某市为落实国家层对信息系统运行状况和信息安全状况信息的采集,建立国家级信息安全工作联动机制,对税务系统建立完备和有针对性的防御体系,以实现对税务系统综合网络安全风险态势、涉税业务资产风险以及涉税业务违规操作等安全风险的感知,并通过多种可视化技术将税务系统综合安全态势进行统一呈现。此外,阐述某市税务系统的态势感知建设方法和实际应用效果,总结当前某市税务领域网络安全态势感知的建设,提出了下一步的工作方向。

内容目录

0 引 言

1 项目概况

1.1 现 状

1.2 建设目标

2 建设方法

2.1 硬件和产品部署

2.2 安全管理体系建设

3 建设内容

3.1 总体架构

3.2 探针体系

3.2.1 漏洞扫描探针

3.2.2 僵木蠕探针

3.2.3 网络审计探针

3.2.4 WAF探针

3.2.5 资产探针

3.3 态势感知系统

3.4 体系建设

3.4.1 值守机制

3.4.2 信息资产全生命周期安全管控机制

3.4.3 信息安全责任落实和追溯体系

3.4.4 操作行为管控制度

3.5 攻防验证效果

4 结 语

4.1 项目效果

4.1.1 丰富多维安全态势

4.1.2 安全事件一键溯源

4.1.3 可视化分析场景管理

4.1.4 多重安全分析

4.1.5 多维度资产视角

4.1.6 联动式设备管理

4.1.7 多算法安全事件校验

4.1.8 海量数据处理性能

4.1.9 多厂商探针灵活接入

4.1.10 快速配置安装

4.2 未来展望

0 引言

传统的网络安全预防手段已经无法满足如今多样化的入侵安全问题,因此很多研究者利用机器学习、特征选择等技术来提高网络安全。夏明玉和李巧玲等人分别提出基于CNN的网络入侵检测方法,吴晓平等人提出了一种结合Spark框架无指导的入侵检测方法,杨晓峰等人则提出了一种改进的隐马尔可夫模型入侵检测方法。本项目利用网络安全态势感知系统收集所管理网络的资产、流量、日志以及网站等相关的安全数据,经过存储、处理以及分析后形成安全态势及告警,辅助了解所管辖网络安全态势,并能对告警进行协同处置。系统建设为管理工作提供了强有力的技术支撑,可更好地落实信息安全的管理。

1 项目概况

1.1 现 状

某市税务局无论是在市级政务信息化还是全国税务行业信息化中,都属于建设水平较高的单位。该税务局目前包含三张网和两个数据中心。其中,三张网分别为互联网(主要包含对外网站)、业务专网(税务专网)和外联网(对接银行、社保等单位),两个数据中心分别为主机房和备份机房。三张网均主备部署在两个数据中心。网络架构如图1所示。

图1 税务网总架构

互联网主要用于办公上网和对外提供税务网站、APP和微信小程序服务。业务专网是覆盖全市、市区两级税务机关单位的城域专网。外联网是与银行、社保和支付机构等专业单位的专线网络。

对于这三个网络,防护重点如下。对于互联网,由于税务局是国家的重点机关,属于关键信息基础设施,因此需要重点防护来自外部的各种攻击。业务专网是税务机关处理业务的主要网络,也是税务机关主要信息资产和重要信息系统(部分涉及保密)所在地,并向上对接国家税务专网。因此,这个网络的防护重点是规范办公人员的操作行为和数据安全。外联网是与各类金融机构和其他政府部门信息通信的网络,业务单一,几乎都是服务器之间的自动化操作,可以执行更严格的白名单策略,一旦发现不可信的操作,立即告警。

经过多年的建设,某税务局初步形成了互联网区域完善的边界防护体系,包括下一代防火墙、链路负载均衡、入侵防御以及应用层防火墙WAF等,也建设了大量流量分析体系,包括威胁情报、网络审计、数据库审计以及入侵检测IDS等,还建设了从外网发起的网站检测服务(云监测服务)。

主备机房相比,主机房安全产品略多,备份机房防御相对薄弱。互联网方面建设投资较多,防范能力较强,但是业务专网和外联网方面尚没有做到有针对性的防御。

1.2 建设目标

项目建设一方面落实国家层对信息系统运行状况和信息安全状况信息的采集,建立国家级的信息安全工作联动机制;另一方面,结合某税务三网二中心的实际情况,建立完备和有针对性的防御体系和应急响应机制,实现全市税务体系层面信息安全联动机制。通过大数据技术实现税务业务专网和互联网等多个关键网络节点和信息资产数据的采集和存储,并对相关数据进行综合处理和关联分析,实现对税务系统综合网络安全风险态势、涉税业务资产风险以及涉税业务违规操作等安全风险的感知,通过多种可视化技术统一呈现税务系统综合安全态势。

