胡鑫 王宏波

隨著信息化安全形勢的日益嚴峻，國內(nèi)外各類基于網(wǎng)絡(luò)的安全事件層出不窮，僅最近一年內(nèi)，國內(nèi)外先后出現(xiàn)了“暗云Ⅲ”病毒攻擊事件、WannaCry勒索病毒攻擊事件、Petya病毒攻擊事件等多起網(wǎng)絡(luò)安全事件。而現(xiàn)有安全防護手段是基于已有病毒或漏洞進行的，能夠根據(jù)特征對已知攻擊行為進行安全防護，但對于未知的漏洞以及攻擊無法做到主動防御。

一、國網(wǎng)陜西省電力公司安全建設(shè)現(xiàn)狀

在國家電網(wǎng)公司信息化建設(shè)大力推進下，國網(wǎng)陜西省電力公司信息化建設(shè)步伐大大加快，目前已經(jīng)建成近百個業(yè)務(wù)系統(tǒng)，業(yè)務(wù)覆蓋了規(guī)劃、建設(shè)、檢修、運行、營銷以及人力資源、財務(wù)、物資等專業(yè)，這些系統(tǒng)的建設(shè)都有一個共同點，均是以三層或多層體系架構(gòu)設(shè)計的B/S架構(gòu)應用，而對于這些網(wǎng)站的漏洞掃描以及漏洞攻擊，成為了影響陜西省電力公司運維質(zhì)量及業(yè)務(wù)指標的關(guān)鍵因素。在持續(xù)不斷的掃描和攻擊事件中，運維人員長期處于不對等的狀態(tài)。由于多數(shù)掃描和攻擊事件采用自動化的工具執(zhí)行，業(yè)務(wù)系統(tǒng)漏洞時有發(fā)現(xiàn)，而隨著信息安全掃描手段的多樣化，一些新的漏洞被持續(xù)發(fā)現(xiàn)，運維人員對于這些新的漏洞難以做到提前防護，整體安全運維工作處于被動狀態(tài)。

（一）現(xiàn)有安全防護手段難以抵御應用漏洞探測

雖然已經(jīng)部署了防火墻等傳統(tǒng)網(wǎng)絡(luò)安全防護設(shè)備，但由于WEB應用經(jīng)常變更及調(diào)整，策略難以時刻匹配，導致系統(tǒng)內(nèi)可能存在新引入漏洞，而各類漏洞探測工具可能發(fā)現(xiàn)這些漏洞從而利用這些漏洞進行攻擊。

（二）難以識別用戶正常行為以及攻擊行為

由于目前的各類掃描及攻擊工具往往采用模擬用戶正常行為的方式發(fā)起撞庫攻擊以及爬蟲數(shù)據(jù)竊取，傳統(tǒng)防護手段由于無法區(qū)分正常訪問用戶及軟件攻擊行為，從而難以對這類問題進行有效防護，使管理人員的安全視角一直存在盲區(qū)。

二、動態(tài)安全防護平臺的實踐

（一）預期目標

通過建設(shè)動態(tài)安全防護平臺，提升信息化安全管理水平，實現(xiàn)防漏洞探測、防零日漏洞、防應用DDOS、防代碼分析等一系列安全功能，使WEB應用安全防護模式從原有的被動式的安全防護的管理方式轉(zhuǎn)變?yōu)橹鲃拥?、自動化、高效的安全防護模式。

（二）需求調(diào)研

為了應對多樣化的信息安全掃描手段，利用各種未知漏洞進行的掃描攻擊、安全攻擊以及利用機器人技術(shù)通過應用程序大批量的進行掃描和攻擊，動態(tài)防護平臺必須滿足以下實際需求：

1.網(wǎng)站安全保障

通過動態(tài)封裝、動態(tài)驗證、動態(tài)混淆、動態(tài)靈牌等技術(shù)，防止黑客通過漏洞掃描工具掃描網(wǎng)站結(jié)構(gòu)及應用漏洞，同時防止攻擊者利用零日漏洞對系統(tǒng)發(fā)起攻擊，防止攻擊者針對資源消耗較高的業(yè)務(wù)發(fā)起自動化DDOS攻擊，防止通過正常網(wǎng)頁訪問，查看并分析網(wǎng)頁源代碼。

2.防止數(shù)據(jù)泄露

系統(tǒng)應能夠有效阻擋攻擊者利用自動化程序爬取網(wǎng)站及應用信息、頁面信息等內(nèi)容，同時防止利用合法用戶身份通過工具獲取內(nèi)部數(shù)據(jù)，防止攻擊者利用邏輯漏洞，通過工具批量導出用戶資料，防止攻擊者通過腳本或者程序進行批量信息導出。

3.保障賬號安全

防止對登錄入口密碼實時暴力破解，防止攻擊者利用自動化工具批量注冊用戶，防止攻擊者通過自動化工具實施登錄嘗試，盜取合法賬號。

4.防止網(wǎng)絡(luò)漏洞掃描

防止通過各類漏洞掃描工具對WEB系統(tǒng)的漏洞掃描，從根源上防止漏洞掃描，有效解決層出不窮的各類漏洞掃描工具對系統(tǒng)漏洞的攻擊及掃描。

5.防止工具及機器人流量

防止各類掃描工具以及機器人行為對WEB系統(tǒng)產(chǎn)生的攻擊，有效防止各類傳統(tǒng)的攻擊手段以及業(yè)務(wù)層的重復操作手段帶來的機器人流量。

6.防范未知的攻擊

通過技術(shù)手段，做到重要業(yè)務(wù)系統(tǒng)的漏洞隱藏以及安全保護，從根本上防止未知攻擊手段的攻擊，確保業(yè)務(wù)系統(tǒng)處于安全運行狀態(tài)。

