1、電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)建設(shè)技術(shù)白皮書(2017 )國家新聞出版廣電總局科技司2017年5月版權(quán)聲明?國家新聞出版廣電總局科技司所有， 2017年。本文檔是國家新聞出版廣電總局科技司關(guān)于電視臺(tái)網(wǎng) 絡(luò)安全監(jiān)測(cè)系統(tǒng)建設(shè)的技術(shù)指導(dǎo)性文件，任何組織、機(jī)構(gòu) 或自然人均不得篡改或轉(zhuǎn)意?；ヂ?lián)網(wǎng)和信息化浪潮已經(jīng)遍及全球，正在顛覆性地改變著人類的生活和生 產(chǎn)方式，形成了獨(dú)立于陸地、海洋、航空、航天之外的第五維網(wǎng)絡(luò)空間。隨著 網(wǎng)絡(luò)技術(shù)的發(fā)展，安全環(huán)境日趨復(fù)雜，網(wǎng)絡(luò)安全已經(jīng)成為各國共同關(guān)注的問 題。十八大以來，黨中央將網(wǎng)絡(luò)安全上升至國家戰(zhàn)略的高度，成立了中央網(wǎng)絡(luò) 安全和信息化領(lǐng)導(dǎo)小組，習(xí)近平總書記親自擔(dān)任組長，指出“

2、沒有網(wǎng)絡(luò)安全就 沒有國家安全，沒有信息化就沒有現(xiàn)代化”。2016年11月全國人大審議通過了中華人民共和國網(wǎng)絡(luò)安全法，為整體推進(jìn)網(wǎng)絡(luò)安全保障體系建設(shè)提供了法律 依據(jù)，其中明確要求“負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)當(dāng)建立 健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度”、“網(wǎng)絡(luò)運(yùn)營者應(yīng) 當(dāng)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，保障網(wǎng)絡(luò)免受干 擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”。在傳統(tǒng)媒體與新興媒體加速融合的新形勢(shì)下，廣電行業(yè)已進(jìn)入一個(gè)新的歷 史變革時(shí)期。全臺(tái)網(wǎng)、新媒體、云計(jì)算、大數(shù)據(jù)的發(fā)展既帶來機(jī)遇，又帶來前 所未有的挑戰(zhàn)。業(yè)務(wù)系統(tǒng)架構(gòu)正在由

3、傳統(tǒng)的豎井式向云平臺(tái)轉(zhuǎn)變，媒體融合導(dǎo) 致業(yè)務(wù)形態(tài)發(fā)生變化，過去相對(duì)獨(dú)立、分散的網(wǎng)絡(luò)已經(jīng)融合為深度關(guān)聯(lián)、相互 依賴的整體，網(wǎng)絡(luò)安全形勢(shì)愈發(fā)嚴(yán)峻，安全威脅多樣化、攻擊手段隱蔽化的特 征日益明顯，危害范圍和程度不斷加劇。為提升全行業(yè)的網(wǎng)絡(luò)安全保障水平， 國家新聞出版廣電總局于2017年1月頒布了新聞出版廣播影視網(wǎng)絡(luò)安全管理 辦法（試行），其中明確要求各運(yùn)行機(jī)構(gòu)“建立本單位的網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)， 實(shí)時(shí)監(jiān)測(cè)信息系統(tǒng)的運(yùn)行狀態(tài)，對(duì)可能引發(fā)網(wǎng)絡(luò)安全事件的信息進(jìn)行收集、分 析和判斷，發(fā)現(xiàn)異常情況及時(shí)處置和報(bào)告”。電視臺(tái)是輿論宣傳的主陣地，其網(wǎng)絡(luò)安全關(guān)系著國家文化安全。為有效應(yīng)1 對(duì)各類新型安全威脅，防范不斷變化

4、的安全風(fēng)險(xiǎn)，落實(shí)相關(guān)法律法規(guī)要求，國 家新聞出版廣電總局科技司組織北京電視臺(tái)、總局廣播科學(xué)研究院、上海文化 廣播影視集團(tuán)有限公司、深圳廣播電影電視集團(tuán)編制了 電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系 統(tǒng)建設(shè)技術(shù)白皮書（以下簡稱白皮書），旨在為各級(jí)電視臺(tái)開展網(wǎng)絡(luò)安全監(jiān)測(cè) 系統(tǒng)規(guī)劃、建設(shè)提供技術(shù)指導(dǎo)，為構(gòu)建廣電行業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系提供支 撐。白皮書根據(jù)電視臺(tái)信息系統(tǒng)分類、業(yè)務(wù)特征和相應(yīng)風(fēng)險(xiǎn)，梳理網(wǎng)絡(luò)安全需 求，提出一個(gè)支撐、兩個(gè)維度、三個(gè)轉(zhuǎn)變的工作思路，即以安全數(shù)據(jù)為支撐， 從網(wǎng)絡(luò)安全等級(jí)保護(hù)和網(wǎng)絡(luò)安全監(jiān)測(cè)兩個(gè)維度，實(shí)現(xiàn)從安全態(tài)勢(shì)難以掌握到可 視化感知、從被動(dòng)防御到主動(dòng)對(duì)抗、從注重局部措施落實(shí)到聚焦全面成效獲取

5、的跨越式轉(zhuǎn)變。依托大數(shù)據(jù)、態(tài)勢(shì)感知、數(shù)據(jù)可視化等先進(jìn)技術(shù)，規(guī)劃網(wǎng)絡(luò)安 全監(jiān)測(cè)系統(tǒng)架構(gòu)和能力要素，在此基礎(chǔ)上設(shè)計(jì)出狀態(tài)監(jiān)測(cè)、管理支持、威脅防 御三類功能，為電視臺(tái)網(wǎng)絡(luò)安全運(yùn)維和管理提供工具和手段。白皮書編制過程中，一方面追隨網(wǎng)絡(luò)安全發(fā)展趨勢(shì)，一方面適配電視臺(tái)特 定需求場(chǎng)景，規(guī)劃架構(gòu)、設(shè)計(jì)功能，并給出實(shí)施參考建議。對(duì)于社會(huì)、行業(yè)發(fā) 展過程中不斷涌現(xiàn)的新架構(gòu)、新業(yè)態(tài)，如云平臺(tái)、融媒體等，電視臺(tái)網(wǎng)絡(luò)安全 監(jiān)測(cè)系統(tǒng)建設(shè)的思路、原則和框架是基本一致的，所不同的是具體實(shí)現(xiàn)方式和 技術(shù)手段，需要在后續(xù)版本中逐步修訂、更新。白皮書指導(dǎo)單位：國家新聞出版廣電總局科技司白皮書主要起草單位：北京電視臺(tái)、國家新聞出版廣

6、電總局廣播科學(xué)研究 院、上海文化廣播影視集團(tuán)有限公司、深圳廣播電影電視集團(tuán)白皮書主要指導(dǎo)專家：孫蘇川、關(guān)麗霞、田方白皮書主要起草人：畢江、周旭輝、王立冬、李程、張偉、趙為綱、張 建、王燕濤、何晶、陳奇、張寧、胡愷、劉助翔、馬海龍、馬爽、翟林目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 編寫說明1. HYPERLINK l bookmark6 o Current Document 適用范圍1. HYPERLINK l bookmark8 o Current Document 規(guī)范性引用文件1. HYPERLINK l book

7、mark10 o Current Document 術(shù)語和定義2. HYPERLINK l bookmark12 o Current Document 網(wǎng)絡(luò)安全2. HYPERLINK l bookmark14 o Current Document 網(wǎng)絡(luò)安全監(jiān)測(cè) 2 HYPERLINK l bookmark16 o Current Document 網(wǎng)絡(luò)安全事態(tài)2 HYPERLINK l bookmark18 o Current Document 網(wǎng)絡(luò)安全事件2 HYPERLINK l bookmark20 o Current Document 網(wǎng)絡(luò)數(shù)據(jù)3. HYPERLINK l bookm

8、ark22 o Current Document 安全事態(tài)數(shù)據(jù)3 HYPERLINK l bookmark24 o Current Document 網(wǎng)絡(luò)安全態(tài)勢(shì)感知 3 HYPERLINK l bookmark26 o Current Document 數(shù)據(jù)可視化3 HYPERLINK l bookmark28 o Current Document 縮略語.3. HYPERLINK l bookmark30 o Current Document 內(nèi)容說明4. HYPERLINK l bookmark32 o Current Document 背景概述4. HYPERLINK l bookma

9、rk34 o Current Document 互聯(lián)網(wǎng)網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì) 4 HYPERLINK l bookmark36 o Current Document 行業(yè)網(wǎng)絡(luò)安全發(fā)展局面5. HYPERLINK l bookmark38 o Current Document 電視臺(tái)網(wǎng)絡(luò)安全管理狀況 5 HYPERLINK l bookmark40 o Current Document 需求分析6. HYPERLINK l bookmark42 o Current Document 系統(tǒng)分類及業(yè)務(wù)特征 6. HYPERLINK l bookmark44 o Current Document 制播業(yè)務(wù)系

10、統(tǒng).6. HYPERLINK l bookmark46 o Current Document 新媒體應(yīng)用系統(tǒng) 6 HYPERLINK l bookmark48 o Current Document 辦公管理系統(tǒng)7. HYPERLINK l bookmark50 o Current Document 安全風(fēng)險(xiǎn)和存在問題7. HYPERLINK l bookmark52 o Current Document 技術(shù)性風(fēng)險(xiǎn)7. HYPERLINK l bookmark54 o Current Document 業(yè)務(wù)性風(fēng)險(xiǎn)9. HYPERLINK l bookmark56 o Current Docum

