基于PDCA 的主機網信安全數字化防護“五步法”管理機制及應用

［陳子琨 陳龍如］

1 引言

在2016 年4 月19 日召開的網絡安全和信息化工作座談會上，習近平總書記對互聯(lián)網管理提出明確要求：“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標?！盵1]根據國家互聯(lián)網應急中心CNCERT 發(fā)布的《2020 年上半年我國互聯(lián)網網絡安全監(jiān)測數據分析報告》，我國境內感染計算機惡意程序的主機數量約304 萬臺，同比增長25.7%。從我國境內感染計算機惡意程序主機數量地區(qū)分布來看，主要分布在江蘇省（占我國境內感染數量的15.3%）、浙江?。ㄕ?1.9%）、廣東省（占11.6%）等，具體分布如圖1 所示。

圖1 我國境內感染木馬僵尸程序的主機數量按地區(qū)分布

2 主機安全威脅分析

運營商的主機部署在公網和DCN/CN2 等內部網絡，一般安裝UNIX/LINUX 或WINDOWS 的操作系統(tǒng)，其中UNIX/LINUX 的數量居多，占比超過90%以上。UNIX/LINUX 主機主要存在4 類漏洞：①服務、端口和權限沒有最小化；②服務存在弱口令或未經授權就能登錄；③操作系統(tǒng)或應用軟件存在高中風險的漏洞；④操作系統(tǒng)或應用服務的敏感信息泄露。第三方團體或個人可以利用主機的四類漏洞，獲取主機的敏感信息或操作權限，甚至進行內網滲透，拿下核心數據庫的權限，獲取大量運營商用戶的信息。

防火墻是整個數據包要進入主機前的第一道關卡，為了保護網絡的安全，Linux 系統(tǒng)中提供了可靠的防火墻機制Netfilter，并在此基礎上提供了Iptables 軟件實現(xiàn)數據包的過濾。[4]ACL 是英文單詞Access Control Lists 的首字母簡寫，意為訪問控制列表，這種訪問控制列表是通過對經由交換機或路由器的數據流進行判斷、分類和過濾的一種技術。其本質是一系列包含著源地址、目的地址以及端口號等信息語句的集合，其中的每一條語句都可被稱為通信規(guī)則，因為其規(guī)定了對到達的數據包進行處理的動作，只有匹配相應規(guī)則的數據包中的信息，才能通過訪問控制列表訪問相應的數據信息，否則就會被拒絕訪問，這樣就能實現(xiàn)安全控制路由器和網絡。[5]通過啟動Iptables 軟件，配置ACL，實現(xiàn)主機訪問流量的精準控制，這是實際安全防護中“零成本”且有效的一種方法。

主機ACL 配置完整和準確，則可以減少99%的主機安全威脅，但是由于配置主機ACL 有如下問題，主機管理員存在不敢配，不會配和不想配的心態(tài)，導致主機ACL配置缺失，或者不完整，或者不準確等情況。配置主機ACL 的主要問題如下。

（1）端口和IP 數量多：主機數量多，開放端口較多，訪問IP 數量較多，收集端口和IP 的工作量很大。

（2）可能影響業(yè)務：主機端口承載著核心業(yè)務，ACL 配置不當容易導致業(yè)務異常甚至全阻。

（3）端口變化：日常主機的應用升級或變更，會改變主機端口，需要更新主機ACL。

PDCA 環(huán)是由著名的質量管理大師戴明于20 世紀60年代初創(chuàng)立的，又稱戴明環(huán).其反復強調質量控制的重要性，是一套能夠全面遵循質量管理的科學程序，這個循環(huán)主要包括4 個階段：計劃（Plan）、實施（Do）、檢查（Check）和處理（Action）。本文遵循工信部的系列規(guī)范與準則，對運營商主機網信安全的管理進行深度研究與分析，希望建設一套更理想、更科學的運營商主機網信安全數字化防護管理機制，將PDCA 循環(huán)引入運營商主機網信安全數字化防護的全面質量管理體系，通過PDCA 運轉的基本方法，綜合運用PDCA 過程方法和系統(tǒng)方法，遵循PDCA 環(huán)來構建運營商主機網信安全數字化防護質量管理體系的運行，使網絡安全質量得以持續(xù)改進，不斷地滿足與超出各相關方的需求。[3]

3 主機安全數字化防護“五步法”管理機制

借鑒PDCA 循環(huán)的管理思路，某運營商建立了基于PDCA 的主機網信安全數字化防護“五步法”管理機制，如圖2，基于PDCA循環(huán)分為建立訪問矩陣、智能分析風險、正式啟用配置、智能交叉核查、整改ACL 配置5 個階段，在確保網絡和業(yè)務運行穩(wěn)定的前提下，分級防護，先觀察后攔截，逐步完善策略。5 個階段逐步進行，像車輪一樣向前滾進，周而復始，不斷循環(huán)。

