長江科學院網絡安全建設研究

前言：尋找寫作靈感？中文期刊網用心挑選的長江科學院網絡安全建設研究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：隨著水利信息化的發展，長江科學院持續加強信息化建設，給水利科學研究和科研管理帶來極大的便利，但信息化帶來便捷的同時，安全問題也開始逐漸顯現。深入分析網絡中的各個薄弱環節，提高整體網絡安全性，避免發生網絡安全事件已成為工作的重點。論文基于長江科學院的實際網絡及業務狀況，圍繞長江科學院網絡安全建設的內容進行探討，從網絡邊界、內部網絡及內部態勢感知三方面詳細分析了長江科學院在目前網絡環境下面臨的安全風險；并從邊界防護、終端防護、服務器防護、態勢感知四個方面提出應對策略，闡述了可實施的網絡安全技術路線。

關鍵詞：網絡安全；云防護安全；終端安全；態勢感知；虛擬化安全

1研究背景

指出“沒有網絡安全就沒有國家安全”[1]。隨著《中華人民共和國網絡安全法》和《中華人民共和國數據安全法》等一系列法律法規的陸續出臺，中國已將網絡安全提升到國家安全戰略高度。近年來，國際形勢變化不斷助長網絡攻擊規模和復雜程度，網絡攻擊事件頻發[2-5]，網絡安全形勢持續緊張。長江科學院（簡稱長科院）是國家社會公益類科研機構，為國家水利事業以及長江保護、治理、開發與管理提供科技支撐，其網絡具有水利專業的特點，分支機構地域分散，國內外交流頻繁，對網絡的開放性、安全性有較高要求。本文基于長科院的網絡拓撲結構及業務狀況，通過分析網絡中的薄弱環節，結合先進的網絡安全防護技術，從邊界防護、內網安全、服務器防護及態勢感知等方面設計應對網絡攻擊的方法，提出一種適用于長科院的網絡安全建設工作的思路。

2網絡安全風險分析

長科院的網絡通過核心交換機連接兩個主要辦公區，核心區域包括服務器區、水利骨干網絡區。在服務器區邊界配備有WEB應用防護系統、日志審計設備；在網絡出口處及水利骨干網絡邊界處均部署下一代防火墻進行流量隔離與檢測。通過長科院業務需求及網絡結構分析，可以發現其面臨的網絡安全風險主要存在于以下三個方面：

2.1邊界風險

由于長科院的業務及辦公需要，需對外開放多個業務系統、辦公系統，互聯網與院內網邊界處的暴露面較多，這些暴露面往往是黑客攻擊的重點，是黑客從互聯網突破進入院內網的重要渠道。根據網絡安全“木桶原理”可知，整體安全水平由安全級別最低的部分所決定，一旦某個系統存在漏洞被黑客利用，黑客將會以此為攻擊跳板，利用內部系統間的防護弱點進行內部擴散、橫向滲透攻擊，造成更大范圍的破壞。

2.2院內部終端風險

長科院網絡的使用主體是全體職工及研究生，使用群體的數量較大，且個人電腦終端可以訪問院內的應用系統，擁有較大的訪問權限。目前部分用戶網絡安全意識淡薄，對自己電腦終端的安全問題不夠重視，沒有安裝安全軟件，沒有養成定期全盤殺毒習慣，黑客很有可能早已通過各種方式如釣魚郵件、病毒文件等手段攻擊或控制終端，植入后門，潛伏在院內的部網絡中，時刻都可能對系統造成威脅，不但可以竊取電腦中的敏感信息，而且能以終端作為跳板，繞過部分安全設備，直接向院內服務器發起攻擊[6]。

2.3內部態勢感知風險

長科院目前缺乏有效的內網態勢感知與監測的技術手段。在黑客入侵到內網之后，無法對內網主機間的攻擊流量進行有效地感知預警、分析網絡環境信息，當攻擊發生時不能快速判斷當前的網絡安全形式，及時做出有效的應對，且在事后溯源階段難以完整地還原黑客的攻擊鏈。

