第 6 期2020 年 12 月
水利信息化
Water Resources Informatization
NO.6Dec .,2020
钱 峰,张 潮
(水利部信息中心,北京 100053)
收稿日期:2020-06-11
作者简介:钱峰(197 -),男,辽宁朝阳人,高级工程师,主要研究方向为水利信息化和网络安全。E -mail:****************
摘 要:近年来,水利部多次参加水利部网络安全与信息化领导小组办公室等单位组织的模拟真实网络攻击场景的网络安全攻防演练。通过实际防守工作,检验网络安全防护体系,锻炼人才队伍,提升网络
安全防护水平。在应战防御中,采取以数据为核心,全面监测、智能联动、0Day 漏洞防御、战术动态调整等有效应急响应防守措施,并充分利用攻防演练促进网络安全纵深防御、监测预警和应急响应能力建设,获得较好效果。关键词:网络安全;攻防演练;监测预警;应急响应
中图分类号:TP393.0 文献标识码:A 文章编号:167 -9 05(2020)06-0017-0
DOI: 10.1936 /j.167 -9 05.2020.06.00
0 引言
网络安全是国家安全的重要组成部分,党的十八大以来,以习近平同志为核心的党中央高度重视网络安全工作,不断推进理论创新和实践创新,形成了习近平总书记关于网络强国的重要思想,提出:“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民众利益也难以得到保障。”《中华人民共和国网络安全法》《国家网络空间安全战略》《中华人民共和国密码法》《网络安全审查办法》等法律法规和顶层设计相继出台。网络安全等级保护建设也逐渐深入,等级保护相关标准于 2019 年完成更新修订。网络安全已上升到国家战略高度,水利行业作为关键信息基础设施的重要组成行业之一,深入贯彻《中华人民共和国网络安全法》要求 [1],网络安全建设逐渐完善,《水利网络安全顶层设计》《水利网络安全管理办法(试行)》《智慧水利总体方案》等行业技术和管理文件相继出台,构建了网络安全行业架构。行业各单位在推进水利信息化和智慧水利建设的同时,明显加大了对
于网络安全体系的建设力度,包括水利部机关在内的多个单位已初步具备网络安全态势感知能力,行业网络安全联防联动局面初步形成。
为贯彻习近平总书记提出的“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”重要论述,水利部高度重视网络安全攻防演练工作,水利部领导多次作出指示部署工作,该工作已成为水利部网络安全与信息化领导小组办公室的常规工作之
一 [2]。模仿实战的网络安全攻防演练不仅是检验网络安全防护水平的重要手段,更是促进网络安全防护体系不断完善升级的重要推手,同时为培养行业网络安全综合人才提供平台,还有助于提高行业工作人员的网络安全意识。
网络安全的战场毫无硝烟,可能潜伏多年,也可能瞬间爆发,攻防双方又存在天然的不对等局面。网络安全建设成效很难量化,一点疏忽就可能全盘皆输。同时,网络安全工作中堆砌网络安全设备毫无意义,维护运营工作更为重要。在这种背景下,模拟真实网络安全攻击场景的网络安全攻防演练可以起到很好的检验促进作用 [3]。此类攻防演练攻击方特点是在真实网络环境中进行测试,锁定重要目标系统,不限制攻击路径,可以使用钓鱼邮件甚至社工攻击。作为防守方主要任务是充分利用网内网络安全监测和防护设备,组织应急响应队伍,开展实时的威胁发现和事件处置工作,与攻击方进行对抗。
从水利部参加的多次攻防演练来看,要取得较好的防守效果,打造可对抗有组织攻击的网络安全防护能力,首先要正确看待攻防演练中的防守工作,消除抵触心理,积极准备面对。其次要逐渐将网络安全防守工作由被动变主动,主动发现攻击威胁甚至反制溯源攻击者。最后是要充分借助攻防演练的机会,将事前准备、迎战防御、总结整改充分与网络安全纵深防御、监测预警、应急响应等能力建设结合起来,完善防护体系、打磨人员协同能力、优化应急预案,实现攻防演练效益的最大化。
