網絡安全縱深防護體系實踐

周蒙 裘岱

摘? 要：網絡安全形勢風云詭譎，企業的傳統安全防護體系在面對高階持續攻擊時已無法實時監控系統持續運行、保護數據安全。為全方位保護企業的網絡安全，結合縱深防御的指導思想構建一套從主機、應用到網絡邊界的安全防護體系。利用技術手段實現多點實時檢測，結合威脅情報、日志安全分析以及自動化阻斷惡意訪問的安全防護體系，經過網絡安全攻防演練實戰檢驗，有效的告警信息和快速的處置手段可大幅減少應急響應處置的時間。

關鍵詞：網絡安全體系;縱深防護;實時監測

中圖分類號：TP393.08;TP308 ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）24-0097-04

Practice of Network Security in Depth Protection System

ZHOU Meng，QIU Dai

（SSE Infonet Co.，Ltd.，Shanghai? 201203，China）

Abstract：The situation of network security is changeable，and the traditional security protection system of enterprises has been unable to real-time monitor the continuous operation of the system and protect the data security in the face of high-level continuous attacks. In order to protect the network security of enterprises in an all-round way，combined with the guiding ideology of defense in depth，this paper constructs a set of security protection system from the host，application to the network boundary. Using technical means to achieve multi-point real-time detection，combined with threat intelligence，log security analysis and automatic blocking malicious access security protection system. Through the actual combat test of network security attack and defense drill，effective alarm information and fast disposal means can greatly reduce the time of emergency response disposal.

Keywords：network security system;depth protection;real-time monitoring

0? 引? 言

伴隨著投資者、上市公司等資本市場用戶對信息交互便捷性的追求，公司越來越多信息系統部署互聯網化。與此同時，全球互聯網安全攻擊數量持續攀升，信息泄露、“薅羊毛”等安全事件頻發[1，2]，網絡安全威脅穿透邊界防火墻、Web應用防火墻等邊界安全防護正在變得越來越容易。為更好地模擬網絡安全攻防實戰，上海證券交易所邀請實力強勁的攻擊隊從任意角度（互聯網、物理社工等）進行安全攻擊，上證所信息網絡有限公司作為上海證券交易所的子公司，是攻防演習中防守方。攻擊隊在過程中利用應用系統漏洞、中間件漏洞、人員信息意識薄弱等直接突破邊界安全防護，給公司現有的安全防護體系帶來了嚴峻挑戰。構建立體塔式、縱深的安全防護體系已迫在眉睫，從傳統的被動防御體系需要轉變為主動智能防御體系，從邊界安全防護轉變為縱深防御體系[3，4]。

1? 現狀分析

如圖1所示，傳統的被動和邊界防御體系通常在互聯網邊界處部署防火墻、應用防火墻（WAF）、入侵防御系統（IPS）抵御來自外部的惡意訪問，結合內部的安全管理流程實施安全防護。

圖1中所示架構（圖來源參見《網上銀行系統信息安全通用規范（2012）》，附錄B基本網絡安全防護架構參考圖），具備基礎的安全防護能力，但在面對網絡安全攻防演習實戰時進攻隊的高級持續攻擊，不足之處有：

（1）監控防御缺失。若攻擊流量穿透邊界防御，無法及時定位失陷服務器、分析失陷的源頭及泄露的數據情況等。

（2）被動安全防護。傳統架構的安全防護模式過于被動化，邊界安全設備防護策寬泛，未及時同步外部的威脅情報進行阻斷，且未實現安全風險自動識別、分析和處置等。

2? 解決方案

在發生安全事件時，需要第一時間判斷惡意攻擊者如何突破邊界（應用系統、網絡設備等）安全限制，以及是否在獲取服務器控制權后進行內部橫移操作。如圖2所示，以邊界至核心數據視角出發[4]，部署網絡層、應用層、主機和終端層安全防護，同步結合主動的欺騙性防御、定期的信息資產梳理以及實時的威脅情報，實現縱深安全防護。

