1、邮电设计技术/2023/08收稿日期:2023-06-121 网络空间安全态势越发严峻随着人工智能、云计算、物联网、大数据、移动互联网和区块链等技术广泛应用和融合发展,网络空间已经逐步发展成为继陆、海、空、天之后的第五大战略空间。新技术的应用带来新一轮产业变革,同时全球性的网络安全威胁和新型网络犯罪活动也日益突出。国内外大规模安全事件愈演愈烈,类似 WannaCry、Struts2等安全事件在行业内直接或间接造成了巨额的经济损失。近年来影响较大的几件安全攻击事件如表1所示。从表1中的重大安全事件来看,大至国家,小到企业乃至个人,都需要树立新时代的网络安全观,共同参与推动网络空间安全的发展,关注
2、网络安全态势,共建网络安全生态。随着不断更迭的攻击手法,攻击方和防御方始终处于不对等的状态,从开始的简单攻击工具到后续的自动化工具到现在的武器库,攻击者的攻击也从单兵作战发展至团体行动,越来越多的APT组织被发现与公布。为了应对错综复杂的网络安全环境及不断发展的攻击手法,急需建立全方位网络全方位网络信息安全防护体系研究Research on Comprehensive NetworkInformation Security Protection System关键词:安全态势;全方位;网络信息安全防护体系doi:10.12045/j.issn.1007-3043.2023.08.007文章编号:
3、1007-3043(2023)08-0029-04中图分类号:TN915.08文献标识码:A开放科学(资源服务)标识码(OSID):摘要:近年来,全球性的网络安全威胁和新型网络犯罪日益猖獗,APT攻击、勒索病毒、挖矿病毒、黑色产业链等问题凸显,造成十分巨大的社会经济损失。通过回顾分析近年来的安全事件,对安全攻击的思路和步骤进行了解析,提出并详细介绍了如何建立全方位网络安全防护体系。Abstract:In recent years,the global cybersecurity threats and new types of cybercrime are also becoming incr
4、easingly rampant,issuessuch as APT attacks,ransomware viruses,mining viruses,and dark industry chains have become prominent,which cause sig-nificant socio-economic losses.By reviewing and analyzing recent security incidents,the ideas and steps of security attacksare analyzed,and then it proposes and
5、 introduces in detail how to establish a comprehensive network security protection sys-tem.Keywords:Security situation;Comprehensive;Network information security protection system王娜1,王新2,杨飞2,李长连2,李发财3(1.中国联合网络通信集团有限公司,北京 100033;2.中讯邮电咨询设计院有限公司,北京 100048;3.中国联通智网创新中心,北京 100046)Wang Na1,Wang Xin2,Yang
6、 Fei2,Li Changlian2,Li Facai3(1.China United Network Communications Group Co.,Ltd.,Beijing 100033,China;2.China Information Technology Designing&Consulting Institute Co.,Ltd.,Beijing 100048,China;2.Intelligent Network&InnovationCenter of China Unicom,Beijing 100046,China)王娜,王新,杨飞,李长连,李发财全方位网络信息安全防护体
