公安信息網(wǎng)安全防護體系建設(shè)

◆余 毅 劉 亮 袁 俊

（武漢市公安局科技信息化處 湖北 430000）

公安信息網(wǎng)與互聯(lián)網(wǎng)不同，其處于一個較為封閉的網(wǎng)絡(luò)環(huán)境中，但也存在著病毒入侵無法及時感知、系統(tǒng)補丁無法及時更新、各區(qū)域之間缺乏安全防護等典型問題。由于網(wǎng)絡(luò)信息安全是一個系統(tǒng)工程，網(wǎng)絡(luò)上的攻擊行為和方法也急劇增長，造成的安全損失也越來越大。從目前公安信息網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)來看，其發(fā)展目前還存在很多問題，主要可以總結(jié)為以下幾點：

第一，網(wǎng)段邊界問題。對于當(dāng)前公安信息網(wǎng)對網(wǎng)絡(luò)而言，各個網(wǎng)段之間的邊界非常模糊，由此導(dǎo)致控制力度不足，一大網(wǎng)絡(luò)感染病毒、出現(xiàn)黑客攻擊等，這些事件就很容易在網(wǎng)絡(luò)中傳播。由網(wǎng)段邊界模糊所導(dǎo)致的安全問題，可以分為以下幾種：（1）信息外泄。互聯(lián)網(wǎng)的特點是資源共享，但是并不是所有的資源和信息都是共享的，如果其他用戶沒有得到授權(quán)，就獲得了信息資源，那么這個信息資源就被外泄了。（2）入侵渠道。在互聯(lián)網(wǎng)的汪洋大海中，存在著各種各樣的組織和團伙，入侵就是有團伙或個人，利用互聯(lián)網(wǎng)的連通性，進入某一網(wǎng)絡(luò)，對該網(wǎng)絡(luò)上的內(nèi)容進行了篡改，對該網(wǎng)絡(luò)進行了破壞，造成網(wǎng)絡(luò)癱瘓。（3）網(wǎng)絡(luò)病毒。在現(xiàn)有的互聯(lián)網(wǎng)當(dāng)中，并非所有的網(wǎng)絡(luò)都是安全的，在這些網(wǎng)絡(luò)進行互聯(lián)和通訊的過程中，可能會導(dǎo)致病毒的傳染，一旦病毒傳播加大，網(wǎng)絡(luò)中相關(guān)的功能就會受到影響，但是人們很難把握病毒的傳播規(guī)律，因為其具有隨機性和不確定性。與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來病毒，一旦在目標(biāo)網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機特性。（4）木馬入侵。木馬病毒有兩個危害，一個是信息盜取，一個是資源盜取，例如“僵尸網(wǎng)絡(luò)”。

第二，多數(shù)業(yè)務(wù)網(wǎng)段間僅采用VLAN隔離，存在較大風(fēng)險。由于人為因素并不能完全通過技術(shù)的手段解決，因此通過技術(shù)與管理雙管齊下才能真正解決問題。人為因素例如缺乏意識、操作不合規(guī)、主觀疏忽、管理漏洞、規(guī)避復(fù)雜行政審批環(huán)節(jié)。下面幾點均是工作部署中在內(nèi)網(wǎng)中發(fā)現(xiàn)的典型現(xiàn)象，如弱密碼登錄問題、管理機制漏洞問題、安全意識不足、內(nèi)網(wǎng)流程煩瑣等等。

第三，系統(tǒng)存在大量主機漏洞，業(yè)務(wù)系統(tǒng)存在資產(chǎn)竊取或被破壞風(fēng)險。對于公安信息網(wǎng)而言，其終端系統(tǒng)不同于一般網(wǎng)絡(luò)的終端系統(tǒng)，隨意性較強，組成復(fù)雜，而在網(wǎng)絡(luò)安全問題當(dāng)中，很多安全問題都是由終端系統(tǒng)的漏洞引起的，并且這類問題難以預(yù)防。在很多木馬病毒的攻擊當(dāng)中，針對終端系統(tǒng)的安全漏洞進行攻擊。要防止這類安全事件，就要定期對系統(tǒng)的各種安全漏洞進行修補，及時更新各種補丁。隨著網(wǎng)絡(luò)安全的發(fā)展，越來越多的公安網(wǎng)絡(luò)管理者是重視補丁升級，但是由于漏洞補丁程序繁雜，所以終端系統(tǒng)以及服務(wù)器的運行速度受到了制約。

因此，本文從病毒入侵檢測、病毒攻擊防御、網(wǎng)絡(luò)風(fēng)險管理、系統(tǒng)補丁加固幾個角度對公安信息網(wǎng)面臨的威脅進行全面分析，構(gòu)建基于“云、管、端”協(xié)同一體化的公安信息網(wǎng)安全防護體系，基于云端實現(xiàn)自動化病毒入侵協(xié)同感知，基于管道側(cè)完成定向安全推送及安全服務(wù)傳遞，基于終端實現(xiàn)實時動態(tài)病毒防御及補丁更新加固，從而構(gòu)建一體化的安全防護體系與框架，完成病毒入侵檢測、系統(tǒng)動態(tài)防御、安全補丁及時更新等典型化安全目標(biāo)。

