引言
目前,广东省政府正在大力推动“互联网+ 政务服务”,这意味着电子政务系统会面临更大的安全威胁,在攻击对手面前会暴露更多攻击面,所以电子政务系统的安全形势非常严峻,特别是在保护关键基础设施的安全方面。
“永恒之蓝”事件的威胁风波还未完全过去,北京时间2017 年6 月27 日,突然一种新的勒索蠕虫病毒攻击再次席卷全球,多国政府、银行、电力系统、通讯系统、企业以及机场等不同程度受到影响。据悉,俄罗斯、乌克兰、印度、西班牙、法国、英国等多国遭遇勒索病毒Petya 新变种感染,导致大量电脑无法正常工作,要求用户支付加密数字货币才能解锁。目前勒索软件已经“攻陷”多个国家和地区,包括乌克兰基辅机场、美国制药巨头默克、丹麦航运巨头马士基、俄罗斯石油公司、法国建筑材料企业圣戈班集团以及英国广告公司WPP 等多家政府和企业机构遭受攻击。
这些也再次说明“世界上没有攻不破的网络,也没有不存在漏洞的系统”,网络安全威胁防不胜防,网络安全风险是一种常态。事实表明传统的围墙式防御思维,已经没有办法应对变化多端的新安全形势,必须在传统的安全防御能力之上,叠加上新的基于持续检测和及时响应处置的安全能力,也就是态势感知能力。
对安全态势有完整的了解并对未来的态势进行预测,才能有效地应对当前新的网络安全威胁。此时此刻,也恰逢《中华人民共和国网络安全法》于2017 年6 月1 日起正式开始施行。我国《网络安全法》从加强战略部署、构建网络安全综合治理体系以有效应对攻击,构建关键信息基础设施安全保障体系等方面都做了描述,并在第三章用了近三分之一的篇幅提出规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。
与此同时,中央网信办也于2017 年6 月27 日依据我国《网络安全法》,发布了《国家网络安全事件应急预案》的通知(中网办发文〔2017〕4 号)。在第3 章中特别强调了监测与预警,并指出各单位按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各省(区、市)网信部门结合本地区实际,统筹组织开展对本地区网络和信息系统的安全监测工作。各省(区、市)、各部门将重要监测信息报应急办,应急办组织开展跨省(区、市)、跨部门的网络安全信息共享。并在红色预警响应中,提出有关省(区、市)、部门网络安全事件应急指挥机构在特别重大网络事件发生后实行24 小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,重要情况报应急办。
国家网络安全法实施背景下态势感知预警建设的意义
国家网络安全法的宏观保障基础分析
以国际化视角加强战略部署
纵观国际,美国总统特朗普于2017 年5 月11 日签署一份行政命令,要求在联邦政府网络、关键基础设施网络、民众网络三方面加强安全措施。
韩国的网络安全法律体系,也建立了由网络管理、关键基础设施保护、信息通信网络稳定性保障、数据安全等各相关专门性法律和综合性立法组成的,其中也突出强调了关键基础设施的保护。
近日,勒索病毒Petya 新变种再度席卷全球,网络安全问题显得更为迫切,同时也反映出,基于网络攻击的低成本性、隐蔽性以及影响范围广等特征,仅仅依靠事后惩治显然不能起到对网络攻击的威慑作用,更难以实现对网络安全的有效保障。我国《网络安全法》的正式实施力求从源头对网络攻击进行防范,在攻击发生时,确保能够迅速响应与处置,将损害降至最低。
新时期,我国网络信息安全战略秉承主权在先原则,坚持积极促进交流互鉴的态度。《网络安全法》践行总体国家安全观,并结合当前国际网络空间具有动态、开放、相对、共同的特征,从宏观层面明确提出:制定并不断完善网络安全强国战略,保障网络安全的基本要求和主要目标之最终实现,强调重点领域的网络安全政策、工作任务和措施之重点落实。
一方面,网络主权是网络安全战略的基础,是国家主权在网络空间的体现和延伸;另一方面,增强防御和威慑能力是网络安全战略的重点。我国《网络安全法》以战略和立法相配合的形式,通过构建网络安全综合治理体系,夯实关键信息基础设施安全,防范和应对网络攻击。
正如我国外交部发言人华春莹在新闻发布会上所说“我们坚决反对并将严厉打击任何形式的网络攻击行为。我们也倡导国际社会要在相互尊重和平等互利的基础上,加强对话与合作,共同应对网络安全威胁。”