7、系研究安全管理技术Security Management Technology引用格式:王娜,王新,杨飞,等.全方位网络信息安全防护体系研究 J.邮电设计技术,2023(8):29-32.292023/08/DTPT信息安全防护体系。2 安全攻击思路解析所谓知己知彼,百战不殆,要了解如何进行网络攻击防护,需清楚黑客如何进行网络攻击。常见黑客攻击线路如图1所示。对常见的黑客攻击思路和步骤进行分析,发现一般攻击分为信息收集、漏洞分析、渗透攻击和后渗透等步骤。步骤1:信息收集。攻击前准备阶段,进行端口扫描、IP发现、域名发现、互联网信息收集、服务器信息收集、网站关键信息收集、情报收集等。步骤2:漏洞
8、分析。进行漏洞测试、漏洞验证、漏洞研究,选择攻击方式。步骤3:渗透攻击。搭建隐秘通道、漏洞攻击、木马植入、入侵内网、多点潜伏、内网横向/纵向渗透攻击。步骤4:后渗透阶段。获取敏感信息,清理战场痕迹、应用系统还原。通过对以上攻击思路和步骤进行总结和分析,结合近年来收集到的被攻击的案例,可归纳攻击成功的最关键原因在于2点:系统关键信息甚至入口信息被泄露和缺少全方位的网络安全防护体系。a)系统关键信息甚至入口信息被泄露。最常见也是效果最佳的攻击方法是“社会工程学”攻击。社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。b)缺少全方位的网络安全防
9、护体系。全方位的网络安全防护体系即有效的安全防护能力,可分为安全运营管理和防护技术设施2个方面,二者缺一不可。例如,尽管搭建了全套的防护设施和安全管理平台,但是在日常运行中无人运营、无人管理、无人监测,防护设施上的安全策略配置如同空设,那么防护能力等同于零。同样,如果人员安全意识够高,却无行之有效的防护手段和技术设施,那么就好比巧妇难为无米之炊。3 建立全方位的网络安全防护体系建立全方位的网络安全防护体系需在安全运营管理和防护技术设施2个方面着力,同时加强安全技术人员的预警和处置的能力。年份2016年2017年2018年2019年2020年2021年2022年安全攻击事件简介12月 17日乌克
10、兰再次发生大规模的停电事件,持续30 min6月韩国多家银行遭遇DDoS攻击勒索比特币3月7日知名加密货币交易平台币安遭遇黑客攻击至少被卷走7亿美元7月孟加拉国、印度、斯里兰卡和吉尔吉斯斯坦等地银行被Silence黑客攻击,据称窃取了数百万美元2月丹麦税收网站泄露了超过120万丹麦纳税人的详细信息。据悉,黑客在用户更新账户详细信息时,通过恶意软件将CPR号码添加到URL中以收集用户信息5月受勒索软件攻击影响,美国最大燃油运输管道商科洛尼尔(Colonial)被迫暂停燃料输送业务,并导致美国政府于次日宣布进入国家紧急状态。向勒索软件组织交付赎金后,科洛尼尔公司从 13 日开始逐步恢复管道运营4月
11、万豪国际披露检测到数据泄露事件,声明这次事件影响了大约520万酒店客人表1近年来安全态势回顾图1常见黑客攻击线路信息收集横向渗透IP发现人力资源情报收集漏洞研究权限维持权限提升清理痕迹后渗透互联网信息收集服务器信息收集域名发现端口扫描漏洞分析攻击途径绕过防御机制获取敏感信息横向渗透漏洞测试网站关键信息收集漏洞验证渗透攻击王娜,王新,杨飞,李长连,李发财全方位网络信息安全防护体系研究安全管理技术Security Management Technology30邮电设计技术/2023/083.1 建立自查自检和整改的常态化机制a)敏感信息清理。(a)对互联网中暴露的敏感信息进行清理:重点清理百度文库
12、、中国知网数据库等互联网上暴露的如技术方案、网络拓扑图、系统源代码、VPN/邮箱账号名口令等敏感信息,切断攻击方情报获取渠道。(b)严禁本地或系统上明文存储敏感信息:全面清理在服务器、终端、网盘或邮箱中明文存储的敏感信息。b)网络边界梳理。对互联网、骨干网、数据中心、第三方专线内/外网网络边界进行梳理,形成网络边界台账。c)互联网资产摸底。梳理和发现互联网资产,对暴露在互联网上的设备、应用、数据库等网络资产进行梳理,建立台账,并进行排查评估。d)内网资产摸底。全面开展内网信息系统、工控系统、工业视频系统的资产排查工作,明确资产归属,摸清资产情况,形成资产台账。对废弃、无主系统进行下线处理。e)
