校園網(wǎng)安全態(tài)勢感知研究與應用

商永巧 史冬蕾 仝虎 潘巍巍

摘 要 2017年6月1日起，中華人民共和國網(wǎng)絡安全法正式實施，自此網(wǎng)絡安全有法可依。隨著互聯(lián)網(wǎng)尤其是移動互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡安全形勢越來越嚴峻。根據(jù)網(wǎng)絡安全法與等級保護2.0，網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案和網(wǎng)絡安全監(jiān)測預警系統(tǒng)。南京旅游職業(yè)學院作為國內重點旅游職業(yè)院校，應當看清網(wǎng)絡安全形勢，加強網(wǎng)絡安全監(jiān)測預警系統(tǒng)建設，提高南旅院的網(wǎng)絡安全預防能力，本文將基于南旅院網(wǎng)絡安全運營現(xiàn)狀，進行態(tài)勢感知平臺在南旅院網(wǎng)絡安全防護體中的應用研究與實施。

關鍵詞 網(wǎng)絡安全 態(tài)勢感知 監(jiān)測預警 WAF防御

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-0745（2020）03-0060-03

1 背景

一方面，網(wǎng)絡安全法第二十五條規(guī)定明確了網(wǎng)絡安全運營者承擔有制定應急預案、及時處置風險的義務。2018年4月20日，習近平總書記在網(wǎng)絡安全和信息化工作會議上明確提出“要落實關鍵信息基礎設施防護責任，加強網(wǎng)絡安全信息統(tǒng)籌機制、手段、平臺建設，加強網(wǎng)絡安全事件應急指揮能力建設，做到關口前移，防患于未然”。2019年5月《等級保護2.0標準》正式發(fā)布，對網(wǎng)絡安全態(tài)勢感知建設及安全運維管理提出了明確要求。

另一方面，隨著南旅院信息化建設規(guī)模的不斷擴大，網(wǎng)絡安全設備、服務器、虛擬機以及PC終端，將會持續(xù)產(chǎn)生安全日志，對日常安全運營產(chǎn)生嚴峻挑戰(zhàn)。如果缺乏統(tǒng)一，全網(wǎng)的安全隱患和安全事件運營管理機制，將會導致安全隱患發(fā)現(xiàn)不及時甚至無法發(fā)現(xiàn)，安全事件難定位、應急處置不及時。尤其在出現(xiàn)嚴重安全事件時，傳統(tǒng)的定期風險評估及決策，經(jīng)常貽誤對安全事件進行處置的最佳時機，造成安全事件大范圍蔓延，事件等級擴大的嚴重后果。隨著南旅院的信息化發(fā)展，數(shù)據(jù)越來越集中、業(yè)務對IT基礎設施的依賴度越來越大，一旦對安全風險發(fā)現(xiàn)不及時或出現(xiàn)較大安全事件處置不及時將會對我院造成不可估量的影響。

由此可見有效健全的信息安全保衛(wèi)工作非常重要，我們需要參照《國家網(wǎng)絡安全法》、《等級保護2.0標準》、《國家網(wǎng)絡安全應急預案》，配套建立常態(tài)化、長效化的新型安全運營指揮技術和管理體系;通過自動化的手段，以科學合理的方法實現(xiàn)最短時間內協(xié)調設備資源、人力資源、管理資源，對安全事件進行有效處置，并實現(xiàn)統(tǒng)一的網(wǎng)絡安全協(xié)同運營，保障南旅院網(wǎng)絡空間安全、穩(wěn)定，相關系統(tǒng)持續(xù)、有序、安全運轉。

2 南旅院網(wǎng)絡安全現(xiàn)狀與挑戰(zhàn)

2.1 外部威脅挑戰(zhàn)