关于构建关键信息基础设施安全保障体系
新时期,网络强国战略的重点在于构建关键信息基础设施安全保障体系,国家、行业组织、网络运营者各方需协同参与,进一步强化企业运营者责任,细化行业责任划分,通过立法形式严厉打击针对关键信息基础设施系统的网络攻击行为。我国《网络安全法》明确提出了关键信息基础设施概念和范围并对关键信息基础设施保护提出具体要求,从国家、行业、运营者三个层面明确规定了关键信息基础设施相关主体的安全保护义务,力求系统全面的构建关键信息基础设施安全保障体系,以基础设施牢筑强国战略。规定:国家网信部门统筹协调有关部门采取相应措施,加强国家的网络安全监测预警和应急制度建设,提高网络安全保障能力;负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作,建立、健全本行业的网络安全监测、预警和信息通报制度,并按照规定报送网络安全监测预警信息,制定本行业、本领域的网络安全事件应急预案,并定期组织演练;运营者应当履行的安全保护义务,主要包括设置专职人员,定期进行网络安全教育、培训和考核,对重要系统和数据库进行容灾备份,制定应急预案并组织演练等。
动态感知预警建设是保障电子政务网络系统安全的重要举措
据悉,近日的病毒是Petya 勒索病毒的变种Petwarp,是一种新型勒索蠕虫病毒,感染后将通过特定类型的文件导致系统无法正常工作。该病毒常采用了邮件、下载器和蠕虫的组合传播方式,因此,传播的方法和途径比起今年五月份爆发的“永恒之蓝”(WannaCry) 更加迅速和广泛,尤其是以邮件钓鱼的方式令广大用户更加难以防范。近2 年来,勒索病毒爆发的比率在大幅上升,也让更多部门认识到面对越来越多的攻击的威胁,需要有全面的体系化的防护方案。
关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。《网络安全法》第五章将监测预警与应急处置工作制度化、法制化,明确国家建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期演练。为深化网络安全防护体系,实现全天候全方位感知网络安全态势提供了法律保障。
如何加快推进 “互联网+ 政务服务”,有效保障电子政务网络系统的安全运行是关键。电子政务网络系统的安全其中一个核心就是如何对电子政务网络安全信息进行收集、分析与共享,主要的安全信息包括成功与失败的攻击、已知的漏洞与威胁、攻击者的资料与动机等。
安全信息的共享不仅有助于理解当前的安全情况与潜在的风险与威胁,还能对安全态势有个全局的把握。通过安全信息的共享可以提升安全数据能提供的信息量,能对攻击者的行为进行更详尽、完整的刻画,是有效避免攻击的基础,因此建设态势感知系统是有效保障电子政务网络系统安全运行的重要举措。
国家网络安全态势感知预警能力建设
态势感知的概念理解
态势感知是一种基于环境的动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。现阶段面对传统安全防御体系失效的风险,态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助信息安全人员采取针对性响应处置措施。
态势感知系统具备对电子政务网络空间安全持续监控能力,能够及时发现各种攻击威胁与异常;具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,从而支撑电子政务系统遇到攻击时有效的决策和响应;能够建立电子政务的安全预警机制,来完善政务系统的风险控制、应急响应和电子政务网络的整体安全防护水平。
随着《网络安全法》出台,“态势感知”首次被提升到了国家高度,该名词已成为网络安全热点词汇,谈网络安全,必言“态势感知”。但对态势感知的理解也是众说纷纭,目前网络安全界主流观点认为:“态势感知”,起源于美国军方,上世纪90 年代引入信息安全领域,在我国兴起于2015 年。
