◆徐楊子凡 王竟文 蘭少鵬

（1.云南南天電子信息產(chǎn)業(yè)股份有限公司信息安全測(cè)評(píng)中心 云南 650041；2.昆明長(zhǎng)水國(guó)際機(jī)場(chǎng) 云南650200）

隨著網(wǎng)絡(luò)與信息化的不斷發(fā)展，新技術(shù)新應(yīng)用的不斷普及，越來越多的業(yè)務(wù)需要互聯(lián)互通，信息系統(tǒng)逐漸復(fù)雜化，互聯(lián)網(wǎng)應(yīng)用系統(tǒng)是一種典型的系統(tǒng)形態(tài)。安全監(jiān)控預(yù)警[1]是網(wǎng)絡(luò)安全保障工作中的重要環(huán)節(jié)，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》對(duì)安全監(jiān)控預(yù)警相關(guān)工作提出了明確的要求，是網(wǎng)絡(luò)運(yùn)營(yíng)者的重要任務(wù)。

由于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)直接對(duì)互聯(lián)網(wǎng)提供服務(wù)，面臨較高的安全風(fēng)險(xiǎn)，我國(guó)現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)對(duì)監(jiān)控預(yù)警方面的描述過于宏觀，缺乏實(shí)施層面的細(xì)則，網(wǎng)絡(luò)運(yùn)營(yíng)者亟須一套可行的監(jiān)控預(yù)警策略支撐互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警工作的落地。

1 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全現(xiàn)狀

互聯(lián)網(wǎng)應(yīng)用系統(tǒng)指對(duì)互聯(lián)網(wǎng)提供服務(wù)的各類業(yè)務(wù)系統(tǒng)或支撐系統(tǒng)，包括但不限于：門戶網(wǎng)站、交互式信息系統(tǒng)、云計(jì)算平臺(tái)等。由于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)直接與互聯(lián)網(wǎng)進(jìn)行連接，是整個(gè)企業(yè)網(wǎng)絡(luò)的入口，逐漸成為黑客的主要攻擊目標(biāo)。近幾年來，方程式、匿名者等黑客組織頻繁對(duì)我國(guó)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊，控制重要系統(tǒng)，竊取敏感數(shù)據(jù)。2018年，CNCERT監(jiān)測(cè)發(fā)現(xiàn)境內(nèi)外約1.6萬個(gè)IP對(duì)我國(guó)境內(nèi)約2.4萬個(gè)網(wǎng)站植入后門，攻擊團(tuán)伙不斷更換其掌握的大量攻擊資源開展批量化、長(zhǎng)期化控制，并且具有典型的黑產(chǎn)利益意圖[2]。由此可見，互聯(lián)網(wǎng)應(yīng)用系統(tǒng)面臨的安全形勢(shì)十分嚴(yán)峻。

2 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警工作開展情況

2.1 國(guó)內(nèi)外安全監(jiān)控預(yù)警方法論

網(wǎng)絡(luò)安全監(jiān)控預(yù)警通過安全技術(shù)手段監(jiān)控網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)威脅，針對(duì)即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時(shí)發(fā)出安全警示，以便安全人員采取措施對(duì)安全事態(tài)進(jìn)行快速應(yīng)對(duì)，是互聯(lián)網(wǎng)應(yīng)用系統(tǒng)長(zhǎng)期運(yùn)行維護(hù)的重要技術(shù)手段。

美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）發(fā)布的《Framework for Improving Critical Infrastructure Cyber security》[3]中提出了：檢測(cè)異?；顒?dòng)，了解事件的潛在影響；監(jiān)控信息系統(tǒng)和資產(chǎn)，以識(shí)別網(wǎng)絡(luò)安全事件。我國(guó)2018年11月發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（報(bào)批稿）》中提出了：應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析。可以看出美國(guó)和我國(guó)在監(jiān)控預(yù)警方面的要求和方法論是相似的。

2.2 我國(guó)網(wǎng)絡(luò)運(yùn)營(yíng)者開展安全監(jiān)控預(yù)警工作面臨的問題

我國(guó)關(guān)于網(wǎng)絡(luò)安全監(jiān)控預(yù)警方面的標(biāo)準(zhǔn)尚不健全，網(wǎng)絡(luò)運(yùn)營(yíng)者缺乏權(quán)威的技術(shù)規(guī)范指導(dǎo)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警工作。目前大部分網(wǎng)絡(luò)運(yùn)營(yíng)者采用IPS、WEB應(yīng)用防火墻、殺毒系統(tǒng)等常規(guī)安全系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控并報(bào)警；部分單位建立了網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)[4]，但對(duì)態(tài)勢(shì)感知平臺(tái)過分依賴，對(duì)于態(tài)勢(shì)感知平臺(tái)無法識(shí)別的攻擊缺乏有效的解決方案。

