基于網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺的安全防護(hù)體系建設(shè)探討

李化玉

【摘 要】2015年，美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)（SANS）提出了網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型，將網(wǎng)絡(luò)安全體系建設(shè)過程分為架構(gòu)建設(shè)、被動(dòng)防御、積極防御、威脅情報(bào)和進(jìn)攻反制五個(gè)階段，按照每個(gè)階段的建設(shè)水平來對(duì)安全防護(hù)能力進(jìn)行評(píng)估，并指導(dǎo)未來安全防護(hù)能力的建設(shè)。本文將通過對(duì)網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型的深入剖析，來探討如何借助該模型更好的開展安全防護(hù)體系建設(shè)工作。

【關(guān)鍵詞】網(wǎng)絡(luò)安全;安全滑動(dòng)標(biāo)尺

中圖分類號(hào)： TP309-65文獻(xiàn)標(biāo)識(shí)碼： A文章編號(hào)： 2095-2457（2019）10-0228-002

DOI：10.19694/j.cnki.issn2095-2457.2019.10.100

Discussion on the Construction of Safety Protection System Based on Network Safety Sliding Scale

LI Hua-yu

（Office Information Center of Northern Anhui Coal and Electricity Group，Suzhou Anhui 234000，China）

【Abstract】In 2015，the American Association for Systems and Network Security（SANS）proposed a sliding scale model for network security，which divides the construction process of network security system into five stages：architecture construction，passive defense，active defense，Threat Intelligence and offensive countermeasure.It evaluates the security protection capability according to the construction level of each stage，and guides the construction of future security protection capability.This paper will discuss how to use this model to better carry out the construction of security protection system through in-depth analysis of the sliding scale model of network security.

【Key words】Network security;Sliding ruler

0 前言

隨著信息技術(shù)邁入“云大物移智”時(shí)代，網(wǎng)絡(luò)安全形勢(shì)也發(fā)生了深刻的變化，但在實(shí)際工作中，安全建設(shè)的重點(diǎn)仍舊是合規(guī)驅(qū)動(dòng)的硬件盒子采購，除等保測(cè)評(píng)外，缺少其他更有效的安全能力評(píng)估手段。傳統(tǒng)的以邊界隔離、特征庫匹配檢測(cè)為主要技術(shù)手段的安全防護(hù)體系建設(shè)，在新型安全威脅下，顯得不堪一擊。

現(xiàn)階段網(wǎng)絡(luò)安全工作建設(shè)的困局，主要集中在以下幾點(diǎn)：

重設(shè)備采購輕架構(gòu)安全

目前，仍把安全設(shè)備采購作為安全防護(hù)體系建設(shè)的主要方案，對(duì)信息系統(tǒng)自身的架構(gòu)安全缺乏重視，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備三大件仍是采購主要對(duì)象。

重硬件產(chǎn)品輕安全運(yùn)營

網(wǎng)絡(luò)安全工作對(duì)人員專業(yè)化能力要求很高，目前很多國內(nèi)企事業(yè)單位沒有此方面的人才積累，導(dǎo)致了很多安全設(shè)備無法真正的發(fā)揮出應(yīng)有的價(jià)值，在發(fā)生安全事件時(shí)也無法進(jìn)行快速定位及應(yīng)急響應(yīng)。

重合規(guī)缺有效安全能力評(píng)估措施

等級(jí)保護(hù)政策在《網(wǎng)絡(luò)安全法》正式頒布執(zhí)行后已經(jīng)成為網(wǎng)絡(luò)安全工作的規(guī)定動(dòng)作，但有個(gè)誤區(qū)：認(rèn)為通過等保測(cè)評(píng)后，安全工作就可以高枕無憂和萬事大吉了。殊不知安全是一個(gè)動(dòng)態(tài)、對(duì)抗的過程、如果僅以通過等保測(cè)評(píng)滿足合規(guī)要求來推動(dòng)安全建設(shè)，就會(huì)出現(xiàn)“只見樹木不見森林”狹隘安全觀。同時(shí)，由于缺少對(duì)安全能力或安全建設(shè)成熟度的客觀評(píng)價(jià)，也會(huì)出現(xiàn)安全能力缺失，未來規(guī)劃存在重復(fù)建設(shè)的風(fēng)險(xiǎn)。

針對(duì)上述問題，迫切需要引入新思路、新技術(shù)和新方案來對(duì)現(xiàn)有安全防護(hù)體系進(jìn)行改造，應(yīng)更好的應(yīng)對(duì)新形勢(shì)下的網(wǎng)絡(luò)安全威脅。

1 網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型

網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型與傳統(tǒng)的PDR、P2DR和IATF等安全模型相比，建立了一個(gè)分類框架。整體安全體系的建設(shè)是一個(gè)非割裂的連續(xù)過程，模型中用于屬于各個(gè)類別的措施與屬于相鄰類別的措施之間是相互關(guān)聯(lián)的，不是割裂的，本質(zhì)上界線也沒有那么清晰。左側(cè)的安全能力是右側(cè)的安全能力的基礎(chǔ)和依賴，協(xié)同聯(lián)動(dòng)成整體的安全能力。