11、ent 通用性風(fēng)險(xiǎn)1.0 HYPERLINK l bookmark58 o Current Document 存在問題1.1 HYPERLINK l bookmark60 o Current Document 應(yīng)對(duì)思路與總體需求13 HYPERLINK l bookmark62 o Current Document 框架規(guī)劃1.5 HYPERLINK l bookmark64 o Current Document 規(guī)劃原則1.5 HYPERLINK l bookmark66 o Current Document 系統(tǒng)架構(gòu)1.5 HYPERLINK l bookmark70 o Current

12、Document 數(shù)據(jù)類型1.6 HYPERLINK l bookmark72 o Current Document 能力要素1.7 HYPERLINK l bookmark74 o Current Document 數(shù)據(jù)采集17數(shù)據(jù)處理18數(shù)據(jù)分析18數(shù)據(jù)呈現(xiàn)18 HYPERLINK l bookmark76 o Current Document 運(yùn)行機(jī)制 1.9 HYPERLINK l bookmark78 o Current Document 系統(tǒng)接口 20 HYPERLINK l bookmark80 o Current Document 自身安全21關(guān)鍵技術(shù)21網(wǎng)絡(luò)流量采集檢測(cè) 21

13、 HYPERLINK l bookmark85 o Current Document 復(fù)合型數(shù)據(jù)庫架構(gòu)21 HYPERLINK l bookmark87 o Current Document 威脅情報(bào)22 HYPERLINK l bookmark89 o Current Document 安全大數(shù)據(jù)22 HYPERLINK l bookmark91 o Current Document 安全事件關(guān)聯(lián)分析23 HYPERLINK l bookmark93 o Current Document 安全基線23 HYPERLINK l bookmark95 o Current Document 安全態(tài)

14、勢(shì)感知 24 HYPERLINK l bookmark97 o Current Document 安全數(shù)據(jù)可視化 24 HYPERLINK l bookmark99 o Current Document 功能設(shè)計(jì)25 HYPERLINK l bookmark101 o Current Document 狀態(tài)監(jiān)測(cè)類功能25 HYPERLINK l bookmark103 o Current Document 設(shè)備狀態(tài)監(jiān)測(cè) 26 HYPERLINK l bookmark105 o Current Document 應(yīng)用狀態(tài)監(jiān)測(cè)27 HYPERLINK l bookmark107 o Current

15、 Document 配置狀態(tài)監(jiān)測(cè) 28 HYPERLINK l bookmark109 o Current Document 措施狀態(tài)監(jiān)測(cè) 29 HYPERLINK l bookmark111 o Current Document 管理支持類功能30 HYPERLINK l bookmark113 o Current Document 等保措施自查.31 HYPERLINK l bookmark115 o Current Document 安全資產(chǎn)管理.32 HYPERLINK l bookmark117 o Current Document 安全態(tài)勢(shì)評(píng)估 .33 HYPERLINK l bo

16、okmark119 o Current Document 安全運(yùn)維協(xié)同 .34 HYPERLINK l bookmark121 o Current Document 威脅防御類功能35 HYPERLINK l bookmark123 o Current Document 漏洞補(bǔ)丁監(jiān)測(cè).35 HYPERLINK l bookmark125 o Current Document 威脅預(yù)警分析 .37 HYPERLINK l bookmark127 o Current Document 安全事件告警 .38 HYPERLINK l bookmark129 o Current Document 威脅攻

17、擊追溯40 HYPERLINK l bookmark131 o Current Document 未知態(tài)勢(shì)挖掘 41 HYPERLINK l bookmark133 o Current Document 實(shí)施參考42 HYPERLINK l bookmark135 o Current Document 建設(shè)原則4.2典型模式4.3關(guān)注要點(diǎn)451編寫說明1.1適用范圍本白皮書主要用于規(guī)范各級(jí)電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)規(guī)劃和建設(shè)，并可供 其它廣電媒體及相關(guān)行業(yè)參考。1.2規(guī)范性引用文件中華人民共和國網(wǎng)絡(luò)安全法新聞出版廣播影視網(wǎng)絡(luò)安全管理辦法（試行）（新廣辦發(fā)2017 4號(hào)）廣播電視安全播出管理規(guī)定（廣

18、電總局令第62號(hào)）廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GD/J 037-2011 廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GD/J 038-2011 信息技術(shù)安全技術(shù)信息安全事件管理指南GB/Z 20985-2007 網(wǎng)絡(luò)安全事件描述和交換格式 GB/T 28517-2012 信息技術(shù)云計(jì)算概覽與詞匯GB/T 32400-2015 信息安全技術(shù)信息安全事件分類分級(jí)指南 GB/Z 20986-2007 信息安全技術(shù)安全漏洞標(biāo)識(shí)與描述規(guī)范 GB/T 28458-2012 信息安全技術(shù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T 20984-2007 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T 2223

19、9-2008 信息安全技術(shù)術(shù)語 GB/T 25069-2010 信息安全技術(shù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南 GB/T 31509-2015 術(shù)語和定義下列術(shù)語和定義適用于本白皮書。網(wǎng)絡(luò)安全是指通過采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使 用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整 性、保密性、可用性的能力。網(wǎng)絡(luò)安全監(jiān)測(cè)以網(wǎng)絡(luò)安全事件為核心，通過采集網(wǎng)上數(shù)據(jù)并以關(guān)聯(lián)分析等方式對(duì)監(jiān)測(cè)對(duì) 象進(jìn)行風(fēng)險(xiǎn)識(shí)別、威脅發(fā)現(xiàn)、安全事件實(shí)時(shí)告警及可視化展示，根據(jù)監(jiān)測(cè)結(jié)果 實(shí)時(shí)報(bào)警、響應(yīng)，達(dá)到主動(dòng)發(fā)現(xiàn)入侵活動(dòng)的目的。網(wǎng)絡(luò)安全事態(tài)被識(shí)別的一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生，表明一次可能

20、的網(wǎng)絡(luò)安全策 略違規(guī)或某些防護(hù)措施失效，或者一種可能與安全相關(guān)但以前不為人知的情 況。網(wǎng)絡(luò)安全事件由單個(gè)或一系列意外或有害的網(wǎng)絡(luò)安全事態(tài)所組成，極有可能危害業(yè)務(wù)運(yùn) 行和威脅網(wǎng)絡(luò)安全。網(wǎng)絡(luò)數(shù)據(jù)通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。安全事態(tài)數(shù)據(jù)與系統(tǒng)、服務(wù)或網(wǎng)絡(luò)安全狀態(tài)有關(guān)的數(shù)據(jù)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、 分析、圖形化顯示以及預(yù)測(cè)未來一段時(shí)間內(nèi)的發(fā)展趨勢(shì)。數(shù)據(jù)可視化運(yùn)用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)，將數(shù)據(jù)轉(zhuǎn)換為圖形或圖像在屏幕上顯 示出來，并進(jìn)行交互處理?？s略語下列縮略語適用于本白皮書0-day 漏洞是指被發(fā)現(xiàn)后立即被惡意利用的安

21、全漏洞(Zero-Day)0-day 攻擊零時(shí)差攻擊(Zero-Day Attack)APT 高級(jí)持續(xù)性威脅(Advanced Persistent Threat )SOC 安全管理中心(Security Operations Center )TTPs 戰(zhàn)術(shù)、技術(shù)和步驟(Tactics, Techniques, and Procedures )ETL 抽取轉(zhuǎn)化加載(Extract-Transform-Load )SNMP單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol )APP 應(yīng)用(Application )3內(nèi)容說明本白皮書第2章概述網(wǎng)絡(luò)安全領(lǐng)域發(fā)展背景

22、，包括互聯(lián)網(wǎng)、行業(yè)發(fā)展形勢(shì) 和電視臺(tái)安全管理狀況。第 3章通過梳理電視臺(tái)信息系統(tǒng)分類及業(yè)務(wù)特征、安 全風(fēng)險(xiǎn)和存在問題，推導(dǎo)出應(yīng)對(duì)思路和監(jiān)測(cè)需求。第4章闡述電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的總體框架，明確系統(tǒng)定位和規(guī)劃原則，并規(guī)劃系統(tǒng)架構(gòu)、數(shù)據(jù)類 型、能力要素、運(yùn)行機(jī)制、系統(tǒng)接口、自身安全、關(guān)鍵技術(shù)。第 5章對(duì)電視臺(tái) 網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)功能進(jìn)行分類詳細(xì)設(shè)計(jì)，給出設(shè)計(jì)目標(biāo)、功能描述、實(shí)現(xiàn)效 果和依賴條件。第6章提供電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的實(shí)施參考建議，包括建 設(shè)原則、典型模式和關(guān)注要點(diǎn)。2背景概述互聯(lián)網(wǎng)網(wǎng)絡(luò)安全發(fā)展態(tài)勢(shì)全球互聯(lián)網(wǎng)發(fā)展態(tài)勢(shì)迅猛。截至 2016年6月，中國網(wǎng)民規(guī)模已達(dá)7.1億?！盎ヂ?lián)網(wǎng)+”行動(dòng)計(jì)劃

