電力企業(yè)網(wǎng)絡(luò)安全威脅情報管理體系的研究與實踐

陳偉雄，楊曉晨，春增軍，李若蘭，張華

（1. 中廣核智能科技（深圳）有限責(zé)任公司，廣東 深圳 518026； 2. 上海中廣核工程科技有限公司，上海 200241； 3. 中國廣核集團(tuán)有限公司，廣東 深圳 518026）

0 引言

網(wǎng)絡(luò)安全是國家安全的重要組成部分，是國家安全的基礎(chǔ)。近年來，黨中央高度重視網(wǎng)絡(luò)安全工作，并對網(wǎng)絡(luò)安全工作提出明確要求，采取措施，監(jiān)測、防御、處置境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險和威脅，加強網(wǎng)絡(luò)安全信息統(tǒng)籌機制、手段、平臺建設(shè)，建立健全網(wǎng)絡(luò)安全保障體系，全方位提升網(wǎng)絡(luò)安全防護(hù)能力。

所謂網(wǎng)絡(luò)安全威脅情報，是指對企業(yè)產(chǎn)生潛在與非潛在危害的網(wǎng)絡(luò)安全信息的集合，它主要利用互聯(lián)網(wǎng)資源、網(wǎng)絡(luò)安全機構(gòu)或人員，預(yù)測企業(yè)潛在的網(wǎng)絡(luò)安全威脅。電力企業(yè)開展網(wǎng)絡(luò)安全威脅情報的工作目標(biāo)：為電力企業(yè)建立一個網(wǎng)絡(luò)安全預(yù)警機制，在網(wǎng)絡(luò)安全攻擊到達(dá)前，減少或消除網(wǎng)絡(luò)安全漏洞等風(fēng)險；為電力企業(yè)提供更完善的網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案；通過02ay/N2ay漏洞補丁更新，提升電力企業(yè)部署網(wǎng)絡(luò)安全設(shè)備資產(chǎn)的安全能力，避免成為攻擊利用突破口；加強攻擊IP地址、惡意程序/網(wǎng)站、網(wǎng)絡(luò)釣魚、勒索病毒的情報收集，建立電力企業(yè)的快速響應(yīng)與標(biāo)準(zhǔn)化工作機制；基于網(wǎng)絡(luò)安全“以攻促防”理念，反推攻擊者攻擊思路與攻擊鏈路，針對性防護(hù)關(guān)鍵網(wǎng)絡(luò)節(jié)點。

目前網(wǎng)絡(luò)安全威脅情報工作存在如下問題。

（1）情報來源多、范圍廣

目前網(wǎng)絡(luò)安全情報來源國家、省、市網(wǎng)絡(luò)安全主管機構(gòu)，也有國內(nèi)主流網(wǎng)絡(luò)安全技術(shù)機構(gòu)，還有電力企業(yè)網(wǎng)絡(luò)安全同行，更多來自互聯(lián)網(wǎng)（技術(shù)論壇、微信公眾號等）。網(wǎng)絡(luò)安全情報信息來源不同、范圍廣、非結(jié)構(gòu)化，增加了網(wǎng)絡(luò)安全情報人員人工收集和分析成本，也增加了網(wǎng)絡(luò)安全快速響應(yīng)時間，對于情報信息收集標(biāo)準(zhǔn)化、規(guī)范化工作和提升快速響應(yīng)水平存在一定障礙。

（2）情報價值與漏洞風(fēng)險評價

在電力企業(yè)實際工作過程中，經(jīng)常遇到很多網(wǎng)絡(luò)安全威脅情報（如操作系統(tǒng)漏洞、網(wǎng)絡(luò)安全產(chǎn)品漏洞、中間件漏洞等），如何根據(jù)目前各種情報，快速篩選威脅情報價值高、網(wǎng)絡(luò)安全風(fēng)險比較高進(jìn)行優(yōu)先處置，這需要考慮情報價值評估方法。

（3）網(wǎng)絡(luò)安全情報快速處置

電力企業(yè)經(jīng)常遇到網(wǎng)絡(luò)安全情報多、漏洞風(fēng)險多、下屬部門人員多，如何快速有效地進(jìn)行網(wǎng)絡(luò)安全漏洞排查，建立高效的漏洞情報排查跟蹤機制，也是網(wǎng)絡(luò)安全情報工作體系的工作要求。

目前有關(guān)網(wǎng)絡(luò)安全威脅情報已有一些研究。王長杰等[1]提出一種針對惡意軟件家族的威脅情報生成方法；陳劍鋒等[2]提出了一種面向網(wǎng)絡(luò)空間安全的威脅情報本體化共享方法；陳明等[3]提出網(wǎng)絡(luò)空間安全戰(zhàn)略情報保障能力是由情報保障工作主體、情報信息、情報手段、目標(biāo)追求，以及時空條件等要素體系化運作后表現(xiàn)出的一種體系能力；徐銳等[4]提出從網(wǎng)絡(luò)防御的視角介紹安全威脅情報的作用和工作流程，設(shè)計安全威脅情報即服務(wù)（threat intelligence as a service，TIaaS）的體系架構(gòu)；徐留杰等[5]提出一種多源網(wǎng)絡(luò)安全威脅情報采集與封裝技術(shù)。以上網(wǎng)絡(luò)安全威脅情報研究方法對當(dāng)前網(wǎng)絡(luò)安全威脅情報具有一定參考價值，但是在網(wǎng)絡(luò)安全實踐中，需要進(jìn)一步驗證。

