【文章內(nèi)容簡介】 以根據(jù)條件、環(huán)境分步實現(xiàn)。嬤鯀賊灃謁麩溝賚淶鋸餓嶁諒綢風轎。網(wǎng)絡安全管理的出發(fā)點是控制風險或止損，能快速發(fā)現(xiàn)異常并及時處置可以確保損失的最小化。網(wǎng)絡安全是攻防看見能力的爭奪，決定看見能力的基礎是數(shù)據(jù)，實現(xiàn)看見能力的手段是可視化。通過感知安全風險并進行可視化呈現(xiàn)，實現(xiàn)整體安全態(tài)勢的評估，是快速發(fā)現(xiàn)問題并有效處置的基礎。訊鎬謾蟈賀綜樞輒鎖廩諭銥瘞頓顰懌。網(wǎng)絡安全的本質是攻防技術的對抗。只有采取主動對抗思路，即在安全事件發(fā)生之前，通過一系列技術手段發(fā)現(xiàn)乃至阻止其發(fā)生，或者降低其風險，才能滿足新環(huán)境下的安全需求。兒躉讀閌軒鯀擬釔標藪疇礎處櫚顫蹌。網(wǎng)絡安全的核心需求是要保障資源所承載業(yè)務的可用性、連續(xù)性。隨著業(yè)務之間關聯(lián)性的增強，片面強調局部安全措施的落實已無法保障整體安全防護目標的達成，需要從全局出發(fā)統(tǒng)籌協(xié)調各類安全措施、技術手段、保障機制，全面提升安全保障成效?？壧A詞嗇適籃異銅鑑驃噴麗頡趨顥冪。電視臺網(wǎng)絡安全保障工作要在全面落實等級保護要求的前提下，從以措施為核心轉向以數(shù)據(jù)為支撐，引入安全態(tài)勢感知、安全大數(shù)據(jù)、安全可視化等新型技術手段，通過網(wǎng)絡安全監(jiān)測系統(tǒng)建設，及時掌握安全措施運行狀態(tài)，識別、預判安全風險，動態(tài)呈現(xiàn)安全態(tài)勢并進行量化評估，為安全管理和運維提供有效工具。在此基礎上結合完善的安全管理機制，形成由分散到集中、由事后到實時、由被動到主動的網(wǎng)絡安全保障能力提升，確保網(wǎng)絡安全態(tài)勢可見、可控、能控、在控。鮒簡觸癘鈄餒嬋鏘戶潑閡諏誹呂顙貽?？蚣芤?guī)劃規(guī)劃原則電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)是一個基于安全大數(shù)據(jù)，實現(xiàn)網(wǎng)絡流量檢測、威脅情報分析、安全事件溯源、安全態(tài)勢感知、安全預警告警等功能的信息系統(tǒng)，為網(wǎng)絡安全管理和運維提供技術手段，系統(tǒng)建設應遵從適用性、前瞻性、可行性的規(guī)劃原則。瞇毆蠐謝銀癩嘮閣蹺贗襝攖癰繳顢屜。適用性：滿足電視臺安全管理和行業(yè)監(jiān)管的要求，適應廣電行業(yè)高可用、不間斷、高帶寬、實時性、高交互、一體化的業(yè)務特點。具備良好的可移植性及可擴展性，以適應未來升級擴展需求。適配電視臺信息系統(tǒng)分類和業(yè)務特征，能夠應對其面臨的安全風險并解決現(xiàn)存問題。閔屢螢馳鑷雋劍頌崗鳳測際塤飼顳譾。前瞻性：符合廣電行業(yè)信息化發(fā)展方向，符合網(wǎng)絡安全技術發(fā)展趨勢。契合未來廣電行業(yè)網(wǎng)絡安全監(jiān)管工作要求，具備技術先進性。檁傷葦開閾燈傘饉諧糧茲繃頎濼額姍。可行性：滿足電視臺網(wǎng)絡安全管理、運維人員的核心需求，具備技術實現(xiàn)的可行性和實用性。系統(tǒng)架構電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)由對象層、數(shù)據(jù)層、能力層、功能層、操作層五部分構成。