市县融媒体中心等保智能安全监管平台的建设

李欣 宋宇 贾维

【摘要】本文主要介绍了如何通过建立一个市级统一的等级保护安全设备管理中心，来对本地各区县级融媒体中心的等保安全设备进行综合管理、对网络安全态势统一监控。通过统一的安全管理中心系统对县级融媒体中心安全设备告警信息的统一采集分析管理，并对各类事件及监控信息形成针对性的告警。

一.背景

随着“县级融媒体中心”建设的开展，越来越多的区县都着手搭建融媒体平台。针对县级融媒体建设，国家也出台了不少指导政策、规范。在《县级融媒体中心监测监管规范》（适用于县级融媒体中心的自我监测，监测监管机构对辖区内县级融媒体中心的监管。）中除了对直播过程、综合服务、发布内容和网络安全进行自我监测做出一定的规范，还需要对网络安全信息进行采集并上传，形成辖区内县级融媒体中心安全分析结果数据，供业务管理功能使用。

县级融媒体中心建设再结合《县级融媒体中心网络安全规范》，需要配置的安全设备就包括了防火墙、入侵检测、漏洞扫描、网络行为审计、防病毒网关等。基本涵盖了边界网络安全、内部威胁检测、漏洞管理、安全审计的网络安全运行各层面的基本要求。随着网络安全信息化建设的不断深入，势必还要增加新的安全设备或安全子系统，与越来越多的安全设备相对应的是，缺少统一的监控、管理系统，如此多的安全信息系统彼此独立数据信息互无关联，分散的管理应用不但给县级融媒体中心的管理人员带来更大的管理负担，而且造成监控管理效率低下，不能联合发挥安全保障作用。针对这样的现状，希望建立一个统一的安全设备监管中心，能够对各县融媒体中心的安全设备进行综合管理、对网络安全态势统一监控，统一的安全监管中心平台将实现对网络资产的集中管理、安全设备统告警信息统一采集分析管理、综合各类事件及监控信息形成针对性的告警。

二.项目关键

1.治理异构安全数据

参考国内外异构安全数据治理的建设方案和技术，实现复杂多源异构网络安全数据的治理要求。通过建立安全大数据中心，采用多样的、异构的安全资产的数据采集，实现可适配数据源的方式对各类安全设备、系统数据进行采集、清洗、标准化、存储。为了对各种异构厂家的安全设备进行监控，需要其他厂家提供相关日志的说明进行分析总结。

对各区县融媒体中心内所有网络安全行为和轨迹进行持续监控和记录，并可以追溯到源头，弥补传统审计手段的不足。同时，一旦发生网络安全事件，可以对事件进行追踪、溯源、取证，还原事件发生过程，了解事件严重程度和影响范围，做出正确有力的响应，并采取防御措施。

2.集中管控安全要素

实现对区县融媒体中心内外部的安全要素的体系化、集中化管理能力。安全要素主要包括内部安全要素、外部安全要素及威胁情报等。其中内部要素包括：资产信息、网络拓扑、安全配置、安全漏洞；外部要素包括：安全攻击、恶意扫描、拒绝服务、异常流量等；情报要素包括：战略安全情报、战术安全威胁情报、通告和预警等。通过建立体系化的管理方式，方便运维人员对安全要素集中管理，提升融媒体中心的网络安全自主可控能力。

3.支撑安全决策制定

智能安全监管平台能够为各区县融媒体中心的安全管理員、安全决策人员提供简单、实用、高效的安全数据平台，内置重点安全分析场景，重点发现高级别安全攻击、持续型攻击、顽固安全问题，采用大数据技术在更大量数据、更全面、更透彻的方式分析安全威胁，综合提升应对高级安全威胁、隐蔽安全事件的能力。

建设安全态势要素的输出和整体安全态势可视化感知能力，实现预警通知效果，并对其范围、类型、危害以图形化展示，为安全分析人员提供直观、强大、清晰的安全威胁预警能力，以及重大问题、事件的整体性报告，为安全管理员，安全决策人员提供可靠的数据支撑。

4.安全运维智能化

针对发现的高级威胁事件，可提供对应的安全响应的处置策略和任务，协同各区县融媒体中心的安全产品对于威胁事件进行终止、隔离、取证等安全手段，快速终止威胁的持续，构建一体化联动防护能力。减轻安全运维人员的工作负担，提升安全运维效率。

三.平台架构

智能安全监管平台主要负责监控、分析和管理县级融媒体中心信息系统的整体安全态势，并为整个信息系统的安全运行提供决策服务。

需要通过采用多种技术、手段，收集和整合各类安全事件，并运用实时关联分析技术、智能推理技术和风险管理技术，实现对安全事件的深度分析，能快速做出智能响应，实现对安全风险的统一监控分析和预警处理。

作为统一智能安全监管的技术支撑平台，需要结合安全服务的最佳实践，以安全对象管理为基础，以风险管理为核心，以事件管理为主线，通过深度数据挖掘、事件关联等技术，辅以有效的网络管理与监视，安全报警响应，工单处理等功能，对信息系统内部各类安全事件进行集中管理和智能分析，最终实现对融媒体中心安全风险态势的统一监控分析和预警处理。

