（南京旅游職業(yè)學(xué)院，江蘇 南京 211100）

1 背景

一方面，網(wǎng)絡(luò)安全法第二十五條規(guī)定明確了網(wǎng)絡(luò)安全運(yùn)營者承擔(dān)有制定應(yīng)急預(yù)案、及時處置風(fēng)險的義務(wù)。2018 年4 月20 日，習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作會議上明確提出“要落實關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)責(zé)任，加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺建設(shè)，加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急指揮能力建設(shè)，做到關(guān)口前移，防患于未然”。2019年5 月《等級保護(hù)2.0 標(biāo)準(zhǔn)》正式發(fā)布，對網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)及安全運(yùn)維管理提出了明確要求。

另一方面，隨著南旅院信息化建設(shè)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、虛擬機(jī)以及PC 終端，將會持續(xù)產(chǎn)生安全日志，對日常安全運(yùn)營產(chǎn)生嚴(yán)峻挑戰(zhàn)。如果缺乏統(tǒng)一，全網(wǎng)的安全隱患和安全事件運(yùn)營管理機(jī)制，將會導(dǎo)致安全隱患發(fā)現(xiàn)不及時甚至無法發(fā)現(xiàn)，安全事件難定位、應(yīng)急處置不及時。尤其在出現(xiàn)嚴(yán)重安全事件時，傳統(tǒng)的定期風(fēng)險評估及決策，經(jīng)常貽誤對安全事件進(jìn)行處置的最佳時機(jī)，造成安全事件大范圍蔓延，事件等級擴(kuò)大的嚴(yán)重后果。隨著南旅院的信息化發(fā)展，數(shù)據(jù)越來越集中、業(yè)務(wù)對IT 基礎(chǔ)設(shè)施的依賴度越來越大，一旦對安全風(fēng)險發(fā)現(xiàn)不及時或出現(xiàn)較大安全事件處置不及時將會對我院造成不可估量的影響。

由此可見有效健全的信息安全保衛(wèi)工作非常重要，我們需要參照《國家網(wǎng)絡(luò)安全法》、《等級保護(hù)2.0 標(biāo)準(zhǔn)》、《國家網(wǎng)絡(luò)安全應(yīng)急預(yù)案》，配套建立常態(tài)化、長效化的新型安全運(yùn)營指揮技術(shù)和管理體系；通過自動化的手段，以科學(xué)合理的方法實現(xiàn)最短時間內(nèi)協(xié)調(diào)設(shè)備資源、人力資源、管理資源，對安全事件進(jìn)行有效處置，并實現(xiàn)統(tǒng)一的網(wǎng)絡(luò)安全協(xié)同運(yùn)營，保障南旅院網(wǎng)絡(luò)空間安全、穩(wěn)定，相關(guān)系統(tǒng)持續(xù)、有序、安全運(yùn)轉(zhuǎn)。

2 南旅院網(wǎng)絡(luò)安全現(xiàn)狀與挑戰(zhàn)

2.1 外部威脅挑戰(zhàn)

目前國內(nèi)從事“黑灰產(chǎn)”人員眾多，網(wǎng)絡(luò)安全漏洞形勢越來越嚴(yán)峻。黑客攻擊手段更加智能、復(fù)雜。攻擊目標(biāo)從最初的黑客炫耀、破壞、竊取數(shù)據(jù)，轉(zhuǎn)向以牟利為主的黑灰產(chǎn)產(chǎn)業(yè)化運(yùn)作為主，如僵尸網(wǎng)絡(luò)、挖礦程序、用戶數(shù)據(jù)竊取等。攻擊手段也從在最開始的僵木蠕、漏洞利用、口令入侵為主，演變成更加復(fù)雜的攻擊方式，例如APT 攻擊、社會工程學(xué)、水坑攻擊等。攻擊層面也從最初的網(wǎng)絡(luò)層攻擊如DDOS、身份冒仿等，向應(yīng)用層的攻擊如應(yīng)用層漏洞利用、SQL 注入、XSS 攻擊等演進(jìn)。勒索病毒、未知惡意代碼具備較強(qiáng)的破壞能力。2017 年5 月12 日開始，在全球蔓延的WannaCry 勒索病毒已經(jīng)席卷了至少150 個國家的20 萬臺電腦。而前防病毒軟件或硬件網(wǎng)關(guān)，基本上以依靠病毒特征庫為主，而針對經(jīng)過變種的病毒、木馬或者未知惡意代碼，不具備監(jiān)測能力。

