学文网摘要:简要剖析等保2.0规范体系,提出了机构适用的网络安全技术模型方案。方案以“一个中心,三重防护”框架为遵循,结合机构网络系统各业务域的安全需求,设计了安全网络架构和可信通信机制、终端主动防御、关键业务计算环境安全可信架构和入侵防范、安全管理中心等层面技术模型,模型注重融合威胁情报、统筹安全与管理信息有效集成,构建对未知威胁的主动发现和动态防御的安全运营能力构建,形成具有纵深安全防御机制的基于实战的网络安全防护体系。
关键词:网络安全;等保2.0;“一个中心,三重防护”;主动防御
一、前言
在“互联网+”、云计算、大数据等战略性新技术的发展驱动下,机构实现了基于网络的科研和管理的整体协同,学术研究、理论传播、人才培养和科研管理服务向“智慧”转变。与此同时也伴随着网络安全领域的攻守科技向着动态纵深方向深入发展转化,带来了严重的危害升级。在双层社会的背景下,《网络安全法》及其配套的网络安全等保制度2.0系列标准出台,对网络安全攻防手段和管理技术提出新的更高要求,代表着国家对网络社会的治理形态和治理模式的同步升级,以国家标准为指引进行网络安全保障体系构建,这不仅是安全合规内在要求,也是法律层面的“必过标杆”。本文围绕贯彻等保2.0标准,对机构适用的网络安全技术模型进行探讨。
二、网络安全技术模型设计依据与思路
等保2.0提出“分等级保护、突出重点、积极防御、综合防护”的总体要求,指出安全是覆盖网络安全、业务安全、数据安全特别是关键信息基础设施安全等多个维度的综合安全,明确以“主动防护、动态防护、整体防护、精准防护”总体原则作为网络安全体系设计的遵循。按照标准提出的框架,机构网络安全保障体系应以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心,构造“一个中心,三重防护”架构。2.0管理体系明确了各部分目标安全保护策略和技术路径,特别要求“构建网络攻击主动发现能力、建立可信安全机制、统筹安全日志与管理信息有效集成、搭建安等保2.0下研究机构网络安全技术模型构建雷枫摘要:简要剖析等保2.0规范体系,提出了机构适用的网络安全技术模型方案。方案以“一个中心,三重防护”框架为遵循,结合机构网络系统各业务域的安全需求,设计了安全网络架构和可信通信机制、终端主动防御、关键业务计算环境安全可信架构和入侵防范、安全管理中心等层面技术模型,模型注重融合威胁情报、统筹安全与管理信息有效集成,构建对未知威胁的主动发现和动态防御的安全运营能力构建,形成具有纵深安全防御机制的基于实战的网络安全防护体系。关键词:网络安全;等保2.0;“一个中心,三重防护”;主动防御全管理制度体系”,对机构安全设计与实施具有纲领性作用。结合“学术研究和管理职能的机密性、完整性、可用性、可靠性、可控性和不可否认性”的网络安全战略目标,机构安全技术体系各部分具体技术模型的构建,应在分析具体业务和区域面临的实际风险和安全需求,结合标准规定的技术控制点因地制宜地构建[1-3]。
三、安全的网络架构和跨域通信机制设计
机构内网在城市范围搭建,还开展基于移动互联网和云平台的科研和服务活动,网络安全边界扩大带来复杂多变的安全环境。基于等保2.0提出的“网络安全分层”“业务安全分域”的思路,机构应按照“安全分区、网络专用、横向隔离、纵向认证”原则谋划安全域和网络分区,构建隔离边界,严格访问控制,确保信息***传输。
(一)安全分区和信息***传输
根据业务系统功能和数据生产主体划分业务安全域,形成理论学科网、文献数据中心、管理服务系统、教育信息系统、互联网服务等安全域;在每个安全域边界部署防火墙或网闸,从物理或逻辑上保证与信息应用区隔离,并根据需求建立跨边界访问的权限和端口管控。信息应用区则根据职能、学部和地理园区、网络功能等维度梳理,采用VLAN进行横向逻辑隔离,利用设备ACL管理跨网段访问,隔离广播风暴、蠕虫病毒攻击,同时采用域控等方式控制节点准入。对于科研协作、远程办公等与互联网交互的移动业务,对标移动互联、云计算安全扩展要求,采用加密虚拟专网(SSL***)技术划分实时非实时子网形成扩展应用网络,保证数据交互的保密性和完整性,同时采用绑定移动设备MAC、身份认证等控制准入。对于跨子网甚至分区纵向通信的内网应用,如统筹院所两级治理的管理服务系统、联合所级学科教务管理和远程教学的教育管理系统等,业务流程交叉,应采用设置IP白名单或身份认证加密等访问控制措施,或利用软件隔离技术建立网络资源访问权限管控,通过移动互联进入安全域的还可采用网闸连通并控制交互地址端口来管理跨域访问。