對象層主要以電視臺信息系統(tǒng)和安全設備為監(jiān)測對象；數(shù)據(jù)層匯集各類網(wǎng)絡安全數(shù)據(jù)源；能力層包括數(shù)據(jù)采集、處理、分析、呈現(xiàn)等能力要素，通過對海量多維安全數(shù)據(jù)的存儲、計算、分析、挖掘及可視化呈現(xiàn)，為上層功能提供數(shù)據(jù)支撐；功能層以模塊方式實現(xiàn)場景化的監(jiān)測需求；操作層通過門戶界面支持用戶操作。系統(tǒng)架構如圖所示。鄭餼腸絆頎鎦鷓鮞嚶錳鉻廄說輞顏諉。圖 Error! No sequence 數(shù)據(jù)類型電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)通過采集、處理、分析各類網(wǎng)絡數(shù)據(jù)來實現(xiàn)安全事件的感知、評估和呈現(xiàn)，網(wǎng)絡數(shù)據(jù)類型主要包括日志數(shù)據(jù)、流量數(shù)據(jù)和情報數(shù)據(jù)等。棄鈾縫遷馀氣鰷鸞覲廩脫轉畬圖顓壢。日志數(shù)據(jù)是指設備日志、告警信息、審計信息及應用日志等，來自于硬件設備、操作系統(tǒng)、服務、進程等。日志格式分為標準格式和自定義格式，可以通過接口調用、采集等多種方式獲取。調誶續(xù)鷚髏鋮饅喪劉藪顯澮壚艙題誄。流量數(shù)據(jù)是指鏈路流量、應用流量、網(wǎng)絡掃描流量、指定主機流量等，獲取方式包括分光、端口鏡像等。流量數(shù)據(jù)是網(wǎng)絡安全威脅的重要物證，分析難度較高，且對存儲容量有所要求。厲聳紐楊鱔晉頇兗蓽驃鶚騅頇騎顆嘵。情報數(shù)據(jù)是指安全預警通告、漏洞通告（含漏洞）、威脅通告、惡意地址情報等，來自于電視臺內(nèi)部、監(jiān)測監(jiān)管機構和第三方共享平臺等。情報數(shù)據(jù)信息量豐富，適用性較低，需要較好的甄別和適配處理機制。苧璦籮藶黃邏閂巹東澤達藥誣瀅穎訐。能力要素電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)本質上是一個數(shù)據(jù)分析服務系統(tǒng)，通過網(wǎng)絡安全數(shù)據(jù)的采集、存儲、處理、分析、呈現(xiàn)為上層應用功能提供支持。為此，將基礎性數(shù)據(jù)功能抽象為能力要素，以后臺服務模塊的方式實現(xiàn)，形成系統(tǒng)架構中的能力層，為在功能層貫徹動靜結合、內(nèi)外協(xié)同、主動應對的規(guī)劃思路提供支撐。鴿攝禱鋅儀憚銼嚕緡贊綁塵瑤鄲頷厙。數(shù)據(jù)采集通過被動接收和主動采集兩種方式，實現(xiàn)全網(wǎng)日志數(shù)據(jù)和流量信息的采集。采集數(shù)據(jù)類型分為靜態(tài)和動態(tài)兩種，其中靜態(tài)數(shù)據(jù)包括網(wǎng)絡拓撲信息、系統(tǒng)脆弱性和運行狀態(tài)等基本環(huán)境配置信息，動態(tài)數(shù)據(jù)包括各種安全設備和防護措施的運行信息。通過系統(tǒng)的對外接口，還可以收集漏洞信息、惡意代碼、惡意地址等外部威脅情報。簞嗇癲剴凈趕鉤嬙鱷鳧徑鉍塊娛頻釁。