網(wǎng)絡安全態(tài)勢感知在稅務系統(tǒng)中的部署和應用

０引言傳統(tǒng)的網(wǎng)絡安全預防手段已經(jīng)無法滿足如今多樣化的入侵安全問題，因此很多研究者利用機器學習、特征選擇等技術來提高網(wǎng)絡安全。夏明玉和李巧玲等人分別提出基于CNN的網(wǎng)絡入侵檢測方法，吳曉平等人提出了一種結合Spark框架無指導的入侵檢測方法，楊曉峰等人則提出了一種改進的隱馬爾可夫模型入侵檢測方法。本項目利用網(wǎng)絡安全態(tài)勢感知系統(tǒng)收集所管理網(wǎng)絡的資產(chǎn)、流量、日志以及網(wǎng)站等相關的安全數(shù)據(jù)，經(jīng)過存儲、處理以及分析后形成安全態(tài)勢及告警，輔助了解所管轄網(wǎng)絡安全態(tài)勢，并能對告警進行協(xié)同處置。系統(tǒng)建設為管理工作提供了強有力的技術支撐，可更好地落實信息安全的管理。１項目概況1.1現(xiàn)狀某市稅務局無論是在市級政務信息化還是全國稅務行業(yè)信息化中，都屬于建設水平較高的單位。該稅務局目前包含三張網(wǎng)和兩個數(shù)據(jù)中心。其中，三張網(wǎng)分別為互聯(lián)網(wǎng)（主要包含對外網(wǎng)站）、業(yè)務專網(wǎng)（稅務專網(wǎng)）和外聯(lián)網(wǎng)（對接銀行、社保等單位），兩個數(shù)據(jù)中心分別為主機房和備份機房。三張網(wǎng)均主備部署在兩個數(shù)據(jù)中心。網(wǎng)絡架構如圖1所示。圖1稅務網(wǎng)總架構互聯(lián)網(wǎng)主要用于辦公上網(wǎng)和對外提供稅務網(wǎng)站、APP和微信小程序服務。業(yè)務專網(wǎng)是覆蓋全市、市區(qū)兩級稅務機關單位的城域?qū)＞W(wǎng)。外聯(lián)網(wǎng)是與銀行、社保和支付機構等專業(yè)單位的專線網(wǎng)絡。對于這三個網(wǎng)絡，防護重點如下。對于互聯(lián)網(wǎng)，由于稅務局是國家的重點機關，屬于關鍵信息基礎設施，因此需要重點防護來自外部的各種攻擊。業(yè)務專網(wǎng)是稅務機關處理業(yè)務的主要網(wǎng)絡，也是稅務機關主要信息資產(chǎn)和重要信息系統(tǒng)（部分涉及保密）所在地，并向上對接國家稅務專網(wǎng)。因此，這個網(wǎng)絡的防護重點是規(guī)范辦公人員的操作行為和數(shù)據(jù)安全。外聯(lián)網(wǎng)是與各類金融機構和其他政府部門信息通信的網(wǎng)絡，業(yè)務單一，幾乎都是服務器之間的自動化操作，可以執(zhí)行更嚴格的白名單策略，一旦發(fā)現(xiàn)不可信的操作，立即告警。經(jīng)過多年的建設，某稅務局初步形成了互聯(lián)網(wǎng)區(qū)域完善的邊界防護體系，包括下一代防火墻、鏈路負載均衡、入侵防御以及應用層防火墻WAF等，也建設了大量流量分析體系，包括威脅情報、網(wǎng)絡審計、數(shù)據(jù)庫審計以及入侵檢測IDS等，還建設了從外網(wǎng)發(fā)起的網(wǎng)站檢測服務（云監(jiān)測服務）。主備機房相比，主機房安全產(chǎn)品略多，備份機房防御相對薄弱?；ヂ?lián)網(wǎng)方面建設投資較多，防范能力較強，但是業(yè)務專網(wǎng)和外聯(lián)網(wǎng)方面尚沒有做到有針對性的防御。1.2建設目標項目建設一方面落實國家層對信息系統(tǒng)運行狀況和信息安全狀況信息的采集，建立國家級的信息安全工作聯(lián)動機制；另一方面，結合某稅務三網(wǎng)二中心的實際情況，建立完備和有針對性的防御體系和應急響應機制，實現(xiàn)全市稅務體系層面信息安全聯(lián)動機制。