莆田學(xué)院信息化建設(shè)與管理中心 曾福山

本文針對(duì)當(dāng)前網(wǎng)絡(luò)安全系統(tǒng)各層防護(hù)設(shè)備存在的獨(dú)立防護(hù)，安全信息不共享，無法形成體系防護(hù)的現(xiàn)狀，提出一種基于反饋式的網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建方式，反饋式系統(tǒng)借鑒了信號(hào)與系統(tǒng)中的反饋機(jī)制，將下一級(jí)設(shè)備的安全信息通過單向傳輸設(shè)備傳輸至上一級(jí)安全設(shè)備，實(shí)現(xiàn)整體網(wǎng)絡(luò)系統(tǒng)間安全設(shè)備的信息共享，有效提升設(shè)備的防護(hù)能力。

當(dāng)前我國的網(wǎng)絡(luò)安全面臨著生態(tài)環(huán)境較為惡劣、黑客攻擊行為如近幾年頻繁發(fā)生的勒索病毒攻擊、跨國電信詐騙等問題，都造成極大的影響，給我國的信息化建設(shè)的發(fā)展與治理帶來巨大的挑戰(zhàn)。國際電信聯(lián)盟將網(wǎng)絡(luò)安全定義為：“網(wǎng)絡(luò)安全是集合工具、政策、安全概念、安全保障、指南、風(fēng)險(xiǎn)管理方法、行動(dòng)、培訓(xùn)、實(shí)踐案例、技術(shù)等內(nèi)容的一整套安全管理體系，用于保護(hù)網(wǎng)絡(luò)環(huán)境、組織以及用戶的資產(chǎn)。組織和用戶的資產(chǎn)包括連接的計(jì)算機(jī)設(shè)備、人員、基礎(chǔ)設(shè)施、應(yīng)用程序、網(wǎng)絡(luò)服務(wù)、電信系統(tǒng)以及網(wǎng)絡(luò)環(huán)境中傳輸或存儲(chǔ)的信息”。2017年6月1日頌布實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》定義網(wǎng)絡(luò)安全為：“網(wǎng)絡(luò)安全是指通過采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力”。當(dāng)前網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建一般要遵循以下幾個(gè)原則：

1 最小權(quán)限原則[1]

在保證系統(tǒng)正常運(yùn)行的情況下，設(shè)定用戶及系統(tǒng)管理員嚴(yán)格執(zhí)行“需則知情”原則，確保使用人員只能訪問到其職責(zé)或角色范圍之內(nèi)的數(shù)據(jù)或信息。

2 分層防護(hù)[2]

分層設(shè)計(jì)——每一層的保護(hù)重點(diǎn)不同，各層間相互保護(hù)，黑客即使突破了一層，也獲取不到網(wǎng)站的控制權(quán)。

分散布局——安全防護(hù)設(shè)備部署在網(wǎng)絡(luò)系統(tǒng)的不同節(jié)點(diǎn)。

分級(jí)多樣化防護(hù)——信息系統(tǒng)安全防護(hù)根據(jù)防護(hù)對(duì)象的不同設(shè)置不同的等級(jí)保護(hù)。

3 分區(qū)防護(hù)[3]

形勢(shì)重大活動(dòng)時(shí)期與平時(shí)的保障的機(jī)制是不同的，在重大活動(dòng)時(shí)期，必須確保主要信息系統(tǒng)如門戶網(wǎng)站的安全，采取主動(dòng)防御的模式，對(duì)于可疑IP堅(jiān)決加入黑名單?；谶@種機(jī)制，本文提出一種基于反饋式的自適應(yīng)實(shí)時(shí)防御系統(tǒng)。

4 以數(shù)據(jù)重要性劃分等級(jí)[4]

根據(jù)數(shù)據(jù)的重要性劃分不同的等級(jí)，并存儲(chǔ)在不同的安全區(qū)域。

5 最弱環(huán)節(jié)決定原則[5]

鏈?zhǔn)椒雷o(hù)策略中最薄弱的環(huán)節(jié)決定了系統(tǒng)的安全性，在管理運(yùn)維部門中則遵循職責(zé)分離、輪崗的原則，以避免人員忽視或者破壞安全系統(tǒng)的防護(hù)策略。

絕大多數(shù)的單位均是以此來設(shè)計(jì)與構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)。

