安全态势感知系统

2016-02-06360企业安全集团

网络安全技术与应用 2016年10期

关键词：信息安全监控单位

360企业安全集团黄海

安全态势感知系统

360企业安全集团黄海

1 网络安全监控常态化

随着信息技术发展，城市的建设速度正在加快，人民的生活也更加便利，各种网站、互联网在线资源、移动互联网应用正带动整个城市经济、生活的高速运行。但同样也带来了更高的风险。

由于互联网信息技术的大量应用，大量重要信息资产暴露在互联网开放的环境下，经常招致大量黑客的攻击从而会导致：网站信息被篡改，出现反动言论、非法信息、不良广告；网站服务中断、无法继续提供公众服务；重要的公众隐私数据泄露；重要的涉密信息泄露；重要企业的机密商业信息泄露。

这些事件均会对公众生活造成负面影响，对政府形象造成巨大损害，同时也成为一大重要的社会不稳定因素。

传统的网络安全技术更多注重网站或单位个体的安全检测和防护，难以为管理者呈现完整的安全情况全景。由于安全问题的信息仅集中在各单位内部，导致常出现瞒报遮掩、不作为等行为，阻碍对信息安全不断改进工作的进行。

针对这种情况，新型信息化城市急需建立起一整套安全监控体系，对各种信息安全问题进行全面监控，从整体安全视角对全市安全情况进行审查，并能知广见微，针对个别信息安全问题进行细节分析，再协同各个单位和机构对问题进行及时处理。

1.1 重点单位监测将持续强化

重要经济区域的城市通常驻有大量国家和区域重点单位，为整个区域发展发挥了不可估量的作用。这些单位的信息安全问题将带来重大的经济和政治影响。因此，对相关单位需进行更高强度的持续安全监控。同时，相关市民大量使用水电燃气、行政管理等公众服务系统。黑客对相关单位和系统进行攻击后将直接造成重大社会影响。

随着近期网络攻击手段的升级，相关案例和事件在全球范围内大量出现。例如，2013年韩国大量银行遭黑客攻击，导致交易中断。2015年底，乌克兰电力系统遭黑客攻击，直接导致电力中断近6个小时。2016年全球银行转账支付平台SWIFT重大漏洞，导致孟加拉国央行损失8100万美金。

国家《网络安全法（草案）》中第25条明确提出“国家对提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统（以下称关键信息基础设施），实行重点保护。”

在这种背景下，重要城市需对全市重点单位的信息安全情况进行重点监控，尤其是重点单位的网站漏洞、受攻击事件；重点单位的高级威胁攻击事件；重点单位在外暴露的其他资产及相关漏洞；为民众生活提供基础服务的网站可用性；重点单位的文件泄密行为。

1.2 网络资源监管需要全面覆盖

信息安全问题目前正随着移动互联网及全面信息化的浪潮而扩展到了各种系统的方方面面。具体表现为下面几种趋势：

（1）物联网安全问题日渐突出

目前网络安全问题已由普通的操作系统及Web服务器扩展到了大量嵌入式系统和移动设备。

物联网设备面临重大安全威胁。2015年海康威视摄像头被境外组织控制，用于DDoS攻击，并可进行视频监控。智能汽车、监控摄像等设备已普遍存在于城市生活中，一旦出现安全问题，势必影响巨大，轻则造成人员损伤，重则直接造成交通瘫痪及国家重要信息泄露。

（2）工控系统面临重大威胁

安全问题除影响嵌入式系统或移动设备，还影响更基础的工业控制领域。我们日常所需的公众服务大量依靠工业控制系统。在过去的封闭体系内，这些系统没遇到太多安全困扰，整个供应链和使用体系都缺乏必要的安全应对经验和认识。

但在互联网开放和智慧城市融合的背景下将面临重大威胁。不仅仅是技术层面的挑战，还将面临意识、管理、服务、供应链等多方面的问题。

（3）个人信息无处不在

为了给广大人民群众提供更为便捷的生活服务，各种系统大量存储了居民个人信息，包含账户名、密码、邮箱、真实姓名、住址、电话等等。大量公民信息可能被黑客通过各种系统获取。

以上问题，都导致目前城市信息安全所面临的问题比以往任何时候更加复杂。在这种复杂情况下，如何落实信息安全保障的任务将是工作重点，也是难点。

1.3 预警响应机制需高效运行

在建立常态化、有重点、全覆盖的网络安全监控体系后，城市安全面临的更大问题是如何快速地对安全问题进行响应和处置。如不能推动相关问题解决将大大降低系统的价值。

传统安全防护体系下，各单位的安全管控各自为政，导致相关问题的处理完全依赖于单位自身的重视程度。安全主管单位面临着有主管权利，但缺乏主管手段的窘境，在发现安全问题后，仅能通过发函的方式通知相关单位进行整改，导致效率较低、缺乏指导性。整改效果也难以进行评估和验证，直接导致传统的监管和响应体系耗费巨大，但收效有限。

