电视台网络安全监测系统建设技术白皮书

1、电视台网络安全监测系统建设技术白皮书(2017 )国家新闻出版广电总局科技司2017年5月版权声明?国家新闻出版广电总局科技司所有， 2017年。本文档是国家新闻出版广电总局科技司关于电视台网 络安全监测系统建设的技术指导性文件，任何组织、机构 或自然人均不得篡改或转意。互联网和信息化浪潮已经遍及全球，正在颠覆性地改变着人类的生活和生 产方式，形成了独立于陆地、海洋、航空、航天之外的第五维网络空间。随着 网络技术的发展，安全环境日趋复杂，网络安全已经成为各国共同关注的问 题。十八大以来，党中央将网络安全上升至国家战略的高度，成立了中央网络 安全和信息化领导小组，习近平总书记亲自担任组长，指出“

2、没有网络安全就 没有国家安全，没有信息化就没有现代化”。2016年11月全国人大审议通过了中华人民共和国网络安全法，为整体推进网络安全保障体系建设提供了法律 依据，其中明确要求“负责关键信息基础设施安全保护工作的部门，应当建立 健全本行业、本领域的网络安全监测预警和信息通报制度”、“网络运营者应 当采取监测、记录网络运行状态、网络安全事件的技术措施，保障网络免受干 扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。在传统媒体与新兴媒体加速融合的新形势下，广电行业已进入一个新的历 史变革时期。全台网、新媒体、云计算、大数据的发展既带来机遇，又带来前 所未有的挑战。业务系统架构正在由

3、传统的竖井式向云平台转变，媒体融合导 致业务形态发生变化，过去相对独立、分散的网络已经融合为深度关联、相互 依赖的整体，网络安全形势愈发严峻，安全威胁多样化、攻击手段隐蔽化的特 征日益明显，危害范围和程度不断加剧。为提升全行业的网络安全保障水平， 国家新闻出版广电总局于2017年1月颁布了新闻出版广播影视网络安全管理 办法（试行），其中明确要求各运行机构“建立本单位的网络安全监测系统， 实时监测信息系统的运行状态，对可能引发网络安全事件的信息进行收集、分 析和判断，发现异常情况及时处置和报告”。电视台是舆论宣传的主阵地，其网络安全关系着国家文化安全。为有效应1 对各类新型安全威胁，防范不断变化

4、的安全风险，落实相关法律法规要求，国 家新闻出版广电总局科技司组织北京电视台、总局广播科学研究院、上海文化 广播影视集团有限公司、深圳广播电影电视集团编制了 电视台网络安全监测系 统建设技术白皮书（以下简称白皮书），旨在为各级电视台开展网络安全监测 系统规划、建设提供技术指导，为构建广电行业网络安全监测预警体系提供支 撑。白皮书根据电视台信息系统分类、业务特征和相应风险，梳理网络安全需 求，提出一个支撑、两个维度、三个转变的工作思路，即以安全数据为支撑， 从网络安全等级保护和网络安全监测两个维度，实现从安全态势难以掌握到可 视化感知、从被动防御到主动对抗、从注重局部措施落实到聚焦全面成效获取

5、的跨越式转变。依托大数据、态势感知、数据可视化等先进技术，规划网络安 全监测系统架构和能力要素，在此基础上设计出状态监测、管理支持、威胁防 御三类功能，为电视台网络安全运维和管理提供工具和手段。白皮书编制过程中，一方面追随网络安全发展趋势，一方面适配电视台特 定需求场景，规划架构、设计功能，并给出实施参考建议。对于社会、行业发 展过程中不断涌现的新架构、新业态，如云平台、融媒体等，电视台网络安全 监测系统建设的思路、原则和框架是基本一致的，所不同的是具体实现方式和 技术手段，需要在后续版本中逐步修订、更新。白皮书指导单位：国家新闻出版广电总局科技司白皮书主要起草单位：北京电视台、国家新闻出版广

6、电总局广播科学研究 院、上海文化广播影视集团有限公司、深圳广播电影电视集团白皮书主要指导专家：孙苏川、关丽霞、田方白皮书主要起草人：毕江、周旭辉、王立冬、李程、张伟、赵为纲、张 建、王燕涛、何晶、陈奇、张宁、胡恺、刘助翔、马海龙、马爽、翟林目录 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 编写说明1. HYPERLINK l bookmark6 o Current Document 适用范围1. HYPERLINK l bookmark8 o Current Document 规范性引用文件1. HYPERLINK l book

7、mark10 o Current Document 术语和定义2. HYPERLINK l bookmark12 o Current Document 网络安全2. HYPERLINK l bookmark14 o Current Document 网络安全监测 2 HYPERLINK l bookmark16 o Current Document 网络安全事态2 HYPERLINK l bookmark18 o Current Document 网络安全事件2 HYPERLINK l bookmark20 o Current Document 网络数据3. HYPERLINK l bookm

8、ark22 o Current Document 安全事态数据3 HYPERLINK l bookmark24 o Current Document 网络安全态势感知 3 HYPERLINK l bookmark26 o Current Document 数据可视化3 HYPERLINK l bookmark28 o Current Document 缩略语.3. HYPERLINK l bookmark30 o Current Document 内容说明4. HYPERLINK l bookmark32 o Current Document 背景概述4. HYPERLINK l bookma

