網(wǎng)絡(luò)信息安全防護(hù)體系研究

史玉鋒，李 明，趙 燕，宋 杰

（國(guó)網(wǎng)山東省電力公司乳山市供電公司，乳山 264500）

1 研究背景

國(guó)家電網(wǎng)公司作為全球最大的公用事業(yè)企業(yè)單位，企業(yè)系統(tǒng)中維護(hù)了海量的重要數(shù)據(jù)和信息，必然會(huì)成為攻擊者的優(yōu)先攻擊目標(biāo)，這間接地督促著國(guó)家電網(wǎng)公司網(wǎng)絡(luò)和信息安全體系建設(shè)，提升公司信息安全體系成為一項(xiàng)不容忽視的要求。2015 年底和2016 年底，烏克蘭電網(wǎng)都因遭受到黑客攻擊而造成大面積停電，網(wǎng)絡(luò)安全威脅已經(jīng)不是僅僅存在于互聯(lián)網(wǎng)中，工業(yè)控制系統(tǒng)也已經(jīng)成為黑客的目標(biāo)。2017 年5 月12 日，勒索病毒感染在全球范圍內(nèi)爆發(fā)，波及醫(yī)院、教育、能源、通信、制造業(yè)以及政府部門在內(nèi)的多個(gè)領(lǐng)域，我國(guó)部分行業(yè)和政府部門的計(jì)算機(jī)也遭受影響。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》在 2017 年6 月1 日正式施行。其作為我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理的基礎(chǔ)性法律，它的施行，標(biāo)志著我國(guó)網(wǎng)絡(luò)安全從此有法可依，網(wǎng)絡(luò)空間治理、網(wǎng)絡(luò)信息傳播秩序規(guī)范、網(wǎng)絡(luò)犯罪懲治等即將翻開(kāi)嶄新的一頁(yè)，對(duì)保障我國(guó)網(wǎng)絡(luò)安全、維護(hù)國(guó)家總體安全具有深遠(yuǎn)而重大的意義。

2 網(wǎng)絡(luò)信息安全解決方案

近年來(lái)信息系統(tǒng)所面臨的安全形勢(shì)越來(lái)越嚴(yán)峻，病毒、木馬等惡意程序都會(huì)對(duì)信息系統(tǒng)安全造成威脅。一旦網(wǎng)站被惡意篡改和關(guān)鍵業(yè)務(wù)系統(tǒng)癱瘓，有可能造成極為嚴(yán)重的政治影響，因此企業(yè)有必要重視信息安全建設(shè)，采取有效措施保障信息系統(tǒng)的安全運(yùn)行。

習(xí)近平總書(shū)記在網(wǎng)絡(luò)安全與信息化工作座談會(huì)上提出：保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。在當(dāng)前信息安全已經(jīng)上升到國(guó)家安全層面的形勢(shì)下，來(lái)自國(guó)外具有國(guó)家背景的攻擊者已經(jīng)針對(duì)多家央企，通過(guò)免殺、魚(yú)叉、水坑攻擊等新技術(shù)手段進(jìn)行高級(jí)可持續(xù)性攻擊。大量未知威脅攻擊手段可以繞過(guò)以特征檢測(cè)為核心檢測(cè)手段的傳統(tǒng)安全防護(hù)設(shè)備，企業(yè)難以有效發(fā)現(xiàn)未知威脅，也就無(wú)法抵御未知威脅。高級(jí)持續(xù)性威脅（APT）是一種可以繞過(guò)各種傳統(tǒng)安全檢測(cè)防護(hù)措施，通過(guò)精心偽裝、定點(diǎn)攻擊、長(zhǎng)期潛伏、持續(xù)滲透等方式，伺機(jī)竊取網(wǎng)絡(luò)信息系統(tǒng)核心資料和各類情報(bào)的攻擊方式。事實(shí)證明，傳統(tǒng)安全設(shè)備已經(jīng)無(wú)法抵御復(fù)雜、隱蔽的APT 攻擊。國(guó)內(nèi)外安全公司提供安全解決方案。

