等保2.0下研究機構網絡安全技術模型構建

雷楓

摘要：簡要剖析等保2.0規范體系，提出了機構適用的網絡安全技術模型方案。方案以“一個中心，三重防護”框架為遵循，結合機構網絡系統各業務域的安全需求，設計了安全網絡架構和可信通信機制、終端主動防御、關鍵業務計算環境安全可信架構和入侵防范、安全管理中心等層面技術模型，模型注重融合威脅情報、統籌安全與管理信息有效集成，構建對未知威脅的主動發現和動態防御的安全運營能力構建，形成具有縱深安全防御機制的基于實戰的網絡安全防護體系。

關鍵詞：網絡安全；等保2.0；“一個中心，三重防護”；主動防御

一、前言

在“互聯網+”、云計算、大數據等戰略性新技術的發展驅動下，機構實現了基于網絡的科研和管理的整體協同，學術研究、理論傳播、人才培養和科研管理服務向“智慧”轉變。與此同時也伴隨著網絡安全領域的攻守科技向著動態縱深方向深入發展轉化，帶來了嚴重的危害升級。在雙層社會的背景下，《網絡安全法》及其配套的網絡安全等保制度2.0系列標準出臺，對網絡安全攻防手段和管理技術提出新的更高要求，代表著國家對網絡社會的治理形態和治理模式的同步升級，以國家標準為指引進行網絡安全保障體系構建，這不僅是安全合規內在要求，也是法律層面的“必過標桿”。本文圍繞貫徹等保2.0標準，對機構適用的網絡安全技術模型進行探討。

二、網絡安全技術模型設計依據與思路

等保2.0提出“分等級保護、突出重點、積極防御、綜合防護”的總體要求，指出安全是覆蓋網絡安全、業務安全、數據安全特別是關鍵信息基礎設施安全等多個維度的綜合安全，明確以“主動防護、動態防護、整體防護、精準防護”總體原則作為網絡安全體系設計的遵循。按照標準提出的框架，機構網絡安全保障體系應以計算環境安全為基礎，以區域邊界安全、通信網絡安全為保障，以安全管理中心為核心，構造“一個中心，三重防護”架構。2.0管理體系明確了各部分目標安全保護策略和技術路徑，特別要求“構建網絡攻擊主動發現能力、建立可信安全機制、統籌安全日志與管理信息有效集成、搭建安全管理制度體系”，對機構安全設計與實施具有綱領性作用。結合“學術研究和管理職能的機密性、完整性、可用性、可靠性、可控性和不可否認性”的網絡安全戰略目標，機構安全技術體系各部分具體技術模型的構建，應在分析具體業務和區域面臨的實際風險和安全需求，結合標準規定的技術控制點因地制宜地構建[1-3]。

三、安全的網絡架構和跨域通信機制設計

機構內網在城市范圍搭建，還開展基于移動互聯網和云平臺的科研和服務活動，網絡安全邊界擴大帶來復雜多變的安全環境。基于等保2.0提出的“網絡安全分層”“業務安全分域”的思路，機構應按照“安全分區、網絡專用、橫向隔離、縱向認證”原則謀劃安全域和網絡分區，構建隔離邊界，嚴格訪問控制，確保信息獨立傳輸。

（一）安全分區和信息獨立傳輸

根據業務系統功能和數據生產主體劃分業務安全域，形成理論學科網、文獻數據中心、管理服務系統、教育信息系統、互聯網服務等安全域；在每個安全域邊界部署防火墻或網閘，從物理或邏輯上保證與信息應用區隔離，并根據需求建立跨邊界訪問的權限和端口管控。

信息應用區則根據職能、學部和地理園區、網絡功能等維度梳理，采用VLAN進行橫向邏輯隔離，利用設備ACL管理跨網段訪問，隔離廣播風暴、蠕蟲病毒攻擊，同時采用域控等方式控制節點準入。

對于科研協作、遠程辦公等與互聯網交互的移動業務，對標移動互聯、云計算安全擴展要求，采用加密虛擬專網（SSLVPN）技術劃分實時非實時子網形成擴展應用網絡，保證數據交互的保密性和完整性，同時采用綁定移動設備MAC、身份認證等控制準入。

對于跨子網甚至分區縱向通信的內網應用，如統籌院所兩級治理的管理服務系統、聯合所級學科教務管理和遠程教學的教育管理系統等，業務流程交叉，應采用設置IP白名單或身份認證加密等訪問控制措施，或利用軟件隔離技術建立網絡資源訪問權限管控，通過移動互聯進入安全域的還可采用網閘連通并控制交互地址端口來管理跨域訪問。

