360企業(yè)安全集團(tuán) 黃 海

安全態(tài)勢感知系統(tǒng)

360企業(yè)安全集團(tuán) 黃 海

1 網(wǎng)絡(luò)安全監(jiān)控常態(tài)化

隨著信息技術(shù)發(fā)展，城市的建設(shè)速度正在加快，人民的生活也更加便利，各種網(wǎng)站、互聯(lián)網(wǎng)在線資源、移動(dòng)互聯(lián)網(wǎng)應(yīng)用正帶動(dòng)整個(gè)城市經(jīng)濟(jì)、生活的高速運(yùn)行。但同樣也帶來了更高的風(fēng)險(xiǎn)。

由于互聯(lián)網(wǎng)信息技術(shù)的大量應(yīng)用，大量重要信息資產(chǎn)暴露在互聯(lián)網(wǎng)開放的環(huán)境下，經(jīng)常招致大量黑客的攻擊從而會導(dǎo)致：網(wǎng)站信息被篡改，出現(xiàn)反動(dòng)言論、非法信息、不良廣告；網(wǎng)站服務(wù)中斷、無法繼續(xù)提供公眾服務(wù)；重要的公眾隱私數(shù)據(jù)泄露；重要的涉密信息泄露；重要企業(yè)的機(jī)密商業(yè)信息泄露。

這些事件均會對公眾生活造成負(fù)面影響，對政府形象造成巨大損害，同時(shí)也成為一大重要的社會不穩(wěn)定因素。

傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)更多注重網(wǎng)站或單位個(gè)體的安全檢測和防護(hù)，難以為管理者呈現(xiàn)完整的安全情況全景。由于安全問題的信息僅集中在各單位內(nèi)部，導(dǎo)致常出現(xiàn)瞞報(bào)遮掩、不作為等行為，阻礙對信息安全不斷改進(jìn)工作的進(jìn)行。

針對這種情況，新型信息化城市急需建立起一整套安全監(jiān)控體系，對各種信息安全問題進(jìn)行全面監(jiān)控，從整體安全視角對全市安全情況進(jìn)行審查，并能知廣見微，針對個(gè)別信息安全問題進(jìn)行細(xì)節(jié)分析，再協(xié)同各個(gè)單位和機(jī)構(gòu)對問題進(jìn)行及時(shí)處理。

1.1 重點(diǎn)單位監(jiān)測將持續(xù)強(qiáng)化

重要經(jīng)濟(jì)區(qū)域的城市通常駐有大量國家和區(qū)域重點(diǎn)單位，為整個(gè)區(qū)域發(fā)展發(fā)揮了不可估量的作用。這些單位的信息安全問題將帶來重大的經(jīng)濟(jì)和政治影響。因此，對相關(guān)單位需進(jìn)行更高強(qiáng)度的持續(xù)安全監(jiān)控。同時(shí)，相關(guān)市民大量使用水電燃?xì)?、行政管理等公眾服?wù)系統(tǒng)。黑客對相關(guān)單位和系統(tǒng)進(jìn)行攻擊后將直接造成重大社會影響。

隨著近期網(wǎng)絡(luò)攻擊手段的升級，相關(guān)案例和事件在全球范圍內(nèi)大量出現(xiàn)。例如，2013年韓國大量銀行遭黑客攻擊，導(dǎo)致交易中斷。2015年底，烏克蘭電力系統(tǒng)遭黑客攻擊，直接導(dǎo)致電力中斷近6個(gè)小時(shí)。2016年全球銀行轉(zhuǎn)賬支付平臺SWIFT重大漏洞，導(dǎo)致孟加拉國央行損失8100萬美金。

國家《網(wǎng)絡(luò)安全法（草案）》中第25條明確提出“國家對提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng)，軍事網(wǎng)絡(luò)，設(shè)區(qū)的市級以上國家機(jī)關(guān)等政務(wù)網(wǎng)絡(luò)，用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)（以下稱關(guān)鍵信息基礎(chǔ)設(shè)施），實(shí)行重點(diǎn)保護(hù)?！?/p>

在這種背景下，重要城市需對全市重點(diǎn)單位的信息安全情況進(jìn)行重點(diǎn)監(jiān)控，尤其是重點(diǎn)單位的網(wǎng)站漏洞、受攻擊事件；重點(diǎn)單位的高級威脅攻擊事件；重點(diǎn)單位在外暴露的其他資產(chǎn)及相關(guān)漏洞；為民眾生活提供基礎(chǔ)服務(wù)的網(wǎng)站可用性；重點(diǎn)單位的文件泄密行為。

1.2 網(wǎng)絡(luò)資源監(jiān)管需要全面覆蓋

信息安全問題目前正隨著移動(dòng)互聯(lián)網(wǎng)及全面信息化的浪潮而擴(kuò)展到了各種系統(tǒng)的方方面面。具體表現(xiàn)為下面幾種趨勢：

