电子政务系统网络安全安全防护之变

施驰乐

电子政务使政府社会服务职能得到最大程度的发挥，但也使政府敏感信息暴露在无孔不入的网络威胁面前。要趋利避害，电子政务安全防护体系的构建至关重要。电子政务安全防护体系包括安全管理体系、安全技术体系、安全组织体系和安全基础设施，涉及从管理到组织，从网络到数据，从法规标准到基础设施等各个方面。

一、电子政务网络新的安全问题

在电子政务的网络基础设施和信息系统建设过程中，为保证业务系统的安全可靠运行，同时也为了满足国家法律法规和行业规范的要求，会进行相应的信息安全基础建设，部署相关的安全设备和安全系统（防火墙、防病毒系统、IDS/IPS、VPN、WAF、日志审计等）。这些安全设备和系统较好地解决了其关注的某个方面的安全问题，如防火墙能够依据预定义的策略阻止违反策略的访问、防病毒系统能够利用其病毒特征库发现已知病毒、日志审计系统能够利用审计规则发现可疑访问等。

但随着网络应用规模和复杂度的不断提高，网络中传输的数据量急剧上升，网络攻防对抗日趋激烈，电子政务网络新的安全问题开始显现，主要体现在以下几个方面：

（一） 復杂的网络环境让安全工作无从下手

电子政务的网络和业务越来越复杂，电子政务中心的安全管理员也常常搞不清楚网络的具体状况，如：网络总共有多少互联网出口？总共有哪些资产？哪些服务器是重点服务器？网络中都有哪些常见行为？安全策略是否都已生效？等等。如果连这些网络的基本环境都无法准确掌握，那就更谈不上对内部网络、资产的安全风险的掌握了。在这种情况下，攻击者即便是大摇大摆的出入电子政务的敏感数据区域也无人知晓，投入了大量资金建设的安全防御体系也成了摆设。

（二） 传统安全技术对高级持续性威胁无能为力

高级持续性威胁的特点是：目的性非常强，攻击目标明确，持续时间长，不达目的不罢休，攻击方法经过巧妙地构造，攻击者往往会利用社会工程学的方法或利用技术手段对被动式防御进行躲避。而传统的安全技术手段大多是利用已知攻击的特征对行为数据进行简单的模式匹配，只关注单次行为的识别和判断，并没有对长期的攻击行为链进行有效分析。因此对于高级持续性威胁，无论是在安全威胁的检测、发现还是响应、溯源等方面都存在严重不足。

（三） 围墙式的防御体系不再适应当前的网络环境

传统的安全体系建设往往是根据不同业务的安全需求，将电子政务网络分割成不同的区域分而治之，大家认为只要在边界上做好了安全控制，就能实现攻击的有效检测和防御。但随着互联网+时代的到来，云计算、移动互联等新技术、新产品、新服务在电子政务或组织内部应用越来越广泛，原来的边界已经变得非常模糊。虽然网络中部署了一些安全设备和系统，但这些设备和系统基本都是各自独立的，形成了一个个安全孤岛。对于一些复杂的攻击行为，依靠单一的安全设备往往不是难以发现问题就是产生过多误报。只有将这些安全孤岛整合起来，打通数据间的隔阂，形成电子政务或组织的全面数字安全感知体系，才能真正实现安全威胁的积极防御和有效应对。

要解决这些新的安全问题，亟需使用新的技术手段来掌控全局的安全态势，从而优化安全运营过程，将电子政务网络的安全风险控制在合理的区间内。

二、电子政务网络安全新要求需要态势感知与安全运营平台

2016年4月19日，在中央网络安全和信息化领导小组第一次会议上，习近平总书记以“没有网络安全就没有国家安全，没有信息化就没有现代化”的清晰战略，提出了建设网络强国的战略目标。

其中提及到：

“网络安全的发展观：要在加强信息化建设的同时，大力开发网络信息核心技术，培养网络安全人才队伍，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力，为国民经济和信息化建设打造一个安全、可信的网络环境。

网络安全的辩证观：网络安全是整体的而不是割裂的；网络安全是动态的而不是静态的；网络安全是开放的而不是封闭的；网络安全是相对的而不是绝对的；网络安全是共同的而不是孤立的。“

所以，解决现阶段电子政务网络的安全问题，很重要的技术手段就是应用态势感知与安全运营平台。

态势感知与安全运行平台需要覆盖安全管理与运营的各个环节，其是建设成一个以多种安全问题管理为目标、以数据为核心、威胁情报为特色、打通安全运营中的检测、响应、预警、防御多个领域环节的完整安全体系。

