施馳樂

電子政務(wù)使政府社會服務(wù)職能得到最大程度的發(fā)揮，但也使政府敏感信息暴露在無孔不入的網(wǎng)絡(luò)威脅面前。要趨利避害，電子政務(wù)安全防護(hù)體系的構(gòu)建至關(guān)重要。電子政務(wù)安全防護(hù)體系包括安全管理體系、安全技術(shù)體系、安全組織體系和安全基礎(chǔ)設(shè)施，涉及從管理到組織，從網(wǎng)絡(luò)到數(shù)據(jù)，從法規(guī)標(biāo)準(zhǔn)到基礎(chǔ)設(shè)施等各個方面。

一、電子政務(wù)網(wǎng)絡(luò)新的安全問題

在電子政務(wù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息系統(tǒng)建設(shè)過程中，為保證業(yè)務(wù)系統(tǒng)的安全可靠運(yùn)行，同時也為了滿足國家法律法規(guī)和行業(yè)規(guī)范的要求，會進(jìn)行相應(yīng)的信息安全基礎(chǔ)建設(shè)，部署相關(guān)的安全設(shè)備和安全系統(tǒng)（防火墻、防病毒系統(tǒng)、IDS/IPS、VPN、WAF、日志審計等）。這些安全設(shè)備和系統(tǒng)較好地解決了其關(guān)注的某個方面的安全問題，如防火墻能夠依據(jù)預(yù)定義的策略阻止違反策略的訪問、防病毒系統(tǒng)能夠利用其病毒特征庫發(fā)現(xiàn)已知病毒、日志審計系統(tǒng)能夠利用審計規(guī)則發(fā)現(xiàn)可疑訪問等。

但隨著網(wǎng)絡(luò)應(yīng)用規(guī)模和復(fù)雜度的不斷提高，網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)量急劇上升，網(wǎng)絡(luò)攻防對抗日趨激烈，電子政務(wù)網(wǎng)絡(luò)新的安全問題開始顯現(xiàn)，主要體現(xiàn)在以下幾個方面：

（一） 復(fù)雜的網(wǎng)絡(luò)環(huán)境讓安全工作無從下手

電子政務(wù)的網(wǎng)絡(luò)和業(yè)務(wù)越來越復(fù)雜，電子政務(wù)中心的安全管理員也常常搞不清楚網(wǎng)絡(luò)的具體狀況，如：網(wǎng)絡(luò)總共有多少互聯(lián)網(wǎng)出口？總共有哪些資產(chǎn)？哪些服務(wù)器是重點(diǎn)服務(wù)器？網(wǎng)絡(luò)中都有哪些常見行為？安全策略是否都已生效？等等。如果連這些網(wǎng)絡(luò)的基本環(huán)境都無法準(zhǔn)確掌握，那就更談不上對內(nèi)部網(wǎng)絡(luò)、資產(chǎn)的安全風(fēng)險的掌握了。在這種情況下，攻擊者即便是大搖大擺的出入電子政務(wù)的敏感數(shù)據(jù)區(qū)域也無人知曉，投入了大量資金建設(shè)的安全防御體系也成了擺設(shè)。

（二） 傳統(tǒng)安全技術(shù)對高級持續(xù)性威脅無能為力

高級持續(xù)性威脅的特點(diǎn)是：目的性非常強(qiáng)，攻擊目標(biāo)明確，持續(xù)時間長，不達(dá)目的不罷休，攻擊方法經(jīng)過巧妙地構(gòu)造，攻擊者往往會利用社會工程學(xué)的方法或利用技術(shù)手段對被動式防御進(jìn)行躲避。而傳統(tǒng)的安全技術(shù)手段大多是利用已知攻擊的特征對行為數(shù)據(jù)進(jìn)行簡單的模式匹配，只關(guān)注單次行為的識別和判斷，并沒有對長期的攻擊行為鏈進(jìn)行有效分析。因此對于高級持續(xù)性威脅，無論是在安全威脅的檢測、發(fā)現(xiàn)還是響應(yīng)、溯源等方面都存在嚴(yán)重不足。

