1、47 城市轨道交通,2023 年第 6 期经验研讨 Sharing Experience随着两化融合和智慧城轨的快速发展,网络应用渗透到企业业务的各个层面,城轨企业网络安全的压力越发凸显。本文调研了广州地铁、上海地铁、深圳地铁、成都地铁、南京地铁、宁波地铁、西安地铁、济南地铁、厦门地铁、佛山轨道交通、郑州地铁、太原轨道交通等城轨企业与奇安信、深信服、华为、绿盟、亚信等安全厂商,经过研究上述城轨企业的生产域、管理域、外部服务域的网络安全状况,包括边界安全、终端安全、云安全、应用安全、数据安全等安全能力,依据网络安全滑动标尺模型,评估目前我国城轨企业的网络安全所处阶段,以便进行网络运营成熟度的分析
2、。一、研究设计(一)资产自发现资源管理网络安全管理是基于对信息资产的有效管理,信息资产数据的实时性、完整性、准确性对网络安全工作起到核心的基础支撑作用。按照资源类型范围分为三层:第一层是 IaaS 资源层,主要包括基础架构资源和网络,提供计算、存储、操作系统、防火墙、交换机、路由器、上网行为等信息资产的物联模型;第二层是 PaaS 资源层,主要包括中间件和数据库,提供面向技术平台服务组件的资源实例管理,匹配关于城轨企业网络安全运营的初步探讨文:张涛、林德辉、张日见丨广州地铁集团有限公司随着数字化转型的加快,城轨企业的网络边界、系统边界、业务边界越发模糊和动态,传统网络安全运营模式已难以适应。安
3、全运营团队需要一个全新的运营模式,以便在数字原生世界保护企业业务的发展。本文通过研究资产自发现技术和数据融合技术,结合对各地城轨企业网络安全系统建设情况和厂商产品发展的调研,介绍网络安全运营中心(以下简称“SOC”)的搭建模式,为实现城轨企业网络的安全运营提供借鉴。应用系统形成的中间件和数据库等实例信息资产的物联模型;第三层是 SaaS 资源层,也称之为应用层,提供面向应用的全生命周期管理和全面的关联 IT 资源管理能力。当安全事件发生时,第一时间能定位攻击源、影响系统、影响范围、攻击路径等信息,评估并控制影响范围,找到安全漏洞位置,找到资产责任部门及责任人进行漏洞修复等操作。无论是主机、数据
4、库、中间件、网络、容器、应用系统等资产都可能实时变动,如人员部门调整、组织变革、虚拟机关机、虚拟机资源回收、虚拟机漂移、容器重启等情况,通过精准的、实时的资产发现模型进行管理,实现持续的信息资产自发现能力。(二)数据融合事件驱动网络安全的数据涉及信息资产全生命周期,将多源的、多维度的网络安全数据和信息资产数据进行分类整合,建立起网络安全的元数据和主数据,形成不同关联模型、不同主题类型的数据集合,打破数据孤岛,加快数据流动,实现数据共享,释放数据价值。基于数据融合技术,通过对海量软硬件的多数据源的数据采集、存储、清洗转换等,建立安全中心的数据模型,形成安全中心的数据视图。在数据的基础上,围绕人、
5、技术、管理三要素进行构建,实现以运营为中心的人、技术、管理体系,采用以“数据驱动为基础”,通过敏捷开发,对各种安全数据进行统筹管理,使各软硬件的安全状态和企业信息化的整体安全形势和安全趋势对于企业不再是“黑盒子”,而是有数据为支撑的“白盒子”。采用事件驱动的业务工作机制,依托数据模型为基础,自动感知触发安全事件,驱动安全团队及时控制网络安全风险,并且形成一个持续的反馈循环,驱动团队能够捕获和使用数据来改进未来的分析,实现系统和工具能够协同工作,确保数据能够在整个基础框架中有序地流动,实现以数据驱动企业的安全运营管理。(三)样本评估通过对城轨企业样本进行分析发现,目前国内城轨企业均已基本完成安全
