基礎電信企業網絡安全威脅情報工作思路探討

王曉周，喬喆，李雨昂，李斐

（中國移動通信集團公司信息安全管理與運行中心，北京 100053）

隨著信息技術飛速發展，網絡安全威脅形勢日益嚴峻。早在2010年就爆發了著名的Google“極光”事件，網絡犯罪團體采用高級持續性攻擊模式（APT）滲透入侵Google公司計算機長達數月，導致關鍵知識產權數據被盜。2017年5月，Wanacry勒索病毒席卷全球，150多個國家的近30萬臺終端被襲擊，但美國政府網絡幾乎未受影響，其主因是美國網絡威脅情報整合中心（CTIIC）在讓白宮掌握事態發展方面發揮了重大作用?？傮w來看，網絡攻擊呈現出越來越強的隱蔽性、持續性和目的性，導致我們不得不以“假設可能或者已遭受入侵”的方式來思考如何做好網絡安全防護，而充分利用網絡安全情報是實現主動防護的關鍵所在。

我國基礎電信運營商作為國有大型電信企業，運營著全球最龐大的基礎通信網絡，擁有海量的網絡基礎設施和重要敏感數據，做好網絡安全防護的重要性不言而喻。而傳統被動式防護手段已很難滿足運營商網絡安全防護需求，網絡安全防護的思路要由過去基于漏洞為中心向基于威脅情報為中心轉變，而如何持續獲取高價值的網絡安全威脅情報，形成完善的網絡安全威脅情報工作體系，將成為實現轉變的重中之重。

本文分析了當前國際、國內網絡安全威脅情報工作體系發展情況，從基礎電信企業網絡安全威脅情報工作現狀及問題入手，通過深入分析，從機制、管理、共享等方面提出了具體的工作思路，為基礎電信企業進一步加強網絡安全威脅情報工作頂層設計、建立網絡安全威脅情報工作體系、健全網絡安全威脅情報工作機制，提供有益參考和借鑒。

1 網絡安全威脅情報的概念及特性

知名咨詢公司Gartner于2013年給出了網絡安全威脅情報的定義，即基于一系列證據的知識集合，包括結合具體場景、利用某種機制、指標和各種蛛絲馬跡的消息等提出的具有可操作性的建議，這些建議可以為決策者保護信息資產面臨網絡安全威脅或風險需要做出正確決定時提供意見參考。

威脅情報具有六大特征：一是真實性，所有推演或預測一定基于事實基礎；二是場景性，威脅情報一定是在某個當下的場景中得到的，時空上具有局限性；三是手段性，威脅情報獲取方法和途徑不同，采集機制有差異；四是特征性，威脅情報都能用指標來進行表征，以便更好的共享利用；五是分析性，威脅情報都需要通過分析一些明確或潛在的數據信息來獲??；六是建議性，威脅情報的機制在于其是否能被有效利用以降低網絡安全威脅或風險。

2 國內外網絡安全威脅情報工作體系發展情況

通過對當前國內外網絡安全威脅情報工作體系發展進行深入調研，可從功能角度將威脅情報工作歸納為4個領域，如圖1所示；4個領域相輔相成，互為依托，構成網絡安全威脅情報POSI工作體系。

