楊志瓊，牟 舵

（水利部珠江水利委員會珠江水利綜合技術(shù)中心，廣東 廣州 510611）

0 引言

態(tài)勢感知是指“在一定時間和空間范圍內(nèi)，認(rèn)知理解環(huán)境因素，并對未來的發(fā)展趨勢進(jìn)行預(yù)測”[1]。2016年4月19日，習(xí)近平總書記在全國網(wǎng)絡(luò)安全和信息化工作座談會上提出：“要樹立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力”[2]。2019年5月出臺的等保 2.0 技術(shù)標(biāo)準(zhǔn)，提出了“IATF + P2DR”理論體系，構(gòu)建以網(wǎng)絡(luò)態(tài)勢感知為核心的網(wǎng)絡(luò)安全動態(tài)防御體系[3]。

珠江水利委員會（以下簡稱珠江委）地處粵港澳大灣區(qū)、環(huán)北部灣經(jīng)濟(jì)帶核心區(qū)位，是我國改革開放的前沿陣地，歷年來都是境外敵對勢力的攻擊重點(diǎn)，因此，在珠江委開展網(wǎng)絡(luò)安全態(tài)勢感知平臺的研究與應(yīng)用，對準(zhǔn)確研判珠江委網(wǎng)內(nèi)安全態(tài)勢，進(jìn)一步提高珠江委網(wǎng)絡(luò)安全的監(jiān)測預(yù)警、主動防御和應(yīng)急響應(yīng)能力，保障關(guān)鍵信息基礎(chǔ)設(shè)施正常運(yùn)行具有重要意義。

1 珠江委網(wǎng)絡(luò)安全防護(hù)的短板

在近幾年公安部、水利部組織的攻防演練和演習(xí)中可以發(fā)現(xiàn)，珠江委在網(wǎng)絡(luò)安全防護(hù)上仍有短板，主要體現(xiàn)在攻擊行為溯源難度較大、網(wǎng)絡(luò)安全監(jiān)測預(yù)警能力薄弱和自動化防御能力不足 3 個方面。

1.1 攻擊行為溯源難度較大

珠江委網(wǎng)內(nèi)部署防火墻、入侵檢測等多種安全設(shè)備，出現(xiàn)攻擊行為時，將會產(chǎn)生海量的安全日志，安全人員通過人工篩查安全日志無法對攻擊行為進(jìn)行追蹤溯源，很難采取有針對性的安全防護(hù)手段。

1.2 主動監(jiān)測預(yù)警能力薄弱

在網(wǎng)絡(luò)安全監(jiān)測預(yù)警方面，珠江委缺乏主動監(jiān)測預(yù)警有效手段，檢查工作多數(shù)以人工方式進(jìn)行，效率較低且難以全面掌握網(wǎng)內(nèi)潛在風(fēng)險(xiǎn)，難以從“被動防護(hù)”向“主動防護(hù)”轉(zhuǎn)變，安全處理依然很被動。

1.3 漏洞處置自動化程度不高

珠江委近年來在各類演練中雖然成功防御了重要目標(biāo)系統(tǒng)，但網(wǎng)內(nèi)也依然存在弱口令、暴力破解、任意文件上傳等危險(xiǎn)漏洞，而且漏洞多數(shù)靠人工進(jìn)行處置，自動化率較低，基本無法抵御大規(guī)模的網(wǎng)絡(luò)安全攻擊行為。

2 珠江委網(wǎng)絡(luò)安全態(tài)勢感知需求分析

為實(shí)現(xiàn)對網(wǎng)內(nèi)安全態(tài)勢的透徹感知，深度還原網(wǎng)絡(luò)攻擊行為，需要分析主要功能需求，打造集全流量數(shù)據(jù)采集與分析、攻擊行為重塑及自動告警等功能于一體的網(wǎng)絡(luò)安全態(tài)勢感知平臺。

