浅谈新形势下重要时期地质环境网络安全保障工作的开展

殷铭 张鸣之 杨淑云 任晓霞 杨飞

摘  要：新形势下，网络空间安全威胁多样化、复杂化，地质环境领域网络安全工作面临新的挑战。本文阐述了重要时期面对攻击流量爆发式的增长，如何保障基础网络环境、关键业务系统、对外服务窗口安全稳定运行的方法和网络安全防控措施流程，及在重要会议期间地质环境领域网络安全保障的工作实践，以期能对相关领域网络安全工作提供参考。

关键词：重要时期;地质环境;防控措施;安全保障

中图分类号：P628      文献标识码：A     文章编号：1007-1903（2019）02-0001-05

Abstract： It is diversity and complexity in cyberspace security threats， and the network security in the geological environment is facing new challenges under the new situation. Faced with the explosive growth of attack traffic in important periods， this paper describes how to guarantee the basic network environment， key business systems， safe and stable operation of external service windows， network security control measures， and the practice of network security assurance in the terms of geological and environmental fields during some important meetings. It can provide reference for network security in related fields.

Keywords： Important period; Geological environment; Prevention and control measures; Security guarantee

0 前言

近年来在中央网络安全和信息化领导小组的领导下，我国制定实施《中华人民共和国网络安全法》、重拳整治网络空间乱象、坚持依法管网与综合治理并举（黄庭满，2017）。在国家的高度重视和各单位严格落实、共同努力下，我国网络安全形势呈明显好转趋势。当前网络空间依然存在着四大安全威胁：网络恐怖袭击、网络经济犯罪、网络舆论乱局和网络军备竞赛，网络空间愈来愈成为一个新的角力战场（跨界联动打造网络空间安全学术社区，2017）。随着信息技术的发展、虚拟世界的拓展、网络漏洞的累积及经济模式的创新，也给新形势下网络空间的犯罪带来新的特点。特别是在各类行业盛会、党政会议、全球峰会、维稳等重要时间窗口，尤其在政治类活动期间，境内外敌对势力利用信息化手段进行渗透和破坏（邓少君，2016），严重危害了国家安全和社会稳定。

地质环境专网服务于地质灾害、地下水、矿山地质环境、地面沉降、地质遗迹等地质环境领域，为各业务系统建立专用通道，提供安全稳定的数据采集、传输、发布服务。地质环境专网传输的是地质环境领域专业数据，涉及相关单位利益，不影响国家安全，因此其安全保护等级定为二级。自地质环境信息化工作开展至今，已建成数量众多的业务信息系统（中國地质环境监测院，2012），随着地质环境领域信息安全等级保护工作的开展，及信息系统上线安全检测工作的稳步推进，已经形成了相对完善的信息安全保护体系，能够基本保障日常地质环境业务系统安全、稳定、高效地运行（中国地质环境监测院，2014），持续为专业用户及普通大众提供专业、权威的地质调查与公共公益服务。

新形势下，尤其是在重要时期，针对地质环境领域业务系统网络犯罪行为也呈现剧增的特征，网络攻击的类型、现象以及危害如表1：

重要时期面对频次更高、强度更大的网络攻击，如何做好网络安全保障工作、维护网络空间和平，做好地质环境业务网的网络安全防范，保障地质环境领域业务系统的安全运行、业务服务的连续稳定，已经成为网络安全工作的重中之重和地质环境信息化工作的新课题。

1 重要时期网络安全防控措施与工作流程

1.1 地质环境安全能力建设

地质环境信息安全体系建设，经历了几个阶段的更迭。最初的信息安全保障体系建设是基于IATF信息安全保障技术框架，将防御体系分为策略、组织、技术和操作4个要素，强调在安全体系中进行多层保护（图1），强调的是安全防护与对抗能力、安全运行能力、响应与恢复能力和持续改进的能力的建设。

随着地质环境信息化的进展，信息安全体系建设的重点，也从“防范”为主转向“检测和响应”为主的安全能力构建上来。依据业务系统生命周期理论，安全能力的建设在规划、建设、运维和合规四个维度进行不断的完善，核心就是确保业务系统安全。