（1）政策法規，從立法上明確頂層架構，從政策上明確發展導向，是威脅情報工作發展的頂層設計。

（2）組織機制，從理順多方共同參與的分工職責等方面形成合理的威脅情報工作框架和機制。

（3）共享標準，形成統一威脅情報標準格式為威脅情報自動化收集、分析及共享提供了先決條件。

（4）產業發展，只有激活產業發展生態圈，才能不斷推動威脅情報工作體系不斷豐富、迭代、演進和發展。

2.1 國際方面

以美、日為代表的發達國家對網絡安全威脅情報高度重視，在政策法規、組織機制、共享標準和產業發展等各方面已形成較為成熟的網絡安全情報工作體系。

圖1 網絡安全威脅情報POSI工作體系

（1）政策法規：以美國為例，2012年頒布《國家信息共享和保衛戰略》，允許政府部門間共享信息并加強敏感信息保障；2013年簽發政令《增強關鍵基礎設施網絡安全》給民營企業向政府共享網絡安全信息提供標準；2014年通過《網絡安全保護法》等法律，明確了國家網絡安全和通信綜合中心（NCCIC）“作為聯邦與非聯邦實體的接口，共享與網絡安全有關的風險、事件、分析和告警”等7項職能；發布了《美國政府網絡威脅情報共享指南標準》，對網絡安全威脅情報共享中的隱私及敏感數據保護、情報標識追蹤等進行明確規定。

（2）組織機制：2015年2月，美國在國土安全部下設網絡威脅情報整合中心（CTIIC），作為美國政府防范和應對網絡威脅的主要部門和全國性網絡威脅情報中心，負責整合國家安全局、中央情報局等多個部門所擁有的網絡可疑行為數據，向美國政府匯集和傳送有關網絡破壞的數據，協調網絡威脅的分析和評估，提高政府對于網絡威脅的集體反應能力，協助政府更有效地防范和應對網絡攻擊。

（3）共享標準：美國已制定眾多威脅情報共享交換標準，主流的標準包括STIX、TAXII、OpenIOC等，可對網絡安全威脅因素、活動、事件特征等形成標準化描述，使安全威脅自動化處理得以實現，使情報的交換傳遞效率及準確率大大提升。其中STIX具有較高的實用性、靈活可擴展性；TAXII是對STIX傳輸層面的補充，在共享傳輸速度、安全隱私保護、低技術門檻、多方參與分析優化等方面具有明顯優勢；OpenIOC可提供豐富靈活的格式將數據轉化為機讀形式。

（4）產業發展：各大廠商紛紛建設了自己的威脅情報平臺，如RSA的NetWitness Live、IBM的QRadar SIP、McAfee的Threat Intelligence等。

2.2 國內方面

我國高度重視網絡安全及威脅情報工作，近年來已從立法、機制、標準等各方面都加強了布局。

（1） 政策法規： 2016年全國人大常務委員會發布《網絡安全法》中明確“促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享”，“國家建立網絡安全監測預警和信息通報制度”；2017年中央網信辦發布《關鍵信息基礎設施安全保護條例》，對關鍵信息基礎設施網絡安全監測預警體系和信息通報方面作出明確要求；同年，工信部下發《公共互聯網網絡安全威脅監測與處置辦法》，明確要建設網絡安全威脅信息共享平臺，統一匯集、存儲、分析、通報、發布網絡安全威脅。

（2）組織機制：成立了中央網絡安全和信息化委員會，研究制定網絡安全發展戰略和重大政策，推動網絡安全建設，委員會下設辦公室，負責統籌協調推動全國網絡安全工作落實；在委員會辦公室下設國家互聯網應急中心（CNCERT），統籌對網絡攻擊、威脅、漏洞、隱患等信息進行監測、預警、分析處置和防范。

（3）共享標準：2018年10月發布《信息安全技術網絡安全威脅信息格式規范》（GB/T 36643-2018），從觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法、應對措施等8個組件進行描述，并將組件劃分為對象、方法和事件3個域，構建出一個完整的網絡安全威脅信息表達模型，為國內網絡安全威脅情報的自動化獲取和分析奠定了良好基礎。

（4）產業發展：近年已涌現出一批網絡安全情報平臺，如360威脅情報中心、谷安天下安全值、微步在線、趨勢科技的安全情報分析中心、FireEye安全情報搜集與分析服務等。

2.3 小結

綜合以上分析可知，美國等發達國家已建立相對完備的網絡威脅情報工作體系，為政府實時掌握來自國內外的網絡威脅情報，應對國家安全特別是網絡安全威脅提供了強有力的支持；而我國在這些方面還處于快速發展和成長期，有待進一步加快立法進程，構建適應新時期的網絡安全威脅情報工作的制度體系，形成國家級跨行業的網絡安全威脅情報共享平臺，推動產業各方逐步走向成熟。

