張 潮，房志剛，郭 冉

（1.水利部信息中心，100053，北京；2.北京金水信息技術(shù)發(fā)展有限公司，100053，北京）

“十四五”是全面推進(jìn)智慧水利建設(shè)的關(guān)鍵時(shí)期，水利部部長(zhǎng)李國(guó)英強(qiáng)調(diào)要加快建設(shè)、持續(xù)完善具有強(qiáng)大“四預(yù)”功能的數(shù)字孿生流域。隨著智慧水利建設(shè)不斷推進(jìn)，水利信息網(wǎng)不可避免地需要進(jìn)一步開(kāi)放共享，大數(shù)據(jù)、人工智能等新技術(shù)必將與水利業(yè)務(wù)深度融合，網(wǎng)絡(luò)空間與物理世界的邊界逐漸模糊，給網(wǎng)絡(luò)安全帶來(lái)嚴(yán)峻挑戰(zhàn)，亟須構(gòu)建面向智慧水利的網(wǎng)絡(luò)安全技術(shù)體系。

一、智慧水利網(wǎng)絡(luò)安全技術(shù)體系的短板與不足

1.新技術(shù)安全防護(hù)能力缺乏

信息技術(shù)飛速發(fā)展，智慧水利業(yè)務(wù)充分運(yùn)用物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、人工智能、數(shù)字孿生等新一代信息技術(shù)建設(shè)和運(yùn)行，傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)手段已經(jīng)無(wú)法滿足云計(jì)算虛擬化、大數(shù)據(jù)存儲(chǔ)、移動(dòng)互聯(lián)網(wǎng)融合、數(shù)字孿生仿真等新技術(shù)、新場(chǎng)景的需求。同時(shí)伴隨著新技術(shù)的發(fā)展和移動(dòng)互聯(lián)網(wǎng)的應(yīng)用，網(wǎng)絡(luò)攻擊行為的組織性、目的性、嚴(yán)重性日趨突出，自動(dòng)化程度越來(lái)越高，發(fā)現(xiàn)并利用安全漏洞用時(shí)越來(lái)越短，給水利網(wǎng)絡(luò)安全帶來(lái)嚴(yán)峻挑戰(zhàn)，而現(xiàn)有水利網(wǎng)絡(luò)安全防護(hù)能力相對(duì)缺乏，無(wú)法滿足安全需求。

2.監(jiān)測(cè)預(yù)警能力較為薄弱

智慧水利建設(shè)范圍涉及水利部本級(jí)、流域管理機(jī)構(gòu)、省級(jí)水行政主管部門(mén)，以及大型和重要工程管理單位、中小型工程管理單位等各級(jí)水利部門(mén)，但目前水利網(wǎng)絡(luò)安全態(tài)勢(shì)感知和威脅監(jiān)測(cè)的覆蓋范圍有限，難以全面有效發(fā)現(xiàn)潛在的安全威脅或攻擊事件。

3.應(yīng)用本體安全水平較差

智慧水利業(yè)務(wù)按照“大數(shù)據(jù)、大平臺(tái)、大安全”原則布局，與之對(duì)應(yīng)的業(yè)務(wù)應(yīng)用本體安全性檢測(cè)十分重要。傳統(tǒng)業(yè)務(wù)系統(tǒng)開(kāi)發(fā)僅注重滿足業(yè)務(wù)應(yīng)用的功能要求，安全性欠缺，應(yīng)用漏洞較多，尤其是邏輯炸彈、越權(quán)訪問(wèn)等極易被利用的安全漏洞給應(yīng)用本體及水利網(wǎng)絡(luò)安全帶來(lái)較大風(fēng)險(xiǎn)隱患。

4.網(wǎng)絡(luò)安全合規(guī)性有待完善

根據(jù)網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法以及網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，水利網(wǎng)絡(luò)安全防護(hù)的合規(guī)性有待補(bǔ)充完善。

二、智慧水利網(wǎng)絡(luò)安全技術(shù)體系構(gòu)建的目標(biāo)與思路

1.構(gòu)建目標(biāo)

