◆韓志峰 許 暖

（1.中移信息技術(shù)有限公司 北京 100037；2.中國移動通信集團安徽有限公司 安徽 230000）

黨的十八大以來，以習(xí)近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全工作，明確提出“沒有網(wǎng)絡(luò)安全就沒有國家安全”，為筑牢國家網(wǎng)絡(luò)安全屏障、推進網(wǎng)絡(luò)強國建設(shè)提供了根本遵循。同時，互聯(lián)網(wǎng)高危漏洞頻發(fā)，各類勒索病毒、木馬、蠕蟲肆虐，境內(nèi)外黑客活動頻繁，網(wǎng)絡(luò)攻擊手法也不斷發(fā)生變化，導(dǎo)致網(wǎng)絡(luò)安全環(huán)境日益復(fù)雜化，給網(wǎng)絡(luò)安全帶來巨大的威脅和挑戰(zhàn)。

在這樣的背景之下，運營商要進一步加強安全主動防御技術(shù)的部署，力求將防御縱深覆蓋到各個互聯(lián)網(wǎng)系統(tǒng)、內(nèi)網(wǎng)系統(tǒng)以及核心生產(chǎn)系統(tǒng)等等領(lǐng)域之中，并對物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層等等方面進行整合，同時依托大數(shù)據(jù)技術(shù)以及云計算技術(shù)的優(yōu)勢，從而全面提升通信網(wǎng)絡(luò)安全主動防御的技術(shù)水平。

1 基于通信網(wǎng)絡(luò)的安全主動防御技術(shù)

通信網(wǎng)絡(luò)安全主動防御技術(shù)是在公安部、工信部、網(wǎng)信辦等上級單位安全規(guī)定的前提下，基于目前的管理技術(shù)與運營體系進行的一架構(gòu)優(yōu)化，是在已經(jīng)具備架構(gòu)安全和被動安全基礎(chǔ)上，以主動安全和威脅情報應(yīng)用為目標(biāo)的實戰(zhàn)化防御體系，以滿足通信網(wǎng)絡(luò)演練、重大活動保障等高強度防護任務(wù)為需求。將安全策略、安全組織、安全技術(shù)、安全過程相融合，更加突出體系有動態(tài)能力，強調(diào)主動化、立體化、及時性，做到了工作有體系、管理有組織、防御有技術(shù)、各類安全問題有章可循。具體包括：第一，安全策略作為一切安全工作最佳實踐的積累，用于指導(dǎo)各項活動的有序進行，確保相關(guān)參與人員行動的協(xié)同一致；第二，安全組織包括了運營商內(nèi)部決策層、管理層、業(yè)務(wù)部門和各代維廠家，強調(diào)了各層級與部門在重要安全工作中的崗位責(zé)任，實現(xiàn)守土有責(zé)、守土盡責(zé)；第三，安全技術(shù)包括了集中化安全能力、安全防御手段和網(wǎng)絡(luò)安全攻防體系類手段；最終以安全過程實現(xiàn)上述資源在各種場景下的組合與驅(qū)動。

2 基于通信網(wǎng)絡(luò)的安全主動防御技術(shù)分析

2.1 安全策略

安全策略是信息安全的核心，安全策略包含安全管理制度、組織職責(zé)和技術(shù)規(guī)范，它既是信息安全管理的指導(dǎo)原則，也是控制信息系統(tǒng)安全的具體要求，又是信息系統(tǒng)安全合規(guī)檢查的主要依據(jù)。運營商需要根據(jù)實際工作的需求，從而制定四個層級的安全策略庫，即：通信網(wǎng)絡(luò)行動策略庫、重大活動保障策略庫、上級安全檢查策略庫、安全事件應(yīng)急策略庫（如圖1所示）。

圖1 四個層級的安全策略庫

按照以上場景的不同要求，還需要制定不同的保護范圍和與之對應(yīng)的具體措施，并不斷納入國內(nèi)外及安全業(yè)界新披露的、與自身緊密相關(guān)的安全經(jīng)驗，形成安全策略儲備。為了最大限度保障實踐想效果，安全策略還需要經(jīng)過不斷的演練以及優(yōu)化，例如，在通信網(wǎng)絡(luò)網(wǎng)絡(luò)攻防演習(xí)活動中，應(yīng)當(dāng)嚴(yán)格按照相關(guān)策略來執(zhí)行，并根據(jù)結(jié)果進行不斷優(yōu)化與調(diào)整。

2.2 安全組織

通信網(wǎng)絡(luò)安全主動防御技術(shù)之中的信息系統(tǒng)，需要在組織、技術(shù)以及領(lǐng)導(dǎo)等等方面的支持下，從而構(gòu)建成四個層級指揮調(diào)動體系。具體如下：

第一級是決策指揮層：由各部門分管領(lǐng)導(dǎo)組成的決策與指揮層。該層級負(fù)責(zé)省公司級別的資源調(diào)動，促進省公司之間、省公司各部門之間的協(xié)同。

第二級是運營驅(qū)動層：以安全部門構(gòu)建運營驅(qū)動層。該層面負(fù)責(zé)重大活動保障的準(zhǔn)備、執(zhí)行、總結(jié)三個階段的工作執(zhí)行和驅(qū)動，制定計劃和資源需求，并通過一級組織審核確認(rèn)后執(zhí)行。

第三級分工防守層：以各專業(yè)部門構(gòu)成的各責(zé)任范圍的節(jié)點防守層。該層面負(fù)責(zé)各自責(zé)任范圍的準(zhǔn)備工作、安全監(jiān)測和安全處置。

