风险驱动下网络安全防护模式探讨

2021-10-23黄道春

科技创新与生产力 2021年9期

黄道春

（抚州职业技术学院，江西抚州344000）

云计算技术快速发展，虚拟网络背景下网络安全风险更加复杂多样。建立可预测、事件风险可识别、整体风险可评估、服务选择可控制的综合性网络安全风险评估模型就显得尤为重要。风险是客观存在的，网络安全管理者要结合具体网络系统，积极构建风险防控机制，来应对可能发生的风险威胁。从现有的企业网络安全防护实践来看，其对风险的关注度不够，过多的安全资源被用于合规性要求，缺乏稳健性强的风险建模与分析能力，使得网络系统架构设计与网络系统维护管理缺乏有效的衔接机制，导致风险防护能力不足。为此，以风险防范为目标，建立基于风险驱动的网络安全防护体系，其首要任务是要结合企业网络综合系统资源，建立网络风险分析与预警防控机制，提升网络安全防护能力。

1 风险驱动下网络安全防护模型概述

安全管理是网络系统架构与运维工作的核心，从现有的网络安全管理系统实践来看，网络安全设备、网络安全软件系统的设计，多聚焦合规性检测，在安全管理机构及网络安全防护模式中，网络安全风险防控缺乏系统性，无法融入全生命周期，使得一些系统漏洞、网络安全事故得不到有效处理，导致网络系统处于风险威胁场景中。如一些具有持续性攻击能力的高级持续性威胁病毒（Advanced Persistent Threat，APT），该类病毒将系统缺陷或漏洞作为攻击目标，安全防护人员无法找准漏洞所在，对该病毒的危害能力无法准确评估，从而对网络安全资源调配不当，无法对可能存在的风险进行快速响应与协同处置[1]。近年来，以人工智能、大数据为特色的智能化网络攻击行为为网络安全防护工作带来了新的挑战。为此，加强对网络安全风险的提早、全面检测与发现，做好网络安全风险防护机制建设成为大势所趋。

建立以风险为驱动的网络安全防护机制，将可能存在的网络攻击行为、网络安全事件作为风险源，立足网络安全管理系统实际，对现有网络安全系统进行风险评估，合理调配安全资源，整合网络安全团队，以高效、稳健的方式处置各类网络风险，其模型见图1。

图1 风险驱动下网络安全防护模型

构建风险驱动下网络安全防护模型，其核心是应对可能存在的风险，建立以风险、资产、控制为关系模型的防护结构。风险源对网络造成威胁的方式有两种：一是通过可能发生的网络攻击行为或网络安全事件直接对目标资产进行访问，安全控制就是要利用安全组件对风险源进行扫描和分析，找出可能存在的漏洞或攻击向量，以保护资产安全；二是通过间接方式访问目标资产，可能要和系统中的其他元素交互。在安全防护上，控制并非直接作用于资产，而是通过控制措施反作用于识别的可能风险、攻击向量或漏洞，以减少或降低安全危害。如微软开发的STRIDE安全防护模型，将机密性、完整性、可靠性作为安全防护关键点[2]。美国网络安全公司（MITRE）提出共享攻击模式（CAPEC），重心在于常见网络攻击行为的防护。

2 风险驱动下网络安全防护一般过程

2.1 网络安全防护风险发现阶段

对于风险的发现阶段，主要有如下5个任务。第一，风险的识别。网络安全防护系统设计需要对整个网络系统业务、组件、数据等进行防护分析，得到哪些数据可能易受网络攻击，哪些组件是重要的风险防控点等。通过对网络业务的全面分析，设定需要防控的重要资产。资产识别包括获取攻击者的行为、记录系统工作环境及状态，指明攻击所处位置。第二，锁定攻击面。对资产识别后，网络安全防护措施要能够从宏观上对整个应用系统进行访问控制。攻击面的锁定着重于定义系统、任务边界与防控范围，确定某一任务是否超出范围。第三，对系统的分解。借助于对可疑攻击行为及安全事件信息的收集，通过接口、设备、库、协议、函数、应用程序接口等技术来分解安全风险，做到有效防护。第四，识别攻击向量。利用对可疑攻击行为的记录，捕捉存在风险的组件或功能范围。识别风险攻击向量时，需要综合考虑物理路径、逻辑路径以及同一路径的不同攻击方式，找准安全漏洞或风险源。第五，列出风险源和攻击代理。对存在的风险进行锁定并列出可疑攻击者、攻击意图，如网络攻击的动机、技能、攻击行为所对应的目标和资源。

