基于網(wǎng)絡(luò)安全滑動標(biāo)尺的教育考試網(wǎng)絡(luò)安全體系構(gòu)建探析

劉 惠

（安徽省教育招生考試院網(wǎng)絡(luò)信息中心，合肥 230011）

1 引言

信息技術(shù)快速滲透社會的各行各業(yè)，改變著社會運(yùn)行模式，教育考試也不例外，考試業(yè)務(wù)系統(tǒng)從計(jì)算機(jī)登分到網(wǎng)上報(bào)名、網(wǎng)上評卷、網(wǎng)上錄取再向人工智能輔助學(xué)習(xí)與評測不斷延伸，基礎(chǔ)架構(gòu)也從傳統(tǒng)架構(gòu)向云計(jì)算演變。

在整個教育考試業(yè)態(tài)發(fā)生革命性變革，對信息系統(tǒng)的依賴度越來越高的同時，網(wǎng)絡(luò)安全形勢卻不容樂觀。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2017年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示，2017年我國約有2萬個網(wǎng)站被篡改，較2016年增長20%，其中被篡改的政府網(wǎng)站較2016年增長32.3%；此外國家信息安全漏洞共享平臺（CNDV）所收錄的安全漏洞數(shù)量持續(xù)走高，2017年較2016年增長了47.4%；勒索惡意程序攻擊事件數(shù)量大幅增長[1]。

隨著《中華人民共和國網(wǎng)絡(luò)安全法》的頒布，各級考試機(jī)構(gòu)基本都以“業(yè)務(wù)安全+等保合規(guī)”為目標(biāo)，不同程度建設(shè)了相應(yīng)的安全防護(hù)體系，對信息系統(tǒng)起到了一定的防護(hù)作用。但在網(wǎng)絡(luò)安全工作評價方面，普遍缺乏有效的評估機(jī)制，如何科學(xué)、全面的對網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行客觀的評價，促進(jìn)教育考試信息化領(lǐng)域安全防護(hù)能力提升，值得深入研究。

2 教育考試信息化安全建設(shè)存在的問題

教育考試考生人數(shù)多，數(shù)據(jù)量大，社會影響面廣，受關(guān)注程度高，因此各項(xiàng)考試業(yè)務(wù)系統(tǒng)安全性要求非常高，特別是高厲害性考試業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行事關(guān)考試的公平公正和社會穩(wěn)定。各級教育考試機(jī)構(gòu)歷來都很重視信息系統(tǒng)的安全工作，基本都已經(jīng)完成了等保定級備案及測評工作，形成了相對全面的安全技術(shù)和管理體系。但在實(shí)際工作中，各級教育考試機(jī)構(gòu)的安全建設(shè)重點(diǎn)大多是合規(guī)驅(qū)動的硬件盒子采購，除等保測評外，缺少其他更有效的安全能力評估手段。教育考試機(jī)構(gòu)現(xiàn)階段安全工作建設(shè)的困局，主要集中在以下幾點(diǎn)：

2.1 重設(shè)備部署輕架構(gòu)安全

目前，各級教育考試機(jī)構(gòu)仍把安全設(shè)備部署作為安全防護(hù)體系建設(shè)的主要抓手，對信息系統(tǒng)自身的架構(gòu)安全缺乏重視，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備三大件仍是采購主要對象，處于“架構(gòu)安全”建設(shè)階段。

2.2 重硬件采購輕安全運(yùn)維

各級教育考試機(jī)構(gòu)花費(fèi)大量的資金購買硬件設(shè)備，設(shè)備的部署調(diào)試需要專業(yè)的人才，而各級教育考試機(jī)構(gòu)普遍缺乏專業(yè)的網(wǎng)絡(luò)安全人員，導(dǎo)致了很多安全設(shè)備無法真正的發(fā)揮出應(yīng)有的價值，在發(fā)生安全事件時也無法進(jìn)行快速定位及應(yīng)急響應(yīng)。