通過大數(shù)據(jù)技術實現(xiàn)稅務業(yè)務專網(wǎng)和互聯(lián)網(wǎng)等多個關鍵網(wǎng)絡節(jié)點和信息資產(chǎn)數(shù)據(jù)的采集和存儲，并對相關數(shù)據(jù)進行綜合處理和關聯(lián)分析，實現(xiàn)對稅務系統(tǒng)綜合網(wǎng)絡安全風險態(tài)勢、涉稅業(yè)務資產(chǎn)風險以及涉稅業(yè)務違規(guī)操作等安全風險的感知，通過多種可視化技術統(tǒng)一呈現(xiàn)稅務系統(tǒng)綜合安全態(tài)勢。２建設方法2.1硬件和產(chǎn)品部署探針方面，國家層要求部署威脅情報子系統(tǒng)1套、僵尸木馬蠕蟲探測設備2套、網(wǎng)絡審計2套、WAF流量采集2套、資產(chǎn)發(fā)現(xiàn)組件2套、漏洞掃描系統(tǒng)2套和TAP交換機2套。實現(xiàn)對各類網(wǎng)絡協(xié)議流量進行威脅檢測，其能力包含但不限于漏洞利用檢測、WebShell攻擊檢測、木馬與間諜軟件檢測、惡意文件檢測和異常報文流量檢測等。流量采集功能模塊應支持對各類網(wǎng)絡協(xié)議做解析還原，以供態(tài)勢感知平臺做深度分析和威脅事件的追蹤溯源。這些產(chǎn)品應部署在業(yè)務專網(wǎng)上，實現(xiàn)對國家稅務專網(wǎng)的信息安全防護能力的提升。所配硬件基本滿足某稅務雙數(shù)據(jù)中心的要求。另外，再建設一套集成采集互聯(lián)網(wǎng)、業(yè)務專網(wǎng)和外聯(lián)網(wǎng)三個網(wǎng)絡的一體化的態(tài)勢感知平臺，實現(xiàn)信息安全事件的統(tǒng)一管理。通過上述分析，某稅務局通過增加部分設備和調(diào)整網(wǎng)絡架構，可更好地落實國家層面提升各省網(wǎng)絡安全保障能力的工作精神，均衡某稅務局三網(wǎng)雙中心的安全防護能力，形成整體性較高的保障能力。2.2安全管理體系建設從態(tài)勢感知產(chǎn)品功能角度看，某市稅務局應建立一套以態(tài)勢感知為中心的信息化管理體系和信息安全運維體系。信息化管理體系方面應將設備的上線、運行和退役與信息安全相結合，在設備上線的同時即開始進行流量監(jiān)控分析，以及時發(fā)現(xiàn)非法設備入網(wǎng)。信息安全管理體系上，整個運維團隊不再各自為戰(zhàn)，而是根據(jù)態(tài)勢感知發(fā)布的總體預告警，建立分等級的安全運維和應急響應預案體系。一切工作按照預案執(zhí)行，并在執(zhí)行過程中不斷總結提高，修訂預案體系，形成運維知識庫。３建設內(nèi)容3.1總體架構項目中的互聯(lián)網(wǎng)區(qū)安全保障的總體架構如圖2所示。業(yè)務專網(wǎng)區(qū)安全保障總架構，如圖3所示。圖2互聯(lián)網(wǎng)區(qū)安全保障架構圖3業(yè)務專網(wǎng)區(qū)安全保障總架構本次項目主要是通過國家層態(tài)勢感知項目的建設，同步補全和提升互聯(lián)網(wǎng)區(qū)域和業(yè)務專網(wǎng)區(qū)域的流量監(jiān)測體系的探測能力。外聯(lián)區(qū)因人工操作較少，幾乎沒有直接暴露的攻擊面，故延續(xù)原有的防護體系。某稅務局建設某市稅務跨越三網(wǎng)雙中心的一體化態(tài)勢感知平臺，形成了市區(qū)兩級的聯(lián)動體系，故在硬件上，結合國家層項目，新增設備如表1所示。表1新增設備的具體情況3.2探針體系本次項目引入了大量探針體系，其作用如下。3.2.1漏洞掃描探針漏洞掃描探針以綜合的漏洞規(guī)則庫為基礎，采用深度主機服務探測、口令猜解等方式相結合的技術，實現(xiàn)了將系統(tǒng)漏洞掃描和數(shù)據(jù)庫漏洞掃描于一體的綜合漏洞評估系統(tǒng)。