6 當(dāng)前網(wǎng)絡(luò)安全防護(hù)體系存在的主要問題

當(dāng)前網(wǎng)絡(luò)防護(hù)體系一般采用單向分層式瀑布流防護(hù)的機(jī)制，如圖1所示，雖然網(wǎng)絡(luò)安全設(shè)計(jì)原則要求整體性、標(biāo)準(zhǔn)化等，但現(xiàn)實(shí)中各級(jí)防護(hù)產(chǎn)品來源多樣性，各設(shè)備及各級(jí)防護(hù)系統(tǒng)之間聯(lián)動(dòng)性不夠強(qiáng)，策略規(guī)則等亦不同。特別是當(dāng)前傳統(tǒng)安全解決方案防御點(diǎn)經(jīng)常是獨(dú)立運(yùn)作或者用戶經(jīng)常只部署單個(gè)防御點(diǎn)，各系統(tǒng)單向防護(hù)，無法將各個(gè)防御點(diǎn)很好的進(jìn)行聯(lián)動(dòng)[7]，導(dǎo)致花費(fèi)了大量的經(jīng)費(fèi)部署的安全防御措施最終還是無法防止黑客的入侵。此類系統(tǒng)在防御方面并沒有信息交換機(jī)制，缺乏聯(lián)動(dòng)，即使是同一公司的產(chǎn)品，一般也是通過安裝探針單向發(fā)送信息，沒有雙向交互或者反饋機(jī)制，檢測(cè)到的異常數(shù)據(jù)包信息無法實(shí)時(shí)全網(wǎng)共享。

圖1 分層式網(wǎng)絡(luò)安全架構(gòu)圖Fig.1 Layered network security architecture

當(dāng)前網(wǎng)絡(luò)安全防護(hù)體系在防護(hù)個(gè)人主機(jī)方面也存在較大不足，以高校為例，各個(gè)高校目前都有構(gòu)建安全防護(hù)體系，但學(xué)校師生個(gè)人電腦眾多，上網(wǎng)環(huán)境變換多樣，有部分師生的個(gè)人電腦沒有任何防護(hù)，這些主機(jī)一般很少列入定期的安全檢測(cè)對(duì)象，這些電腦流動(dòng)性也較大，容易被植入木馬，感染病毒，被當(dāng)成肉雞進(jìn)而危脅到整個(gè)學(xué)校的網(wǎng)絡(luò)安全。而當(dāng)前網(wǎng)絡(luò)防護(hù)體系對(duì)這一塊的檢測(cè)管理較弱。

隨著信息技術(shù)的快速發(fā)展，信息系統(tǒng)級(jí)軟件開發(fā)難度在不斷降低，各種開源模板層出不窮，普通開發(fā)者亦可完成，如高校中使用較多的虛擬仿真系統(tǒng)，因其專業(yè)性，多數(shù)為小公司研發(fā)，研發(fā)流程不是特別規(guī)范。各個(gè)企事業(yè)單位研發(fā)購買的系統(tǒng)有部分來源于一些中小型軟件公司，這些公司在編程規(guī)范、代碼審計(jì)等方面可能存在一些不足，系統(tǒng)引用的開源庫也較多，即使系統(tǒng)上線時(shí)能夠通過安全審核，但系統(tǒng)運(yùn)行一段時(shí)間后，可能會(huì)有各種漏洞暴露，從而影響所有信息系統(tǒng)的安全運(yùn)行。

7 基于反饋式的實(shí)時(shí)網(wǎng)絡(luò)防護(hù)體系

在信號(hào)與系統(tǒng)領(lǐng)域中，系統(tǒng)設(shè)計(jì)一般會(huì)引入反饋機(jī)制[6]，用以動(dòng)態(tài)調(diào)整以優(yōu)化結(jié)果[7]，基于這種反饋機(jī)制，本文提出一種基于信息流反饋的網(wǎng)絡(luò)安全防護(hù)體系。帶有反饋機(jī)制的防護(hù)體系架構(gòu)能夠使得各個(gè)防護(hù)層級(jí)安全設(shè)備實(shí)時(shí)獲取攻擊行為、攻擊規(guī)則特征，共同更新維護(hù)同一個(gè)信息安全漏洞庫，彌補(bǔ)各個(gè)版本各個(gè)防護(hù)系統(tǒng)之間的防護(hù)差異性、弱點(diǎn)性，構(gòu)成防護(hù)體系的閉環(huán)系統(tǒng)，從而更加有效地防御各種威脅。

