作者:孙兴焕
网络安全是关系国家安全与国家发展的重大战略问题。撤站后全国一张网,任何一个系统或终端都可能成为全网的风险点,高速公路信息系统的安全问题成为重中之重。以下内容来自江苏省高速公路联网营运管理中心孙兴焕在2019全国高速公路新收费体系下营运管理与网络安全研讨会上的演讲内容。
高 速 路 网 网 络 安 全 剖 析
01
三次安全技术革命
自上世纪80年代末,网络安全技术的发展先后经历了三个主要的技术时代,从最初的特征码查黑技术,逐步进化到现如今的大数据查行为技术。安全技术的进化是攻防持续对抗升级的产物。今天我们就来说一说这三个技术时代的三次技术革命。
第一代:特征码查黑
特征码杀毒技术也被后人认为是一种“非黑即白”的杀毒技术。即,如果引擎查不到特征码,就会对相关程序完全放行。这在日后被证明是很不安全的。同时,特征码杀毒技术主要针对的是静态样本的源代码,而不关心程序的行为活动,导致“先感染,后查杀”的情况屡屡发生。另外,特征码的提取对样本分析师的技术水平要求很高,所以,当时安全企业能力的瓶颈往往在于样本分析师的数量和素质。
第二代:云查杀+白名单
其中最具代表性的技术包括:白名单、云查杀、主动防御、人工智能引擎。
第二代网络安全技术立足于动态防御,目标是“御敌于国门之外”。同时,人工智能引擎的出现,大大降低了人工分析的难度:多数情况下,样本分析人员只需要判别一个程序是好是坏就可以了,至于如何提取特征,那是机器该干的事。
第三代:大数据+威胁情报
第三代网络安全技术在2014年开始初见雏形,2015年以后迅速发展起来。第三代网络安全技术不再是程序与程序的对抗,而是人与人的对抗。安全工作者对抗的目标是“攻击者与攻击者的行为”,而安全技术和产品则成为延伸“人”的能力的工具。在这个时代,网络安全工作对“人”提出了更高的要求,远超此前的任何一个时代。
02
网络威胁
内部威胁
内部威胁是由内部人员发起的威胁,根据IDC调查显示:内部人员造成的安全事件占总安全事件的70%以上。内部人员相关的威胁是目前各企业普遍关注的问题,内部人员可能是公司内部人员,也可能是开发人员和维护人员。
1、窃取数据:有意无意的外泄用户账户信息和密码。
2、行为抵赖:对既有操作进行伪装和对访问日志进行删除,抵赖既成事实,妨碍安全事件的实时审计和事后追溯。
3、滥用授权:访问非授权的设备,修改非授权的配置,占用非授权的资源,本项威胁会导致其他威胁的发生。
4、操作失误:因为误操作导致信息或数据损失,如数据恢复时选错还原点导致数据丢失、在业务繁忙时更改配置或切换线路导致业务中断等。
外部威胁
外部威胁由外来人员如黑客发起的威胁。
蠕虫木马入侵:使用恶意代码类程序攻击目标对象,导致用户主机被监听、被控制、被破坏等。
web站点攻击 :利用web特性对站点进行攻击。
web攻击准备和信息收集 :攻击者使用爬虫和扫描工具对web站点进行遍历和扫描,不直接造成 资产损失,但是会为攻击者提供攻击目标,抑或帮助攻击者伪造站点用于钓鱼诈骗。
跳板攻击 :通过不安全边界渗透进入网络,并利用漏洞感染安全防护级别较低的主机,作为跳板进行窃密或破坏。
窃密篡改和破坏:攻击者渗透网络后对数据等进行破坏、删除、篡改。
拒绝服务攻击:攻击者利用协议漏洞向web服务器发送特定构造的数据包导致web服务或通信协议崩溃(DOS拒绝服务攻击);抑或利用大量肉鸡构建僵尸网络使用大流量和多连接访问web服务器,造成资源耗尽,正常用户不能访问(DDOS分布式拒绝服务攻击)。
03
网络漏洞
网络漏洞
1、安全区域划分不合理,重要的业务系统没有划分出安全域给予保护,三类服务器均直连交换机甚至核心交换机,会增加非授权访问和各类入侵威胁的成功率。
2、缺乏身份识别和网络权限管理功能,对非法接入有线网络的主机不能验证其合法性。
3、缺乏访问控制,没有对网络资源的访问进行细粒度的访问控制与授权,尤其是在多边界和多服务器的情况下,导致访问控制规则不健全。
