【编者按】云计算技术快速发展,使政务云逐渐应用于城市规划、市政管理、应急指挥等领域,其面临网络安全威胁的风险不断提升。为解决政务云信息安全风险、提升政务云安全性,建设了独立运行的信息安全监管服务体系。通过集中安全检测、综合安全分析、安全监管资源池化定制、威胁情报综合利用、全面安全态势感知及独立安全运营支撑等服务模式,设计构建完善的政务云信息安全监管体系,解决了政务云的安全威胁风险。
浅析政务云信息安全监管
齐齐哈尔市信息中心主任 常凯
中国航天系统科学与工程研究院 张雅菲 齐俊鹏 禹东山
北京启明星辰信息安全技术有限公司 鲍春鸣
随着云计算技术的快速发展,中国信息时代也随之进入新的阶段。随着政务云业务量的不断增大,特别是在云计算环境中,数据管理权与所有权分离,从而使应用和数据高度集中,导致其面临的网络恶意攻击、数据泄露等安全问题不断显露。并且,政务信息系统的业务范围与民众息息相关,发生安全事故的影响面是巨大的,损失不可估量。所以,使政务云的安全性能得到有效的提高是推动政务云进一步发展的重要手段,也是政务信息系统高效使用的基本保障。
基于上述问题,本文对政务云的安全风险特征进行详细分析,并对政务云的信息安全监管进行有针对性的设计。
一、政务云信息安全监管需求分析
(一)风险与威胁分析
针对云平台自身,其存储空间中存放了大量云租户的数据,假设存储空间回收后剩余信息不能够得到完全清除,攻击者获取了远程管理云平台资源的账户登录信息,就很容易对业务运行数据进行窃取与破坏。同时,攻击者还可以利用政务云平台的资源优势对其它业务系统发起攻击。同时,政务云平台的云服务和应用程序均提供API接口,不安全的API就可能存在越权访问、注入攻击和跨站请求伪造攻击等问题。目前,不同的云平台使用不同的标准和接口,云租户的数据及应用系统很难相互迁移,从而导致了云租户对特定云服务商的过度依赖,数据迁移将付出过高的代价。
针对云平台的用户,内部人员、应用厂商、网络设备厂商等各类人群均可能通过貌似合理的方式,通过一定的手段接入云平台,这类威胁破坏面广、力度大,可辐射其整个云环境;而电子政务云预期承载大量的业务应用,业务及数据高度集中,单个云租户自身的安全问题很容易扩散至整个云平台,容易导致平台云资源滥用。
针对网络安全攻击行为,高级持续性威胁(APT)通常隐蔽性很强,一旦APT渗透进政务云平台内部,建立起桥头堡,即可源源不断地偷走大量数据。另外,很多用户需要有7×24小时的不间断服务,这就使得互联网中的一大威胁——分布式拒绝服务(DDoS)显得尤为突出。政务云平台由于需要对互联网公众用户提供各类政务服务,必然要面临上述互联网侧的拒绝服务攻击威胁。
(二)信息安全监管需求分析
基于电子政务云平台所面临的风险与威胁分析,可将电子政务云信息安全监管服务的建设需求分为6类。
1、集中安全监测服务能力的需求:通过集中安全监测,对云计算平台及各类安全事件进行实时监控,并进行有效处理。
2、综合安全分析服务能力的需求:利用基于大数据技术的安全监管分析工具实现对海量安全要素的快速高效批量处理,准确识别并挖掘各类攻击行为或违规通信及操作行为,定位薄弱风险点,以支撑安全加固操作。
3、安全监管资源池化定制供应服务能力的需求:通过信息安全监管资源池化后定制化供应服务的能力建设,提供可选的适应不同安全需求的安全技术手段,实现对云计算环境深度集成覆盖。
4、威胁情报综合利用服务的需求:通过威胁情报综合利用服务的能力建设,实现以安全威胁识别分析与情报利用为核心的快速响应能力建设,与现有安全能力形成有机安全联动机制,达到对各类安全威胁与风险的快速响应与处置。
5、全面安全态势感知服务能力的需求:通过对全局安全态势要素的采集与处理,实现全方位覆盖的安全态势感知水平。
6、独立安全运营支撑服务能力的需求:通过专业技能和安全工具,覆盖云平台自身并全面覆盖各政务云租户的定制化安全运营支撑能力需求。
