胡鑫 王宏波

隨著信息化安全形勢(shì)的日益嚴(yán)峻，國(guó)內(nèi)外各類(lèi)基于網(wǎng)絡(luò)的安全事件層出不窮，僅最近一年內(nèi)，國(guó)內(nèi)外先后出現(xiàn)了“暗云Ⅲ”病毒攻擊事件、WannaCry勒索病毒攻擊事件、Petya病毒攻擊事件等多起網(wǎng)絡(luò)安全事件。而現(xiàn)有安全防護(hù)手段是基于已有病毒或漏洞進(jìn)行的，能夠根據(jù)特征對(duì)已知攻擊行為進(jìn)行安全防護(hù)，但對(duì)于未知的漏洞以及攻擊無(wú)法做到主動(dòng)防御。

一、國(guó)網(wǎng)陜西省電力公司安全建設(shè)現(xiàn)狀

在國(guó)家電網(wǎng)公司信息化建設(shè)大力推進(jìn)下，國(guó)網(wǎng)陜西省電力公司信息化建設(shè)步伐大大加快，目前已經(jīng)建成近百個(gè)業(yè)務(wù)系統(tǒng)，業(yè)務(wù)覆蓋了規(guī)劃、建設(shè)、檢修、運(yùn)行、營(yíng)銷(xiāo)以及人力資源、財(cái)務(wù)、物資等專(zhuān)業(yè)，這些系統(tǒng)的建設(shè)都有一個(gè)共同點(diǎn)，均是以三層或多層體系架構(gòu)設(shè)計(jì)的B/S架構(gòu)應(yīng)用，而對(duì)于這些網(wǎng)站的漏洞掃描以及漏洞攻擊，成為了影響陜西省電力公司運(yùn)維質(zhì)量及業(yè)務(wù)指標(biāo)的關(guān)鍵因素。在持續(xù)不斷的掃描和攻擊事件中，運(yùn)維人員長(zhǎng)期處于不對(duì)等的狀態(tài)。由于多數(shù)掃描和攻擊事件采用自動(dòng)化的工具執(zhí)行，業(yè)務(wù)系統(tǒng)漏洞時(shí)有發(fā)現(xiàn)，而隨著信息安全掃描手段的多樣化，一些新的漏洞被持續(xù)發(fā)現(xiàn)，運(yùn)維人員對(duì)于這些新的漏洞難以做到提前防護(hù)，整體安全運(yùn)維工作處于被動(dòng)狀態(tài)。

（一）現(xiàn)有安全防護(hù)手段難以抵御應(yīng)用漏洞探測(cè)

雖然已經(jīng)部署了防火墻等傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)設(shè)備，但由于WEB應(yīng)用經(jīng)常變更及調(diào)整，策略難以時(shí)刻匹配，導(dǎo)致系統(tǒng)內(nèi)可能存在新引入漏洞，而各類(lèi)漏洞探測(cè)工具可能發(fā)現(xiàn)這些漏洞從而利用這些漏洞進(jìn)行攻擊。

（二）難以識(shí)別用戶(hù)正常行為以及攻擊行為

由于目前的各類(lèi)掃描及攻擊工具往往采用模擬用戶(hù)正常行為的方式發(fā)起撞庫(kù)攻擊以及爬蟲(chóng)數(shù)據(jù)竊取，傳統(tǒng)防護(hù)手段由于無(wú)法區(qū)分正常訪問(wèn)用戶(hù)及軟件攻擊行為，從而難以對(duì)這類(lèi)問(wèn)題進(jìn)行有效防護(hù)，使管理人員的安全視角一直存在盲區(qū)。

二、動(dòng)態(tài)安全防護(hù)平臺(tái)的實(shí)踐

（一）預(yù)期目標(biāo)

通過(guò)建設(shè)動(dòng)態(tài)安全防護(hù)平臺(tái)，提升信息化安全管理水平，實(shí)現(xiàn)防漏洞探測(cè)、防零日漏洞、防應(yīng)用DDOS、防代碼分析等一系列安全功能，使WEB應(yīng)用安全防護(hù)模式從原有的被動(dòng)式的安全防護(hù)的管理方式轉(zhuǎn)變?yōu)橹鲃?dòng)的、自動(dòng)化、高效的安全防護(hù)模式。

（二）需求調(diào)研

為了應(yīng)對(duì)多樣化的信息安全掃描手段，利用各種未知漏洞進(jìn)行的掃描攻擊、安全攻擊以及利用機(jī)器人技術(shù)通過(guò)應(yīng)用程序大批量的進(jìn)行掃描和攻擊，動(dòng)態(tài)防護(hù)平臺(tái)必須滿(mǎn)足以下實(shí)際需求：

