奇安信助力常州電子政務安全實現三個“第一時間”
釋出日期:2021-04-06 作者:奇安信
安全是什麼?對於網絡安全從業者來説,是沒有黑客攻擊、病毒入侵;而對於疫情時期的普通大眾來説,安全就是隨身必備的口罩。
2020年2月,全國各地出現新冠疫情,無論是各大電商平台,還是線下藥店,都是“一罩難求”。就在此時,常州市政府在互聯網公眾服務平台“我的常州”上線了“口罩預約”的功能模塊,以便解決常州市民們的燃眉之急。
“當時市民對口罩的需求非常迫切,本着便民優先的原則,我們來不及走完所有的安全流程,僅通過普通安全測試後就上線了。”常州市大數據中心電子政務管理處處長周風波回憶道,“上線後,該功能使用非常火爆,訪問量激增,各類DDoS攻擊、黃牛黨刷票搶號也接踵而來,幾乎讓我們措手不及,更給平台的正常服務帶來了極大挑戰。”
作為常州大數據中心的網絡安全合作伙伴,奇安信第一時間提供了全流量威脅感知設備、安全事件預處置服務等,加固了“我的常州”安全性,同時還通過技術防護手段徹底解決了黃牛搶口罩的問題,確保每個口罩都能送到市民手中。
“如果沒有平時對網絡安全建設的持續重視,很難想象,遇到這種突發情況時該如何應對。”周風波表示。
三個“第一時間” 對安全隱患零容忍
“網絡安全問題,必須第一時間處理,一刻也不能等。”談到電子政務的網絡安全建設,周風波將實時、高效放在了首要位置。
眾所周知,電子政務平台承載着政府核心業務、敏感數據、公眾服務等內容,一旦被攻擊,就可能對社會秩序、公眾利益、政府形象等造成嚴重影響,危害性不可估量。然而近年來,全球針對政府機構的網絡攻擊層出不窮,常見攻擊類型有數據泄露、勒索軟件、DDoS攻擊、APT攻擊、釣魚攻擊以及網頁篡改等。
在國外,2020年12月,俄黑客被指入侵美政府多個機構,超九成500強公司受影響;2020年6月,美國200多個公檢法部門泄露296GB數據文件;2019年5月,俄羅斯政府網站泄露225萬用户隱私;2019年3月,美國聯邦應急管理局泄露230萬災難倖存者個人信息。在國內,2018年5月,重慶涉外黑客入侵700餘個政府機關網站掛黑鏈……
常州,一座有着3200多年曆史的文化古城,經濟總量方面一直穩居全國前30位。在信息化方面,常州市電子政務大數據共享交換平台於2018年立項啓動,2019年建設完畢,目前平台承載着500萬自然人的數據,加上法人、空間、地理、35家單位等,總數據量超過16億條。這些數據屬於高價值、高敏感性信息,一旦泄露,將對企業和公民造成很大的影響。
除了數據泄露的風險之外,挖礦木馬肆虐也是常州電子政務面臨的難題。“捕捉挖礦木馬也是一場警察抓小偷的鬥智鬥勇。”周風波分享了一個故事,“挖礦木馬對顯卡要求高,也會佔用CPU運算資源,因此,政務雲平台對CPU利用率有預警機制。但是有些木馬學壞了,卡着閾值設置值,例如政務雲的機制是資源使用量超過95%觸發報警,那麼這些木馬將CPU資源使用量上限設置在85%以下,極其隱蔽,如果不通過專業的安全管理平台,就無法發現他們,導致政務硬件資源被挖礦者濫用。”
“考慮到電子政務的很多業務系統和數據都和國計民生緊密相關,我們在安全上一直在強調三個‘第一時間’:政務網裏的安全風險,要第一時間知道;對於新型的APT攻擊檢測和應對方案,要第一時間通報下去;一旦有安全事件發生,安全人員要第一時間進行響應和處置。”周風波談到。
首創“1+N”模式實現市區聯動 補齊安全短板
“聰者聽於無聲,明者見於未形。”2016年4月19日,習近平總書記在網絡安全和信息化工作座談會上指出,感知網絡安全態勢是最基本、最基礎的工作,要全面加強網絡安全檢查,摸清家底,認清風險,找出漏洞,通報結果,督促整改。
常州在態勢感知和安全管理建設方面,不僅完成了省級電子政務管理部門的要求,還在2018年底,與國內領先的網絡安全公司奇安信合作,通過部署態勢感知與安全運營平台(NGSOC),開創性實現了“市+區”聯動的“1+N”安全管理模式,將態勢感知能力覆蓋到區級單位,從多個層面補齊了安全短板,強化整體平台的安全性。
