信息化觀察網(wǎng)

鶴壁市電子政務外網(wǎng)安全態(tài)勢感知平臺采用先進的大數(shù)據(jù)架構，通過采集所有網(wǎng)絡安全數(shù)據(jù)，利用智能引擎對安全數(shù)據(jù)進行統(tǒng)一處理分析，實現(xiàn)對網(wǎng)絡攻擊行為、安全威脅事件等網(wǎng)絡安全問題的發(fā)現(xiàn)和告警。能夠從不同的安全維度進行監(jiān)測，并實現(xiàn)可視化呈現(xiàn)，可以提供直觀的可視化頁面，從不同方向、不同視角、不同主題全面呈現(xiàn)政務網(wǎng)絡的安全態(tài)勢。通過安全態(tài)勢感知平臺對電子政務外網(wǎng)主動監(jiān)測和精準防護，達到安全可監(jiān)控、攻擊可防護、威脅可感知、事件可控制的效果。

一、項目背景

鶴壁市電子政務外網(wǎng)于2012年8月建成投用，橫向服務市級98個單位，縱向連接5個縣區(qū)、3個功能區(qū)、51個鄉(xiāng)鎮(zhèn)街道，實現(xiàn)市、縣、鄉(xiāng)三級有業(yè)務需求的政務部門全覆蓋，是全市電子政務的重要基礎設施。隨著電子政務外網(wǎng)覆蓋范圍不斷擴大、承載的業(yè)務應用快速增長，面臨的安全防護問題越來越突出。一是現(xiàn)有網(wǎng)絡設備老化嚴重。電子政務外網(wǎng)核心骨干網(wǎng)設備使用年限近9年，部分設備已停服，設備故障率逐年攀升，業(yè)務中斷風險高；2020年以來互聯(lián)網(wǎng)出口鏈路負載均衡、出口防火墻、市委樓防火墻、政府樓防火墻、第二綜合樓防火墻相繼出現(xiàn)故障，嚴重影響了市委市政府大院辦公用網(wǎng)及互聯(lián)網(wǎng)區(qū)業(yè)務訪問。二是電子政務外網(wǎng)安全管理能力亟需提升。電子政務外網(wǎng)設備約120臺設備，涵蓋10余個網(wǎng)絡、安全設備種類，技術難度及管理復雜度都非常高；而目前網(wǎng)絡運維及管理只能依靠表格和人工進行，存在網(wǎng)絡運維服務外包管理資金不足、網(wǎng)絡運行情況無法可視化、主動發(fā)現(xiàn)安全風險能力不足、應急處置能力不足等問題，造成電子政務外網(wǎng)運維效率低、發(fā)生故障時應急處理不及時等情況，極不利于業(yè)務系統(tǒng)安全穩(wěn)定運行。因此，鶴壁市電子政務外網(wǎng)安全防護水平亟需進一步提升。

網(wǎng)絡基礎設施安全是我國網(wǎng)絡安全大局中的重要一環(huán)，鶴壁市電子政務外網(wǎng)作為政務網(wǎng)絡基礎設施，時時刻刻承受著來自方方面面、各式各樣的攻擊和風險。隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術的飛速發(fā)展，傳統(tǒng)安全邊界逐漸模糊，新的安全風險不斷出現(xiàn)，尤其是有組織、有預謀、有針對性的高級持續(xù)性威脅攻擊日趨活躍，傳統(tǒng)安全體系已顯被動。對此，鶴壁市政務大數(shù)據(jù)中心高度重視，近年來始終堅持學習探索政務網(wǎng)絡安全防護新政策和新技術，積極嘗試采取前沿防護手段和措施，適時建設了電子政務外網(wǎng)安全態(tài)勢感知平臺，以增強安全風險動態(tài)監(jiān)測和主動預警能力。