水利信息化2020 (6) 1
本研究将主要从水利部机关作为防守方的经验出发,对攻防演练意义、防守关键做法和利用演练提高防护能力等方面进行阐述。
1 正视网络安全攻防演练防守工作
同真正的战争一样,思想是战术战略成功的保障。防守方应正确看待网络安全攻防演练中的防守工作,珍惜真实网络空间对抗机会,积极准备、发现处置攻击事件、堵塞内部漏洞,整体提高网络安全防护水平。不应采取前期断网下线、演练结束后再上线等消极方式进行攻防对抗,那样失去了攻防对抗的意义,无法发现解决网内的各类重要漏洞,一旦出现真实攻击甚至网络战情况,所造成的损失不可挽回。
1.1 网络安全攻防演练是检验提升网络安全防护体系的手段
网络安全防护体系建设的重要目标是对外监测抵御网络攻击,对内发现堵塞漏洞,保障网络空间内信息系统、重要数据、个人信息、设备设施的安全稳定运行。网络安全本身是一件极其复杂的工作,需要技术、管理、人员、标准制度多方面的有机配合,且永远做不到百分之百的安全。在进行了一段时间网络安全建设,具备一定防护能力后,很多单位会存在“安全设备配置到位了,网络就万无一失了”的错误认识。透过网络安全攻防演练防守,可以有效检验现网中的网络安全防护体系的真实水平,提升能力,重点关注以下方面:
1)检验网络安全设备设施等基本装备,完善纵深防御能力。在真实的网络攻击场景下可以很好地梳理发现设备设施日常使用中的问题,清理存在的错误配置、功能未开启、危险策略等问题,更好地对已有的防护设备进行优化配置。同时也是对基础防护查漏补缺的机会,发现网络边界防护不到位、内部防御手段缺失等问题,确定下一步要补强的方向。
2)通过密集的网络安全攻击优化监测预警能力。在日常的网络安全运营中,尽管都部署了网络审计、数据库审计、入侵监测、Web 防火墙、网络安全管理中心(SOC)、威胁感知系统等各类风险威胁监测设备系统,但缺乏大量的负面攻击样本检验真实的网络安全监测预警能力。充分利用攻防演练带来的密集攻击,对网内的监测设备系统进行优化调整,不断与业务深度结合,有效提高监测预警能力。
3)通过网络安全事件处置打磨应急响应能力。在防守中,必然会出现漏洞被利用、系统被入侵等各类
网络安全事件。应急处理中可以充分结合人员和技术设施,梳理优化应急响应流程,形成有效固化的应急预案,为面对真实网络攻击积攒有效经验。
1.2 网络安全攻防演练是培养水利网络安全人才的平台
目前,随着网络安全形势的逐渐严峻,网络空间对抗成为常态。各行各业都面临网络安全人才短缺的严重问题,水利行业尤其严重,各单位都缺乏专业的网络安全人才。网络安全人才需要较强的综合素质,应具备网络、安全、业务、服务器、中间件、操作系统、数据库等多方面知识,还应充分理解各项水利业务。只能随着行业自身的信息化和网络安全建设过程,逐渐培养能挑大梁、能对抗的水利网络安全人才队伍。应充分利用网络安全攻防演练的防守工作,实际处理各类网络安全问题,提升网络安全知识技能。尤其是深入与业务交流,理解各类水利业务系统,知悉业务运行的规律,解决网络安全与业务便利的矛盾。锻炼一支与水利业务融合、共同发展进步的网络安全人才队伍,更好地保障智慧水利发展。
1.3 网络安全攻防演练是提高网络安全意识的机会
习近平总书记对网络安全宣传周工作作出重要指示,提到网络安全工作要坚持网络安全为人民、网络安全靠人民[ ]。对于水利行业的网络安全也是一样,一支专业的网络安全队伍只是基础,全行业所有工作人员对网络安全的认识和共同防护更为关键。通过网络安全攻防演练,工作人员有机会真正面对
账号丢失、终端中毒、钓鱼邮件、社会工程学攻击等各类较为极端的网络安全情况,提高对于网络安全威胁及损害的理解,推进彻底整改弱口令、安装使用杀毒软件等。各业务系统的建设方和使用方,会真正看到网络安全攻击会对水利业务甚至国家安全造成的巨大损害,从而真正在建设使用过程中更加重视网络安全。同样通过攻防演练,提高个人对于隐私泄露、网络、钓鱼邮件等方面的网络安全防范意识。