23、推動(dòng)中國政企服務(wù)多元化、移動(dòng)化進(jìn)程，物聯(lián)網(wǎng)應(yīng)用逐漸 滲透到制造業(yè)、傳媒業(yè)和人們工作生活的各個(gè)角落，網(wǎng)絡(luò)安全威脅與日俱增。 以規(guī)模化商業(yè)牟利為目的，成為木馬和僵尸網(wǎng)絡(luò)、惡意程序、服務(wù)攻擊等傳統(tǒng) 網(wǎng)絡(luò)安全威脅的新特征。大規(guī)模個(gè)人信息泄露事件頻發(fā)，針對(duì)行業(yè)重要信息系 統(tǒng)的高強(qiáng)度、高水平、有組織攻擊屢見不鮮，工控網(wǎng)絡(luò)面臨的安全威脅顯著增 加。各種攻擊技術(shù)手段逐漸呈現(xiàn)大規(guī)模、分布式、協(xié)同化、持久化、隱蔽化特 點(diǎn)，傳統(tǒng)安防模式難以應(yīng)對(duì)。同時(shí)，業(yè)務(wù)應(yīng)用環(huán)境發(fā)生顯著變化，媒體業(yè)務(wù)互 聯(lián)網(wǎng)化、終端移動(dòng)化趨勢(shì)使得安全攻擊入口日趨多樣；云計(jì)算、大數(shù)據(jù)、物聯(lián) 網(wǎng)等新技術(shù)的廣泛應(yīng)用，使得安全邊界日漸模糊；諸如微軟Win

24、dows XP系統(tǒng)停止維護(hù)等系統(tǒng)軟件供應(yīng)鏈安全問題日益凸顯。行業(yè)網(wǎng)絡(luò)安全發(fā)展局面國內(nèi)廣電行業(yè)技術(shù)體系主要包括視音頻系統(tǒng)和信息系統(tǒng)兩類。視音頻系統(tǒng)發(fā)展時(shí)間較長，在系統(tǒng)設(shè)計(jì)、維護(hù)使用、技術(shù)標(biāo)準(zhǔn)等方面已經(jīng) 構(gòu)建了比較完整的安全保障體系，相繼出臺(tái)了包括廣播電視安全播出管理規(guī) 定在內(nèi)的一系列規(guī)章制度和技術(shù)標(biāo)準(zhǔn)，有效指導(dǎo)了系統(tǒng)建設(shè)和運(yùn)行維護(hù)。相對(duì) 而言，網(wǎng)絡(luò)安全的威脅可以被有效控制。近年來信息系統(tǒng)的應(yīng)用正呈現(xiàn)加速發(fā)展態(tài)勢(shì)，但由于起步時(shí)間較晚，針對(duì) 性的指導(dǎo)文件相對(duì)欠缺，網(wǎng)絡(luò)安全建設(shè)、運(yùn)維、管理主要參照 廣播電視相關(guān)信 息系統(tǒng)安全等級(jí)保護(hù)基本要求、廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指 南。對(duì)此，國家新聞出

25、版廣電總局明確提出顯著提高融合媒體安全保障能力的 目標(biāo)，同時(shí)將全面升級(jí)廣播影視信息和網(wǎng)絡(luò)安全技術(shù)體系和系統(tǒng)，進(jìn)一步提升 廣播影視融合媒體安全播出、監(jiān)測(cè)監(jiān)管和網(wǎng)絡(luò)安全保障能力列為十三五期間的 重點(diǎn)工作任務(wù)。電視臺(tái)網(wǎng)絡(luò)安全管理狀況隨著網(wǎng)絡(luò)安全重要性的日益提升，各電視臺(tái)相繼成立了專門管理機(jī)構(gòu)，在 等級(jí)保護(hù)要求指導(dǎo)下，制定網(wǎng)絡(luò)安全管理制度、建立縱深防護(hù)體系。通過一系 列措施的落實(shí)，有效提升了網(wǎng)絡(luò)安全防護(hù)能力。但隨著信息系統(tǒng)規(guī)模的擴(kuò)展和 業(yè)務(wù)交互的不斷增加，一些問題也逐漸顯現(xiàn)，主要包括：現(xiàn)有信息系統(tǒng)安全管 理主要通過合規(guī)性檢查追求安全措施的覆蓋率，對(duì)于這些安全措施的運(yùn)行效果 和整體安全態(tài)勢(shì)卻難以量化掌握

26、；安全事件的處置處于被動(dòng)響應(yīng)狀態(tài)，各種策 略部署和漏洞檢查以靜態(tài)、人工方式為主，對(duì)外部威脅基本無主動(dòng)預(yù)警能力， 安全策略也難以實(shí)現(xiàn)動(dòng)態(tài)調(diào)整；各種網(wǎng)絡(luò)安全日志龐大而繁雜，不能從多個(gè)角 度對(duì)安全事件進(jìn)行分析，不少攻擊無法及時(shí)發(fā)現(xiàn)，更不易快速追溯。3需求分析近年來，電視臺(tái)技術(shù)系統(tǒng)已初步完成了數(shù)字化、網(wǎng)絡(luò)化改造，與互聯(lián)網(wǎng)深 度協(xié)同的融合生產(chǎn)、傳播模式開始呈現(xiàn)，信息系統(tǒng)對(duì)于業(yè)務(wù)的重要程度不斷上 開。網(wǎng)絡(luò)安全是保障信息系統(tǒng)穩(wěn)定運(yùn)行的重要環(huán)節(jié)，信息系統(tǒng)的業(yè)務(wù)范圍、技 術(shù)特點(diǎn)決定了網(wǎng)絡(luò)安全關(guān)注點(diǎn)。本節(jié)依據(jù)業(yè)務(wù)性質(zhì)對(duì)電視臺(tái)信息系統(tǒng)進(jìn)行分 類，同時(shí)針對(duì)其業(yè)務(wù)特征梳理安全風(fēng)險(xiǎn)，在明確主要問題的基礎(chǔ)上，提出了遵 從等

27、級(jí)保護(hù)要求和加強(qiáng)安全監(jiān)測(cè)雙管齊下的應(yīng)對(duì)思路。系統(tǒng)分類及業(yè)務(wù)特征電視臺(tái)信息系統(tǒng)從網(wǎng)絡(luò)安全監(jiān)測(cè)角度，依據(jù)其所承載的業(yè)務(wù)性質(zhì)，可以分 為制播業(yè)務(wù)、新媒體應(yīng)用和辦公管理三個(gè)主要類型，后續(xù)將針對(duì)不同類型的監(jiān) 測(cè)對(duì)象進(jìn)行風(fēng)險(xiǎn)分析，并在功能設(shè)計(jì)中有所體現(xiàn)。制播業(yè)務(wù)系統(tǒng)制播業(yè)務(wù)系統(tǒng)是電視臺(tái)的核心業(yè)務(wù)承載平臺(tái)，以計(jì)算機(jī)網(wǎng)絡(luò)為核心，實(shí)現(xiàn) 電視節(jié)目的采集、編輯、存儲(chǔ)、播出、交換以及相關(guān)管理等輔助功能，主要包 括播出系統(tǒng)、新聞制播系統(tǒng)、播出整備系統(tǒng)、媒資系統(tǒng)、綜合制作系統(tǒng)和業(yè)務(wù) 支撐系統(tǒng)等。新媒體應(yīng)用系統(tǒng)新媒體應(yīng)用系統(tǒng)是電視臺(tái)為擴(kuò)充業(yè)務(wù)形態(tài)、主導(dǎo)網(wǎng)絡(luò)話語權(quán)而建設(shè)的信息 系統(tǒng)，相較于傳統(tǒng)的節(jié)目制作方式，其內(nèi)容的生產(chǎn)不再

28、是一個(gè)單向封閉的流 程，而是一個(gè)開放的匯聚和加工過程，同一主題的內(nèi)容面向不同渠道時(shí)有不同 的展現(xiàn)方式，主要包括兩微一端發(fā)布平臺(tái)、內(nèi)容生產(chǎn)制作系統(tǒng)、門戶網(wǎng)站系 統(tǒng)、移動(dòng)APR IPTV集成播控平臺(tái)等。辦公管理系統(tǒng)辦公管理系統(tǒng)是滿足電視臺(tái)行政辦公、業(yè)務(wù)管理并開展輔助生產(chǎn)業(yè)務(wù)的綜 合信息系統(tǒng)，主要包括互聯(lián)互通業(yè)務(wù)系統(tǒng)、辦公 OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、廣告系 統(tǒng)、節(jié)目生產(chǎn)管理系統(tǒng)、技術(shù)資源管理系統(tǒng)等。上述電視臺(tái)信息系統(tǒng)分類的依據(jù)是其承載業(yè)務(wù)。近年來，制播業(yè)務(wù)的觸角 已逐步跨越系統(tǒng)邊界進(jìn)入辦公管理系統(tǒng)，兩者之間的界限日益模糊。未來隨著 云平臺(tái)架構(gòu)應(yīng)用和業(yè)務(wù)融合的腳步，各類系統(tǒng)之間的一體化進(jìn)程將逐步顯現(xiàn)，“統(tǒng)一