當(dāng)前的各類安全監(jiān)控預(yù)警措施存在以下幾個(gè)突出的問題：

（1）安全監(jiān)控范圍存在盲區(qū)，目前的安全防護(hù)與監(jiān)控類產(chǎn)品大部分基于特征庫的方式進(jìn)行數(shù)據(jù)過濾，本身存在較多誤報(bào)、漏報(bào)的可能性。

（2）安全設(shè)備或態(tài)勢(shì)感知系統(tǒng)的攻擊日志及告警信息可用性較低，安全運(yùn)維人員常常收到海量告警信息，但無法驗(yàn)證告警信息的有效性，難以提取出真正關(guān)鍵的安全信息。

（3）對(duì)于采用豐富資源且手法相對(duì)隱蔽的APT攻擊難以有效進(jìn)行識(shí)別與定位[5]。

3 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警策略設(shè)計(jì)

根據(jù)當(dāng)前互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警工作現(xiàn)狀及面臨的問題，應(yīng)將現(xiàn)有的各類安全監(jiān)控預(yù)警手段整合成一套完善的技術(shù)體系，重點(diǎn)解決誤報(bào)、漏報(bào)、有效信息提取及APT攻擊識(shí)別等問題，采用圖1所示的總體安全監(jiān)控預(yù)警策略。

圖1 網(wǎng)絡(luò)安全監(jiān)控預(yù)警總體策略圖

（1）建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，對(duì)漏洞利用攻擊、惡意代碼攻擊、異常流量、敏感信息泄露等各類網(wǎng)絡(luò)攻擊信息進(jìn)行監(jiān)測(cè)，為安全監(jiān)控預(yù)警工作提供技術(shù)基礎(chǔ)。

（2）通過基線核查、漏洞掃描、滲透測(cè)試[6]等方式對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行脆弱性測(cè)試，依據(jù)脆弱性測(cè)試結(jié)果制定實(shí)時(shí)安全監(jiān)控及定期安全審計(jì)[7]策略。

（3）依據(jù)安全監(jiān)控預(yù)警策略開展常態(tài)化的安全監(jiān)控預(yù)警活動(dòng)，識(shí)別互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全運(yùn)行狀態(tài)，并在發(fā)現(xiàn)安全隱患時(shí)進(jìn)行應(yīng)急處置。

3.1 建立安全態(tài)勢(shì)感知平臺(tái)

采用自建、共建等方式建立全方位的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)對(duì)安全事件實(shí)施持續(xù)性監(jiān)測(cè)，廣泛運(yùn)用數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)[8]等技術(shù)對(duì)各類安全信息進(jìn)行歸納、分析及預(yù)測(cè)。對(duì)于系統(tǒng)規(guī)模較小的單位，也可以購(gòu)買基于SAAS模式的態(tài)勢(shì)感知云服務(wù)。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)技術(shù)架構(gòu)如圖2所示，可劃分為：數(shù)據(jù)采集層、數(shù)據(jù)處理層、數(shù)據(jù)存儲(chǔ)層、數(shù)據(jù)分析層及態(tài)勢(shì)展示層，各層的功能如表1所示。、

圖2 態(tài)勢(shì)感知系統(tǒng)技術(shù)架構(gòu)圖

表1 態(tài)勢(shì)感知平臺(tái)技術(shù)解讀

3.2 實(shí)時(shí)安全監(jiān)控預(yù)警策略

互聯(lián)網(wǎng)應(yīng)用系統(tǒng)在任何時(shí)間點(diǎn)都可能面臨各類黑客攻擊，只有進(jìn)行實(shí)時(shí)安全監(jiān)控才能確保第一時(shí)間發(fā)現(xiàn)安全威脅。由于各種安全監(jiān)控源產(chǎn)生的攻擊信息非常繁雜，應(yīng)采用技術(shù)手段將相對(duì)可信的信息篩選出來，并配置為實(shí)時(shí)告警的內(nèi)容。

以下介紹三種“可信”安全信息：

（1）互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全漏洞所對(duì)應(yīng)的攻擊信息。

對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行脆弱性測(cè)試，在充分掌握系統(tǒng)安全漏洞的前提下，結(jié)合安全漏洞被利用后的影響程度、態(tài)勢(shì)感知平臺(tái)監(jiān)控機(jī)制等因素，在態(tài)勢(shì)感知平臺(tái)的自動(dòng)報(bào)警策略中規(guī)避一些不存在或影響較小的信息類型，如表2所示，可以有效提升實(shí)時(shí)監(jiān)控效率。