(二)基于互联网态势感知的边界防护
网络边界合规防御要求实施融入安全态势感知的主动威胁监测预警,服务于安全运营。在全网出口处数据检测设备中嵌入***IP/域名解析系统,将互联网公开的有关恶意域名、僵尸网络等威胁情报与网络流量匹配,全天候感知安全态势和威胁捕捉,据此联动调整边界防火墙的规则策略,实施封堵僵尸网络和暗网、下线钓鱼网站等严格的内外访问控制策略。这种融入态势感知的边界防护,比基于特征值黑名单比对的传统防火墙具有更主动积极防御能力,能有效应对APT等新型安全威胁,符合等保2.0“安全防护与安全监测有机结合”思想。对于业务安全域特别是面向互联网的“门户”系统,其边界防护则另有一套技术框架[4-5]。
四、终端主动安全防御
终端是高级威胁进入内网的重要途径,为避免保全网终端(包括业务服务器和用户终端)被黑客侵入或作为桥头堡实施高级威胁入侵,机构安全防御体系必然向终端纵深延伸。入侵行为检测与阻断、安全漏洞发现与升级、网络级病毒木马协同防御等,可作为主机安全基线建设目标,具体如下。
(一)终端静态防护
静态防御采用特征值比对的预设安全策略手段,用于抵御已知终端风险。包括:终端基准化合规配置管理;最小服务和组件加固原则构造数据孤岛;网络微隔离策略阻断已知勒索病毒、蠕虫病毒传播;可信IP白名单+MAC或网关绑定防ARP攻击;采用HIDS系统进行入侵行为感知分析和阻断;实施邮件网关防护垃圾邮件和病毒邮件,并进行内容过滤、恶链识别等深度检测。
(二)终端动态防护
基于攻防视角的端点防护采用EDR机制,整合防病毒、漏补、主机防火等多层防御管理功能,分别在云端、管理端、客户端进行总体部署,其管理端安全模型如***1所示:(1)通过学习生成用户行为知识库,并引入云端威胁情报比对生成恶意行为特征库;(2)将实时获得的终端运行数据与以上特征库关联分析,确定异常行为攻击对象、攻击步骤和范围,并根据内赋策略脚本对终端进行威胁应急处理,如补丁批量修复、病毒查杀、端点隔离等。EDR机制通过自我学习提供终端全生命周期安全防护,能于威胁事件发生前、发生中、发生后依次进行感知预警、安全加固、联动处置,使内网免遭Oday漏洞、隐蔽性高的病毒木马等的威胁。
(三)终端软硬件可信部署
等保2.0要求把各环节可信验证运用于整体防护,其最根本的验证控制点在终端环节,不论服务器还是PC,加载的系统和运行的软件都是相对有限或固定的,甚至服务器的对外交互数据格式也是固定的,因此,每个终端软硬件体系自下而上采用可信芯片、可信OS及其可信软件基,可信安全管理平台统一管理所有接入终端的应用和系统环境,可信软件库为终端提供可信软件,连同受信任的芯片为整个信息系统提供信任的根源[6]。
五、安全计算环境构建
业务系统对可用性、可靠性和不可篡改性要求较高,考虑到理论学术网被攻击的社会放大效应、高品质科研数据已成为机构重要生产资源,而管理服务系统一旦遭到破坏将影响机构平稳运转等等,应对每个系统实际运行风险进行综合分析,结合系统等保定级,严格按照《等保安全设计技术要求》(GB/T25070-2019)因地制宜地合规防护。
(一)计算环境安全可信架构
由于采用通用芯片和系统软件、应用软件等可能导致计算环境产生包括异常登录、远控木马、跨站脚本攻击、缓冲区溢出等漏洞隐患,在可信芯片—可信指令—操作系统层可信软件基基础上,结合对操作系统的漏洞发现、恶意代码检测、系统补丁升级等相关集中安全管理,再融合身份鉴别、安全审计和访问控制、入侵防范等安全策略配置,形成可信安全计算环境;应用层则通过在可信安全管理平台设置关联业务软件为白名单,根据软件安全规则拦截攻击,弥补安全漏洞未及时修补造成的安全威胁。计算环境安全可信架构如***2,自下而上覆盖主机系统、安全通信机制、可信应用基础、业务软件安全、数据完整和保密以及安全域入侵防范等层面。
