云南電網(wǎng)有限責任公司臨滄供電局 云南 臨滄 677000

引言

在網(wǎng)絡(luò)安全防護工作中，應(yīng)該全面了解攻防策略，采用主動防御的方式開展工作，明確主動防御思路，構(gòu)建完善的主動防御工作平臺與系統(tǒng)，確?？梢栽谥鲃臃烙那闆r下提升網(wǎng)絡(luò)系統(tǒng)的安全性，達到預(yù)期的工作目的。主動防御技術(shù)研發(fā)與應(yīng)用獲得了良好的機遇，受到越來越多人的重視，逐漸成為通信網(wǎng)絡(luò)安全領(lǐng)域核心技術(shù)模式之一。

1 基于通信網(wǎng)絡(luò)的安全主動防御技術(shù)現(xiàn)狀

主動防御技術(shù)是相對于被動防御技術(shù)而言的，主動防御技術(shù)在應(yīng)用的過程中不需要了解入侵行為的方式與步驟，可以通過自己固有的防御模式去做好安全防御，有效低檔位置入侵行為。主動防御技術(shù)擁有三大特點，即自主學習、實時監(jiān)控以及入侵預(yù)測，有效改善了傳統(tǒng)防御系統(tǒng)的局限性與被動性，加強了網(wǎng)絡(luò)安全防御系統(tǒng)。主動防御技術(shù)可以掌握網(wǎng)絡(luò)行為，追蹤異常流量，判斷攻擊行為、主動調(diào)整策略，形成一個防御閉環(huán)，這個防御過程中與被動防御技術(shù)有很大不同[1]。

2 傳統(tǒng)安全防護面臨的問題

傳統(tǒng)的網(wǎng)絡(luò)安全防護手段通常是基于黑白名單、簽名和規(guī)則特征的安全威脅發(fā)現(xiàn)手段，通過防火墻、WAF、IPS、交換機、VPN等一系列網(wǎng)絡(luò)邊界防護設(shè)備聯(lián)合實現(xiàn)。在網(wǎng)絡(luò)環(huán)境單一，攻擊手段貧乏的互聯(lián)網(wǎng)發(fā)展初期是具備較為堅實的防護能力。但是，傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)方案，容易導致割裂的安全防御，無法協(xié)同作戰(zhàn)并提供有效的整體安全防護，甚至導致安全運維復(fù)雜化?；诟盍训陌踩烙a(chǎn)生的安全現(xiàn)狀數(shù)據(jù)也將成為安全孤島，難以協(xié)同共享，導致碎片化的安全認知，只能看見碎片化的局部安全，無法形成統(tǒng)一的整體可視。同時，不斷發(fā)展的互聯(lián)網(wǎng)安全威脅和5G、物聯(lián)網(wǎng)、云計算等技術(shù)變革帶來的風險，尤其是以互聯(lián)網(wǎng)側(cè)高級持續(xù)性惡意攻擊（APT攻擊）、零日漏洞為代表的新威脅，讓現(xiàn)有的網(wǎng)絡(luò)安全防御體系無法滿足企業(yè)對于網(wǎng)絡(luò)安全的切實需求。由此可見，在網(wǎng)絡(luò)復(fù)雜性極大、網(wǎng)絡(luò)薄弱環(huán)節(jié)極多的今天，單純利用傳統(tǒng)安全防護設(shè)備和邊界阻斷措施進行網(wǎng)絡(luò)安全防護存在諸多問題，攻防兩端嚴重不對等[2]。

3 構(gòu)建網(wǎng)絡(luò)安全主動防御體系

3.1 工業(yè)主機主動安全防御技術(shù)

工業(yè)控制系統(tǒng)對于穩(wěn)定性的要求極高，工業(yè)主機通常選擇的是通用架構(gòu)，且配套相適應(yīng)的通用操作系統(tǒng)，在日常運行中不會輕易發(fā)生系統(tǒng)升級行為，也正是此機制的存在，才導致網(wǎng)絡(luò)攻擊的發(fā)生頻率以及成功率都大幅提高。從縱深與主動防御的層面來看，所配套的工業(yè)主機應(yīng)具備完善的安全防護機制，除基礎(chǔ)的病毒查殺外，還需要創(chuàng)建“黑名單”，且為了滿足系統(tǒng)的可用性要求，不宜引入實時采樣技術(shù)，隔離離線殺毒期間需要以合理的方式有效保護程序，以免其發(fā)生缺失現(xiàn)象。AI技術(shù)是可行的應(yīng)用方向，在其支持下生成白名單規(guī)則庫，以此為基準實現(xiàn)智能匹配，逐步創(chuàng)建可信系統(tǒng)，提高判斷的精準性，有效甄別病毒木馬。

