摘 要：針對商用廣譜網(wǎng)絡安防設備安全漏洞難以實現(xiàn)自我感知與影響評估，以及廠家間技術壁壘阻礙網(wǎng)絡防御效能快速聚合等問題，圍繞用戶信息交互的規(guī)程、動作、時機以及表象特征，提出了一種基于用戶信息生態(tài)環(huán)境、緊密貼合業(yè)務特點的精確網(wǎng)絡防御方法，通過不斷地動態(tài)循環(huán)，細粒度、多視角、持續(xù)化地對安全威脅實施動態(tài)檢測、實時分析，自動適應網(wǎng)絡變化和安全威脅，不斷優(yōu)化自身安全防御機制，為后續(xù)網(wǎng)絡安全防護系統(tǒng)建設、優(yōu)化提供參考和借鑒。

關鍵詞：網(wǎng)絡安防設備；用戶生態(tài)；自適應；網(wǎng)絡防御；安全漏洞；架構(gòu)設計

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2095-1302（2024）09-00-03

DOI：10.16667/j.issn.2095-1302.2024.09.021

0 引 言

隨著互聯(lián)網(wǎng)的不斷發(fā)展，各種網(wǎng)絡安全事件頻發(fā)，網(wǎng)絡攻擊手段多變。網(wǎng)絡攻擊者常常根據(jù)網(wǎng)絡信息系統(tǒng)的環(huán)境與業(yè)務特征，利用拉長攻擊時間跨度、定制專項攻擊武器、橫縱多級反復跳轉(zhuǎn)等方法進行網(wǎng)絡攻擊，給網(wǎng)絡運維管理者帶來了極大的挑戰(zhàn)[1]。為有效降低對網(wǎng)絡安防運維人員技能儲備的依賴以及其工作強度，使得對網(wǎng)絡攻擊行為的感知識別更加簡單便捷、處置加固更加精準高效，迫切需要探索出

一種自適應網(wǎng)絡信息生態(tài)的精確網(wǎng)絡防御方法。

1 網(wǎng)絡用戶安全生態(tài)環(huán)境現(xiàn)狀

網(wǎng)絡安全生態(tài)環(huán)境包括網(wǎng)絡用戶硬件環(huán)境、軟件環(huán)境、防御環(huán)境、技術儲備、人員素質(zhì)等，這些因素相輔相成、相互制約，構(gòu)成了網(wǎng)絡安全防御的整體環(huán)境態(tài)勢[2]。目前，網(wǎng)絡用戶對網(wǎng)絡安全生態(tài)建設方面都十分重視，網(wǎng)絡生態(tài)環(huán)境需要滿足更高的網(wǎng)絡安全要求，以有效應對網(wǎng)絡安全風險。還有不少網(wǎng)絡用戶存在以下問題需要解決：

（1）網(wǎng)絡用戶一般采用邊界隔離、數(shù)據(jù)加密、網(wǎng)絡威脅監(jiān)測與接入控制等方式進行網(wǎng)絡安全防范，但計算終端安全檢測及防護體系的傳統(tǒng)建設思路存在手段單一、時效性差等問題。

（2）網(wǎng)絡用戶信息系統(tǒng)程序的頂層安全設計不充分、開發(fā)過程管控不細致、功能代碼編寫不規(guī)范等情況常有發(fā)生，使得信息系統(tǒng)原生安全隱患多，易被攻擊利用。

（3）業(yè)務日常交互內(nèi)容多、體量大，同時還與指揮、運維、安管等信息交織并存，當攻擊行為發(fā)生時，難以快速準確地篩選、定位、追蹤、追溯威脅來源，應急處置效率低下。

（4）目前網(wǎng)絡安全防范設備廠家對于自身產(chǎn)品的設計缺陷往往是根據(jù)用戶的反饋進行彌補或修正的，缺乏主動挖掘自身產(chǎn)品安全漏洞的內(nèi)驅(qū)動力或資源配置，而這些漏洞一旦被攻擊方發(fā)現(xiàn)并加以利用，將對用戶造成無法估量的

