校園網安全態勢感知研究與應用

（南京旅游職業學院，江蘇 南京 211100）

1 背景

一方面，網絡安全法第二十五條規定明確了網絡安全運營者承擔有制定應急預案、及時處置風險的義務。2018 年4 月20 日，習近平總書記在網絡安全和信息化工作會議上明確提出“要落實關鍵信息基礎設施防護責任，加強網絡安全信息統籌機制、手段、平臺建設，加強網絡安全事件應急指揮能力建設，做到關口前移，防患于未然”。2019年5 月《等級保護2.0 標準》正式發布，對網絡安全態勢感知建設及安全運維管理提出了明確要求。

另一方面，隨著南旅院信息化建設規模的不斷擴大，網絡安全設備、服務器、虛擬機以及PC 終端，將會持續產生安全日志，對日常安全運營產生嚴峻挑戰。如果缺乏統一，全網的安全隱患和安全事件運營管理機制，將會導致安全隱患發現不及時甚至無法發現，安全事件難定位、應急處置不及時。尤其在出現嚴重安全事件時，傳統的定期風險評估及決策，經常貽誤對安全事件進行處置的最佳時機，造成安全事件大范圍蔓延，事件等級擴大的嚴重后果。隨著南旅院的信息化發展，數據越來越集中、業務對IT 基礎設施的依賴度越來越大，一旦對安全風險發現不及時或出現較大安全事件處置不及時將會對我院造成不可估量的影響。

由此可見有效健全的信息安全保衛工作非常重要，我們需要參照《國家網絡安全法》、《等級保護2.0 標準》、《國家網絡安全應急預案》，配套建立常態化、長效化的新型安全運營指揮技術和管理體系；通過自動化的手段，以科學合理的方法實現最短時間內協調設備資源、人力資源、管理資源，對安全事件進行有效處置，并實現統一的網絡安全協同運營，保障南旅院網絡空間安全、穩定，相關系統持續、有序、安全運轉。

2 南旅院網絡安全現狀與挑戰

2.1 外部威脅挑戰

目前國內從事“黑灰產”人員眾多，網絡安全漏洞形勢越來越嚴峻。黑客攻擊手段更加智能、復雜。攻擊目標從最初的黑客炫耀、破壞、竊取數據，轉向以牟利為主的黑灰產產業化運作為主，如僵尸網絡、挖礦程序、用戶數據竊取等。攻擊手段也從在最開始的僵木蠕、漏洞利用、口令入侵為主，演變成更加復雜的攻擊方式，例如APT 攻擊、社會工程學、水坑攻擊等。攻擊層面也從最初的網絡層攻擊如DDOS、身份冒仿等，向應用層的攻擊如應用層漏洞利用、SQL 注入、XSS 攻擊等演進。勒索病毒、未知惡意代碼具備較強的破壞能力。2017 年5 月12 日開始，在全球蔓延的WannaCry 勒索病毒已經席卷了至少150 個國家的20 萬臺電腦。而前防病毒軟件或硬件網關，基本上以依靠病毒特征庫為主，而針對經過變種的病毒、木馬或者未知惡意代碼，不具備監測能力。

2.2 內部運維現狀

目前南旅院已經購置了一定數量的防火墻、WAF、日志審計等網絡安全設備、眾多的網絡安全設備和組件，將產生大量的安全事件告警信息，以及大量的維護與設置需求。如果沒有統一的智能的安全事件處理運營中心，安全運維管理工作將難以開展。當前我院的網絡安全建設已經取得一定的成績，但是依然缺乏有效的監測預警手段。安全信息采集整合分析能力不足，不能掌握整體安全態勢、網絡與安全防護能力。現有的網絡和平臺安全系統難以從不同維度進行網絡安全態勢分析，也不能支撐不同范圍的網絡空間安全決策分析，無法快速直觀為各層次決策人員提供決策分析依據。

并且由于缺失專業化工具，不能做到對安全事件的可視化管理和深度關聯分析，造成安全風險不能及時發現，安全事件不能及時處置。現有防護檢測技術手段，自動化程度低。當今威脅不斷升級，系統化的防御思路也需要不斷升級來應對泛化的威脅，例如協同聯動能力缺失、威脅無法有效識別、威脅無法快速處置等問題。