2.1 IBM——構(gòu)建安全生態(tài)系統(tǒng)

IBM 的網(wǎng)絡(luò)信息安全解決方案旨在建立一個(gè)整合且智能的免疫系統(tǒng)。這個(gè)安全生態(tài)系統(tǒng)包含終端、網(wǎng)絡(luò)、威脅情報(bào)、高級(jí)欺詐、身份與訪問(wèn)、云、數(shù)據(jù)和應(yīng)用、移動(dòng)以及安全分析九個(gè)部分，以安全分析為核心，協(xié)同配合。

終端安全：能夠監(jiān)控和保護(hù)每個(gè)終端的實(shí)時(shí)狀態(tài)，一旦識(shí)別出威脅立即開(kāi)啟阻止惡意軟件的高級(jí)保護(hù)功能，提升安全態(tài)勢(shì)感知能力。

威脅情報(bào)：研究團(tuán)隊(duì)的安全專家可監(jiān)視并分析各種來(lái)源的安全問(wèn)題，提供威脅情報(bào)內(nèi)容，幫助客戶、研究人員和公眾更深入地了解最新的安全風(fēng)險(xiǎn)，提前預(yù)知新興威脅。

身份與訪問(wèn)管理：通過(guò)基于上下文的訪問(wèn)控制、安全策略實(shí)施和業(yè)務(wù)驅(qū)動(dòng)的身份管理，保護(hù)有價(jià)值的數(shù)據(jù)和應(yīng)用程序，更快速、高效地處理復(fù)雜的用戶訪問(wèn)管理、內(nèi)部威脅以及合規(guī)性需求。

安全分析：分析日志、流程、漏洞、用戶和資產(chǎn)數(shù)據(jù)；通過(guò)近乎實(shí)時(shí)的關(guān)聯(lián)和行為異常檢測(cè)，發(fā)現(xiàn)高風(fēng)險(xiǎn)威脅；檢測(cè)漏洞，管理風(fēng)險(xiǎn)和高優(yōu)先級(jí)時(shí)間；執(zhí)行深入地時(shí)間取證分析。

2.2 奇虎 360——對(duì)抗演習(xí)及安全防護(hù)

360 對(duì)抗式演習(xí)解決方案以檢驗(yàn)并提升防御體系有效性為核心目的，通過(guò)紅藍(lán)紫三軍的真實(shí)對(duì)抗演習(xí)，從安全技術(shù)、安全管理和安全運(yùn)營(yíng)等多個(gè)維度著手，幫助企業(yè)不斷完善安全體系建設(shè)，提升對(duì)抗新興威脅的能力。其中：紅軍為企業(yè)內(nèi)部安全人員，負(fù)責(zé)內(nèi)部防護(hù)。藍(lán)軍為企業(yè)外部安全人員，負(fù)責(zé)外部攻擊。

紫軍為企業(yè)外部教練（360人員），負(fù)責(zé)演習(xí)導(dǎo)調(diào)、監(jiān)控進(jìn)程、全程指導(dǎo)、應(yīng)急處置、活動(dòng)總結(jié)等技術(shù)咨詢工作。

通過(guò)對(duì)抗演習(xí)達(dá)到以下四個(gè)目標(biāo)：增強(qiáng)客戶安全人員威脅發(fā)現(xiàn)響應(yīng)能力；發(fā)現(xiàn)客戶環(huán)境漏洞和不合理攻擊面，給出建議。

360 安全中心得網(wǎng)絡(luò)信息安全防護(hù)體系建設(shè)分為了監(jiān)控、堡壘主機(jī)、異地容災(zāi)、日志分析、補(bǔ)洞五個(gè)方面。

監(jiān)控：采用設(shè)備對(duì)網(wǎng)絡(luò)出口流量進(jìn)行全流量分析和實(shí)時(shí)監(jiān)控，提供沙箱檢測(cè)和大數(shù)據(jù)分析功能。

堡壘主機(jī)：通過(guò)網(wǎng)絡(luò)訪問(wèn)控制統(tǒng)一管理平臺(tái)對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行有效管理，控制訪問(wèn)權(quán)限最小化。

