以網絡安全監測預警為核心的安全運維服務構建研究

彭海云 王玉璽

摘要：在網絡和信息系統受到各類攻擊和威脅時，安全設備的部署對網絡安全起到了一定的防御和保護作用。但是隨著新型威脅的不斷出現，威脅處置相對滯后。該文提出了網絡安全運維服務應以監測預警為核心的新模式，將網絡安全運維關口前移，梳理網絡資產、排查安全風險，給出加強網絡安全監測預警的途徑和方法，并以此為目標，提出以監測、預警、處置、持續優化為主要內容的網絡安全主動運維服務模式。

關鍵詞：網絡安全;監測預警;安全服務;等級保護

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）19-0037-03

國家計算機網絡應急技術處理協調中心2020年上半年數據統計顯示，我國每年遭受木馬、蠕蟲、釣魚郵件、勒索病毒、APT等網絡持續攻擊，對網絡安全造成嚴重威脅，給我國數字經濟的發展帶來嚴峻挑戰。以新基建為標志的5G技術、大數據技術、AI技術在高校信息化建設和應用中也越來越受到重視。網絡和信息安全也成為高校信息化建設與管理中的重要內容。因此，在推進校園網絡和信息化應用建設的同時，要加強網絡安全的建設。隨著信息技術的應用與發展，特別是移動互聯應用、云計算、物聯網的普及，突破了傳統網絡安全的防御邊界[1]。為尋求更為有效的安全防護技術和手段，本文提出將網絡安全工作關口前移，做好安全監測預警工作，同時將部署在網絡中的安全設備實現層級聯動，做到相互補充，實現主動監測、預警、處置、持續優化[2]，從而達到網絡安全整體水平上升的目標。

1 校園網中存在的安全風險

隨著互聯網、人工智能、物聯網、大數據等技術在高校廣泛應用，智慧校園、一卡通系統、教務系統、人事系統、學工系統、財務系統、科研系統、平安校園等應用系統涉及教職工信息、學生信息、消費信息、財務信息、科研項目等重要數據，面臨著網絡安全威脅，網絡詐騙、惡意軟件、黑客攻擊、勒索病毒、APT攻擊層出不窮。在信息技術迅猛發展的今天，網絡安全的重要性上升到前所未有的高度，國家頒布的《網絡安全法》《數據安全法》《個人信息保護法》等為網絡安全體系建設提供了法律依據。因此，做好校園網絡和信息安全工作，才能保護學校信息安全，保證學校業務系統正常運轉。

傳統的校園網存在的安全風險主要有以下幾個方面：

1.1 網絡安全設備功能單一

校園網中部署的網絡安全產品有：邊界防火墻、隔離防火墻、上網行為審計、WAF、VPN、入侵防御、防病毒軟件、日志審計等。這些網絡安全設備的加持在一定程度上滿足了等級保護的要求，同時也對校園網的安全防護起到一定的作用。但是，這些網絡安全產品在專業性和功能上都有一定的局限性，例如：防火墻可以禁止不安全的NFS協議進出受保護的網絡，可以保護內部網絡免受基于路由的攻擊，但是防火墻不能防范不經過防火墻的攻擊等;上網行為管理和上網行為審計只能對用戶訪問互聯網的行為進行包括網頁訪問過濾、上網隱私保護、網絡應用控制、帶寬流量管理、信息收發審計和用戶行為分析等;WAF能夠實現對網站漏洞攻擊進行防護，但對于0day漏洞則無能為力。同時，網絡中安全產品的功能相對獨立，相互之間沒有建立起應有的事件關聯關系，沒有形成策略互補，沒有形成相互聯動機制，從而使得大量的安全設備相互獨立，沒有形成合力優勢，導致并非牢不可破。

1.2 網絡資產沒有摸排清楚

隨著信息化的快速普及和發展，越來越多的Web應用上線。由于這些Web應用需求對網絡資源的需求不高，訪問量不大，因此，業務管理部門對這些應用沒有建立相應的管理臺賬，對網站的管理過于寬松。經過一段時間的運行之后，這些Web應用可能無人管理、更新和維護，很有可能會成為一個“僵尸”網站，成為黑客的目標，許多網站被提權、網頁被篡改、掛馬、外鏈等，甚至可能成為“肉雞”和“跳板”，橫向攻擊其他網站和應用服務器，給網絡安全帶來很大的隱患。

1.3 主機缺少安全防護機制

主機面臨著安全風險。比如：基于操作系統的攻擊有系統漏洞、緩沖器溢出、IE漏洞、用戶提權、弱口令、0day漏洞、端口利用等;基于Web應用的服務攻擊有拒絕服務攻擊（DDoS）、目錄遍歷攻擊、網絡嗅探、域名劫持等;基于中間件的攻擊有IIS漏洞利用、權限配置不合理、遠程代碼執行、暴力破解等;基于數據庫的攻擊有SQL注入、撞庫攻擊、特權提升、強力破解弱口令等。安全威脅還有病毒、木馬、蠕蟲等。主機缺少安全防護機制，操作系統補丁沒有及時更新，不用的端口沒有關閉，軟件防火墻設置不當，查殺病毒軟件沒有安裝，系統資源狀態缺少監控手段。