二、信息安全监管服务能力总体设计
通过信息安全监管服务能力的整体建设,应能覆盖电子政务云集中信息安全监管能力的诉求,同时应充分利用云平台原有安全能力建设的良好基础,实现有机整合,满足集中监管、独立运营、全面覆盖的信息安全监管能力建设要求,为电子政务云及承载应用的稳定运行提供高效能、高可靠、灵敏快速的信息安全服务支撑保障能力。
(一)总体框架
政务云总体设计框架图
信息安全监管服务由安全态势感知服务、威胁情报综合利用服务、安全监管资源池化服务、独立安全运营支撑服务、集中安全监测服务、综合安全分析服务六大核心组成部分。其主要提供以分析为核心的安全态势能力、以情报为核心的威胁管控能力、池化的安全监管资源分配能力、定制化的安全运营支撑能力、供应核心安全能力、集中安全监测及支撑的综合安全分析服务,与现有的各类安全能力及计算资源充分整合,采集所需的安全分析数据,并将态势监管数据应用于安全技术能力实现及安全策略调整,实现闭环的安全监管机制。信息安全监管中心同时着重于业务与数据安全的监管,从而实现数据全生命周期安全监管、业务服务可持续性供应、安全风险可控制、安全事件可追溯的电子政务云安全监管服务目标。
(二)信息安全监管职能目标
信息安全监管中心职能示意图
政务云信息安全监管服务能力的实现应通过建设信息安全监管中心组织,引入新型信息技术和人员服务投入,实现以信息数据为主体依据的网络安全体系化运营,用以对抗新型安全威胁、提升网络安全监测预警发现能力和应急响应能力,解决当前政务云环境中开放、复杂的网络安全问题,实现集中化的信息安全监测能力、综合性的安全分析能力、定制安全资源池化供应、威胁情报综合利用能力、全面安全态势感知能力、独立安全运营能力等安全目标。
(三)集成配合
电子政务云信息安全监管服务供应既实现独立的安全监管能力,又与现有的政务云平台、承载业务、平台运营团队等有机集成配合,形成闭环的安全监管处置运维支撑体系。
安全监管处置运维支撑体系
信息安全监管组织通过按需供应的信息安全监管服务,履行信息安全监管职能,不受政务云平台、云平台运营方管理,实现独立的安全监管,避免资源与权限的过度集中。
同时信息安全监管服务能力与外部配合关系如下。
1、电子政务云:信息安全监管组织通过供应信息安全监管服务,采集政务云平台基础计算环境及承载各委办局业务应用的安全要素数据,包括日志、配置、告警、性能等数据,信息安全监管中心利用采集的各类安全要素数据,进行综合处理、关联分析、态势展现等,并指导监督政务云平台进行安全建设、整改、策略调整等。
2、电子政务云运营方:信息安全监管组织通过供应信息安全监管服务,综合分析各类安全事件、脆弱性信息等,通过威胁情报生成及利用、综合安全场景建立及告警输出、安全风险评估等手段生成安全处置任务,通过政府授权或认定的方式提供给云平台运营方,供其进行安全处置;云平台运营方处置后将处理结果反馈给信息安全监管中心和政府,实现双向闭环的任务下发-处理反馈机制,通过信息安全监管中心提供的实时监控分析、快速风险识别、综合态势感知等能力,实现快速的安全问题响应及处置。
3、电子政务云配套的安全技术手段:信息安全监管组织通过供应信息安全监管服务,采集现有防火墙、IPS等各类安全能力的安全数据包括安全漏洞、病毒信息、入侵事件等,并结合云平台自身的各类安全要素数据进行综合关联分析,输出威胁风险信息数据,并用于指导各类安全产品的安全策略调整,作用的发挥等。
4、外部安全支撑团队:信息安全监管组织通过供应信息安全监管服务,承担起日常的信息安全监管职能并协助平台运营团队实现应急响应及安全处置工作,同时配合电子政务云建立多层次的安全应急支撑体系,包括现场级的日常安全运营及外部专家级安全支撑团队。外部安全支撑团队将针对重大安全事件、综合性强的复杂安全问题进行专业级技术支撑。