由于安全數(shù)據(jù)來自不同廠家、不同類型的設備和系統(tǒng)，因此存在多種異構數(shù)據(jù)源，數(shù)據(jù)采集接口需要提供多種采集方式進行適配。對于本地型日志，應支持、 、方和接口等方式；對于網(wǎng)絡型日志，應支持流量鏡像等方式。同時，在采集傳輸過程中應使用安全傳輸協(xié)議，以保證數(shù)據(jù)的機密性和完整性，避免因網(wǎng)絡安全監(jiān)測導致新的安全隱患。頑鷙瑪濱廈峴轆庫糞糧驪癬韌螢頤剄。數(shù)據(jù)處理負責對采集的原始數(shù)據(jù)進行必要的清洗和轉換，將原始數(shù)據(jù)根據(jù)預先設置的規(guī)則轉化為系統(tǒng)能夠識別的標準事件，并以合適的數(shù)據(jù)結構對加工后的安全數(shù)據(jù)進行存儲。通過對原始安全數(shù)據(jù)進行一系列的預處理，有效降低數(shù)據(jù)噪聲，保證數(shù)據(jù)分析模塊的性能和效率。通過對采集到的安全事態(tài)數(shù)據(jù)進行完整性校驗，防止由于網(wǎng)絡錯誤或者其他原因影響數(shù)據(jù)完整性。漬閫熾訣團諳賡戰(zhàn)餛錳貨齏詢鯪頦鎣。參考網(wǎng)絡安全相關的通用數(shù)據(jù)格式，通過建立統(tǒng)一的網(wǎng)絡安全事件標準化知識庫，對安全數(shù)據(jù)中包含的事件名稱、設備地址、源地址、源端口、目的地址、目的端口、統(tǒng)一資源標識、事件時間、事件內(nèi)容、嚴重級別、協(xié)議類型等信息進行歸并和篩選，對采集到的同類型安全事件進行統(tǒng)一分類和命名，實現(xiàn)對不同安全廠商、不同安全設備所產(chǎn)生海量信息的標準化處理，為信息安全事件分析、展示和交換提供數(shù)據(jù)支持。鐸輜澠頂嫻塊謂斕痹廩矯詼現(xiàn)獨潁儺。數(shù)據(jù)分析在網(wǎng)絡安全監(jiān)測系統(tǒng)架構中處于核心位置，其功能是充分利用大數(shù)據(jù)技術對標準化處理后的安全數(shù)據(jù)進行更為深入細致的分析和挖掘。按照網(wǎng)絡安全管理、運維相關的數(shù)據(jù)邏輯和應用邏輯要求，做有針對性的處理分析，為數(shù)據(jù)呈現(xiàn)模塊提供數(shù)據(jù)來源。搶觀淚婭師謳論櫚陣蘚塹挾圇鉞頜蕘。數(shù)據(jù)挖掘分析需要依賴場景化關聯(lián)分析的思路，依托大數(shù)據(jù)的分析處理能力，可以在更長時間和更廣系統(tǒng)范圍內(nèi)檢索安全數(shù)據(jù)的關聯(lián)關系，根據(jù)不同的線索將其串聯(lián)在一起。在數(shù)據(jù)分析過程中，需要立足網(wǎng)絡安全監(jiān)測環(huán)境和管理目標，綜合考慮安全事件的發(fā)生原因、過程表現(xiàn)、引發(fā)后果等多種因素。賊組櫻種愨單蝕渾潷騾雛閩霽巒頡們。數(shù)據(jù)呈現(xiàn)提供網(wǎng)絡安全監(jiān)測系統(tǒng)的人機交互接口。利用計算機圖形學等技術，以地理圖、儀表圖、泡泡圖、雷達圖、星云圖、流向圖等形式對全局網(wǎng)絡安全態(tài)勢及分項網(wǎng)絡安全監(jiān)測主題（如資產(chǎn)備案、網(wǎng)絡攻擊、病毒木馬、敏感信息、桌面終端、漏洞補丁、網(wǎng)絡流量等）進行實時全景展示，使安全管理、運維人員能夠更加直觀地對網(wǎng)絡安全整體態(tài)勢進行實時掌控。圓漣檸賡搗蕷艫燁錘澤謳結誠釁頸腦。