建设方法

2.1 硬件和产品部署

探针方面,国家层要求部署威胁情报子系统1套、僵尸木马蠕虫探测设备2套、网络审计2套、WAF流量采集2套、资产发现组件2套、漏洞扫描系统2套和TAP交换机2套。

实现对各类网络协议流量进行威胁检测,其能力包含但不限于漏洞利用检测、WebShell攻击检测、木马与间谍软件检测、恶意文件检测和异常报文流量检测等。流量采集功能模块应支持对各类网络协议做解析还原,以供态势感知平台做深度分析和威胁事件的追踪溯源。

这些产品应部署在业务专网上,实现对国家税务专网的信息安全防护能力的提升。所配硬件基本满足某税务双数据中心的要求。另外,再建设一套集成采集互联网、业务专网和外联网三个网络的一体化的态势感知平台,实现信息安全事件的统一管理。

通过上述分析,某税务局通过增加部分设备和调整网络架构,可更好地落实国家层面提升各省网络安全保障能力的工作精神,均衡某税务局三网双中心的安全防护能力,形成整体性较高的保障能力。

2.2 安全管理体系建设

从态势感知产品功能角度看,某市税务局应建立一套以态势感知为中心的信息化管理体系和信息安全运维体系。信息化管理体系方面应将设备的上线、运行和退役与信息安全相结合,在设备上线的同时即开始进行流量监控分析,以及时发现非法设备入网。

信息安全管理体系上,整个运维团队不再各自为战,而是根据态势感知发布的总体预告警,建立分等级的安全运维和应急响应预案体系。一切工作按照预案执行,并在执行过程中不断总结提高,修订预案体系,形成运维知识库。

3 建设内容

3.1 总体架构

项目中的互联网区安全保障的总体架构如图2所示。业务专网区安全保障总架构,如图3所示。

图2 互联网区安全保障架构

图3 业务专网区安全保障总架构

本次项目主要是通过国家层态势感知项目的建设,同步补全和提升互联网区域和业务专网区域的流量监测体系的探测能力。外联区因人工操作较少,几乎没有直接暴露的攻击面,故延续原有的防护体系。某税务局建设某市税务跨越三网双中心的一体化态势感知平台,形成了市区两级的联动体系,故在硬件上,结合国家层项目,新增设备如表1所示。

表1 新增设备的具体情况

3.2 探针体系

本次项目引入了大量探针体系,其作用如下。

3.2.1 漏洞扫描探针

漏洞扫描探针以综合的漏洞规则库为基础,采用深度主机服务探测、口令猜解等方式相结合的技术,实现了将系统漏洞扫描和数据库漏洞扫描于一体的综合漏洞评估系统。

3.2.2 僵木蠕探针

僵木蠕探针弥补了传统安全防护产品对木马和僵尸网络检测能力上的不足。僵木蠕探针采用镜像流量分析引擎,可处理IP分片并对TCP流进行重组,可有效检测到各种隐蔽性较高的攻击手段,能够实时检测木马文件传播、僵尸主机行为以及入侵攻击在内的攻击行为,并且通过灵活的自定义检测规则和疑似木马样本捕获功能实现对疑似木马行为的监测和分析。

3.2.3 网络审计探针

网络审计探针可针对常见的网络协议进行内容和行为审计,主要包括对HTTP浏览与发布,以及对WebMail、IMAP SMTP、POP3、FTP、SMB、NFS以及Telnet等协议的审计。除了能审计常见的网络协议外,网络审计探针还支持330种以上国内常见应用协议行为的自动识别与审计记录,基本信息主要包括TCP五元组、应用协议识别结果以及IP地址溯源结果等。它可根据审计级别配置,实现不同协议的不同粒度审计要求,主要包括文件共享、邮件、FTP以及HTTP等。

网络审计探针提供了一套完整的机制来实现实名审计,主要包括主机发现和IP与用户名对应。

网络审计探针提供流量分析功能,产品内置NetFlow接收引擎,分析NetFlow信息,统计分析当前网络流量状况。因此,它可利用此功能分析网络中的应用分布、网络带宽使用情况等。

网络审计探针通过内置的强大URL分类库、攻击检测规则库和应用识别库,可对网络上近百种应用协议进行自动识别审计,及时发现不良言论、暴力、毒品、色情以及游戏等访问行为和攻击行为。

3.2.4 WAF探针

WAF探针具备先进的全透明检测架构,即不管是网络层还是业务层都感受不到WAF探针的存在,极大地简化了部署。全透明检测架构能高效工作主要依靠多核并行的空间协议栈和流模式的检测引擎两个核心技术。

