一口气挖出1500多个高危漏洞,电子政务网络安全“1 N”补齐最短板
一口气能挖出1500多个高危漏洞,也能在防疫期间维护政务服务网安全,防范黄牛党和外来攻击……去年2月份,常州市政府在互联网公众服务平台“我的常州”上线了“口罩预约”的功能模块,以便解决市民们的燃眉之急。常州市大数据中心电子政务管理处处长周风波回忆说,“上线后,该功能使用非常火爆,访问量激增,但各类DDoS攻击、黄牛党刷票抢号也接踵而来,给平台的正常服务带来了极大挑战。”作为常州大数据中心的网络安全合作伙伴,奇安信第一时间提供了全流量威胁感知设备、安全事件预处置服务等,加固了“我的常州”安全性,同时还通过技术防护手段彻底解决了黄牛抢口罩的问题,确保每个口罩都能送到市民手中。
三个“第一时间” 对安全隐患零容忍
“网络安全问题,必须第一时间处理,一刻也不能等。”谈到电子政务的网络安全建设,周风波将实时、高效放在了首要位置。
众所周知,电子政务平台承载着政府核心业务、敏感数据、公众服务等内容,一旦被攻击,就可能造成严重影响。然而近年来,全球针对政府机构的网络攻击层出不穷,常见攻击类型有数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击以及网页篡改等。
在信息化方面,常州市电子政务大数据共享交换平台于2018年立项启动,2019年建设完毕,目前平台承载着500万自然人的数据,加上法人、空间、地理、35家单位等,总数据量超过16亿条。
除了防范数据泄露的风险之外,挖矿木马肆虐也是常州电子政务面临的难题。“捕捉挖矿木马也是一场警察抓小偷的斗智斗勇。”周风波分享了一个故事,“挖矿木马对显卡要求高,也会占用CPU运算资源,因此,政务云平台对CPU利用率有预警机制。但是有些木马学坏了,卡着阈值设置值,例如政务云的机制是资源使用量超过95%触发报警,那么这些木马将CPU资源使用量上限设置在85%以下,极其隐蔽,如果不通过专业的安全管理平台,就无法发现他们,导致政务硬件资源被挖矿者滥用。”
“考虑到电子政务的很多业务系统和数据都和国计民生紧密相关,我们在安全上一直在强调三个'第一时间’:政务网里的安全风险,要第一时间知道;对于新型的APT攻击检测和应对方案,要第一时间通报下去;一旦有安全事件发生,安全人员要第一时间进行响应和处置。”周风波说。
首创“1+N”模式实现市区联动,补齐安全短板
常州在态势感知和安全管理建设方面,不仅完成了省级电子政务管理部门的要求,还在2018年底,与奇安信合作,通过部署态势感知与安全运营平台(NGSOC),开创性实现了“市+区”联动的“1+N”安全管理模式,将态势感知能力覆盖到区级单位,从多个层面补齐了安全短板,强化整体平台的安全性。
首先,“1+N”模式实现的市区联动,让分布在五个区、40多个委办局的安全能力真正实现了拉齐。通过“1+N”的模式部署奇安信NGSOC,具有很强的兼容性,能够和运维软件实现兼容,进而对全常州市政务网安全态势了如指掌。
图:功能架构
市区联动的态势感知方案,还强化了威胁分析和溯源功能,也为定责提供充分依据,通过溯源分析可以及时有效定位问题发生点。而在调查取证方面,通过人、数据和工具组成的一个三维的协同联动,可以深入、多角度研判威胁,并还原整个威胁事件。
“1+N”模式的市区无缝联动,大大提升了重大安全事件的响应速度。而NGSOC和奇安信天擎的联动,使得高危漏洞的修复效率获得显著提升。据周风波回忆,在项目实施过程中,通过NGSOC挖掘出的高危漏洞有1500多个,通过天擎终端安全管理系统,可以统一管理,统一升级,统一打补丁,快速完成漏洞修复。
图:内网威胁情况
据介绍,在2020年针对关键信息基础设施进行实战攻防演练的工作中,NGSOC安全管理平台作为防守方,结合驻场安全运营的人员,成功监测及防护住了各种攻击行为,发现并处理了3000余条高危告警。
而且,凭借NGSOC优异的安全能力表现,常州电子政务平台在2019年等保1.0的三级标准得到89.77分,2020年等保2.0的标准89.38分。未来,周风波表示,希望常州市“1+N”市区联动模式能向全省推广,可以为建立“省-市-区”三级联动安全管理平台提供示范样板。
通讯员 马想斌
校对 李海慧
来源:紫牛新闻