省域網(wǎng)絡(luò)安全遠(yuǎn)程檢測(cè)平臺(tái)的分析與設(shè)計(jì)

傅小兵 國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心江西分中心 南昌市 330038

0 前言

隨著全球競爭日益加劇，越來越多的高級(jí)攻擊團(tuán)隊(duì)和組織對(duì)我國網(wǎng)絡(luò)空間造成了巨大的安全威脅，網(wǎng)絡(luò)安全工作是關(guān)乎國家安全的一項(xiàng)基礎(chǔ)性、綜合性和戰(zhàn)略性的工作，其重要性不言而喻。伴隨著《網(wǎng)絡(luò)安全法》及相關(guān)政策法規(guī)的實(shí)施，各地各部門不斷提升自身的網(wǎng)絡(luò)安全防護(hù)能力。為進(jìn)一步推動(dòng)網(wǎng)絡(luò)安全工作責(zé)任制有效落實(shí)，督促各單位進(jìn)一步健全防范化解網(wǎng)絡(luò)風(fēng)險(xiǎn)，構(gòu)建網(wǎng)絡(luò)安全遠(yuǎn)程檢測(cè)平臺(tái)，實(shí)現(xiàn)對(duì)省域內(nèi)各單位互聯(lián)網(wǎng)可訪問資產(chǎn)的遠(yuǎn)程檢測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱患。

1 系統(tǒng)功能需求

網(wǎng)絡(luò)安全遠(yuǎn)程檢測(cè)平臺(tái)主要實(shí)現(xiàn)對(duì)省域內(nèi)各政企單位網(wǎng)絡(luò)安全防護(hù)情況開展遠(yuǎn)程檢測(cè)，主要功能需求如下：

（1）資產(chǎn)上報(bào)核查。為各政企單位提供信息上報(bào)接口通道，滿足各政企單位資產(chǎn)填報(bào)、歸檔入庫、統(tǒng)計(jì)等功能。同時(shí)，系統(tǒng)利用技術(shù)手段對(duì)填報(bào)信息進(jìn)行核驗(yàn)和資產(chǎn)探測(cè)為后續(xù)工作開展提供基礎(chǔ)數(shù)據(jù)支撐。

（2）遠(yuǎn)程安全檢測(cè)。對(duì)各政企單位開展遠(yuǎn)程安全檢測(cè)工作，發(fā)現(xiàn)各單位互聯(lián)網(wǎng)可訪問資產(chǎn)存在的安全風(fēng)險(xiǎn)和事件。系統(tǒng)需具備身份認(rèn)證、安全風(fēng)險(xiǎn)（事件）提交、專家審核、結(jié)果研判、可視化展示等功能。為盡可能的規(guī)避檢測(cè)工作中的潛在風(fēng)險(xiǎn)，系統(tǒng)需支撐行為審計(jì)、高危行為發(fā)現(xiàn)、一鍵阻斷違規(guī)行為等功能[1]。

根據(jù)系統(tǒng)的主要功能需求，將系統(tǒng)的用戶角色主要分為監(jiān)管單位、被考核單位和技術(shù)支撐單位。

2 總體設(shè)計(jì)

網(wǎng)絡(luò)安全遠(yuǎn)程檢測(cè)平臺(tái)總體有五部分構(gòu)成，包含平臺(tái)縱覽層、核心應(yīng)用層、大數(shù)據(jù)建模分析層、安全監(jiān)測(cè)與系統(tǒng)采集層。平臺(tái)縱覽層負(fù)責(zé)提供多維度功能展示；核心應(yīng)用層提供平臺(tái)基礎(chǔ)管理、資產(chǎn)上報(bào)和核查、事件整改和綜合展示、遠(yuǎn)程安全檢測(cè)等功能的應(yīng)用；大數(shù)據(jù)分析層負(fù)責(zé)提供多種數(shù)據(jù)存儲(chǔ)檢索引擎進(jìn)行數(shù)據(jù)存儲(chǔ)，并通過數(shù)據(jù)匯聚對(duì)接采集探針收集數(shù)據(jù)并加載到數(shù)據(jù)中心；安全監(jiān)測(cè)與數(shù)據(jù)采集層負(fù)責(zé)對(duì)資產(chǎn)數(shù)據(jù)、遠(yuǎn)程安全檢測(cè)過程數(shù)據(jù)進(jìn)行采集。

平臺(tái)功能架構(gòu)圖如圖1所示。

圖1 平臺(tái)功能架構(gòu)層

3 核心功能設(shè)計(jì)

