張 潮,房志剛,郭 冉
(1.水利部信息中心,100053,北京;2.北京金水信息技術(shù)發(fā)展有限公司,100053,北京)
“十四五”是全面推進(jìn)智慧水利建設(shè)的關(guān)鍵時(shí)期,水利部部長(zhǎng)李國(guó)英強(qiáng)調(diào)要加快建設(shè)、持續(xù)完善具有強(qiáng)大“四預(yù)”功能的數(shù)字孿生流域。隨著智慧水利建設(shè)不斷推進(jìn),水利信息網(wǎng)不可避免地需要進(jìn)一步開(kāi)放共享,大數(shù)據(jù)、人工智能等新技術(shù)必將與水利業(yè)務(wù)深度融合,網(wǎng)絡(luò)空間與物理世界的邊界逐漸模糊,給網(wǎng)絡(luò)安全帶來(lái)嚴(yán)峻挑戰(zhàn),亟須構(gòu)建面向智慧水利的網(wǎng)絡(luò)安全技術(shù)體系。
信息技術(shù)飛速發(fā)展,智慧水利業(yè)務(wù)充分運(yùn)用物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、人工智能、數(shù)字孿生等新一代信息技術(shù)建設(shè)和運(yùn)行,傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)手段已經(jīng)無(wú)法滿足云計(jì)算虛擬化、大數(shù)據(jù)存儲(chǔ)、移動(dòng)互聯(lián)網(wǎng)融合、數(shù)字孿生仿真等新技術(shù)、新場(chǎng)景的需求。同時(shí)伴隨著新技術(shù)的發(fā)展和移動(dòng)互聯(lián)網(wǎng)的應(yīng)用,網(wǎng)絡(luò)攻擊行為的組織性、目的性、嚴(yán)重性日趨突出,自動(dòng)化程度越來(lái)越高,發(fā)現(xiàn)并利用安全漏洞用時(shí)越來(lái)越短,給水利網(wǎng)絡(luò)安全帶來(lái)嚴(yán)峻挑戰(zhàn),而現(xiàn)有水利網(wǎng)絡(luò)安全防護(hù)能力相對(duì)缺乏,無(wú)法滿足安全需求。
智慧水利建設(shè)范圍涉及水利部本級(jí)、流域管理機(jī)構(gòu)、省級(jí)水行政主管部門(mén),以及大型和重要工程管理單位、中小型工程管理單位等各級(jí)水利部門(mén),但目前水利網(wǎng)絡(luò)安全態(tài)勢(shì)感知和威脅監(jiān)測(cè)的覆蓋范圍有限,難以全面有效發(fā)現(xiàn)潛在的安全威脅或攻擊事件。
智慧水利業(yè)務(wù)按照“大數(shù)據(jù)、大平臺(tái)、大安全”原則布局,與之對(duì)應(yīng)的業(yè)務(wù)應(yīng)用本體安全性檢測(cè)十分重要。傳統(tǒng)業(yè)務(wù)系統(tǒng)開(kāi)發(fā)僅注重滿足業(yè)務(wù)應(yīng)用的功能要求,安全性欠缺,應(yīng)用漏洞較多,尤其是邏輯炸彈、越權(quán)訪問(wèn)等極易被利用的安全漏洞給應(yīng)用本體及水利網(wǎng)絡(luò)安全帶來(lái)較大風(fēng)險(xiǎn)隱患。
根據(jù)網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法以及網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,水利網(wǎng)絡(luò)安全防護(hù)的合規(guī)性有待補(bǔ)充完善。
構(gòu)建與智慧水利發(fā)展相協(xié)調(diào)的、全面主動(dòng)的智慧水利網(wǎng)絡(luò)安全技術(shù)體系,進(jìn)一步提升水利網(wǎng)絡(luò)安全縱深防御、監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)能力,充分保障智慧水利建設(shè)與運(yùn)行,滿足水利N項(xiàng)業(yè)務(wù)智能應(yīng)用的安全需求,為新階段水利高質(zhì)量發(fā)展提供安全支撐。
(1)綜合防御
