黄鹏,卢威,韩晖,马骅
1.中国船舶集团有限公司综合技术经济研究院,北京,100089;2.中国船舶集团有限公司第七〇八研究所,上海,510700;3.北京优炫软件股份有限公司,北京,100089
航运业界已充分认识到船舶数字化、网络化可能导致的风险,传统的网络漏洞扫描、入侵检测检出率低、假阳性率高。主机侧的安全检测扫描更深入,可以从操作系统层深度发掘。因此需要面向船舶网络空间资源的、统一集中管理的安全防护系统,用来收集远洋客船网络化服务平台和船载设备的安全日志,并进行储存、分析、预判、告警和响应。
远洋客船网络化服务平台信息安全需求从物理环境、区域边界、计算环境、应用安全、通信存储以及内网安全等方面出发,研究相应信息安全技术,保障船内整体网络安全。将物理层安全风险降到最低是保证网络正常运行的前提。区域边界安全主要包括边界访问控制、边界入侵防范、边界安全审计等。计算环境安全是基于主机的安全防护,从船舶安全需求考虑,应该保障内部系统的安全性,关闭不需要的端口、制定严格的密码口令、精细化权限划分、系统漏洞修复等都是需要考虑的安全策略。远洋客船网络化服务平台内部有各种各样的业务,这些业务数据包含结构化和非结构化数据,如何保障这些数据的安全也是必须考虑的因素。这些数据包括导航数据、用户数据等敏感信息,一旦被恶意入侵窃取后,将造成重大的信息以及财务资金安全事件。
在船载网络系统内部,针对所有资产进行漏洞扫描、入侵检测,包括恶意代码查杀、主机入侵检测、安全基线等,接入全量运行日志,支持服务器、防火墙,IDS设备,船载网络化服务平台等系统[1-3]。对于存在的威胁,分别根据破坏程度、资产重要性等要素进行评估,确定风险等级。满足日志统一采集、搜索、关联分析、安全评估,以及每日上万条数据量的集中管控需求。核心数据存储技术依托国产数据库软件UXDB,实现安全监控的集中性、透明性和可控性。
自适应信息安全防护系统主要包括大屏展示、资产管理、风险发现、入侵检测、安全评估、系统管理、操作日志、告警推送等。功能结构如图1所示。
图1 自适应信息安全防护系统功能图
本系统通过资源监控采集、分析处理、安全评估、可视化展示的安全管理流程,开发资产管理、风险发现、入侵检测、安全评估、系统管理、操作日志等功能,建立多层次级别的安全评估模型,整体评估企业内部的安全运营、威胁管理,提升船载应急响应水平。系统使用浏览器/服务器B/S架构,采用集中管理的方式。服务端采用微服务Spring Cloud框架,支持多事件、多任务高并发。前端采用VUE框架,支持多前端类型。对于主机安全监测功能,使用探针agent监控主机信息,并采集日志[4-7]。技术架构如图2所示。
图2 自适应信息安全防护系统技术架构图
2.3.1 接入层
用户通过各种前端与软件系统交互。通过Nginx实现负载均衡。
2.3.2 服务层
启用风险发现服务、主机入侵检测服务、安全评估服务、资源监控服务、用户管理服务,通过Spring Cloud的微服务管理机制,实现服务的动态增加与扩容。在服务治理方面,使用Eureka进行服务注册管理,Gateway作为应用网关。Cloud Bus实现消息总线,Stream实现消息驱动, Task实现分布式定时任务管理。通过Sleuth+Zipkin进行服务链路的跟踪,可以快速发现错误根源以及监控分析每条请求链路上的性能。风险发现服务通过终端安全探针agent进行,并将风险发现信息返回。支持定时并发扫描执行[8-10]。入侵检测服务通过终端安全探针进行,将日志信息返回。
2.3.3 存储层
项目采用UXDB存放数据,使用Redis/MQ进行发布订阅模式消息中间件处理。操作系统使用Centos7 x64。
作为管理业务的承载者,资源是整个系统的核心模块。自适应信息安全防护系统是以资源为基础,发现各种可能的威胁,提前做好防范。本系统将不同厂商、不同类型的资源进行统一监控和管理,范围涵盖服务器主机、网络设备和IDS等。