29、資源平臺(tái)+ 不同類型應(yīng)用”模式將成為主流。即使如此，上述針對(duì)應(yīng)用的 分類繼續(xù)有效，不同類型業(yè)務(wù)相應(yīng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)依然存在。安全風(fēng)險(xiǎn)和存在問題電視臺(tái)信息系統(tǒng)安全風(fēng)險(xiǎn)根據(jù)其業(yè)務(wù)特征和安全關(guān)注點(diǎn)的不同，主要分為技術(shù)性、業(yè)務(wù)性和通用性三類。技術(shù)性風(fēng)險(xiǎn)技術(shù)性風(fēng)險(xiǎn)主要來源于信息系統(tǒng)的技術(shù)層面，參照等級(jí)保護(hù)要求主要可以分 為物理風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、邊界風(fēng)險(xiǎn)、終端風(fēng)險(xiǎn)、服務(wù)器風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng) 險(xiǎn)等0物理風(fēng)險(xiǎn)：機(jī)房的位置選擇不符合相關(guān)規(guī)定，物理訪問控制不完善，機(jī) 房環(huán)境（包括溫濕度、防塵、防靜電、電磁防護(hù)、接地、布線等）不符 合規(guī)范要求，消防設(shè)施未配置或配置不符合規(guī)范要求等；網(wǎng)絡(luò)風(fēng)險(xiǎn)：網(wǎng)絡(luò)結(jié)構(gòu)沒有按照層次化進(jìn)

30、行設(shè)計(jì)，未形成縱深的網(wǎng)絡(luò)安全 防護(hù)體系；制播系統(tǒng)中的直播演播室系統(tǒng)、播出系統(tǒng)不是位于縱深結(jié) 構(gòu)內(nèi)部；信息系統(tǒng)網(wǎng)絡(luò)層面的核心、匯聚交換機(jī)等關(guān)鍵網(wǎng)絡(luò)設(shè)備未進(jìn) 行冗余配置，關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障隱患；未按照信息系統(tǒng)功能、業(yè)務(wù)流程、網(wǎng)絡(luò)結(jié)構(gòu)層次、業(yè)務(wù)服務(wù)對(duì)象合理劃分網(wǎng)絡(luò)安全域，或網(wǎng)絡(luò) 安全域劃分不合理等；邊界風(fēng)險(xiǎn)：未在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，或是部署設(shè)備但沒有根據(jù) 安全策略進(jìn)行防護(hù)控制，各個(gè)區(qū)域之間可以進(jìn)行任意通信；外網(wǎng)訪問 內(nèi)部信息系統(tǒng)未按照要求進(jìn)行安全接入控制，并對(duì)用戶權(quán)限進(jìn)行管 理；沒有配套的安全措施對(duì)制播業(yè)務(wù)系統(tǒng)對(duì)外數(shù)據(jù)交互進(jìn)行惡意代碼 查殺，或是存在數(shù)據(jù)非法導(dǎo)入途徑等；終端風(fēng)險(xiǎn)：未對(duì)登錄終端

31、操作系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，系統(tǒng)存 在弱口令且沒有做到定期更換；未根據(jù)安全策略控制用戶對(duì)資源的訪 問，重要系統(tǒng)內(nèi)的終端沒有關(guān)閉 USB光驅(qū)等外設(shè)接口以及不必要的服 務(wù)端口 ；未按要求通過設(shè)置升級(jí)服務(wù)器等方式定期更新操作系統(tǒng)補(bǔ) 丁，未部署集中管理的防惡意代碼軟件并定期更新等；服務(wù)端風(fēng)險(xiǎn)：未對(duì)登錄服務(wù)端操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo) 識(shí)和鑒別，存在多人使用同一用戶名、弱口令等情況；服務(wù)器進(jìn)行遠(yuǎn) 程管理時(shí)，未使用HTTPS SSH等安全訪問方式；未根據(jù)用戶權(quán)限最小 化原則分配用戶權(quán)限，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限未分 離，存在不安全賬戶等；應(yīng)用風(fēng)險(xiǎn)：未對(duì)登錄應(yīng)用系統(tǒng)的用戶進(jìn)行身份標(biāo)

32、識(shí)和鑒別，存在多人共 用賬戶、弱口令、默認(rèn)賬號(hào)等問題，重要業(yè)務(wù)操作未進(jìn)行雙因素認(rèn) 證；用戶賬戶未按要求進(jìn)行最小化權(quán)限設(shè)置，未對(duì)高風(fēng)險(xiǎn)服務(wù)器的重 要信息資源設(shè)置敏感標(biāo)記等；數(shù)據(jù)風(fēng)險(xiǎn)：未對(duì)用戶身份鑒別信息、調(diào)度信息、播出節(jié)目等重要業(yè)務(wù)數(shù) 據(jù)在傳輸過程中進(jìn)行完整性校驗(yàn)，未采用加密或其他有效措施實(shí)現(xiàn)用 戶身份鑒別信息的存儲(chǔ)保密性，未對(duì)重要信息系統(tǒng)安全數(shù)據(jù)進(jìn)行備 份，或是數(shù)據(jù)備份策略不合理等。業(yè)務(wù)性風(fēng)險(xiǎn)業(yè)務(wù)性風(fēng)險(xiǎn)主要來源于電視臺(tái)信息系統(tǒng)業(yè)務(wù)層面，由于安全級(jí)別、防護(hù)手段和服務(wù)對(duì)象的不同，具安全風(fēng)險(xiǎn)關(guān)注點(diǎn)也各有側(cè)重，以下根據(jù)系統(tǒng)分類進(jìn)行闡述。1、制播業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)該類系統(tǒng)在等級(jí)保護(hù)定級(jí)要求中安全保護(hù)等級(jí)較

33、高，處于系統(tǒng)架構(gòu)縱深內(nèi) 部，通過多重的安全邊界進(jìn)行防護(hù)，防病毒重于防入侵，對(duì)由安全問題（如病毒 發(fā)作等）引起的服務(wù)停用較為敏感，同時(shí)安全邊界的可靠性也是重點(diǎn)關(guān)注內(nèi)容。 具體安全風(fēng)險(xiǎn)主要包括以下方面：業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)：內(nèi)容生產(chǎn)連續(xù)性關(guān)系到播出安全，對(duì)于由病毒和木馬 造成生產(chǎn)能力的大規(guī)模中斷高度敏感，由于制播業(yè)務(wù)關(guān)聯(lián)性較強(qiáng)，一 個(gè)制作域出現(xiàn)問題就可能會(huì)影響到整個(gè)生產(chǎn)流程；數(shù)據(jù)交換風(fēng)險(xiǎn)：在媒體融合形勢(shì)下，內(nèi)容生產(chǎn)業(yè)務(wù)由內(nèi)部向外部擴(kuò)張， 各類數(shù)據(jù)交互快速增長，如果交換邊界安全措施不到位，非法文件由 外部進(jìn)入系統(tǒng)內(nèi)部，將產(chǎn)生安全隱患。2、新媒體應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)該類系統(tǒng)涉及提供公眾服務(wù)的網(wǎng)站、IPTV、AP

34、P?業(yè)務(wù)，以及提供新媒體制 作能力的內(nèi)容生產(chǎn)、發(fā)布系統(tǒng)。電視臺(tái)作為具有社會(huì)公信力的媒體機(jī)構(gòu)， 新媒體 內(nèi)容生產(chǎn)能力連續(xù)性和發(fā)布內(nèi)容正確性是首要關(guān)注點(diǎn)，重點(diǎn)防止惡意入侵和內(nèi)容 篡改。具體安全風(fēng)險(xiǎn)主要包括以下方面：網(wǎng)頁篡改風(fēng)險(xiǎn)：由于系統(tǒng)漏洞被惡意利用，導(dǎo)致網(wǎng)站內(nèi)容被篡改，從而引發(fā)信譽(yù)和輿論風(fēng)險(xiǎn)；服務(wù)中斷風(fēng)險(xiǎn)：公眾服務(wù)如果因?yàn)樵馐芄魧?dǎo)致不可用，將引起信譽(yù)風(fēng)險(xiǎn)；網(wǎng)頁掛馬風(fēng)險(xiǎn)：網(wǎng)站被掛馬、盜鏈，網(wǎng)站 DNS解析被劫持，給訪問用戶 帶來安全風(fēng)險(xiǎn)，從而導(dǎo)致公信力下降；9應(yīng)用仿冒風(fēng)險(xiǎn)：開發(fā)不規(guī)范存在安全漏洞，開發(fā)過程中被植入后門，或 被惡意仿冒等導(dǎo)致公信力下降。3、辦公管理系統(tǒng)安全風(fēng)險(xiǎn)該類系統(tǒng)有使用人數(shù)多、

35、單個(gè)應(yīng)用規(guī)模小、系統(tǒng)數(shù)量龐雜等特點(diǎn)。同時(shí)為滿 足制播業(yè)務(wù)外延要求，承擔(dān)連接制播業(yè)務(wù)系統(tǒng)和新媒體應(yīng)用系統(tǒng)職能。由于所處位置的特殊性，既要防范來自外部的病毒、入侵，又要通過審計(jì)等措施防止內(nèi)部 人員作案。具體安全風(fēng)險(xiǎn)主要包括以下方面：APT攻擊風(fēng)險(xiǎn)：目標(biāo)明確、攻擊手段多樣、隱蔽性高的專業(yè)黑客組織持續(xù)性地利用多種手段進(jìn)行入侵攻擊，作為第一步攻擊目標(biāo)，傳統(tǒng)的安全措施很難發(fā)現(xiàn)并防止此類攻擊；互聯(lián)網(wǎng)出口攻擊風(fēng)險(xiǎn)：對(duì)于互聯(lián)網(wǎng)出口 一側(cè)出現(xiàn)的異常流量較為敏感， 同時(shí)還面對(duì)從互聯(lián)網(wǎng)發(fā)起的對(duì)內(nèi)掃描、惡意代碼傳輸、木馬控制等多 種攻擊威脅；DMZ區(qū)入侵風(fēng)險(xiǎn)：部署在互聯(lián)網(wǎng) DMZ區(qū)的應(yīng)用面臨訪問控制、身份驗(yàn) 證、高危漏

