省域网络安全远程检测平台的分析与设计

傅小兵 国家计算机网络应急技术处理协调中心江西分中心 南昌市 330038

0 前言

随着全球竞争日益加剧，越来越多的高级攻击团队和组织对我国网络空间造成了巨大的安全威胁，网络安全工作是关乎国家安全的一项基础性、综合性和战略性的工作，其重要性不言而喻。伴随着《网络安全法》及相关政策法规的实施，各地各部门不断提升自身的网络安全防护能力。为进一步推动网络安全工作责任制有效落实，督促各单位进一步健全防范化解网络风险，构建网络安全远程检测平台，实现对省域内各单位互联网可访问资产的远程检测，及时发现网络安全风险和隐患。

1 系统功能需求

网络安全远程检测平台主要实现对省域内各政企单位网络安全防护情况开展远程检测，主要功能需求如下：

（1）资产上报核查。为各政企单位提供信息上报接口通道，满足各政企单位资产填报、归档入库、统计等功能。同时，系统利用技术手段对填报信息进行核验和资产探测为后续工作开展提供基础数据支撑。

（2）远程安全检测。对各政企单位开展远程安全检测工作，发现各单位互联网可访问资产存在的安全风险和事件。系统需具备身份认证、安全风险（事件）提交、专家审核、结果研判、可视化展示等功能。为尽可能的规避检测工作中的潜在风险，系统需支撑行为审计、高危行为发现、一键阻断违规行为等功能[1]。

根据系统的主要功能需求，将系统的用户角色主要分为监管单位、被考核单位和技术支撑单位。

2 总体设计

网络安全远程检测平台总体有五部分构成，包含平台纵览层、核心应用层、大数据建模分析层、安全监测与系统采集层。平台纵览层负责提供多维度功能展示；核心应用层提供平台基础管理、资产上报和核查、事件整改和综合展示、远程安全检测等功能的应用；大数据分析层负责提供多种数据存储检索引擎进行数据存储，并通过数据汇聚对接采集探针收集数据并加载到数据中心；安全监测与数据采集层负责对资产数据、远程安全检测过程数据进行采集。

平台功能架构图如图1所示。

图1 平台功能架构层

3 核心功能设计

远程检测功能是平台的核心功能，实现对被考核对象的远程扫描检测。首先，由第三方安全检测人员，通过VPN隧道登入到安全检测平台，通过双向认证（用户-平台双向认证）后分配到授权检测账户，进入到堡垒机做两次用户认证、环境授权（检测虚拟机分配）、权限分配和行为审计。然后，点击进入超融合平台（云计算平台），在其分配的虚拟机上传安装各类所需的安全检测工具，继而对被检测单位开始各类安全检测。

在开展远程检测过程中，平台实时获取、主动监测被检测单位的网络出口、业务系统、数据可用性等参数是否存在影响（超过阈值）。如果超过阀值，平台报警，经过人工审核后，发送异常联动信息给安全策略集中管理系统，通过其安全联动协议，自动下发安全策略给防火墙，实现自动阻断本次渗透测试活动，防止破坏扩大化，尽快降低相关恶劣影响。如果渗透测试一切正常（没有造成被检测单位系统的可用性风险），渗透测试结束后，提交相关检测报告，归档，并责令其基于报告做整改。

网络安全远程检测平台以远程检测功能为核心，整合超融合系统、VPN安全网关、堡垒主机等为远程检测工作提供必要的资源申请、资源开通、目标健康监测、危险动作控制和全过程审计等目标[2]。整个功能模块的实现流程如图2所示。

图2 远程检测主要流程示意图

根据图2所示，远程检测的主要流程包括以下几个方面：

（1）检测申请、发起：支撑单位向监管单位发起检测申请；

（2）授权账号：监管单位在批准检测请求或发起检测任务后，向支撑单位发布授权（信息可以在系统内流转），包括：VPN账号、堡垒机账号、虚拟机账号、工具软件账号等所需的信息；

（3）虚拟机授权：系统自动驱动超融合，启用预定的虚机（包括：虚机可用的时间限制等）；

（4）远程登录：支撑单位技术人员登录VPN及堡垒机，并登录指定的检测虚拟机；

（5）资源限制：为确保安全检测人员不因故意或误操作等原因使用类DDoS攻击测试造成被检目标宕机（或其他可用性受严重损害的情况），通过边界防火墙进行流量、并发连接数的限制；

（6）可用性监测：在远程检测的过程中，平台会对远程检测目标进行可用性监测，一旦发现远程检测目标出现延时或者不可用的现象，平台通过报警机制联动安全策略集中管理系统下发阻断策略。

（7）行为限制：对于高概率引起被检目标可用性、完整性故障的高危漏洞利用行为，可通过前端部署的威胁检测系统（视具体需求可配置为IPS/IDS、WAF、APT/全威胁检测等）进行识别，按照监管单位相关保护策略可直接进行阻断，即上报给系统，并根据预定的策略向防火墙下发阻断策略，阻断当前行为或在多次违规后封堵检测虚拟机的所有通信；

（8）行为审计：由于所有操作都经过堡垒机代理，检测人员在检测虚拟机上的所有操作都会被图形化方式记录下来（无桌面环境的Linux操作也会被记录完整的命令行过程），能够起到规范操作行为、追溯违规操作的关键作用。

4 系统部署设计

为保障系统的稳定运行和各功能模块达到设计的预期效果，系统部署示意图如图3所示。

图3 系统部署示意图

网络安全远程检测平台根据用户角色（监管单位、被考核单位、支撑单位）系统为不同角色用户提供了不同功能模块。系统的主要核心功能部署于监管单位侧。系统采用旁路部署的方式，部署位置位于网络核心位置，用于支持单位远程登录检测环境的身份核查及检测过程审计，系统将对支撑单位人员进行唯一身份的识别，保障支持单位人员的身份唯一性。并在远程检测的同时采用命令记录，图形记录，视频记录等方式保存远程检测的全部过程，并实现对过程的审计。同时，超融合一体机提供了计算虚拟化、网络虚拟化和分布式存储，提供多种虚拟资源池的统一管理、虚拟网络设备的创建和管理和统一存储服务[3]。

VPN安全网关部署位置旁路部署在网络核心位置，用于被考核单位的资产上报数据传输安全及支持单位远程安全检测的通信加密。网关采用SSLVPN加密技术及国密加密算法，保障数据在传输互联网过程中的安全性。

5 预期效果

本系统从省域内网络安全工作开展实际需求出发，按照“底数摸得清、告警报的准、重点抓得到、监管推的动、成效看得见、资源受得了”的要求建设网络安全远程检测平台，督促省域内各单位做好网络安全防护工作，提升防范网络安全风险能力。在平台的数据存储和应用层面使用了大数据及虚拟化相关技术，可直接通过扩展硬件的方式获得整个系统计算和存储能力的扩展，无需再进行数据备份、软件更新等繁复操作，极大的降低了系统管理维护成本，同时，系统使用了模块化设计的方法，可以保证不同软件功能与模块之间的解耦和，实现数据采集灵活调整，分部实施。