電子信息工程中網(wǎng)絡(luò)安全等級(jí)保護(hù)加固方案的設(shè)計(jì)

張旭

（英利能源（中國(guó)）有限公司 河北省保定市 071000）

1 當(dāng)前網(wǎng)絡(luò)環(huán)境面臨的主要安全形勢(shì)

1.1 黑客攻擊手段更加智能、復(fù)雜

從上個(gè)世紀(jì)九十時(shí)代到現(xiàn)在，黑客的攻擊手段在發(fā)生重要變化，總體上呈現(xiàn)更加智能化、復(fù)雜化的趨勢(shì)。攻擊目的從最初的黑客炫耀、破壞、竊取數(shù)據(jù)，轉(zhuǎn)向以牟利為主的黑灰產(chǎn)產(chǎn)業(yè)化運(yùn)作為主，如僵尸網(wǎng)絡(luò)、挖礦程序、用戶(hù)數(shù)據(jù)竊取等；從攻擊技術(shù)手段來(lái)看，在最開(kāi)始的僵木蠕、漏洞利用、口令入侵為主，演變成更加復(fù)雜的攻擊方式；從攻擊層面看，從最初的網(wǎng)絡(luò)層攻擊向應(yīng)用層的攻擊演進(jìn)。

1.2 勒索病毒，未知惡意代碼具備較強(qiáng)的破壞能力

勒索病毒也在不停的創(chuàng)新，郵件釣魚(yú)、口令傳播、最新漏洞蠕蟲(chóng)傳播、MBR 篡改等無(wú)所不用其極，此外勒索病毒也利用Exploit Kit 等黑色產(chǎn)業(yè)鏈進(jìn)行攻擊。另外，當(dāng)前防病毒軟件或硬件網(wǎng)關(guān)，基本上以依靠病毒特征庫(kù)為主，而針對(duì)經(jīng)過(guò)變種的病毒、木馬或者未知惡意代碼，不具備監(jiān)測(cè)能力。

總之，新形勢(shì)下，企業(yè)面臨更加嚴(yán)峻的信息安全挑戰(zhàn)。

2 總體方案設(shè)計(jì)

2.1 安全整改思路

企業(yè)整體安全加固解決方案是現(xiàn)有設(shè)備的基礎(chǔ)上，解決在安全建設(shè)初期單純滿(mǎn)足合規(guī)性建設(shè)，或者僅規(guī)劃傳統(tǒng)的縱深防護(hù)安全能力，缺乏完善的主動(dòng)防御技術(shù)和持續(xù)檢測(cè)技術(shù)帶來(lái)的風(fēng)險(xiǎn)。主要解決思路如下：

2.1.1 基于安全風(fēng)險(xiǎn)評(píng)估情況，夯實(shí)基礎(chǔ)安全架構(gòu)

通過(guò)持續(xù)性的風(fēng)險(xiǎn)評(píng)估，進(jìn)行安全架構(gòu)的升級(jí)改造，縮小攻擊面、減少風(fēng)險(xiǎn)暴露時(shí)間。包括：安全域改造、邊界加固、主機(jī)加固等內(nèi)容。

2.1.2 加強(qiáng)持續(xù)檢測(cè)和快速響應(yīng)能力，進(jìn)一步形成安全體系閉環(huán)

針對(duì)內(nèi)網(wǎng)的資產(chǎn)、威脅及風(fēng)險(xiǎn)，進(jìn)行持續(xù)性檢測(cè)；基于威脅情報(bào)驅(qū)動(dòng)，加強(qiáng)云端、邊界、端點(diǎn)的聯(lián)動(dòng)，實(shí)現(xiàn)防御、檢測(cè)、響應(yīng)閉環(huán)。

2.1.3 提升企業(yè)安全可視與治理能力，讓安全了然于胸

基于人工智能、大數(shù)據(jù)技術(shù)，提升全網(wǎng)安全風(fēng)險(xiǎn)、脆弱性的可視化能力，大幅度提升安全運(yùn)維能力，以及應(yīng)急響應(yīng)和事件追溯能力。

