漁船漁港異地容災(zāi)備份中心網(wǎng)絡(luò)安全及保護(hù)研究

虞嘉祿，倪晨瀚，徐碩，劉慧媛，孔淼

（1.上海市農(nóng)業(yè)農(nóng)村委員會，上海 200003；2.中國水產(chǎn)科學(xué)研究院漁業(yè)工程研究所，北京 100000）

漁船漁港異地容災(zāi)備份中心是建設(shè)海洋漁船通導(dǎo)與安全裝備項目中的重要內(nèi)容，項目由農(nóng)業(yè)農(nóng)村部漁業(yè)漁政管理局統(tǒng)籌規(guī)劃，沿海11 個省（區(qū)、市）和大連、青島、寧波、廈門4 個計劃單列市漁業(yè)主管廳/局共同出資建設(shè)，系統(tǒng)主要實現(xiàn)了沿海地區(qū)漁船位置數(shù)據(jù)、漁港基礎(chǔ)數(shù)據(jù)和漁政數(shù)據(jù)的集中備份、實時交換和統(tǒng)計分析功能。

在當(dāng)前信息化技術(shù)不斷發(fā)展，網(wǎng)絡(luò)規(guī)模迅速增大的時代，不論是個人的學(xué)習(xí)，還是企業(yè)、機關(guān)、國家的發(fā)展都離不開網(wǎng)絡(luò)系統(tǒng)，然而，隨著互聯(lián)網(wǎng)給我們生活帶來高效與便捷的同時，網(wǎng)絡(luò)攻擊也越來越嚴(yán)重，各種網(wǎng)絡(luò)攻擊手段和新型網(wǎng)絡(luò)攻擊工具帶來了更加嚴(yán)重的安全問題。面對如今較為嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境，如果憑借的單一類型的網(wǎng)絡(luò)安全設(shè)備，將難以滿足系統(tǒng)的安全需求，各類安全設(shè)備產(chǎn)生的安全事件，彼此間存在著關(guān)聯(lián)性弱，數(shù)據(jù)項數(shù)據(jù)格式不統(tǒng)一的情況，況且整個系統(tǒng)下的網(wǎng)絡(luò)安全設(shè)備數(shù)據(jù)更加復(fù)雜繁多。在此背景之下，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)運而生，通過此項技術(shù)，可以使安全管理人員能更簡單、更全面掌握網(wǎng)絡(luò)安全態(tài)勢，從而提高網(wǎng)絡(luò)安全防護(hù)能力[1]。

網(wǎng)絡(luò)安全態(tài)勢評估方法，目前較為常用的有以下三種：基于數(shù)學(xué)模型、基于知識推理和基于模式識別的方法[2]。具體方法有：層次化分析、馬爾科夫模型、DS證據(jù)理論等[3-8]。陳秀真等人提出了一種基于多層次的網(wǎng)絡(luò)安全威脅態(tài)勢評估方法，格局網(wǎng)絡(luò)主機及服務(wù)的重要性，來劃分設(shè)定不同的權(quán)重，并逐步計算出服務(wù)及主機的態(tài)勢威脅程度，據(jù)此進(jìn)一步計算出整個網(wǎng)絡(luò)的態(tài)勢威脅程度[9]。

其中層次化分析的定量評價體系是指，將網(wǎng)絡(luò)進(jìn)行層次劃分，結(jié)合資產(chǎn)信息、漏洞信息及攻擊威脅對各層態(tài)勢進(jìn)行計算，然后通過公式將各層態(tài)勢融合為整體網(wǎng)絡(luò)的態(tài)勢，以此達(dá)到對系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知的目的。此體系能夠較為充分地考慮影響網(wǎng)絡(luò)的大部分因素，使得態(tài)勢評估結(jié)果更加合理、準(zhǔn)確，因此本章采用此體系對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估，以期達(dá)到對系統(tǒng)網(wǎng)絡(luò)的全面性評估[10-16]。