(二)业务软件安全
从业务软件架构和研发管理等方面进行控制:(1)强化可信计算技术,选择可靠算法和最优设备配置,强制使用遵循国家或行业标准的密码算法,建立从系统到应用的信任链,避免计算数据改变、基础数据蒸发等巨大安全隐患;(2)在软件开发管理框架的关键路径加入安全检查,出现漏洞只需更改框架,避免到处漏水;(3)将安全审核、可信验证(程序可信执行保护)作为关键环节布控到上线前的业务流程以严防出口,并实行高危漏洞一票否决;(4)遵循“专用原则”进行主机系统角色划分,避免一台主机多种角色,结合微隔离策略再次进行业务逻辑划域隔离,如将应用系统和数据库系统分区隔离以应对不同角色访问流量识别和控制;(5)健全系统生命周期安全管理,上线前、上线后定期开展渗透测试和漏扫漏补。
(三)网络空间信任体系
业务系统可信验证控制点还包括系统的身份信任鉴别和安全审计,统筹机构所有统建系统可信身份服务基础体系建设,以安全身份标识贯穿所有业务,降低身份鉴别核查成本,并强制采用生物、电信、密钥等组合身份鉴别技术。特别强调:(1)强制对应内外用户的不同权责进行主机和系统资源权限边界和访问策略设计,甚至采用个人门户组件实现资源访问控制;(2)注重对账号的状态度量,部署与等保等级相适应的安全审计系统,除了失败访问审计,必要时还应增加对关键资源成功访问的审计。
(四)数据生命周期安全
机构对外业务的数据生产组织及系统运转虽流程相对单一,但数据被篡改带来的社会反响较大,对内业务如学术创新研究的集中规划和分散执行管理涉及多层级协同,流程交叉繁复,数据全流程安全防护至关重要。计算可信架构中,数据计算环境、通信网络、使用存储和管理都应有完整的信任链,其技术控制点如下:(1)在数据采集、生产和服务阶段采取防爬技术,细化数据访问权限和访问关系控制;(2)数据存储时应设置数据安全域并开启防擦除功能,配备数据库审计,并实施数据的备份和恢复技术架构;(3)数据传输通道采用网络层加密保护,对管理数据增加加密校验机制,对于文献服务和教学数据采用数据脱敏加密确保数据结构完整,以及采用水印技术利于泄密后溯源等等;(4)对于需高低安全域间跨网交换数据的业务,可设置服务器实施可信接入或设置防火网关完成内外数据摆渡,如理论学术网流媒体审听。
(五)灾难恢复技术保障
服务于安全运营的业务域安全架构,还可以通过结构性冗余设计来落实:(1)对于理论网等关键业务采用双链路、双机热备或集群、负载均衡、软件容错等自适应安全架构设计,在实现硬件灾备同时,强化数据和应用的容灾和恢复能力,确保灾难发生时业务系统按照预先定义的流程平滑切换、连续运行;(2)云计算虚拟化业务一般通过保证虚拟机漂移环境和数据与系统的云端CDP备份的方式实现冗余;(3)数据存储一般通过磁盘热备甚至基于LUN域冗余热备的技术叠加方式保障数据安全。
(六)安全域边界防护和入侵防范
不同的业务系统采用不同的安全域边界入侵防范架构。(1)针对理论学术网、学术期刊网等对外提供Web服务的“门户”,采用WAF对Web特有攻击方式进行防护,其特征库支持HTTP协议效验、爬虫规则、防盗链规则等多种细粒度匹配规则,相比基于包过滤和端口限制的边界防护,WAF能对Web请求进行协议级解析,发现在数据层面构造的攻击负载;若配合DNS牵引筛选非正常请求,由云端带宽和服务器作为资源支撑,可瓦解DDos等拒绝服务攻击;特别对等保3级系统,再引入云端威胁感知和IPS协同防御、内置网页监控防篡改,构建“安全防护、安全监测与安全阻断”三维一体结构,达成重塑网站边界和智能纵深防御。(2)对内服务的业务域系统同样应部署“边界防护+IPS”来协同入侵防范与阻断,防止系统因为不规范的数据传输被从服务端口植入木马,即便单个设备失陷,风险在域内传播也会很快被发现并阻断。(3)Web门户系统还可采用Web反向作为公网访问地址,代为接收Web请求并提供应答,将真正Web服务器隐藏在内网。(4)所有业务域设置堡垒机作为综合运维入口,根据运维者的角色和权责开具访问权限,进行细粒度资源访问控制,保证开放权限最小化[7]。
