唐詩(shī)泉

隨著網(wǎng)絡(luò)的發(fā)展，基于網(wǎng)絡(luò)的信息交互和共享已經(jīng)成為人類信息交流的最主要組成部分，同時(shí)由于網(wǎng)絡(luò)攻擊而導(dǎo)致的損失也隨之日益增長(zhǎng)，信息安全面臨巨大挑戰(zhàn)。為了應(yīng)對(duì)日益嚴(yán)重的信息安全問(wèn)題，檢察機(jī)關(guān)多年來(lái)在信息安全防護(hù)方面不斷探索和實(shí)踐，對(duì)檢察技術(shù)人員的網(wǎng)絡(luò)安全防護(hù)要求也日益提高，面臨的網(wǎng)絡(luò)安全防護(hù)挑戰(zhàn)也日益升級(jí)，檢察技術(shù)部門在網(wǎng)絡(luò)安全方面往往面臨著人手短缺、知識(shí)與技能儲(chǔ)備不足、對(duì)網(wǎng)絡(luò)安全事件的分析與處置能力薄弱等多方面問(wèn)題，這就要求我們?cè)诰W(wǎng)絡(luò)安全防御策略方面做出改變。

一、現(xiàn)階段面臨的問(wèn)題

近年來(lái)各級(jí)檢察機(jī)關(guān)以分級(jí)保護(hù)為基礎(chǔ)，建成了由防火墻（Firewall）、入侵檢測(cè)（IDS）、入侵防護(hù)（IPS）、安全審計(jì)（Security Audit）、流量監(jiān)控（Traffic monitoring）等多種安全設(shè)備組成的網(wǎng)絡(luò)安全防護(hù)體系，有效地阻隔和減小了安全威脅。隨著檢察機(jī)關(guān)信息安全防護(hù)體系的建設(shè)，不斷有新的安全產(chǎn)品和技術(shù)部署到系統(tǒng)內(nèi)，這些防御手段在一定程度上提升了檢察網(wǎng)絡(luò)自主安全防護(hù)能力，但這種被動(dòng)的增添設(shè)備仍停留于“缺什么，補(bǔ)什么”的被動(dòng)防御階段，并且大部分安全產(chǎn)品都是專注于特定方面的安全問(wèn)題，在具體實(shí)施過(guò)程中相對(duì)獨(dú)立，從不同層面、不同角度來(lái)彌補(bǔ)網(wǎng)絡(luò)安全性的不足，形成了“打補(bǔ)丁”式的安全防護(hù)方式。這樣的防護(hù)方式極為被動(dòng)，每一類威脅、甚至某一種威脅均需要一種甚至幾種防護(hù)手段的使用才能夠很好的發(fā)揮效果。但由于各種防御手段之間的防御原理不同、防御理念不同，造成的安全防御孤島仍無(wú)法面對(duì)層出不窮的安全威脅的攻擊和滲透，例如，防火墻處于網(wǎng)關(guān)的位置，不可能對(duì)進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能；入侵檢測(cè)系統(tǒng)（IDS）通過(guò)旁路監(jiān)聽(tīng)的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，判斷其中是否含有攻擊的企圖，IDS 對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無(wú)任何影響，也不能對(duì)安全時(shí)間采取積極的措施，只能通過(guò)各種手段向管理員報(bào)警，但誤報(bào)率和漏報(bào)率始終是IDS 的實(shí)施的軟肋；入侵防護(hù)系統(tǒng)（IPS）則傾向于提供主動(dòng)性的防護(hù)，其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)，但是IPS的規(guī)則如果配置失當(dāng)則有可能導(dǎo)致正常業(yè)務(wù)被隔斷。這些網(wǎng)絡(luò)安全防護(hù)技術(shù)本身具有局限性，加之不能形成有效應(yīng)對(duì)網(wǎng)絡(luò)威脅，有用的信息也不能得到有效利用，更有甚者，大量涌現(xiàn)出來(lái)的新的安全威脅已經(jīng)具有了規(guī)避安全防御手段的能力，如碎片、變形、加殼等手段已經(jīng)司空見(jiàn)慣。對(duì)于這樣的攻擊手段單一安全防御手段或單點(diǎn)防御能力已無(wú)法有效的進(jìn)行防御；同時(shí)網(wǎng)絡(luò)運(yùn)維仍大量采用人工分析和審計(jì)，信息安全防護(hù)的效果很大程度上依賴檢察技術(shù)部門網(wǎng)絡(luò)運(yùn)維人員的個(gè)人業(yè)務(wù)水平和技術(shù)技能。網(wǎng)絡(luò)管理員需要檢查來(lái)自所有部署的安全設(shè)備提供的信息，作出合理的判斷，才能制定合理安全策略改進(jìn)措施，大大的降低了網(wǎng)絡(luò)安全防護(hù)效率，因此整合各種網(wǎng)絡(luò)安全技術(shù)，實(shí)現(xiàn)各種安全設(shè)備之間的互通，構(gòu)建基于一體化安全檢測(cè)的自適應(yīng)網(wǎng)絡(luò)防御體系是檢察機(jī)關(guān)網(wǎng)絡(luò)安全優(yōu)化的可行方案之一。

