网络安全一键式应急系统的构建探索

2020-08-31黄一楠

上海节能 2020年8期

关键词：安全事件一键应急

黄一楠

国网上海市电力公司青浦供电公司

0 引言

随着网络信息技术的发展，在社会生产、生活方式发生极大变化的同时，也带来了严重的网络安全问题，具体包括利用漏洞、窜改网站、植入木马病毒等，对企业和个人造成了严重后果，保护资产安全已成为国家信息化发展的主要问题，也是当下安全工作重点内容。

1 安全应急响应

安全应急响应是组织为了能够有效处理各种突发性事件及事件发生后采取有效应对措施而进行的各种准备；安全事件是网络和计算机中信息数据的完整性与保密性及网络、服务、应用、信息等内容可用性被影响的因素；事件响应则是对安全事件实施的有效措施和处理行动，是阻止事件进一步扩大、减少负面影响的重要环节。安全应急响应流程如图1所示。

安全应急响应流程对处理安全事件具有重要的作用。要高效、准确、合理判断某一事件是否安全并非易事，安全人员除应具备相关的经验知识外，还需其他各方人员协作配合，此外，安全事件处置标准化也能大幅提升执行效率。一键应急系统主要是针对重大活动构建的，目的是保证重大活动过程中信息安全，并支持正常运转条件下的应急启动[1]。

图1 安全应急响应流程

2 一键式应急系统的构建

1)研究背景

重大活动涉及面广，对信息系统的需求也更加复杂和多样化，由于关注度高，容易成为破坏目标，且面对的破坏和威胁更多元化，使保障难度加大。目前对信息安全的要求是：一旦出现安全事故，需在30 min 内处理完成，而网页窜改，则需在10 min内彻底解决。

信息系统是外界及时了解活动的主要渠道，其受众面广、影响范围大、影响力度广，且安全性能对活动效果产生直接影响，故当下国内外对信息系统的安全性能非常重视。但目前，在出现外部攻击和网页窜改等问题时，缺少合理的应急处置措施，事件发现、确认速度缓慢，处置效率低，部分公有性质的云资源池大都是设置虚拟化防火墙与租户隔离的，当云资源池外部出现安全事故时，不能下发全局而进行逐墙操作，降低了处理效率。因此，针对安全设备分散无法进行集中管理的问题，需采取集中处置措施提高事件处理效果。

2)系统设计思路

在安全背景现状下，根据应急响应学理论提出了一键式应急处理系统，促进应急响应流程的提升：从原来的多人模式转化为单人模式，从多流程转变成单流程，实现化繁为简的目标。以网页篡改处理流程为例，在融入一键应急处理系统后，相关流程、工具和人员均实现统一化，在一定程度上减少了应急处理时间，降低了事故损失。

3)系统结构设计

根据安全处理技术及与管理的有机结合创建的一键应急系统包括以下几个部分：

(1)安全设备池：由僵木蠕检测模块、恶意程序检测模块、漏洞扫描模块、入侵检测模块、交换机、路由器和防火墙等构成。一键应急系统是安全应急响应的基础支撑，是整个过程的核心系统，为此应确保安全设备池和安全设备之间的顺畅连接，充分发挥安全设备加固、查杀、阻断和检测的能力[2]。

(2)采集层：该层利用任务调度的方法通过前台界面将相关操作指令发布下去，同时登录4A、TELNET、SSH等设备通道传输指令，获取配置校验和成功下发的状态。信息采集接口还可利用数据库、SYSLOG 等从外部网络和安全设备中获得安全警告记录，从而为应急策略提供可靠的数据分析。

(3)控制层：该层主要将应急响应流程当作切入点，充分结合系统自身管理需求及安全应急响应技术，完成入口管理、处置联动、地址溯源、资产管理、智能判断、系统安全、事件管理、策略控制、工单派发及事件取证等功能。

（4)应急服务层：在该层设计过程中需坚持技术驱动朝着服务驱动的理念转变。控制层通过全面整合安全功能为应急服务层提供了调用服务，以对安全事故进行分析、检测和处理。应急服务层还提供应急场景，如IDS 安全事件应急、网页窜改应急、DDOS事件应急、僵木蠕应急、DNS事件应急、恶意程序应急等。对各种抑制环节，应急服务层采用了同样的处理措施，如在核心路由器中安装黑洞路由、防火墙边界位置配置ALC等有效阻隔了网络层的访问。应急服务层除拥有抑制功能外，还可有效调用各种安全设备，实现一键切换、一键查杀和一键修复。应急响应全过程实施闭环处理，通过开放的系统界面真正落实一键操作的目标。