（二）基于互聯網態勢感知的邊界防護

網絡邊界合規防御要求實施融入安全態勢感知的主動威脅監測預警，服務于安全運營。在全網出口處數據檢測設備中嵌入在線IP/域名解析系統，將互聯網公開的有關惡意域名、僵尸網絡等威脅情報與網絡流量匹配，全天候感知安全態勢和威脅捕捉，據此聯動調整邊界防火墻的規則策略，實施封堵僵尸網絡和暗網代理、下線釣魚網站等嚴格的內外訪問控制策略。這種融入態勢感知的邊界防護，比基于特征值黑名單比對的傳統防火墻具有更主動積極防御能力，能有效應對APT等新型安全威脅，符合等保2.0“安全防護與安全監測有機結合”思想。對于業務安全域特別是面向互聯網的“門戶”系統，其邊界防護則另有一套技術框架[4-5]。

四、終端主動安全防御

終端是高級威脅進入內網的重要途徑，為避免保全網終端（包括業務服務器和用戶終端）被黑客侵入或作為橋頭堡實施高級威脅入侵，機構安全防御體系必然向終端縱深延伸。入侵行為檢測與阻斷、安全漏洞發現與升級、網絡級病毒木馬協同防御等，可作為主機安全基線建設目標，具體如下。

（一）終端靜態防護

靜態防御采用特征值比對的預設安全策略手段，用于抵御已知終端風險。包括：終端基準化合規配置管理；最小服務和組件加固原則構造數據孤島；網絡微隔離策略阻斷已知勒索病毒、蠕蟲病毒傳播；可信IP白名單+MAC或網關綁定防ARP攻擊；采用HIDS系統進行入侵行為感知分析和阻斷；實施郵件網關防護垃圾郵件和病毒郵件，并進行內容過濾、惡鏈識別等深度檢測。

（二）終端動態防護

基于攻防視角的端點防護采用EDR機制，整合防病毒、漏補、主機防火等多層防御管理功能，分別在云端、管理端、客戶端進行總體部署，其管理端安全模型如圖1所示：（1）通過學習生成用戶行為知識庫，并引入云端威脅情報比對生成惡意行為特征庫；（2）將實時獲得的終端運行數據與以上特征庫關聯分析，確定異常行為攻擊對象、攻擊步驟和范圍，并根據內賦策略腳本對終端進行威脅應急處理，如補丁批量修復、病毒查殺、端點隔離等。EDR機制通過自我學習提供終端全生命周期安全防護，能于威脅事件發生前、發生中、發生后依次進行感知預警、安全加固、聯動處置，使內網免遭Oday漏洞、隱蔽性高的病毒木馬等的威脅。

（三）終端軟硬件可信部署

等保2.0要求把各環節可信驗證運用于整體防護，其最根本的驗證控制點在終端環節，不論服務器還是PC，加載的系統和運行的軟件都是相對有限或固定的，甚至服務器的對外交互數據格式也是固定的，因此，每個終端軟硬件體系自下而上采用可信芯片、可信OS及其可信軟件基，可信安全管理平臺統一管理所有接入終端的應用和系統環境，可信軟件庫為終端提供可信軟件，連同受信任的芯片為整個信息系統提供信任的根源[6]。

五、安全計算環境構建

業務系統對可用性、可靠性和不可篡改性要求較高，考慮到理論學術網被攻擊的社會放大效應、高品質科研數據已成為機構重要生產資源，而管理服務系統一旦遭到破壞將影響機構平穩運轉等等，應對每個系統實際運行風險進行綜合分析，結合系統等保定級，嚴格按照《等保安全設計技術要求》（GB/T25070-2019）因地制宜地合規防護。

（一）計算環境安全可信架構

由于采用通用芯片和系統軟件、應用軟件等可能導致計算環境產生包括異常登錄、遠控木馬、跨站腳本攻擊、緩沖區溢出等漏洞隱患，在可信芯片—可信指令—操作系統層可信軟件基基礎上，結合對操作系統的漏洞發現、惡意代碼檢測、系統補丁升級等相關集中安全管理，再融合身份鑒別、安全審計和訪問控制、入侵防范等安全策略配置，形成可信安全計算環境；應用層則通過在可信安全管理平臺設置關聯業務軟件為白名單，根據軟件安全規則攔截攻擊，彌補安全漏洞未及時修補造成的安全威脅。計算環境安全可信架構如圖2，自下而上覆蓋主機系統、安全通信機制、可信應用基礎、業務軟件安全、數據完整和保密以及安全域入侵防范等層面。

