青藤云安全为地震系统撑起主机安全之伞 原创

说起地震，相信大家都不会陌生，地震能够致使大量房屋倒塌，从而造成人员的重大伤亡，其破坏威力之大堪称众多自然灾害之首。据1988年“国际减轻自然灾害十年”专家组的不完全统计，二十世纪全球地震灾害死亡总人数超过120万人，而在1900-1986年间地震死亡人数占到所有自然灾害死亡人数的58%，其中中国的地震死亡人数最多，占到42%。而伤亡人数最多的一次是1976年7月28日中国唐山7.8级大地震，死亡24.2万余人，重伤16.4万余人。

同样，发生在2008年的5·12汶川大地震共造成69227人死亡，374643人受伤，17923人失踪，是中华人民共和国成立以来破坏力最大的一次地震，也是唐山大地震后伤亡最严重的一次地震。我们看到地震将对社会发展和人民的生命财产造成极大危害。为此，我国一直高度重视对地震灾害的监测与防范。

信息化建设对防震减灾至关重要

 天津市地震局地震应急信息中心工程师 朱宏

信息化建设在地震局防震减灾工作中将起到何种作用呢？近期，天津市地震局地震应急信息中心工程师朱宏在接受至顶网采访时表示，“目前，我们的高速网络承载着数百套网络仪器与设备等核心业务系统的运行与保障，已经成为全局信息化工作的基础支撑平台，信息化支撑作用不断增强。各类业务、政务系统运行和连续率达到了98%上，在线数据存储达到了40TB，可以实现辖区内地震事件的30秒超快速报和8分钟的正式测报。震后1小时内可提供灾害快速评估结果，提供救灾调度辅助决策方案。”

而在众多的信息化建设中，保护数据安全成为了重中之重，朱宏表示，“由于地震局的核心业务就是要支撑地震速报工作，例如发生地震时，发震时刻、发震地点、震级、震源深度等都需要依靠数据进行计算分析，因此在地震速报业务中最担心的问题就是数据被篡改。”为此，天津市地震局针对网络安全服务能力进行了全面提升。利用开源网络监控平台，实现了对重要服务器主机和服务状态的监控。在网内部署了流量分析、上网行为管理、防病毒、漏洞检测等网络安全设备与系统。从网络到主机，再到数据，全面确保安全。

而2016年，在整个地震行业内发现了大量Pscan木马攻击，内部迅速进行了分析、追踪数源等工作，并在行业内把木马清除掉。这些木马如果入侵成功将可能对相关数据进行篡改，比如更改相关监测数据参数或地震局网站对外公布的监测数据及报告，甚至导致社会恐慌的出现，因此所造成的后果和影响将非常严重。

因此，天津市地震局在信息化系统安全性方面最核心的诉求就是确保数据的安全性。与此同时，地震局自身并不是专业的网络安全企业，尤其在主机安全等方面面临诸多挑战。所以，天津市地震局通过市场调研、选型，在对比了多家网络安全公司的产品在结合新兴的安全技术、产品性能、功能、产品技术及售后服务等众多因素，最终果断选择了青藤云安全的产品及方案，以应对日趋严峻的安全威胁。

如何应对漏洞攻击与数据安全

据了解，以往在面对诸如0Day漏洞和APT这种难以预测的攻击手段时，地震系统内的各类应用系统往往处于十分被动的状态，而天津市地震局在部署了青藤云安全的主机安全防护系统之后，无论从体制还是技术层面均得到了有效支撑，并建立起了一套完善的网络安全事件应急预案。朱宏指出，“在发现攻击后，会对威胁进行评估，如果上升到一定的威胁程度，会及时启动应急预案，按照对应业务系统的应急处置流程及时处置，及时上报。事件结束后，会形成书面的总结材料会报上一级部门。”

而在日常的运维过程中，会定时对重要的服务器进行巡查。朱宏称，“在一次真实的告警中，工作人员接到青藤云安全产品的告警，及时发现内网主机遭到暴力破解和反弹shell攻击，因而迅速开始排查工作，快速确定了失陷主机。通过对日志和操作审计的分析，工作人员进一步完成了溯源，确定了黑客的入侵来源，并还原出黑客的整个攻击过程。”

随后，天津市地震局采用了相对主动的防御方法，利用青藤云安全的“蜜罐”功能，在系统内部署了大量“蜜罐”服务器，并在防火墙上对该黑客IP进行了封堵，最终确保了数据和主机的安全。

而在保护数据安全方面，朱宏表示，“天津市地震局的业务数据多数以数据库存储的形式为主，少量数据以文件块的形式进行存储。无论哪种存储方式，都是以服务器作为数据载体，因此确保数据和主机的安全是非常必要的。”

据悉，天津市地震局采取的安全措施主要有以下几个方面：

第一，限制数据访问的规则和权限，会对请求数据的访问进行验证，包括请求的地址是否在白名单内等，对SQL注入类的攻击从代码层进行过滤。

第二，对重要数据进行实时备份。

第三。在主机层面，强制要求用户定期更换具有一定复杂度的口令，封堵已知的主机安全漏洞和后门，对已知的攻击IP在防火墙上进行封堵。

青藤云主机安全为地震系统撑起保护伞

据了解，青藤云主机安全的创新之处在于强调基于业务自内而外构建安全体系，安全防护变成一项持续响应和处理的过程。由于网络运维人员不可能清楚每一台服务器主机运行的业务系统架构，通过对主机信息和行为进行持续监控和分析，能够快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地。

另外，朱宏指出，“通过青藤云主机安全的图表化形式，能够让运维人员更加直观的了解攻击途径等信息。比如面对弱口令这种普遍存在的问题，通过安装了青藤Agent的服务器，运维人员可以一目了然的看到主机、应用、数据库层面有哪些服务器存在弱口令。并且根据资产梳理的标签功能，还可以方便地联系到服务器的相关运维人员，及时提醒其修改相关口令。”

同时，对于漏洞修复问题，每当爆出一个新的系统漏洞，地震局的工作人员都会根据青藤云安全产品的提示，查询漏洞涉及到的主机资产，确定漏洞可能影响的业务范围，并根据青藤云安全服务团队提供的专业修复建议，及时的帮助服务器管理人员完成对漏洞的修复。

据悉，天津市地震局实行中国地震局和天津市人民政府双重领导，以中国地震局为主的管理体制，根据授权承担本行政区域内防震减灾工作政府行政管理职能，依法履行防震减灾主管机构的各项职责。而随着《网络安全法》中明确对网络产品、服务应当符合相关国家标准的强制性要求，及对网络关键设备和网络安全专用产品需按照相关国家标准的强制性要求。这也意味着，今后我国地震局信息化建设从体制机制到具体实施在安全性问题上都会进一步得到加强。