）

水利网络安全监测与预警方法

陈 岚，周维续

（水利部水利信息中心，北京 100053）

指出水利网络面临的主要安全威胁，介绍水利网络安全监测方法，阐述水利网络安全预警机制，明确监测预警在水利网络安全工作中的重要性，展望态势感知技术在水利网络安全监测预警中的应用前景。

水利；网络安全；信息化；监测；预警；信息通报

0 引言

从 20 世纪 90年代开始，依托国家防汛抗旱指挥系统工程，水利部逐渐形成了连通水利部机关、水利部各直属单位、部分国家防汛抗旱总指挥部成员单位及 32 个省级水行政主管部门的水利信息网，其承载了水利行业防汛抗旱、水资源管理、水土保持监测、异地视频会商等多项关键业务应用。水利信息网的构建，极大地推动了水利信息化的发展，提高了水利管理水平和能力，但是，水利信息网在带来工作便利的同时，也带来了日益突出的网络安全风险，如何尽快发现威胁控制风险成为网络安全工作中面临的一大问题。

《中华人民共和国网络安全法》在第五章以大量篇幅对监测预警进行了诠释，突显了其在网络安全工作中的重要性。水利部遵照国家相关规章制度，利用网络安全监测预警新技术，经过多年的探索，初步形成了 1 套切合水利行业实际的网络安全监测与预警方法。

1 水利网络面临的安全威胁

近年来，随着多项重大水利信息化工程的建设实施，水利信息网安全防护设施老化、手段单一的矛盾得到了缓解，但是水利网络安全面临的威胁并未消除，主要来源于：

1）网络攻击日益猖獗。带有国家背景的网络攻击核弹级武器的研发与泄露，正在引发全球性网络灾难。一个名叫 WannaCrypt（永恒之蓝）的勒索蠕虫病毒成为美国国家安全局网络军火库全球民用化的第 1 例，从 2017年 5月 12日开始，在 1 d 多时间内攻击了近百个国家的超过 10 万家企业和公共组织，致数万台电脑瘫痪，并以恐怖的速度在全球继续蔓延，国内被感染的组织和机构覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府等多个领域[1]。水利部机关今年 4月份防御了上百万次网络攻击，攻击目标主要针对水利部网站，其中入侵攻击事件占 45.79%，拒绝服务攻击事件占 38.59%。面对大规模网络武器级攻击，一个行业、一个部门很难以一己之力进行抵御。

2）安全措施落实不到位。尽管大部分单位制定了网络安全管理制度，但是在工作中未严格遵照执行；尽管部署了防火墙、网络安全审计、入侵检测等多种安全防护设备，但是健全的安全体系并未形成，加之安全策略不科学、不细致，造成安全风险不能及时发现。重建设轻管理的现象频发，以致安全措施不能完全发挥应有的作用。

3）安全漏洞处置不及时。大部分单位定期进行漏洞扫描，但由于技术人员缺乏、技术力量薄弱等多种因素，造成相当一部分单位停留在出安全检测报告层面，不能及时整改，导致系统长期带病运行，安全隐患层出不穷，这成为历年网络安全检查中表现比较突出的一个问题。

2 规范水利网络安全监测

经过多年的摸索，近年水利部逐渐形成了一套上下联动、内外结合的行业网络安全风险监测体系。主要包括：

1）形成多级监测架构。形成由水利部、流域机构/省级水行政主管部门组成的多级监测架构。水利部负责对其机关及行业性网络安全风险进行监测；各流域机构/省级水行政主管部门负责对本单位及下属单位的网络安全风险进行监测。

2）完成外部威胁信息收集，整合形成水利网络安全威胁情报信息，指导行业实施防御。水利部在中央网信办、公安部、工信部等国家网络安全主管部门的指导下，结合网络安全支撑单位提供的网络安全威胁情报，整合形成水利网络安全威胁情报信息，实现对各类网络安全攻击行为，特别是对大规模、有针对性、有组织的安全攻击行为进行事前预警。例如 2017年的 WannaCrypt 勒索蠕虫病毒攻击应对工作，就是在国家相关部门指导下，水利部迅速形成详细的水利行业防范处置方案，指导水利行业进行防御，有效阻断了病毒在水利信息网中的传播，最大限度地减轻了危害。