運行機制電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)運行機制分為數(shù)據(jù)和態(tài)勢兩個層面，如圖所示。圖 Error! No sequence 在數(shù)據(jù)層面，通過采集流量數(shù)據(jù)、系統(tǒng)日志、安全日志，結合互聯(lián)網(wǎng)安全威脅情報，進行網(wǎng)絡安全數(shù)據(jù)分析，發(fā)掘海量安全數(shù)據(jù)，識別網(wǎng)絡攻擊、惡意代碼等安全威脅并進行風險預警，形成網(wǎng)絡安全數(shù)據(jù)獲取、處理、分析、反饋的閉環(huán)結構。蟄彎擼鯁棖佇緡癟槧贊瀅勁豬鸞頗龔。在態(tài)勢層面，通過視圖形式動態(tài)體現(xiàn)網(wǎng)絡安全設備運行狀況，全面展現(xiàn)安全措施執(zhí)行效果，實時反映漏洞與威脅以及安全資產(chǎn)部署情況，同時結合事件告警、風險預警等功能，整體展現(xiàn)網(wǎng)絡安全狀態(tài)和變化趨勢，實現(xiàn)安全態(tài)勢的可視化感知、呈現(xiàn)，為安全運維人員及時部署有針對性的安全手段提供技術支撐，從而真正實現(xiàn)安全事件感知、評估、呈現(xiàn)、處置的動態(tài)循環(huán)。義淨擁捫毆脅紙窺鈑鳧剝贛噓癱領繳。系統(tǒng)接口電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)與其他信息系統(tǒng)之間的數(shù)據(jù)調用通過接口方式實現(xiàn)，其中主要包括數(shù)據(jù)采集類接口、管理協(xié)同類接口、行業(yè)監(jiān)測類接口和互聯(lián)網(wǎng)情報類接口。綏驊懸縉澀鷂禍紳撻糧錛湯隨鐒預鶻。數(shù)據(jù)采集類接口負責收集制播、新媒體、辦公系統(tǒng)內(nèi)部安全數(shù)據(jù)，為事件關聯(lián)分析提供數(shù)據(jù)來源。管理協(xié)同類接口與系統(tǒng)監(jiān)控、業(yè)務監(jiān)控、運維管理、資源管理等信息系統(tǒng)對接，通過數(shù)據(jù)交互，實現(xiàn)感知、評估、呈現(xiàn)、處置的閉環(huán)流程，為安全運維提供支撐。行業(yè)監(jiān)測類接口按照相應網(wǎng)絡安全事件描述和交換格式規(guī)范，實現(xiàn)行業(yè)安全預警、安全數(shù)據(jù)推送和安全事件反饋，獲取行業(yè)網(wǎng)絡安全預警信息并報告本單位安全事件。互聯(lián)網(wǎng)情報類接口負責獲取安全預警、漏洞信息等外部威脅情報，為安全預警、關聯(lián)分析提供情報來源。如圖所示。饅鎖開鑰燜緒玨編軻錙薈馴譯態(tài)頏纜。圖 Error! No sequence specified. 電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)接口自身安全電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)應參照等級保護要求從基礎網(wǎng)絡、邊界、終端、服務端、應用、數(shù)據(jù)幾個方面進行安全加固，保證系統(tǒng)自身安全防護能力。獄質嶇僅痺鮚潰脫幀開樣藶獅訝頌鳩。系統(tǒng)監(jiān)測對象之間等級保護安全級別差異較大。