关键信息基础设施网络安全检查开启
7月8日,中央网信办网站发布通知,“经中央网络安全和信息化领导小组批准,首次全国范围的关键信息基础设施网络安全检查工作已经启动。”随后,多地以及多个行业召开检查工作动员部署会议。本次关键信息基础设施网络安全检查是围绕习近平总书记“4.19”讲话进行的一次有针对性的、全国范围的网络安全检查工作。盛邦安全对此进行了深入解读,并根据国家要求协助多地进行了安全检查工作。本文主要将盛邦安全对于本次安全检查的理解以及在实践中的所思所想进行阐述,希望能够给各位起到一些借鉴意义。
领导单位:中央网信办牵头组织,各省(区、市)网络安全和信息化领导小组与中央和国家机关将统一领导本地区、本部门的网络安全检查工作,各省(区、市)网信办统筹组织本地区检查工作。
检查范围:除中央和国家机关及其直属机构外,党政机关、企事业单位主管的关键信息基础设施。行业包括能源、 href="http://www.cctime.com/" target="_blank"、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统。
检查时间:至2016年12月底。
应该检查哪些内容? “大量党政机关网络被攻击篡改,网站平台大规模数据泄露事件频发,生产业务系统安全隐患突出,甚至有的系统长期被控,面对高级别持续性的网络攻击,防护能力十分欠缺,加之网络安全威胁具有很强的隐蔽性,“谁进来了不知道、是敌是友不知道、干了什么不知道”,亟须摸清家底加强风险评估和防范。“
——中央网信办网站
对于关键信息基础设施网络安全检查应该检查的内容,盛邦安全通过分析中央网信办所发布的内容以及实际操作,总结出以下几个方面。
1、摸清家底。无论是习近平总书记在“419”上的讲话,还是实际操作上来看,摸清家底都是安全检查的较早步。只有对关键信息基础设施(例如网络设备、业务系统等)做到心中有数,才能进一步发现其中风险,从而避免存在短板。
2、漏洞扫描。据统计85%以上的攻击来自于漏洞,漏洞可以说是网络安全检查中较重要的一环。而本次检查既包含传统的网站平台、业务系统,还要包括工控领域中的生产业务系统。而且对于关键信息基础设施,漏洞检查应该更加全面,需包含Web漏洞、系统漏洞、中间件漏洞、数据库漏洞。
3、后门检查。国家多次强调了有些系统长期被控的情况,导致“谁进来了不知道、是敌是友不知道、干了什么不知道”。这种现象往往是黑客在早期在系统中植入了后门。后门往往是利用漏洞植入,一旦植入尽管修复了漏洞仍然可以通过后门连接,甚至于绕过防护设备。所以后门检查也是关键信息基础设施检查的重中之重。
4、其他风险。配置基线、弱口令、主机的安全检查等,都是信息系统中常见的风险。这些风险的控制可以有效增加攻击成本,对于我国现阶段网络安全情况非常适用。
5、高级别持续性攻击。文中提到了高级别持续性的网络攻击,此类攻击通常利用0day漏洞,以及先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。目前应对此类攻击比较好的手段是利用大数据分析以及威胁情报进行检测。
关键信息基础设施网络安全检查的实践盛邦安全通过烽火台-监控预警系统,在本次关键信息基础设施网络安全检查工作中实现了以下内容。
1、资产发现。WebRAY烽火台-监控预警系统可自动发现网络内的网站、业务系统、网络设备等。可利用分布式模式,通过在各安全域部署探针,发现各区域的内部网络资产。
2、漏洞检测。WebRAY烽火台-监控预警系统提供全面的漏洞检测能力,包含系统漏洞、web漏洞、中间件漏洞、数据库漏洞。同时能够对于工控系统的漏洞进行检测。
3、后门检测。烽火台-监控预警系统通过被动流量检测技术以及基于威胁情报的盲扫技术实现对于后门的检测。对于直观单位实现无感知检测,适用于大规模检测。
4、弱口令检测。烽火台-监控预警系统可支持telnet、ssh、ftp等目前知名的检测协议。
5、高级可持续性攻击检测。烽火台-监控预警系统可集成安全情报,对此类攻击进行深层次检测。
