如何给地震信息服务带来由内而外的安全感?
对于地震局来说,最核心资产就是业务数据,最核心的需求就是要确保业务运行稳定、数据安全、不被篡改,要避免虚假信息给社会、群众带来恐慌以及其他经济损失。
近年来,随着物联网、移动通信等信息化技术不断发展,我国的地震监测、速报预警和应急服务能力得到进一步提升。
中国地震局不仅为中央和各级地方政府,为高铁、核电等国家重大基础设施行业提供专业的地震信息服务,也为社会公众提供便捷、易懂的地震信息服务。
2017年,中国地震局开始进行中国地震信息网络安全防护项目一期建设,经过近一年的努力,完成了地震系统行业网络结构的梳理,进行了节点间的安全控制与防护,并对网络重要区域进行重点安全防护,基本满足了公安部等保三级评测网络安全方面控制点的需求,能够为防震减灾事业提供更加安全、准确、高效的信息化服务。而作为该项目法人单位,承担建设任务的就是天津市地震局。
据了解,天津市地震局实行中国地震局和天津市人民政府双重领导,以中国地震局为主的管理体制。其网络安全和信息化方面的业务,主要由网络安全和信息化领导小组及其办公室负责。
目前天津市地震局的网络安全和信息化建设主要分为三大方面:
一是基础设施建设,在“十五”、“十一五”、“十二五”期间,利用三个“五年”的时间,建成了高速区域网络,并通过技术改造,实现了区域信息网络双线路冗余。目前承载着数百套网络仪器与设备等核心业务系统的运行与保障,已经成为全局信息化工作的基础支撑平台。
二是信息化支撑。目前各类业务、政务系统运行和连续率已达到98%上,在线数据存储达到40TB,可以实现辖区内地震事件的30秒超快速报和8分钟的正式测报。震后1小时内可提供灾害快速评估结果,为政府提供救灾调度辅助决策方案。
三是网络安全服务建设。利用开源网络监控平台,实现了对重要服务器主机和服务状态的监控。在网内部署了流量分析、上网行为管理、防病毒、漏洞检测等网络安全设备与系统。
来自天津市地震局地震应急信息中心的朱宏告诉记者,虽然天津市地震局系统网络安全和信息化工作已经取得了一定的进展,但是在网络安全防护、信息发布、舆情处置等方面还存在一定的漏洞和风险隐患。
随着《网络安全法》和等保2.0 制度相继出台实施,明确了重要行业和领域要在网络安全等级保护制度的基础上实行重点保护;除了进行等保1.0时代的网络定级及备案审核、等级测评、安全建设整改、自查等规定动作外,等保2.0还增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容。而且,在采购网络产品,尤其是采购网络关键设备、网络安全专用产品时,要特别关注相关销售产品是否符合国家标准,是否具有销售许可,是否由具备资格的机构安全认证合格,或者符合安全检测要求;所选择的网络服务、安全服务必须有相应的、符合国家标准的资质。
“这些对地震网络安全信息化建设,从体制机制到具体实施,都提出了更高的要求。” 朱宏表示,“对于地震局来说,最核心资产就是业务数据,最核心的需求就是要确保业务运行稳定、数据安全、不被篡改,要避免虚假信息给社会、群众带来恐慌以及其他经济损失。”
据悉,目前地震局的业务数据以数据库存储的形式居多,只有少部分数据是以文件块的形式进行存储。但无论哪种存储方式,都要以服务器作为数据载体,因此确保数据和主机的安全非常重要。
为此,天津地震局建设了包括流量分析、主机安全、防火墙等设施,来确保从网络到主机、再到数据的三方面安全,并且采取了以下安全措施:一是限制数据访问的规则和权限。对请求数据的访问进行验证,包括请求的地址是否在白名单内,对SQL注入类的攻击从代码层进行过滤。二是对重要数据进行实时备份。三是在主机层面,强制要求用户定期更换具有一定复杂度的口令,封堵已知的主机安全漏洞和后门,对已知的攻击IP在防火墙上进行封堵。
根据单位情况,结合新兴的安全技术,经过严格的调研、选型,对比多家网络安全公司的产品,在综合考虑产品性能、功能、产品技术、售后服务后,天津地震局采用了青藤云安全的主机自适应安全平台。
朱宏表示:“我们知道,青藤云安全从2017年至今已经连续三年入选Gartner的CWPP全球安全指南,产品实力是没有问题的。”
目前青藤云安全的系统已经部署在200多台服务器中,主要应用于地震前兆、地震监测和信息网络三个业务系统主机服务器。通过系统监测,可以实时看到这些应用,比如地震监测的测震系统,通过数据库进行传输,通过这套系统可以清楚地看到数据库的版本信息,以及当前存在的弱口令,或者有没有漏洞。
朱宏强调,青藤主机安全的创新之处在于强调基于业务自内而外构建安全体系,安全防护变成一项持续响应和处理过程。因为网络运维人员不可能清楚每一台服务器主机运行的业务系统架构,所以通过对主机信息和行为进行持续监控和分析,能够快速精准地发现安全威胁和入侵事件,并提供灵活高效的问题解决能力,将自适应安全理念真正落地,这一点非常重要,而且通过图表化表现形式,让运维人员更加直观的了解攻击途径等信息。
如弱口令的问题。其实弱口令的问题是普遍存在的,对于安装了青藤Agent的服务器,运维人员可以一目了然的看到主机、应用、数据库层面有哪些服务器存在弱口令。而且根据资产梳理的标签功能,可以联系到服务器的运维人员,及时提醒他修改相关口令。
还有漏洞修复问题,每当爆出一个新的系统漏洞,可以根据青藤的提示,查询漏洞涉及到的主机资产,确定漏洞可能影响的业务范围,再根据青藤云安全服务团队提供的专业修复建议,提示服务器管理人员完成漏洞修复。
而在面对0Day漏洞和APT攻击时,除了加强职工安全意识,天津地震局还采用了主动防御方法,在关键的业务主机上使用了蜜罐技术,在单位内部的网络环境中部署了青藤的主机安全防护系统,在日常运维过程中,对重要的服务器进行定时巡查。
朱宏介绍,“有一次,我们突然接到青藤产品告警,发现了内网主机有暴力破解和反弹shell。于是我们迅速展开排查工作,快速确定了失陷主机。通过对日志和操作审计的分析,进一步完成了溯源,确定了黑客的入侵来源,还原了黑客的整个攻击过程。最后,我们利用青藤的蜜罐功能,部署了大量的蜜罐服务器,并在防火墙上对该黑客IP进行封堵,确保了数据和主机的安全。”
如今,天津地震局通过使用青藤主机自适应安全平台,无论黑客使用什么方法入侵,通过对敏感指标进行持续的监控和分析,都能第一时间识别攻击并迅速响应。“我觉得这种自内而外的防护,就是未来安全技术的发展趋势。” 朱宏总结到。