由中国信息协会主办,信息化观察网、国润互联信息技术研究院、中国信息协会传媒中心承办的首届中国电子政务安全大会于日前在北京落下帷幕。锐捷网络安全产品事业部副总经理 任春林受邀出席大会,并发表了题为《基于“动态安全”体系的等保2.0方案》的主题演讲。
锐捷网络安全产品事业部副总经理任春林
以下是大会现场演讲内容实录:
截止到2018年12月份,我国共有政府的相关网站系统达到17000多个,接近18000个。我国在线的政务系统用户规模达到3.94亿,占总体网民的47%。我们的政务系统承载着我国亿万公民的信息,包括各个企事业单位相关数据,从信息安全层面来讲重要程度不言而喻。政府系统在当前网络形势下,面临着很大的威胁和挑战,比如说黑客的攻击,比如说信息泄露、撞库拖库、钓鱼网站等等。
2017年5月份勒索病毒出现以后,安全威胁愈演愈烈。数据显示,2018年总共有430余万台的终端被勒索病毒攻击,政府单位的终端被攻击的总数,占总数21%。因此,政府单位或者说监管机构,对行业也提出了各种各样的要求,或者是规范。比如说2015年2662号文,2017年1529号文。如果提到政策要求,提到标准,就离不开《网络安全法》。《网络安全法》在法律层面,把网络安全问题进行了强化,提到《网络安全法》就离不开等保,今年等保2.05月13号发布,实际上是5月10号发布了,公开出来的是5月13号开始,今年12月1号正式实施。等保2.0不仅仅是对传统的网络系统做了要求,更增加了覆盖。同时对各个单位,各个部门,各个机构和企业等等,也加大了覆盖,这两个大覆盖也是等保2.0的重中之重。
等保2.0的方案基于一个中心,三个防御思想,我们的目的希望能够做到可信、可控、可管,在安全通信网络部分希望构建一个安全的网络空间架构,保障信息传输的安全。在区域边界部分,我们希望强化网络安全边界优化访问控制策略,安全计算环境,强调系统及应用安全,加强身份鉴别机制与入侵防范。分析网络内部各种世界,同时定期识别和预警,定期进行漏洞的风险评估。
等保1.0里面,网络安全分解成安全风险网络和安全区域边界,如果忘了的同仁也可以简单看一下,红色字体的部分是2.0新增的部分,绿色的部分是变化,灰色是删除,这个不细说,下午会有相关的介绍。
安全通信网络部分有几个重点的变化,第一个对边界完整性检查提出要求,增加可信验证的要求,更加不同的网络区域的边界防护。我们以三级为例,安全通信网络部分用什么设备来满足。说一个案例,以往在1.0还是2.0建设过程中发现一个问题,边界串联了大量设备,而且不同的区域边界是要重复部署安全产品,导致用户花费多了,设备的使用率也降低了。锐捷在这块提供了基于SDN技术的ServiceChain实现安全资源池化,灵活部署,提高安全设备的复用率。基于不同业务,灵活设计流量路径,哪里需要引流到哪里,也可以基于不同厂商的设备,实现负载均衡。这样的部署之后改变了传统的模式,单点故障也降到了最低。
安全区域边界部分,1.0的网络安全划到网络安全区域边界,在安全区域边界这块,等保2.0里对无线网络做出来明确的要求,1.0里对这块涉及的比较少,而且默认的情况下只允许受控的通信,1.0建设过程中,发现很多用户在各个边界防控策略是悬空的,或者说部署了一些策略,但是策略特别不精细,后面也有案例会跟大家介绍一下。而且安全区域边界部分,对未知的新兴的网络攻击行为作出明确的标准要求,能力的要求,垃圾邮件明确在标准里面进行了细化。
举一个例子,我们在这部分安全区域边界部分,在建设过程中,在方案里我们发现出现问题的时候,我们很难定位到具体的人员,可能我们知道IP地址是什么,但是IP地址对应的是什么,或者出现问题之后,我们很难及时去把它阻断或者把人找到,然后对设备进行阻断。锐捷提供了一个组合的方案,态势感知平台结合SDN,再结合身份认证机制,目的是当出事之后,我们能快速的用终端,识别到终端是谁,同时依据终端交换机的端口,能让端口直接断掉,每一个交换机的端口都是安全防御的一块。