構(gòu)建與智慧水利發(fā)展相協(xié)調(diào)的、全面主動(dòng)的智慧水利網(wǎng)絡(luò)安全技術(shù)體系，進(jìn)一步提升水利網(wǎng)絡(luò)安全縱深防御、監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)能力，充分保障智慧水利建設(shè)與運(yùn)行，滿足水利N項(xiàng)業(yè)務(wù)智能應(yīng)用的安全需求，為新階段水利高質(zhì)量發(fā)展提供安全支撐。

2.總體思路

（1）綜合防御

隨著網(wǎng)絡(luò)攻擊手段不斷升級(jí)，傳統(tǒng)安全基線管理、主機(jī)防火墻隔離等防護(hù)措施已顯薄弱。數(shù)據(jù)加密、安全沙箱、態(tài)勢(shì)感知等新技術(shù)推動(dòng)網(wǎng)絡(luò)安全防護(hù)能力不斷提升，已由單一性防御向綜合性防御轉(zhuǎn)變。在應(yīng)對(duì)動(dòng)態(tài)、多變、高強(qiáng)度網(wǎng)絡(luò)攻擊時(shí)，基于特征檢測(cè)的防御技術(shù)手段存在較大局限性，而以動(dòng)態(tài)化、實(shí)時(shí)化、主動(dòng)化理念，基于人工智能模型、大數(shù)據(jù)分析技術(shù)，通過(guò)對(duì)數(shù)據(jù)的實(shí)時(shí)、持續(xù)分析，自適應(yīng)地全面應(yīng)對(duì)已知攻擊、未知威脅的綜合性防御的網(wǎng)絡(luò)安全防御模式成為必然選擇。

（2）數(shù)據(jù)驅(qū)動(dòng)

以數(shù)據(jù)為核心進(jìn)行網(wǎng)絡(luò)安全決策和指揮，構(gòu)建以數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)安全體系，實(shí)現(xiàn)威脅檢測(cè)、威脅防御、威脅響應(yīng)的網(wǎng)絡(luò)安全閉環(huán)管理。威脅檢測(cè)，即通過(guò)收集和檢測(cè)網(wǎng)絡(luò)流量、終端行為、文件內(nèi)容、業(yè)務(wù)行為等，全面感知水利網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層、數(shù)據(jù)層、終端層安全運(yùn)行狀況；威脅防御，即通過(guò)安全數(shù)據(jù)關(guān)聯(lián)分析，有效識(shí)別并及時(shí)阻斷已知或未知威脅，增強(qiáng)網(wǎng)絡(luò)安全防御能力；威脅響應(yīng)，即通過(guò)人與安全平臺(tái)的協(xié)同，準(zhǔn)確分析、研判并半自動(dòng)化或自動(dòng)化處置威脅事件，上級(jí)監(jiān)管部門(mén)、下級(jí)單位情報(bào)共享，提升威脅預(yù)防能力。

三、面向智慧水利的網(wǎng)絡(luò)安全技術(shù)體系構(gòu)建

面向智慧水利的網(wǎng)絡(luò)安全技術(shù)體系主要由縱深防御體系、監(jiān)測(cè)預(yù)警體系和應(yīng)急響應(yīng)體系構(gòu)成?？v深防御體系主要通過(guò)優(yōu)化傳統(tǒng)的縱深防御基礎(chǔ)防護(hù)策略，實(shí)現(xiàn)可對(duì)抗有組織攻擊的縱深防御能力；監(jiān)測(cè)預(yù)警體系主要通過(guò)提升網(wǎng)絡(luò)威脅感知能力，建立可上下聯(lián)動(dòng)的主動(dòng)監(jiān)測(cè)預(yù)警機(jī)制；應(yīng)急響應(yīng)體系主要基于監(jiān)測(cè)預(yù)警支撐，實(shí)現(xiàn)可及時(shí)處置事件的應(yīng)急響應(yīng)能力。

1.縱深防御體系

隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展，基于工具和個(gè)人的網(wǎng)絡(luò)攻擊逐步演化為大規(guī)模有組織的網(wǎng)絡(luò)安全攻擊，攻擊類(lèi)型也逐步從蠕蟲(chóng)、木馬、口令攻擊、分布式拒絕服務(wù)（DDOS）演化到網(wǎng)絡(luò)釣魚(yú)、漏洞攻擊（0DAY 漏洞）、勒索軟件攻擊、高級(jí)持續(xù)威脅（APT）攻擊等，可對(duì)抗有組織攻擊的縱深防御體系建設(shè)需求日益突出。依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0“一個(gè)中心，三重防護(hù)”（安全管理中心，安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)）理念，全面提升水利網(wǎng)絡(luò)安全縱深防御能力。