第一階段：架構(gòu)安全。模型把架構(gòu)安全建設(shè)放在標(biāo)尺的最左邊，通過完成架構(gòu)安全建設(shè)，解決基礎(chǔ)層面的安全問題，包括安全域劃分、補(bǔ)丁管理、系統(tǒng)加固等工作，此階段工作不依賴外部安全硬件設(shè)備來完成。

第二階段：被動(dòng)防御。在做好架構(gòu)安全建設(shè)后，進(jìn)入被動(dòng)防御階段。在架構(gòu)安全的基礎(chǔ)上，部署防火墻、入侵檢測(cè)等硬件安全設(shè)備，來提升安全能力，讓系統(tǒng)具備基本的檢測(cè)和防御能力，該階段無人員介入，僅能靠安全設(shè)備提供可持續(xù)的威脅防護(hù)及威脅漏洞察力，核心為建設(shè)縱深防御體系。等保合規(guī)即包括架構(gòu)安全和被動(dòng)防御建設(shè)階段。

第三階段：積極防御。積極防御階段將安全運(yùn)維人員引入，強(qiáng)調(diào)人員的參與，對(duì)所防御范圍內(nèi)的威脅進(jìn)行性持續(xù)監(jiān)控，可以主動(dòng)進(jìn)行分析檢測(cè)、應(yīng)對(duì)，包括從外部的攻擊手段和手法進(jìn)行學(xué)習(xí)，該階段的核心能力為在人員參與情況下開展檢測(cè)和響應(yīng)工作。

第四階段：威脅情報(bào)。采用威脅情報(bào)為安全設(shè)備和人員進(jìn)行賦能，通過收集各種安全數(shù)據(jù)、借助機(jī)器學(xué)習(xí)，進(jìn)行建模及大數(shù)據(jù)分析，開展攻擊行為的自學(xué)習(xí)和自識(shí)別，進(jìn)行攻擊畫像、標(biāo)簽等活動(dòng)，將收集到的各種數(shù)據(jù)加工成為有價(jià)值的信息。該階段能夠做到對(duì)攻擊行為“知己知彼”。

第五階段：進(jìn)攻反制。指利用法律及攻擊自衛(wèi)反擊等技術(shù)對(duì)攻擊者進(jìn)行反制威懾。

最后，該模型還很好的解決傳統(tǒng)安全模型無法對(duì)安全能力根據(jù)建設(shè)階段進(jìn)行安全能力成熟度評(píng)價(jià)問題。每一階段的安全能力都可以在模型上體現(xiàn)出來，隨著安全能力從架構(gòu)安全到進(jìn)攻反制過程中的不斷演進(jìn)，安全能力成熟度也隨之提升。

2 安全實(shí)踐

現(xiàn)階段，網(wǎng)絡(luò)安全建設(shè)以等保為重點(diǎn)目標(biāo)展開，參考模型處于第一階段和第二階段，距離第三階段積極防御還存在著不少的差距。接下來將從網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺的視角結(jié)合國內(nèi)部分企事業(yè)單位網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀來探討如何做好安全防護(hù)體系建設(shè)。

階段一：架構(gòu)安全;行動(dòng)目標(biāo)：科學(xué)規(guī)劃、強(qiáng)身健體

本階段主要建設(shè)內(nèi)容包括安全域劃分、系統(tǒng)安全加固、補(bǔ)丁管理和應(yīng)用內(nèi)建安全等方面，上述內(nèi)容在等保合規(guī)建設(shè)已經(jīng)基本涉及，但仍需要重點(diǎn)考慮應(yīng)用內(nèi)建安全能力建設(shè)，包括應(yīng)用代碼問題、應(yīng)用自身安全功能等方面。

階段二：被動(dòng)防御;行動(dòng)目標(biāo)：構(gòu)筑工事、縱深防御

本階段被動(dòng)防御主要建設(shè)內(nèi)容就是建設(shè)縱深防御體系，通過部署防火墻、網(wǎng)閘、入侵檢測(cè)、抗D等傳統(tǒng)安全硬件設(shè)備組成，達(dá)到基礎(chǔ)對(duì)抗、收縮攻擊面、消耗攻擊機(jī)資源、遲滯攻擊的目的。上述內(nèi)容在等保合規(guī)建設(shè)已經(jīng)基本涉及，需要重點(diǎn)考慮的是如何收縮攻擊面的問題。

階段三：積極防御;行動(dòng)目標(biāo)：全面檢測(cè)、快速響應(yīng)

