反饋式的網絡安全系統構建

莆田學院信息化建設與管理中心 曾福山

本文針對當前網絡安全系統各層防護設備存在的獨立防護，安全信息不共享，無法形成體系防護的現狀，提出一種基于反饋式的網絡安全系統構建方式，反饋式系統借鑒了信號與系統中的反饋機制，將下一級設備的安全信息通過單向傳輸設備傳輸至上一級安全設備，實現整體網絡系統間安全設備的信息共享，有效提升設備的防護能力。

當前我國的網絡安全面臨著生態環境較為惡劣、黑客攻擊行為如近幾年頻繁發生的勒索病毒攻擊、跨國電信詐騙等問題，都造成極大的影響，給我國的信息化建設的發展與治理帶來巨大的挑戰。國際電信聯盟將網絡安全定義為：“網絡安全是集合工具、政策、安全概念、安全保障、指南、風險管理方法、行動、培訓、實踐案例、技術等內容的一整套安全管理體系，用于保護網絡環境、組織以及用戶的資產。組織和用戶的資產包括連接的計算機設備、人員、基礎設施、應用程序、網絡服務、電信系統以及網絡環境中傳輸或存儲的信息”。2017年6月1日頌布實施的《中華人民共和國網絡安全法》定義網絡安全為：“網絡安全是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力”。當前網絡安全防護體系構建一般要遵循以下幾個原則：

1 最小權限原則[1]

在保證系統正常運行的情況下，設定用戶及系統管理員嚴格執行“需則知情”原則，確保使用人員只能訪問到其職責或角色范圍之內的數據或信息。

2 分層防護[2]

分層設計——每一層的保護重點不同，各層間相互保護，黑客即使突破了一層，也獲取不到網站的控制權。

分散布局——安全防護設備部署在網絡系統的不同節點。

分級多樣化防護——信息系統安全防護根據防護對象的不同設置不同的等級保護。

3 分區防護[3]

形勢重大活動時期與平時的保障的機制是不同的，在重大活動時期，必須確保主要信息系統如門戶網站的安全，采取主動防御的模式，對于可疑IP堅決加入黑名單。基于這種機制，本文提出一種基于反饋式的自適應實時防御系統。

4 以數據重要性劃分等級[4]

根據數據的重要性劃分不同的等級，并存儲在不同的安全區域。

5 最弱環節決定原則[5]

鏈式防護策略中最薄弱的環節決定了系統的安全性，在管理運維部門中則遵循職責分離、輪崗的原則，以避免人員忽視或者破壞安全系統的防護策略。

絕大多數的單位均是以此來設計與構建網絡信息安全防護系統。

6 當前網絡安全防護體系存在的主要問題

當前網絡防護體系一般采用單向分層式瀑布流防護的機制，如圖1所示，雖然網絡安全設計原則要求整體性、標準化等，但現實中各級防護產品來源多樣性，各設備及各級防護系統之間聯動性不夠強，策略規則等亦不同。特別是當前傳統安全解決方案防御點經常是獨立運作或者用戶經常只部署單個防御點，各系統單向防護，無法將各個防御點很好的進行聯動[7]，導致花費了大量的經費部署的安全防御措施最終還是無法防止黑客的入侵。此類系統在防御方面并沒有信息交換機制，缺乏聯動，即使是同一公司的產品，一般也是通過安裝探針單向發送信息，沒有雙向交互或者反饋機制，檢測到的異常數據包信息無法實時全網共享。

圖1 分層式網絡安全架構圖Fig.1 Layered network security architecture

當前網絡安全防護體系在防護個人主機方面也存在較大不足，以高校為例，各個高校目前都有構建安全防護體系，但學校師生個人電腦眾多，上網環境變換多樣，有部分師生的個人電腦沒有任何防護，這些主機一般很少列入定期的安全檢測對象，這些電腦流動性也較大，容易被植入木馬，感染病毒，被當成肉雞進而危脅到整個學校的網絡安全。而當前網絡防護體系對這一塊的檢測管理較弱。

