摘 要:电子政务网站(gov.cn)是政府职能部门信息化建设的重要内容,主要实现政务信息公开、在线办事和政民互动三大功能定位。传统解决方案对于新形势下的应用安全威胁应对乏力。根据Gartner的研究报告,未来的安全服务应该是防御、检测、响应三者并存的立体化联动防御机制。目前信息安全攻击有75%以上都是发生在Web应用层,目前超过2/3的Web站点都相当脆弱,易受攻击,这些攻击形式多种多样,手法也越来越隐匿,往往需要对多台安全设备中记录的日志进行大量的分析,进而配置有针对性的策略,这无疑对安全运维人员的水平提出了更高的要求。在新形势下,需要一种更便捷、更有效、性价比更高的安全交付方式。
关键词:网站安全;态势感知;风险评估;实时监测;攻击防护
中图分类号:TP393.08 文献标识码:A 文章编号:2096-4706(2018)09-0067-03
Abstract:The e-government website(gov.cn)is an important content of the information construction of the government’s functional departments. It mainly realizes the three functions of government information disclosure,online affairs,and the interaction between the government and the people. The traditional solution is weak for the application of security threats under the new situation:according to the research report of Gartner,the future security should be the coexistence of three groups of defense,detection and response,and the three-dimensional linkage defense mechanism. At present,more than 75% of the information security attacks have occurred in the Web application layer,and at present,the Web sites over 2/3 are very vulnerable to attack. These forms of attack are varied and the manipulations are becoming more and more hidden. We often need to carry out a large number of daily analyses on the logs recorded in multiple security devices,and then configure the target. Sexual strategy,which undoubtedly raises the high standard of safety operation and maintenance personnel. Under the new situation,a safer,more efficient and cost-effective delivery method is needed.
Keywords:website security;situational awareness;risk assessment;real-time monitoring;attack protection
0 引 言
电子政务网站包含Web服务器、存储服务器、数据库服务器等多种类型的业务服务器,向Internet、Intranet等多个区域提供服务,电子政务网站面临来自内外网多个区域的安全威胁,其安全保障意义重大。
托管式安全防护方案通过“云眼和云盾”两大模块联动组成,构建“防御、检测、响应”三维一体的网站综合“动态防御”安全体系。近年来,国内外的网络安全形势更加恶劣,境内、境外攻击者及攻击组织对我国重要信息系统的攻击更加频繁,信息系统面临的安全攻击也更加频繁、形势也更加严峻。2016年4月19日,习近平在网络安全与信息化工作座谈会的讲话中提出“网络安全和信息化是相辅相成的。安全是發展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力”的相关建议,要求在信息化关键基础设施的防御体系、监测体系和整体态势感知能力方面获得大幅提升。