2.3 重合規(guī)缺有效安全能力評估措施

等級保護(hù)政策在《網(wǎng)絡(luò)安全法》正式頒布執(zhí)行后已經(jīng)成為網(wǎng)絡(luò)安全工作的規(guī)定動作，教育考試機(jī)構(gòu)常認(rèn)為通過等保測評后，安全工作就可以高枕無憂和萬事大吉了。殊不知網(wǎng)絡(luò)安全是一個動態(tài)、對抗的過程、如果僅以通過等保測評滿足合規(guī)要求來推動安全建設(shè)，就會出現(xiàn)“只見樹木不見森林”狹隘安全觀。同時，由于缺少對安全能力或安全建設(shè)成熟度的客觀評價，會出現(xiàn)安全能力缺失，未來規(guī)劃存在重復(fù)建設(shè)的風(fēng)險(xiǎn)。

針對上述問題，各級教育考試機(jī)構(gòu)迫切需要引入新思路、新技術(shù)和新方案來對現(xiàn)有安全防護(hù)體系進(jìn)行改造，應(yīng)更好的應(yīng)對新形勢下的網(wǎng)絡(luò)安全威脅。

3 網(wǎng)絡(luò)安全滑動標(biāo)尺模型

美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會（SANS）的RobertM.Lee 于2015年提出了網(wǎng)絡(luò)安全滑動標(biāo)尺模型的概念，該模型將組織的信息安全能力分為五個階段，分別是架構(gòu)安全、被動防御、積極防御、威脅情報(bào)和進(jìn)攻反制，其模型如圖一所示：

圖1 網(wǎng)絡(luò)安全滑動標(biāo)尺模型

該模型建立了一個分類框架，把網(wǎng)絡(luò)安全相關(guān)的各類工作如行動措施，資源投入都納入這個框架中整體考慮，并對各類工作進(jìn)行了詳細(xì)的描述，從模型可以看出，組織整體信息安全能力的提升是一個非割裂的連續(xù)過程，模型中用于屬于各個類別的措施與屬于相鄰類別的措施之間是相互關(guān)聯(lián)的，不是割裂的，本質(zhì)上界線也沒有那么清晰。標(biāo)尺左側(cè)的安全能力是右側(cè)的安全能力的基礎(chǔ)和依賴，從左至右，安全能力不斷演進(jìn)，整體防護(hù)能力實(shí)現(xiàn)疊加，協(xié)同聯(lián)動成整體的安全能力。

了解互相關(guān)聯(lián)的這幾個網(wǎng)絡(luò)安全階段后，組織和個人可更好地理解資源投資的目標(biāo)和影響，構(gòu)建安全能力成熟度模型，按階段劃分網(wǎng)絡(luò)攻擊從而進(jìn)行根本原因分析，助力防御方的發(fā)展。

該模型很好的解決了傳統(tǒng)安全模型無法對安全能力根據(jù)建設(shè)階段進(jìn)行安全能力成熟度評價問題。每一階段的安全能力都可以在模型上體現(xiàn)出來，隨著安全能力從架構(gòu)安全到進(jìn)攻反制過程中的不斷演進(jìn)，安全能力成熟度也隨之提升。解決“淘汰演進(jìn)”過程中安全能力建設(shè)目標(biāo)迷失，無法應(yīng)對新形勢下新的安全風(fēng)險(xiǎn)困擾，從更系統(tǒng)化的“疊加演進(jìn)”視角考慮網(wǎng)絡(luò)安全體系建設(shè)。

4 教育考試網(wǎng)絡(luò)安全體系構(gòu)建

當(dāng)前，我國教育考試領(lǐng)域的網(wǎng)絡(luò)安全建設(shè)整體水平偏低，等保合規(guī)仍是網(wǎng)絡(luò)安全建設(shè)的重要抓手，多數(shù)教育考試機(jī)構(gòu)的網(wǎng)絡(luò)安全建設(shè)以等保為重點(diǎn)目標(biāo)展開，技術(shù)手段還是以傳統(tǒng)的邊界隔離、特征庫匹配檢測為主，對比網(wǎng)絡(luò)安全滑動標(biāo)尺模型，安全能力多數(shù)處于第一階段和第二階段，距離第三階段積極防御還存在著不少的差距。