（二）業務軟件安全

從業務軟件架構和研發管理等方面進行控制：（1）強化可信計算技術，選擇可靠算法和最優設備配置，強制使用遵循國家或行業標準的密碼算法，建立從系統到應用的信任鏈，避免計算數據改變、基礎數據蒸發等巨大安全隱患；（2）在軟件開發管理框架的關鍵路徑加入安全檢查，出現漏洞只需更改框架，避免到處漏水；（3）將安全審核、可信驗證（程序可信執行保護）作為關鍵環節布控到上線前的業務發布流程以嚴防出口，并實行高危漏洞一票否決；（4）遵循“專用原則”進行主機系統角色劃分，避免一臺主機多種角色，結合微隔離策略再次進行業務邏輯劃域隔離，如將應用系統和數據庫系統分區隔離以應對不同角色訪問流量識別和控制；（5）健全系統生命周期安全管理，上線前、上線后定期開展滲透測試和漏掃漏補。

（三）網絡空間信任體系

業務系統可信驗證控制點還包括系統的身份信任鑒別和安全審計，統籌機構所有統建系統可信身份服務基礎體系建設，以安全身份標識貫穿所有業務，降低身份鑒別核查成本，并強制采用生物、電信、密鑰等組合身份鑒別技術。特別強調：（1）強制對應內外用戶的不同權責進行主機和系統資源權限邊界和訪問策略設計，甚至采用個人門戶組件實現資源訪問控制；（2）注重對賬號的狀態度量，部署與等保等級相適應的安全審計系統，除了失敗訪問審計，必要時還應增加對關鍵資源成功訪問的審計。

（四）數據生命周期安全

機構對外業務的數據生產組織及系統運轉雖流程相對單一，但數據被篡改帶來的社會反響較大，對內業務如學術創新研究的集中規劃和分散執行管理涉及多層級協同，流程交叉繁復，數據全流程安全防護至關重要。計算可信架構中，數據計算環境、通信網絡、使用存儲和管理都應有完整的信任鏈，其技術控制點如下：（1）在數據采集、生產和服務階段采取防爬技術，細化數據訪問權限和訪問關系控制；（2）數據存儲時應設置數據安全域并開啟防擦除功能，配備數據庫審計，并實施數據的備份和恢復技術架構；（3）數據傳輸通道采用網絡層加密保護，對管理數據增加加密校驗機制，對于文獻服務和教學數據采用數據脫敏加密確保數據結構完整，以及采用水印技術利于泄密后溯源等等；（4）對于需高低安全域間跨網交換數據的業務，可設置代理服務器實施可信接入或設置防火網關完成內外數據擺渡，如理論學術網流媒體審聽代理。

（五）災難恢復技術保障

服務于安全運營的業務域安全架構，還可以通過結構性冗余設計來落實：（1）對于理論網等關鍵業務采用雙鏈路、雙機熱備或集群、負載均衡、軟件容錯等自適應安全架構設計，在實現硬件災備同時，強化數據和應用的容災和恢復能力，確保災難發生時業務系統按照預先定義的流程平滑切換、連續運行；（2）云計算虛擬化業務一般通過保證虛擬機漂移環境和數據與系統的云端CDP備份的方式實現冗余；（3）數據存儲一般通過磁盤熱備甚至基于 LUN 域冗余熱備的技術疊加方式保障數據安全。

（六）安全域邊界防護和入侵防范

不同的業務系統采用不同的安全域邊界入侵防范架構。（1）針對理論學術網、學術期刊網等對外提供 Web 服務的“門戶”，采用WAF對Web特有攻擊方式進行防護，其特征庫支持HTTP協議效驗、爬蟲規則、防盜鏈規則等多種細粒度匹配規則，相比基于包過濾和端口限制的邊界防護，WAF能對Web請求進行協議級解析，發現在數據層面構造的攻擊負載；若配合DNS牽引篩選非正常請求，由云端帶寬和服務器作為資源支撐，可瓦解DDos等拒絕服務攻擊；特別對等保3級系統，再引入云端威脅感知和IPS協同防御、內置網頁監控防篡改，構建“安全防護、安全監測與安全阻斷”三維一體結構，達成重塑網站邊界和智能縱深防御。（2）對內服務的業務域系統同樣應部署“邊界防護+IPS”來協同入侵防范與阻斷，防止系統因為不規范的數據傳輸被從服務端口植入木馬，即便單個設備失陷，風險在域內傳播也會很快被發現并阻斷。（3）Web門戶系統還可采用Web反向代理作為公網訪問地址，代為接收Web請求并提供應答，將真正Web服務器隱藏在內網。（4）所有業務域設置堡壘機作為綜合運維入口，根據運維者的角色和權責開具訪問權限，進行細粒度資源訪問控制，保證開放權限最小化[7]。

