【连载】2016年中国网络空间安全年报(十二)
2016年中国网络空间安全年报
9. 第三届世界互联网大会安全保障实践响
9.1. 安保工作投入
根据互联网大会上会务工作的线上业务特征,结合重大活动、会议的网络安保特点,本次大会网络安全保障工作的保障范围包含以下五点:
大会官网、注册网站、乌镇峰会APP和大会网络直播系统的安全运行;
乌镇景区及大会会场等核心区域接待、通讯、会务等相关信息系统的安全运行;
浙江省政府、省公安厅门户网站及省内主要媒体官网的安全运行;
大会举办地嘉兴片区党政机关网站的安全运行;
大会期间整体网络安全态势全程感知与应急指挥保障。
上述保障目标的从大会核心到外延,涵盖了大会网络安全保障目标所需重点关注的全部保障对象。
9.1.1. 多地人员保障,有序开展突出重点
安保工作由总裁范渊总体把控决策,首席安全官刘志乐担任总指挥,于互联网大会开幕前近半个月便赶赴乌镇与嘉兴市区、桐乡市区等多处检查指导安保工作,直至大会圆满结束,并在整个大会安保工作中,全程指挥前方安保组和后方保障组协调合作,共同完成本次大会网络安全保障对象的安全检测、加固、监控与保障工作。
本次保障主要由前方驻场保障和后方远程值守保障组成,前方保障人员在第一现场对官网、注册网、乌镇峰会APP、大会网络直播系统等大会核心系统以及省重保、嘉兴片区的网站进行7*24小时的保障和应急响应支撑;后方远程保障小组由风暴中心承担,负责保障目标网站的远程监测和防护,风暴中心值班人员进行7*24小时的安全值守,前方保障和后方支撑两点联动,确保本次大会保障目标的安全稳定运行,派驻大会现场及各远程重要信息系统安保值守人员如下:
保障地点及区域 | 保障目标和职责 | 投入人员 |
|---|---|---|
大会总指挥部 | 总体协调和指挥 | 3人 |
省厅指挥部 | 负责后方协调和指挥 | 3人 |
风暴中心保障小组 | 远程监测、防护 | 20人 |
大会网络直播服务系统 | 为直播系统提供应急响应 | 2人 |
重保系统保障小组 | 峰会核心系统、省厅重保网站 | 14人 |
嘉兴、桐乡地区保障小组 | 嘉兴、桐乡地区472个党政机关网站 | 4人 |
杭州应急响应小组 | 为所有保障模板提供应急响应支撑 | 6人 |
现场应急响应小组 | 为嘉兴片区提供应急响应支撑 | 4人 |
表9-1 第三届互联网大会安保人员投入
9.1.2. 部署专业设备,加强监控防护
为承担本次互联网大会网络安全保障任务,安恒信息统筹调度大量安全专业设备、计算资源、网络资源与交通工具资源,充分保证本次大会网络安保工作组具备专业的技术装备支撑。
本次互联网大会网络安保工作所调用设备资源不完全统计列表如下:
资源类型 | 采用设备 | 资源数量 |
|---|---|---|
安全设备 | Web审计 | 1套 |
安全设备 | SOC安全日志分析系统 | 1套 |
安全设备 | 等级保护检查工具箱 | 6套 |
安全设备 | 风暴中心监控大屏 | 全程 |
安全设备 | 专用笔记本电脑 | 80台 |
安全设备 | 安恒云WAF系统 | 大会官网系统部署 |
安全设备 | 安恒云堡垒机系统 | 1套 |
安全设备 | 安恒玄武盾系统 | 集中防护472个网站 |
安全设备 | 网站防篡改系统 | 208套 |
计算资源 | 风暴中心大数据云 | 全程 |
计算资源 | 风暴中心各省计算节点 | 28个 |
网络资源 | 风暴中心萧山、沈阳机房 | 多线 |
表9-2 安保投入设备
9.2. 网络安保实施过程
根据大会网络安保工作计划统一安排,网络安保工作自10月起便全面正式展开,整个安保工作分为事前、事中与事后三个阶段进行。
图9-1 安保工作三阶段
事前阶段主要工作为前期检测,对全部网络安全保障对象及配套网络进行安全检测,优化安全架构。同时,对大会核心系统、省重保网站和嘉兴地区的党政网站进行安全漏洞的拉网式排查。
事中阶段主要工作为会议中监控防护,对大会召开所需重点信息系统进行驻点现场监控与远程监控,同时充分运用安恒信息自有技术设备资源,对各重点信息系统进行安全防御加固与安全事件的检测与处理响应。
事后阶段主要指发现并确认攻击来源后,及时响应,采取技术手段反向查询攻击者来源,并切断攻击者攻击线路,快速消减攻击可能造成的安全风险。
9.3. 保障成果分析
9.3.1. 会前各类系统漏洞预警整改到位