基于教育考試業(yè)務(wù)應(yīng)用系統(tǒng)的特點(diǎn)和教育考試領(lǐng)域的網(wǎng)絡(luò)安全建設(shè)實(shí)際情況出發(fā)，結(jié)合網(wǎng)絡(luò)安全滑動標(biāo)尺模型，從架構(gòu)安全、被動防御、積極防御、威脅情報(bào)和進(jìn)攻反制五個階段探析構(gòu)建教育考試領(lǐng)域網(wǎng)絡(luò)安全體系（見圖2）。

圖2 教育考試領(lǐng)域網(wǎng)絡(luò)安全體系

4.1 第一階段：架構(gòu)安全；行動目標(biāo)：科學(xué)規(guī)劃、強(qiáng)身健體

架構(gòu)安全是指用安全的思維規(guī)劃、構(gòu)建和維護(hù)系統(tǒng)。架構(gòu)安全階段的目的并非是防御攻擊者，而是要滿足正常運(yùn)營環(huán)境和緊急運(yùn)營環(huán)境的需求。網(wǎng)絡(luò)安全滑動標(biāo)尺模型把架構(gòu)安全建設(shè)放在標(biāo)尺的最左邊，通過完成架構(gòu)安全建設(shè)，能夠基本解決基礎(chǔ)層面的安全問題，在此之上再開展其他方面的網(wǎng)絡(luò)安全建設(shè)。架構(gòu)安全本身并非防御措施，但合理的架構(gòu)會促進(jìn)安全，此階段工作也可以認(rèn)為是信息系統(tǒng)自身進(jìn)行強(qiáng)身健體，不依賴外部安全硬件設(shè)備來完成。[2]此階段工作主要建設(shè)內(nèi)容包括安全域劃分、系統(tǒng)安全加固、補(bǔ)丁管理和應(yīng)用內(nèi)建安全等方面，上述內(nèi)容在等保合規(guī)建設(shè)已經(jīng)基本涉及，但由于教育考試應(yīng)用系統(tǒng)普遍存在上線周期長，資源需求變化大，部署時間要求嚴(yán)格等特點(diǎn)，應(yīng)用系統(tǒng)本身或多或少存在著安全隱患，因此教育招生考試機(jī)構(gòu)需要重點(diǎn)考慮應(yīng)用內(nèi)建安全能力建設(shè)，包括應(yīng)用代碼問題、應(yīng)用自身安全功能等方面。

應(yīng)用內(nèi)建安全能力由于需要應(yīng)用開發(fā)廠商內(nèi)置，因此應(yīng)用內(nèi)建安全很少被重視，常常被選擇性忽略，而應(yīng)用內(nèi)建安全恰恰是“源頭之水”。因此，針對架構(gòu)安全中的應(yīng)用內(nèi)建安全問題，在軟件上線前應(yīng)對內(nèi)建安全能力進(jìn)行充分評估并對嚴(yán)重及高危問題進(jìn)行修復(fù)。把安全能力內(nèi)嵌到應(yīng)用中，而不是建設(shè)完成之后外在修補(bǔ)，這樣可以從本質(zhì)上提高安全保障能力。

4.2 第二階段：被動防御；行動目標(biāo)：構(gòu)筑工事、縱深防御

架構(gòu)安全本身并非防御措施，無論架構(gòu)有多完善，攻擊者一旦找到機(jī)會便會繞過架構(gòu)，發(fā)動攻擊，因此在架構(gòu)安全的上層，構(gòu)建被動防御系統(tǒng)非常必要。被動防御即在架構(gòu)中添加提供持續(xù)威脅防護(hù)和洞察，而無需持續(xù)人工干預(yù)的系統(tǒng)[3]，如在架構(gòu)安全的基礎(chǔ)上，部署防火墻、反惡意軟件系統(tǒng)、入侵檢測系統(tǒng)、防病毒系統(tǒng)等無需持續(xù)人工干預(yù)的傳統(tǒng)安全系統(tǒng)，以減少威脅，提升安全能力，讓系統(tǒng)具備基本的檢測和防御能力，該階段僅僅靠安全設(shè)備提供可持續(xù)的威脅防護(hù)及威脅漏洞察力。