9、rk34 o Current Document 互联网网络安全发展态势 4 HYPERLINK l bookmark36 o Current Document 行业网络安全发展局面5. HYPERLINK l bookmark38 o Current Document 电视台网络安全管理状况 5 HYPERLINK l bookmark40 o Current Document 需求分析6. HYPERLINK l bookmark42 o Current Document 系统分类及业务特征 6. HYPERLINK l bookmark44 o Current Document 制播业务系

10、统.6. HYPERLINK l bookmark46 o Current Document 新媒体应用系统 6 HYPERLINK l bookmark48 o Current Document 办公管理系统7. HYPERLINK l bookmark50 o Current Document 安全风险和存在问题7. HYPERLINK l bookmark52 o Current Document 技术性风险7. HYPERLINK l bookmark54 o Current Document 业务性风险9. HYPERLINK l bookmark56 o Current Docum

11、ent 通用性风险1.0 HYPERLINK l bookmark58 o Current Document 存在问题1.1 HYPERLINK l bookmark60 o Current Document 应对思路与总体需求13 HYPERLINK l bookmark62 o Current Document 框架规划1.5 HYPERLINK l bookmark64 o Current Document 规划原则1.5 HYPERLINK l bookmark66 o Current Document 系统架构1.5 HYPERLINK l bookmark70 o Current

12、Document 数据类型1.6 HYPERLINK l bookmark72 o Current Document 能力要素1.7 HYPERLINK l bookmark74 o Current Document 数据采集17数据处理18数据分析18数据呈现18 HYPERLINK l bookmark76 o Current Document 运行机制 1.9 HYPERLINK l bookmark78 o Current Document 系统接口 20 HYPERLINK l bookmark80 o Current Document 自身安全21关键技术21网络流量采集检测 21

13、 HYPERLINK l bookmark85 o Current Document 复合型数据库架构21 HYPERLINK l bookmark87 o Current Document 威胁情报22 HYPERLINK l bookmark89 o Current Document 安全大数据22 HYPERLINK l bookmark91 o Current Document 安全事件关联分析23 HYPERLINK l bookmark93 o Current Document 安全基线23 HYPERLINK l bookmark95 o Current Document 安全态

14、势感知 24 HYPERLINK l bookmark97 o Current Document 安全数据可视化 24 HYPERLINK l bookmark99 o Current Document 功能设计25 HYPERLINK l bookmark101 o Current Document 状态监测类功能25 HYPERLINK l bookmark103 o Current Document 设备状态监测 26 HYPERLINK l bookmark105 o Current Document 应用状态监测27 HYPERLINK l bookmark107 o Current

15、 Document 配置状态监测 28 HYPERLINK l bookmark109 o Current Document 措施状态监测 29 HYPERLINK l bookmark111 o Current Document 管理支持类功能30 HYPERLINK l bookmark113 o Current Document 等保措施自查.31 HYPERLINK l bookmark115 o Current Document 安全资产管理.32 HYPERLINK l bookmark117 o Current Document 安全态势评估 .33 HYPERLINK l bo

16、okmark119 o Current Document 安全运维协同 .34 HYPERLINK l bookmark121 o Current Document 威胁防御类功能35 HYPERLINK l bookmark123 o Current Document 漏洞补丁监测.35 HYPERLINK l bookmark125 o Current Document 威胁预警分析 .37 HYPERLINK l bookmark127 o Current Document 安全事件告警 .38 HYPERLINK l bookmark129 o Current Document 威胁攻

17、击追溯40 HYPERLINK l bookmark131 o Current Document 未知态势挖掘 41 HYPERLINK l bookmark133 o Current Document 实施参考42 HYPERLINK l bookmark135 o Current Document 建设原则4.2典型模式4.3关注要点451编写说明1.1适用范围本白皮书主要用于规范各级电视台网络安全监测系统规划和建设，并可供 其它广电媒体及相关行业参考。1.2规范性引用文件中华人民共和国网络安全法新闻出版广播影视网络安全管理办法（试行）（新广办发2017 4号）广播电视安全播出管理规定（广

18、电总局令第62号）广播电视相关信息系统安全等级保护定级指南GD/J 037-2011 广播电视相关信息系统安全等级保护基本要求GD/J 038-2011 信息技术安全技术信息安全事件管理指南GB/Z 20985-2007 网络安全事件描述和交换格式 GB/T 28517-2012 信息技术云计算概览与词汇GB/T 32400-2015 信息安全技术信息安全事件分类分级指南 GB/Z 20986-2007 信息安全技术安全漏洞标识与描述规范 GB/T 28458-2012 信息安全技术网络安全风险评估规范GB/T 20984-2007 信息安全技术信息系统安全等级保护基本要求 GB/T 2223

19、9-2008 信息安全技术术语 GB/T 25069-2010 信息安全技术网络安全风险评估实施指南 GB/T 31509-2015 术语和定义下列术语和定义适用于本白皮书。网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使 用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整 性、保密性、可用性的能力。网络安全监测以网络安全事件为核心，通过采集网上数据并以关联分析等方式对监测对 象进行风险识别、威胁发现、安全事件实时告警及可视化展示，根据监测结果 实时报警、响应，达到主动发现入侵活动的目的。网络安全事态被识别的一种系统、服务或网络状态的发生，表明一次可能