網(wǎng)絡(luò)安全縱深防御體系包括基礎(chǔ)防護(hù)、組件服務(wù)和數(shù)據(jù)采集?；A(chǔ)防護(hù)是網(wǎng)絡(luò)安全等級(jí)保護(hù)合規(guī)性要求的技術(shù)實(shí)現(xiàn)；組件服務(wù)是保障智慧水利業(yè)務(wù)安全應(yīng)用運(yùn)行的必備條件；數(shù)據(jù)采集主要用于采集外部網(wǎng)絡(luò)安全情報(bào)和網(wǎng)絡(luò)內(nèi)與網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)信息（如圖1）。

圖1 智慧水利網(wǎng)絡(luò)安全縱深防御體系

（1）基礎(chǔ)防護(hù)

物理環(huán)境安全。建立水利標(biāo)準(zhǔn)網(wǎng)絡(luò)機(jī)房，并對(duì)門(mén)禁、卡片、人員、權(quán)限、報(bào)警等進(jìn)行一體化管理。

通信網(wǎng)絡(luò)安全。通過(guò)部署水利虛擬專(zhuān)用網(wǎng)（VPN），對(duì)通信鏈路加密傳輸，通信線纜采用屏蔽線纜或光纖，防止信息傳輸過(guò)程中的非法監(jiān)聽(tīng)和信息泄露。

區(qū)域邊界安全。通過(guò)在水利網(wǎng)絡(luò)區(qū)域邊界部署防火墻、APT攻擊入侵檢測(cè)系統(tǒng)、數(shù)據(jù)防泄漏設(shè)備、安全審計(jì)設(shè)備等實(shí)現(xiàn)區(qū)域邊界安全。

計(jì)算環(huán)境安全。通過(guò)在水利網(wǎng)絡(luò)計(jì)算環(huán)境部署安全資源池、主機(jī)安全防護(hù)系統(tǒng)、數(shù)據(jù)庫(kù)防火墻、應(yīng)用開(kāi)發(fā)安全管理平臺(tái)等實(shí)現(xiàn)計(jì)算環(huán)境安全。

（2）組件服務(wù)

統(tǒng)一身份認(rèn)證服務(wù)。建立水利多因子身份認(rèn)證體系，實(shí)現(xiàn)系統(tǒng)單點(diǎn)登錄、水利用戶統(tǒng)一管理。

統(tǒng)一密碼服務(wù)。建立符合國(guó)家密碼算法（SM1-SM4）要求的密碼服務(wù)體系，為智慧水利業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)提供密碼服務(wù)。

統(tǒng)一容災(zāi)備份服務(wù)。建立水利同城和異地災(zāi)備中心，為智慧水利業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)提供容災(zāi)備份、快速恢復(fù)服務(wù)。

統(tǒng)一威脅情報(bào)服務(wù)。建立水利安全情報(bào)中心，完善情報(bào)交換機(jī)制，為安全威脅分析預(yù)警提供情報(bào)服務(wù)。

（3）數(shù)據(jù)采集

安全日志采集。針對(duì)水利網(wǎng)絡(luò)內(nèi)部各類(lèi)安全設(shè)備或安全軟件（包括交換機(jī)、路由器、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)審計(jì)、主機(jī)安全防護(hù)軟件等）進(jìn)行日志采集。

網(wǎng)絡(luò)流量采集。對(duì)水利關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)通信流量進(jìn)行全流量采集和還原，形成標(biāo)準(zhǔn)化日志，完成高級(jí)威脅攻擊檢測(cè)，同時(shí)為追蹤溯源提供本地?cái)?shù)據(jù)支撐。

威脅情報(bào)采集。威脅情報(bào)主要包含三方商業(yè)情報(bào)、開(kāi)源情報(bào)、高級(jí)情報(bào)等，主要來(lái)自第三方安全公司、互聯(lián)網(wǎng)安全應(yīng)急中心等機(jī)構(gòu)，利用相應(yīng)接口同步至水利網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)。