地质环境信息安全能力建设归纳为四句话，全面感知是基础，异常行为是线索，分析能力是关键，响应处置是根本。

1.2 重要期间安全防控工作思路

重要时期网络安全工作的特点，是对地质环境安全能力成熟度的评价及安全能力的实战检验。针对此次重要时期的安全保障任务，我们从以往单纯强调防护的思路转变到注重预警、检测、响应的格局，安全能力从“防范”为主转向“快速检测和响应能力”的构建。重点部署和配置以下的安全能力，资产管理能力安全评估能力、安全检测能力、安全监控能力、安全防御能力、安全管理能力、安全运维能力、安全运营能力和安全取证/溯源能力。

重要时期的网络安全保障工作的思路是，开展网络安全的自检自查，进行安全隐患和漏洞的修复，因客观条件短时间内无法进行整改的情况下的实施风险转移措施，加强实时监控，对存在高危风险的非关键业务系统进行临时关机。

重要时期网络安全防控工作流程如下：

（1）信息网络资产基础数据梳理

首先在管理层面组建安全保障团队，制定安全保障承诺书，并进行安全保障任务的宣贯。其次在技术层面，全面梳理暴露在互联网上的信息资产和业务系统，以等级保护相关技术标准及信息系统上线检测、网络安全基线等标准、规范和管理规定为依据，有效地开展网络安全自检自查工作，对目标系统进行针对性的漏洞隐患、安全配置、弱口令配置等安全测试，经分项测试、汇总分析后得出信息系统的总体安全态势状况，作为技术修复和安全加固的数据基础。

（2）研究确定重要时期网络安全保障工作的防护思路和方向

为了防止因安全事故为地质环境领域带来的不良社会影响，结合以往重要时期安全保障经验及最新网络攻击技术手段，确定重要时期网络安全保障工作的防护思路是：全面防控和分时段重点控制相结合。重点防护的方向是数据泄露（SQL注入）、远程控制（远程代码执行）等攻击入侵手段。

（3）关键信息系统的重点加固、优化和运行保障

根据信息网络资产的重要程度和保障要求，选择性地采用安全加固和修复、禁用互联网出口、关闭信息网络系统等不同的处理方法，实现信息网络系统稳定性、安全性的可控。

地质环境领域信息系统上线检测及网络安全基线等管理规定，包含网络、主机、应用三个层面的技术要求，包含漏洞自查、安全配置自查、弱口令自查、代码审计自查、安全加固自查等方面，检查手段包括工具扫描、渗透测试及手工复核（殷铭等，2017）。安全加固和修复就是对运行环境中信息网络系统与安全基线之间的差距进行安全增强，最终达到消除或减少信息网络系统运行过程中面临的潜在威胁、提高信息系统服务能力的目的;对存在安全隐患且短时间无法进行安全加固和修复的信息网络系统，采取临时关闭互联网出口的措施，可以有效防止这些安全隐患和漏洞被恶意利用而导致安全风险在内部网络环境中扩散的情况;对那些存在重大、高危风险的信息网络系统，采取临时关闭信息网络系统的措施，确保在重要时期这些漏洞不被恶意利用而最终导致信息泄露、远程控制等安全事件的发生。

（4）加强信息系统运行状态的监控，做好预警预防工作

重要时期地质环境网络安全保障工作需要做好监控，包括网站安全监测、DNS域名监测、DDOS攻击监测、网络流量监控、网络入侵监测、系统脉搏监测等（缪丽华，2015），通过分时段进行信息网络系统安全入侵事件分析，整体掌握网络安全的综合态势和安全趋势。通过分析互联网出口处的安全设备采集的入侵日志信息，了解每日遭受攻击的次数、攻击手段、攻击来源、攻击来源归属地、攻击目标IP和端口信息，及时把握整体安全态势，合理安排后续网络安全的工作内容，查漏补缺，确保重要时期关键信息网络系统的运行安全。

加强现场值守工作，合理规划安排网络安全保障人员，各司其职，针对各种网络安全事件实现应急响应，确保第一时间隔离网络安全事件、预防网络安全事件的扩大化，并保護事件现场，为网络安全事件的跟踪溯源创造条件。