（三） 圍墻式的防御體系不再適應(yīng)當(dāng)前的網(wǎng)絡(luò)環(huán)境

傳統(tǒng)的安全體系建設(shè)往往是根據(jù)不同業(yè)務(wù)的安全需求，將電子政務(wù)網(wǎng)絡(luò)分割成不同的區(qū)域分而治之，大家認(rèn)為只要在邊界上做好了安全控制，就能實(shí)現(xiàn)攻擊的有效檢測和防御。但隨著互聯(lián)網(wǎng)+時代的到來，云計算、移動互聯(lián)等新技術(shù)、新產(chǎn)品、新服務(wù)在電子政務(wù)或組織內(nèi)部應(yīng)用越來越廣泛，原來的邊界已經(jīng)變得非常模糊。雖然網(wǎng)絡(luò)中部署了一些安全設(shè)備和系統(tǒng)，但這些設(shè)備和系統(tǒng)基本都是各自獨(dú)立的，形成了一個個安全孤島。對于一些復(fù)雜的攻擊行為，依靠單一的安全設(shè)備往往不是難以發(fā)現(xiàn)問題就是產(chǎn)生過多誤報。只有將這些安全孤島整合起來，打通數(shù)據(jù)間的隔閡，形成電子政務(wù)或組織的全面數(shù)字安全感知體系，才能真正實(shí)現(xiàn)安全威脅的積極防御和有效應(yīng)對。

要解決這些新的安全問題，亟需使用新的技術(shù)手段來掌控全局的安全態(tài)勢，從而優(yōu)化安全運(yùn)營過程，將電子政務(wù)網(wǎng)絡(luò)的安全風(fēng)險控制在合理的區(qū)間內(nèi)。

二、電子政務(wù)網(wǎng)絡(luò)安全新要求需要態(tài)勢感知與安全運(yùn)營平臺

2016年4月19日，在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上，習(xí)近平總書記以“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”的清晰戰(zhàn)略，提出了建設(shè)網(wǎng)絡(luò)強(qiáng)國的戰(zhàn)略目標(biāo)。

其中提及到：

“網(wǎng)絡(luò)安全的發(fā)展觀：要在加強(qiáng)信息化建設(shè)的同時，大力開發(fā)網(wǎng)絡(luò)信息核心技術(shù)，培養(yǎng)網(wǎng)絡(luò)安全人才隊伍，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力，為國民經(jīng)濟(jì)和信息化建設(shè)打造一個安全、可信的網(wǎng)絡(luò)環(huán)境。

網(wǎng)絡(luò)安全的辯證觀：網(wǎng)絡(luò)安全是整體的而不是割裂的；網(wǎng)絡(luò)安全是動態(tài)的而不是靜態(tài)的；網(wǎng)絡(luò)安全是開放的而不是封閉的；網(wǎng)絡(luò)安全是相對的而不是絕對的；網(wǎng)絡(luò)安全是共同的而不是孤立的?！?/p>

所以，解決現(xiàn)階段電子政務(wù)網(wǎng)絡(luò)的安全問題，很重要的技術(shù)手段就是應(yīng)用態(tài)勢感知與安全運(yùn)營平臺。

態(tài)勢感知與安全運(yùn)行平臺需要覆蓋安全管理與運(yùn)營的各個環(huán)節(jié)，其是建設(shè)成一個以多種安全問題管理為目標(biāo)、以數(shù)據(jù)為核心、威脅情報為特色、打通安全運(yùn)營中的檢測、響應(yīng)、預(yù)警、防御多個領(lǐng)域環(huán)節(jié)的完整安全體系。

