广播电视网络安全态势感知预警平台技术研究

张 东，李 韬

(河南省广播电视安全播出调度指挥中心，河南 郑州 450002)

0 引言

为贯彻落实党中央、国家广电总局关于网络安全管理的有关要求，河南省建设了广播电视网络安全态势感知预警平台项目。该项目采集信息系统交换设备网络流量，结合网络安全威胁情报，感知网络安全风险态势，预警高危安全事件，全面掌控信息系统网络安全状况。该项目的建成与投入使用，在广电行业网络化、融媒化的今天，是一项里程碑式的探索。

1 系统建设背景

为贯彻国家《网络安全法》及相关法律法规，依据国家广电总局网络安全管理办法和网络安全事件应急预案的有关要求，河南省广播电视安全播出调度指挥中心建设了省广播电视网络安全态势感知预警平台。该平台由1个核心域和多个探测域组成，探测域设置在广播电视监测监管系统、政府网站和门户网站等，部署探针设备，实时采集探测域核心交换设备出入流量数据，并将流量数据传送至核心域；实时分析网络安全设备日志，将探知的异常信息传送至核心域。在核心域部署储存分析设备、网络设备、安全设备和等保工具箱等，收集、分析从探测域采集的数据流量和安全日志，结合从国家信息安全权威机构、信息安全厂商获取到的威胁情报，从时间、空间等不同维度，分析感知网络中存在的有害程序、网络攻击、信息破坏等网络安全风险态势，对可能出现的高危网络安全事件进行通报预警，从而实时掌握信息系统网络安全态势和外部网络安全威胁，实现对重要信息系统网络安全保障工作进行监督管理的目标[1]。

该平台设计架构逻辑严谨、层次间支撑性强、业务功能丰富且实用性高，充分应用大数据、云计算等一系列新技术，开展数据储存、挖掘以及网站监测、漏扫等工作，为全国广电行业开展网络安全态势感知预警平台建设树立了标杆。对平台技术特点进行研究，深入解析态势感知技术，将有效促进态势感知技术在行业中的应用、发展和深化，进一步推动广电行业的发展。

2 系统技术特点

2.1 先进的平台架构

该平台架构设计先进、逻辑严谨，包括采集层、存储层、分析层、呈现层共4层。采集层利用部署在探测域的探针，将采集到的原始流量数据和网络安全设备日志上传至存储层。存储层支持日志数据、资产数据、情报数据、策略数据等多元数据的存储，建立索引进行快速检索查询，并且对数据进行备份。分析层利用大数据分析技术对存储层中的数据进行分析，通过数据预处理、实时计算、数据挖掘等技术，实现日志归并、事件提取、风险评估、预警分析，为呈现层提供数据支撑。呈现层将分析层推送来的数据进行可视化展示，包括综合分析、风险态势和资产态势、数据分析和系统管理等的呈现。

2.2 丰富的业务功能

该平台业务功能涵盖面广、实用性高，包括综合分析、风险安全预警、资产安全预警、系统管理4类业务功能。综合分析功能能够将各类安全事件进行综合分析，呈现整体安全评分、攻击链分析、攻击地图展示等。安全风险预警功能包含网络入侵、异常流量、僵木蠕传播、网站安全、系统漏洞等安全态势感知预警能力，支持对上述各类风险开展动态监控、查询分析和统计报告。资产安全预警功能从资产角度开展安全态势感知预警，包括资产角度的综合概览、安全事件分析、风险评分等。系统管理功能包括资产登记管理、流量与事件查询、用户管理与监控配置等。

2.3 利用大数据技术进行数据储存分析

该平台利用海量数据储存、数据分析、机器学习等大数据技术，对数据进行存储和分析，有效提升了数据存储和分析的效能。海量数据储存技术支持结构化日志数据和TXT、图片等非结构化日志数据的存储，通过索引实现数据快速查询，利用分布式存储技术实现数据的高速存储处理。数据分析技术采用大数据专用的快速计算引擎，利用回归分析、关联规则、预测模型等方法，从不同角度对海量数据进行挖掘，分析计算出有价值的数据。机器学习技术内置多种安全应用场景，在应用场景中通过机器自我演练学习，持续丰富安全事件样本库，提高安全事件匹配准确率。

