風險驅(qū)動下網(wǎng)絡安全防護模式探討

黃道春

（撫州職業(yè)技術學院，江西 撫州344000）

云計算技術快速發(fā)展，虛擬網(wǎng)絡背景下網(wǎng)絡安全風險更加復雜多樣。建立可預測、事件風險可識別、整體風險可評估、服務選擇可控制的綜合性網(wǎng)絡安全風險評估模型就顯得尤為重要。風險是客觀存在的，網(wǎng)絡安全管理者要結合具體網(wǎng)絡系統(tǒng)，積極構建風險防控機制，來應對可能發(fā)生的風險威脅。從現(xiàn)有的企業(yè)網(wǎng)絡安全防護實踐來看，其對風險的關注度不夠，過多的安全資源被用于合規(guī)性要求，缺乏穩(wěn)健性強的風險建模與分析能力，使得網(wǎng)絡系統(tǒng)架構設計與網(wǎng)絡系統(tǒng)維護管理缺乏有效的銜接機制，導致風險防護能力不足。為此，以風險防范為目標，建立基于風險驅(qū)動的網(wǎng)絡安全防護體系，其首要任務是要結合企業(yè)網(wǎng)絡綜合系統(tǒng)資源，建立網(wǎng)絡風險分析與預警防控機制，提升網(wǎng)絡安全防護能力。

1 風險驅(qū)動下網(wǎng)絡安全防護模型概述

安全管理是網(wǎng)絡系統(tǒng)架構與運維工作的核心，從現(xiàn)有的網(wǎng)絡安全管理系統(tǒng)實踐來看，網(wǎng)絡安全設備、網(wǎng)絡安全軟件系統(tǒng)的設計，多聚焦合規(guī)性檢測，在安全管理機構及網(wǎng)絡安全防護模式中，網(wǎng)絡安全風險防控缺乏系統(tǒng)性，無法融入全生命周期，使得一些系統(tǒng)漏洞、網(wǎng)絡安全事故得不到有效處理，導致網(wǎng)絡系統(tǒng)處于風險威脅場景中。如一些具有持續(xù)性攻擊能力的高級持續(xù)性威脅病毒（Advanced Persistent Threat，APT），該類病毒將系統(tǒng)缺陷或漏洞作為攻擊目標，安全防護人員無法找準漏洞所在，對該病毒的危害能力無法準確評估，從而對網(wǎng)絡安全資源調(diào)配不當，無法對可能存在的風險進行快速響應與協(xié)同處置[1]。近年來，以人工智能、大數(shù)據(jù)為特色的智能化網(wǎng)絡攻擊行為為網(wǎng)絡安全防護工作帶來了新的挑戰(zhàn)。為此，加強對網(wǎng)絡安全風險的提早、全面檢測與發(fā)現(xiàn)，做好網(wǎng)絡安全風險防護機制建設成為大勢所趨。

建立以風險為驅(qū)動的網(wǎng)絡安全防護機制，將可能存在的網(wǎng)絡攻擊行為、網(wǎng)絡安全事件作為風險源，立足網(wǎng)絡安全管理系統(tǒng)實際，對現(xiàn)有網(wǎng)絡安全系統(tǒng)進行風險評估，合理調(diào)配安全資源，整合網(wǎng)絡安全團隊，以高效、穩(wěn)健的方式處置各類網(wǎng)絡風險，其模型見圖1。

圖1 風險驅(qū)動下網(wǎng)絡安全防護模型

構建風險驅(qū)動下網(wǎng)絡安全防護模型，其核心是應對可能存在的風險，建立以風險、資產(chǎn)、控制為關系模型的防護結構。風險源對網(wǎng)絡造成威脅的方式有兩種：一是通過可能發(fā)生的網(wǎng)絡攻擊行為或網(wǎng)絡安全事件直接對目標資產(chǎn)進行訪問，安全控制就是要利用安全組件對風險源進行掃描和分析，找出可能存在的漏洞或攻擊向量，以保護資產(chǎn)安全；二是通過間接方式訪問目標資產(chǎn)，可能要和系統(tǒng)中的其他元素交互。在安全防護上，控制并非直接作用于資產(chǎn)，而是通過控制措施反作用于識別的可能風險、攻擊向量或漏洞，以減少或降低安全危害。如微軟開發(fā)的STRIDE安全防護模型，將機密性、完整性、可靠性作為安全防護關鍵點[2]。美國網(wǎng)絡安全公司（MITRE）提出共享攻擊模式（CAPEC），重心在于常見網(wǎng)絡攻擊行為的防護。

