烽火18臺之七——烽火臺在關鍵信息基礎設施安全檢查中的應用
責編:mhshi |2016-08-08 10:21:35關鍵信息基礎設施網絡安全檢查開啟
7月8日,中央網信辦網站發布通知,“經中央網絡安全和信息化領導小組批準,首次全國范圍的關鍵信息基礎設施網絡安全檢查工作已經啟動。”隨后,多地以及多個行業召開檢查工作動員部署會議。本次關鍵信息基礎設施網絡安全檢查是圍繞習近平總書記“4.19”講話進行的一次有針對性的、全國范圍的網絡安全檢查工作。盛邦安全對此進行了深入解讀,并根據國家要求協助多地進行了安全檢查工作。本文主要將盛邦安全對于本次安全檢查的理解以及在實踐中的所思所想進行闡述,希望能夠給各位起到一些借鑒意義。
領導單位:中央網信辦牽頭組織,各省(區、市)網絡安全和信息化領導小組與中央和國家機關將統一領導本地區、本部門的網絡安全檢查工作,各省(區、市)網信辦統籌組織本地區檢查工作。
檢查范圍:除中央和國家機關及其直屬機構外,黨政機關、企事業單位主管的關鍵信息基礎設施。行業包括能源、通信、金融、交通、公用事業等重要行業運行的信息系統或工業控制系統。
檢查時間:至2016年12月底。
應該檢查哪些內容?
“大量黨政機關網絡被攻擊篡改,網站平臺大規模數據泄露事件頻發,生產業務系統安全隱患突出,甚至有的系統長期被控,面對高級別持續性的網絡攻擊,防護能力十分欠缺,加之網絡安全威脅具有很強的隱蔽性,“誰進來了不知道、是敵是友不知道、干了什么不知道”,亟須摸清家底加強風險評估和防范。“
——中央網信辦網站
對于關鍵信息基礎設施網絡安全檢查應該檢查的內容,盛邦安全通過分析中央網信辦所發布的內容以及實際操作,總結出以下幾個方面。
1、摸清家底。無論是習近平總書記在“419”上的講話,還是實際操作上來看,摸清家底都是安全檢查的第一步。只有對關鍵信息基礎設施(例如網絡設備、業務系統等)做到心中有數,才能進一步發現其中風險,從而避免存在短板。
2、漏洞掃描。據統計85%以上的攻擊來自于漏洞,漏洞可以說是網絡安全檢查中最重要的一環。而本次檢查既包含傳統的網站平臺、業務系統,還要包括工控領域中的生產業務系統。而且對于關鍵信息基礎設施,漏洞檢查應該更加全面,需包含Web漏洞、系統漏洞、中間件漏洞、數據庫漏洞。
3、后門檢查。國家多次強調了有些系統長期被控的情況,導致“誰進來了不知道、是敵是友不知道、干了什么不知道”。這種現象往往是黑客在早期在系統中植入了后門。后門往往是利用漏洞植入,一旦植入盡管修復了漏洞仍然可以通過后門連接,甚至于繞過防護設備。所以后門檢查也是關鍵信息基礎設施檢查的重中之重。
4、其他風險。配置基線、弱口令、主機的安全檢查等,都是信息系統中常見的風險。這些風險的控制可以有效增加攻擊成本,對于我國現階段網絡安全情況非常適用。
5、高級別持續性攻擊。文中提到了高級別持續性的網絡攻擊,此類攻擊通常利用0day漏洞,以及先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。目前應對此類攻擊比較好的手段是利用大數據分析以及威脅情報進行檢測。
關鍵信息基礎設施網絡安全檢查的實踐
盛邦安全通過烽火臺-監控預警系統,在本次關鍵信息基礎設施網絡安全檢查工作中實現了以下內容。
1、資產發現。WebRAY烽火臺-監控預警系統可自動發現網絡內的網站、業務系統、網絡設備等。可利用分布式模式,通過在各安全域部署探針,發現各區域的內部網絡資產。
2、漏洞檢測。WebRAY烽火臺-監控預警系統提供全面的漏洞檢測能力,包含系統漏洞、web漏洞、中間件漏洞、數據庫漏洞。同時能夠對于工控系統的漏洞進行檢測。
3、后門檢測。烽火臺-監控預警系統通過被動流量檢測技術以及基于威脅情報的盲掃技術實現對于后門的檢測。對于直觀單位實現無感知檢測,適用于大規模檢測。
4、弱口令檢測。烽火臺-監控預警系統可支持telnet、ssh、ftp等目前知名的檢測協議。
5、高級可持續性攻擊檢測。烽火臺-監控預警系統可集成安全情報,對此類攻擊進行深層次檢測。