（1）物聯(lián)網(wǎng)安全問題日漸突出

目前網(wǎng)絡(luò)安全問題已由普通的操作系統(tǒng)及Web服務(wù)器擴(kuò)展到了大量嵌入式系統(tǒng)和移動(dòng)設(shè)備。

物聯(lián)網(wǎng)設(shè)備面臨重大安全威脅。2015年?？低晹z像頭被境外組織控制，用于DDoS攻擊，并可進(jìn)行視頻監(jiān)控。智能汽車、監(jiān)控?cái)z像等設(shè)備已普遍存在于城市生活中，一旦出現(xiàn)安全問題，勢必影響巨大，輕則造成人員損傷，重則直接造成交通癱瘓及國家重要信息泄露。

（2）工控系統(tǒng)面臨重大威脅

安全問題除影響嵌入式系統(tǒng)或移動(dòng)設(shè)備，還影響更基礎(chǔ)的工業(yè)控制領(lǐng)域。我們?nèi)粘Ｋ璧墓姺?wù)大量依靠工業(yè)控制系統(tǒng)。在過去的封閉體系內(nèi)，這些系統(tǒng)沒遇到太多安全困擾，整個(gè)供應(yīng)鏈和使用體系都缺乏必要的安全應(yīng)對經(jīng)驗(yàn)和認(rèn)識。

但在互聯(lián)網(wǎng)開放和智慧城市融合的背景下將面臨重大威脅。不僅僅是技術(shù)層面的挑戰(zhàn)，還將面臨意識、管理、服務(wù)、供應(yīng)鏈等多方面的問題。

（3）個(gè)人信息無處不在

為了給廣大人民群眾提供更為便捷的生活服務(wù)，各種系統(tǒng)大量存儲了居民個(gè)人信息，包含賬戶名、密碼、郵箱、真實(shí)姓名、住址、電話等等。大量公民信息可能被黑客通過各種系統(tǒng)獲取。

以上問題，都導(dǎo)致目前城市信息安全所面臨的問題比以往任何時(shí)候更加復(fù)雜。在這種復(fù)雜情況下，如何落實(shí)信息安全保障的任務(wù)將是工作重點(diǎn)，也是難點(diǎn)。

1.3 預(yù)警響應(yīng)機(jī)制需高效運(yùn)行

在建立常態(tài)化、有重點(diǎn)、全覆蓋的網(wǎng)絡(luò)安全監(jiān)控體系后，城市安全面臨的更大問題是如何快速地對安全問題進(jìn)行響應(yīng)和處置。如不能推動(dòng)相關(guān)問題解決將大大降低系統(tǒng)的價(jià)值。

傳統(tǒng)安全防護(hù)體系下，各單位的安全管控各自為政，導(dǎo)致相關(guān)問題的處理完全依賴于單位自身的重視程度。安全主管單位面臨著有主管權(quán)利，但缺乏主管手段的窘境，在發(fā)現(xiàn)安全問題后，僅能通過發(fā)函的方式通知相關(guān)單位進(jìn)行整改，導(dǎo)致效率較低、缺乏指導(dǎo)性。整改效果也難以進(jìn)行評估和驗(yàn)證，直接導(dǎo)致傳統(tǒng)的監(jiān)管和響應(yīng)體系耗費(fèi)巨大，但收效有限。

在智慧城市的背景下，公安網(wǎng)絡(luò)安全監(jiān)察部門需要有一套與安全問題監(jiān)控系統(tǒng)相配套、相適應(yīng)的預(yù)警、通報(bào)、響應(yīng)系統(tǒng)，能夠?qū)Π踩珕栴}進(jìn)行及時(shí)有效的處置，包括對發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)隱患、漏洞能及時(shí)通知責(zé)任單位進(jìn)行整改，并能跟蹤整改狀態(tài)；對安全問題可以進(jìn)行匯總統(tǒng)計(jì)，并形成周期報(bào)告；形成綜合性的系統(tǒng)運(yùn)行狀態(tài)，整體反映一段周期內(nèi)的安全問題狀況，反映安全情況的變化趨勢；可以跟蹤所有下級單位的安全狀態(tài)排行，反映各單位自身問題的處置速度和響應(yīng)積極性。

2 新型態(tài)勢感知系統(tǒng)輕松實(shí)現(xiàn)安全監(jiān)管

2.1 問題及時(shí)發(fā)現(xiàn)

360態(tài)勢感知系統(tǒng)部署實(shí)施后，將所轄區(qū)域內(nèi)的重點(diǎn)單位形成7×24小時(shí)的有效監(jiān)控，所有網(wǎng)站篡改、DDoS攻擊事件將在不超過10分鐘的時(shí)間內(nèi)被發(fā)現(xiàn)，而網(wǎng)站漏洞將在7天時(shí)間內(nèi)做到發(fā)現(xiàn)。針對本地檢測類設(shè)備無法有效監(jiān)控的釣魚攻擊、訪問異常行為，360態(tài)勢感知系統(tǒng)也可以提供快速的監(jiān)測和響應(yīng)。