隨著信息技術的快速發展，信息系統級軟件開發難度在不斷降低，各種開源模板層出不窮，普通開發者亦可完成，如高校中使用較多的虛擬仿真系統，因其專業性，多數為小公司研發，研發流程不是特別規范。各個企事業單位研發購買的系統有部分來源于一些中小型軟件公司，這些公司在編程規范、代碼審計等方面可能存在一些不足，系統引用的開源庫也較多，即使系統上線時能夠通過安全審核，但系統運行一段時間后，可能會有各種漏洞暴露，從而影響所有信息系統的安全運行。

7 基于反饋式的實時網絡防護體系

在信號與系統領域中，系統設計一般會引入反饋機制[6]，用以動態調整以優化結果[7]，基于這種反饋機制，本文提出一種基于信息流反饋的網絡安全防護體系。帶有反饋機制的防護體系架構能夠使得各個防護層級安全設備實時獲取攻擊行為、攻擊規則特征，共同更新維護同一個信息安全漏洞庫，彌補各個版本各個防護系統之間的防護差異性、弱點性，構成防護體系的閉環系統，從而更加有效地防御各種威脅。

7.1 單向傳輸的信息反饋機制

為了保證各級防護裝備、各級防護系統的安全性，在傳輸反饋的安全信息流時，采用單向的光纖收發設備用以傳輸信號[8]，且在傳輸層采用系統開銷少、無連接的UDP協議，即將信息傳輸出去即可，避免任何可能的雙向數據傳輸。采用單向傳輸機制可以確保安全設備只傳輸安全信息但不共享其他信息。

7.2 實時共享安全信息庫

構建反饋式網絡縱深防護體系，通過共享實時的攻擊行為特征，保證部署的安全設備共享攻擊特征。如當攻擊行為突破防火墻、IPS設備等網絡安全設備進入應用系統層面的網站群時，網站群將檢測到的攻擊行為的特征如IP地址等通過光纖單向傳輸至防火墻、IPS設備，以此讓防火墻、IPS設備等被突破的安全設備更新規則，加強防護。

7.3 動態聯動機制

通過單向傳輸的信息反饋機制，實現了后端設備如網站群等安全規則的實時前移，增強了第一道防護設備如WAF、IPS等的防護阻斷能力，實現聯動防護機制。如圖2所示為反饋式防護網絡體系架構圖。

圖2 反饋式網絡安全架構圖Fig.2 Feedback network security architecture

8 結語

本文針對當前網絡防護體系設備眾多、廠家眾多且無法形成有效合力，易于被黑客各個擊破的問題，提出了反饋式的網絡防護體系，通過定向傳輸，共享安全信息，實現整個安全設備共享安全防護信息，以此系統性構建網絡信息安全防護網絡，提升防護效果。

引用

[1] 韓蘭勝,洪帆,駱婷.基于角色的訪問控制中的安全三原則[J].華中科技大學學報(自然科學版),2006(1):36-38.

[2] 羅樂.網絡安全分層防護思路淺解[J].電腦迷,2016(6): 133+112.

[3] 楊軍.基于分區防護的現場控制系統信息安全動態防護研究[D].武漢:華中科技大學,2019.

[4] 張曉陽.海洋環境信息云平臺數據安全等級自動劃分的研究[D].青島:中國海洋大學,2015.

[5] 應力,郭松柏.信息系統(網絡)安全分析方法與評價模型[J].計算機工程與應用,2002(19):51-52.

[6] PETERSON W C,THACKER A,AVERY W L.A Feedback System for Control of an Unstable Process[J].IEEE Transactions on Industrial Electronics&Control Instrumentation,1969,IE CI-16(2):165-171.

[7] YILMA E,OZER M.Delayed Feedback and Detection of Weak Periodic Signals in a Stochastic Hodgkin-Huxley Neuron[J].Physica A:Statistical Mechanics and Its Applications,2013,421:455-462.

[8] 丁慧麗,陳麟.網絡信息安全單向傳輸系統的設計與實現[J].計算機安全,2010(3):47-49.