安全態(tài)勢感知系統(tǒng)

360企業(yè)安全集團 黃 海

安全態(tài)勢感知系統(tǒng)

360企業(yè)安全集團 黃 海

1 網絡安全監(jiān)控常態(tài)化

隨著信息技術發(fā)展，城市的建設速度正在加快，人民的生活也更加便利，各種網站、互聯(lián)網在線資源、移動互聯(lián)網應用正帶動整個城市經濟、生活的高速運行。但同樣也帶來了更高的風險。

由于互聯(lián)網信息技術的大量應用，大量重要信息資產暴露在互聯(lián)網開放的環(huán)境下，經常招致大量黑客的攻擊從而會導致：網站信息被篡改，出現反動言論、非法信息、不良廣告；網站服務中斷、無法繼續(xù)提供公眾服務；重要的公眾隱私數據泄露；重要的涉密信息泄露；重要企業(yè)的機密商業(yè)信息泄露。

這些事件均會對公眾生活造成負面影響，對政府形象造成巨大損害，同時也成為一大重要的社會不穩(wěn)定因素。

傳統(tǒng)的網絡安全技術更多注重網站或單位個體的安全檢測和防護，難以為管理者呈現完整的安全情況全景。由于安全問題的信息僅集中在各單位內部，導致常出現瞞報遮掩、不作為等行為，阻礙對信息安全不斷改進工作的進行。

針對這種情況，新型信息化城市急需建立起一整套安全監(jiān)控體系，對各種信息安全問題進行全面監(jiān)控，從整體安全視角對全市安全情況進行審查，并能知廣見微，針對個別信息安全問題進行細節(jié)分析，再協(xié)同各個單位和機構對問題進行及時處理。

1.1 重點單位監(jiān)測將持續(xù)強化

重要經濟區(qū)域的城市通常駐有大量國家和區(qū)域重點單位，為整個區(qū)域發(fā)展發(fā)揮了不可估量的作用。這些單位的信息安全問題將帶來重大的經濟和政治影響。因此，對相關單位需進行更高強度的持續(xù)安全監(jiān)控。同時，相關市民大量使用水電燃氣、行政管理等公眾服務系統(tǒng)。黑客對相關單位和系統(tǒng)進行攻擊后將直接造成重大社會影響。

隨著近期網絡攻擊手段的升級，相關案例和事件在全球范圍內大量出現。例如，2013年韓國大量銀行遭黑客攻擊，導致交易中斷。2015年底，烏克蘭電力系統(tǒng)遭黑客攻擊，直接導致電力中斷近6個小時。2016年全球銀行轉賬支付平臺SWIFT重大漏洞，導致孟加拉國央行損失8100萬美金。

國家《網絡安全法（草案）》中第25條明確提出“國家對提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會保障等公共服務領域的重要信息系統(tǒng)，軍事網絡，設區(qū)的市級以上國家機關等政務網絡，用戶數量眾多的網絡服務提供者所有或者管理的網絡和系統(tǒng)（以下稱關鍵信息基礎設施），實行重點保護?！?/p>

在這種背景下，重要城市需對全市重點單位的信息安全情況進行重點監(jiān)控，尤其是重點單位的網站漏洞、受攻擊事件；重點單位的高級威脅攻擊事件；重點單位在外暴露的其他資產及相關漏洞；為民眾生活提供基礎服務的網站可用性；重點單位的文件泄密行為。

1.2 網絡資源監(jiān)管需要全面覆蓋

信息安全問題目前正隨著移動互聯(lián)網及全面信息化的浪潮而擴展到了各種系統(tǒng)的方方面面。具體表現為下面幾種趨勢：

（1）物聯(lián)網安全問題日漸突出

目前網絡安全問題已由普通的操作系統(tǒng)及Web服務器擴展到了大量嵌入式系統(tǒng)和移動設備。

物聯(lián)網設備面臨重大安全威脅。2015年?？低晹z像頭被境外組織控制，用于DDoS攻擊，并可進行視頻監(jiān)控。智能汽車、監(jiān)控攝像等設備已普遍存在于城市生活中，一旦出現安全問題，勢必影響巨大，輕則造成人員損傷，重則直接造成交通癱瘓及國家重要信息泄露。

（2）工控系統(tǒng)面臨重大威脅

安全問題除影響嵌入式系統(tǒng)或移動設備，還影響更基礎的工業(yè)控制領域。我們日常所需的公眾服務大量依靠工業(yè)控制系統(tǒng)。在過去的封閉體系內，這些系統(tǒng)沒遇到太多安全困擾，整個供應鏈和使用體系都缺乏必要的安全應對經驗和認識。

