基于網絡安全滑動標尺的教育考試網絡安全體系構建探析

劉 惠

（安徽省教育招生考試院網絡信息中心，合肥 230011）

1 引言

信息技術快速滲透社會的各行各業，改變著社會運行模式，教育考試也不例外，考試業務系統從計算機登分到網上報名、網上評卷、網上錄取再向人工智能輔助學習與評測不斷延伸，基礎架構也從傳統架構向云計算演變。

在整個教育考試業態發生革命性變革，對信息系統的依賴度越來越高的同時，網絡安全形勢卻不容樂觀。根據國家互聯網應急中心發布的《2017年我國互聯網網絡安全態勢綜述》顯示，2017年我國約有2萬個網站被篡改，較2016年增長20%，其中被篡改的政府網站較2016年增長32.3%；此外國家信息安全漏洞共享平臺（CNDV）所收錄的安全漏洞數量持續走高，2017年較2016年增長了47.4%；勒索惡意程序攻擊事件數量大幅增長[1]。

隨著《中華人民共和國網絡安全法》的頒布，各級考試機構基本都以“業務安全+等保合規”為目標，不同程度建設了相應的安全防護體系，對信息系統起到了一定的防護作用。但在網絡安全工作評價方面，普遍缺乏有效的評估機制，如何科學、全面的對網絡安全防護體系進行客觀的評價，促進教育考試信息化領域安全防護能力提升，值得深入研究。

2 教育考試信息化安全建設存在的問題

教育考試考生人數多，數據量大，社會影響面廣，受關注程度高，因此各項考試業務系統安全性要求非常高，特別是高厲害性考試業務系統的安全穩定運行事關考試的公平公正和社會穩定。各級教育考試機構歷來都很重視信息系統的安全工作，基本都已經完成了等保定級備案及測評工作，形成了相對全面的安全技術和管理體系。但在實際工作中，各級教育考試機構的安全建設重點大多是合規驅動的硬件盒子采購，除等保測評外，缺少其他更有效的安全能力評估手段。教育考試機構現階段安全工作建設的困局，主要集中在以下幾點：

2.1 重設備部署輕架構安全

目前，各級教育考試機構仍把安全設備部署作為安全防護體系建設的主要抓手，對信息系統自身的架構安全缺乏重視，傳統的網絡安全設備三大件仍是采購主要對象，處于“架構安全”建設階段。

2.2 重硬件采購輕安全運維

各級教育考試機構花費大量的資金購買硬件設備，設備的部署調試需要專業的人才，而各級教育考試機構普遍缺乏專業的網絡安全人員，導致了很多安全設備無法真正的發揮出應有的價值，在發生安全事件時也無法進行快速定位及應急響應。

2.3 重合規缺有效安全能力評估措施

等級保護政策在《網絡安全法》正式頒布執行后已經成為網絡安全工作的規定動作，教育考試機構常認為通過等保測評后，安全工作就可以高枕無憂和萬事大吉了。殊不知網絡安全是一個動態、對抗的過程、如果僅以通過等保測評滿足合規要求來推動安全建設，就會出現“只見樹木不見森林”狹隘安全觀。同時，由于缺少對安全能力或安全建設成熟度的客觀評價，會出現安全能力缺失，未來規劃存在重復建設的風險。

針對上述問題，各級教育考試機構迫切需要引入新思路、新技術和新方案來對現有安全防護體系進行改造，應更好的應對新形勢下的網絡安全威脅。

3 網絡安全滑動標尺模型

美國系統網絡安全協會（SANS）的RobertM.Lee 于2015年提出了網絡安全滑動標尺模型的概念，該模型將組織的信息安全能力分為五個階段，分別是架構安全、被動防御、積極防御、威脅情報和進攻反制，其模型如圖一所示：

圖1 網絡安全滑動標尺模型

該模型建立了一個分類框架，把網絡安全相關的各類工作如行動措施，資源投入都納入這個框架中整體考慮，并對各類工作進行了詳細的描述，從模型可以看出，組織整體信息安全能力的提升是一個非割裂的連續過程，模型中用于屬于各個類別的措施與屬于相鄰類別的措施之間是相互關聯的，不是割裂的，本質上界線也沒有那么清晰。標尺左側的安全能力是右側的安全能力的基礎和依賴，從左至右，安全能力不斷演進，整體防護能力實現疊加，協同聯動成整體的安全能力。