二、實施目標

通過在統(tǒng)一互聯(lián)網(wǎng)出口和核心網(wǎng)絡節(jié)點部署流量探針等設備，同時與現(xiàn)有的網(wǎng)絡資產(chǎn)進行關聯(lián)互動，對電子政務外網(wǎng)中的關鍵流量進行監(jiān)測和分析，為針對監(jiān)測發(fā)現(xiàn)的威脅做出進一步處理和防護加固提供具體依據(jù)。一是通過對已知風險和未知風險的多維度分析和可視化呈現(xiàn)，快速發(fā)現(xiàn)問題并啟動聯(lián)動響應來解決問題；二是通過對安全風險的趨勢分析和異常行為預測，提早感知風險，增強對風險的預判和決策能力；三是根據(jù)階段性的態(tài)勢感知監(jiān)測分析結果，對電子政務外網(wǎng)整體網(wǎng)絡進行安全加固和完善，不斷增強安全合規(guī)的能力，實現(xiàn)對整體網(wǎng)絡風險的主動發(fā)現(xiàn)、協(xié)同防御、智能預測、及時響應。

三、建設內容

鶴壁市電子政務外網(wǎng)歷經(jīng)2016年雙核心改造、2019年安全加固和日常不斷優(yōu)化升級，配置了防火墻、網(wǎng)頁防篡改、抗DDOS、上網(wǎng)行為管理、防病毒、VPN、堡壘機、漏洞掃描、日志審計等安全設備，制定了管理、運維、使用等一系列安全制度和應急預案，建立了日常安全風險防范機制，形成了一套高效基礎網(wǎng)絡安全防護體系，在全省率先通過了網(wǎng)絡安全等級保護第三級測評。2021年，為貫徹落實國家和省IPv6規(guī)模部署的相關要求，市政務大數(shù)據(jù)中心積極推進市級電子政務外網(wǎng)IPv6升級改造及安全態(tài)勢感知平臺項目，按照國家和省有關要求，依據(jù)《政務外網(wǎng)IPv6演進技術白皮書》等指導文獻，合理規(guī)劃IPv4和IPv6地址，采用IPv4/IPv6雙棧運行的技術路線，實現(xiàn)了從IPv4向IPv6架構的平滑過度，滿足IPv4/IPv6雙棧終端同時在線的需求，完成了政府網(wǎng)站、政務服務網(wǎng)等重要政務信息系統(tǒng)支持IPv6業(yè)務訪問的階段性目標。同時，在原政務外網(wǎng)網(wǎng)絡核心、關鍵網(wǎng)絡設備均為雙機、雙鏈路冗余部署的基礎上，升級部署了適配IPv6協(xié)議的網(wǎng)絡安全設備，重點建設了市電子政務外網(wǎng)安全態(tài)勢感知平臺，通過對政務外網(wǎng)及業(yè)務系統(tǒng)的訪問日志、流量等的實時監(jiān)測以及對安全事件的分析、預警及處置，大大提高了市級電子政務外網(wǎng)威脅風險動態(tài)監(jiān)測和預警能力，安全基建更加完善，整體網(wǎng)絡基礎設施安全防護能力進一步提升。

鶴壁市電子政務外網(wǎng)安全態(tài)勢感知平臺以流量監(jiān)測技術為基礎，以安全數(shù)據(jù)化為重要方式，融合監(jiān)測、感知、預警、響應的完整平臺化、場景化與服務化體系，形成實時監(jiān)測、動態(tài)預警的有效模式，實現(xiàn)安全風險的發(fā)現(xiàn)識別、分析研判、響應處置、安全可視。該平臺在市級電子政務外網(wǎng)公共網(wǎng)絡區(qū)和互聯(lián)網(wǎng)區(qū)共部署流量探針10臺，部署專用服務器2臺，配備安全監(jiān)測中心、安全分析中心、安全響應中心、安全資產(chǎn)中心、知識情報中心等8個功能模塊，制作綜合態(tài)勢、外連威脅、安全警告等12個展示大屏，相關信息可以在鶴壁市市域治理指揮調度中心大屏上同步展示。同時，整合電子政務外網(wǎng)運維平臺，對接原有安管平臺和網(wǎng)管平臺，形成一體化運維監(jiān)測體系。通過定制化、場景化、流程化、可視化的一體化安全運維能力，安全基座更加堅實，逐步實現(xiàn)從單一安全事件監(jiān)控向整體安全態(tài)勢感知轉變，從被動安全事件處理向可持續(xù)性安全監(jiān)測分析轉變。