4、收费系统网络出口缺少入侵防御系统,对网络入侵(黑客攻击、恶意软件、蠕虫、木马)缺乏有效的防护手段。
5、缺少入侵检测机制,对信息系统尤其收费系统网络内的安全状态和恶意行为缺乏感知手段,没有静态和动态的检测机制。
应用漏洞
高风险漏洞包括缺少统一的日志收集与管理手段,无法对网络、主机、应用的日志进行统一收集与分析,不符合安全法的保存六个月的规定。
中风险漏洞包括数据库等应用系统缺乏漏洞管理,某些高危漏洞没有打补丁会极大增加入侵风险。
低风险漏洞包括网站系统缺乏抗DOS/DDOS机制,对拒绝服务攻击的防御力低下,网站服务的可用性不能很好保证。
主机漏洞
中风险漏洞包括没有对关键的主机和操作系统进行漏洞管理,某些高危的漏洞没有打补丁会极大增加入侵风险;对主机和应用的运维管理缺乏权限控制,不能够保证权限最小化原则,会导致权限滥用威胁发生;对主机和应用的管理操作无审计记录手段,堡垒机的使用没有强制性,有绕过风险。
低风险漏洞包括缺少外设管理手段,USB设备的滥用会增加拷贝泄密的风险和恶意代码(病毒蠕虫)带入网内的风险。
漏洞管理
中风险包括组织结构不完整,没有专设的信息安全岗位和信息安全管理人员;管理制度不完善,缺乏安全管理制度、安全操作规范、安全策略规范、安全问责机制、安全应急预案与应急流程等等。
低风险包括安全教育和培训的匮乏,员工缺乏安全意识,会极大的增加被社会工程学攻击的风险。
网 络 安 全 建 设 的 思 考
全国一张网背景下,当有人发起攻击的时候,能够最快知道,最快封堵,最快反击,最快溯源和止损,需要建立高位、中位和低位 “三位能力”立体联动一体化体系。
01
安全建设从小处着手
一半以上的安全事件都是由于该做的安全工作没有做到位、或是人为违规及误操作、以及安全意识不足造成的,原则上是可以避免的!
技术方面
1、对于官方发布的漏洞及补丁保持关注,及时修补漏洞,打补丁。
2、主动发现应用系统存在的后门,并修复。
3、对暴露在互联网上的资产持续监控。
4、定期进行病毒木马等恶意程序的查杀、严禁私自违规外联、介质拷贝等操作。
5、重要数据进行加密、隐私数据采用模糊化处理,做好重要数据的备份工作。
6、重点加强关键基础设施的防护,对较为老旧不易补丁修补的设施要加强监控,做好区域隔离及访问控制。
管理方面
1、加强特权账号的管理与限制;
2、规范系统开发人员的行为,严防预留后门程序;
3、能够接触大量隐私及敏感数据的人员,要加强教育,严禁各种私自外泄的违规操作;
4、加强人员安全意识教育,对于钓鱼邮件等APT攻击有警惕及一定的辨别能力;
5、加强对离职人员、外包人员的管理,离职人员及时清理账户,外包人员设置最小权限。
运营方面
1、加强系统监控与预警,对重要系统的异常日志、异常流量能够及时分析与处置。
2、定期进行漏洞扫描、渗透测试等技术检测与评估,及时发现APT攻击与入侵企图与痕迹。
3、制订事件应急预案,确保发生攻击事件后能够快速响应、切断传播途径、及时止损、快速恢复系统。
4、与外部专业机构服务保持合作,能够获得准确威胁情报以及事件应急响应服务。
02
网络安全应急响应体系
应急响应是信息安全所有保障措施中的最后一道防线,应急响应预案是进行应急响应工作的重要保障。
应急响应体系是信息安全应急响应计划的重要组成部分,是保证信息安全突发事件发生后能够快速有效得实施应急响应计划的关键要素。目前描述的具体内容是可选择的,也可以做适当调整,但应急人力保障、物质条件保障和技术支撑保障这三个大的方面是必须包含的。
管理人力保障
要依据自身的职责制定具体角色和职责分工细则,细则需要制度化,并依据现有人员的实际情况制定合理工作安排,工作安排要直接落实到人,形成所有工作人员的独立工作手册,如有人员工作安排变动时要及时更正工作手册。管理人力的具体保障由日常管理办公室统一规划和组织管理。
技术人力保障
