基于流量分析的移動(dòng)基線安全檢測系統(tǒng)設(shè)計(jì)

李愿軍 付躍軍 雷西勇

（1.貴州中煙工業(yè)有限責(zé)任公司 貴州省貴陽市 550001 2.銅仁卷煙廠 貴州省銅仁市 554300）

作為網(wǎng)絡(luò)安全管理中的一項(xiàng)基本管理要求，《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》中對于各類業(yè)務(wù)的信息基礎(chǔ)設(shè)施，提出了各種不同的配置要求。對于煙草行業(yè)而言，無論是在物理層面、網(wǎng)絡(luò)層面還是數(shù)據(jù)層面、終端層面都承載著企業(yè)發(fā)展過程中各類軟硬件的高要求[1]。其中物理安全基線要求27 條，網(wǎng)絡(luò)安全基線要求39 條，主機(jī)安全基線要求25 條，應(yīng)用安全基線要求30 條，數(shù)據(jù)安全基線要求12 條，終端安全基線要求15 條；采用人工方式進(jìn)行安全基線核查存在費(fèi)時(shí)低效、標(biāo)準(zhǔn)不統(tǒng)一、不能定時(shí)檢查、檢查不全面等各種問題[2]。當(dāng)前基線配置核查管理的難點(diǎn)在于費(fèi)時(shí)低效：檢查1000 臺(tái)設(shè)備，需要1 個(gè)專業(yè)人員40 天才能完成；標(biāo)準(zhǔn)不統(tǒng)一；不能定時(shí)檢查；采取抽查的方式，無法覆蓋全網(wǎng)設(shè)備；涉事資產(chǎn)是否整改，無法回歸驗(yàn)證，無法建立有效的閉環(huán)管理機(jī)制等。因此，設(shè)定統(tǒng)一的安全基線配置核查指標(biāo)，保障核心生產(chǎn)業(yè)務(wù)的安全持續(xù)運(yùn)營，需建立一套符合銅仁卷煙廠乃至煙草行業(yè)網(wǎng)絡(luò)安全特點(diǎn)的“移動(dòng)基線安全檢測系統(tǒng)”[3]。基于此，本文開展基于流量分析的移動(dòng)基線安全檢測系統(tǒng)設(shè)計(jì)研究。

1 基于流量分析的移動(dòng)基線安全檢測系統(tǒng)硬件設(shè)計(jì)

1.1 系統(tǒng)硬件結(jié)構(gòu)框架設(shè)計(jì)

本文提出的基于流量分析的移動(dòng)基線安全檢測系統(tǒng)為滿足對基線安全的檢測需求，其整體結(jié)構(gòu)包括基于流量分析的移動(dòng)基線安全檢測系統(tǒng)模塊[4]。其中，標(biāo)準(zhǔn)策略庫主要是針對各類信息設(shè)備進(jìn)行核查，并根據(jù)銅仁卷煙廠在運(yùn)行過程中其移動(dòng)基線合規(guī)要求建立相應(yīng)的配置標(biāo)準(zhǔn)。圖1為基于流量分析的移動(dòng)基線安全檢測系統(tǒng)硬件結(jié)構(gòu)框架示意圖。

如圖1所示，基于流量分析的移動(dòng)基線安全檢測系統(tǒng)硬件結(jié)構(gòu)可劃分為數(shù)據(jù)采集層、存儲(chǔ)層、處理層和展示層。

數(shù)據(jù)采集層通過U 盤數(shù)據(jù)采集代理，對Windows、Linux、Unix、中標(biāo)麒麟等系統(tǒng)數(shù)據(jù)源進(jìn)行數(shù)據(jù)采集。

存儲(chǔ)層主要是將采集的數(shù)據(jù)和數(shù)據(jù)處理分析后的數(shù)據(jù)進(jìn)行存儲(chǔ)，主要包括：采集信息庫、合規(guī)結(jié)果庫、CheckList 信息等。

數(shù)據(jù)處理層，對采集的數(shù)據(jù)進(jìn)行分析，形成有價(jià)值的合規(guī)分析結(jié)果。

展示層則是以監(jiān)測報(bào)告的形式，讓數(shù)據(jù)以更直觀的方式呈現(xiàn)在用戶面前。同一種設(shè)備可以對掃描的不符合項(xiàng)進(jìn)行確認(rèn)定性為特定忽略并描述其原因，可解決不同情況不同標(biāo)準(zhǔn)的問題，完成從檢查標(biāo)準(zhǔn)中體現(xiàn)針對工控系統(tǒng)的特點(diǎn)。