风险发现模块包括风险总览、合规基线、弱口令、漏洞管理、恶意代码检测、端口管理。合规基线即国家或监管单位制定的安全标准,是系统最低安全要求的配置,常见的安全基线配置标准有ISO 270001、等级保护2.0、部分行业标准等。主机系统弱口令的扫描负责检索主机系统账户的弱口令。恶意代码检测支持查杀速度、查杀模式选择,可以节能方式扫描,防止虚拟化环境的扫毒风暴。端口管理列出主机所有启动的端口、占用的进程,以及高危端口统计告警。漏洞管理采用基于主机的扫描方式,这种方式对比基于网络的扫描方式,在扫描粒度、准确性等方面具有绝对优势,用以实现对服务器上操作系统、应用系统、数据库等组件进行漏洞管理[11]。
基于主机的入侵检测技术指的是利用主机安全插件探针,基于主机行为标准、关键资产信息的监控变更,达到入侵检测预判告警防护的目的。安全插件探针对系统的不同维度提供了基于文件权限、进程、端口、网络、账户、开机启动等多种检测防御手段,确保主机入侵实时响应、实时防护、实时审计。入侵检测功能通过在主机安装终端安全探针插件,进行入侵行为扫描检测,上传威胁日志。
针对主机和网络设备安全检测产生的漏洞信息、日志信息进行采集。针对采集到的信息,首先通过预处理过滤无效的、重复的、误报的信息,对信息格式进行统一规整。通过聚合处理整合所有资源的日志。通过对多种资源产生的多种威胁进行关联分析,进行分类分级评估,准确定位每种风险等级,建立不同数据来源的安全事件数据模型。智能关联分析是基于规则的分析算法,对收集的各种原始数据进行去重归一,分析各种数据的关联性,依据安全事件的破坏程度、发生的可能性、资产重要程度,进行深度分析计算,降低误报、提高告警的准确度。
3.4.1 风险评估
(1)资产
自适应信息安全防护系统监控的资产范围包括主机服务器、防火墙,IDS设备,平台的应用系统等。使用CIA模型评估资产重要性。例如:对于涉及商务操作的IT系统,重点是保密性和完整性。而对于OT系统,则主要是完整性和可用性。
(2)威胁可能性
在安全防护系统中,威胁默认有安全基线、弱口令、漏洞扫描、病毒扫描、文件完整性、登录防护、用户行为、端口管理等威胁。其余可根据现场应用服务使用情况,配置新的威胁检测规则,通过日志关联分析对比实现[12-15]。威胁可能性赋值方法是根据历史威胁发生的频率,对威胁出现的概率进行预估,形成等级化数据,不同的等级代表威胁发生的可能性的高低。
(3)破坏程度
在安全防护系统默认的威胁中,可能性和破坏程度赋值参考了IMO和BIMCO出品的《海事网络安全白皮书》,由IHS Markit统计了近5年的海事相关的威胁类型,统计如图3所示。安全防护系统中的威胁可能性和破坏程度值如表1所示。
图3 IHS Markit 对5 年内海事相关的威胁统计图
(4)风险计算
综合资产价值、威胁的可能性和脆弱性的严重程度,判断安全事件造成的损失对船舶信息系统的影响,即远洋客船网络空间安全风险。自适应信息安全防护系统的风险分析是定量的,风险计算采用了相乘法,范围根据风险从轻到重依次增大[16-20]。风险值的计算公式:
风险值=(资产的重要性*威胁可能性*威胁的破坏程度)/25
(5)风险结果判定
为了实现风险的管理与控制,风险评估的结果应该进行等级化划分。不同的等级代表资产风险严重程度的高低。按照现有系统的威胁类型的配置,计算每个主机的风险值。主机的健康值的计算即与主机风险值的计算百分制取反。主机风险值与主机健康度按百分制计算,取值范围为0~100分,对应关系见表2。
表2 主机风险值与健康度
3.4.2 风险处理措施
对不可接受的风险,利用自适应信息安全防护系统,对风险进行修复,再次检测风险,评估风险是否处于可接受的范围,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。知识库是对现有安全事件进行学习分析,统计正常的行为范围,根据历史的经验值,自动触发安全策略,达到自适应的目的[21-22]。
通过评估历年海事高发信息安全危险事件,综合参考国内外信息安全先进规范、体系构建方法和模型,评估远洋客船网络化服务平台中的信息安全级别,对不同级别的信息实行差异化安全管理;在船载网络系统内部,针对网络资源进行风险发现、入侵检测等,同时接入全量运行日志,构建安全评估系统,可以有效防范海事行业高发威胁、预防0day攻击,为远洋客船网络化服务平台中的设备和应用提供安全保障。