以網(wǎng)絡(luò)安全監(jiān)測預(yù)警為核心的安全運維服務(wù)構(gòu)建研究

彭海云 王玉璽

摘要：在網(wǎng)絡(luò)和信息系統(tǒng)受到各類攻擊和威脅時，安全設(shè)備的部署對網(wǎng)絡(luò)安全起到了一定的防御和保護作用。但是隨著新型威脅的不斷出現(xiàn)，威脅處置相對滯后。該文提出了網(wǎng)絡(luò)安全運維服務(wù)應(yīng)以監(jiān)測預(yù)警為核心的新模式，將網(wǎng)絡(luò)安全運維關(guān)口前移，梳理網(wǎng)絡(luò)資產(chǎn)、排查安全風(fēng)險，給出加強網(wǎng)絡(luò)安全監(jiān)測預(yù)警的途徑和方法，并以此為目標，提出以監(jiān)測、預(yù)警、處置、持續(xù)優(yōu)化為主要內(nèi)容的網(wǎng)絡(luò)安全主動運維服務(wù)模式。

關(guān)鍵詞：網(wǎng)絡(luò)安全;監(jiān)測預(yù)警;安全服務(wù);等級保護

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）19-0037-03

國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2020年上半年數(shù)據(jù)統(tǒng)計顯示，我國每年遭受木馬、蠕蟲、釣魚郵件、勒索病毒、APT等網(wǎng)絡(luò)持續(xù)攻擊，對網(wǎng)絡(luò)安全造成嚴重威脅，給我國數(shù)字經(jīng)濟的發(fā)展帶來嚴峻挑戰(zhàn)。以新基建為標志的5G技術(shù)、大數(shù)據(jù)技術(shù)、AI技術(shù)在高校信息化建設(shè)和應(yīng)用中也越來越受到重視。網(wǎng)絡(luò)和信息安全也成為高校信息化建設(shè)與管理中的重要內(nèi)容。因此，在推進校園網(wǎng)絡(luò)和信息化應(yīng)用建設(shè)的同時，要加強網(wǎng)絡(luò)安全的建設(shè)。隨著信息技術(shù)的應(yīng)用與發(fā)展，特別是移動互聯(lián)應(yīng)用、云計算、物聯(lián)網(wǎng)的普及，突破了傳統(tǒng)網(wǎng)絡(luò)安全的防御邊界[1]。為尋求更為有效的安全防護技術(shù)和手段，本文提出將網(wǎng)絡(luò)安全工作關(guān)口前移，做好安全監(jiān)測預(yù)警工作，同時將部署在網(wǎng)絡(luò)中的安全設(shè)備實現(xiàn)層級聯(lián)動，做到相互補充，實現(xiàn)主動監(jiān)測、預(yù)警、處置、持續(xù)優(yōu)化[2]，從而達到網(wǎng)絡(luò)安全整體水平上升的目標。

1 校園網(wǎng)中存在的安全風(fēng)險

隨著互聯(lián)網(wǎng)、人工智能、物聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)在高校廣泛應(yīng)用，智慧校園、一卡通系統(tǒng)、教務(wù)系統(tǒng)、人事系統(tǒng)、學(xué)工系統(tǒng)、財務(wù)系統(tǒng)、科研系統(tǒng)、平安校園等應(yīng)用系統(tǒng)涉及教職工信息、學(xué)生信息、消費信息、財務(wù)信息、科研項目等重要數(shù)據(jù)，面臨著網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)詐騙、惡意軟件、黑客攻擊、勒索病毒、APT攻擊層出不窮。在信息技術(shù)迅猛發(fā)展的今天，網(wǎng)絡(luò)安全的重要性上升到前所未有的高度，國家頒布的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等為網(wǎng)絡(luò)安全體系建設(shè)提供了法律依據(jù)。因此，做好校園網(wǎng)絡(luò)和信息安全工作，才能保護學(xué)校信息安全，保證學(xué)校業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)。