圖2 主機網信安全數字化防護的“五步法”管理機制流程圖

3.1 建立訪問矩陣

建立訪問矩陣是主機網信安數字化防護“五步法”管理機制的第一步，對應PDCA 循環(huán)的計劃（Plan）階段，主要是明確平臺的防護等級，主機ACL 配置規(guī)則和配置標準，然后通過數字化的方式，收集端口信息和訪問關系，形成數字化的端口訪問矩陣，助力管理員全面梳理業(yè)務系統(tǒng)的應用服務運行和內外調用關系，掌握業(yè)務系統(tǒng)運行情況的全景視圖，為保障業(yè)務系統(tǒng)的穩(wěn)定運行和網信安全打下堅實基礎。

首先，根據平臺承載的用戶數量、重要性以及平臺的接入網絡和互聯(lián)網暴露面來分級，用戶數量多，接入公網且存在互聯(lián)網暴露面的平臺等級高，反之則低，從高到低，可以分為5 級。每個等級有相應的防護規(guī)則和防護配置標準。每一級的防護配置標準如表1 所示，本文重點研究的是主機ACL 白名單模式的配置。

表1 平臺/系統(tǒng)分級防護的標準

一級防護：部署在公網的平臺數據庫主機。

二級防護：部署在公網的平臺且設置了默認路由的主機，安全防護配置要求最低為二級防護。部署在CN2/DCN 的數據庫主機安全防護配置要求最低為二級防護。

三級防護：部署在私網的平臺，安全防護配置要求最低為三級防護。

四級防護：工程施工期間且部署在公網的平臺，安全防護配置要求最低為四級防護。

五級防護：工程施工期間且部署在私網的平臺，安全防護配置要求最低為五級防護。

管理員先初步收集系統(tǒng)主機的重要服務端口以及其他端口，主機內部的互訪關系，主機和外系統(tǒng)的互訪關系，建立一個基礎的端口資源列表和端口訪問矩陣，如表2 所示。重要服務端口的收集可參考漏洞掃描結果中具有中高危風險的服務端口，并結合服務的重要性，如Oracle 服務（1521 端口）、MySQL 服務（3389）、SSH 服務（22 端口）、FTP 服務（21 端口）、Web 服務（80、8080 端口）等。其中對于SSH 服務（22 端口），一般建議先配置白名單，源IP 為4A/網管/SOC 平臺的地址，限制只能從4A/網 管/SOC 平臺登錄主機。

表2 主機端口訪問矩陣

3.2 智能分析風險

根據基礎的端口資源列表和端口訪問矩陣，配置主機ACL，模式是不攔截只做記錄，然后開啟iptables 防火墻，ACL開始生效。管理員在收集一周到一個月的訪問日志后，通過運行智能化腳本，去重提取出所有訪問的源IP、目的IP、源端口、目的端口和協(xié)議類型。經管理員和外部門確認后，更新端口資源列表和端口訪問矩陣，同步更新主機ACL，然后繼續(xù)觀察一周的訪問日志，最終完成主機端口資源列表和端口訪問矩陣的確認。

智能分析風險是“五步法”管理機制中很重要的一步，對應PDCA 循環(huán)的實施（Do）階段，通過智能化的腳本，提高了管理員的工作效率，解決了主機ACL 的端口和IP信息量較多而產生的工作量大問題，通過一段時間的觀察，確保端口訪問矩陣信息準確完整，做到了“顆粒歸倉”，解決了主機ACL 配置不準確可能影響業(yè)務的問題，保證主機ACL 正式啟用后，網絡和業(yè)務依然可以穩(wěn)定運行，實現(xiàn)了主機網信安全數字化安全防護的“零成本”和“零影響”。

3.3 正式啟用配置

正式啟用配置是“五步法”管理機制的關鍵一步，仍處于PDCA 循環(huán)的實施（Do）階段。它承前啟后，在第2步通過觀察確定的端口訪問矩陣基礎上，管理員修改主機防火墻ACL 的模式，從只記錄不攔截，改為攔截且記錄，允許白名單的IP 通過，拒絕其他IP，同時繼續(xù)記錄端口的訪問日志，觀察業(yè)務，直到業(yè)務運行正常一周以上。