现今的态势感知平台,也呈现出“百家争鸣、百花齐放”的状态。各大厂商的态势感知平台华丽异常,滚动的攻击数据、仿真的地图炮…,在展示效果方面也各有所长。然而态势感知的呈现不应该仅停留在表面,不是简单地将攻击数据进行三维可视化,不是华丽的“疆域实时攻击图”。所有态势感知系统的终极目的,都应该是实时地发现网络攻击行为,提前感知到攻击态势,并且有效、快速地进行安全预警和安全防御。
态势感知预警平台的建立
我国《网络安全法》中明确指出:态势感知需具备预警监测功能。《国家网络安全事件应急预案》的通知在监测预警部分中明确了: 预警分级,预警监测,预警响应等重要条款。
在中央网信办《国家网络安全事件应急预案》第7 章保障措施中也指出,关于基础平台提到各地区、各部门加强网络安全应急基础平台和管理平台建设,做到早发现、早预警、早响应,提高应急处置能力。在技术研发和产业促进中指出,有关部门加强网络安全防范技术研究,不断改进技术装备,为应急响应工作提供技术支撑。加强政策引导,重点支持网络安全监测预警、预防防护、处置救援、应急服务等方向,提升网络安全应急产业整体水平与核心竞争力,增强防范和处置网络安全事件的产业支撑能力。
此外《网络安全法》也明确了信息通报制度:目前政务系统也在倡导互联网+,信息通报工作将成为常态,尤其在重要会议期间(比如:两会、一带一路峰会、国庆)等重要日期,更要日日通报,同时要充分利用微信群等互联网手段。目前国家层面已经由公安部牵头成立国家网络与信息安全信息通报中心,主要成员为各大央企和部委,除了日常的公文交换之外,还建立了微信群,每个单位派出一名正处级联络员作为微信群信息安全联络人。
WannaCry 传播初期,通报机制发挥了非常重要作用,在发现病毒的第一时间内,国家网络与信息安全信息通报中心在微信联络群中,公布了防御方法和病毒的阻击路径,各大单位行动迅速,查病毒、打补丁、断端口。有效地防护住了WannaCry 的传播。所有部委央企无一例感染案例。广东省同样效仿国家层面,依据《网络安全法》成立通报中心,建立了网络安全通报预警和应急处置体系,以便在出现安全问题第一时间,对各省直单位进行安全预警、应急响应。在这种情况下,态势感知的重要性越发明显。在《网络安全法》的指导下,建立和完善态势感知平台,进行有效的预警监测和预警响应,已经刻不容缓。
建立态势感知系统首先要明确目标和范围,尤其是在电子政务系统中,需要梳理清晰要监测与防护的重要业务资产,必须从安全防御出发,以业务资产为核心,然后应用科学的技术从微观层面获取完整的安全要素数据,再结合态势感知的系统平台、从中来分析数据、发现威胁与异常。
建设原则
可用性原则:建设易于运维,使用简便的系统。需具有友好的用户界面,操作简单、易于学习和掌握。
可控性原则:需使态势感知平台达到自主可控要求,尽量采用国产设备。
安全性原则:《网络安全法中》第三章第33 条指出,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。所以说态势感知平台的自身安全防护同样重要,作为网络安全的预警平台,相当于信息处理的大脑。在高效、迅速地处理数据的同时,应该具备抵抗外界的黑客攻击的能力,才能保障平台稳定,持续运行。
建设要求
1)有效阻击威胁:对外界的多样性黑客攻击可以进行有效的防御和阻击。
2)提高运维效率:态势感知平台,不应只是预警工具,还应具备一定的运维功能和统一管理功能,不过多增加信息安全人员和运维人员的工作量。
3)辅助安全决策:通过态势感知系统对网络安全的预知和分析。能对网络安全态势,有着更加合理的判断和预测。有效的减少人为的判断误差,使决策更加科学、精确。《网络安全法》第五十四条规定,有关部门机构和人员对网络安全信息进行分析评估,预测时间发生的可能性,影响范围和危害程度。这就需要态势感知系统,辅助决策者做出准确的判断。
建设理念
事前预警,事中防御,事后追踪。
建设目标
监测:包括监控和检测两部分,实时监控信息系统的安全状态,服务器核心资源(CPU、内存、磁盘、网络IO)及web 中间件状态。快速发现攻击、定位。包括受到的攻击方式,攻击数量,攻击源IP。定期自动检测服务器以及网站的状态,是否存在木马,后门,漏洞。
预警:通过神经网络预测等技术, 预测未来某时间段内系统将遭受到的攻击态势,并及时预警,以便受攻击方进行安全策略的调整和升级。
