基于網絡安全滑動標尺的安全防護體系建設探討

李化玉

【摘 要】2015年，美國系統網絡安全協會（SANS）提出了網絡安全滑動標尺模型，將網絡安全體系建設過程分為架構建設、被動防御、積極防御、威脅情報和進攻反制五個階段，按照每個階段的建設水平來對安全防護能力進行評估，并指導未來安全防護能力的建設。本文將通過對網絡安全滑動標尺模型的深入剖析，來探討如何借助該模型更好的開展安全防護體系建設工作。

【關鍵詞】網絡安全;安全滑動標尺

中圖分類號： TP309-65文獻標識碼： A文章編號： 2095-2457（2019）10-0228-002

DOI：10.19694/j.cnki.issn2095-2457.2019.10.100

Discussion on the Construction of Safety Protection System Based on Network Safety Sliding Scale

LI Hua-yu

（Office Information Center of Northern Anhui Coal and Electricity Group，Suzhou Anhui 234000，China）

【Abstract】In 2015，the American Association for Systems and Network Security（SANS）proposed a sliding scale model for network security，which divides the construction process of network security system into five stages：architecture construction，passive defense，active defense，Threat Intelligence and offensive countermeasure.It evaluates the security protection capability according to the construction level of each stage，and guides the construction of future security protection capability.This paper will discuss how to use this model to better carry out the construction of security protection system through in-depth analysis of the sliding scale model of network security.

【Key words】Network security;Sliding ruler

0 前言

隨著信息技術邁入“云大物移智”時代，網絡安全形勢也發生了深刻的變化，但在實際工作中，安全建設的重點仍舊是合規驅動的硬件盒子采購，除等保測評外，缺少其他更有效的安全能力評估手段。傳統的以邊界隔離、特征庫匹配檢測為主要技術手段的安全防護體系建設，在新型安全威脅下，顯得不堪一擊。

現階段網絡安全工作建設的困局，主要集中在以下幾點：

重設備采購輕架構安全

目前，仍把安全設備采購作為安全防護體系建設的主要方案，對信息系統自身的架構安全缺乏重視，傳統的網絡安全設備三大件仍是采購主要對象。

重硬件產品輕安全運營

網絡安全工作對人員專業化能力要求很高，目前很多國內企事業單位沒有此方面的人才積累，導致了很多安全設備無法真正的發揮出應有的價值，在發生安全事件時也無法進行快速定位及應急響應。

重合規缺有效安全能力評估措施

等級保護政策在《網絡安全法》正式頒布執行后已經成為網絡安全工作的規定動作，但有個誤區：認為通過等保測評后，安全工作就可以高枕無憂和萬事大吉了。殊不知安全是一個動態、對抗的過程、如果僅以通過等保測評滿足合規要求來推動安全建設，就會出現“只見樹木不見森林”狹隘安全觀。同時，由于缺少對安全能力或安全建設成熟度的客觀評價，也會出現安全能力缺失，未來規劃存在重復建設的風險。

針對上述問題，迫切需要引入新思路、新技術和新方案來對現有安全防護體系進行改造，應更好的應對新形勢下的網絡安全威脅。

1 網絡安全滑動標尺模型

網絡安全滑動標尺模型與傳統的PDR、P2DR和IATF等安全模型相比，建立了一個分類框架。整體安全體系的建設是一個非割裂的連續過程，模型中用于屬于各個類別的措施與屬于相鄰類別的措施之間是相互關聯的，不是割裂的，本質上界線也沒有那么清晰。左側的安全能力是右側的安全能力的基礎和依賴，協同聯動成整體的安全能力。

第一階段：架構安全。模型把架構安全建設放在標尺的最左邊，通過完成架構安全建設，解決基礎層面的安全問題，包括安全域劃分、補丁管理、系統加固等工作，此階段工作不依賴外部安全硬件設備來完成。

第二階段：被動防御。在做好架構安全建設后，進入被動防御階段。在架構安全的基礎上，部署防火墻、入侵檢測等硬件安全設備，來提升安全能力，讓系統具備基本的檢測和防御能力，該階段無人員介入，僅能靠安全設備提供可持續的威脅防護及威脅漏洞察力，核心為建設縱深防御體系。等保合規即包括架構安全和被動防御建設階段。

第三階段：積極防御。積極防御階段將安全運維人員引入，強調人員的參與，對所防御范圍內的威脅進行性持續監控，可以主動進行分析檢測、應對，包括從外部的攻擊手段和手法進行學習，該階段的核心能力為在人員參與情況下開展檢測和響應工作。

第四階段：威脅情報。采用威脅情報為安全設備和人員進行賦能，通過收集各種安全數據、借助機器學習，進行建模及大數據分析，開展攻擊行為的自學習和自識別，進行攻擊畫像、標簽等活動，將收集到的各種數據加工成為有價值的信息。該階段能夠做到對攻擊行為“知己知彼”。

