全方位网络信息安全防护体系研究

王 娜，王 新，杨 飞，李长连，李发财（.中国联合网络通信集团有限公司，北京 000；.中讯邮电咨询设计院有限公司，北京 00048；.中国联通智网创新中心，北京 00046）

1 网络空间安全态势越发严峻

随着人工智能、云计算、物联网、大数据、移动互联网和区块链等技术广泛应用和融合发展，网络空间已经逐步发展成为继陆、海、空、天之后的第五大战略空间。新技术的应用带来新一轮产业变革，同时全球性的网络安全威胁和新型网络犯罪活动也日益突出。国内外大规模安全事件愈演愈烈，类似WannaCry、Struts2等安全事件在行业内直接或间接造成了巨额的经济损失。近年来影响较大的几件安全攻击事件如表1所示。

从表1中的重大安全事件来看，大至国家，小到企业乃至个人，都需要树立新时代的网络安全观，共同参与推动网络空间安全的发展，关注网络安全态势，共建网络安全生态。随着不断更迭的攻击手法，攻击方和防御方始终处于不对等的状态，从开始的简单攻击工具到后续的自动化工具到现在的武器库，攻击者的攻击也从单兵作战发展至团体行动，越来越多的APT组织被发现与公布。为了应对错综复杂的网络安全环境及不断发展的攻击手法，急需建立全方位网络信息安全防护体系。

2 安全攻击思路解析

所谓知己知彼，百战不殆，要了解如何进行网络攻击防护，需清楚黑客如何进行网络攻击。常见黑客攻击线路如图1所示。

对常见的黑客攻击思路和步骤进行分析，发现一般攻击分为信息收集、漏洞分析、渗透攻击和后渗透等步骤。

步骤1：信息收集。攻击前准备阶段，进行端口扫描、IP 发现、域名发现、互联网信息收集、服务器信息收集、网站关键信息收集、情报收集等。

步骤2：漏洞分析。进行漏洞测试、漏洞验证、漏洞研究，选择攻击方式。

步骤3：渗透攻击。搭建隐秘通道、漏洞攻击、木马植入、入侵内网、多点潜伏、内网横向/纵向渗透攻击。

步骤4：后渗透阶段。获取敏感信息，清理战场痕迹、应用系统还原。

通过对以上攻击思路和步骤进行总结和分析，结合近年来收集到的被攻击的案例，可归纳攻击成功的最关键原因在于2 点：系统关键信息甚至入口信息被泄露和缺少全方位的网络安全防护体系。

a）系统关键信息甚至入口信息被泄露。最常见也是效果最佳的攻击方法是“社会工程学”攻击。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。

b）缺少全方位的网络安全防护体系。全方位的网络安全防护体系即有效的安全防护能力，可分为安全运营管理和防护技术设施2个方面，二者缺一不可。例如，尽管搭建了全套的防护设施和安全管理平台，但是在日常运行中无人运营、无人管理、无人监测，防护设施上的安全策略配置如同空设，那么防护能力等同于零。同样，如果人员安全意识够高，却无行之有效的防护手段和技术设施，那么就好比巧妇难为无米之炊。

3 建立全方位的网络安全防护体系

建立全方位的网络安全防护体系需在安全运营管理和防护技术设施2 个方面着力，同时加强安全技术人员的预警和处置的能力。

3.1 建立自查自检和整改的常态化机制

a）敏感信息清理。

（a）对互联网中暴露的敏感信息进行清理：重点清理百度文库、中国知网数据库等互联网上暴露的如技术方案、网络拓扑图、系统源代码、VPN/邮箱账号名口令等敏感信息，切断攻击方情报获取渠道。

（b）严禁本地或系统上明文存储敏感信息：全面清理在服务器、终端、网盘或邮箱中明文存储的敏感信息。

b）网络边界梳理。对互联网、骨干网、数据中心、第三方专线内/外网网络边界进行梳理，形成网络边界台账。

c）互联网资产摸底。梳理和发现互联网资产，对暴露在互联网上的设备、应用、数据库等网络资产进行梳理，建立台账，并进行排查评估。

d）内网资产摸底。全面开展内网信息系统、工控系统、工业视频系统的资产排查工作，明确资产归属，摸清资产情况，形成资产台账。对废弃、无主系统进行下线处理。

e）全风险自查和整改。根据资产摸底情况，通过漏洞扫描、弱口令检测、渗透测试、安全配置检查等方式完成安全风险自查工作，针对发现的问题隐患进行全面整改。建立并维护风险台账，对于存在高危风险的资产进行下线处理。对已发现的漏洞进行加固整改，要能做到一点发现，全面整改；并且能够举一反三，对类似隐患和风险问题进行排查和修补。

f）收敛网络暴露面。

（a）互联网出口管理：以最小化原则做好互联网收敛工作，关闭不必要的互联网接口、主机和应用。

（b）有效管控内、外网入口：对具备公众上互联网的场所应对接入内网的连接进行严格管理。

（c）终端统一管理：办公计算机必预安装安全管理和防病毒软件，执行统一的补丁自动分发，弱口令检查等基线安全策略；办公网内终端（含移动终站、网络打印机、网络摄像头等）必须无死角开启网络准入控制，启用有效安全防护策略。

