信息化觀察網(wǎng)

由中國信息協(xié)會主辦，信息化觀察網(wǎng)、國潤互聯(lián)信息技術(shù)研究院、中國信息協(xié)會傳媒中心承辦的首屆中國電子政務安全大會于日前在北京落下帷幕。銳捷網(wǎng)絡安全產(chǎn)品事業(yè)部副總經(jīng)理 任春林受邀出席大會，并發(fā)表了題為《基于“動態(tài)安全”體系的等保2.0方案》的主題演講。

銳捷網(wǎng)絡安全產(chǎn)品事業(yè)部副總經(jīng)理任春林

以下是大會現(xiàn)場演講內(nèi)容實錄：

截止到2018年12月份，我國共有政府的相關(guān)網(wǎng)站系統(tǒng)達到17000多個，接近18000個。我國在線的政務系統(tǒng)用戶規(guī)模達到3.94億，占總體網(wǎng)民的47%。我們的政務系統(tǒng)承載著我國億萬公民的信息，包括各個企事業(yè)單位相關(guān)數(shù)據(jù)，從信息安全層面來講重要程度不言而喻。政府系統(tǒng)在當前網(wǎng)絡形勢下，面臨著很大的威脅和挑戰(zhàn)，比如說黑客的攻擊，比如說信息泄露、撞庫拖庫、釣魚網(wǎng)站等等。

2017年5月份勒索病毒出現(xiàn)以后，安全威脅愈演愈烈。數(shù)據(jù)顯示，2018年總共有430余萬臺的終端被勒索病毒攻擊，政府單位的終端被攻擊的總數(shù)，占總數(shù)21%。因此，政府單位或者說監(jiān)管機構(gòu)，對行業(yè)也提出了各種各樣的要求，或者是規(guī)范。比如說2015年2662號文，2017年1529號文。如果提到政策要求，提到標準，就離不開《網(wǎng)絡安全法》?！毒W(wǎng)絡安全法》在法律層面，把網(wǎng)絡安全問題進行了強化，提到《網(wǎng)絡安全法》就離不開等保，今年等保2.05月13號發(fā)布，實際上是5月10號發(fā)布了，公開出來的是5月13號開始，今年12月1號正式實施。等保2.0不僅僅是對傳統(tǒng)的網(wǎng)絡系統(tǒng)做了要求，更增加了覆蓋。同時對各個單位，各個部門，各個機構(gòu)和企業(yè)等等，也加大了覆蓋，這兩個大覆蓋也是等保2.0的重中之重。

等保2.0的方案基于一個中心，三個防御思想，我們的目的希望能夠做到可信、可控、可管，在安全通信網(wǎng)絡部分希望構(gòu)建一個安全的網(wǎng)絡空間架構(gòu)，保障信息傳輸?shù)陌踩?。在區(qū)域邊界部分，我們希望強化網(wǎng)絡安全邊界優(yōu)化訪問控制策略，安全計算環(huán)境，強調(diào)系統(tǒng)及應用安全，加強身份鑒別機制與入侵防范。分析網(wǎng)絡內(nèi)部各種世界，同時定期識別和預警，定期進行漏洞的風險評估。

等保1.0里面，網(wǎng)絡安全分解成安全風險網(wǎng)絡和安全區(qū)域邊界，如果忘了的同仁也可以簡單看一下，紅色字體的部分是2.0新增的部分，綠色的部分是變化，灰色是刪除，這個不細說，下午會有相關(guān)的介紹。

