摘要:随着水利信息化的发展,长江科学院持续加强信息化建设,给水利科学研究和科研管理带来极大的便利,但信息化带来便捷的同时,安全问题也开始逐渐显现。深入分析网络中的各个薄弱环节,提高整体网络安全性,避免发生网络安全事件已成为工作的重点。论文基于长江科学院的实际网络及业务状况,围绕长江科学院网络安全建设的内容进行探讨,从网络边界、内部网络及内部态势感知三方面详细分析了长江科学院在目前网络环境下面临的安全风险;并从边界防护、终端防护、服务器防护、态势感知四个方面提出应对策略,阐述了可实施的网络安全技术路线。
关键词:网络安全;云防护安全;终端安全;态势感知;虚拟化安全
1研究背景
指出“没有网络安全就没有国家安全”[1]。随着《中华人民共和国网络安全法》和《中华人民共和国数据安全法》等一系列法律法规的陆续出台,中国已将网络安全提升到国家安全战略高度。近年来,国际形势变化不断助长网络攻击规模和复杂程度,网络攻击事件频发[2-5],网络安全形势持续紧张。长江科学院(简称长科院)是国家社会公益类科研机构,为国家水利事业以及长江保护、治理、开发与管理提供科技支撑,其网络具有水利专业的特点,分支机构地域分散,国内外交流频繁,对网络的开放性、安全性有较高要求。本文基于长科院的网络拓扑结构及业务状况,通过分析网络中的薄弱环节,结合先进的网络安全防护技术,从边界防护、内网安全、服务器防护及态势感知等方面设计应对网络攻击的方法,提出一种适用于长科院的网络安全建设工作的思路。
2网络安全风险分析
长科院的网络通过核心交换机连接两个主要办公区,核心区域包括服务器区、水利骨干网络区。在服务器区边界配备有WEB应用防护系统、日志审计设备;在网络出口处及水利骨干网络边界处均部署下一代防火墙进行流量隔离与检测。通过长科院业务需求及网络结构分析,可以发现其面临的网络安全风险主要存在于以下三个方面:
2.1边界风险
由于长科院的业务及办公需要,需对外开放多个业务系统、办公系统,互联网与院内网边界处的暴露面较多,这些暴露面往往是黑客攻击的重点,是黑客从互联网突破进入院内网的重要渠道。根据网络安全“木桶原理”可知,整体安全水平由安全级别最低的部分所决定,一旦某个系统存在漏洞被黑客利用,黑客将会以此为攻击跳板,利用内部系统间的防护弱点进行内部扩散、横向渗透攻击,造成更大范围的破坏。
2.2院内部终端风险
长科院网络的使用主体是全体职工及研究生,使用群体的数量较大,且个人电脑终端可以访问院内的应用系统,拥有较大的访问权限。目前部分用户网络安全意识淡薄,对自己电脑终端的安全问题不够重视,没有安装安全软件,没有养成定期全盘杀毒习惯,黑客很有可能早已通过各种方式如钓鱼邮件、病毒文件等手段攻击或控制终端,植入后门,潜伏在院内的部网络中,时刻都可能对系统造成威胁,不但可以窃取电脑中的敏感信息,而且能以终端作为跳板,绕过部分安全设备,直接向院内服务器发起攻击[6]。
2.3内部态势感知风险
长科院目前缺乏有效的内网态势感知与监测的技术手段。在黑客入侵到内网之后,无法对内网主机间的攻击流量进行有效地感知预警、分析网络环境信息,当攻击发生时不能快速判断当前的网络安全形式,及时做出有效的应对,且在事后溯源阶段难以完整地还原黑客的攻击链。
3网络安全防御体系建设
为有效应对长科院面临的网络安全风险,增强网络安全防护能力,建议从以下几个方面设防,建设可靠、安全的网络环境。
3.1边界防护
网络边界防护是长科院网络安全防护的重要一环。在缩小网络边界处暴露面、设置严格的访问控制策略的同时,将部分重要系统的防护前置到云端,可以有效地减轻网络安全防护压力,提升整体的网络安全防护能力。
(1)缩小暴露面:在现如今的条件下,网络攻防双方地位往往不对等。攻击者通常是专业能力较强的黑客,他们攻击时间、攻击手段不固定,攻击路径多样。而作为防守者,需要关注的防守面较大,人力资源有限,且无法做到全天候24小时监控防护。因此网络安全防护的第一步应该对边界处暴露的资产进行清理,关闭不必要的应用系统,收缩网络安全防守面。
(2)访问控制策略:目前长科院对于确需开放的应用系统,已在各区域边界处的防火墙按照最小化原则设置访问控制策略及时段控制策略,严格限制业务系统开放的端口和时间。在长科院与水利骨干网络边界处防火墙上以白名单原则做限制,只开放特定IP、端口的访问流量,其它的流量全部拦截;在服务器区WEB应用防护系统处以黑名单原则做限制,拦截高危端口的流量。并且,对重要的应用系统只放开特定的端口及时间段提供访问。严格的访问控制策略不仅可以收缩网络安全防守面,而且能在一定程度上遏制黑客在不同区域间的横向移动。
(3)防护前置:长科院官网是被攻击的重点目标,仅2021年4月,就监测到数万次针对长科院官网的网络攻击。通过部署网站云防护策略,如图1所示,可以将整个网站的访问流量,通过DNS解析牵引到云端防护节点,在这些节点中对访问流量进行清洗,然后将干净的流量发送到长科院网站服务器[7]。这样将网站防护战线前置到云端,并结合长科院内的本地硬件防火墙形成两道立体防线。
