基于通信網(wǎng)絡(luò)的安全主動(dòng)防御技術(shù)探析

◆韓志峰 許 暖

（1.中移信息技術(shù)有限公司 北京 100037；2.中國移動(dòng)通信集團(tuán)安徽有限公司 安徽 230000）

黨的十八大以來，以習(xí)近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全工作，明確提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”，為筑牢國家網(wǎng)絡(luò)安全屏障、推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)提供了根本遵循。同時(shí)，互聯(lián)網(wǎng)高危漏洞頻發(fā)，各類勒索病毒、木馬、蠕蟲肆虐，境內(nèi)外黑客活動(dòng)頻繁，網(wǎng)絡(luò)攻擊手法也不斷發(fā)生變化，導(dǎo)致網(wǎng)絡(luò)安全環(huán)境日益復(fù)雜化，給網(wǎng)絡(luò)安全帶來巨大的威脅和挑戰(zhàn)。

在這樣的背景之下，運(yùn)營商要進(jìn)一步加強(qiáng)安全主動(dòng)防御技術(shù)的部署，力求將防御縱深覆蓋到各個(gè)互聯(lián)網(wǎng)系統(tǒng)、內(nèi)網(wǎng)系統(tǒng)以及核心生產(chǎn)系統(tǒng)等等領(lǐng)域之中，并對物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層等等方面進(jìn)行整合，同時(shí)依托大數(shù)據(jù)技術(shù)以及云計(jì)算技術(shù)的優(yōu)勢，從而全面提升通信網(wǎng)絡(luò)安全主動(dòng)防御的技術(shù)水平。

1 基于通信網(wǎng)絡(luò)的安全主動(dòng)防御技術(shù)

通信網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)是在公安部、工信部、網(wǎng)信辦等上級單位安全規(guī)定的前提下，基于目前的管理技術(shù)與運(yùn)營體系進(jìn)行的一架構(gòu)優(yōu)化，是在已經(jīng)具備架構(gòu)安全和被動(dòng)安全基礎(chǔ)上，以主動(dòng)安全和威脅情報(bào)應(yīng)用為目標(biāo)的實(shí)戰(zhàn)化防御體系，以滿足通信網(wǎng)絡(luò)演練、重大活動(dòng)保障等高強(qiáng)度防護(hù)任務(wù)為需求。將安全策略、安全組織、安全技術(shù)、安全過程相融合，更加突出體系有動(dòng)態(tài)能力，強(qiáng)調(diào)主動(dòng)化、立體化、及時(shí)性，做到了工作有體系、管理有組織、防御有技術(shù)、各類安全問題有章可循。具體包括：第一，安全策略作為一切安全工作最佳實(shí)踐的積累，用于指導(dǎo)各項(xiàng)活動(dòng)的有序進(jìn)行，確保相關(guān)參與人員行動(dòng)的協(xié)同一致；第二，安全組織包括了運(yùn)營商內(nèi)部決策層、管理層、業(yè)務(wù)部門和各代維廠家，強(qiáng)調(diào)了各層級與部門在重要安全工作中的崗位責(zé)任，實(shí)現(xiàn)守土有責(zé)、守土盡責(zé)；第三，安全技術(shù)包括了集中化安全能力、安全防御手段和網(wǎng)絡(luò)安全攻防體系類手段；最終以安全過程實(shí)現(xiàn)上述資源在各種場景下的組合與驅(qū)動(dòng)。

2 基于通信網(wǎng)絡(luò)的安全主動(dòng)防御技術(shù)分析

2.1 安全策略

安全策略是信息安全的核心，安全策略包含安全管理制度、組織職責(zé)和技術(shù)規(guī)范，它既是信息安全管理的指導(dǎo)原則，也是控制信息系統(tǒng)安全的具體要求，又是信息系統(tǒng)安全合規(guī)檢查的主要依據(jù)。運(yùn)營商需要根據(jù)實(shí)際工作的需求，從而制定四個(gè)層級的安全策略庫，即：通信網(wǎng)絡(luò)行動(dòng)策略庫、重大活動(dòng)保障策略庫、上級安全檢查策略庫、安全事件應(yīng)急策略庫（如圖1所示）。