20、的网络安全策 略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的情 况。网络安全事件由单个或一系列意外或有害的网络安全事态所组成，极有可能危害业务运 行和威胁网络安全。网络数据通过网络收集、存储、传输、处理和产生的各种电子数据。安全事态数据与系统、服务或网络安全状态有关的数据。网络安全态势感知大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、 分析、图形化显示以及预测未来一段时间内的发展趋势。数据可视化运用计算机图形学和图像处理技术，将数据转换为图形或图像在屏幕上显 示出来，并进行交互处理。缩略语下列缩略语适用于本白皮书0-day 漏洞是指被发现后立即被恶意利用的安

21、全漏洞(Zero-Day)0-day 攻击零时差攻击(Zero-Day Attack)APT 高级持续性威胁(Advanced Persistent Threat )SOC 安全管理中心(Security Operations Center )TTPs 战术、技术和步骤(Tactics, Techniques, and Procedures )ETL 抽取转化加载(Extract-Transform-Load )SNMP单网络管理协议(Simple Network Management Protocol )APP 应用(Application )3内容说明本白皮书第2章概述网络安全领域发展背景

22、，包括互联网、行业发展形势 和电视台安全管理状况。第 3章通过梳理电视台信息系统分类及业务特征、安 全风险和存在问题，推导出应对思路和监测需求。第4章阐述电视台网络安全监测系统的总体框架，明确系统定位和规划原则，并规划系统架构、数据类 型、能力要素、运行机制、系统接口、自身安全、关键技术。第 5章对电视台 网络安全监测系统功能进行分类详细设计，给出设计目标、功能描述、实现效 果和依赖条件。第6章提供电视台网络安全监测系统的实施参考建议，包括建 设原则、典型模式和关注要点。2背景概述互联网网络安全发展态势全球互联网发展态势迅猛。截至 2016年6月，中国网民规模已达7.1亿。“互联网+”行动计划

23、推动中国政企服务多元化、移动化进程，物联网应用逐渐 渗透到制造业、传媒业和人们工作生活的各个角落，网络安全威胁与日俱增。 以规模化商业牟利为目的，成为木马和僵尸网络、恶意程序、服务攻击等传统 网络安全威胁的新特征。大规模个人信息泄露事件频发，针对行业重要信息系 统的高强度、高水平、有组织攻击屡见不鲜，工控网络面临的安全威胁显著增 加。各种攻击技术手段逐渐呈现大规模、分布式、协同化、持久化、隐蔽化特 点，传统安防模式难以应对。同时，业务应用环境发生显著变化，媒体业务互 联网化、终端移动化趋势使得安全攻击入口日趋多样；云计算、大数据、物联 网等新技术的广泛应用，使得安全边界日渐模糊；诸如微软Win

24、dows XP系统停止维护等系统软件供应链安全问题日益凸显。行业网络安全发展局面国内广电行业技术体系主要包括视音频系统和信息系统两类。视音频系统发展时间较长，在系统设计、维护使用、技术标准等方面已经 构建了比较完整的安全保障体系，相继出台了包括广播电视安全播出管理规 定在内的一系列规章制度和技术标准，有效指导了系统建设和运行维护。相对 而言，网络安全的威胁可以被有效控制。近年来信息系统的应用正呈现加速发展态势，但由于起步时间较晚，针对 性的指导文件相对欠缺，网络安全建设、运维、管理主要参照 广播电视相关信 息系统安全等级保护基本要求、广播电视相关信息系统安全等级保护定级指 南。对此，国家新闻出

25、版广电总局明确提出显著提高融合媒体安全保障能力的 目标，同时将全面升级广播影视信息和网络安全技术体系和系统，进一步提升 广播影视融合媒体安全播出、监测监管和网络安全保障能力列为十三五期间的 重点工作任务。电视台网络安全管理状况随着网络安全重要性的日益提升，各电视台相继成立了专门管理机构，在 等级保护要求指导下，制定网络安全管理制度、建立纵深防护体系。通过一系 列措施的落实，有效提升了网络安全防护能力。但随着信息系统规模的扩展和 业务交互的不断增加，一些问题也逐渐显现，主要包括：现有信息系统安全管 理主要通过合规性检查追求安全措施的覆盖率，对于这些安全措施的运行效果 和整体安全态势却难以量化掌握

26、；安全事件的处置处于被动响应状态，各种策 略部署和漏洞检查以静态、人工方式为主，对外部威胁基本无主动预警能力， 安全策略也难以实现动态调整；各种网络安全日志庞大而繁杂，不能从多个角 度对安全事件进行分析，不少攻击无法及时发现，更不易快速追溯。3需求分析近年来，电视台技术系统已初步完成了数字化、网络化改造，与互联网深 度协同的融合生产、传播模式开始呈现，信息系统对于业务的重要程度不断上 开。网络安全是保障信息系统稳定运行的重要环节，信息系统的业务范围、技 术特点决定了网络安全关注点。本节依据业务性质对电视台信息系统进行分 类，同时针对其业务特征梳理安全风险，在明确主要问题的基础上，提出了遵 从等