(四)核心服务支撑技术
信息安全监管服务能力由如下核心服务技术能力予以具体支撑实现。
1、信息安全监管服务体系中安全监管服务能力的弹性、池化的安全服务能力实现。这种弹性表现在功能、规模和时间三个维度,自动、请求和确认三种形式,从而使云安全监管服务能力具有全方位的自治特征,可以满足针对云平台及各租户、承载业务的个性化安全服务能力输出需求按需分配。
2、云计算模式下的安全态势感知服务技术。采用具备主动、被动安全要素采集能力,可有效适应云计算平台的特性,实现指定安全要素数据的有效采集,同时通过适配云平台环境的安全态势分析工具的集成,针对云平台环境安全要素数据的有效关联分析,针对云计算平台的安全场景梳理及威胁识别,以及符合云计算平台监管展现要求的覆盖宏观及微观层面的安全态势感知服务技术。
3、传统安全监管资源的虚拟化实现服务技术。通过安全技术能力的虚拟化实现,特别是访问隔离技术的虚拟化,使得传统的安全技术能力不仅可以覆盖云平台的外部环境,还可以兼顾云计算平台、云租户、承载业务与数据的安全需求,实现对云计算环境下设备和用户的安全保障。
4、针对云平台中虚拟化层的脆弱性评估服务技术。虚拟化是实现云计算的一项关键技术,由于虚拟化作为一种技术,其本身也可能存在安全缺陷。通过实现针对虚拟化环境的脆弱性评估服务,可从不同的功能粒度对虚拟技术进行划分,开发针对不同的虚拟技术的脆弱性评估服务,从而满足云计算环境下的安全评估、审计、监管需求。
三、信息安全监管服务能力详细设计
(一)安全态势感知
电子政务云的建设涉及资产、组网、元素等内容,十分复杂,涉及到的安全问题也层出不穷,因此应建设全面的安全态势感知能力,通过直观可视化方式展现云计算平台所面临的安全问题。
安全态势感知服务应能覆盖电子政务云平台网络中的安全设备或安全子系统,实现各类型、多厂商安全监测防护资源的整合,安全态势感知服务能力可覆盖全网攻击行为信息、资产及业务脆弱性信息、异常流量信息、威胁情报及未知威胁等信息,并在此基础上综合分析呈现,形成包括被攻击对象和攻击源识别、脆弱性识别、攻击过程及影响分析、安全风险态势等在内的多视角、全方位、全天候的安全态势感知能力。
1、安全态势要素集成
通过安全态势要素集成可以采集电子政务云及承载环境、应用系统中海量与安全相关的异构数据。
此外,在电子政务云项目中,将通过威胁情报综合利用服务提供外部威胁情报数据及部分内部安全数据,同时利用平台自身的安全态势采集能力可以实现内部安全数据的采集。
通过在电子政务云网络关键位置进行安全态势要素采集,充分利用现有各类安全能力可对安全漏洞、攻击行为等安全威胁进行监测。
2、安全态势可视化展现
安全态势可视化展现服务提供网络安全总体态势的展示和呈现。系统具备全方位态势感知的功能,感知流程至少包括4个步骤,分别是各类安全要素信息的获取、面向态势感知的集中数据分析、多维度态势感知的呈现、预警通告及处置。
安全态势可视化展现服务是一个全面信息收集、融合处理感知安全状态及风险并进行态势可视化呈现的过程,通过连续的信息采集分析不断更新对目标网络安全态势的认知理解,掌握安全状态、识别发展规律、认识威胁预警。因此态势感知至少应形成由多个维度组合构成的态势感知体系,这些维度分别是资产感知、攻击感知、脆弱性感知、资产漏洞感知、恶意IP、运行感知、威胁感知和风险感知、总体态势感知,综合这8个感知形成全方位的安全态势总览。
(二)综合安全分析
1、事件深层钻取
综合安全分析服务将海量风险情报数据按照完整的逻辑顺序进行归类整理。数据按照整体区域状态显示、区分地区显示,具体问题显示。多层级方式展现问题,可以用全局的视角查看深层潜藏事件,实现事件分析数据钻取的整体流程:“整体-区域-细节-源数据”。
2、恶意代码分析
