校园网安全态势感知研究与应用

2022.08.05

商永巧史冬蕾仝虎潘巍巍

摘要 2017年6月1日起，中华人民共和国网络安全法正式实施，自此网络安全有法可依。随着互联网尤其是移动互联网的高速发展，网络安全形势越来越严峻。根据网络安全法与等级保护2.0，网络运营者应当制定网络安全事件应急预案和网络安全监测预警系统。南京旅游职业学院作为国内重点旅游职业院校，应当看清网络安全形势，加强网络安全监测预警系统建设，提高南旅院的网络安全预防能力，本文将基于南旅院网络安全运营现状，进行态势感知平台在南旅院网络安全防护体中的应用研究与实施。

关键词网络安全态势感知监测预警 WAF防御

中图分类号：TP393.08 文献标识码：A 文章编号：1007-0745（2020）03-0060-03

1 背景

一方面，网络安全法第二十五条规定明确了网络安全运营者承担有制定应急预案、及时处置风险的义务。2018年4月20日，习近平总书记在网络安全和信息化工作会议上明确提出“要落实关键信息基础设施防护责任，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，做到关口前移，防患于未然”。2019年5月《等级保护2.0标准》正式发布，对网络安全态势感知建设及安全运维管理提出了明确要求。

另一方面，随着南旅院信息化建设规模的不断扩大，网络安全设备、服务器、虚拟机以及PC终端，将会持续产生安全日志，对日常安全运营产生嚴峻挑战。如果缺乏统一，全网的安全隐患和安全事件运营管理机制，将会导致安全隐患发现不及时甚至无法发现，安全事件难定位、应急处置不及时。尤其在出现严重安全事件时，传统的定期风险评估及决策，经常贻误对安全事件进行处置的最佳时机，造成安全事件大范围蔓延，事件等级扩大的严重后果。随着南旅院的信息化发展，数据越来越集中、业务对IT基础设施的依赖度越来越大，一旦对安全风险发现不及时或出现较大安全事件处置不及时将会对我院造成不可估量的影响。

由此可见有效健全的信息安全保卫工作非常重要，我们需要参照《国家网络安全法》、《等级保护2.0标准》、《国家网络安全应急预案》，配套建立常态化、长效化的新型安全运营指挥技术和管理体系;通过自动化的手段，以科学合理的方法实现最短时间内协调设备资源、人力资源、管理资源，对安全事件进行有效处置，并实现统一的网络安全协同运营，保障南旅院网络空间安全、稳定，相关系统持续、有序、安全运转。

2 南旅院网络安全现状与挑战

2.1 外部威胁挑战

目前国内从事“黑灰产”人员众多，网络安全漏洞形势越来越严峻。黑客攻击手段更加智能、复杂。攻击目标从最初的黑客炫耀、破坏、窃取数据，转向以牟利为主的黑灰产产业化运作为主，如僵尸网络、挖矿程序、用户数据窃取等。攻击手段也从在最开始的僵木蠕、漏洞利用、口令入侵为主，演变成更加复杂的攻击方式，例如APT攻击、社会工程学、水坑攻击等。攻击层面也从最初的网络层攻击如DDOS、身份冒仿等，向应用层的攻击如应用层漏洞利用、SQL注入、XSS攻击等演进。勒索病毒、未知恶意代码具备较强的破坏能力。2017年5月12日开始，在全球蔓延的WannaCry勒索病毒已经席卷了至少150个国家的20万台电脑。而前防病毒软件或硬件网关，基本上以依靠病毒特征库为主，而针对经过变种的病毒、木马或者未知恶意代码，不具备监测能力。

2.2 内部运维现状

目前南旅院已经购置了一定数量的防火墙、WAF、日志审计等网络安全设备、众多的网络安全设备和组件，将产生大量的安全事件告警信息，以及大量的维护与设置需求。如果没有统一的智能的安全事件处理运营中心，安全运维管理工作将难以开展。当前我院的网络安全建设已经取得一定的成绩，但是依然缺乏有效的监测预警手段。安全信息采集整合分析能力不足，不能掌握整体安全态势、网络与安全防护能力。现有的网络和平台安全系统难以从不同维度进行网络安全态势分析，也不能支撑不同范围的网络空间安全决策分析，无法快速直观为各层次决策人员提供决策分析依据。