2.監(jiān)測(cè)預(yù)警體系

充分利用網(wǎng)絡(luò)安全威脅情報(bào)，對(duì)安全數(shù)據(jù)進(jìn)行采集分析，采用大數(shù)據(jù)、人工智能等技術(shù)，基于水利網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)，開(kāi)發(fā)業(yè)務(wù)融合、覆蓋全攻擊鏈的監(jiān)測(cè)算法模型，構(gòu)建水利網(wǎng)絡(luò)安全威脅感知預(yù)警系統(tǒng)，實(shí)現(xiàn)全天候全方位監(jiān)測(cè)預(yù)警。

網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系以大數(shù)據(jù)平臺(tái)為基礎(chǔ)，將從大數(shù)據(jù)平臺(tái)獲取的風(fēng)險(xiǎn)數(shù)據(jù)結(jié)合資產(chǎn)信息進(jìn)行分析，找出網(wǎng)絡(luò)中存在的安全威脅或攻擊事件，進(jìn)行實(shí)時(shí)感知和預(yù)警，同時(shí)實(shí)現(xiàn)省級(jí)以上水行政主管部門(mén)及大中型工程管理單位之間的數(shù)據(jù)共享（如圖2）。

圖2 智慧水利網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系

（1）水利網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)

水利網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)主要由數(shù)據(jù)治理、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)、計(jì)算分析等模塊組成，可接收安全設(shè)備采集的網(wǎng)絡(luò)安全數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行預(yù)處理、存儲(chǔ)、分析計(jì)算等，通過(guò)方便靈活的高性能接口，為上層業(yè)務(wù)系統(tǒng)提供必需的數(shù)據(jù)服務(wù)。

（2）水利網(wǎng)絡(luò)安全威脅感知預(yù)警系統(tǒng)

水利網(wǎng)絡(luò)安全威脅感知預(yù)警系統(tǒng)從資產(chǎn)管理、風(fēng)險(xiǎn)感知、預(yù)警管理等方面對(duì)水利網(wǎng)絡(luò)可能存在的安全威脅、安全事件進(jìn)行分析并及時(shí)通報(bào)預(yù)警，協(xié)助安全運(yùn)維人員快速、及時(shí)、準(zhǔn)確地掌握水利網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

（3）水利網(wǎng)絡(luò)安全信息共享交換

水利網(wǎng)絡(luò)安全信息共享交換主要指水利行業(yè)內(nèi)單位之間安全數(shù)據(jù)交換，以及水利部為其他行業(yè)提供的安全數(shù)據(jù)服務(wù)。主要共享交換的安全信息包括威脅情報(bào)、安全事件、通知通告等。

3.應(yīng)急響應(yīng)體系

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系建設(shè)基于水利網(wǎng)絡(luò)安全威脅感知預(yù)警系統(tǒng)獲取網(wǎng)絡(luò)安全預(yù)警信息及資產(chǎn)信息，在決策指揮系統(tǒng)中生成相應(yīng)的安全應(yīng)急處置任務(wù)。主要包括預(yù)案管理、事件處置、應(yīng)急演練、綜合展示等內(nèi)容（如圖3）。

圖3 智慧水利網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系建設(shè)的核心是水利應(yīng)急決策與指揮系統(tǒng)，在已發(fā)生或可能發(fā)生網(wǎng)絡(luò)安全事件時(shí)，系統(tǒng)可支撐應(yīng)急響應(yīng)的監(jiān)控、分析、協(xié)調(diào)、處理，以及保護(hù)資產(chǎn)安全、總結(jié)復(fù)盤(pán)等工作。同時(shí)，建立安全設(shè)備之間協(xié)同聯(lián)動(dòng)機(jī)制，利用人工智能技術(shù)強(qiáng)化告警日志標(biāo)準(zhǔn)化和關(guān)聯(lián)分析規(guī)則，逐步將人工處置轉(zhuǎn)化為半自動(dòng)、自動(dòng)化處置，實(shí)現(xiàn)水利應(yīng)急決策與指揮系統(tǒng)自動(dòng)化分析研判、自動(dòng)化響應(yīng)、自動(dòng)化處置，全面提升系統(tǒng)的自主判斷和決策處置能力。