危害。

（5）網(wǎng)絡運維人員能力參差不齊，使得各類安防策略在終端側(cè)的落實不完整、易走樣，安全管理實施不準確、難細致。當威脅發(fā)生時，存在極大可能無法準確應對。

因此，僅依靠傳統(tǒng)廣譜的網(wǎng)絡安防做法不足以適配網(wǎng)絡用戶信息安全交互的需求，必須結(jié)合自身信息生態(tài)環(huán)境，創(chuàng)新性地研究出一種可及時發(fā)現(xiàn)異常、快捷判斷風險、高效消除隱患的精確網(wǎng)絡防御方法。

2 用戶網(wǎng)絡安全防御信息生態(tài)建立原則

網(wǎng)絡防御應當堅持對各類信息系統(tǒng)的信息進行多維度綜合考量，通過將業(yè)務信息的封裝格式、交互特征以及發(fā)生條件等關鍵判決條件有機結(jié)合，構(gòu)建系統(tǒng)化的網(wǎng)絡防御原則，從而指導工作。從職能屬性、安全需求、部署運用等多維度綜合考量，通過將業(yè)務信息的封裝格式、交互特征以及發(fā)生條件等關鍵判決條件有機結(jié)合，充分發(fā)揮和利用信息交互過程中的“矢量”特征[3]，達到阻斷一切不合法、不合規(guī)信息來源，實現(xiàn)控制攻擊“線”的防護目標。同時，將可能的攻擊渠道和影響壓縮至“點”后，利用業(yè)務系統(tǒng)的冗余備份來對抗“點”的隱形風險，最終實現(xiàn)整個網(wǎng)絡系統(tǒng)的防護

愿景。

2.1 分類建立防御策略

網(wǎng)絡防御的基礎在于分析自身生態(tài)信息系統(tǒng)，關鍵在于把握自身生態(tài)信息系統(tǒng)特點，綜合分析網(wǎng)絡用戶信息系統(tǒng)的職能屬性、安全需求以及部署運用等實際情況。一般信息系統(tǒng)可劃分為3大類，并采取對應的防御策略。一是承擔用戶核心業(yè)務的系統(tǒng)終端。該類終端的操控系統(tǒng)具有種類多樣、技術代差明顯、對安全需求強烈等特點的同時，對防護手段的兼容性要求也比較高，故采用對I/O信息全方位立體監(jiān)控、多維度精確甄別、無差錯嚴格控制的防御思路。二是承擔指揮管理和系統(tǒng)運維類的系統(tǒng)終端。該類終端多為PC，可替代性強、安全需求中等，故采用全面多手段綜合防護、邊界誘敵顯跡、內(nèi)部強化安防抗毀手段等對抗性防御思路。三是承擔音頻通話、視頻會議以及安全監(jiān)控類的系統(tǒng)終端。該類終端安全需求低，故采用平時強監(jiān)管、攻擊時主動“斷臂求生”的自斷式防御思路[4]。

2.2 策略統(tǒng)一編排

目前很多網(wǎng)絡設備布防是根據(jù)個體設備開展網(wǎng)絡防護，沒有形成統(tǒng)一的總體策略[5]，網(wǎng)絡安全防控有效性不強。因此必須實現(xiàn)整體策略編排，使得對安全事件的響應動作并行聯(lián)動。日常工作中，該設備根據(jù)人為設置的安全防御策略，實時接收威脅行為偵測或其他安防設備通報的安全預警信息，同步執(zhí)行真實性校驗、證據(jù)固化、威脅處置以及信息上報等動作。當收到威脅行為偵測設備的告警信息時，安全策略編排與自動響應設備將實時提取威脅特征信息，并立即在系統(tǒng)防火墻、網(wǎng)絡訪問控制列表等網(wǎng)絡防御設備中實施攔截阻斷，封存該時段流量，通報運維人員開展人工

審查[6]。

2.3 立體監(jiān)控、精準甄別

威脅行為偵測設備主要被部署并應用于核心系統(tǒng)防護域，通過物理分路形式全方位監(jiān)控核心防護域內(nèi)各類信息的交互過程，并根據(jù)信息的生成條件、封裝的協(xié)議格式、傳遞的特征表現(xiàn)等全方位立體判斷相關信息是否合法合規(guī)，進而構(gòu)建對非法、非規(guī)流量的及時感知、精準甄別、高效處置的一體化防護系統(tǒng)；在采用旁路部署安防設備建設思路的同時，部署一批全流量記錄、安全策略編排與自動響應，以及可準確甄別系統(tǒng)核心業(yè)務信息真實性的威脅行為偵測