隨著網(wǎng)絡(luò)攻擊手段不斷升級(jí),傳統(tǒng)安全基線管理、主機(jī)防火墻隔離等防護(hù)措施已顯薄弱。數(shù)據(jù)加密、安全沙箱、態(tài)勢(shì)感知等新技術(shù)推動(dòng)網(wǎng)絡(luò)安全防護(hù)能力不斷提升,已由單一性防御向綜合性防御轉(zhuǎn)變。在應(yīng)對(duì)動(dòng)態(tài)、多變、高強(qiáng)度網(wǎng)絡(luò)攻擊時(shí),基于特征檢測(cè)的防御技術(shù)手段存在較大局限性,而以動(dòng)態(tài)化、實(shí)時(shí)化、主動(dòng)化理念,基于人工智能模型、大數(shù)據(jù)分析技術(shù),通過(guò)對(duì)數(shù)據(jù)的實(shí)時(shí)、持續(xù)分析,自適應(yīng)地全面應(yīng)對(duì)已知攻擊、未知威脅的綜合性防御的網(wǎng)絡(luò)安全防御模式成為必然選擇。
(2)數(shù)據(jù)驅(qū)動(dòng)
以數(shù)據(jù)為核心進(jìn)行網(wǎng)絡(luò)安全決策和指揮,構(gòu)建以數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)安全體系,實(shí)現(xiàn)威脅檢測(cè)、威脅防御、威脅響應(yīng)的網(wǎng)絡(luò)安全閉環(huán)管理。威脅檢測(cè),即通過(guò)收集和檢測(cè)網(wǎng)絡(luò)流量、終端行為、文件內(nèi)容、業(yè)務(wù)行為等,全面感知水利網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層、數(shù)據(jù)層、終端層安全運(yùn)行狀況;威脅防御,即通過(guò)安全數(shù)據(jù)關(guān)聯(lián)分析,有效識(shí)別并及時(shí)阻斷已知或未知威脅,增強(qiáng)網(wǎng)絡(luò)安全防御能力;威脅響應(yīng),即通過(guò)人與安全平臺(tái)的協(xié)同,準(zhǔn)確分析、研判并半自動(dòng)化或自動(dòng)化處置威脅事件,上級(jí)監(jiān)管部門(mén)、下級(jí)單位情報(bào)共享,提升威脅預(yù)防能力。
面向智慧水利的網(wǎng)絡(luò)安全技術(shù)體系主要由縱深防御體系、監(jiān)測(cè)預(yù)警體系和應(yīng)急響應(yīng)體系構(gòu)成??v深防御體系主要通過(guò)優(yōu)化傳統(tǒng)的縱深防御基礎(chǔ)防護(hù)策略,實(shí)現(xiàn)可對(duì)抗有組織攻擊的縱深防御能力;監(jiān)測(cè)預(yù)警體系主要通過(guò)提升網(wǎng)絡(luò)威脅感知能力,建立可上下聯(lián)動(dòng)的主動(dòng)監(jiān)測(cè)預(yù)警機(jī)制;應(yīng)急響應(yīng)體系主要基于監(jiān)測(cè)預(yù)警支撐,實(shí)現(xiàn)可及時(shí)處置事件的應(yīng)急響應(yīng)能力。
隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展,基于工具和個(gè)人的網(wǎng)絡(luò)攻擊逐步演化為大規(guī)模有組織的網(wǎng)絡(luò)安全攻擊,攻擊類(lèi)型也逐步從蠕蟲(chóng)、木馬、口令攻擊、分布式拒絕服務(wù)(DDOS)演化到網(wǎng)絡(luò)釣魚(yú)、漏洞攻擊(0DAY 漏洞)、勒索軟件攻擊、高級(jí)持續(xù)威脅(APT)攻擊等,可對(duì)抗有組織攻擊的縱深防御體系建設(shè)需求日益突出。依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0“一個(gè)中心,三重防護(hù)”(安全管理中心,安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò))理念,全面提升水利網(wǎng)絡(luò)安全縱深防御能力。
