電子政務系統網絡安全安全防護之變

施馳樂

電子政務使政府社會服務職能得到最大程度的發揮，但也使政府敏感信息暴露在無孔不入的網絡威脅面前。要趨利避害，電子政務安全防護體系的構建至關重要。電子政務安全防護體系包括安全管理體系、安全技術體系、安全組織體系和安全基礎設施，涉及從管理到組織，從網絡到數據，從法規標準到基礎設施等各個方面。

一、電子政務網絡新的安全問題

在電子政務的網絡基礎設施和信息系統建設過程中，為保證業務系統的安全可靠運行，同時也為了滿足國家法律法規和行業規范的要求，會進行相應的信息安全基礎建設，部署相關的安全設備和安全系統（防火墻、防病毒系統、IDS/IPS、VPN、WAF、日志審計等）。這些安全設備和系統較好地解決了其關注的某個方面的安全問題，如防火墻能夠依據預定義的策略阻止違反策略的訪問、防病毒系統能夠利用其病毒特征庫發現已知病毒、日志審計系統能夠利用審計規則發現可疑訪問等。

但隨著網絡應用規模和復雜度的不斷提高，網絡中傳輸的數據量急劇上升，網絡攻防對抗日趨激烈，電子政務網絡新的安全問題開始顯現，主要體現在以下幾個方面：

（一） 復雜的網絡環境讓安全工作無從下手

電子政務的網絡和業務越來越復雜，電子政務中心的安全管理員也常常搞不清楚網絡的具體狀況，如：網絡總共有多少互聯網出口？總共有哪些資產？哪些服務器是重點服務器？網絡中都有哪些常見行為？安全策略是否都已生效？等等。如果連這些網絡的基本環境都無法準確掌握，那就更談不上對內部網絡、資產的安全風險的掌握了。在這種情況下，攻擊者即便是大搖大擺的出入電子政務的敏感數據區域也無人知曉，投入了大量資金建設的安全防御體系也成了擺設。

（二） 傳統安全技術對高級持續性威脅無能為力

高級持續性威脅的特點是：目的性非常強，攻擊目標明確，持續時間長，不達目的不罷休，攻擊方法經過巧妙地構造，攻擊者往往會利用社會工程學的方法或利用技術手段對被動式防御進行躲避。而傳統的安全技術手段大多是利用已知攻擊的特征對行為數據進行簡單的模式匹配，只關注單次行為的識別和判斷，并沒有對長期的攻擊行為鏈進行有效分析。因此對于高級持續性威脅，無論是在安全威脅的檢測、發現還是響應、溯源等方面都存在嚴重不足。

（三） 圍墻式的防御體系不再適應當前的網絡環境

傳統的安全體系建設往往是根據不同業務的安全需求，將電子政務網絡分割成不同的區域分而治之，大家認為只要在邊界上做好了安全控制，就能實現攻擊的有效檢測和防御。但隨著互聯網+時代的到來，云計算、移動互聯等新技術、新產品、新服務在電子政務或組織內部應用越來越廣泛，原來的邊界已經變得非常模糊。雖然網絡中部署了一些安全設備和系統，但這些設備和系統基本都是各自獨立的，形成了一個個安全孤島。對于一些復雜的攻擊行為，依靠單一的安全設備往往不是難以發現問題就是產生過多誤報。只有將這些安全孤島整合起來，打通數據間的隔閡，形成電子政務或組織的全面數字安全感知體系，才能真正實現安全威脅的積極防御和有效應對。

要解決這些新的安全問題，亟需使用新的技術手段來掌控全局的安全態勢，從而優化安全運營過程，將電子政務網絡的安全風險控制在合理的區間內。

二、電子政務網絡安全新要求需要態勢感知與安全運營平臺

2016年4月19日，在中央網絡安全和信息化領導小組第一次會議上，習近平總書記以“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”的清晰戰略，提出了建設網絡強國的戰略目標。

其中提及到：

“網絡安全的發展觀：要在加強信息化建設的同時，大力開發網絡信息核心技術，培養網絡安全人才隊伍，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力，為國民經濟和信息化建設打造一個安全、可信的網絡環境。

網絡安全的辯證觀：網絡安全是整體的而不是割裂的；網絡安全是動態的而不是靜態的；網絡安全是開放的而不是封閉的；網絡安全是相對的而不是絕對的；網絡安全是共同的而不是孤立的。“

所以，解決現階段電子政務網絡的安全問題，很重要的技術手段就是應用態勢感知與安全運營平臺。

態勢感知與安全運行平臺需要覆蓋安全管理與運營的各個環節，其是建設成一個以多種安全問題管理為目標、以數據為核心、威脅情報為特色、打通安全運營中的檢測、響應、預警、防御多個領域環節的完整安全體系。