安全通信網(wǎng)絡部分有幾個重點的變化，第一個對邊界完整性檢查提出要求，增加可信驗證的要求，更加不同的網(wǎng)絡區(qū)域的邊界防護。我們以三級為例，安全通信網(wǎng)絡部分用什么設備來滿足。說一個案例，以往在1.0還是2.0建設過程中發(fā)現(xiàn)一個問題，邊界串聯(lián)了大量設備，而且不同的區(qū)域邊界是要重復部署安全產(chǎn)品，導致用戶花費多了，設備的使用率也降低了。銳捷在這塊提供了基于SDN技術(shù)的ServiceChain實現(xiàn)安全資源池化，靈活部署，提高安全設備的復用率?；诓煌瑯I(yè)務，靈活設計流量路徑，哪里需要引流到哪里，也可以基于不同廠商的設備，實現(xiàn)負載均衡。這樣的部署之后改變了傳統(tǒng)的模式，單點故障也降到了最低。

安全區(qū)域邊界部分，1.0的網(wǎng)絡安全劃到網(wǎng)絡安全區(qū)域邊界，在安全區(qū)域邊界這塊，等保2.0里對無線網(wǎng)絡做出來明確的要求，1.0里對這塊涉及的比較少，而且默認的情況下只允許受控的通信，1.0建設過程中，發(fā)現(xiàn)很多用戶在各個邊界防控策略是懸空的，或者說部署了一些策略，但是策略特別不精細，后面也有案例會跟大家介紹一下。而且安全區(qū)域邊界部分，對未知的新興的網(wǎng)絡攻擊行為作出明確的標準要求，能力的要求，垃圾郵件明確在標準里面進行了細化。

舉一個例子，我們在這部分安全區(qū)域邊界部分，在建設過程中，在方案里我們發(fā)現(xiàn)出現(xiàn)問題的時候，我們很難定位到具體的人員，可能我們知道IP地址是什么，但是IP地址對應的是什么，或者出現(xiàn)問題之后，我們很難及時去把它阻斷或者把人找到，然后對設備進行阻斷。銳捷提供了一個組合的方案，態(tài)勢感知平臺結(jié)合SDN，再結(jié)合身份認證機制，目的是當出事之后，我們能快速的用終端，識別到終端是誰，同時依據(jù)終端交換機的端口，能讓端口直接斷掉，每一個交換機的端口都是安全防御的一塊。

另外一個建設的困惑是現(xiàn)階段大家發(fā)現(xiàn)越來越多的挖礦、勒索病毒越來越多，而且變種是不斷出現(xiàn)，今年給兩三百個用戶進行過變種的問題，而且基于特征庫的手段，是滯后于攻擊手段的，如果說沒有特征庫，殺毒軟件或者邊界設備、網(wǎng)關(guān)等等，識別不到病毒或者是攻擊。這種情況下，銳捷提出來一個動態(tài)防御系統(tǒng)的方案，它是不需要依賴于任何特征庫的，它是基于行為的模型來分析。真實的服務器生成大量虛假的動機，正常的業(yè)務只能訪問真實存在的IP，如果說有一個訪問對我們虛擬生產(chǎn)的IP機連接，那就是異常行為。

比如說在會場有好幾個門，左邊這幾個門其實我們現(xiàn)在都是關(guān)閉的，至少會場的人不會從那里進來，如果說一會兒有個人從左邊的門進來了，那他可能不是我們會場的人?；蛘呒依镎拇箝T進來，有一天從窗戶進來了，那可能就是小偷了。行為模式的分析，不用依賴于特征庫，對于行為的分析就發(fā)生攻擊，它的速度特別快，也不依賴于必須進庫之后才能發(fā)現(xiàn)問題。

這是案例，我們在客戶端部署了幾個小時，發(fā)現(xiàn)11萬次的攻擊威脅，針對病毒常見使用的高危端口進行探索，我們登到攻擊源上，這個攻擊源是客戶內(nèi)部服務器，我們登上看了一下，發(fā)現(xiàn)SPOOLSV，這是一個打印進程，用45端口，如果說不進行進一步分析或者說一看是正常的，就不管了。但實際上進一步分析，這個文件存的文件夾是在這個目錄下，這是異常的。