3 基礎電信企業網絡安全威脅情報工作現狀及存在問題

基礎電信企業一直以積極履行網絡安全責任，按要求全力開展網絡安全威脅治理：一是由安全專職部門或歸口管理部門統籌開展企業網絡安全工作，相關資產、系統、業務、平臺的運營歸口管理單位，分別落實本專業條線內網絡安全威脅的監測和應急處置， 依托日常管理手段實現跨部門信息共享、預警和聯動處置；二是對業務、日志、信令等數據進行統一采集，針對移動惡意程序、僵木蠕病毒程序、垃圾彩信、違規網站等建設了系列網絡安全監管手段，并全力配合上級常態化開展DDoS、域名劫持、網頁篡改等攻擊監測和應急處置，有效保障了客戶及自身網絡安全；三是按照“同步規劃、同步建設、同步運行”的指導思想，將網絡安全工作貫穿于網絡建設、系統維護及業務發展的各個環節。

但對標國內外先進實踐，基礎電信企業在威脅情報工作方面還存在差距：一是威脅情報內容及來源單一。通過部署監測采集設備，已掌握包括流量、日志、業務等相關數據及惡意程序、惡意資源等安全平臺監測數據，但未實現與外部威脅情報的有機整合，未形成多元化威脅情報庫；二是威脅情報數據分散缺乏統一管理。內部安全漏洞、安全事件、惡意程序、病毒、惡意網絡資源等威脅數據分散于各系統中，未形成威脅數據集中化存儲、管理及有效的報送機制；三是利用威脅情報輔助應急的能力有限。網絡安全威脅情報的收集和應急處置工作還基本處于經驗管理階段，未實現自動化收集及利用大數據技術結合外部威脅情報進行建模分析，形成高價值的威脅情報及合理的共享機制，快速生成安全策略并指導應急處置的能力還有待提升。

4 基礎電信企業網絡安全威脅情報工作思路

根據以上分析可知，當前網絡安全威脅情報工作已經不容忽視，基礎電信企業要緊跟國內外技術發展，結合自身實際對標POSI工作體系，從機制、管理、共享等重要方面，明確網絡安全威脅情報的工作思路和舉措，加快推動內部網絡安全威脅情報工作體系建設，進一步提升網絡安全防護能力和水平。

4.1 全面梳理、集中管理

網絡安全是全局性問題，不能完全依靠單個部門解決，建議對企業內部各專業條線分割管理的資產、數據、監測平臺等進行全面梳理，按上級監測處置要求，強化對流量、日志、業務數據和惡意程序及資源、安全漏洞及事件等數據的集中匯聚和統一管理，引入第三方威脅情報數據，進行分類整合，形成多元化網絡安全威脅情報庫。

其中，為提高信息整合分析、情報生成和共享的效率，可從網絡安全防護的角度將網絡安全威脅細化為4大類21小類（如圖2所示）；其中，惡意網絡資源還可細分為13小類，包括釣魚網站服務器IP地址、計算機放馬服務器IP地址、移動惡意程序傳播服務器IP地址、計算機惡意控制端服務器IP地址、釣魚網站地址、計算機放馬地址、計算機惡意控制端地址、移動惡意程序傳播地址和控制端地址、惡意手機號、惡意短信、惡意郵件等。

4.2 建設手段、提升能力

建議基礎電信企業建設集中化的網絡安全威脅情報共享平臺，集中承載和管理網絡安全威脅情報信息，形成威脅信息自動化報送、集中研判認定、策略統一下發、安全威脅預警、應急協調處置和信息通報高效的閉環聯動體系，積極構建多元化網絡安全威脅情報庫，結合大數據分析，對采集數據進行價值提煉，實現從數據采集、威脅信息梳理、威脅知識更新、特征匹配，再到威脅情報的價值轉換的整體架構（如圖3所示），其過程可概括如下。