WAF探针的空间协议栈是多核并行的,协议栈的性能随着处理器的核心数量的增加线性增长。在硬件核心处理器向数量越来越多的方向发展而单核主频停滞不前的时代,该协议栈可以充分发挥硬件处理器的性能。该协议栈同时跟踪IPv4和IPv6的会话,并且具备基于目标服务器操作系统强大的报文重组能力。该协议栈会以正确的TCP序列处理数据,并且采用和目标服务器完全相同的策略处理重叠报文,可有效防止利用重组特性缺陷的攻击。

WAF探针使用流模式检测,可以解析、重组HTTP协议,但不需要终结HTTP会话。WAF探针可以实现流模式下完整的HTTP协议重组,有效解决特征跨越多个报文的攻击逃逸问题。实际测试表明,即使攻击报文是逐个字节发送给目标服务器,WAF探针依然可以可靠阻断。

3.2.5 资产探针

资产探针采用高效、准确的识别技术,可实现对各类资产设备安全配置的自动化检查、分析等功能,并提供专业的核查报表与相关安全配置的建议,帮助人们及时发现安全配置的脆弱性,满足新业务系统上线检查、第三方入网安全检查、合规性安全检查以及日常安全检查等多个维度的需要。资产探针内置大量符合等保等级规范要求的安全配置检查模板,结合独特的自定义安全配置检查功能,具备对安全规范更新和网络系统建设发展的快速适应能力。

3.3 态势感知系统

网络安全态势感知系统收集管理网络的资产、流量、日志以及网站等相关的安全数据,经过存储、处理、分析后形成安全态势及告警,辅助人们了解所管辖网络安全态势,并能对告警进行协同处置。利用现有的安全系统和安全设备,它可逐步演进为“安全数据集中存储、态势感知场景丰富、动态建模分析及可视化综合展示”的高价值安全信息存储及分析系统,加快对安全威胁的认知及和有效预警,达到实时态势感知、准确安全监测以及及时应急处置等目标,提升政府、企业等组织的风险识别和解决能力,进而提升整理网络安全态势感知能力。

3.4 体系建设

在软硬件采购、部署和二次开发基础上,某市税务局还做了以下体系建设工作。

3.4.1 值守机制

自系统建设完成后,驻场信息安全工作人员开始对态势感知系统进行值守。所有信息安全处置工作依据态势感知所报预告警事件的处置预案进行,并将进行过程和结果重新记录回态势感知系统,形成值守处置知识库。

3.4.2 信息资产全生命周期安全管控机制

系统建成后,新增信息化资产(如PC、服务器、交换机等)先要在资产探针上进行登记,实现资产管理模块与态势感知的探针体系联动。新增设备一旦上线,随即从僵木蠕、系统漏洞以及配置安全等多个维度进行全方位监管。态势感知系统一旦发现未登记设备接入网络,立即发出最高级别的告警预警。

3.4.3 信息安全责任落实和追溯体系

系统建成后,某市税务局落实了所登记的所有信息安全资产单位内的责任人和运维单位的责任人。一旦发生信息安全事件,可根据态势感知的溯源功能找到问题设备和响应的负责人,并可开展复盘推演,达到及时补救的效果。

3.4.4 操作行为管控制度

僵木蠕探针可发现内网用户或互联网区域用户访问非法网站和非法IP地址的状况。系统建成后进行月度恶意网站访问排名和约谈机制,对于经常发生访问恶意IP地址和恶意网站的工作人员进行约谈和劝诫。

总体上,系统建成后原来大量的管理工作得到了强有力的技术支撑,可更好地落实信息安全管理。

3.5 攻防验证效果

系统上线后,联合集成商和产品厂商共同进行攻防演练,结果如下。

(1)系统上线后,通过WAF检测设备共监测到网络攻击告警2768次,主要包括SQL注入972次(35.11%)、扫描探测451次(16.29%)、溢出攻击302次(10.83%)、浏览器劫持71次(2.56%)、跨站攻击972次(35.11%)。

对以上告警进行人工分析,共确认恶意IP地址58个。部分攻击IP如表2所示。

表2 部分攻击IP的具体情况

(2)本次攻防演练期间,使用最多的攻击工具是AWVS,其次是目录遍历工具和SQL注入工具。

(3)僵木蠕探针上发现该税务邮件系统的一个账户显示弱口令登陆,邮箱用户jsgs,邮箱密码abcd1234。但是,此处登陆超过限定次数后,就必须输入验证码,因此无法被爆破。已建议整改该漏洞,排查后发现该邮箱密码已整改。

(4)互联网区资产10.104.105.47发现被恶意攻击,通过对该数据包的观察发现确实出现了内网IP地址,但是后续并没有其他的数据包,黑客并未获取该服务器的权限。通过调查该IP地址,发现WebLogic版本存在问题。通过僵木蠕中的PaCap包可以判断,确实存在回显,说明攻击已经成功,黑客已经拿到了内网的地址信息。