目前國內從事“黑灰產(chǎn)”人員眾多，網(wǎng)絡安全漏洞形勢越來越嚴峻。黑客攻擊手段更加智能、復雜。攻擊目標從最初的黑客炫耀、破壞、竊取數(shù)據(jù)，轉向以牟利為主的黑灰產(chǎn)產(chǎn)業(yè)化運作為主，如僵尸網(wǎng)絡、挖礦程序、用戶數(shù)據(jù)竊取等。攻擊手段也從在最開始的僵木蠕、漏洞利用、口令入侵為主，演變成更加復雜的攻擊方式，例如APT攻擊、社會工程學、水坑攻擊等。攻擊層面也從最初的網(wǎng)絡層攻擊如DDOS、身份冒仿等，向應用層的攻擊如應用層漏洞利用、SQL注入、XSS攻擊等演進。勒索病毒、未知惡意代碼具備較強的破壞能力。2017年5月12日開始，在全球蔓延的WannaCry勒索病毒已經(jīng)席卷了至少150個國家的20萬臺電腦。而前防病毒軟件或硬件網(wǎng)關，基本上以依靠病毒特征庫為主，而針對經(jīng)過變種的病毒、木馬或者未知惡意代碼，不具備監(jiān)測能力。

2.2 內部運維現(xiàn)狀

目前南旅院已經(jīng)購置了一定數(shù)量的防火墻、WAF、日志審計等網(wǎng)絡安全設備、眾多的網(wǎng)絡安全設備和組件，將產(chǎn)生大量的安全事件告警信息，以及大量的維護與設置需求。如果沒有統(tǒng)一的智能的安全事件處理運營中心，安全運維管理工作將難以開展。當前我院的網(wǎng)絡安全建設已經(jīng)取得一定的成績，但是依然缺乏有效的監(jiān)測預警手段。安全信息采集整合分析能力不足，不能掌握整體安全態(tài)勢、網(wǎng)絡與安全防護能力?，F(xiàn)有的網(wǎng)絡和平臺安全系統(tǒng)難以從不同維度進行網(wǎng)絡安全態(tài)勢分析，也不能支撐不同范圍的網(wǎng)絡空間安全決策分析，無法快速直觀為各層次決策人員提供決策分析依據(jù)。

并且由于缺失專業(yè)化工具，不能做到對安全事件的可視化管理和深度關聯(lián)分析，造成安全風險不能及時發(fā)現(xiàn)，安全事件不能及時處置?，F(xiàn)有防護檢測技術手段，自動化程度低。當今威脅不斷升級，系統(tǒng)化的防御思路也需要不斷升級來應對泛化的威脅，例如協(xié)同聯(lián)動能力缺失、威脅無法有效識別、威脅無法快速處置等問題。

總而言之，南旅院目前網(wǎng)絡安全架構無法滿足事前、事中、事后的安全規(guī)范。已有的出口防火墻、WAF防御等網(wǎng)絡安全產(chǎn)品均屬于事中防御，無法提前預警，比如無法防御挖礦、勒索病毒等，也無法事后追溯審計、修復安全隱患。

3 南旅院校園網(wǎng)態(tài)勢感知建設需求

3.1 簡化運維需求

當前運維環(huán)境復雜、外部威脅形勢嚴峻、運維自動化化程度低的形勢下，我們希望通過建設一個本地化的安全運營系統(tǒng)來快速發(fā)現(xiàn)運維問題、有效分析運維問題、快速解決運維問題，其本質就是實現(xiàn)簡化運維的最終目標。

3.2 持續(xù)優(yōu)化需求

當前網(wǎng)絡黑客、有組織的犯罪團體甚至針對性的惡意破壞者或網(wǎng)絡間諜，他們的能力和破壞力正日漸增長，所以我院的本地安全能力中心也應持續(xù)優(yōu)化升級，從“被動防守”轉向“積極防御”。

3.3 整體管理需求

雖然我院已經(jīng)在網(wǎng)絡中部署了一定數(shù)量的安全系統(tǒng)和相應的防護設備，但是管理人員依然無法快速準確的掌握網(wǎng)絡整體運行的狀況，每種安全設備都僅僅從各自的角度反映某個層面的安全問題，整體性管理欠缺，領導層對網(wǎng)絡安全情況不能一目了然。

4 校園網(wǎng)態(tài)勢感知建設依據(jù)