傳統(tǒng)的校園網(wǎng)存在的安全風(fēng)險主要有以下幾個方面：

1.1 網(wǎng)絡(luò)安全設(shè)備功能單一

校園網(wǎng)中部署的網(wǎng)絡(luò)安全產(chǎn)品有：邊界防火墻、隔離防火墻、上網(wǎng)行為審計、WAF、VPN、入侵防御、防病毒軟件、日志審計等。這些網(wǎng)絡(luò)安全設(shè)備的加持在一定程度上滿足了等級保護的要求，同時也對校園網(wǎng)的安全防護起到一定的作用。但是，這些網(wǎng)絡(luò)安全產(chǎn)品在專業(yè)性和功能上都有一定的局限性，例如：防火墻可以禁止不安全的NFS協(xié)議進出受保護的網(wǎng)絡(luò)，可以保護內(nèi)部網(wǎng)絡(luò)免受基于路由的攻擊，但是防火墻不能防范不經(jīng)過防火墻的攻擊等;上網(wǎng)行為管理和上網(wǎng)行為審計只能對用戶訪問互聯(lián)網(wǎng)的行為進行包括網(wǎng)頁訪問過濾、上網(wǎng)隱私保護、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計和用戶行為分析等;WAF能夠?qū)崿F(xiàn)對網(wǎng)站漏洞攻擊進行防護，但對于0day漏洞則無能為力。同時，網(wǎng)絡(luò)中安全產(chǎn)品的功能相對獨立，相互之間沒有建立起應(yīng)有的事件關(guān)聯(lián)關(guān)系，沒有形成策略互補，沒有形成相互聯(lián)動機制，從而使得大量的安全設(shè)備相互獨立，沒有形成合力優(yōu)勢，導(dǎo)致并非牢不可破。

1.2 網(wǎng)絡(luò)資產(chǎn)沒有摸排清楚

隨著信息化的快速普及和發(fā)展，越來越多的Web應(yīng)用上線。由于這些Web應(yīng)用需求對網(wǎng)絡(luò)資源的需求不高，訪問量不大，因此，業(yè)務(wù)管理部門對這些應(yīng)用沒有建立相應(yīng)的管理臺賬，對網(wǎng)站的管理過于寬松。經(jīng)過一段時間的運行之后，這些Web應(yīng)用可能無人管理、更新和維護，很有可能會成為一個“僵尸”網(wǎng)站，成為黑客的目標，許多網(wǎng)站被提權(quán)、網(wǎng)頁被篡改、掛馬、外鏈等，甚至可能成為“肉雞”和“跳板”，橫向攻擊其他網(wǎng)站和應(yīng)用服務(wù)器，給網(wǎng)絡(luò)安全帶來很大的隱患。

1.3 主機缺少安全防護機制

主機面臨著安全風(fēng)險。比如：基于操作系統(tǒng)的攻擊有系統(tǒng)漏洞、緩沖器溢出、IE漏洞、用戶提權(quán)、弱口令、0day漏洞、端口利用等;基于Web應(yīng)用的服務(wù)攻擊有拒絕服務(wù)攻擊（DDoS）、目錄遍歷攻擊、網(wǎng)絡(luò)嗅探、域名劫持等;基于中間件的攻擊有IIS漏洞利用、權(quán)限配置不合理、遠程代碼執(zhí)行、暴力破解等;基于數(shù)據(jù)庫的攻擊有SQL注入、撞庫攻擊、特權(quán)提升、強力破解弱口令等。安全威脅還有病毒、木馬、蠕蟲等。主機缺少安全防護機制，操作系統(tǒng)補丁沒有及時更新，不用的端口沒有關(guān)閉，軟件防火墻設(shè)置不當(dāng)，查殺病毒軟件沒有安裝，系統(tǒng)資源狀態(tài)缺少監(jiān)控手段。

