傅小兵 國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心江西分中心 南昌市 330038

0 前言

隨著全球競爭日益加劇，越來越多的高級攻擊團(tuán)隊(duì)和組織對我國網(wǎng)絡(luò)空間造成了巨大的安全威脅，網(wǎng)絡(luò)安全工作是關(guān)乎國家安全的一項(xiàng)基礎(chǔ)性、綜合性和戰(zhàn)略性的工作，其重要性不言而喻。伴隨著《網(wǎng)絡(luò)安全法》及相關(guān)政策法規(guī)的實(shí)施，各地各部門不斷提升自身的網(wǎng)絡(luò)安全防護(hù)能力。為進(jìn)一步推動網(wǎng)絡(luò)安全工作責(zé)任制有效落實(shí)，督促各單位進(jìn)一步健全防范化解網(wǎng)絡(luò)風(fēng)險，構(gòu)建網(wǎng)絡(luò)安全遠(yuǎn)程檢測平臺，實(shí)現(xiàn)對省域內(nèi)各單位互聯(lián)網(wǎng)可訪問資產(chǎn)的遠(yuǎn)程檢測，及時發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險和隱患。

1 系統(tǒng)功能需求

網(wǎng)絡(luò)安全遠(yuǎn)程檢測平臺主要實(shí)現(xiàn)對省域內(nèi)各政企單位網(wǎng)絡(luò)安全防護(hù)情況開展遠(yuǎn)程檢測，主要功能需求如下：

（1）資產(chǎn)上報核查。為各政企單位提供信息上報接口通道，滿足各政企單位資產(chǎn)填報、歸檔入庫、統(tǒng)計(jì)等功能。同時，系統(tǒng)利用技術(shù)手段對填報信息進(jìn)行核驗(yàn)和資產(chǎn)探測為后續(xù)工作開展提供基礎(chǔ)數(shù)據(jù)支撐。

（2）遠(yuǎn)程安全檢測。對各政企單位開展遠(yuǎn)程安全檢測工作，發(fā)現(xiàn)各單位互聯(lián)網(wǎng)可訪問資產(chǎn)存在的安全風(fēng)險和事件。系統(tǒng)需具備身份認(rèn)證、安全風(fēng)險（事件）提交、專家審核、結(jié)果研判、可視化展示等功能。為盡可能的規(guī)避檢測工作中的潛在風(fēng)險，系統(tǒng)需支撐行為審計(jì)、高危行為發(fā)現(xiàn)、一鍵阻斷違規(guī)行為等功能[1]。

根據(jù)系統(tǒng)的主要功能需求，將系統(tǒng)的用戶角色主要分為監(jiān)管單位、被考核單位和技術(shù)支撐單位。

2 總體設(shè)計(jì)

網(wǎng)絡(luò)安全遠(yuǎn)程檢測平臺總體有五部分構(gòu)成，包含平臺縱覽層、核心應(yīng)用層、大數(shù)據(jù)建模分析層、安全監(jiān)測與系統(tǒng)采集層。平臺縱覽層負(fù)責(zé)提供多維度功能展示；核心應(yīng)用層提供平臺基礎(chǔ)管理、資產(chǎn)上報和核查、事件整改和綜合展示、遠(yuǎn)程安全檢測等功能的應(yīng)用；大數(shù)據(jù)分析層負(fù)責(zé)提供多種數(shù)據(jù)存儲檢索引擎進(jìn)行數(shù)據(jù)存儲，并通過數(shù)據(jù)匯聚對接采集探針收集數(shù)據(jù)并加載到數(shù)據(jù)中心；安全監(jiān)測與數(shù)據(jù)采集層負(fù)責(zé)對資產(chǎn)數(shù)據(jù)、遠(yuǎn)程安全檢測過程數(shù)據(jù)進(jìn)行采集。

平臺功能架構(gòu)圖如圖1所示。

圖1 平臺功能架構(gòu)層

3 核心功能設(shè)計(jì)

