唐诗泉

随着网络的发展，基于网络的信息交互和共享已经成为人类信息交流的最主要组成部分，同时由于网络攻击而导致的损失也随之日益增长，信息安全面临巨大挑战。为了应对日益严重的信息安全问题，检察机关多年来在信息安全防护方面不断探索和实践，对检察技术人员的网络安全防护要求也日益提高，面临的网络安全防护挑战也日益升级，检察技术部门在网络安全方面往往面临着人手短缺、知识与技能储备不足、对网络安全事件的分析与处置能力薄弱等多方面问题，这就要求我们在网络安全防御策略方面做出改变。

一、现阶段面临的问题

近年来各级检察机关以分级保护为基础，建成了由防火墙（Firewall）、入侵检测（IDS）、入侵防护（IPS）、安全审计（Security Audit）、流量监控（Traffic monitoring）等多种安全设备组成的网络安全防护体系，有效地阻隔和减小了安全威胁。随着检察机关信息安全防护体系的建设，不断有新的安全产品和技术部署到系统内，这些防御手段在一定程度上提升了检察网络自主安全防护能力，但这种被动的增添设备仍停留于“缺什么，补什么”的被动防御阶段，并且大部分安全产品都是专注于特定方面的安全问题，在具体实施过程中相对独立，从不同层面、不同角度来弥补网络安全性的不足，形成了“打补丁”式的安全防护方式。这样的防护方式极为被动，每一类威胁、甚至某一种威胁均需要一种甚至几种防护手段的使用才能够很好的发挥效果。但由于各种防御手段之间的防御原理不同、防御理念不同，造成的安全防御孤岛仍无法面对层出不穷的安全威胁的攻击和渗透，例如，防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能；入侵检测系统（IDS）通过旁路监听的方式不间断的收取网络数据，判断其中是否含有攻击的企图，IDS 对网络的运行和性能无任何影响，也不能对安全时间采取积极的措施，只能通过各种手段向管理员报警，但误报率和漏报率始终是IDS 的实施的软肋；入侵防护系统（IPS）则倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报，但是IPS的规则如果配置失当则有可能导致正常业务被隔断。这些网络安全防护技术本身具有局限性，加之不能形成有效应对网络威胁，有用的信息也不能得到有效利用，更有甚者，大量涌现出来的新的安全威胁已经具有了规避安全防御手段的能力，如碎片、变形、加壳等手段已经司空见惯。对于这样的攻击手段单一安全防御手段或单点防御能力已无法有效的进行防御；同时网络运维仍大量采用人工分析和审计，信息安全防护的效果很大程度上依赖检察技术部门网络运维人员的个人业务水平和技术技能。网络管理员需要检查来自所有部署的安全设备提供的信息，作出合理的判断，才能制定合理安全策略改进措施，大大的降低了网络安全防护效率，因此整合各种网络安全技术，实现各种安全设备之间的互通，构建基于一体化安全检测的自适应网络防御体系是检察机关网络安全优化的可行方案之一。

二、检察机关网络安全防御一体化的设计思路

检察机关面临的网络攻击威胁从路径上来看是一条从最终用户经过路由、交换、应用、数据的完整链条，这个链条之上的所有安全防御手段如防火墙、入侵检测、漏洞扫描等均在一个攻击路径上进行各自的防御、分析工作。这既是产生了将其统一起来的先决条件。检察机关网络安全一体化防御既是在了解和掌握了网络中整体安全态势的前提下，针对各个特征点进行统一的策略部署和防御手段的制定，从而形成一个智能有效的多层次防御体系。

检察机关信息安全主动防御一体化的大框架主要由数据采集、数据分析、风险控制和管理控制四层构成。

管理控制层进行整体安全态势的分析、评价、预测与展现，总体安全策略的规划与调整，安全解决方案的设计与执行，风险评价与监控，平台管理，以及多级部署时的上下级联；风险控制层基于漏洞知识库和风险数据库对系统的风险进行控制、降低或规避；数据采集层集成各类安全产品或组件，负责采集基础网络、主机系统、数据库系统、业务应用和通用服务等不同层面的安全属性，并将采集到的原始数据输出到数据分析层；数据分析层基于漏洞知识库对原始数据进行安全性分析，分析结果输出到风险数据库。为了更好地集成和关联各个组件提供的功能和数据，在信息安全主动防御一体化平台中设计了3 个数据库，即管理数据库、风险数据库和漏洞知识库。管理数据库存储电力信息安全主动防御一体化平台的管理信息，包括任务信息、报表信息、用户信息；风险数据库存储所有组件检测到的各类安全风险信息；漏洞知识库存储专家的经验知识，包括漏洞分类、漏洞检测插件、漏洞风险描述、解决方案等

检察机关网络安全主动防御一体化设计的基础组件包括安全测评类组件和安全加固类组件。测评组件基于漏洞知识库对管理控制台下发的测评任务信息进行分析，在漏洞知识库的支持下采集网络各节点的安全风险数据，并输出到数据分析模块，分析后进入风险数据库。加固组件基于漏洞知识库对管理控制台下发的加固任务信息进行分析，根据存储于风险数据库中的测评结果，在漏洞知识库的支持下对测评对象进行加固，加固完成后进行验证，并进入风险监控阶段。其中，分本地加固和系统加固2 种，前者直接在测评对象上进行，后者考虑到部分加固措施无法在测评对象上实施或实施风险过高，则通过加强边界、网络等其他方面的安全防护措施来达到降低测评对象安全风险的目的。基础组件设计中难点之一是要开发设计可适应大部分主流安全防护产品的标准软件代理模块，不同来源的产品通过这些代理模块与平台进行交互。另外，如何解決产品自带漏洞库与平台统一漏洞库之间的转换也需要重点考虑。

检察机关网络安全主动防御一体化设计的高级应用组件包括安全态势、安全策略、解决方案和风险监控组件等。安全态势组件对网络特性、入侵信息、系统性能、安全状况等信息进行关联分析、数据融合和数据挖掘，以可视化方式表述，综合呈现安全态势，并进行安全态势预测和态势对比分析。安全策略和解决方案组件则根据系统安全态势分析结果动态调整安全防护策略、自动化生成安全加固解决方案，经适度人工干预后下发基础组件自主执行。风险监控组件实时监控系统的风险数据，在评价指标体系支撑下，对风险进行排序，重点监控高危风险点。为实现平台在各级检察机关一体化部署，平台支持上下级联，下一级接受上一级的管理，使一体化防御平台可以防御针对整个检察专网的攻击。高级应用组件是整个平台的关键部分，解决了通用安全防护软件只针对特定类型安全问题和被动触发式工作模式等局限性，其中安全态势综合分析与预测、可视化展现、自主策略调整与加固、风险评价与监控等是平台研究和设计的重点和难点。

通过构建基于一体化安全检测的主动网络防御体系，可以将现有的各网络防护技术手段整合为一个整体，协助检察技术部门网络管理员了解和掌握检察专网中整体安全态势，针对各个特征点进行统一的策略部署和防御手段的制定，形成一个智能有效的多层次防御体系，为检察工作提供更为安全便利的网络环境。endprint