三、態(tài)勢感知與安全運(yùn)營平臺新的技術(shù)要求

結(jié)合現(xiàn)階段，電子政務(wù)網(wǎng)絡(luò)的安全問題，態(tài)勢感知與安全運(yùn)營平臺需要具備以下技術(shù)特點(diǎn)要求：

（一）全面的數(shù)據(jù)采集與分析

為實(shí)現(xiàn)對電子政務(wù)內(nèi)部安全管理的全面監(jiān)控，在數(shù)據(jù)采集方面支持更加全面的采集范圍。

針對傳統(tǒng)事件的采集，態(tài)勢感知與安全運(yùn)行平臺需要支持對各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備的syslog和flow日志進(jìn)行采集，并能夠采集專業(yè)Agent針對數(shù)據(jù)庫、系統(tǒng)日志、中間件日志、其他文本日志提供全方位的采集。

在傳統(tǒng)的事件采集外，還需要支持原始流量行為的還原與采集，區(qū)別于netflow等采樣式流量采集方法，平臺使用專有的流量采集設(shè)備-流量傳感器對流量中的會話行為、事務(wù)、應(yīng)用動作進(jìn)行還原并形成相關(guān)日志進(jìn)入存儲和分析環(huán)節(jié)

在傳統(tǒng)事件信息、流量行為日志以外，態(tài)勢感知與安全運(yùn)營平臺還能對接電子政務(wù)網(wǎng)絡(luò)中的各種終端行為日志，需要能夠采集包括終端進(jìn)程流量行為、終端文件行為、U盤文件傳輸、郵件文件傳輸、IM文件傳輸?shù)刃袨槿罩荆捎诮K端日志相比網(wǎng)絡(luò)日志更加具體、可以幫助分析人員發(fā)現(xiàn)啟動惡意進(jìn)程的相關(guān)文件，所以在整個威脅的發(fā)現(xiàn)、回溯過程中也會體現(xiàn)重大價值。

（二）大數(shù)據(jù)基礎(chǔ)架構(gòu)

全面的日志采集，即帶來了分析的便利也帶來了性能的煩惱。傳統(tǒng)SOC產(chǎn)品在10億條日志規(guī)模下會出現(xiàn)性能的劇烈下降，該問題主要受限于傳統(tǒng)SOC產(chǎn)品普遍使用的關(guān)系型數(shù)據(jù)庫自身設(shè)計上的局限性。如果由該架構(gòu)實(shí)現(xiàn)來承接流量日志和終端日志，甚至是操作系統(tǒng)日志都可能導(dǎo)致災(zāi)難性的后果。為解決相關(guān)問題，態(tài)勢感知與運(yùn)營平臺需要使用大數(shù)據(jù)基礎(chǔ)架構(gòu)更替?zhèn)鹘y(tǒng)的數(shù)據(jù)存儲和計算方式。

為解決海量數(shù)據(jù)的快速存儲和讀取問題，平臺需要使用分布式全文檢索技術(shù)，該技術(shù)可以在日志入庫前針對日志建立全文索引，并進(jìn)行分片存儲于多臺設(shè)備或多塊磁盤。系統(tǒng)在進(jìn)行日志查詢時可以將對應(yīng)查詢指令分發(fā)到多臺設(shè)備執(zhí)行，并利用大內(nèi)存再次提升檢索性能。最終平臺可以面向千億條日志提供存儲查詢功能，查詢效率為秒級。

在海量日志場景下，數(shù)據(jù)的可靠性成為另一難題。態(tài)勢感知與安全運(yùn)營平臺需要將接收到的日志進(jìn)行自動備份，并進(jìn)行分片，再存儲于不同的磁盤。通過該實(shí)現(xiàn)可以保證任意一塊硬盤損壞后系統(tǒng)數(shù)據(jù)不丟失，可恢復(fù)。

