張 瀅

（山西電信分公司，山西 太原 030006）

1 電信企業(yè)運維安全風(fēng)險

1.1 網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜風(fēng)險

隨著網(wǎng)絡(luò)技術(shù)不斷更新，電信企業(yè)從幾十年前以固話語音和寬帶上網(wǎng)的傳統(tǒng)業(yè)務(wù)為主的時代，過渡到了傳統(tǒng)業(yè)務(wù)與新興業(yè)務(wù)并存的時代。特別是云計算、5G技術(shù)的興起，各種基于云底座和“互聯(lián)網(wǎng)+”的業(yè)務(wù)不斷涌現(xiàn)，新技術(shù)潛在的安全風(fēng)險難以預(yù)知，而且網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜、內(nèi)部接口繁多、攻擊源多樣化，運維人員跟蹤和防護(hù)變得更加困難。

1.2 業(yè)務(wù)敏感信息風(fēng)險

因電信業(yè)務(wù)發(fā)展迅速，用戶數(shù)量劇增，積累了海量的運營數(shù)據(jù)，其中含有企業(yè)及用戶的敏感信息。這些敏感數(shù)據(jù)時刻面臨泄露的風(fēng)險，而風(fēng)險有的來自于外部的攻擊，有的來自于內(nèi)部工作人員操作不當(dāng)?shù)取?/p>

1.3 資產(chǎn)隱匿通道風(fēng)險

電信企業(yè)有大量的硬件資源和軟件資源，其中芯片、操作系統(tǒng)、數(shù)據(jù)庫大多數(shù)是國外生產(chǎn)設(shè)計的，這些國外軟硬件資源的底層工作機制、是否含有后門風(fēng)險等，企業(yè)都無法獲知。如美國阿帕奇公司的log4j2漏洞，被證實可以產(chǎn)生嚴(yán)重危害，如被利用可能會造成企業(yè)數(shù)據(jù)失竊風(fēng)險。

1.4 身份認(rèn)證管理風(fēng)險

管理員、運維人員設(shè)置的口令過于簡單或強度不夠，容易被攻擊者利用。賬號共用、權(quán)限設(shè)置不當(dāng)也給攻擊者提供了主機提權(quán)的機會，所謂主機提權(quán)，就是將原本的低權(quán)限通過系統(tǒng)的漏洞或本地溢出等方法將自身建立的用戶提升為管理員或root權(quán)限的機會，甚至能夠獲得管理權(quán)限，實現(xiàn)對主機的控制進(jìn)行信息的竊取，給企業(yè)帶來巨大的損失。

1.5 安全防護(hù)手段分散

為了筑牢安全底座，企業(yè)會對重要業(yè)務(wù)系統(tǒng)增加防護(hù)手段，如部署WAF、設(shè)置防火墻、安裝主機防病毒軟件等。但是各類安全產(chǎn)品只對局部網(wǎng)絡(luò)或某類安全問題有效，不能發(fā)揮最大能力形成整體防護(hù)體系。而且各類安全產(chǎn)品之間存在兼容性和協(xié)同性問題，總會出現(xiàn)漏報、錯報情況，并對后期的追溯產(chǎn)生巨大影響，無法發(fā)揮應(yīng)有作用。

2 運維安全風(fēng)險點控制方法

針對上述列舉的企業(yè)運維安全風(fēng)險，下面提出了對企業(yè)運維安全風(fēng)險點的控制方法。

2.1 數(shù)據(jù)存儲和傳輸安全

一方面，在復(fù)雜的網(wǎng)絡(luò)中從數(shù)據(jù)產(chǎn)生的源頭對各類數(shù)據(jù)加密存儲、加密傳輸，減少因新技術(shù)潛在安全漏洞被利用帶來的風(fēng)險；另一方面，對網(wǎng)內(nèi)資產(chǎn)生成的主機日志、數(shù)據(jù)庫日志、中間件日志、接口日志和應(yīng)用日志集中收集，以便進(jìn)行關(guān)聯(lián)分析。

2.2 數(shù)據(jù)處理安全

通過數(shù)據(jù)脫敏技術(shù)使數(shù)據(jù)本身的安全等級降級，這樣就可以在開發(fā)、測試和其他非生產(chǎn)環(huán)境以及外包等計算環(huán)境中安全地使用脫敏后的數(shù)據(jù)集。借助數(shù)據(jù)脫敏技術(shù)屏蔽敏感信息，并使屏蔽的信息保留其原始數(shù)據(jù)格式和屬性，以確保應(yīng)用程序可在使用脫敏數(shù)據(jù)的開發(fā)與測試過程中正常運行。同時，根據(jù)細(xì)粒度的數(shù)據(jù)授權(quán)，配置合適的脫敏規(guī)則，以控制不同的人員訪問不同安全等級的數(shù)據(jù)，從而保護(hù)數(shù)據(jù)安全，防止泄密。

