面向智慧水利的网络安全技术体系构建
2023-07-10房志刚
张 潮,房志刚,郭 冉
(1.水利部信息中心,100053,北京;2.北京金水信息技术发展有限公司,100053,北京)
“十四五”是全面推进智慧水利建设的关键时期,水利部部长李国英强调要加快建设、持续完善具有强大“四预”功能的数字孪生流域。随着智慧水利建设不断推进,水利信息网不可避免地需要进一步开放共享,大数据、人工智能等新技术必将与水利业务深度融合,网络空间与物理世界的边界逐渐模糊,给网络安全带来严峻挑战,亟须构建面向智慧水利的网络安全技术体系。
一、智慧水利网络安全技术体系的短板与不足
1.新技术安全防护能力缺乏
信息技术飞速发展,智慧水利业务充分运用物联网、大数据、云计算、人工智能、数字孪生等新一代信息技术建设和运行,传统网络安全防护手段已经无法满足云计算虚拟化、大数据存储、移动互联网融合、数字孪生仿真等新技术、新场景的需求。同时伴随着新技术的发展和移动互联网的应用,网络攻击行为的组织性、目的性、严重性日趋突出,自动化程度越来越高,发现并利用安全漏洞用时越来越短,给水利网络安全带来严峻挑战,而现有水利网络安全防护能力相对缺乏,无法满足安全需求。
2.监测预警能力较为薄弱
智慧水利建设范围涉及水利部本级、流域管理机构、省级水行政主管部门,以及大型和重要工程管理单位、中小型工程管理单位等各级水利部门,但目前水利网络安全态势感知和威胁监测的覆盖范围有限,难以全面有效发现潜在的安全威胁或攻击事件。
3.应用本体安全水平较差
智慧水利业务按照“大数据、大平台、大安全”原则布局,与之对应的业务应用本体安全性检测十分重要。传统业务系统开发仅注重满足业务应用的功能要求,安全性欠缺,应用漏洞较多,尤其是逻辑炸弹、越权访问等极易被利用的安全漏洞给应用本体及水利网络安全带来较大风险隐患。
4.网络安全合规性有待完善
根据网络安全法、数据安全法以及网络安全等级保护制度,水利网络安全防护的合规性有待补充完善。
二、智慧水利网络安全技术体系构建的目标与思路
1.构建目标
构建与智慧水利发展相协调的、全面主动的智慧水利网络安全技术体系,进一步提升水利网络安全纵深防御、监测预警、应急响应能力,充分保障智慧水利建设与运行,满足水利N项业务智能应用的安全需求,为新阶段水利高质量发展提供安全支撑。
2.总体思路
(1)综合防御
随着网络攻击手段不断升级,传统安全基线管理、主机防火墙隔离等防护措施已显薄弱。数据加密、安全沙箱、态势感知等新技术推动网络安全防护能力不断提升,已由单一性防御向综合性防御转变。在应对动态、多变、高强度网络攻击时,基于特征检测的防御技术手段存在较大局限性,而以动态化、实时化、主动化理念,基于人工智能模型、大数据分析技术,通过对数据的实时、持续分析,自适应地全面应对已知攻击、未知威胁的综合性防御的网络安全防御模式成为必然选择。
(2)数据驱动
以数据为核心进行网络安全决策和指挥,构建以数据驱动的自适应安全体系,实现威胁检测、威胁防御、威胁响应的网络安全闭环管理。威胁检测,即通过收集和检测网络流量、终端行为、文件内容、业务行为等,全面感知水利网络层、主机层、应用层、数据层、终端层安全运行状况;威胁防御,即通过安全数据关联分析,有效识别并及时阻断已知或未知威胁,增强网络安全防御能力;威胁响应,即通过人与安全平台的协同,准确分析、研判并半自动化或自动化处置威胁事件,上级监管部门、下级单位情报共享,提升威胁预防能力。
三、面向智慧水利的网络安全技术体系构建
面向智慧水利的网络安全技术体系主要由纵深防御体系、监测预警体系和应急响应体系构成。纵深防御体系主要通过优化传统的纵深防御基础防护策略,实现可对抗有组织攻击的纵深防御能力;监测预警体系主要通过提升网络威胁感知能力,建立可上下联动的主动监测预警机制;应急响应体系主要基于监测预警支撑,实现可及时处置事件的应急响应能力。
1.纵深防御体系
随着网络和信息技术的发展,基于工具和个人的网络攻击逐步演化为大规模有组织的网络安全攻击,攻击类型也逐步从蠕虫、木马、口令攻击、分布式拒绝服务(DDOS)演化到网络钓鱼、漏洞攻击(0DAY 漏洞)、勒索软件攻击、高级持续威胁(APT)攻击等,可对抗有组织攻击的纵深防御体系建设需求日益突出。依据网络安全等级保护2.0“一个中心,三重防护”(安全管理中心,安全计算环境、安全区域边界、安全通信网络)理念,全面提升水利网络安全纵深防御能力。
网络安全纵深防御体系包括基础防护、组件服务和数据采集。基础防护是网络安全等级保护合规性要求的技术实现;组件服务是保障智慧水利业务安全应用运行的必备条件;数据采集主要用于采集外部网络安全情报和网络内与网络安全相关的数据信息(如图1)。
图1 智慧水利网络安全纵深防御体系
(1)基础防护
物理环境安全。建立水利标准网络机房,并对门禁、卡片、人员、权限、报警等进行一体化管理。
通信网络安全。通过部署水利虚拟专用网(VPN),对通信链路加密传输,通信线缆采用屏蔽线缆或光纤,防止信息传输过程中的非法监听和信息泄露。
区域边界安全。通过在水利网络区域边界部署防火墙、APT攻击入侵检测系统、数据防泄漏设备、安全审计设备等实现区域边界安全。
