在信息安全的新形勢新變化下，省級氣象部門應(yīng)加快科技創(chuàng)新，建設(shè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、業(yè)務(wù)安全一體化安全防護(hù)體系，提高服務(wù)保障能力，最大化發(fā)揮氣象信息支柱作用。本文針對氣象網(wǎng)絡(luò)信息安全工作的新變化，依據(jù)《中國氣象局網(wǎng)絡(luò)安全管理辦法》《中國氣象局網(wǎng)絡(luò)安全設(shè)計(jì)技術(shù)方案》，落實(shí)“三化六防”要求，按照“資源集約、業(yè)務(wù)協(xié)同”的原則，構(gòu)建針對省級氣象系統(tǒng)的安全態(tài)勢感知系統(tǒng)，實(shí)現(xiàn)全天候全方位網(wǎng)絡(luò)安全態(tài)勢感知，實(shí)現(xiàn)安全威脅的提前預(yù)判、及時(shí)發(fā)現(xiàn)和快速應(yīng)對。

網(wǎng)絡(luò)安全態(tài)勢感知是指對影響網(wǎng)絡(luò)安全的諸多要素進(jìn)行獲取、理解、評估以及預(yù)測未來的發(fā)展趨勢，是對網(wǎng)絡(luò)安全性定量分析的一種手段，是對網(wǎng)絡(luò)安全性的精細(xì)度量。網(wǎng)絡(luò)安全態(tài)勢感知已經(jīng)成為網(wǎng)絡(luò)安全2.0時(shí)代安全技術(shù)的焦點(diǎn)，對保障網(wǎng)絡(luò)安全起著非常重要的作用。

一、省級氣象安全需求分析

（一）全面安全監(jiān)測與數(shù)據(jù)采集需求

拓展省級本地化安全監(jiān)測措施，全面采集、監(jiān)測網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞、風(fēng)險(xiǎn)威脅等數(shù)據(jù)信息，與現(xiàn)有監(jiān)測手段、數(shù)據(jù)融合，建立全天候、深層次、常態(tài)化的安全監(jiān)測能力，準(zhǔn)確監(jiān)測全局性、整體性的安全威脅，響應(yīng)新形勢下的氣象網(wǎng)絡(luò)安全保護(hù)要求。

（二）全網(wǎng)安全檢測與發(fā)現(xiàn)需求

利用大數(shù)據(jù)技術(shù)以及深度威脅分析引擎，打造本地化的分析研判能力，為網(wǎng)絡(luò)安全業(yè)務(wù)開展提供準(zhǔn)確高價(jià)值的安全事件及安全情報(bào)信息，幫助全域網(wǎng)絡(luò)安全宏觀態(tài)勢和整體趨勢。

（三）整體安全態(tài)勢分析需求

從網(wǎng)絡(luò)安全綜合防控體系建設(shè)出發(fā)，構(gòu)建集約化的網(wǎng)絡(luò)安全分析機(jī)制，利用省級態(tài)勢感知平臺和地市州等相關(guān)單位網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)開展安全分析工作，在機(jī)器學(xué)習(xí)、威脅情報(bào)、大數(shù)據(jù)分析等有效技術(shù)手段的輔助下，持續(xù)、高效分析和挖掘網(wǎng)絡(luò)攻擊事件和安全威脅，實(shí)現(xiàn)全省安全分析能力協(xié)同、互補(bǔ)，達(dá)到有效提升安全分析能力的目的。

傳統(tǒng)依賴產(chǎn)品和局部性、間斷性的安全服務(wù)為主的安全建設(shè)模式已不能滿足需求，必須構(gòu)建一個(gè)全局的、持續(xù)的網(wǎng)絡(luò)安全態(tài)勢感知平臺，提高省級安全治理和安全風(fēng)險(xiǎn)防御水平。

二、氣象網(wǎng)絡(luò)的安全設(shè)計(jì)思路

當(dāng)前，氣象網(wǎng)絡(luò)的安全設(shè)計(jì)思路落后于信息化發(fā)展，導(dǎo)致安全建設(shè)是基于不可修改的信息化底座，面向控制點(diǎn)進(jìn)行零散部署，因此面臨 “信息孤島”問題。針對網(wǎng)絡(luò)信息安全工作的新變化，設(shè)計(jì)思路上也應(yīng)進(jìn)行相應(yīng)調(diào)整。應(yīng)當(dāng)遵循“資源集約、業(yè)務(wù)協(xié)同”的原則，在現(xiàn)有基礎(chǔ)上，實(shí)現(xiàn)架構(gòu)彈性擴(kuò)容。依托海量網(wǎng)絡(luò)安全數(shù)據(jù)，運(yùn)用數(shù)據(jù)治理、數(shù)據(jù)建模等技術(shù)手段，基于現(xiàn)有基礎(chǔ)設(shè)施，采用面向服務(wù)架構(gòu)，進(jìn)行標(biāo)準(zhǔn)化、體系化的設(shè)計(jì)。

