省域網絡安全遠程檢測平臺的分析與設計

傅小兵 國家計算機網絡應急技術處理協調中心江西分中心 南昌市 330038

0 前言

隨著全球競爭日益加劇，越來越多的高級攻擊團隊和組織對我國網絡空間造成了巨大的安全威脅，網絡安全工作是關乎國家安全的一項基礎性、綜合性和戰略性的工作，其重要性不言而喻。伴隨著《網絡安全法》及相關政策法規的實施，各地各部門不斷提升自身的網絡安全防護能力。為進一步推動網絡安全工作責任制有效落實，督促各單位進一步健全防范化解網絡風險，構建網絡安全遠程檢測平臺，實現對省域內各單位互聯網可訪問資產的遠程檢測，及時發現網絡安全風險和隱患。

1 系統功能需求

網絡安全遠程檢測平臺主要實現對省域內各政企單位網絡安全防護情況開展遠程檢測，主要功能需求如下：

（1）資產上報核查。為各政企單位提供信息上報接口通道，滿足各政企單位資產填報、歸檔入庫、統計等功能。同時，系統利用技術手段對填報信息進行核驗和資產探測為后續工作開展提供基礎數據支撐。

（2）遠程安全檢測。對各政企單位開展遠程安全檢測工作，發現各單位互聯網可訪問資產存在的安全風險和事件。系統需具備身份認證、安全風險（事件）提交、專家審核、結果研判、可視化展示等功能。為盡可能的規避檢測工作中的潛在風險，系統需支撐行為審計、高危行為發現、一鍵阻斷違規行為等功能[1]。

根據系統的主要功能需求，將系統的用戶角色主要分為監管單位、被考核單位和技術支撐單位。

2 總體設計

網絡安全遠程檢測平臺總體有五部分構成，包含平臺縱覽層、核心應用層、大數據建模分析層、安全監測與系統采集層。平臺縱覽層負責提供多維度功能展示；核心應用層提供平臺基礎管理、資產上報和核查、事件整改和綜合展示、遠程安全檢測等功能的應用；大數據分析層負責提供多種數據存儲檢索引擎進行數據存儲，并通過數據匯聚對接采集探針收集數據并加載到數據中心；安全監測與數據采集層負責對資產數據、遠程安全檢測過程數據進行采集。

平臺功能架構圖如圖1所示。

圖1 平臺功能架構層

3 核心功能設計

遠程檢測功能是平臺的核心功能，實現對被考核對象的遠程掃描檢測。首先，由第三方安全檢測人員，通過VPN隧道登入到安全檢測平臺，通過雙向認證（用戶-平臺雙向認證）后分配到授權檢測賬戶，進入到堡壘機做兩次用戶認證、環境授權（檢測虛擬機分配）、權限分配和行為審計。然后，點擊進入超融合平臺（云計算平臺），在其分配的虛擬機上傳安裝各類所需的安全檢測工具，繼而對被檢測單位開始各類安全檢測。

在開展遠程檢測過程中，平臺實時獲取、主動監測被檢測單位的網絡出口、業務系統、數據可用性等參數是否存在影響（超過閾值）。如果超過閥值，平臺報警，經過人工審核后，發送異常聯動信息給安全策略集中管理系統，通過其安全聯動協議，自動下發安全策略給防火墻，實現自動阻斷本次滲透測試活動，防止破壞擴大化，盡快降低相關惡劣影響。如果滲透測試一切正常（沒有造成被檢測單位系統的可用性風險），滲透測試結束后，提交相關檢測報告，歸檔，并責令其基于報告做整改。

網絡安全遠程檢測平臺以遠程檢測功能為核心，整合超融合系統、VPN安全網關、堡壘主機等為遠程檢測工作提供必要的資源申請、資源開通、目標健康監測、危險動作控制和全過程審計等目標[2]。整個功能模塊的實現流程如圖2所示。