计算环境安全。通过在水利网络计算环境部署安全资源池、主机安全防护系统、数据库防火墙、应用开发安全管理平台等实现计算环境安全。
(2)组件服务
统一身份认证服务。建立水利多因子身份认证体系,实现系统单点登录、水利用户统一管理。
统一密码服务。建立符合国家密码算法(SM1-SM4)要求的密码服务体系,为智慧水利业务系统和网络提供密码服务。
统一容灾备份服务。建立水利同城和异地灾备中心,为智慧水利业务系统和网络提供容灾备份、快速恢复服务。
统一威胁情报服务。建立水利安全情报中心,完善情报交换机制,为安全威胁分析预警提供情报服务。
(3)数据采集
安全日志采集。针对水利网络内部各类安全设备或安全软件(包括交换机、路由器、防火墙、入侵检测、网络审计、主机安全防护软件等)进行日志采集。
网络流量采集。对水利关键网络节点的网络通信流量进行全流量采集和还原,形成标准化日志,完成高级威胁攻击检测,同时为追踪溯源提供本地数据支撑。
威胁情报采集。威胁情报主要包含三方商业情报、开源情报、高级情报等,主要来自第三方安全公司、互联网安全应急中心等机构,利用相应接口同步至水利网络安全大数据平台。
2.监测预警体系
充分利用网络安全威胁情报,对安全数据进行采集分析,采用大数据、人工智能等技术,基于水利网络安全大数据平台,开发业务融合、覆盖全攻击链的监测算法模型,构建水利网络安全威胁感知预警系统,实现全天候全方位监测预警。
网络安全监测预警体系以大数据平台为基础,将从大数据平台获取的风险数据结合资产信息进行分析,找出网络中存在的安全威胁或攻击事件,进行实时感知和预警,同时实现省级以上水行政主管部门及大中型工程管理单位之间的数据共享(如图2)。
图2 智慧水利网络安全监测预警体系
(1)水利网络安全大数据平台
水利网络安全大数据平台主要由数据治理、数据处理、数据存储、计算分析等模块组成,可接收安全设备采集的网络安全数据,并对数据进行预处理、存储、分析计算等,通过方便灵活的高性能接口,为上层业务系统提供必需的数据服务。
(2)水利网络安全威胁感知预警系统
水利网络安全威胁感知预警系统从资产管理、风险感知、预警管理等方面对水利网络可能存在的安全威胁、安全事件进行分析并及时通报预警,协助安全运维人员快速、及时、准确地掌握水利网络安全风险。
(3)水利网络安全信息共享交换
水利网络安全信息共享交换主要指水利行业内单位之间安全数据交换,以及水利部为其他行业提供的安全数据服务。主要共享交换的安全信息包括威胁情报、安全事件、通知通告等。
3.应急响应体系
网络安全应急响应体系建设基于水利网络安全威胁感知预警系统获取网络安全预警信息及资产信息,在决策指挥系统中生成相应的安全应急处置任务。主要包括预案管理、事件处置、应急演练、综合展示等内容(如图3)。
图3 智慧水利网络安全应急响应体系
网络安全应急响应体系建设的核心是水利应急决策与指挥系统,在已发生或可能发生网络安全事件时,系统可支撑应急响应的监控、分析、协调、处理,以及保护资产安全、总结复盘等工作。同时,建立安全设备之间协同联动机制,利用人工智能技术强化告警日志标准化和关联分析规则,逐步将人工处置转化为半自动、自动化处置,实现水利应急决策与指挥系统自动化分析研判、自动化响应、自动化处置,全面提升系统的自主判断和决策处置能力。
(1)预案管理
通过总结安全事件生成安全分析案例,归入案例库,并对预案进行指标评估和执行再评估,形成结构化预案,对事件进行自动响应识别,并提供事件处置流程预案支持。
(2)事件处置
按照国家和水利部有关网络安全事件分类分级规范和指南,确定不同类别和级别事件处置的指挥流程与处置要求。根据水利网络安全威胁感知预警系统产生的安全事件信息,提供事件分析研判、事件响应处置等全流程管理。
(3)应急演练
根据水利网络安全事件应急预案内容及事件分类,以任务形式编排安全事件,同时实现预案电子化处理,对相关安全应急事件进行演练和全过程管理。
(4)综合展示
在网络安全威胁感知系统和网络安全决策指挥系统的基础上,读取威胁感知分析结果和决策信息,可视化展示水利网络安全态势、面临的安全风险或遭受的攻击事件以及处置状态。
4.行 业安全防护联动
面向智慧水利的网络安全技术体系覆盖省级及以上水行政主管部门、大型和重要工程管理单位、中小型工程管理单位等各级水利部门,逐步形成“统一指挥、协同作战”的行业安全防护联动机制,满足水利行业共享网络安全威胁情报及联防联控需求,实现水利网络安全“一盘棋”的整体格局,切实提升智慧水利网络安全防护能力。
行业安全防护联动自上至下分为三个层级,分别构建相应级别的智慧水利威胁感知应急指挥平台。各级平台间相互联动,共享网络安全威胁情报,形成行业整体联防联控体系。
①部级节点。建立智慧水利中央威胁感知应急指挥平台,提升全行业安全态势感知、网络安全资源调度、全网各级联动处置能力,实现全网态势感知和决策指挥。
②省级(流域)节点和大型、重要中型工程管理单位节点。省级(流域)节点建立省级(流域)智慧水利威胁感知应急指挥平台,提升本辖区的安全态势感知、网络安全资源调度、联动处置能力;大型和重要中型工程管理单位节点建立本单位智慧水利威胁感知应急指挥平台,提升单位内部安全态势感知、网络安全资源调度、联动处置能力。同时,助力实现全网态势感知和决策指挥。