27、级保护要求和加强安全监测双管齐下的应对思路。系统分类及业务特征电视台信息系统从网络安全监测角度，依据其所承载的业务性质，可以分 为制播业务、新媒体应用和办公管理三个主要类型，后续将针对不同类型的监 测对象进行风险分析，并在功能设计中有所体现。制播业务系统制播业务系统是电视台的核心业务承载平台，以计算机网络为核心，实现 电视节目的采集、编辑、存储、播出、交换以及相关管理等辅助功能，主要包 括播出系统、新闻制播系统、播出整备系统、媒资系统、综合制作系统和业务 支撑系统等。新媒体应用系统新媒体应用系统是电视台为扩充业务形态、主导网络话语权而建设的信息 系统，相较于传统的节目制作方式，其内容的生产不再

28、是一个单向封闭的流 程，而是一个开放的汇聚和加工过程，同一主题的内容面向不同渠道时有不同 的展现方式，主要包括两微一端发布平台、内容生产制作系统、门户网站系 统、移动APR IPTV集成播控平台等。办公管理系统办公管理系统是满足电视台行政办公、业务管理并开展辅助生产业务的综 合信息系统，主要包括互联互通业务系统、办公 OA系统、财务系统、广告系 统、节目生产管理系统、技术资源管理系统等。上述电视台信息系统分类的依据是其承载业务。近年来，制播业务的触角 已逐步跨越系统边界进入办公管理系统，两者之间的界限日益模糊。未来随着 云平台架构应用和业务融合的脚步，各类系统之间的一体化进程将逐步显现，“统一

29、资源平台+ 不同类型应用”模式将成为主流。即使如此，上述针对应用的 分类继续有效，不同类型业务相应的网络安全风险依然存在。安全风险和存在问题电视台信息系统安全风险根据其业务特征和安全关注点的不同，主要分为技术性、业务性和通用性三类。技术性风险技术性风险主要来源于信息系统的技术层面，参照等级保护要求主要可以分 为物理风险、网络风险、边界风险、终端风险、服务器风险、应用风险、数据风 险等0物理风险：机房的位置选择不符合相关规定，物理访问控制不完善，机 房环境（包括温湿度、防尘、防静电、电磁防护、接地、布线等）不符 合规范要求，消防设施未配置或配置不符合规范要求等；网络风险：网络结构没有按照层次化进

30、行设计，未形成纵深的网络安全 防护体系；制播系统中的直播演播室系统、播出系统不是位于纵深结 构内部；信息系统网络层面的核心、汇聚交换机等关键网络设备未进 行冗余配置，关键节点存在单点故障隐患；未按照信息系统功能、业务流程、网络结构层次、业务服务对象合理划分网络安全域，或网络 安全域划分不合理等；边界风险：未在网络边界部署访问控制设备，或是部署设备但没有根据 安全策略进行防护控制，各个区域之间可以进行任意通信；外网访问 内部信息系统未按照要求进行安全接入控制，并对用户权限进行管 理；没有配套的安全措施对制播业务系统对外数据交互进行恶意代码 查杀，或是存在数据非法导入途径等；终端风险：未对登录终端

31、操作系统的用户进行身份标识和鉴别，系统存 在弱口令且没有做到定期更换；未根据安全策略控制用户对资源的访 问，重要系统内的终端没有关闭 USB光驱等外设接口以及不必要的服 务端口 ；未按要求通过设置升级服务器等方式定期更新操作系统补 丁，未部署集中管理的防恶意代码软件并定期更新等；服务端风险：未对登录服务端操作系统和数据库系统的用户进行身份标 识和鉴别，存在多人使用同一用户名、弱口令等情况；服务器进行远 程管理时，未使用HTTPS SSH等安全访问方式；未根据用户权限最小 化原则分配用户权限，操作系统和数据库系统特权用户的权限未分 离，存在不安全账户等；应用风险：未对登录应用系统的用户进行身份标

32、识和鉴别，存在多人共 用账户、弱口令、默认账号等问题，重要业务操作未进行双因素认 证；用户账户未按要求进行最小化权限设置，未对高风险服务器的重 要信息资源设置敏感标记等；数据风险：未对用户身份鉴别信息、调度信息、播出节目等重要业务数 据在传输过程中进行完整性校验，未采用加密或其他有效措施实现用 户身份鉴别信息的存储保密性，未对重要信息系统安全数据进行备 份，或是数据备份策略不合理等。业务性风险业务性风险主要来源于电视台信息系统业务层面，由于安全级别、防护手段和服务对象的不同，具安全风险关注点也各有侧重，以下根据系统分类进行阐述。1、制播业务系统安全风险该类系统在等级保护定级要求中安全保护等级较

33、高，处于系统架构纵深内 部，通过多重的安全边界进行防护，防病毒重于防入侵，对由安全问题（如病毒 发作等）引起的服务停用较为敏感，同时安全边界的可靠性也是重点关注内容。 具体安全风险主要包括以下方面：业务连续性风险：内容生产连续性关系到播出安全，对于由病毒和木马 造成生产能力的大规模中断高度敏感，由于制播业务关联性较强，一 个制作域出现问题就可能会影响到整个生产流程；数据交换风险：在媒体融合形势下，内容生产业务由内部向外部扩张， 各类数据交互快速增长，如果交换边界安全措施不到位，非法文件由 外部进入系统内部，将产生安全隐患。2、新媒体应用系统安全风险该类系统涉及提供公众服务的网站、IPTV、AP