1.網(wǎng)站安全保障

通過(guò)動(dòng)態(tài)封裝、動(dòng)態(tài)驗(yàn)證、動(dòng)態(tài)混淆、動(dòng)態(tài)靈牌等技術(shù)，防止黑客通過(guò)漏洞掃描工具掃描網(wǎng)站結(jié)構(gòu)及應(yīng)用漏洞，同時(shí)防止攻擊者利用零日漏洞對(duì)系統(tǒng)發(fā)起攻擊，防止攻擊者針對(duì)資源消耗較高的業(yè)務(wù)發(fā)起自動(dòng)化DDOS攻擊，防止通過(guò)正常網(wǎng)頁(yè)訪問(wèn)，查看并分析網(wǎng)頁(yè)源代碼。

2.防止數(shù)據(jù)泄露

系統(tǒng)應(yīng)能夠有效阻擋攻擊者利用自動(dòng)化程序爬取網(wǎng)站及應(yīng)用信息、頁(yè)面信息等內(nèi)容，同時(shí)防止利用合法用戶(hù)身份通過(guò)工具獲取內(nèi)部數(shù)據(jù)，防止攻擊者利用邏輯漏洞，通過(guò)工具批量導(dǎo)出用戶(hù)資料，防止攻擊者通過(guò)腳本或者程序進(jìn)行批量信息導(dǎo)出。

3.保障賬號(hào)安全

防止對(duì)登錄入口密碼實(shí)時(shí)暴力破解，防止攻擊者利用自動(dòng)化工具批量注冊(cè)用戶(hù)，防止攻擊者通過(guò)自動(dòng)化工具實(shí)施登錄嘗試，盜取合法賬號(hào)。

4.防止網(wǎng)絡(luò)漏洞掃描

防止通過(guò)各類(lèi)漏洞掃描工具對(duì)WEB系統(tǒng)的漏洞掃描，從根源上防止漏洞掃描，有效解決層出不窮的各類(lèi)漏洞掃描工具對(duì)系統(tǒng)漏洞的攻擊及掃描。

5.防止工具及機(jī)器人流量

防止各類(lèi)掃描工具以及機(jī)器人行為對(duì)WEB系統(tǒng)產(chǎn)生的攻擊，有效防止各類(lèi)傳統(tǒng)的攻擊手段以及業(yè)務(wù)層的重復(fù)操作手段帶來(lái)的機(jī)器人流量。

6.防范未知的攻擊

通過(guò)技術(shù)手段，做到重要業(yè)務(wù)系統(tǒng)的漏洞隱藏以及安全保護(hù)，從根本上防止未知攻擊手段的攻擊，確保業(yè)務(wù)系統(tǒng)處于安全運(yùn)行狀態(tài)。

（三）系統(tǒng)實(shí)現(xiàn)

1.系統(tǒng)架構(gòu)

動(dòng)態(tài)安全防護(hù)平臺(tái)在用戶(hù)執(zhí)行段的WEB瀏覽器與最終服務(wù)器之間構(gòu)建了動(dòng)態(tài)應(yīng)用防護(hù)系統(tǒng)，通過(guò)對(duì)于業(yè)務(wù)系統(tǒng)的動(dòng)態(tài)防護(hù)技術(shù)，利用對(duì)威脅的感知、響應(yīng)分析、威脅預(yù)測(cè)以及主動(dòng)變幻的方式有效進(jìn)行服務(wù)器安全防護(hù)，保障業(yè)務(wù)系統(tǒng)不被代碼攻擊。如圖1。

2.功能實(shí)現(xiàn)

通過(guò)實(shí)施、部署動(dòng)態(tài)安全防護(hù)平臺(tái)，對(duì)陜西省電力公司主要業(yè)務(wù)系統(tǒng)開(kāi)展安全防護(hù)，實(shí)現(xiàn)安全的動(dòng)態(tài)封裝、動(dòng)態(tài)驗(yàn)證、動(dòng)態(tài)混淆及動(dòng)態(tài)令牌功能，使業(yè)務(wù)系統(tǒng)免于各類(lèi)掃描攻擊、DDOS攻擊、零日漏洞攻擊，并有效保障賬號(hào)及數(shù)據(jù)的安全。動(dòng)態(tài)安全防護(hù)平臺(tái)提供的主要功能如下：

（1）動(dòng)態(tài)封裝

利用動(dòng)態(tài)封裝功能，動(dòng)態(tài)封裝網(wǎng)頁(yè)內(nèi)的一段JS語(yǔ)句，該語(yǔ)句完成與動(dòng)態(tài)安全防護(hù)平臺(tái)及瀏覽測(cè)運(yùn)行驗(yàn)證等功能，通過(guò)該動(dòng)態(tài)封裝功能，能夠防止各類(lèi)掃描行為發(fā)現(xiàn)后端應(yīng)用服務(wù)，從而從根本上使后端系統(tǒng)免于各類(lèi)掃描攻擊。

（2）動(dòng)態(tài)驗(yàn)證

利用動(dòng)態(tài)驗(yàn)證功能，使服務(wù)器與客戶(hù)端之間進(jìn)行動(dòng)態(tài)的雙向驗(yàn)證，防止惡意的中斷訪問(wèn)，通過(guò)每次隨機(jī)選取的檢測(cè)項(xiàng)目與數(shù)量，使業(yè)務(wù)應(yīng)用具備不可預(yù)測(cè)性，有效客服各類(lèi)靜態(tài)代碼采集攻擊行為。

