王麗芳 中國電信股份有限公司江西分公司網(wǎng)絡(luò)與信息安全部 南昌市 330046

韓曉穎 熊光麗 中國電信股份有限公司江西分公司無線網(wǎng)絡(luò)優(yōu)化中心 南昌市330046

0 引言

隨著工業(yè)互聯(lián)網(wǎng)時代的到來，萬物互聯(lián)成為人們生活的常態(tài)，遠(yuǎn)程辦公、客戶訪問、海量的信息共享等都為企業(yè)發(fā)展帶來新的活力。同時，企業(yè)網(wǎng)絡(luò)與平臺受到的攻擊越來越多，個人信息泄露的事件屢見不鮮。如何構(gòu)建企業(yè)網(wǎng)絡(luò)安全防御體系高效抵御網(wǎng)絡(luò)安全威脅？成為亟需解決的問題。

縱深防御通常是指一套安全防御體系中同時運(yùn)行多個安全控制，沒有任何安全控制能防范所有可能的威脅，通過多層防護(hù)方案的并聯(lián)運(yùn)行可以抵御多重外來威脅，同時實現(xiàn)安全冗余。在分層防護(hù)安全解決方案中，一個安全控制失效不會導(dǎo)致系統(tǒng)或數(shù)據(jù)暴露。安全控制、控制措施和防護(hù)措施可以是管理性、邏輯性/技術(shù)性或物理性的。這三種安全機(jī)制應(yīng)以縱深防御方式實現(xiàn)，以實現(xiàn)最大的安全收益，使資產(chǎn)得到更有效的防護(hù)，如圖1所示。

圖1 縱深防御中實施的安全控制分類

（1）物理性控制措施

物理性控制措施是可實際接觸到的措施，包括阻止、監(jiān)測或檢測對基礎(chǔ)設(shè)施內(nèi)直接接觸的物理性控制措施。物理性控制措施的例子包括保安、鎖和報警器等。

（2）邏輯性/技術(shù)性控制措施

邏輯性/技術(shù)性控制措施既包括硬件也包括軟件機(jī)制，可用于管理訪問權(quán)限用于為系統(tǒng)和資源提供安全保護(hù)。顧名思義，就是使用技術(shù)。邏輯性或技術(shù)性控制措施的例子包括身份驗證方法、加密、訪問控制列表、協(xié)議、防火墻、路由器、IPS等。

（3）管理性控制措施

管理性控制措施是依企業(yè)的安全策略和其他法規(guī)或要求而規(guī)定的策略和程序。這些控制集中于人員和業(yè)務(wù)實踐。管理性控制措施的例子包括背景調(diào)查、安全意識培訓(xùn)、報告和審查等。

企業(yè)使用縱深防御體系后，攻擊者需要克服多層防御才能到達(dá)這些受保護(hù)的資產(chǎn)。要保護(hù)企業(yè)的資產(chǎn)不能僅靠技術(shù)來提供安全性，還必須使用物理訪問控制和管理訪問控制。例如，服務(wù)器使用了強(qiáng)身份驗證機(jī)制，但身份驗證信息存儲在無人看守的桌面上，則攻擊者可以通過窺視輕松竊取它攻入系統(tǒng)，還可以使用社會工程學(xué)通過欺騙未受過安全意識教育的用戶交出密碼，從而輕松攻入系統(tǒng)。從這些例子看出攻擊手段的多樣性，那應(yīng)如何構(gòu)建企業(yè)網(wǎng)絡(luò)安全縱深防御體系。結(jié)合筆者的工作經(jīng)驗，本文從邊界防御、監(jiān)測響應(yīng)、訪問控制、端點安全及人的防線五個方面闡述縱深防御體系的建設(shè)，如圖2所示。

圖2 縱深防御框架

1 邊界防御

在企業(yè)網(wǎng)絡(luò)安全縱深防御體系中，網(wǎng)絡(luò)邊界防御是指企業(yè)網(wǎng)絡(luò)邊界層面的防御，是網(wǎng)絡(luò)防護(hù)的重要前沿。主要作用是拒絕非授權(quán)的非法訪問、實現(xiàn)對外部攻擊的主動防御阻斷，筑起網(wǎng)絡(luò)安全縱深防御的第一道“墻”。