34、P?业务，以及提供新媒体制 作能力的内容生产、发布系统。电视台作为具有社会公信力的媒体机构， 新媒体 内容生产能力连续性和发布内容正确性是首要关注点，重点防止恶意入侵和内容 篡改。具体安全风险主要包括以下方面：网页篡改风险：由于系统漏洞被恶意利用，导致网站内容被篡改，从而引发信誉和舆论风险；服务中断风险：公众服务如果因为遭受攻击导致不可用，将引起信誉风险；网页挂马风险：网站被挂马、盗链，网站 DNS解析被劫持，给访问用户 带来安全风险，从而导致公信力下降；9应用仿冒风险：开发不规范存在安全漏洞，开发过程中被植入后门，或 被恶意仿冒等导致公信力下降。3、办公管理系统安全风险该类系统有使用人数多、

35、单个应用规模小、系统数量庞杂等特点。同时为满 足制播业务外延要求，承担连接制播业务系统和新媒体应用系统职能。由于所处位置的特殊性，既要防范来自外部的病毒、入侵，又要通过审计等措施防止内部 人员作案。具体安全风险主要包括以下方面：APT攻击风险：目标明确、攻击手段多样、隐蔽性高的专业黑客组织持续性地利用多种手段进行入侵攻击，作为第一步攻击目标，传统的安全措施很难发现并防止此类攻击；互联网出口攻击风险：对于互联网出口 一侧出现的异常流量较为敏感， 同时还面对从互联网发起的对内扫描、恶意代码传输、木马控制等多 种攻击威胁；DMZ区入侵风险：部署在互联网 DMZ区的应用面临访问控制、身份验 证、高危漏

36、洞等脆弱性风险，被黑客恶意利用的几率较大。通用性风险通用性安全风险是指电视台信息系统在日常管理、运维和发展中面临的安 全风险，这些风险普遍存在于电视台各类信息系统中，主要分为安全管理风 险、运行维护风险和技术发展风险等。1、安全管理风险态势掌控：未构建集中的网络安全管理中心，未实现恶意代码查杀软 件、补丁升级的统一管理，无法对来自网络设备、服务器、应用系 统、安全设备等的安全事件信息进行关联分析及风险预警，难以掌握 组织整体安全态势；10措施落实：措施部署以满足合规性要求为主，未能着眼全局进行统一规 戈各类安全措施间缺乏协同，全局安全防护能力受限。2、运行维护风险运行监测：未构建统一的网络安全

37、监测系统，未实现针对网络设备状 态、内部流量信息、业务运行状态等的有效监测，无法及时发现异 常；运维操作：系统规模大、业务复杂，维护人员水平参差不齐，操作、处 置不当将给风险应对带来考验。3、技术发展风险随着技术发展，原有的安全措施和手段逐渐无法适应新的运行环境要求，新的业务形态也需要技术支持和适配，同样可能带来新的安全风险。安全域划分与租户隔离：云平台架构下安全域划分与隔离更加困难，多租户虚拟机和虚拟服务共用物理资源，虚拟机安全和租户间隔离需要新的技术手段；流量审计：传统硬件流量采集设备无法直接获取云环境下虚拟机之间的交互数据；虚拟机防病毒：传统的防病毒软件部署方式会带来启动风暴等问题，导

38、致对系统资源的过度占用；混合云架构：由于其安全和运维边界不再清晰，为安全管理和运维带来 难题。存在问题近年来，各电视台不断加大网络安全投入力度，网络安全防护体系建设初 具成效。但在建设过程中，仍以局部、静态安全措施部署为主，以等级保护符 合性为目标，难以从全局视角动态掌控安全态势，安全事件应对时被动防御特ii 征明显，整体安全成效难以掌握。随着业务模式转型、系统规模扩大、技术架 构升级，总体而言传统安全防护思路已经无法满足需求。主要体现在：1、防护措施与安全成效脱节：电视台信息系统普遍参照等级保护要求进行 安全建设，部署各类安全设备满足符合性目标，系统规模不断扩张导致安全设 备、安全措施部署趋

39、于复杂，由于缺乏安全管理类应用工具和手段，安全管 理、运维人员难以及时获悉当前安全态势、攻击分布、防护缺陷，无法结合电 视台信息系统业务特征、技术特点采取针对性安全措施；2、安管平台无法发挥预期：传统安管平台以IT安全资产为核心，通过收 集安全设备的事件和告警信息，实现集中式安全管理。由于数据主要来自安全 设备，无法对系统可用性、健康状态进行主动、有效监控；3、静态防御措施难以应对动态威胁： 电视台信息系统的安全防护措施往往 仍然停留在静态层面，仅能抵御来自某个方面的安全威胁，存在任务执行被动 性突出、主动对抗能力薄弱的问题，随着各类 AP政击、0-day漏洞的出现，这 种以静态防御为主的安全

40、措施失去应有效果；4、注重局部措施缺乏整体规划：大量安全事件表明，仅仅根据相关标准要 求配置相应安全设备，并不能保证网络安全。网络安全的核心需求是保障IT资源所承载业务的可用性、连续性，需要借助全局视角，从需求分析、安全建 模、安全域和资产管理、业务风险和影响性分析等多个维度进行统一规划，实 现各类安全措施间的协同，提升全局安全防护能力；5、安全事件的管理和应对能力不足：虽有网络安全管理机构，并采用自建 或服务外包方式构建安全运维团队，但安全事件分析、响应仍然以经验判断、 事后处置为主；6、外部威胁情报获取和利用不充分：目前电视台对外部安全威胁情报的获取限于安全事件通告层面，未能结合内部安全数