但在互聯(lián)網開放和智慧城市融合的背景下將面臨重大威脅。不僅僅是技術層面的挑戰(zhàn)，還將面臨意識、管理、服務、供應鏈等多方面的問題。

（3）個人信息無處不在

為了給廣大人民群眾提供更為便捷的生活服務，各種系統(tǒng)大量存儲了居民個人信息，包含賬戶名、密碼、郵箱、真實姓名、住址、電話等等。大量公民信息可能被黑客通過各種系統(tǒng)獲取。

以上問題，都導致目前城市信息安全所面臨的問題比以往任何時候更加復雜。在這種復雜情況下，如何落實信息安全保障的任務將是工作重點，也是難點。

1.3 預警響應機制需高效運行

在建立常態(tài)化、有重點、全覆蓋的網絡安全監(jiān)控體系后，城市安全面臨的更大問題是如何快速地對安全問題進行響應和處置。如不能推動相關問題解決將大大降低系統(tǒng)的價值。

傳統(tǒng)安全防護體系下，各單位的安全管控各自為政，導致相關問題的處理完全依賴于單位自身的重視程度。安全主管單位面臨著有主管權利，但缺乏主管手段的窘境，在發(fā)現安全問題后，僅能通過發(fā)函的方式通知相關單位進行整改，導致效率較低、缺乏指導性。整改效果也難以進行評估和驗證，直接導致傳統(tǒng)的監(jiān)管和響應體系耗費巨大，但收效有限。

在智慧城市的背景下，公安網絡安全監(jiān)察部門需要有一套與安全問題監(jiān)控系統(tǒng)相配套、相適應的預警、通報、響應系統(tǒng)，能夠對安全問題進行及時有效的處置，包括對發(fā)現的潛在風險隱患、漏洞能及時通知責任單位進行整改，并能跟蹤整改狀態(tài)；對安全問題可以進行匯總統(tǒng)計，并形成周期報告；形成綜合性的系統(tǒng)運行狀態(tài)，整體反映一段周期內的安全問題狀況，反映安全情況的變化趨勢；可以跟蹤所有下級單位的安全狀態(tài)排行，反映各單位自身問題的處置速度和響應積極性。

2 新型態(tài)勢感知系統(tǒng)輕松實現安全監(jiān)管

2.1 問題及時發(fā)現

360態(tài)勢感知系統(tǒng)部署實施后，將所轄區(qū)域內的重點單位形成7×24小時的有效監(jiān)控，所有網站篡改、DDoS攻擊事件將在不超過10分鐘的時間內被發(fā)現，而網站漏洞將在7天時間內做到發(fā)現。針對本地檢測類設備無法有效監(jiān)控的釣魚攻擊、訪問異常行為，360態(tài)勢感知系統(tǒng)也可以提供快速的監(jiān)測和響應。

快速發(fā)現問題將直接帶來三大價值：

（1）減少安全隱患和漏洞暴露在黑客視線中的時間，降低可能造成的不良影響。

（2）減少篡改類時間出現的時間，降低不良的社會影響。

（3）減少監(jiān)測中的數據丟失，便于形成歷史安全狀態(tài)的全量數據和完整視圖。

2.2 威脅閉環(huán)處理

當發(fā)現威脅后，通過360態(tài)勢感知系統(tǒng)可以使用通報子系統(tǒng)對相關單位和責任人進行快速的通知，并跟蹤相關責任人的處置進度。同時方案提供了多種通報手段，在傳統(tǒng)的郵件、手機以外提供了移動互聯(lián)網式的APP方式，方便工作人員進行問題的及時查收與反饋。

通過通報和反饋狀態(tài)的跟蹤，可以使安全主管單位有能力對所轄區(qū)域單位的信息安全責任人進行工作監(jiān)督、指導、跟蹤。實現信息安全責任到位、全城協(xié)作，調動各級資源實現整個地區(qū)的智慧安全。

2.3 事件證據留存

信息安全問題經常面臨無法取證，無法證明的相關問題，很多篡改類事件僅在特定時間內出現一段時間，在傳統(tǒng)安全監(jiān)控情況下，這類問題往往面臨無法發(fā)現、無法追責的情況。

360態(tài)勢感知系統(tǒng)能夠在快速發(fā)現安全問題的情況下及時進行截圖取證，并能夠從網頁代碼層面尋找到暗鏈、黑詞的位置清晰的體現出來相關網站被攻擊的事實。

同時對于高級威脅，如APT攻擊，360態(tài)勢感知系統(tǒng)采用全流量還原采集的方式，能夠保存30天內的流量日志信息，日志里包含了重點單位主機的網絡訪問行為、文件傳輸行為，這些都可能成為具體高級攻擊的證據，為事件、案件的分析提供數據支撐。

