網絡安全多層面聯動主動防御體系的研究與應用*

李倩

網絡安全多層面聯動主動防御體系的研究與應用*

李倩

（工業和信息化部電子第五研究所）

針對我國當前網絡安全面臨的嚴峻形勢和現有網絡安全等級保護標準體系測評存在的共性安全問題，提出基于網絡安全等級保護標準的網絡安全多層面聯動主動防御體系。該體系基于主動防御的思想，旨在實現網絡不同層面和不同安全設備在安全防護策略上相互增強，相互補充和聯動防御。該體系應用于醫療行業，取得了較好的安全防護效果。

網絡安全；等級保護；多層面聯動；主動防御體系

0　引言

網絡與信息技術已滲透到經濟生活的方方面面，極大地提高了工作和生活效率。網絡安全對經濟發展和民生有著重要作用[1]，已成為信息時代國家安全的戰略基石。目前我國網絡安全形勢較為嚴峻。

2017年6月1日《中華人民共和國網絡安全法》正式實施，明確指出國家實施網絡安全等級保護制度。信息系統的安全保護等級有五級（第一到第五級），級別越高信息系統的重要程度越高。其中第二級及以上等級的信息系統納入公安機關監管；第三級及以上信息系統涉及損害國家利益。目前測評工作所涉及的信息系統基本上是第二級和第三級。

在網絡安全等級保護測評工作中，發現被測系統存在很多共性安全問題。為解決這些共性安全問題，本文提出一套網絡安全多層面聯動主動防御體系。

1　網絡安全等級保護體系結構

網絡安全等級保護基本要求如圖1所示，主要包含安全技術和安全管理2方面[1]。

安全技術主要包含物理安全、網絡安全、主機安全、應用安全和數據安全及備份恢復。

1）物理安全從設備/設施和技術管理措施2方面保障信息系統所涉及的主機房、輔助機房和辦公環境等物理環境安全。

2）網絡安全主要包含網絡全局安全（結構安全、訪問控制、邊界完整性檢查，入侵防范以及惡意代碼防范）和網絡安全設備安全防護[2]。

3）主機安全主要考察操作系統和數據庫的安全策略配置情況。

4）應用安全對應用系統所涉及應用平臺、中間件進行安全防護。防護內容包括身份鑒別、訪問控制、安全審計、剩余信息保護、通信傳輸的完整性和保密性、抗抵賴、軟件容錯及資源控制等。

5）數據安全及備份恢復主要考察數據的完整性、保密性以及備份恢復情況。

安全管理主要包含：安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等五個層面[3-4]。

2 被測系統存在的共性安全問題

1）技術層面存在明顯的漏洞和缺陷，具體表現：a) 安全設備，網絡設備的配置策略與應用場景不符，如防火墻未配置任何訪問控制策略，僅配置NAT地址轉換策略；b) 設備（網路設備，安全設備，服務器）管理員權限配置不當，未實現特權用戶的權限分離[5]；c) 系統軟件和應用軟件無法通過技術機制保證其軟件版本和安全補丁及時更新，導致系統在通過測評后，又引入新的安全漏洞。

圖1　網絡安全等級保護基本要求結構圖

2）層面間設備聯動效果差，網絡層面的各種安全設備、網絡設備的策略配置不合理，沒有設計和配置網絡安全設備聯動防御的安全策略體系。

3）不同層面間聯動效果差，如一臺服務器感染惡意代碼，由于網絡設備策略未實現動態修改，惡意代碼在網絡中迅速擴散，導致所有設備全部感染惡意代碼[6]。

3　網絡安全多層面聯動防御體系的實現

網絡安全多層面聯動主動防御體系架構如圖2所示，包括物理安全層面、網絡安全層面、主機安全層面、應用安全層面、數據安全及備份恢復層面以及安全管理體系涉及的5個安全層面，共10個安全層面。主動防御思想的核心就是通過主動安全服務讓10個安全層面相互聯系、補充和增強。

網絡安全多層面主動防御體系主要包括基于應用場景指導多層面聯動、主動防御+多層面聯動、網絡層面的多設備聯動、技術體系和管理體系相互支撐、基于網絡攻擊態勢動態調整其他技術層面的安全防御策略[7]。

3.1 基于應用場景指導多層面聯動

根據應用場景和環境定制應用程序，對主機層面（操作系統、數據庫、中間件等）進行針對性的安全策略加固[8-10]，并以此為基礎做好網絡層面的總體安全策略建設及具體到每個安全設備的策略配置和啟用。如針對可以互聯網訪問的Web系統，首先需要在應用防火墻啟用XSS漏洞防御、SQL注入漏洞防御、上傳漏洞防御等常見Web漏洞防御策略，配置與應用場景相宜的入侵防御策略，并在防火墻等具備訪問控制功能的設備設置訪問控制策略，控制用戶對受保護資源的訪問；其次根據Web的安全特性，在應用系統源代碼實現嚴格的身份鑒別技術措施（強制限制密碼復雜度，提供登錄失敗處理功能）、訪問控制措施（嚴格對不同用戶訪問資源進行控制，避免同級用戶以及不同級別用戶之間的越權）、安全審計措施（對用戶登錄和重要操作進行安全審計，并保證審計日志不被修改刪除或覆蓋）、通信完整性和保密性措施（采用加密的通信協議，如https協議）、資源控制措施（提供空閑會話結束功能、源代碼和中間件均限制最大并發會話連接數、限制多點登錄的用戶數量等）；最后結合上述措施對服務器和數據庫進行針對性的安全加固，實現強制密碼限制、賬戶鎖定、雙因子鑒別、強制訪問控制、安全審計、惡意代碼防御、主機入侵防御以及資源控制等。

