基础电信企业网络安全威胁情报工作思路探讨

王晓周，乔喆，李雨昂，李斐

（中国移动通信集团公司信息安全管理与运行中心，北京 100053）

随着信息技术飞速发展，网络安全威胁形势日益严峻。早在2010年就爆发了著名的Google“极光”事件，网络犯罪团体采用高级持续性攻击模式（APT）渗透入侵Google公司计算机长达数月，导致关键知识产权数据被盗。2017年5月，Wanacry勒索病毒席卷全球，150多个国家的近30万台终端被袭击，但美国政府网络几乎未受影响，其主因是美国网络威胁情报整合中心（CTIIC）在让白宫掌握事态发展方面发挥了重大作用。总体来看，网络攻击呈现出越来越强的隐蔽性、持续性和目的性，导致我们不得不以“假设可能或者已遭受入侵”的方式来思考如何做好网络安全防护，而充分利用网络安全情报是实现主动防护的关键所在。

我国基础电信运营商作为国有大型电信企业，运营着全球最庞大的基础通信网络，拥有海量的网络基础设施和重要敏感数据，做好网络安全防护的重要性不言而喻。而传统被动式防护手段已很难满足运营商网络安全防护需求，网络安全防护的思路要由过去基于漏洞为中心向基于威胁情报为中心转变，而如何持续获取高价值的网络安全威胁情报，形成完善的网络安全威胁情报工作体系，将成为实现转变的重中之重。

本文分析了当前国际、国内网络安全威胁情报工作体系发展情况，从基础电信企业网络安全威胁情报工作现状及问题入手，通过深入分析，从机制、管理、共享等方面提出了具体的工作思路，为基础电信企业进一步加强网络安全威胁情报工作顶层设计、建立网络安全威胁情报工作体系、健全网络安全威胁情报工作机制，提供有益参考和借鉴。

1 网络安全威胁情报的概念及特性

知名咨询公司Gartner于2013年给出了网络安全威胁情报的定义，即基于一系列证据的知识集合，包括结合具体场景、利用某种机制、指标和各种蛛丝马迹的消息等提出的具有可操作性的建议，这些建议可以为决策者保护信息资产面临网络安全威胁或风险需要做出正确决定时提供意见参考。

威胁情报具有六大特征：一是真实性，所有推演或预测一定基于事实基础；二是场景性，威胁情报一定是在某个当下的场景中得到的，时空上具有局限性；三是手段性，威胁情报获取方法和途径不同，采集机制有差异；四是特征性，威胁情报都能用指标来进行表征，以便更好的共享利用；五是分析性，威胁情报都需要通过分析一些明确或潜在的数据信息来获取；六是建议性，威胁情报的机制在于其是否能被有效利用以降低网络安全威胁或风险。

2 国内外网络安全威胁情报工作体系发展情况

通过对当前国内外网络安全威胁情报工作体系发展进行深入调研，可从功能角度将威胁情报工作归纳为4个领域，如图1所示；4个领域相辅相成，互为依托，构成网络安全威胁情报POSI工作体系。

（1）政策法规，从立法上明确顶层架构，从政策上明确发展导向，是威胁情报工作发展的顶层设计。

（2）组织机制，从理顺多方共同参与的分工职责等方面形成合理的威胁情报工作框架和机制。

（3）共享标准，形成统一威胁情报标准格式为威胁情报自动化收集、分析及共享提供了先决条件。

（4）产业发展，只有激活产业发展生态圈，才能不断推动威胁情报工作体系不断丰富、迭代、演进和发展。

2.1 国际方面

以美、日为代表的发达国家对网络安全威胁情报高度重视，在政策法规、组织机制、共享标准和产业发展等各方面已形成较为成熟的网络安全情报工作体系。

图1 网络安全威胁情报POSI工作体系

（1）政策法规：以美国为例，2012年颁布《国家信息共享和保卫战略》，允许政府部门间共享信息并加强敏感信息保障；2013年签发政令《增强关键基础设施网络安全》给民营企业向政府共享网络安全信息提供标准；2014年通过《网络安全保护法》等法律，明确了国家网络安全和通信综合中心（NCCIC）“作为联邦与非联邦实体的接口，共享与网络安全有关的风险、事件、分析和告警”等7项职能；发布了《美国政府网络威胁情报共享指南标准》，对网络安全威胁情报共享中的隐私及敏感数据保护、情报标识追踪等进行明确规定。

（2）组织机制：2015年2月，美国在国土安全部下设网络威胁情报整合中心（CTIIC），作为美国政府防范和应对网络威胁的主要部门和全国性网络威胁情报中心，负责整合国家安全局、中央情报局等多个部门所拥有的网络可疑行为数据，向美国政府汇集和传送有关网络破坏的数据，协调网络威胁的分析和评估，提高政府对于网络威胁的集体反应能力，协助政府更有效地防范和应对网络攻击。