2.4 安全可視易懂

長期以來，信息安全都是一種難以理解的技術，它既不想網絡技術可以通過拓撲的方式進行直觀呈現，又無法像軟件開發(fā)一樣有相關的產品展示，如何讓領導和基礎的安全運營人員對安全問題快速理解，看清重點，一直是困擾著行業(yè)從業(yè)人員的問題。

360在360態(tài)勢感知系統(tǒng)中大量的使用了流行的圖像和數據可視化技術，可以通過大屏幕進行全局角度的清晰展示，直觀地呈現監(jiān)管單位的安全狀況分布、統(tǒng)計、排序等信息，并能將相關可視化展示內容與分析過程結合，提供更易于操作的可視化分析手段，讓運營人員的使用培訓成本降低。讓安全分析的過程更直觀、可展示。

3 態(tài)勢感知系統(tǒng)背后的數據力量

3.1 云與本地的數據融合

傳統(tǒng)方案僅關注本地產生的安全檢測數據，但由于本地檢測的局限性，經常會出現監(jiān)控成本高、監(jiān)控準確度和服務成本高的情況。

360所提供的云端監(jiān)控避免了相關問題——依賴于360云端安全服務，360態(tài)勢感知系統(tǒng)的云端安全監(jiān)控可以有更好的數據運營和服務保障，并比本地檢測監(jiān)控方案需要更低的安全服務成本。

但360態(tài)勢感知系統(tǒng)也并沒有完全摒棄本地檢測手段，而是盡可能的結合本地手段，利用本地檢測流量獲取更全面、數據回溯性強的優(yōu)點，最大化的發(fā)現各種安全問題。所有本地監(jiān)測主要集中在重點網絡，重點位置，采用集中式的監(jiān)控方式降低部署成本。

結合云端與本地檢測兩方面所能提供的優(yōu)勢，360態(tài)勢感知系統(tǒng)能夠體現出高檢出率、高覆蓋度、成本低等相關特點，進而能夠最大效力的呈現所轄區(qū)域的信息安全狀態(tài)。

3.2 強大的高級威脅發(fā)現能力

360擁有世界范圍內首屈一指的威脅發(fā)現能力，能夠對重點單位提供高強度的安全監(jiān)測和防護。

截至2016年8月， 360共發(fā)布5篇專業(yè)APT攻擊報告，報告內容覆蓋了攻擊背景、攻擊組織分析、攻擊手法和工具分析。數量為國內最多。同時海蓮花APT報告為國內第一篇正式APT報告。

相關內容可見ti.360.com

除以發(fā)布的APT攻擊報告外，360還發(fā)布有2015年中國APT攻擊受害分析報告，從全國數據層面分析了APT攻擊。

3.3 海量互聯(lián)網數據支撐

360作為成立10余年的互聯(lián)網安全廠商，擁有國內最為豐富的安全數據儲備，依賴于近6億PC終端反饋的病毒樣本信息以及云端沙箱集群提供的強大分析能力，360掌握了100億以上的可執(zhí)行文件樣本，以及數千萬億條樣本網絡行為數據。所有這些數據中包含有黑客攻擊所使用的各種武器信息以及攻擊行為。所有這些數據都可以通過該方案為主管單位查詢使用，可以極大的擴展安全主管單位的問題處置范圍和分析能力。

同時，360依靠其互聯(lián)網技術能力積累了全球域名的whois注冊信息，相關信息對于分析黑客攻擊所使用的網絡基礎設施（如C&C域名、掛馬網站）提供了強大的數據支撐。再依賴于360 DNS派所能提供的DNS解析記錄數據，安全主管部門可以輕松掌握哪些IP曾經訪問過問題域名。

360態(tài)勢感知系統(tǒng)可以同時將主機安全數據和網絡數據向結合，相互之間可以做下鉆查詢，提供可視化關聯(lián)查詢，幫助技術分析人員對黑客攻擊所使用的方法、手段、武器、基礎設施、甚至是背景進行分析，延展了智慧城市的安全分析范圍，由一城即可查遍全國數據。

3.4 性能卓越、輕松擴展

360態(tài)勢感知系統(tǒng)在核心的數據存儲和分析層面使用了大數據相關技術，可直接通過擴展硬件的方式獲得整個系統(tǒng)計算和存儲能力的擴展，無需再進行數據備份、軟件更新等繁復操作，極大的降低了系統(tǒng)管理維護成本。同時方案的設計中充分的使用了模塊化設計的方法，可以保證不同軟件功能與模塊之間的解耦和，可以對方案中的數據采集進行靈活調整，分部實施。而且還可以結合部署難度、實施成本等因素，提供分階段、不斷擴展的靈活方案。既可以快速的呈現相關方案成果，又可以最大化的實現系統(tǒng)功能。