互聯網應用系統安全監控預警策略

◆徐楊子凡 王竟文 蘭少鵬

（1.云南南天電子信息產業股份有限公司信息安全測評中心 云南 650041；2.昆明長水國際機場 云南650200）

隨著網絡與信息化的不斷發展，新技術新應用的不斷普及，越來越多的業務需要互聯互通，信息系統逐漸復雜化，互聯網應用系統是一種典型的系統形態。安全監控預警[1]是網絡安全保障工作中的重要環節，《中華人民共和國網絡安全法》對安全監控預警相關工作提出了明確的要求，是網絡運營者的重要任務。

由于互聯網應用系統直接對互聯網提供服務，面臨較高的安全風險，我國現有的網絡安全技術標準對監控預警方面的描述過于宏觀，缺乏實施層面的細則，網絡運營者亟須一套可行的監控預警策略支撐互聯網應用系統安全監控預警工作的落地。

1 互聯網應用系統安全現狀

互聯網應用系統指對互聯網提供服務的各類業務系統或支撐系統，包括但不限于：門戶網站、交互式信息系統、云計算平臺等。由于互聯網應用系統直接與互聯網進行連接，是整個企業網絡的入口，逐漸成為黑客的主要攻擊目標。近幾年來，方程式、匿名者等黑客組織頻繁對我國互聯網應用系統進行網絡攻擊，控制重要系統，竊取敏感數據。2018年，CNCERT監測發現境內外約1.6萬個IP對我國境內約2.4萬個網站植入后門，攻擊團伙不斷更換其掌握的大量攻擊資源開展批量化、長期化控制，并且具有典型的黑產利益意圖[2]。由此可見，互聯網應用系統面臨的安全形勢十分嚴峻。

2 互聯網應用系統安全監控預警工作開展情況

2.1 國內外安全監控預警方法論

網絡安全監控預警通過安全技術手段監控網絡攻擊及網絡威脅，針對即將發生或正在發生的網絡安全事件或威脅，提前或及時發出安全警示，以便安全人員采取措施對安全事態進行快速應對，是互聯網應用系統長期運行維護的重要技術手段。

美國國家標準和技術研究院（NIST）發布的《Framework for Improving Critical Infrastructure Cyber security》[3]中提出了：檢測異常活動，了解事件的潛在影響；監控信息系統和資產，以識別網絡安全事件。我國2018年11月發布的《信息安全技術 網絡安全等級保護基本要求（報批稿）》中提出了：應能對網絡中發生的各類安全事件進行識別、報警和分析。可以看出美國和我國在監控預警方面的要求和方法論是相似的。

2.2 我國網絡運營者開展安全監控預警工作面臨的問題

我國關于網絡安全監控預警方面的標準尚不健全，網絡運營者缺乏權威的技術規范指導互聯網應用系統安全監控預警工作。目前大部分網絡運營者采用IPS、WEB應用防火墻、殺毒系統等常規安全系統對網絡攻擊進行監控并報警；部分單位建立了網絡安全態勢感知平臺[4]，但對態勢感知平臺過分依賴，對于態勢感知平臺無法識別的攻擊缺乏有效的解決方案。

當前的各類安全監控預警措施存在以下幾個突出的問題：

（1）安全監控范圍存在盲區，目前的安全防護與監控類產品大部分基于特征庫的方式進行數據過濾，本身存在較多誤報、漏報的可能性。

（2）安全設備或態勢感知系統的攻擊日志及告警信息可用性較低，安全運維人員常常收到海量告警信息，但無法驗證告警信息的有效性，難以提取出真正關鍵的安全信息。

（3）對于采用豐富資源且手法相對隱蔽的APT攻擊難以有效進行識別與定位[5]。

3 互聯網應用系統安全監控預警策略設計

根據當前互聯網應用系統安全監控預警工作現狀及面臨的問題，應將現有的各類安全監控預警手段整合成一套完善的技術體系，重點解決誤報、漏報、有效信息提取及APT攻擊識別等問題，采用圖1所示的總體安全監控預警策略。