2.3 資產(chǎn)管理安全

定期對企業(yè)資產(chǎn)進(jìn)行安全評估，僅開放必要業(yè)務(wù)端口，及時修補漏洞，是資產(chǎn)安全管理的基礎(chǔ)。對資產(chǎn)歸屬資源組、歸屬業(yè)務(wù)系統(tǒng)、IP地址、資源類型（主機、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)）、資源責(zé)任人、資源名稱等信息詳細(xì)記錄，統(tǒng)一資產(chǎn)訪問入口，并進(jìn)行全程監(jiān)控、管理和分析。

2.4 身份認(rèn)證安全

對運維人員進(jìn)行身份識別、強制訪問控制，保證身份合法的人員能夠訪問指定的組件和數(shù)據(jù)；對運維人員訪問敏感數(shù)據(jù)、執(zhí)行關(guān)鍵操作及其結(jié)果進(jìn)行真實、全面的記錄?；诮巧脑L問控制的授權(quán)原則，通過資源與用戶角色進(jìn)行關(guān)聯(lián)，最終將細(xì)粒度（達(dá)到數(shù)據(jù)表、字段級，或者文件系統(tǒng)文件夾、文件級）的權(quán)限賦給運維人員。

2.5 安全防護(hù)數(shù)據(jù)結(jié)合分析

將分散在網(wǎng)絡(luò)各處的安全防護(hù)設(shè)備產(chǎn)生的告警日志進(jìn)行關(guān)聯(lián)分析，建立集中的威脅分析審計模型，構(gòu)建綜合威脅分析能力[1]，結(jié)合對用戶行為的審計，根據(jù)自定義告警規(guī)則實現(xiàn)的針對特定異常行為的告警通知，以達(dá)到快速定位問題的目的。

3 場景審計模型的建立

場景審計是“以數(shù)據(jù)為基礎(chǔ)，算法為支撐，場景為導(dǎo)向”理念的落實[2]，是通過大數(shù)據(jù)和智能化分析進(jìn)行運維安全審計的。

3.1 大數(shù)據(jù)審計模型的建立

通過對數(shù)據(jù)進(jìn)行有效挖掘操作，有針對性地對基礎(chǔ)數(shù)據(jù)進(jìn)行融合操作、歸并操作，對一些數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，然后采用科學(xué)算法發(fā)現(xiàn)問題，進(jìn)行不斷優(yōu)化，最終形成審計模型[3]，如圖1所示。

圖1 大數(shù)據(jù)審計模型

3.1.1 數(shù)據(jù)采集

將主機日志、數(shù)據(jù)庫日志、中間件日志、網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備日志、應(yīng)用日志和資產(chǎn)基礎(chǔ)信息等數(shù)據(jù)源通過FTP、DB、syslog、文件、數(shù)據(jù)流等格式進(jìn)行采集、配置。

3.1.2 數(shù)據(jù)分析根據(jù)正則、關(guān)鍵字規(guī)則等進(jìn)行數(shù)據(jù)分類、數(shù)據(jù)拆解、數(shù)據(jù)拼裝、數(shù)據(jù)轉(zhuǎn)發(fā)。

3.1.3 數(shù)據(jù)建模

采用數(shù)據(jù)算法進(jìn)行相應(yīng)的數(shù)據(jù)清洗；應(yīng)用各種建模技術(shù)進(jìn)行參數(shù)調(diào)優(yōu)，對比建模效果；從海量數(shù)據(jù)中分析規(guī)律、查找異常、挖掘信息以分析數(shù)據(jù)，發(fā)現(xiàn)數(shù)據(jù)中存在的問題。

3.1.4 模型優(yōu)化

通過對模型的反復(fù)驗證，提升數(shù)據(jù)模型質(zhì)量；基于業(yè)務(wù)場景驗證、模型調(diào)優(yōu)；將最優(yōu)的模型應(yīng)用于相關(guān)業(yè)務(wù)場景中。