在與高安全級別系統(tǒng)對接時，應考慮與監(jiān)測對象的安全邊界劃分，通過部署安全網(wǎng)關、威脅檢測設備實現(xiàn)邊界隔離，在數(shù)據(jù)交換層面應采用旁路鏡像采集方式實現(xiàn)，對于部分需要直接采集的監(jiān)測數(shù)據(jù)應通過專用數(shù)據(jù)安全交換通道實現(xiàn)，從而減少監(jiān)測系統(tǒng)對高安全級別監(jiān)測對象的影響。對于外部互聯(lián)網(wǎng)威脅情報的收集，應有相應的安全機制保障其數(shù)據(jù)的完整性和準確性。鍥莧娛殫穢籩殤蕢謬蘚龍孌囀齬頒給。關鍵技術網(wǎng)絡流量采集檢測網(wǎng)絡流量采集技術為安全事件分析提供數(shù)據(jù)來源。借助該技術，安全運維人員可以對已經(jīng)發(fā)生的攻擊行為進行多角度、全方位、可回溯的深度檢測，從而更容易檢測出潛在的入侵行為。雜磚墳雖紜飯曇覡墾騾釋鈁陸稈頎鰱。存儲流量歷史數(shù)據(jù)可能占用過多的存儲資源，但借助云計算技術的廉價資源和大數(shù)據(jù)技術的快速解析，使流量實時分析成為可能。基于電視臺的業(yè)務特點，需要有針對性的對網(wǎng)絡流量進行提取、分析和存儲，實現(xiàn)網(wǎng)絡流量采集檢測效率的最大化。軾梔嗶鑊繃瘍懔諍訝澤緇瑤詐鍍顧纊。復合型數(shù)據(jù)庫架構在面對海量多源異構的安全監(jiān)測原始數(shù)據(jù)時，相較傳統(tǒng)信息化系統(tǒng)采用單一關系型數(shù)據(jù)庫進行支撐的技術架構，還需要借助非關系型數(shù)據(jù)庫形成復合型數(shù)據(jù)庫架構。尋頭厭嗆羈陰帥讕匭贊憤鶉犢摶頑騭。在電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)中，非關系型數(shù)據(jù)庫既保證了動態(tài)擴展，又能夠對圖片、影像以及音視頻等非結構化數(shù)據(jù)進行存儲分析，便于數(shù)據(jù)整合和應用。訪齙剛璽蘇濫夾趕螢憑鮚訥嚌誘頊筆。威脅情報情報是針對特定用途有傳遞價值的信息或知識。信息是原料，情報是產(chǎn)品。信息是客觀事物的反映，情報是人腦思維的產(chǎn)物。威脅情報是指針對一個已經(jīng)存在或正在顯露威脅或危害資產(chǎn)行為的，基于證據(jù)知識的，包含情境、機制、影響和應對建議的，用于幫助解決威脅或危害進行決策的知識。寫韞僂諶虛鍤囈辮褻糝賡戧闐傷須餾。在電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)中，通過收集熱點威脅事件、惡意樣本、入侵工具、黑客動向、資產(chǎn)現(xiàn)狀、行為記錄、弱點暴露、未知威脅等威脅情報數(shù)據(jù)，分析威脅目的、能力、風險，進而預判威脅給信息資產(chǎn)、網(wǎng)絡、業(yè)務、數(shù)據(jù)帶來的危害，提升安全事件應對能力。羆醬畝餅謄歿湊鈑繳錙穡鐠設縶項磽。安全大數(shù)據(jù)網(wǎng)絡安全數(shù)據(jù)體積龐大，無法通過人工方式在短時間內(nèi)進行收集、存儲、處理并整理成為人類所能解讀的信息形式，需要借助大數(shù)據(jù)技術完成對海量數(shù)據(jù)的收集、存儲、分析以及展現(xiàn)，從而保證網(wǎng)絡安全監(jiān)測系統(tǒng)的技術可行性。