校園網(wǎng)安全態(tài)勢(shì)感知研究與應(yīng)用

商永巧 史冬蕾 仝虎 潘巍巍

摘 要 2017年6月1日起，中華人民共和國(guó)網(wǎng)絡(luò)安全法正式實(shí)施，自此網(wǎng)絡(luò)安全有法可依。隨著互聯(lián)網(wǎng)尤其是移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全形勢(shì)越來(lái)越嚴(yán)峻。根據(jù)網(wǎng)絡(luò)安全法與等級(jí)保護(hù)2.0，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案和網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警系統(tǒng)。南京旅游職業(yè)學(xué)院作為國(guó)內(nèi)重點(diǎn)旅游職業(yè)院校，應(yīng)當(dāng)看清網(wǎng)絡(luò)安全形勢(shì)，加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警系統(tǒng)建設(shè)，提高南旅院的網(wǎng)絡(luò)安全預(yù)防能力，本文將基于南旅院網(wǎng)絡(luò)安全運(yùn)營(yíng)現(xiàn)狀，進(jìn)行態(tài)勢(shì)感知平臺(tái)在南旅院網(wǎng)絡(luò)安全防護(hù)體中的應(yīng)用研究與實(shí)施。

關(guān)鍵詞 網(wǎng)絡(luò)安全 態(tài)勢(shì)感知 監(jiān)測(cè)預(yù)警 WAF防御

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-0745（2020）03-0060-03

1 背景

一方面，網(wǎng)絡(luò)安全法第二十五條規(guī)定明確了網(wǎng)絡(luò)安全運(yùn)營(yíng)者承擔(dān)有制定應(yīng)急預(yù)案、及時(shí)處置風(fēng)險(xiǎn)的義務(wù)。2018年4月20日，習(xí)近平總書(shū)記在網(wǎng)絡(luò)安全和信息化工作會(huì)議上明確提出“要落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)責(zé)任，加強(qiáng)網(wǎng)絡(luò)安全信息統(tǒng)籌機(jī)制、手段、平臺(tái)建設(shè)，加強(qiáng)網(wǎng)絡(luò)安全事件應(yīng)急指揮能力建設(shè)，做到關(guān)口前移，防患于未然”。2019年5月《等級(jí)保護(hù)2.0標(biāo)準(zhǔn)》正式發(fā)布，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知建設(shè)及安全運(yùn)維管理提出了明確要求。

另一方面，隨著南旅院信息化建設(shè)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)安全設(shè)備、服務(wù)器、虛擬機(jī)以及PC終端，將會(huì)持續(xù)產(chǎn)生安全日志，對(duì)日常安全運(yùn)營(yíng)產(chǎn)生嚴(yán)峻挑戰(zhàn)。如果缺乏統(tǒng)一，全網(wǎng)的安全隱患和安全事件運(yùn)營(yíng)管理機(jī)制，將會(huì)導(dǎo)致安全隱患發(fā)現(xiàn)不及時(shí)甚至無(wú)法發(fā)現(xiàn)，安全事件難定位、應(yīng)急處置不及時(shí)。尤其在出現(xiàn)嚴(yán)重安全事件時(shí)，傳統(tǒng)的定期風(fēng)險(xiǎn)評(píng)估及決策，經(jīng)常貽誤對(duì)安全事件進(jìn)行處置的最佳時(shí)機(jī)，造成安全事件大范圍蔓延，事件等級(jí)擴(kuò)大的嚴(yán)重后果。隨著南旅院的信息化發(fā)展，數(shù)據(jù)越來(lái)越集中、業(yè)務(wù)對(duì)IT基礎(chǔ)設(shè)施的依賴度越來(lái)越大，一旦對(duì)安全風(fēng)險(xiǎn)發(fā)現(xiàn)不及時(shí)或出現(xiàn)較大安全事件處置不及時(shí)將會(huì)對(duì)我院造成不可估量的影響。

由此可見(jiàn)有效健全的信息安全保衛(wèi)工作非常重要，我們需要參照《國(guó)家網(wǎng)絡(luò)安全法》、《等級(jí)保護(hù)2.0標(biāo)準(zhǔn)》、《國(guó)家網(wǎng)絡(luò)安全應(yīng)急預(yù)案》，配套建立常態(tài)化、長(zhǎng)效化的新型安全運(yùn)營(yíng)指揮技術(shù)和管理體系;通過(guò)自動(dòng)化的手段，以科學(xué)合理的方法實(shí)現(xiàn)最短時(shí)間內(nèi)協(xié)調(diào)設(shè)備資源、人力資源、管理資源，對(duì)安全事件進(jìn)行有效處置，并實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)安全協(xié)同運(yùn)營(yíng)，保障南旅院網(wǎng)絡(luò)空間安全、穩(wěn)定，相關(guān)系統(tǒng)持續(xù)、有序、安全運(yùn)轉(zhuǎn)。