2.1 全流量數(shù)據(jù)采集與分析

數(shù)據(jù)資源是珠江委網(wǎng)絡(luò)安全態(tài)勢感知體系發(fā)揮效益的基礎(chǔ)，因此，需要對網(wǎng)內(nèi)關(guān)鍵節(jié)點(diǎn)的數(shù)據(jù)流量、系統(tǒng)日志等各類數(shù)據(jù)進(jìn)行全流量采集與處理。網(wǎng)絡(luò)安全態(tài)勢感知平臺通過端口匹配、流量特征監(jiān)測和行為特征分析等檢測技術(shù)，對網(wǎng)內(nèi)存在的各類風(fēng)險(xiǎn)和攻擊行為進(jìn)行檢測，生成的威脅日志為網(wǎng)內(nèi)風(fēng)險(xiǎn)排查及網(wǎng)絡(luò)安全事件追蹤溯源提供數(shù)據(jù)支撐。

2.2 攻擊行為重塑

攻擊行為重塑是珠江委網(wǎng)絡(luò)安全態(tài)勢感知平臺對安全事件追蹤溯源、還原攻擊行為的重要功能。網(wǎng)絡(luò)安全態(tài)勢感知平臺通過事件關(guān)聯(lián)等技術(shù)對碎片化的各類安全數(shù)據(jù)進(jìn)行重組，實(shí)現(xiàn)整個攻擊過程的還原。安全運(yùn)維人員通過攻擊行為的重塑、本地系統(tǒng)日志并融合外部情報(bào)等方式，可掌握整個攻擊行為全貌，從而制定有針對性的防護(hù)手段。

2.3 自動告警

自動告警是珠江委網(wǎng)絡(luò)安全態(tài)勢感知體系發(fā)揮主動防護(hù)的重要環(huán)節(jié)。當(dāng)網(wǎng)內(nèi)出現(xiàn)安全事件時，網(wǎng)絡(luò)安全態(tài)勢感知平臺應(yīng)能通過圖像、音頻、短信等措施第一時間向安全運(yùn)維人員發(fā)出告警。通過告警信息，安全運(yùn)維人員可采取阻斷有害連接、封堵終端 IP 等手段，及時處理安全事件。

2.4 脆弱性分析

近年來珠江委信息化建設(shè)不斷取得新突破，網(wǎng)內(nèi)新上線的各類網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備逐步增多，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，相應(yīng)的網(wǎng)內(nèi)風(fēng)險(xiǎn)點(diǎn)也會同步增多，網(wǎng)內(nèi)更易出現(xiàn)安全問題。態(tài)勢感知平臺需要能夠結(jié)合資產(chǎn)信息對漏洞隱患進(jìn)行分析，并對網(wǎng)內(nèi)脆弱性的分布、趨勢、處置時間進(jìn)行統(tǒng)計(jì)分析。

3 珠江委網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)

為確保網(wǎng)絡(luò)安全態(tài)勢感知平臺能夠?qū)崟r、準(zhǔn)確地顯示珠江委整個網(wǎng)絡(luò)安全態(tài)勢狀況，全面呈現(xiàn)網(wǎng)內(nèi)潛在風(fēng)險(xiǎn)，實(shí)現(xiàn)網(wǎng)絡(luò)安全防控風(fēng)險(xiǎn)關(guān)口前移，涉及許多相關(guān)的技術(shù)問題，主要包括數(shù)據(jù)融合、事件關(guān)聯(lián)、威脅情報(bào)、態(tài)勢預(yù)測及可視化等技術(shù)。

3.1 數(shù)據(jù)融合技術(shù)