7.1 單向傳輸?shù)男畔⒎答仚C(jī)制

為了保證各級(jí)防護(hù)裝備、各級(jí)防護(hù)系統(tǒng)的安全性，在傳輸反饋的安全信息流時(shí)，采用單向的光纖收發(fā)設(shè)備用以傳輸信號(hào)[8]，且在傳輸層采用系統(tǒng)開銷少、無連接的UDP協(xié)議，即將信息傳輸出去即可，避免任何可能的雙向數(shù)據(jù)傳輸。采用單向傳輸機(jī)制可以確保安全設(shè)備只傳輸安全信息但不共享其他信息。

7.2 實(shí)時(shí)共享安全信息庫

構(gòu)建反饋式網(wǎng)絡(luò)縱深防護(hù)體系，通過共享實(shí)時(shí)的攻擊行為特征，保證部署的安全設(shè)備共享攻擊特征。如當(dāng)攻擊行為突破防火墻、IPS設(shè)備等網(wǎng)絡(luò)安全設(shè)備進(jìn)入應(yīng)用系統(tǒng)層面的網(wǎng)站群時(shí)，網(wǎng)站群將檢測(cè)到的攻擊行為的特征如IP地址等通過光纖單向傳輸至防火墻、IPS設(shè)備，以此讓防火墻、IPS設(shè)備等被突破的安全設(shè)備更新規(guī)則，加強(qiáng)防護(hù)。

7.3 動(dòng)態(tài)聯(lián)動(dòng)機(jī)制

通過單向傳輸?shù)男畔⒎答仚C(jī)制，實(shí)現(xiàn)了后端設(shè)備如網(wǎng)站群等安全規(guī)則的實(shí)時(shí)前移，增強(qiáng)了第一道防護(hù)設(shè)備如WAF、IPS等的防護(hù)阻斷能力，實(shí)現(xiàn)聯(lián)動(dòng)防護(hù)機(jī)制。如圖2所示為反饋式防護(hù)網(wǎng)絡(luò)體系架構(gòu)圖。

圖2 反饋式網(wǎng)絡(luò)安全架構(gòu)圖Fig.2 Feedback network security architecture

8 結(jié)語

本文針對(duì)當(dāng)前網(wǎng)絡(luò)防護(hù)體系設(shè)備眾多、廠家眾多且無法形成有效合力，易于被黑客各個(gè)擊破的問題，提出了反饋式的網(wǎng)絡(luò)防護(hù)體系，通過定向傳輸，共享安全信息，實(shí)現(xiàn)整個(gè)安全設(shè)備共享安全防護(hù)信息，以此系統(tǒng)性構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)網(wǎng)絡(luò)，提升防護(hù)效果。

引用

[1] 韓蘭勝,洪帆,駱婷.基于角色的訪問控制中的安全三原則[J].華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版),2006(1):36-38.

[2] 羅樂.網(wǎng)絡(luò)安全分層防護(hù)思路淺解[J].電腦迷,2016(6): 133+112.

[3] 楊軍.基于分區(qū)防護(hù)的現(xiàn)場(chǎng)控制系統(tǒng)信息安全動(dòng)態(tài)防護(hù)研究[D].武漢:華中科技大學(xué),2019.

[4] 張曉陽.海洋環(huán)境信息云平臺(tái)數(shù)據(jù)安全等級(jí)自動(dòng)劃分的研究[D].青島:中國海洋大學(xué),2015.

[5] 應(yīng)力,郭松柏.信息系統(tǒng)(網(wǎng)絡(luò))安全分析方法與評(píng)價(jià)模型[J].計(jì)算機(jī)工程與應(yīng)用,2002(19):51-52.

[6] PETERSON W C,THACKER A,AVERY W L.A Feedback System for Control of an Unstable Process[J].IEEE Transactions on Industrial Electronics&Control Instrumentation,1969,IE CI-16(2):165-171.

[7] YILMA E,OZER M.Delayed Feedback and Detection of Weak Periodic Signals in a Stochastic Hodgkin-Huxley Neuron[J].Physica A:Statistical Mechanics and Its Applications,2013,421:455-462.

[8] 丁慧麗,陳麟.網(wǎng)絡(luò)信息安全單向傳輸系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)安全,2010(3):47-49.