六、安全运营能力建设——安全运行管理中心
根据上述,业务域以“主机可信架构”结合“防火墙或WAF+IPS/安全通信”构造安全防护,人员区域(含互联网服务)以“防火墙+态势感知+邮件网关”和终端本身为防御边界,辅以EDR防毒等内部防御,但这些基础防御都是基于点位和单维策略的安全孤岛,针对机构安全计算环境、安全区域边界和安全通信网络三个部分的安全机制,还应通过统一的“安全管理中心”来统筹多维网络监测、统一审计,综合分析把控整体安全态势,并进行协同防护,才能预期对抗多维未知高级威胁攻击。管理中心需要集成四个维度的管理流程:对所有区域设置的安全监测、系统管理设备实施统一日志采集;对汇总的审计数据进行集中分析;对安全策略、漏洞补丁升级等事项进行集中管理;对安全风险事件进行预警和响应运维。管理中心实现的是传统的安全监控分析和响应修复、安全人员、制度和流程有机结合的一套综合监测攻防工作机制,在制度、流程和技术三要素中,制度是基于机构系统的安全要点和难点制定的策略、预案、操作规程,需融入整体安全管理工作任务处置的流程建设,而流程是制度和技术平台的衔接。作为一个庞大的可度量的安全运维技术体系,其功能模块、平台架构等具体技术控制点需另文叙述[8]。
七、结语
以“三重防护”为基本,以“一个中心”为核心构建的机构网络安全综合技术模型,基于物理组网架构和客观业务需求,构筑了横向纵向网络区域及边界隔离,搭建可信通信机制、关键业务安全计算环境可信架构和入侵防范体系组成的可信安全机制,防御体系甚至延伸到端点层面,组成了一个安全结构矩阵。此中注重融合威胁情报,统筹安全、日志、管理信息有效集成,构建对未知威胁的主动发现能力,为安全运营注入了以主动加固、溯源联动为策略的集中管控,形成具有纵深安全防御机制的基于实战的网络安全防护体系。此外,依照等保2.0体系要求,在业务信息系统设计实施阶段,就要按照“三同步”原则落实相应安全体系建设,落实项目管理安全责任,完善与管理中心融合的安全管理制度体系建设;同时,还要将安全技术能力与人的安全能力和修养建设有机整合,强化各级人员对网络安全严峻形势认识和安全操作技能,深耕日常运维工作,建设安全文化、安全生态。
参考文献
[1]GB/T22239-2019,《网络安全等级保护基本要求》[S].2019.
[2]GB/T25070-2019,《网络安全等级保护安全设计技术要求》[S].北京:中国标准出版社,2020.
[3]何占博,王颖,刘***.我国网络安全等级保护现状与2.0标准体系研究[J].信息技术与网络安全,2019,38(3):9-14+19.
[4]王斯梁,冯暄,蔡友保,等.等保2.0下的网络安全态势感知方案研究[J].信息安全研究,2019,5(9):828-833.
[5]道法自然.对网络安全态势感知的理解和认识[J/OL].//blog.csdn.net/wyqwilliam/article/details/82596594?spm,2018-09-10.
[6]Hunter.信息安全-如何使用新技术EDR保障终端安全[J/OL].//blog.csdn.net/u010914634/article/details/105994727?spm,2020-05-08.
[7]张宇翔,陶源.基于等级保护与可信计算构建我国关键信息基础设施保障体系[J].信息安全研究,2017,3(4):375-381.
[8]GB/T36958-2018,《网络安全等级保护安全管理中心技术要求》[S].北京:中国标准出版社,2020.
作者:雷枫 单位:中国社会科学院
转载请注明出处学文网 » 等保2.0研究机构网安模型构建