表2 安全攻擊信息監(jiān)控策略示例

（2）IT資產(chǎn)關(guān)鍵屬性表異常變化信息

對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)及運(yùn)行網(wǎng)絡(luò)環(huán)境中的相關(guān) IT資產(chǎn)進(jìn)行梳理，并對(duì)其關(guān)鍵屬性：資產(chǎn)名稱、IP、操作系統(tǒng)、端口、服務(wù)、組件、與其他資產(chǎn)之間的通信關(guān)系等進(jìn)行精確記錄。使用態(tài)勢(shì)感知平臺(tái)對(duì)IT資產(chǎn)關(guān)鍵信息進(jìn)行監(jiān)控，發(fā)生變化時(shí)進(jìn)行告警。

由于在業(yè)務(wù)變更及運(yùn)維所需范圍之外，IT資產(chǎn)關(guān)鍵屬性極少發(fā)生變化，如果出現(xiàn)變化極有可能是黑客攻擊導(dǎo)致，該方式可有效識(shí)別較為隱蔽的APT攻擊。

（3）權(quán)威安全情報(bào)機(jī)構(gòu)的威脅預(yù)警信息

建立與權(quán)威安全情報(bào)機(jī)構(gòu)的信息共享機(jī)制，基于安全情報(bào)對(duì)重大安全攻擊進(jìn)行安全預(yù)警，提前做好預(yù)防性處置措施，可有效預(yù)防安全事故的發(fā)生。

3.3 定期安全審計(jì)策略

由于考慮到安全信息有效性及監(jiān)控效率的問題，實(shí)時(shí)安全監(jiān)控未覆蓋所有可能的攻擊范圍，定期進(jìn)行全盤的安全審計(jì)與分析，主動(dòng)發(fā)現(xiàn)安全威脅，是實(shí)時(shí)安全監(jiān)控預(yù)警工作的有效補(bǔ)充。

安全審計(jì)范圍主要包括以下兩個(gè)層面：

（1）安全日志審計(jì)與分析

通過態(tài)勢(shì)感知平臺(tái)以周度或月度的頻率定期對(duì)防火墻、IPS、IDS、異常流量監(jiān)控、WAF、殺毒系統(tǒng)及主機(jī)入侵防護(hù)等安全系統(tǒng)生成的監(jiān)控日志全面進(jìn)行審計(jì)，并對(duì)審計(jì)記錄進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的攻擊痕跡，包括但不限于流量攻擊、WEB漏洞攻擊、數(shù)據(jù)竊密、惡意代碼等，形成安全審計(jì)分析報(bào)告。

（2）服務(wù)器深度安全審計(jì)

由于任何安全設(shè)備也不能保證能夠識(shí)別所有攻擊類型，根據(jù)安全攻擊原理分析，無論是破壞性、篡改型還是竊密型攻擊，最終攻擊節(jié)點(diǎn)都會(huì)落在承載應(yīng)用系統(tǒng)及數(shù)據(jù)的服務(wù)器操作系統(tǒng)層面，攻擊過程和結(jié)果均會(huì)造成操作系統(tǒng)中一些關(guān)鍵指標(biāo)的變化。

以月度或季度的頻率定期對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)所涉及的重要服務(wù)器進(jìn)行操作系統(tǒng)本地深度威脅檢測(cè)，檢測(cè)內(nèi)容包括但不限于：異常端口檢查、異常進(jìn)程檢查、異常線程檢查、異常服務(wù)檢查、異常策略檢查、異常注冊(cè)表項(xiàng)檢查、可疑文件等，可通過主機(jī)層面安全軟件結(jié)合人工檢查的方式實(shí)現(xiàn)，并對(duì)檢查結(jié)果進(jìn)行匯總分析，形成服務(wù)器深度安全審計(jì)報(bào)告。

4 結(jié)束語

本文立足于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全現(xiàn)狀，結(jié)合國(guó)內(nèi)外網(wǎng)絡(luò)安全監(jiān)控預(yù)警方法論，分析了當(dāng)前常規(guī)網(wǎng)絡(luò)安全監(jiān)控預(yù)警方式存在的不足，提出了一套普適性的網(wǎng)絡(luò)安全監(jiān)控預(yù)警策略，改善了常規(guī)監(jiān)控預(yù)警范圍存在盲區(qū)、工作效率低下、難以識(shí)別 APT攻擊等問題，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者落實(shí)網(wǎng)絡(luò)安全保障任務(wù)有較大的促進(jìn)作用。