3.2.2僵木蠕探針僵木蠕探針彌補了傳統(tǒng)安全防護產(chǎn)品對木馬和僵尸網(wǎng)絡檢測能力上的不足。僵木蠕探針采用鏡像流量分析引擎，可處理IP分片并對TCP流進行重組，可有效檢測到各種隱蔽性較高的攻擊手段，能夠?qū)崟r檢測木馬文件傳播、僵尸主機行為以及入侵攻擊在內(nèi)的攻擊行為，并且通過靈活的自定義檢測規(guī)則和疑似木馬樣本捕獲功能實現(xiàn)對疑似木馬行為的監(jiān)測和分析。3.2.3網(wǎng)絡審計探針網(wǎng)絡審計探針可針對常見的網(wǎng)絡協(xié)議進行內(nèi)容和行為審計，主要包括對HTTP瀏覽與發(fā)布，以及對WebMail、IMAPSMTP、POP3、FTP、SMB、NFS以及Telnet等協(xié)議的審計。除了能審計常見的網(wǎng)絡協(xié)議外，網(wǎng)絡審計探針還支持330種以上國內(nèi)常見應用協(xié)議行為的自動識別與審計記錄，基本信息主要包括TCP五元組、應用協(xié)議識別結果以及IP地址溯源結果等。它可根據(jù)審計級別配置，實現(xiàn)不同協(xié)議的不同粒度審計要求，主要包括文件共享、郵件、FTP以及HTTP等。網(wǎng)絡審計探針提供了一套完整的機制來實現(xiàn)實名審計，主要包括主機發(fā)現(xiàn)和IP與用戶名對應。網(wǎng)絡審計探針提供流量分析功能，產(chǎn)品內(nèi)置NetFlow接收引擎，分析NetFlow信息，統(tǒng)計分析當前網(wǎng)絡流量狀況。因此，它可利用此功能分析網(wǎng)絡中的應用分布、網(wǎng)絡帶寬使用情況等。網(wǎng)絡審計探針通過內(nèi)置的強大URL分類庫、攻擊檢測規(guī)則庫和應用識別庫，可對網(wǎng)絡上近百種應用協(xié)議進行自動識別審計，及時發(fā)現(xiàn)不良言論、暴力、毒品、色情以及游戲等訪問行為和攻擊行為。3.2.4WAF探針WAF探針具備先進的全透明檢測架構，即不管是網(wǎng)絡層還是業(yè)務層都感受不到WAF探針的存在，極大地簡化了部署。全透明檢測架構能高效工作主要依靠多核并行的空間協(xié)議棧和流模式的檢測引擎兩個核心技術。WAF探針的空間協(xié)議棧是多核并行的，協(xié)議棧的性能隨著處理器的核心數(shù)量的增加線性增長。在硬件核心處理器向數(shù)量越來越多的方向發(fā)展而單核主頻停滯不前的時代，該協(xié)議棧可以充分發(fā)揮硬件處理器的性能。該協(xié)議棧同時跟蹤IPv4和IPv6的會話，并且具備基于目標服務器操作系統(tǒng)強大的報文重組能力。該協(xié)議棧會以正確的TCP序列處理數(shù)據(jù)，并且采用和目標服務器完全相同的策略處理重疊報文，可有效防止利用重組特性缺陷的攻擊。WAF探針使用流模式檢測，可以解析、重組HTTP協(xié)議，但不需要終結HTTP會話。WAF探針可以實現(xiàn)流模式下完整的HTTP協(xié)議重組，有效解決特征跨越多個報文的攻擊逃逸問題。實際測試表明，即使攻擊報文是逐個字節(jié)發(fā)送給目標服務器，WAF探針依然可以可靠阻斷。3.2.5資產(chǎn)探針資產(chǎn)探針采用高效、準確的識別技術，可實現(xiàn)對各類資產(chǎn)設備安全配置的自動化檢查、分析等功能，并提供專業(yè)的核查報表與相關安全配置的建議，幫助人們及時發(fā)現(xiàn)安全配置的脆弱性，滿足新業(yè)務系統(tǒng)上線檢查、第三方入網(wǎng)安全檢查、合規(guī)性安全檢查以及日常安全檢查等多個維度的需要。資產(chǎn)探針內(nèi)置大量符合等保等級規(guī)范要求的安全配置檢查模板，結合獨特的自定義安全配置檢查功能，具備對安全規(guī)范更新和網(wǎng)絡系統(tǒng)建設發(fā)展的快速適應能力。