智能安全监管平台由四层构成，具体参见下图：

1.安全对象层：安全管理系统统一监控、管理的对象，包括防火墙、入侵检测、入侵防御、防病毒网关、漏洞扫描、网络行为审计等设备。安全管理系统是这些设备的上层管理同台，同时这些设备也是安全关系系统实现统一安全监控、管理的具体手段和数据来源。

2.数据采集层：该层采集被监控对象层的数据，并将该数据上传到核心处理层。事件在数据采集层进行过滤、标准化和归并。

3.核心处理层（数据管理层）：在安全管理系统中核心处理层实现对安全数据的高层次深加工处理并负责用户相关功能的核心业务逻辑。核心层主要完成的任务包括：运行监测、业务管理、安全分析、策略管理、风险管理、脆弱性管理、事件管理、仪表管理、关联分析、安全对象管理、报表管理、用户管理、系统维护。

4.集中展示层（数据呈现层）：集中展示层主要负责完成与用户之间的交互，达到安全预警和事件监控、安全运行监控、协同工作处理、安全知识培训、综合分析的统一展示，是综合安管平台与各类安全管理人员交互的窗口。

四.平台功能设计

智能安全监管平台具体可以分为三大组件：中心监控服务器、代理服务器和数据库服务器。代理服务器负责在县级融媒体中心的业务网络中采集全网安全事件，预处理（对原始安全事件进行收集、过滤、归并等操作）后发送给服务器；中心监控服务器负责对预处理后的安全事件进行集中分析、响应、可视化输出；数据库服务器则负责集中存储预处理后的安全事件。

1.网络管理

智能安全监管平台能够通过互联网或专网实现对各区县融媒体中心网络中的安全设备进行综合管理与监控。能够对整个监控网络中的区县节点进行拓扑管理；设置各区县的告警门限，管理网络告警和事件，以及监测周期设置，链路流量、颜色设置等；以及包括根据设备物理位置构建的物理视图和根据网络结构构建的网络视图管理等。

2.监管平台展示首页动态配置

智能安全监管平台提供了首页动态配置功能，不同的角色可以配置不同的首页来展示不同的主题。首页中的每个主题都可以动态配置样式和异步刷新时间，每个主题都具有拖拽，最大化，最小化，还原功能。系统操作员的首页包含以下主题：全局风险趋势、安全域风险趋势、风险安全对象Top10、事件相关监控、系统性能监控等。

3.脆弱性管理

智能安全监管平台可以对各区县融媒体平台中的相应安全设备进行脆弱性监视，方便用户随时掌握各安全对象的名称、IP、机密性、可用性、完整性及脆弱性等参数信息。

具有第三方漏洞扫描服务的管理接口，以便对相应安全对象进行脆弱性收集。管理员可以将第三方的漏洞扫描报告导入智能安全监管平台，从而由平台进行解析处理，最后得出相应安全对象的脆弱度。

4.资源监控管理

智能安全监管平台支持对网络设备、服务器操作系统、数据库等IT基础设施及虚拟化的监控管理，同时从点到面集中7×24小时的管理整个IT系统，并且监控管理具备很强的可扩展能力，方便进行功能扩展和规模扩展；系统的易用性强，方便管理人员进行日常运维工作，有效减轻运维压力。监控管理提供对IT环境的性能监控及分析、故障监控、故障分析及定位、网络配置文件、资源巡检的管理。

管理的主机性能数据包括CPU利用率、磁盘容量、系统内存（物理使用内存及缓存）使用情况、磁盘利用率、文件系统、关键进程、软硬件资源信息等，针对服务器相关的性能指标能够按照实际情况设定不同级别的性能阈值。

5.事件管理

智能安全监管平台通过多种方式采集各区县融媒体中心业务网络中各类安全事件，对采集到的事件执行标准化、过滤、归并等事件处理过程，并根据预先定义的分类规则对事件进行归纳分类，同时存储到事件数据库中进行数据保护。

支持主要的日志收集方式包括：syslog、snmp trap、文件、数据库。系统提供了安全事件的实时监控功能，全面地监视在线网络设备和主机发生的各种事件，帮助用户实时了解网络安全设备的安全环境、响应事件等的使用状况。

6.安全预警

智能安全监管平台提供了安全预警功能，根据来自预警信息分析获得对可能发生的威胁的提前通告，安全预警是一种有效预防措施，和安全对象、风险管理等功能紧密联系在一起。

安全预警分为预备预警和正式预警，预备预警审核后变成正式预警，并可以发布。预警信息除了在平台界面上进行显示以提醒相关人员外，还可以选择邮件、短信等方式来通知相关人员。预警信息经安全管理员甄别后，由系统自动地与安全对象库关联，列出相应受影响的安全对象以及影响的严重程度，并自动通知相应的安全对象责任人。