2 南旅院網(wǎng)絡(luò)安全現(xiàn)狀與挑戰(zhàn)

2.1 外部威脅挑戰(zhàn)

目前國(guó)內(nèi)從事“黑灰產(chǎn)”人員眾多，網(wǎng)絡(luò)安全漏洞形勢(shì)越來(lái)越嚴(yán)峻。黑客攻擊手段更加智能、復(fù)雜。攻擊目標(biāo)從最初的黑客炫耀、破壞、竊取數(shù)據(jù)，轉(zhuǎn)向以牟利為主的黑灰產(chǎn)產(chǎn)業(yè)化運(yùn)作為主，如僵尸網(wǎng)絡(luò)、挖礦程序、用戶數(shù)據(jù)竊取等。攻擊手段也從在最開(kāi)始的僵木蠕、漏洞利用、口令入侵為主，演變成更加復(fù)雜的攻擊方式，例如APT攻擊、社會(huì)工程學(xué)、水坑攻擊等。攻擊層面也從最初的網(wǎng)絡(luò)層攻擊如DDOS、身份冒仿等，向應(yīng)用層的攻擊如應(yīng)用層漏洞利用、SQL注入、XSS攻擊等演進(jìn)。勒索病毒、未知惡意代碼具備較強(qiáng)的破壞能力。2017年5月12日開(kāi)始，在全球蔓延的WannaCry勒索病毒已經(jīng)席卷了至少150個(gè)國(guó)家的20萬(wàn)臺(tái)電腦。而前防病毒軟件或硬件網(wǎng)關(guān)，基本上以依靠病毒特征庫(kù)為主，而針對(duì)經(jīng)過(guò)變種的病毒、木馬或者未知惡意代碼，不具備監(jiān)測(cè)能力。

2.2 內(nèi)部運(yùn)維現(xiàn)狀

目前南旅院已經(jīng)購(gòu)置了一定數(shù)量的防火墻、WAF、日志審計(jì)等網(wǎng)絡(luò)安全設(shè)備、眾多的網(wǎng)絡(luò)安全設(shè)備和組件，將產(chǎn)生大量的安全事件告警信息，以及大量的維護(hù)與設(shè)置需求。如果沒(méi)有統(tǒng)一的智能的安全事件處理運(yùn)營(yíng)中心，安全運(yùn)維管理工作將難以開(kāi)展。當(dāng)前我院的網(wǎng)絡(luò)安全建設(shè)已經(jīng)取得一定的成績(jī)，但是依然缺乏有效的監(jiān)測(cè)預(yù)警手段。安全信息采集整合分析能力不足，不能掌握整體安全態(tài)勢(shì)、網(wǎng)絡(luò)與安全防護(hù)能力。現(xiàn)有的網(wǎng)絡(luò)和平臺(tái)安全系統(tǒng)難以從不同維度進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)分析，也不能支撐不同范圍的網(wǎng)絡(luò)空間安全決策分析，無(wú)法快速直觀為各層次決策人員提供決策分析依據(jù)。

并且由于缺失專業(yè)化工具，不能做到對(duì)安全事件的可視化管理和深度關(guān)聯(lián)分析，造成安全風(fēng)險(xiǎn)不能及時(shí)發(fā)現(xiàn)，安全事件不能及時(shí)處置。現(xiàn)有防護(hù)檢測(cè)技術(shù)手段，自動(dòng)化程度低。當(dāng)今威脅不斷升級(jí)，系統(tǒng)化的防御思路也需要不斷升級(jí)來(lái)應(yīng)對(duì)泛化的威脅，例如協(xié)同聯(lián)動(dòng)能力缺失、威脅無(wú)法有效識(shí)別、威脅無(wú)法快速處置等問(wèn)題。

總而言之，南旅院目前網(wǎng)絡(luò)安全架構(gòu)無(wú)法滿足事前、事中、事后的安全規(guī)范。已有的出口防火墻、WAF防御等網(wǎng)絡(luò)安全產(chǎn)品均屬于事中防御，無(wú)法提前預(yù)警，比如無(wú)法防御挖礦、勒索病毒等，也無(wú)法事后追溯審計(jì)、修復(fù)安全隱患。