圖1 網絡安全監控預警總體策略圖

（1）建立網絡安全態勢感知平臺，對漏洞利用攻擊、惡意代碼攻擊、異常流量、敏感信息泄露等各類網絡攻擊信息進行監測，為安全監控預警工作提供技術基礎。

（2）通過基線核查、漏洞掃描、滲透測試[6]等方式對互聯網應用系統進行脆弱性測試，依據脆弱性測試結果制定實時安全監控及定期安全審計[7]策略。

（3）依據安全監控預警策略開展常態化的安全監控預警活動，識別互聯網應用系統安全運行狀態，并在發現安全隱患時進行應急處置。

3.1 建立安全態勢感知平臺

采用自建、共建等方式建立全方位的網絡安全態勢感知平臺對安全事件實施持續性監測，廣泛運用數據挖掘、機器學習[8]等技術對各類安全信息進行歸納、分析及預測。對于系統規模較小的單位，也可以購買基于SAAS模式的態勢感知云服務。

網絡安全態勢感知平臺技術架構如圖2所示，可劃分為：數據采集層、數據處理層、數據存儲層、數據分析層及態勢展示層，各層的功能如表1所示。、

圖2 態勢感知系統技術架構圖

表1 態勢感知平臺技術解讀

3.2 實時安全監控預警策略

互聯網應用系統在任何時間點都可能面臨各類黑客攻擊，只有進行實時安全監控才能確保第一時間發現安全威脅。由于各種安全監控源產生的攻擊信息非常繁雜，應采用技術手段將相對可信的信息篩選出來，并配置為實時告警的內容。

以下介紹三種“可信”安全信息：

（1）互聯網應用系統安全漏洞所對應的攻擊信息。

對互聯網應用系統進行脆弱性測試，在充分掌握系統安全漏洞的前提下，結合安全漏洞被利用后的影響程度、態勢感知平臺監控機制等因素，在態勢感知平臺的自動報警策略中規避一些不存在或影響較小的信息類型，如表2所示，可以有效提升實時監控效率。

表2 安全攻擊信息監控策略示例

（2）IT資產關鍵屬性表異常變化信息

對互聯網應用系統及運行網絡環境中的相關 IT資產進行梳理，并對其關鍵屬性：資產名稱、IP、操作系統、端口、服務、組件、與其他資產之間的通信關系等進行精確記錄。使用態勢感知平臺對IT資產關鍵信息進行監控，發生變化時進行告警。

由于在業務變更及運維所需范圍之外，IT資產關鍵屬性極少發生變化，如果出現變化極有可能是黑客攻擊導致，該方式可有效識別較為隱蔽的APT攻擊。

（3）權威安全情報機構的威脅預警信息

建立與權威安全情報機構的信息共享機制，基于安全情報對重大安全攻擊進行安全預警，提前做好預防性處置措施，可有效預防安全事故的發生。

3.3 定期安全審計策略

由于考慮到安全信息有效性及監控效率的問題，實時安全監控未覆蓋所有可能的攻擊范圍，定期進行全盤的安全審計與分析，主動發現安全威脅，是實時安全監控預警工作的有效補充。

安全審計范圍主要包括以下兩個層面：

（1）安全日志審計與分析

通過態勢感知平臺以周度或月度的頻率定期對防火墻、IPS、IDS、異常流量監控、WAF、殺毒系統及主機入侵防護等安全系統生成的監控日志全面進行審計，并對審計記錄進行關聯分析，發現網絡中可能存在的攻擊痕跡，包括但不限于流量攻擊、WEB漏洞攻擊、數據竊密、惡意代碼等，形成安全審計分析報告。

（2）服務器深度安全審計

由于任何安全設備也不能保證能夠識別所有攻擊類型，根據安全攻擊原理分析，無論是破壞性、篡改型還是竊密型攻擊，最終攻擊節點都會落在承載應用系統及數據的服務器操作系統層面，攻擊過程和結果均會造成操作系統中一些關鍵指標的變化。

以月度或季度的頻率定期對互聯網應用系統所涉及的重要服務器進行操作系統本地深度威脅檢測，檢測內容包括但不限于：異常端口檢查、異常進程檢查、異常線程檢查、異常服務檢查、異常策略檢查、異常注冊表項檢查、可疑文件等，可通過主機層面安全軟件結合人工檢查的方式實現，并對檢查結果進行匯總分析，形成服務器深度安全審計報告。

4 結束語

本文立足于互聯網應用系統安全現狀，結合國內外網絡安全監控預警方法論，分析了當前常規網絡安全監控預警方式存在的不足，提出了一套普適性的網絡安全監控預警策略，改善了常規監控預警范圍存在盲區、工作效率低下、難以識別 APT攻擊等問題，對網絡運營者落實網絡安全保障任務有較大的促進作用。