遠(yuǎn)程檢測功能是平臺的核心功能，實(shí)現(xiàn)對被考核對象的遠(yuǎn)程掃描檢測。首先，由第三方安全檢測人員，通過VPN隧道登入到安全檢測平臺，通過雙向認(rèn)證（用戶-平臺雙向認(rèn)證）后分配到授權(quán)檢測賬戶，進(jìn)入到堡壘機(jī)做兩次用戶認(rèn)證、環(huán)境授權(quán)（檢測虛擬機(jī)分配）、權(quán)限分配和行為審計(jì)。然后，點(diǎn)擊進(jìn)入超融合平臺（云計(jì)算平臺），在其分配的虛擬機(jī)上傳安裝各類所需的安全檢測工具，繼而對被檢測單位開始各類安全檢測。

在開展遠(yuǎn)程檢測過程中，平臺實(shí)時獲取、主動監(jiān)測被檢測單位的網(wǎng)絡(luò)出口、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)可用性等參數(shù)是否存在影響（超過閾值）。如果超過閥值，平臺報警，經(jīng)過人工審核后，發(fā)送異常聯(lián)動信息給安全策略集中管理系統(tǒng)，通過其安全聯(lián)動協(xié)議，自動下發(fā)安全策略給防火墻，實(shí)現(xiàn)自動阻斷本次滲透測試活動，防止破壞擴(kuò)大化，盡快降低相關(guān)惡劣影響。如果滲透測試一切正常（沒有造成被檢測單位系統(tǒng)的可用性風(fēng)險），滲透測試結(jié)束后，提交相關(guān)檢測報告，歸檔，并責(zé)令其基于報告做整改。

網(wǎng)絡(luò)安全遠(yuǎn)程檢測平臺以遠(yuǎn)程檢測功能為核心，整合超融合系統(tǒng)、VPN安全網(wǎng)關(guān)、堡壘主機(jī)等為遠(yuǎn)程檢測工作提供必要的資源申請、資源開通、目標(biāo)健康監(jiān)測、危險動作控制和全過程審計(jì)等目標(biāo)[2]。整個功能模塊的實(shí)現(xiàn)流程如圖2所示。

圖2 遠(yuǎn)程檢測主要流程示意圖

根據(jù)圖2所示，遠(yuǎn)程檢測的主要流程包括以下幾個方面：

（1）檢測申請、發(fā)起：支撐單位向監(jiān)管單位發(fā)起檢測申請；

（2）授權(quán)賬號：監(jiān)管單位在批準(zhǔn)檢測請求或發(fā)起檢測任務(wù)后，向支撐單位發(fā)布授權(quán)（信息可以在系統(tǒng)內(nèi)流轉(zhuǎn)），包括：VPN賬號、堡壘機(jī)賬號、虛擬機(jī)賬號、工具軟件賬號等所需的信息；

（3）虛擬機(jī)授權(quán)：系統(tǒng)自動驅(qū)動超融合，啟用預(yù)定的虛機(jī)（包括：虛機(jī)可用的時間限制等）；

（4）遠(yuǎn)程登錄：支撐單位技術(shù)人員登錄VPN及堡壘機(jī)，并登錄指定的檢測虛擬機(jī)；

（5）資源限制：為確保安全檢測人員不因故意或誤操作等原因使用類DDoS攻擊測試造成被檢目標(biāo)宕機(jī)（或其他可用性受嚴(yán)重?fù)p害的情況），通過邊界防火墻進(jìn)行流量、并發(fā)連接數(shù)的限制；

（6）可用性監(jiān)測：在遠(yuǎn)程檢測的過程中，平臺會對遠(yuǎn)程檢測目標(biāo)進(jìn)行可用性監(jiān)測，一旦發(fā)現(xiàn)遠(yuǎn)程檢測目標(biāo)出現(xiàn)延時或者不可用的現(xiàn)象，平臺通過報警機(jī)制聯(lián)動安全策略集中管理系統(tǒng)下發(fā)阻斷策略。