本篇以漁船漁港異地容災(zāi)備份中心的網(wǎng)絡(luò)保護(hù)需求為起點，對于大型、多復(fù)雜度的網(wǎng)絡(luò)環(huán)境特性進(jìn)行網(wǎng)絡(luò)環(huán)境的全方位評估研究，目標(biāo)是讓安全管理工作人員進(jìn)一步加強對網(wǎng)絡(luò)環(huán)境的全面了解和理解。通過構(gòu)建基于分層感知技術(shù)的網(wǎng)絡(luò)態(tài)勢評估，探查網(wǎng)絡(luò)中存在的弱點及潛在風(fēng)險，對網(wǎng)絡(luò)攻擊威脅程度進(jìn)行量化，識別當(dāng)前網(wǎng)絡(luò)態(tài)勢，為網(wǎng)絡(luò)安全保護(hù)提供依據(jù)。

1 安全日志數(shù)據(jù)

漁船漁港異地容災(zāi)備份中心部署在中國水產(chǎn)科學(xué)研究院漁業(yè)工程研究所的容災(zāi)備份中心專用機房內(nèi)，網(wǎng)絡(luò)環(huán)境與基礎(chǔ)物理環(huán)境方面依托所信息中心提供安全管理服務(wù)，而服務(wù)器及軟件方面由軟件開發(fā)團隊提供運行維護(hù)支持。

本文收集2021 年期間網(wǎng)絡(luò)安全數(shù)據(jù)采集防火墻、入侵檢測系統(tǒng)、防病毒網(wǎng)關(guān)等安全設(shè)備的報警信息和日志信息，除此之外還收集了服務(wù)器、存儲等設(shè)備的告警日志。根據(jù)信息安全技術(shù)-安全漏洞等級劃分的導(dǎo)向，我們使用CNNVD 和CVE 等漏洞分類標(biāo)準(zhǔn)[17]來將先前收集的安全事件數(shù)據(jù)進(jìn)行信息過濾和威脅等級的識別。在處理后，我們共找到了5000 多個安全事件數(shù)據(jù)，包括源IP 地址、目標(biāo)IP 地址、源端口、目標(biāo)端口、發(fā)生時間、事件類型以及威脅等級等信息。詳細(xì)的提取信息如下表所示：

表1 規(guī)范化處理的報警含義表

根據(jù)攻擊對業(yè)務(wù)系統(tǒng)造成的損失程度對攻擊威脅等級進(jìn)行劃分[18]。例如獲得計算機控制權(quán)限，安裝惡意軟件，執(zhí)行有害代碼等，會使業(yè)務(wù)系統(tǒng)受到嚴(yán)重?fù)p害，這種攻擊等級相當(dāng)高；那些試圖獲取系統(tǒng)內(nèi)部信息的攻擊，雖然不直接破壞主機系統(tǒng)，但成功采集了業(yè)務(wù)系統(tǒng)的敏感信息，因此被認(rèn)為是中等；像網(wǎng)絡(luò)掃描、獲取網(wǎng)絡(luò)信息等攻擊，其對網(wǎng)絡(luò)的沖擊相對較小，所以其嚴(yán)重性被評定為較低，詳情的威脅等級劃分如下表所示：

表2 威脅等級劃分

2 威脅等級量化

在多傳感器信息融合過程中，權(quán)系數(shù)理論用于確定多個傳感器的權(quán)值[19]，將權(quán)系數(shù)理論與攻擊威脅等級劃分有機結(jié)合以確定攻擊威脅值。基于威脅等級越高，威脅值越大的原則，采用權(quán)系數(shù)分布函數(shù)，將威脅等級投射到(0,1]，以此達(dá)到攻擊等級的量化，并通過對權(quán)系數(shù)函數(shù)離散化操作，得出權(quán)系數(shù)公式：

其中n 為攻擊等級個數(shù)，i 表示攻擊威脅等級由高到低的序號，即i=0，1，2 時分別代表高、中、低。利用權(quán)系數(shù)公式，我們只需要確定了威脅的等級就能計算出攻擊的威脅值，這在一定程度上減少了主觀性的依賴。本次采集數(shù)據(jù)的攻擊類型和威脅因子如表3 所示。

表3 威脅類型和威脅因子

3 網(wǎng)絡(luò)安全態(tài)勢評估

3.1 層次化評估模型

通過分層感知技術(shù)，建立層次化網(wǎng)絡(luò)安全評估模型，將網(wǎng)絡(luò)劃分為服務(wù)、主機、網(wǎng)絡(luò)3 個層次。通過依次計算服務(wù)層、主機層的態(tài)勢值，最終將各個主機的主機層態(tài)勢融合為全網(wǎng)的態(tài)勢值[20]。其模型如圖1 所示：

