摘要:当前网络空间对抗不断加剧,关键信息基础设施安全形势严峻,国内外纷纷采取有力措施应对,我国关键信息基础设施安全仍存在一系列短板,亟需建立有效技术措施开展安全防护。提出了一种基于多层次行为安全的关键信息基础设施安全防护方案,关注网络安全行为,以"访问控制”和"行为安全”为核心,通过建立网络访问白名单、接□传输白名单、主机行为白名单、数据强隔离交换和情报联防联控等措施,从网络层、应用层、主机层、数据层建立起综合防控体系,提升关键信息基础设施安全防护水平。
关键词:行为安全访问控制可信白名单纵深防御强隔离交换
引言
随着新型信息技术的发展和应用,网络传输系统、信息处理系统、工业控制系统的大规模集成和互联,使得关键信息基础设施的复杂度指数级上升,安全脆弱性和面临的威胁不再是简单的线性叠加,单一风险点就可能造成“牵一发而动全身”的严重后果,重要信息系统、重要网络、大数据系统等关键信息基础设施面临巨大的安全挑战网。
随着国际地缘政治紧张局势不断加剧,有组织、大规模针对电力、电信、金融、能源、交通等关键信息基础设施进行攻击破坏的事件屡屡发生,陆续出现了专门针对工业控制系统、金融系统和移动网络的定制型软件,黑客据此实施定向渗透破坏冏。数据分析显示,除自身存在许多安全风险外,疫情期间我国关键信息基础设施的网络攻击事件频发,强度越来越大、手段越来越多,警醒我们必须从政策、管理、技术
等多维度,快速推进关键信息基础设施保护工作冏。
一、普遍存在的问题与隐患
“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”近年来,重要行业单位纷纷开展实战
关键信息基础设施安全保护
攻防演练,以发现关键信息基础设施存在的深层次风险隐患问题,提升网络安全意识、网络安全防护能力以及攻防对抗能力。经提炼总结发现我国网络安全主要面临着网络攻击暴露面过宽、纵深防御能力差、重点防护措施缺失、安全意识普遍不足、统筹管理能力不到位等诸多问题腐叮
此外,多年的网络安全建设更多关注的是网络边界安全和应用系统安全,然而严峻的网络安全形势下,黑客的攻击行为逐步从单纯的点对点技术渗透朝着业务安全方向展开、从Web业务应用层朝着底层业务、基础网络资源和工业控制系统渗透。传统形式下,依托防火墙、IPS、IDS、前置机、网闸等开展边界防护,依托WAF、防篡改系统开展Web应用防护,依托数据库防火墙、数据网关开展数据防护和广泛开展单点防护的模式已经不能满足关键信息基础设施防护要求,需要抽象网络对象、提炼核心痛点,建立健全安全防护体系,建立"实战化、体系化、常态化”和"主动防御、纵深防御、精准防护、动态防御、整体防控、联防联控”的防护新常态叫
二、安全防护总体思路
《中华人民共和国网络安全法》及公安部规定的国家关键信息基础设施的范畴主要包含:符合特定行业、特定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象丽。本文从整体计算环境安全、具体对象安
全、业务访问安全等全局视角出发,以重要网络设施、信息系统、核心数据为保护对象,在网络资产底数清晰的基础上,在重要网络防护方面主要关注操作
图1多层次安全防护技术措施行为和互联访问,在信息系统防护方面主要关注接入身份和业务资源控制,在核心数据防护方面主要关注隔离和交换,采用“访问控制”、“行为监测”、“纵深防御”、"联防联控”等措施,提出多层次安全防护技术措施。总体思路如图1所示。
三、多层次安全防护技术措施
根据国家对关键信息基础设施保护提出的"坚持分等级保护、突出重点”“坚持积极防御、综合防护”“坚持依法保护、形成合力”的基本原则,要求各单位以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础,以保护关键信息基础设施、重要网络和数据安全为重点,全面加强网络安全防范管理、监测预警、应急处置、侦查打击、情报信息等各项工作m。本文立足工作实践,改变防边界的传统安全模式,以专注防网络入侵行为为目标,建立起五个层次有效安全防护技术措施。
(-)基于主客体访问行为的主机安全防护措施