教育考試機(jī)構(gòu)的等保合規(guī)建設(shè)即包括架構(gòu)安全和被動防御建設(shè)階段。被動防御階段的主要建設(shè)內(nèi)容是構(gòu)建縱深防御體系，通過部署防火墻、網(wǎng)閘、入侵檢測、抗Dos 攻擊等傳統(tǒng)安全硬件設(shè)備組成，達(dá)到基礎(chǔ)對抗、收縮攻擊面、消耗攻擊機(jī)資源、遲滯攻擊的目的。上述內(nèi)容在等保合規(guī)建設(shè)已經(jīng)基本涉及，在此，仍需要重點(diǎn)強(qiáng)調(diào)如何收縮攻擊面的問題。眾所周知，系統(tǒng)安全有個最基本的最小特權(quán)原則，是指為網(wǎng)絡(luò)中每個主體分配與所完成工作所必須的最小權(quán)限，分配最少的權(quán)限，可以有效降低信息系統(tǒng)暴露在網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)，讓攻擊者的攻擊面大大減少。關(guān)閉不必要的服務(wù)、斷開不必要的網(wǎng)絡(luò)線路、禁止停用的用戶、關(guān)閉遠(yuǎn)程維護(hù)端口等都屬于收縮攻擊面的有效手段。

教育考試業(yè)務(wù)系統(tǒng)主要隨著各項(xiàng)考試的時間節(jié)點(diǎn)開展，資源調(diào)度頻繁，由于不同考試的考生人數(shù)不盡相同，不同的時間節(jié)點(diǎn)，不同的考試業(yè)務(wù)系統(tǒng)所需要的資源需求也不同。在各項(xiàng)考試業(yè)務(wù)系統(tǒng)頻繁上下線的維護(hù)工作中，更應(yīng)該按照最小特權(quán)原則對相關(guān)風(fēng)險(xiǎn)進(jìn)行排查，以有效收縮攻擊面，不給攻擊者以可乘之機(jī)，讓教育考試機(jī)構(gòu)更專注的建立起具有針對性的縱深防御系統(tǒng)。

4.3 第三階段：主動防御；行動目標(biāo)：全面檢測、快速響應(yīng)

教育考試機(jī)構(gòu)網(wǎng)絡(luò)安全體系構(gòu)建在完成了從“安全架構(gòu)”、到“被動防御”建設(shè)后、將進(jìn)入到“積極防御”階段。第一階段“安全架構(gòu)”是網(wǎng)絡(luò)的根基，其確保網(wǎng)絡(luò)結(jié)構(gòu)的堅(jiān)固，第二階段“被動防御”則是消耗攻擊資源、提升攻擊成本的有效途徑，而第三階段“積極防御”是對“被動防護(hù)”能力的補(bǔ)充，用于對抗更為復(fù)雜的高級威脅。

在軍事領(lǐng)域，“主動防御”指采用有限的進(jìn)攻行動和反擊，將敵人趕出被爭奪的區(qū)域或位置。相對應(yīng)在網(wǎng)絡(luò)安全領(lǐng)域，“主動防御”被定義為：安全人員監(jiān)控、響應(yīng)網(wǎng)絡(luò)內(nèi)部威脅、從中汲取經(jīng)驗(yàn)并將知識應(yīng)用其中的過程。這句話中的“網(wǎng)絡(luò)內(nèi)部”很重要，對應(yīng)于“被爭奪的區(qū)域或位置”，說明了“反擊”只發(fā)生在防御區(qū)內(nèi)，安全人員不會在攻擊者所在的網(wǎng)絡(luò)或系統(tǒng)中對攻擊者發(fā)動進(jìn)攻，不是“黑回去”。