2 構(gòu)建網(wǎng)絡(luò)安全監(jiān)測預(yù)警處置框架

基于以上基本事實和安全威脅現(xiàn)狀，網(wǎng)絡(luò)安全不能完全依賴網(wǎng)絡(luò)安全設(shè)備的簡單疊加，“頭疼醫(yī)頭，腳痛醫(yī)腳”的策略不是解決網(wǎng)絡(luò)安全的根本方法，應(yīng)充分利用現(xiàn)有的安全設(shè)備和管理平臺，根據(jù)網(wǎng)絡(luò)安全設(shè)備的自身特點，發(fā)揮其優(yōu)勢作用，充分利用各個安全設(shè)備的日志信息、狀態(tài)信息、協(xié)議分析數(shù)據(jù)、數(shù)據(jù)流量包信息，對網(wǎng)絡(luò)中各個節(jié)點的服務(wù)器、網(wǎng)絡(luò)邊界、提供的服務(wù)、應(yīng)用、數(shù)據(jù)庫及個人終端進行不間斷監(jiān)測，形成數(shù)據(jù)分析報告，對網(wǎng)絡(luò)威脅提供預(yù)警機制，從而更加主動地實現(xiàn)網(wǎng)絡(luò)安全運維。

2.1 監(jiān)測預(yù)警技術(shù)的重要性

傳統(tǒng)的網(wǎng)絡(luò)安全領(lǐng)域中在網(wǎng)絡(luò)的不同節(jié)點部署相應(yīng)的安全產(chǎn)品。隨著云計算、大數(shù)據(jù)、移動互聯(lián)應(yīng)用的普及，各種新技術(shù)的出現(xiàn)使得當(dāng)前網(wǎng)絡(luò)邊界發(fā)生了很大變化，比如移動互聯(lián)技術(shù)突破了地域邊界的限制，物聯(lián)網(wǎng)跨越傳統(tǒng)網(wǎng)絡(luò)產(chǎn)品的范疇，云計算使得系統(tǒng)、應(yīng)用、數(shù)據(jù)以及服務(wù)集中化和平臺化，打破了傳統(tǒng)信息系統(tǒng)技術(shù)架構(gòu)獨立分散、線條化的局面。整個網(wǎng)絡(luò)安全保障的重點也從邊界防護、服務(wù)器防護的局部防護向行為防護、整體防護的全局動態(tài)防護模式轉(zhuǎn)變。網(wǎng)絡(luò)安全監(jiān)測預(yù)警主要著眼于“發(fā)現(xiàn)問題，解決問題”。監(jiān)測網(wǎng)絡(luò)安全設(shè)備，能夠發(fā)現(xiàn)網(wǎng)絡(luò)邊界和關(guān)鍵區(qū)域的安全威脅;監(jiān)測業(yè)務(wù)系統(tǒng)，可以定位應(yīng)用安全問題;監(jiān)測業(yè)務(wù)數(shù)據(jù)讀寫操作，可以發(fā)現(xiàn)數(shù)據(jù)使用有跡可循。通過對網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)全時空監(jiān)測，并對可能發(fā)生的攻擊行為進行分析、判斷，將分析結(jié)果發(fā)送給監(jiān)測預(yù)警平臺，以便及早采取相應(yīng)的防御處置措施[3]。因此，做好網(wǎng)絡(luò)安全監(jiān)測、預(yù)警、處置，是發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的重要手段。

2.2 構(gòu)建全方位網(wǎng)絡(luò)安全監(jiān)測預(yù)警的途徑

針對來自互聯(lián)網(wǎng)的持續(xù)惡意攻擊和校園網(wǎng)不可避免地存在的安全漏洞，做好安全監(jiān)測預(yù)警工作必須從多個方面進行綜合、全方位、立體化的監(jiān)控，做好安全防范工作。