41、据进行综合分析，难以从中识 别出可能的APT攻击，实现安全事件的有效预警和及时应对；7、尚未形成行业联动机制： 在行业层面对于网络安全缺乏行之有效的监 测、预警和处置手段，容易遭受同一类型安全风险威胁，同时电视台之间也未12能建立安全事件联动处理机制，网络安全事件处理信息无法共享应对思路与总体需求根据上述安全风险和存在问题的梳理成果，只有在满足等级保护要求的基 础上，以构建完整网络安全监测体系为解决思路，实现“一个支撑，两个维 度，三个转变”目标，才能真正有效应对各类新型安全威胁，防范不断变化的 安全风险。如图1所示。网络安全数据可视化感知主动对抗聚焦全面成效获取安全态势难以掌握 被动防御 注

42、重局部措施落实图i电视台网络安全保障应对思路一个支撑是指以网络安全数据为支撑。13数据是网络安全监测的基础，安全威胁往往隐藏在海量数据之中，拥有海 量、多维及持续的安全数据是进行安全分析和挖掘的前提。通过采集、分析各 类安全数据，挖掘关联、定位隐患并提供处置参考，以数据洞悉安全的理念应 对新形势下的安全需求。两个维度是指等级保护和安全监测两个维度。网络安全等级保护从防护措施角度，已经形成了比较完整、周密的宏观架构 和微观方法，与具体的技术实现形式无关。网络安全监测通过数据的获取、处理、 分析、反馈能力来支持事件的感知、评估、呈现、处置流程，是安全管理、运维 的有力帮手。等级保护和安全监测两个维

43、度之间既有区别，又有关联。前者是电 视台开展网络安全保障工作的指导原则和依据，后者是动态掌握安全态势、提高 安全事件应对能力、促进安全资源投入适配安全管理目标的有效手段。 前者注重 安全措施部署落实，后者注重数据支撑、态势感知、内外协同、动静结合。在等 级保护和安全监测两个维度的共同支撑之下，电视台网络安全运维拥有了工具， 能力得以保障；网络安全管理具备了依据，水平获得提升。三个转变是指从安全态势难以掌握到可视化感知、从被动防御到主动 对抗、从注重局部措施落实到聚焦全面成效获取。三个转变是从目标和效果层面对现阶段电视台网络安全保障工作转型和演 进的描述，也是数据支撑理念、等级保护和安全监测两个

44、维度的发展方向。目 标是宏观和全局的，效果可以根据条件、环境分步实现。网络安全管理的出发点是控制风险或止损，能快速发现异常并及时处置可 以确保损失的最小化。网络安全是攻防看见能力的争夺，决定看见能力的基础 是数据，实现看见能力的手段是可视化。通过感知安全风险并进行可视化呈 现，实现整体安全态势的评估，是快速发现问题并有效处置的基础。网络安全的本质是攻防技术的对抗。只有采取主动对抗思路，即在安全事 件发生之前，通过一系列技术手段发现乃至阻止其发生，或者降低其风险，才 能满足新环境下的安全需求。网络安全的核心需求是要保障IT资源所承载业务的可用性、连续性。随着 业务之间关联性的增强，片面强调局部安

45、全措施的落实已无法保障整体安全防 护目标的达成，需要从全局出发统筹协调各类安全措施、技术手段、保障机 制，全面提升安全保障成效。电视台网络安全保障工作要在全面落实等级保护要求的前提下，从以措施14 为核心转向以数据为支撑，引入安全态势感知、安全大数据、安全可视化等新 型技术手段，通过网络安全监测系统建设，及时掌握安全措施运行状态，识 别、预判安全风险，动态呈现安全态势并进行量化评估，为安全管理和运维提 供有效工具。在此基础上结合完善的安全管理机制，形成由分散到集中、由事 后到实时、由被动到主动的网络安全保障能力提升，确保网络安全态势可见、 可控、能控、在控。4框架规划规划原则电视台网络安全监测

46、系统是一个基于安全大数据，实现网络流量检测、威 胁情报分析、安全事件溯源、安全态势感知、安全预警告警等功能的信息系 统，为网络安全管理和运维提供技术手段，系统建设应遵从适用性、前瞻性、 可行性的规划原则。适用性：满足电视台安全管理和行业监管的要求，适应广电行业高可用、 不间断、高带宽、实时性、高交互、一体化的业务特点。具备良好的可移植性 及可扩展性，以适应未来升级扩展需求。适配电视台信息系统分类和业务特 征，能够应对其面临的安全风险并解决现存问题。前瞻性：符合广电行业信息化发展方向，符合网络安全技术发展趋势。契 合未来广电行业网络安全监管工作要求，具备技术先进性。可行性：满足电视台网络安全管理