網(wǎng)絡(luò)安全縱深防御體系包括基礎(chǔ)防護(hù)、組件服務(wù)和數(shù)據(jù)采集?;A(chǔ)防護(hù)是網(wǎng)絡(luò)安全等級(jí)保護(hù)合規(guī)性要求的技術(shù)實(shí)現(xiàn);組件服務(wù)是保障智慧水利業(yè)務(wù)安全應(yīng)用運(yùn)行的必備條件;數(shù)據(jù)采集主要用于采集外部網(wǎng)絡(luò)安全情報(bào)和網(wǎng)絡(luò)內(nèi)與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)信息(如圖1)。
圖1 智慧水利網(wǎng)絡(luò)安全縱深防御體系
(1)基礎(chǔ)防護(hù)
物理環(huán)境安全。建立水利標(biāo)準(zhǔn)網(wǎng)絡(luò)機(jī)房,并對(duì)門(mén)禁、卡片、人員、權(quán)限、報(bào)警等進(jìn)行一體化管理。
通信網(wǎng)絡(luò)安全。通過(guò)部署水利虛擬專(zhuān)用網(wǎng)(VPN),對(duì)通信鏈路加密傳輸,通信線纜采用屏蔽線纜或光纖,防止信息傳輸過(guò)程中的非法監(jiān)聽(tīng)和信息泄露。
區(qū)域邊界安全。通過(guò)在水利網(wǎng)絡(luò)區(qū)域邊界部署防火墻、APT攻擊入侵檢測(cè)系統(tǒng)、數(shù)據(jù)防泄漏設(shè)備、安全審計(jì)設(shè)備等實(shí)現(xiàn)區(qū)域邊界安全。
計(jì)算環(huán)境安全。通過(guò)在水利網(wǎng)絡(luò)計(jì)算環(huán)境部署安全資源池、主機(jī)安全防護(hù)系統(tǒng)、數(shù)據(jù)庫(kù)防火墻、應(yīng)用開(kāi)發(fā)安全管理平臺(tái)等實(shí)現(xiàn)計(jì)算環(huán)境安全。
(2)組件服務(wù)
統(tǒng)一身份認(rèn)證服務(wù)。建立水利多因子身份認(rèn)證體系,實(shí)現(xiàn)系統(tǒng)單點(diǎn)登錄、水利用戶統(tǒng)一管理。
統(tǒng)一密碼服務(wù)。建立符合國(guó)家密碼算法(SM1-SM4)要求的密碼服務(wù)體系,為智慧水利業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)提供密碼服務(wù)。
統(tǒng)一容災(zāi)備份服務(wù)。建立水利同城和異地災(zāi)備中心,為智慧水利業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)提供容災(zāi)備份、快速恢復(fù)服務(wù)。
統(tǒng)一威脅情報(bào)服務(wù)。建立水利安全情報(bào)中心,完善情報(bào)交換機(jī)制,為安全威脅分析預(yù)警提供情報(bào)服務(wù)。
(3)數(shù)據(jù)采集
安全日志采集。針對(duì)水利網(wǎng)絡(luò)內(nèi)部各類(lèi)安全設(shè)備或安全軟件(包括交換機(jī)、路由器、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)審計(jì)、主機(jī)安全防護(hù)軟件等)進(jìn)行日志采集。
網(wǎng)絡(luò)流量采集。對(duì)水利關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)通信流量進(jìn)行全流量采集和還原,形成標(biāo)準(zhǔn)化日志,完成高級(jí)威脅攻擊檢測(cè),同時(shí)為追蹤溯源提供本地?cái)?shù)據(jù)支撐。
威脅情報(bào)采集。威脅情報(bào)主要包含三方商業(yè)情報(bào)、開(kāi)源情報(bào)、高級(jí)情報(bào)等,主要來(lái)自第三方安全公司、互聯(lián)網(wǎng)安全應(yīng)急中心等機(jī)構(gòu),利用相應(yīng)接口同步至水利網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)。
