网络安全态势感知系统在核电企业的部署

任增朋

【摘 要】传统的网络建设缺乏对全网综合的安全监测和感知，核电企业网络安全面临安全隐患发现不及时、安全事件难定位、攻击溯源难度大、安全预警传递不及时等挑战，而通过态势感知系统的建设可以实现安全数据收集与分析、安全资产自动识别、高级威胁检测、安全事件溯源与调查等功能。文章重点分析网络安全态势感知系统在核电企业的部署技术架构，介绍了设备部署、网络策略调整、设备日志和流量接入等实施情况，并总结了实施成效，展望了下一步优化方向。

【关键词】网络安全;网络安全态势感知;核电网络安全

【中图分类号】TM73;TP393.08【文献标识码】A【文章编号】1674-0688（2022）03-0040-03

当前，新一轮信息技术创新应用风起云涌，以物联网、云计算、大数据为代表的新一代信息技术不断取得突破和创新性应用，催生新兴产业快速发展，同时给人们的工作和生活方式带来了深刻变革[1]。一方面，随着组织信息化建设规模的扩大，安全架构日趋复杂，各种类型的安全设备、安全数据越来越多，各组织自身的安全运维压力不断增大。另一方面，以高级可持续威胁（Advanced Persistenet Threat，APT）为代表的新型攻击的兴起[2-3]，需要对基础架构安全、应用安全、数据安全乃至业务安全中面临的各类高级威胁做出判定和响应，以确保新形势下的网络安全。网络安全态势感知[4]是一种基于环境动态、整体地洞悉安全风险的能力，它能综合利用数据融合、数据挖掘、智能分析和可视化等技术，直观地显示网络环境的实时安全状况，为网络安全保障提供技术支撑[5]。本文利用网络安全态势感知系统收集其管理网络的资产、流量、日志等数据，经过存储、处理及分析后实现新型威胁检测，能较好地开展安全事件溯源与调查，确保网络安全。

1 核电网络安全概况

信息技术的快速发展对网络安全的要求越来越高，传统的网络建设缺乏对全网综合的安全监测和感知，存在安全隐患发现不及时、安全事件难定位、攻击溯源难度大、安全预警传递不及时等弊病，亟待解决。

核电企业网络安全态势感知系统（简称态势感知系统）的建设，是由点到面、由浅入深地进行全天候和全方位的威胁情报监测和预警，能快速发现网络存在的风险点和脆弱性，对薄弱环节进行全面剖析，并提出合理、有效的安全加固方案，構建全面的核电网络安全保障体系。

2 建设目标

2.1 安全数据收集与分析

核电企业的网络覆盖范围大，网络环境复杂，传统管理方式中，网络安全管理者无法获得全网的安全综合视图，无法掌握整个网络的安全态势，而通过态势感知系统，可对安全分析所需的各类数据实现统一采集，例如流量数据、终端日志、网络设备日志、安全设备日志、应用日志等数据，逐步丰富数据源。

2.2 明晰网络信息资产

核电企业网络设备和系统数量众多，但目前缺少资产自动统计手段，而利用态势感知系统多样化的信息采集方式，例如流量探针采集、基础台账录入，可以构建全网网络基础资产信息库;采用自动识别和人工确认功能收集资产的基础信息，例如型号、版本、应用、端口、操作系统等，可以建立资产档案和网络底图。

2.3 威胁检测

建设态势感知系统前，核电企业对安全事件的分析与检测仍采用传统威胁检测和数据分析方式，主要是利用检测设备的特征库、分析规则等进行模式匹配，传统检测方法对发现已知威胁较为有效，但对使用0Day漏洞等高级攻击的检测效果不明显，因此需要进一步提高系统对高级威胁的检测能力，在分析时引入关联性强、体系完整的威胁情报，从对威胁的单点性描述变为多维度描述，更加关注威胁目标、手法、关联关系、组织背景、可机读技术指标、决策依据等战术与战略情报。通过威胁情报驱动进行高级威胁的检测，验证疑似攻击，辅助安全防护协同作战和决策。

2.4 安全事件溯源与调查

安全事件发生后，为有效分析及梳理攻击过程和影响范围，需要对攻击环节中涉及的流量及日志数据进行详细的信息分析及溯源。将各系统的数据横向贯通，可以跨平台实现对告警事件相关源日志的查询与深度分析，满足网络安全审计与网络安全事件调查的要求。