36、洞等脆弱性風(fēng)險(xiǎn)，被黑客惡意利用的幾率較大。通用性風(fēng)險(xiǎn)通用性安全風(fēng)險(xiǎn)是指電視臺(tái)信息系統(tǒng)在日常管理、運(yùn)維和發(fā)展中面臨的安 全風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)普遍存在于電視臺(tái)各類信息系統(tǒng)中，主要分為安全管理風(fēng) 險(xiǎn)、運(yùn)行維護(hù)風(fēng)險(xiǎn)和技術(shù)發(fā)展風(fēng)險(xiǎn)等。1、安全管理風(fēng)險(xiǎn)態(tài)勢(shì)掌控：未構(gòu)建集中的網(wǎng)絡(luò)安全管理中心，未實(shí)現(xiàn)惡意代碼查殺軟 件、補(bǔ)丁升級(jí)的統(tǒng)一管理，無法對(duì)來自網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系 統(tǒng)、安全設(shè)備等的安全事件信息進(jìn)行關(guān)聯(lián)分析及風(fēng)險(xiǎn)預(yù)警，難以掌握 組織整體安全態(tài)勢(shì)；10措施落實(shí)：措施部署以滿足合規(guī)性要求為主，未能著眼全局進(jìn)行統(tǒng)一規(guī) 戈各類安全措施間缺乏協(xié)同，全局安全防護(hù)能力受限。2、運(yùn)行維護(hù)風(fēng)險(xiǎn)運(yùn)行監(jiān)測(cè)：未構(gòu)建統(tǒng)一的網(wǎng)絡(luò)安全

37、監(jiān)測(cè)系統(tǒng)，未實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)設(shè)備狀 態(tài)、內(nèi)部流量信息、業(yè)務(wù)運(yùn)行狀態(tài)等的有效監(jiān)測(cè)，無法及時(shí)發(fā)現(xiàn)異 常；運(yùn)維操作：系統(tǒng)規(guī)模大、業(yè)務(wù)復(fù)雜，維護(hù)人員水平參差不齊，操作、處 置不當(dāng)將給風(fēng)險(xiǎn)應(yīng)對(duì)帶來考驗(yàn)。3、技術(shù)發(fā)展風(fēng)險(xiǎn)隨著技術(shù)發(fā)展，原有的安全措施和手段逐漸無法適應(yīng)新的運(yùn)行環(huán)境要求，新的業(yè)務(wù)形態(tài)也需要技術(shù)支持和適配，同樣可能帶來新的安全風(fēng)險(xiǎn)。安全域劃分與租戶隔離：云平臺(tái)架構(gòu)下安全域劃分與隔離更加困難，多租戶虛擬機(jī)和虛擬服務(wù)共用物理資源，虛擬機(jī)安全和租戶間隔離需要新的技術(shù)手段；流量審計(jì)：傳統(tǒng)硬件流量采集設(shè)備無法直接獲取云環(huán)境下虛擬機(jī)之間的交互數(shù)據(jù)；虛擬機(jī)防病毒：傳統(tǒng)的防病毒軟件部署方式會(huì)帶來啟動(dòng)風(fēng)暴等問題，導(dǎo)

38、致對(duì)系統(tǒng)資源的過度占用；混合云架構(gòu)：由于其安全和運(yùn)維邊界不再清晰，為安全管理和運(yùn)維帶來 難題。存在問題近年來，各電視臺(tái)不斷加大網(wǎng)絡(luò)安全投入力度，網(wǎng)絡(luò)安全防護(hù)體系建設(shè)初 具成效。但在建設(shè)過程中，仍以局部、靜態(tài)安全措施部署為主，以等級(jí)保護(hù)符 合性為目標(biāo)，難以從全局視角動(dòng)態(tài)掌控安全態(tài)勢(shì)，安全事件應(yīng)對(duì)時(shí)被動(dòng)防御特ii 征明顯，整體安全成效難以掌握。隨著業(yè)務(wù)模式轉(zhuǎn)型、系統(tǒng)規(guī)模擴(kuò)大、技術(shù)架 構(gòu)升級(jí)，總體而言傳統(tǒng)安全防護(hù)思路已經(jīng)無法滿足需求。主要體現(xiàn)在：1、防護(hù)措施與安全成效脫節(jié)：電視臺(tái)信息系統(tǒng)普遍參照等級(jí)保護(hù)要求進(jìn)行 安全建設(shè)，部署各類安全設(shè)備滿足符合性目標(biāo)，系統(tǒng)規(guī)模不斷擴(kuò)張導(dǎo)致安全設(shè) 備、安全措施部署趨

39、于復(fù)雜，由于缺乏安全管理類應(yīng)用工具和手段，安全管 理、運(yùn)維人員難以及時(shí)獲悉當(dāng)前安全態(tài)勢(shì)、攻擊分布、防護(hù)缺陷，無法結(jié)合電 視臺(tái)信息系統(tǒng)業(yè)務(wù)特征、技術(shù)特點(diǎn)采取針對(duì)性安全措施；2、安管平臺(tái)無法發(fā)揮預(yù)期：傳統(tǒng)安管平臺(tái)以IT安全資產(chǎn)為核心，通過收 集安全設(shè)備的事件和告警信息，實(shí)現(xiàn)集中式安全管理。由于數(shù)據(jù)主要來自安全 設(shè)備，無法對(duì)系統(tǒng)可用性、健康狀態(tài)進(jìn)行主動(dòng)、有效監(jiān)控；3、靜態(tài)防御措施難以應(yīng)對(duì)動(dòng)態(tài)威脅： 電視臺(tái)信息系統(tǒng)的安全防護(hù)措施往往 仍然停留在靜態(tài)層面，僅能抵御來自某個(gè)方面的安全威脅，存在任務(wù)執(zhí)行被動(dòng) 性突出、主動(dòng)對(duì)抗能力薄弱的問題，隨著各類 AP政擊、0-day漏洞的出現(xiàn)，這 種以靜態(tài)防御為主的安全

40、措施失去應(yīng)有效果；4、注重局部措施缺乏整體規(guī)劃：大量安全事件表明，僅僅根據(jù)相關(guān)標(biāo)準(zhǔn)要 求配置相應(yīng)安全設(shè)備，并不能保證網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全的核心需求是保障IT資源所承載業(yè)務(wù)的可用性、連續(xù)性，需要借助全局視角，從需求分析、安全建 模、安全域和資產(chǎn)管理、業(yè)務(wù)風(fēng)險(xiǎn)和影響性分析等多個(gè)維度進(jìn)行統(tǒng)一規(guī)劃，實(shí) 現(xiàn)各類安全措施間的協(xié)同，提升全局安全防護(hù)能力；5、安全事件的管理和應(yīng)對(duì)能力不足：雖有網(wǎng)絡(luò)安全管理機(jī)構(gòu)，并采用自建 或服務(wù)外包方式構(gòu)建安全運(yùn)維團(tuán)隊(duì)，但安全事件分析、響應(yīng)仍然以經(jīng)驗(yàn)判斷、 事后處置為主；6、外部威脅情報(bào)獲取和利用不充分：目前電視臺(tái)對(duì)外部安全威脅情報(bào)的獲取限于安全事件通告層面，未能結(jié)合內(nèi)部安全數(shù)

41、據(jù)進(jìn)行綜合分析，難以從中識(shí) 別出可能的APT攻擊，實(shí)現(xiàn)安全事件的有效預(yù)警和及時(shí)應(yīng)對(duì)；7、尚未形成行業(yè)聯(lián)動(dòng)機(jī)制： 在行業(yè)層面對(duì)于網(wǎng)絡(luò)安全缺乏行之有效的監(jiān) 測(cè)、預(yù)警和處置手段，容易遭受同一類型安全風(fēng)險(xiǎn)威脅，同時(shí)電視臺(tái)之間也未12能建立安全事件聯(lián)動(dòng)處理機(jī)制，網(wǎng)絡(luò)安全事件處理信息無法共享應(yīng)對(duì)思路與總體需求根據(jù)上述安全風(fēng)險(xiǎn)和存在問題的梳理成果，只有在滿足等級(jí)保護(hù)要求的基 礎(chǔ)上，以構(gòu)建完整網(wǎng)絡(luò)安全監(jiān)測(cè)體系為解決思路，實(shí)現(xiàn)“一個(gè)支撐，兩個(gè)維 度，三個(gè)轉(zhuǎn)變”目標(biāo)，才能真正有效應(yīng)對(duì)各類新型安全威脅，防范不斷變化的 安全風(fēng)險(xiǎn)。如圖1所示。網(wǎng)絡(luò)安全數(shù)據(jù)可視化感知主動(dòng)對(duì)抗聚焦全面成效獲取安全態(tài)勢(shì)難以掌握 被動(dòng)防御 注