快速發(fā)現(xiàn)問題將直接帶來三大價(jià)值：

（1）減少安全隱患和漏洞暴露在黑客視線中的時(shí)間，降低可能造成的不良影響。

（2）減少篡改類時(shí)間出現(xiàn)的時(shí)間，降低不良的社會影響。

（3）減少監(jiān)測中的數(shù)據(jù)丟失，便于形成歷史安全狀態(tài)的全量數(shù)據(jù)和完整視圖。

2.2 威脅閉環(huán)處理

當(dāng)發(fā)現(xiàn)威脅后，通過360態(tài)勢感知系統(tǒng)可以使用通報(bào)子系統(tǒng)對相關(guān)單位和責(zé)任人進(jìn)行快速的通知，并跟蹤相關(guān)責(zé)任人的處置進(jìn)度。同時(shí)方案提供了多種通報(bào)手段，在傳統(tǒng)的郵件、手機(jī)以外提供了移動(dòng)互聯(lián)網(wǎng)式的APP方式，方便工作人員進(jìn)行問題的及時(shí)查收與反饋。

通過通報(bào)和反饋狀態(tài)的跟蹤，可以使安全主管單位有能力對所轄區(qū)域單位的信息安全責(zé)任人進(jìn)行工作監(jiān)督、指導(dǎo)、跟蹤。實(shí)現(xiàn)信息安全責(zé)任到位、全城協(xié)作，調(diào)動(dòng)各級資源實(shí)現(xiàn)整個(gè)地區(qū)的智慧安全。

2.3 事件證據(jù)留存

信息安全問題經(jīng)常面臨無法取證，無法證明的相關(guān)問題，很多篡改類事件僅在特定時(shí)間內(nèi)出現(xiàn)一段時(shí)間，在傳統(tǒng)安全監(jiān)控情況下，這類問題往往面臨無法發(fā)現(xiàn)、無法追責(zé)的情況。

360態(tài)勢感知系統(tǒng)能夠在快速發(fā)現(xiàn)安全問題的情況下及時(shí)進(jìn)行截圖取證，并能夠從網(wǎng)頁代碼層面尋找到暗鏈、黑詞的位置清晰的體現(xiàn)出來相關(guān)網(wǎng)站被攻擊的事實(shí)。

同時(shí)對于高級威脅，如APT攻擊，360態(tài)勢感知系統(tǒng)采用全流量還原采集的方式，能夠保存30天內(nèi)的流量日志信息，日志里包含了重點(diǎn)單位主機(jī)的網(wǎng)絡(luò)訪問行為、文件傳輸行為，這些都可能成為具體高級攻擊的證據(jù)，為事件、案件的分析提供數(shù)據(jù)支撐。

2.4 安全可視易懂

長期以來，信息安全都是一種難以理解的技術(shù)，它既不想網(wǎng)絡(luò)技術(shù)可以通過拓?fù)涞姆绞竭M(jìn)行直觀呈現(xiàn)，又無法像軟件開發(fā)一樣有相關(guān)的產(chǎn)品展示，如何讓領(lǐng)導(dǎo)和基礎(chǔ)的安全運(yùn)營人員對安全問題快速理解，看清重點(diǎn)，一直是困擾著行業(yè)從業(yè)人員的問題。

360在360態(tài)勢感知系統(tǒng)中大量的使用了流行的圖像和數(shù)據(jù)可視化技術(shù)，可以通過大屏幕進(jìn)行全局角度的清晰展示，直觀地呈現(xiàn)監(jiān)管單位的安全狀況分布、統(tǒng)計(jì)、排序等信息，并能將相關(guān)可視化展示內(nèi)容與分析過程結(jié)合，提供更易于操作的可視化分析手段，讓運(yùn)營人員的使用培訓(xùn)成本降低。讓安全分析的過程更直觀、可展示。

3 態(tài)勢感知系統(tǒng)背后的數(shù)據(jù)力量

3.1 云與本地的數(shù)據(jù)融合

傳統(tǒng)方案僅關(guān)注本地產(chǎn)生的安全檢測數(shù)據(jù)，但由于本地檢測的局限性，經(jīng)常會出現(xiàn)監(jiān)控成本高、監(jiān)控準(zhǔn)確度和服務(wù)成本高的情況。

360所提供的云端監(jiān)控避免了相關(guān)問題——依賴于360云端安全服務(wù)，360態(tài)勢感知系統(tǒng)的云端安全監(jiān)控可以有更好的數(shù)據(jù)運(yùn)營和服務(wù)保障，并比本地檢測監(jiān)控方案需要更低的安全服務(wù)成本。

