文/蔡利軍 周益飛

隨著信息化的快速發(fā)展和信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全面臨的威脅持續(xù)加大。教育信息化是國家信息化的重要組成部分，而高校信息安全保障工作關(guān)系著教育信息化的穩(wěn)步推進(jìn)和教育事業(yè)的改革發(fā)展，只有建立健全網(wǎng)絡(luò)與信息安全保障體系，提高防護(hù)能力和水平，才能保障高校教育事業(yè)健康有序發(fā)展。高校負(fù)責(zé)信息安全的部門，在規(guī)劃信息安全時應(yīng)該有清晰的思路和理論依據(jù)，做到從實際問題和需求出發(fā)，理論聯(lián)系實際，才能在安全形勢日益嚴(yán)峻和技術(shù)不斷發(fā)展的過程中做好信息安全保障工作。

在信息安全技術(shù)發(fā)展過程中，國內(nèi)外有很多成熟的安全模型值得借鑒和參考，比如美國國家安全局(NSA）制定的信息保障技術(shù)框架（ITAF）、基于時間的保護(hù)、檢測和響應(yīng)（PDR）模型、以及基于PDR模型發(fā)展出來的動態(tài)可適應(yīng)網(wǎng)絡(luò)安全(PPDR)模型。根據(jù)近幾年信息安全工作規(guī)劃和實施的經(jīng)驗，我們認(rèn)為PPDR模型比較適合指導(dǎo)高校信息安全保障工作。本文結(jié)合武漢大學(xué)的信息安全規(guī)劃和部署來介紹PPDR模型的應(yīng)用，并討論個人信息安全保護(hù)工作的規(guī)劃和實施。

PDR和PPDR模型介紹

保護(hù)-檢測-響應(yīng)（Protection-Detection-Response，PDR）模型是美國ISS公司提出的可量化的模型，其思想是成立信息系統(tǒng)中漏洞的存在，正視系統(tǒng)面臨的威脅，通過采取適度防護(hù)、加強檢測工作、落實對安全事件的響應(yīng)、建立對威脅的防護(hù)來保障系統(tǒng)的安全。

模型中的防護(hù)指的是通過部署和采用安全技術(shù)來提供網(wǎng)絡(luò)的防護(hù)能力，如防火墻、訪問控制、加密技術(shù)等；檢測指的是利用信

息安全檢測工具，監(jiān)視、分析、掃描網(wǎng)絡(luò)活動，了解判斷網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)。檢測這一環(huán)

節(jié)，使安全防護(hù)從被動防護(hù)演進(jìn)到主動防御，是整個模型動態(tài)性的體現(xiàn)，主要方法包括：實時監(jiān)控、檢測、報警等；響應(yīng)指的是在檢測到安全漏洞和安全事件時，通過及時的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的安全性調(diào)整到風(fēng)險最低的狀態(tài)、包括清除木馬、病毒，恢復(fù)系統(tǒng)功能和數(shù)據(jù)，啟動備份系統(tǒng)等，主要方法包括∶關(guān)閉服務(wù)、跟蹤、反擊、消除影響等。

PDR模型的出發(fā)點是基于這樣的前提：任何安全防護(hù)措施都是基于時間的，超過該時間段，這種防護(hù)措施是可能被攻破的。該模型給出了信息系統(tǒng)的攻防時間表，可以根據(jù)各個環(huán)節(jié)所需時間與防護(hù)時間相比較，判斷信息系統(tǒng)在面臨各種威脅時是否安全。具體方法如下：假設(shè)S系統(tǒng)的防護(hù)、檢測和反應(yīng)的時間分別是Pt(防護(hù)時間、有效防御攻擊的時間）,Dt（檢測時間、發(fā)起攻擊到檢測到的時間）,Rt（反應(yīng)時間、檢測到攻擊到處理完成時間）,假設(shè)系統(tǒng)被對手成功攻擊后的時間為 Et（暴露時間）,則該系統(tǒng)防護(hù)、檢測和反應(yīng)的時間關(guān)系如下：

如果Pt＞Dt＋Rt，那么S是安全的；

如果Pt＜Dt＋Rt，那么Et＝（Dt＋Rt）－Pt。

PDR模型強調(diào)檢測的重要性，通過經(jīng)常對網(wǎng)絡(luò)、信息系統(tǒng)的評估來掌握系統(tǒng)風(fēng)險點，及時弱化甚至消除系統(tǒng)的安全漏洞。PDR模型直觀、實用，不過也存在缺點，主要是對系統(tǒng)的安全隱患和安全措施采取相對固定的前提假設(shè)，難于適應(yīng)網(wǎng)絡(luò)安全環(huán)境的快速變化。