3網絡安全防御體系建設

為有效應對長科院面臨的網絡安全風險，增強網絡安全防護能力，建議從以下幾個方面設防，建設可靠、安全的網絡環境。

3.1邊界防護

網絡邊界防護是長科院網絡安全防護的重要一環。在縮小網絡邊界處暴露面、設置嚴格的訪問控制策略的同時，將部分重要系統的防護前置到云端，可以有效地減輕網絡安全防護壓力，提升整體的網絡安全防護能力。

（1）縮小暴露面：在現如今的條件下，網絡攻防雙方地位往往不對等。攻擊者通常是專業能力較強的黑客，他們攻擊時間、攻擊手段不固定，攻擊路徑多樣。而作為防守者，需要關注的防守面較大，人力資源有限，且無法做到全天候24小時監控防護。因此網絡安全防護的第一步應該對邊界處暴露的資產進行清理，關閉不必要的應用系統，收縮網絡安全防守面。

（2）訪問控制策略：目前長科院對于確需開放的應用系統，已在各區域邊界處的防火墻按照最小化原則設置訪問控制策略及時段控制策略，嚴格限制業務系統開放的端口和時間。在長科院與水利骨干網絡邊界處防火墻上以白名單原則做限制，只開放特定IP、端口的訪問流量，其它的流量全部攔截；在服務器區WEB應用防護系統處以黑名單原則做限制，攔截高危端口的流量。并且，對重要的應用系統只放開特定的端口及時間段提供訪問。嚴格的訪問控制策略不僅可以收縮網絡安全防守面，而且能在一定程度上遏制黑客在不同區域間的橫向移動。

（3）防護前置：長科院官網是被攻擊的重點目標，僅2021年4月，就監測到數萬次針對長科院官網的網絡攻擊。通過部署網站云防護策略，如圖1所示，可以將整個網站的訪問流量，通過DNS解析牽引到云端防護節點，在這些節點中對訪問流量進行清洗，然后將干凈的流量發送到長科院網站服務器[7]。這樣將網站防護戰線前置到云端，并結合長科院內的本地硬件防火墻形成兩道立體防線。

3.2終端防護

傳統網絡安全防護的重點往往側重于網絡邊界及網站防護，對于內網終端的防護不夠重視，認為個人終端處在內網，并未直接暴露在互聯網上，受攻擊的風險較低。但是，近幾年來，隨著黑客的攻擊手段不斷更新進化，特別是定向釣魚郵件攻擊，社會工程學攻擊等多種針對性攻擊手段的興起，內網終端成為了攻擊重點，是黑客突破邊界防護的重要渠道。同時由于內部職工的安全意識淡薄，往往會造成內部網絡存在木馬、病毒、惡意軟件。因此，必須考慮個人終端防護方法，確保內網環境干凈、當黑客進入內網后最大程度確保內網終端安全。終端的安全防護的關鍵在于終端的病毒查殺、漏洞修復以及終端防護三方面。終端安全管理系統，具有威脅發現及處理、系統立體防護及全局安全管控三大功能，分為個人客戶端及控制中心管理端兩部分。個人客戶端能夠有效檢測處理個人主機中的病毒木馬、惡意代碼及系統漏洞，并為個人終端提供系統級立體防護?？刂浦行哪軐染W所有主機進行統一管控，通過配置下發系統漏洞修復策略、病毒木馬查殺策略、基線核查策略、移動存儲介質管理等策略，進行主動防御，強制性地提升個人主機整體安全防護能力。這樣通過對威脅的提前感知與預防，能最大程度實現終端層面安全能力的落地。

3.3服務器防護

長科院絕大部分服務器均運行在虛擬化平臺中，虛擬化平臺不僅可以靈活地配置虛擬機的CPU、內存、數據存儲等計算資源，而且能根據虛擬服務器運行時的負荷動態地分配資源，同時提供容災備份功能，以保障業務系統的連續性。虛擬化平臺的穩定性、可靠性和良好的擴展性為日常工作帶來了極大的便利[8]。但與此同時虛擬化技術也帶來了一些安全問題[9]：