2.2 內(nèi)部運(yùn)維現(xiàn)狀

目前南旅院已經(jīng)購置了一定數(shù)量的防火墻、WAF、日志審計等網(wǎng)絡(luò)安全設(shè)備、眾多的網(wǎng)絡(luò)安全設(shè)備和組件，將產(chǎn)生大量的安全事件告警信息，以及大量的維護(hù)與設(shè)置需求。如果沒有統(tǒng)一的智能的安全事件處理運(yùn)營中心，安全運(yùn)維管理工作將難以開展。當(dāng)前我院的網(wǎng)絡(luò)安全建設(shè)已經(jīng)取得一定的成績，但是依然缺乏有效的監(jiān)測預(yù)警手段。安全信息采集整合分析能力不足，不能掌握整體安全態(tài)勢、網(wǎng)絡(luò)與安全防護(hù)能力。現(xiàn)有的網(wǎng)絡(luò)和平臺安全系統(tǒng)難以從不同維度進(jìn)行網(wǎng)絡(luò)安全態(tài)勢分析，也不能支撐不同范圍的網(wǎng)絡(luò)空間安全決策分析，無法快速直觀為各層次決策人員提供決策分析依據(jù)。

并且由于缺失專業(yè)化工具，不能做到對安全事件的可視化管理和深度關(guān)聯(lián)分析，造成安全風(fēng)險不能及時發(fā)現(xiàn)，安全事件不能及時處置?，F(xiàn)有防護(hù)檢測技術(shù)手段，自動化程度低。當(dāng)今威脅不斷升級，系統(tǒng)化的防御思路也需要不斷升級來應(yīng)對泛化的威脅，例如協(xié)同聯(lián)動能力缺失、威脅無法有效識別、威脅無法快速處置等問題。

總而言之，南旅院目前網(wǎng)絡(luò)安全架構(gòu)無法滿足事前、事中、事后的安全規(guī)范。已有的出口防火墻、WAF 防御等網(wǎng)絡(luò)安全產(chǎn)品均屬于事中防御，無法提前預(yù)警，比如無法防御挖礦、勒索病毒等，也無法事后追溯審計、修復(fù)安全隱患。

3 南旅院校園網(wǎng)態(tài)勢感知建設(shè)需求

3.1 簡化運(yùn)維需求

當(dāng)前運(yùn)維環(huán)境復(fù)雜、外部威脅形勢嚴(yán)峻、運(yùn)維自動化化程度低的形勢下，我們希望通過建設(shè)一個本地化的安全運(yùn)營系統(tǒng)來快速發(fā)現(xiàn)運(yùn)維問題、有效分析運(yùn)維問題、快速解決運(yùn)維問題，其本質(zhì)就是實現(xiàn)簡化運(yùn)維的最終目標(biāo)。

3.2 持續(xù)優(yōu)化需求

當(dāng)前網(wǎng)絡(luò)黑客、有組織的犯罪團(tuán)體甚至針對性的惡意破壞者或網(wǎng)絡(luò)間諜，他們的能力和破壞力正日漸增長，所以我院的本地安全能力中心也應(yīng)持續(xù)優(yōu)化升級，從“被動防守”轉(zhuǎn)向“積極防御”。

3.3 整體管理需求

雖然我院已經(jīng)在網(wǎng)絡(luò)中部署了一定數(shù)量的安全系統(tǒng)和相應(yīng)的防護(hù)設(shè)備，但是管理人員依然無法快速準(zhǔn)確的掌握網(wǎng)絡(luò)整體運(yùn)行的狀況，每種安全設(shè)備都僅僅從各自的角度反映某個層面的安全問題，整體性管理欠缺，領(lǐng)導(dǎo)層對網(wǎng)絡(luò)安全情況不能一目了然。

4 校園網(wǎng)態(tài)勢感知建設(shè)依據(jù)

4.1 法規(guī)/標(biāo)準(zhǔn)

1.法規(guī)政策：

《中華人民共和國網(wǎng)絡(luò)安全法》（2017年6月1 日起施行）

《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》（中網(wǎng)辦發(fā)文[2017]4 號）

國際標(biāo)準(zhǔn)：

ISO 27000 系列標(biāo)準(zhǔn)

ISO/IEC 31000 風(fēng)險管理標(biāo)準(zhǔn)

2.國家標(biāo)準(zhǔn)：

GB/T22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T24364-2009 信息安全風(fēng)險管理指南