（三）專業(yè)化日志搜索分析

電子政務(wù)的業(yè)務(wù)場景繁多，針對電子政務(wù)不同的數(shù)據(jù)統(tǒng)計及呈現(xiàn)需求，傳統(tǒng)SOC/SIEM產(chǎn)品往往需要通過定制化開發(fā)實(shí)現(xiàn)，將極大增加交付及維護(hù)成本。態(tài)勢感知與安全運(yùn)營平臺需要設(shè)計專家搜索模式，將 SQL 的最佳功能與 Unix 管道語法封裝為腳本命令，用戶直接在搜索框里輸入相關(guān)命令即可實(shí)現(xiàn)對海量日志的搜索、關(guān)聯(lián)、分析和可視化。

（四）高性能關(guān)聯(lián)分析

關(guān)聯(lián)分析作為傳統(tǒng)SIEM產(chǎn)品的必備功能，往往承擔(dān)了威脅發(fā)現(xiàn)的主要職責(zé)。但與定位相左的現(xiàn)實(shí)情況是，傳統(tǒng)的關(guān)聯(lián)分析往往僅能提供3000EPS（Event per Second）到5000EPS的性能，這種性能完全無法應(yīng)對當(dāng)前動輒上百臺安全設(shè)備、上千臺服務(wù)器的客戶IT環(huán)境。

為此，需要態(tài)勢感知與運(yùn)營平臺設(shè)計的關(guān)聯(lián)分析核心引擎，將CEP（復(fù)雜事件處理）的技術(shù)實(shí)現(xiàn)結(jié)合安全業(yè)務(wù)場景進(jìn)行大量的實(shí)現(xiàn)加速、邏輯優(yōu)化，最終可以提供20000EPS（50條規(guī)則）的關(guān)聯(lián)性能。

（五）豐富的威脅情報

傳統(tǒng)SOC產(chǎn)品經(jīng)過多年發(fā)展，可以面向用戶提供全面的安全管理功能，但對于真正威脅的發(fā)現(xiàn)、分析、處理上并無法提供更多的知識輸入，相關(guān)高級威脅的檢測更多地還是依賴于IPS或APT檢測類設(shè)備實(shí)現(xiàn)。為了解決相關(guān)問題，需要安態(tài)勢感知與安全運(yùn)行平臺引入威脅情報數(shù)據(jù)，可以通過失陷類威脅情報直接對高級威脅或APT攻擊進(jìn)行檢測和跟蹤、并使用云端威脅情報中心的海量數(shù)據(jù)情報對各種告警中的IP、域名、文件MD5進(jìn)行進(jìn)一步分析和解釋。

威脅情報的使用，直接可以擴(kuò)展客戶的安全視野，通過使用威脅情報幫助客戶理解自身的安全狀況和突發(fā)情況的處置方式。需要平臺支持用戶威脅情報的自定義和第三方威脅情報的導(dǎo)入，通過這種方式可以為客戶提供更加靈活和開放的失陷類情報管理。

（六）精準(zhǔn)的多維度威脅檢測

電子政務(wù)網(wǎng)絡(luò)經(jīng)常會淹沒在各種IDS、WAF設(shè)備的安全告警中，而這些告警的分析、處置往往成為另一頭疼的問題。在這方面，傳統(tǒng)安全管理產(chǎn)品往往會通過過濾、歸并、關(guān)聯(lián)等方式實(shí)現(xiàn)一定程度的告警量下降。但依靠這種方式無法對真正威脅做到有效追逐，因?yàn)楦婢臏?zhǔn)確度會受限于IDS或WAF等檢測設(shè)備的實(shí)現(xiàn)情況和告警的過濾、歸并手段。任何一個環(huán)節(jié)有問題都將導(dǎo)致大量誤報或漏報出現(xiàn)。而且傳統(tǒng)檢測技術(shù)更加側(cè)重于所有攻擊企圖的發(fā)現(xiàn)，無法有效鑒別哪些攻擊是真正造成惡劣影響的、是需要處理的。

