商永巧 史冬蕾 仝虎 潘巍巍

摘 要 2017年6月1日起，中華人民共和國網絡安全法正式實施，自此網絡安全有法可依。隨著互聯網尤其是移動互聯網的高速發(fā)展，網絡安全形勢越來越嚴峻。根據網絡安全法與等級保護2.0，網絡運營者應當制定網絡安全事件應急預案和網絡安全監(jiān)測預警系統。南京旅游職業(yè)學院作為國內重點旅游職業(yè)院校，應當看清網絡安全形勢，加強網絡安全監(jiān)測預警系統建設，提高南旅院的網絡安全預防能力，本文將基于南旅院網絡安全運營現狀，進行態(tài)勢感知平臺在南旅院網絡安全防護體中的應用研究與實施。

關鍵詞 網絡安全 態(tài)勢感知 監(jiān)測預警 WAF防御

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-0745（2020）03-0060-03

1 背景

一方面，網絡安全法第二十五條規(guī)定明確了網絡安全運營者承擔有制定應急預案、及時處置風險的義務。2018年4月20日，習近平總書記在網絡安全和信息化工作會議上明確提出“要落實關鍵信息基礎設施防護責任，加強網絡安全信息統籌機制、手段、平臺建設，加強網絡安全事件應急指揮能力建設，做到關口前移，防患于未然”。2019年5月《等級保護2.0標準》正式發(fā)布，對網絡安全態(tài)勢感知建設及安全運維管理提出了明確要求。

另一方面，隨著南旅院信息化建設規(guī)模的不斷擴大，網絡安全設備、服務器、虛擬機以及PC終端，將會持續(xù)產生安全日志，對日常安全運營產生嚴峻挑戰(zhàn)。如果缺乏統一，全網的安全隱患和安全事件運營管理機制，將會導致安全隱患發(fā)現不及時甚至無法發(fā)現，安全事件難定位、應急處置不及時。尤其在出現嚴重安全事件時，傳統的定期風險評估及決策，經常貽誤對安全事件進行處置的最佳時機，造成安全事件大范圍蔓延，事件等級擴大的嚴重后果。隨著南旅院的信息化發(fā)展，數據越來越集中、業(yè)務對IT基礎設施的依賴度越來越大，一旦對安全風險發(fā)現不及時或出現較大安全事件處置不及時將會對我院造成不可估量的影響。

由此可見有效健全的信息安全保衛(wèi)工作非常重要，我們需要參照《國家網絡安全法》、《等級保護2.0標準》、《國家網絡安全應急預案》，配套建立常態(tài)化、長效化的新型安全運營指揮技術和管理體系;通過自動化的手段，以科學合理的方法實現最短時間內協調設備資源、人力資源、管理資源，對安全事件進行有效處置，并實現統一的網絡安全協同運營，保障南旅院網絡空間安全、穩(wěn)定，相關系統持續(xù)、有序、安全運轉。

2 南旅院網絡安全現狀與挑戰(zhàn)

2.1 外部威脅挑戰(zhàn)

目前國內從事“黑灰產”人員眾多，網絡安全漏洞形勢越來越嚴峻。黑客攻擊手段更加智能、復雜。攻擊目標從最初的黑客炫耀、破壞、竊取數據，轉向以牟利為主的黑灰產產業(yè)化運作為主，如僵尸網絡、挖礦程序、用戶數據竊取等。攻擊手段也從在最開始的僵木蠕、漏洞利用、口令入侵為主，演變成更加復雜的攻擊方式，例如APT攻擊、社會工程學、水坑攻擊等。攻擊層面也從最初的網絡層攻擊如DDOS、身份冒仿等，向應用層的攻擊如應用層漏洞利用、SQL注入、XSS攻擊等演進。勒索病毒、未知惡意代碼具備較強的破壞能力。2017年5月12日開始，在全球蔓延的WannaCry勒索病毒已經席卷了至少150個國家的20萬臺電腦。而前防病毒軟件或硬件網關，基本上以依靠病毒特征庫為主，而針對經過變種的病毒、木馬或者未知惡意代碼，不具備監(jiān)測能力。

2.2 內部運維現狀

目前南旅院已經購置了一定數量的防火墻、WAF、日志審計等網絡安全設備、眾多的網絡安全設備和組件，將產生大量的安全事件告警信息，以及大量的維護與設置需求。如果沒有統一的智能的安全事件處理運營中心，安全運維管理工作將難以開展。當前我院的網絡安全建設已經取得一定的成績，但是依然缺乏有效的監(jiān)測預警手段。安全信息采集整合分析能力不足，不能掌握整體安全態(tài)勢、網絡與安全防護能力?，F有的網絡和平臺安全系統難以從不同維度進行網絡安全態(tài)勢分析，也不能支撐不同范圍的網絡空間安全決策分析，無法快速直觀為各層次決策人員提供決策分析依據。