了解互相關聯的這幾個網絡安全階段后，組織和個人可更好地理解資源投資的目標和影響，構建安全能力成熟度模型，按階段劃分網絡攻擊從而進行根本原因分析，助力防御方的發展。

該模型很好的解決了傳統安全模型無法對安全能力根據建設階段進行安全能力成熟度評價問題。每一階段的安全能力都可以在模型上體現出來，隨著安全能力從架構安全到進攻反制過程中的不斷演進，安全能力成熟度也隨之提升。解決“淘汰演進”過程中安全能力建設目標迷失，無法應對新形勢下新的安全風險困擾，從更系統化的“疊加演進”視角考慮網絡安全體系建設。

4 教育考試網絡安全體系構建

當前，我國教育考試領域的網絡安全建設整體水平偏低，等保合規仍是網絡安全建設的重要抓手，多數教育考試機構的網絡安全建設以等保為重點目標展開，技術手段還是以傳統的邊界隔離、特征庫匹配檢測為主，對比網絡安全滑動標尺模型，安全能力多數處于第一階段和第二階段，距離第三階段積極防御還存在著不少的差距。

基于教育考試業務應用系統的特點和教育考試領域的網絡安全建設實際情況出發，結合網絡安全滑動標尺模型，從架構安全、被動防御、積極防御、威脅情報和進攻反制五個階段探析構建教育考試領域網絡安全體系（見圖2）。

圖2 教育考試領域網絡安全體系

4.1 第一階段：架構安全；行動目標：科學規劃、強身健體

架構安全是指用安全的思維規劃、構建和維護系統。架構安全階段的目的并非是防御攻擊者，而是要滿足正常運營環境和緊急運營環境的需求。網絡安全滑動標尺模型把架構安全建設放在標尺的最左邊，通過完成架構安全建設，能夠基本解決基礎層面的安全問題，在此之上再開展其他方面的網絡安全建設。架構安全本身并非防御措施，但合理的架構會促進安全，此階段工作也可以認為是信息系統自身進行強身健體，不依賴外部安全硬件設備來完成。[2]此階段工作主要建設內容包括安全域劃分、系統安全加固、補丁管理和應用內建安全等方面，上述內容在等保合規建設已經基本涉及，但由于教育考試應用系統普遍存在上線周期長，資源需求變化大，部署時間要求嚴格等特點，應用系統本身或多或少存在著安全隱患，因此教育招生考試機構需要重點考慮應用內建安全能力建設，包括應用代碼問題、應用自身安全功能等方面。

應用內建安全能力由于需要應用開發廠商內置，因此應用內建安全很少被重視，常常被選擇性忽略，而應用內建安全恰恰是“源頭之水”。因此，針對架構安全中的應用內建安全問題，在軟件上線前應對內建安全能力進行充分評估并對嚴重及高危問題進行修復。把安全能力內嵌到應用中，而不是建設完成之后外在修補，這樣可以從本質上提高安全保障能力。

4.2 第二階段：被動防御；行動目標：構筑工事、縱深防御

架構安全本身并非防御措施，無論架構有多完善，攻擊者一旦找到機會便會繞過架構，發動攻擊，因此在架構安全的上層，構建被動防御系統非常必要。被動防御即在架構中添加提供持續威脅防護和洞察，而無需持續人工干預的系統[3]，如在架構安全的基礎上，部署防火墻、反惡意軟件系統、入侵檢測系統、防病毒系統等無需持續人工干預的傳統安全系統，以減少威脅，提升安全能力，讓系統具備基本的檢測和防御能力，該階段僅僅靠安全設備提供可持續的威脅防護及威脅漏洞察力。

教育考試機構的等保合規建設即包括架構安全和被動防御建設階段。被動防御階段的主要建設內容是構建縱深防御體系，通過部署防火墻、網閘、入侵檢測、抗Dos 攻擊等傳統安全硬件設備組成，達到基礎對抗、收縮攻擊面、消耗攻擊機資源、遲滯攻擊的目的。上述內容在等保合規建設已經基本涉及，在此，仍需要重點強調如何收縮攻擊面的問題。眾所周知，系統安全有個最基本的最小特權原則，是指為網絡中每個主體分配與所完成工作所必須的最小權限，分配最少的權限，可以有效降低信息系統暴露在網絡中的安全風險，讓攻擊者的攻擊面大大減少。關閉不必要的服務、斷開不必要的網絡線路、禁止停用的用戶、關閉遠程維護端口等都屬于收縮攻擊面的有效手段。