经过近一个月的安保奋战,安恒互联网大会网络安保团队取得了骄人的成果,对峰会核心系统、省重保网站、乌镇景区内外酒店、信息亭及国际会议中心、嘉兴与桐乡等党政机关网站进行了全面的检测预警,并协助整改与通知,成果如下:
在会前的网络安全隐患大排查中检查出安全漏洞共1500余个,其中紧急漏洞118个,高危漏洞461个,针对检测出的漏洞,安恒工程师都为被检查单位提供了针对性的修复建议,并积极推动促进整改与加固,消除安全隐患;在大会期间保持高度戒备,全程监控并成功拦截、抵御海量攻击行为,及时发现可疑访问并准确溯源,对其进行了阻断,最终确保了本届互联网大会网络安保工作的圆满结束。
9.3.2. 十类重要现场值守保障到位
本次会议期间,进行了重要现场的多地值守保障,以防各类突然安全事件,可进行0延时的预警响应。现场保障团队与风暴中心的7*24值班室、乌镇现场指挥部进行三地联动,及时发现问题,无障碍协调处理,现场保障团队主要有以下十支:
序号 | 值守团队 | 值守内容 |
|---|---|---|
1 | 组委会前线指挥部现场值守保障团队 | 综合前后方各驻点安全监控与保障数据信息进行统计分析,及时作出安全保障决策,与公安、网信、通管等相关部门保持信息共享与事务协调处理。 |
2 | 大会官网、注册网、浙江在线值守保障团队 | 会议期间,多次发现、上报并处置网络攻击行为与异常网络访问流量,并协调官网与浙江在线相关技术接口人员会同完成了保障工作。 |
3 | 大会网络直播系统会议现场值守保障团队 | 安恒直播驻守组选派了对广电系统与工业控制系统极为熟悉的安全专家,在会前完成了网络直播系统安全检测的情况下,进一步督促直播系统运维人员整改与加固了系统漏洞,在会议期间和华数、浙江在线、浙江电视台等技术支撑人员一起驻场保障直播系统的正常运行。 |
4 | 新蓝网会议现场 | 对新蓝网系统进行了全程跟踪保障。期间网站发生文件上传失效等问题,我方技术人员第一时间启动应急处置流程,及时对问题进行了排查和解决,确保了会议期间新蓝网网站的稳定运行。 |
5 | 乌镇大会安保指挥大厅 | 风暴中心为本驻守点位定制开发了适用于现场指挥大屏的网络安全态势感知系统共10套,实时展现大会各重点保障互联网信息系统的安全情况与服务质量情况,5名专业安全分析人员在指挥大厅内驻场进行数据实时分析,全程关注与分析10套网络安全态势感知系统的实时流量与安全告警数据。 |
6 | 萧山机场 | 对萧山机场的网络进行保障工作,确保了萧山机场网络安全。 |
7 | 乌镇峰会APP | 与乌镇峰会APP其他技术支撑单位阿里云、中电科等多方工作人员通力合作,为乌镇峰会APP的安全稳定运行进行全程保障。 |
8 | 浙江省厅指挥部 | 密切关注会议现场与远程各驻点值守人员报告的事件信息,协调参与大会网络安保各部门工作,调配人力、技术资源全力支持前方安全保障驻守工作。 |
9 | 嘉兴市公安局现场 | 派驻安全专家和嘉兴市公安局网警共同保障嘉兴片区的网络安全。 |
10 | 桐乡市公安局现场 | 派驻安全专家全程对桐乡市地区网站进行了安全保障支撑,成功完成了此次安保任务。 |
表9-3 安保现场保障工作
9.3.2.1. 大会官网、注册网与浙江在线全程安全保障驻守障到位
互联网大会官网、注册网与浙江在线作为本次大会的门户网站,是相关互联网信息系统网络安保对象的重中之重,在本次安保工作中得到了高度重视,此节主要对核心安保现场驻场进行阐述。
首先,在技术设备资源上得到充分保障,本次大会充分发挥了阿里云强大的计算能力与网络吞吐能力,在大会开幕式的访问高峰与攻击高峰压力下,及时调度充足的计算能力作为应急手段,为大会官网的全程正常运行提供了资源基础。
同时,在安全设备资源上得到了最充足的供应。为增强本次大会官网的安全防护与监控能力,安恒信息为本次大会官网部署了最先进的云WAF设备与云Web业务审计设备,成功抵御了针对大会官网进行攻击的异常访问请求,并将其进行归并记录,最终送入安恒飞天镜系统进行统计与分析。
图9-2 核心站点防御与集中监控
另外,安恒为本安全保障驻守点派出了3名资深安全专家进行现场值守。会议期间,多次发现、上报并处置网络攻击行为与异常网络访问流量,并协调官网与浙江在线相关技术接口人员会同完成了保障工作。
9.3.3. 大数据看核心系统安保守障到位
本次线上网络安全保障工作,主要对以下三类重点信息系统进行定点不间断安全监测与防护。