圖2 遠程檢測主要流程示意圖

根據圖2所示，遠程檢測的主要流程包括以下幾個方面：

（1）檢測申請、發起：支撐單位向監管單位發起檢測申請；

（2）授權賬號：監管單位在批準檢測請求或發起檢測任務后，向支撐單位發布授權（信息可以在系統內流轉），包括：VPN賬號、堡壘機賬號、虛擬機賬號、工具軟件賬號等所需的信息；

（3）虛擬機授權：系統自動驅動超融合，啟用預定的虛機（包括：虛機可用的時間限制等）；

（4）遠程登錄：支撐單位技術人員登錄VPN及堡壘機，并登錄指定的檢測虛擬機；

（5）資源限制：為確保安全檢測人員不因故意或誤操作等原因使用類DDoS攻擊測試造成被檢目標宕機（或其他可用性受嚴重損害的情況），通過邊界防火墻進行流量、并發連接數的限制；

（6）可用性監測：在遠程檢測的過程中，平臺會對遠程檢測目標進行可用性監測，一旦發現遠程檢測目標出現延時或者不可用的現象，平臺通過報警機制聯動安全策略集中管理系統下發阻斷策略。

（7）行為限制：對于高概率引起被檢目標可用性、完整性故障的高危漏洞利用行為，可通過前端部署的威脅檢測系統（視具體需求可配置為IPS/IDS、WAF、APT/全威脅檢測等）進行識別，按照監管單位相關保護策略可直接進行阻斷，即上報給系統，并根據預定的策略向防火墻下發阻斷策略，阻斷當前行為或在多次違規后封堵檢測虛擬機的所有通信；

（8）行為審計：由于所有操作都經過堡壘機代理，檢測人員在檢測虛擬機上的所有操作都會被圖形化方式記錄下來（無桌面環境的Linux操作也會被記錄完整的命令行過程），能夠起到規范操作行為、追溯違規操作的關鍵作用。

4 系統部署設計

為保障系統的穩定運行和各功能模塊達到設計的預期效果，系統部署示意圖如圖3所示。

圖3 系統部署示意圖

網絡安全遠程檢測平臺根據用戶角色（監管單位、被考核單位、支撐單位）系統為不同角色用戶提供了不同功能模塊。系統的主要核心功能部署于監管單位側。系統采用旁路部署的方式，部署位置位于網絡核心位置，用于支持單位遠程登錄檢測環境的身份核查及檢測過程審計，系統將對支撐單位人員進行唯一身份的識別，保障支持單位人員的身份唯一性。并在遠程檢測的同時采用命令記錄，圖形記錄，視頻記錄等方式保存遠程檢測的全部過程，并實現對過程的審計。同時，超融合一體機提供了計算虛擬化、網絡虛擬化和分布式存儲，提供多種虛擬資源池的統一管理、虛擬網絡設備的創建和管理和統一存儲服務[3]。

VPN安全網關部署位置旁路部署在網絡核心位置，用于被考核單位的資產上報數據傳輸安全及支持單位遠程安全檢測的通信加密。網關采用SSLVPN加密技術及國密加密算法，保障數據在傳輸互聯網過程中的安全性。

5 預期效果

本系統從省域內網絡安全工作開展實際需求出發，按照“底數摸得清、告警報的準、重點抓得到、監管推的動、成效看得見、資源受得了”的要求建設網絡安全遠程檢測平臺，督促省域內各單位做好網絡安全防護工作，提升防范網絡安全風險能力。在平臺的數據存儲和應用層面使用了大數據及虛擬化相關技術，可直接通過擴展硬件的方式獲得整個系統計算和存儲能力的擴展，無需再進行數據備份、軟件更新等繁復操作，極大的降低了系統管理維護成本，同時，系統使用了模塊化設計的方法，可以保證不同軟件功能與模塊之間的解耦和，實現數據采集靈活調整，分部實施。