圖2　網絡安全多層面聯動主動防御體系架構

3.2 主動防御+多層面聯動

采購權威第三方的安全服務（主機漏洞掃描、應用漏洞掃描、滲透測試、源代碼審計、風險評估和安全加固等）。針對安全服務發現的問題，指導應用層面。如在滲透測試和源代碼審計中發現系統存在大量的注入型安全漏洞，可通過在服務器端代碼進行基于白名單的字符過濾，以避免這些安全漏洞；同時根據發現的問題對服務器入侵防御策略以及惡意代碼防御進行強化，并對服務器的惡意代碼進行全面排查。

3.3 網絡層面的多設備聯動

網絡層面設備間的策略可以相互補充，實現策略的多維冗余和多重防護。如：1）防火墻和交換機都可以配置訪問控制策略，實現重點訪問控制策略的冗余，即使防火墻故障或者防火墻被黑客攻破后，核心交換機依然具有訪問控制作用，禁止黑客對受控資源訪問；2）接入地址限制，安全設備自身可以限制，交換機也可以做ACL限制，如果安全設備故障或者被攻破，交換機的ACL依舊可以限制非授權地址訪問；3）入侵防御策略，IPS或IDS可以配置入侵防御策略，很多防火墻也具備基本的入侵防御功能，可以開啟作為補充或備用，由于IPS或IDS一般是旁路部署，即使IPS故障，系統依然具備基本的入侵防御功能。

3.4 技術體系和管理體系相互支撐

技術體系的調整和更新需要遵循管理體系的要求，技術體系中發現的問題經過統計分析指導管理體系的優化。如應用層面引入APP、微信公眾號等新的應用形式，需要對運維管理制度及系統建設管理制度進行修訂，以適應新的應用形式。

3.5 基于網絡攻擊態勢動態調整其他技術層面的安全防御策略

根據網絡層面各個安全設備發現的攻擊事件，通過數據采集分析，得出最新的網絡攻擊態勢，對主機安全層面和應用安全層面進行針對性的策略調整和安全提升。如在網絡層面發現勒索病毒后，應該對服務器的相關端口進行及時關閉，并升級服務器操作系統官方提供的安全補丁。

4　聯動防御體系在醫療行業的應用

2017年6月，該網絡安全多層面聯動防御體系應用于某醫院，體系應用前后的效果對比如表1、表2所示。

表1　應用網絡安全多層面聯動主動防御體系前（2017年6月前）

表2　應用網絡安全多層面聯動主動防御體系后（2018年5月后）

5　總結

本文基于我國當前網絡安全的嚴峻性和重要性，介紹網絡安全等級保護體系，并指出當前網絡安全的共性問題。針對這些問題提出基于網絡安全等級保護標準的網絡安全多層面聯動主動防御體系。該體系應用于某醫院，取得了較好安全防護的效果。后續將以該體系作為框架，對主動防御思想在各個安全層面的應用技術進行深入研究。

[1] 中華人民共和國國家質量監督檢驗檢疫總局,中國國家標準化管理委員會.GB/T 22239-2008 信息安全技術信息系統安全等級保護基本要求[S].北京:中國標準出版社,2008.

[2] 王令朝.創建鐵路信息安全管理及其標準體系的探討[J].鐵道技術監督,2010,38(7):1-5.

[3] 高磊,李晨旸,趙章界.基于等級保護的信息安全管理體系研究[J].信息安全與通信保密,2015(5): 95-98,101.

[4] 王亞東,呂麗萍,湯永利,等.信息安全管理體系與等級保護的關系研究[J].北京電子科技學院學報,2012,20(2):26-31.

[5] 李克潮.醫院信息系統安全等級保護測評方案的設計[J].大眾科技,2016,18(7):23-25.

[6] 戎如如.面向信息安全等級測評的數據庫安全配置核查系統[D].青島:中國海洋大學,2015.

[7] 鄒玉林.面向信息安全等級測評的安全配置核查系統[D].青島:中國海洋大學,2013.

[8] 韋湘,宋好好.信息安全等級保護綜合管理平臺的設計與實現[J].信息安全與技術,2014(11):22-25.

[9] 靳英伯.信息安全等級保護模型評測平臺的設計與實現[D].青島:山東大學,2015.

[10] 中華人民共和國公安部.信息安全技術信息系統安全等級保護基本模型[S].北京:中國標準出版社,2007.

Research and Application of Network Security Multi-Level Linkage Active Defense System

Li Qian

（The Fifth Research Institute of MIIT）

Firstly, this paper makes a brief analysis of the current situation of network security in China, then summarizes the existing standard system of network security grade protection, and puts forward the common security issues found in the current evaluation. Based on the author's experience in frontline security evaluation over the years, this paper proposes a network security multi-level linkage active defense system for solving these common problems, which is derived from the existing network security level protection standards. We designed a set of multi-level network security linkage active defense system based on active defense thinking, aimed at achieving different levels of network security equipment to enhance safety and different from each other on security policy, complementarity and joint defense.. The system was applied to the medical industry, and achieved preferable security effects.

Network Security; Hierarchical Protection; Multi-level Linkage; Active Defense System

國家重點研發計劃項目（2018YFF0214703）

李倩，女，1983年生，碩士，工程師，高級安全測評師，主要研究方向：信息安全，自動駕駛。E-mail: 1795618991@qq.com