鹤壁市电子政务外网安全态势感知平台采用先进的大数据架构,通过采集所有网络安全数据,利用智能引擎对安全数据进行统一处理分析,实现对网络攻击行为、安全威胁事件等网络安全问题的发现和告警。能够从不同的安全维度进行监测,并实现可视化呈现,可以提供直观的可视化页面,从不同方向、不同视角、不同主题全面呈现政务网络的安全态势。通过安全态势感知平台对电子政务外网主动监测和精准防护,达到安全可监控、攻击可防护、威胁可感知、事件可控制的效果。
一、项目背景
鹤壁市电子政务外网于2012年8月建成投用,横向服务市级98个单位,纵向连接5个县区、3个功能区、51个乡镇街道,实现市、县、乡三级有业务需求的政务部门全覆盖,是全市电子政务的重要基础设施。随着电子政务外网覆盖范围不断扩大、承载的业务应用快速增长,面临的安全防护问题越来越突出。一是现有网络设备老化严重。电子政务外网核心骨干网设备使用年限近9年,部分设备已停服,设备故障率逐年攀升,业务中断风险高;2020年以来互联网出口链路负载均衡、出口防火墙、市委楼防火墙、政府楼防火墙、第二综合楼防火墙相继出现故障,严重影响了市委市政府大院办公用网及互联网区业务访问。二是电子政务外网安全管理能力亟需提升。电子政务外网设备约120台设备,涵盖10余个网络、安全设备种类,技术难度及管理复杂度都非常高;而目前网络运维及管理只能依靠表格和人工进行,存在网络运维服务外包管理资金不足、网络运行情况无法可视化、主动发现安全风险能力不足、应急处置能力不足等问题,造成电子政务外网运维效率低、发生故障时应急处理不及时等情况,极不利于业务系统安全稳定运行。因此,鹤壁市电子政务外网安全防护水平亟需进一步提升。
网络基础设施安全是我国网络安全大局中的重要一环,鹤壁市电子政务外网作为政务网络基础设施,时时刻刻承受着来自方方面面、各式各样的攻击和风险。随着云计算、大数据、物联网等新兴技术的飞速发展,传统安全边界逐渐模糊,新的安全风险不断出现,尤其是有组织、有预谋、有针对性的高级持续性威胁攻击日趋活跃,传统安全体系已显被动。对此,鹤壁市政务大数据中心高度重视,近年来始终坚持学习探索政务网络安全防护新政策和新技术,积极尝试采取前沿防护手段和措施,适时建设了电子政务外网安全态势感知平台,以增强安全风险动态监测和主动预警能力。
二、实施目标
通过在统一互联网出口和核心网络节点部署流量探针等设备,同时与现有的网络资产进行关联互动,对电子政务外网中的关键流量进行监测和分析,为针对监测发现的威胁做出进一步处理和防护加固提供具体依据。一是通过对已知风险和未知风险的多维度分析和可视化呈现,快速发现问题并启动联动响应来解决问题;二是通过对安全风险的趋势分析和异常行为预测,提早感知风险,增强对风险的预判和决策能力;三是根据阶段性的态势感知监测分析结果,对电子政务外网整体网络进行安全加固和完善,不断增强安全合规的能力,实现对整体网络风险的主动发现、协同防御、智能预测、及时响应。
三、建设内容
鹤壁市电子政务外网历经2016年双核心改造、2019年安全加固和日常不断优化升级,配置了防火墙、网页防篡改、抗DDOS、上网行为管理、防病毒、VPN、堡垒机、漏洞扫描、日志审计等安全设备,制定了管理、运维、使用等一系列安全制度和应急预案,建立了日常安全风险防范机制,形成了一套高效基础网络安全防护体系,在全省率先通过了网络安全等级保护第三级测评。2021年,为贯彻落实国家和省IPv6规模部署的相关要求,市政务大数据中心积极推进市级电子政务外网IPv6升级改造及安全态势感知平台项目,按照国家和省有关要求,依据《政务外网IPv6演进技术白皮书》等指导文献,合理规划IPv4和IPv6地址,采用IPv4/IPv6双栈运行的技术路线,实现了从IPv4向IPv6架构的平滑过度,满足IPv4/IPv6双栈终端同时在线的需求,完成了政府网站、政务服务网等重要政务信息系统支持IPv6业务访问的阶段性目标。同时,在原政务外网网络核心、关键网络设备均为双机、双链路冗余部署的基础上,升级部署了适配IPv6协议的网络安全设备,重点建设了市电子政务外网安全态势感知平台,通过对政务外网及业务系统的访问日志、流量等的实时监测以及对安全事件的分析、预警及处置,大大提高了市级电子政务外网威胁风险动态监测和预警能力,安全基建更加完善,整体网络基础设施安全防护能力进一步提升。