在眾多網(wǎng)絡(luò)邊界防御安全設(shè)備中，邊界防御首先考慮的防火墻、IPS、WAF安全三件套。安全三件套中防火墻是邊界防御中首選的安全防護(hù)設(shè)施，實現(xiàn)最基本和最有效的攻擊攔截。通過防火墻，企業(yè)僅僅對外暴露必要的IP和服務(wù)端口，最大程度減少網(wǎng)絡(luò)、系統(tǒng)和平臺的暴露面。下一代防火墻已集成了防病毒、入侵檢測、“僵木蠕”識別等多種檢測和防御功能。

安全三件套中的IPS、WAF也是邊界防御的不二之選設(shè)備，IPS基于特征和上下文對網(wǎng)絡(luò)攻擊行為進(jìn)行判斷，如果是旁路部署通過發(fā)阻斷包來實現(xiàn)阻斷，如果是竄接則通過控制轉(zhuǎn)發(fā)的流量來實現(xiàn)阻斷。WAF是對HTTP流量進(jìn)行檢測，確保HTTP請求包合規(guī)，對疑似的Web攻擊行為進(jìn)行阻斷或隔離或告警。

“Web動態(tài)安全防御”“Web隔離防護(hù)”這類產(chǎn)品也能在邊界防御中起到非常好的作用，特別在平臺或系統(tǒng)是BS架構(gòu)的邊界防御效果尤其明顯，其通過對HTTP響應(yīng)的Html內(nèi)容進(jìn)行混淆或?qū)rl，Cookie等元素做動態(tài)驗證隱藏攻擊入口，大幅提升攻擊入侵難度，有效防范重放攻擊、注入攻擊等各類自動化攻擊行為。

此外，抗DDoS平臺、“僵木蠕”平臺等安全平臺，也可以對邊界防御起到作用，提升資產(chǎn)的可用性和健壯性。但攻擊者的手段層出不窮，不能寄希望在邊界防御中阻斷或隔離所有可能的攻擊。因此，監(jiān)測響應(yīng)是必須的。

2 監(jiān)測響應(yīng)

在邊界防御里提到的不管是FW、IPS、WAF還是動態(tài)防御產(chǎn)品，均都是防護(hù)外部的攻擊源，如FW，典型的防外不防內(nèi)。此外這些產(chǎn)品對攻擊流量的關(guān)聯(lián)不夠，比如IPS就只看攻擊的請求報文，不關(guān)注這個請求報文的回包內(nèi)容，導(dǎo)致大量的誤報和漏報。那如何解決這些既防外也防內(nèi)，同時減少誤報和漏報，就需要在企業(yè)關(guān)鍵網(wǎng)絡(luò)節(jié)點部署全流量分析監(jiān)測平臺，在內(nèi)網(wǎng)部署蜜網(wǎng)蜜罐，使用行為分析、威脅情報、大數(shù)據(jù)分析、人工智能等分析技術(shù)，在交互的流量中，及時發(fā)現(xiàn)攻擊并響應(yīng)處置。

深度威脅檢測平臺、態(tài)勢感知平臺、大數(shù)據(jù)日志平臺是監(jiān)測威脅的重要平臺，深度威脅檢測平臺、態(tài)勢感知平臺匯聚了網(wǎng)絡(luò)關(guān)鍵節(jié)點流量，大數(shù)據(jù)日志平臺收集了各類應(yīng)用系統(tǒng)的日志，通過與威脅情報、蜜網(wǎng)蜜罐等產(chǎn)品威脅檢測分析結(jié)果的關(guān)聯(lián)，結(jié)合企業(yè)資產(chǎn)平臺信息，可視化地感知、溯源并處置響應(yīng)攻擊事件。監(jiān)測響應(yīng)其本質(zhì)是“事后”的檢測手段，若要做到“事前”的技術(shù)防御，需采取訪問控制。