4.1 法規(guī)/標準

1.法規(guī)政策：

《中華人民共和國網(wǎng)絡安全法》（2017年6月1日起施行）

《國家網(wǎng)絡安全事件應急預案》（中網(wǎng)辦發(fā)文[2017]4號）

國際標準：

ISO 27000系列標準

ISO/IEC 31000風險管理標準

2.國家標準：

GB/T22239-2019 信息安全技術網(wǎng)絡安全等級保護基本要求

GB/T24364-2009 信息安全風險管理指南

GB/T20985-2007 信息安全事件管理指南

GB/T20986-2007 信息安全事件分類分級指南

4.2 國內外安全體系研究現(xiàn)狀

4.2.1 IATF框架

IATF，《信息保障技術框架》（IATF：Information Assurance Technical Framework ）是美國國家安全局（NSA）National Security Agency 制定，用于描述其信息保障的指導性文件。IATF提出的信息保障的核心思想是縱深防御戰(zhàn)略（Defense in Depth）。在縱深防御戰(zhàn)略中指出，人、技術和操作（operations 也可以譯為流程）是三個主要核心因素，要保障信息及信息系統(tǒng)的安全，三者缺一不可。人是信息系統(tǒng)的主體，是信息系統(tǒng)的擁有者、管理者和使用者，是信息保障體系核心[1]。

4.2.2 自適應安全框架

自適應安全框架（ASA）是Gartner于2014年提出的面向下一代的安全體系框架，以應對云大物移智時代所面臨的安全形勢。自適應安全框架（ASA）從預測、防御、檢測、響應四個維度，強調安全防護是一個持續(xù)處理的、循環(huán)的過程，細粒度、多角度、持續(xù)化的對安全威脅進行實時動態(tài)分析，自動適應不斷變化的網(wǎng)絡和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機制。

相對于PDR模型[2]，自適應安全框架（ASA）框架增加了安全威脅“預測”的環(huán)節(jié)，其目的在于通過主動學習并識別未知的異常事件來嗅探潛在的、未暴露的安全威脅，更深入的詮釋了“主動防御”的思想理念，這也是網(wǎng)絡安全2.0時代新防御體系的核心內容之一。

作為面向未來的新一代安全能力中心，必然需要面臨日趨緊張的網(wǎng)絡安全威脅，防御、檢測、響應甚至預測的有效性、主動性，關乎運營中心存在的根本價值和意義。遵循ASA自適應安全框架，對于指導本項目的科學性建設和先進性建設具有重要意義。

4.2.3 新時期的等級保護體系

為配合網(wǎng)絡安全法的實施，同時適應云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制等新技術條件下網(wǎng)絡安全等級保護工作的開展，2019年5月13日，《GB/T22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求》正式發(fā)布，標志著我國網(wǎng)絡安全等級保護工作正式進入2.0時代。等保2.0以保護國家關鍵信息基礎設施為重點，為有效應對國際網(wǎng)絡空間安全形勢，等保2.0不僅擴大了保護對象的范圍而且提出了三重防御的思想：主動防御、綜合防御、縱深防御[3]。

該特點與ASA自適應安全模型相呼應，作為等保2.0合規(guī)要求的重要組成部分，新時期的安全運營平臺也應具備主動防御、綜合防御、縱深防御的特點。

5 南旅院校園網(wǎng)態(tài)勢感知建設方案設計及實施

5.1 方案設計

深信服于2018年提出的APDRO的智安全模型[4]，通過智能（Artificial Intelligence）、防御（Protect）、檢測（Detect）、響應（Response）、運營（Operate）這五個功能，能夠有效、智能的防御和檢測網(wǎng)絡安全狀況，大大提高威脅響應速度，并縮減了運維開支，動態(tài)的實現(xiàn)安全閉環(huán)。

南旅院現(xiàn)有的安全防御缺乏統(tǒng)一管理與協(xié)同共享，只能看見碎片化的局部安全，不利于整體的安全認知?；贏PDRO的智安全模型和南旅院網(wǎng)絡安全運營業(yè)務的現(xiàn)狀，同時結合IATF信息保障技術框架、ASA自適應安全模型、等保2.0等國內外目前被廣泛應用的技術標準，建立了一套以安全可視和協(xié)同防御為核心，智能化、精準化、具備協(xié)同聯(lián)動防御能力及人工專家應急的大數(shù)據(jù)安全分析平臺和統(tǒng)一運營中心。

該平臺設計以全流量分析為基礎，基于探針安全組件采集全網(wǎng)的關鍵數(shù)據(jù)，結合威脅情報、行為分析、UEBA[5]、機器學習、大數(shù)據(jù)關聯(lián)分析、可視化等技術對全網(wǎng)流量實現(xiàn)全網(wǎng)業(yè)務可視和威脅感知，從而實現(xiàn)提高事件響應的速度和高級威脅發(fā)現(xiàn)的能力，便于應急響應，并讓安全可感知、易運營。

