◆邓 鑫 田 征 李 楠 弋小虎
浅析网络安全态势感知技术在气象网络中的实践与应用
◆邓 鑫 田 征 李 楠 弋小虎
(国家气象信息中心 北京 100081)
随着新兴网络技术的发展及日益严峻的外部网络安全环境,承载气象业务的气象网络安全问题越发受到关注。本文通过分析气象业务安全的新需求,按照“一个中心三重防御“的设计思路,构建安全态势感知平台,实现对气象网络安全风险实时感知、威胁精准研判和安全快速处置,增强气象网络安全防护能力。
安全态势感知;一个中心三重防御
气象工作服务于国家和人民,是关系国计民生的重要公益性部门,气象工作的观测、预报、服务三大业务都具有实时性高、连续不可中断的特点,而海量的气象数据更是各项工作的基础,保障业务和数据的安全对于气象工作发展的重要性不言而喻。《气象信息化发展规划(2018-2022)》提出了2018-2022年全国气象信息化发展的指导思想、目标、任务、建设工程,是我国气象信息化发展的纲领性文件,其中明确提出要健全安全技术手段,完善被动防御能力,构建主动防御能力,全面落实信息安全等级保护制度,强化外部安全风险防控,提升感知预警能力,完善应急处置机制,全面保障气象系统业务与信息安全,形成具有主动防御和协同管理能力的新一代气象信息安全保障技术体系。
在气象网络安全运维中,需要统一采集安全分析所需的各类数据,尤其是流量数据、系统和业务日志等原始数据,利用这些数据对内网环境中的各类资产和网络结构进行识别,同时可利用预定义的分析模型、分析规则对采集的数据进行实时关联分析,以提高安全威胁的检出率、降低误报率。
当气象网络中发现安全威胁时应及时进行响应,尽可能减小安全威胁带来的风险和实际损失,系统在检测到有攻击行为或违规访问时,除能够利用微信、短信等方式向管理员发出告警外,对于可信度高且有明确处置方法的安全事件,可通过设备联动进行自动处置,自动处置可通过两个方面实现,一是针对有害连接,在网关设备上自动阻断有害连接;二是对于在终端发现的有害进程,可直接在终端封堵或关闭进程。
在气象网络中发现的线上安全告警是攻击者留下的行为片段,线下的安全事件是攻击的结果和造成的影响,并不是攻击的全貌。要想对攻击追本溯源,了解攻击者的企图、使用了哪些手段和资源、攻击的影响面、还原完整的攻击链,需要安全分析人员能从少量的线索出发,利用本地全量的网络和主机行为日志,以及云端威胁情报和互联网数据进行深入的调查,利用搜索、统计、可视化关联等方法和技术,在海量数据中找出与攻击者相关联的更多蛛丝马迹,从而拼凑出攻击者完整的行为链条,还原攻击的全貌。
为满足以上安全需求,需要以持续分析监测为主导思想,构建以态势感知平台技术为核心手段的整体安全运营体系,整合安全信息孤岛,打通数据间的隔阂,形成气象网络中的安全感知体系,实现安全威胁的积极防御和有效应对。
随着等保2.0在2019年12月的正式实施,可以深刻体会到整个等级保护体系的设计更加强调全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖,体现了“一个中心三重防御”的思想,一个中心指安全管理中心,三重防御指安全区域边界、安全网络通信、安全计算环境。
安全区域边界是最重要的一道安全防线。在不同安全域之间,汇聚了所有流经区域的数据流,必须在安全域的网络边界建立有效的网络安全措施,通过部署防火墙实现区域间的边界防护,以及对网络内外部发起攻击行为时进行有效的监视和控制。
安全网络通信是划分和区隔网络的重要手段。为了保证整体气象业务服务的连续性,除了需根据高峰业务流量选择关键网络设备,保证网络设备的处理能力及带宽能够支撑业务高峰的数据量之外,更重要的是对整个网络进行网络区域划分,确保重要网络区域与其他网络区域之间采取可靠的技术隔离手段,并提供安全通信线路、关键网络设备和关键计算设备硬件冗余。
安全计算环境为气象业务应用的安全持续运行提供了根本的保障。计算环境的安全需要从网络设备、安全设备、主机设备及应用系统等多方面进行针对性防护。应用安全防护方面,通过采取身份认证、访问控制等安全措施,保证应用系统自身的安全性,以及在与其他系统或者用户进行数据交互时,能够在应用层通过密码技术确保传输数据的完整性,并在服务器端对数据有效性进行校验,确保只处理未经修改的数据。