數(shù)據(jù)融合是在特定空間內(nèi)利用盡可能多的多源異構(gòu)數(shù)據(jù)進(jìn)行綜合處理，從而實(shí)現(xiàn)對一類事件的準(zhǔn)確識別與判斷[4]。水利網(wǎng)絡(luò)內(nèi)的多源異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)狀態(tài)差異較大，數(shù)據(jù)的格式、內(nèi)容、字段均有差異，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，這種差異會更為明顯。網(wǎng)絡(luò)安全態(tài)勢感知平臺通過數(shù)據(jù)融合技術(shù)將采集的多源異構(gòu)數(shù)據(jù)進(jìn)行歸一化融合，并從中提取 1 個特征矢量，平臺根據(jù)特征矢量做出屬性判決，從而判斷網(wǎng)絡(luò)內(nèi)存在的潛在風(fēng)險(xiǎn)。采用數(shù)據(jù)融合技術(shù)不僅減少了數(shù)據(jù)傳遞的工作量，還為網(wǎng)絡(luò)安全態(tài)勢感知平臺提供海量的數(shù)據(jù)資源。

3.2 事件關(guān)聯(lián)技術(shù)

采用事件關(guān)聯(lián)技術(shù)，網(wǎng)絡(luò)安全態(tài)勢感知平臺可對采集到的多個安全日志進(jìn)行關(guān)聯(lián)分析，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊行為重塑，為事件處置、責(zé)任追究等措施提供支持。目前主流的事件關(guān)聯(lián)技術(shù)包括基于規(guī)則、情境和行為的關(guān)聯(lián)分析方法。網(wǎng)絡(luò)安全態(tài)勢感知平臺采用設(shè)備報(bào)警的關(guān)聯(lián)分析方法，該類方法基于海量的設(shè)備日志、告警數(shù)據(jù)，采用大數(shù)據(jù)處理技術(shù)，過濾與系統(tǒng)無關(guān)的虛假和冗余安全事件，理清事件之間的相似、因果等關(guān)系，對事件進(jìn)行聚合處理，實(shí)現(xiàn)更準(zhǔn)確的安全報(bào)警。

3.3 態(tài)勢預(yù)測技術(shù)

預(yù)測是指對事物或現(xiàn)象將要發(fā)生的或目前不明確的情況進(jìn)行預(yù)先估計(jì)和推測的一種活動[5]。態(tài)勢預(yù)測就是根據(jù)網(wǎng)絡(luò)安全威脅發(fā)展變化的實(shí)際數(shù)據(jù)和歷史資料，運(yùn)用科學(xué)的理論、方法，各種經(jīng)驗(yàn)、判斷、知識，去推測、估計(jì)、分析其在未來一定時期內(nèi)可能的變化情況，該技術(shù)可輔助安全運(yùn)維人員對網(wǎng)絡(luò)內(nèi)未來一定時期的安全態(tài)勢進(jìn)行預(yù)測[6-7]。網(wǎng)絡(luò)安全態(tài)勢感知平臺采用數(shù)據(jù)熵預(yù)測模型進(jìn)行網(wǎng)內(nèi)安全態(tài)勢預(yù)測，對采集到的大量事件進(jìn)行源和目的地址熵的計(jì)算，同時也計(jì)算出源、目的地址熵每個時間點(diǎn)的基線值。利用 EWMA（指數(shù)加權(quán)移動平均）算法，將當(dāng)前時刻的熵值與學(xué)習(xí)期間的熵值進(jìn)行比對，判斷不同區(qū)域的地址熵?cái)?shù)據(jù)是否異常。通過數(shù)據(jù)熵預(yù)測模型，預(yù)測網(wǎng)絡(luò)風(fēng)險(xiǎn)發(fā)生類型、危害程度、影響范圍及發(fā)展趨勢。

3.4 可視化技術(shù)

可視化技術(shù)是利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)，將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來，并進(jìn)行交互處理的理論、方法和技術(shù)[8]。網(wǎng)絡(luò)安全態(tài)勢感知平臺主要采用的圖形有網(wǎng)格圖、矩陣圖、點(diǎn)陣圖、柱狀圖等，分析過程中常用到統(tǒng)計(jì)分析及大規(guī)模網(wǎng)絡(luò)與圖形數(shù)據(jù)處理等方法。在平臺分析的每個階段都充分利用可視化方法，將整體網(wǎng)絡(luò)安全態(tài)勢形成一個整體的網(wǎng)絡(luò)安全態(tài)勢圖，輔助安全運(yùn)維人員迅速定位網(wǎng)內(nèi)潛在威脅。