圖1 PPDR模型

針對PDR模型的的問題和缺陷，在PDR模型的基礎(chǔ)上發(fā)展出了策略-保護(hù)-檢測-響應(yīng)（Protection-Detection-Response，PPDR）模型，該模型的核心思想是：所有的防護(hù)、檢測、響應(yīng)都是依據(jù)安全策略實施的。模型中的策略是指信息系統(tǒng)的安全策略，包括訪問控制策略、加密通信策略、身份認(rèn)證策略、備份恢復(fù)策略等。PPDR策略體系的建設(shè)包括安全策略的制定、評估與執(zhí)行等，根據(jù)安全技術(shù)的發(fā)展和形勢的變化，不斷的調(diào)整防護(hù)、檢測、響應(yīng)手段，組成一個完整動態(tài)循環(huán)。如圖1所示。

與PDR模型相比，PPDR模型則更強調(diào)控制和對抗，即強調(diào)系統(tǒng)安全的動態(tài)性,以安全檢測、漏洞監(jiān)測和自適應(yīng)填充“安全間隙”為循環(huán)來提高網(wǎng)絡(luò)安全。PPDR模型考慮了管理因素，它強調(diào)安全管理的持續(xù)性、安全策略的動態(tài)性，以實時監(jiān)視網(wǎng)絡(luò)活動、發(fā)現(xiàn)威脅和弱點來調(diào)整和填補網(wǎng)絡(luò)漏洞。

PPDR模型的應(yīng)用

集中資源、重點防護(hù)

由于高校的網(wǎng)絡(luò)結(jié)構(gòu)和資源分布不同，因此防護(hù)的考慮和策略也不一樣。武漢大學(xué)網(wǎng)絡(luò)結(jié)構(gòu)大致如圖2所示，出口有聯(lián)通、電信和教育網(wǎng)，邊界配置了傳統(tǒng)防火墻。內(nèi)部網(wǎng)絡(luò)主要分為服務(wù)器區(qū)、辦公網(wǎng)和學(xué)生宿舍網(wǎng)，在規(guī)劃網(wǎng)絡(luò)和信息安全的時候，我們應(yīng)該重點考慮服務(wù)器區(qū)，同時要求各種信息系統(tǒng)向服務(wù)器區(qū)的云平臺集中。

圖2 武漢大學(xué)網(wǎng)絡(luò)拓?fù)?/p>

在進(jìn)行安全保護(hù)體系建設(shè)時，一般會在網(wǎng)絡(luò)的不同區(qū)域部署傳統(tǒng)防火墻、IDS(入侵檢測系統(tǒng))、IPS等設(shè)備。著名IT咨詢機構(gòu)Gartner指出，目前用戶面臨的網(wǎng)絡(luò)攻擊90%來自應(yīng)用層，傳統(tǒng)防火墻只能抵御網(wǎng)絡(luò)層攻擊，并無法防御應(yīng)用層威脅，若仍舊選用傳統(tǒng)防火墻、IPS等設(shè)備防護(hù)，將導(dǎo)致網(wǎng)絡(luò)無法有效抵御新的網(wǎng)絡(luò)攻擊。而第二代防火墻（簡稱“NGFW”）集成了上述安全防護(hù)功能，同時降低了管理復(fù)雜度。

NGFW除具備傳統(tǒng)防火墻包過濾、狀態(tài)檢測等基本功能外，還具備應(yīng)用流量識別、應(yīng)用層訪問控制、Web攻擊防護(hù)、惡意代碼防護(hù)、信息泄露防護(hù)和入侵防御等功能。考慮到等級保護(hù)的要求和日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們還需要NGFW有效抵御如SQL注入、XSS跨站腳本攻擊等種類繁多的Web攻擊，保障用戶各類業(yè)務(wù)系統(tǒng)的安全。因此我們將二臺NGFW（高可用性）部署于服務(wù)器區(qū)的邊界，以達(dá)到訪問控制、入侵防范和惡意代碼防范等要求，保護(hù)武漢大學(xué)服務(wù)器區(qū)的云平臺和數(shù)據(jù)中心。