圖1 四個(gè)層級的安全策略庫

按照以上場景的不同要求，還需要制定不同的保護(hù)范圍和與之對應(yīng)的具體措施，并不斷納入國內(nèi)外及安全業(yè)界新披露的、與自身緊密相關(guān)的安全經(jīng)驗(yàn)，形成安全策略儲(chǔ)備。為了最大限度保障實(shí)踐想效果，安全策略還需要經(jīng)過不斷的演練以及優(yōu)化，例如，在通信網(wǎng)絡(luò)網(wǎng)絡(luò)攻防演習(xí)活動(dòng)中，應(yīng)當(dāng)嚴(yán)格按照相關(guān)策略來執(zhí)行，并根據(jù)結(jié)果進(jìn)行不斷優(yōu)化與調(diào)整。

2.2 安全組織

通信網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)之中的信息系統(tǒng)，需要在組織、技術(shù)以及領(lǐng)導(dǎo)等等方面的支持下，從而構(gòu)建成四個(gè)層級指揮調(diào)動(dòng)體系。具體如下：

第一級是決策指揮層：由各部門分管領(lǐng)導(dǎo)組成的決策與指揮層。該層級負(fù)責(zé)省公司級別的資源調(diào)動(dòng)，促進(jìn)省公司之間、省公司各部門之間的協(xié)同。

第二級是運(yùn)營驅(qū)動(dòng)層：以安全部門構(gòu)建運(yùn)營驅(qū)動(dòng)層。該層面負(fù)責(zé)重大活動(dòng)保障的準(zhǔn)備、執(zhí)行、總結(jié)三個(gè)階段的工作執(zhí)行和驅(qū)動(dòng)，制定計(jì)劃和資源需求，并通過一級組織審核確認(rèn)后執(zhí)行。

第三級分工防守層：以各專業(yè)部門構(gòu)成的各責(zé)任范圍的節(jié)點(diǎn)防守層。該層面負(fù)責(zé)各自責(zé)任范圍的準(zhǔn)備工作、安全監(jiān)測和安全處置。

第四級是技術(shù)支撐層：以各專業(yè)科室所管理的供應(yīng)商、服務(wù)商構(gòu)成，負(fù)責(zé)各自供應(yīng)內(nèi)容的安全運(yùn)維工作。維度二是運(yùn)轉(zhuǎn)分工維度，形成三個(gè)小組分別是：領(lǐng)導(dǎo)組、保障組、聯(lián)絡(luò)組。

2.3 安全技術(shù)

（1）立體化安全防御機(jī)制

安全防御機(jī)制需通過立體化、平臺(tái)技術(shù)結(jié)合的方式構(gòu)建，由集中化安全能力與安全防御能力組成。其中安全平臺(tái)能力如：安全日志、安全運(yùn)營、態(tài)勢感知、安全審計(jì)能力從訪問控制與通道、策略管理、暴露面管理、脆弱性管理、監(jiān)測分析、數(shù)據(jù)泄漏、敏感操作等方面起到了平臺(tái)化、集中化的作用。在安全監(jiān)測分析方面，可以在安全威脅分析以及預(yù)警平臺(tái)作用的之下，有效提升監(jiān)測能力以及分析能力。第一，監(jiān)測能力，具體指的是互聯(lián)網(wǎng)暴露面、內(nèi)部資產(chǎn)、核心區(qū)域的監(jiān)控，加之7*24的人員配置，實(shí)現(xiàn)了實(shí)時(shí)動(dòng)態(tài)監(jiān)測能力。第二，分析能力：通過采用不斷優(yōu)化模型與算法+人工復(fù)核驗(yàn)證的模式，可最大限度保障平臺(tái)分析結(jié)果的精準(zhǔn)性。此外，還可以通過安全手段、新型安全手段和新技術(shù)等等，例如：入侵檢測、WAF、網(wǎng)頁防篡改、流量分析、防火墻、防病毒、漏洞掃描、抗DDoS、云計(jì)算、人工智能等，可進(jìn)一步提升監(jiān)測以及防護(hù)作用。