2 以网络安全大数据分析为基础开展全面防守监测
攻防演练的防守工作中,及时发现攻击是至关
19
第 6 期钱 峰等:以数据为核心开展网络安全攻防演练防守重要的第一步。智慧水利总体方案中对网络安全体系建设提出了纵深防御、监测预警、应急响应的技术能力体系 [5]。 2020 年以来,水利部网络安全威胁感知指挥决策系统上线使用,极大提升了水利部网络安全监测预警和应急响应能力,彻底扭转了被动挨打局面,在多次攻防演练中发挥巨大作用。
不同于传统的“流量探针 + 服务器”的“灰盒子”网络安全监测系统架构,水利部网络安全威胁感知系统借鉴业务大数据中台的理念,创新性地采用安全数据采集为基础、网络安全大数据平台为核心、算法模
型为上层安全应用的方案,如图 1 所示。本系统中,网络安全大数据平台提供核心的数据、存储、计算资源,目前具备超过 1.5 PB 的磁盘存储空间、6 00 GB 内存空间和 5 Core 的计算能力。从海量多源异构的数据思想出发,采集了包括网络流量、安全设备、主机日志、防护软件日志、网络设备、应用日志、漏扫系统、第三方威胁情报、水利行业情报等各类网络安全相关数据,且通过数据治理构建了网络安全基础库、主题库和实时数据库。制定了水利部流量日志标准、网络安全情报标准、主机日志标准等 10 余类数据标准,当前已形成了约 500 TB 的数据总量,相关数据 17 类,每日实时接入数据量约 600 GB ,提供每日更新的活跃安全情报数据约 3 300 万条。在标准化的数据和批流计算引擎等大数据计算模式的支撑下,上层网络安全分析应用已开发部署超过 150 个威胁场景和30 多个网络异常的检测模型,覆盖网络攻击链条中的侦查跟踪、载荷投递、漏洞利用、安装植入、命令控制和目标达成等各个阶段。
高强度高密集高水准的网络安全攻击是攻防演练阶段与日常网络安全运营存在的重要区别之一。
图 1 水利部威胁感知总体方案与传统方案对比
针对攻防演练,利用已有的各类标准化数据,可迅速对监测预警进行多方面优化:1)迅速实现业务异常监测。在集中了各类数据后,对 30 多项重要业务的访问关系、流量、维护操作、用户体画像等多维度数据进行梳理分析,通过建立各业务系统的正常工作模型,实现了对异常访问的实时发现、分析和处置。2)全网网络安全威胁报警一体化展示分析。通过网络安全威胁感知指挥决策系统,汇集所有网络安全攻击威胁、漏洞利用、弱口令情况,实时发现各级别真实告警,消除大量误报,并集中展示于防守作战大屏,通过定时刷新与创新性的声音画面报警,将各类威胁报警突出展示,提高分析处置效率。在实际演练过程中,多次发现漏洞被利用成功的情况,但都在攻击者刚开始发起试探和扫描的几秒钟内,防守动作已完成,及时中断恶意连接,没有留给攻击者进一步渗透的机会,避免了对业务
和网络的影响。3)强化设备处置智能联动。水利部威胁感知指挥决策系统实现了与防火墙等安全设备的策略自动联动,可自动封堵恶意攻击,避免了攻击方过多的搜集网内情报和发现可利用漏洞。 )与高仿真蜜罐系统紧密联动。在业务网和互联网区域分别部署了多个蜜罐系统,仿真了真实的水利业务系统。实现蜜罐访问、报警数据与威胁感知指挥决策系统的联动,并通过与其他访问日志联合分析,及时发现恶意攻击,同时获取攻击者相关信息,为溯源反制提供支撑。
3 以网络异常为抓手防御 0Day 漏洞攻击
攻防演练时期,同样是各类网络安全设备、第三方软件、各类应用系统的漏洞集中爆发期,其中免不了较新漏洞甚至 0Day 漏洞被攻击方利用,成为攻击方撕破防守方防线的杀手锏。常规的手段很难起到防守作用,水利部针对 0Day 攻击专门部署了相关防御措施,最大程度监测发现并降低攻击影响,具体措施如下:
1)严格 VPN 、堡垒机等各类网络安全设备的安全控制。设备全部采用多因子认证方式,避免弱口令、信息泄露等造成的权限丢失。在此基础上另外增加了设备管理的网络地址白名单控制,避免漏洞被轻易利用。此外,通过网络安全威胁感知系统部署 10 多条异常规则监测,重点监控各类设备的异常行为,包括用户的登录登出、增删改行为等。在多次演练中,未受到安全设备 0Day