3.2终端防护
传统网络安全防护的重点往往侧重于网络边界及网站防护,对于内网终端的防护不够重视,认为个人终端处在内网,并未直接暴露在互联网上,受攻击的风险较低。但是,近几年来,随着黑客的攻击手段不断更新进化,特别是定向钓鱼邮件攻击,社会工程学攻击等多种针对性攻击手段的兴起,内网终端成为了攻击重点,是黑客突破边界防护的重要渠道。同时由于内部职工的安全意识淡薄,往往会造成内部网络存在木马、病毒、恶意软件。因此,必须考虑个人终端防护方法,确保内网环境干净、当黑客进入内网后最大程度确保内网终端安全。终端的安全防护的关键在于终端的病毒查杀、漏洞修复以及终端防护三方面。终端安全管理系统,具有威胁发现及处理、系统立体防护及全局安全管控三大功能,分为个人客户端及控制中心管理端两部分。个人客户端能够有效检测处理个人主机中的病毒木马、恶意代码及系统漏洞,并为个人终端提供系统级立体防护。控制中心能对内网所有主机进行统一管控,通过配置下发系统漏洞修复策略、病毒木马查杀策略、基线核查策略、移动存储介质管理等策略,进行主动防御,强制性地提升个人主机整体安全防护能力。这样通过对威胁的提前感知与预防,能最大程度实现终端层面安全能力的落地。
3.3服务器防护
长科院绝大部分服务器均运行在虚拟化平台中,虚拟化平台不仅可以灵活地配置虚拟机的CPU、内存、数据存储等计算资源,而且能根据虚拟服务器运行时的负荷动态地分配资源,同时提供容灾备份功能,以保障业务系统的连续性。虚拟化平台的稳定性、可靠性和良好的扩展性为日常工作带来了极大的便利[8]。但与此同时虚拟化技术也带来了一些安全问题[9]:
(1)虚拟化平台在传统的“服务器-操作系统”架构间增加了一层Hypervisor层,由于其自身可能存在漏洞,有一定的安全风险。
(2)在一个虚拟化平台中运行多个虚拟服务器,虚拟服务器之间的网络边界变得模糊,黑客容易利用虚拟服务器与虚拟服务器之间的东西向交互流量进行横向攻击。相比于传统的服务器安全防护,长科院的服务器防护还需解决虚拟化平台中各类虚拟化安全问题,保障虚拟化平台中应用的安全。虚拟化安全管理系统,作为适用于虚拟化平台的安全软件,不仅具有病毒木马的安全防御功能,还具有结合虚拟化平台的虚拟化加固功能,可以有效地防护虚拟机逃逸、恶意破坏Hypervisor等行为,实现对Hypervisor层的安全防护。同时可以根据各虚拟服务器上运行的业务系统情况,在每个虚拟服务器上分别配置虚拟化防火墙策略,实现虚拟机之间的流量隔离,为各虚拟服务器提供一个相对安全可信的运行环境。
3.4内网态势感知
内网态势感知是长科院安全防御体系的关键。传统的安全设备、终端安全软件对内部网络的监控存在盲区,无法有效地发现主机间的攻击行为。高级可持续性威胁(AdvancedPersistentThreat,APT)是近年来的一种新的攻击手段,其攻击目标明确、攻击方法高级、隐蔽性高,可疑流量基本隐藏在正常网络流量当中[10],同时在APT攻击过程中会搜集目标信息,挖掘目标存在的漏洞,从而有针对性的躲避杀毒软件的监控。面对APT攻击,传统安全设备缺乏有效的预警及攻击链溯源手段,难以起到应有的防护作用[11-13]。安全态势感知平台主要用于复杂网络环境中,采用旁路方式接入到内部网络,其体系架构如图2所示,可大体划分为数据接入层、深度分析层及感知呈现层三大部分。在数据接入层,态势感知平台通过如Syslog、LogFile、FTP等方式收集全网安全日志、系统日志、设备日志、流量日志等日志数据,作为系统的数据来源基础。所有收集到的日志将在深度分析层结合机器学习、关联分析、云端情报、内置规则等技术进行深度分析。最后分析的结果以可视化的形式呈现全网及个体终端的安全态势监测情况,为后续网络安全防御和安全策略优化提供数据支撑[14-16]。安全态势感知平台接入的数据源广泛,并结合了多种检测技术,能将攻击者的攻击特征、发送的数据流量特征和被攻击主机的行为特征结合云端情报进行深度分析,因此具有攻击行为溯源能力[17],能有效地发现内网APT攻击行为,可以提升长科院的网络安全事件的事前发现、事中处置以及事后溯源取证的能力。
4结语
网络安全体系的建设是一个长期的过程.在如今信息技术快速发展的背景下,网络安全形势越来越严峻,需要加强对网络安全工作的重视程度,设备是安全的基础,人员是安全的核心,管理是安全的保障。建议加大对网络安全的人力、物力的投入,以确保能适应当前急速变化的网络安全形式。同时,应需结合长科院的实际现状和基础设施,从战略高度进行顶层设计、资源整合、集中管理,将网络安全的建设融合到日常管理、信息系统建设和科研工作中。网络安全体系的建设与每位职工密不可分,人人都是参与者、建设者。不仅需要增强职工的网络安全意识,更要结合完善的网络安全管理制度,这样才能有效地保障长科院的网络与信息安全。
作者:刘翔 杨君 宋蒲斌 单位:长江科学院信息中心