安全管理中心是整个安全功能及运维体系有效运作的支撑。安全管理中心通过带外管理的方式实现管理流量与业务流量的分离,为各级系统管理员、安全管理员和安全审计员提供身份鉴别和权限管理的集成平台,便于不同角色人员完成系统管理、安全管理和审计管理等操作。同时通过在安全管理中心部署审计分析系统、流量分析等设施,实现全网日志收集、存储、审计分析,对全网安全态势进行实时感知与监控,当发生安全事件或设备故障时,能够进行实时报警、决策处置及事后追溯分析。
因此,为了应对气象网络中将面临的一些复杂的高级持续性攻击行为,依靠过去孤立的安全设备筑篱笆似的隔离思维是行不通的,必须贯彻“一个中心三重防御”的思想,进行全新的安全体系架构设计。
安全态势感知的目的是反映整体网络的安全态势,并给出安全态势的趋势预测,为安全管理者的下一步决策提供依据,也称为“宏观态势监控”。系统的组成分为数据采集、数据分析、监测告警、安全态势呈现四个部分。与常规的监控系统不同,态势感知系统的设计是倒推式的。
态势感知系统设计的关键不是能采集什么数据,就显示什么;也不是我们能分析什么,就给用户什么;而是气象业务关心什么,我们就应该提供什么。态势感知与安全管理不同,它是为管理者辅助决策提供的工具,需求来自管理者。因此,态势感知系统的设计应先从安全度量指标体系的确定开始,然后反向倒推,其设计的过程如下:
首先了解气象业务的核心与IT承载系统,抽象、分析业务重点关注的安全点,并设法表征这些安全点,形成对网络安全态势的度量指标体系;
其次是选择合适的分析技术、预测模型,建立分析、预测模块的流程与架构,并梳理所需的原始数据;
最后去感知网络中,采集所需要的原始数据。有些数据是可以直接采集,如安全事件、业务流量等;也有些数据是需要通过关联、统计分析后才可以生成的,如溯源定位、热点服务等;
若发现有些数据无法从系统直接获取,可以采用人工参与的评价或打分方式,也可从外部系统数据导入。
气象安全态势感知系统采用国省两级布局架构,国家级态势感知系统在对国家级网络安全风险进行监测的同时,通过收集省级态势感知系统的告警信息,实现全网安全风险的集中监测,省级态势感知系统承担省内安全风险监测,同时需要将本省综合分析后的安全告警按要求发送至国家级态势感知系统。态势感知系统由分析平台、流量探针和内网风险捕获探针组成。分析平台部署于安全管理区,用于采集接收防火墙、IDS、终端安全管理等安全设备日志、流量探针采集的信息、漏洞扫描器提供的漏扫报告,以及来自公安部门、网信办、安全厂商的外部安全情报,并将收集到的各类信息进行综合分析,结合省级安全告警,实现气象网络安全风险的统一监测、分析、告警和展示。流量探针采用流量镜像方式在国省两级网络边界和区域边界部署流量探针,实时采集网络流量用于安全风险监测分析。内网风险捕获探针在气象网络中部署内网风险捕获探针,模拟气象业务布设大量存在安全漏洞陷阱的虚拟系统,来捕获东西向流量中的扫描、嗅探行为。一旦黑客、蠕虫等攻击者在网络中侦查、扫描、移动,就极可能陷入陷阱中,内网风险捕获探针可以获取更多的攻击信息和情报,为安全响应争取更多的时间,降低气象业务系统被攻击的概率,最大限度减少损失。
随着网络安全威胁的发展呈现出新的特征和气象业务安全新需求,我们利用网络安全态势感知平台可以实时监测网络安全攻击和安全漏洞,快速响应和解决,同时可以检验已有网络安全防御体系的有效性,提升网络安全协同和响应处置方面的能力,为构筑网络安全立体防御提供基础。
[1]《气象信息化发展规划(2018-2022年)》.
[2](美)Andrew Jaquith.Security Metrics[M].电子工业出版社,2007,12.
[3]翟胜军.针对“云计算”服务安全思路的改进-花瓶模型V4.0[EB/OL].http://zhaisj.blog.51cto.com/219066/541228.