六、安全運營能力建設——安全運行管理中心

根據上述，業務域以“主機可信架構”結合“防火墻或WAF+IPS/安全通信”構造安全防護，人員區域（含互聯網服務）以“防火墻+態勢感知+郵件網關”和終端本身為防御邊界，輔以EDR防毒等內部防御，但這些基礎防御都是基于點位和單維策略的安全孤島，針對機構安全計算環境、安全區域邊界和安全通信網絡三個部分的安全機制，還應通過統一的“安全管理中心”來統籌多維網絡監測、統一審計，綜合分析把控整體安全態勢，并進行協同防護，才能預期對抗多維未知高級威脅攻擊。

管理中心需要集成四個維度的管理流程：對所有區域設置的安全監測、系統管理設備實施統一日志采集；對匯總的審計數據進行集中分析；對安全策略、漏洞補丁升級等事項進行集中管理；對安全風險事件進行預警和響應運維。管理中心實現的是傳統的安全監控分析和響應修復、安全人員、制度和流程有機結合的一套綜合監測攻防工作機制，在制度、流程和技術三要素中，制度是基于機構系統的安全要點和難點制定的策略、預案、操作規程，需融入整體安全管理工作任務處置的流程建設，而流程是制度和技術平臺的銜接。作為一個龐大的可度量的安全運維技術體系，其功能模塊、平臺架構等具體技術控制點需另文敘述[8]。

七、結語

以“三重防護”為基本，以“一個中心”為核心構建的機構網絡安全綜合技術模型，基于物理組網架構和客觀業務需求，構筑了橫向縱向網絡區域及邊界隔離，搭建可信通信機制、關鍵業務安全計算環境可信架構和入侵防范體系組成的可信安全機制，防御體系甚至延伸到端點層面，組成了一個安全結構矩陣。此中注重融合威脅情報，統籌安全、日志、管理信息有效集成，構建對未知威脅的主動發現能力，為安全運營注入了以主動加固、溯源聯動為策略的集中管控，形成具有縱深安全防御機制的基于實戰的網絡安全防護體系。

此外，依照等保 2.0 體系要求，在業務信息系統設計實施階段，就要按照“三同步”原則落實相應安全體系建設，落實項目管理安全責任，完善與管理中心融合的安全管理制度體系建設；同時，還要將安全技術能力與人的安全能力和修養建設有機整合，強化各級人員對網絡安全嚴峻形勢認識和安全操作技能，深耕日常運維工作，建設安全文化、安全生態。

參考文獻

[1]GB/T 22239-2019，《網絡安全等級保護基本要求》[S].2019.

[2]GB/T 25070-2019，《網絡安全等級保護安全設計技術要求》[S].北京：中國標準出版社，2020．

[3]何占博，王穎，劉軍.我國網絡安全等級保護現狀與2.0標準體系研究[J].信息技術與網絡安全，2019，38（3）：9-14+19.

[4]王斯梁，馮暄，蔡友保，等.等保2.0下的網絡安全態勢感知方案研究[J].信息安全研究，2019，5（9）：828-833.

[5]道法自然.對網絡安全態勢感知的理解和認識［J/OL］.https：//blog.csdn.net/wyqwilliam/article/details/82596594？spm，2018-09-10.

[6]Hunter.信息安全-如何使用新技術EDR保障終端安全［J/OL］.https：//blog.csdn.net/u010914634/article/details/105994727？spm，2020-05-08.

[7]張宇翔，陶源.基于等級保護與可信計算構建我國關鍵信息基礎設施保障體系[J].信息安全研究，2017，3（4）：375-381.

[8]GB/T 36958-2018，《網絡安全等級保護安全管理中心技術要求》[S].北京：中國標準出版社，2020.

作者單位：中國社會科學院當代中國研究所