雖然通過第二步的觀察，端口訪問矩陣的信息應該是準確和完整的，但由于觀察時間在一個月左右，仍不排除缺漏了一些端口訪問關系，因此正式啟用配置還是具有很大的操作風險，可能會影響核心業(yè)務的運行，因此在正式啟用配置后，應組織支撐廠商和外部門實施充分的業(yè)務回歸測試，在測試通過后，管理員應繼續(xù)觀察一段時間業(yè)務的運行情況，若發(fā)現(xiàn)業(yè)務運行異常，則應檢查主機防火墻的訪問日志，核對無誤后，更新端口訪問矩陣以及主機ACL 配置，如此循環(huán)，直至業(yè)務高峰期過后，系統(tǒng)依然運行正常。

3.4 智能交叉核查

智能交叉核查是“五步法”管理機制的重要創(chuàng)新，處于PDCA 循環(huán)的檢查(Check)階段，是PDCA 循環(huán)的核心體現(xiàn)，遵循PDCA 循環(huán)的定義，通過程序每天智能化掃描主機端口的開放情況，以及定期組織經驗豐富的專家交叉復核主機的ACL 配置，雙管齊下，全面發(fā)現(xiàn)主機ACL 的配置缺漏或不當，進而去推動管理員去整改，最終實現(xiàn)主機ACL 配置的閉環(huán)管理。

為了及時發(fā)現(xiàn)主機端口的變更情況，以及主機ACL缺漏或配置不當的情況，解決管理員人工檢查的低效和易失誤問題，提高主機ACL 的工作效率，某運營商組織開源和安全人才自研Xnmap 端口掃描系統(tǒng)，實現(xiàn)對主機端口開放情況的每天自動掃描和核查，對于確認開放且未備案的端口，自動發(fā)郵件給管理員提醒處理，確保管理員能及時配置主機ACL。

在Xnmap 端口掃描系統(tǒng)的智能化掃描基礎上，增加主機ACL 配置經驗豐富的專家人工核查方式，彌補程序核查不夠全面準確的缺陷，為此某運營商從各專業(yè)科室抽調熟悉主機ACL 配置的專家組成多個檢查組，由檢查組之間交叉核查主機ACL 的配置，檢查系統(tǒng)的端口開放情況和主機ACL 配置，查看配置是否符合等級標準要求，檢查記錄表如表3 所示。

表3 交叉檢查組的檢查記錄表

3.5 整改ACL 配置

整改ACL 配置是“五步法”管理機制的最后一步，處于PDCA 循環(huán)的處理(Action)階段，是PDCA 循環(huán)的精華，遵循PDCA 循環(huán)的定義，只有不斷整改發(fā)現(xiàn)的問題，完善相關的操作指引，主機網信安全數字化防護工作才能不斷完善，適應主機網信安全防護最新的要求。

根據智能交叉核查的結果，發(fā)現(xiàn)主機ACL 配置還存在如下典型問題。各專業(yè)科室完成了主機ACL 配置的整改，并通過了檢查組的復核。

（1）部分系統(tǒng)的ACL 策略未啟用全端口白名單方式。

（2）ACL 配置的源IP 范圍過大。

（3）部分端口允許同網段IP 訪問。

（4）ACL 配置缺漏了部分端口。

3.6 應用效果

本成果自2016 年1 月4 日起在某運營商推廣，歷時5 年，已應用到移動核心網和網信安系統(tǒng)等核心網元及重要系統(tǒng)的主機，建立多個核心網元的業(yè)務訪問關系矩陣，配置了11 759 臺主機的ACL，關閉了6 894 個非必要的端口，部署了40 萬+條主機ACL，并且通過智能交叉核查，發(fā)現(xiàn)1 326 個ACL 配置不符合規(guī)范，已經全部修正。

通過嚴格執(zhí)行主機網信安數字化防護“五步法”管理機制，落實主機ACL 配置，守好主機的第一道大門，某運營商的主機安全風險隱患數持續(xù)下降，核心業(yè)務系統(tǒng)的主機網信安保障水平得到顯著提升。

4 結束語

本文提出的基于PDCA 的主機網信安全數字化防護“五步法”管理機制，通過建立訪問矩陣、智能分析風險、正式啟用配置、智能交叉核查、整改主機ACL 五個階段的循環(huán)開展，保證了主機防護配置的準確性、完整性和業(yè)務風險可控，解決維護人員不敢配、不會配和不想配的問題，實現(xiàn)了主機ACL 配置的“零成本，零影響，精準控制”，可以減少部署網絡防火墻、蜜罐、全流量檢測系統(tǒng)等安全設備，預計節(jié)省運營商至少3 000 萬元網信安類軟硬件的建設投資。基于PDCA 的主機網信安全數字化防護“五步法”管理機制有效構建了核心業(yè)務平臺的主機安全防護能力，成為核心業(yè)務平臺安全防護體系至為重要的組成部分，在全國范圍內具有借鑒推廣價值。