操作系统是应用系统与数据运行的最小计算环境,主机安全可以被认为是安全防护的最后一道防线,黑客控制主机后既可以当做下一步攻击跳板、又可以瘫痪主机上运行系统。然而,主机监测与防护的痛点
问题在于难以完全刻画主机内所有异常行为。本文以防主机入侵为目标,通过主客体访问行为刻画,描绘黑客进入主机内一定会执行的风险操作,及时监测阻断,以达到主机安全防护的目标。
黑客通过零曰漏洞利用,进入主机后将开展文件读写操作,监控并阻断如下锚点操作,可有效阻断攻击行为:一是监控非白名单地址的运维操作和敏感操作命令,及时发现异常命令执行行为,监控名单包括whoamis ipconfig等攻击者常用命令。二是监控服务器敏感配置文件的读取,例如读取passwd文件、shadow文件、*.conf、.bash_history文件。三是禁止Web目录遍历和写入脚本文件,监测异常行为防止WebShell后门落地执行。四是建立基于流量画像的微隔离措施,通过主机防火墙控制访问源,防止主机间横向移动渗透,例如数据库服务器响应端口只接收应用服务器访问。五是对主机对外开放端口进行清点加固,通过服务端口信息收集指令,获取对外提供服务的端口信息,关闭不必要的端口,对容易被利用的端口进行更改加固。
(二)基于白名单的应用层安全防护措施
黑客针对Web的攻击,主要是通过漏洞利用,尤其是零日漏洞利用难以防范,但所谓漏洞利用可以被看作是通过构造非可信URL请求Web係统资源,所以通过流量分析技术对所有的Web应用访问进行双向访问URL白名单,对于未知访问及时阻断,即可极大解决漏洞攻击问题。一是异常URL检测:通过对正常业务流量学习,识别所有的正常URL并自动聚合,系统管理员确认后,以此作为检测基线,开展检测。二是异常参数检测:通过机器学习收集正常业务交互数据,学习Web请求中不同参数的特征,以此来确定Web请求中的异常。三是双向WebA侵检测:采用白名单检测和黑名单特征匹配相互结合的方式,建立回包检测的模型,对Web事务进行双向检测,有效发现真实攻击。四是异常外连检测:识别流量中所有的外连关系,系统管理员确认后,以此作为检测基线,以发现异常外连行为和WebShell反弹等攻击。
口令安全是Web应用安全不可忽视的重要环节,弱口令、口令复用等问题在业务内网、生产专网普遍存在,此类“低级错误”成为网络安全的"顽疾”,极易被黑客利用进行异常登录。除URL白名单外,还需要建立可信登录访问控制机制,建立基于双因素认证、统一身份关联的强鉴权、授权措施,建立异常登录访问模型,强化异常登录检测,例如非可信IP源头访问、非常规时间访问、非常规频次访问等。
O
(三)基于可疑行为监控的网络层安全防护措施
“网络安全是整体的而不是割裂的、是共同的而不是孤立的。”要强化重要网络纵深防御能力,需要从业
务和功能特性、安全特性的要求、现有网络或物理地域状况等将网络划分为不同的安全区域,且满足网络结构化、安全防护层级化和边界清晰的基本结构。根据系统功能和访问控制关系,每一个区域都要有独立的隔离控制手段和访问控制策略。通过分区分域可以明晰网络架构、缩小被攻击面、延缓黑客攻击进程,为监测发现入侵赢得时间。
立足分区分域结构,建立精细化网络访问白名单,建立固定IP信息资产库和明晰的路由表,按照最小化业务联通性和可访问性,精准刻画网络访问关系,制定网络访问规则库。同时,重点关注跨网、跨区域的边界接入,建立边界接入白名单和边界完整性规则库,保障网络接入的可信、可管、可视。
网络攻击不仅仅是攻击操作,更重要的是能够发现网络中攻击前操作行为,做到及时响应。在网络分区分域、网防访问白名单、边界接入白名单的基础上,开展统一日志收集和可疑行为分析监测,建立安全分析模型,实时监测违反网络访问策略的告警,刻画黑客网络层攻击采取的必备手段,以实时定位攻击源,例如监测网络尤其是内网中的高风险端口访问(如3389、22、25端口等)、ping命令访问、traceroute命令访问等网络探测和连接行为。
(四)基于强隔离交换的数据安全防护措施
在数字化转型的今天,万物互联、开放共享势在必行,既要保障数据实时交换又要保障数据安全是新时代提出的严峻课题。传统关闸模式无法解决数据实时双向交换和攻击数据夹带传输问题。仅从数据应用