通过上述攻防演练成果可知,本次项目实现了多种新型探针分析,发现了原来不知道的问题和漏洞,并捕获攻击一次,效果显著。

结语

4.1 项目效果

整体系统以成熟产品为基础,结合某税务局的具体硬件现状和管理需求进行了一定程度二次开发,项目建成后取得了以下成果。

4.1.1 丰富多维安全态势

系统立足客户视角分别从全网、威胁、安全底图、安全处置、资产、脆弱性、攻击、僵木蠕、网站监测以及终端10个视角进行安全数据采集、监测、分析、研判和展示,能满足实时态势感知、准确安全监测以及及时应急处置等目标,提升风险识别效率和快速处置能力。

4.1.2 安全事件一键溯源

系统支持对安全事件的一键溯源,通过对五元组信息与设备地址、类型、负责人员等进行关联,利用原始日志的线索取证、源IP与目的IP的信息交互,发现并生成安全事件的攻击轨迹。

4.1.3 可视化分析场景管理

通过零代码界面配置可基于流量特征进行网络安全状态关联分析,通过驱动场景引擎进行情报匹配分析,完成安全事件基于特征检测的攻击分析,挖掘基于内置+自定义场景关联规则,包括失陷、暴力破解以及账号异常等多种场景的网络共性异常监测规则,方便客户使用,同时支持根据目标网络特性环境灵活自定义增加、删除、修改定义场景规则。

4.1.4 多重安全分析

系统通过动态采集流量行为日志,结合大数据算子算法和应用的场景规则库,对全网进行追踪溯源、告警、事件、脆弱性、威胁以及资产多维度的安全分析,并对响应的分析进行标签处理,实现全网“点到线、线到面”的一体化调查分析工作台,并输出威胁IP建档、资产画像以及追踪溯源等多重安全分析。

4.1.5 多维度资产视角

系统从设备、应用以及业务等多个维度构建资产库,能够提供全面的资产视角对被监管网络进行资产查看,并支持基于多维度的资产视角查看被监管网络的风险、脆弱性等安全信息。

4.1.6 联动式设备管理

系统支持一键式联动漏洞扫描设备、驱动漏洞扫描设备以及导入第三方报告等多方式的脆弱性监测管理,并根据监测信息关联相应资产实现资产漏洞监控展示。它支持防火墙、IDP等安全设备的策略集中收集、下发等集中式管理,可以动态实现一对多的策略分发拦截和封堵等功能。

4.1.7 多算法安全事件校验

系统通过安全事件准确性校验机制,支持对僵木蠕检测探针、入侵检测探针、Web攻击检测探针以及DDoS检测探针上报的安全事件进行进一步的可能性校验,提高安全事件的准确性。

4.1.8 海量数据处理性能

系统采用分布式文件存储和检索技术可横向扩展,支持高达PB级的数据存储及检索,支持10亿级别数据秒级检索响应。

4.1.9 多厂商探针灵活接入

态势感知系统用SysLog、SNMP等采集方式,支持不同厂商不同类型多源异构数据的接入。接入设备类型包括但不限于系统漏洞扫描、Web漏洞扫描、僵木蠕检测、入侵检测、Web攻击检测、DDoS检测、蜜罐、应用行为审计、数据库行为审计以及日志审计。客户可根据实际网络和预算情况灵活选择所需探针进行部署,选择不同类型的探针进行组合,不影响系统运行。

4.1.10 快速配置安装

在系统安装过程中,将需要人工确认和输入操作命令的过程全部通过智能化产品优化封装机制替代,支持系统的一键安装。所有的程序调用、进程应用等均在后台执行。

通过本次项目建设,初步建立起某税务局的态势感知平台和工作机制。这个平台完全遵循国家总局的建设精神,适应某税务局的现实情况。本次项目在项目建成后的攻防演练过程中,不仅发现了系统的既有问题,还捕获到一次非法攻击,效果显著。

4.2 未来展望

通过本次项目充分消化理解网络安全策略,对当前的信息安全体系进行有效的补充,初步建立起了以态势感知为核心的网络安全防御体系和应急响应工作体系。今后的工作中将紧跟网络安全形势的发展,充分领会最新政策文件和法规标准的核心方法,积极主动应对最新安全事件所产生的风险,不断查漏补缺,构建起市区两级一体化、能迅速响应国家税务局总局需要的网络安全工作体系。

引用本文:周芬.网络安全态势感知在税务系统中的部署和应用[J].通信技术,2021,54(02):.

作者简介

周芬,硕士,中级工程师,主要研究方向为网络空间安全、信息安全、工业互联安全。

选自《通信技术》2021年第2期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。