防御:在服务器上安装客户端,由平台中心来统一管理,分发策略,收集数据。可使态势感知平台在监测预警的同时,阻断威胁,实时防御受到的黑客攻击,如 缓冲溢出,XSS,SQL,CC 攻击等 。保证监测的数据多样性,完整性。
追溯:结合攻防技术对攻击源进行层级追踪,取证,必要时向公安机关报案。摆脱传统只防御,不反击的局面。《网络安全法》第三章第25 条规定:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
建设内容
以政府网站态势感知平台为例,网站作为政府机关对外的窗口,面临的已知威胁和未知威胁最多,几乎每一家政府网站,都会面临木马、暗链、盗链、SQL 注入、XSS、溢出攻击等威胁。甚至被反共黑客打上反党标语,造成恶劣的政治影响。传统的防御技术和防御方式已经不能满足日益变化的攻击手段。《网络安全法》第二章第十八条规定:国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。
因此,态势感知系统的建立,需要考虑目前先进的防御技术,如沙箱技术,基于异常行为的检测技术,一句话木马检测技术,且有必要在每台外网服务器端部署监测防护软件,通过态势感知的云中心,对每台服务器上的信息(如操作系统、中间件、网站等)进行收集 , 进行统一部署、统一监控、统一防御、统一管理。才能有效检测已知威胁和未知威胁(包括黑客渗透攻击、变形webshell、0day、后门等), 帮助使用方快速精确定位并修复风险点。 真正实现管、控、防、追一体化。
态势感知的数据基础
众所周知,所有态势呈现,都是以大数据为基础,虽然展现形式可能不一样,但底层特征都大同小异。微观数据是基础,宏观呈现是效果。通过微观数据采集、数据清洗、数据挖掘等技术,从海量的数据中提炼出有价值的信息。再运用科学的方法和先进的技术去分析、预估其在未来一定时期内可能发生的安全态势变化。 从而可以有预见性地进行安全策略的调整, 预防大规模网络安全事件的发生。
从技术层面来讲,主要分为三个层面,数据采集层:获取与安全紧密关联的海量基础数据,包括网络攻击日志、漏洞、木马和病毒样本;数据处理层:通过对采集的基础数据进行清洗、分类,整理出有价值的数据,利用大数据处理引擎,对有价值的数据进行深度分析,挖掘、推理、预测。汇总成有价值的威胁情报和攻击态势。预警出有针对性的攻击方式和威胁较大的攻击源,以及面临威胁较大的被攻击目标;数据呈现层:网络安全态势呈现是依据大量有价值数据的分析结果,来显示当前网络安全状态和未来趋势,此层面是利用可视化技术,将抽象数据转换成直观动态效果,在屏幕上呈现出来,并进行交互处理。可直观掌握系统内网络安全状况。
还是以政务资源中心的党政机关网站集群为例,数据采集的内容主要为:网站实时受到的攻击方式、攻击IP、攻击类型、攻击时间,攻击源、触发的防护规则等;数据处理的结果为:攻击类型占比(如:非法请求,SQL 注入,非法访问),各类攻击的数量增减,高危IP 列表,各单位网站攻击排名以及短期未来阶段将受到的攻击方式,攻击类型的预测;数据的呈现内容为:网站集群当前受到的攻击信息展示。从过去到现在的攻击数量曲线,现在到未来某个时间点的攻击数量曲线预测。攻击类型预测。比如:预测到某单位的网站,在未来几分钟,或几小时内受到的XSS 攻击将会增多,攻击数量将会达到的极端值。
预警的时间,即使比攻击时间只提前几分钟,对我们的防御工作也有着重要意义。随着态势感知技术的发展,我们的预警时间也会提前。从而更加从容地对网络的资源作出合理的安全加固和策略升级,对外部的攻击行为及时的应急响应,有效地保障信息系统安全。
结语
近期,《中华人民共和国网络安全法》的正式进入实施阶段,为深化网络安全防护体系, 实现全天候、全方位感知网络安全态势提供了有力的法律依据和保障。态势感知技术,也将使我们在掌控当前整体网络安全状态的同时,对未来攻击趋势有所研判。加强对未来安全风险的应急响应能力和处置能力。当然,我们也需要不断优化完善《网络安全法》有关网络攻击的相关规定,构建一套足以及时、可靠、有效应对网络攻击的制度体系,态势感知预警系统技术也将随着现实防御需求不断完善。
(为便于排版,已省去原文注释)
作者
毕锦雄,广东省信息中心高级工程师。
···························································