教育考試業務系統主要隨著各項考試的時間節點開展，資源調度頻繁，由于不同考試的考生人數不盡相同，不同的時間節點，不同的考試業務系統所需要的資源需求也不同。在各項考試業務系統頻繁上下線的維護工作中，更應該按照最小特權原則對相關風險進行排查，以有效收縮攻擊面，不給攻擊者以可乘之機，讓教育考試機構更專注的建立起具有針對性的縱深防御系統。

4.3 第三階段：主動防御；行動目標：全面檢測、快速響應

教育考試機構網絡安全體系構建在完成了從“安全架構”、到“被動防御”建設后、將進入到“積極防御”階段。第一階段“安全架構”是網絡的根基，其確保網絡結構的堅固，第二階段“被動防御”則是消耗攻擊資源、提升攻擊成本的有效途徑，而第三階段“積極防御”是對“被動防護”能力的補充，用于對抗更為復雜的高級威脅。

在軍事領域，“主動防御”指采用有限的進攻行動和反擊，將敵人趕出被爭奪的區域或位置。相對應在網絡安全領域，“主動防御”被定義為：安全人員監控、響應網絡內部威脅、從中汲取經驗并將知識應用其中的過程。這句話中的“網絡內部”很重要，對應于“被爭奪的區域或位置”，說明了“反擊”只發生在防御區內，安全人員不會在攻擊者所在的網絡或系統中對攻擊者發動進攻，不是“黑回去”。

積極防御階段將安全運維人員引入，強調人員的參與，對所防御范圍內的威脅進行性持續監控，主動進行分析檢測、應對；包括從外部的攻擊手段和手法進行學習。該階段的核心能力為在人員參與情況下開展檢測和響應工作。前兩個階段，教育機構基本都能夠做到，對于這第三階段“主動防御”，目前普遍存在安全人員缺位的問題，而此階段又是鞏固縱深防線的積極手段，對網絡安全能力成熟度的提升非常重要，針對實際情況，也可以考慮借助專業機構的力量來做。

4.4 第四階段：威脅情報；行動目標：獲取情報、準確預警

威脅情報是繼架構安全、被動防御、積極防御后更為高階的網絡安全方法，在網絡安全領域，情報定義為：收集數據、處理和利用數據獲取信息并進行評估的過程。而威脅情報是一種特定類型的情報，為防護方提供攻擊者、攻擊者在防護方環境中的行為、攻擊能力以及攻擊策略、技術與過程等相關信息，目的是了解攻擊者，以便更準確地識別攻擊者，更有效地響應攻擊活動。第四階段的“威脅情報”，討論的不是使用威脅情報，而是輸出威脅情報的過程，輸出威脅情報是一種情報行為，而使用威脅情報則是主動防御中的一個角色。在威脅情報階段，通過各種工具和系統收集各種安全數據、借助機器學習，進行建模及大數據處理，開展攻擊行為的自學習和自識別，進行攻擊畫像、標簽等活動，最后由安全分析師分析、輸出威脅情報評估結果以供內部決策或行動。威脅情報可以對攻擊者進行溯源、定位、畫像，實現在整個安全事件處置過程中，不僅能夠“知己”而且能夠“知彼”。威脅情報能有效增強現有架構安全、被動防御、積極防御體系的防御能力。此過程除了依賴工具和系統，更是對安全分析師的專業性要求非常高，大多數的組織包括教育考試機構，很難單獨依靠自己的力量實現該階段的工作，借助各專業的威脅情報中心力量不失為較為務實而可行的解決方案，為主動防御階段采取更加合理有效的措施提供有力的威脅情報支持，進一步鞏固網絡安全。

4.5 第五階段：進攻反制；行動目標：進攻反制、先發制人

指利用法律及攻擊自衛反擊等技術對攻擊者進行反制威懾。一般用于國家級或軍事組織機構間的對抗，對于教育考試領域來說此階段投入巨大，難用上，投資回報率極低，因此本文將不對此階段進行探討。

5 結束語

網絡安全滑動標尺模型能夠很好地指引教育考試機構開展安全防護體系建設工作，該模型不僅指明了每一階段的建設目標更給出了具體建設內容，具有很強的實踐性和可操作性。按照網絡安全滑動標尺模型構建組織的安全體系，不僅能較客觀的評價組織安全能力的成熟度，更能實現安全能力成熟度的疊加演進。