三、态势感知与安全运营平台新的技术要求

结合现阶段，电子政务网络的安全问题，态势感知与安全运营平台需要具备以下技术特点要求：

（一）全面的数据采集与分析

为实现对电子政务内部安全管理的全面监控，在数据采集方面支持更加全面的采集范围。

针对传统事件的采集，态势感知与安全运行平台需要支持对各种安全设备、网络设备的syslog和flow日志进行采集，并能够采集专业Agent针对数据库、系统日志、中间件日志、其他文本日志提供全方位的采集。

在传统的事件采集外，还需要支持原始流量行为的还原与采集，区别于netflow等采样式流量采集方法，平台使用专有的流量采集设备-流量传感器对流量中的会话行为、事务、应用动作进行还原并形成相关日志进入存储和分析环节

在传统事件信息、流量行为日志以外，态势感知与安全运营平台还能对接电子政务网络中的各种终端行为日志，需要能够采集包括终端进程流量行为、终端文件行为、U盘文件传输、邮件文件传输、IM文件传输等行为日志，由于终端日志相比网络日志更加具体、可以帮助分析人员发现启动恶意进程的相关文件，所以在整个威胁的发现、回溯过程中也会体现重大价值。

（二）大数据基础架构

全面的日志采集，即带来了分析的便利也带来了性能的烦恼。传统SOC产品在10亿条日志规模下会出现性能的剧烈下降，该问题主要受限于传统SOC产品普遍使用的关系型数据库自身设计上的局限性。如果由该架构实现来承接流量日志和终端日志，甚至是操作系统日志都可能导致灾难性的后果。为解决相关问题，态势感知与运营平台需要使用大数据基础架构更替传统的数据存储和计算方式。

为解决海量数据的快速存储和读取问题，平台需要使用分布式全文检索技术，该技术可以在日志入库前针对日志建立全文索引，并进行分片存储于多台设备或多块磁盘。系统在进行日志查询时可以将对应查询指令分发到多台设备执行，并利用大内存再次提升检索性能。最终平台可以面向千亿条日志提供存储查询功能，查询效率为秒级。

在海量日志场景下，数据的可靠性成为另一难题。态势感知与安全运营平台需要将接收到的日志进行自动备份，并进行分片，再存储于不同的磁盘。通过该实现可以保证任意一块硬盘损坏后系统数据不丢失，可恢复。

（三）专业化日志搜索分析

电子政务的业务场景繁多，针对电子政务不同的数据统计及呈现需求，传统SOC/SIEM产品往往需要通过定制化开发实现，将极大增加交付及维护成本。态势感知与安全运营平台需要设计专家搜索模式，将 SQL 的最佳功能与 Unix 管道语法封装为脚本命令，用户直接在搜索框里输入相关命令即可实现对海量日志的搜索、关联、分析和可视化。

（四）高性能关联分析

关联分析作为传统SIEM产品的必备功能，往往承担了威胁发现的主要职责。但与定位相左的现实情况是，传统的关联分析往往仅能提供3000EPS（Event per Second）到5000EPS的性能，这种性能完全无法应对当前动辄上百台安全设备、上千台服务器的客户IT环境。

为此，需要态势感知与运营平台设计的关联分析核心引擎，将CEP（复杂事件处理）的技术实现结合安全业务场景进行大量的实现加速、逻辑优化，最终可以提供20000EPS（50条规则）的关联性能。

（五）丰富的威胁情报

传统SOC产品经过多年发展，可以面向用户提供全面的安全管理功能，但对于真正威胁的发现、分析、处理上并无法提供更多的知识输入，相关高级威胁的检测更多地还是依赖于IPS或APT检测类设备实现。为了解决相关问题，需要安态势感知与安全运行平台引入威胁情报数据，可以通过失陷类威胁情报直接对高级威胁或APT攻击进行检测和跟踪、并使用云端威胁情报中心的海量数据情报对各种告警中的IP、域名、文件MD5进行进一步分析和解释。

威胁情报的使用，直接可以扩展客户的安全视野，通过使用威胁情报帮助客户理解自身的安全状况和突发情况的处置方式。需要平台支持用户威胁情报的自定义和第三方威胁情报的导入，通过这种方式可以为客户提供更加灵活和开放的失陷类情报管理。

（六）精准的多维度威胁检测

电子政务网络经常会淹没在各种IDS、WAF设备的安全告警中，而这些告警的分析、处置往往成为另一头疼的问题。在这方面，传统安全管理产品往往会通过过滤、归并、关联等方式实现一定程度的告警量下降。但依靠这种方式无法对真正威胁做到有效追逐，因为告警的準确度会受限于IDS或WAF等检测设备的实现情况和告警的过滤、归并手段。任何一个环节有问题都将导致大量误报或漏报出现。而且传统检测技术更加侧重于所有攻击企图的发现，无法有效鉴别哪些攻击是真正造成恶劣影响的、是需要处理的。