（3）共享标准：美国已制定众多威胁情报共享交换标准，主流的标准包括STIX、TAXII、OpenIOC等，可对网络安全威胁因素、活动、事件特征等形成标准化描述，使安全威胁自动化处理得以实现，使情报的交换传递效率及准确率大大提升。其中STIX具有较高的实用性、灵活可扩展性；TAXII是对STIX传输层面的补充，在共享传输速度、安全隐私保护、低技术门槛、多方参与分析优化等方面具有明显优势；OpenIOC可提供丰富灵活的格式将数据转化为机读形式。

（4）产业发展：各大厂商纷纷建设了自己的威胁情报平台，如RSA的NetWitness Live、IBM的QRadar SIP、McAfee的Threat Intelligence等。

2.2 国内方面

我国高度重视网络安全及威胁情报工作，近年来已从立法、机制、标准等各方面都加强了布局。

（1） 政策法规： 2016年全国人大常务委员会发布《网络安全法》中明确“促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享”，“国家建立网络安全监测预警和信息通报制度”；2017年中央网信办发布《关键信息基础设施安全保护条例》，对关键信息基础设施网络安全监测预警体系和信息通报方面作出明确要求；同年，工信部下发《公共互联网网络安全威胁监测与处置办法》，明确要建设网络安全威胁信息共享平台，统一汇集、存储、分析、通报、发布网络安全威胁。

（2）组织机制：成立了中央网络安全和信息化委员会，研究制定网络安全发展战略和重大政策，推动网络安全建设，委员会下设办公室，负责统筹协调推动全国网络安全工作落实；在委员会办公室下设国家互联网应急中心（CNCERT），统筹对网络攻击、威胁、漏洞、隐患等信息进行监测、预警、分析处置和防范。

（3）共享标准：2018年10月发布《信息安全技术网络安全威胁信息格式规范》（GB/T 36643-2018），从观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等8个组件进行描述，并将组件划分为对象、方法和事件3个域，构建出一个完整的网络安全威胁信息表达模型，为国内网络安全威胁情报的自动化获取和分析奠定了良好基础。

（4）产业发展：近年已涌现出一批网络安全情报平台，如360威胁情报中心、谷安天下安全值、微步在线、趋势科技的安全情报分析中心、FireEye安全情报搜集与分析服务等。

2.3 小结

综合以上分析可知，美国等发达国家已建立相对完备的网络威胁情报工作体系，为政府实时掌握来自国内外的网络威胁情报，应对国家安全特别是网络安全威胁提供了强有力的支持；而我国在这些方面还处于快速发展和成长期，有待进一步加快立法进程，构建适应新时期的网络安全威胁情报工作的制度体系，形成国家级跨行业的网络安全威胁情报共享平台，推动产业各方逐步走向成熟。

3 基础电信企业网络安全威胁情报工作现状及存在问题

基础电信企业一直以积极履行网络安全责任，按要求全力开展网络安全威胁治理：一是由安全专职部门或归口管理部门统筹开展企业网络安全工作，相关资产、系统、业务、平台的运营归口管理单位，分别落实本专业条线内网络安全威胁的监测和应急处置， 依托日常管理手段实现跨部门信息共享、预警和联动处置；二是对业务、日志、信令等数据进行统一采集，针对移动恶意程序、僵木蠕病毒程序、垃圾彩信、违规网站等建设了系列网络安全监管手段，并全力配合上级常态化开展DDoS、域名劫持、网页篡改等攻击监测和应急处置，有效保障了客户及自身网络安全；三是按照“同步规划、同步建设、同步运行”的指导思想，将网络安全工作贯穿于网络建设、系统维护及业务发展的各个环节。

但对标国内外先进实践，基础电信企业在威胁情报工作方面还存在差距：一是威胁情报内容及来源单一。通过部署监测采集设备，已掌握包括流量、日志、业务等相关数据及恶意程序、恶意资源等安全平台监测数据，但未实现与外部威胁情报的有机整合，未形成多元化威胁情报库；二是威胁情报数据分散缺乏统一管理。内部安全漏洞、安全事件、恶意程序、病毒、恶意网络资源等威胁数据分散于各系统中，未形成威胁数据集中化存储、管理及有效的报送机制；三是利用威胁情报辅助应急的能力有限。网络安全威胁情报的收集和应急处置工作还基本处于经验管理阶段，未实现自动化收集及利用大数据技术结合外部威胁情报进行建模分析，形成高价值的威胁情报及合理的共享机制，快速生成安全策略并指导应急处置的能力还有待提升。

4 基础电信企业网络安全威胁情报工作思路

根据以上分析可知，当前网络安全威胁情报工作已经不容忽视，基础电信企业要紧跟国内外技术发展，结合自身实际对标POSI工作体系，从机制、管理、共享等重要方面，明确网络安全威胁情报的工作思路和举措，加快推动内部网络安全威胁情报工作体系建设，进一步提升网络安全防护能力和水平。

4.1 全面梳理、集中管理

网络安全是全局性问题，不能完全依靠单个部门解决，建议对企业内部各专业条线分割管理的资产、数据、监测平台等进行全面梳理，按上级监测处置要求，强化对流量、日志、业务数据和恶意程序及资源、安全漏洞及事件等数据的集中汇聚和统一管理，引入第三方威胁情报数据，进行分类整合，形成多元化网络安全威胁情报库。

