1 .背景

随着县级融媒体中心建设收到国家政策层面支持，全国各县市的县级融媒体中心改革与建设进入了持续建设阶段。县级融媒体中心建设试点，于2018年先行启动了 600个县级融媒体中心建设，要求2020年底基本实现在全国的全覆盖。在2019年发布的安全等保2.0的要求下，大量已建县级融媒体平台需要提升安全能力，规划在建的县级融媒体中心需要按等保2.0进行安全能力建设。全国有几千个县级融媒体中心面临安全能力建设要求，如何建设符合等保2.0的县级融媒体中心并保证网络安全的可持续性，已经成为县级融媒体中心建设与运维的重要课题。

2 .建设目标

2.1 等级评定与系统架构情况

县级融媒体中心的网络安全规范中明确要求网络安全保护等级应大于等于二级，但在实际项目建设阶段，综合评估县级融媒体中心的主要业务包括内容媒体服务、党建服务、政务服务、公共服务等，等保定级与备案以三级为主。

同时县级融媒体中心利用省级技术平台开展的业务系统、第三方业务系统及互联网渠道通过边界防护与县级融媒体中心对接。系统属于典型的等保 2.0 要求的“安全通用要求 + 云计算安全扩展要求”相关体系。

2.2 等保2.0合规差距与安全风险分析

1. 安全区域边界

1) 系统缺乏安全验证能力，无法对数据库、操作系统、安全设备、网络设备等的中高危漏洞(包括但不限于敏感数据泄露、严重逻辑缺陷、远程代码执行、提权漏洞、缓冲区溢出等)，进行主动的发现、评估、处置。

2) 部分网络节点防护措施不足，无法检测、阻止或限制互联网发起的攻击行为。设备性能不足，无法针对来自互联网的高峰业务流量保持服务质量。

3) 部分县级融媒体中心网络层无任何恶意代码检测和清除措施。

2. 安全计算环境

1) 对于能通过互联网直接访问的数据库、操作系统、安全设备、网络设备等，存在已知的重大漏洞，但因情报系统不健全、人员运维能力等原因，不能及时修补漏洞以保持系统较高安全水平。

2) 县级融媒体中心涉及省平台能力共享，大部分安全日志只能保存，网络系统、应用系统、安全系统等的日志审计功能未能落地实现，无法对用户的重要行为进行审计，也无法对安全事件进行溯源，无法根据安全事件进行分析溯源及提出安全加固方案。

3) 应用系统中存在未商业化的开源平台以及相关供应商对县级用户运维保障不足。部分用户的应用系统所使用的组件、框架、环境等有已知的、可被利用的中高危漏洞，可能导致服务器被入侵、网页篡改、敏感数据泄露等安全事件的发生。

4) Windows 系统主机的防护不足，无法进行统一管理， 能中心库不能及时升级，无法防止来自外部的恶意攻击或系统漏洞带来的危害。

3. 安全管理中心

1) 无法对发现的安全漏洞和隐患进行及时修补，导致安全漏洞有可能被黑客利用，进而对系统实施恶意攻击 ;面对安全漏洞和隐患缺乏及时处置能力，部分县级融媒体中心不具备相关安全防护与处置功能。

2) 未对各类运维工具进行有效性检查，运维工具中可能存在漏洞或后门 ;部分服务提供商使用开源的运维工具，用户无法对其接入进行严格的控制和审批，一旦被黑客利用将导致数据泄露。

3) 县级融媒体中心不能完整对网络、安全、主机、应用等日志全面保留及分析。无法实现“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”的网络安全法规定。

4) 不具备识别网络中已发生的重大安全事件，并对重大安全事件进行报警的能力，只能被动应对安全事件。

4. 安全运维管理

无法提供应急预案培训和演练的相关记录，未定期组织人员开展应急预案培训，未针对应急预案进行应急演练。

2.3 资金、人员、经验、安全情报等方面的不足

大部分县级融媒体中心在资金、人员、运营经验、安全情报方面资源欠缺。目前首批建设完成的县级融媒体中心工作重点集中在媒体融合和架构建设方面。对于安全等保 2.0 合规需要完善的设备与人力投入没有充足的预算支撑，网络安全保障规划与现实存在差距。

安全管理中心能力中涉及的态势感知、预警处理，及 APT 入侵防护等相关设备价格较高。在安全情报信息方面，尚无统一支撑平台，各县级融媒体中心无法形成统一的权威的安全情报信息数据，并能够评估安全威胁对自己所带来的影响范围和影响程度。部分县级平台安全管理人员技能不足，无法针对突发与特定的威胁进行维护保障。