（1）通過采集流量、日志數據或主動爬取數據等，結合第三方威脅數據，進行清洗、集成、變換、規約及離散化的數據預處理，形成標準化格式的數據。

（2）采用HDFS等基于穩定的分布式存儲系統，部署HBase、MySQL等數據庫，實現海量數據存儲。

（3）基于已建立的特征庫對存儲的標準化數據進行XSS、APK哈希值、Web shell、SQL注入、遠程命令執行等惡意攻擊規則匹配，生成威脅信息庫。

圖2 網絡安全威脅分類示意圖

圖3 基于大數據分析的網絡安全情報處理架構

（4）對威脅信息庫中的數據進行分類及聚類、上下文關聯、攻擊樹構建等大數據挖掘分析，進一步生成威脅知識庫。

（5）采用貝葉斯網絡算法、神經網絡預測等方法預測攻擊趨勢，生成決策性威脅情報，并據此形成安全防護策略，輔助提升網絡安全防護能力，并根據內部實際應用情況，探索對外提供網絡安全威脅情報服務。

4.3 健全組織、完善機制

當前基礎電信企業已按相關要求成立了網絡安全領導小組并下設辦公室，由辦公室負責統籌協調企業內部網絡安全工作開展，各小組成員單位負責各自職能條線內的工作落實。參考國內外的優秀實踐，結合基礎電信企業網絡安全工作模式，建議集中設置網絡安全威脅情報統一歸口管理部門，下設分級聯動應急支撐團隊，基于威脅情報共享平臺，實現統一聯動閉環管理，形成適用于基礎電信企業的工作機制（如圖4所示），機制的構建思路如下。

（1）由集團公司網絡安全領導小組辦公室作為網絡安全威脅統一歸口管理機構，負責對網絡安全威脅的認定、預警、處置建議、反饋結果等進行統籌協調、指揮決策和督導管理。

（2）在辦公室下設專門的網絡安全應急支撐中心（CESC），在各專業條線及省公司設置網絡安全應急支撐小組（CEST）。CESC負責對威脅共享平臺收集的威脅情報進行研判和認定，對各CEST反饋的網絡安全威脅處置情況進行復核并上報網絡安全領導小組辦公室審批； 此外，CESC還要負責威脅共享平臺的日常運營，確保平臺正常運轉。CEST負責按要求分類及時上報網絡安全威脅信息，并按預警及處置要求及時開展威脅處置；各專業條線通過網絡安全威脅情報共享平臺實現信息共享。

通過以上工作機制的應用，基礎電信企業可形成一整套由威脅情報驅動的網絡安全主動防護體系，網絡安全威脅情報的集中歸口管理、存儲、分析，也為打破企業內部管理和信息壁壘，實現協同聯動的快速反應和高效的信息共享提供了良好的基礎。

圖4 基礎電信企業網絡安全威脅情報工作機制

4.4 合作共享、協同聯動

建議基礎電信企業根據國家標準和行業要求，研究制定基礎電信企業網絡威脅情報共享制度規范，明確網絡安全威脅情報工作的統一標準、多方參與的協作方式、隱私保護及內部共享機制，推動企業網絡安全威脅情報工作體系不斷完善；同時，加強與上級單位和專業機構、安全廠商、互聯網公司等的協同聯動，積極探索建立內外部共享機制，為行業乃至國家網絡安全能力提升貢獻力量。

5 總結

當前，國外網絡安全威脅情報工作體系已較為成熟，國內還處于積極嘗試和快速發展階段，但基于網絡安全威脅情報的主動防御已是大勢所趨?；A電信企業要與時俱進，實現以漏洞為中心的被動防護到以威脅情報為中心的主動防護理念的轉變。本文從管理、機制、標準等方面深入探討網絡安全威脅情報工作體系發展，積極探索建立和完善基礎電信企業網絡安全情報工作體系的思路，并提出改進的具體舉措，助力基礎電信企業不斷提升網絡安全主動防護能力和水平。