1.2 系統(tǒng)服務(wù)器選型

為滿足本文系統(tǒng)的數(shù)據(jù)采集和存儲(chǔ)要求，本文選用Poweredge R150-25 型號64G 服務(wù)器作為本文系統(tǒng)的數(shù)據(jù)采集服務(wù)器，選用Poweredge R150-25 型號128G 服務(wù)器作為數(shù)據(jù)存儲(chǔ)服務(wù)器。該型號服務(wù)器當(dāng)中包含E6-564V7 型號CPU 兩顆；內(nèi)存大小為64G 2400T；硬盤為550GBSAS58K 共三塊；陣列卡（RAID 卡）選用H725 型號，支持4G/5G 緩存；電源為750W 雙電型電源結(jié)構(gòu)。將Poweredge R150-25 型號服務(wù)器通過硬件陣列控制器進(jìn)行連接，能夠有效提高磁盤的IO 性能。同時(shí)，Poweredge R150-25 型號服務(wù)器支持多個(gè)協(xié)議同時(shí)運(yùn)行，為實(shí)現(xiàn)對移動(dòng)基線的檢測，本文選用SMB 協(xié)議對系統(tǒng)進(jìn)行不需要安裝代理的服務(wù)和啟動(dòng)服務(wù)[5]。同時(shí)，為實(shí)現(xiàn)本文系統(tǒng)的數(shù)據(jù)通信，采用端口3389 型號完成RDP 通信。通過該結(jié)構(gòu)的支撐可有效提高終端服務(wù)器環(huán)境安全以及抵御黑客的非法入侵。同時(shí)，在Poweredge R150-25 型號服務(wù)器當(dāng)中引入自動(dòng)探測功能，自動(dòng)探測被檢測的操作類型及版本，無須再錄入相關(guān)信息，從而降低了對設(shè)備信息的收集時(shí)間，節(jié)約對數(shù)據(jù)的錄入時(shí)間，從而提高了本文系統(tǒng)在應(yīng)用過程中的便利性和人性化設(shè)計(jì)。

2 基于流量分析的移動(dòng)基線安全檢測系統(tǒng)軟件設(shè)計(jì)

2.1 移動(dòng)基線自動(dòng)采集和可視化展現(xiàn)

通過自定義策略、檢查項(xiàng)及固化工作后，系統(tǒng)能夠?qū)崿F(xiàn)編寫、靈活的方式，對信息資產(chǎn)的配置脆弱性信息自動(dòng)采集與分析。在不影響現(xiàn)有系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)上，實(shí)現(xiàn)工控系統(tǒng)上位機(jī)及服務(wù)器設(shè)備全面、細(xì)粒度的配置檢查與合規(guī)對比分析、提供詳盡的加固方案；通過配置脆弱性的直觀展現(xiàn)，動(dòng)態(tài)反映工控系統(tǒng)上位機(jī)及服務(wù)器的整體安全狀況。

報(bào)告提供對采集命令審計(jì)和采集原始結(jié)果審計(jì)：

（1）用戶依據(jù)原始結(jié)果中的采集腳本，可以了解采集過程中，基線服務(wù)器對被掃描設(shè)備操作情況，是否對本掃描設(shè)備部署的應(yīng)用具有威脅性；

表1：兩種檢測系統(tǒng)實(shí)驗(yàn)結(jié)果對比表

（2）用戶依據(jù)原始結(jié)果中的采集結(jié)果，可以了解該安全項(xiàng)對應(yīng)被掃描設(shè)備的具體配置情況，不需要重新再登錄到被掃描設(shè)備，人工查看配置信息[6]。

（3）采集命令和結(jié)果，易于幫助用戶排錯(cuò)和整改。

2.2 基于流量分析的移動(dòng)基線脆弱性核查

按照國家、煙草行業(yè)相關(guān)文件的指導(dǎo)和要求，將主流操作系統(tǒng)設(shè)備的安全基線配置基線標(biāo)準(zhǔn)固化，并利用強(qiáng)大的自動(dòng)探測技術(shù)，對操作系統(tǒng)及版本信息通過多協(xié)議的自動(dòng)組合完成對設(shè)備的全方位檢查，面對越來越多的信息設(shè)備種類，可通過系統(tǒng)中的檢查項(xiàng)配置功能完成用戶的自定義檢查項(xiàng)及配置核查策略[7]。移動(dòng)基線安全檢測系統(tǒng)的數(shù)據(jù)采集不僅涵蓋了傳統(tǒng)設(shè)備安全基線合規(guī)信息的采集，并且依據(jù)實(shí)際生產(chǎn)環(huán)境的不同，承載業(yè)務(wù)的重要性，應(yīng)用系統(tǒng)的特殊性制定了不同的核查方式；基于多協(xié)議支持完成全網(wǎng)覆蓋的定時(shí)及周期性自動(dòng)核查；依據(jù)安全配置基線標(biāo)準(zhǔn)進(jìn)行全面、細(xì)粒度的配置檢查與合規(guī)對比分析后，直觀、準(zhǔn)確反映信息設(shè)備安全配置的整體狀況，為安全運(yùn)營提供有力的技術(shù)支撐。