6、防护系统的部署,通过相应的国家等保要求,但大多数城轨企业仍处于“被动防御”阶段,未形成专业网络安全运营团队;其中,大约 30%的城轨企业进入到主动防御阶段,构建了专业网络安全运营团队,运用工具对网络进行持续的监督与分析,结合业务实际开展攻防演练;只有 10%左右的城轨企业正在进入情报分析阶段,开始具备全域实时感知能力,搭建安全运营管理中心,形成安全与业DOI:10.14052/ki.china.metros.2023.06.00648Sharing Experience经验研讨城市轨道交通,2023 年第 6 期务紧密联动的工作机制,强化企业的安全指挥管理和应急管理能力。安全是一个动态、对抗的
7、过程,满足合规要求仅是网络安全建设的第一步,面对复杂的外部环境,企业需要对自身网络安全能力成熟度进行客观评价,及时发现安全能力的不足或隐患。目前城轨企业在网络安全方面存在以下几个比较突出问题。一是缺乏信息资产的全域感知能力。没有实时准确的信息资产管理,缺乏网络安全的管理基础。资产是网络安全防护的对象,更是网络安全精细化管理的基础,无论是数据分级分类、漏洞修复、中毒事件处理、攻击事件处理等操作,均需要知道该信息资产是什么,否则只有一个 IP 或者访问地址将难以完成安全事件闭环。信息资产的属性是会随着业务发展而变化的,例如所属系统、操作系统类型、中间件版本、资产责任人、资产所属组织等,如果不能做到
8、对信息资产的全域实时的自动感知,那么信息资产的属性就无法保证完整性和准确性,网络安全就无法做到“精准”“快速”地发现和整改。二是业务与网络安全的工作协作联动不足。网络安全涉及边界安全、终端安全、应用安全、云安全、数据安全等专业领域,软硬件种类繁多而且异构,这些网络安全工具和系统日常会产生大量的事件和日志,网络安全内部各专业之间缺乏协作联动。同时,网络安全需要根据信息资产的状况建立管理基线,而随着敏捷开发持续迭代的信息系统建设模式到来,信息资产的管理基线频繁变化,而网络安全与信息资产日常运营之间的协作联动问题也比较突出。由于协同联动性不足,企业难以形成高效的网络安全日常管理机制,面对风险,将缺乏
9、主动防御能力。三是缺乏网络安全的数据关联融合。各种网络安全工具各自为战,未能与企业内部日常管理工作形成协作联动,导致工作执行效率低,容易错漏。网络安全体系的建设,需遵循安全技术和安全管理并重的原则,养成“用数据说话”的管理习惯,需制定统一的安全数据体系,指导安全管理工作。不同厂商的安全设备每天产生的海量数据,没有建立关联分析机制,导致安全产品成效不突出,安全数据多次告警无法形成聚合效应,安全设备各自为战,安全运营效率低下,甚至不同工具还需依赖人工操作,过程繁琐效率低,操作风险高,事件无法及时处置,无法有效保障业务安全。二、研究结果面对高频率的攻防演练、重保、演练常态化,要常态化地开展高级的安全
10、分析,如威胁情报、监测与分析、攻防演练、渗透测试等,需要明确而可落地的目标和考核指标以及可持续的目标达成系统进行支撑,结合内外部专业、服务、情报等能力,从而达到精准、快速的安全防控。由于城轨行业普遍存在异构性大的问题,各个安全厂家的设备或系统产生的数据各自为战,需要打破多专业技术壁垒,协调不同厂家进行定制开发或者提供接口信息。在数字化转型的大背景下,需要一个开放的架构,对各种安全设备和系统的数据进行统筹管理。本研究以广州 SOC 为例,通过采用资产自发现、流程协作和数据融合技术,搭建网络安全运营中心,以提升网络安全管控能力。(一)以资产自发现构建网络安全管理基础信息资产包括数据中心、资源池、集