2.2 整體框架

企業(yè)的建設(shè)涵蓋互聯(lián)網(wǎng)、內(nèi)部網(wǎng)絡(luò)等，承載大量核心業(yè)務(wù)應(yīng)用，結(jié)合企業(yè)實(shí)際業(yè)務(wù)需求，需要設(shè)計(jì)符合企業(yè)的整體安全加固框架，如圖1所示。

圖1：企業(yè)整體安全加固技術(shù)架構(gòu)圖

2.2.1 基礎(chǔ)安全架構(gòu)優(yōu)化

在現(xiàn)有的安全設(shè)備基礎(chǔ)上，經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)估與安全架構(gòu)咨詢(xún)，進(jìn)行企業(yè)的安全基礎(chǔ)架構(gòu)的升級(jí)擴(kuò)展。主要內(nèi)容包括：

（1）結(jié)合下一代防火墻L2-L7 安全防護(hù)能力，進(jìn)行安全域的改造、安全邊界加固等；

（2）內(nèi)網(wǎng)終端及服務(wù)器的安全加固。基于終端檢測(cè)響應(yīng)，加強(qiáng)安全基線(xiàn)檢查、惡意代碼防護(hù)、防暴力破解等能力；

（3）部署安全感知平臺(tái)和潛伏威脅探針，實(shí)現(xiàn)安全風(fēng)險(xiǎn)的集中監(jiān)測(cè)；

（4）加強(qiáng)云安全、移動(dòng)安全、數(shù)據(jù)安全等方面的建設(shè)。

2.2.2 形成防御-檢測(cè)-響應(yīng)閉環(huán)體系

企業(yè)安全解決方案，可構(gòu)建“防御、檢測(cè)、響應(yīng)”閉環(huán)體系。主要包括：

（1）基于安全云腦的威脅情報(bào)、云端檢測(cè)能力，與下一代防火墻、EDR 等安全設(shè)備聯(lián)動(dòng)，實(shí)現(xiàn)主動(dòng)的安全防御；

（2）基于云眼、云盾等云端安全能力，針對(duì)互聯(lián)網(wǎng)業(yè)務(wù)提供安全監(jiān)測(cè)和流量清洗服務(wù)；

（3）基于安全感知平臺(tái)進(jìn)行企業(yè)內(nèi)網(wǎng)威脅檢測(cè)與風(fēng)險(xiǎn)可視，并與下一代防火墻、EDR 等產(chǎn)品聯(lián)動(dòng)，實(shí)現(xiàn)聯(lián)動(dòng)封鎖和自動(dòng)化響應(yīng)。

3 關(guān)鍵技術(shù)架構(gòu)模型

按照“安全可視+動(dòng)態(tài)感知+閉環(huán)聯(lián)動(dòng)”的安全模型，用戶(hù)、終端、網(wǎng)絡(luò)接入與傳輸和業(yè)務(wù)等全業(yè)務(wù)鏈必須有機(jī)統(tǒng)一，進(jìn)行有效聯(lián)動(dòng)，才能真正帶給用戶(hù)安全。

3.1 全網(wǎng)安全可視

安全不僅必須保證遠(yuǎn)程用戶(hù)與數(shù)據(jù)中心資源之間的透明，而且還要考慮到復(fù)雜網(wǎng)絡(luò)環(huán)境：穿過(guò)分支機(jī)構(gòu)、核心，進(jìn)入數(shù)據(jù)中心再進(jìn)到外面的云中。一個(gè)完整的業(yè)務(wù)鏈，包括用戶(hù)（即用戶(hù)行為）、終端、網(wǎng)絡(luò)、業(yè)務(wù)四個(gè)層面。因此，不僅需要保護(hù)這四個(gè)層面每一個(gè)層面的安全性，還需要保護(hù)整合業(yè)務(wù)鏈條的整體安全性。全業(yè)務(wù)鏈的安全不僅必須是數(shù)據(jù)中心架構(gòu)的一部分，同時(shí)也是更廣泛解決方案的組成部分。