GB/T20985-2007 信息安全事件管理指南

GB/T20986-2007 信息安全事件分類分級指南

4.2 國內(nèi)外安全體系研究現(xiàn)狀

4.2.1 IATF 框架

IATF，《信息保障技術(shù)框架》（IATF：Information Assurance Technical Framework)是美國國家安全局（NSA）National Security Agency 制定，用于描述其信息保障的指導(dǎo)性文件。IATF 提出的信息保障的核心思想是縱深防御戰(zhàn)略（Defense in Depth）。在縱深防御戰(zhàn)略中指出，人、技術(shù)和操作（operations 也可以譯為流程）是三個主要核心因素，要保障信息及信息系統(tǒng)的安全，三者缺一不可。人是信息系統(tǒng)的主體，是信息系統(tǒng)的擁有者、管理者和使用者，是信息保障體系核心[1]。

4.2.2 自適應(yīng)安全框架

自適應(yīng)安全框架（ASA）是Gartner 于2014 年提出的面向下一代的安全體系框架，以應(yīng)對云大物移智時代所面臨的安全形勢。自適應(yīng)安全框架（ASA）從預(yù)測、防御、檢測、響應(yīng)四個維度，強(qiáng)調(diào)安全防護(hù)是一個持續(xù)處理的、循環(huán)的過程，細(xì)粒度、多角度、持續(xù)化的對安全威脅進(jìn)行實時動態(tài)分析，自動適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機(jī)制。

相對于PDR 模型[2]，自適應(yīng)安全框架（ASA）框架增加了安全威脅“預(yù)測”的環(huán)節(jié)，其目的在于通過主動學(xué)習(xí)并識別未知的異常事件來嗅探潛在的、未暴露的安全威脅，更深入的詮釋了“主動防御”的思想理念，這也是網(wǎng)絡(luò)安全2.0 時代新防御體系的核心內(nèi)容之一。

作為面向未來的新一代安全能力中心，必然需要面臨日趨緊張的網(wǎng)絡(luò)安全威脅，防御、檢測、響應(yīng)甚至預(yù)測的有效性、主動性，關(guān)乎運(yùn)營中心存在的根本價值和意義。遵循ASA 自適應(yīng)安全框架，對于指導(dǎo)本項目的科學(xué)性建設(shè)和先進(jìn)性建設(shè)具有重要意義。

4.2.3 新時期的等級保護(hù)體系

為配合網(wǎng)絡(luò)安全法的實施，同時適應(yīng)云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)條件下網(wǎng)絡(luò)安全等級保護(hù)工作的開展，2019 年5 月13 日，《GB/T22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》正式發(fā)布，標(biāo)志著我國網(wǎng)絡(luò)安全等級保護(hù)工作正式進(jìn)入2.0 時代。等保2.0 以保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施為重點(diǎn)，為有效應(yīng)對國際網(wǎng)絡(luò)空間安全形勢，等保2.0 不僅擴(kuò)大了保護(hù)對象的范圍而且提出了三重防御的思想：主動防御、綜合防御、縱深防御[3]。

該特點(diǎn)與ASA 自適應(yīng)安全模型相呼應(yīng)，作為等保2.0合規(guī)要求的重要組成部分，新時期的安全運(yùn)營平臺也應(yīng)具備主動防御、綜合防御、縱深防御的特點(diǎn)。

5 南旅院校園網(wǎng)態(tài)勢感知建設(shè)方案設(shè)計及實施

5.1 方案設(shè)計

深信服于2018 年提出的APDRO 的智安全模型[4]，通過智能（Artificial Intelligence）、防御（Protect）、檢測（Detect）、響應(yīng)（Response）、運(yùn)營（Operate）這五個功能，能夠有效、智能的防御和檢測網(wǎng)絡(luò)安全狀況，大大提高威脅響應(yīng)速度，并縮減了運(yùn)維開支，動態(tài)的實現(xiàn)安全閉環(huán)。

南旅院現(xiàn)有的安全防御缺乏統(tǒng)一管理與協(xié)同共享，只能看見碎片化的局部安全，不利于整體的安全認(rèn)知?；贏PDRO 的智安全模型和南旅院網(wǎng)絡(luò)安全運(yùn)營業(yè)務(wù)的現(xiàn)狀，同時結(jié)合IATF 信息保障技術(shù)框架、ASA 自適應(yīng)安全模型、等保2.0 等國內(nèi)外目前被廣泛應(yīng)用的技術(shù)標(biāo)準(zhǔn)，建立了一套以安全可視和協(xié)同防御為核心，智能化、精準(zhǔn)化、具備協(xié)同聯(lián)動防御能力及人工專家應(yīng)急的大數(shù)據(jù)安全分析平臺和統(tǒng)一運(yùn)營中心。