47、、运维人员的核心需求，具备技术实现 的可行性和实用性。系统架构电视台网络安全监测系统由对象层、数据层、能力层、功能层、操作层五 部分构成。对象层主要以电视台信息系统和安全设备为监测对象；数据层汇集15各类网络安全数据源；能力层包括数据采集、处理、分析、呈现等能力要素, 通过对海量多维安全数据的存储、计算、分析、挖掘及可视化呈现，为上层功能提供数据支撑；功能层以模块方式实现场景化的监测需求；操作层通过门户界面支持用户操作。系统架构如图2所示。统一展示页面操作层风险管理事件处置态势感知威胁预警日志统计应用监测设备状态监测配置状态监测等保措施自查安全态势评估漏洞补丁监测安全事件告警应用状态监测措施状

48、态监测安全资产管理安全运维协同威胁预警分析威胁攻击追溯未知态 势挖掘能力层数据采集数据处理数据分析数据呈现（告警信息1设备日志1：,链路流量.;行业预警00 0day漏洞?.b-1,数据层应用日志）;审计日志,串J网络扫描流量1i指定主机流量;、 v. J日志数据流量数据情报数据对象层、防火墙/ WAFIPS;流量设备;京威胁情报制播业务系统、新媒体应用系统、办公管理系统第三方机构功能层图2电视台网络安全监测系统架构数据类型电视台网络安全监测系统通过采集、处理、分析各类网络数据来实现安全 事件的感知、评估和呈现，网络数据类型主要包括日志数据、流量数据和情报 数据等。日志数据是指设备日志、告警信

49、息、审计信息及应用日志等，来自于硬件 设备、操作系统、服务、进程等。日志格式分为标准格式和自定义格式，可以 通过接口调用、Agent采集等多种方式获取。流量数据是指链路流量、应用流量、网络扫描流量、指定主机流量等，获16取方式包括分光、端口镜像等。流量数据是网络安全威胁的重要物证，分析难 度较高，且对存储容量有所要求。情报数据是指安全预警通告、漏洞通告 （含0-day漏洞）、威胁通告、恶意 URL地址情报等，来自于电视台内部、监测监管机构和第三方共享平台等。情 报数据信息量丰富，适用性较低，需要较好的甄别和适配处理机制。能力要素电视台网络安全监测系统本质上是一个数据分析服务系统，通过网络安全

50、数据的采集、存储、处理、分析、呈现为上层应用功能提供支持。为此，将基 础性数据功能抽象为能力要素，以后台服务模块的方式实现，形成系统架构中 的能力层，为在功能层贯彻动静结合、内外协同、主动应对的规划思路提供支 撑。数据采集通过被动接收和主动采集两种方式，实现全网日志数据和流量信息的采 集。采集数据类型分为静态和动态两种，其中静态数据包括网络拓扑信息、系 统脆弱性和运行状态等基本环境配置信息，动态数据包括各种安全设备和防护 措施的运行信息。通过系统的对外接口，还可以收集漏洞信息、恶意代码、恶 意IP地址等外部威胁情报。由于安全数据来自不同厂家、不同类型的设备和系统，因此存在多种异构 数据源，数据

51、采集接口需要提供多种采集方式进行适配。对于本地型日志，应 支持Syslog、SNMP Trap ODBC/JDB西和Socket接口等方式；对于网络型日 志，应支持流量镜像等方式。同时，在采集传输过程中应使用安全传输协议， 以保证数据的机密性和完整性，避免因网络安全监测导致新的安全隐患。17数据处理负责对采集的原始数据进行必要的清洗和转换，将原始数据根据预先设置 的规则转化为系统能够识别的标准事件，并以合适的数据结构对加工后的安全 数据进行存储。通过对原始安全数据进行一系列的预处理，有效降低数据噪 声，保证数据分析模块的性能和效率。通过对采集到的安全事态数据进行完整 性校验，防止由于网络错误或

52、者其他原因影响数据完整性。参考网络安全相关的通用数据格式，通过建立统一的网络安全事件标准化 知识库，对安全数据中包含的事件名称、设备地址、源地址、源端口、目的地 址、目的端口、统一资源标识、事件时间、事件内容、严重级别、协议类型等 信息进行归并和筛选，对采集到的同类型安全事件进行统一分类和命名，实现 对不同安全厂商、不同安全设备所产生海量信息的标准化处理，为信息安全事 件分析、展示和交换提供数据支持。数据分析在网络安全监测系统架构中处于核心位置，其功能是充分利用大数据技术 对标准化处理后的安全数据进行更为深入细致的分析和挖掘。按照网络安全管 理、运维相关的数据逻辑和应用逻辑要求，做有针对性的处

53、理分析，为数据呈 现模块提供数据来源。数据挖掘分析需要依赖场景化关联分析的思路，依托大数据的分析处理能 力，可以在更长时间和更广系统范围内检索安全数据的关联关系，根据不同的 线索将其串联在一起。在数据分析过程中，需要立足网络安全监测环境和管理 目标，综合考虑安全事件的发生原因、过程表现、引发后果等多种因素。数据呈现提供网络安全监测系统的人机交互接口。利用计算机图形学等技术，以地18理图、仪表图、泡泡图、雷达图、星云图、流向图等形式对全局网络安全态势 及分项网络安全监测主题（如资产备案、网络攻击、病毒木马、敏感信息、桌面 终端、漏洞补丁、网络流量等）进行实时全景展示，使安全管理、运维人员能够 更