二、檢察機(jī)關(guān)網(wǎng)絡(luò)安全防御一體化的設(shè)計(jì)思路

檢察機(jī)關(guān)面臨的網(wǎng)絡(luò)攻擊威脅從路徑上來(lái)看是一條從最終用戶經(jīng)過(guò)路由、交換、應(yīng)用、數(shù)據(jù)的完整鏈條，這個(gè)鏈條之上的所有安全防御手段如防火墻、入侵檢測(cè)、漏洞掃描等均在一個(gè)攻擊路徑上進(jìn)行各自的防御、分析工作。這既是產(chǎn)生了將其統(tǒng)一起來(lái)的先決條件。檢察機(jī)關(guān)網(wǎng)絡(luò)安全一體化防御既是在了解和掌握了網(wǎng)絡(luò)中整體安全態(tài)勢(shì)的前提下，針對(duì)各個(gè)特征點(diǎn)進(jìn)行統(tǒng)一的策略部署和防御手段的制定，從而形成一個(gè)智能有效的多層次防御體系。

檢察機(jī)關(guān)信息安全主動(dòng)防御一體化的大框架主要由數(shù)據(jù)采集、數(shù)據(jù)分析、風(fēng)險(xiǎn)控制和管理控制四層構(gòu)成。

管理控制層進(jìn)行整體安全態(tài)勢(shì)的分析、評(píng)價(jià)、預(yù)測(cè)與展現(xiàn)，總體安全策略的規(guī)劃與調(diào)整，安全解決方案的設(shè)計(jì)與執(zhí)行，風(fēng)險(xiǎn)評(píng)價(jià)與監(jiān)控，平臺(tái)管理，以及多級(jí)部署時(shí)的上下級(jí)聯(lián)；風(fēng)險(xiǎn)控制層基于漏洞知識(shí)庫(kù)和風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)對(duì)系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行控制、降低或規(guī)避；數(shù)據(jù)采集層集成各類安全產(chǎn)品或組件，負(fù)責(zé)采集基礎(chǔ)網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、業(yè)務(wù)應(yīng)用和通用服務(wù)等不同層面的安全屬性，并將采集到的原始數(shù)據(jù)輸出到數(shù)據(jù)分析層；數(shù)據(jù)分析層基于漏洞知識(shí)庫(kù)對(duì)原始數(shù)據(jù)進(jìn)行安全性分析，分析結(jié)果輸出到風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)。為了更好地集成和關(guān)聯(lián)各個(gè)組件提供的功能和數(shù)據(jù)，在信息安全主動(dòng)防御一體化平臺(tái)中設(shè)計(jì)了3 個(gè)數(shù)據(jù)庫(kù)，即管理數(shù)據(jù)庫(kù)、風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)和漏洞知識(shí)庫(kù)。管理數(shù)據(jù)庫(kù)存儲(chǔ)電力信息安全主動(dòng)防御一體化平臺(tái)的管理信息，包括任務(wù)信息、報(bào)表信息、用戶信息；風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)存儲(chǔ)所有組件檢測(cè)到的各類安全風(fēng)險(xiǎn)信息；漏洞知識(shí)庫(kù)存儲(chǔ)專家的經(jīng)驗(yàn)知識(shí)，包括漏洞分類、漏洞檢測(cè)插件、漏洞風(fēng)險(xiǎn)描述、解決方案等