3.2 動(dòng)態(tài)感知

基于業(yè)界領(lǐng)先信息安全理念，采用業(yè)界領(lǐng)先的大數(shù)據(jù)、人工智能技術(shù)安全，建立了安全感知平臺(tái)，為所有業(yè)務(wù)場(chǎng)景提供云端的威脅感知能力。通過(guò)潛伏威脅探針、安全邊界設(shè)備、上網(wǎng)行為感系統(tǒng)，對(duì)服務(wù)器或終端上面的文件、數(shù)據(jù)與通信進(jìn)行安全監(jiān)控，利用大數(shù)據(jù)技術(shù)感知數(shù)據(jù)主動(dòng)發(fā)現(xiàn)威脅。無(wú)論是網(wǎng)絡(luò)內(nèi)部產(chǎn)生的威脅，還是由外網(wǎng)帶入的威脅，通過(guò)聯(lián)動(dòng)接口，利用“安全大腦”基于大數(shù)據(jù)技術(shù)分析出的檢測(cè)結(jié)果，利用邊界和終端、移動(dòng)接入的安全控制能力，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)威脅的聯(lián)合感知和聯(lián)合防御。

3.3 閉環(huán)聯(lián)動(dòng)

3.3.1 閉環(huán)

動(dòng)態(tài)響應(yīng)、安全設(shè)備的聯(lián)動(dòng)是大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全體系的重要組成部分。通過(guò)大數(shù)據(jù)預(yù)測(cè)和云管理，保證安全策略能夠符合最新的網(wǎng)絡(luò)安全要求。同時(shí)，也可以根據(jù)安全感知平臺(tái)的預(yù)警信息，基于運(yùn)營(yíng)與情報(bào)中心對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備進(jìn)行策略備注，從而有效減少安全事件的發(fā)生。

3.3.2 聯(lián)動(dòng)

安全聯(lián)動(dòng)是一種通過(guò)日志采集技術(shù)將網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的日志信息采集并處理，通過(guò)關(guān)聯(lián)分析技術(shù)提取出企業(yè)安全威脅分析需要的日志信息，通過(guò)安全態(tài)勢(shì)界面呈現(xiàn)，并對(duì)安全威脅事件做安全響應(yīng)的一種技術(shù)。

4 實(shí)施部署方案

4.1 互聯(lián)網(wǎng)出口區(qū)

作為數(shù)據(jù)中心出口和終端用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的出口，數(shù)量眾多的用戶(hù)通過(guò)該出口進(jìn)行互聯(lián)網(wǎng)訪(fǎng)問(wèn)，需保障鏈路實(shí)時(shí)可用、流量可控；在與互聯(lián)網(wǎng)對(duì)接后，可能會(huì)遭受DDoS 攻擊、網(wǎng)絡(luò)攻擊，從而造成鏈路中斷、內(nèi)部IT 系統(tǒng)被入侵，甚至被非法分子遠(yuǎn)控后向外發(fā)起攻擊、竊取關(guān)鍵重要數(shù)據(jù)或借機(jī)發(fā)布負(fù)面言論。

雙機(jī)部署防火墻，在網(wǎng)絡(luò)出口需提供需在互聯(lián)網(wǎng)出口邊界進(jìn)行隔離和訪(fǎng)問(wèn)控制，開(kāi)啟防DDOS 攻擊，防病毒模塊，從2-7 層對(duì)攻擊進(jìn)行防護(hù)，實(shí)現(xiàn)對(duì)入侵事件的監(jiān)控、阻斷，保護(hù)整體網(wǎng)絡(luò)各個(gè)安全域免受外網(wǎng)常見(jiàn)惡意攻擊；雙機(jī)部署上網(wǎng)行為管理設(shè)備對(duì)互聯(lián)網(wǎng)出口流量進(jìn)行識(shí)別并對(duì)流量進(jìn)行管控，提高帶寬利用率的同時(shí)保障用戶(hù)上網(wǎng)體驗(yàn)。

4.2 安全接入?yún)^(qū)

分支機(jī)構(gòu)、銀企互聯(lián)通過(guò)安全接入?yún)^(qū)域，連接到核心交換區(qū)，訪(fǎng)問(wèn)、使用部署在數(shù)據(jù)中心上的業(yè)務(wù)系統(tǒng)。