3.2 場景審計模型

大數(shù)據(jù)審計從審計目標(biāo)、審計內(nèi)容和審計思維模式方面帶來了一系列變革。首先，大數(shù)據(jù)審計不僅要發(fā)現(xiàn)違法違規(guī)行為，還要透過看似合法的行為評估潛在的安全風(fēng)險；其次，大數(shù)據(jù)審計除了審計結(jié)構(gòu)化數(shù)據(jù)，還可以對非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行審計，如html、文本、音頻、視頻等；最后，大數(shù)據(jù)審計針對的數(shù)據(jù)是全面的，審計的數(shù)據(jù)具有高度混雜性特點，審計結(jié)果反映數(shù)據(jù)之間的相關(guān)性。

場景審計是根據(jù)業(yè)務(wù)場景分析策略，在中間數(shù)據(jù)或標(biāo)準(zhǔn)化日志中找出異常行為的過程，分析的結(jié)果可供審計預(yù)警、審計報表、日志查詢、專題審計和關(guān)聯(lián)分析使用。例如，根據(jù)營業(yè)員在一段時間內(nèi)的操作日志，進(jìn)行數(shù)據(jù)分析并建立模型；通過分析模型將比對出的偏離正常區(qū)間、正常時間段的異常行為日志進(jìn)行統(tǒng)計，生成營業(yè)員的行為畫像。

常態(tài)化的場景審計如圖2所示，從賬號授權(quán)、認(rèn)證審計、設(shè)備審計、金庫審計、第三方人員審計、敏感系統(tǒng)審計、流量審計等七個維度入手，開展日常安全審計。

圖2 網(wǎng)絡(luò)安全審計維度

不同的審計場景引用不同數(shù)據(jù)源，采用不同的審計策略進(jìn)行數(shù)據(jù)分析，發(fā)現(xiàn)其中隱含的模式和規(guī)律。如關(guān)鍵詞分析是根據(jù)分析規(guī)則對標(biāo)準(zhǔn)化日志或中間數(shù)據(jù)進(jìn)行匹配的過程，以發(fā)現(xiàn)異常和違規(guī)行為，并通過預(yù)警策略進(jìn)行預(yù)警提醒。如聚類分析根據(jù)數(shù)據(jù)的相似性原則，將數(shù)據(jù)劃分為若干類別，使同類數(shù)據(jù)差別極小，不同類別數(shù)據(jù)差異盡可能大。關(guān)聯(lián)分析可發(fā)現(xiàn)隱藏在數(shù)據(jù)間的相互關(guān)系，通過挖掘發(fā)現(xiàn)不同數(shù)據(jù)間的密切度或關(guān)系。序列分析可發(fā)現(xiàn)數(shù)據(jù)出現(xiàn)時間、出現(xiàn)序列的規(guī)律，分析數(shù)據(jù)間的關(guān)聯(lián)性[4]。均值分析基于標(biāo)準(zhǔn)化日志，根據(jù)均值統(tǒng)計策略對歷史數(shù)據(jù)進(jìn)行統(tǒng)計分析，計算出策略的均值結(jié)果，并將其動態(tài)存入中間數(shù)據(jù)中，作為閾值供后續(xù)統(tǒng)計分析場景和報表使用。

例如，在進(jìn)行多IP地址登錄場景審計時，將主賬號名稱、歸屬人所在地市、人員組織機構(gòu)、主賬號類型、登錄時間、登錄IP地址等信息關(guān)聯(lián)分析，統(tǒng)計出同一賬號在一段時間內(nèi)登錄的IP地址數(shù)量超過一定閾值的異常日志，從中發(fā)現(xiàn)可能的賬號盜用、賬號共用的違規(guī)行為。部分審計場景的審計策略如表1所示。

表1 部分審計場景的審計策略

3.3 場景審計的效益

將場景審計聚焦于解決某一類具體問題，目的更直觀、效率更高。場景審計不僅能實現(xiàn)實時審計、風(fēng)險管控前移、審計自動化管理，還能對審計進(jìn)行全流程管理，對運維安全審計進(jìn)行端到端管控。場景審計效果如表2所示。

表2 場景審計效果

4 結(jié)束語

本文主要對大數(shù)據(jù)時代企業(yè)面臨的運維安全風(fēng)險進(jìn)行了詳細(xì)的討論，對風(fēng)險點控制提出了具體應(yīng)對方法，并提出基于大數(shù)據(jù)的場景審計模型以解決前述風(fēng)險和落實應(yīng)對方法。希望本文對改善企業(yè)運維安全風(fēng)險的現(xiàn)狀有一定的推動和促進(jìn)作用。■