3）开展水利部互联网服务安全风险监测。针对水利行业重点门户网站和面向互联网服务的重要业务系统实施专项安全监测，主要监测系统是否存在漏洞、篡改、挂马和暗链等情况。水利部负责对水利部机关及流域机构/省级水行政主管部门的重要互联网系统进行安全监测；各流域机构/省级水行政主管部门负责对本单位及下属单位的互联网系统进行安全监测。

4）加强水利信息网内部风险监测。通过水利信息安全管理平台，收集服务器、应用系统、数据库、应用中间件、网络设备等软硬件日志，采集防火墙、入侵检测、Web 应用防火墙、漏洞扫描、上网行为管理等网络安全设备的告警信息，实时监测水利信息网全网安全状况，实现水利行业海量安全事件的汇总、过滤、收集和关联分析，从全局角度进行安全风险分析，形成统一的安全决策，并对安全事件进行响应和处理，发挥行业整体安全效益。平台分为部、省两级节点，采用内部级联，部级平台可以完成水利行业安全风险统一管理和数据汇总。水利信息安全管理平台框架如图1 所示。

图1 水利信息安全管理平台框架

平台基于 J2EE 架构，通过采集层、应用功能层、展示层，实现被保护对象的安全风险闭环管理。平台主要包含资产管理、业务管理、性能监控、事件管理、弱点管理、风险管理、态势分析及预警管理等功能模块，设计通过漏洞扫描、配置安全核查等主动化的弱点管理，主动获悉资产和业务的脆弱性，预防攻击与违规事件的发生；通过预警信息，分析可能受影响的资产，提前了解业务系统可能遭受的攻击和潜在的安全隐患，达到提前防御的目的；通过智能事件关联分析引擎，对资产、弱点、拓扑等情境，从周期性行为、逻辑与统计关系等方面进行关联分析，识别安全威胁[2]。

3 建立水利网络安全预警机制

水利网络安全预警机制主要包括建立水利网络安全信息通报机制和通过水利信息安全管理平台实现自动预警。

3.1 通过水利信息安全管理平台预警

水利信息安全管理平台是行业内网络安全预警展示的重要载体，平台主要通过展示层实现预警信息可视化，达到主动防御的目的。水利信息安全管理平台预警功能示意图如图2 所示。

图2 水利信息安全管理平台预警功能示意图

水利信息安全管理平台通过发布外部安全通知和攻击、漏洞、病毒及内部安全事件等早期预警信息，分析可能受影响的资产，提前让水利部网络安全各级管理人员了解业务系统可能遭受的攻击和潜在的安全风险[2]。

3.2 建立水利部网络安全信息通报机制

这是水利行业网络安全建设的重要组成部分，是行业内网络安全上下联动的重要手段，是实现主动防御、综合防护的主要途径之一。2013年，水利部加入国家信息安全信息通报机制，成为机制成员单位，并在行业内建立网络安全信息通报机制。明确水利部网络安全与信息化领导小组办公室（以下简称部网信办）为水利部网络安全信息通报机制主管部门，各流域机构/省级水行政主管部门及其他部直属单位为机制成员单位。要求各单位网络安全分管领导负责信息通报机制工作，指定一名网络安全工作职能部门领导为联络员。各流域机构/省级水行政主管部门负责组建本流域/省网络安全信息通报机制，将通报机制延伸到下级单位。

1）通报内容。a. 水利关键信息基础设施、基础信息网络、重要业务系统、单位网站、大中型水利工程控制系统的网络安全状况；b. 网络攻击、病毒传播、系统漏洞情况；c. 网络安全保障体系建设和工作开展情况；d. 信息通报机制建设和工作开展情况；e. 网络安全突发事件或事故及其处置情况；f. 重大活动和重要敏感时期网络安全情况。

2）通报要求。a. 通报内容的前四项以季报形式，在季度末报送部网信办；b. 通报内容的 e 项要在事发后及时通过电话或传真，将事件或事故简要情况通报部网信办。并在事件处置结束后，将详情通报部网信办；c. 通报内容的f项以及其它专项工作按照规定报送；d.年末报送全年网络安全工作总结；e.在接到部网信办网络安全事件和隐患漏洞通报后，应及时处置、消除隐患并上报整改情况。