但360態(tài)勢感知系統(tǒng)也并沒有完全摒棄本地檢測手段，而是盡可能的結(jié)合本地手段，利用本地檢測流量獲取更全面、數(shù)據(jù)回溯性強(qiáng)的優(yōu)點(diǎn)，最大化的發(fā)現(xiàn)各種安全問題。所有本地監(jiān)測主要集中在重點(diǎn)網(wǎng)絡(luò)，重點(diǎn)位置，采用集中式的監(jiān)控方式降低部署成本。

結(jié)合云端與本地檢測兩方面所能提供的優(yōu)勢，360態(tài)勢感知系統(tǒng)能夠體現(xiàn)出高檢出率、高覆蓋度、成本低等相關(guān)特點(diǎn)，進(jìn)而能夠最大效力的呈現(xiàn)所轄區(qū)域的信息安全狀態(tài)。

3.2 強(qiáng)大的高級威脅發(fā)現(xiàn)能力

360擁有世界范圍內(nèi)首屈一指的威脅發(fā)現(xiàn)能力，能夠?qū)χ攸c(diǎn)單位提供高強(qiáng)度的安全監(jiān)測和防護(hù)。

截至2016年8月， 360共發(fā)布5篇專業(yè)APT攻擊報(bào)告，報(bào)告內(nèi)容覆蓋了攻擊背景、攻擊組織分析、攻擊手法和工具分析。數(shù)量為國內(nèi)最多。同時(shí)海蓮花APT報(bào)告為國內(nèi)第一篇正式APT報(bào)告。

相關(guān)內(nèi)容可見ti.360.com

除以發(fā)布的APT攻擊報(bào)告外，360還發(fā)布有2015年中國APT攻擊受害分析報(bào)告，從全國數(shù)據(jù)層面分析了APT攻擊。

3.3 海量互聯(lián)網(wǎng)數(shù)據(jù)支撐

360作為成立10余年的互聯(lián)網(wǎng)安全廠商，擁有國內(nèi)最為豐富的安全數(shù)據(jù)儲備，依賴于近6億PC終端反饋的病毒樣本信息以及云端沙箱集群提供的強(qiáng)大分析能力，360掌握了100億以上的可執(zhí)行文件樣本，以及數(shù)千萬億條樣本網(wǎng)絡(luò)行為數(shù)據(jù)。所有這些數(shù)據(jù)中包含有黑客攻擊所使用的各種武器信息以及攻擊行為。所有這些數(shù)據(jù)都可以通過該方案為主管單位查詢使用，可以極大的擴(kuò)展安全主管單位的問題處置范圍和分析能力。

同時(shí)，360依靠其互聯(lián)網(wǎng)技術(shù)能力積累了全球域名的whois注冊信息，相關(guān)信息對于分析黑客攻擊所使用的網(wǎng)絡(luò)基礎(chǔ)設(shè)施（如C&C域名、掛馬網(wǎng)站）提供了強(qiáng)大的數(shù)據(jù)支撐。再依賴于360 DNS派所能提供的DNS解析記錄數(shù)據(jù)，安全主管部門可以輕松掌握哪些IP曾經(jīng)訪問過問題域名。

360態(tài)勢感知系統(tǒng)可以同時(shí)將主機(jī)安全數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)向結(jié)合，相互之間可以做下鉆查詢，提供可視化關(guān)聯(lián)查詢，幫助技術(shù)分析人員對黑客攻擊所使用的方法、手段、武器、基礎(chǔ)設(shè)施、甚至是背景進(jìn)行分析，延展了智慧城市的安全分析范圍，由一城即可查遍全國數(shù)據(jù)。

3.4 性能卓越、輕松擴(kuò)展

360態(tài)勢感知系統(tǒng)在核心的數(shù)據(jù)存儲和分析層面使用了大數(shù)據(jù)相關(guān)技術(shù)，可直接通過擴(kuò)展硬件的方式獲得整個(gè)系統(tǒng)計(jì)算和存儲能力的擴(kuò)展，無需再進(jìn)行數(shù)據(jù)備份、軟件更新等繁復(fù)操作，極大的降低了系統(tǒng)管理維護(hù)成本。同時(shí)方案的設(shè)計(jì)中充分的使用了模塊化設(shè)計(jì)的方法，可以保證不同軟件功能與模塊之間的解耦和，可以對方案中的數(shù)據(jù)采集進(jìn)行靈活調(diào)整，分部實(shí)施。而且還可以結(jié)合部署難度、實(shí)施成本等因素，提供分階段、不斷擴(kuò)展的靈活方案。既可以快速的呈現(xiàn)相關(guān)方案成果，又可以最大化的實(shí)現(xiàn)系統(tǒng)功能。