安全的角度考虑,通过强隔离交换、认证链传递、可信链传递能够便捷地解决跨网交换问题:一是基于SFP/SFP+光模块中发光器和收光器分离的技术特点,通过单根光纤将单向光闸外网主机光模块的发光器与内网主机光模块的收光器连接,从物理上实现了不同网络间数据的绝对单向传输。二是采用文件落地的方式对文件进行内容查杀、内容检查、数据脱敏等安全检查。三是可视化传输技术确保原数据或文件不出网络,只是将可视信息截屏后传出,并还原可视信息给应用,确保原数据不出网络,有效避免隐含夹带问题。四是通过设置白名单对出网数据进行严格的规则
关键信息基础设施安全保护
统(K01)s强隔离数据交换系统(T01).白名单应用自适应安全系统(Z01)、网络资产测绘分析系统(D01)等得到了金融、能源、电力等重要行业部门
的充分认可,未出现被黑客突破并深度入侵的网络安
全事件。数十家单位攻防实战演练检验也证实,在规模化部署和持续运营分析的基础上,本文提出的安全防护技术能够有力对抗APT攻击、零日漏洞攻击等高水平网络攻击行为,对攻击进入业务内网、生产专网
的攻击发现能力能够从之前的无感知提升到90%以上。
五、结语
为保障关键信息基础设施安全就要识别网络关键要素,有针对性防护,基于特征的防护措施奠定了网
络安全防护的基础,当前高强度的网络攻击对抗形势
设定、格式设定、权限设定等,当数据出网时对数据文件进行格式检查、访问规则检查等检查。五是建立完善数据备份审计系统,对出网数据进行备份和审计,对出网数据可追溯、可还原、可审查。
(五)基于威胁情报共享的联防措施
网络威胁情报是及时防范处置风险隐患的基础和前提,依托大数据分析技术,实现安全数据、行为数据、情报数据的关联分析,精准发现设备、系统、数据间的内在线索,挖掘大数据背后隐藏的网络安全隐患问题,加强防范,及时对隐患进行整改,是发现网络入侵行为的有效手段。
通过收集全行业互联网侧和行业专网侧网络层、应用层、数据层网络攻击日志,搭建威胁情报共享平台,集中建立安全分析模型,联动第三方或其他行业情报数据,建立起具有单位特点的多源威胁情报库,开展行业内部各单位间、各行业间实时共享联动,基于多个单点的预警信息开展攻击阻断与应急处置,建立起“一点监测、全网阻断”的联防模式,对刻画攻击源头信息、科学决策具有极大意义。
四、实践应用效果
针对APT攻击和零日漏洞攻击的防护,一直是网络安全防御工作中关注的热点、难点和痛点问题,黑客利用零曰漏洞和信息摸排能够轻易突破传统防御措施进行深度渗透,基于本文安全防护思想与关键技术,设计实现的主机防护系统(G01),情报联防系下,需要进一步补充以防入侵、以行为安全为补充的防护措施,大规模开展业务内网、生产专网的安全防护。下一步将深入开展网络层、应用层、主机层、数据层等不同层面日志收集、刻画场景化安全模型研究,做到安全与业务相融合,辅以攻防实战手段,持续检验安全措施有效性,以提升关键信息基础设施安全对抗能力。IS
[1]郭启全.国家关键信息基础设施安全保护面临的形势和
web应用防护系统
任务JL保密科学技术,2016(07):4-6+1.
[2]沈昌祥.构建积极防御综合防范的信息安全保障体系[J].
金融电子化,2010(12):12-18+7.
[3]刘禧.国内外关键信息基础设施安全保护现状综述[J].信
息安全研究,2020,6(11):1017-1021.
[4]王春晖-《网络妥全法》六大法律制度解析[J].南京邮电
大学学报(自然科学版),2017,37(01):1-13.
[5]曲洁,朱建平•等级保护与关键基础设施防护的融合研究
[J].信息网络安全,2011(12):84-88.
[6]顾伟.美国关键信息基础设施保护与中国等级保护制度
的比较研究及启示[J].电子政务,2015(07):93-99.
[7]刘山泉.德国关键信息基础设施保护制度及其对我国
《网络妥全法》的启示[J].信息妥全与通信保密,
2015(09):86-90.
[8]唐旺,宁华,陈星,朱璇.关键信息基础设施概念研究[J].信
息技术与标准化,2016(04):26-29.

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。