2.2.1 梳理校園網(wǎng)絡(luò)資產(chǎn)，摸清家底

校園網(wǎng)絡(luò)資產(chǎn)包括網(wǎng)絡(luò)互聯(lián)設(shè)備（含網(wǎng)絡(luò)安全設(shè)備）、服務(wù)器、存儲、業(yè)務(wù)系統(tǒng)、Web應(yīng)用、數(shù)據(jù)資產(chǎn)等，其中Web資產(chǎn)占據(jù)了很大部分的應(yīng)用。建立和運用網(wǎng)絡(luò)資產(chǎn)安全治理平臺，能夠有效地“摸清家底”，及時發(fā)現(xiàn)不合規(guī)或不安全的Web資產(chǎn)，形成資產(chǎn)數(shù)據(jù)庫，建立起長效的管理機制，形成線上檢查以及安全監(jiān)測日常管理機制，對于存在安全風(fēng)險、安全問題的網(wǎng)站能夠及時告警和應(yīng)急處置。

2.2.2 利用態(tài)勢感知平臺，收集日志信息

針對操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、中間件存在的安全問題和漏洞，定期或不定期進行漏洞掃描，對掃描結(jié)果進行評估檢查，及時更新補丁程序，并對已發(fā)現(xiàn)的漏洞進行閉環(huán)管理。針對服務(wù)器特定端口進行探測、掃描，關(guān)閉不用的端口，避免惡意程序利用開放的端口非法植入木馬、病毒和惡意腳本。

2.2.3 開展等級保護測評，查找存在問題

定期開展信息系統(tǒng)等級保護測評工作。一方面，等級保護是我國信息安全的基本政策，校園網(wǎng)管理者應(yīng)當(dāng)按照信息等級保護制度的要求，開展等保測評工作。另一方面，通過對信息系統(tǒng)等級保護測評，發(fā)現(xiàn)信息系統(tǒng)存在的安全隱患和不足，按照要求及時整改，從而提高信息系統(tǒng)的抗風(fēng)險能力，降低被攻擊的風(fēng)險。另外，到公安網(wǎng)監(jiān)部門申請信息系統(tǒng)定級備案后，將學(xué)校的信息系統(tǒng)納入公安機關(guān)的監(jiān)督檢查范圍之內(nèi)。

2.2.4 用好外部監(jiān)測預(yù)警信息，提前防范

關(guān)注國家信息安全漏洞庫網(wǎng)站、國家互聯(lián)網(wǎng)應(yīng)急中心、國家計算機網(wǎng)絡(luò)入侵防范中心、網(wǎng)絡(luò)安全廠家發(fā)布的安全威脅情報，及時了解和掌握最新網(wǎng)絡(luò)安全威脅動態(tài)信息、漏洞通報、處置辦法，做好補丁更新，密切跟蹤業(yè)界安全動態(tài)，做好自身網(wǎng)絡(luò)和信息系統(tǒng)安全加固。通過Web云防護平臺，可以抵御Web攻擊、CC攻擊、DDOS攻擊，阻斷各種Web掃描和攻擊行為、防止攻擊者上傳、訪問WebShell和查找攻擊溯源。通過Web監(jiān)測平臺，實現(xiàn)網(wǎng)站漏洞監(jiān)測，包括監(jiān)測Web服務(wù)容器、第三方軟件漏洞、服務(wù)器端腳本漏洞、應(yīng)用漏洞等。同時根據(jù)教育行業(yè)網(wǎng)信辦的安全威脅通報，及時做好防范措施，打上補丁和修復(fù)漏洞。

2.2.5 通過攻防演練和護網(wǎng)行動，加強能力提升

在日益頻繁的攻防對抗中，要利用一切機會提升網(wǎng)絡(luò)安全監(jiān)測預(yù)警能力，這樣才能在真實的安全威脅到來時做到游刃有余。攻防演練時，作為防守方，要充分利用各種網(wǎng)絡(luò)安全監(jiān)測平臺，通過監(jiān)測數(shù)據(jù)建立有效的安全防御機制，通過多數(shù)據(jù)源關(guān)聯(lián)分析全面感知安全風(fēng)險，快速定位系統(tǒng)漏洞并進行有效處置，提升精準防御能力[4-5]。