規(guī)范遠(yuǎn)程運維

如果把服務(wù)器對外開放的端口比作門的話，我們重點需要防護(hù)的就是兩種類型的門，Web應(yīng)用類（80、8080、443等端口）和遠(yuǎn)程訪問類（3389、22等端口），對Web應(yīng)用端口，我們可以通過NGFW或Web應(yīng)用防火墻（簡稱“WAF”）來防護(hù)，而遠(yuǎn)程訪問類，我們建議通過管理手段，強制要求所有對服務(wù)器的遠(yuǎn)程訪問都通過統(tǒng)一安全管理與綜合審計系統(tǒng)（簡稱“堡壘機”）進(jìn)行。

堡壘機通過規(guī)范運維權(quán)限管理、全程錄像運維操作過程等手段，對運維工作中的人為風(fēng)險進(jìn)行防范、規(guī)避。堡壘機支持SSH、RDP、HTTPS等工具對服務(wù)器資源進(jìn)行操作管理，還能夠?qū)RACLE、MS SQL、MYSQL等數(shù)據(jù)庫操作進(jìn)行集中審計和控制，滿足用戶隨時隨地訪問應(yīng)用系統(tǒng)的需求，而且在外地還可以通過移動終端平臺安全運維。因此我們部署了兩臺堡壘機（高可用性），確保遠(yuǎn)程運維的安全和可靠，目前所有的服務(wù)器區(qū)用戶和公司運維人員都通過堡壘機遠(yuǎn)程管理、維護(hù)信息系統(tǒng)。這樣最重要的兩道門保護(hù)好后，其余的門（端口）都關(guān)閉，就可以保障核心服務(wù)器區(qū)的基本安全。

全網(wǎng)監(jiān)控和威脅感知

武漢大學(xué)由原武漢大學(xué)、武漢測繪大學(xué)、武漢水利水電大學(xué)、湖北醫(yī)學(xué)院四個學(xué)校合并而成。由于歷史原因，武漢大學(xué)有許多信息系統(tǒng)、服務(wù)器分布在各個校區(qū)的辦公網(wǎng)區(qū)域，因此對全網(wǎng)進(jìn)行應(yīng)用層的防護(hù)比較困難。我們的思路是首先通過路由牽引將外網(wǎng)對辦公網(wǎng)區(qū)域的80端口的訪問指向WAF，用WAF對辦公網(wǎng)區(qū)域的信息系統(tǒng)和服務(wù)器進(jìn)行基本的應(yīng)用層防護(hù)，但是這樣只能對外網(wǎng)的攻擊能夠起到防護(hù)，對內(nèi)網(wǎng)發(fā)起的攻擊無法阻攔。為了建立多層次的檢測體系，我們部署了威脅感知系統(tǒng)，來進(jìn)行全網(wǎng)監(jiān)控和威脅感知，尤其是對高級持續(xù)性威脅APT（Advanced Persistent Threat）進(jìn)行防御，如圖3所示。

圖3 威脅感知系統(tǒng)部署

APT是利用各種手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式，APT在發(fā)動攻擊之前會對攻擊對象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集,在收集的過程中，會主動挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，并利用0day漏洞進(jìn)行攻擊。根據(jù)統(tǒng)計，國內(nèi)疑似 APT 攻擊目標(biāo)的組織機構(gòu)近 200 個，其中大學(xué)占比最高為40%；大學(xué)內(nèi)部的科研機構(gòu)是APT攻擊的首要目標(biāo)。

隨著武漢大學(xué)的規(guī)模不斷擴大，科研機構(gòu)不斷增加，境外APT組織目光會聚焦于學(xué)校內(nèi)部（如遙感和測繪學(xué)院)的一些敏感科研機構(gòu)。針對以APT為首的高級威脅攻擊，使用基于規(guī)則庫、簽名技術(shù)的傳統(tǒng)防護(hù)設(shè)備無法檢測，同時產(chǎn)生的大量無用告警也會影響對于入侵攻擊的判斷。而新一代的威脅感知系統(tǒng)基于多維度的海量互聯(lián)網(wǎng)數(shù)據(jù)，進(jìn)行自動化挖掘與云端關(guān)聯(lián)分析，可以提前洞悉各種安全威脅，達(dá)到對入侵途徑及攻擊者背景的研判與溯源。有了先進(jìn)的技術(shù)檢測設(shè)備，響應(yīng)就能夠及時、準(zhǔn)確，當(dāng)然響應(yīng)的前提是安全管理制度的建設(shè)，其中包括制定應(yīng)急響應(yīng)預(yù)案、成立網(wǎng)絡(luò)安全聯(lián)絡(luò)小組等。