42、重局部措施落實(shí)圖i電視臺(tái)網(wǎng)絡(luò)安全保障應(yīng)對(duì)思路一個(gè)支撐是指以網(wǎng)絡(luò)安全數(shù)據(jù)為支撐。13數(shù)據(jù)是網(wǎng)絡(luò)安全監(jiān)測(cè)的基礎(chǔ)，安全威脅往往隱藏在海量數(shù)據(jù)之中，擁有海 量、多維及持續(xù)的安全數(shù)據(jù)是進(jìn)行安全分析和挖掘的前提。通過采集、分析各 類安全數(shù)據(jù)，挖掘關(guān)聯(lián)、定位隱患并提供處置參考，以數(shù)據(jù)洞悉安全的理念應(yīng) 對(duì)新形勢(shì)下的安全需求。兩個(gè)維度是指等級(jí)保護(hù)和安全監(jiān)測(cè)兩個(gè)維度。網(wǎng)絡(luò)安全等級(jí)保護(hù)從防護(hù)措施角度，已經(jīng)形成了比較完整、周密的宏觀架構(gòu) 和微觀方法，與具體的技術(shù)實(shí)現(xiàn)形式無關(guān)。網(wǎng)絡(luò)安全監(jiān)測(cè)通過數(shù)據(jù)的獲取、處理、 分析、反饋能力來支持事件的感知、評(píng)估、呈現(xiàn)、處置流程，是安全管理、運(yùn)維 的有力幫手。等級(jí)保護(hù)和安全監(jiān)測(cè)兩個(gè)維

43、度之間既有區(qū)別，又有關(guān)聯(lián)。前者是電 視臺(tái)開展網(wǎng)絡(luò)安全保障工作的指導(dǎo)原則和依據(jù)，后者是動(dòng)態(tài)掌握安全態(tài)勢(shì)、提高 安全事件應(yīng)對(duì)能力、促進(jìn)安全資源投入適配安全管理目標(biāo)的有效手段。 前者注重 安全措施部署落實(shí)，后者注重?cái)?shù)據(jù)支撐、態(tài)勢(shì)感知、內(nèi)外協(xié)同、動(dòng)靜結(jié)合。在等 級(jí)保護(hù)和安全監(jiān)測(cè)兩個(gè)維度的共同支撐之下，電視臺(tái)網(wǎng)絡(luò)安全運(yùn)維擁有了工具， 能力得以保障；網(wǎng)絡(luò)安全管理具備了依據(jù)，水平獲得提升。三個(gè)轉(zhuǎn)變是指從安全態(tài)勢(shì)難以掌握到可視化感知、從被動(dòng)防御到主動(dòng) 對(duì)抗、從注重局部措施落實(shí)到聚焦全面成效獲取。三個(gè)轉(zhuǎn)變是從目標(biāo)和效果層面對(duì)現(xiàn)階段電視臺(tái)網(wǎng)絡(luò)安全保障工作轉(zhuǎn)型和演 進(jìn)的描述，也是數(shù)據(jù)支撐理念、等級(jí)保護(hù)和安全監(jiān)測(cè)兩個(gè)

44、維度的發(fā)展方向。目 標(biāo)是宏觀和全局的，效果可以根據(jù)條件、環(huán)境分步實(shí)現(xiàn)。網(wǎng)絡(luò)安全管理的出發(fā)點(diǎn)是控制風(fēng)險(xiǎn)或止損，能快速發(fā)現(xiàn)異常并及時(shí)處置可 以確保損失的最小化。網(wǎng)絡(luò)安全是攻防看見能力的爭奪，決定看見能力的基礎(chǔ) 是數(shù)據(jù)，實(shí)現(xiàn)看見能力的手段是可視化。通過感知安全風(fēng)險(xiǎn)并進(jìn)行可視化呈 現(xiàn)，實(shí)現(xiàn)整體安全態(tài)勢(shì)的評(píng)估，是快速發(fā)現(xiàn)問題并有效處置的基礎(chǔ)。網(wǎng)絡(luò)安全的本質(zhì)是攻防技術(shù)的對(duì)抗。只有采取主動(dòng)對(duì)抗思路，即在安全事 件發(fā)生之前，通過一系列技術(shù)手段發(fā)現(xiàn)乃至阻止其發(fā)生，或者降低其風(fēng)險(xiǎn)，才 能滿足新環(huán)境下的安全需求。網(wǎng)絡(luò)安全的核心需求是要保障IT資源所承載業(yè)務(wù)的可用性、連續(xù)性。隨著 業(yè)務(wù)之間關(guān)聯(lián)性的增強(qiáng)，片面強(qiáng)調(diào)局部安

45、全措施的落實(shí)已無法保障整體安全防 護(hù)目標(biāo)的達(dá)成，需要從全局出發(fā)統(tǒng)籌協(xié)調(diào)各類安全措施、技術(shù)手段、保障機(jī) 制，全面提升安全保障成效。電視臺(tái)網(wǎng)絡(luò)安全保障工作要在全面落實(shí)等級(jí)保護(hù)要求的前提下，從以措施14 為核心轉(zhuǎn)向以數(shù)據(jù)為支撐，引入安全態(tài)勢(shì)感知、安全大數(shù)據(jù)、安全可視化等新 型技術(shù)手段，通過網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)建設(shè)，及時(shí)掌握安全措施運(yùn)行狀態(tài)，識(shí) 別、預(yù)判安全風(fēng)險(xiǎn)，動(dòng)態(tài)呈現(xiàn)安全態(tài)勢(shì)并進(jìn)行量化評(píng)估，為安全管理和運(yùn)維提 供有效工具。在此基礎(chǔ)上結(jié)合完善的安全管理機(jī)制，形成由分散到集中、由事 后到實(shí)時(shí)、由被動(dòng)到主動(dòng)的網(wǎng)絡(luò)安全保障能力提升，確保網(wǎng)絡(luò)安全態(tài)勢(shì)可見、 可控、能控、在控。4框架規(guī)劃規(guī)劃原則電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)

46、系統(tǒng)是一個(gè)基于安全大數(shù)據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)流量檢測(cè)、威 脅情報(bào)分析、安全事件溯源、安全態(tài)勢(shì)感知、安全預(yù)警告警等功能的信息系 統(tǒng)，為網(wǎng)絡(luò)安全管理和運(yùn)維提供技術(shù)手段，系統(tǒng)建設(shè)應(yīng)遵從適用性、前瞻性、 可行性的規(guī)劃原則。適用性：滿足電視臺(tái)安全管理和行業(yè)監(jiān)管的要求，適應(yīng)廣電行業(yè)高可用、 不間斷、高帶寬、實(shí)時(shí)性、高交互、一體化的業(yè)務(wù)特點(diǎn)。具備良好的可移植性 及可擴(kuò)展性，以適應(yīng)未來升級(jí)擴(kuò)展需求。適配電視臺(tái)信息系統(tǒng)分類和業(yè)務(wù)特 征，能夠應(yīng)對(duì)其面臨的安全風(fēng)險(xiǎn)并解決現(xiàn)存問題。前瞻性：符合廣電行業(yè)信息化發(fā)展方向，符合網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)。契 合未來廣電行業(yè)網(wǎng)絡(luò)安全監(jiān)管工作要求，具備技術(shù)先進(jìn)性。可行性：滿足電視臺(tái)網(wǎng)絡(luò)安全管理

47、、運(yùn)維人員的核心需求，具備技術(shù)實(shí)現(xiàn) 的可行性和實(shí)用性。系統(tǒng)架構(gòu)電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)由對(duì)象層、數(shù)據(jù)層、能力層、功能層、操作層五 部分構(gòu)成。對(duì)象層主要以電視臺(tái)信息系統(tǒng)和安全設(shè)備為監(jiān)測(cè)對(duì)象；數(shù)據(jù)層匯集15各類網(wǎng)絡(luò)安全數(shù)據(jù)源；能力層包括數(shù)據(jù)采集、處理、分析、呈現(xiàn)等能力要素, 通過對(duì)海量多維安全數(shù)據(jù)的存儲(chǔ)、計(jì)算、分析、挖掘及可視化呈現(xiàn)，為上層功能提供數(shù)據(jù)支撐；功能層以模塊方式實(shí)現(xiàn)場(chǎng)景化的監(jiān)測(cè)需求；操作層通過門戶界面支持用戶操作。系統(tǒng)架構(gòu)如圖2所示。統(tǒng)一展示頁面操作層風(fēng)險(xiǎn)管理事件處置態(tài)勢(shì)感知威脅預(yù)警日志統(tǒng)計(jì)應(yīng)用監(jiān)測(cè)設(shè)備狀態(tài)監(jiān)測(cè)配置狀態(tài)監(jiān)測(cè)等保措施自查安全態(tài)勢(shì)評(píng)估漏洞補(bǔ)丁監(jiān)測(cè)安全事件告警應(yīng)用狀態(tài)監(jiān)測(cè)措施狀