应急预案培训、应急演练等工作，需要在网络安全、系统建设、应用平台等技术能力综合保障下完成。目前县级融媒体中心执行情况反馈较差，因地理位置与供应商水平、原安全等级保护要求与项目方案等原因，已建设的县级融媒体中心应急培训、应急演练、灾难恢复等工作准备不足、响应周期长，需要保持长期培训、提升、演练才能做到等保 2.0 对运维人员的要求。

3 .广电安全运营大脑技术理念及架构

广电安全运营大脑主要立足于智能化安全效果保障，是一种借助大数据分析技术，实现对各类安全数据进行综合分析， 并结合来自多方的安全威胁情报及安全算法模型，实现对安全事件的预警、预测、预防等功能。同时通过智能化应急响应、事件处置的弹性增强能力提升县级融媒体中心自动化安全运营，促使安全事件的完整闭环以实现低成本高效率的安全效果保障 [3]。

县级融媒体中心借助省级技术平台的能力与广电安全运营大脑的安全能力提升，完成等保 2.0 的合规建设。安全大脑的核心能力是基于安全大数据分析技术进行实现，具体包括数据收集、大数据分析及安全决策业务模块。安全大脑大数据分析技术实现针对安全威胁及安全情报识别与防范，涉及攻击检测、入侵检测、漏洞扫描、威胁模型和机器学习等关键的技术实现。

1. 融合云平台安全产品服务能力，针对等保 2.0 提供县级融媒体中心安全能力加强与补足。

2. 建立统一大数据平台，融合各县级融媒体中心安全数据， 进行针对性的广电行业安全威胁分析。结合 AI 算法，实现安全威胁分析能力的共享。

3. 自动收集与手动上报的资产盘点，进行威胁影响范围与评估。

4. 提供权威安全情报与应急处置能力，提供威胁预警与处置方案。

5. 利用云平台，实现远程安全运维服务支持平台。

6. 针对运维人员提供多种手段的能力评估，培训赋能，应急演练的支持。

4 .安全运营大脑关键技术研究

4.1 大数据分析及威胁算法模型

安全大脑系统将采集到的数据进行聚合分析，包括规则分析、机器学习建模分析两种不同角度的分析方法。利用 AI 技术， 将安全威胁的误报率降低，并将真正有威胁的事件报告给安全运营人员，确保对威胁的快速响应。

安全大脑系统需要支持大量的威胁模型和算法，这些威胁模型全部利用大数据计算引擎进行准实时计算，保证了安全大脑系统对威胁告警的检测效率以及安全分析能力。此外，基于安全数据的基线学习算法模型也可广泛应用到安全大脑的流式大数据分析场景中。

算法选型依据介绍 ：

1. 卡尔曼滤波算法是一种时间域滤波算法，过程噪声(不确定性)是不需要滤除的对象 ;

2. 卡尔曼滤波算法的基本方程是时间域内的递推形式，其计算过程是一个不断地“预测 - 修正”的过程，在求解时不要求存储大量数据 ;

3. 卡尔曼滤波算法不仅适用于平稳随机过程的滤波，而且特别适用于非平稳或平稳马尔可夫序列或高斯 - 马尔可夫序列的滤波，其应用范围是十分广泛的 ;

4. 卡尔曼滤波算法非常适合于实时处理、计算机实现。

自定义构建基线模型参数选择及实现分析 ：

1. 自定义构建基线有多种方式。如 ：手动输入阈值、中心统计量、拟合算法(推荐)等 ;

2. 手动阈值。在控制台页面配置对应阈值并作为基线 ;

3. 中心统计量 ：使用均值、中位数等数据中心统计量作为基线 ;

4. 拟合算法 ：多项式、拉格朗日、样条函数等。使用拟合算法通过历史数据得到拟合函数，通过拟合函数预测后续流量数值，得到基线。

4.2 数据收集与状态分析

安全大脑系统通过部署采集网络运行状态、安全设备、流量采集器和日志采集各类数据与设备的运行数据，并结合云端的威胁情报库，通过各种大数据分析算法实现对全网安全威胁告警和安全事件分析等。