其中，为提高信息整合分析、情报生成和共享的效率，可从网络安全防护的角度将网络安全威胁细化为4大类21小类（如图2所示）；其中，恶意网络资源还可细分为13小类，包括钓鱼网站服务器IP地址、计算机放马服务器IP地址、移动恶意程序传播服务器IP地址、计算机恶意控制端服务器IP地址、钓鱼网站地址、计算机放马地址、计算机恶意控制端地址、移动恶意程序传播地址和控制端地址、恶意手机号、恶意短信、恶意邮件等。

4.2 建设手段、提升能力

建议基础电信企业建设集中化的网络安全威胁情报共享平台，集中承载和管理网络安全威胁情报信息，形成威胁信息自动化报送、集中研判认定、策略统一下发、安全威胁预警、应急协调处置和信息通报高效的闭环联动体系，积极构建多元化网络安全威胁情报库，结合大数据分析，对采集数据进行价值提炼，实现从数据采集、威胁信息梳理、威胁知识更新、特征匹配，再到威胁情报的价值转换的整体架构（如图3所示），其过程可概括如下。

（1）通过采集流量、日志数据或主动爬取数据等，结合第三方威胁数据，进行清洗、集成、变换、规约及离散化的数据预处理，形成标准化格式的数据。

（2）采用HDFS等基于稳定的分布式存储系统，部署HBase、MySQL等数据库，实现海量数据存储。

（3）基于已建立的特征库对存储的标准化数据进行XSS、APK哈希值、Web shell、SQL注入、远程命令执行等恶意攻击规则匹配，生成威胁信息库。

图2 网络安全威胁分类示意图

图3 基于大数据分析的网络安全情报处理架构

（4）对威胁信息库中的数据进行分类及聚类、上下文关联、攻击树构建等大数据挖掘分析，进一步生成威胁知识库。

（5）采用贝叶斯网络算法、神经网络预测等方法预测攻击趋势，生成决策性威胁情报，并据此形成安全防护策略，辅助提升网络安全防护能力，并根据内部实际应用情况，探索对外提供网络安全威胁情报服务。

4.3 健全组织、完善机制

当前基础电信企业已按相关要求成立了网络安全领导小组并下设办公室，由办公室负责统筹协调企业内部网络安全工作开展，各小组成员单位负责各自职能条线内的工作落实。参考国内外的优秀实践，结合基础电信企业网络安全工作模式，建议集中设置网络安全威胁情报统一归口管理部门，下设分级联动应急支撑团队，基于威胁情报共享平台，实现统一联动闭环管理，形成适用于基础电信企业的工作机制（如图4所示），机制的构建思路如下。

（1）由集团公司网络安全领导小组办公室作为网络安全威胁统一归口管理机构，负责对网络安全威胁的认定、预警、处置建议、反馈结果等进行统筹协调、指挥决策和督导管理。

（2）在办公室下设专门的网络安全应急支撑中心（CESC），在各专业条线及省公司设置网络安全应急支撑小组（CEST）。CESC负责对威胁共享平台收集的威胁情报进行研判和认定，对各CEST反馈的网络安全威胁处置情况进行复核并上报网络安全领导小组办公室审批； 此外，CESC还要负责威胁共享平台的日常运营，确保平台正常运转。CEST负责按要求分类及时上报网络安全威胁信息，并按预警及处置要求及时开展威胁处置；各专业条线通过网络安全威胁情报共享平台实现信息共享。

通过以上工作机制的应用，基础电信企业可形成一整套由威胁情报驱动的网络安全主动防护体系，网络安全威胁情报的集中归口管理、存储、分析，也为打破企业内部管理和信息壁垒，实现协同联动的快速反应和高效的信息共享提供了良好的基础。

图4 基础电信企业网络安全威胁情报工作机制

4.4 合作共享、协同联动

建议基础电信企业根据国家标准和行业要求，研究制定基础电信企业网络威胁情报共享制度规范，明确网络安全威胁情报工作的统一标准、多方参与的协作方式、隐私保护及内部共享机制，推动企业网络安全威胁情报工作体系不断完善；同时，加强与上级单位和专业机构、安全厂商、互联网公司等的协同联动，积极探索建立内外部共享机制，为行业乃至国家网络安全能力提升贡献力量。

5 总结

当前，国外网络安全威胁情报工作体系已较为成熟，国内还处于积极尝试和快速发展阶段，但基于网络安全威胁情报的主动防御已是大势所趋。基础电信企业要与时俱进，实现以漏洞为中心的被动防护到以威胁情报为中心的主动防护理念的转变。本文从管理、机制、标准等方面深入探讨网络安全威胁情报工作体系发展，积极探索建立和完善基础电信企业网络安全情报工作体系的思路，并提出改进的具体举措，助力基础电信企业不断提升网络安全主动防护能力和水平。