總而言之，南旅院目前網絡安全架構無法滿足事前、事中、事后的安全規范。已有的出口防火墻、WAF 防御等網絡安全產品均屬于事中防御，無法提前預警，比如無法防御挖礦、勒索病毒等，也無法事后追溯審計、修復安全隱患。

3 南旅院校園網態勢感知建設需求

3.1 簡化運維需求

當前運維環境復雜、外部威脅形勢嚴峻、運維自動化化程度低的形勢下，我們希望通過建設一個本地化的安全運營系統來快速發現運維問題、有效分析運維問題、快速解決運維問題，其本質就是實現簡化運維的最終目標。

3.2 持續優化需求

當前網絡黑客、有組織的犯罪團體甚至針對性的惡意破壞者或網絡間諜，他們的能力和破壞力正日漸增長，所以我院的本地安全能力中心也應持續優化升級，從“被動防守”轉向“積極防御”。

3.3 整體管理需求

雖然我院已經在網絡中部署了一定數量的安全系統和相應的防護設備，但是管理人員依然無法快速準確的掌握網絡整體運行的狀況，每種安全設備都僅僅從各自的角度反映某個層面的安全問題，整體性管理欠缺，領導層對網絡安全情況不能一目了然。

4 校園網態勢感知建設依據

4.1 法規/標準

1.法規政策：

《中華人民共和國網絡安全法》（2017年6月1 日起施行）

《國家網絡安全事件應急預案》（中網辦發文[2017]4 號）

國際標準：

ISO 27000 系列標準

ISO/IEC 31000 風險管理標準

2.國家標準：

GB/T22239-2019 信息安全技術網絡安全等級保護基本要求

GB/T24364-2009 信息安全風險管理指南

GB/T20985-2007 信息安全事件管理指南

GB/T20986-2007 信息安全事件分類分級指南

4.2 國內外安全體系研究現狀

4.2.1 IATF 框架

IATF，《信息保障技術框架》（IATF：Information Assurance Technical Framework)是美國國家安全局（NSA）National Security Agency 制定，用于描述其信息保障的指導性文件。IATF 提出的信息保障的核心思想是縱深防御戰略（Defense in Depth）。在縱深防御戰略中指出，人、技術和操作（operations 也可以譯為流程）是三個主要核心因素，要保障信息及信息系統的安全，三者缺一不可。人是信息系統的主體，是信息系統的擁有者、管理者和使用者，是信息保障體系核心[1]。

4.2.2 自適應安全框架

自適應安全框架（ASA）是Gartner 于2014 年提出的面向下一代的安全體系框架，以應對云大物移智時代所面臨的安全形勢。自適應安全框架（ASA）從預測、防御、檢測、響應四個維度，強調安全防護是一個持續處理的、循環的過程，細粒度、多角度、持續化的對安全威脅進行實時動態分析，自動適應不斷變化的網絡和威脅環境，并不斷優化自身的安全防御機制。

相對于PDR 模型[2]，自適應安全框架（ASA）框架增加了安全威脅“預測”的環節，其目的在于通過主動學習并識別未知的異常事件來嗅探潛在的、未暴露的安全威脅，更深入的詮釋了“主動防御”的思想理念，這也是網絡安全2.0 時代新防御體系的核心內容之一。

作為面向未來的新一代安全能力中心，必然需要面臨日趨緊張的網絡安全威脅，防御、檢測、響應甚至預測的有效性、主動性，關乎運營中心存在的根本價值和意義。遵循ASA 自適應安全框架，對于指導本項目的科學性建設和先進性建設具有重要意義。

4.2.3 新時期的等級保護體系

為配合網絡安全法的實施，同時適應云計算、移動互聯、物聯網和工業控制等新技術條件下網絡安全等級保護工作的開展，2019 年5 月13 日，《GB/T22239-2019 信息安全技術網絡安全等級保護基本要求》正式發布，標志著我國網絡安全等級保護工作正式進入2.0 時代。等保2.0 以保護國家關鍵信息基礎設施為重點，為有效應對國際網絡空間安全形勢，等保2.0 不僅擴大了保護對象的范圍而且提出了三重防御的思想：主動防御、綜合防御、縱深防御[3]。