4 珠江委網(wǎng)絡(luò)安全態(tài)勢感知平臺設(shè)計(jì)

4.1 平臺概述

珠江委網(wǎng)絡(luò)安全態(tài)勢感知平臺實(shí)現(xiàn)的具體方法是：通過在網(wǎng)內(nèi)的互聯(lián)網(wǎng)區(qū)、業(yè)務(wù)應(yīng)用區(qū)、終端區(qū)、安全管理區(qū)等安全區(qū)域部署的流量探針，對各區(qū)域進(jìn)行全流量采集，實(shí)現(xiàn)包括 TCP 會話、HTTP頭部信息及事務(wù)、登錄行為等日志在內(nèi)的全數(shù)據(jù)收集。網(wǎng)絡(luò)安全態(tài)勢感知平臺根據(jù)數(shù)據(jù)的采集結(jié)果，對有價值的數(shù)據(jù)進(jìn)行加工存儲，融合第三方安全公司、互聯(lián)網(wǎng)安全應(yīng)急中心、中共中央網(wǎng)絡(luò)安全和信息化委員會辦公室（以下簡稱網(wǎng)信辦）、水利部信息中心等機(jī)構(gòu)的多方面情報(bào)，基于內(nèi)置的相關(guān)模型算法進(jìn)行關(guān)聯(lián)分析，最終形成可視化界面進(jìn)行數(shù)據(jù)展示。網(wǎng)絡(luò)安全態(tài)勢感知平臺將根據(jù)網(wǎng)絡(luò)現(xiàn)狀，結(jié)合網(wǎng)絡(luò)安全監(jiān)測需要，從資產(chǎn)管理、風(fēng)險(xiǎn)感知、預(yù)警管理多個維度對網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行監(jiān)測和分析，為水利行業(yè)有關(guān)單位的運(yùn)維人員提供整體的網(wǎng)絡(luò)安全態(tài)勢信息，主要技術(shù)路線如圖 1 所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知平臺技術(shù)路線示意圖

4.2 平臺架構(gòu)設(shè)計(jì)

珠江委網(wǎng)絡(luò)安全態(tài)勢感知平臺分為數(shù)據(jù)采集、存儲分析、核心業(yè)務(wù)和 BI 展示 4 個層次，架構(gòu)圖如圖 2 所示。

圖2 網(wǎng)絡(luò)安全態(tài)勢感知平臺架構(gòu)圖

4 個層次分析如下：

1）數(shù)據(jù)采集層。利用流量探針，對網(wǎng)內(nèi)各區(qū)域的網(wǎng)絡(luò)、安全等設(shè)備的日志數(shù)據(jù)進(jìn)行全面采集，并共享網(wǎng)信辦、水利部信息中心等單位的威脅情報(bào)。

2）存儲分析層。利用平臺內(nèi)置的各種模型算法，對采集的數(shù)據(jù)進(jìn)行轉(zhuǎn)換、存儲和分析。

3）核心業(yè)務(wù)層。主要包括資產(chǎn)管理、風(fēng)險(xiǎn)感知、預(yù)警管理等功能。

4）BI 展示層。對網(wǎng)內(nèi)整體安全態(tài)勢、安全預(yù)警、失陷風(fēng)險(xiǎn)等多維度的安全態(tài)勢信息進(jìn)行專題展示。

4.3 平臺功能設(shè)計(jì)

珠江委網(wǎng)絡(luò)安全態(tài)勢感知平臺主要包括資產(chǎn)管理、風(fēng)險(xiǎn)感知、預(yù)警管理和安全態(tài)勢信息專題展示等功能模塊。