日志分析：將服務(wù)器 Shell 日志上傳到日志存儲(chǔ)與分析服務(wù)器，對(duì)服務(wù)器日志文件進(jìn)行遠(yuǎn)程存儲(chǔ)，并且通過(guò)大數(shù)據(jù)平臺(tái)對(duì)日志進(jìn)行分析。

補(bǔ)洞：通過(guò)代碼檢查服務(wù)器和漏洞掃描服務(wù)器對(duì)即將上線和已經(jīng)上線的系統(tǒng)進(jìn)行漏洞掃描，完善對(duì)平臺(tái)層和應(yīng)用層漏洞的集中管控。

通過(guò)對(duì) IBM 和奇虎360 網(wǎng)絡(luò)信息安全解決方案的學(xué)習(xí)，可以看到整個(gè)網(wǎng)絡(luò)信息安全防護(hù)體系主要包含安全團(tuán)隊(duì)和安全設(shè)備兩大方面。安全團(tuán)隊(duì)是整個(gè)安全防護(hù)體系的核心中樞，安全設(shè)備作為作為輔助工具對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)控與分析。

3 國(guó)網(wǎng)公司安全體系建設(shè)

國(guó)家電網(wǎng)公司作為能源行業(yè)的大型國(guó)企，領(lǐng)導(dǎo)層對(duì)公司的信息安全問(wèn)題高度重視，采取了諸多措施構(gòu)建企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系。

（1）信息內(nèi)網(wǎng)和信息外網(wǎng)采用邏輯強(qiáng)隔離，同互聯(lián)網(wǎng)采取物理隔離的方式，制度上嚴(yán)格控制內(nèi)外網(wǎng)與互聯(lián)網(wǎng)之間的數(shù)據(jù)交換。

（2）終端管理。接入內(nèi)外網(wǎng)的設(shè)備強(qiáng)制要求安裝北信源安全客戶端，不定時(shí)對(duì)終端進(jìn)行保密性檢查。

（3）網(wǎng)絡(luò)出口流量監(jiān)控。對(duì)互聯(lián)網(wǎng)出口流量進(jìn)行嚴(yán)格管控，應(yīng)用層監(jiān)測(cè)網(wǎng)絡(luò)流量，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為進(jìn)行處置。

（4）審計(jì)與日志管理。通過(guò)堡壘機(jī)、圖形審計(jì)等審計(jì)類設(shè)備對(duì)運(yùn)維操作進(jìn)行日志記錄和保存，有助于威脅溯源。

（5）S6000 平臺(tái)對(duì)安全設(shè)備的日志進(jìn)行統(tǒng)一分析管理，利用大數(shù)據(jù)數(shù)據(jù)挖掘技術(shù)，分析系統(tǒng)漏洞及潛在的安全威脅。

（6）紅藍(lán)對(duì)抗。紅藍(lán)對(duì)抗演習(xí)是一種采用攻防的思想來(lái)解決企業(yè)威脅隱患的模式。通過(guò)接近實(shí)景的攻防演練，可以磨練安全運(yùn)維人員挖掘漏洞和應(yīng)對(duì)安全威脅的能力。通過(guò)對(duì)抗演習(xí)選拔安全專業(yè)人才。

4 結(jié)束語(yǔ)

國(guó)家電網(wǎng)公司高度重視重視網(wǎng)絡(luò)信息安全建設(shè)，正在逐步完善信息安全防護(hù)體系，網(wǎng)絡(luò)中部署了大量的安全產(chǎn)品和設(shè)備，為信息系統(tǒng)的安全運(yùn)行提供了有力的保障。

但也存在著一些問(wèn)題：設(shè)備和產(chǎn)品來(lái)自多個(gè)廠商，無(wú)法進(jìn)行有效的協(xié)同防護(hù)，無(wú)法從總體上進(jìn)行安全態(tài)勢(shì)可視化展現(xiàn)，安全運(yùn)維人員無(wú)法整體了解和掌握集團(tuán)安全態(tài)勢(shì)；公司安全團(tuán)隊(duì)建設(shè)；網(wǎng)絡(luò)安全分析室建設(shè)，實(shí)現(xiàn)對(duì)全網(wǎng)漏洞進(jìn)行統(tǒng)一管理。