13、全风险自查和整改。根据资产摸底情况,通过漏洞扫描、弱口令检测、渗透测试、安全配置检查等方式完成安全风险自查工作,针对发现的问题隐患进行全面整改。建立并维护风险台账,对于存在高危风险的资产进行下线处理。对已发现的漏洞进行加固整改,要能做到一点发现,全面整改;并且能够举一反三,对类似隐患和风险问题进行排查和修补。f)收敛网络暴露面。(a)互联网出口管理:以最小化原则做好互联网收敛工作,关闭不必要的互联网接口、主机和应用。(b)有效管控内、外网入口:对具备公众上互联网的场所应对接入内网的连接进行严格管理。(c)终端统一管理:办公计算机必预安装安全管理和防病毒软件,执行统一的补丁自动分发,弱口令检查等
14、基线安全策略;办公网内终端(含移动终站、网络打印机、网络摄像头等)必须无死角开启网络准入控制,启用有效安全防护策略。(d)梳理和清理VPN:清理弱密码和长期不用的VPN账号。(e)第三方网络接入管理:对第三方机构的网络接入应部署防火墙、网闸、光闸等安全隔离措施,同时做好白名单控制策略。(f)供应链网络安全管理:筛查为供应商、维护厂商开启的VPN、远程桌面、SSH、系统特权账号密码,应尽可能长期关闭远程接入的服务和账号。g)对重点系统加强防护策略和措施。(a)重点应用主机防护:在重点应用主机上部署主机安全防护系统,配置安全防护策略,保护主机免受漏洞攻击、暴力破解和远程被控。(b)对堡垒机和域控服
15、务器的防护:使用多重身份认证技术如强身份验证,通过电话、短信或移动应用进行认证。堡垒机必须经过双因素认证,域控服务器必须及时加固及防护。(c)对集权类管理平台的防护:如云管平台、网管、流量优化等系统应及时完成安全加固,杜绝弱口令。(d)对移动端 APP 的安全管理:全面梳理移动APP(含微信公众号),落实责任主体,对移动APP进行安全检测,发现问题及时整改,责任主体不清和无法完成整改的应做下线处理。(e)强化重要应用特权用户安全管理:实现权限最小化、双因素认证、协议加密、访问地址限制、操作行为审计等要求。(f)数据库权限管理:杜绝数据库弱口令,对数据访问实现字段级的授权鉴权控制和全程审计。(g
16、)身份认证和应用权限管控:已完成与统一身份系统集成的系统应彻底关闭原有认证通道,管理员及关键业务操作采用双因素认证。用户权限按最小化原则配置,关闭非必要系统功能。未完成与统一身份系统集成的,应采取有效措施,达到同等安全标准。(h)工控系统安全防护:建立工控系统防护系统,包括精确识别扫描攻击、DoS/DDoS、SQL注入、蠕虫病毒、木马、间谍软件等传统攻击行为。强化运行保障人员、外来人员和设备的安全管理,杜绝敏感信息泄露或病毒、木马、后门植入等安全事件的发生。3.2 部署安全技术措施,加强纵深防御能力a)部署主动发现检测系统。在网络出口及重要系统域边界部署检测系统包括不限于全流量监测、IPS(I
17、DS)、WAF、EDR、上网行为审计等技术设施。b)部署安全态势感知能力。利用所有可以对接的主动发现监测系统和技术设施,对主动发现的攻击行为进行记录,并对攻击入侵证据进行留存和分析,有效实现定位攻击源或提前预警防御能力。c)实现全局联动机制。攻击事件统一上报和分析,处置策略统一下发和部署。能够做到共享恶意IP王娜,王新,杨飞,李长连,李发财全方位网络信息安全防护体系研究安全管理技术Security Management Technology312023/08/DTPT信息并全局处置,实现攻击IP的一点监测、全局阻断。d)采用异构多重防护。如果防护设施、防护手段是同一厂家或同一类型的,那么出现0
18、Day漏洞或被攻击方研究出一种破解方式就一通百通了。因此要通过部署设备异构能力,尽量采用多种品牌,或在不同区域设置不同的品牌,实施多重防护策略。e)科学部署欺骗防御系统。蜜罐、沙箱等欺骗防御系统能够起到吸引攻击,进行证据收集的作用,但是要慎用,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。3.3 提升技术技能,加强预警与处置能力a)熟练掌握安全防护策略。(a)熟悉主机安全加固方法,结合实时监测的数据,根据主机情况及时更改防护策略和配置。(b)熟练掌握防火墙配置,动态调整访问控制策略。(c)灵活使用IPS(IDS)、WAF系统,动态调整监测和防护策略。b