针对发现的安全威胁,综合安全分析服务追溯原始的数据包,对原始数据完成取证。通过对原始数据的还原和解析,数据回放引擎可完成对恶意代码的分析。对于可疑流量进行恶意流量分析和历史关联分析,发现攻击行为和步骤。
3、攻击路径分析
安全服务人员通过综合安全分析服务对现有攻击场景进行总结,建立全面的场景知识库,然后基于汇总的实时报警信息检测潜在的攻击行为。综合安全分析服务采用启发式场景重建技术,主要原理包括:
对于汇总到的报警事件,首先基于已有的攻击场景知识库进行报警事件间的关联。
对于匹配中的攻击序列,如果新接收到的报警可以与现有攻击序列匹配,则直接进行关联;如果不能与现有攻击序列匹配,但能够与某个攻击序列的后续事件匹配,则将新接收到的报警与该序列匹配,并产生一个“虚报警”标志缺失的事件类型。
根据攻击路径图的描述确定虚报警的事件类型,并根据该虚报警前后相关报警的时间确定该虚报警时间范围的描述,再利用原始数据进行回溯分析,查找是否存在漏报的报警事件,如果找到则将其重新加入到攻击序列中,直至匹配完整个攻击路径图。
通过综合安全分析服务进行事件的深度挖掘、攻击路径及恶意代码分析,构建综合安全分析场景,并进行针对性的安全分析策略设置与调整,可发现电子政务云潜藏的深层安全问题。
(三)集中安全监测
集中安全监测服务是针对云平台及承载的委办局租户业务,利用现有的安全技术手段,提供不间断安全实时监控。主要包括事件监控、综合分析、分级处理等。针对安全事件隐藏的问题与云平台运维团队一起进行具体处置工作。
通过安全产品并结合信息安全监管工具,实时对云平台计算环境及承载业务所产生的各类安全事件进行监测,对各类安全事件进行评估,并依托成熟的事件分级分类标准,对安全事件按照不同的级别进行相应的流程处理,包括对低等级安全事件的归并、过滤,对高等级安全事件的告警输出,协同云平台运营方进行运维处理,并按计划对安全监测效果进行总结报告等。
集中安全监测服务通过采集资产信息,使网络内具备IP的所有可检测资产进行联动管理,使之与相关设备发现的漏洞、配置问题、入侵事件等安全威胁进行关联,实现安全数据的结构化统一管理。
对于各类安全事件进行准确高效的检测,并进行综合威胁分析,实现对于威胁事件线索挖掘,为系统运营提供数据支撑,从而对威胁进行有效处理。
(四)威胁情报综合利用
为了更有效地应对不断更新变化的新型攻击行为、0DAY漏洞、迅速变化的恶意代码,建立基于威胁情报的获取和应用的安全流程体系,实现主动的、前瞻性的安全监管及响应处置能力,电子政务云需充分引入并利用威胁情报综合利用服务,打破攻击者的先手优势、缩小攻防之间的不对等,从被动应对突发事件、应急解决问题转变为预见问题、提前进行防范。威胁情报服务能力适用于电子政务云的安全监管能力建设工作,建立独立运行又可被关联应用于整体安全监管能力体系的、覆盖云平台及业务的威胁情报综合利用服务是一个非常重要的关键环节。
威胁情报综合利用
威胁情报服务采用了全新的大数据技术,从攻击者、被攻击者、样本、事件等多维视角进行钻取分析,追踪溯源,让潜藏的威胁无所遁形。系统通过与云端或离线的威胁情报配合,碰撞实时或历史的威胁线索与行为日志,提供政务云全面的威胁感知能力。该系统生成的用户侧威胁情报信息可分发于电子政务云现有的IPS、安全网关等安全设备上,形成完整、闭环的整体安全联动能力。
威胁情报管理服务将覆盖威胁情报采集、分析优化、关联利用、综合展现等针对威胁情报供应的核心需求。
1、威胁情报采集生成
威胁情报的采集生成服务是整个威胁情报服务供应能力正常运转的基础,通过威胁情报的采集为后续的情报生产和输出提供基础的元数据。威胁情报的采集主要包括外部数据采集、内部威胁情报生成、专业人员分析数据三个部分。威胁情报的基础数据包括IP地址、域名和样本三个主要的数据类型,通过对这些数据的分析和关联,形成完整的威胁情报信息链。