4.3.1 資產(chǎn)管理

資產(chǎn)管理模塊將自動收集網(wǎng)絡(luò)中各類 IP 資產(chǎn)開放端口、協(xié)議、服務(wù)、應(yīng)用、版本、廠商等信息，輔助通過手工導(dǎo)入的方式獲取網(wǎng)內(nèi)資產(chǎn)數(shù)據(jù)，基于大數(shù)據(jù)的分類檢索和統(tǒng)計(jì)技術(shù)，實(shí)現(xiàn)網(wǎng)內(nèi)資產(chǎn)的發(fā)現(xiàn)、管理、變更比對、風(fēng)險(xiǎn)分析、信息整合等基本功能，從而使網(wǎng)絡(luò)安全治理過程達(dá)到自動化、標(biāo)準(zhǔn)化、持續(xù)化、可視化。安全運(yùn)維人員利用該模塊，一方面可全面掌握網(wǎng)絡(luò)內(nèi)部的變化情況，對 IT 資產(chǎn)的存活、新增等情況及時進(jìn)行監(jiān)測和跟蹤；另一方面，可對網(wǎng)內(nèi) IT 資產(chǎn)存在的潛在威脅進(jìn)行快速預(yù)警，對高危漏洞進(jìn)行準(zhǔn)確檢測。

4.3.2 風(fēng)險(xiǎn)感知

風(fēng)險(xiǎn)感知模塊通過態(tài)勢預(yù)測、數(shù)據(jù)融合等技術(shù)發(fā)現(xiàn)潛在的或已經(jīng)發(fā)生的網(wǎng)絡(luò)威脅事件并發(fā)出預(yù)警，以便采取有效的防護(hù)措施。安全運(yùn)維人員通過該模塊，可實(shí)時掌握分布于不同網(wǎng)段的威脅告警數(shù)據(jù)，并及時做出應(yīng)對。主要包括以下 3 個功能：

1）溯源分析。溯源分析是針對安全事件，進(jìn)行IP 回溯分析的流程，溯源分析通過源和目的 IP 進(jìn)行判斷，通過調(diào)查軌跡逐步定位到攻擊者所處位置。

2）關(guān)聯(lián)分析。采用數(shù)據(jù)融合技術(shù)能夠?qū)崟r地對采集到的不同類型的信息進(jìn)行歸一化和實(shí)時關(guān)聯(lián)分析，重塑網(wǎng)絡(luò)攻擊行為，并通過統(tǒng)一的控制臺界面實(shí)現(xiàn)實(shí)時、可視化的呈現(xiàn)，協(xié)助安全管理人員迅速準(zhǔn)確地識別有價值的安全事件。

3）威脅預(yù)警分析。采用基于數(shù)據(jù)熵預(yù)測模型的態(tài)勢預(yù)測技術(shù)，對網(wǎng)絡(luò)上已經(jīng)發(fā)生的或可能要發(fā)生的網(wǎng)絡(luò)攻擊事件進(jìn)行有效、合理的分析，及時發(fā)現(xiàn)網(wǎng)內(nèi)威脅傾向，并發(fā)出威脅預(yù)警。

4.3.3 預(yù)警管理

預(yù)警管理模塊通過獲取風(fēng)險(xiǎn)感知子系統(tǒng)發(fā)現(xiàn)的安全事件、安全威脅、漏洞等威脅信息，結(jié)合威脅情報(bào)信息進(jìn)行深入分析，形成有效的安全預(yù)警信息，并及時通知安全運(yùn)維人員。當(dāng)發(fā)現(xiàn)威脅信息后，安全監(jiān)測人員可利用預(yù)警管理模塊對威脅信息進(jìn)行分析研判，并根據(jù)研判結(jié)果進(jìn)行相應(yīng)的處置。主要實(shí)現(xiàn)以下 3 種預(yù)警管理：