該特點與ASA 自適應安全模型相呼應，作為等保2.0合規要求的重要組成部分，新時期的安全運營平臺也應具備主動防御、綜合防御、縱深防御的特點。

5 南旅院校園網態勢感知建設方案設計及實施

5.1 方案設計

深信服于2018 年提出的APDRO 的智安全模型[4]，通過智能（Artificial Intelligence）、防御（Protect）、檢測（Detect）、響應（Response）、運營（Operate）這五個功能，能夠有效、智能的防御和檢測網絡安全狀況，大大提高威脅響應速度，并縮減了運維開支，動態的實現安全閉環。

南旅院現有的安全防御缺乏統一管理與協同共享，只能看見碎片化的局部安全，不利于整體的安全認知。基于APDRO 的智安全模型和南旅院網絡安全運營業務的現狀，同時結合IATF 信息保障技術框架、ASA 自適應安全模型、等保2.0 等國內外目前被廣泛應用的技術標準，建立了一套以安全可視和協同防御為核心，智能化、精準化、具備協同聯動防御能力及人工專家應急的大數據安全分析平臺和統一運營中心。

該平臺設計以全流量分析為基礎，基于探針安全組件采集全網的關鍵數據，結合威脅情報、行為分析、UEBA[5]、機器學習、大數據關聯分析、可視化等技術對全網流量實現全網業務可視和威脅感知，從而實現提高事件響應的速度和高級威脅發現的能力，便于應急響應，并讓安全可感知、易運營。

該方案結合了南旅院網絡安全現狀與挑戰的需求，實現了南旅院校園外網、內網全面的安全檢測，有效識別來自外網及內網的安全風險，并直觀的展現在界面上。并且提供校園網業務、用戶風險的報告，內容豐富直觀，可實時了解網絡和業務系統的安全差誤，讓安全可感知，安全易運營，有效提升管理效率、降低運維成本。

5.2 方案實施

方案實施前外網訪問內網時，流量首先經過阿姆瑞特防火墻，經防火墻檢測掃描后進入到AC；AC 進行流量管控后到達NIPS，NIPS 對其進行防御檢測，通過后進入核心交換機；再經網瑞達返代進行地址返代；深信服LSA 進行日志審計，流量采集，實時監控；最后經過綠盟漏掃對其進行漏洞掃描，到達二層交換機，進入內網，抵達用戶終端。

本方案主要新增了深信服態勢感知平臺SIP 和深信服探針STA，收集鏡像的流量數據，并將流量數據進行分析生成安全日志后。上傳到SIP，SIP 再基于大數據、機器學習對數據進行匯總分析處理實現了對全網流量實現全網業務可視化、威脅可視化、攻擊與可疑流量可視化。

5.3 方案總結

5.3.1 風險主機檢測

發現檢測內網發現的失陷業務服務器、和失陷終端，并舉證出安全事件，和對應的解決辦法建議。

5.3.2 事件分析

從外部攻擊、外連風險、橫向攻擊三個維度發現內網存在的安全問題，如主機存在異常的外連行為可能懷疑是存在風險，還可以分析文件威脅與郵件威脅。

5.3.3 資產感知

檢測出內網存在的業務服務器或終端，用于資產梳理，當檢測出內網存在未使用的服務器，可能存在被做為跳板機的風險。

5.3.4 脆弱性感知

檢測當前業務系統存在的脆弱性問題，對服務器漏洞進行檢測，弱密碼，Web 明文傳輸，配置風險。

6 結語

經過多方位測試，南旅院校園網安全態勢感知平臺各項功能均正常運營，能夠實現全面的實時監測、易運營的運維處置、可感知的威脅告警、多維度的安全可視預警、有效數據提取，方便追蹤溯源，為南旅院的網絡安全保駕護航。