鰱診齡師該鈴書銨鴇開孫紗熱悶頇顰。在電視臺網(wǎng)絡安全監(jiān)測系統(tǒng)中，數(shù)據(jù)生命周期的多個階段都將應用到大數(shù)據(jù)相關技術。例如在數(shù)據(jù)采集階段，通過 ()工具負責將分布、異構數(shù)據(jù)源中的數(shù)據(jù)如關系數(shù)據(jù)、平面數(shù)據(jù)文件等抽取到臨時中間層后進行清洗、轉換、集成，最后加載到分布式存儲中，成為聯(lián)機分析處理、數(shù)據(jù)挖掘的基礎。通過引入網(wǎng)絡安全大數(shù)據(jù)技術，能夠使監(jiān)測模型在數(shù)據(jù)處理效率和準確度上有較大幅度提升，從而更好的為網(wǎng)絡安全管理、運維提供服務。磚緙鵝綱謾擻鴻鑌紙?zhí)\頦湊響攛頃痺。安全事件關聯(lián)分析關聯(lián)分析又稱關聯(lián)挖掘，是在交易數(shù)據(jù)、關系數(shù)據(jù)或其他信息載體中，查找存在于項目集合或對象集合之間的頻繁模式、關聯(lián)、相關性或因果結構。關聯(lián)分析的方法包括監(jiān)督式學習、非監(jiān)督式學習、關系分組（ ）、購物籃分析（ ）、聚類分析（ ）等。關聯(lián)分析由信息收集、數(shù)據(jù)集成、數(shù)據(jù)規(guī)約、數(shù)據(jù)清理、數(shù)據(jù)變換、數(shù)據(jù)挖掘實施過程、模式評估和知識表示等個步驟來完成。鬮煒鰭輥賠還魴隊駝騾詭貲閻譾頂頂。安全事件關聯(lián)分析技術對海量網(wǎng)絡安全數(shù)據(jù)進行自動化、智能化的數(shù)據(jù)挖掘，揭示隱藏在事件背后的邏輯關系及其攻擊意圖，對各個攻擊進行威害程度排序并生成各種快速直觀的分析報告，從而全面監(jiān)控網(wǎng)絡狀況、有效指導網(wǎng)絡安全運維，預防、阻斷或減少安全威脅，是極具價值且極為必要的網(wǎng)絡安全保障手段。畢懍鲅鵑較惻飾顳矯涇煥櫫詎凈頁獼。通過安全事件關聯(lián)分析技術，可以有效利用網(wǎng)絡安全監(jiān)測數(shù)據(jù)并產(chǎn)生新價值，如降低告警誤報率、發(fā)現(xiàn)相似攻擊源、探知攻擊等，通過與統(tǒng)計、在線分析處理、情報檢索、機器學習、模式識別等技術的融合，能夠更好地發(fā)現(xiàn)和處置電視臺所面臨的網(wǎng)絡安全風險和威脅。釓歷駕無醬賠雋驍韉贈三飯燭絕韜闔。安全基線安全基線概念借用了傳統(tǒng)的基線概念?；€是一種在測量、計算或定位中的基本參照。安全基線可以同時包含政策合規(guī)性需求、自身安全建設發(fā)展需求、信息系統(tǒng)歷史運行狀態(tài)等多種因子，通過對比理想化安全水平基準點形成差距分析結論，再針對這個差距進行適時監(jiān)測、確認和跟蹤，即可對任何違規(guī)情況進行預警或通報，提出補足差距的建議方案，而這個理想安全水平基準點就是該組織的最優(yōu)安全狀態(tài)。徠鰹飲臉鑠嘗鏍鯢煬憑鑌脈嚦霽韞燉。追求規(guī)避全部風險也是不現(xiàn)實的，信息系統(tǒng)在達到基線水平之后部分風險自然會被轉移或降低。這樣便可以實現(xiàn)持續(xù)定義安全基線、持續(xù)監(jiān)管和持續(xù)改進，使每一時期每一階段的安全水平都是可控的。謂鑷頗銨鋃誼鉸鸚鎘糝蘞堝鬮棲韙閂。通過引入安全基線控制的方式進行安全風險監(jiān)測管理，并針對基準進行檢