1 網(wǎng)絡(luò)安全威脅情報管理體系構(gòu)建

綜合當(dāng)前網(wǎng)絡(luò)安全情報主要問題，本文提出建立電力企業(yè)網(wǎng)絡(luò)安全威脅情報管理工作體系，包括情報來源、情報研判、情報處置、情報平臺、情報績效5個方面內(nèi)容，網(wǎng)絡(luò)安全威脅情報管理體系的架構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全威脅情報管理體系的架構(gòu)

1.1 情報來源——建立網(wǎng)絡(luò)安全威脅情報主動收集機制

網(wǎng)絡(luò)安全情報包括漏洞風(fēng)險、APT（a2vance2 persistent threat）攻擊、惡意IP地址、釣魚攻擊等信息，有來自國家漏洞中心、應(yīng)急響應(yīng)中心、國內(nèi)主流網(wǎng)絡(luò)安全機構(gòu)的信息，也有來自非公開情報機構(gòu)等的信息，情報格式有漏洞報告、郵件預(yù)警、微信共享、威脅通報等不同格式，為此，利用情報管理平臺，統(tǒng)一網(wǎng)絡(luò)安全情報格式信息：情報編號、情報類別、風(fēng)險級別、情報來源、排查類別、收集日期、相關(guān)單位、評估狀態(tài)，統(tǒng)一通過情報管理平臺進(jìn)行收集工作。網(wǎng)絡(luò)安全威脅情報收集流程如圖2所示。

圖2 網(wǎng)絡(luò)安全威脅情報收集流程

1.2 情報研判——根據(jù)不同漏洞類型評估緊急程度

網(wǎng)絡(luò)安全情報根據(jù)不同漏洞類型進(jìn)行技術(shù)研判，主要包括Web漏洞（SQL注入、XSS漏洞、上傳漏洞、Struts2遠(yuǎn)程命令執(zhí)行、敏感信息泄露等）、系統(tǒng)漏洞（Win2ows 操作系統(tǒng)、Linux系統(tǒng)、Exchange Server等）、服務(wù)漏洞（FTP服務(wù)漏洞、SSH服務(wù)、Win2ows 遠(yuǎn)程連接漏洞、DHCP服務(wù)等）、協(xié)議漏洞（ARP漏洞、DNS協(xié)議漏洞、FTP漏洞等）。根據(jù)網(wǎng)絡(luò)安全情報確定超高危、高危、中危、低危漏洞，并根據(jù)情報評估規(guī)則，判定緊急程度（高、中、低）及其對應(yīng)優(yōu)先級別。網(wǎng)絡(luò)安全威脅情報研判評估流程如圖3所示。

圖3 網(wǎng)絡(luò)安全威脅情報研判評估流程

1.3 情報處置——建立網(wǎng)絡(luò)安全威脅情報標(biāo)準(zhǔn)化處置流程

建立了網(wǎng)絡(luò)安全威脅情報標(biāo)準(zhǔn)化處理流程（stan2ar2 operation proce2ure，SOP），如圖4所示，包括情報收集、分類處理、處置反饋、通報考核4個方面。

圖4 網(wǎng)絡(luò)安全威脅情報標(biāo)準(zhǔn)化處理流程（SOP）

? 情報收集方面，充分利用各同行、各地區(qū)網(wǎng)絡(luò)安全情報分享、專業(yè)化網(wǎng)絡(luò)安全保障機構(gòu)等各方面來源及時收集匯總。

? 分類處理方面，加強網(wǎng)絡(luò)安全威脅情報分類收集和處理，由專業(yè)技術(shù)研判人員判斷排查對象，確定需要網(wǎng)絡(luò)安全排查范圍和排查緊急程度。

? 處置反饋方面，通過網(wǎng)絡(luò)安全情報跟蹤平臺下發(fā)排查整改通知，郵件或微信提醒，如發(fā)現(xiàn)相關(guān)問題，要求及時整改；若未找到相關(guān)解決方法，需做臨時下線處理，持續(xù)追蹤。

? 通報考核方面，加強網(wǎng)絡(luò)安全威脅情報排查管控，并在網(wǎng)絡(luò)安全態(tài)勢感知會議通報各單位網(wǎng)絡(luò)安全考核結(jié)果。