3.3態(tài)勢感知系統(tǒng)網(wǎng)絡安全態(tài)勢感知系統(tǒng)收集管理網(wǎng)絡的資產(chǎn)、流量、日志以及網(wǎng)站等相關的安全數(shù)據(jù)，經(jīng)過存儲、處理、分析后形成安全態(tài)勢及告警，輔助人們了解所管轄網(wǎng)絡安全態(tài)勢，并能對告警進行協(xié)同處置。利用現(xiàn)有的安全系統(tǒng)和安全設備，它可逐步演進為“安全數(shù)據(jù)集中存儲、態(tài)勢感知場景豐富、動態(tài)建模分析及可視化綜合展示”的高價值安全信息存儲及分析系統(tǒng)，加快對安全威脅的認知及和有效預警，達到實時態(tài)勢感知、準確安全監(jiān)測以及及時應急處置等目標，提升政府、企業(yè)等組織的風險識別和解決能力，進而提升整理網(wǎng)絡安全態(tài)勢感知能力。3.4體系建設在軟硬件采購、部署和二次開發(fā)基礎上，某市稅務局還做了以下體系建設工作。3.4.1值守機制自系統(tǒng)建設完成后，駐場信息安全工作人員開始對態(tài)勢感知系統(tǒng)進行值守。所有信息安全處置工作依據(jù)態(tài)勢感知所報預告警事件的處置預案進行，并將進行過程和結果重新記錄回態(tài)勢感知系統(tǒng)，形成值守處置知識庫。3.4.2信息資產(chǎn)全生命周期安全管控機制系統(tǒng)建成后，新增信息化資產(chǎn)（如PC、服務器、交換機等）先要在資產(chǎn)探針上進行登記，實現(xiàn)資產(chǎn)管理模塊與態(tài)勢感知的探針體系聯(lián)動。新增設備一旦上線，隨即從僵木蠕、系統(tǒng)漏洞以及配置安全等多個維度進行全方位監(jiān)管。態(tài)勢感知系統(tǒng)一旦發(fā)現(xiàn)未登記設備接入網(wǎng)絡，立即發(fā)出最高級別的告警預警。3.4.3信息安全責任落實和追溯體系系統(tǒng)建成后，某市稅務局落實了所登記的所有信息安全資產(chǎn)單位內(nèi)的責任人和運維單位的責任人。一旦發(fā)生信息安全事件，可根據(jù)態(tài)勢感知的溯源功能找到問題設備和響應的負責人，并可開展復盤推演，達到及時補救的效果。3.4.4操作行為管控制度僵木蠕探針可發(fā)現(xiàn)內(nèi)網(wǎng)用戶或互聯(lián)網(wǎng)區(qū)域用戶訪問非法網(wǎng)站和非法IP地址的狀況。系統(tǒng)建成后進行月度惡意網(wǎng)站訪問排名和約談機制，對于經(jīng)常發(fā)生訪問惡意IP地址和惡意網(wǎng)站的工作人員進行約談和勸誡?？傮w上，系統(tǒng)建成后原來大量的管理工作得到了強有力的技術支撐，可更好地落實信息安全管理。3.5攻防驗證效果系統(tǒng)上線后，聯(lián)合集成商和產(chǎn)品廠商共同進行攻防演練，結果如下。（1）系統(tǒng)上線后，通過WAF檢測設備共監(jiān)測到網(wǎng)絡攻擊告警2768次，主要包括SQL注入972次（35.11%）、掃描探測451次（16.29%）、溢出攻擊302次（10.83%）、瀏覽器劫持71次（2.56%）、跨站攻擊972次（35.11%）。對以上告警進行人工分析，共確認惡意IP地址58個。部分攻擊IP如表2所示。表2部分攻擊IP的具體情況（2）本次攻防演練期間，使用最多的攻擊工具是AWVS，其次是目錄遍歷工具和SQL注入工具。（3）僵木蠕探針上發(fā)現(xiàn)該稅務郵件系統(tǒng)的一個賬戶顯示弱口令登陸，郵箱用戶jsgs，郵箱密碼abcd1234。但是，此處登陸超過限定次數(shù)后，就必須輸入驗證碼，因此無法被爆破。已建議整改該漏洞，排查后發(fā)現(xiàn)該郵箱密碼已整改。