（三）系統(tǒng)實現(xiàn)

1.系統(tǒng)架構(gòu)

動態(tài)安全防護平臺在用戶執(zhí)行段的WEB瀏覽器與最終服務(wù)器之間構(gòu)建了動態(tài)應用防護系統(tǒng)，通過對于業(yè)務(wù)系統(tǒng)的動態(tài)防護技術(shù)，利用對威脅的感知、響應分析、威脅預測以及主動變幻的方式有效進行服務(wù)器安全防護，保障業(yè)務(wù)系統(tǒng)不被代碼攻擊。如圖1。

2.功能實現(xiàn)

通過實施、部署動態(tài)安全防護平臺，對陜西省電力公司主要業(yè)務(wù)系統(tǒng)開展安全防護，實現(xiàn)安全的動態(tài)封裝、動態(tài)驗證、動態(tài)混淆及動態(tài)令牌功能，使業(yè)務(wù)系統(tǒng)免于各類掃描攻擊、DDOS攻擊、零日漏洞攻擊，并有效保障賬號及數(shù)據(jù)的安全。動態(tài)安全防護平臺提供的主要功能如下：

（1）動態(tài)封裝

利用動態(tài)封裝功能，動態(tài)封裝網(wǎng)頁內(nèi)的一段JS語句，該語句完成與動態(tài)安全防護平臺及瀏覽測運行驗證等功能，通過該動態(tài)封裝功能，能夠防止各類掃描行為發(fā)現(xiàn)后端應用服務(wù)，從而從根本上使后端系統(tǒng)免于各類掃描攻擊。

（2）動態(tài)驗證

利用動態(tài)驗證功能，使服務(wù)器與客戶端之間進行動態(tài)的雙向驗證，防止惡意的中斷訪問，通過每次隨機選取的檢測項目與數(shù)量，使業(yè)務(wù)應用具備不可預測性，有效客服各類靜態(tài)代碼采集攻擊行為。

（3）動態(tài)混淆

利用動態(tài)混淆功能，對網(wǎng)頁內(nèi)的Cookie、POST、URL信息進行動態(tài)混淆，使各類惡意代碼注入、交易篡改攻擊難以進行。

（4）動態(tài)令牌

利用動態(tài)令牌功能，能夠阻攔各類沒有令牌的非法請求，保障系統(tǒng)免于各類越權(quán)訪問、網(wǎng)頁后門、DDOS攻擊等行為。

（5）攻擊統(tǒng)計

對攻擊來源、目標、使用的工具、手法、詳情、過程等信息進行詳細記錄，使管理人員了解工具的來源和方法。

3.實施部署和效果

動態(tài)安全防護平臺采用反向代理的方式部署，利用F5引流獲取數(shù)據(jù)，進行反向代理，數(shù)據(jù)將先經(jīng)過動態(tài)安全防護平臺再向前臺業(yè)務(wù)系統(tǒng)進行傳送，其部屬圖如圖2所示。

動態(tài)安全防護平臺通過隱藏攻擊入口提升攻擊難度，針對某業(yè)務(wù)系統(tǒng)的防護對比效果如表1所示。

4.技術(shù)優(yōu)勢

安全防護技術(shù)與黑客技術(shù)緊密相關(guān)，對于簡單腳本和工具攻擊，動態(tài)安全防護平臺利用網(wǎng)頁代碼動態(tài)變化技術(shù)實現(xiàn)有效的安全防護；對于錄屏操作以及真人操作攻擊行為，平臺采用態(tài)勢分析、機器學習及行為分析技術(shù)進行有效阻擋，為業(yè)務(wù)系統(tǒng)的安全運行提供了可靠保障。

三、系統(tǒng)實施效果

通過實施動態(tài)安全防護平臺，有效保障了業(yè)務(wù)系統(tǒng)的安全性，防范了各種惡意攻擊；通過動態(tài)安全防護平臺，能夠采用“動態(tài)防御”技術(shù)，使用隱藏漏洞、變換自身、驗證真?zhèn)蔚仁侄?，實現(xiàn)業(yè)務(wù)系統(tǒng)安全的主動防御，有效抵御漏洞探測、零日漏洞攻擊、應用DDOS、代碼分析等攻擊手段，并實現(xiàn)防爬蟲、防內(nèi)鬼、防數(shù)據(jù)便利、防拖庫等數(shù)據(jù)安全功能，并防止暴力破解、批量注冊、防止撞庫等賬號攻擊行為，實現(xiàn)對于業(yè)務(wù)系統(tǒng)安全的全面保障。

四、結(jié)語

陜西省電力公司從實際安全建設(shè)情況出發(fā)，以動態(tài)安全防護為切入點進行面向業(yè)務(wù)的新型安全防護研究，通過創(chuàng)新的動態(tài)安全機制，借助技術(shù)手段實現(xiàn)主動化、智能化的應用安全防護手段，有效抵御網(wǎng)絡(luò)安全掃描，應用攻擊等攻擊行為，以“先發(fā)制人，掌握先機”的防護方式，為建設(shè)新一代的防御體系邁出了堅實的一步。后續(xù)還將結(jié)合機器學習（ML）和人工智能（AI）技術(shù)進一步完善智能化的安全防護體系，通過進行主動安全防御，實現(xiàn)對業(yè)務(wù)系統(tǒng)安全的全面保障。

作者單位：胡鑫 國網(wǎng)陜西省電力公司信息通信公司

王宏波 國網(wǎng)陜西省電力公司培訓中心