劉 翔，楊 君，王 昶，宋蒲斌

(長(zhǎng)江科學(xué)院 信息中心，武漢 430010)

1 研究背景

習(xí)近平總書記指出“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”[1]。隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《中華人民共和國(guó)數(shù)據(jù)安全法》等一系列法律法規(guī)的陸續(xù)出臺(tái)，中國(guó)已將網(wǎng)絡(luò)安全提升到國(guó)家安全戰(zhàn)略高度。近年來，國(guó)際形勢(shì)變化不斷助長(zhǎng)網(wǎng)絡(luò)攻擊規(guī)模和復(fù)雜程度，網(wǎng)絡(luò)攻擊事件頻發(fā)[2-5]，網(wǎng)絡(luò)安全形勢(shì)持續(xù)緊張。長(zhǎng)江科學(xué)院(簡(jiǎn)稱長(zhǎng)科院)是國(guó)家社會(huì)公益類科研機(jī)構(gòu)，為國(guó)家水利事業(yè)以及長(zhǎng)江保護(hù)、治理、開發(fā)與管理提供科技支撐，其網(wǎng)絡(luò)具有水利專業(yè)的特點(diǎn)，分支機(jī)構(gòu)地域分散，國(guó)內(nèi)外交流頻繁，對(duì)網(wǎng)絡(luò)的開放性、安全性提出了較高要求。

本文基于長(zhǎng)科院的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及業(yè)務(wù)狀況，通過分析網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，結(jié)合先進(jìn)的網(wǎng)絡(luò)安全防護(hù)技術(shù)，從邊界防護(hù)、內(nèi)網(wǎng)安全、服務(wù)器防護(hù)及態(tài)勢(shì)感知等方面設(shè)計(jì)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的方法，提出一種適用于長(zhǎng)科院的網(wǎng)絡(luò)安全建設(shè)工作思路。

2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

長(zhǎng)科院的網(wǎng)絡(luò)通過核心交換機(jī)連接2個(gè)主要辦公區(qū)，核心區(qū)域包括服務(wù)器區(qū)、水利骨干網(wǎng)絡(luò)區(qū)。在服務(wù)器區(qū)邊界配備有WEB應(yīng)用防護(hù)系統(tǒng)、日志審計(jì)設(shè)備；在網(wǎng)絡(luò)出口處及水利骨干網(wǎng)絡(luò)邊界處均部署下一代防火墻進(jìn)行流量隔離與檢測(cè)。

通過長(zhǎng)科院業(yè)務(wù)需求及網(wǎng)絡(luò)結(jié)構(gòu)分析，可以發(fā)現(xiàn)其面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要存在于如下3個(gè)方面。

2.1 邊界風(fēng)險(xiǎn)

由于長(zhǎng)科院的業(yè)務(wù)及辦公需要，需對(duì)外開放多個(gè)業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)，互聯(lián)網(wǎng)與院內(nèi)網(wǎng)邊界處的暴露面較多，這些暴露面往往是黑客攻擊的重點(diǎn)，是黑客從互聯(lián)網(wǎng)突破進(jìn)入院內(nèi)網(wǎng)的重要渠道。根據(jù)網(wǎng)絡(luò)安全“木桶原理”可知，整體安全水平由安全級(jí)別最低的部分所決定，一旦某個(gè)系統(tǒng)存在漏洞被黑客利用，黑客將會(huì)以此為攻擊跳板，利用內(nèi)部系統(tǒng)間的防護(hù)弱點(diǎn)進(jìn)行內(nèi)部擴(kuò)散、橫向滲透攻擊，造成更大范圍的破壞。

2.2 院內(nèi)部終端風(fēng)險(xiǎn)

長(zhǎng)科院網(wǎng)絡(luò)的使用主體是院內(nèi)全體職工及院內(nèi)研究生，使用群體的數(shù)量較大，且個(gè)人電腦終端可以訪問院內(nèi)的應(yīng)用系統(tǒng)，擁有較大的訪問權(quán)限。目前部分用戶網(wǎng)絡(luò)安全意識(shí)淡薄，對(duì)自己電腦終端的安全問題不夠重視，沒有安裝安全軟件，沒有養(yǎng)成定期全盤殺毒習(xí)慣，黑客很有可能早已通過各種方式如釣魚郵件、病毒文件等手段攻擊或控制終端，植入后門，潛伏在院內(nèi)部的網(wǎng)絡(luò)中，時(shí)刻都可能對(duì)系統(tǒng)造成威脅，不但可以竊取電腦中的敏感信息，而且能以終端作為跳板，繞過部分安全設(shè)備，直接向院內(nèi)服務(wù)器發(fā)起攻擊[6]。

