公安信息網安全防護體系建設

◆余 毅 劉 亮 袁 俊

（武漢市公安局科技信息化處 湖北 430000）

公安信息網與互聯網不同，其處于一個較為封閉的網絡環境中，但也存在著病毒入侵無法及時感知、系統補丁無法及時更新、各區域之間缺乏安全防護等典型問題。由于網絡信息安全是一個系統工程，網絡上的攻擊行為和方法也急劇增長，造成的安全損失也越來越大。從目前公安信息網的網絡結構來看，其發展目前還存在很多問題，主要可以總結為以下幾點：

第一，網段邊界問題。對于當前公安信息網對網絡而言，各個網段之間的邊界非常模糊，由此導致控制力度不足，一大網絡感染病毒、出現黑客攻擊等，這些事件就很容易在網絡中傳播。由網段邊界模糊所導致的安全問題，可以分為以下幾種：（1）信息外泄。互聯網的特點是資源共享，但是并不是所有的資源和信息都是共享的，如果其他用戶沒有得到授權，就獲得了信息資源，那么這個信息資源就被外泄了。（2）入侵渠道。在互聯網的汪洋大海中，存在著各種各樣的組織和團伙，入侵就是有團伙或個人，利用互聯網的連通性，進入某一網絡，對該網絡上的內容進行了篡改，對該網絡進行了破壞，造成網絡癱瘓。（3）網絡病毒。在現有的互聯網當中，并非所有的網絡都是安全的，在這些網絡進行互聯和通訊的過程中，可能會導致病毒的傳染，一旦病毒傳播加大，網絡中相關的功能就會受到影響，但是人們很難把握病毒的傳播規律，因為其具有隨機性和不確定性。與非安全網絡的業務互聯，難免在通訊中帶來病毒，一旦在目標網絡中發作，業務將受到巨大沖擊，病毒的傳播與發作一般有不確定的隨機特性。（4）木馬入侵。木馬病毒有兩個危害，一個是信息盜取，一個是資源盜取，例如“僵尸網絡”。

第二，多數業務網段間僅采用VLAN隔離，存在較大風險。由于人為因素并不能完全通過技術的手段解決，因此通過技術與管理雙管齊下才能真正解決問題。人為因素例如缺乏意識、操作不合規、主觀疏忽、管理漏洞、規避復雜行政審批環節。下面幾點均是工作部署中在內網中發現的典型現象，如弱密碼登錄問題、管理機制漏洞問題、安全意識不足、內網流程煩瑣等等。

第三，系統存在大量主機漏洞，業務系統存在資產竊取或被破壞風險。對于公安信息網而言，其終端系統不同于一般網絡的終端系統，隨意性較強，組成復雜，而在網絡安全問題當中，很多安全問題都是由終端系統的漏洞引起的，并且這類問題難以預防。在很多木馬病毒的攻擊當中，針對終端系統的安全漏洞進行攻擊。要防止這類安全事件，就要定期對系統的各種安全漏洞進行修補，及時更新各種補丁。隨著網絡安全的發展，越來越多的公安網絡管理者是重視補丁升級，但是由于漏洞補丁程序繁雜，所以終端系統以及服務器的運行速度受到了制約。

因此，本文從病毒入侵檢測、病毒攻擊防御、網絡風險管理、系統補丁加固幾個角度對公安信息網面臨的威脅進行全面分析，構建基于“云、管、端”協同一體化的公安信息網安全防護體系，基于云端實現自動化病毒入侵協同感知，基于管道側完成定向安全推送及安全服務傳遞，基于終端實現實時動態病毒防御及補丁更新加固，從而構建一體化的安全防護體系與框架，完成病毒入侵檢測、系統動態防御、安全補丁及時更新等典型化安全目標。

1 研究現狀

“云、管、端”通信模式具有按需化服務、遠程接入、資源虛擬化、多用戶終端等特征[1]，雖然這種通信模式有利于用戶提高計算效率，但是這種模式也帶來了安全隱患。

目前，各種設備終端越來越呈現智能化和集成化，并且與互聯網或者云平臺廣泛連接，以及與信息管理系統相集成，產生了大量的信息交互需求，從而給信息安全帶來了潛在威脅。其中，比較典型是工業控制系統面臨的信息安全問題[2，3]。一個大型的工業控制系統中往往可能遭受以上幾種方式的組合攻擊，比較典型的是高級持續攻擊（Advanced Persistent Threat， APT）[4，5]。

針對信息傳輸網絡，其中一種攻擊方式就是，通過發送大量的正常的服務請求，實現對服務器資源的浪費，從而影響用戶的正常服務請求，通過擾亂傳輸網絡系統中的流量信息來使系統崩潰。典型的攻擊方式稱之為分布式拒絕服務攻擊（Distributed Denial of Service，簡稱 DDoS）[5，6，7]。