（d）梳理和清理VPN：清理弱密码和长期不用的VPN账号。

（e）第三方网络接入管理：对第三方机构的网络接入应部署防火墙、网闸、光闸等安全隔离措施，同时做好白名单控制策略。

（f）供应链网络安全管理：筛查为供应商、维护厂商开启的VPN、远程桌面、SSH、系统特权账号密码，应尽可能长期关闭远程接入的服务和账号。

g）对重点系统加强防护策略和措施。

（a）重点应用主机防护：在重点应用主机上部署主机安全防护系统，配置安全防护策略，保护主机免受漏洞攻击、暴力破解和远程被控。

（b）对堡垒机和域控服务器的防护：使用多重身份认证技术如强身份验证，通过电话、短信或移动应用进行认证。堡垒机必须经过双因素认证，域控服务器必须及时加固及防护。

（c）对集权类管理平台的防护：如云管平台、网管、流量优化等系统应及时完成安全加固，杜绝弱口令。

（d）对移动端APP 的安全管理：全面梳理移动APP（含微信公众号），落实责任主体，对移动APP进行安全检测，发现问题及时整改，责任主体不清和无法完成整改的应做下线处理。

（e）强化重要应用特权用户安全管理：实现权限最小化、双因素认证、协议加密、访问地址限制、操作行为审计等要求。

（f）数据库权限管理：杜绝数据库弱口令，对数据访问实现字段级的授权鉴权控制和全程审计。

（g）身份认证和应用权限管控：已完成与统一身份系统集成的系统应彻底关闭原有认证通道，管理员及关键业务操作采用双因素认证。用户权限按最小化原则配置，关闭非必要系统功能。未完成与统一身份系统集成的，应采取有效措施，达到同等安全标准。

（h）工控系统安全防护：建立工控系统防护系统，包括精确识别扫描攻击、DoS/DDoS、SQL 注入、蠕虫病毒、木马、间谍软件等传统攻击行为。强化运行保障人员、外来人员和设备的安全管理，杜绝敏感信息泄露或病毒、木马、后门植入等安全事件的发生。

3.2 部署安全技术措施，加强纵深防御能力

a）部署主动发现检测系统。在网络出口及重要系统域边界部署检测系统包括不限于全流量监测、IPS（IDS）、WAF、EDR、上网行为审计等技术设施。

b）部署安全态势感知能力。利用所有可以对接的主动发现监测系统和技术设施，对主动发现的攻击行为进行记录，并对攻击入侵证据进行留存和分析，有效实现定位攻击源或提前预警防御能力。

c）实现全局联动机制。攻击事件统一上报和分析，处置策略统一下发和部署。能够做到共享恶意IP信息并全局处置，实现攻击IP的一点监测、全局阻断。

d）采用异构多重防护。如果防护设施、防护手段是同一厂家或同一类型的，那么出现0Day漏洞或被攻击方研究出一种破解方式就一通百通了。因此要通过部署设备异构能力，尽量采用多种品牌，或在不同区域设置不同的品牌，实施多重防护策略。

e）科学部署欺骗防御系统。蜜罐、沙箱等欺骗防御系统能够起到吸引攻击，进行证据收集的作用，但是要慎用，一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏，由此导致的后果将十分严重。

3.3 提升技术技能，加强预警与处置能力

a）熟练掌握安全防护策略。

（a）熟悉主机安全加固方法，结合实时监测的数据，根据主机情况及时更改防护策略和配置。

（b）熟练掌握防火墙配置，动态调整访问控制策略。

（c）灵活使用IPS（IDS）、WAF系统，动态调整监测和防护策略。

b）熟悉监测预警方法。

（a）熟练利用全流量监测、EDR、蜜罐等工具，能够识别出Webshell 攻击、漏洞攻击、暴力破解、异常登录等攻击事件。

（b）熟练使用防火墙等拦截手段，能查看拦截恶意IP的攻击行为。

（c）分析告警类型，研判攻击途径。

（d）能够从审计系统等其他安全设备中分析出攻击事件。

c）熟悉掌握应急处置方法。

（a）能够准确找到受控设备，在不对业务造成较大影响下断开网络连接。

（b）能够在防火墙、IPS（IDS）、WAF、APT 设备上快速加载恶意IP过滤策略，及时阻断攻击连接。

（c）能够快速导出系统日志、保存攻击证据。

（d）熟悉应急预案，能够快速有效处置安全事件。

4 结束语

本文通过回顾分析近年来的安全态势，对安全攻击的思路和步骤进行了解析，并详细介绍了如何建立全方位网络安全防护体系。首先，需建立自查自检和整改的常态化机制，从敏感信息清理、网络边界梳理、资产摸底、加强重点系统防护和提高安全意识等方面进行阐述。然后，部署主动发现检测系统和欺骗防御系统，加强态势感知能力和异构多重防护能力，实现全局联动机制，增强整体纵深防御能力。最后，提升安全技术人员的技术技能，加强预警与处置能力，充分应用已部署的安全技术措施。通过建立全方位的网络安全防护体系，可有效应对错综复杂的网络安全环境及不断发展的攻击手法。