7.用户管理

智能安全监管平台是一个多用户系统平台，查看或者处理用户本身权限范围内可浏览到的信息。在用户管理方式上采用基于角色的用戶认证和管理模式，一个角色可以被分配多种资源权限，用户与资源权限之间是通过角色来联系的。系统支持对系统管理员、系统操作员以及审计员三种不同角色的定义和分配，也支持细粒度的资源权限划分，能够灵活控制不同角色对不同资源的访问权限。 同时支持自定义用户密码策略。

8.特征库管理

智能安全监管平台的安全特征库包括安全经验库、漏洞库、补丁库、事故案例库等。事故案例库主要是针对工单处理系统，对于典型的安全事故通过工单方式处理结束后，用户可以将事故处理的过程信息保存在事故案例库中，以方便用户的知识积累和知识共享。

9.数据库管理

对于存储在智能安全监管平台数据库中海量的事件信息，系统提供了数据库管理的功能，帮助用户管理数据库中的数据资料，为用户提供便利的分组式管理及数据导入导出服务，保证用户的数据安全。

10.报表管理

智能安全监管平台的报表管理用于生成和管理各类事件及安全对象信息的报表。报表管理以组的方式对系统中的报表对象及已经生成的报表进行管理，为用户提供了各类统计信息的直观综合的视图。

报表支持多种格式的显示包括：pdf、html、excel、rtf等。报表的生成方式分为手工报表和自动报表两种，手工报表支持根据用户输入的统计参数立即生成报表，自动报表可以按照每小时、每天、每周、每月、每年等周期的方式定时生成报表。使用报表管理强大的定制功能，用户可以自定义报表的logo、大标题、小标题、统计内容、统计条件以及统计图形样式等。

11.分级管理

智能安全监管平台提供了系统分级管理的功能，适用于两级或者多级的安全管理中心的建设（市、县联动），上级安全管理中心可以自定义将下级安全管理中心的数据上传至上级安全管理中心，统一进行存储、分析和管理。

五.平台关键技术

智能安全监管平台能够从安全设备资产的视角，综合所采集的安全要素，进行安全态势的呈现。

1.安全可视化

提供实时告警、网络威胁、系统安全、用户行为、业务系统安全等内容的大？展示功能，包括安全运维视图及安全领导视图。

安全运维视图：为运维人员提供安全可视化视图，支持安全事件调查、取证、溯源和处置等功能联动；

安全领导视图：为领导提供安全可视化视图，支持安全建设成果可视化、安全威胁统计可视化等数据，支持安全决策的发布。

2.安全趋势预警

预警类型包括攻击检测预警、异常流量预警、弱口令分析预警。

攻击检测预警内容有：事件类型、目标资产、攻击时间、攻击类型、攻击阶段、预警等级等；

异常流量预警内容有：事件类型、目标资产、攻击类型、峰值流量、超过预警基线百分比、开始时间、结束时间、持续时间、预警等级等；

系统弱口令分析预警内容有：事件类型、预警来源、預警名称、预警事件、预警来源等；

3.安全告警处置

通过对安全事件、日志以及网络流量进行检测，分析出网络攻击、系统攻击、异常流量等威胁，产生安全告警，本功能以实时和统计的方式对安全告警进行展现。

告警状态分为实时告警和历史告警，经过确认或处理后的告警状态为历史告警。

安全告警监控：展示内外部威胁分析产生的安全告警，包括网络威胁告警、系统安全告警、用户违规行为告警、安全场景告警等；

安全告警处置：提供安全事件调查、分析、溯源、取证等核心安全事件分析调查功能，并提供安全处置状态标记功能，实现以短信、邮件、电话等方式告警；

4.协同处置建设

能够对安全事件的全生命周期跟踪处理，实现安全事件溯源、安全处置工单跟踪；并累计安全事件的特征，合并分析之后扩充至本地威胁情报库，实现未知安全威胁的发现。从真正意义上实现将传统的安全防护转变为具有智能自主学习能力的大数据自动安全分析、预警与联动处置一体化的整体企业网络安全运营平台。

五.小结

市县统一智能安全监管平台能够采集各区县融媒体中心的设备信息，并通过数据分析、风险预警、异常行为及安全策略指导等功能，更好帮助技术人员维护平台安全。包括事前补丁更新、最小端口开放、访问控制；事中快速检测未知威胁、确定攻击事件、确定优先级，为工作人员处理提供处理策略；事后安全事件归档记录 、攻击溯源取证分析、设备策略的改良告知。通过开展信息安全态势分析、及时发现安全事件，处理安全风险可以减少或降低信息安全事件的发生，同时也降低了造成区县融媒体基础设施破坏和社会及经济效益损失的可能性。B&P

参考文献

[1] 赖积保. 基于异构传感器的网络安全态势感知若干关键技术研究[D]. 哈尔滨工程大学， 2009.

[2]吕荣峰， 杨梦宁， 余虹. 智能日志审计与预警系统功能设计与实现[J]. 数字技术与应用， 2016（2）：187-189.

[3]陈刚， 金倩倩， 陈恩惠. 等级保护智能分析技术研究与应用[J]. 警察技术， 2014（S1）：91-93.