并且由于缺失专业化工具，不能做到对安全事件的可视化管理和深度关联分析，造成安全风险不能及时发现，安全事件不能及时处置。现有防护检测技术手段，自动化程度低。当今威胁不断升级，系统化的防御思路也需要不断升级来应对泛化的威胁，例如协同联动能力缺失、威胁无法有效识别、威胁无法快速处置等问题。

总而言之，南旅院目前网络安全架构无法满足事前、事中、事后的安全规范。已有的出口防火墙、WAF防御等网络安全产品均属于事中防御，无法提前预警，比如无法防御挖矿、勒索病毒等，也无法事后追溯审计、修复安全隐患。

3 南旅院校园网态势感知建设需求

3.1 简化运维需求

当前运维环境复杂、外部威胁形势严峻、运维自动化化程度低的形势下，我们希望通过建设一个本地化的安全运营系统来快速发现运维问题、有效分析运维问题、快速解决运维问题，其本质就是实现简化运维的最终目标。

3.2 持续优化需求

当前网络黑客、有组织的犯罪团体甚至针对性的恶意破坏者或网络间谍，他们的能力和破坏力正日渐增长，所以我院的本地安全能力中心也应持续优化升级，从“被动防守”转向“积极防御”。

3.3 整体管理需求

虽然我院已经在网络中部署了一定数量的安全系统和相应的防护设备，但是管理人员依然无法快速准确的掌握网络整体运行的状况，每种安全设备都仅仅从各自的角度反映某个层面的安全问题，整体性管理欠缺，领导层对网络安全情况不能一目了然。

4 校园网态势感知建设依据

4.1 法规/标准

1.法规政策：

《中华人民共和国网络安全法》（2017年6月1日起施行）

《国家网络安全事件应急预案》（中网办发文[2017]4号）

国际标准：

ISO 27000系列标准

ISO/IEC 31000风险管理标准

2.国家标准：

GB/T22239-2019 信息安全技术网络安全等级保护基本要求

GB/T24364-2009 信息安全风险管理指南

GB/T20985-2007 信息安全事件管理指南

GB/T20986-2007 信息安全事件分类分级指南

4.2 国内外安全体系研究现状

4.2.1 IATF框架

IATF，《信息保障技術框架》（IATF：Information Assurance Technical Framework ）是美国国家安全局（NSA）National Security Agency 制定，用于描述其信息保障的指导性文件。IATF提出的信息保障的核心思想是纵深防御战略（Defense in Depth）。在纵深防御战略中指出，人、技术和操作（operations 也可以译为流程）是三个主要核心因素，要保障信息及信息系统的安全，三者缺一不可。人是信息系统的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系核心[1]。

4.2.2 自适应安全框架

自适应安全框架（ASA）是Gartner于2014年提出的面向下一代的安全体系框架，以应对云大物移智时代所面临的安全形势。自适应安全框架（ASA）从预测、防御、检测、响应四个维度，强调安全防护是一个持续处理的、循环的过程，细粒度、多角度、持续化的对安全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制。

相对于PDR模型[2]，自适应安全框架（ASA）框架增加了安全威胁“预测”的环节，其目的在于通过主动学习并识别未知的异常事件来嗅探潜在的、未暴露的安全威胁，更深入的诠释了“主动防御”的思想理念，这也是网络安全2.0时代新防御体系的核心内容之一。

作为面向未来的新一代安全能力中心，必然需要面临日趋紧张的网络安全威胁，防御、检测、响应甚至预测的有效性、主动性，关乎运营中心存在的根本价值和意义。遵循ASA自适应安全框架，对于指导本项目的科学性建设和先进性建设具有重要意义。

4.2.3 新时期的等级保护体系

为配合网络安全法的实施，同时适应云计算、移动互联、物联网和工业控制等新技术条件下网络安全等级保护工作的开展，2019年5月13日，《GB/T22239-2019信息安全技术网络安全等级保护基本要求》正式发布，标志着我国网络安全等级保护工作正式进入2.0时代。等保2.0以保护国家关键信息基础设施为重点，为有效应对国际网络空间安全形势，等保2.0不仅扩大了保护对象的范围而且提出了三重防御的思想：主动防御、综合防御、纵深防御[3]。