1 设计原则
托管式安全服务解决方案设计遵循以下主要原则:
(1)整体性原则:应用系统工程的观点和方法分析网络系统安全防护、监测和应急恢复,在进行安全规划设计时,应充分考虑各种安全配套措施的整体一致性;(2)符合性原则:信息安全体系建设要符合国家的有关法律法规和政策精神,以及行业有关制度和规定,同时应符合有关国家技术标准以及行业的技术标准和规范;(3)均衡性原则:安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相融,寻找安全风险与实际需求之间的均衡点;(4)有效性与实用性原则:信息安全系统不能影响业务系统正常运行和合法用户的操作。在进行网络安全策略设计时,要综合考虑实际安全等级需求与项目经费承受能力的因素;(5)动态化原则:安全防护策略不可能一步到位,随环境、条件和时间的变化,信息安全系统应能适应变化,采取更先进的检测和防御措施,增强安全冗余设备,提高安全系统的可用性;(6)统筹规划分步实施:信息安全防护策略的部署既要考虑满足当前网络系统及信息安全的基本需求,也要统筹考虑后续系统的建设及网络应用复杂程度的变化,做到可适应地扩充和调整;(7)数据安全:实现大数据平台中敏感数据的分级、分类管理和防护策略;(8)采用开放技术兼容原有系统数据。
2 设计方案及功能
2.1 设计方案
2.1.1 基于Web应用的防护设计
通过在Web应用前端部署WAF(Web防火墙),保护Web应用,对网站或者APP的业务流量进行恶意特征识别及防护,针对Web安全,诸如SQL注入攻击、跨站脚本攻击、扫描攻击、Web Shell木马上传、远程文件包含攻击、缓冲区溢出攻击、敏感信息泄露等漏洞攻击的安全规则对从客户到网站服务器的访问流量和从网站服务器到客户的响应流量进行双向安全过滤,防止因网站被攻击而导致网站被恶意篡改、恶意仿冒、敏感信息泄露、网站服务器被控制等事件的发生。
2.1.2 安全审计和溯源取证设计
云和虚拟化安全防护系统提供全面的系统日志和詳尽的报告功能,收集超过100种日志文件格式的操作系统和应用程序日志,并进行分析,以确认数据中心内是否存在可疑行为、安全事件和管理事件,通过对日志进行分析可以让管理员跟踪IT基础设施的活动,评估服务器数据泄密事件是否发生、如何发生、何时发生、在何处发生。同时支持将事件转发至安全管理平台(SOC)系统或集中式日志服务器进行关联、报告和存档。
2.2 实现功能
2.2.1 态势感知
系统为用户提供两个维度的态势感知能力。一方面,系统从安全本身的发展变化入手,通过对事件和威胁的分析来评估当前网络的整体安全态势,分为地址熵态势分析、热点事件分析和威胁态势分析;另一方面,系统从客户借助系统达成的安全管理水平入手,通过对一系列管理指标的度量来评估当前某个网络区域的安全管理水平,称作关键安全管理指标分析。
面对海量安全数据,传统的集中化安全分析平台(譬如SIEM、SOC安全管理平台等)也遇到了诸多瓶颈,主要表现在以下几方面:
(1)高速海量安全数据的采集和存储变得困难;(2)异构数据的存储和管理变得困难;(3)威胁数据源较小,导致系统判断能力有限;(4)对历史数据的检测能力很弱;(5)安全事件的调查效率太低;(6)安全系统相互独立,无有效手段协同工作;(7)分析的方法较少;(8)对于趋势性的内容预测较难,早期预警能力比较差;(9)系统交互能力有限,数据展示效果有待提高。
网络安全态势感知平台对海量日志进行集中分析和挖掘,从而发现潜在的安全风险。对能够引起安全态势发生变化的要素进行获取、理解、分析、展示及预测发展趋势,实现“风险预警、威胁识别、积极管控和策略进化”。
2.2.2 风险评估
自动化完成目标网站基线配置数据采集、基于网站特点的检测插件调度、目标网站响应数据处理过程,完成检测数据的智能统计分析后,生成安全评估报表,帮助用户掌握网站的安全情况。
2.2.3 实时监测
主要针对影响网站运行和网站管理者声誉的重大隐患进行实时监控。覆盖网站可用性、内容安全、紧急漏洞的实时监控,确保管理员在网站发生如下情况时能及时得到通知,并获得应急安全响应技术支持:
(1)运行持续性故障;(2)遭遇内容恶意篡改、SEO、挂马等安全事故以及发现反动、色情内容;(3)发现可能具有较大影响的紧急漏洞;(4)支持DNS篡改监控。