設備[7]。

2.4 查漏堵缺、強基固體

為堵住攻擊者通過信息系統(tǒng)源頭或在傳遞運輸過程中預先植入攻擊載荷而實施迂回攻擊的路徑，通過將用戶系統(tǒng)安全防護的相關需求、條件約束及檢驗評估方式深度融合進安防系統(tǒng)的規(guī)劃設計、建設論證、研制測試以及部署應用等各個環(huán)節(jié)的運行機制中去，消除業(yè)務與安全“兩層皮”現(xiàn)象，實現(xiàn)業(yè)務為安全提供判決信息、安全為業(yè)務保駕護航的終極目標。

3 網(wǎng)絡安全防御架構(gòu)設計

與傳統(tǒng)安全防護解決方案中追求“面面俱到”的設計思路不同[8]，基于用戶生態(tài)的精確安防模型主要需要解決核心業(yè)務系統(tǒng)與典型安防手段間適配度低、安防運維難度高、消耗大，以及未知威脅難判別、易疏漏等問題[9]，故在本安防模型的設計中將關注焦點對準信息交互“線”，突出“隔網(wǎng)限流、控線保安”的精確防護指導思路。在模型的功能劃分上，按照職責界面不同切分為威脅行為偵測、安全編排與自動響應以及處置溯源共3個功能模塊。圖1為用戶系統(tǒng)安全防護模型。

該模型通過威脅行為偵測模塊將全流量探針、磁盤陣列、防病毒、入侵檢測、安全審計等安防設備采集到的各聯(lián)網(wǎng)終端工作狀態(tài)和進出流量與自身業(yè)務特征綜合起來進行深度分析，從而進行實時威脅研判，找出攻擊特征后將其提交至安全編排與自動響應模塊。安全編排與自動響應模塊識別威脅流量模塊傳遞來的攻擊信息，并根據(jù)信息內(nèi)容快速匹配到預置的安全事件策略案例，之后根據(jù)案例內(nèi)的預置流程自動完成對攻擊事件的處置工作。安全事件處置溯源模塊對安全編排與自動響應模塊所發(fā)送的指令進行及時應答，包括但不限于核對、查殺、阻斷、舍棄等威脅應對操作[10]。

精確網(wǎng)絡防御方法的本質(zhì)是通過充分認清并利用好自身信息交互生態(tài)特點，迅速提高甄別網(wǎng)絡攻擊的準確率和執(zhí)行效率，降低安防崗位技能需求和未知攻擊風險。因此，在實施過程中要注意把握好以下幾個關鍵動作：

（1）自身業(yè)務特征梳理。特征梳理，即對網(wǎng)絡信息交互需求和特征的自我認清，它是能否有效貫徹精確網(wǎng)絡防御機制的前提條件。實施過程中必須理解和規(guī)范每一臺信息系統(tǒng)的職責用途，并根據(jù)信息交互對象和內(nèi)容加以嚴格區(qū)分限制。在該環(huán)節(jié)可向設備研制廠家申請獲取支持，并通過實踐進行檢驗。

（2）威脅甄別模型構(gòu)建。攻擊建模，即對網(wǎng)絡信息交互對象、內(nèi)容、過程進行綜合分析，它是能否準確發(fā)現(xiàn)網(wǎng)絡攻擊行為的理論基礎。實施過程中必須綜合考慮自身業(yè)務中每一類流量產(chǎn)生的內(nèi)部、外部因素，包括但不限于時機、場合、對象、內(nèi)容、形式等，進而合理構(gòu)建威脅甄別模型。模型算法保密性要求高，更適合自研完成。

（3）聯(lián)動處置時延壓減。時延壓減，即利用多種防御手

段，對網(wǎng)絡攻擊同步開展精準控制、溯源查證及安全加固，它是提升攻擊處置效率的根本保證。實施過程中必須以快、準、穩(wěn)為安防策略設計與執(zhí)行的必要前置條件。同時在設備選型上也要求選擇與現(xiàn)有安全防護手段兼容性好、耦合度高的品牌。

