张 滢
(山西电信分公司,山西 太原 030006)
1.1 网络结构复杂风险
随着网络技术不断更新,电信企业从几十年前以固话语音和宽带上网的传统业务为主的时代,过渡到了传统业务与新兴业务并存的时代。特别是云计算、5G技术的兴起,各种基于云底座和“互联网+”的业务不断涌现,新技术潜在的安全风险难以预知,而且网络结构日趋复杂、内部接口繁多、攻击源多样化,运维人员跟踪和防护变得更加困难。
1.2 业务敏感信息风险
因电信业务发展迅速,用户数量剧增,积累了海量的运营数据,其中含有企业及用户的敏感信息。这些敏感数据时刻面临泄露的风险,而风险有的来自于外部的攻击,有的来自于内部工作人员操作不当等。
1.3 资产隐匿通道风险
电信企业有大量的硬件资源和软件资源,其中芯片、操作系统、数据库大多数是国外生产设计的,这些国外软硬件资源的底层工作机制、是否含有后门风险等,企业都无法获知。如美国阿帕奇公司的log4j2漏洞,被证实可以产生严重危害,如被利用可能会造成企业数据失窃风险。
1.4 身份认证管理风险
管理员、运维人员设置的口令过于简单或强度不够,容易被攻击者利用。账号共用、权限设置不当也给攻击者提供了主机提权的机会,所谓主机提权,就是将原本的低权限通过系统的漏洞或本地溢出等方法将自身建立的用户提升为管理员或root权限的机会,甚至能够获得管理权限,实现对主机的控制进行信息的窃取,给企业带来巨大的损失。
1.5 安全防护手段分散
为了筑牢安全底座,企业会对重要业务系统增加防护手段,如部署WAF、设置防火墙、安装主机防病毒软件等。但是各类安全产品只对局部网络或某类安全问题有效,不能发挥最大能力形成整体防护体系。而且各类安全产品之间存在兼容性和协同性问题,总会出现漏报、错报情况,并对后期的追溯产生巨大影响,无法发挥应有作用。
针对上述列举的企业运维安全风险,下面提出了对企业运维安全风险点的控制方法。
2.1 数据存储和传输安全
一方面,在复杂的网络中从数据产生的源头对各类数据加密存储、加密传输,减少因新技术潜在安全漏洞被利用带来的风险;
另一方面,对网内资产生成的主机日志、数据库日志、中间件日志、接口日志和应用日志集中收集,以便进行关联分析。
2.2 数据处理安全
通过数据脱敏技术使数据本身的安全等级降级,这样就可以在开发、测试和其他非生产环境以及外包等计算环境中安全地使用脱敏后的数据集。借助数据脱敏技术屏蔽敏感信息,并使屏蔽的信息保留其原始数据格式和属性,以确保应用程序可在使用脱敏数据的开发与测试过程中正常运行。同时,根据细粒度的数据授权,配置合适的脱敏规则,以控制不同的人员访问不同安全等级的数据,从而保护数据安全,防止泄密。
2.3 资产管理安全
定期对企业资产进行安全评估,仅开放必要业务端口,及时修补漏洞,是资产安全管理的基础。对资产归属资源组、归属业务系统、IP地址、资源类型(主机、数据库、网络设备、安全设备、应用系统)、资源责任人、资源名称等信息详细记录,统一资产访问入口,并进行全程监控、管理和分析。
2.4 身份认证安全
对运维人员进行身份识别、强制访问控制,保证身份合法的人员能够访问指定的组件和数据;
对运维人员访问敏感数据、执行关键操作及其结果进行真实、全面的记录。基于角色的访问控制的授权原则,通过资源与用户角色进行关联,最终将细粒度(达到数据表、字段级,或者文件系统文件夹、文件级)的权限赋给运维人员。
2.5 安全防护数据结合分析
将分散在网络各处的安全防护设备产生的告警日志进行关联分析,建立集中的威胁分析审计模型,构建综合威胁分析能力[1],结合对用户行为的审计,根据自定义告警规则实现的针对特定异常行为的告警通知,以达到快速定位问题的目的。
场景审计是“以数据为基础,算法为支撑,场景为导向”理念的落实[2],是通过大数据和智能化分析进行运维安全审计的。
3.1 大数据审计模型的建立
通过对数据进行有效挖掘操作,有针对性地对基础数据进行融合操作、归并操作,对一些数据进行关联分析,然后采用科学算法发现问题,进行不断优化,最终形成审计模型[3],如图1所示。
图1 大数据审计模型
3.1.1 数据采集