48、態(tài)監(jiān)測(cè)安全資產(chǎn)管理安全運(yùn)維協(xié)同威脅預(yù)警分析威脅攻擊追溯未知態(tài) 勢(shì)挖掘能力層數(shù)據(jù)采集數(shù)據(jù)處理數(shù)據(jù)分析數(shù)據(jù)呈現(xiàn)（告警信息1設(shè)備日志1：,鏈路流量.;行業(yè)預(yù)警00 0day漏洞?.b-1,數(shù)據(jù)層應(yīng)用日志）;審計(jì)日志,串J網(wǎng)絡(luò)掃描流量1i指定主機(jī)流量;、 v. J日志數(shù)據(jù)流量數(shù)據(jù)情報(bào)數(shù)據(jù)對(duì)象層、防火墻/ WAFIPS;流量設(shè)備;京威脅情報(bào)制播業(yè)務(wù)系統(tǒng)、新媒體應(yīng)用系統(tǒng)、辦公管理系統(tǒng)第三方機(jī)構(gòu)功能層圖2電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)架構(gòu)數(shù)據(jù)類型電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)通過采集、處理、分析各類網(wǎng)絡(luò)數(shù)據(jù)來實(shí)現(xiàn)安全 事件的感知、評(píng)估和呈現(xiàn)，網(wǎng)絡(luò)數(shù)據(jù)類型主要包括日志數(shù)據(jù)、流量數(shù)據(jù)和情報(bào) 數(shù)據(jù)等。日志數(shù)據(jù)是指設(shè)備日志、告警信

49、息、審計(jì)信息及應(yīng)用日志等，來自于硬件 設(shè)備、操作系統(tǒng)、服務(wù)、進(jìn)程等。日志格式分為標(biāo)準(zhǔn)格式和自定義格式，可以 通過接口調(diào)用、Agent采集等多種方式獲取。流量數(shù)據(jù)是指鏈路流量、應(yīng)用流量、網(wǎng)絡(luò)掃描流量、指定主機(jī)流量等，獲16取方式包括分光、端口鏡像等。流量數(shù)據(jù)是網(wǎng)絡(luò)安全威脅的重要物證，分析難 度較高，且對(duì)存儲(chǔ)容量有所要求。情報(bào)數(shù)據(jù)是指安全預(yù)警通告、漏洞通告 （含0-day漏洞）、威脅通告、惡意 URL地址情報(bào)等，來自于電視臺(tái)內(nèi)部、監(jiān)測(cè)監(jiān)管機(jī)構(gòu)和第三方共享平臺(tái)等。情 報(bào)數(shù)據(jù)信息量豐富，適用性較低，需要較好的甄別和適配處理機(jī)制。能力要素電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)本質(zhì)上是一個(gè)數(shù)據(jù)分析服務(wù)系統(tǒng)，通過網(wǎng)絡(luò)安全

50、數(shù)據(jù)的采集、存儲(chǔ)、處理、分析、呈現(xiàn)為上層應(yīng)用功能提供支持。為此，將基 礎(chǔ)性數(shù)據(jù)功能抽象為能力要素，以后臺(tái)服務(wù)模塊的方式實(shí)現(xiàn)，形成系統(tǒng)架構(gòu)中 的能力層，為在功能層貫徹動(dòng)靜結(jié)合、內(nèi)外協(xié)同、主動(dòng)應(yīng)對(duì)的規(guī)劃思路提供支 撐。數(shù)據(jù)采集通過被動(dòng)接收和主動(dòng)采集兩種方式，實(shí)現(xiàn)全網(wǎng)日志數(shù)據(jù)和流量信息的采 集。采集數(shù)據(jù)類型分為靜態(tài)和動(dòng)態(tài)兩種，其中靜態(tài)數(shù)據(jù)包括網(wǎng)絡(luò)拓?fù)湫畔ⅰ⑾?統(tǒng)脆弱性和運(yùn)行狀態(tài)等基本環(huán)境配置信息，動(dòng)態(tài)數(shù)據(jù)包括各種安全設(shè)備和防護(hù) 措施的運(yùn)行信息。通過系統(tǒng)的對(duì)外接口，還可以收集漏洞信息、惡意代碼、惡 意IP地址等外部威脅情報(bào)。由于安全數(shù)據(jù)來自不同廠家、不同類型的設(shè)備和系統(tǒng)，因此存在多種異構(gòu) 數(shù)據(jù)源，數(shù)據(jù)

51、采集接口需要提供多種采集方式進(jìn)行適配。對(duì)于本地型日志，應(yīng) 支持Syslog、SNMP Trap ODBC/JDB西和Socket接口等方式；對(duì)于網(wǎng)絡(luò)型日 志，應(yīng)支持流量鏡像等方式。同時(shí)，在采集傳輸過程中應(yīng)使用安全傳輸協(xié)議， 以保證數(shù)據(jù)的機(jī)密性和完整性，避免因網(wǎng)絡(luò)安全監(jiān)測(cè)導(dǎo)致新的安全隱患。17數(shù)據(jù)處理負(fù)責(zé)對(duì)采集的原始數(shù)據(jù)進(jìn)行必要的清洗和轉(zhuǎn)換，將原始數(shù)據(jù)根據(jù)預(yù)先設(shè)置 的規(guī)則轉(zhuǎn)化為系統(tǒng)能夠識(shí)別的標(biāo)準(zhǔn)事件，并以合適的數(shù)據(jù)結(jié)構(gòu)對(duì)加工后的安全 數(shù)據(jù)進(jìn)行存儲(chǔ)。通過對(duì)原始安全數(shù)據(jù)進(jìn)行一系列的預(yù)處理，有效降低數(shù)據(jù)噪 聲，保證數(shù)據(jù)分析模塊的性能和效率。通過對(duì)采集到的安全事態(tài)數(shù)據(jù)進(jìn)行完整 性校驗(yàn)，防止由于網(wǎng)絡(luò)錯(cuò)誤或

52、者其他原因影響數(shù)據(jù)完整性。參考網(wǎng)絡(luò)安全相關(guān)的通用數(shù)據(jù)格式，通過建立統(tǒng)一的網(wǎng)絡(luò)安全事件標(biāo)準(zhǔn)化 知識(shí)庫，對(duì)安全數(shù)據(jù)中包含的事件名稱、設(shè)備地址、源地址、源端口、目的地 址、目的端口、統(tǒng)一資源標(biāo)識(shí)、事件時(shí)間、事件內(nèi)容、嚴(yán)重級(jí)別、協(xié)議類型等 信息進(jìn)行歸并和篩選，對(duì)采集到的同類型安全事件進(jìn)行統(tǒng)一分類和命名，實(shí)現(xiàn) 對(duì)不同安全廠商、不同安全設(shè)備所產(chǎn)生海量信息的標(biāo)準(zhǔn)化處理，為信息安全事 件分析、展示和交換提供數(shù)據(jù)支持。數(shù)據(jù)分析在網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)架構(gòu)中處于核心位置，其功能是充分利用大數(shù)據(jù)技術(shù) 對(duì)標(biāo)準(zhǔn)化處理后的安全數(shù)據(jù)進(jìn)行更為深入細(xì)致的分析和挖掘。按照網(wǎng)絡(luò)安全管 理、運(yùn)維相關(guān)的數(shù)據(jù)邏輯和應(yīng)用邏輯要求，做有針對(duì)性的處

53、理分析，為數(shù)據(jù)呈 現(xiàn)模塊提供數(shù)據(jù)來源。數(shù)據(jù)挖掘分析需要依賴場(chǎng)景化關(guān)聯(lián)分析的思路，依托大數(shù)據(jù)的分析處理能 力，可以在更長時(shí)間和更廣系統(tǒng)范圍內(nèi)檢索安全數(shù)據(jù)的關(guān)聯(lián)關(guān)系，根據(jù)不同的 線索將其串聯(lián)在一起。在數(shù)據(jù)分析過程中，需要立足網(wǎng)絡(luò)安全監(jiān)測(cè)環(huán)境和管理 目標(biāo)，綜合考慮安全事件的發(fā)生原因、過程表現(xiàn)、引發(fā)后果等多種因素。數(shù)據(jù)呈現(xiàn)提供網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的人機(jī)交互接口。利用計(jì)算機(jī)圖形學(xué)等技術(shù)，以地18理圖、儀表圖、泡泡圖、雷達(dá)圖、星云圖、流向圖等形式對(duì)全局網(wǎng)絡(luò)安全態(tài)勢(shì) 及分項(xiàng)網(wǎng)絡(luò)安全監(jiān)測(cè)主題（如資產(chǎn)備案、網(wǎng)絡(luò)攻擊、病毒木馬、敏感信息、桌面 終端、漏洞補(bǔ)丁、網(wǎng)絡(luò)流量等）進(jìn)行實(shí)時(shí)全景展示，使安全管理、運(yùn)維人員能夠 更

54、加直觀地對(duì)網(wǎng)絡(luò)安全整體態(tài)勢(shì)進(jìn)行實(shí)時(shí)掌控。運(yùn)行機(jī)制電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)運(yùn)行機(jī)制分為數(shù)據(jù)和態(tài)勢(shì)兩個(gè)層面，如圖3所圖3電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)運(yùn)行機(jī)制在數(shù)據(jù)層面，通過采集流量數(shù)據(jù)、系統(tǒng)日志、安全日志，結(jié)合互聯(lián)網(wǎng)安全 威脅情報(bào)，進(jìn)行網(wǎng)絡(luò)安全數(shù)據(jù)分析，發(fā)掘海量安全數(shù)據(jù)，識(shí)別網(wǎng)絡(luò)攻擊、惡意 代碼等安全威脅并進(jìn)行風(fēng)險(xiǎn)預(yù)警，形成網(wǎng)絡(luò)安全數(shù)據(jù)獲取、處理、分析、反饋 的閉環(huán)結(jié)構(gòu)。在態(tài)勢(shì)層面，通過視圖形式動(dòng)態(tài)體現(xiàn)網(wǎng)絡(luò)安全設(shè)備運(yùn)行狀況，全面展現(xiàn)安 全措施執(zhí)行效果，實(shí)時(shí)反映漏洞與威脅以及安全資產(chǎn)部署情況，同時(shí)結(jié)合事件 告警、風(fēng)險(xiǎn)預(yù)警等功能，整體展現(xiàn)網(wǎng)絡(luò)安全狀態(tài)和變化趨勢(shì)，實(shí)現(xiàn)安全態(tài)勢(shì)的19可視化感知、呈現(xiàn)，為安全運(yùn)維人