19、)熟悉监测预警方法。(a)熟练利用全流量监测、EDR、蜜罐等工具,能够识别出Webshell攻击、漏洞攻击、暴力破解、异常登录等攻击事件。(b)熟练使用防火墙等拦截手段,能查看拦截恶意IP的攻击行为。(c)分析告警类型,研判攻击途径。(d)能够从审计系统等其他安全设备中分析出攻击事件。c)熟悉掌握应急处置方法。(a)能够准确找到受控设备,在不对业务造成较大影响下断开网络连接。(b)能够在防火墙、IPS(IDS)、WAF、APT设备上快速加载恶意IP过滤策略,及时阻断攻击连接。(c)能够快速导出系统日志、保存攻击证据。(d)熟悉应急预案,能够快速有效处置安全事件。4 结束语本文通过回顾分析近年来
20、的安全态势,对安全攻击的思路和步骤进行了解析,并详细介绍了如何建立全方位网络安全防护体系。首先,需建立自查自检和整改的常态化机制,从敏感信息清理、网络边界梳理、资产摸底、加强重点系统防护和提高安全意识等方面进行阐述。然后,部署主动发现检测系统和欺骗防御系统,加强态势感知能力和异构多重防护能力,实现全局联动机制,增强整体纵深防御能力。最后,提升安全技术人员的技术技能,加强预警与处置能力,充分应用已部署的安全技术措施。通过建立全方位的网络安全防护体系,可有效应对错综复杂的网络安全环境及不断发展的攻击手法。参考文献:1 郭启全.网络安全法与网络安全等级保护制度培训教程 M.北京:电子工业出版社,20
21、18:3-30.2 郭帆.网络攻防技术与实战:深入理解信息安全防护体系 M.北京:清华大学出版社,2018:6-30.3 科特,王,厄巴彻.网络空间安全防御与态势感知 M.黄晟,安天研究院,译.北京:机械工业出版社,2019:14-17.4 廖寿丰.浅析社会工程学攻击 J.数字通信世界,2019(8):255.5 金莉莎,朱翔,张雅雯.浅析社会工程学中的信息泄漏 J.网络安全技术与应用,2021(2):151-152.6 张硕,吴瑕.社会工程学视角下密码的设置与保管研究 J.智能计算机与应用,2020,10(10):59-64,70.7 于新峰,李岚.互联网时代的网络安全与计算机病毒防范 J.
22、江苏理工学院学报,2014,20(6):42-45,50.8 张兴禹.探讨计算机网络安全与计算机病毒防范 J.科技创新导报,2016,13(34):89-90.9 诸葛建伟,唐勇,韩心慧,等.蜜罐技术研究与应用进展 J.软件学报,2013,24(4):825-842.10 胡爱群,方兰婷,李涛.基于仿生机理的内生安全防御体系研究J.网络与信息安全学报,2021,7(1):11-19.11 门红,姚顺利.安全监控虚拟云安全网络架构研究 J.信息网络安全,2017(3):14-20.12陈军.基于BERT的云蜜罐服务编排方法研究 J.计算机与数字工程,2022,50(9):2042-2047.13
23、周琰,马强.欺骗诱捕技术在气象网络安全攻防对抗场景下的应用 J.气象科技,2023,51(2):208-214.14 石乐义,李阳,马猛飞.蜜罐技术研究新进展 J.电子与信息学报,2019,41(2):498-508.15 贾召鹏,方滨兴,刘潮歌,等.网络欺骗技术综述 J.通信学报,2017,38(12):128-143.16 邬江兴.网络空间拟态防御研究 J.信息安全学报,2016,1(4):1-10.作者简介:王娜,毕业于北京邮电大学,高级工程师,硕士,主要从事网络安全运营工作;王新,毕业于北京航空航天大学,硕士,主要从事网络安全技术方向的研究工作;杨飞,毕业于合肥学院,高级工程师,学士,主要从事网络安全技术的研究工作;李长连,毕业于西北工业大学,高级工程师,主要从事网络安全技术方向的研究工作;李发财,高级工程师,主要从事网络安全前沿领域研究、网络安全产品规划、架构设计等工作。王娜,王新,杨飞,李长连,李发财全方位网络信息安全防护体系研究安全管理技术Security Management Technology32
浙ICP备2021020529号-1 | 浙B2-20240490 