11、群、宿主机、虚拟机、虚拟存储、虚拟磁盘、虚拟交换机、VLAN、虚拟网卡、物理设备、设备部件、板卡、中间件、数据库、应用系统、应用模块等复杂异构对象,以及其产生的大量不同表现形式、不同存储格式的多源数据,需要在物联感知的过程中,通过边缘的主动探测计算处理能力,根据预先定义的数据标准,将数据格式进图 1 资产自发现核心架构49 城市轨道交通,2023 年第 6 期经验研讨 Sharing Experience行规整,并按照统一的存储格式进行数据的存放。以面向应用服务为视角,新建及重构配置模型、配置服务关系,实现模型既可以通过应用向下追踪识别与之相关联的资源链,也可以通过底层基础资源向上延展资源链直
12、至识别应用与服务,实现基于应用服务的系统动态关系图谱,对众多对象、属性和关系定义,资产自发现核心架构见图 1。以广州地铁为例,通过探针引擎,实时管理的信息资产覆盖1000+主 机,500+数 据 库,500+中间件,500+容器,200+个系统,100+个组织,10000+终端。通过打通资产信息孤岛,提供全面整合的线上、线下资产信息,及时发现未知资产、僵尸资产以及暴露资产,高效管理现存资产。高效、全面、精准地掌握网络各类脆弱性风险、资产状态、位置等信息,实时呈现资产的攻击态势及影响范围。明确责任组织及责任人,第一时间进行漏洞修复、基线整改、弱口令整改、断网、下线等操作。可见,以资产自发现形成全
13、域实时准确的信息资产管理,为网络安全奠定了扎实的管理基础。(二)以流程协作驱动网络安全日常管理通过梳理终端、网络、云内、应用、数据方面的管理事件,整合网络安全各类事件,形成对既定脆弱性风险事件、篡改事件、APT威胁事件、异常行为事件、病毒事件、攻击事件、违规事件、审计事件、越权事件、重点关注事件等方面的标准化事件流。通过 SOC 进行整合,区分等级、紧急程度,建立常规处置流程和紧急情况下的应急处置流程,形成事件驱动及闭环管理,安全运营流程协同见图 2。广州地铁以流程协作和事件流为基础,构建平时、战时、全时的三时空间,采用网络安全自适应安全架构为指引,驱动网络安全事件流形成预测-防御-检测-响应
14、的自动化闭环管理,形成高效协作的网络安全管理运作体系。在流程协作引擎的加持下,实现防护自动流程编排处理,自动流程关联推送,提升网络安全协作能力。广州地铁 SOC 能通过全网漏洞扫描平台对各类资产漏洞进行发现,对脆弱性、攻击事件、各类威胁进行分析及处置管理,联动处置能力覆盖了防火墙、漏洞扫描、主机安全、终端安全、防篡改、IPS、WAF 等方面,配合资产自发现能力。2022年前 1 1 个月广州地铁 S O C 已成功 拦 截 攻 击 36.1797 万 次,封 禁可疑公网 IP 共计 8.6516 万个,处置 466.6 万单告警,漏洞处置效率提升 10 倍以上。通过以资产为主线,以事件流程为驱
15、动的安全管理闭环,形成高效协作的网络安全管理运作体系,实现网络安全风险的“动态清零”。(三)以数据融合驱动网络安全指挥管理网络安全业务场景的数据包括服务器设备、网络设备、安全设备、云资源池、宿主机、虚拟机、操作系统、数据库、中间件、应用系统、应用模块、防火墙、防病毒软件、态势感知、漏洞扫描工具、终端设备等复杂异构对象,以及其产生的大量不同表现形式、不同存储格式的多源数据,需要在构建网络安全业务场景时,利用数据融合技术,对复杂异构的数据进行数据采集,再根据预先定义的数据标准,将数据格式进行加工、规整等数据转换,并按照统一的存储格式进行数据的存放。以面向应用服务为视角,新建及重构以网络安全为中心的