充分利用網(wǎng)絡(luò)安全威脅情報(bào),對(duì)安全數(shù)據(jù)進(jìn)行采集分析,采用大數(shù)據(jù)、人工智能等技術(shù),基于水利網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái),開(kāi)發(fā)業(yè)務(wù)融合、覆蓋全攻擊鏈的監(jiān)測(cè)算法模型,構(gòu)建水利網(wǎng)絡(luò)安全威脅感知預(yù)警系統(tǒng),實(shí)現(xiàn)全天候全方位監(jiān)測(cè)預(yù)警。
網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系以大數(shù)據(jù)平臺(tái)為基礎(chǔ),將從大數(shù)據(jù)平臺(tái)獲取的風(fēng)險(xiǎn)數(shù)據(jù)結(jié)合資產(chǎn)信息進(jìn)行分析,找出網(wǎng)絡(luò)中存在的安全威脅或攻擊事件,進(jìn)行實(shí)時(shí)感知和預(yù)警,同時(shí)實(shí)現(xiàn)省級(jí)以上水行政主管部門(mén)及大中型工程管理單位之間的數(shù)據(jù)共享(如圖2)。
圖2 智慧水利網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系
(1)水利網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)
水利網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)主要由數(shù)據(jù)治理、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)、計(jì)算分析等模塊組成,可接收安全設(shè)備采集的網(wǎng)絡(luò)安全數(shù)據(jù),并對(duì)數(shù)據(jù)進(jìn)行預(yù)處理、存儲(chǔ)、分析計(jì)算等,通過(guò)方便靈活的高性能接口,為上層業(yè)務(wù)系統(tǒng)提供必需的數(shù)據(jù)服務(wù)。
(2)水利網(wǎng)絡(luò)安全威脅感知預(yù)警系統(tǒng)
水利網(wǎng)絡(luò)安全威脅感知預(yù)警系統(tǒng)從資產(chǎn)管理、風(fēng)險(xiǎn)感知、預(yù)警管理等方面對(duì)水利網(wǎng)絡(luò)可能存在的安全威脅、安全事件進(jìn)行分析并及時(shí)通報(bào)預(yù)警,協(xié)助安全運(yùn)維人員快速、及時(shí)、準(zhǔn)確地掌握水利網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
(3)水利網(wǎng)絡(luò)安全信息共享交換
水利網(wǎng)絡(luò)安全信息共享交換主要指水利行業(yè)內(nèi)單位之間安全數(shù)據(jù)交換,以及水利部為其他行業(yè)提供的安全數(shù)據(jù)服務(wù)。主要共享交換的安全信息包括威脅情報(bào)、安全事件、通知通告等。
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系建設(shè)基于水利網(wǎng)絡(luò)安全威脅感知預(yù)警系統(tǒng)獲取網(wǎng)絡(luò)安全預(yù)警信息及資產(chǎn)信息,在決策指揮系統(tǒng)中生成相應(yīng)的安全應(yīng)急處置任務(wù)。主要包括預(yù)案管理、事件處置、應(yīng)急演練、綜合展示等內(nèi)容(如圖3)。
圖3 智慧水利網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系建設(shè)的核心是水利應(yīng)急決策與指揮系統(tǒng),在已發(fā)生或可能發(fā)生網(wǎng)絡(luò)安全事件時(shí),系統(tǒng)可支撐應(yīng)急響應(yīng)的監(jiān)控、分析、協(xié)調(diào)、處理,以及保護(hù)資產(chǎn)安全、總結(jié)復(fù)盤(pán)等工作。同時(shí),建立安全設(shè)備之間協(xié)同聯(lián)動(dòng)機(jī)制,利用人工智能技術(shù)強(qiáng)化告警日志標(biāo)準(zhǔn)化和關(guān)聯(lián)分析規(guī)則,逐步將人工處置轉(zhuǎn)化為半自動(dòng)、自動(dòng)化處置,實(shí)現(xiàn)水利應(yīng)急決策與指揮系統(tǒng)自動(dòng)化分析研判、自動(dòng)化響應(yīng)、自動(dòng)化處置,全面提升系統(tǒng)的自主判斷和決策處置能力。
