安全是什么?对于网络安全从业者来说,是没有黑客攻击、病毒入侵;而对于疫情时期的普通大众来说,安全就是随身必备的口罩。
(来自网络)
2020年2月,全国各地出现新冠疫情,无论是各大电商平台,还是线下药店,都是“一罩难求”。就在此时,常州市政府在互联网公众服务平台“我的常州”上线了“口罩预约”的功能模块,以便解决常州市民们的燃眉之急。
“当时市民对口罩的需求非常迫切,本着便民优先的原则,我们来不及走完所有的安全流程,仅通过普通安全测试后就上线了。”常州市大数据中心电子政务管理处处长周风波回忆道,“上线后,该功能使用非常火爆,访问量激增,各类DDoS攻击、黄牛党刷票抢号也接踵而来,几乎让我们措手不及,更给平台的正常服务带来了极大挑战。”
作为常州大数据中心的网络安全合作伙伴,奇安信第一时间提供了全流量威胁感知设备、安全事件预处置服务等,加固了“我的常州”安全性,同时还通过技术防护手段彻底解决了黄牛抢口罩的问题,确保每个口罩都能送到市民手中。
“如果没有平时对网络安全建设的持续重视,很难想象,遇到这种突发情况时该如何应对。”周风波表示。
三个“第一时间” 对安全隐患零容忍
“网络安全问题,必须第一时间处理,一刻也不能等。”谈到电子政务的网络安全建设,周风波将实时、高效放在了首要位置。
众所周知,电子政务平台承载着政府核心业务、敏感数据、公众服务等内容,一旦被攻击,就可能对社会秩序、公众利益、政府形象等造成严重影响,危害性不可估量。然而近年来,全球针对政府机构的网络攻击层出不穷,常见攻击类型有数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击以及网页篡改等。
在国外,2020年12月,俄黑客被指入侵美政府多个机构,超九成500强公司受影响;2020年6月,美国200多个公检法部门泄露296GB数据文件;2019年5月,俄罗斯政府网站泄露225万用户隐私;2019年3月,美国联邦应急管理局泄露230万灾难幸存者个人信息。在国内,2018年5月,重庆涉外黑客入侵700余个政府机关网站挂黑链……
常州,一座有着3200多年历史的文化古城,经济总量方面一直稳居全国前30位。在信息化方面,常州市电子政务大数据共享交换平台于2018年立项启动,2019年建设完毕,目前平台承载着500万自然人的数据,加上法人、空间、地理、35家单位等,总数据量超过16亿条。这些数据属于高价值、高敏感性信息,一旦泄露,将对企业和公民造成很大的影响。
除了数据泄露的风险之外,挖矿木马肆虐也是常州电子政务面临的难题。“捕捉挖矿木马也是一场警察抓小偷的斗智斗勇。”周风波分享了一个故事,“挖矿木马对显卡要求高,也会占用CPU运算资源,因此,政务云平台对CPU利用率有预警机制。但是有些木马学坏了,卡着阈值设置值,例如政务云的机制是资源使用量超过95%触发报警,那么这些木马将CPU资源使用量上限设置在85%以下,极其隐蔽,如果不通过专业的安全管理平台,就无法发现他们,导致政务硬件资源被挖矿者滥用。”
“考虑到电子政务的很多业务系统和数据都和国计民生紧密相关,我们在安全上一直在强调三个‘第一时间’:政务网里的安全风险,要第一时间知道;对于新型的APT攻击检测和应对方案,要第一时间通报下去;一旦有安全事件发生,安全人员要第一时间进行响应和处置。”周风波谈到。
首创“1+N”模式实现市区联动 补齐安全短板
“聪者听于无声,明者见于未形。”2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上指出,感知网络安全态势是最基本、最基础的工作,要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。
常州在态势感知和安全管理建设方面,不仅完成了省级电子政务管理部门的要求,还在2018年底,与国内领先的网络安全公司奇安信合作,通过部署态势感知与安全运营平台(NGSOC),开创性实现了“市+区”联动的“1+N”安全管理模式,将态势感知能力覆盖到区级单位,从多个层面补齐了安全短板,强化整体平台的安全性。