并且由于缺失專業(yè)化工具，不能做到對安全事件的可視化管理和深度關聯分析，造成安全風險不能及時發(fā)現，安全事件不能及時處置?，F有防護檢測技術手段，自動化程度低。當今威脅不斷升級，系統化的防御思路也需要不斷升級來應對泛化的威脅，例如協同聯動能力缺失、威脅無法有效識別、威脅無法快速處置等問題。

總而言之，南旅院目前網絡安全架構無法滿足事前、事中、事后的安全規(guī)范。已有的出口防火墻、WAF防御等網絡安全產品均屬于事中防御，無法提前預警，比如無法防御挖礦、勒索病毒等，也無法事后追溯審計、修復安全隱患。

3 南旅院校園網態(tài)勢感知建設需求

3.1 簡化運維需求

當前運維環(huán)境復雜、外部威脅形勢嚴峻、運維自動化化程度低的形勢下，我們希望通過建設一個本地化的安全運營系統來快速發(fā)現運維問題、有效分析運維問題、快速解決運維問題，其本質就是實現簡化運維的最終目標。

3.2 持續(xù)優(yōu)化需求

當前網絡黑客、有組織的犯罪團體甚至針對性的惡意破壞者或網絡間諜，他們的能力和破壞力正日漸增長，所以我院的本地安全能力中心也應持續(xù)優(yōu)化升級，從“被動防守”轉向“積極防御”。

3.3 整體管理需求

雖然我院已經在網絡中部署了一定數量的安全系統和相應的防護設備，但是管理人員依然無法快速準確的掌握網絡整體運行的狀況，每種安全設備都僅僅從各自的角度反映某個層面的安全問題，整體性管理欠缺，領導層對網絡安全情況不能一目了然。

4 校園網態(tài)勢感知建設依據

4.1 法規(guī)/標準

1.法規(guī)政策：

《中華人民共和國網絡安全法》（2017年6月1日起施行）

《國家網絡安全事件應急預案》（中網辦發(fā)文[2017]4號）

國際標準：

ISO 27000系列標準

ISO/IEC 31000風險管理標準

2.國家標準：

GB/T22239-2019 信息安全技術網絡安全等級保護基本要求

GB/T24364-2009 信息安全風險管理指南

GB/T20985-2007 信息安全事件管理指南

GB/T20986-2007 信息安全事件分類分級指南

4.2 國內外安全體系研究現狀

4.2.1 IATF框架

IATF，《信息保障技術框架》（IATF：Information Assurance Technical Framework ）是美國國家安全局（NSA）National Security Agency 制定，用于描述其信息保障的指導性文件。IATF提出的信息保障的核心思想是縱深防御戰(zhàn)略（Defense in Depth）。在縱深防御戰(zhàn)略中指出，人、技術和操作（operations 也可以譯為流程）是三個主要核心因素，要保障信息及信息系統的安全，三者缺一不可。人是信息系統的主體，是信息系統的擁有者、管理者和使用者，是信息保障體系核心[1]。

4.2.2 自適應安全框架

自適應安全框架（ASA）是Gartner于2014年提出的面向下一代的安全體系框架，以應對云大物移智時代所面臨的安全形勢。自適應安全框架（ASA）從預測、防御、檢測、響應四個維度，強調安全防護是一個持續(xù)處理的、循環(huán)的過程，細粒度、多角度、持續(xù)化的對安全威脅進行實時動態(tài)分析，自動適應不斷變化的網絡和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機制。

相對于PDR模型[2]，自適應安全框架（ASA）框架增加了安全威脅“預測”的環(huán)節(jié)，其目的在于通過主動學習并識別未知的異常事件來嗅探潛在的、未暴露的安全威脅，更深入的詮釋了“主動防御”的思想理念，這也是網絡安全2.0時代新防御體系的核心內容之一。

作為面向未來的新一代安全能力中心，必然需要面臨日趨緊張的網絡安全威脅，防御、檢測、響應甚至預測的有效性、主動性，關乎運營中心存在的根本價值和意義。遵循ASA自適應安全框架，對于指導本項目的科學性建設和先進性建設具有重要意義。

4.2.3 新時期的等級保護體系

為配合網絡安全法的實施，同時適應云計算、移動互聯、物聯網和工業(yè)控制等新技術條件下網絡安全等級保護工作的開展，2019年5月13日，《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》正式發(fā)布，標志著我國網絡安全等級保護工作正式進入2.0時代。等保2.0以保護國家關鍵信息基礎設施為重點，為有效應對國際網絡空間安全形勢，等保2.0不僅擴大了保護對象的范圍而且提出了三重防御的思想：主動防御、綜合防御、縱深防御[3]。

