山东省水利系统网络安全工作探索
2021-11-01庄磊
庄 磊
(山东省水利综合事业服务中心,山东 济南 250013)
0 引言
山东省水利信息化建设起步于 20 世纪 90 年代中期(“九五”期间),20 多 a 间,水利信息化从无到有,从单机到网络,从局部实施到协同应用,在水利改革发展中发挥着越来越重要的作用[1]。特别是“十二五”以来信息化建设快速发展,形成“一个中心、一个平台、一张图表、一套标准”的整体格局。依托国家防汛抗旱指挥系统工程,建成了覆盖山东全省 16 个市、150 余个县、数十个重点水利工程的水利信息骨干网,承载水利数据中心、防汛抗旱指挥、雨水情监测、应急调度会商等关键业务应用;依托山东省电子政务网络,运行了河(湖)长制管理、水资源管理、工程招投标、门户网站等众多行业应用。信息网络的建设和发展,为水利数据的高效传输和整合共享提供了坚实保障,但也带来与日俱增的安全压力。在网络安全形势日益严峻的大环境下,做好山东省水利系统网络安全工作,已经迫在眉睫。
1 水利网络安全形势分析
1.1 信息网络攻击与日俱增
目前山东省水利厅配备专业化安全团队,全年7×24 h 开展病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS(分布式拒绝服务攻击)、扫描探测等恶性攻击行为的监测,分析,记录。经统计发现,近年来针对省级水利信息网络及系统的攻击数量逐年上升,2018 年以来,每年攻击量增长均在 10% 以上。以 2020 年为例,截至 12 月底,国内外网络攻击累计达 310 万次,其中:国外攻击排名前三的国家为美国、法国、英国;国内攻击排名前三的地区为北京、广东、山东。攻击类型主要为脆弱口令与安全扫描、拒绝服务攻击、恶意扫描、CGI 攻击、木马后门和暴力破解等。
1.2 安全运维压力不断增大
近年来各级水利部门开发了大量业务应用,系统数量、服务领域、网络覆盖、数据规模等不断拓展。信息化应用已由主要提供行业支撑,转变为为水利、应急、环保、自然资源、社会公众等多领域提供服务;水利信息网络已由独立组网,转变为与多种网络互连互通或交换数据,网络边界日益模糊。信息化高速发展的同时导致网络安全工作压力随之剧增,大量增加的信息资产带来各类安全风险,因此减少资产的脆弱性,提升对抗安全威胁的能力,加强对风险的分析和控制,给网络安全工作人员增加了巨大压力,网络安全运维工作也更加艰巨和复杂。近年来水利信息网络发展演变图如图1 所示。
图1 水利信息网络发展演变图
1.3 安全工作机制短板明显
安全工作机制短板主要表现如下:
1)网络安全责任落实不到位。未能严格按照“谁主管谁负责、谁使用谁负责”等安全基本原则建立清晰明确的网络安全责任体系,各类要求多停留在文件上,落实效果欠佳。
2)网络安全人才严重欠缺。各级水利部门普遍缺少网络安全专职人员,经常存在会议调试、设备维修、安全防护等“一肩挑”现象。
3)经费保障不到位。对照《水利网络安全管理办法》中网络安全预算不应低于项目预算 5% 的要求,网络安全投入比例明显偏低,导致网络安全建设与管理经费不足,重建轻管、忽视安全问题突出。
4)应急处置效果欠佳。普遍存在应急预案操作性差、未及时修订更新等现象,应急处置技术力量薄弱,难以高标准开展应急处置工作。
2 水利网络安全主要举措
近年来,山东省水利厅根据网络运行及系统部署实际,采取了针对性的网络安全工作举措:在水利业务网部署态势感知系统,建立常态化网络安全监测预警机制;在互联网开展实战化网络安全攻防演练,及时发现并消除网络安全隐患。
2.1 业务网部署网络安全态势感知系统
在当前严峻的网络安全形势下,传统防御手段的局限性被持续放大,如仅能基于特征检测,依赖单点处理能力,防护设备各自为战,无法应对连续性威胁等,而基于大数据的安全态势感知技术有效弥补了传统防御手段的缺陷。通过全网络收集安全信息要素,基于大数据进行数据挖掘,建立对网络安全态势的全面认知,能对网络系统的安全趋势进行预测,是保障网络安全的有效手段[2]。