另外一个建设的困惑是现阶段大家发现越来越多的挖矿、勒索病毒越来越多,而且变种是不断出现,今年给两三百个用户进行过变种的问题,而且基于特征库的手段,是滞后于攻击手段的,如果说没有特征库,杀毒软件或者边界设备、网关等等,识别不到病毒或者是攻击。这种情况下,锐捷提出来一个动态防御系统的方案,它是不需要依赖于任何特征库的,它是基于行为的模型来分析。真实的服务器生成大量虚假的动机,正常的业务只能访问真实存在的IP,如果说有一个访问对我们虚拟生产的IP机连接,那就是异常行为。
比如说在会场有好几个门,左边这几个门其实我们现在都是关闭的,至少会场的人不会从那里进来,如果说一会儿有个人从左边的门进来了,那他可能不是我们会场的人。或者家里正常从大门进来,有一天从窗户进来了,那可能就是小偷了。行为模式的分析,不用依赖于特征库,对于行为的分析就发生攻击,它的速度特别快,也不依赖于必须进库之后才能发现问题。
这是案例,我们在客户端部署了几个小时,发现11万次的攻击威胁,针对病毒常见使用的高危端口进行探索,我们登到攻击源上,这个攻击源是客户内部服务器,我们登上看了一下,发现SPOOLSV,这是一个打印进程,用45端口,如果说不进行进一步分析或者说一看是正常的,就不管了。但实际上进一步分析,这个文件存的文件夹是在这个目录下,这是异常的。
安全计算环境部分,这是变化过程,因为时间有限,不细说了。等保2.0里取消了根据记录数据进行分析并形成审计报表,原来1.0里是有强制要求的,包括对漏洞检测能力的要求。这个过程中,我们也举一个案例,实际等保建设过程中或者实际安全运维过程中,很多系统无法实现双因素的认定要求,缺乏统一身份认证管理体系,我们用这个密码有一个手机验证,这是比较简单的认证,我们有的系统都没法改,或者再加指纹的认证或者虹膜的认证。锐捷提供了基于密码、短信、APP等多重身份认证。这个过程中不知道系统到底有什么漏洞,不知道漏洞造成什么危害,也不知道有没有被黑客攻击,而且重保期间心里是没底的。
锐捷在这块提供了全套的安全服务的方案,说一个案例,这个客户在护网过程中,从互联网上给客户做了渗透测试,发现用户网站存在漏洞,我们入侵到管理后台,通过管理后台再入侵到数据库,进一步可以控制数据库,整个服务器。通过互联网登陆内网,发现很多服务器存在漏洞,而且从右边图可以看出来,管理员可以通过密码破解出来,而且可以显示出来,因为有漏洞,才会把英文名字显示出来。
再进一步发现内网有很多服务器上中了大量病毒,而且时间是3月份就中了,windows目录下有很多随机命名的文件,修改了系统的服务,系统的注册表,系统的启动项等等,普通杀毒软件杀不了,必须是专门清除的方式才能清除掉。
最后是安全管理中心,明确了三权分立的标准,特定的管理区域,集中的管控各类安全设备,我们在等保建设过程中,更多是在乎安全问题,但是对于用户的业务问题、网络问题,可能关注比较少,我们就是为了合规,帮助用户合规,但实际上我们在这个过程中,除了合规之外,应该为用户的业务或者运维方面去考虑。锐捷运维与安全运维统一管理平台,可以在运维同时,就能发现安全问题出现在哪,比如清晰展示出来哪个设备有什么漏洞,正在攻击,这样就能把安全和运维结合在一起,而不是说运维是运维的,安全是安全的。
最后介绍一下锐捷基于动态安全体系的安全解决方案,简单说一下,分为三层。职能进化层,动态分析层,执行采集层。我们的目的希望这三层所有设备系统都能联动起来,比如执行采集层,是执行网络所需的安全策略,比如说我通过防火墙进行策略,通过采集各类流量、文件进行分析,分析完成之后,在动态分析层进行使用,动态分析层对下层提交过来的数据进行综合分析和研究,持续给出当前网络里面存在的威胁的风险评估,用户能清晰的掌握当前到底是什么情况,到底安全是90分还是80们还是60分。智能进化层是为下面两层提供持续能力的增强,比如功能特征进行分析,分析完了之后,会生成特征库,下发到防火墙上,下次有同样特征的攻击进来,就能及时识别和阻断。
(本文是锐捷网络安全产品事业部副总经理任春林在首届中国电子政务安全大会上的演讲内容实录,略有删减,未经本人确认。)