1 研究現(xiàn)狀

“云、管、端”通信模式具有按需化服務(wù)、遠(yuǎn)程接入、資源虛擬化、多用戶終端等特征[1]，雖然這種通信模式有利于用戶提高計算效率，但是這種模式也帶來了安全隱患。

目前，各種設(shè)備終端越來越呈現(xiàn)智能化和集成化，并且與互聯(lián)網(wǎng)或者云平臺廣泛連接，以及與信息管理系統(tǒng)相集成，產(chǎn)生了大量的信息交互需求，從而給信息安全帶來了潛在威脅。其中，比較典型是工業(yè)控制系統(tǒng)面臨的信息安全問題[2，3]。一個大型的工業(yè)控制系統(tǒng)中往往可能遭受以上幾種方式的組合攻擊，比較典型的是高級持續(xù)攻擊（Advanced Persistent Threat， APT）[4，5]。

針對信息傳輸網(wǎng)絡(luò)，其中一種攻擊方式就是，通過發(fā)送大量的正常的服務(wù)請求，實現(xiàn)對服務(wù)器資源的浪費，從而影響用戶的正常服務(wù)請求，通過擾亂傳輸網(wǎng)絡(luò)系統(tǒng)中的流量信息來使系統(tǒng)崩潰。典型的攻擊方式稱之為分布式拒絕服務(wù)攻擊（Distributed Denial of Service，簡稱 DDoS）[5，6，7]。

云計算是當(dāng)前信息技術(shù)領(lǐng)域關(guān)注的焦點，通過虛擬化技術(shù)，形成巨大的共享資源池。然而，隨著云計算技術(shù)的不斷普及和推廣，云計算安全問題是云計算業(yè)務(wù)當(dāng)中一個必須要考慮的問題，。具體來講，對于云計算而言，主要面臨以下安全隱患：賬戶控制、多租戶問題、數(shù)據(jù)控制問題、惡意攻擊以及管理控制臺安全等。總結(jié)起來主要有：（1）由于云計算特殊的服務(wù)模式，引發(fā)網(wǎng)絡(luò)安全問題；（2）由于云計算采用動態(tài)虛擬化管理方法，也帶來了不可避免的安全隱患；（3）云計算采用多層服務(wù)模式，這也可能會引發(fā)的安全問題。

2 基于“云、管、端”的下一代公安信息網(wǎng)安全防護體系

基于以上的分析，本文設(shè)計了一個框架，用于下一代公安信息網(wǎng)絡(luò)安全保護體系的設(shè)計，，由該框架所指導(dǎo)的網(wǎng)絡(luò)安全服務(wù)設(shè)計，能夠在新一代云端虛擬化環(huán)境當(dāng)中，處理好安全易的邊界動態(tài)變化，適應(yīng)被保護對象資源的動態(tài)伸縮，能夠為公安信息網(wǎng)的防病毒需求提供按需準(zhǔn)確的安全服務(wù)。系統(tǒng)設(shè)計架構(gòu)圖如圖1所示。

如圖所示，面向“云、管、端”的公安信息網(wǎng)防病毒分析是主要通過收集和分析信息終端、信息傳輸網(wǎng)絡(luò)和云計算平臺中產(chǎn)生的海量與安全相關(guān)的數(shù)據(jù)，采取實時的安全關(guān)聯(lián)分析，以檢測系統(tǒng)的漏洞和防御入侵，達(dá)到病毒入侵檢測、病毒攻擊防御、網(wǎng)絡(luò)風(fēng)險管理、系統(tǒng)補丁加固的目標(biāo)。本系統(tǒng)架構(gòu)依托大數(shù)據(jù)的關(guān)聯(lián)分析能力，從“云、管、端”整體架構(gòu)的思想出發(fā)，將“云”、“管”、“端”三部分進行解耦合，采用 SDN技術(shù)提出一種面向大數(shù)據(jù)的“端-管-云”的公安信息網(wǎng)安全防護體系，通過將各部分的實現(xiàn)細(xì)節(jié)進行抽象后，構(gòu)建出統(tǒng)一的系統(tǒng)架構(gòu)。