3 南旅院校園網(wǎng)態(tài)勢(shì)感知建設(shè)需求

3.1 簡(jiǎn)化運(yùn)維需求

當(dāng)前運(yùn)維環(huán)境復(fù)雜、外部威脅形勢(shì)嚴(yán)峻、運(yùn)維自動(dòng)化化程度低的形勢(shì)下，我們希望通過(guò)建設(shè)一個(gè)本地化的安全運(yùn)營(yíng)系統(tǒng)來(lái)快速發(fā)現(xiàn)運(yùn)維問(wèn)題、有效分析運(yùn)維問(wèn)題、快速解決運(yùn)維問(wèn)題，其本質(zhì)就是實(shí)現(xiàn)簡(jiǎn)化運(yùn)維的最終目標(biāo)。

3.2 持續(xù)優(yōu)化需求

當(dāng)前網(wǎng)絡(luò)黑客、有組織的犯罪團(tuán)體甚至針對(duì)性的惡意破壞者或網(wǎng)絡(luò)間諜，他們的能力和破壞力正日漸增長(zhǎng)，所以我院的本地安全能力中心也應(yīng)持續(xù)優(yōu)化升級(jí)，從“被動(dòng)防守”轉(zhuǎn)向“積極防御”。

3.3 整體管理需求

雖然我院已經(jīng)在網(wǎng)絡(luò)中部署了一定數(shù)量的安全系統(tǒng)和相應(yīng)的防護(hù)設(shè)備，但是管理人員依然無(wú)法快速準(zhǔn)確的掌握網(wǎng)絡(luò)整體運(yùn)行的狀況，每種安全設(shè)備都僅僅從各自的角度反映某個(gè)層面的安全問(wèn)題，整體性管理欠缺，領(lǐng)導(dǎo)層對(duì)網(wǎng)絡(luò)安全情況不能一目了然。

4 校園網(wǎng)態(tài)勢(shì)感知建設(shè)依據(jù)

4.1 法規(guī)/標(biāo)準(zhǔn)

1.法規(guī)政策：

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（2017年6月1日起施行）

《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》（中網(wǎng)辦發(fā)文[2017]4號(hào)）

國(guó)際標(biāo)準(zhǔn)：

ISO 27000系列標(biāo)準(zhǔn)

ISO/IEC 31000風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)

2.國(guó)家標(biāo)準(zhǔn)：

GB/T22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T24364-2009 信息安全風(fēng)險(xiǎn)管理指南

GB/T20985-2007 信息安全事件管理指南

GB/T20986-2007 信息安全事件分類分級(jí)指南

4.2 國(guó)內(nèi)外安全體系研究現(xiàn)狀

4.2.1 IATF框架

IATF，《信息保障技術(shù)框架》（IATF：Information Assurance Technical Framework ）是美國(guó)國(guó)家安全局（NSA）National Security Agency 制定，用于描述其信息保障的指導(dǎo)性文件。IATF提出的信息保障的核心思想是縱深防御戰(zhàn)略（Defense in Depth）。在縱深防御戰(zhàn)略中指出，人、技術(shù)和操作（operations 也可以譯為流程）是三個(gè)主要核心因素，要保障信息及信息系統(tǒng)的安全，三者缺一不可。人是信息系統(tǒng)的主體，是信息系統(tǒng)的擁有者、管理者和使用者，是信息保障體系核心[1]。

4.2.2 自適應(yīng)安全框架

自適應(yīng)安全框架（ASA）是Gartner于2014年提出的面向下一代的安全體系框架，以應(yīng)對(duì)云大物移智時(shí)代所面臨的安全形勢(shì)。自適應(yīng)安全框架（ASA）從預(yù)測(cè)、防御、檢測(cè)、響應(yīng)四個(gè)維度，強(qiáng)調(diào)安全防護(hù)是一個(gè)持續(xù)處理的、循環(huán)的過(guò)程，細(xì)粒度、多角度、持續(xù)化的對(duì)安全威脅進(jìn)行實(shí)時(shí)動(dòng)態(tài)分析，自動(dòng)適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機(jī)制。

相對(duì)于PDR模型[2]，自適應(yīng)安全框架（ASA）框架增加了安全威脅“預(yù)測(cè)”的環(huán)節(jié)，其目的在于通過(guò)主動(dòng)學(xué)習(xí)并識(shí)別未知的異常事件來(lái)嗅探潛在的、未暴露的安全威脅，更深入的詮釋了“主動(dòng)防御”的思想理念，這也是網(wǎng)絡(luò)安全2.0時(shí)代新防御體系的核心內(nèi)容之一。