三、態勢感知與安全運營平臺新的技術要求

結合現階段，電子政務網絡的安全問題，態勢感知與安全運營平臺需要具備以下技術特點要求：

（一）全面的數據采集與分析

為實現對電子政務內部安全管理的全面監控，在數據采集方面支持更加全面的采集范圍。

針對傳統事件的采集，態勢感知與安全運行平臺需要支持對各種安全設備、網絡設備的syslog和flow日志進行采集，并能夠采集專業Agent針對數據庫、系統日志、中間件日志、其他文本日志提供全方位的采集。

在傳統的事件采集外，還需要支持原始流量行為的還原與采集，區別于netflow等采樣式流量采集方法，平臺使用專有的流量采集設備-流量傳感器對流量中的會話行為、事務、應用動作進行還原并形成相關日志進入存儲和分析環節

在傳統事件信息、流量行為日志以外，態勢感知與安全運營平臺還能對接電子政務網絡中的各種終端行為日志，需要能夠采集包括終端進程流量行為、終端文件行為、U盤文件傳輸、郵件文件傳輸、IM文件傳輸等行為日志，由于終端日志相比網絡日志更加具體、可以幫助分析人員發現啟動惡意進程的相關文件，所以在整個威脅的發現、回溯過程中也會體現重大價值。

（二）大數據基礎架構

全面的日志采集，即帶來了分析的便利也帶來了性能的煩惱。傳統SOC產品在10億條日志規模下會出現性能的劇烈下降，該問題主要受限于傳統SOC產品普遍使用的關系型數據庫自身設計上的局限性。如果由該架構實現來承接流量日志和終端日志，甚至是操作系統日志都可能導致災難性的后果。為解決相關問題，態勢感知與運營平臺需要使用大數據基礎架構更替傳統的數據存儲和計算方式。

為解決海量數據的快速存儲和讀取問題，平臺需要使用分布式全文檢索技術，該技術可以在日志入庫前針對日志建立全文索引，并進行分片存儲于多臺設備或多塊磁盤。系統在進行日志查詢時可以將對應查詢指令分發到多臺設備執行，并利用大內存再次提升檢索性能。最終平臺可以面向千億條日志提供存儲查詢功能，查詢效率為秒級。

在海量日志場景下，數據的可靠性成為另一難題。態勢感知與安全運營平臺需要將接收到的日志進行自動備份，并進行分片，再存儲于不同的磁盤。通過該實現可以保證任意一塊硬盤損壞后系統數據不丟失，可恢復。

（三）專業化日志搜索分析

電子政務的業務場景繁多，針對電子政務不同的數據統計及呈現需求，傳統SOC/SIEM產品往往需要通過定制化開發實現，將極大增加交付及維護成本。態勢感知與安全運營平臺需要設計專家搜索模式，將 SQL 的最佳功能與 Unix 管道語法封裝為腳本命令，用戶直接在搜索框里輸入相關命令即可實現對海量日志的搜索、關聯、分析和可視化。

（四）高性能關聯分析

關聯分析作為傳統SIEM產品的必備功能，往往承擔了威脅發現的主要職責。但與定位相左的現實情況是，傳統的關聯分析往往僅能提供3000EPS（Event per Second）到5000EPS的性能，這種性能完全無法應對當前動輒上百臺安全設備、上千臺服務器的客戶IT環境。

為此，需要態勢感知與運營平臺設計的關聯分析核心引擎，將CEP（復雜事件處理）的技術實現結合安全業務場景進行大量的實現加速、邏輯優化，最終可以提供20000EPS（50條規則）的關聯性能。

（五）豐富的威脅情報

傳統SOC產品經過多年發展，可以面向用戶提供全面的安全管理功能，但對于真正威脅的發現、分析、處理上并無法提供更多的知識輸入，相關高級威脅的檢測更多地還是依賴于IPS或APT檢測類設備實現。為了解決相關問題，需要安態勢感知與安全運行平臺引入威脅情報數據，可以通過失陷類威脅情報直接對高級威脅或APT攻擊進行檢測和跟蹤、并使用云端威脅情報中心的海量數據情報對各種告警中的IP、域名、文件MD5進行進一步分析和解釋。

威脅情報的使用，直接可以擴展客戶的安全視野，通過使用威脅情報幫助客戶理解自身的安全狀況和突發情況的處置方式。需要平臺支持用戶威脅情報的自定義和第三方威脅情報的導入，通過這種方式可以為客戶提供更加靈活和開放的失陷類情報管理。

（六）精準的多維度威脅檢測

電子政務網絡經常會淹沒在各種IDS、WAF設備的安全告警中，而這些告警的分析、處置往往成為另一頭疼的問題。在這方面，傳統安全管理產品往往會通過過濾、歸并、關聯等方式實現一定程度的告警量下降。但依靠這種方式無法對真正威脅做到有效追逐，因為告警的準確度會受限于IDS或WAF等檢測設備的實現情況和告警的過濾、歸并手段。任何一個環節有問題都將導致大量誤報或漏報出現。而且傳統檢測技術更加側重于所有攻擊企圖的發現，無法有效鑒別哪些攻擊是真正造成惡劣影響的、是需要處理的。