3 圍繞網(wǎng)絡(luò)安全監(jiān)測預(yù)警開展網(wǎng)絡(luò)安全運維服務(wù)

按照等級保護和等級保護測評要求，網(wǎng)絡(luò)安全運維服務(wù)首先要認真梳理網(wǎng)絡(luò)資產(chǎn)，細化具體要求，對標法律法規(guī)要求，做到安全運維全覆蓋。在網(wǎng)絡(luò)安全運維過程中，建立網(wǎng)絡(luò)安全責(zé)任主體，明確信息系統(tǒng)安全需求，從監(jiān)測預(yù)警、威脅處置、復(fù)核查驗、持續(xù)優(yōu)化幾個階段開展網(wǎng)絡(luò)安全運維工作。

3.1 監(jiān)測預(yù)警服務(wù)

監(jiān)測預(yù)警是做好網(wǎng)絡(luò)安全運維服務(wù)的首要任務(wù)。清點和梳理校園網(wǎng)內(nèi)部的信息系統(tǒng)和應(yīng)用程序，摸清通信數(shù)據(jù)在不同信息系統(tǒng)或設(shè)備的上下游關(guān)系，梳理出可能出現(xiàn)的攻擊路徑，控制內(nèi)外網(wǎng)資源的數(shù)據(jù)訪問權(quán)限，發(fā)現(xiàn)關(guān)鍵業(yè)務(wù)和關(guān)鍵系統(tǒng)之間的依存關(guān)系，降低“僵尸網(wǎng)站”“雙非網(wǎng)站”存在的可能性。通過Web云防護和Web云監(jiān)測，發(fā)現(xiàn)網(wǎng)絡(luò)中威脅和攻擊，跟蹤溯源，阻斷攻擊源，通過主機安全監(jiān)測，及時發(fā)現(xiàn)占用系統(tǒng)資源多、CPU利用率高、網(wǎng)絡(luò)流量異常的應(yīng)用。利用網(wǎng)絡(luò)安全監(jiān)測和動態(tài)感知平臺，獲取相關(guān)設(shè)備、時間范圍、風(fēng)險級別和資產(chǎn)屬性等不同維度的數(shù)據(jù)，并以多種形式的有效預(yù)警為威脅處置工作提供翔實的處置依據(jù)，提高威脅處置工作的效率。

3.2 威脅處置服務(wù)

威脅處置是網(wǎng)絡(luò)安全運維服務(wù)的根本任務(wù)。在取得監(jiān)測數(shù)據(jù)的基礎(chǔ)上，對安全事件原始記錄進行溯源分析，對原始攻擊信息進行分析研判，并直接進行預(yù)警處置任務(wù)下發(fā)。在日常運維工作中，做好備份重要數(shù)據(jù)和系統(tǒng)，嚴格限制對備份數(shù)據(jù)的訪問權(quán)限;強制禁用弱口令并定期更換賬號密碼，拒絕使用與身份信息、出生日期、電話、門牌號等具有強關(guān)聯(lián)性的密碼。定期開展風(fēng)險評估和滲透測試，識別并記錄脆弱性的資產(chǎn)，及時修復(fù)系統(tǒng)存在的安全漏洞;關(guān)閉不必要的訪問服務(wù);加強身份驗證和權(quán)限管理，加強訪問憑證發(fā)布、管理、驗證、撤銷和審計功能，合理配置訪問權(quán)限。嚴格訪問控制策略，不允許使用遠程管理端口，如果需要開放管理端口，須經(jīng)堡壘機訪問，同時定期修改訪問控制策略。制定應(yīng)急響應(yīng)預(yù)案，明確應(yīng)急人員和工作崗位職責(zé)、操作順序，發(fā)生網(wǎng)絡(luò)安全事件后，要立即啟動應(yīng)急響應(yīng)預(yù)案，定期開展應(yīng)急演練。