2.4 外部威胁情报的获取使用

该平台与国家网络安全权威机构和国际网络安全权威情报商进行数据对接，定时获取最新外部威胁情报，运用不同技术手段，分析利用不同类型的威胁情报，用以全面感知信息系统面临的网络安全风险。外部威胁情报的使用方法如下：(1)IP地址情报。该平台将访问探测域的用户IP与外部威胁情报库提供的恶意IP进行比对，从而感知探测域面临的恶意IP网络攻击风险态势。(2)域名情报。该平台将资产经常访问的域名与外部威胁情报库提供的恶意域名进行比对，从而感知核心域面临僵木蠕感染的风险态势。(3)主机特征情报。该平台将访问探测域的用户浏览器User-Agent、登录账户名及访问频率的主机特征与外部威胁情报库提供的恶意主机特征进行比对，从而感知探测域面临的恶意主机信息破坏风险态势。(4)攻击工具情报。该平台将探测域安全设备日志信息与外部威胁情报库提供的攻击工具信息进行比对分析，从而感知探测域可能遭受的网络攻击类型。

2.5 网站云安全服务

由于计划探测的政府网站已迁至云平台，本地服务器、安全设备和路由交换设备也随之撤销，无法在网站部署探针获取流量数据和安全日志，因此我们采用网络安全公司提供的云安全服务，对网站进行周期性监测和漏洞扫描，发现问题及时发出预警信息，从而实现对网站安全态势的感知预警[2]。云监测和云漏扫具体功能如下。

2.5.1 云监测

云监测包括可用性监测、DNS劫持监测、篡改监测和暗链监测等功能。可用性监测功能通过部署在全国的监测点向网站发起请求，根据网站是否响应及响应时间，判断网站的可用状态。DNS劫持功能监测周期性地向DNS发送域名解析请求，对响应结果进行集中汇总和分析匹配，从而快速、准确地发现域名劫持行为。篡改监测功能周期性地对网站进行页面抓取，进行图片、敏感词信息对比验证，分析变更的页面是否含有(涉黄、涉政、涉暴等)篡改信息。暗链监测功能周期性地对网站主动探测，及时发现规则异常的链接并对恶意网址进行分析。

2.5.2 云漏扫

云漏扫支持多种类型的安全漏洞检测，包括命令、代码执行类型的安全漏洞以及信息泄露、拒绝服务等逻辑攻击类型的安全漏洞。

2.6 信息安全等保测评

该平台包含测评表单模块，并配有等保工具箱，其可辅助开展信息安全等级的保护测评工作。

2.6.1 等保工具箱

等保工具箱主要包括Windows主机配置检查工具、Linux主机配置检查工具、网络及安全设备配置检查工具、病毒检查工具、木马检查工具、网站恶意代码检查工具、弱口令检查工具、数据库安全检查工具、网站安全检查工具、系统漏洞检查工具等，通过使用等保工具箱来检查信息系统安全漏洞及配置是否满足等级保护的相关要求，并且可导出测评报告。

2.6.2 测评表单模块

可将等保工具箱中导出的测评报告导入该平台的测评表单模块，在平台上统一查看被测评信息系统的测评情况，测评项目包含物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理共10项[3]。

网络安全态势感知预警平台的建成与投入使用，一是加强了政府网站的安全防护，保障相关行政审批备案工作正常运转；二是提升了广播电视监测监管系统的安全防范能力，保障广播电视网络视听安全播出和网络安全，为河南省意识形态和宣传舆论工作保驾护航；三是加固了门户网站网络安全屏障，保障大型综合类门户网站更好地服务人民群众的日常生活。

随着河南省广电行业的深度变革，以及融媒体中心建设工作的逐渐推进，广电行业将进一步网络化、智能化，随之而来的网络安全问题更加凸出。下一步，将深入调研全省广电行业重要网络与信息系统网络的安全现状与防护措施，与信息系统单位开展广泛的技术研讨，计划将平台覆盖范围向广电行业其他省级重点信息系统以及地市级重要信息系统延伸，充分发挥平台技术优势，逐步为全省广电行业重要信息系统提供网络安全态势感知预警服务。

3 结语

网络技术在不断发展，网络安全环境也在发生着深刻的变化。在网络化、智能化、AI化以及5G技术不断发展的今天，广电行业既要积极创新，有所作为，还要做好关键信息基础设施的建设和网络安全的保障工作。广电行业监管部门要积极运用态势感知技术，加强网络安全的监测监管，促进广电行业信息系统的网络安全，保障广电行业平稳、有序、健康地发展。