保護(hù)對象：基于數(shù)字經(jīng)濟(jì)、數(shù)字化轉(zhuǎn)型催生更廣泛的安全需求，保護(hù)對象從原來的端網(wǎng)云擴(kuò)展到數(shù)據(jù)和應(yīng)用。傳統(tǒng)網(wǎng)絡(luò)安全以邊界防護(hù)為核心，保護(hù)端網(wǎng)、云基礎(chǔ)設(shè)施和運(yùn)行環(huán)境。

新形勢下要把保護(hù)數(shù)據(jù)資產(chǎn)作為核心，保護(hù)氣象業(yè)務(wù)系統(tǒng)及其應(yīng)用和數(shù)據(jù)，關(guān)注運(yùn)行的業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)實(shí)體。在做好基礎(chǔ)設(shè)施和環(huán)境安全的同時(shí)，確保運(yùn)行業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)安全。

防護(hù)態(tài)勢：安全防護(hù)已經(jīng)由靜態(tài)保護(hù)轉(zhuǎn)向動態(tài)防護(hù)。傳統(tǒng)數(shù)據(jù)安全以靜態(tài)地保護(hù)數(shù)據(jù)實(shí)體為主。在數(shù)字化時(shí)代，存在兩方面風(fēng)險(xiǎn)。一方面是來自數(shù)據(jù)流動保護(hù)的風(fēng)險(xiǎn)，包括數(shù)據(jù)來源、基礎(chǔ)應(yīng)用、跨域流動等。一方面是數(shù)據(jù)業(yè)務(wù)過程的風(fēng)險(xiǎn)，包括數(shù)據(jù)使用權(quán)限、共享交換、數(shù)據(jù)交易等。因此應(yīng)以分類分級為基礎(chǔ)，在數(shù)據(jù)流轉(zhuǎn)基礎(chǔ)之上做動態(tài)的防護(hù)。實(shí)現(xiàn)數(shù)據(jù)的采集設(shè)備對接和數(shù)據(jù)存儲的管理功能，對數(shù)據(jù)接入進(jìn)行可視化的全流程管理，提供包括數(shù)據(jù)接入、數(shù)據(jù)處理、監(jiān)控預(yù)警、查詢檢索等能力，從而達(dá)到數(shù)據(jù)歸一化、過濾、豐富、分類日志信息的目的。

深度融合：由于API應(yīng)用場景廣泛，API已成為內(nèi)外部提供業(yè)務(wù)服務(wù)的最主要入口，種類數(shù)量眾多，導(dǎo)致暴露面、攻擊面增多，所以需要將安全能力融入應(yīng)用架構(gòu)及平臺中，同時(shí)安全能力與業(yè)務(wù)應(yīng)用、信息系統(tǒng)建設(shè)要深度融合。

省級網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)作為網(wǎng)絡(luò)安全保障工作的中樞系統(tǒng)，既要做到國省態(tài)勢感知一體化監(jiān)控、信息共享、協(xié)同處置，又要實(shí)現(xiàn)監(jiān)控全省市州縣，數(shù)據(jù)交互并統(tǒng)一指揮。因此，為了防御氣象網(wǎng)絡(luò)中將面臨的一些復(fù)雜高級的持續(xù)攻擊行為，必須進(jìn)行全新的、全面的安全體系架構(gòu)設(shè)計(jì)。

三、網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)建構(gòu)

（一）架構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)主要分為網(wǎng)絡(luò)安全要素提取、網(wǎng)絡(luò)安全態(tài)勢理解和網(wǎng)絡(luò)安全態(tài)勢預(yù)測。系統(tǒng)定位為省級氣象局網(wǎng)絡(luò)安全保障工作的中樞系統(tǒng)，采用省市縣三級布局架構(gòu)，實(shí)現(xiàn)橫向協(xié)同縱向指揮。在橫向協(xié)同上，平臺與已建設(shè)威脅感知等系統(tǒng)對接，實(shí)現(xiàn)本級間信息共享、網(wǎng)絡(luò)安全事件協(xié)同處置；在縱向指揮上，與市縣單位平臺對接，進(jìn)行數(shù)據(jù)交互和統(tǒng)一指揮，形成網(wǎng)絡(luò)安全的總體感知、研判、指揮能力，保障氣象信息系統(tǒng)安全穩(wěn)定運(yùn)行。