2.1? 多點布控

在邊界網絡、內部網絡、主機、應用等全方位部署安全監控工具，實現多角度安全分析[5]。

2.1.1? 主機/終端層防護

主機服務器上部署著應用程序代碼、數據庫系統，是信息系統的核心資產，在主機服務器上安裝主機安全防護產品是安全運維的底線。主機安全防護系統如圖3所示，如主機入侵檢測系統（Host-based Intrusion Detection System，HIDS）、終端安全響應系統（EDR）。利用防護軟件可實時清點主機/終端中內部資產情況，并與風險和入侵事件自動關聯，提供主機層面的信息用于靈活高效的回溯。同步可以實時發現入侵事件，包括高危命令執行告警、shell及后門檢測告警、異常端口嗅探行為等，可協助運維人員快速防御和響應。

2.1.2? 網絡層監控

網絡層的流量監控作為安全威脅的溯源分析和影響判斷的數據來源，其重要性不言而喻。從信息系統數據的訪問入口出發，對下文所述兩個入口強化安全監控手段：

（1）用戶入口。優化應用安全防火墻WAF安全防護措施，形成閉環、高效的WAF運營機制并落地實施。在業務和研發充分溝通的基礎上，針對不同的應用系統的防護策略進一步細分，對應用系統制定“一系統，一策略”的定制化服務。不斷完善WAF策略，分級分類的粒度越細致、越準確，就越能在網絡攻擊防護和保障業務正常運行之間找到合理的平衡點，給安全事件發生后的決策層提供更多的控制選項。

但傳統的網絡邊界防護由于設備性能、檢測規則、隧道隱蔽及0day攻擊等各方面原因，存在繞過的可能性。在邊界安全設備后部署流量監測設備運用威脅情報、實時檢測引擎、文件虛擬執行、機器學習等技術，精準發現網絡中的入侵行為。同時，利用日志安全分析平臺對流量日志和終端日志進行存儲和查詢，結合威脅情報和攻擊鏈分析對事件進行分析、研判和響應處置，可以快速發現已知和未知的高級網絡攻擊。

（2）辦公/管理入口。很多時候，安全威脅不僅來自外部，更有可能來自內部。如員工的辦公終端安裝了開源軟件或者即時聊天工具，被惡意攻擊者通過社工或者技術手段獲取信息后實施安全攻擊。如圖4所示，在辦公/管理網絡安裝流量監控、辦公終端的防病毒管理和上網行為管理是構建基本的安全防護體系不可或缺的一部分。

2.1.3? 綜合研判處置

在實現對內部主機層、網絡層的安全監控加固后，搭建日志分析平臺，匯聚來自網絡設備、安全設備、主機服務器、應用中間件等日志，實現：

（1）統計安全監測設備中的告警列表，便于及時在邊界處配置訪問控制策略。

（2）安全事件溯源，在日志系統中可快速查找失陷主機的日志記錄，避免重復登錄主機以及主機日志丟失等情況。

傳統的安全防護是由運維人員將發現的惡意攻擊者的IP和域名輸入至安全設備，但是人工配置不僅時效低，還有錯誤率高的風險。構建自動化處置平臺，將日志安全分析結果和外部威脅情報進行進一步處置，無須運維人員登錄到每個安全設備上操作。

2.2? 主動防御

面對高級持續定向安全攻擊，主動安全防御已是企業保護自身安全的重要手段。

2.2.1? 資產梳理

利用主動掃描、被動流量監聽等手段對信息資產進行盤點，收斂互聯網暴露面，如限制向互聯網開放的管理頁面的訪問。同時，依據業務持續性、數據敏感性等條件對資產進行分類，依據分類等級投入不同的安全防護能力。

此外，在Github、Gitee、Coding等開源社區、網盤和文庫搜索業務系統關鍵字，查看是否存在業務系統資產泄露情況，防止泄露有價值的數字資產，形成完善的資產回收流程，輸出資產臺賬。