積極防御階段將安全運(yùn)維人員引入，強(qiáng)調(diào)人員的參與，對所防御范圍內(nèi)的威脅進(jìn)行性持續(xù)監(jiān)控，主動進(jìn)行分析檢測、應(yīng)對；包括從外部的攻擊手段和手法進(jìn)行學(xué)習(xí)。該階段的核心能力為在人員參與情況下開展檢測和響應(yīng)工作。前兩個階段，教育機(jī)構(gòu)基本都能夠做到，對于這第三階段“主動防御”，目前普遍存在安全人員缺位的問題，而此階段又是鞏固縱深防線的積極手段，對網(wǎng)絡(luò)安全能力成熟度的提升非常重要，針對實(shí)際情況，也可以考慮借助專業(yè)機(jī)構(gòu)的力量來做。

4.4 第四階段：威脅情報(bào)；行動目標(biāo)：獲取情報(bào)、準(zhǔn)確預(yù)警

威脅情報(bào)是繼架構(gòu)安全、被動防御、積極防御后更為高階的網(wǎng)絡(luò)安全方法，在網(wǎng)絡(luò)安全領(lǐng)域，情報(bào)定義為：收集數(shù)據(jù)、處理和利用數(shù)據(jù)獲取信息并進(jìn)行評估的過程。而威脅情報(bào)是一種特定類型的情報(bào)，為防護(hù)方提供攻擊者、攻擊者在防護(hù)方環(huán)境中的行為、攻擊能力以及攻擊策略、技術(shù)與過程等相關(guān)信息，目的是了解攻擊者，以便更準(zhǔn)確地識別攻擊者，更有效地響應(yīng)攻擊活動。第四階段的“威脅情報(bào)”，討論的不是使用威脅情報(bào)，而是輸出威脅情報(bào)的過程，輸出威脅情報(bào)是一種情報(bào)行為，而使用威脅情報(bào)則是主動防御中的一個角色。在威脅情報(bào)階段，通過各種工具和系統(tǒng)收集各種安全數(shù)據(jù)、借助機(jī)器學(xué)習(xí)，進(jìn)行建模及大數(shù)據(jù)處理，開展攻擊行為的自學(xué)習(xí)和自識別，進(jìn)行攻擊畫像、標(biāo)簽等活動，最后由安全分析師分析、輸出威脅情報(bào)評估結(jié)果以供內(nèi)部決策或行動。威脅情報(bào)可以對攻擊者進(jìn)行溯源、定位、畫像，實(shí)現(xiàn)在整個安全事件處置過程中，不僅能夠“知己”而且能夠“知彼”。威脅情報(bào)能有效增強(qiáng)現(xiàn)有架構(gòu)安全、被動防御、積極防御體系的防御能力。此過程除了依賴工具和系統(tǒng)，更是對安全分析師的專業(yè)性要求非常高，大多數(shù)的組織包括教育考試機(jī)構(gòu)，很難單獨(dú)依靠自己的力量實(shí)現(xiàn)該階段的工作，借助各專業(yè)的威脅情報(bào)中心力量不失為較為務(wù)實(shí)而可行的解決方案，為主動防御階段采取更加合理有效的措施提供有力的威脅情報(bào)支持，進(jìn)一步鞏固網(wǎng)絡(luò)安全。

4.5 第五階段：進(jìn)攻反制；行動目標(biāo)：進(jìn)攻反制、先發(fā)制人

指利用法律及攻擊自衛(wèi)反擊等技術(shù)對攻擊者進(jìn)行反制威懾。一般用于國家級或軍事組織機(jī)構(gòu)間的對抗，對于教育考試領(lǐng)域來說此階段投入巨大，難用上，投資回報(bào)率極低，因此本文將不對此階段進(jìn)行探討。

5 結(jié)束語

網(wǎng)絡(luò)安全滑動標(biāo)尺模型能夠很好地指引教育考試機(jī)構(gòu)開展安全防護(hù)體系建設(shè)工作，該模型不僅指明了每一階段的建設(shè)目標(biāo)更給出了具體建設(shè)內(nèi)容，具有很強(qiáng)的實(shí)踐性和可操作性。按照網(wǎng)絡(luò)安全滑動標(biāo)尺模型構(gòu)建組織的安全體系，不僅能較客觀的評價組織安全能力的成熟度，更能實(shí)現(xiàn)安全能力成熟度的疊加演進(jìn)。