（1）預(yù)案管理

通過(guò)總結(jié)安全事件生成安全分析案例，歸入案例庫(kù)，并對(duì)預(yù)案進(jìn)行指標(biāo)評(píng)估和執(zhí)行再評(píng)估，形成結(jié)構(gòu)化預(yù)案，對(duì)事件進(jìn)行自動(dòng)響應(yīng)識(shí)別，并提供事件處置流程預(yù)案支持。

（2）事件處置

按照國(guó)家和水利部有關(guān)網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)規(guī)范和指南，確定不同類(lèi)別和級(jí)別事件處置的指揮流程與處置要求。根據(jù)水利網(wǎng)絡(luò)安全威脅感知預(yù)警系統(tǒng)產(chǎn)生的安全事件信息，提供事件分析研判、事件響應(yīng)處置等全流程管理。

（3）應(yīng)急演練

根據(jù)水利網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案內(nèi)容及事件分類(lèi)，以任務(wù)形式編排安全事件，同時(shí)實(shí)現(xiàn)預(yù)案電子化處理，對(duì)相關(guān)安全應(yīng)急事件進(jìn)行演練和全過(guò)程管理。

（4）綜合展示

在網(wǎng)絡(luò)安全威脅感知系統(tǒng)和網(wǎng)絡(luò)安全決策指揮系統(tǒng)的基礎(chǔ)上，讀取威脅感知分析結(jié)果和決策信息，可視化展示水利網(wǎng)絡(luò)安全態(tài)勢(shì)、面臨的安全風(fēng)險(xiǎn)或遭受的攻擊事件以及處置狀態(tài)。

4.行 業(yè)安全防護(hù)聯(lián)動(dòng)

面向智慧水利的網(wǎng)絡(luò)安全技術(shù)體系覆蓋省級(jí)及以上水行政主管部門(mén)、大型和重要工程管理單位、中小型工程管理單位等各級(jí)水利部門(mén)，逐步形成“統(tǒng)一指揮、協(xié)同作戰(zhàn)”的行業(yè)安全防護(hù)聯(lián)動(dòng)機(jī)制，滿足水利行業(yè)共享網(wǎng)絡(luò)安全威脅情報(bào)及聯(lián)防聯(lián)控需求，實(shí)現(xiàn)水利網(wǎng)絡(luò)安全“一盤(pán)棋”的整體格局，切實(shí)提升智慧水利網(wǎng)絡(luò)安全防護(hù)能力。

行業(yè)安全防護(hù)聯(lián)動(dòng)自上至下分為三個(gè)層級(jí)，分別構(gòu)建相應(yīng)級(jí)別的智慧水利威脅感知應(yīng)急指揮平臺(tái)。各級(jí)平臺(tái)間相互聯(lián)動(dòng)，共享網(wǎng)絡(luò)安全威脅情報(bào)，形成行業(yè)整體聯(lián)防聯(lián)控體系。

①部級(jí)節(jié)點(diǎn)。建立智慧水利中央威脅感知應(yīng)急指揮平臺(tái)，提升全行業(yè)安全態(tài)勢(shì)感知、網(wǎng)絡(luò)安全資源調(diào)度、全網(wǎng)各級(jí)聯(lián)動(dòng)處置能力，實(shí)現(xiàn)全網(wǎng)態(tài)勢(shì)感知和決策指揮。

②省級(jí)（流域）節(jié)點(diǎn)和大型、重要中型工程管理單位節(jié)點(diǎn)。省級(jí)（流域）節(jié)點(diǎn)建立省級(jí)（流域）智慧水利威脅感知應(yīng)急指揮平臺(tái)，提升本轄區(qū)的安全態(tài)勢(shì)感知、網(wǎng)絡(luò)安全資源調(diào)度、聯(lián)動(dòng)處置能力；大型和重要中型工程管理單位節(jié)點(diǎn)建立本單位智慧水利威脅感知應(yīng)急指揮平臺(tái)，提升單位內(nèi)部安全態(tài)勢(shì)感知、網(wǎng)絡(luò)安全資源調(diào)度、聯(lián)動(dòng)處置能力。同時(shí)，助力實(shí)現(xiàn)全網(wǎng)態(tài)勢(shì)感知和決策指揮。