作為面向未來(lái)的新一代安全能力中心，必然需要面臨日趨緊張的網(wǎng)絡(luò)安全威脅，防御、檢測(cè)、響應(yīng)甚至預(yù)測(cè)的有效性、主動(dòng)性，關(guān)乎運(yùn)營(yíng)中心存在的根本價(jià)值和意義。遵循ASA自適應(yīng)安全框架，對(duì)于指導(dǎo)本項(xiàng)目的科學(xué)性建設(shè)和先進(jìn)性建設(shè)具有重要意義。

4.2.3 新時(shí)期的等級(jí)保護(hù)體系

為配合網(wǎng)絡(luò)安全法的實(shí)施，同時(shí)適應(yīng)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)條件下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的開(kāi)展，2019年5月13日，《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》正式發(fā)布，標(biāo)志著我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入2.0時(shí)代。等保2.0以保護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施為重點(diǎn)，為有效應(yīng)對(duì)國(guó)際網(wǎng)絡(luò)空間安全形勢(shì)，等保2.0不僅擴(kuò)大了保護(hù)對(duì)象的范圍而且提出了三重防御的思想：主動(dòng)防御、綜合防御、縱深防御[3]。

該特點(diǎn)與ASA自適應(yīng)安全模型相呼應(yīng)，作為等保2.0合規(guī)要求的重要組成部分，新時(shí)期的安全運(yùn)營(yíng)平臺(tái)也應(yīng)具備主動(dòng)防御、綜合防御、縱深防御的特點(diǎn)。

5 南旅院校園網(wǎng)態(tài)勢(shì)感知建設(shè)方案設(shè)計(jì)及實(shí)施

5.1 方案設(shè)計(jì)

深信服于2018年提出的APDRO的智安全模型[4]，通過(guò)智能（Artificial Intelligence）、防御（Protect）、檢測(cè)（Detect）、響應(yīng)（Response）、運(yùn)營(yíng)（Operate）這五個(gè)功能，能夠有效、智能的防御和檢測(cè)網(wǎng)絡(luò)安全狀況，大大提高威脅響應(yīng)速度，并縮減了運(yùn)維開(kāi)支，動(dòng)態(tài)的實(shí)現(xiàn)安全閉環(huán)。

南旅院現(xiàn)有的安全防御缺乏統(tǒng)一管理與協(xié)同共享，只能看見(jiàn)碎片化的局部安全，不利于整體的安全認(rèn)知?；贏PDRO的智安全模型和南旅院網(wǎng)絡(luò)安全運(yùn)營(yíng)業(yè)務(wù)的現(xiàn)狀，同時(shí)結(jié)合IATF信息保障技術(shù)框架、ASA自適應(yīng)安全模型、等保2.0等國(guó)內(nèi)外目前被廣泛應(yīng)用的技術(shù)標(biāo)準(zhǔn)，建立了一套以安全可視和協(xié)同防御為核心，智能化、精準(zhǔn)化、具備協(xié)同聯(lián)動(dòng)防御能力及人工專家應(yīng)急的大數(shù)據(jù)安全分析平臺(tái)和統(tǒng)一運(yùn)營(yíng)中心。

該平臺(tái)設(shè)計(jì)以全流量分析為基礎(chǔ)，基于探針安全組件采集全網(wǎng)的關(guān)鍵數(shù)據(jù)，結(jié)合威脅情報(bào)、行為分析、UEBA[5]、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)對(duì)全網(wǎng)流量實(shí)現(xiàn)全網(wǎng)業(yè)務(wù)可視和威脅感知，從而實(shí)現(xiàn)提高事件響應(yīng)的速度和高級(jí)威脅發(fā)現(xiàn)的能力，便于應(yīng)急響應(yīng)，并讓安全可感知、易運(yùn)營(yíng)。

該方案結(jié)合了南旅院網(wǎng)絡(luò)安全現(xiàn)狀與挑戰(zhàn)的需求，實(shí)現(xiàn)了南旅院校園外網(wǎng)、內(nèi)網(wǎng)全面的安全檢測(cè)，有效識(shí)別來(lái)自外網(wǎng)及內(nèi)網(wǎng)的安全風(fēng)險(xiǎn)，并直觀的展現(xiàn)在界面上。并且提供校園網(wǎng)業(yè)務(wù)、用戶風(fēng)險(xiǎn)的報(bào)告，內(nèi)容豐富直觀，可實(shí)時(shí)了解網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全差誤，讓安全可感知，安全易運(yùn)營(yíng)，有效提升管理效率、降低運(yùn)維成本。