為了解決相關(guān)問題，需要態(tài)勢感知與安全運(yùn)營平臺采集大量的原始日志和流量信息，相關(guān)數(shù)據(jù)經(jīng)過多維度的檢測手段進(jìn)行分析，以幫助客戶判斷真正的威脅在哪里。除了關(guān)聯(lián)分析、失陷類情報關(guān)聯(lián)以外，更需要使用電子政務(wù)特別關(guān)注的網(wǎng)站漏洞、對外服務(wù)的系統(tǒng)漏洞等檢測手段，比如網(wǎng)站漏洞利用檢測、WebSHell檢測、遠(yuǎn)控檢測。

四、態(tài)勢感知與安全運(yùn)營平臺為電子政務(wù)用戶帶來的價值

通過對態(tài)勢感知與運(yùn)營平臺設(shè)計的新要求與部署，可為電子政務(wù)用戶帶來如下價值：

（一）發(fā)現(xiàn)基礎(chǔ)安全建設(shè)遺留的安全隱患，完善電子政務(wù)網(wǎng)絡(luò)安全防護(hù)體系

現(xiàn)階段主流的安全產(chǎn)品基本上都是單兵作戰(zhàn)，只能對自己所負(fù)責(zé)的區(qū)域的流量信息進(jìn)行分析處理和對已知的威脅進(jìn)行有效防護(hù)，對于未知威脅的處理能力則非常弱。態(tài)勢感知與運(yùn)營平臺可以有效利用云端威脅情報數(shù)據(jù)，從互聯(lián)網(wǎng)數(shù)據(jù)中進(jìn)行發(fā)掘和分析攻擊線索，極大提升未知威脅和APT攻擊的檢出效率，因此可以有效發(fā)現(xiàn)電子政務(wù)網(wǎng)絡(luò)基礎(chǔ)安全建設(shè)中遺留的安全隱患并及時修正。

（二）彌補(bǔ)現(xiàn)有被動防御方式的不足，提升電子政務(wù)網(wǎng)絡(luò)安全防護(hù)水平

傳統(tǒng)安全防御體系的重要思想是防御，這就決定了能夠越早確定攻擊的物理位置就變得越重要。在這種思想下，處于攻擊最前沿的網(wǎng)端始終是安全建設(shè)的重點(diǎn)，大量的檢測與防御設(shè)備都部署在網(wǎng)端，如：IDS、IPS、UTM、FW、Audit、網(wǎng)閘等等。這種情況下，傳統(tǒng)的安全防御體系就如同一個硬殼軟糖，將安全性全部寄托于硬殼之上，一旦硬殼被砸碎，那么內(nèi)部是毫無二次抵御攻擊的能力，而事實(shí)證明，天下不存在無堅不摧的管道硬殼。因此單純靠檢測與防御解決網(wǎng)絡(luò)安全問題已經(jīng)不切實(shí)際，需要采用一種新的思路，在檢測與防御系統(tǒng)被繞過或失效，已經(jīng)被攻陷的情況下，仍然能盡快發(fā)現(xiàn)入侵事件，并快速追蹤溯源，清晰掌握攻擊過程全貌，為迅速采取動作，遏制攻擊擴(kuò)散提供技術(shù)基礎(chǔ)。而態(tài)勢感知方案通過引入威脅情報和規(guī)則鏈技術(shù)的引入，形成了監(jiān)聽-主動回溯、研判-主動監(jiān)測的檢測體系，大大提升了電子政務(wù)網(wǎng)絡(luò)積極防御的能力，彌補(bǔ)了電子政務(wù)網(wǎng)絡(luò)現(xiàn)有被動防御方式的不足。