第四級是技術(shù)支撐層：以各專業(yè)科室所管理的供應(yīng)商、服務(wù)商構(gòu)成，負(fù)責(zé)各自供應(yīng)內(nèi)容的安全運維工作。維度二是運轉(zhuǎn)分工維度，形成三個小組分別是：領(lǐng)導(dǎo)組、保障組、聯(lián)絡(luò)組。

2.3 安全技術(shù)

（1）立體化安全防御機制

安全防御機制需通過立體化、平臺技術(shù)結(jié)合的方式構(gòu)建，由集中化安全能力與安全防御能力組成。其中安全平臺能力如：安全日志、安全運營、態(tài)勢感知、安全審計能力從訪問控制與通道、策略管理、暴露面管理、脆弱性管理、監(jiān)測分析、數(shù)據(jù)泄漏、敏感操作等方面起到了平臺化、集中化的作用。在安全監(jiān)測分析方面，可以在安全威脅分析以及預(yù)警平臺作用的之下，有效提升監(jiān)測能力以及分析能力。第一，監(jiān)測能力，具體指的是互聯(lián)網(wǎng)暴露面、內(nèi)部資產(chǎn)、核心區(qū)域的監(jiān)控，加之7*24的人員配置，實現(xiàn)了實時動態(tài)監(jiān)測能力。第二，分析能力：通過采用不斷優(yōu)化模型與算法+人工復(fù)核驗證的模式，可最大限度保障平臺分析結(jié)果的精準(zhǔn)性。此外，還可以通過安全手段、新型安全手段和新技術(shù)等等，例如：入侵檢測、WAF、網(wǎng)頁防篡改、流量分析、防火墻、防病毒、漏洞掃描、抗DDoS、云計算、人工智能等，可進一步提升監(jiān)測以及防護作用。

（2）構(gòu)建一點聯(lián)動快速處置的響應(yīng)機制

在實際工作中，當(dāng)接到封禁要求后，需要快速定位相應(yīng)的防護設(shè)備（如某防火墻或交換機），制定與該設(shè)備產(chǎn)品型號對應(yīng)操作上步驟和腳本集合，備份設(shè)備上現(xiàn)存的策略集并對新指令進行效率及沖突方面的優(yōu)化調(diào)整，最終登錄設(shè)備下發(fā)指令，測試封禁效果。上述過程需要在極端的時間內(nèi)順利完成，但是在傳統(tǒng)模式下由通信網(wǎng)絡(luò)值班組采用人工方式進行比對、判定，再將指令傳達到相應(yīng)設(shè)備的維護團隊，執(zhí)行風(fēng)險大、效率低、易出錯。因此，需要通過構(gòu)建點聯(lián)動快速處置的響應(yīng)機制來改善這個問題。

一點聯(lián)動快速處置的響應(yīng)機制是以集中了指令來源、設(shè)備通道、預(yù)設(shè)腳本、結(jié)合自動下發(fā)與人工干預(yù)功能，以最快的速度定位策略執(zhí)行點，選用適合的預(yù)案，生成腳本，通過人工流轉(zhuǎn)或自動向安全防護設(shè)備下發(fā)封堵指令的驅(qū)動機制。通過上線IP添加頁面生成文件接口上線與通信工具消息優(yōu)化批量導(dǎo)入，以及安全事件推送一鍵封堵接口，提升了聯(lián)動處置效率，有效降低了誤操作的概率。整個機制由指令接收、主平臺、監(jiān)測能力（互聯(lián)網(wǎng)、內(nèi)網(wǎng)、目標(biāo)）、監(jiān)測點部署、處置點部署、工單流程等幾個組件構(gòu)成。該平臺實現(xiàn)邏輯架構(gòu)（如圖2所示）：

圖2 平臺實現(xiàn)邏輯架構(gòu)圖

該機制具有如下特點：

第一，全攻擊事件匯總，通過采集上級單位通知，以及采集省內(nèi)的安全設(shè)備告警，通過高性能的安全事件歸一化處理，形成標(biāo)準(zhǔn)化安全告警；

第二，有效安全預(yù)案選擇：通過已經(jīng)制定的六大類安全事件處置預(yù)案，以及安全通知處置流程，在安全預(yù)案庫內(nèi)選擇適用的處置方法和命令；

第三，自動執(zhí)行與人工執(zhí)行相結(jié)合：根據(jù)事件發(fā)時的條件因素不同，可觸發(fā)自動的封堵策略下發(fā)，或生成工單，由人工執(zhí)行，以適合自動化程度差異較大的安全處置方法；

第四，多層面立體監(jiān)測和多節(jié)點立體防御：為保證安全監(jiān)測的全面及時，以及安全處置手段的覆蓋面，此平臺聯(lián)動的安全監(jiān)測設(shè)備和安全處置設(shè)備均為多點。例如當(dāng)發(fā)生WEB網(wǎng)站注入攻擊時，除了觸發(fā)WAF設(shè)備阻斷響應(yīng)，同時在CDN 側(cè)對攻擊源進行IP封堵。

3 結(jié)語

綜上所述，隨著重大活動保障的全面深入以及社會對通信網(wǎng)絡(luò)安全提出了更高的要求，通信網(wǎng)絡(luò)需要進一步加強安全主動防御技術(shù)的部署，通過一架構(gòu)優(yōu)化將安全策略、安全組織、安全技術(shù)、安全過程全面融合，實現(xiàn)了安全防護能力的全面提升。而網(wǎng)絡(luò)世界是一個日益變化的世界，因此，為了能夠最大限度保障通信網(wǎng)絡(luò)的安全，還需要在現(xiàn)有的基礎(chǔ)上結(jié)合實際情況不斷完善策略。