（2）構(gòu)建一點(diǎn)聯(lián)動(dòng)快速處置的響應(yīng)機(jī)制

在實(shí)際工作中，當(dāng)接到封禁要求后，需要快速定位相應(yīng)的防護(hù)設(shè)備（如某防火墻或交換機(jī)），制定與該設(shè)備產(chǎn)品型號對應(yīng)操作上步驟和腳本集合，備份設(shè)備上現(xiàn)存的策略集并對新指令進(jìn)行效率及沖突方面的優(yōu)化調(diào)整，最終登錄設(shè)備下發(fā)指令，測試封禁效果。上述過程需要在極端的時(shí)間內(nèi)順利完成，但是在傳統(tǒng)模式下由通信網(wǎng)絡(luò)值班組采用人工方式進(jìn)行比對、判定，再將指令傳達(dá)到相應(yīng)設(shè)備的維護(hù)團(tuán)隊(duì)，執(zhí)行風(fēng)險(xiǎn)大、效率低、易出錯(cuò)。因此，需要通過構(gòu)建點(diǎn)聯(lián)動(dòng)快速處置的響應(yīng)機(jī)制來改善這個(gè)問題。

一點(diǎn)聯(lián)動(dòng)快速處置的響應(yīng)機(jī)制是以集中了指令來源、設(shè)備通道、預(yù)設(shè)腳本、結(jié)合自動(dòng)下發(fā)與人工干預(yù)功能，以最快的速度定位策略執(zhí)行點(diǎn)，選用適合的預(yù)案，生成腳本，通過人工流轉(zhuǎn)或自動(dòng)向安全防護(hù)設(shè)備下發(fā)封堵指令的驅(qū)動(dòng)機(jī)制。通過上線IP添加頁面生成文件接口上線與通信工具消息優(yōu)化批量導(dǎo)入，以及安全事件推送一鍵封堵接口，提升了聯(lián)動(dòng)處置效率，有效降低了誤操作的概率。整個(gè)機(jī)制由指令接收、主平臺(tái)、監(jiān)測能力（互聯(lián)網(wǎng)、內(nèi)網(wǎng)、目標(biāo)）、監(jiān)測點(diǎn)部署、處置點(diǎn)部署、工單流程等幾個(gè)組件構(gòu)成。該平臺(tái)實(shí)現(xiàn)邏輯架構(gòu)（如圖2所示）：

圖2 平臺(tái)實(shí)現(xiàn)邏輯架構(gòu)圖

該機(jī)制具有如下特點(diǎn)：

第一，全攻擊事件匯總，通過采集上級單位通知，以及采集省內(nèi)的安全設(shè)備告警，通過高性能的安全事件歸一化處理，形成標(biāo)準(zhǔn)化安全告警；

第二，有效安全預(yù)案選擇：通過已經(jīng)制定的六大類安全事件處置預(yù)案，以及安全通知處置流程，在安全預(yù)案庫內(nèi)選擇適用的處置方法和命令；

第三，自動(dòng)執(zhí)行與人工執(zhí)行相結(jié)合：根據(jù)事件發(fā)時(shí)的條件因素不同，可觸發(fā)自動(dòng)的封堵策略下發(fā)，或生成工單，由人工執(zhí)行，以適合自動(dòng)化程度差異較大的安全處置方法；

第四，多層面立體監(jiān)測和多節(jié)點(diǎn)立體防御：為保證安全監(jiān)測的全面及時(shí)，以及安全處置手段的覆蓋面，此平臺(tái)聯(lián)動(dòng)的安全監(jiān)測設(shè)備和安全處置設(shè)備均為多點(diǎn)。例如當(dāng)發(fā)生WEB網(wǎng)站注入攻擊時(shí)，除了觸發(fā)WAF設(shè)備阻斷響應(yīng)，同時(shí)在CDN 側(cè)對攻擊源進(jìn)行IP封堵。

3 結(jié)語

綜上所述，隨著重大活動(dòng)保障的全面深入以及社會(huì)對通信網(wǎng)絡(luò)安全提出了更高的要求，通信網(wǎng)絡(luò)需要進(jìn)一步加強(qiáng)安全主動(dòng)防御技術(shù)的部署，通過一架構(gòu)優(yōu)化將安全策略、安全組織、安全技術(shù)、安全過程全面融合，實(shí)現(xiàn)了安全防護(hù)能力的全面提升。而網(wǎng)絡(luò)世界是一個(gè)日益變化的世界，因此，為了能夠最大限度保障通信網(wǎng)絡(luò)的安全，還需要在現(xiàn)有的基礎(chǔ)上結(jié)合實(shí)際情況不斷完善策略。