3）通报方式。包含涉密或敏感内容的信息通报必须经机要交换，其他通过普通公函、水利信息安全管理平台、电子邮件或工作微信群通报[3]。

4）通报成果。通报机制建立以来，水利部向相关单位发函通报安全隐患 90 多次，通过水利信息安全管理平台发布网络安全情况等报告 200 多份，通过电子邮件收集多种信息，通过工作微信群进行过多次时效强、频次高的双向通报。2017年的WannaCrypt 勒索蠕虫病毒爆发于周末，水利部最开始就是利用工作微信群即时组织部署防范工作，然后通过水利信息安全管理平台下发紧急通知及工具软件，加大防范力度。通过多种通报方式的综合运用，构成了一个全方位、立体的通报机制，极大地缩短了安全事件快速响应时间，提高了处置效率，实现了成果最大化。

4 展望

传统的基于规则的网络安全监测预警技术进入发展的瓶颈，自从习总书记 419 讲话中提出“全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”后，随着《中华人民共和国网络安全法》《“十三五”国家信息化规划》的相继出台，推动了“网络安全态势感知”技术快速发展[4]，这是一种基于算法和模型进行威胁分析和风险研判的技术，其利用大数据等新技术，挖掘与分析可能面临的网络安全风险或正在发生的网络安全事件，预判未来可能产生的安全事件的威胁风险，及时向有关单位发出预警，以便相关单位及时采取应对措施。“网络安全态势感知”可以说在网络安全监测预警方面体现出巨大的价值，换句话说，网络安全监测预警的未来是态势感知。

水利信息安全管理平台在构建之初就引入了“网络安全态势感知”的理念，其设计思想是以水利业务建模、健康指数等为核心，采取脆弱性管控、预警管理、主动运维等内部主动安全管理机制，通过智能化关联、智能流安全和智能化态势等分析，实现主动化、智能化的网络安全管理[5]，如图3 所示。

图3 水利信息安全管理平台设计理念

随着“网络安全态势感知”技术日趋成熟，结合即将构建的国家网络安全态势感知平台，以水利信息安全管理平台为基础，形成具有水利特点的水利网络安全态势感知平台，必将使水利网络安全监测预警得到长足发展。

5 结语

多年来，网络安全监测与预警已成为水利网络安全工作的重要一环，是保障水利网络安全、防范风险的主要手段。随着《中华人民共和国网络安全法》的实施，为适应国家在网络安全监测预警方面的新要求，水利网络安全监测与预警工作也迎来了发展的新契机，特别是网络安全态势感知的广泛应用，必将在水利网络安全工作中发挥更为重要的作用。

[1] 新浪.“永恒之蓝”14日最新态势：教育科研成重灾区[EB/OL].[2017-05-20]. http://tech.sina.com.cn/roll/2017-05-14/doc-ifyfecvz1280637. shtml.

[2] 国家防汛抗旱指挥系统工程项目建设办公室. 国家防汛抗旱指挥系统二期工程计算机网络与安全系统安全管理平台建设项目详细设计说明书 [R]. 北京：国家防汛抗旱指挥系统工程项目建设办公室，2016: 3-8.

[3] 水利部网络安全与信息化领导小组办公室. 关于进一步加强水利行业网络安全信息通报机制工作的通知[R]. 北京：水利部网络安全与信息化领导小组办公室，2016: 1-2.

[4] 王慧强，赖积保，朱亮，等. 网络态势感知系统研究综述[J]. 计算机科学，2006，33 （10）: 5-10.

[5] 朱晓莉. 信息网络安全监测预警机制研究 [J]. 信息网络安全，2013 （10）: 136-137.

Water conservancy cybersecurity monitoring and early warning methods

CHEN Lan, ZHOU Weixu

（Water Resources Information Center, the Ministry of Water Resource, Beijing 100053, China）

This paper points out the main security threat facing by the water conservancy cyber, introduces the security monitoring methods of water conservancy cyber, expounds the cybersecurity early warning mechanism of water conservancy, clears the importance of cybersecurity monitoring and early warning in the water conservancy porecasts application prospect of situation awareness technology in cyber security monitoring and early warning of water conservancy．

water conservancy; cybersecurity; informationize; monitoring; early warning; information notification

TV21；TP393.08

A

1674-9405（2017）03-0029-04

2017-05-16

陈 岚（1968-），女，福建永定人，教授级高工，主要研究方向：网络安全。

10.19364/j.1674-9405.2017.03.007