存在非法越權(quán)訪(fǎng)問(wèn)、網(wǎng)絡(luò)攻擊、病毒傳播，以及帶寬資源擁塞風(fēng)險(xiǎn)。

通過(guò)雙機(jī)熱備、旁?huà)旎虼械确绞?，部署下一代防火墻、上網(wǎng)行為管理設(shè)備等設(shè)備。

4.3 核心交換區(qū)

核心交換機(jī)采用雙機(jī)熱備方式部署，保證業(yè)務(wù)系統(tǒng)的高可靠性和高可用性；

采用靜態(tài)路由和帶認(rèn)證的動(dòng)態(tài)路由協(xié)議方式，保證路由安全可控（此條亦針對(duì)其他有關(guān)聯(lián)的路由設(shè)備，如三層交換、路由器、防火墻等）。

旁?huà)彀踩Y源池以及相關(guān)安全組（如下一代防火墻軟件、堡壘機(jī)軟件）等，以及潛伏威脅探針等，進(jìn)行全網(wǎng)核心流量的檢測(cè)與審計(jì)。

4.4 終端接入?yún)^(qū)

按照不同物理位置、業(yè)務(wù)功能、部門(mén)等劃分VLAN，實(shí)現(xiàn)各樓棟終端的子網(wǎng)劃分；

辦公終端上安裝防病毒軟件和終端安全管理軟件；

部署內(nèi)網(wǎng)準(zhǔn)入認(rèn)證方式，有效管理內(nèi)網(wǎng)終端認(rèn)證，同時(shí)為審計(jì)策略、有效防御身份冒充、權(quán)限擴(kuò)散與濫用等提供管理基礎(chǔ)。

4.5 安全管理區(qū)

該區(qū)域說(shuō)明如下：該安全域?qū)I(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行集中管理與細(xì)粒度審計(jì)；用于監(jiān)控內(nèi)網(wǎng)安全域之間的流量，對(duì)流量中的威脅進(jìn)行實(shí)時(shí)檢測(cè)并統(tǒng)一呈現(xiàn)，從而需要以下安全部署。

對(duì)于內(nèi)網(wǎng)虛擬機(jī)內(nèi)部流量不可視、虛擬機(jī)的安全防護(hù)缺失的情況，通過(guò)在每臺(tái)主機(jī)上部署輕量級(jí)端點(diǎn)探針Agent，在運(yùn)維管理區(qū)部署EDR 管理平臺(tái)（可在現(xiàn)有虛擬機(jī)上部署）；提供全面基于虛擬機(jī)應(yīng)用角色之間的訪(fǎng)問(wèn)控制，做到可視化的安全訪(fǎng)問(wèn)策略配置，簡(jiǎn)單高效地對(duì)應(yīng)用服務(wù)之間訪(fǎng)問(wèn)進(jìn)行隔離技術(shù)實(shí)現(xiàn)，避免某臺(tái)虛擬機(jī)被攻陷后，帶來(lái)的進(jìn)一步橫向攻擊導(dǎo)致虛擬化平臺(tái)全部陷入癱瘓的境地，同時(shí)EDR 支持虛擬機(jī)殺毒功能，進(jìn)一步構(gòu)建起虛擬機(jī)對(duì)病毒、木馬等威脅的隔離。

部署數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)，可以保護(hù)對(duì)數(shù)據(jù)庫(kù)非法操作及時(shí)告警與審計(jì)、保障非法操作的準(zhǔn)確溯源、保護(hù)數(shù)據(jù)庫(kù)中賬號(hào)安全、統(tǒng)計(jì)分析安全現(xiàn)狀，并能以可視化報(bào)表從多維度分析數(shù)據(jù)庫(kù)的安全現(xiàn)狀等四方面保障數(shù)據(jù)庫(kù)的安全。

部署日志審計(jì)系統(tǒng)，能夠?qū)崟r(shí)不間斷地采集匯聚企業(yè)中不同廠(chǎng)商不同種類(lèi)的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、用戶(hù)業(yè)務(wù)系統(tǒng)的日志信息，協(xié)助用戶(hù)進(jìn)行安全分析及合規(guī)審計(jì)，及時(shí)、有效的發(fā)現(xiàn)異常安全事件及審計(jì)違規(guī)。