在智慧城市的背景下，公安网络安全监察部门需要有一套与安全问题监控系统相配套、相适应的预警、通报、响应系统，能够对安全问题进行及时有效的处置，包括对发现的潜在风险隐患、漏洞能及时通知责任单位进行整改，并能跟踪整改状态；对安全问题可以进行汇总统计，并形成周期报告；形成综合性的系统运行状态，整体反映一段周期内的安全问题状况，反映安全情况的变化趋势；可以跟踪所有下级单位的安全状态排行，反映各单位自身问题的处置速度和响应积极性。

2 新型态势感知系统轻松实现安全监管

2.1 问题及时发现

360态势感知系统部署实施后，将所辖区域内的重点单位形成7×24小时的有效监控，所有网站篡改、DDoS攻击事件将在不超过10分钟的时间内被发现，而网站漏洞将在7天时间内做到发现。针对本地检测类设备无法有效监控的钓鱼攻击、访问异常行为，360态势感知系统也可以提供快速的监测和响应。

快速发现问题将直接带来三大价值：

（1）减少安全隐患和漏洞暴露在黑客视线中的时间，降低可能造成的不良影响。

（2）减少篡改类时间出现的时间，降低不良的社会影响。

（3）减少监测中的数据丢失，便于形成历史安全状态的全量数据和完整视图。

2.2 威胁闭环处理

当发现威胁后，通过360态势感知系统可以使用通报子系统对相关单位和责任人进行快速的通知，并跟踪相关责任人的处置进度。同时方案提供了多种通报手段，在传统的邮件、手机以外提供了移动互联网式的APP方式，方便工作人员进行问题的及时查收与反馈。

通过通报和反馈状态的跟踪，可以使安全主管单位有能力对所辖区域单位的信息安全责任人进行工作监督、指导、跟踪。实现信息安全责任到位、全城协作，调动各级资源实现整个地区的智慧安全。

2.3 事件证据留存

信息安全问题经常面临无法取证，无法证明的相关问题，很多篡改类事件仅在特定时间内出现一段时间，在传统安全监控情况下，这类问题往往面临无法发现、无法追责的情况。

360态势感知系统能够在快速发现安全问题的情况下及时进行截图取证，并能够从网页代码层面寻找到暗链、黑词的位置清晰的体现出来相关网站被攻击的事实。

同时对于高级威胁，如APT攻击，360态势感知系统采用全流量还原采集的方式，能够保存30天内的流量日志信息，日志里包含了重点单位主机的网络访问行为、文件传输行为，这些都可能成为具体高级攻击的证据，为事件、案件的分析提供数据支撑。

2.4 安全可视易懂

长期以来，信息安全都是一种难以理解的技术，它既不想网络技术可以通过拓扑的方式进行直观呈现，又无法像软件开发一样有相关的产品展示，如何让领导和基础的安全运营人员对安全问题快速理解，看清重点，一直是困扰着行业从业人员的问题。

360在360态势感知系统中大量的使用了流行的图像和数据可视化技术，可以通过大屏幕进行全局角度的清晰展示，直观地呈现监管单位的安全状况分布、统计、排序等信息，并能将相关可视化展示内容与分析过程结合，提供更易于操作的可视化分析手段，让运营人员的使用培训成本降低。让安全分析的过程更直观、可展示。

3 态势感知系统背后的数据力量

3.1 云与本地的数据融合

传统方案仅关注本地产生的安全检测数据，但由于本地检测的局限性，经常会出现监控成本高、监控准确度和服务成本高的情况。

360所提供的云端监控避免了相关问题——依赖于360云端安全服务，360态势感知系统的云端安全监控可以有更好的数据运营和服务保障，并比本地检测监控方案需要更低的安全服务成本。

但360态势感知系统也并没有完全摒弃本地检测手段，而是尽可能的结合本地手段，利用本地检测流量获取更全面、数据回溯性强的优点，最大化的发现各种安全问题。所有本地监测主要集中在重点网络，重点位置，采用集中式的监控方式降低部署成本。

结合云端与本地检测两方面所能提供的优势，360态势感知系统能够体现出高检出率、高覆盖度、成本低等相关特点，进而能够最大效力的呈现所辖区域的信息安全状态。

3.2 强大的高级威胁发现能力

360拥有世界范围内首屈一指的威胁发现能力，能够对重点单位提供高强度的安全监测和防护。

截至2016年8月， 360共发布5篇专业APT攻击报告，报告内容覆盖了攻击背景、攻击组织分析、攻击手法和工具分析。数量为国内最多。同时海莲花APT报告为国内第一篇正式APT报告。

猜你喜欢

信息安全监控单位

The Great Barrier Reef shows coral comeback