5.2 方案實(shí)施

方案實(shí)施前外網(wǎng)訪問(wèn)內(nèi)網(wǎng)時(shí)，流量首先經(jīng)過(guò)阿姆瑞特防火墻，經(jīng)防火墻檢測(cè)掃描后進(jìn)入到AC;AC進(jìn)行流量管控后到達(dá)NIPS，NIPS對(duì)其進(jìn)行防御檢測(cè)，通過(guò)后進(jìn)入核心交換機(jī);再經(jīng)網(wǎng)瑞達(dá)返代進(jìn)行地址返代;深信服LSA進(jìn)行日志審計(jì)，流量采集，實(shí)時(shí)監(jiān)控;最后經(jīng)過(guò)綠盟漏掃對(duì)其進(jìn)行漏洞掃描，到達(dá)二層交換機(jī)，進(jìn)入內(nèi)網(wǎng)，抵達(dá)用戶終端。

本方案主要新增了深信服態(tài)勢(shì)感知平臺(tái)SIP和深信服探針STA，收集鏡像的流量數(shù)據(jù)，并將流量數(shù)據(jù)進(jìn)行分析生成安全日志后。上傳到SIP，SIP再基于大數(shù)據(jù)、機(jī)器學(xué)習(xí)對(duì)數(shù)據(jù)進(jìn)行匯總分析處理實(shí)現(xiàn)了對(duì)全網(wǎng)流量實(shí)現(xiàn)全網(wǎng)業(yè)務(wù)可視化、威脅可視化、攻擊與可疑流量可視化。

5.3 方案總結(jié)

5.3.1 風(fēng)險(xiǎn)主機(jī)檢測(cè)

發(fā)現(xiàn)檢測(cè)內(nèi)網(wǎng)發(fā)現(xiàn)的失陷業(yè)務(wù)服務(wù)器、和失陷終端，并舉證出安全事件，和對(duì)應(yīng)的解決辦法建議。

5.3.2 事件分析

從外部攻擊、外連風(fēng)險(xiǎn)、橫向攻擊三個(gè)維度發(fā)現(xiàn)內(nèi)網(wǎng)存在的安全問(wèn)題，如主機(jī)存在異常的外連行為可能懷疑是存在風(fēng)險(xiǎn)，還可以分析文件威脅與郵件威脅。

5.3.3 資產(chǎn)感知

檢測(cè)出內(nèi)網(wǎng)存在的業(yè)務(wù)服務(wù)器或終端，用于資產(chǎn)梳理，當(dāng)檢測(cè)出內(nèi)網(wǎng)存在未使用的服務(wù)器，可能存在被做為跳板機(jī)的風(fēng)險(xiǎn)。

5.3.4 脆弱性感知

檢測(cè)當(dāng)前業(yè)務(wù)系統(tǒng)存在的脆弱性問(wèn)題，對(duì)服務(wù)器漏洞進(jìn)行檢測(cè)，弱密碼，web明文傳輸，配置風(fēng)險(xiǎn)。

6 結(jié)語(yǔ)

經(jīng)過(guò)多方位測(cè)試，南旅院校園網(wǎng)安全態(tài)勢(shì)感知平臺(tái)各項(xiàng)功能均正常運(yùn)營(yíng)，能夠?qū)崿F(xiàn)全面的實(shí)時(shí)監(jiān)測(cè)、易運(yùn)營(yíng)的運(yùn)維處置、可感知的威脅告警、多維度的安全可視預(yù)警、有效數(shù)據(jù)提取，方便追蹤溯源，為南旅院的網(wǎng)絡(luò)安全保駕護(hù)航。

參考文獻(xiàn)：

[1] 蔡宗慧，郝帥.基于信息保障技術(shù)框架網(wǎng)絡(luò)安全技術(shù)整合及應(yīng)用研究[J].電腦編程技巧與維護(hù)，2016（13）：89-90.

[2] 李堯.從PDR模型的發(fā)展過(guò)程看信息安全管理[J].電子產(chǎn)品可靠性與環(huán)境試驗(yàn)，2012，30（04）：35-37.

[3] 何占博，王穎，劉軍.我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（03）：9-14，19.

[4] 趙志遠(yuǎn).創(chuàng)新的力量 深信服智安全架構(gòu)與APDRO[J].網(wǎng)絡(luò)安全和信息化，2019（10）：9-10.

[5] 徐飛.基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)現(xiàn)狀及發(fā)展分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（10）：10-13.

南京旅游職業(yè)學(xué)院，江蘇 南京