1)部署方式。山东省水利系统态势感知系统建设采取“两级部署、统一管理”的整体架构,系统整体逻辑分为数据采集、处理、存储、挖掘及应用 5 个层级[3]。省级水利单位部署网络态势感知平台,各市水利局及部分直属单位部署流量采集引擎,安全态势感知平台部署方案如图2 所示。
图2 安全态势感知平台部署方案
2)技术特点。省级态势感知平台采用大数据计算技术架构,具有分布式、水平弹性扩展、机器学习和高可靠性等特点。通过元数据的统一存储管理与对全文检索的良好支持,采用实时关联分析、历史关联分析、机器学习、统计分析、OLAP(联机分析处理)、数据挖掘和恶意代码分析等多种手段,完成对海量安全元数据的分析和挖掘,为各类安全智能应用提供基础支撑。各市水利局流量采集引擎支持从数据包、数据流、传输协议直至文件的多维度流量捕获与检测,可对数据进行协议解析与内容还原,并对其进行检测。引擎内置网络攻击行为特征库,可利用态势感知系统大数据机器学习能力,有效发现漏洞、攻击、僵木蠕等未知安全威胁。
3)取得成果。部署安全态势感知系统,实现了对水利业务网络安全态势的实时感知和动态监测,打造了网络安全态势感知、攻击可视化溯源分析大屏等可视化平台,可实时显示外部、横向、资产外联等威胁内容,为运维人员开展攻击手段、趋势、溯源等信息的调查取证提供了保障。安全态势感知系统自运行以来,通过对各市安全流量引擎的不间断分析,发现了 SQL 注入、远控木马、挖矿行为等大量安全隐患,通过组织开展多次服务器和终端的专项安全检查,有效提升了水利业务内网整体安全水平。
2.2 外网开展实战化网络安全攻防演练
在真实的网络环境中开展安全攻防演练,是检验信息系统防护、监测预警和应急处置等能力的重要手段,能够发现深层次问题和隐患[4]。攻防演练既要做到对业务系统具有破坏性、渗透性,又不影响业务系统的正常使用,各类攻击性行为应当切实有效,危害可控。为使攻防演练管控有序,需要进行认真部署。
1)活动部署。整体活动分为以下 5 个组别:a. 指挥组。由活动主管机构及专家组长组成,负责监控演习进程、调整攻击策略等。b. 专家组。由安全资深专家组成,负责对各类成果进行审核,并依照规则进行评分。c. 攻击组。由安全测试队伍组成,每支攻击队一般由 3 名攻击手组成。d. 防守组。由各防守单位组成,在演习过程中积极应对攻击行为,并提交高质量防御报告。e. 保障组。负责维护演习活动的所有软硬件设施,包括网络环境、攻击工具、演习系统部署及大屏信息投放等。
2)实施阶段。按照限定攻击目标的原则,攻击组在指挥组的监督下,使用暴力破解、扫描、数据包分析、SQL 注入等工具展开攻击。实施攻击前,攻击组需将准备实施的攻击目标、对目标的扫描结果及可能造成的风险等情况向专家组报备,审核通过后方可发起攻击。专家组采取现场巡查与自动化分析工具相结合的方式,对攻击行为进行监管、分析、审计和追溯,保障演习过程风险可控,发现不合规的攻击行为时,及时进行阻断。指挥组根据网络攻击情况,将发现的紧急或高危漏洞,分发给相应单位进行应急处置。保障组将攻击成果(包括攻击域名、IP、系统描述、截屏图片、攻击手段和时间等)实时显示在成果展示大屏上。网络安全攻防演练流程图如图3 所示。
图3 网络安全攻防演练流程图