該特點與ASA自適應安全模型相呼應，作為等保2.0合規(guī)要求的重要組成部分，新時期的安全運營平臺也應具備主動防御、綜合防御、縱深防御的特點。

5 南旅院校園網態(tài)勢感知建設方案設計及實施

5.1 方案設計

深信服于2018年提出的APDRO的智安全模型[4]，通過智能（Artificial Intelligence）、防御（Protect）、檢測（Detect）、響應（Response）、運營（Operate）這五個功能，能夠有效、智能的防御和檢測網絡安全狀況，大大提高威脅響應速度，并縮減了運維開支，動態(tài)的實現安全閉環(huán)。

南旅院現有的安全防御缺乏統一管理與協同共享，只能看見碎片化的局部安全，不利于整體的安全認知。基于APDRO的智安全模型和南旅院網絡安全運營業(yè)務的現狀，同時結合IATF信息保障技術框架、ASA自適應安全模型、等保2.0等國內外目前被廣泛應用的技術標準，建立了一套以安全可視和協同防御為核心，智能化、精準化、具備協同聯動防御能力及人工專家應急的大數據安全分析平臺和統一運營中心。

該平臺設計以全流量分析為基礎，基于探針安全組件采集全網的關鍵數據，結合威脅情報、行為分析、UEBA[5]、機器學習、大數據關聯分析、可視化等技術對全網流量實現全網業(yè)務可視和威脅感知，從而實現提高事件響應的速度和高級威脅發(fā)現的能力，便于應急響應，并讓安全可感知、易運營。

該方案結合了南旅院網絡安全現狀與挑戰(zhàn)的需求，實現了南旅院校園外網、內網全面的安全檢測，有效識別來自外網及內網的安全風險，并直觀的展現在界面上。并且提供校園網業(yè)務、用戶風險的報告，內容豐富直觀，可實時了解網絡和業(yè)務系統的安全差誤，讓安全可感知，安全易運營，有效提升管理效率、降低運維成本。

5.2 方案實施

方案實施前外網訪問內網時，流量首先經過阿姆瑞特防火墻，經防火墻檢測掃描后進入到AC;AC進行流量管控后到達NIPS，NIPS對其進行防御檢測，通過后進入核心交換機;再經網瑞達返代進行地址返代;深信服LSA進行日志審計，流量采集，實時監(jiān)控;最后經過綠盟漏掃對其進行漏洞掃描，到達二層交換機，進入內網，抵達用戶終端。

本方案主要新增了深信服態(tài)勢感知平臺SIP和深信服探針STA，收集鏡像的流量數據，并將流量數據進行分析生成安全日志后。上傳到SIP，SIP再基于大數據、機器學習對數據進行匯總分析處理實現了對全網流量實現全網業(yè)務可視化、威脅可視化、攻擊與可疑流量可視化。

5.3 方案總結

5.3.1 風險主機檢測

發(fā)現檢測內網發(fā)現的失陷業(yè)務服務器、和失陷終端，并舉證出安全事件，和對應的解決辦法建議。

5.3.2 事件分析

從外部攻擊、外連風險、橫向攻擊三個維度發(fā)現內網存在的安全問題，如主機存在異常的外連行為可能懷疑是存在風險，還可以分析文件威脅與郵件威脅。

5.3.3 資產感知

檢測出內網存在的業(yè)務服務器或終端，用于資產梳理，當檢測出內網存在未使用的服務器，可能存在被做為跳板機的風險。

5.3.4 脆弱性感知

檢測當前業(yè)務系統存在的脆弱性問題，對服務器漏洞進行檢測，弱密碼，web明文傳輸，配置風險。

6 結語

經過多方位測試，南旅院校園網安全態(tài)勢感知平臺各項功能均正常運營，能夠實現全面的實時監(jiān)測、易運營的運維處置、可感知的威脅告警、多維度的安全可視預警、有效數據提取，方便追蹤溯源，為南旅院的網絡安全保駕護航。

參考文獻：

[1] 蔡宗慧，郝帥.基于信息保障技術框架網絡安全技術整合及應用研究[J].電腦編程技巧與維護，2016（13）：89-90.

[2] 李堯.從PDR模型的發(fā)展過程看信息安全管理[J].電子產品可靠性與環(huán)境試驗，2012，30（04）：35-37.

[3] 何占博，王穎，劉軍.我國網絡安全等級保護現狀與2.0標準體系研究[J].信息技術與網絡安全，2019，38（03）：9-14，19.

[4] 趙志遠.創(chuàng)新的力量 深信服智安全架構與APDRO[J].網絡安全和信息化，2019（10）：9-10.

[5] 徐飛.基于UEBA的網絡安全態(tài)勢感知技術現狀及發(fā)展分析[J].網絡安全技術與應用，2020（10）：10-13.

南京旅游職業(yè)學院，江蘇 南京