為了解決相關問題，需要態勢感知與安全運營平臺采集大量的原始日志和流量信息，相關數據經過多維度的檢測手段進行分析，以幫助客戶判斷真正的威脅在哪里。除了關聯分析、失陷類情報關聯以外，更需要使用電子政務特別關注的網站漏洞、對外服務的系統漏洞等檢測手段，比如網站漏洞利用檢測、WebSHell檢測、遠控檢測。

四、態勢感知與安全運營平臺為電子政務用戶帶來的價值

通過對態勢感知與運營平臺設計的新要求與部署，可為電子政務用戶帶來如下價值：

（一）發現基礎安全建設遺留的安全隱患，完善電子政務網絡安全防護體系

現階段主流的安全產品基本上都是單兵作戰，只能對自己所負責的區域的流量信息進行分析處理和對已知的威脅進行有效防護，對于未知威脅的處理能力則非常弱。態勢感知與運營平臺可以有效利用云端威脅情報數據，從互聯網數據中進行發掘和分析攻擊線索，極大提升未知威脅和APT攻擊的檢出效率，因此可以有效發現電子政務網絡基礎安全建設中遺留的安全隱患并及時修正。

（二）彌補現有被動防御方式的不足，提升電子政務網絡安全防護水平

傳統安全防御體系的重要思想是防御，這就決定了能夠越早確定攻擊的物理位置就變得越重要。在這種思想下，處于攻擊最前沿的網端始終是安全建設的重點，大量的檢測與防御設備都部署在網端，如：IDS、IPS、UTM、FW、Audit、網閘等等。這種情況下，傳統的安全防御體系就如同一個硬殼軟糖，將安全性全部寄托于硬殼之上，一旦硬殼被砸碎，那么內部是毫無二次抵御攻擊的能力，而事實證明，天下不存在無堅不摧的管道硬殼。因此單純靠檢測與防御解決網絡安全問題已經不切實際，需要采用一種新的思路，在檢測與防御系統被繞過或失效，已經被攻陷的情況下，仍然能盡快發現入侵事件，并快速追蹤溯源，清晰掌握攻擊過程全貌，為迅速采取動作，遏制攻擊擴散提供技術基礎。而態勢感知方案通過引入威脅情報和規則鏈技術的引入，形成了監聽-主動回溯、研判-主動監測的檢測體系，大大提升了電子政務網絡積極防御的能力，彌補了電子政務網絡現有被動防御方式的不足。

（三）基于客戶業務環境進行場景化威脅監測，提升異常行為檢測能力

傳統安全防護設備進行監測時一般使用通用的監測規則，這種規則庫對于與電子政務業務關聯性較強的個性化安全異常識別能力較弱。態勢感知與安全運營平臺獨有的場景化威脅檢測技術，能夠基于電子政務的業務環境構建威脅檢測和響應模型，及時發現電子政務網絡內部的業務安全風險。

（四）幫助電子政務用戶建設協同防御體系，提高應急響應效率

傳統的安全防御體系由于安全設備是獨立運行的，所以響應速度較慢。攻擊者僅需花費較低的成本就可以攻入電子政務內網，且有充裕的時間尋找并獲取其感興趣的數據。態勢感知與安全運營平臺通過終端檢測響應和網絡檢測響應技術可以和電子政務用戶配置的其他安全設備進行聯動，形成協調防御體系，可以大大縮短攻擊者的攻擊時間窗口并提高攻擊者的攻擊成本。

（五）幫助電子政務用戶搭建搜索平臺，提升數據查找能力

傳統的安全方案中，對于電子政務本地數據的處理往往采用mysql等關系型數據庫。這種設計早已不能滿足當前數據量的處理性能需要。態勢感知與安全運營平臺采用搜索引擎技術作為本地數據存儲和檢索核心技術，采用json格式作為引擎的輸入輸出格式，這樣可極大提高檢索性能，可以為電子政務提供TB級的數據快速搜索能力，同時相比傳統架構也能夠降低大量接口上的開發量。態勢感知與安全運營平臺可為電子政務本地的大規模數據保存、攻擊證據留存和查詢、實時關聯分析提供堅實的技術保障。

（六）幫助電子政務用戶搭建數據可視化平臺，使內網安全態勢一目了然

數據可視化是大數據應用領域里非常重要的技術手段，數據可視化是研究如何將數據之間的關聯關系以及蘊含的意義，并通過可視化方式進行展現，便于分析人員的深度分析的技術，是整個大數據技術領域中的重要組成部分。尤其對于情報分析領域，可以極大的提升情報分析的效率和效果。在電子政務用戶安全方面，一方面可通過可視化技術的利用，將原本碎片化的威脅告警、異常行為告警、資產管理等數據結構化，形成高維度的可視化方案，以便于用戶理解；另一方面可以通過可視化技術將威脅事件與電子政務業務進行有機結合，通過態勢感知與安全運營平臺的大屏將內網全局的安全態勢以圖形化的方式直觀呈現，將安全由不可見變為可見。