漏洞的影响,并通
挑大梁
▲网络安全天花板明显▲无法持续提高水平
传统建设方案
应用
据综合分析 ▲可持续提高监 测水平
过异常日志中的试图利用行为反向发现多个恶意 IP。
2)通过业务的异常行为及时发现处理威胁。网络安全大数据平台综合了各类安全日志与应用日志,可以方便实现业务细粒度安全监测。以某OA 系统为例,针对该系统部署了用户异常登录、内部路径异常越权、不常见文件上传下载等安全监测算法模型。在某次演练中,攻击队疑似利用该 OA 软件的文件上传 0Day 漏洞进行了图片木马、PhP Shell 的试探。威胁感知系统通过不常见文件上传下载监测模型迅速发现异常行为并发出报警,防守人员及时处置了本次攻击行为,未造成任何影响。
3)及时跟踪外部漏洞情报,进行升级加固。在演练期间,及时跟踪各类网络安全产品设备、第三方软件、软件开发商的 0Day 漏洞。通过联动网络安全监测预警决策指挥系统的资产信息进行第一时间修复。在被攻击者利用之前,将漏洞修复,不给攻击者可乘之机。
以实时战况分析为依据科学动态调整防守策略
网络安全战争同实际军事战争一样,战场瞬息万变,敌我双方在不停地开展战术、打法、心态、体力的全方位斗争。应制定总结调整机制,及时根据实时战况动态调整防守策略,具体如下:
1)及时调整防守技术力量。人员力量是防守工作的根本支撑,在实际攻防演练中,应根据实际情况及时调配人员技术力量,补充防守短板,保障攻击发现、应急处置、追踪溯源等全链条有效衔接。在某次攻防演练开始后,防守指挥部及时根据被攻击情况,调整补强了追踪溯源人员队伍,取得较好成效。在演练中溯源到多位攻击者的姓名、地址、网络身份等真实可信信息;深入分析了钓鱼邮件的恶意样本,发现了其背后的证书和公司信息;还在溯源某一攻击者时发现了一个黑产平台。
2)根据实际战况及时调整防守重心。在某次攻防演练开始的前几天内,防守重心集中在互联网侧,发现防御了来自互联网侧的大量攻击。演练进行 1 周后,根据当时的攻防情况和数据分析,指挥部认为攻击方的重点已经转移到各直属单位及省市县水行政主管部门的网络资产。同时指挥部做出了攻击方已经在水利骨干网内存在据点的判断,将防守的重点从互联网调整至骨干网。基于此,及时调整了多台监测探针的部署位置,增加了对行业内部各单位网络边界的监测防守力量,监测处置骨干网内多个失陷 IP。并迅速组织水利行业各单位进行了联合处置和情报预警封堵,保证了水利骨干网的安全稳定,守卫住了多个重要的全国性水利业务系统。
3)实时优化调整网络安全监测能力。在某次攻防演练开始后,根据实际防守工作需求,对网络安全监
测预警系统进行了多项优化:a. 增加了统一报警界面的实时刷新与声音报警功能,保证监测人员的处置效率;b. 增加了多台防火墙的自动黑名单联动,保证对扫描攻击实现“机器 VS 机器”的防御效果;c. 根据实际业务情况和现场网络安全监测分析人员的人工分析结果,优化暴力破解、垂直越权、敏感数据外发等算法模型超过 50 个,大大提升监测能力,降低误报率;d. 增加与水利蓝信、水利部网络安全情报中心的联动,实现可将恶意 IP、高危漏洞等信息直接形成水利行业情报信息,并通过水利蓝信向有关单位和防守监测人员直接发送,提高网络安全情报预警能力,提前堵塞漏洞,降低行业整体网络安全风险。
5 结语
本研究主要介绍了水利部在实际攻防演练防守工作中的部分有效措施,从防守意义和手段、提升能力等方面进行了阐述,为攻防演练中的防守工作指出了重点和发展方向。通过网络安全攻防演练,不仅可以发现网络安全技术和管理方面的不足,还可以为真正面对有组织的网络攻击积累宝贵经验,培养行业人才队伍,助力全面无死角、主动智能的水利网络安全防线建设,保障国家关键信息基础设施安全,支撑智慧水利健康发展。
参考文献:
[1] 蔡阳. 贯彻《网络安全法》构建水利网络安全保障体系
[J]. 水利信息化,2017 (3): 1- .