云計算是當前信息技術領域關注的焦點，通過虛擬化技術，形成巨大的共享資源池。然而，隨著云計算技術的不斷普及和推廣，云計算安全問題是云計算業務當中一個必須要考慮的問題，。具體來講，對于云計算而言，主要面臨以下安全隱患：賬戶控制、多租戶問題、數據控制問題、惡意攻擊以及管理控制臺安全等。總結起來主要有：（1）由于云計算特殊的服務模式，引發網絡安全問題；（2）由于云計算采用動態虛擬化管理方法，也帶來了不可避免的安全隱患；（3）云計算采用多層服務模式，這也可能會引發的安全問題。

2 基于“云、管、端”的下一代公安信息網安全防護體系

基于以上的分析，本文設計了一個框架，用于下一代公安信息網絡安全保護體系的設計，，由該框架所指導的網絡安全服務設計，能夠在新一代云端虛擬化環境當中，處理好安全易的邊界動態變化，適應被保護對象資源的動態伸縮，能夠為公安信息網的防病毒需求提供按需準確的安全服務。系統設計架構圖如圖1所示。

如圖所示，面向“云、管、端”的公安信息網防病毒分析是主要通過收集和分析信息終端、信息傳輸網絡和云計算平臺中產生的海量與安全相關的數據，采取實時的安全關聯分析，以檢測系統的漏洞和防御入侵，達到病毒入侵檢測、病毒攻擊防御、網絡風險管理、系統補丁加固的目標。本系統架構依托大數據的關聯分析能力，從“云、管、端”整體架構的思想出發，將“云”、“管”、“端”三部分進行解耦合，采用 SDN技術提出一種面向大數據的“端-管-云”的公安信息網安全防護體系，通過將各部分的實現細節進行抽象后，構建出統一的系統架構。

安全服務門戶有兩大功能，其一是實現服務可視化，其二是向公安信息網的注冊用戶提供人機接口，用于安全服務的人機交互。上述人機接口為用戶選擇和定制服務提供了便利，例如，對內部網絡用戶而言，他可以，從其網絡中劃分一個VLAN，并為該VLAN設置一個防火墻和一個Web應用網關，在這個過程當中，服務對象是VLAN，具體的服務是防火墻和WAF服務，對于用戶所選擇的服務，還可以對所需處理流量的大小進行設置。集成化管理中心負責封裝和管理服務中心。安全服務的配置需要對目標流量進行導流和分流的處理，進而傳遞到安全服務平臺的資源池展開安全服務。終端流量的導引和處理主要通過SDN核心控制器的流表配置進行控制，流表規則的修改可靈活掌控流量數據的傳輸規則。

圖1 下一代公安信息網安全體系結構框架圖

通過安全服務資源庫，可以為用戶提供安全服務，防護病毒安全服務的中心內容，也來源于此。本系統構建安全資源池服務通道，用于補充支持基于Openflow控制流模式的SDN交換機。安全服務系統主要包括以下幾大組件：服務對象、承載通道、服務實施端，其中服務對象安全易的定義以軟件為基礎，使用虛擬探針技術按照安全域的粒度把流量進行安全域層次的劃分，進而導入不同的承載通道中；通道技術通過流的方式來實現，實現的場所是SDN交換機，通過安全策略的轉換，可以得到Openflow，而過Openflow來控制相應的規則，就可以將符合一定規則的網絡流引導到正確的網絡接口上，物理的安全防御設備用于支撐接口，如NGFW、VDS、IDS等；服務端的安全設備主要來源于以下兩類常態化網絡安全設備和產品：一類是從旁路渠道接入，另一類是從創新渠道接入。如果一個安全設備不支持自身虛擬化，其資源池由一組輕量級的設備組成（如10兆或百兆級別），對接入端口的負載的控制，則通過基于Openflow協議來實現，從而達成按需的安全服務的伸縮能力。

全網絡流存儲可以有效地實現事后的取證和分析，特別在對于云計算這樣一個相對較為陌生，安全問題處于不斷被暴露和被挖掘過程中的環境中，而對于如 APT等有特定目的性的、多階段的高級攻擊手段的檢測也具有較通常實時監控的安全方法具有更好的檢測能力。對存儲的網絡流的檢測相對于實時的檢測將會是大數據級別的，這里需要在存儲策略、存儲方式、檢測分析方法等方面進行相應的研究和探索，以實現充分利用下一代安全防御體系的強大分析能力，快速有效的從海量數據中獲取真正有用的信息。下一代安全防御體系不斷采集來自信息終端控制系統、信息傳輸網絡和云計算平臺的安全事件進行存儲，并對所采集的數據進行集成、映射、關聯和約簡等一系列的關聯數據分析處理，最終通過高級智能化的安全分析實現對信息安全事件的檢測和深度挖掘。

3 結束語

公安信息網安全防護體系是未來用于保障公安信息網系統安全的根本所在。因此，在信息技術高速發展的今天，發展我國面向公安信息網的自主可控防病毒安全防護體系已經到了刻不容緩的地步。本文從終端節點、管道側和云服務端三個層面詳細分析了面向公安信息網的安全防護體系構建方法，提出一種基于終端節點病毒行為特征分析，并結合管道側數據流傳遞，進而在云端展開病毒檢測與防御的公安信息網安全防護體系，提高公安信息網信息服務的安全性，讓公安信息系統具有一定的自主性，并且可控，進而促進公安業務信息化的發展。