3 對比實(shí)驗(yàn)

為進(jìn)一步驗(yàn)證本文提出的基于流量分析的移動(dòng)基線安全檢測系統(tǒng)在實(shí)際應(yīng)用中的性能，開展對其和傳統(tǒng)檢測系統(tǒng)的對比實(shí)驗(yàn)研究。本文實(shí)驗(yàn)案例選擇在銅仁卷煙廠實(shí)施，覆蓋銅仁卷煙廠現(xiàn)有的虛擬服務(wù)器硬件8 臺(tái)、虛擬服務(wù)器38 臺(tái)，包括自建信息系統(tǒng)8 個(gè)、工控系統(tǒng)6 個(gè)。分別利用本文系統(tǒng)和傳統(tǒng)系統(tǒng)對銅仁卷煙廠中現(xiàn)有移動(dòng)基線進(jìn)行安全檢測，并將檢測結(jié)果分別進(jìn)行記錄，繪制成如表1所示的實(shí)驗(yàn)結(jié)果對比表。

由表1中的數(shù)據(jù)可以看出，本文系統(tǒng)在受到攻擊時(shí)，數(shù)據(jù)丟失量明顯小于傳統(tǒng)系統(tǒng)，同時(shí)在第1 次、第4 次和第5 次攻擊時(shí)，本文系統(tǒng)數(shù)據(jù)丟失量為零具有十分重要的意義。而在第2 次和第3 次攻擊時(shí)，數(shù)據(jù)丟失量對于整個(gè)移動(dòng)基線的穩(wěn)定運(yùn)行而言不會(huì)受到影響。因此，通過對比實(shí)驗(yàn)證明，本文提出的基于流量分析的移動(dòng)基線安全檢測系統(tǒng)能夠有效提高檢測效率，減少移動(dòng)基線數(shù)據(jù)丟失量。同時(shí)，在實(shí)驗(yàn)過程中，本文系統(tǒng)做到了現(xiàn)有IT 資產(chǎn)全覆蓋，通過定期開展移動(dòng)基線配置核查工作，有效提升了銅仁卷煙廠IT信息基礎(chǔ)設(shè)施安全基線合規(guī)率，保障了現(xiàn)有業(yè)務(wù)環(huán)境的安全穩(wěn)定運(yùn)行，提升了銅仁卷煙廠網(wǎng)絡(luò)安全總體防護(hù)水平。同時(shí)，針對本文提出的安全監(jiān)測系統(tǒng)，如果按照一個(gè)應(yīng)用系統(tǒng)和主機(jī)系統(tǒng)每年發(fā)生信息安全事件的百分比為1%，每起信息安全事件平均損失500000元，PC 終端平均每年發(fā)生信息安全事件的百分比為2%，每次丟失數(shù)據(jù)平均損失100000 元，那么直接經(jīng)濟(jì)損失為ALE=(SLE×A RO)=(15+160)*1%*500000+500*2%*100000=187.5 萬元由此每年減少直接經(jīng)濟(jì)損失為187.5萬。另外，生產(chǎn)工業(yè)控制每年因?yàn)閿?shù)據(jù)丟失、網(wǎng)絡(luò)安全造成的災(zāi)害性損失難以用具體的經(jīng)濟(jì)損失來估計(jì)，而這些系統(tǒng)一旦因安全事件造成的經(jīng)濟(jì)損失往往以數(shù)十萬數(shù)百萬計(jì)，因此，實(shí)際節(jié)約的直接經(jīng)濟(jì)成本可能大于上述金額。

4 結(jié)束語

本文通過開展基于流量分析的移動(dòng)基線安全檢測系統(tǒng)設(shè)計(jì)研究，提出一種全新的安全監(jiān)測系統(tǒng)，并通過標(biāo)準(zhǔn)的指導(dǎo)和實(shí)踐的驗(yàn)證，探索如何在安全技術(shù)架構(gòu)逐漸部署的前提下，更好地保障企業(yè)業(yè)務(wù)系統(tǒng)的安全。技術(shù)角度規(guī)范IT 設(shè)備的安全配置策略，從管理角度加強(qiáng)技術(shù)的落地和推廣。本課題運(yùn)用了技術(shù)和管理相結(jié)合的實(shí)踐方式，充分考慮了銅仁卷煙廠乃至煙草行業(yè)業(yè)務(wù)系統(tǒng)的實(shí)際情況，正是這種從實(shí)際出發(fā)的技術(shù)實(shí)踐最終得到了顯著的效果，使系統(tǒng)具備可操作、可落地、可推廣的優(yōu)勢。