部署之后，整个主机事件采集过程可以完全自动化，反向生成信息资产库，不需要依靠传统的人工做配置管理，无论云主机、云应用再怎么弹性扩张缩减，都可以做到自动化安装能力整体梳理、一清二楚。基于现状，部分县级融媒体中心可以通过手动上报方式实现信息收集。

安全运营大脑系统利用上报的各级融媒体中心的安全数据，实现大规模的分布式主机漏洞分析。安全大脑系统漏洞检测也有不同于传统架构方式，它以情报、安全数据、流量等作为检测标准，并通过漏洞特征进行检测。

安全大脑数据采集有两大类 ：一类是省级技术平台的安全业务数据，分别为 syslog 日志采集、五元组数据采集、http 流量采集 ;另一类是县级融媒体中心安全数据采集。利用大数据分布式采集技术，理论上可实现无限规模的数据采集。目前在公有云服务提供商的生产环境下已经得到大规模验证。

4.3 机器学习模型与威胁检测

对安全计算环境的保护从防御、控制、拦截，转向持续的监控、分析和快速的响应，做到了这一点，对管理者来说是安全就是在无感知的状态下悄然发挥作用的。因为只是在监测， 对业务不会产生影响，而当发现异常可以立刻做响应、快速处置。

安全大脑结合多种行为分析的学习模型，系统对入侵检测有着不同于传统基于特征方式的检测原理。大致有 4 种方式对入侵进行有效的检测 ：

1. 基本的后门特征式检测

2. 正则表达式后门检测

3.基于流量行为的后门检测

4. 基于融合安全情报的算法分析与系统检测

4.4 融合安全情报与共享安全信息

安全大脑系统云端威胁情报所包含的情报来源为两类 ：一类是通过数据分析得出的情报，如发起针对性攻击的恶意 IP 库、黑客攻击手段、黑客信息等 ;另一类是通过外部情报供应方， 如中国互联网应急中心、主流云安全服务平台、安全能力提供厂商。

威胁情报有助于安全大脑系统及时感知到在其他网络中曾经发生过的各种安全事件，并基于对威胁情报的分析以及结合态势感知业务系统情况，提前进行攻击预防。比如已收集到针对 Windows7 系统的勒索攻击后门，安全大脑系统也已获取到当前系统存在相同版本的 Windows7 的系统，因此可以结合该攻击后门进行封堵，提前防范相应的勒索攻击。

通过综合分析全国县级融媒体中心的威胁现状、安全事件、攻击分析，形成一套基于全国县级融媒体中心的安全信息。提供服务全行业的融合安全情报与行业威胁安全信息。

4.5 安全闭环能力

安全大脑系统除了能有效提前感知和及时发现各种安全威胁，还要能结合各种安全能力实现对安全威胁的阻断及溯源， 从根本上达到攻击阻止，实现安全闭环。

1. 当安全大脑系统发现攻击或潜在攻击，可以借助防火墙等网络安全节点下发阻断策略实现网络攻击拦截。阻断策略可以基于攻击源 IP、攻击目的端口、攻击行为特征等方式。

2. 通过攻击溯源技术识别出 CC 攻击的控制端，并直接对控制端进行终止，相当于在战争中打掉了敌人的指挥部。

4.6 安全运营能力

安全运营能力包含以下两个方面 ：

1. 提供良好、高效的运营平台，对于态势感知系统来说， 必须为其提供安全管理运营大屏，安全运营管理人员通过运营大屏可以及时发现安全威胁，并快速对安全威胁进行拦截、通报等处理。

2. 建设安全技术支撑团队，建立符合等保 2.0 要求的安全运营制度，从制度约束各方按要求进行操作。

5 .结论

在云计算、大数据、人工智能、区块链等技术的深入发展， 数字化社会转型，网络安全不仅仅是建立基于边界和个体防护对象的产品应用，更是要深植于云端、数据环流等不同场景的多维度安全防护技术相融合的整体性解决方案。县级融媒体中心的等保 2.0 合规建设，需要迈过合规性门槛的水位线，而是通过智能化手段实现低成本高效率的等保 2.0 与安全保障效果。

安全大脑技术架构具备天然的开放性，可以融合更多的安全防护孤岛，可以应用更多的安全技术工具并提供广阔的平台让更多的安全能力有更大的施展空间，并通过丰富安全算法模型，持续提升智能化安全防护效果，提供更好的安全态势感知和自动化安全运营及应急响应等能力。总之，安全大脑在满足安全等保 2.0 合规性的基础上，能够提供更好更强更前沿的安全保障能力。