根据风暴中心统计,针对本次互联网大会官方网站群(大会官网、大会注册网)、浙江省公安门户网站、浙江政务服务网与新蓝网的访问数量占安保对象总访问量的85.72%,可见网民们对大会举办地浙江省与嘉兴市、桐乡市的关注也明显升高。
序号 | 网站类型 | 网站名称 | 网站域名 |
|---|---|---|---|
1 | 官网及注册网 | 世界互联网大会官网 | www.wicwuzhen.cn |
2 | 世界互联网大会注册网 | reg.wicwuzhen.cn | |
3 | 省重点保障网站 | 浙江在线 | www.zjol.com.cn |
4 | 新蓝网 | www.cztv.com | |
5 | 浙江省人民政府 | www.zhejiang.gov.cn | |
6 | 浙江省公安厅 | www.zjsgat.gov.cn | |
7 | 嘉兴及桐乡地区党政机关网站 | 嘉兴市公安局 | www.jxgaj.gov.cn |
8 | 嘉兴市人民政府 | www.jiaxing.gov.cn | |
9 | 桐乡市公安局 | tongxiang.jxgaj.gov.cn |
表9-4 第三届世界互联网保障系统列表
境外访问方面,世界互联网大会官方网站群境外访问来源分布于191个国家地区,境外访问前三名的国家分别为美国、德国、英国;并且源于美国的访问请求高居首位,远远高于排名第二的德国,这显著说明以美国为首的美英法德日等互联网大国对本次大会的高度关注。
截止大会结束,大会官网及关键系统迎来了191个国家的访问,累计多达5.6亿余次用户的访问,成功防御了来自世界各地2500万余次的攻击行为,实现0事件0故障,为大会召开保驾护航,成功完成了党和国家交给我们的安全保障任务。
9.3.3.1. 会议期间接受来自全球上亿次访问关注
据风暴中心数据统计,世界互联网大会重点保障的三类网站自11月初起迎来约5.6亿次的访问,由境外访问来源分布统计显示,随着中美两国在互联网与网络安全等议题交流与合作的不断深化,美国对我国在互联网产业的成就与管理举措更加关注。同时,全球几乎所有国家与地区都对本次大会官网及相关媒体网站进行了访问与数据采集,这充分体现了我国在全球互联网的贡献价值与重要地位得到了广泛认可。
图 9‑3 境外访问来源分布图
我国各省访问请求的地域统计分布前三位分别为浙江、江苏、北京。本次大会举办地浙江的官网访问请求远远超过其它省份,成为我国最关注本次大会的省份。
图 9‑4 国内访问来源分布图
9.3.3.2. 检测与防御近千万次的境内外攻击关注
世界互联网大会保障网站群遭受境外攻击总量为242万次,攻击来源分布于境外数十个国家和地区,其中攻击来源最多的三个国家为美国(118,293次)、日本(17,301次)、菲律宾(10,942次)。
图 9‑5 境外攻击来源分布图
大会官方网站群遭受境内攻击总量为2258万次,攻击来源分布于我国境内大部分省份,其中前三位的省份分别为浙江(1109万次)、广东(257万次)、湖南(225万次)。
图 9‑6 国内攻击来源分布图
根据风暴中心大数据系统对各防护对象的网站服务器访问日志、流量数据日志、安全设备防护日志等进行统计排序,攻击者所采用的攻击手段按使用频率统计出TOP 10,并与OWASP TOP10对比,如下表:
序号 | 攻击类型 | OWASP TOP10 |
|---|---|---|
1 | SQL注入攻击 | 注入攻击(含SQL与命令注入) |
2 | 文件包含漏洞攻击 | 身份认证与会话管理失效 |
3 | 远程代码执行漏洞攻击 | 跨站脚本攻击 |
4 | 扫描工具 | 不安全的直接对象引用 |
5 | 跨站脚本攻击 | 安全配置错误 |
6 | 协议违规 | 敏感信息泄露 |
7 | 敏感文件探测 | 功能机访问控制缺失 |
8 | 文件限制 | 跨站请求伪造 |
9 | 命令注入攻击 | 使用含有已知漏洞的组件 |
10 | 服务器信息泄露 | 未验证的重定向和转发 |
表9-5 攻击类型TOP10与OWASP TOP10对照表
从上表可以看出,本次大会期间各重要系统所遭受的网络攻击类型,与全球范围内的主要攻击类型呈现总体上的一致性,这充分说明对本次大会发起攻击的攻击者是具有充分计划性与攻击决心的。
另外,互联网站作为本次网络安保工作的保障对象,在安全日志中除常规的主机地址段与端口段扫描之外,并未检出明显而大量的操作系统与网络系统漏洞攻击迹象,这说明本次大会所遭遇的网络攻击大多是有目的的针对性行为,而不是常规性的撒网式扫描攻击行为。
未完待续
腾讯云开发者