16、数据模型和数据关系,解决了能力分散问题,实现对复杂的安全业务场景管理。广州地铁基于数据融合技术,实现对海量软硬件异构多数据源进行数据自动采集、存储、清洗转换,建立以网络安全为中心的数据模型,形成网络安全运营的数据视图。在数据的基础上,围绕人、技术、管理三要素进行安全业务场景构建,将多源安全数据进行聚合,把原先分散的单点安全能力以原生化方式进行有机融合,有效提升威胁预测-防御-检测-响应能力。通过数据融合实现网络安全威胁全域感知,结合网络安全的全局策略管理,2022 年前 11 个月,广州 地 铁 SOC 共 处 置 466.6 万 单 告警,通过自动化编排,处置效率从每分钟 1 单提升至每秒
17、1 单;通过图 2 安全运营流程协同50Sharing Experience经验研讨城市轨道交通,2023 年第 6 期数据融合分析,溯源策略优化,告警误报率下降 80%。广州地铁基于 SOC 的数据融合能力,大幅提升网络安全运营的精准度,有效分析黑客攻击手段、挖掘风险资产,提升防御能力,支撑集团进行全业务域网络安全的指挥管理,数据融合驱动流程见图 3。广州地铁官方 APP 注册用户数超过 1400 万,不仅提供了站点信息、线路查询、首末班车时间、车站服务设施、车站周边信总、站外实景导航服务、运营公告、票价法规等基础运营服务信息查阅功能,同时还提供基于地铁会员的乘车码、城际乘车、刷脸过闸、智慧
18、安检、出行资讯订阅等各种增值服务,在扩大乘客信息渠道的同时提供便捷、贴心、互动的个性化服务,是安全运营重点保障对象。以广州地铁官方 APP 日常运维中地铁官方 APP 系统受攻击为例,由于官方 APP 应用端部署在公有云,通过专线直接进入内网,攻击类型 70%为 Webshell 攻 击,11%为代码执行攻击,云端应用通过公有云安全资源池进行自动化防护,如 WAF、主机安全等。公有云与我司之间划分边界,当攻击者突破公有云安全时,攻击流量会被网络探针、IPS 等网络设备进一步识别及防护,部署在官方 APP 服务端的终端安全入侵防御作为最后一道防线,与其他安全设备一起形成纵深防御协同。安全流量探针
19、一旦发现出现大量源为专线对端地址攻击流量时,SOC 就会反馈相关告警,自动化编排或者监控人员可在边界防火墙切断专线对端 IP 的联通,保证数据库和内网服务器的安全。而在重保/攻防演练期间,可在 SOC 上设置地铁专线业务监控页签,重点监控来自专线的业务流量告警,同时安排应用管理员时刻注意云端、专线应用情况,当发现攻击流量或者内网出现大量以官方APP 应用服务器作为目的的告警,会自动采取边界封控或人工接入,控制攻击源的访问范围。三、结论网络安全威胁无时无处不在,要做到快速、精准,就必须依托数字化能力。本次研究以资产自发现奠定数据管理基础,通过流程和数据的双轮驱动,锻造网络安全运营能力,构建一个标准开放的 SOC架构。以“流程+数据”的数字化为核心,采用信息资产为主线,事件流程与数据融合双轮驱动,依托于自适应安全架构,实现持续预测-防御-检测-响应的自动化闭环管理,辅助城轨企业走向“攻不进、看不见、看不懂、拿不走、毁不掉”的网络安全运营管理目标。结合广州地铁 SOC 的实践,本研究成果取得一定的落地效果,期待研究成果能为行业提升网络安全能力提供一些摸索和借鉴,为行业网络安全工作的发展贡献微薄力量。图 3 数据融合驱动图