第五階段：進攻反制。指利用法律及攻擊自衛反擊等技術對攻擊者進行反制威懾。

最后，該模型還很好的解決傳統安全模型無法對安全能力根據建設階段進行安全能力成熟度評價問題。每一階段的安全能力都可以在模型上體現出來，隨著安全能力從架構安全到進攻反制過程中的不斷演進，安全能力成熟度也隨之提升。

2 安全實踐

現階段，網絡安全建設以等保為重點目標展開，參考模型處于第一階段和第二階段，距離第三階段積極防御還存在著不少的差距。接下來將從網絡安全滑動標尺的視角結合國內部分企事業單位網絡安全建設的現狀來探討如何做好安全防護體系建設。

階段一：架構安全;行動目標：科學規劃、強身健體

本階段主要建設內容包括安全域劃分、系統安全加固、補丁管理和應用內建安全等方面，上述內容在等保合規建設已經基本涉及，但仍需要重點考慮應用內建安全能力建設，包括應用代碼問題、應用自身安全功能等方面。

階段二：被動防御;行動目標：構筑工事、縱深防御

本階段被動防御主要建設內容就是建設縱深防御體系，通過部署防火墻、網閘、入侵檢測、抗D等傳統安全硬件設備組成，達到基礎對抗、收縮攻擊面、消耗攻擊機資源、遲滯攻擊的目的。上述內容在等保合規建設已經基本涉及，需要重點考慮的是如何收縮攻擊面的問題。

階段三：積極防御;行動目標：全面檢測、快速響應

目前，大部分企事業單位網絡安全體系的構建在完成了從“安全架構”、到“被動防御”建設后、將進入到“積極防御”階段。第一階段“安全架構”是網絡的根基，其確保網絡結構的堅固，第二階段“被動防御”則是消耗攻擊資源、提升攻擊成本的有效途徑，而第三階段“積極防御”是對“被動防護”能力的補充，用于對抗更為復雜的高級威脅。

概括來講，第三階段“積極防御”應在保持網絡結構堅固的基礎上，不斷鞏固防線縱深，并持續提升監控、分析和響應能力。

階段四：威脅情報;行動目標：獲取情報、準確預警

威脅情報是繼架構安全、被動防御、積極防御后更為高階的網絡安全方法。威脅情報能有效增強現有結構安全、被動防御、積極防御體系的防御能力。國內主流安全廠商的威脅情報中心解決方案可提供安全威脅事前預測、熱點事件實時預警、公網資產安全核查、情報驅動設備防御、攻擊事件溯源分析等技術支持。

威脅情報可以對攻擊者進行溯源、定位、畫像，實現在整個安全事件處置過程中，不能能夠“知己”而且能夠“知彼”

階段五：進攻反制;行動目標：進攻反制、先發制人

網絡安全滑動標尺模型能夠較客觀的評價安全能力的成熟度，每階段進入下一階段，都將在安全能力方面有著較大的提升，向右通過不斷演進最終達到一個比較理想的安全能力成熟度。按照網絡安全滑動標尺模型構建安全體系，能夠實現從“安全架構”、到“被動防御”、再到“積極防御”等階段的疊加演進。“疊加演進”，其絕不僅僅是指前一階段向后一階段的進化，事實上每一階段的能力體現均強依賴于前一階段的建設，而這一點卻往往被忽略。由此可見，防護盡管已不再可靠，但從攻防對抗的角度來講，其依然具有重要的作用和戰略意義，在失陷幾乎成為必然的今天，防護應起到的作用是消耗攻擊資源、遲滯攻擊的成功，為其他安全措施“爭取時間”。

最后，總結一下如何借助該模型進行安全體系建設。

第一，重新審視現有網絡的基礎架構，通過對內部網絡進行更加精細的分段和隔離，構建內網的塔防體系。同時，通過提升對安全策略執行效果的感知能力，及時發現訪問控制的疏漏，避免安全設備成為“擺設”，維持網絡的結構堅固;

第二，構建統一管理平臺，加強安全設備維護管理，依靠自動化、半自動化的手段提升應急處置的效率與準確性，用戶選擇某一品類安全產品時應優先考慮同一品牌，以降低運維管理、應急響應的操作難度。

第三，設置專業安全技術崗位，通過招聘或購買服務方式開展專業安全運營服務。日常安全運維中，重視持續監控，通過數據分析構建用戶對于風險、威脅的發現和感知能力，向“積極防御”持續邁進。

3 未來展望

網絡安全滑動標尺模型能夠很好地指引國內企事業單位開展安全防護體系建設工作，不僅指明了每一階段的建設目標更給出了具體建設內容，而且具有很強的實踐性和可操作性。

【參考文獻】

[1]呂毅：從攻擊視角構建彈性信息安全防御體系.