2.2.2? 欺騙性防御

為消耗攻擊者的精力，部署一整套具備交互能力的欺騙式防御系統。該系統重在偽裝和混淆，使用誤導、錯誤響應和其他技巧誘使攻擊者遠離真實資產，并將其引向蜜罐和其他誘騙系統，增加攻擊的難度和成本。

2.2.3? 情報監控

與行業內情報資源豐富的安全廠商協同合作，結合其威脅情報及時檢測、梳理和處置內部已經失陷主機或者存在高風險行為的主機，情報中主要的知識包括如文件HASH、IP、域名、程序運行路徑、注冊表項、上下文、機制、標示、含義等，以及相關的歸屬標簽。

3? 驗證

如表1所示，通過部署檢測、監控、分析及情報等平臺/系統，結合網絡邊界處的防火墻等安全設備進行高效的阻斷，一套可以發現、分析、處置的安全防護體系基本構建完成。一場網絡安全攻防實戰方可檢驗這套體系有效性。

驗證場景：如表2所示，T日18：30開始模擬攻擊，19：07攻擊者通過命令執行控制網站一臺MQ服務器，為避免對其他系統造成不可預計風險，不再進行橫向擴展入侵。為確保測試公正性，運維A組人員和運維B組人員互相之間不能互相聯系。

通過此次模擬攻擊測試，新的安全防護體系較之舊安全體系可以快速發現攻擊行為，定位安全問題/安全弱點，輔助運維小組更快的處置安全攻擊事件。

4? 不足與改進之處

利用主機設備的高危操作告警，流量監控的高效溯源，日志平臺快速定位問題以及威脅情報預警風險形成一套行之有效的安全體系。但一起安全事件中，需要運維人員干預的點仍然較多，如：需要在出現告警后及時查看流量監控平臺和日志安全分析平臺進行分析。后續可以繼續探索通過信息收集、典型安全事件場景演練以及行業的安全事件處置實踐經驗，對主機、流量監控以及情報告警進行場景化分析，通過用戶行為（UEBA）分析進行高風險行為識別，生成自動化封禁清單以及需進一步處置的每日安全調查事件清單。換而言之，跟蹤的主體對象在何時進行的何種異常操作，結合外部威脅情報分析是否有聚集現象，生成存在可信度較高的可疑主體對象并自動化在邊界安全設備中配置封禁策略。同時，安全運維人員根據可信度對安全事件進行問題定位和問題修復。

假設上述運維人員干預點的平均操作時間5分鐘（實際可能更久），若將上述人工干預點通過數據分析變成機器自動化處理，那么至少可以將安全事件的處置時間縮短至少20分鐘。在安全事件處置過程中，爭取的這段寶貴的時間可以有效保護信息資產免于遭受進一步的泄露和破壞。

5? 結? 論

攻防實戰的結果驗證了完善后安全防護體系的有效性，將安全事件的影響范圍、應急處置時間大幅壓縮，同時為確定事件的影響范圍、處置分析決策提供有力支撐。后續將進一步研究如何將需要人工參與處置的部分電子化、流程化，進一步提升安全事件的應急處置時效，提供更好的保障同時，繼續堅持模擬對抗、以攻促防，在實踐中不斷檢驗和提升網絡安全防護水平，為我國證券市場發展保駕護航。

參考文獻：

[1] 高博.基于大數據的計算機網絡安全體系構建對策 [J].現代信息科技，2020，4（12）：134-135+139.

[2] 張學林.計算機網絡安全防護體系的建設研究 [J].網絡安全技術與應用，2015（2）：140+144.

[3] 孫華山，張茂興.大數據背景下關于網絡信息系統安全形勢的研究 [J].信息系統工程，2019（12）：60-61.

[4] 趙峰，馬躍強.基于等保2.0工業控制系統網絡安全技術防護方案的設計 [J].網絡安全技術與應用，2020（5）：109-111.

[5] 程永昕.計算機網絡安全防護體系的建設 [J].傳播力研究，2020，4（1）：182+184.

作者簡介：周蒙（1989—），女，漢族，江蘇東臺人，工程師，碩士，研究方向：計算機應用技術、網絡安全、應用安全SDL管理。