为了解决相关问题，需要态势感知与安全运营平台采集大量的原始日志和流量信息，相关数据经过多维度的检测手段进行分析，以帮助客户判断真正的威胁在哪里。除了关联分析、失陷类情报关联以外，更需要使用电子政务特别关注的网站漏洞、对外服务的系统漏洞等检测手段，比如网站漏洞利用检测、WebSHell检测、远控检测。

四、态势感知与安全运营平台为电子政务用户带来的价值

通过对态势感知与运营平台设计的新要求与部署，可为电子政务用户带来如下价值：

（一）发现基础安全建设遗留的安全隐患，完善电子政务网络安全防护体系

现阶段主流的安全产品基本上都是单兵作战，只能对自己所负责的区域的流量信息进行分析处理和对已知的威胁进行有效防护，对于未知威胁的处理能力则非常弱。态势感知与运营平台可以有效利用云端威胁情报数据，从互联网数据中进行发掘和分析攻击线索，极大提升未知威胁和APT攻击的检出效率，因此可以有效发现电子政务网络基础安全建设中遗留的安全隐患并及时修正。

（二）弥补现有被动防御方式的不足，提升电子政务网络安全防护水平

传统安全防御体系的重要思想是防御，这就决定了能够越早确定攻击的物理位置就变得越重要。在这种思想下，处于攻击最前沿的网端始终是安全建设的重点，大量的检测与防御设备都部署在网端，如：IDS、IPS、UTM、FW、Audit、网闸等等。这种情况下，传统的安全防御体系就如同一个硬壳软糖，将安全性全部寄托于硬壳之上，一旦硬壳被砸碎，那么内部是毫无二次抵御攻击的能力，而事实证明，天下不存在无坚不摧的管道硬壳。因此单纯靠检测与防御解决网络安全问题已经不切实际，需要采用一种新的思路，在检测与防御系统被绕过或失效，已经被攻陷的情况下，仍然能尽快发现入侵事件，并快速追踪溯源，清晰掌握攻击过程全貌，为迅速采取动作，遏制攻击扩散提供技术基础。而态势感知方案通过引入威胁情报和规则链技术的引入，形成了监听-主动回溯、研判-主动监测的检测体系，大大提升了电子政务网络积极防御的能力，弥补了电子政务网络现有被动防御方式的不足。

（三）基于客户业务环境进行场景化威胁监测，提升异常行为检测能力

传统安全防护设备进行监测时一般使用通用的监测规则，这种规则库对于与电子政务业务关联性较强的个性化安全异常识别能力较弱。态势感知与安全运营平台独有的场景化威胁检测技术，能够基于电子政务的业务环境构建威胁检测和响应模型，及时发现电子政务网络内部的业务安全风险。

（四）帮助电子政务用户建设协同防御体系，提高应急响应效率

传统的安全防御体系由于安全设备是独立运行的，所以响应速度较慢。攻击者仅需花费较低的成本就可以攻入电子政务内网，且有充裕的时间寻找并获取其感兴趣的数据。态势感知与安全运营平台通过终端检测响应和网络检测响应技术可以和电子政务用户配置的其他安全设备进行联动，形成协调防御体系，可以大大缩短攻击者的攻击时间窗口并提高攻击者的攻击成本。

（五）帮助电子政务用户搭建搜索平台，提升数据查找能力

传统的安全方案中，对于电子政务本地数据的处理往往采用mysql等关系型数据库。这种设计早已不能满足当前数据量的处理性能需要。态势感知与安全运营平台采用搜索引擎技术作为本地数据存储和检索核心技术，采用json格式作为引擎的输入输出格式，这样可极大提高检索性能，可以为电子政务提供TB级的数据快速搜索能力，同时相比传统架构也能够降低大量接口上的开发量。态势感知与安全运营平台可为电子政务本地的大规模数据保存、攻击证据留存和查询、实时关联分析提供坚实的技术保障。

（六）帮助电子政务用户搭建数据可视化平台，使内网安全态势一目了然

数据可视化是大数据应用领域里非常重要的技术手段，数据可视化是研究如何将数据之间的关联关系以及蕴含的意义，并通过可视化方式进行展现，便于分析人员的深度分析的技术，是整个大数据技术领域中的重要组成部分。尤其对于情报分析领域，可以极大的提升情报分析的效率和效果。在电子政务用户安全方面，一方面可通过可视化技术的利用，将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化，形成高维度的可视化方案，以便于用户理解；另一方面可以通过可视化技术将威胁事件与电子政务业务进行有机结合，通过态势感知与安全运营平台的大屏将内网全局的安全态势以图形化的方式直观呈现，将安全由不可见变为可见。