2.3 內(nèi)部態(tài)勢(shì)感知風(fēng)險(xiǎn)

長(zhǎng)科院目前缺乏有效的內(nèi)網(wǎng)態(tài)勢(shì)感知與監(jiān)測(cè)的技術(shù)手段。在被黑客入侵內(nèi)網(wǎng)之后，無法對(duì)內(nèi)網(wǎng)主機(jī)間的攻擊流量有效地感知預(yù)警、分析網(wǎng)絡(luò)環(huán)境信息，當(dāng)攻擊發(fā)生時(shí)不能快速判斷當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)，及時(shí)做出有效的應(yīng)對(duì)，且在事后溯源階段難以完整地還原黑客的攻擊鏈。

3 網(wǎng)絡(luò)安全防御體系建設(shè)

為有效應(yīng)對(duì)長(zhǎng)科院面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力，建議從以下幾個(gè)方面設(shè)防，建設(shè)可靠、安全的網(wǎng)絡(luò)環(huán)境。

3.1 邊界防護(hù)

網(wǎng)絡(luò)邊界防護(hù)是長(zhǎng)科院網(wǎng)絡(luò)安全防護(hù)的重要一環(huán)。在縮小網(wǎng)絡(luò)邊界處暴露面、設(shè)置嚴(yán)格的訪問控制策略的同時(shí)，將部分重要系統(tǒng)的防護(hù)前置到云端，可以有效地減輕網(wǎng)絡(luò)安全防護(hù)壓力，提升整體的網(wǎng)絡(luò)安全防護(hù)能力。

(1)縮小暴露面：在現(xiàn)如今的條件下，網(wǎng)絡(luò)攻防雙方地位往往不對(duì)等。攻擊者通常是專業(yè)能力較強(qiáng)的黑客，他們攻擊時(shí)間、攻擊手段不固定，攻擊路徑多樣。而作為防守者，需要關(guān)注的防守面較大，人力資源有限，且無法做到全天候24 h監(jiān)控防護(hù)。因此網(wǎng)絡(luò)安全防護(hù)的第一步應(yīng)該對(duì)邊界處暴露的資產(chǎn)進(jìn)行清理，關(guān)閉不必要的應(yīng)用系統(tǒng)，收縮網(wǎng)絡(luò)安全防守面。

(2)訪問控制策略：目前長(zhǎng)科院對(duì)于確需開放的應(yīng)用系統(tǒng)，已在各區(qū)域邊界處的防火墻按照最小化原則設(shè)置訪問控制策略及時(shí)段控制策略，嚴(yán)格限制業(yè)務(wù)系統(tǒng)開放的端口和時(shí)間。在長(zhǎng)科院與水利骨干網(wǎng)絡(luò)邊界處防火墻上以白名單原則作限制，只開放特定IP、端口的訪問流量，其他的流量全部攔截；在服務(wù)器區(qū)WEB應(yīng)用防護(hù)系統(tǒng)處以黑名單原則作限制，攔截高危端口的流量。并且，對(duì)重要的應(yīng)用系統(tǒng)只放開特定的端口及時(shí)間段提供訪問。嚴(yán)格的訪問控制策略不僅可以收縮網(wǎng)絡(luò)安全防守面，而且能在一定程度上遏制黑客在不同區(qū)域間的橫向移動(dòng)。

(3)防護(hù)前置：長(zhǎng)科院官網(wǎng)是被攻擊的重點(diǎn)目標(biāo)，僅2021年4月，就監(jiān)測(cè)到數(shù)萬次針對(duì)長(zhǎng)科院官網(wǎng)的網(wǎng)絡(luò)攻擊。通過部署網(wǎng)站云防護(hù)策略，如圖1所示，可以將整個(gè)網(wǎng)站的訪問流量，通過DNS解析牽引到云端防護(hù)節(jié)點(diǎn)，在這些節(jié)點(diǎn)中對(duì)訪問流量進(jìn)行清洗，然后將干凈的流量發(fā)送到長(zhǎng)科院網(wǎng)站服務(wù)器[7]。這樣將網(wǎng)站防護(hù)戰(zhàn)線前置到云端，并結(jié)合長(zhǎng)科院內(nèi)的本地硬件防火墻形成2道立體防線。

圖1 云防護(hù)訪問流程Fig.1 Access process of cloud protection

3.2 終端防護(hù)

傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)往往側(cè)重于網(wǎng)絡(luò)邊界及網(wǎng)站防護(hù)，對(duì)于內(nèi)網(wǎng)終端的防護(hù)不夠重視，認(rèn)為個(gè)人終端處在內(nèi)網(wǎng)，并未直接暴露在互聯(lián)網(wǎng)上，受攻擊的風(fēng)險(xiǎn)較低。但是，近幾年來，隨著黑客的攻擊手段不斷更新進(jìn)化，特別是定向釣魚郵件攻擊，社會(huì)工程學(xué)攻擊等多種針對(duì)性攻擊手段的興起，內(nèi)網(wǎng)終端成為了攻擊重點(diǎn)，是黑客突破邊界防護(hù)的重要渠道。同時(shí)由于內(nèi)部職工的安全意識(shí)淡薄，往往會(huì)造成內(nèi)部網(wǎng)絡(luò)存在木馬、病毒、惡意軟件。因此，必須考慮個(gè)人終端防護(hù)方法，確保內(nèi)網(wǎng)環(huán)境干凈，當(dāng)黑客進(jìn)入內(nèi)網(wǎng)后最大程度確保內(nèi)網(wǎng)終端安全。

終端的安全防護(hù)的關(guān)鍵在于終端的病毒查殺、漏洞修復(fù)以及終端防護(hù)3個(gè)方面。終端安全管理系統(tǒng)具有威脅發(fā)現(xiàn)及處理、系統(tǒng)立體防護(hù)和全局安全管控3大功能，分為個(gè)人客戶端、控制中心管理端2個(gè)部分。個(gè)人客戶端能夠有效檢測(cè)處理個(gè)人主機(jī)中的病毒木馬、惡意代碼及系統(tǒng)漏洞，并為個(gè)人終端提供系統(tǒng)級(jí)立體防護(hù)；控制中心能對(duì)內(nèi)網(wǎng)所有主機(jī)進(jìn)行統(tǒng)一管控，通過配置下發(fā)系統(tǒng)漏洞修復(fù)策略、病毒木馬查殺策略、基線核查策略、移動(dòng)存儲(chǔ)介質(zhì)管理等策略，進(jìn)行主動(dòng)防御，強(qiáng)制性地提升個(gè)人主機(jī)整體安全防護(hù)能力。這樣通過對(duì)威脅的提前感知與預(yù)防，能最大程度實(shí)現(xiàn)終端層面安全能力的落地。

3.3 服務(wù)器防護(hù)

長(zhǎng)科院絕大部分服務(wù)器均運(yùn)行在虛擬化平臺(tái)中，虛擬化平臺(tái)不僅可以靈活地配置虛擬機(jī)的CPU、內(nèi)存、數(shù)據(jù)存儲(chǔ)等計(jì)算資源，而且能根據(jù)虛擬服務(wù)器運(yùn)行時(shí)的負(fù)荷動(dòng)態(tài)地分配資源，同時(shí)提供容災(zāi)備份功能，以保障業(yè)務(wù)系統(tǒng)的連續(xù)性。虛擬化平臺(tái)的穩(wěn)定性、可靠性和良好的擴(kuò)展性為日常工作帶來了極大的便利[8]。但與此同時(shí)虛擬化技術(shù)也帶來了一些安全問題[9]：

(1) 虛擬化平臺(tái)在傳統(tǒng)的“服務(wù)器-操作系統(tǒng)”架構(gòu)間增加了一層Hypervisor層，由于其自身可能存在漏洞，有一定的安全風(fēng)險(xiǎn)。

(2)在一個(gè)虛擬化平臺(tái)中運(yùn)行多個(gè)虛擬服務(wù)器，虛擬服務(wù)器之間的網(wǎng)絡(luò)邊界變得模糊，黑客容易利用虛擬服務(wù)器與虛擬服務(wù)器之間的東西向交互流量進(jìn)行橫向攻擊。

相比于傳統(tǒng)的服務(wù)器安全防護(hù)，長(zhǎng)科院的服務(wù)器防護(hù)還需解決虛擬化平臺(tái)中各類虛擬化安全問題，保障虛擬化平臺(tái)中應(yīng)用的安全。虛擬化安全管理系統(tǒng)，作為適用于虛擬化平臺(tái)的安全軟件，不僅具有病毒木馬的安全防御功能，還具有結(jié)合虛擬化平臺(tái)的虛擬化加固功能，可以有效地防護(hù)虛擬機(jī)逃逸、惡意破壞Hypervisor等行為，實(shí)現(xiàn)對(duì)Hypervisor層的安全防護(hù)。同時(shí)可以根據(jù)各虛擬服務(wù)器上運(yùn)行的業(yè)務(wù)系統(tǒng)情況，在每個(gè)虛擬服務(wù)器上分別配置虛擬化防火墻策略，實(shí)現(xiàn)虛擬機(jī)之間的流量隔離，為各虛擬服務(wù)器提供一個(gè)相對(duì)安全可信的運(yùn)行環(huán)境。