（4）互聯(lián)網(wǎng)區(qū)資產(chǎn)7發(fā)現(xiàn)被惡意攻擊，通過對該數(shù)據(jù)包的觀察發(fā)現(xiàn)確實出現(xiàn)了內(nèi)網(wǎng)IP地址，但是后續(xù)并沒有其他的數(shù)據(jù)包，黑客并未獲取該服務器的權限。通過調(diào)查該IP地址，發(fā)現(xiàn)WebLogic版本存在問題。通過僵木蠕中的PaCap包可以判斷，確實存在回顯，說明攻擊已經(jīng)成功，黑客已經(jīng)拿到了內(nèi)網(wǎng)的地址信息。通過上述攻防演練成果可知，本次項目實現(xiàn)了多種新型探針分析，發(fā)現(xiàn)了原來不知道的問題和漏洞，并捕獲攻擊一次，效果顯著。４結語4.1項目效果整體系統(tǒng)以成熟產(chǎn)品為基礎，結合某稅務局的具體硬件現(xiàn)狀和管理需求進行了一定程度二次開發(fā)，項目建成后取得了以下成果。4.1.1豐富多維安全態(tài)勢系統(tǒng)立足客戶視角分別從全網(wǎng)、威脅、安全底圖、安全處置、資產(chǎn)、脆弱性、攻擊、僵木蠕、網(wǎng)站監(jiān)測以及終端10個視角進行安全數(shù)據(jù)采集、監(jiān)測、分析、研判和展示，能滿足實時態(tài)勢感知、準確安全監(jiān)測以及及時應急處置等目標，提升風險識別效率和快速處置能力。4.1.2安全事件一鍵溯源系統(tǒng)支持對安全事件的一鍵溯源，通過對五元組信息與設備地址、類型、負責人員等進行關聯(lián)，利用原始日志的線索取證、源IP與目的IP的信息交互，發(fā)現(xiàn)并生成安全事件的攻擊軌跡。4.1.3可視化分析場景管理通過零代碼界面配置可基于流量特征進行網(wǎng)絡安全狀態(tài)關聯(lián)分析，通過驅(qū)動場景引擎進行情報匹配分析，完成安全事件基于特征檢測的攻擊分析，挖掘基于內(nèi)置+自定義場景關聯(lián)規(guī)則，包括失陷、暴力破解以及賬號異常等多種場景的網(wǎng)絡共性異常監(jiān)測規(guī)則，方便客戶使用，同時支持根據(jù)目標網(wǎng)絡特性環(huán)境靈活自定義增加、刪除、修改定義場景規(guī)則。4.1.4多重安全分析系統(tǒng)通過動態(tài)采集流量行為日志，結合大數(shù)據(jù)算子算法和應用的場景規(guī)則庫，對全網(wǎng)進行追蹤溯源、告警、事件、脆弱性、威脅以及資產(chǎn)多維度的安全分析，并對響應的分析進行標簽處理，實現(xiàn)全網(wǎng)“點到線、線到面”的一體化調(diào)查分析工作臺，并輸出威脅IP建檔、資產(chǎn)畫像以及追蹤溯源等多重安全分析。4.1.5多維度資產(chǎn)視角系統(tǒng)從設備、應用以及業(yè)務等多個維度構建資產(chǎn)庫，能夠提供全面的資產(chǎn)視角對被監(jiān)管網(wǎng)絡進行資產(chǎn)查看，并支持基于多維度的資產(chǎn)視角查看被監(jiān)管網(wǎng)絡的風險、脆弱性等安全信息。4.1.6聯(lián)動式設備管理系統(tǒng)支持一鍵式聯(lián)動漏洞掃描設備、驅(qū)動漏洞掃描設備以及導入第三方報告等多方式的脆弱性監(jiān)測管理，并根據(jù)監(jiān)測信息關聯(lián)相應資產(chǎn)實現(xiàn)資產(chǎn)漏洞監(jiān)控展示。它支持防火墻、IDP等安全設備的策略集中收集、下發(fā)等集中式管理，可以動態(tài)實現(xiàn)一對多的策略分發(fā)攔截和封堵等功能。4.1.7多算法安全事件校驗系統(tǒng)通過安全事件準確性校驗機制，支持對僵木蠕檢測探針、入侵檢測探針、Web攻擊檢測探針以及DDoS檢測探針上報的安全事件進行進一步的