圖1 層次化網(wǎng)絡(luò)安全態(tài)勢感知

3.2 服務(wù)層態(tài)勢

對服務(wù)態(tài)勢產(chǎn)生重大影響的要素包括攻擊威脅成分和攻擊幾率等，對于時間間隔Δt 內(nèi)，第k 個主機上的第j 個服務(wù)的態(tài)勢如下：

這個公式里，g 代表的是在指定時間范圍內(nèi)的所有攻擊發(fā)生的次數(shù)，m 是用來顯示第i 次攻擊發(fā)生的可能性，而f 則是指代第i 次攻擊所對應(yīng)的攻擊威脅因子值。

3.3 主機層態(tài)勢

主機的態(tài)勢由主機上運行的業(yè)務(wù)的狀態(tài)及其在主機上的重要性決定，在時間窗口Δt 內(nèi)，第k 臺主機的態(tài)勢值為：

在某段時間內(nèi)，位于該主機的服務(wù)狀態(tài)可以用向量Sk(t)=(sk1(t),sk2(t),…,skn (t)) 描繪，這里的n 代表該主機正在運行的服務(wù)總量。同時，主機上運行的服務(wù)的權(quán)重向量被定義為Vk(t)=(vk1,vk2,…,vkn)。服務(wù)權(quán)值為：

Suk(t)=(suk1,suk2,…,sukn)象征著在某一主機中應(yīng)用服務(wù)用戶數(shù)量的向量表達(dá)，Sf k(t)=(sfk1,sfk2,…,sfkn)則代表了該主機中每項服務(wù)被使用的向量。

3.4 網(wǎng)絡(luò)層態(tài)勢

網(wǎng)絡(luò)層的態(tài)勢是由網(wǎng)絡(luò)內(nèi)每個主機的態(tài)勢以及它們在網(wǎng)絡(luò)中所擁有的權(quán)重決定的，整個網(wǎng)絡(luò)的態(tài)勢為：

在公式中，主機的態(tài)勢向量定義為 H(t)=(h1(t);h2(t),…,hm(t))，而主機的權(quán)值則被表示為 L(t)=(l1,l2,…,lm)。網(wǎng)絡(luò)中擁有的主機數(shù)量是 m。

式中 ：m 為該網(wǎng)絡(luò)中的主機數(shù)量，Hu(t)=(hu1,hu2,…,hum)為網(wǎng)絡(luò)中各個主機用戶數(shù)量的向量，Hf (t)=(h f1,h f2,…,h fm)為網(wǎng)絡(luò)中各個主機使用頻率的向量。

通過態(tài)勢評估策略，可以準(zhǔn)確計算出網(wǎng)絡(luò)的安全狀態(tài)及其演化狀態(tài)。在網(wǎng)絡(luò)遭遇威脅的時候，通過觀察網(wǎng)絡(luò)態(tài)勢的變動曲線，管理人員能夠即時掌握網(wǎng)絡(luò)現(xiàn)狀，使管理人員可以迅速且精準(zhǔn)地找出威脅的源頭，并及時采取有效措施以保障網(wǎng)絡(luò)的安全性[21]。

3.5 評估結(jié)果

使依據(jù)2021 年某天的漁船漁港異地容災(zāi)備份中心部分流量數(shù)據(jù)，持續(xù)1000 分鐘的觀察時間被劃分為100 個每個10 分鐘的時間段進(jìn)行試驗。統(tǒng)計每個服務(wù)器的用戶數(shù)和使用頻率，從而決定每個服務(wù)器的權(quán)重，接下來將服務(wù)器的權(quán)重和服務(wù)器的態(tài)勢進(jìn)行合并，以計算出整個網(wǎng)絡(luò)的運行態(tài)勢。如圖2 所示。

圖2 主機層安全態(tài)勢

圖2 詳細(xì)展示了當(dāng)天遭受攻擊的連續(xù)性情況，并記錄下了兩次較為鮮明的波動。因此，我們應(yīng)該重點關(guān)注這些時間段主機的工作情況，定位并識別出那些異常的主機。網(wǎng)絡(luò)態(tài)勢圖精確地呈現(xiàn)了這一天中的實際攻擊事件，真實地反映了網(wǎng)絡(luò)當(dāng)天的運行情況。