（三）基于客戶業(yè)務(wù)環(huán)境進(jìn)行場景化威脅監(jiān)測，提升異常行為檢測能力

傳統(tǒng)安全防護(hù)設(shè)備進(jìn)行監(jiān)測時一般使用通用的監(jiān)測規(guī)則，這種規(guī)則庫對于與電子政務(wù)業(yè)務(wù)關(guān)聯(lián)性較強(qiáng)的個性化安全異常識別能力較弱。態(tài)勢感知與安全運(yùn)營平臺獨(dú)有的場景化威脅檢測技術(shù)，能夠基于電子政務(wù)的業(yè)務(wù)環(huán)境構(gòu)建威脅檢測和響應(yīng)模型，及時發(fā)現(xiàn)電子政務(wù)網(wǎng)絡(luò)內(nèi)部的業(yè)務(wù)安全風(fēng)險。

（四）幫助電子政務(wù)用戶建設(shè)協(xié)同防御體系，提高應(yīng)急響應(yīng)效率

傳統(tǒng)的安全防御體系由于安全設(shè)備是獨(dú)立運(yùn)行的，所以響應(yīng)速度較慢。攻擊者僅需花費(fèi)較低的成本就可以攻入電子政務(wù)內(nèi)網(wǎng)，且有充裕的時間尋找并獲取其感興趣的數(shù)據(jù)。態(tài)勢感知與安全運(yùn)營平臺通過終端檢測響應(yīng)和網(wǎng)絡(luò)檢測響應(yīng)技術(shù)可以和電子政務(wù)用戶配置的其他安全設(shè)備進(jìn)行聯(lián)動，形成協(xié)調(diào)防御體系，可以大大縮短攻擊者的攻擊時間窗口并提高攻擊者的攻擊成本。

（五）幫助電子政務(wù)用戶搭建搜索平臺，提升數(shù)據(jù)查找能力

傳統(tǒng)的安全方案中，對于電子政務(wù)本地數(shù)據(jù)的處理往往采用mysql等關(guān)系型數(shù)據(jù)庫。這種設(shè)計早已不能滿足當(dāng)前數(shù)據(jù)量的處理性能需要。態(tài)勢感知與安全運(yùn)營平臺采用搜索引擎技術(shù)作為本地數(shù)據(jù)存儲和檢索核心技術(shù)，采用json格式作為引擎的輸入輸出格式，這樣可極大提高檢索性能，可以為電子政務(wù)提供TB級的數(shù)據(jù)快速搜索能力，同時相比傳統(tǒng)架構(gòu)也能夠降低大量接口上的開發(fā)量。態(tài)勢感知與安全運(yùn)營平臺可為電子政務(wù)本地的大規(guī)模數(shù)據(jù)保存、攻擊證據(jù)留存和查詢、實(shí)時關(guān)聯(lián)分析提供堅實(shí)的技術(shù)保障。

（六）幫助電子政務(wù)用戶搭建數(shù)據(jù)可視化平臺，使內(nèi)網(wǎng)安全態(tài)勢一目了然

數(shù)據(jù)可視化是大數(shù)據(jù)應(yīng)用領(lǐng)域里非常重要的技術(shù)手段，數(shù)據(jù)可視化是研究如何將數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系以及蘊(yùn)含的意義，并通過可視化方式進(jìn)行展現(xiàn)，便于分析人員的深度分析的技術(shù)，是整個大數(shù)據(jù)技術(shù)領(lǐng)域中的重要組成部分。尤其對于情報分析領(lǐng)域，可以極大的提升情報分析的效率和效果。在電子政務(wù)用戶安全方面，一方面可通過可視化技術(shù)的利用，將原本碎片化的威脅告警、異常行為告警、資產(chǎn)管理等數(shù)據(jù)結(jié)構(gòu)化，形成高維度的可視化方案，以便于用戶理解；另一方面可以通過可視化技術(shù)將威脅事件與電子政務(wù)業(yè)務(wù)進(jìn)行有機(jī)結(jié)合，通過態(tài)勢感知與安全運(yùn)營平臺的大屏將內(nèi)網(wǎng)全局的安全態(tài)勢以圖形化的方式直觀呈現(xiàn)，將安全由不可見變?yōu)榭梢姟?/p>