安全計算環(huán)境部分，這是變化過程，因為時間有限，不細說了。等保2.0里取消了根據(jù)記錄數(shù)據(jù)進行分析并形成審計報表，原來1.0里是有強制要求的，包括對漏洞檢測能力的要求。這個過程中，我們也舉一個案例，實際等保建設過程中或者實際安全運維過程中，很多系統(tǒng)無法實現(xiàn)雙因素的認定要求，缺乏統(tǒng)一身份認證管理體系，我們用這個密碼有一個手機驗證，這是比較簡單的認證，我們有的系統(tǒng)都沒法改，或者再加指紋的認證或者虹膜的認證。銳捷提供了基于密碼、短信、APP等多重身份認證。這個過程中不知道系統(tǒng)到底有什么漏洞，不知道漏洞造成什么危害，也不知道有沒有被黑客攻擊，而且重保期間心里是沒底的。

銳捷在這塊提供了全套的安全服務的方案，說一個案例，這個客戶在護網(wǎng)過程中，從互聯(lián)網(wǎng)上給客戶做了滲透測試，發(fā)現(xiàn)用戶網(wǎng)站存在漏洞，我們?nèi)肭值焦芾砗笈_，通過管理后臺再入侵到數(shù)據(jù)庫，進一步可以控制數(shù)據(jù)庫，整個服務器。通過互聯(lián)網(wǎng)登陸內(nèi)網(wǎng)，發(fā)現(xiàn)很多服務器存在漏洞，而且從右邊圖可以看出來，管理員可以通過密碼破解出來，而且可以顯示出來，因為有漏洞，才會把英文名字顯示出來。

再進一步發(fā)現(xiàn)內(nèi)網(wǎng)有很多服務器上中了大量病毒，而且時間是3月份就中了，windows目錄下有很多隨機命名的文件，修改了系統(tǒng)的服務，系統(tǒng)的注冊表，系統(tǒng)的啟動項等等，普通殺毒軟件殺不了，必須是專門清除的方式才能清除掉。

最后是安全管理中心，明確了三權(quán)分立的標準，特定的管理區(qū)域，集中的管控各類安全設備，我們在等保建設過程中，更多是在乎安全問題，但是對于用戶的業(yè)務問題、網(wǎng)絡問題，可能關(guān)注比較少，我們就是為了合規(guī)，幫助用戶合規(guī)，但實際上我們在這個過程中，除了合規(guī)之外，應該為用戶的業(yè)務或者運維方面去考慮。銳捷運維與安全運維統(tǒng)一管理平臺，可以在運維同時，就能發(fā)現(xiàn)安全問題出現(xiàn)在哪，比如清晰展示出來哪個設備有什么漏洞，正在攻擊，這樣就能把安全和運維結(jié)合在一起，而不是說運維是運維的，安全是安全的。

最后介紹一下銳捷基于動態(tài)安全體系的安全解決方案，簡單說一下，分為三層。職能進化層，動態(tài)分析層，執(zhí)行采集層。我們的目的希望這三層所有設備系統(tǒng)都能聯(lián)動起來，比如執(zhí)行采集層，是執(zhí)行網(wǎng)絡所需的安全策略，比如說我通過防火墻進行策略，通過采集各類流量、文件進行分析，分析完成之后，在動態(tài)分析層進行使用，動態(tài)分析層對下層提交過來的數(shù)據(jù)進行綜合分析和研究，持續(xù)給出當前網(wǎng)絡里面存在的威脅的風險評估，用戶能清晰的掌握當前到底是什么情況，到底安全是90分還是80們還是60分。智能進化層是為下面兩層提供持續(xù)能力的增強，比如功能特征進行分析，分析完了之后，會生成特征庫，下發(fā)到防火墻上，下次有同樣特征的攻擊進來，就能及時識別和阻斷。

（本文是銳捷網(wǎng)絡安全產(chǎn)品事業(yè)部副總經(jīng)理任春林在首屆中國電子政務安全大會上的演講內(nèi)容實錄，略有刪減，未經(jīng)本人確認。）