技术人力保障通过建立应急技术协调中心和应急专家组来进行保障,所有技术保障问题统一由技术协调中心负责,技术协调中心要依据应急的技术需要制定具体角色和职责分工细则,细则需要制度化,并依据现有人员的实际情况制定合理工作安排,工作安排要直接落实到人,形成所有工作人员的独立工作手册,如有人员工作安排变动时要及时更正工作手册。
由于技术协调中心除了建立自身的技术支持队伍外,所确定的角色与职责大多需要依赖合作者(包括社会力量和专家等),因此,技术协调中心要建立完备的技术培训机构和操作管理方案,保证新技术与应急技术的及时培训,保证应急技术的有效性。
技术协调中心可以依据自身的工作特点、协作单位与人员的具体情况制订应急协同调度方案,但无论采取什么方案均要有具体的协同工作记录以备审计。
应急处理技术服务
技术保障由技术协调中心统一负责,依据应急处理的需要,技术协调中心应该制订事件技术应对表和区域技术应对表,全面考察和管理相关技术基础,选择合适的技术服务者,明确职责和沟通方式。
日常技术保障
日常技术保障包括事件监控与预警的技术保障,应急技术储备两部分。
事件监控与预警的技术保障
事件监控与预警的技术保障由日常管理办公室直接或委托建立,是日常管理办公室的常规职责,保证事件的快速发现和及时预警。建立相应的部门或机构后,需要由该部分或机构落实具体的监控与预警措施。对信息安全事件进行日常监控的方法(手段)、流程、记录等要明确职责,落实到人。
应急技术储备
应急技术储备由技术协调中心配合应急处理技术服务和技术人力保障实现。
物质保障
为保障信息安全事件应急响应能够及时被启动的基础物质需求,这些需求应该与技术保障和日常管理相关联,即要保证日常技术保障的实现、日常管理工作的开展和应急处理技术服务在应急处理时的及时到位。
03
“三位能力”系统是最佳实践
安全治理工作的出发点在于基础信息台账的建立和维护。由于数据量大、关联关系复杂、变化频繁等原因,基础安全信息往往存在信息缺失和实效性差等问题。这一点在云计算技术快速发展的阶段尤为突出,由于云平台良好的伸缩性,基础资源常常处于快速变化的过程中,给基础信息管理带来巨大的挑战,本次撤站网络安全建设还需要从如下几点进行进行建设:
1、加强基础安全信息建设
通过对资产、日志、策略、情报等基础安全对象的管理,建立和维护台账,形成基础安全信息。主要打通以下三个通道:资产和组织架构的通道:日志和策略“上传下达”的通道:外部情报与本地安全能力的通道:
2、扎实开展纵深防御建设
基于网络环境和技术架构,主要从以下几方面部署纵深防御:
网络侧:具备覆盖全部网络协议栈的分析、检测和防护能力,能够覆盖全部边界和跨区主要链路。
主机侧:具备覆盖操作系统、计算环境、数据层等全部技术栈的分析、检测和防护能力,能够覆盖应用、中间件、数据库等信息系统各个模块。
数据侧:具备覆盖数据使用各个环节的数据风险监测和控制能力。
攻防侧:能够有效收敛攻击面,具备有效防护各类已知攻击的能力。
3、 建设高阶威胁感知能力
高阶威胁发现是信息量增加的过程。这与事件减少并不矛盾。事件减少主要是去除大量误报和无实质性影响的告警,同时对事件进行整合和提炼。在这一过程中,信息量并没有增加。而高阶威胁发现是对监测数据的进一步加工,进行因果关系的串联和相关关系的关联,从而挖掘出新的事件。
(1)定位入侵阶段和攻击过程还原(2)深度挖掘异常行为
4、基于运营业务划分安全视角
安全视角是对安全运营工作的分类。而安全运营工作服务于信息系统和业务运行,分为主体、客体和管道。其中主体主要是用户和终端,管道主要是网络环境和访问权限控制,客体主要是应用系统。而应用系统安全体系庞大、涉及面广,一般又分为技术栈分为系统、应用和数据。
5、 基于平台工具推进自动化运营
为加快上述分析速度,快速分发防护和响应策略,节约人工成本,有效提升安全运营效率和规模,需要基于态势感知等平台工具实现运营工作自动化。基于有SOAR模型,安全编排、自动化和响应)和OODA模型,观察,调整,决策以及行动)。
编辑:苗挺节
来源:中国交通信息化