2 構建網絡安全監測預警處置框架

基于以上基本事實和安全威脅現狀，網絡安全不能完全依賴網絡安全設備的簡單疊加，“頭疼醫頭，腳痛醫腳”的策略不是解決網絡安全的根本方法，應充分利用現有的安全設備和管理平臺，根據網絡安全設備的自身特點，發揮其優勢作用，充分利用各個安全設備的日志信息、狀態信息、協議分析數據、數據流量包信息，對網絡中各個節點的服務器、網絡邊界、提供的服務、應用、數據庫及個人終端進行不間斷監測，形成數據分析報告，對網絡威脅提供預警機制，從而更加主動地實現網絡安全運維。

2.1 監測預警技術的重要性

傳統的網絡安全領域中在網絡的不同節點部署相應的安全產品。隨著云計算、大數據、移動互聯應用的普及，各種新技術的出現使得當前網絡邊界發生了很大變化，比如移動互聯技術突破了地域邊界的限制，物聯網跨越傳統網絡產品的范疇，云計算使得系統、應用、數據以及服務集中化和平臺化，打破了傳統信息系統技術架構獨立分散、線條化的局面。整個網絡安全保障的重點也從邊界防護、服務器防護的局部防護向行為防護、整體防護的全局動態防護模式轉變。網絡安全監測預警主要著眼于“發現問題，解決問題”。監測網絡安全設備，能夠發現網絡邊界和關鍵區域的安全威脅;監測業務系統，可以定位應用安全問題;監測業務數據讀寫操作，可以發現數據使用有跡可循。通過對網絡、應用和數據全時空監測，并對可能發生的攻擊行為進行分析、判斷，將分析結果發送給監測預警平臺，以便及早采取相應的防御處置措施[3]。因此，做好網絡安全監測、預警、處置，是發現網絡安全事件的重要手段。

2.2 構建全方位網絡安全監測預警的途徑

針對來自互聯網的持續惡意攻擊和校園網不可避免地存在的安全漏洞，做好安全監測預警工作必須從多個方面進行綜合、全方位、立體化的監控，做好安全防范工作。

2.2.1 梳理校園網絡資產，摸清家底

校園網絡資產包括網絡互聯設備（含網絡安全設備）、服務器、存儲、業務系統、Web應用、數據資產等，其中Web資產占據了很大部分的應用。建立和運用網絡資產安全治理平臺，能夠有效地“摸清家底”，及時發現不合規或不安全的Web資產，形成資產數據庫，建立起長效的管理機制，形成線上檢查以及安全監測日常管理機制，對于存在安全風險、安全問題的網站能夠及時告警和應急處置。

2.2.2 利用態勢感知平臺，收集日志信息

針對操作系統、網絡設備、數據庫、中間件存在的安全問題和漏洞，定期或不定期進行漏洞掃描，對掃描結果進行評估檢查，及時更新補丁程序，并對已發現的漏洞進行閉環管理。針對服務器特定端口進行探測、掃描，關閉不用的端口，避免惡意程序利用開放的端口非法植入木馬、病毒和惡意腳本。

2.2.3 開展等級保護測評，查找存在問題

定期開展信息系統等級保護測評工作。一方面，等級保護是我國信息安全的基本政策，校園網管理者應當按照信息等級保護制度的要求，開展等保測評工作。另一方面，通過對信息系統等級保護測評，發現信息系統存在的安全隱患和不足，按照要求及時整改，從而提高信息系統的抗風險能力，降低被攻擊的風險。另外，到公安網監部門申請信息系統定級備案后，將學校的信息系統納入公安機關的監督檢查范圍之內。

2.2.4 用好外部監測預警信息，提前防范

關注國家信息安全漏洞庫網站、國家互聯網應急中心、國家計算機網絡入侵防范中心、網絡安全廠家發布的安全威脅情報，及時了解和掌握最新網絡安全威脅動態信息、漏洞通報、處置辦法，做好補丁更新，密切跟蹤業界安全動態，做好自身網絡和信息系統安全加固。通過Web云防護平臺，可以抵御Web攻擊、CC攻擊、DDOS攻擊，阻斷各種Web掃描和攻擊行為、防止攻擊者上傳、訪問WebShell和查找攻擊溯源。通過Web監測平臺，實現網站漏洞監測，包括監測Web服務容器、第三方軟件漏洞、服務器端腳本漏洞、應用漏洞等。同時根據教育行業網信辦的安全威脅通報，及時做好防范措施，打上補丁和修復漏洞。

2.2.5 通過攻防演練和護網行動，加強能力提升

在日益頻繁的攻防對抗中，要利用一切機會提升網絡安全監測預警能力，這樣才能在真實的安全威脅到來時做到游刃有余。攻防演練時，作為防守方，要充分利用各種網絡安全監測平臺，通過監測數據建立有效的安全防御機制，通過多數據源關聯分析全面感知安全風險，快速定位系統漏洞并進行有效處置，提升精準防御能力[4-5]。