54、加直观地对网络安全整体态势进行实时掌控。运行机制电视台网络安全监测系统运行机制分为数据和态势两个层面，如图3所图3电视台网络安全监测系统运行机制在数据层面，通过采集流量数据、系统日志、安全日志，结合互联网安全 威胁情报，进行网络安全数据分析，发掘海量安全数据，识别网络攻击、恶意 代码等安全威胁并进行风险预警，形成网络安全数据获取、处理、分析、反馈 的闭环结构。在态势层面，通过视图形式动态体现网络安全设备运行状况，全面展现安 全措施执行效果，实时反映漏洞与威胁以及安全资产部署情况，同时结合事件 告警、风险预警等功能，整体展现网络安全状态和变化趋势，实现安全态势的19可视化感知、呈现，为安全运维人

55、员及时部署有针对性的安全手段提供技术支 撑，从而真正实现安全事件感知、评估、呈现、处置的动态循环。系统接口电视台网络安全监测系统与其他信息系统之间的数据调用通过接口方式实 现，其中主要包括数据采集类接口、管理协同类接口、行业监测类接口和互联 网情报类接口。数据采集类接口负责收集制播、新媒体、办公系统内部安全数据，为事件 关联分析提供数据来源。管理协同类接口与系统监控、业务监控、运维管理、 资源管理等信息系统对接，通过数据交互，实现感知、评估、呈现、处置的闭环流程，为安全运维提供支撑。行业监测类接口按照相应网络安全事件描述和交换格式规范，实现行业安全预警、安全数据推送和安全事件反馈，获取行业网络

56、安全预警信息并报告本单位安全事件。互联网情报类接口负责获取安全预警、漏洞信息等外部威胁情报，为安全预警、关联分析提供情报来源。如图 4示0网络安全监测系统安全防护措施行业安全预警基础网络安全终端系统安全边界安全安全数据推送服务端系统安全数据安全与备份恢复应用安全安全事件反馈数据采集类接口安全预警通告制播业务系统运维管理系统系统监控系统0day漏洞信息设备日志资源管理系统业务监控系统链路流量恶意URL地址情报审计信息安全事件应用状态互 联 网 情 报 类 接 口应用日志|告警信息图4电视台网络安全监测系统接口新媒体应用系统办公管理系统主机状态管理协同类接口20自身安全电视台网络安全监测系统应参照

57、等级保护要求从基础网络、边界、终端、 服务端、应用、数据几个方面进行安全加固，保证系统自身安全防护能力。系统监测对象之间等级保护安全级别差异较大。在与高安全级别系统对接 时，应考虑与监测对象的安全边界划分，通过部署安全网关、威胁检测设备实 现边界隔离，在数据交换层面应采用旁路镜像采集方式实现，对于部分需要直 接采集的监测数据应通过专用数据安全交换通道实现，从而减少监测系统对高 安全级别监测对象的影响。对于外部互联网威胁情报的收集，应有相应的安全 机制保障其数据的完整性和准确性。关键技术网络流量采集检测网络流量采集技术为安全事件分析提供数据来源。借助该技术，安全运维 人员可以对已经发生的攻击行为

58、进行多角度、全方位、可回溯的深度检测，从 而更容易检测出潜在的入侵行为。存储流量历史数据可能占用过多的存储资源，但借助云计算技术的廉价资 源和大数据技术的快速解析，使流量实时分析成为可能。基于电视台的业务特 点，需要有针对性的对网络流量进行提取、分析和存储，实现网络流量采集检 测效率的最大化。复合型数据库架构在面对海量多源异构的安全监测原始数据时，相较传统信息化系统采用单 一关系型数据库进行支撑的技术架构，还需要借助非关系型数据库形成复合型 数据库架构。在电视台网络安全监测系统中，非关系型数据库既保证了动态扩展，又能21够对图片、影像以及音视频等非结构化数据进行存储分析，便于数据整合和应 用。

59、威胁情报情报是针对特定用途有传递价值的信息或知识。信息是原料，情报是产 品。信息是客观事物的反映，情报是人脑思维的产物。威胁情报是指针对一个 已经存在或正在显露威胁或危害资产行为的，基于证据知识的，包含情境、机 制、影响和应对建议的，用于帮助解决威胁或危害进行决策的知识。在电视台网络安全监测系统中，通过收集热点威胁事件、恶意样本、入侵 工具、黑客动向、资产现状、行为记录、弱点暴露、未知威胁等威胁情报数 据，分析威胁目的、能力、风险，进而预判威胁给信息资产、网络、业务、数 据带来的危害，提升安全事件应对能力。安全大数据网络安全数据体积庞大，无法通过人工方式在短时间内进行收集、存储、 处理并整理成

60、为人类所能解读的信息形式，需要借助大数据技术完成对海量数 据的收集、存储、分析以及展现，从而保证网络安全监测系统的技术可行性。在电视台网络安全监测系统中，数据生命周期的多个阶段都将应用到大数 据相关技术。例如在数据采集阶段，通过 ETL (Extract-Transform-Load) 工具 负责将分布、异构数据源中的数据如关系数据、平面数据文件等抽取到临时中 间层后进行清洗、转换、集成，最后加载到分布式存储中，成为联机分析处 理、数据挖掘的基础。通过引入网络安全大数据技术，能够使监测模型在数据 处理效率和准确度上有较大幅度提升，从而更好的为网络安全管理、运维提供 服务。22安全事件关联分析关