4 結(jié) 語

本文針對通信網(wǎng)絡面臨的現(xiàn)實安全威脅，明確了網(wǎng)絡安全防護的能力需求。相較于傳統(tǒng)的邊界隔離、縱深防御的廣譜網(wǎng)絡安防構(gòu)建方法，本文方法是在充分理解和消化了網(wǎng)絡生態(tài)特點的基礎上設計出來的，由于與用戶信息生態(tài)存在強耦合關系，故可以對信息系統(tǒng)的安全防御效能發(fā)揮起到極大促進作用：一是轉(zhuǎn)變防御思路，從如何甄別和抵御威脅轉(zhuǎn)變?yōu)槌浞终J知自己，以自身業(yè)務特點抵消強敵攻擊優(yōu)勢，從而使得識別判斷非法、非規(guī)流量的方法變得簡單精準，更加容易學習理解，有效降低錯判和誤判發(fā)生率。二是合理分割信息系統(tǒng)區(qū)域，精細管控信息交互流程，使得對網(wǎng)絡攻擊的生存空間壓縮明顯，特別是采用多維立體威脅偵測識別手段的核心網(wǎng)絡防御陣地，其信息系統(tǒng)的安全需求可獲得極大滿足。三是通過視情引入安全策略編排與自動響應手段，完成了對可預知威脅隱患的自動化處置能力的構(gòu)建，解決了安防工作操作程序不規(guī)范、資源編配不充足、技術壁壘難打破等問題，異常處置和攻擊溯源的效率得到全面提升[11]，有效提高了整個網(wǎng)絡的安全基線，為網(wǎng)絡安全防護系統(tǒng)建設提供參考和借鑒。

參考文獻

[1]佟林杰，劉博. 信息生態(tài)視域下政府數(shù)據(jù)開放中的數(shù)據(jù)安全和隱私保護問題研究[J]. 圖書館理論與實踐，2020，42（5）：

67-72.

[2]李敏，李煒，于仕，等.基于大數(shù)據(jù)分析和未知威脅感知的電網(wǎng)企業(yè)信息安全主動防御體系研究[J].科技廣場，2016，29（8）：82-85.

[3]羅敏，陳洋.基于等保2.0高效網(wǎng)絡安全主動防御體系建設探析

[J].信息與電腦，2021，33（21）： 197-199.

[4]耿磊.基于“互聯(lián)網(wǎng)+”環(huán)境下的網(wǎng)絡安全防御技術分析[J].網(wǎng)絡安全技術與應用，2022，22（12）：18-19.

[5]宋悅.人工智能技術在網(wǎng)絡安全防御中的應用[J].科技風，2023，36（6）：65-67.

[6]張超.基于演化博弈的網(wǎng)絡安全防御決策方法研究[J].網(wǎng)絡安全技術與應用，2023，23（3）：13-15.

[7]衣娜.云計算環(huán)境中計算機網(wǎng)絡安全防御系統(tǒng)設計探討[J].網(wǎng)絡安全和信息化，2023，8（4）：131-133.

[8]劉永輝，胡巧婕，趙麗.基于蜜罐技術的局域網(wǎng)安全防御系統(tǒng)設計[J].電子設計工程，2022，30（14）：68-72.

[9]林志達，張華兵，曹小明，等.基于堡壘機技術的企業(yè)信息網(wǎng)絡安全防護模型[J].電子設計工程，2022，30（18）：179-183.

[10]解春升.計算機網(wǎng)絡安全技術在網(wǎng)絡安全維護中的防范研究[J].網(wǎng)絡安全技術與應用，2022，22（8）：162-164.

[11]謝遠福.入侵檢測技術在計算機網(wǎng)絡安全維護中的應用[J].信息與電腦（理論版），2022，34（12）：225-227.

收稿日期：2023-07-17 修回日期：2023-08-15

作者簡介：邵宇航（1984—），男，寧夏賀蘭人，工程師，主要研究方向為通信系統(tǒng)與網(wǎng)絡設計。