4)系统功能设计

系统功能包括事件取证、事件管理、资产关联和入口管理。

事件取证：事件取证能对原始日志实施关联分析，如入侵事件IP 来源、系统访问记录、系统负荷等，此外，还能在窜改、入侵、攻击等事件发生后发挥有效的取证能力，如文件快照和页面内容的获取与对比等。

事件管理：事件包括人工发现的事件和设备分析后发现的事件，而事件管理模块能实现多种安全事故的集中接入与解析，同时还可对有关安全事件实施归一化处理，支持安全事件短信预警[3]。

资产关联：资产关联可和资产管理系统、配置管理系统同步，一旦发现安全事故，可对资产责任人和资产详细信息，如安全域信息、资产价值等进行准确定位以实施有效的应急处理。处置联动能够促进DNS 平台、DDOS 清洗检测平台、恶意程序监控系统、僵木蠕平台、诈骗电话平台及垃圾短信平台等实现有效对接，促进多项业务的联动处理。如一键应急平台在采集到恶意程序发出的URL时，可利用接口把URL 直接传输至短信垃圾平台实施加黑处理；支持通过DNS 接口将URL 域名本地解析，促进平台、技术和相关人员的多维联动；地址溯源，即网络追踪技术，可通过采集网络中各主机相关信息将攻击者的活动轨迹串接起来，及时发现事件源头，明确具体的攻击路径及网络地址；支持公网和内网IP溯源，可直观看出设备名称和资产归属等信息，可对DDOS攻击软件和恶意软件的操作路径进行分析，从而实现近源拦击。

入口管理：入口管理实现多个入口的集中管理。入口开放可通过设置开关实现，入口包括大屏、PC、微信、APP 等，保证了系统多通道应急响应。一键式应急平台对安全性要求很高，其处置流程涉及的操作，如封、堵、拦、截等需实施严格的角色控制和权限审批，特别是核心路由器。因此，需加强合规管理、权限管理、角色控制，将不同用户分配到不同组别中，授予不同权限，通过按钮、子功能、模块等进行权限操作，此外，还需对系统自身缺陷问题进行定期检查和加固。

5)系统关键技术

异构系统协同控制技术：通过实际调查某现场，发现烟囱式维护形式的企业主普遍存在网络处理能力集中性不足问题，如现有应急处置设备有五个品种、二十多个品牌和十余个接口，造成处理效率低下、集中操作难度较大问题，为此，采用了一键应急系统进行统一管理、统一指令和统一接口，新旧系统的比较见图2。

图2 新旧系统的比较

路径选择与智能判断是将最优路径逻辑分析与处理准确、效率高、影响小等原则结合起来，如果自有网站已具备NAT转换网站，则需通过防火墙实施阻隔。针对本省接入的移动网站缺少防火墙转换的情况，可通过省网路由器阻断；发生窜改问题时，可通过省DNS进行解析。

3 一键应急系统实现方案

1)以OSPE 协议为基础的ANYCAST 负载均衡模式

多数情况下，DNS 系统是以OSPE 协议为基础的ANYCAST 均衡负载模式，用户想要获得域名请求响应，只需登录访问地址即可。ANYCAST 自身特性使其在DNS 请求和UDP 请求非状态连接方面具有突出优势。具备ANYCAST 服务的用户在实施DNS 解析过程中，只需将提供DNS 服务的ANYCAST 地址发送出去并提出查询请求，即可顺利得到地址解析结果。该方式也促进了移动入网，将主机转移到新网络中无需重新配置DNS 服务器地址便可实现DNS解析[4]，节省了工作量。

2)一键应急平台承载形式

一键应急平台应和DNS 现网保持实时联系并准确管理DNS IP地址。数据网管平台能对DNS设备性能及指标全面监测，DNS设备接入数据网管平台提高了资源准确度。一键应急平台与DNS 设备连接，通过数据网管自动获取IP信息。

3)程序设计

一键应急平台整体框架以支持HTML5 网页框架为主：通过编写部分HTML 标记便能对用户界面进行定义，有效减少了网页研发时间；通过ORACLE数据库可存储设备资源信息，实现添加和查询功能，方便集中管理；利用平台采集服务器连接DNS 设备，通过SSH2 工具进行登录。主程序设计以恢复OSOE 和关闭OSPE 操作为主：OSPE 关闭即业务切换，将故障设备的业务转移到正常运行的设备中；OSOE 恢复即把之前导入其他设备中的DNS流量转移到原设备中，该项操作主要是在设备故障结束后实施。出于网络安全，设备通过ROOT账号权限登录，DNS 服务器登录软件为6.7OPENSSH。