基于流量分析的移動基線安全檢測系統設計

李愿軍 付躍軍 雷西勇

（1.貴州中煙工業有限責任公司 貴州省貴陽市 550001 2.銅仁卷煙廠 貴州省銅仁市 554300）

作為網絡安全管理中的一項基本管理要求，《GBT22239-2019信息安全技術網絡安全等級保護基本要求》中對于各類業務的信息基礎設施，提出了各種不同的配置要求。對于煙草行業而言，無論是在物理層面、網絡層面還是數據層面、終端層面都承載著企業發展過程中各類軟硬件的高要求[1]。其中物理安全基線要求27 條，網絡安全基線要求39 條，主機安全基線要求25 條，應用安全基線要求30 條，數據安全基線要求12 條，終端安全基線要求15 條；采用人工方式進行安全基線核查存在費時低效、標準不統一、不能定時檢查、檢查不全面等各種問題[2]。當前基線配置核查管理的難點在于費時低效：檢查1000 臺設備，需要1 個專業人員40 天才能完成；標準不統一；不能定時檢查；采取抽查的方式，無法覆蓋全網設備；涉事資產是否整改，無法回歸驗證，無法建立有效的閉環管理機制等。因此，設定統一的安全基線配置核查指標，保障核心生產業務的安全持續運營，需建立一套符合銅仁卷煙廠乃至煙草行業網絡安全特點的“移動基線安全檢測系統”[3]?；诖耍疚拈_展基于流量分析的移動基線安全檢測系統設計研究。

1 基于流量分析的移動基線安全檢測系統硬件設計

1.1 系統硬件結構框架設計

本文提出的基于流量分析的移動基線安全檢測系統為滿足對基線安全的檢測需求，其整體結構包括基于流量分析的移動基線安全檢測系統模塊[4]。其中，標準策略庫主要是針對各類信息設備進行核查，并根據銅仁卷煙廠在運行過程中其移動基線合規要求建立相應的配置標準。圖1為基于流量分析的移動基線安全檢測系統硬件結構框架示意圖。

如圖1所示，基于流量分析的移動基線安全檢測系統硬件結構可劃分為數據采集層、存儲層、處理層和展示層。

數據采集層通過U 盤數據采集代理，對Windows、Linux、Unix、中標麒麟等系統數據源進行數據采集。

存儲層主要是將采集的數據和數據處理分析后的數據進行存儲，主要包括：采集信息庫、合規結果庫、CheckList 信息等。

數據處理層，對采集的數據進行分析，形成有價值的合規分析結果。

展示層則是以監測報告的形式，讓數據以更直觀的方式呈現在用戶面前。同一種設備可以對掃描的不符合項進行確認定性為特定忽略并描述其原因，可解決不同情況不同標準的問題，完成從檢查標準中體現針對工控系統的特點。

1.2 系統服務器選型

為滿足本文系統的數據采集和存儲要求，本文選用Poweredge R150-25 型號64G 服務器作為本文系統的數據采集服務器，選用Poweredge R150-25 型號128G 服務器作為數據存儲服務器。該型號服務器當中包含E6-564V7 型號CPU 兩顆；內存大小為64G 2400T；硬盤為550GBSAS58K 共三塊；陣列卡（RAID 卡）選用H725 型號，支持4G/5G 緩存；電源為750W 雙電型電源結構。將Poweredge R150-25 型號服務器通過硬件陣列控制器進行連接，能夠有效提高磁盤的IO 性能。同時，Poweredge R150-25 型號服務器支持多個協議同時運行，為實現對移動基線的檢測，本文選用SMB 協議對系統進行不需要安裝代理的服務和啟動服務[5]。同時，為實現本文系統的數據通信，采用端口3389 型號完成RDP 通信。通過該結構的支撐可有效提高終端服務器環境安全以及抵御黑客的非法入侵。同時，在Poweredge R150-25 型號服務器當中引入自動探測功能，自動探測被檢測的操作類型及版本，無須再錄入相關信息，從而降低了對設備信息的收集時間，節約對數據的錄入時間，從而提高了本文系統在應用過程中的便利性和人性化設計。

2 基于流量分析的移動基線安全檢測系統軟件設計

2.1 移動基線自動采集和可視化展現

通過自定義策略、檢查項及固化工作后，系統能夠實現編寫、靈活的方式，對信息資產的配置脆弱性信息自動采集與分析。在不影響現有系統穩定運行的基礎上，實現工控系統上位機及服務器設備全面、細粒度的配置檢查與合規對比分析、提供詳盡的加固方案；通過配置脆弱性的直觀展現，動態反映工控系統上位機及服務器的整體安全狀況。