2.5 全局感知体系

核电企业及下属单位的网络安全数据和信息未能有效整合，网络安全管理者无法了解和掌握网络安全的全貌及预测网络的整体态势。需要实现上级与下级之间、各系统之间的数据联动、事件联动、信息联动，网络安全态势感知系统中心平台可展现所有子系统的基本状态，能够从资产、运营、漏洞、安全事件等维度呈现全网当前网络态势。同时，核电企业也有一些特殊业务需求，需要结合关键应用进行相关场景的定制与展示，以实现对关键内容、关键流程的监测和分析。

3 网络安全态势感知系统技术架构

网络安全态势感知系统技术架构从下到上分为采集层、数据层、服务层和业务层4层，包括模块和组件，其技术架构如图1所示。

4 网络安全态势感知系统建设内容

基于核电企业及下属单位网络和管理架构，态势感知系统采用两级部署架构，分别为一级（主中心）和二级（即分中心），在本部内网的安全管理区域部署一级态势感知平台（1套），在每个分支机构内网的安全管理区域部署二级态势感知平台，以实现平台之间的分级管理和级联管理，一级和二级之间下发告警规则、解析文件、策略配置、工单等，二级平台向一级平台上传日志告警、资产、风险、设备连通状态、工单等信息等建设工作。网络安全态势感知系统的分级部署如图2所示。

4.1 网络安全态势感知系统建设总体情况

借鉴国内各央企、集团的网络安全态势感知系统建设经验，遵循集团公司及网络安全的相关要求，结合核电企业及下属单位的实际情况，依据“整体规划、试点建设、优化完善、全面推广”的建设思路，分两个阶段完成建设，第一个阶段的主要建设内容如下。07B4C404-5269-4F25-8D20-61617A1618E3

按照“一个主中心，多个二级节点”的架构，细化核电企业态势感知系统的整体架构、部署模型和应用场景，同步开展1个主中心和2个分支节点的试点建设，完成试点单位资产梳理、核心数据和关键流量采集和分析，以及上、下级平台之间各类数据和信息下达（如情报、预警、工单等）和上报（如风险、告警、安全事件等），初步建成核电企业网络安全态势感知系统，使管理层及时了解和掌握试点单位的网络安全态势。

4.2 实施阶段的主要工作

建设一级平台、二级平台的基础态势感知平台;各级平台的核心流量和核心设备完成接入，通过平台进行集中管理和集中分析;二级平台和一级平台完成对接，二级平台将威胁告警日志上报到一级平台;一级平台按照集团的接口要求，完成定制接口开发，实现与集团态势感知的对接和数据上报。？譹？訛资产梳理。梳理重要信息资产，共计1 177项。其中：安全设备为30项、服务器为798项、网络设备为329项、存储设备为20项。？譺？訛设备部署。完成18台设备的上架和部署，其中一级平台为10台，试点2个二级平台各4台;包括安全分析与管理系统、流量传感器、文件威胁鉴定器等设备。？譻？訛网络策略调整。访问策略的调整，开通一二级平台互相访问、平台访问集团公司网络安全态势感知系统、网络运营中心访问态势感知平台。？譼？訛设备日志接入。接入47台设备日志，包括网络防火墙、入侵防御系统、网络核心、网络准入、域服务器等。？譽？訛日志流量接入。接入流量日志和设备日志。日均流量日志接入24.76亿条/天;日均设备日志接入1.92亿条/天。？譾？訛级联数据上报。实现二级平台威胁告警日志数据上报到态势感知一级平台。完成91 230条告警数据的上报，其中低危有50 880条、中危有24 170条、高危有16 114条、危级有66条。？譿？訛集团数据上报接口。一级平台到集团态势感知平台的认证接口及9个业务数据上报接口的开发、测试、联调、上线、验证。

4.3 安全运营分析

试运行期间共产生66 247条威胁告警;总体情况为低危事件占53.98%，中危事件占28.81%，高危事件占17.21%，通过持续优化，每日告警数量日渐趋于平稳。

5 实施成效

5.1 实现资产安全管理

实现各级平台资产管理安全监测与分析。通过资产导入纳管、资产被动发现、资产多维度分类管理功能实现资产清晰及准确的管理;通过资产脆弱性发现、资产仪表板报表、资产风险大屏实时监测，显示资产风险走势，提供资产闭环管理。