威胁情报的数据采集方式以自动化外部数据采集为主,同时结合安全态势感知服务过程中所生成的内部威胁情报,辅以威胁情报专家的人工分析。威胁情报的主要外部来源可以包括自有云端情报采集系统的循环挖掘、第三方商业情报交换、开源情报(开源沙箱、技术论坛、开源样本网站、安全从业人员社交媒体、开源情报网站等)、用户和产品上报等。威胁情报的外部情报数据主要通过云端情报接口接入专业的定期更新的威胁情报数据,通过机器学习和NLP算法分析出所需要的专属威胁情报信息,达到威胁信息提取加工的目的。同时也可以定制化接入电子政务云其它可供给的情报数据,如国家监管单位、政府机构内部下发的行业情报信息、安全预警信息、安全通告数据等。
2、威胁情报分析优化
来自于不同来源的威胁情报要经过清洗、分析、关联、鉴定、入库等一系列过程之后才会发布使用,这一过程将通过威胁情报分析优化服务完成。威胁情报分析优化服务在对采集的海量恶意代码样本进行行为分析的基础上,综合各类分析数据,结合恶意代码的执行过程、行为特征、生成关系、事件关联和二进制漏洞利用情况等关键数据,挖掘海量样本之间在代码行为上的同源关系,以及与已知攻击组织的关联关系,为及时发现攻击组织新动向,提供攻击组织攻击分析报告以及新情报的IOC标定提供有力支撑。
威胁情报分析优化服务对各种高危或关注的情报源进行二次挖掘,并将二次挖掘的情报再次进行综合分析,主要包括已知黑客组织情报监测、重点/流行样本分析监测、重点客户来源样本监测、白名单数据监测。
威胁情报分析优化服务可以从事件驱使型感知,向情报引导及风险驱使型感知转变。利用威胁情报的发现与更新,以威胁线索、异常行为、失陷主机为出发点,以空间和时间广度为分析的数据基础,从攻击面与被攻击面、攻击者与被攻击者的方向关系,协助信息安全监管人员实现对各类事件的快速追溯和深度分析判定的能力。
3、威胁情报关联利用
威胁情报关联利用服务中,通过对全球网络威胁态势的监测、攻击组织的跟踪、各种威胁信息的分析处理积累了大量的威胁情报数据。威胁情报关联将外部导入的专业威胁情报信息、监管机构及行业发布的专属安全通告数据、经过安全监管分析人员人工分析的威胁信息,以及安全态势感知服务所监测的内部产生的违规操作行为规则、告警等形成相关的预警进行匹配、关联,实现智能威胁信息的充分利用。威胁情报关联利用服务可提供的威胁情报信息包括黑白名单库、攻击特征库、安全配置基线库、病毒特征库、关联规则库、安全漏洞库、恶意URL/IP地址库、恶意DNS库和用户身份信息等,均可以在不同程度上为现有的各类安全技术手段所利用,提升其主动性的安全处置能力。
4、威胁情报集成展现
通过威胁情报集成展现服务可提供对威胁情报的可视化查询展现能力,可综合展现对APT攻击、勒索软件、蠕虫木马对应IP地址、URL的判断;能够识别通过DGA算法生成的恶意域名;能提供攻击者信息标注,如恶意地址来源、恶意家族信息、黑客团伙情报、情报置信度评估、风险等级、定向攻击判定等;可提供对威胁情报上下文信息的丰富性展现能力,包括是否APT、针对行业、关联样本、注册人信息、解析IP、关联组织等。可提供对威胁情报检测的命中威胁分析能力,并对分析结果进行可视化展现,展现分析内容包括命中次数、命中趋势、主要命中的威胁类型等。
通过威胁情报集成展现服务可提供对威胁情报信息的批量检索及可视化展示能力,同时可以根据报表报告统计的实际需求定制化的以xml、pdf、excel等标准文档格式提供威胁情报数据供归档、分析等使用。
四、结论
本文通过对政务云的安全风险特征进行详细分析,明确了政务云信息安全监管的必要性,并对政务云信息安全监管进行了详细设计。通过对政务云进行合理、全面的信息安全监管,能够最大程度保障政务云的信息安全,避免因安全问题造成的损失。
本文刊登于《网信军民融合》杂志2020年2月刊
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。