遠(yuǎn)程檢測(cè)功能是平臺(tái)的核心功能，實(shí)現(xiàn)對(duì)被考核對(duì)象的遠(yuǎn)程掃描檢測(cè)。首先，由第三方安全檢測(cè)人員，通過VPN隧道登入到安全檢測(cè)平臺(tái)，通過雙向認(rèn)證（用戶-平臺(tái)雙向認(rèn)證）后分配到授權(quán)檢測(cè)賬戶，進(jìn)入到堡壘機(jī)做兩次用戶認(rèn)證、環(huán)境授權(quán)（檢測(cè)虛擬機(jī)分配）、權(quán)限分配和行為審計(jì)。然后，點(diǎn)擊進(jìn)入超融合平臺(tái)（云計(jì)算平臺(tái)），在其分配的虛擬機(jī)上傳安裝各類所需的安全檢測(cè)工具，繼而對(duì)被檢測(cè)單位開始各類安全檢測(cè)。

在開展遠(yuǎn)程檢測(cè)過程中，平臺(tái)實(shí)時(shí)獲取、主動(dòng)監(jiān)測(cè)被檢測(cè)單位的網(wǎng)絡(luò)出口、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)可用性等參數(shù)是否存在影響（超過閾值）。如果超過閥值，平臺(tái)報(bào)警，經(jīng)過人工審核后，發(fā)送異常聯(lián)動(dòng)信息給安全策略集中管理系統(tǒng)，通過其安全聯(lián)動(dòng)協(xié)議，自動(dòng)下發(fā)安全策略給防火墻，實(shí)現(xiàn)自動(dòng)阻斷本次滲透測(cè)試活動(dòng)，防止破壞擴(kuò)大化，盡快降低相關(guān)惡劣影響。如果滲透測(cè)試一切正常（沒有造成被檢測(cè)單位系統(tǒng)的可用性風(fēng)險(xiǎn)），滲透測(cè)試結(jié)束后，提交相關(guān)檢測(cè)報(bào)告，歸檔，并責(zé)令其基于報(bào)告做整改。

網(wǎng)絡(luò)安全遠(yuǎn)程檢測(cè)平臺(tái)以遠(yuǎn)程檢測(cè)功能為核心，整合超融合系統(tǒng)、VPN安全網(wǎng)關(guān)、堡壘主機(jī)等為遠(yuǎn)程檢測(cè)工作提供必要的資源申請(qǐng)、資源開通、目標(biāo)健康監(jiān)測(cè)、危險(xiǎn)動(dòng)作控制和全過程審計(jì)等目標(biāo)[2]。整個(gè)功能模塊的實(shí)現(xiàn)流程如圖2所示。

圖2 遠(yuǎn)程檢測(cè)主要流程示意圖

根據(jù)圖2所示，遠(yuǎn)程檢測(cè)的主要流程包括以下幾個(gè)方面：

（1）檢測(cè)申請(qǐng)、發(fā)起：支撐單位向監(jiān)管單位發(fā)起檢測(cè)申請(qǐng)；

（2）授權(quán)賬號(hào)：監(jiān)管單位在批準(zhǔn)檢測(cè)請(qǐng)求或發(fā)起檢測(cè)任務(wù)后，向支撐單位發(fā)布授權(quán)（信息可以在系統(tǒng)內(nèi)流轉(zhuǎn)），包括：VPN賬號(hào)、堡壘機(jī)賬號(hào)、虛擬機(jī)賬號(hào)、工具軟件賬號(hào)等所需的信息；

（3）虛擬機(jī)授權(quán)：系統(tǒng)自動(dòng)驅(qū)動(dòng)超融合，啟用預(yù)定的虛機(jī)（包括：虛機(jī)可用的時(shí)間限制等）；

（4）遠(yuǎn)程登錄：支撐單位技術(shù)人員登錄VPN及堡壘機(jī)，并登錄指定的檢測(cè)虛擬機(jī)；

（5）資源限制：為確保安全檢測(cè)人員不因故意或誤操作等原因使用類DDoS攻擊測(cè)試造成被檢目標(biāo)宕機(jī)（或其他可用性受嚴(yán)重?fù)p害的情況），通過邊界防火墻進(jìn)行流量、并發(fā)連接數(shù)的限制；

（6）可用性監(jiān)測(cè)：在遠(yuǎn)程檢測(cè)的過程中，平臺(tái)會(huì)對(duì)遠(yuǎn)程檢測(cè)目標(biāo)進(jìn)行可用性監(jiān)測(cè)，一旦發(fā)現(xiàn)遠(yuǎn)程檢測(cè)目標(biāo)出現(xiàn)延時(shí)或者不可用的現(xiàn)象，平臺(tái)通過報(bào)警機(jī)制聯(lián)動(dòng)安全策略集中管理系統(tǒng)下發(fā)阻斷策略。