（1）虛擬化平臺在傳統的“服務器-操作系統”架構間增加了一層Hypervisor層，由于其自身可能存在漏洞，有一定的安全風險。

（2）在一個虛擬化平臺中運行多個虛擬服務器，虛擬服務器之間的網絡邊界變得模糊，黑客容易利用虛擬服務器與虛擬服務器之間的東西向交互流量進行橫向攻擊。相比于傳統的服務器安全防護，長科院的服務器防護還需解決虛擬化平臺中各類虛擬化安全問題，保障虛擬化平臺中應用的安全。虛擬化安全管理系統，作為適用于虛擬化平臺的安全軟件，不僅具有病毒木馬的安全防御功能，還具有結合虛擬化平臺的虛擬化加固功能，可以有效地防護虛擬機逃逸、惡意破壞Hypervisor等行為，實現對Hypervisor層的安全防護。同時可以根據各虛擬服務器上運行的業務系統情況，在每個虛擬服務器上分別配置虛擬化防火墻策略，實現虛擬機之間的流量隔離，為各虛擬服務器提供一個相對安全可信的運行環境。

3.4內網態勢感知

內網態勢感知是長科院安全防御體系的關鍵。傳統的安全設備、終端安全軟件對內部網絡的監控存在盲區，無法有效地發現主機間的攻擊行為。高級可持續性威脅(AdvancedPersistentThreat，APT)是近年來的一種新的攻擊手段，其攻擊目標明確、攻擊方法高級、隱蔽性高，可疑流量基本隱藏在正常網絡流量當中[10]，同時在APT攻擊過程中會搜集目標信息，挖掘目標存在的漏洞，從而有針對性的躲避殺毒軟件的監控。面對APT攻擊，傳統安全設備缺乏有效的預警及攻擊鏈溯源手段，難以起到應有的防護作用[11-13]。安全態勢感知平臺主要用于復雜網絡環境中，采用旁路方式接入到內部網絡，其體系架構如圖2所示，可大體劃分為數據接入層、深度分析層及感知呈現層三大部分。在數據接入層，態勢感知平臺通過如Syslog、LogFile、FTP等方式收集全網安全日志、系統日志、設備日志、流量日志等日志數據，作為系統的數據來源基礎。所有收集到的日志將在深度分析層結合機器學習、關聯分析、云端情報、內置規則等技術進行深度分析。最后分析的結果以可視化的形式呈現全網及個體終端的安全態勢監測情況，為后續網絡安全防御和安全策略優化提供數據支撐[14-16]。安全態勢感知平臺接入的數據源廣泛，并結合了多種檢測技術，能將攻擊者的攻擊特征、發送的數據流量特征和被攻擊主機的行為特征結合云端情報進行深度分析，因此具有攻擊行為溯源能力[17]，能有效地發現內網APT攻擊行為，可以提升長科院的網絡安全事件的事前發現、事中處置以及事后溯源取證的能力。

4結語

網絡安全體系的建設是一個長期的過程．在如今信息技術快速發展的背景下，網絡安全形勢越來越嚴峻，需要加強對網絡安全工作的重視程度，設備是安全的基礎，人員是安全的核心，管理是安全的保障。建議加大對網絡安全的人力、物力的投入，以確保能適應當前急速變化的網絡安全形式。同時，應需結合長科院的實際現狀和基礎設施，從戰略高度進行頂層設計、資源整合、集中管理，將網絡安全的建設融合到日常管理、信息系統建設和科研工作中。網絡安全體系的建設與每位職工密不可分，人人都是參與者、建設者。不僅需要增強職工的網絡安全意識，更要結合完善的網絡安全管理制度，這樣才能有效地保障長科院的網絡與信息安全。

作者：劉翔 楊君 宋蒲斌 單位：長江科學院信息中心