（5）持续完善安全保障体系，提升安全保障能力

根据重要时期的网络安全保障实战情况，归纳、分析出现的安全事件，总结经验教训。针对重要时期安全保障的不足之处，持续更新管理制度、应急响应流程及安全技术防护体系，不断提高安全保障的能力和质量。

2 重要会议期间网络安全保障工作实践

为了以安全稳定的地质环境网络空间环境保障重要会议的召开，按照相关部门的要求，网络安全保障人员积极完善和落实重要会议期间安全保障任务的各项安全防范措施，网络安全风险得到有效降低，为重要时期关键网络系统安全、稳定的运行打下了良好的基础。

2.1 重要会议期间网络攻击特点分析

收集、整理了历年针对地质环境领域服务器的网络攻击频率，简单总结其规律如下：

（1）针对信息系统的攻击频率逐年上升。

（2）重要时期攻击流量与日常攻击流量对比，呈现出典型的重要时期攻击流量分布特点，即随时间窗口的临近攻击流量爆发式地增长，略有回落后维持高位的攻击流量。重要会议期间，地质环境领域的信息系统共遭受912487次攻击，其中网络攻击566998次，应用攻击345489次（图2）。

（3）重要时期的攻击源分布更为广泛，针对地质环境领域的网络攻击源归属地共来自59个境外国家和地区，其中包括美国、德国、荷兰等13个非常活跃的国家和地区，英国、越南、巴西等12个较活跃的国家，西班牙、丹麦、罗马尼亚、巴基斯坦、南非等22个活跃的国家，及比利时、奥地利、澳大利亚等12个一般活跃的国家（图3）。

（4）从攻击类型分析，会议前期主要集中在http方法过滤攻击等针对Web系统应用漏洞的攻击手段，及口令暴力破解等攻击踩点行为;采取一定的网络安全保障措施后，因可被攻击的网络系统减少及网络系统自身安全性有所提高，网络攻击类型集中在DDOS等破坏系统服务能力的攻击手段（图4）。

2.2 重要会议期间网络安全防控效果分析

安全管理和技术防控措施的部署实施，可以有效地保障基础网络环境、关键业务系统和对外服务窗口系统的安全稳定，有效地抑制网络攻击频次，大幅度降低网络安全风险，实现在重要时期的系统安全稳定运行及业务服务的连续性。

2017年9月—10月初针对地质环境领域的攻击次数稳定在每天35000次左右，10月13日—10月17日，攻击次数急剧上升，最高达到每天75000次。积极采取防控措施后网络攻击稳定在每天6000～10000次（图5）。

3 结论

新形势下，地质环境领域网络安全工作面临新的挑战，重要时期面对攻击流量爆发式地增长，为保障基础网络环境、关键业务系统、对外服务窗口的运行稳定和服务的连续性，采取全面防控和分时段重点控制相结合的思路，全面梳理现有信息资产的工作状态和安全现状，研究确定重要时期安全保障工作的防护手段和方法，进行关键信息系统的重点加固、优化和运行保障，落实安全隐患、安全事件预防措施和后续处理手段，加强信息系统运行状态的监控，做好预警预防工作，可以有效地降低重要时期的网络安全风险，为重要时期地质环境领域关键网络系统的安全、稳定地运行打下了良好的基础。

参考文献

邓少君，2016. 风险社会视域下基层矛盾治理研究[D]. 武汉大学.

黄庭满，2017. 习近平网络空间治理新理念新思想新战略研论（下）[J]. 汕头大学学报（人文社会科学版），33（1）： 10-22+7.

跨界联动打造网络空间安全学术社区，2017. InForSec2016年年会在清华大学举办[J]. 中国教育网络 （S1）： 40-41.

缪丽华，2015. 互联网背景辐射流量的测量与研究[D]. 东南大学.

殷铭，武建飞，屠陈子煜，等，2017. 地质环境信息系统上线安全检测工作实践[J]. 国土资源信息化，（2）： 40-44.

中国地质环境监测院，2012. 全国地质环境信息化总体设计[R]. 北京： 2-3.

中国地质环境监测院，2014. 国家级地质环境信息平台安全防护体系整改（附件4）[R]. 北京： 31-32.