（7）行為限制：對(duì)于高概率引起被檢目標(biāo)可用性、完整性故障的高危漏洞利用行為，可通過前端部署的威脅檢測(cè)系統(tǒng)（視具體需求可配置為IPS/IDS、WAF、APT/全威脅檢測(cè)等）進(jìn)行識(shí)別，按照監(jiān)管單位相關(guān)保護(hù)策略可直接進(jìn)行阻斷，即上報(bào)給系統(tǒng)，并根據(jù)預(yù)定的策略向防火墻下發(fā)阻斷策略，阻斷當(dāng)前行為或在多次違規(guī)后封堵檢測(cè)虛擬機(jī)的所有通信；

（8）行為審計(jì)：由于所有操作都經(jīng)過堡壘機(jī)代理，檢測(cè)人員在檢測(cè)虛擬機(jī)上的所有操作都會(huì)被圖形化方式記錄下來（無桌面環(huán)境的Linux操作也會(huì)被記錄完整的命令行過程），能夠起到規(guī)范操作行為、追溯違規(guī)操作的關(guān)鍵作用。

4 系統(tǒng)部署設(shè)計(jì)

為保障系統(tǒng)的穩(wěn)定運(yùn)行和各功能模塊達(dá)到設(shè)計(jì)的預(yù)期效果，系統(tǒng)部署示意圖如圖3所示。

圖3 系統(tǒng)部署示意圖

網(wǎng)絡(luò)安全遠(yuǎn)程檢測(cè)平臺(tái)根據(jù)用戶角色（監(jiān)管單位、被考核單位、支撐單位）系統(tǒng)為不同角色用戶提供了不同功能模塊。系統(tǒng)的主要核心功能部署于監(jiān)管單位側(cè)。系統(tǒng)采用旁路部署的方式，部署位置位于網(wǎng)絡(luò)核心位置，用于支持單位遠(yuǎn)程登錄檢測(cè)環(huán)境的身份核查及檢測(cè)過程審計(jì)，系統(tǒng)將對(duì)支撐單位人員進(jìn)行唯一身份的識(shí)別，保障支持單位人員的身份唯一性。并在遠(yuǎn)程檢測(cè)的同時(shí)采用命令記錄，圖形記錄，視頻記錄等方式保存遠(yuǎn)程檢測(cè)的全部過程，并實(shí)現(xiàn)對(duì)過程的審計(jì)。同時(shí)，超融合一體機(jī)提供了計(jì)算虛擬化、網(wǎng)絡(luò)虛擬化和分布式存儲(chǔ)，提供多種虛擬資源池的統(tǒng)一管理、虛擬網(wǎng)絡(luò)設(shè)備的創(chuàng)建和管理和統(tǒng)一存儲(chǔ)服務(wù)[3]。

VPN安全網(wǎng)關(guān)部署位置旁路部署在網(wǎng)絡(luò)核心位置，用于被考核單位的資產(chǎn)上報(bào)數(shù)據(jù)傳輸安全及支持單位遠(yuǎn)程安全檢測(cè)的通信加密。網(wǎng)關(guān)采用SSLVPN加密技術(shù)及國密加密算法，保障數(shù)據(jù)在傳輸互聯(lián)網(wǎng)過程中的安全性。

5 預(yù)期效果

本系統(tǒng)從省域內(nèi)網(wǎng)絡(luò)安全工作開展實(shí)際需求出發(fā)，按照“底數(shù)摸得清、告警報(bào)的準(zhǔn)、重點(diǎn)抓得到、監(jiān)管推的動(dòng)、成效看得見、資源受得了”的要求建設(shè)網(wǎng)絡(luò)安全遠(yuǎn)程檢測(cè)平臺(tái)，督促省域內(nèi)各單位做好網(wǎng)絡(luò)安全防護(hù)工作，提升防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)能力。在平臺(tái)的數(shù)據(jù)存儲(chǔ)和應(yīng)用層面使用了大數(shù)據(jù)及虛擬化相關(guān)技術(shù)，可直接通過擴(kuò)展硬件的方式獲得整個(gè)系統(tǒng)計(jì)算和存儲(chǔ)能力的擴(kuò)展，無需再進(jìn)行數(shù)據(jù)備份、軟件更新等繁復(fù)操作，極大的降低了系統(tǒng)管理維護(hù)成本，同時(shí)，系統(tǒng)使用了模塊化設(shè)計(jì)的方法，可以保證不同軟件功能與模塊之間的解耦和，實(shí)現(xiàn)數(shù)據(jù)采集靈活調(diào)整，分部實(shí)施。