55、員及時(shí)部署有針對(duì)性的安全手段提供技術(shù)支 撐，從而真正實(shí)現(xiàn)安全事件感知、評(píng)估、呈現(xiàn)、處置的動(dòng)態(tài)循環(huán)。系統(tǒng)接口電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)與其他信息系統(tǒng)之間的數(shù)據(jù)調(diào)用通過接口方式實(shí) 現(xiàn)，其中主要包括數(shù)據(jù)采集類接口、管理協(xié)同類接口、行業(yè)監(jiān)測(cè)類接口和互聯(lián) 網(wǎng)情報(bào)類接口。數(shù)據(jù)采集類接口負(fù)責(zé)收集制播、新媒體、辦公系統(tǒng)內(nèi)部安全數(shù)據(jù)，為事件 關(guān)聯(lián)分析提供數(shù)據(jù)來源。管理協(xié)同類接口與系統(tǒng)監(jiān)控、業(yè)務(wù)監(jiān)控、運(yùn)維管理、 資源管理等信息系統(tǒng)對(duì)接，通過數(shù)據(jù)交互，實(shí)現(xiàn)感知、評(píng)估、呈現(xiàn)、處置的閉環(huán)流程，為安全運(yùn)維提供支撐。行業(yè)監(jiān)測(cè)類接口按照相應(yīng)網(wǎng)絡(luò)安全事件描述和交換格式規(guī)范，實(shí)現(xiàn)行業(yè)安全預(yù)警、安全數(shù)據(jù)推送和安全事件反饋，獲取行業(yè)網(wǎng)絡(luò)

56、安全預(yù)警信息并報(bào)告本單位安全事件?；ヂ?lián)網(wǎng)情報(bào)類接口負(fù)責(zé)獲取安全預(yù)警、漏洞信息等外部威脅情報(bào)，為安全預(yù)警、關(guān)聯(lián)分析提供情報(bào)來源。如圖 4示0網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)安全防護(hù)措施行業(yè)安全預(yù)警基礎(chǔ)網(wǎng)絡(luò)安全終端系統(tǒng)安全邊界安全安全數(shù)據(jù)推送服務(wù)端系統(tǒng)安全數(shù)據(jù)安全與備份恢復(fù)應(yīng)用安全安全事件反饋數(shù)據(jù)采集類接口安全預(yù)警通告制播業(yè)務(wù)系統(tǒng)運(yùn)維管理系統(tǒng)系統(tǒng)監(jiān)控系統(tǒng)0day漏洞信息設(shè)備日志資源管理系統(tǒng)業(yè)務(wù)監(jiān)控系統(tǒng)鏈路流量惡意URL地址情報(bào)審計(jì)信息安全事件應(yīng)用狀態(tài)互 聯(lián) 網(wǎng) 情 報(bào) 類 接 口應(yīng)用日志|告警信息圖4電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)接口新媒體應(yīng)用系統(tǒng)辦公管理系統(tǒng)主機(jī)狀態(tài)管理協(xié)同類接口20自身安全電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)應(yīng)參照

57、等級(jí)保護(hù)要求從基礎(chǔ)網(wǎng)絡(luò)、邊界、終端、 服務(wù)端、應(yīng)用、數(shù)據(jù)幾個(gè)方面進(jìn)行安全加固，保證系統(tǒng)自身安全防護(hù)能力。系統(tǒng)監(jiān)測(cè)對(duì)象之間等級(jí)保護(hù)安全級(jí)別差異較大。在與高安全級(jí)別系統(tǒng)對(duì)接 時(shí)，應(yīng)考慮與監(jiān)測(cè)對(duì)象的安全邊界劃分，通過部署安全網(wǎng)關(guān)、威脅檢測(cè)設(shè)備實(shí) 現(xiàn)邊界隔離，在數(shù)據(jù)交換層面應(yīng)采用旁路鏡像采集方式實(shí)現(xiàn)，對(duì)于部分需要直 接采集的監(jiān)測(cè)數(shù)據(jù)應(yīng)通過專用數(shù)據(jù)安全交換通道實(shí)現(xiàn)，從而減少監(jiān)測(cè)系統(tǒng)對(duì)高 安全級(jí)別監(jiān)測(cè)對(duì)象的影響。對(duì)于外部互聯(lián)網(wǎng)威脅情報(bào)的收集，應(yīng)有相應(yīng)的安全 機(jī)制保障其數(shù)據(jù)的完整性和準(zhǔn)確性。關(guān)鍵技術(shù)網(wǎng)絡(luò)流量采集檢測(cè)網(wǎng)絡(luò)流量采集技術(shù)為安全事件分析提供數(shù)據(jù)來源。借助該技術(shù)，安全運(yùn)維 人員可以對(duì)已經(jīng)發(fā)生的攻擊行為

58、進(jìn)行多角度、全方位、可回溯的深度檢測(cè)，從 而更容易檢測(cè)出潛在的入侵行為。存儲(chǔ)流量歷史數(shù)據(jù)可能占用過多的存儲(chǔ)資源，但借助云計(jì)算技術(shù)的廉價(jià)資 源和大數(shù)據(jù)技術(shù)的快速解析，使流量實(shí)時(shí)分析成為可能?；陔娨暸_(tái)的業(yè)務(wù)特 點(diǎn)，需要有針對(duì)性的對(duì)網(wǎng)絡(luò)流量進(jìn)行提取、分析和存儲(chǔ)，實(shí)現(xiàn)網(wǎng)絡(luò)流量采集檢 測(cè)效率的最大化。復(fù)合型數(shù)據(jù)庫架構(gòu)在面對(duì)海量多源異構(gòu)的安全監(jiān)測(cè)原始數(shù)據(jù)時(shí)，相較傳統(tǒng)信息化系統(tǒng)采用單 一關(guān)系型數(shù)據(jù)庫進(jìn)行支撐的技術(shù)架構(gòu)，還需要借助非關(guān)系型數(shù)據(jù)庫形成復(fù)合型 數(shù)據(jù)庫架構(gòu)。在電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)中，非關(guān)系型數(shù)據(jù)庫既保證了動(dòng)態(tài)擴(kuò)展，又能21夠?qū)D片、影像以及音視頻等非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行存儲(chǔ)分析，便于數(shù)據(jù)整合和應(yīng) 用。

59、威脅情報(bào)情報(bào)是針對(duì)特定用途有傳遞價(jià)值的信息或知識(shí)。信息是原料，情報(bào)是產(chǎn) 品。信息是客觀事物的反映，情報(bào)是人腦思維的產(chǎn)物。威脅情報(bào)是指針對(duì)一個(gè) 已經(jīng)存在或正在顯露威脅或危害資產(chǎn)行為的，基于證據(jù)知識(shí)的，包含情境、機(jī) 制、影響和應(yīng)對(duì)建議的，用于幫助解決威脅或危害進(jìn)行決策的知識(shí)。在電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)中，通過收集熱點(diǎn)威脅事件、惡意樣本、入侵 工具、黑客動(dòng)向、資產(chǎn)現(xiàn)狀、行為記錄、弱點(diǎn)暴露、未知威脅等威脅情報(bào)數(shù) 據(jù)，分析威脅目的、能力、風(fēng)險(xiǎn)，進(jìn)而預(yù)判威脅給信息資產(chǎn)、網(wǎng)絡(luò)、業(yè)務(wù)、數(shù) 據(jù)帶來的危害，提升安全事件應(yīng)對(duì)能力。安全大數(shù)據(jù)網(wǎng)絡(luò)安全數(shù)據(jù)體積龐大，無法通過人工方式在短時(shí)間內(nèi)進(jìn)行收集、存儲(chǔ)、 處理并整理成

60、為人類所能解讀的信息形式，需要借助大數(shù)據(jù)技術(shù)完成對(duì)海量數(shù) 據(jù)的收集、存儲(chǔ)、分析以及展現(xiàn)，從而保證網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的技術(shù)可行性。在電視臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)中，數(shù)據(jù)生命周期的多個(gè)階段都將應(yīng)用到大數(shù) 據(jù)相關(guān)技術(shù)。例如在數(shù)據(jù)采集階段，通過 ETL (Extract-Transform-Load) 工具 負(fù)責(zé)將分布、異構(gòu)數(shù)據(jù)源中的數(shù)據(jù)如關(guān)系數(shù)據(jù)、平面數(shù)據(jù)文件等抽取到臨時(shí)中 間層后進(jìn)行清洗、轉(zhuǎn)換、集成，最后加載到分布式存儲(chǔ)中，成為聯(lián)機(jī)分析處 理、數(shù)據(jù)挖掘的基礎(chǔ)。通過引入網(wǎng)絡(luò)安全大數(shù)據(jù)技術(shù)，能夠使監(jiān)測(cè)模型在數(shù)據(jù) 處理效率和準(zhǔn)確度上有較大幅度提升，從而更好的為網(wǎng)絡(luò)安全管理、運(yùn)維提供 服務(wù)。22安全事件關(guān)聯(lián)分析關(guān)