首先,“1+N”模式實現的市區聯動,讓分佈在五個區、40多個委辦局的安全能力真正實現了拉齊。
“儘管常州下轄的區數量不多,但發展差異很大。例如武進區經濟能力很強,信息化程度高,也有專業的安全團隊,其他很多區的信息化水平和安全建設就比較薄弱,沒有統籌考慮,只有簡單的防病毒等終端安全措施。假如不採取‘1+N’模式,一旦常州發生安全事件時,對威脅的發現和響應就會很滯後。同時在區一級單獨建安全項目比較難操作,成本也較高。”
圖:功能架構
通過“1+N”的模式部署奇安信NGSOC,很好解決了這些難題。將各區安全響應能力拉齊,彌合和各區之間安全水平參差不齊的差距。尤其是NGSOC具有很強的兼容性,能夠和運維軟件實現兼容,進而對全市政務網安全態勢瞭如指掌。
其次,市區聯動的態勢感知方案,強化了威脅分析和溯源功能,為定責提供充分依據。周風波回憶,在過去,當出現安全事故的時候,找不到具體的責任品牌,很多安全事件、很多安全設備都有關聯,很難定責。部署了NGSOC之後,通過溯源分析可以及時有效定位問題發生點。
值得一提的是,NGSOC在攻擊回溯和調查取證方面具有領先業界的創新。例如奇安信在業界率先提出了冷熱數據的概念,對於最近時間發生的高頻查詢數據,通過熱數據模式存儲,整體的數據搜索方面會支持百億級的數據秒級檢索,業界遙遙領先。而在調查取證方面,通過人、數據和工具組成的一個三維的協同聯動,可以深入、多角度研判威脅,並還原整個威脅事件。
第三,“1+N”模式的市區無縫聯動,大大提升了重大安全事件的響應速度。常州市電子政務中心通過NGSOC安全管理平台,及時向各級單位下發安全風險通告函,包括相應問題的解決方案。
周風波舉了一個例子,在鐘樓區某終端對MSSQL數據庫服務器執行了惡意代碼,將會導致獲取到服務器權限,導致數據遭到破壞、更改和泄露。通過NGSOC安全管理平台,安全運營人員及時下發了安全風險告知函,修復了數據庫的惡意代碼,將安全隱患消弭於無形。
最後是,NGSOC和奇安信天擎的聯動,使得高危漏洞的修復效率獲得顯著提升。據周風波回憶,在項目實施過程中,通過NGSOC挖掘出的高危漏洞有1500多個,分散在各區各地,如果用傳統的修復手段,無疑是一個浩大的工程。通過天擎終端安全管理系統,就可以統一管理,統一升級,統一打補丁,快速完成漏洞修復。加上奇安信駐場人員提供的專業安全運營服務,此類問題處理比預期快了很多。
圖:外部威脅態勢
此外,NGSOC的可視化展示能力,也讓常州電子政務客户記憶深刻。NGSOC可提供11個展示內網態勢感知的大屏視圖:全網脆弱性態勢、資產態勢、威脅預警態勢、攻擊者態勢、綜合安全態勢、安全運營態勢、外部威脅態勢、內網威脅態勢、資產風險態勢、業務資產外連態勢、攻防演練態勢,分別從不同的安全運營角度對網絡安全態勢進行呈現。如此豐富的維度,讓客户對從市到區的電子政務外網安全態勢具有全局把控。
圖:內網威脅情況
實戰攻防驗證安全水平 未來有望向全省推廣
“沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民羣眾利益也難以得到保障。”政府的核心業務平台需要平穩運行,企業和公眾的重要數據需要多重防護,在以NGSOC為主的安全管理方案助力之下,常州電子政務的網絡安全水平處於全省領先地位。
據介紹,在2020年針對關鍵信息基礎設施進行實戰攻防演練的工作中,NGSOC安全管理平台作為防守方,結合駐場安全運營的人員,成功監測及防護住了各種攻擊行為,發現並處理了3000餘條高危告警。
而且,憑藉NGSOC優異的安全能力表現,常州電子政務平台在2019年等保1.0的三級標準得到89.77分,2020年等保2.0的標準89.38分,真正實現了花小錢辦大事的效果。
對於未來,周風波表示,常州市“1+N”市區聯動模式有望向江蘇省全省推廣,為建立“省-市-區”三級聯動安全管理平台,提供很好的示範樣板。