该特点与ASA自适应安全模型相呼应，作为等保2.0合规要求的重要组成部分，新时期的安全运营平台也应具备主动防御、综合防御、纵深防御的特点。

5 南旅院校园网态势感知建设方案设计及实施

5.1 方案设计

深信服于2018年提出的APDRO的智安全模型[4]，通过智能（Artificial Intelligence）、防御（Protect）、检测（Detect）、响应（Response）、运营（Operate）这五个功能，能够有效、智能的防御和检测网络安全状况，大大提高威胁响应速度，并缩减了运维开支，动态的实现安全闭环。

南旅院现有的安全防御缺乏统一管理与协同共享，只能看见碎片化的局部安全，不利于整体的安全认知。基于APDRO的智安全模型和南旅院网络安全运营业务的现状，同时结合IATF信息保障技术框架、ASA自适应安全模型、等保2.0等国内外目前被广泛应用的技术标准，建立了一套以安全可视和协同防御为核心，智能化、精准化、具备协同联动防御能力及人工专家应急的大数据安全分析平台和统一运营中心。

该平台设计以全流量分析为基础，基于探针安全组件采集全网的关键数据，结合威胁情报、行为分析、UEBA[5]、机器学习、大数据关联分析、可视化等技术对全网流量实现全网业务可视和威胁感知，从而实现提高事件响应的速度和高级威胁发现的能力，便于应急响应，并让安全可感知、易运营。

该方案结合了南旅院网络安全现状与挑战的需求，实现了南旅院校园外网、内网全面的安全检测，有效识别来自外网及内网的安全风险，并直观的展现在界面上。并且提供校园网业务、用户风险的报告，内容丰富直观，可实时了解网络和业务系统的安全差误，让安全可感知，安全易运营，有效提升管理效率、降低运维成本。

5.2 方案实施

方案实施前外网访问内网时，流量首先经过阿姆瑞特防火墙，经防火墙检测扫描后进入到AC;AC进行流量管控后到达NIPS，NIPS对其进行防御检测，通过后进入核心交换机;再经网瑞达返代进行地址返代;深信服LSA进行日志审计，流量采集，实时监控;最后经过绿盟漏扫对其进行漏洞扫描，到达二层交换机，进入内网，抵达用户终端。

本方案主要新增了深信服态势感知平台SIP和深信服探针STA，收集镜像的流量数据，并将流量数据进行分析生成安全日志后。上传到SIP，SIP再基于大数据、机器学习对数据进行汇总分析处理实现了对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化。

5.3 方案总结

5.3.1 风险主机检测

发现检测内网发现的失陷业务服务器、和失陷终端，并举证出安全事件，和对应的解决办法建议。

5.3.2 事件分析

从外部攻击、外连风险、横向攻击三个维度发现内网存在的安全问题，如主机存在异常的外连行为可能怀疑是存在风险，还可以分析文件威胁与邮件威胁。

5.3.3 资产感知

检测出内网存在的业务服务器或终端，用于资产梳理，当检测出内网存在未使用的服务器，可能存在被做为跳板机的风险。

5.3.4 脆弱性感知

检测当前业务系统存在的脆弱性问题，对服务器漏洞进行检测，弱密码，web明文传输，配置风险。

6 结语

经过多方位测试，南旅院校园网安全态势感知平台各项功能均正常运营，能够实现全面的实时监测、易运营的运维处置、可感知的威胁告警、多维度的安全可视预警、有效数据提取，方便追踪溯源，为南旅院的网络安全保驾护航。

参考文献：

[1] 蔡宗慧，郝帅.基于信息保障技术框架网络安全技术整合及应用研究[J].电脑编程技巧与维护，2016（13）：89-90.

[2] 李尧.从PDR模型的发展过程看信息安全管理[J].电子产品可靠性与环境试验，2012，30（04）：35-37.

[3] 何占博，王颖，刘军.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全，2019，38（03）：9-14，19.

[4] 赵志远.创新的力量深信服智安全架构与APDRO[J].网络安全和信息化，2019（10）：9-10.

[5] 徐飞.基于UEBA的网络安全态势感知技术现状及发展分析[J].网络安全技术与应用，2020（10）：10-13.

南京旅游职业学院，江苏南京