（3）動(dòng)態(tài)混淆

利用動(dòng)態(tài)混淆功能，對(duì)網(wǎng)頁(yè)內(nèi)的Cookie、POST、URL信息進(jìn)行動(dòng)態(tài)混淆，使各類(lèi)惡意代碼注入、交易篡改攻擊難以進(jìn)行。

（4）動(dòng)態(tài)令牌

利用動(dòng)態(tài)令牌功能，能夠阻攔各類(lèi)沒(méi)有令牌的非法請(qǐng)求，保障系統(tǒng)免于各類(lèi)越權(quán)訪問(wèn)、網(wǎng)頁(yè)后門(mén)、DDOS攻擊等行為。

（5）攻擊統(tǒng)計(jì)

對(duì)攻擊來(lái)源、目標(biāo)、使用的工具、手法、詳情、過(guò)程等信息進(jìn)行詳細(xì)記錄，使管理人員了解工具的來(lái)源和方法。

3.實(shí)施部署和效果

動(dòng)態(tài)安全防護(hù)平臺(tái)采用反向代理的方式部署，利用F5引流獲取數(shù)據(jù)，進(jìn)行反向代理，數(shù)據(jù)將先經(jīng)過(guò)動(dòng)態(tài)安全防護(hù)平臺(tái)再向前臺(tái)業(yè)務(wù)系統(tǒng)進(jìn)行傳送，其部屬圖如圖2所示。

動(dòng)態(tài)安全防護(hù)平臺(tái)通過(guò)隱藏攻擊入口提升攻擊難度，針對(duì)某業(yè)務(wù)系統(tǒng)的防護(hù)對(duì)比效果如表1所示。

4.技術(shù)優(yōu)勢(shì)

安全防護(hù)技術(shù)與黑客技術(shù)緊密相關(guān)，對(duì)于簡(jiǎn)單腳本和工具攻擊，動(dòng)態(tài)安全防護(hù)平臺(tái)利用網(wǎng)頁(yè)代碼動(dòng)態(tài)變化技術(shù)實(shí)現(xiàn)有效的安全防護(hù)；對(duì)于錄屏操作以及真人操作攻擊行為，平臺(tái)采用態(tài)勢(shì)分析、機(jī)器學(xué)習(xí)及行為分析技術(shù)進(jìn)行有效阻擋，為業(yè)務(wù)系統(tǒng)的安全運(yùn)行提供了可靠保障。

三、系統(tǒng)實(shí)施效果

通過(guò)實(shí)施動(dòng)態(tài)安全防護(hù)平臺(tái)，有效保障了業(yè)務(wù)系統(tǒng)的安全性，防范了各種惡意攻擊；通過(guò)動(dòng)態(tài)安全防護(hù)平臺(tái)，能夠采用“動(dòng)態(tài)防御”技術(shù)，使用隱藏漏洞、變換自身、驗(yàn)證真?zhèn)蔚仁侄?，?shí)現(xiàn)業(yè)務(wù)系統(tǒng)安全的主動(dòng)防御，有效抵御漏洞探測(cè)、零日漏洞攻擊、應(yīng)用DDOS、代碼分析等攻擊手段，并實(shí)現(xiàn)防爬蟲(chóng)、防內(nèi)鬼、防數(shù)據(jù)便利、防拖庫(kù)等數(shù)據(jù)安全功能，并防止暴力破解、批量注冊(cè)、防止撞庫(kù)等賬號(hào)攻擊行為，實(shí)現(xiàn)對(duì)于業(yè)務(wù)系統(tǒng)安全的全面保障。

四、結(jié)語(yǔ)

陜西省電力公司從實(shí)際安全建設(shè)情況出發(fā)，以動(dòng)態(tài)安全防護(hù)為切入點(diǎn)進(jìn)行面向業(yè)務(wù)的新型安全防護(hù)研究，通過(guò)創(chuàng)新的動(dòng)態(tài)安全機(jī)制，借助技術(shù)手段實(shí)現(xiàn)主動(dòng)化、智能化的應(yīng)用安全防護(hù)手段，有效抵御網(wǎng)絡(luò)安全掃描，應(yīng)用攻擊等攻擊行為，以“先發(fā)制人，掌握先機(jī)”的防護(hù)方式，為建設(shè)新一代的防御體系邁出了堅(jiān)實(shí)的一步。后續(xù)還將結(jié)合機(jī)器學(xué)習(xí)（ML）和人工智能（AI）技術(shù)進(jìn)一步完善智能化的安全防護(hù)體系，通過(guò)進(jìn)行主動(dòng)安全防御，實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)安全的全面保障。

作者單位：胡鑫 國(guó)網(wǎng)陜西省電力公司信息通信公司

王宏波 國(guó)網(wǎng)陜西省電力公司培訓(xùn)中心