檢察機(jī)關(guān)網(wǎng)絡(luò)安全主動(dòng)防御一體化設(shè)計(jì)的基礎(chǔ)組件包括安全測(cè)評(píng)類組件和安全加固類組件。測(cè)評(píng)組件基于漏洞知識(shí)庫(kù)對(duì)管理控制臺(tái)下發(fā)的測(cè)評(píng)任務(wù)信息進(jìn)行分析，在漏洞知識(shí)庫(kù)的支持下采集網(wǎng)絡(luò)各節(jié)點(diǎn)的安全風(fēng)險(xiǎn)數(shù)據(jù)，并輸出到數(shù)據(jù)分析模塊，分析后進(jìn)入風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)。加固組件基于漏洞知識(shí)庫(kù)對(duì)管理控制臺(tái)下發(fā)的加固任務(wù)信息進(jìn)行分析，根據(jù)存儲(chǔ)于風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)中的測(cè)評(píng)結(jié)果，在漏洞知識(shí)庫(kù)的支持下對(duì)測(cè)評(píng)對(duì)象進(jìn)行加固，加固完成后進(jìn)行驗(yàn)證，并進(jìn)入風(fēng)險(xiǎn)監(jiān)控階段。其中，分本地加固和系統(tǒng)加固2 種，前者直接在測(cè)評(píng)對(duì)象上進(jìn)行，后者考慮到部分加固措施無(wú)法在測(cè)評(píng)對(duì)象上實(shí)施或?qū)嵤╋L(fēng)險(xiǎn)過(guò)高，則通過(guò)加強(qiáng)邊界、網(wǎng)絡(luò)等其他方面的安全防護(hù)措施來(lái)達(dá)到降低測(cè)評(píng)對(duì)象安全風(fēng)險(xiǎn)的目的?；A(chǔ)組件設(shè)計(jì)中難點(diǎn)之一是要開發(fā)設(shè)計(jì)可適應(yīng)大部分主流安全防護(hù)產(chǎn)品的標(biāo)準(zhǔn)軟件代理模塊，不同來(lái)源的產(chǎn)品通過(guò)這些代理模塊與平臺(tái)進(jìn)行交互。另外，如何解決產(chǎn)品自帶漏洞庫(kù)與平臺(tái)統(tǒng)一漏洞庫(kù)之間的轉(zhuǎn)換也需要重點(diǎn)考慮。

檢察機(jī)關(guān)網(wǎng)絡(luò)安全主動(dòng)防御一體化設(shè)計(jì)的高級(jí)應(yīng)用組件包括安全態(tài)勢(shì)、安全策略、解決方案和風(fēng)險(xiǎn)監(jiān)控組件等。安全態(tài)勢(shì)組件對(duì)網(wǎng)絡(luò)特性、入侵信息、系統(tǒng)性能、安全狀況等信息進(jìn)行關(guān)聯(lián)分析、數(shù)據(jù)融合和數(shù)據(jù)挖掘，以可視化方式表述，綜合呈現(xiàn)安全態(tài)勢(shì)，并進(jìn)行安全態(tài)勢(shì)預(yù)測(cè)和態(tài)勢(shì)對(duì)比分析。安全策略和解決方案組件則根據(jù)系統(tǒng)安全態(tài)勢(shì)分析結(jié)果動(dòng)態(tài)調(diào)整安全防護(hù)策略、自動(dòng)化生成安全加固解決方案，經(jīng)適度人工干預(yù)后下發(fā)基礎(chǔ)組件自主執(zhí)行。風(fēng)險(xiǎn)監(jiān)控組件實(shí)時(shí)監(jiān)控系統(tǒng)的風(fēng)險(xiǎn)數(shù)據(jù)，在評(píng)價(jià)指標(biāo)體系支撐下，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，重點(diǎn)監(jiān)控高危風(fēng)險(xiǎn)點(diǎn)。為實(shí)現(xiàn)平臺(tái)在各級(jí)檢察機(jī)關(guān)一體化部署，平臺(tái)支持上下級(jí)聯(lián)，下一級(jí)接受上一級(jí)的管理，使一體化防御平臺(tái)可以防御針對(duì)整個(gè)檢察專網(wǎng)的攻擊。高級(jí)應(yīng)用組件是整個(gè)平臺(tái)的關(guān)鍵部分，解決了通用安全防護(hù)軟件只針對(duì)特定類型安全問(wèn)題和被動(dòng)觸發(fā)式工作模式等局限性，其中安全態(tài)勢(shì)綜合分析與預(yù)測(cè)、可視化展現(xiàn)、自主策略調(diào)整與加固、風(fēng)險(xiǎn)評(píng)價(jià)與監(jiān)控等是平臺(tái)研究和設(shè)計(jì)的重點(diǎn)和難點(diǎn)。

通過(guò)構(gòu)建基于一體化安全檢測(cè)的主動(dòng)網(wǎng)絡(luò)防御體系，可以將現(xiàn)有的各網(wǎng)絡(luò)防護(hù)技術(shù)手段整合為一個(gè)整體，協(xié)助檢察技術(shù)部門網(wǎng)絡(luò)管理員了解和掌握檢察專網(wǎng)中整體安全態(tài)勢(shì)，針對(duì)各個(gè)特征點(diǎn)進(jìn)行統(tǒng)一的策略部署和防御手段的制定，形成一個(gè)智能有效的多層次防御體系，為檢察工作提供更為安全便利的網(wǎng)絡(luò)環(huán)境。endprint