4 安全防護(hù)策略

網(wǎng)絡(luò)安全隱患會隨著網(wǎng)絡(luò)攻擊方式的增加而增加，盡可能的對網(wǎng)絡(luò)環(huán)境進(jìn)行不斷改善和管理方式不斷優(yōu)化，提前采取有效的防護(hù)措施，可以在一定程度上有效避免安全事件的發(fā)生，從而減少系統(tǒng)受到攻擊的可能性及受到攻擊時的損失，能更好地維護(hù)整體網(wǎng)絡(luò)，保障系統(tǒng)的平穩(wěn)運行。[22-26]。針對本次采集的攻擊數(shù)據(jù)，對網(wǎng)絡(luò)安全的保護(hù)提出以下建議：

4.1 Web 應(yīng)用安全建議

（1）身份驗證：管理頁面采取強口令策略。系統(tǒng)登錄驗證口令具備一定的復(fù)雜度。常見的敏感帳號，如：root、admin、administrator 等，在系統(tǒng)安裝完成后將其改名或禁用。

（2）敏感數(shù)據(jù)保護(hù)：敏感數(shù)據(jù)加密存儲、加密傳輸。

（3）安全審計：發(fā)現(xiàn)非法訪問、非法篡改、業(yè)務(wù)異常等異常行為時，對安全信息進(jìn)行完整記錄，包括其發(fā)生時間、攻擊地址、攻擊次數(shù)等信息。

4.2 操作系統(tǒng)安全建議

（1）密碼策略：開發(fā)和管理操作系統(tǒng)安全的密碼策略，采用高強度密碼規(guī)則。

（2）文件系統(tǒng)策略：授予用戶對指定目錄的只讀權(quán)限。除了授予訪問權(quán)限的用戶外，所有用戶都拒絕訪問。

（3）操作系統(tǒng)最小化：除去不重要的應(yīng)用程序來減少可能的系統(tǒng)漏洞。

（4）記錄和監(jiān)控策略：定期審查監(jiān)控系統(tǒng)的日志文件，并限制用戶對系統(tǒng)日志文件的訪問權(quán)限，保護(hù)系統(tǒng)日志文件的安全免受篡改，及日志記錄配置文件的安全。

4.3 數(shù)據(jù)庫安全建議

（1）用戶策略：在配置數(shù)據(jù)庫帳戶時，確保該帳戶具有應(yīng)用系統(tǒng)的最低權(quán)限。任何額外的權(quán)限都可能成為潛在的攻擊點。

（2）漏洞補丁策略：定期安裝數(shù)據(jù)庫廠商提供的漏洞補丁。

（3）配置策略：對數(shù)據(jù)庫進(jìn)行安全配置，在充分考慮對應(yīng)用的影響后，盡可能開啟數(shù)據(jù)庫自身提供的安全設(shè)置將會極大降低被不法分子攻擊的成功率。

（4）密碼策略：配置高強度密碼，杜絕弱口令或默認(rèn)口令。

5 結(jié)論

本文以漁船漁港異地容災(zāi)備份中心不同安全檢測設(shè)備產(chǎn)生的攻擊日志和告警信息等數(shù)據(jù)為主要研究對象，對容災(zāi)備份中心網(wǎng)絡(luò)安全進(jìn)行分析研究。將分散的網(wǎng)絡(luò)安全事件進(jìn)行整合，化被動的防御模式為為主動感知威脅，由定性分析網(wǎng)絡(luò)安全現(xiàn)狀通過安全事件數(shù)據(jù)轉(zhuǎn)為定量分析，評估網(wǎng)絡(luò)安全態(tài)勢現(xiàn)狀，為威脅防護(hù)提供方法。采用層次化定量評估理論，借助網(wǎng)絡(luò)安全態(tài)勢的評估了解目前網(wǎng)絡(luò)環(huán)境所面對的安全風(fēng)險，并對這些潛在的危險和威脅的影響區(qū)域及其嚴(yán)重性進(jìn)行深入評估，以協(xié)助管理人員呈現(xiàn)當(dāng)前網(wǎng)絡(luò)的安全情況，進(jìn)而提供網(wǎng)絡(luò)安全防護(hù)的建議，并針對網(wǎng)絡(luò)安全防護(hù)展開研究。