2 風險驅(qū)動下網(wǎng)絡安全防護一般過程

2.1 網(wǎng)絡安全防護風險發(fā)現(xiàn)階段

對于風險的發(fā)現(xiàn)階段，主要有如下5個任務。第一，風險的識別。網(wǎng)絡安全防護系統(tǒng)設計需要對整個網(wǎng)絡系統(tǒng)業(yè)務、組件、數(shù)據(jù)等進行防護分析，得到哪些數(shù)據(jù)可能易受網(wǎng)絡攻擊，哪些組件是重要的風險防控點等。通過對網(wǎng)絡業(yè)務的全面分析，設定需要防控的重要資產(chǎn)。資產(chǎn)識別包括獲取攻擊者的行為、記錄系統(tǒng)工作環(huán)境及狀態(tài)，指明攻擊所處位置。第二，鎖定攻擊面。對資產(chǎn)識別后，網(wǎng)絡安全防護措施要能夠從宏觀上對整個應用系統(tǒng)進行訪問控制。攻擊面的鎖定著重于定義系統(tǒng)、任務邊界與防控范圍，確定某一任務是否超出范圍。第三，對系統(tǒng)的分解。借助于對可疑攻擊行為及安全事件信息的收集，通過接口、設備、庫、協(xié)議、函數(shù)、應用程序接口等技術來分解安全風險，做到有效防護。第四，識別攻擊向量。利用對可疑攻擊行為的記錄，捕捉存在風險的組件或功能范圍。識別風險攻擊向量時，需要綜合考慮物理路徑、邏輯路徑以及同一路徑的不同攻擊方式，找準安全漏洞或風險源。第五，列出風險源和攻擊代理。對存在的風險進行鎖定并列出可疑攻擊者、攻擊意圖，如網(wǎng)絡攻擊的動機、技能、攻擊行為所對應的目標和資源。

2.2 網(wǎng)絡安全防護風險應對階段

對可疑風險發(fā)現(xiàn)并鎖定后，接下來便是施行風險應對措施。第一，對風險源進行風險評估。明確可疑網(wǎng)絡攻擊行為及其產(chǎn)生的后果，對發(fā)現(xiàn)過程進行梳理，形成風險防護評估報告，內(nèi)容包括風險行為、風險討論、風險造成的影響等。第二，對風險進行分類。結合網(wǎng)絡安全防護需要，對網(wǎng)絡系統(tǒng)所有業(yè)務資產(chǎn)及功能進行統(tǒng)合分析，找出風險攻擊行為可能帶來的后果。列出后果清單，分析其權重，設定風險對應的級別，將之作為風險防護重點。第三，對風險進行防控。對風險的發(fā)現(xiàn)，最終目的是要解決風險威脅。風險防控措施包括對風險的移除、阻止、緩解等。根據(jù)風險威脅分析，對風險控制選擇不同的措施，以提升風險防控的有效性。

2.3 網(wǎng)絡安全風險防護具體流程

從整個網(wǎng)絡安全防護方法來看，其流程從風險分類開始，通過對風險的建模與分析，梳理風險分類列表，明確不同風險的安全屬性和控制措施，為風險的發(fā)現(xiàn)、防護提供參考。風險分類有應用級、系統(tǒng)級、環(huán)境級3類。在功能控制分級中，要將風險的劃分與功能控制列表中的防護措施建立對應關系，根據(jù)風險、攻擊向量和網(wǎng)絡架構來化解風險威脅。風險防控階段主要是對風險進行評估，以確認網(wǎng)絡系統(tǒng)的安全狀態(tài)，利用情報管理系統(tǒng)對當前風險分析的結果進行確認。風險控制功能對每一次網(wǎng)絡攻擊行為、攻擊場景進行分析和記錄，綜合分析后做出防護動作，最后對網(wǎng)絡系統(tǒng)安全控制行為進行記錄。

3 風險驅(qū)動下網(wǎng)絡安全防護模式分析

結合某企業(yè)網(wǎng)絡安全防護實踐，建立以風險驅(qū)動為目標的網(wǎng)絡安全防護體系。該企業(yè)包括生產(chǎn)控制區(qū)域、管理區(qū)域兩大類，網(wǎng)絡終端分布區(qū)域廣，網(wǎng)絡攻擊面大，傳統(tǒng)防護思路缺乏有效性。企業(yè)網(wǎng)絡監(jiān)控系統(tǒng)風險來源主要有企業(yè)管理信息系統(tǒng)、企業(yè)辦公自動化系統(tǒng)、生產(chǎn)控制系統(tǒng)以及分布在各地其他終端的裝置、設備、傳感器節(jié)點等。

3.1 企業(yè)網(wǎng)絡監(jiān)控系統(tǒng)風險防護基本要求

在企業(yè)網(wǎng)絡安全風險防控中，主要分為橫向資源防護和縱向資源防護兩部分。前者主要圍繞大數(shù)據(jù)分析，對企業(yè)各類資產(chǎn)進行識別和管理，確立安全防護邊界，優(yōu)化網(wǎng)絡安全風險功能；后者主要以密碼為基礎，優(yōu)化企業(yè)安全管理加密認證體系和密鑰管理算法的有效協(xié)同，以提升企業(yè)監(jiān)控系統(tǒng)整體安全水平。考慮到企業(yè)監(jiān)控系統(tǒng)對多個子系統(tǒng)的防控需要，在部署網(wǎng)絡安全防護體系工作時，對管理信息系統(tǒng)和生產(chǎn)控制系統(tǒng)設置正反向隔離裝置。在縱向防護區(qū)域內(nèi)設置數(shù)據(jù)共享與融合平臺，實現(xiàn)對可疑網(wǎng)絡安全行為的協(xié)同防控。同時，結合共享與融合平臺，對企業(yè)網(wǎng)絡整體系統(tǒng)數(shù)據(jù)進行采集、分析和可視化管理。數(shù)據(jù)融合分析著重在橫向防護、縱向防護中進行可疑業(yè)務流量合理性分析，并融入密碼防護調(diào)整策略。