在监控发现上述隐患时,网站管理员将在第一时间收到我们监控系统推送的安全事件通知和应急响应人员的联系方式,确保上述问题第一时间得到解决。
2.2.4 安全审计
一是在骨干网的核心交换机和防火墙以及边界防火墙、入侵监测等设备上开启审计功能,从而有效记录经过边界安全设备的所有访问行为,在运维中心通过态势感知平台,将相关日志进行收集、清洗、去重和关联,以便系统管理员能够对骨干网和网络边界的活动状态进行分析,从而发现深层次的安全问题。
二是关键的私有业务区域和政务外网区等区域的汇聚,交换机上部署网络流量审计系统、入侵检测IDS设备、深度威胁发现设备,对网络流量进行监测、威胁发现和审计。其中网络审计系统是根据跟踪检测、协议还原技术开发的功能强大的系统,为网上信息的监测和审查提供完备的解决方案。系统以旁路、透明的方式实时高速地对信息网络的传输信息进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供高速的敏感关键词检索和标记功能,从而实现完整地记录各种信息的起始地址和使用者,为保障关键应用系统,实现对应用访问的全面监控提供依据,并执行以下的安全策略:深度威胁发现设备通过接收、分析全网络的流量来侦测并响应APT攻击与未知威胁。深度威胁发现能侦测所有端口及100多种通讯协议的应用,为用户提供最全面的网络威胁侦测。深度威胁发现设备采用三层式的侦测方法,第一层是静态分析,第二层是动态分析及行为侦测,第三层是事件关联,目的是发掘隐匿的攻击活动。深度威胁发现设备根据静态分析、动态分析、事件关联的汇总分析结果来实现威胁侦测的可视化。其独特的侦测引擎加上定制的沙箱动态模拟分析,能快速发掘并分析恶意文档、恶意软件、恶意网页,C&C通信数据以及传统防护无法侦测的定向式攻击活动。其深入的威胁情报分析能力能协助安全管理员快速响应,并可自动与安全分析、安全防御产品或第三方情报中心透过公开标准分享情报,建立一个实时的定制化体系来侦测APT黑客攻击。
三是上网行为审计。记录电子政务外网人员访问互联网的相关记录,用于审计。通过海量的上网行为数据分析,提供高价值的业务报表,如工作效率报表、离职风险报表、带宽分析报表、热点事件检测报表、数据泄漏和业务违规报表等。
2.2.5 智能DoS/DDoS攻击防护
互联网到用户内部网中的流量有正常流量,也有异常流量。异常流量是指有限的带宽资源承载着非预期的流量。这些非预期的流量可能是DoS和DDoS攻击、蠕虫病毒、端口扫描、SPAM等恶意流量,也有可能并非是恶意,但会影响正常网络应用的大数据量的P2P下载等。DoS(Denial of Service,拒绝服务)攻击和DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是目前互联网上最流行的攻击方式。最早的DoS攻击一般利用操作系统的漏洞发动攻击,致使服务器瘫痪而无法为用户提供服务,典型攻击譬如Ping of Death攻击、Teardrop攻击等。随着网络技术的发展,DDoS攻击开始成为主流。DDoS攻击是指通过操控多台傀儡主机向目标主机或服务器发送大量看似合法的网络包,造成网络阻塞或服务器资源耗尽而导致拒绝服务。典型的DDoS攻击有SYN Flood、ACK Flood、UDP Flood等洪泛攻击。
为了提高网络的使用效率,提升信息系统的安全性,需要采用完善的手段对这些异常流量进行检测,对危害性最大的DoS和DDoS攻击更要实现准确地清洗。防DDos系统建设可以进行全网的流量分析、异常流量和DDoS攻击流量清洗、P2P识别与控制、带宽限制、日志报表存贮等处理,帮助用户实时了解网络运行状况,及时发现网络中的DDoS攻击和网络滥用行为,并做出动作响应,从而快速消除异常流量对网络和业务造成的危害,达到对全部业务流量的智能化管控。
2.2.6 监测与防护策略联动,安全专家值守
托管式安全防护方案基于云眼与云盾两大模块组成,能够提供事前风险评估及策略联动的服务。通过云端风险监测及时发现脆弱性威胁,并与云端防护进行联动,通过云端安全专家进行策略的调整,使安全防护策略处于最优状态。
参考文献:
[1] 陈晓桦,武传坤,等.网络安全技术 网络空间健康发展的保障 [M].北京:人民邮电出版社,2017.
[2] 张炳帅.Web安全深度剖析 [M].北京:电子工业出版社,2015.
作者简介:侯彬锋(1979.04-),男,河北石家庄人,高级设计师,中级工程师,学士。研究方向:互联网技术。