平臺劃分了互聯(lián)網(wǎng)區(qū)、廣域網(wǎng)區(qū)、運維管理區(qū)等5個安全域（類別），通過關聯(lián)登記核心網(wǎng)絡和安全設備、各部門在政務云部署的業(yè)務系統(tǒng)以及接入電子政務外網(wǎng)的終端，明確了被攻擊被防護主體的系統(tǒng)名稱、IP地址等重要信息。同時對關聯(lián)的資產(chǎn)進行標識、注釋，建立對應關系，安全基數(shù)更加清晰。通過全流量分析技術實現(xiàn)對網(wǎng)絡攻擊、異常流量的識別，可以自動識別網(wǎng)絡中的資產(chǎn)IP以提供預警保護。目前鶴壁市電子政務外網(wǎng)受保護的物理資產(chǎn)和軟件資產(chǎn)已達到7000余個。通過探針識別到異常流量推送給平臺，平臺通過一套完整的匹配機制和分析模型對流量日志進行分析過濾，最終形成不同類型、不同級別可以直觀查看的告警信息。通過這些告警信息可以智能分析出攻擊源、受攻擊主機相關信息以及整體網(wǎng)絡中攻擊趨勢的變化。通過攻擊階段分析資產(chǎn)受害程度，結合動態(tài)情報中心和數(shù)據(jù)分析形成完整的攻擊鏈路，幫助決策者進行預警處置和溯源分析，做到防范于未然。安全態(tài)勢感知平臺還可以聯(lián)動現(xiàn)有的安全防護設備實現(xiàn)一鍵封堵處置，同時結合工單系統(tǒng)模塊，可以實現(xiàn)告警的派發(fā)、審核、處理和反饋，形成安全事件的完整流程閉環(huán)。

四、實施成效

為了將安全態(tài)勢感知平臺的成果落到實處，鶴壁市政務大數(shù)據(jù)中心建立相應的監(jiān)測預警機制，制定了運維管理規(guī)范。通過做好日常的監(jiān)測工作，不斷采集監(jiān)測數(shù)據(jù)，集中進行風險分析研判，確定重大風險隱患，及時準確地向責任主體發(fā)布預警通報。平臺建成投用以來，共編制態(tài)勢感知周報28期、月報7期。監(jiān)測到告警信息70多萬起，主要受攻擊類型為漏洞攻擊、拒絕服務攻擊、異常流量攻擊等，其中高危告警20多萬起。根據(jù)以上信息，共封禁疑似惡意IP地址300多個。針對重點受攻擊單位和相關系統(tǒng)，印發(fā)《鶴壁市政務外網(wǎng)網(wǎng)絡與信息安全態(tài)勢》預警信息10期，及時將攻擊源IP、受攻擊IP、攻擊方式、漏洞利用情況等信息通報責任主體單位，并將有關情況同步到市委網(wǎng)信辦和公安網(wǎng)監(jiān)部門。同時，通過對監(jiān)測數(shù)據(jù)的跟蹤研判，根據(jù)責任主體單位反饋整改情況，對防護對象和攻擊行為劃定優(yōu)先級和定位，不斷優(yōu)化安全基線，動態(tài)提升對未知的、新型的攻擊風險嗅探能力。

通過安全態(tài)勢感知平臺的建設和應用，鶴壁市電子政務外網(wǎng)安全防護體系更加完善，風險防范能力進一步提升。近期監(jiān)測數(shù)據(jù)顯示，往期預警過的部分單位系統(tǒng)受攻擊情況明顯有所減弱，態(tài)勢感知平臺建設和應用取得了較好成效。但是，安全防線的構筑沒有“萬能藥”，任何單一的產(chǎn)品或措施都不可能解決復雜多變的安全問題。鶴壁市政務大數(shù)據(jù)中心將繼續(xù)從網(wǎng)絡安全全局出發(fā)，將電子政務外網(wǎng)態(tài)勢感知平臺的應用融合到總體網(wǎng)絡安全工作中，進一步細化分工，明確責任和目標，不斷完善相關制度規(guī)范，創(chuàng)新機制、提升效率，打造鶴壁市政務網(wǎng)絡基礎設施更加堅固的一體化安全防線。