3.4 內(nèi)網(wǎng)態(tài)勢(shì)感知

內(nèi)網(wǎng)態(tài)勢(shì)感知是長(zhǎng)科院安全防御體系的關(guān)鍵。傳統(tǒng)的安全設(shè)備、終端安全軟件對(duì)內(nèi)部網(wǎng)絡(luò)的監(jiān)控存在盲區(qū)，無法有效地發(fā)現(xiàn)主機(jī)間的攻擊行為。高級(jí)可持續(xù)性威脅(Advanced Persistent Threat，APT)是近年來的一種新的攻擊手段，其攻擊目標(biāo)明確、攻擊方法高級(jí)、隱蔽性高，可疑流量基本隱藏在正常網(wǎng)絡(luò)流量當(dāng)中[10]；同時(shí)在APT攻擊過程中會(huì)搜集目標(biāo)信息、挖掘目標(biāo)存在的漏洞，從而有針對(duì)性地躲避殺毒軟件的監(jiān)控。面對(duì)APT攻擊，傳統(tǒng)安全設(shè)備缺乏有效的預(yù)警及攻擊鏈溯源手段，難以起到應(yīng)有的防護(hù)作用[11-13]。

安全態(tài)勢(shì)感知平臺(tái)主要用于復(fù)雜網(wǎng)絡(luò)環(huán)境中，采用旁路方式接入到內(nèi)部網(wǎng)絡(luò)，其體系架構(gòu)如圖2所示，可大體劃分為數(shù)據(jù)接入層、深度分析層及感知呈現(xiàn)層3大部分。在數(shù)據(jù)接入層，態(tài)勢(shì)感知平臺(tái)通過如Syslog、Log File、FTP等方式收集全網(wǎng)安全日志、系統(tǒng)日志、設(shè)備日志、流量日志等日志數(shù)據(jù)，作為系統(tǒng)的數(shù)據(jù)來源基礎(chǔ)。所有收集到的日志將在深度分析層結(jié)合機(jī)器學(xué)習(xí)、關(guān)聯(lián)分析、云端情報(bào)、內(nèi)置規(guī)則等技術(shù)進(jìn)行深度分析。最后分析的結(jié)果以可視化的形式呈現(xiàn)全網(wǎng)及個(gè)體終端的安全態(tài)勢(shì)監(jiān)測(cè)情況，為后續(xù)網(wǎng)絡(luò)安全防御和安全策略優(yōu)化提供數(shù)據(jù)支撐[14-16]。

安全態(tài)勢(shì)感知平臺(tái)接入的數(shù)據(jù)源廣泛，并結(jié)合了多種檢測(cè)技術(shù)，能將攻擊者的攻擊特征、發(fā)送的數(shù)據(jù)流量特征和被攻擊主機(jī)的行為特征結(jié)合云端情報(bào)進(jìn)行深度分析，因此具有攻擊行為溯源能力[17]，能有效地發(fā)現(xiàn)內(nèi)網(wǎng)APT攻擊行為，可以提升長(zhǎng)科院的網(wǎng)絡(luò)安全事件的事前發(fā)現(xiàn)、事中處置以及事后溯源取證的能力。

4 結(jié) 語

網(wǎng)絡(luò)安全體系的建設(shè)是一個(gè)長(zhǎng)期的過程。在如今信息技術(shù)快速發(fā)展的背景下，網(wǎng)絡(luò)安全形勢(shì)越來越嚴(yán)峻，需要加強(qiáng)對(duì)網(wǎng)絡(luò)安全工作的重視程度。設(shè)備是安全的基礎(chǔ)，人員是安全的核心，管理是安全的保障，建議加大對(duì)網(wǎng)絡(luò)安全的人力、物力的投入，以確保能適應(yīng)當(dāng)前急速變化的網(wǎng)絡(luò)安全形勢(shì)。同時(shí)，應(yīng)結(jié)合長(zhǎng)科院的實(shí)際現(xiàn)狀和基礎(chǔ)設(shè)施，從戰(zhàn)略高度進(jìn)行頂層設(shè)計(jì)、資源整合、集中管理，將網(wǎng)絡(luò)安全的建設(shè)融合到日常管理、信息系統(tǒng)建設(shè)和科研工作中。網(wǎng)絡(luò)安全體系的建設(shè)與每位職工密不可分，人人都是參與者、建設(shè)者。不僅需要增強(qiáng)職工的網(wǎng)絡(luò)安全意識(shí)，更要結(jié)合完善的網(wǎng)絡(luò)安全管理制度，這樣才能有效地保障長(zhǎng)科院的網(wǎng)絡(luò)與信息安全。