(1)預(yù)案管理
通過(guò)總結(jié)安全事件生成安全分析案例,歸入案例庫(kù),并對(duì)預(yù)案進(jìn)行指標(biāo)評(píng)估和執(zhí)行再評(píng)估,形成結(jié)構(gòu)化預(yù)案,對(duì)事件進(jìn)行自動(dòng)響應(yīng)識(shí)別,并提供事件處置流程預(yù)案支持。
(2)事件處置
按照國(guó)家和水利部有關(guān)網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)規(guī)范和指南,確定不同類(lèi)別和級(jí)別事件處置的指揮流程與處置要求。根據(jù)水利網(wǎng)絡(luò)安全威脅感知預(yù)警系統(tǒng)產(chǎn)生的安全事件信息,提供事件分析研判、事件響應(yīng)處置等全流程管理。
(3)應(yīng)急演練
根據(jù)水利網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案內(nèi)容及事件分類(lèi),以任務(wù)形式編排安全事件,同時(shí)實(shí)現(xiàn)預(yù)案電子化處理,對(duì)相關(guān)安全應(yīng)急事件進(jìn)行演練和全過(guò)程管理。
(4)綜合展示
在網(wǎng)絡(luò)安全威脅感知系統(tǒng)和網(wǎng)絡(luò)安全決策指揮系統(tǒng)的基礎(chǔ)上,讀取威脅感知分析結(jié)果和決策信息,可視化展示水利網(wǎng)絡(luò)安全態(tài)勢(shì)、面臨的安全風(fēng)險(xiǎn)或遭受的攻擊事件以及處置狀態(tài)。
面向智慧水利的網(wǎng)絡(luò)安全技術(shù)體系覆蓋省級(jí)及以上水行政主管部門(mén)、大型和重要工程管理單位、中小型工程管理單位等各級(jí)水利部門(mén),逐步形成“統(tǒng)一指揮、協(xié)同作戰(zhàn)”的行業(yè)安全防護(hù)聯(lián)動(dòng)機(jī)制,滿足水利行業(yè)共享網(wǎng)絡(luò)安全威脅情報(bào)及聯(lián)防聯(lián)控需求,實(shí)現(xiàn)水利網(wǎng)絡(luò)安全“一盤(pán)棋”的整體格局,切實(shí)提升智慧水利網(wǎng)絡(luò)安全防護(hù)能力。
行業(yè)安全防護(hù)聯(lián)動(dòng)自上至下分為三個(gè)層級(jí),分別構(gòu)建相應(yīng)級(jí)別的智慧水利威脅感知應(yīng)急指揮平臺(tái)。各級(jí)平臺(tái)間相互聯(lián)動(dòng),共享網(wǎng)絡(luò)安全威脅情報(bào),形成行業(yè)整體聯(lián)防聯(lián)控體系。
①部級(jí)節(jié)點(diǎn)。建立智慧水利中央威脅感知應(yīng)急指揮平臺(tái),提升全行業(yè)安全態(tài)勢(shì)感知、網(wǎng)絡(luò)安全資源調(diào)度、全網(wǎng)各級(jí)聯(lián)動(dòng)處置能力,實(shí)現(xiàn)全網(wǎng)態(tài)勢(shì)感知和決策指揮。
②省級(jí)(流域)節(jié)點(diǎn)和大型、重要中型工程管理單位節(jié)點(diǎn)。省級(jí)(流域)節(jié)點(diǎn)建立省級(jí)(流域)智慧水利威脅感知應(yīng)急指揮平臺(tái),提升本轄區(qū)的安全態(tài)勢(shì)感知、網(wǎng)絡(luò)安全資源調(diào)度、聯(lián)動(dòng)處置能力;大型和重要中型工程管理單位節(jié)點(diǎn)建立本單位智慧水利威脅感知應(yīng)急指揮平臺(tái),提升單位內(nèi)部安全態(tài)勢(shì)感知、網(wǎng)絡(luò)安全資源調(diào)度、聯(lián)動(dòng)處置能力。同時(shí),助力實(shí)現(xiàn)全網(wǎng)態(tài)勢(shì)感知和決策指揮。