高校個人信息安全保護(hù)工作

隨著個人信息泄露的問題日益嚴(yán)重，目前國家越來越重視個人信息安全，《信息安全技術(shù)個人信息安全規(guī)范》2018年5月1日正式實施，其中跟運營者相關(guān)的要求主要有∶ 數(shù)據(jù)安全能力、安全審計，個人敏感信息的加密傳輸和存儲 ，制定個人信息安全事件應(yīng)急預(yù)案，安全事件告知等。而高校由于單位眾多，管理人員安全意識薄弱，因此各類信息泄露事件層出不窮，如何做好個人信息安全保護(hù)工作？這些都給安全工作人員帶來了新的挑戰(zhàn)，下面我們就應(yīng)用PPDR模型來協(xié)助規(guī)劃個人信息安全保護(hù)工作。

首先，個人信息安全策略應(yīng)該根據(jù)高校的實際情況和問題制定，目前高校信息泄露途徑主要有兩類，一是管理員弱密碼或程序漏洞導(dǎo)致后臺暴露，海量的個人信息可以直接瀏覽或?qū)С?，二是行政人員主動將包含敏感信息的文件或內(nèi)容直接公開發(fā)布到網(wǎng)站，黑客通過Google搜索之類的工具可以直接下載。而傳統(tǒng)的數(shù)據(jù)安全產(chǎn)品諸如數(shù)據(jù)庫審計系統(tǒng)、數(shù)據(jù)庫防火墻都只能檢測客戶端連接數(shù)據(jù)庫的操作，無法防止通過WEB應(yīng)用直接泄露數(shù)據(jù)的問題。而數(shù)據(jù)庫客戶端的訪問或登陸服務(wù)器操作，完全可以通過堡壘機來實現(xiàn)審計和規(guī)范，因此我們認(rèn)為這類產(chǎn)品并不適用高校復(fù)雜的網(wǎng)絡(luò)和系統(tǒng)環(huán)境。

結(jié)合PPDR模型，我們認(rèn)為應(yīng)該從防護(hù)、檢測、響應(yīng)三個方面來制定個人信息保護(hù)策略，對數(shù)據(jù)進(jìn)行分級保護(hù)，對數(shù)據(jù)全生命周期做到“可視”、“可管”、“可追溯”，事前對數(shù)據(jù)先進(jìn)行梳理、然后分類分級治理，對于尤其重要的數(shù)據(jù)庫進(jìn)行物理隔離，或者考慮部署高性能的數(shù)據(jù)庫加密系統(tǒng)，同時對于開發(fā)和測試，采用數(shù)據(jù)庫脫敏產(chǎn)品，防止真實數(shù)據(jù)泄漏。事中通過流量采集對網(wǎng)上傳輸?shù)臄?shù)據(jù)進(jìn)行內(nèi)容識別，通過關(guān)鍵字、正則識別敏感數(shù)據(jù)，然后對敏感數(shù)據(jù)泄露實施告警或阻斷。事后對泄露事件審計、關(guān)聯(lián)分析，按照個人信息安全事件應(yīng)急預(yù)案進(jìn)行安全事件告知，并采取相關(guān)的補救措施。對應(yīng)PPDR模型，我們可以總結(jié)出“事前防護(hù)、事中檢測、事后響應(yīng)”的完整流程，隨著大數(shù)據(jù)、機器學(xué)習(xí)、內(nèi)容識別等技術(shù)的發(fā)展和運用，我們可以采用新的安全技術(shù)手段和設(shè)備來不斷完善個人信息安全保護(hù)工作。

正如習(xí)總書記所指出的“信息安全需要系統(tǒng)思維”，我們在安全防護(hù)技術(shù)體系建設(shè)的同時，需要樹立正確的信息安全觀，用系統(tǒng)思維的方式全面考慮政策法規(guī)、技術(shù)條件、使用方便、私密保護(hù)等因素。PPDR模型就是我們在做信息安全保障工作中可以參考和借鑒的系統(tǒng)思維工具，只有根據(jù)實際需求建立自己的信息安全工作思路，才能做到“以我為主”，不被安全廠商的宣傳所迷惑?！靶畔踩钦w的而不是割裂的”，維護(hù)信息安全也是全校共同的責(zé)任，提高師生的安全意識、宣傳信息安全知識同樣重要，高校信息安全保障工作最終需要各單位、教職工、學(xué)生共同參與，共筑信息安全防線。