3.2 入侵防護技術(shù)應(yīng)用

入侵防護技術(shù)作為通信網(wǎng)絡(luò)安全主動防御技術(shù)中的一種，是一種基礎(chǔ)技術(shù)，由網(wǎng)絡(luò)邊界控制、病毒網(wǎng)關(guān)控制以及身份驗證為主，其應(yīng)用過程需要聯(lián)合入侵預(yù)測技術(shù)、入侵檢測技術(shù)以及緊急響應(yīng)技術(shù)等，進而形成一個高效、嚴密的主動防御系統(tǒng)，對通信網(wǎng)絡(luò)實施自動配置，提高通信網(wǎng)絡(luò)運行的可靠性與安全性。同時，入侵防護技術(shù)的應(yīng)用也是主動防御體系構(gòu)建與應(yīng)用的前提，與被動防御技術(shù)的應(yīng)用特點與方式類似，需要針對具體的入侵行為進行應(yīng)對，不同的是采取的防護措施是主動攻擊，將入侵行為阻擋在通信網(wǎng)絡(luò)外。

3.3 重點設(shè)計攻防模塊

使用C/S模式設(shè)置攻擊模塊與防御模塊，利用特定端口完善相關(guān)的通信系統(tǒng)。其中攻擊端會利用動作消息的方式，將每個動作輸入到防御端，然后防御模塊從相關(guān)的數(shù)據(jù)庫系統(tǒng)之內(nèi)，調(diào)用有關(guān)的數(shù)據(jù)實現(xiàn)模仿目的與仿真目的。這樣不僅可以使得安全管理人員對攻擊行為形成全面了解，還能采用針對性的措施有效預(yù)防出現(xiàn)攻擊現(xiàn)象。在此期間可以利用TCP/IP建立連接相關(guān)的攻防模塊，執(zhí)行掃描工作與檢測工作，保證可以及時發(fā)現(xiàn)攻擊行為和相關(guān)問題，提出相應(yīng)的工作建議和工作要求。防御模塊可以做出具體的判斷，調(diào)用與顯示其中的信息內(nèi)容，按照具體情況給出防護的對策，便于開展安全防護管理工作，應(yīng)對安全隱患問題，提升整體系統(tǒng)運行的安全性。

3.4 漏洞掃描技術(shù)應(yīng)用

通信網(wǎng)絡(luò)的安全問題十分常見，并且攻擊手段與形式變化無常，單獨依靠傳統(tǒng)的被動防御技術(shù)是無法做到實時防御以及準確防御的，總會有“漏網(wǎng)之魚”進入通信網(wǎng)絡(luò)系統(tǒng)中，實時網(wǎng)絡(luò)破壞。網(wǎng)絡(luò)入侵行為大多是利用系統(tǒng)漏洞實現(xiàn)的，因此，為了提高主動防御的有效性，必須良好的應(yīng)用漏洞掃描技術(shù)，結(jié)合現(xiàn)有的病毒、木馬程序等，總結(jié)發(fā)生過的入侵行為，找到系統(tǒng)漏洞，以此建立漏洞數(shù)據(jù)庫，并通過掃描手段完成遠程檢測工作，及時、準確的發(fā)現(xiàn)系統(tǒng)漏洞，及時做出更正，并配合防火墻以及入侵檢測技術(shù)完善主動防御體系，對每一個正在運行的應(yīng)用程序或者網(wǎng)絡(luò)設(shè)置狀態(tài)進行評估，檢測其是否存在漏洞，是否具有安全隱患，進而切斷入侵行為的攻擊路徑[3]。

4 結(jié)束語

綜上所述，網(wǎng)絡(luò)安全主動防御體系是由多種能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全主動防御功能的技術(shù)所組成的一個技術(shù)體系，以應(yīng)對云大物移智時代所面臨的安全形勢，從預(yù)測、防御、檢測、響應(yīng)等多個維度進行安全形勢研判。然而，網(wǎng)絡(luò)安全運營是一個持續(xù)處理的、循環(huán)的過程，需要不斷通過細粒度、多角度、持續(xù)化的對安全威脅進行實時動態(tài)分析，以適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機制。