5.2 安全数据采集和存储完整

通过接入流量日志和设备日志、导入资产信息和安全检测结果，接入并存储资产告警所需要的全部数据。为威胁分析提供完整的数据支撑，为告警处置及安全事件分析溯源提供数据依据。

5.3 威胁发现

？譹？訛威胁集中监测：搭建多级协同的态势感知平台，二级平台的告警数据可直接在一级平台上实时监测。？譺？訛威胁发现更精准：整合重要业务系统设备的操作日志、网络设备流量日志、安全设备日志、安全检测结果报告，解决安全产品独立防控、安全事件缺乏关联性分析的痛点，提升了威胁发现的准确率。？譻？訛威胁研判更高效：平台告警详情提供丰富告警上下文，提升了威胁研判的效率。一级平台可以查看二级平台上报的告警日志，进行威胁检测规则统一管理。

5.4 安全分析溯源

？譹？訛安全监测分析更直观：威胁告警周期同步到态势感知大屏，实时监控平台安全状态;威胁告警详细信息可在态势感知系统前台查看。丰富了处置响应手段，提升了事件调查和研判能力和效率。？譺？訛安全分析溯源更简单：多维度查看告警详情，精准展示告警事件对应的主要信息，如告警类型、威胁指标、攻击者和受害者信息、告警五元组信息、告警明细信息、告警相关上下文等，使安全分析溯源思路更清晰，安全分析结果更准确，提升了事件溯源取证能力。

5.5 安全风险联动

？譹？訛安全数据的联动：围绕纳入管理的资产结合接入的流量日志、安全设备日志、安全检测结果等数据，通过告警分析规则的联动分析，使告警更精准。？譺？訛安全设备的联动：实现与防火墙联动，后期将实现与其他类型安全设备及工单系统的联动处置，通过态势感知平台对联动设备下发指令并回收处置结果，真正实现一级平台的集中威胁处置。？譻？訛各级平台的联动：实现一级平台统一监测，能在一级平台上监控各級平台的安全运营状态。

5.6 威胁态势监测

基于各级态势感知平台，各级平台实现专项的安全态势监测能力;通过一级平台可对各级平台的整体威胁态势开展实时监测，从而实现一级平台的全局安全态势集中监测。

6 技术发展与展望

结合核电企业的实际需求，对系统进行优化，与核电企业的业务、安全要求等深度融合，形成具备核电特色的态势感知系统。

？譹？訛威胁分析模型研究。态势感知系统本身内置通用安全检测规则，在特定的应用场景中可能会产生大量的误报，从而影响发现真正的安全威胁。因此，需要针对核电企业的实际场景开展威胁分析模型的研究，降低误报率和漏报率。利用流量分析系统的数据，研究基于网络状态的威胁分析模型。重点做好邮箱业务场景威胁分析模型研究、域控业务场景威胁分析模型研究、基于网络状态的威胁分析模型研究。？譺？訛态势可视化定制。进一步整合安全信息，在中心平台展现所有子系统的基本状态，从资产、运营、漏洞、安全事件等维度呈现全网当前网络态势。根据核电行业特殊的业务需求，如安全三区的态势展示、网络安全十二条符合性等，结合关键应用和实际安全要求进行相关场景的定制与展示，实现对关键资产、关键流程、监管要求的可视化监测和评价。？譻？訛安全设备联动处置。针对大量异构的安全设备，例如防火墙、终端安全设备、主机安全软件等，与态势感知平台接入联动，实现协同。当安全事件发生时，联动相应的安全设备实现联动阻断，封堵IP，阻断终端、阻断特定文件等，提升安全处置响应时效性，减少人工手动处置的运维工作量。通过安全设备联动处置功能实现安全设备的协同防御。

参 考 文 献

[1]宁家骏.“互联网+”行动计划的实施背景、内涵及主要内容[J].电子政务，2015（6）：32-38.

[2]姚述源，张节.网络安全产业参与曝光高级可持续威胁组织的动因及启示[J].信息安全与通信保密，2018（8）：77-80.

[3]石乐义，刘佳，刘祎豪，等.网络安全态势感知研究综述[J].计算机工程与应用，2019，55（24）：1-9.

[4]唐婵娜，范磊.考虑置信度的告警因果关联的研究[J].信息安全与通信保密，2009（6）：83-85.

[5]周芬.网络安全态势感知在税务系统中的部署和应用[J].通信技术，2021，54（2）：516-522.07B4C404-5269-4F25-8D20-61617A1618E3