安全服務(wù)門戶有兩大功能，其一是實現(xiàn)服務(wù)可視化，其二是向公安信息網(wǎng)的注冊用戶提供人機接口，用于安全服務(wù)的人機交互。上述人機接口為用戶選擇和定制服務(wù)提供了便利，例如，對內(nèi)部網(wǎng)絡(luò)用戶而言，他可以，從其網(wǎng)絡(luò)中劃分一個VLAN，并為該VLAN設(shè)置一個防火墻和一個Web應(yīng)用網(wǎng)關(guān)，在這個過程當(dāng)中，服務(wù)對象是VLAN，具體的服務(wù)是防火墻和WAF服務(wù)，對于用戶所選擇的服務(wù)，還可以對所需處理流量的大小進行設(shè)置。集成化管理中心負(fù)責(zé)封裝和管理服務(wù)中心。安全服務(wù)的配置需要對目標(biāo)流量進行導(dǎo)流和分流的處理，進而傳遞到安全服務(wù)平臺的資源池展開安全服務(wù)。終端流量的導(dǎo)引和處理主要通過SDN核心控制器的流表配置進行控制，流表規(guī)則的修改可靈活掌控流量數(shù)據(jù)的傳輸規(guī)則。

圖1 下一代公安信息網(wǎng)安全體系結(jié)構(gòu)框架圖

通過安全服務(wù)資源庫，可以為用戶提供安全服務(wù)，防護病毒安全服務(wù)的中心內(nèi)容，也來源于此。本系統(tǒng)構(gòu)建安全資源池服務(wù)通道，用于補充支持基于Openflow控制流模式的SDN交換機。安全服務(wù)系統(tǒng)主要包括以下幾大組件：服務(wù)對象、承載通道、服務(wù)實施端，其中服務(wù)對象安全易的定義以軟件為基礎(chǔ)，使用虛擬探針技術(shù)按照安全域的粒度把流量進行安全域?qū)哟蔚膭澐郑M而導(dǎo)入不同的承載通道中；通道技術(shù)通過流的方式來實現(xiàn)，實現(xiàn)的場所是SDN交換機，通過安全策略的轉(zhuǎn)換，可以得到Openflow，而過Openflow來控制相應(yīng)的規(guī)則，就可以將符合一定規(guī)則的網(wǎng)絡(luò)流引導(dǎo)到正確的網(wǎng)絡(luò)接口上，物理的安全防御設(shè)備用于支撐接口，如NGFW、VDS、IDS等；服務(wù)端的安全設(shè)備主要來源于以下兩類常態(tài)化網(wǎng)絡(luò)安全設(shè)備和產(chǎn)品：一類是從旁路渠道接入，另一類是從創(chuàng)新渠道接入。如果一個安全設(shè)備不支持自身虛擬化，其資源池由一組輕量級的設(shè)備組成（如10兆或百兆級別），對接入端口的負(fù)載的控制，則通過基于Openflow協(xié)議來實現(xiàn)，從而達(dá)成按需的安全服務(wù)的伸縮能力。

全網(wǎng)絡(luò)流存儲可以有效地實現(xiàn)事后的取證和分析，特別在對于云計算這樣一個相對較為陌生，安全問題處于不斷被暴露和被挖掘過程中的環(huán)境中，而對于如 APT等有特定目的性的、多階段的高級攻擊手段的檢測也具有較通常實時監(jiān)控的安全方法具有更好的檢測能力。對存儲的網(wǎng)絡(luò)流的檢測相對于實時的檢測將會是大數(shù)據(jù)級別的，這里需要在存儲策略、存儲方式、檢測分析方法等方面進行相應(yīng)的研究和探索，以實現(xiàn)充分利用下一代安全防御體系的強大分析能力，快速有效的從海量數(shù)據(jù)中獲取真正有用的信息。下一代安全防御體系不斷采集來自信息終端控制系統(tǒng)、信息傳輸網(wǎng)絡(luò)和云計算平臺的安全事件進行存儲，并對所采集的數(shù)據(jù)進行集成、映射、關(guān)聯(lián)和約簡等一系列的關(guān)聯(lián)數(shù)據(jù)分析處理，最終通過高級智能化的安全分析實現(xiàn)對信息安全事件的檢測和深度挖掘。

3 結(jié)束語

公安信息網(wǎng)安全防護體系是未來用于保障公安信息網(wǎng)系統(tǒng)安全的根本所在。因此，在信息技術(shù)高速發(fā)展的今天，發(fā)展我國面向公安信息網(wǎng)的自主可控防病毒安全防護體系已經(jīng)到了刻不容緩的地步。本文從終端節(jié)點、管道側(cè)和云服務(wù)端三個層面詳細(xì)分析了面向公安信息網(wǎng)的安全防護體系構(gòu)建方法，提出一種基于終端節(jié)點病毒行為特征分析，并結(jié)合管道側(cè)數(shù)據(jù)流傳遞，進而在云端展開病毒檢測與防御的公安信息網(wǎng)安全防護體系，提高公安信息網(wǎng)信息服務(wù)的安全性，讓公安信息系統(tǒng)具有一定的自主性，并且可控，進而促進公安業(yè)務(wù)信息化的發(fā)展。