3 圍繞網絡安全監測預警開展網絡安全運維服務

按照等級保護和等級保護測評要求，網絡安全運維服務首先要認真梳理網絡資產，細化具體要求，對標法律法規要求，做到安全運維全覆蓋。在網絡安全運維過程中，建立網絡安全責任主體，明確信息系統安全需求，從監測預警、威脅處置、復核查驗、持續優化幾個階段開展網絡安全運維工作。

3.1 監測預警服務

監測預警是做好網絡安全運維服務的首要任務。清點和梳理校園網內部的信息系統和應用程序，摸清通信數據在不同信息系統或設備的上下游關系，梳理出可能出現的攻擊路徑，控制內外網資源的數據訪問權限，發現關鍵業務和關鍵系統之間的依存關系，降低“僵尸網站”“雙非網站”存在的可能性。通過Web云防護和Web云監測，發現網絡中威脅和攻擊，跟蹤溯源，阻斷攻擊源，通過主機安全監測，及時發現占用系統資源多、CPU利用率高、網絡流量異常的應用。利用網絡安全監測和動態感知平臺，獲取相關設備、時間范圍、風險級別和資產屬性等不同維度的數據，并以多種形式的有效預警為威脅處置工作提供翔實的處置依據，提高威脅處置工作的效率。

3.2 威脅處置服務

威脅處置是網絡安全運維服務的根本任務。在取得監測數據的基礎上，對安全事件原始記錄進行溯源分析，對原始攻擊信息進行分析研判，并直接進行預警處置任務下發。在日常運維工作中，做好備份重要數據和系統，嚴格限制對備份數據的訪問權限;強制禁用弱口令并定期更換賬號密碼，拒絕使用與身份信息、出生日期、電話、門牌號等具有強關聯性的密碼。定期開展風險評估和滲透測試，識別并記錄脆弱性的資產，及時修復系統存在的安全漏洞;關閉不必要的訪問服務;加強身份驗證和權限管理，加強訪問憑證發布、管理、驗證、撤銷和審計功能，合理配置訪問權限。嚴格訪問控制策略，不允許使用遠程管理端口，如果需要開放管理端口，須經堡壘機訪問，同時定期修改訪問控制策略。制定應急響應預案，明確應急人員和工作崗位職責、操作順序，發生網絡安全事件后，要立即啟動應急響應預案，定期開展應急演練。

3.3 復核查驗服務

復查核查是安全運維服務的重要內容。對于新系統上線前，必須先對其進行漏洞掃描、滲透測試和風險評估，發現問題及時整改。經專業工具測試通過后才能上線運行，將安全漏洞及時進行封堵，上線后納入監測預警平臺，定期對所有線上運行的系統進行復核檢查、基線核查等保備案并進行測評等，將這項工作納入安全運維常規服務。

3.4 持續優化服務

持續優化是安全運維服務的長期任務。通過監測預警平臺，以在長期監測過程中發現的風險隱患以及各個階段獲取的數據作為基礎，深度分析安全威脅、脆弱性的原因，從技術、管理、制度等方面進行持續優化完善，同時對網絡監測預警平臺和能力升級迭代，循序漸進、全面提升網絡安全運維服務和保障能力。

4 結語

構建以網絡安全監測預警為核心的安全運維服務，以網絡安全法律法規、等級保護要求為依據，以有效降低網絡安全威脅和攻擊為目標，將網絡安全防護關口前移，提供主動防御、多層次、安全設備聯動的安全運維服務，全面把握網絡安全態勢，提升網絡安全保障能力。

參考文獻：

[1] 祿凱，程浩，劉蓓.全面構建以網絡安全監測預警為核心的全時域網絡安全新服務[J].中國信息安全，2021（5）：61-63.

[2] 毛輝，曹龍全，吳啟星，等.監測預警處置一體化網絡安全管理平臺研究[J].信息網絡安全，2020（S1）：122-126.

[3] 胡國良，張超，胡嘉俊.網絡安全技術手段建設存在問題與應對措施淺析[J].網絡安全技術與應用，2021（1）：161-162.

[4] 畢江，王燕清，張寧，等.電視臺網絡安全監測系統規劃[J].廣播與電視技術，2017，44（11）：38-43.

[5] 曾柯達.基于推理機的網絡安全事件關聯分析技術的研究與實現[D].長沙：國防科學技術大學，2010.

收稿日期：2022-03-20

基金項目：教育部科技司科技發展中心2020年第二批中國高校產學研創新基金“新一代信息技術創新項目”——智慧校園網絡安全監測預警機制研究與應用，類別：一般項目，項目編號：2020ITA07022

作者簡介：彭海云（1969—），男，江蘇如皋人，高級工程師，碩士，主要研究方向為計算機技術、網絡安全與管理;王玉璽，江蘇第二師范學院，副教授，碩士。