2.2 网络安全防护风险应对阶段

对可疑风险发现并锁定后，接下来便是施行风险应对措施。第一，对风险源进行风险评估。明确可疑网络攻击行为及其产生的后果，对发现过程进行梳理，形成风险防护评估报告，内容包括风险行为、风险讨论、风险造成的影响等。第二，对风险进行分类。结合网络安全防护需要，对网络系统所有业务资产及功能进行统合分析，找出风险攻击行为可能带来的后果。列出后果清单，分析其权重，设定风险对应的级别，将之作为风险防护重点。第三，对风险进行防控。对风险的发现，最终目的是要解决风险威胁。风险防控措施包括对风险的移除、阻止、缓解等。根据风险威胁分析，对风险控制选择不同的措施，以提升风险防控的有效性。

2.3 网络安全风险防护具体流程

从整个网络安全防护方法来看，其流程从风险分类开始，通过对风险的建模与分析，梳理风险分类列表，明确不同风险的安全属性和控制措施，为风险的发现、防护提供参考。风险分类有应用级、系统级、环境级3类。在功能控制分级中，要将风险的划分与功能控制列表中的防护措施建立对应关系，根据风险、攻击向量和网络架构来化解风险威胁。风险防控阶段主要是对风险进行评估，以确认网络系统的安全状态，利用情报管理系统对当前风险分析的结果进行确认。风险控制功能对每一次网络攻击行为、攻击场景进行分析和记录，综合分析后做出防护动作，最后对网络系统安全控制行为进行记录。

3 风险驱动下网络安全防护模式分析

结合某企业网络安全防护实践，建立以风险驱动为目标的网络安全防护体系。该企业包括生产控制区域、管理区域两大类，网络终端分布区域广，网络攻击面大，传统防护思路缺乏有效性。企业网络监控系统风险来源主要有企业管理信息系统、企业办公自动化系统、生产控制系统以及分布在各地其他终端的装置、设备、传感器节点等。

3.1 企业网络监控系统风险防护基本要求

在企业网络安全风险防控中，主要分为横向资源防护和纵向资源防护两部分。前者主要围绕大数据分析，对企业各类资产进行识别和管理，确立安全防护边界，优化网络安全风险功能；后者主要以密码为基础，优化企业安全管理加密认证体系和密钥管理算法的有效协同，以提升企业监控系统整体安全水平。考虑到企业监控系统对多个子系统的防控需要，在部署网络安全防护体系工作时，对管理信息系统和生产控制系统设置正反向隔离装置。在纵向防护区域内设置数据共享与融合平台，实现对可疑网络安全行为的协同防控。同时，结合共享与融合平台，对企业网络整体系统数据进行采集、分析和可视化管理。数据融合分析着重在横向防护、纵向防护中进行可疑业务流量合理性分析，并融入密码防护调整策略。

3.2 企业网络监控系统风险发现方法

根据企业监控系统安全风险防控需要，在部署风险驱动下安全防护体系工作中，主要从以下4个方面来实现。第一，对企业资产进行赋值、识别。针对网络监控系统，通过对相关设备、数据、人员进行标记、分类和评估，将其分为信息、软件、硬件、系统、人员5种表现形式并分别进行赋值，设定安全等级。如对于具备控制功能，安全属性遭到破坏后会对整个系统造成严重损失的设备，将其设定为最高安全等级。第二，定义安全防护攻击面。结合企业各分支系统，设定相应的安全防护攻击面，如企业生产控制系统、企业管理系统等。第三，对各系统安全管理进行分解，识别攻击向量。针对系统中病毒、蠕虫、木马程序、后门程序、逻辑炸弹等，设置不同的防护措施。第四，列出安全风险源和攻击代理。引入网络安全公共漏洞库系统，对可能存在的网络安全风险进行采集、分析，借助于网络系统漏洞扫描、网络安全渗透测试等软件，强化网络监控系统的稳健性、安全性。另外，加强对网络管理人员、网络资源库、网络拓扑结构及各项业务模型的安全监测。

3.3 风险驱动下企业监控安全防护系统设计

企业监控系统结构主要包括企业管理系统安全感知子系统、生产控制系统安全感知子系统、企业纵向安全防护子系统、企业横向安全防护子系统以及数据共享与融合平台子系统。对于安全防护系统设计，在风险发现、风险防护实施两个阶段部署各区域级安全防护子系统，保留各系统相对隔离性要求，利用信息共享机制来防控可疑安全风险。如对生产系统实施接触式、离线式扫描检测，对现有软件、硬件、操作系统进行漏洞扫描和风险检测；对管理系统实施在线扫描，对系统弱点或漏洞进行检测。在数据共享和融合平台，建立以安全日志、设备、网络漏洞信息检测为主的数据安全汇聚模式，从时间、位置、区域、行为、动作等方面，对相关数据进行关联分析，根据数据来源及风险威胁建立一体化网络系统安全防护机制。