1）風(fēng)險(xiǎn)預(yù)警。風(fēng)險(xiǎn)預(yù)警體現(xiàn)珠江委網(wǎng)絡(luò)內(nèi)未被處置的安全威脅信息的風(fēng)險(xiǎn)評估結(jié)果，因此風(fēng)險(xiǎn)統(tǒng)計(jì)依據(jù)是所有的未處置完成的告警信息，可直觀地反映統(tǒng)計(jì)時間點(diǎn)未完成事件工單的風(fēng)險(xiǎn)狀態(tài)。

2）安全威脅預(yù)警。安全威脅預(yù)警是針對珠江委網(wǎng)絡(luò)上可能要發(fā)生的網(wǎng)絡(luò)攻擊事件進(jìn)行的檢測及告警，通過使用各種有效的方式分析不同安全設(shè)備采集的網(wǎng)絡(luò)安全事件，預(yù)測網(wǎng)絡(luò)安全態(tài)勢和攻擊事件。主要以全流量采集與分析技術(shù)為源數(shù)據(jù)采集方法，并結(jié)合安全設(shè)備日志預(yù)測潛在的或已經(jīng)發(fā)生的網(wǎng)絡(luò)威脅事件并發(fā)出預(yù)警，以便采取有效的防護(hù)措施。安全威脅預(yù)警對采集的告警數(shù)據(jù)進(jìn)行全面分析，發(fā)現(xiàn)潛在威脅，并給出威脅預(yù)警。

3）安全事件預(yù)警。安全事件預(yù)警是利用部署在網(wǎng)內(nèi)的探針獲取安全信息，結(jié)合相應(yīng)的分析模型，對珠江委網(wǎng)絡(luò)內(nèi)已經(jīng)發(fā)現(xiàn)的安全事件進(jìn)行準(zhǔn)確的感知和預(yù)警。安全事件預(yù)警以威脅檢測技術(shù)獲取的數(shù)據(jù)為源數(shù)據(jù)，結(jié)合安全攻防人員對技戰(zhàn)法的研發(fā)，對已經(jīng)發(fā)現(xiàn)的安全事件進(jìn)行感知并及時發(fā)出預(yù)警，以便采取有效的防護(hù)措施。常見的安全事件有暴力破解、同一源向外部發(fā)送大量郵件、檢測到隱藏在本地的 FTP（文件傳輸協(xié)議）服務(wù)器等。

4.3.4 安全態(tài)勢信息專題展示

安全態(tài)勢信息專題展示模塊利用可視化技術(shù)，將網(wǎng)內(nèi)的整體安全狀況、安全預(yù)警、外聯(lián)風(fēng)險(xiǎn)和橫向威脅等多維度的安全態(tài)勢信息進(jìn)行專題展示，將抽象的網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)進(jìn)行可視化呈現(xiàn)，輔助安全運(yùn)維人員快速掌握網(wǎng)絡(luò)安全事件發(fā)展趨勢。

5 珠江委網(wǎng)絡(luò)安全態(tài)勢感知平臺應(yīng)用

2021年，珠江委作為協(xié)同防守方參加公安部組織的網(wǎng)絡(luò)安全攻防演習(xí)。演習(xí)期間，珠江委依托網(wǎng)絡(luò)安全態(tài)勢感知平臺開展網(wǎng)內(nèi)風(fēng)險(xiǎn)排查、事件分析、安全監(jiān)測、安全預(yù)警等工作，建立了事先梳理、風(fēng)險(xiǎn)感知、安全監(jiān)測、事件分析、事件處置的主動防御體系。演習(xí)期間，平臺日均監(jiān)測境內(nèi)外疑似攻擊行為 1 萬起以上，惡意 IP 300 條以上，通過對監(jiān)測發(fā)現(xiàn)的疑似網(wǎng)絡(luò)攻擊事件、異常網(wǎng)絡(luò)流量、病毒木馬程序等情況進(jìn)行綜合分析研判，安全運(yùn)維人員根據(jù)相關(guān)告警信息完成應(yīng)急處置，整個演習(xí)期間珠江委未出現(xiàn)重要信息系統(tǒng)被攻破的情況。