3 訪問控制

參照零信任思想，通過訪問控制可做到“事前”防御。在企業(yè)實際的生產(chǎn)環(huán)境中，訪問控制可以從多個維度開展實施，可以是網(wǎng)絡(luò)、應(yīng)用訪問控制，也可以是資源訪問控制。

網(wǎng)絡(luò)訪問控制，是指在網(wǎng)絡(luò)設(shè)備上配置訪問控制有效切斷依賴于網(wǎng)絡(luò)的攻擊。通過網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，能有效防御入侵者在內(nèi)網(wǎng)橫向滲透。通過監(jiān)測資產(chǎn)違規(guī)外聯(lián)行為，及時發(fā)現(xiàn)網(wǎng)絡(luò)訪問控制存在的漏洞并處置，提升網(wǎng)絡(luò)防護(hù)水平。

應(yīng)用訪問控制，主要是通過身份認(rèn)證管理、角色管理、權(quán)限管理等能力，實現(xiàn)對應(yīng)用系統(tǒng)訪問的控制保護(hù)，有效減少應(yīng)用系統(tǒng)風(fēng)險的暴露面。

資源訪問控制，可通過4A、特權(quán)賬號管理等能力，有效解決資源的管控問題。資源授權(quán)訪問可以通過4A解決，4A可以實現(xiàn)網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫等資源的訪問控制。

多個訪問控制，有效降低企業(yè)受攻擊時帶來的風(fēng)險和損失。但攻擊者的最終是希望能獲取服務(wù)器與終端的相關(guān)權(quán)限，因此需要用端點安全來解決服務(wù)器與終端安全。

4 端點安全

服務(wù)器和操作終端，作為最主要的計算端點，存放著大量的企業(yè)核心價值數(shù)據(jù)，是網(wǎng)絡(luò)攻擊的目標(biāo)。為了提高服務(wù)器和操作終端的安全性，可以在這些端點上安裝EDR、防病毒等防御手段。

EDR/XDR端點安全檢測響應(yīng)系統(tǒng)通常是端點安裝Agent、服務(wù)端集中部署。通過端點Agent主動和被動方式將端點的信息及時同步至服務(wù)端。其系統(tǒng)主要功能包括：一是端點安裝的各類資產(chǎn)收集；二是端點威脅檢測及處置。

端點的防病毒系統(tǒng)可以防御端點惡意程序，可以減少端點違規(guī)外聯(lián)行為。

從邊界防護(hù)、監(jiān)測響應(yīng)、訪問控制、端點防御四個方面從技術(shù)的角度構(gòu)建起網(wǎng)絡(luò)安全縱深防御體系，每一個技術(shù)每一個實施每一個處置都需要人參與，因此人員防御毋庸置疑非常重要。

5 人的防線

人員是防御的關(guān)鍵組成部分。企業(yè)員工安全意識教育和培訓(xùn)是至關(guān)重要的工作。網(wǎng)絡(luò)攻擊技術(shù)層出不窮，但基于人的社會工程學(xué)攻擊在攻擊體系中占據(jù)重要地位。常見做法如開展覆蓋全員的網(wǎng)絡(luò)安全意識教育、企業(yè)內(nèi)部模擬攻擊測試等，培養(yǎng)全員正確響應(yīng)攻擊嘗試的能力。

通過對上面五個方面的闡述，縱深防御體系的本質(zhì)是多層防御，使得入侵者必須突破層層堡壘才能接觸到核心數(shù)據(jù)資產(chǎn)。企業(yè)構(gòu)建縱深防御體系后，增加了攻擊方的入侵難度和入侵成本將大幅度提高，從以前相對被動轉(zhuǎn)為相對主動?？v深防御結(jié)合知其所需和最小特權(quán)原則有助于提高整個企業(yè)的防護(hù)水平，使資產(chǎn)得到更好保護(hù)。隨著安全攻防雙方技術(shù)的不斷發(fā)展，企業(yè)網(wǎng)絡(luò)安全縱深防御體系將在技術(shù)和能力上會上升到一個全新高度。