該平臺設(shè)計以全流量分析為基礎(chǔ)，基于探針安全組件采集全網(wǎng)的關(guān)鍵數(shù)據(jù)，結(jié)合威脅情報、行為分析、UEBA[5]、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)對全網(wǎng)流量實現(xiàn)全網(wǎng)業(yè)務(wù)可視和威脅感知，從而實現(xiàn)提高事件響應(yīng)的速度和高級威脅發(fā)現(xiàn)的能力，便于應(yīng)急響應(yīng)，并讓安全可感知、易運(yùn)營。

該方案結(jié)合了南旅院網(wǎng)絡(luò)安全現(xiàn)狀與挑戰(zhàn)的需求，實現(xiàn)了南旅院校園外網(wǎng)、內(nèi)網(wǎng)全面的安全檢測，有效識別來自外網(wǎng)及內(nèi)網(wǎng)的安全風(fēng)險，并直觀的展現(xiàn)在界面上。并且提供校園網(wǎng)業(yè)務(wù)、用戶風(fēng)險的報告，內(nèi)容豐富直觀，可實時了解網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全差誤，讓安全可感知，安全易運(yùn)營，有效提升管理效率、降低運(yùn)維成本。

5.2 方案實施

方案實施前外網(wǎng)訪問內(nèi)網(wǎng)時，流量首先經(jīng)過阿姆瑞特防火墻，經(jīng)防火墻檢測掃描后進(jìn)入到AC；AC 進(jìn)行流量管控后到達(dá)NIPS，NIPS 對其進(jìn)行防御檢測，通過后進(jìn)入核心交換機(jī)；再經(jīng)網(wǎng)瑞達(dá)返代進(jìn)行地址返代；深信服LSA 進(jìn)行日志審計，流量采集，實時監(jiān)控；最后經(jīng)過綠盟漏掃對其進(jìn)行漏洞掃描，到達(dá)二層交換機(jī)，進(jìn)入內(nèi)網(wǎng)，抵達(dá)用戶終端。

本方案主要新增了深信服態(tài)勢感知平臺SIP 和深信服探針STA，收集鏡像的流量數(shù)據(jù)，并將流量數(shù)據(jù)進(jìn)行分析生成安全日志后。上傳到SIP，SIP 再基于大數(shù)據(jù)、機(jī)器學(xué)習(xí)對數(shù)據(jù)進(jìn)行匯總分析處理實現(xiàn)了對全網(wǎng)流量實現(xiàn)全網(wǎng)業(yè)務(wù)可視化、威脅可視化、攻擊與可疑流量可視化。

5.3 方案總結(jié)

5.3.1 風(fēng)險主機(jī)檢測

發(fā)現(xiàn)檢測內(nèi)網(wǎng)發(fā)現(xiàn)的失陷業(yè)務(wù)服務(wù)器、和失陷終端，并舉證出安全事件，和對應(yīng)的解決辦法建議。

5.3.2 事件分析

從外部攻擊、外連風(fēng)險、橫向攻擊三個維度發(fā)現(xiàn)內(nèi)網(wǎng)存在的安全問題，如主機(jī)存在異常的外連行為可能懷疑是存在風(fēng)險，還可以分析文件威脅與郵件威脅。

5.3.3 資產(chǎn)感知

檢測出內(nèi)網(wǎng)存在的業(yè)務(wù)服務(wù)器或終端，用于資產(chǎn)梳理，當(dāng)檢測出內(nèi)網(wǎng)存在未使用的服務(wù)器，可能存在被做為跳板機(jī)的風(fēng)險。

5.3.4 脆弱性感知

檢測當(dāng)前業(yè)務(wù)系統(tǒng)存在的脆弱性問題，對服務(wù)器漏洞進(jìn)行檢測，弱密碼，Web 明文傳輸，配置風(fēng)險。

6 結(jié)語

經(jīng)過多方位測試，南旅院校園網(wǎng)安全態(tài)勢感知平臺各項功能均正常運(yùn)營，能夠?qū)崿F(xiàn)全面的實時監(jiān)測、易運(yùn)營的運(yùn)維處置、可感知的威脅告警、多維度的安全可視預(yù)警、有效數(shù)據(jù)提取，方便追蹤溯源，為南旅院的網(wǎng)絡(luò)安全保駕護(hù)航。