報告提供對采集命令審計和采集原始結果審計：

（1）用戶依據原始結果中的采集腳本，可以了解采集過程中，基線服務器對被掃描設備操作情況，是否對本掃描設備部署的應用具有威脅性；

表1：兩種檢測系統實驗結果對比表

（2）用戶依據原始結果中的采集結果，可以了解該安全項對應被掃描設備的具體配置情況，不需要重新再登錄到被掃描設備，人工查看配置信息[6]。

（3）采集命令和結果，易于幫助用戶排錯和整改。

2.2 基于流量分析的移動基線脆弱性核查

按照國家、煙草行業相關文件的指導和要求，將主流操作系統設備的安全基線配置基線標準固化，并利用強大的自動探測技術，對操作系統及版本信息通過多協議的自動組合完成對設備的全方位檢查，面對越來越多的信息設備種類，可通過系統中的檢查項配置功能完成用戶的自定義檢查項及配置核查策略[7]。移動基線安全檢測系統的數據采集不僅涵蓋了傳統設備安全基線合規信息的采集，并且依據實際生產環境的不同，承載業務的重要性，應用系統的特殊性制定了不同的核查方式；基于多協議支持完成全網覆蓋的定時及周期性自動核查；依據安全配置基線標準進行全面、細粒度的配置檢查與合規對比分析后，直觀、準確反映信息設備安全配置的整體狀況，為安全運營提供有力的技術支撐。

3 對比實驗

為進一步驗證本文提出的基于流量分析的移動基線安全檢測系統在實際應用中的性能，開展對其和傳統檢測系統的對比實驗研究。本文實驗案例選擇在銅仁卷煙廠實施，覆蓋銅仁卷煙廠現有的虛擬服務器硬件8 臺、虛擬服務器38 臺，包括自建信息系統8 個、工控系統6 個。分別利用本文系統和傳統系統對銅仁卷煙廠中現有移動基線進行安全檢測，并將檢測結果分別進行記錄，繪制成如表1所示的實驗結果對比表。

由表1中的數據可以看出，本文系統在受到攻擊時，數據丟失量明顯小于傳統系統，同時在第1 次、第4 次和第5 次攻擊時，本文系統數據丟失量為零具有十分重要的意義。而在第2 次和第3 次攻擊時，數據丟失量對于整個移動基線的穩定運行而言不會受到影響。因此，通過對比實驗證明，本文提出的基于流量分析的移動基線安全檢測系統能夠有效提高檢測效率，減少移動基線數據丟失量。同時，在實驗過程中，本文系統做到了現有IT 資產全覆蓋，通過定期開展移動基線配置核查工作，有效提升了銅仁卷煙廠IT信息基礎設施安全基線合規率，保障了現有業務環境的安全穩定運行，提升了銅仁卷煙廠網絡安全總體防護水平。同時，針對本文提出的安全監測系統，如果按照一個應用系統和主機系統每年發生信息安全事件的百分比為1%，每起信息安全事件平均損失500000元，PC 終端平均每年發生信息安全事件的百分比為2%，每次丟失數據平均損失100000 元，那么直接經濟損失為ALE=(SLE×A RO)=(15+160)*1%*500000+500*2%*100000=187.5 萬元由此每年減少直接經濟損失為187.5萬。另外，生產工業控制每年因為數據丟失、網絡安全造成的災害性損失難以用具體的經濟損失來估計，而這些系統一旦因安全事件造成的經濟損失往往以數十萬數百萬計，因此，實際節約的直接經濟成本可能大于上述金額。

4 結束語

本文通過開展基于流量分析的移動基線安全檢測系統設計研究，提出一種全新的安全監測系統，并通過標準的指導和實踐的驗證，探索如何在安全技術架構逐漸部署的前提下，更好地保障企業業務系統的安全。技術角度規范IT 設備的安全配置策略，從管理角度加強技術的落地和推廣。本課題運用了技術和管理相結合的實踐方式，充分考慮了銅仁卷煙廠乃至煙草行業業務系統的實際情況，正是這種從實際出發的技術實踐最終得到了顯著的效果，使系統具備可操作、可落地、可推廣的優勢。