該方案結合了南旅院網(wǎng)絡安全現(xiàn)狀與挑戰(zhàn)的需求，實現(xiàn)了南旅院校園外網(wǎng)、內網(wǎng)全面的安全檢測，有效識別來自外網(wǎng)及內網(wǎng)的安全風險，并直觀的展現(xiàn)在界面上。并且提供校園網(wǎng)業(yè)務、用戶風險的報告，內容豐富直觀，可實時了解網(wǎng)絡和業(yè)務系統(tǒng)的安全差誤，讓安全可感知，安全易運營，有效提升管理效率、降低運維成本。

5.2 方案實施

方案實施前外網(wǎng)訪問內網(wǎng)時，流量首先經(jīng)過阿姆瑞特防火墻，經(jīng)防火墻檢測掃描后進入到AC;AC進行流量管控后到達NIPS，NIPS對其進行防御檢測，通過后進入核心交換機;再經(jīng)網(wǎng)瑞達返代進行地址返代;深信服LSA進行日志審計，流量采集，實時監(jiān)控;最后經(jīng)過綠盟漏掃對其進行漏洞掃描，到達二層交換機，進入內網(wǎng)，抵達用戶終端。

本方案主要新增了深信服態(tài)勢感知平臺SIP和深信服探針STA，收集鏡像的流量數(shù)據(jù)，并將流量數(shù)據(jù)進行分析生成安全日志后。上傳到SIP，SIP再基于大數(shù)據(jù)、機器學習對數(shù)據(jù)進行匯總分析處理實現(xiàn)了對全網(wǎng)流量實現(xiàn)全網(wǎng)業(yè)務可視化、威脅可視化、攻擊與可疑流量可視化。

5.3 方案總結

5.3.1 風險主機檢測

發(fā)現(xiàn)檢測內網(wǎng)發(fā)現(xiàn)的失陷業(yè)務服務器、和失陷終端，并舉證出安全事件，和對應的解決辦法建議。

5.3.2 事件分析

從外部攻擊、外連風險、橫向攻擊三個維度發(fā)現(xiàn)內網(wǎng)存在的安全問題，如主機存在異常的外連行為可能懷疑是存在風險，還可以分析文件威脅與郵件威脅。

5.3.3 資產(chǎn)感知

檢測出內網(wǎng)存在的業(yè)務服務器或終端，用于資產(chǎn)梳理，當檢測出內網(wǎng)存在未使用的服務器，可能存在被做為跳板機的風險。

5.3.4 脆弱性感知

檢測當前業(yè)務系統(tǒng)存在的脆弱性問題，對服務器漏洞進行檢測，弱密碼，web明文傳輸，配置風險。

6 結語

經(jīng)過多方位測試，南旅院校園網(wǎng)安全態(tài)勢感知平臺各項功能均正常運營，能夠實現(xiàn)全面的實時監(jiān)測、易運營的運維處置、可感知的威脅告警、多維度的安全可視預警、有效數(shù)據(jù)提取，方便追蹤溯源，為南旅院的網(wǎng)絡安全保駕護航。

參考文獻：

[1] 蔡宗慧，郝帥.基于信息保障技術框架網(wǎng)絡安全技術整合及應用研究[J].電腦編程技巧與維護，2016（13）：89-90.

[2] 李堯.從PDR模型的發(fā)展過程看信息安全管理[J].電子產(chǎn)品可靠性與環(huán)境試驗，2012，30（04）：35-37.

[3] 何占博，王穎，劉軍.我國網(wǎng)絡安全等級保護現(xiàn)狀與2.0標準體系研究[J].信息技術與網(wǎng)絡安全，2019，38（03）：9-14，19.

[4] 趙志遠.創(chuàng)新的力量 深信服智安全架構與APDRO[J].網(wǎng)絡安全和信息化，2019（10）：9-10.

[5] 徐飛.基于UEBA的網(wǎng)絡安全態(tài)勢感知技術現(xiàn)狀及發(fā)展分析[J].網(wǎng)絡安全技術與應用，2020（10）：10-13.

南京旅游職業(yè)學院，江蘇 南京