将主机日志、数据库日志、中间件日志、网络设备日志、安全设备日志、应用日志和资产基础信息等数据源通过FTP、DB、syslog、文件、数据流等格式进行采集、配置。
3.1.2 数据分析根据正则、关键字规则等进行数据分类、数据拆解、数据拼装、数据转发。
3.1.3 数据建模
采用数据算法进行相应的数据清洗;
应用各种建模技术进行参数调优,对比建模效果;
从海量数据中分析规律、查找异常、挖掘信息以分析数据,发现数据中存在的问题。
3.1.4 模型优化
通过对模型的反复验证,提升数据模型质量;
基于业务场景验证、模型调优;
将最优的模型应用于相关业务场景中。
3.2 场景审计模型
大数据审计从审计目标、审计内容和审计思维模式方面带来了一系列变革。首先,大数据审计不仅要发现违法违规行为,还要透过看似合法的行为评估潜在的安全风险;
其次,大数据审计除了审计结构化数据,还可以对非结构化数据进行审计,如html、文本、音频、视频等;
最后,大数据审计针对的数据是全面的,审计的数据具有高度混杂性特点,审计结果反映数据之间的相关性。
场景审计是根据业务场景分析策略,在中间数据或标准化日志中找出异常行为的过程,分析的结果可供审计预警、审计报表、日志查询、专题审计和关联分析使用。例如,根据营业员在一段时间内的操作日志,进行数据分析并建立模型;
通过分析模型将比对出的偏离正常区间、正常时间段的异常行为日志进行统计,生成营业员的行为画像。
常态化的场景审计如图2所示,从账号授权、认证审计、设备审计、金库审计、第三方人员审计、敏感系统审计、流量审计等七个维度入手,开展日常安全审计。
图2 网络安全审计维度
不同的审计场景引用不同数据源,采用不同的审计策略进行数据分析,发现其中隐含的模式和规律。如关键词分析是根据分析规则对标准化日志或中间数据进行匹配的过程,以发现异常和违规行为,并通过预警策略进行预警提醒。如聚类分析根据数据的相似性原则,将数据划分为若干类别,使同类数据差别极小,不同类别数据差异尽可能大。关联分析可发现隐藏在数据间的相互关系,通过挖掘发现不同数据间的密切度或关系。序列分析可发现数据出现时间、出现序列的规律,分析数据间的关联性[4]。均值分析基于标准化日志,根据均值统计策略对历史数据进行统计分析,计算出策略的均值结果,并将其动态存入中间数据中,作为阈值供后续统计分析场景和报表使用。
例如,在进行多IP地址登录场景审计时,将主账号名称、归属人所在地市、人员组织机构、主账号类型、登录时间、登录IP地址等信息关联分析,统计出同一账号在一段时间内登录的IP地址数量超过一定阈值的异常日志,从中发现可能的账号盗用、账号共用的违规行为。部分审计场景的审计策略如表1所示。
表1 部分审计场景的审计策略
3.3 场景审计的效益
将场景审计聚焦于解决某一类具体问题,目的更直观、效率更高。场景审计不仅能实现实时审计、风险管控前移、审计自动化管理,还能对审计进行全流程管理,对运维安全审计进行端到端管控。场景审计效果如表2所示。
表2 场景审计效果
本文主要对大数据时代企业面临的运维安全风险进行了详细的讨论,对风险点控制提出了具体应对方法,并提出基于大数据的场景审计模型以解决前述风险和落实应对方法。希望本文对改善企业运维安全风险的现状有一定的推动和促进作用。■
猜你喜欢日志运维分析一名老党员的工作日志华人时刊(2021年13期)2021-11-27隐蔽失效适航要求符合性验证分析民用飞机设计与研究(2020年4期)2021-01-21扶贫日志心声歌刊(2020年4期)2020-09-07运维技术研发决策中ITSS运维成熟度模型应用初探中国交通信息化(2019年5期)2019-08-30电力系统不平衡分析电子制作(2018年18期)2018-11-14雅皮的心情日志思维与智慧·上半月(2018年9期)2018-09-22风电运维困局能源(2018年8期)2018-09-21杂乱无章的光伏运维 百亿市场如何成长能源(2017年11期)2017-12-13游学日志小学生(看图说画)(2017年6期)2017-11-06电力系统及其自动化发展趋势分析山东工业技术(2016年15期)2016-12-01