部署漏掃設(shè)備（基線(xiàn)核查系統(tǒng)），基線(xiàn)核查系統(tǒng)協(xié)助用戶(hù)實(shí)現(xiàn)企業(yè)內(nèi)安全配置和漏洞的集中采集、風(fēng)險(xiǎn)分析和處理的工作。

部署運(yùn)維堡壘機(jī)，有效管理內(nèi)網(wǎng)運(yùn)維，有效避免運(yùn)維安全事故，主要實(shí)現(xiàn)集中賬號(hào)管理、身份認(rèn)證、授權(quán)管理、審計(jì)運(yùn)維等功能。

4.6 其它區(qū)域

部署業(yè)務(wù)應(yīng)用安全防護(hù)視頻防火墻，視頻網(wǎng)絡(luò)協(xié)議優(yōu)化、從2-7層對(duì)攻擊進(jìn)行防護(hù)，實(shí)現(xiàn)對(duì)入侵事件的監(jiān)控、阻斷，保護(hù)整體網(wǎng)絡(luò)各個(gè)安全域免受外網(wǎng)常見(jiàn)惡意攻擊，提供在網(wǎng)絡(luò)出口需提供需在互聯(lián)網(wǎng)出口邊界進(jìn)行隔離和訪(fǎng)問(wèn)控制，行為審計(jì)。

5 方案優(yōu)勢(shì)

5.1 基于“融合安全、立體保護(hù)”安全體系，提升了威脅防護(hù)、風(fēng)險(xiǎn)應(yīng)對(duì)能力

針對(duì)勒索病毒、0Day 攻擊、APT 攻擊、社會(huì)工程學(xué)、釣魚(yú)等新型威脅手段，傳統(tǒng)安全防護(hù)已經(jīng)失效，安全建設(shè)必要符合最新理念以及技術(shù)發(fā)展趨勢(shì)。方案基于“融合安全、立體保護(hù)”的下一代安全體系，對(duì)比傳統(tǒng)邊界防護(hù)為主的體系方案 ，能夠從容應(yīng)對(duì)各種類(lèi)型最新的威脅，顯著提升企業(yè)的風(fēng)險(xiǎn)管理能力。

5.2 基于人工智能、大數(shù)據(jù)技術(shù)，形成“防御、檢測(cè)、響應(yīng)”閉環(huán)

在持續(xù)攻擊、內(nèi)部威脅增大的時(shí)代，企業(yè)需要完成對(duì)安全思維的根本性切換，從”被動(dòng)防御”+“應(yīng)急響應(yīng)”到“積極防御”+“持續(xù)響應(yīng)”，建立完整的“預(yù)測(cè)、防御、檢測(cè)、響應(yīng)”閉環(huán)。尤其是結(jié)合人工智能、大數(shù)據(jù)、終端檢測(cè)響應(yīng)等新技術(shù)，在未知攻擊檢測(cè)、勒索病毒檢測(cè)與預(yù)防、內(nèi)鬼防護(hù)等方面日趨發(fā)揮關(guān)鍵作用。

5.3 全面的安全可視能力，簡(jiǎn)化運(yùn)維壓力

所有防御能力都源自可視性——顯然，我們無(wú)法防御看不到的東西。方案從可視的深度、可視的廣度兩個(gè)層面有明顯的提升，加強(qiáng)全網(wǎng)資產(chǎn)、風(fēng)險(xiǎn)、脆弱性等檢測(cè)等手段，基于業(yè)務(wù)的視角，實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可視、可控、可管。在全面安全可視基礎(chǔ)上，企業(yè)可以極大降低運(yùn)維的復(fù)雜度，提升安全治理水平。

6 結(jié)語(yǔ)

以上就是在電子信息工程中網(wǎng)絡(luò)安全等級(jí)保護(hù)加固方案的設(shè)計(jì)，及方案優(yōu)勢(shì)的分析。通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)的加固，可以從根源上提高信息安全的保護(hù)，讓網(wǎng)絡(luò)環(huán)境更改健康，為企事業(yè)單位提供有效的工作環(huán)境，以創(chuàng)造更高的價(jià)值。