基础电信运营商威胁情报能力提升方案研究.pdf

2019年第12期中国移动网络与信息安全专题电信工程技术与标准化

基础电信运营商威胁情报能力提升方案研究

李乘宇，乔喆，王晓晴，白雪

（中国移动通信集团公司信息安全管理与运行中心，北京100053）

摘要威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议。2019公安部发布的《信息安全

技术网络安全等级保护基本要求》明确了企业建设和机构“威胁情报检测系统”的相最关要求。精准地使用

威胁情报可以减少告警误报率，显著提升安全工作效率。海量的基础数据和最新的攻防模型是威胁情报研发

质量的重要保证。基础电信运营商可以依托自有基础数据建立完备的威胁情报体系，整合安全市场上主流威

胁情报提供商的服务并建立评分机制。

关键词威胁情报；基础数据；基础电信运营商

中图分类号TN918文献标识码A文章编号1008-5599（2019）12-0023-05

根据权威IT咨询公司Gartner对威胁情报的定义：入侵检测系统和安全态势感知平台每天会产生数以万计

“威胁情报是基于证据的知识，包括场景、机制、指标、的告警信息，庞大的告警数量导致误报率较高，人工处

含义和可操作的建议。这些知识是关于现存的、或者是理能力不足等问题。同时，随着计算能力和攻击技术的

即将出现的针对资产威胁的，可为主体响应相关威胁或不断升级，攻击者构造更贴近合法用户的攻击行为以躲

危险提供的决策信息”。《网络威胁情报权威指南》中对避检测系统的追踪。作为新型的网络防护方案，威胁情

威胁情报定义是“对敌方的情报，及其动机、企图和方报是对传统网络防护技术的能力补充，建立自有威胁情

法进行收集、分析和传播，帮助各个层面的安全和业务报体系对于基础电信运营商的安全业务意义重大。

成员保护企业关键资产”。从上述权威定义可以发现，

威胁情报将成为构建积极动态防御能力体系的重要组成1威胁情报概况

部分，同时也将在基础安全和纵深防御中发挥巨大作用。

结合基础电信运营商实际业务模式与安全需求，可1.1国际方面

以将运营商威胁情报范畴定义为，通过大数据技术挖掘威胁情报概念在美国的提出可以追溯至2008年的

分析、攻防实验模拟仿真、恶意行为连续监测等方式产Einstein-Ⅲ计划，这一计划提出将结合使用商业科学

生的，具有时效性、可用性和价值性的可能危害企业利技术和NSA技术手段对政府机构的网络流量进行全分

益的相关信息情报，能够帮助企业及用户及时发现并提组检测，并提出基于威胁的决策方案，通过在基础电信

前处置潜在的安全风险，最大程度降低风险影响范围，运营商部署传感器来感知和阻断针对政府网络的攻击。

实现安全可管可控的目标。在当前的安全业务中，传统与此同时，由美国国家计算机安全中心（NCSC）负

收稿日期：2019-11-21

23

2019年12月第12期（第32卷总第268期）月刊

中国移动网络与信息安全专题2019年第12期

电信工程技术与标准化

责统筹协调并收集6个政府背景中心的情报信息，这6可以更有效地支持对网络威胁管理流程和应用的自动

个中心分别为情报界事件响应中心（IC-IRC）、威胁化，提高一致性、效率、互操作性和整体的态势感知能力。

行动中心（NTOC）、美国计算机应急准备小组（US-在S