（7）行為限制：對于高概率引起被檢目標(biāo)可用性、完整性故障的高危漏洞利用行為，可通過前端部署的威脅檢測系統(tǒng)（視具體需求可配置為IPS/IDS、WAF、APT/全威脅檢測等）進(jìn)行識別，按照監(jiān)管單位相關(guān)保護(hù)策略可直接進(jìn)行阻斷，即上報給系統(tǒng)，并根據(jù)預(yù)定的策略向防火墻下發(fā)阻斷策略，阻斷當(dāng)前行為或在多次違規(guī)后封堵檢測虛擬機(jī)的所有通信；

（8）行為審計(jì)：由于所有操作都經(jīng)過堡壘機(jī)代理，檢測人員在檢測虛擬機(jī)上的所有操作都會被圖形化方式記錄下來（無桌面環(huán)境的Linux操作也會被記錄完整的命令行過程），能夠起到規(guī)范操作行為、追溯違規(guī)操作的關(guān)鍵作用。

4 系統(tǒng)部署設(shè)計(jì)

為保障系統(tǒng)的穩(wěn)定運(yùn)行和各功能模塊達(dá)到設(shè)計(jì)的預(yù)期效果，系統(tǒng)部署示意圖如圖3所示。

圖3 系統(tǒng)部署示意圖

網(wǎng)絡(luò)安全遠(yuǎn)程檢測平臺根據(jù)用戶角色（監(jiān)管單位、被考核單位、支撐單位）系統(tǒng)為不同角色用戶提供了不同功能模塊。系統(tǒng)的主要核心功能部署于監(jiān)管單位側(cè)。系統(tǒng)采用旁路部署的方式，部署位置位于網(wǎng)絡(luò)核心位置，用于支持單位遠(yuǎn)程登錄檢測環(huán)境的身份核查及檢測過程審計(jì)，系統(tǒng)將對支撐單位人員進(jìn)行唯一身份的識別，保障支持單位人員的身份唯一性。并在遠(yuǎn)程檢測的同時采用命令記錄，圖形記錄，視頻記錄等方式保存遠(yuǎn)程檢測的全部過程，并實(shí)現(xiàn)對過程的審計(jì)。同時，超融合一體機(jī)提供了計(jì)算虛擬化、網(wǎng)絡(luò)虛擬化和分布式存儲，提供多種虛擬資源池的統(tǒng)一管理、虛擬網(wǎng)絡(luò)設(shè)備的創(chuàng)建和管理和統(tǒng)一存儲服務(wù)[3]。

VPN安全網(wǎng)關(guān)部署位置旁路部署在網(wǎng)絡(luò)核心位置，用于被考核單位的資產(chǎn)上報數(shù)據(jù)傳輸安全及支持單位遠(yuǎn)程安全檢測的通信加密。網(wǎng)關(guān)采用SSLVPN加密技術(shù)及國密加密算法，保障數(shù)據(jù)在傳輸互聯(lián)網(wǎng)過程中的安全性。

5 預(yù)期效果

本系統(tǒng)從省域內(nèi)網(wǎng)絡(luò)安全工作開展實(shí)際需求出發(fā)，按照“底數(shù)摸得清、告警報的準(zhǔn)、重點(diǎn)抓得到、監(jiān)管推的動、成效看得見、資源受得了”的要求建設(shè)網(wǎng)絡(luò)安全遠(yuǎn)程檢測平臺，督促省域內(nèi)各單位做好網(wǎng)絡(luò)安全防護(hù)工作，提升防范網(wǎng)絡(luò)安全風(fēng)險能力。在平臺的數(shù)據(jù)存儲和應(yīng)用層面使用了大數(shù)據(jù)及虛擬化相關(guān)技術(shù)，可直接通過擴(kuò)展硬件的方式獲得整個系統(tǒng)計(jì)算和存儲能力的擴(kuò)展，無需再進(jìn)行數(shù)據(jù)備份、軟件更新等繁復(fù)操作，極大的降低了系統(tǒng)管理維護(hù)成本，同時，系統(tǒng)使用了模塊化設(shè)計(jì)的方法，可以保證不同軟件功能與模塊之間的解耦和，實(shí)現(xiàn)數(shù)據(jù)采集靈活調(diào)整，分部實(shí)施。