系統(tǒng)設(shè)計(jì)的關(guān)鍵是為氣象部門及業(yè)務(wù)提供所需的數(shù)據(jù)及分析，成為輔助管理者提供決策的工具，而不是“有什么”提供什么，“想提供什么”提供什么。所以系統(tǒng)的設(shè)計(jì)應(yīng)始于安全度量指標(biāo)體系，通過對核心氣象業(yè)務(wù)的系統(tǒng)分析，得出安全點(diǎn)同時(shí)對其進(jìn)行表征，建構(gòu)適用于本省安全態(tài)勢可度量的指標(biāo)體系?；谏鲜龇治?，挑選適配的分析技術(shù)和預(yù)測模型，建立分析預(yù)測的流程及架構(gòu)；同時(shí)將感知系統(tǒng)采集到的原始數(shù)據(jù)按照不同的采集方式進(jìn)行處理，無法通過系統(tǒng)直接獲取的數(shù)據(jù)，經(jīng)由外部系統(tǒng)進(jìn)行導(dǎo)入或利用人工評分產(chǎn)生。

（二）部署設(shè)計(jì)

如圖1所示，系統(tǒng)包括態(tài)勢分析平臺和探針兩大部分。探針的部署按照省市縣三級展開。省級部署探針，實(shí)現(xiàn)全省范圍的安全數(shù)據(jù)采集，以及省級數(shù)據(jù)網(wǎng)、業(yè)務(wù)網(wǎng)的API接口數(shù)據(jù)采集和分析。還需對全網(wǎng)服務(wù)器終端軟件、進(jìn)程、賬戶、服務(wù)等資產(chǎn)信息采集并傳輸?shù)綉B(tài)勢感知平臺上。市州局部署探針用于市州級網(wǎng)絡(luò)數(shù)據(jù)采集并傳輸?shù)缴弦患壪到y(tǒng)，與省級實(shí)現(xiàn)對接，為整體網(wǎng)絡(luò)態(tài)勢感知提供數(shù)據(jù)來源。縣級部署軟探針用于統(tǒng)計(jì)全省終端的業(yè)務(wù)使用率，以及終端是否出現(xiàn)安全問題，并及時(shí)上報(bào)態(tài)勢感知平臺進(jìn)行問題分析，確保及時(shí)發(fā)現(xiàn)安全事件。

省級態(tài)勢分析平臺由數(shù)據(jù)處理、監(jiān)測告警及安全態(tài)勢分析三部分組成，其中數(shù)據(jù)處理部分包括數(shù)據(jù)預(yù)處理、數(shù)據(jù)組織、數(shù)據(jù)治理、數(shù)據(jù)服務(wù)。通過各類采集探針來采集日志數(shù)據(jù)、流量數(shù)據(jù)等數(shù)據(jù)，對數(shù)據(jù)進(jìn)行抽取、清洗等處理，實(shí)現(xiàn)數(shù)據(jù)格式相對統(tǒng)一、分類分級明確、標(biāo)識清晰，并根據(jù)上層業(yè)務(wù)應(yīng)用需求形成業(yè)務(wù)庫。然后，進(jìn)行統(tǒng)一風(fēng)險(xiǎn)評估和綜合管理，提供全天候、全方位的態(tài)勢感知，同時(shí)監(jiān)測承接整個(gè)平臺的各類告警、事件和風(fēng)險(xiǎn)數(shù)據(jù)，為具體的事件處理及安全處置提供有價(jià)值的基礎(chǔ)數(shù)據(jù)。這樣邊可以對整體的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行展示和評估，為相關(guān)指揮人員和管理人員提供參考。

四、結(jié)語

隨著氣象信息化的迅速發(fā)展以及新的氣象業(yè)務(wù)安全需求的出現(xiàn)，氣象網(wǎng)絡(luò)安全防護(hù)工作需要不斷增強(qiáng)。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的應(yīng)用能夠使氣象系統(tǒng)、設(shè)備、網(wǎng)絡(luò)及關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)水平得到提升，實(shí)現(xiàn)對數(shù)據(jù)流通的全流程監(jiān)管，對網(wǎng)絡(luò)與終端行為的全方位監(jiān)控，氣象網(wǎng)絡(luò)空間安全保障能力的全面提升，為構(gòu)筑網(wǎng)絡(luò)安全立體防御提供堅(jiān)實(shí)基礎(chǔ)。

作者單位：吉林省氣象信息網(wǎng)絡(luò)中心