[2] 水利部信息中心. 叶建春听取水利部网络安全攻防演练
工作情况汇报[J]. 水利信息化,2019 (3): 67.
[3] 周云峰,叶大区. 通过实战攻防演练审视政务网络安全
体系建设[J]. 中国信息安全,2019 (1): 3- 5.
[ ] 新华通讯社. 习近平对国家网络安全宣传周作出重要指示强调坚持安全可控和开放创新并重提升广大人民众在网络空间的获得感幸福感安全感[J]. 中国信息安全,2019 (9): 2 .
[5] 詹全忠,张潮. 智慧水利总体方案之网络安全[J]. 水利信
息化,2019 ( ): 20-2 ,29.
(下转第 2 页)
Runoff prediction method based on CNN deep learning and its application
TANG Haihua, LI Qi, HUANG Liyao, ZHOU Chao
(Changjiang Survey , Planning , Design & Research Co ., Ltd ., Wuhan 30010, China )
Abstract: The complicated flood forecasting process is simplified to runoff prediction task for rapid prediction of stream flow grade. Learning from application of convolutional neural network (CNN) in image recognition, this paper studies and proposes the runoff prediction method based on CNN deep learning. It deeply analyzes the key link which contains sample processing, network building, parameter calibration, performance testing, accuracy check and knowledge training, and proposes the runoff prediction method based on CNN deep learning. According to the historical operation data of a reservoir from 200 to 2017, it builds an example of CNN model for runoff grade prediction. The parameters are trained by 61362 samples. The model is tested with 17532 samples. The accuracy is checked by 766 samples. The prediction accuracy of the runoff grade reaches 92.9 %. The results show that CNN runoff prediction method can be.used as an important basis for flood control situation analysis and making decisions in consultation.
Key words: convolutional neural network; deep learning; runoff prediction; flood forecasting
Practice of high availability improvement of central database and
operating environment of business network
CHEN Zhenxuan 1, FAN Yu 'nan 1, ZHANG Yi 2, YANG Liu 1
(1. Information Center , the Ministry of Water Resources , Beijing 100053, China ;2. Beijing Jinshui Information Technology Development Co ., Ltd ., Beijing 100053, China )
Abstract: The article brie fly introduces the present situation and problems of the database of the Ministry of Water Resources in the process of water conservancy informatization development. It analyzes the relation between data availability and consistency, RTO and RPO, usability evaluation indicators of database, proposes high availability improvement target of database, provides the database high availability technology, discusses solutions to high availability of database such as Data Guard and ASM, detailedly describes actualizing approaches to high availability of database. Finally, it eliminates single point failure of database and storage, improves database security and availability, provides support for stable operation of water information system.Key words: high availability of databases; Data Guard; ASM
(上接第 36 页)
Data centric defense in network security attack and defense drill
QIAN Feng, ZHANG Chao
(Information Center , the Ministry of Water Resources , Beijing 100053, China )
Abstract: In recent years, the Ministry of water resources has participated in many network security attack and defense drills organized by the network security, Network informatization Leading Group office and other units, which simulate real network attack scenario. Through actual defense work, it tests the network security protection system, trains the talent team, and improves the network security protection level. In the defense against the challenge, with data and rapid response as the core, the Ministry of water resources has taken effective defensive measures, such as comprehensive monitoring, intelligent linkage, 0day vulnerability defense and tactical dynamic adjustment. Making full use of the attack and defense drills, the defense in depth, monitoring and warning and emergency response capabilities are improved.
Key words: network security; attack and defense drill; monitoring and warning; emergency response
(上接第 20 页)
发布评论