1.4 情報平臺——建立網(wǎng)絡(luò)安全情報管理平臺

網(wǎng)絡(luò)安全威脅情報納入電力企業(yè)網(wǎng)絡(luò)安全管理平臺專項跟蹤，實現(xiàn)電子化管理，及時統(tǒng)計和提醒下屬各單位網(wǎng)絡(luò)安全漏洞排查整改情況，并通過郵件或手機短信等形式進(jìn)行提醒。

1.5 績效評估——加強各網(wǎng)絡(luò)安全情報績效評估工作

網(wǎng)絡(luò)安全情報來源主要分為外部情報與內(nèi)部威脅情報，外部威脅情報來自相關(guān)機構(gòu)提供的情報信息。內(nèi)部威脅情報基于自建的威脅挖掘團(tuán)隊，通過聯(lián)合各大專業(yè)廠商，部署了如態(tài)勢感知、下一代防火墻等監(jiān)測及防護(hù)類設(shè)備，對日常訪問的流量及日志進(jìn)行統(tǒng)一收集，同時組織各廠商安排大量技術(shù)專家對收集的數(shù)據(jù)進(jìn)行分析處理，輸出威脅情報以供指揮部參考，及時調(diào)整防護(hù)策略及網(wǎng)絡(luò)節(jié)點，同時還會反推產(chǎn)品升級，增強產(chǎn)品防護(hù)與監(jiān)測能力。網(wǎng)絡(luò)安全威脅情報績效考核示意圖如圖5所示，網(wǎng)絡(luò)安全威脅情報績效考核包括如下內(nèi)容。

圖5 網(wǎng)絡(luò)安全威脅情報績效考核示意圖

? 情報搜集及時性：評價是否及時收集到網(wǎng)絡(luò)安全漏洞信息，尤其是02ay/N2ay信息；

? 技術(shù)研判準(zhǔn)確性：評價是否正確研判網(wǎng)絡(luò)安全漏洞影響范圍、風(fēng)險大小并評價其優(yōu)先程度合理性。

? 應(yīng)急排查及時性：評價是否在規(guī)定時間組織相關(guān)下屬單位或部門排查，是否存在指令不通暢情況。

? 漏洞利用比例：評價網(wǎng)絡(luò)安全漏洞是否被成功利用數(shù)量比例。

? 實戰(zhàn)演習(xí)成效：評價是否在實戰(zhàn)演習(xí)下，網(wǎng)絡(luò)安全情報組織體系是否有實際效果，收集情報數(shù)量，并是否可以成功處置02ay/N2ay漏洞。

? 情報平臺有效性：情報平臺是否可以實現(xiàn)情報信息有效排查、跟蹤、統(tǒng)計，并及時預(yù)警相關(guān)單位整改等。

2 網(wǎng)絡(luò)安全漏洞評估方法

網(wǎng)絡(luò)安全威脅情報來源多、種類多、范圍廣、漏洞風(fēng)險多，根據(jù)某電力企業(yè)網(wǎng)絡(luò)安全實際情況，發(fā)現(xiàn)高危漏洞有時有10～100種漏洞需要緊急排查、整改、安裝漏洞補丁，如何評估漏洞排查優(yōu)先順序，本文提出漏洞評估方法，漏洞規(guī)則庫由漏洞影響范圍和漏洞風(fēng)險程度組成，影響范圍包括全公司級、部門級、個人，風(fēng)險程度分為高、中、低，依次安排計算因子，漏洞優(yōu)先級=影響范圍×風(fēng)險程度，如果優(yōu)先級分?jǐn)?shù)80分以上，則優(yōu)先安排整改（打漏洞補丁或其他網(wǎng)絡(luò)安全風(fēng)險排除措施）。網(wǎng)絡(luò)安全威脅情報漏洞評估示意圖如圖6所示。

圖6 網(wǎng)絡(luò)安全威脅情報漏洞評估示意圖

3 結(jié)束語

以上網(wǎng)絡(luò)安全威脅情報管理平臺已在某電力企業(yè)初步應(yīng)用，并在網(wǎng)絡(luò)安全實戰(zhàn)演習(xí)期間及時發(fā)布安全漏洞情報排查通知，累積排查33000多次漏洞且修復(fù)率高達(dá)99.7%，彌補了網(wǎng)絡(luò)安全管理薄弱節(jié)點，保障網(wǎng)絡(luò)安全演習(xí)工作取得了預(yù)期成果。在后續(xù)網(wǎng)絡(luò)安全工作中，作者將加強網(wǎng)絡(luò)安全威脅情報工作方法論研究，積極向優(yōu)秀網(wǎng)絡(luò)安全單位學(xué)習(xí)經(jīng)驗，充分利用網(wǎng)絡(luò)安全保障機構(gòu)力量，利用“以攻促防”的理念，努力做好網(wǎng)絡(luò)安全保障工作，快速提升電力企業(yè)網(wǎng)絡(luò)安全防護(hù)能力，持續(xù)打贏電力企業(yè)網(wǎng)絡(luò)安全保衛(wèi)戰(zhàn)。