5.1 安全監(jiān)測能力顯著提高

珠江委網(wǎng)絡(luò)安全態(tài)勢感知平臺的引入使珠江委網(wǎng)絡(luò)安全防護(hù)能力得到明顯增強(qiáng)。本次演習(xí)，安全運(yùn)維人員充分利用平臺的風(fēng)險(xiǎn)感知、預(yù)警管理等功能，基本實(shí)現(xiàn)了對整個珠江水利網(wǎng)網(wǎng)絡(luò)安全態(tài)勢的精準(zhǔn)研判，為下一步安全事件處置打好了基礎(chǔ)。同時，通過與漏洞掃描、下一代防火墻、APT（高級持續(xù)威脅）預(yù)警平臺等工具協(xié)同使用，基本形成了網(wǎng)內(nèi)風(fēng)險(xiǎn)排查、感知、分析、處置全過程閉環(huán)管理機(jī)制，取得了較好的應(yīng)用效果。

5.2 主動防御能力明顯提升

通過珠江委網(wǎng)絡(luò)安全態(tài)勢感知平臺的使用，安全運(yùn)維人員可第一時間定位網(wǎng)內(nèi)存在的潛在風(fēng)險(xiǎn)點(diǎn)，及時采取關(guān)閉相應(yīng)端口、封堵 IP、調(diào)整系統(tǒng)訪問策略等加固措施，避免了風(fēng)險(xiǎn)進(jìn)一步擴(kuò)大?；緦?shí)現(xiàn)了防護(hù)手段由傳統(tǒng)的事中單點(diǎn)處理向事前持續(xù)預(yù)警、事中協(xié)同響應(yīng)和事后回溯優(yōu)化轉(zhuǎn)變，有效提升了珠江委網(wǎng)絡(luò)安全的主動防御能力。

5.3 重要信息系統(tǒng)均未失陷

演習(xí)期間，珠江委關(guān)鍵信息基礎(chǔ)設(shè)施、等保三級應(yīng)用系統(tǒng)、水利工程控制系統(tǒng)、門戶網(wǎng)站、綜合辦公系統(tǒng)、外網(wǎng)電子郵件系統(tǒng)、帶有“國家、水利部或者珠江”名稱的業(yè)務(wù)系統(tǒng)和面向互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用系統(tǒng)（包括微信公眾號）等應(yīng)用均未發(fā)生被攻陷情況，各業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行情況良好。

6 結(jié)語

網(wǎng)絡(luò)安全態(tài)勢感知平臺在珠江委網(wǎng)絡(luò)安全防護(hù)中的具體實(shí)踐表明：平臺解決了攻擊行為重塑、安全威脅預(yù)警等問題，能夠更好地輔助網(wǎng)絡(luò)安全防護(hù)的日常工作。但目前網(wǎng)絡(luò)安全態(tài)勢感知平臺尚未完全實(shí)現(xiàn)平臺與硬件設(shè)備的實(shí)時聯(lián)動，在關(guān)閉端口、封堵 IP 等方面仍未全面實(shí)現(xiàn)自動化，今后仍需進(jìn)一步研究。

網(wǎng)絡(luò)安全態(tài)勢感知平臺的使用，顯著提高了網(wǎng)絡(luò)安全主動防護(hù)水平，對降低安全運(yùn)維人員工作強(qiáng)度，提升網(wǎng)內(nèi)安全態(tài)勢研判準(zhǔn)確性等方面有重要實(shí)用意義。

下一步要在水利行業(yè)內(nèi)加快推進(jìn)網(wǎng)絡(luò)態(tài)勢感知技術(shù)的應(yīng)用，打造全國水利網(wǎng)絡(luò)安全防護(hù)一盤棋，為新發(fā)展階段的水利行業(yè)高質(zhì)量發(fā)展保駕護(hù)航。