首先,“1+N”模式实现的市区联动,让分布在五个区、40多个委办局的安全能力真正实现了拉齐。
“尽管常州下辖的区数量不多,但发展差异很大。例如武进区经济能力很强,信息化程度高,也有专业的安全团队,其他很多区的信息化水平和安全建设就比较薄弱,没有统筹考虑,只有简单的防病毒等终端安全措施。假如不采取‘1+N’模式,一旦常州发生安全事件时,对威胁的发现和响应就会很滞后。同时在区一级单独建安全项目比较难操作,成本也较高。”
图:功能架构
通过“1+N”的模式部署奇安信NGSOC,很好解决了这些难题。将各区安全响应能力拉齐,弥合和各区之间安全水平参差不齐的差距。尤其是NGSOC具有很强的兼容性,能够和运维软件实现兼容,进而对全市政务网安全态势了如指掌。
其次,市区联动的态势感知方案,强化了威胁分析和溯源功能,为定责提供充分依据。周风波回忆,在过去,当出现安全事故的时候,找不到具体的责任品牌,很多安全事件、很多安全设备都有关联,很难定责。部署了NGSOC之后,通过溯源分析可以及时有效定位问题发生点。
值得一提的是,NGSOC在攻击回溯和调查取证方面具有领先业界的创新。例如奇安信在业界率先提出了冷热数据的概念,对于最近时间发生的高频查询数据,通过热数据模式存储,整体的数据搜索方面会支持百亿级的数据秒级检索,业界遥遥领先。而在调查取证方面,通过人、数据和工具组成的一个三维的协同联动,可以深入、多角度研判威胁,并还原整个威胁事件。
第三,“1+N”模式的市区无缝联动,大大提升了重大安全事件的响应速度。常州市电子政务中心通过NGSOC安全管理平台,及时向各级单位下发安全风险通告函,包括相应问题的解决方案。
周风波举了一个例子,在钟楼区某终端对MSSQL数据库服务器执行了恶意代码,将会导致获取到服务器权限,导致数据遭到破坏、更改和泄露。通过NGSOC安全管理平台,安全运营人员及时下发了安全风险告知函,修复了数据库的恶意代码,将安全隐患消弭于无形。
最后是,NGSOC和奇安信天擎的联动,使得高危漏洞的修复效率获得显著提升。据周风波回忆,在项目实施过程中,通过NGSOC挖掘出的高危漏洞有1500多个,分散在各区各地,如果用传统的修复手段,无疑是一个浩大的工程。通过天擎终端安全管理系统,就可以统一管理,统一升级,统一打补丁,快速完成漏洞修复。加上奇安信驻场人员提供的专业安全运营服务,此类问题处理比预期快了很多。
图:外部威胁态势
此外,NGSOC的可视化展示能力,也让常州电子政务客户记忆深刻。NGSOC可提供11个展示内网态势感知的大屏视图:全网脆弱性态势、资产态势、威胁预警态势、攻击者态势、综合安全态势、安全运营态势、外部威胁态势、内网威胁态势、资产风险态势视、业务资产外连态势、攻防演练态势,分别从不同的安全运营角度对网络安全态势进行呈现。如此丰富的维度,让客户对从市到区的电子政务外网安全态势具有全局把控。
图:内网威胁情况
实战攻防验证安全水平 未来有望向全省推广
“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”政府的核心业务平台需要平稳运行,企业和公众的重要数据需要多重防护,在以NGSOC为主的安全管理方案助力之下,常州电子政务的网络安全水平处于全省领先地位。
据介绍,在2020年针对关键信息基础设施进行实战攻防演练的工作中,NGSOC安全管理平台作为防守方,结合驻场安全运营的人员,成功监测及防护住了各种攻击行为,发现并处理了3000余条高危告警。
而且,凭借NGSOC优异的安全能力表现,常州电子政务平台在2019年等保1.0的三级标准得到89.77分,2020年等保2.0的标准89.38分,真正实现了花小钱办大事的效果。
对于未来,周风波表示,常州市“1+N”市区联动模式有望向江苏省全省推广,为建立“省-市-区”三级联动安全管理平台,提供很好的示范样板。