3)取得成果。2020 年山东省水利厅对全省 16 个市水利(务)局、6 个厅直属单位的 160 个互联网系统开展实战化攻防演练,发现安全隐患漏洞 100 余个。经汇总分析,各级水利部门网络安全问题存在较大共性,具体如下:a. 弱口令问题。目前弱口令已成为主要安全隐患,设置简单或默认口令,防护形同虚设。b. 系统权限控制问题。部分系统权限控制不严谨,存在权限跨越漏洞,造成数据泄露或破坏。c. 网络隔离不严问题。部分单位网络边界控制较差,内外网未进行物理隔离,不具备纵深防御能力。d. 测试(废弃)系统运行问题。部分测试及废弃系统部署于业务网络且无人维护,可能对正常系统造成破坏。e. 热点漏洞修补不及时问题。Struts2 框架漏洞、SQL 注入、任意文件上传等典型漏洞成为渗透主要利用点。f. 系统检测不及时问题。部分系统或服务器被黑客入侵或利用且长期未发现。
针对发现问题,山东省水利厅编制专项整改方案,第一时间发送至有关部门、单位,督促整改并进行复测,通过建立通报—整改—复测的闭环式工作机制,有效提升网络安全水平。
3 水利网络安全有关对策
近年来水利网络安全工作证明:山东省水利厅部署的网络安全态势感知系统已初步发挥成效,能及时发现网络攻击;开展的攻防演练能不断发现网络安全工作短板和不足,检验网络攻击和抗威胁能力,检验和锻炼网络安全队伍,是有效应对网络安全威胁的重要举措。但水利系统面临的网络安全形势依然严峻,特别是在全省防护体系尚不健全的情况下,网络安全问题难以避免。做好网络安全工作,必须集行业合力,全力做好各项措施落实[5],具体对策如下:
1)严格落实等级保护制度。按照等级保护 2.0相关规范和《水利网络安全管理办法》有关规定,深入开展网络安全等级保护测评工作。新建水利信息系统须经定级备案及安全测评后方可上线运行,尚未定级备案的已建、在建水利信息系统应及时开展等级保护定级备案工作。信息系统发生重要信息和关键业务调整等重大变更时,应重新组织开展定级、备案和安全建设整改等工作。
2)坚决杜绝常见安全隐患。包括但不限于:全面整顿弱、默认、简易口令,系统密码应包含数字、大小写字母和特殊符号 4 类字符,长度不小于 8 位;加强网络边界管理,部署 IPS(入侵防御系统)和WAF(网站应用级入侵防御系统)等安全设备增强检测保护能力;关闭非必要服务端口,降低外网访问风险;及时更新操作系统、中间件、数据库等漏洞补丁,修改默认设置;及时清理整顿信息资产,关停测试及废弃系统,减少信息资产暴露面。
3)全面强化运行维护能力。建立 1 支由部门管理和技术服务人员组成的业务强、素质好的保障队伍,是做好运维工作的根本保障。应通过政府购买服务的形式,优选一批信誉良好、能力过硬的社会企业,探索建立长期稳定的合作关系。同时要加强日常监管和质量控制,从严从细制定绩效指标体系,以制度规范约束维保行为,以刚性指标评价维护效益,推动运行维护工作从粗放式向精细化转变。
4)切实做好网络安全应急演练。应急演练以防范信息系统重大风险为目的,建立科学有效、协调有序的网络安全应急管理与处置协调机制。应紧密结合系统建设运行实际,高标准编制应急预案,对可能危害信息系统安全的风险进行有效识别、研判,制定针对性、操作性强的应急措施。同时要加强应急队伍建设,把应急处置任务明确到部门,落实到个人,并定期进行演练,确保安全事件发生时反应快速,报告及时,措施得力,操作准确,最大限度地降低事件可能造成的损失。
4 结语
本研究主要介绍了山东省水利系统网络安全工作采取的有效措施,从态势感知系统、网络攻防演练的部署实施和取得成效等方面进行了详细阐述,为水利行业开展网络安全工作提供了借鉴。依托态势感知系统和攻防演练活动,不仅可提升水利系统网络安全监测预警水平,还可以发现网络安全技术和管理方面的不足,为开展针对性的隐患整改提供支撑,进而助力构建主动智能、快速高效的水利网络安全防线。
今后应从以下 2 个方面着手提升工作效能:
1)扩大态势感知应用范围。目前水利行业中物联网终端、工业控制、移动办公等领域应用不断拓展,扩大态势感知系统的监测范围,提升多领域的动态感知能力势在必行。
2)提高行业网络安全联动水平。在网络安全威胁感知和应急响应方面进一步加强行业统筹协调,严格落实水利行业网络安全信息通报机制等制度规范,不断提高水利行业的整体网络安全防护水平。