3.3 復(fù)核查驗服務(wù)

復(fù)查核查是安全運維服務(wù)的重要內(nèi)容。對于新系統(tǒng)上線前，必須先對其進行漏洞掃描、滲透測試和風(fēng)險評估，發(fā)現(xiàn)問題及時整改。經(jīng)專業(yè)工具測試通過后才能上線運行，將安全漏洞及時進行封堵，上線后納入監(jiān)測預(yù)警平臺，定期對所有線上運行的系統(tǒng)進行復(fù)核檢查、基線核查等保備案并進行測評等，將這項工作納入安全運維常規(guī)服務(wù)。

3.4 持續(xù)優(yōu)化服務(wù)

持續(xù)優(yōu)化是安全運維服務(wù)的長期任務(wù)。通過監(jiān)測預(yù)警平臺，以在長期監(jiān)測過程中發(fā)現(xiàn)的風(fēng)險隱患以及各個階段獲取的數(shù)據(jù)作為基礎(chǔ)，深度分析安全威脅、脆弱性的原因，從技術(shù)、管理、制度等方面進行持續(xù)優(yōu)化完善，同時對網(wǎng)絡(luò)監(jiān)測預(yù)警平臺和能力升級迭代，循序漸進、全面提升網(wǎng)絡(luò)安全運維服務(wù)和保障能力。

4 結(jié)語

構(gòu)建以網(wǎng)絡(luò)安全監(jiān)測預(yù)警為核心的安全運維服務(wù)，以網(wǎng)絡(luò)安全法律法規(guī)、等級保護要求為依據(jù)，以有效降低網(wǎng)絡(luò)安全威脅和攻擊為目標，將網(wǎng)絡(luò)安全防護關(guān)口前移，提供主動防御、多層次、安全設(shè)備聯(lián)動的安全運維服務(wù)，全面把握網(wǎng)絡(luò)安全態(tài)勢，提升網(wǎng)絡(luò)安全保障能力。

參考文獻：

[1] 祿凱，程浩，劉蓓.全面構(gòu)建以網(wǎng)絡(luò)安全監(jiān)測預(yù)警為核心的全時域網(wǎng)絡(luò)安全新服務(wù)[J].中國信息安全，2021（5）：61-63.

[2] 毛輝，曹龍全，吳啟星，等.監(jiān)測預(yù)警處置一體化網(wǎng)絡(luò)安全管理平臺研究[J].信息網(wǎng)絡(luò)安全，2020（S1）：122-126.

[3] 胡國良，張超，胡嘉俊.網(wǎng)絡(luò)安全技術(shù)手段建設(shè)存在問題與應(yīng)對措施淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（1）：161-162.

[4] 畢江，王燕清，張寧，等.電視臺網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)規(guī)劃[J].廣播與電視技術(shù)，2017，44（11）：38-43.

[5] 曾柯達.基于推理機的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)的研究與實現(xiàn)[D].長沙：國防科學(xué)技術(shù)大學(xué)，2010.

收稿日期：2022-03-20

基金項目：教育部科技司科技發(fā)展中心2020年第二批中國高校產(chǎn)學(xué)研創(chuàng)新基金“新一代信息技術(shù)創(chuàng)新項目”——智慧校園網(wǎng)絡(luò)安全監(jiān)測預(yù)警機制研究與應(yīng)用，類別：一般項目，項目編號：2020ITA07022

作者簡介：彭海云（1969—），男，江蘇如皋人，高級工程師，碩士，主要研究方向為計算機技術(shù)、網(wǎng)絡(luò)安全與管理;王玉璽，江蘇第二師范學(xué)院，副教授，碩士。