3.2 企業(yè)網(wǎng)絡監(jiān)控系統(tǒng)風險發(fā)現(xiàn)方法

根據(jù)企業(yè)監(jiān)控系統(tǒng)安全風險防控需要，在部署風險驅(qū)動下安全防護體系工作中，主要從以下4個方面來實現(xiàn)。第一，對企業(yè)資產(chǎn)進行賦值、識別。針對網(wǎng)絡監(jiān)控系統(tǒng)，通過對相關設備、數(shù)據(jù)、人員進行標記、分類和評估，將其分為信息、軟件、硬件、系統(tǒng)、人員5種表現(xiàn)形式并分別進行賦值，設定安全等級。如對于具備控制功能，安全屬性遭到破壞后會對整個系統(tǒng)造成嚴重損失的設備，將其設定為最高安全等級。第二，定義安全防護攻擊面。結合企業(yè)各分支系統(tǒng)，設定相應的安全防護攻擊面，如企業(yè)生產(chǎn)控制系統(tǒng)、企業(yè)管理系統(tǒng)等。第三，對各系統(tǒng)安全管理進行分解，識別攻擊向量。針對系統(tǒng)中病毒、蠕蟲、木馬程序、后門程序、邏輯炸彈等，設置不同的防護措施。第四，列出安全風險源和攻擊代理。引入網(wǎng)絡安全公共漏洞庫系統(tǒng)，對可能存在的網(wǎng)絡安全風險進行采集、分析，借助于網(wǎng)絡系統(tǒng)漏洞掃描、網(wǎng)絡安全滲透測試等軟件，強化網(wǎng)絡監(jiān)控系統(tǒng)的穩(wěn)健性、安全性。另外，加強對網(wǎng)絡管理人員、網(wǎng)絡資源庫、網(wǎng)絡拓撲結構及各項業(yè)務模型的安全監(jiān)測。

3.3 風險驅(qū)動下企業(yè)監(jiān)控安全防護系統(tǒng)設計

企業(yè)監(jiān)控系統(tǒng)結構主要包括企業(yè)管理系統(tǒng)安全感知子系統(tǒng)、生產(chǎn)控制系統(tǒng)安全感知子系統(tǒng)、企業(yè)縱向安全防護子系統(tǒng)、企業(yè)橫向安全防護子系統(tǒng)以及數(shù)據(jù)共享與融合平臺子系統(tǒng)。對于安全防護系統(tǒng)設計，在風險發(fā)現(xiàn)、風險防護實施兩個階段部署各區(qū)域級安全防護子系統(tǒng)，保留各系統(tǒng)相對隔離性要求，利用信息共享機制來防控可疑安全風險。如對生產(chǎn)系統(tǒng)實施接觸式、離線式掃描檢測，對現(xiàn)有軟件、硬件、操作系統(tǒng)進行漏洞掃描和風險檢測；對管理系統(tǒng)實施在線掃描，對系統(tǒng)弱點或漏洞進行檢測。在數(shù)據(jù)共享和融合平臺，建立以安全日志、設備、網(wǎng)絡漏洞信息檢測為主的數(shù)據(jù)安全匯聚模式，從時間、位置、區(qū)域、行為、動作等方面，對相關數(shù)據(jù)進行關聯(lián)分析，根據(jù)數(shù)據(jù)來源及風險威脅建立一體化網(wǎng)絡系統(tǒng)安全防護機制。

3.4 應用效果

在企業(yè)網(wǎng)絡監(jiān)控系統(tǒng)風險防護實踐中，整個系統(tǒng)的安全性得到有效提升，對于企業(yè)關鍵網(wǎng)絡設備、節(jié)點，提高安全防護等級，對于連接互聯(lián)網(wǎng)的網(wǎng)絡系統(tǒng)，提高了風險監(jiān)測準確率，證明該防護體系具有良好的應用價值。

4 結束語

傳統(tǒng)的以合規(guī)性要求為參照的網(wǎng)絡安全防護措施難以應對日益復雜多變的網(wǎng)絡風險。通過建立以風險為驅(qū)動的網(wǎng)絡安全防護模型，來合理調(diào)配安全資源，對各關鍵節(jié)點實施深度探測和高效防護，提升了企業(yè)網(wǎng)絡風險防控能力。