鹤壁市电子政务外网安全态势感知平台以流量监测技术为基础,以安全数据化为重要方式,融合监测、感知、预警、响应的完整平台化、场景化与服务化体系,形成实时监测、动态预警的有效模式,实现安全风险的发现识别、分析研判、响应处置、安全可视。该平台在市级电子政务外网公共网络区和互联网区共部署流量探针10台,部署专用服务器2台,配备安全监测中心、安全分析中心、安全响应中心、安全资产中心、知识情报中心等8个功能模块,制作综合态势、外连威胁、安全警告等12个展示大屏,相关信息可以在鹤壁市市域治理指挥调度中心大屏上同步展示。同时,整合电子政务外网运维平台,对接原有安管平台和网管平台,形成一体化运维监测体系。通过定制化、场景化、流程化、可视化的一体化安全运维能力,安全基座更加坚实,逐步实现从单一安全事件监控向整体安全态势感知转变,从被动安全事件处理向可持续性安全监测分析转变。
平台划分了互联网区、广域网区、运维管理区等5个安全域(类别),通过关联登记核心网络和安全设备、各部门在政务云部署的业务系统以及接入电子政务外网的终端,明确了被攻击被防护主体的系统名称、IP地址等重要信息。同时对关联的资产进行标识、注释,建立对应关系,安全基数更加清晰。通过全流量分析技术实现对网络攻击、异常流量的识别,可以自动识别网络中的资产IP以提供预警保护。目前鹤壁市电子政务外网受保护的物理资产和软件资产已达到7000余个。通过探针识别到异常流量推送给平台,平台通过一套完整的匹配机制和分析模型对流量日志进行分析过滤,最终形成不同类型、不同级别可以直观查看的告警信息。通过这些告警信息可以智能分析出攻击源、受攻击主机相关信息以及整体网络中攻击趋势的变化。通过攻击阶段分析资产受害程度,结合动态情报中心和数据分析形成完整的攻击链路,帮助决策者进行预警处置和溯源分析,做到防范于未然。安全态势感知平台还可以联动现有的安全防护设备实现一键封堵处置,同时结合工单系统模块,可以实现告警的派发、审核、处理和反馈,形成安全事件的完整流程闭环。
四、实施成效
为了将安全态势感知平台的成果落到实处,鹤壁市政务大数据中心建立相应的监测预警机制,制定了运维管理规范。通过做好日常的监测工作,不断采集监测数据,集中进行风险分析研判,确定重大风险隐患,及时准确地向责任主体发布预警通报。平台建成投用以来,共编制态势感知周报28期、月报7期。监测到告警信息70多万起,主要受攻击类型为漏洞攻击、拒绝服务攻击、异常流量攻击等,其中高危告警20多万起。根据以上信息,共封禁疑似恶意IP地址300多个。针对重点受攻击单位和相关系统,印发《鹤壁市政务外网网络与信息安全态势》预警信息10期,及时将攻击源IP、受攻击IP、攻击方式、漏洞利用情况等信息通报责任主体单位,并将有关情况同步到市委网信办和公安网监部门。同时,通过对监测数据的跟踪研判,根据责任主体单位反馈整改情况,对防护对象和攻击行为划定优先级和定位,不断优化安全基线,动态提升对未知的、新型的攻击风险嗅探能力。
通过安全态势感知平台的建设和应用,鹤壁市电子政务外网安全防护体系更加完善,风险防范能力进一步提升。近期监测数据显示,往期预警过的部分单位系统受攻击情况明显有所减弱,态势感知平台建设和应用取得了较好成效。但是,安全防线的构筑没有“万能药”,任何单一的产品或措施都不可能解决复杂多变的安全问题。鹤壁市政务大数据中心将继续从网络安全全局出发,将电子政务外网态势感知平台的应用融合到总体网络安全工作中,进一步细化分工,明确责任和目标,不断完善相关制度规范,创新机制、提升效率,打造鹤壁市政务网络基础设施更加坚固的一体化安全防线。