目前，大部分企事業(yè)單位網(wǎng)絡(luò)安全體系的構(gòu)建在完成了從“安全架構(gòu)”、到“被動(dòng)防御”建設(shè)后、將進(jìn)入到“積極防御”階段。第一階段“安全架構(gòu)”是網(wǎng)絡(luò)的根基，其確保網(wǎng)絡(luò)結(jié)構(gòu)的堅(jiān)固，第二階段“被動(dòng)防御”則是消耗攻擊資源、提升攻擊成本的有效途徑，而第三階段“積極防御”是對(duì)“被動(dòng)防護(hù)”能力的補(bǔ)充，用于對(duì)抗更為復(fù)雜的高級(jí)威脅。

概括來講，第三階段“積極防御”應(yīng)在保持網(wǎng)絡(luò)結(jié)構(gòu)堅(jiān)固的基礎(chǔ)上，不斷鞏固防線縱深，并持續(xù)提升監(jiān)控、分析和響應(yīng)能力。

階段四：威脅情報(bào);行動(dòng)目標(biāo)：獲取情報(bào)、準(zhǔn)確預(yù)警

威脅情報(bào)是繼架構(gòu)安全、被動(dòng)防御、積極防御后更為高階的網(wǎng)絡(luò)安全方法。威脅情報(bào)能有效增強(qiáng)現(xiàn)有結(jié)構(gòu)安全、被動(dòng)防御、積極防御體系的防御能力。國內(nèi)主流安全廠商的威脅情報(bào)中心解決方案可提供安全威脅事前預(yù)測(cè)、熱點(diǎn)事件實(shí)時(shí)預(yù)警、公網(wǎng)資產(chǎn)安全核查、情報(bào)驅(qū)動(dòng)設(shè)備防御、攻擊事件溯源分析等技術(shù)支持。

威脅情報(bào)可以對(duì)攻擊者進(jìn)行溯源、定位、畫像，實(shí)現(xiàn)在整個(gè)安全事件處置過程中，不能能夠“知己”而且能夠“知彼”

階段五：進(jìn)攻反制;行動(dòng)目標(biāo)：進(jìn)攻反制、先發(fā)制人

網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型能夠較客觀的評(píng)價(jià)安全能力的成熟度，每階段進(jìn)入下一階段，都將在安全能力方面有著較大的提升，向右通過不斷演進(jìn)最終達(dá)到一個(gè)比較理想的安全能力成熟度。按照網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型構(gòu)建安全體系，能夠?qū)崿F(xiàn)從“安全架構(gòu)”、到“被動(dòng)防御”、再到“積極防御”等階段的疊加演進(jìn)?！隘B加演進(jìn)”，其絕不僅僅是指前一階段向后一階段的進(jìn)化，事實(shí)上每一階段的能力體現(xiàn)均強(qiáng)依賴于前一階段的建設(shè)，而這一點(diǎn)卻往往被忽略。由此可見，防護(hù)盡管已不再可靠，但從攻防對(duì)抗的角度來講，其依然具有重要的作用和戰(zhàn)略意義，在失陷幾乎成為必然的今天，防護(hù)應(yīng)起到的作用是消耗攻擊資源、遲滯攻擊的成功，為其他安全措施“爭(zhēng)取時(shí)間”。

最后，總結(jié)一下如何借助該模型進(jìn)行安全體系建設(shè)。

第一，重新審視現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)，通過對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行更加精細(xì)的分段和隔離，構(gòu)建內(nèi)網(wǎng)的塔防體系。同時(shí)，通過提升對(duì)安全策略執(zhí)行效果的感知能力，及時(shí)發(fā)現(xiàn)訪問控制的疏漏，避免安全設(shè)備成為“擺設(shè)”，維持網(wǎng)絡(luò)的結(jié)構(gòu)堅(jiān)固;

第二，構(gòu)建統(tǒng)一管理平臺(tái)，加強(qiáng)安全設(shè)備維護(hù)管理，依靠自動(dòng)化、半自動(dòng)化的手段提升應(yīng)急處置的效率與準(zhǔn)確性，用戶選擇某一品類安全產(chǎn)品時(shí)應(yīng)優(yōu)先考慮同一品牌，以降低運(yùn)維管理、應(yīng)急響應(yīng)的操作難度。

第三，設(shè)置專業(yè)安全技術(shù)崗位，通過招聘或購買服務(wù)方式開展專業(yè)安全運(yùn)營服務(wù)。日常安全運(yùn)維中，重視持續(xù)監(jiān)控，通過數(shù)據(jù)分析構(gòu)建用戶對(duì)于風(fēng)險(xiǎn)、威脅的發(fā)現(xiàn)和感知能力，向“積極防御”持續(xù)邁進(jìn)。

3 未來展望

網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型能夠很好地指引國內(nèi)企事業(yè)單位開展安全防護(hù)體系建設(shè)工作，不僅指明了每一階段的建設(shè)目標(biāo)更給出了具體建設(shè)內(nèi)容，而且具有很強(qiáng)的實(shí)踐性和可操作性。

【參考文獻(xiàn)】

[1]呂毅：從攻擊視角構(gòu)建彈性信息安全防御體系.