◆林永良 王超 张杰 赵黎强

自适应安全架构下的高校数据中心主机安全防护研究

◆林永良1王超2张杰1赵黎强3

（1.天津城建大学网络安全和信息化办公室 天津 300384；2.天津市大数据管理中心 天津 300042；3.元力（天津）科技有限公司 天津 300392）

高校数据中心主机数量大，网络安全专业管理人员配备不足且安全防护意识薄弱，主机统一监管难度大，暴露出的东西向攻击事件频发，严重制约了智慧校园的发展速度。本文基于Gartner网络安全自适应架构，结合网络安全等级保护2.0安全体系，研究主机安全预测、防护、检测和响应的自适应安全防护架构。一方面，通过主机代理模式建设安全管理中心，实现对主机的实时监控、流量可视化和安全防护策略集中下发等，达到对主机集中统一监管的目标；另一方面，基于微隔离技术、IOCs知识和机器学习等实现对特征和非特征病毒及攻击的有效预测和及时响应，利用虚拟补丁技术解决老旧主机漏洞无法修复的问题，提升主机安全防护能力。

安全架构；高校；主机；安全防护

根据国家信息安全漏洞共享平台公布的2020年5月25日至2021年5月25日期间的漏洞分布情况可以看出（见图1），漏洞主要分布在操作系统（10%）、应用程序（57.3%）、数据库（1.9%）、Web应用（21.7%）这四部分，其总和占据了整体漏洞总和的90.9%，而以上漏洞均存在于主机之中。因此，要提升数据中心网络安全整体防护能力，必须从主机的安全防护入手。高校作为主机“大户”，存在历史信息系统多且更新后无法使用、操作系统官方停止更新、运维人员少等问题，特别是随着智慧校园的建设和快速发展，主机数量日益增多，需要投入更多运维投入的同时，也给主机东西向防护带来了挑战，如何提升学校主机安全防护能力，实现主机安全的集中统一监控成为当前高校网络安全体系建设的重点。基于高校数据中心主机特点，本文结合Gartner自适应安全架构和等级保护2.0安全体系研究适用于高校主机安全防护的策略，对巩固高校信息化发展基石，保护高校发展成果具有重要的价值和意义。

图1 漏洞影响对象分布图

1 自适应安全架构

本文研究的主机自适应安全架构理论来源于Gartner 3.0自适应安全架构（如图2）和网络安全等级保护2.0安全体系。基于Gartner安全架构将主机安全防护按照预测、防护、检测和响应四个部分进行循环加固，实现主机安全问题的动态自适应保障目标。结合等保2.0的“一个中心三重防护”安全体系，即构建一个“安全管理中心”和“安全计算环境、安全区域边界、安全网络通信”三重防护的网络安全体系结构，实现主机安全防护的集中统一管理。

图2 自适应安全3.0构架图

2 主机安全防护部署架构

主机安全防护可根据管理中心网络位置分为内部部署模式和外部部署模式，外部部署模式是将主机管理中心部署于校园网之外，通过公网进行发布的模式，这样部署结构有利于管理中心病毒库、特征库、基线检测特征库等及时更新，方便管理员的远程管理和维护，但增加了公网攻击点。内部部署模式是将主机管理中心部署于校园数据中心内，不定期开放互联网访问权限进行病毒库等更新，这种结构避免了直接暴露公网的安全风险，但其更新依赖于管理中心的互联网开放频率，特别是针对0day漏洞不能及时处置，需要投入一定的人力。结合高校特点，采取内外网部署结构的融合方案，即将管理中心部署于DMZ区，取消其回指路由，并通过传统FW、IPS等加强对管理中心的安全防护，部署拓扑图如图3所示。

图3 主机安全防护部署拓扑图

3 安全防护与检测

3.1 主机攻击分析

高校数据中心的DMZ区和内网存在着复杂的连接关系，这就给勒索病毒等对内网攻击提供了条件，数据中心主机攻击流图如图4所示。将高校网络按照内网和外网划分（校园网用户划分到外网），那么在数据中心中Web应用主机、FTP主机等既要对外网又要对内网开放的主机就成为攻击者进行渗透的关键点，攻击者可通过侵入这部分主机后对内网主机进行东西向攻击，如果不做好自身安全加固防护将对整个数据中心主机带来极大的安全隐患。另外，由于数据中心管理员与普通校园网用户同处一个网络，他们之间也存在相互攻击的可能。因此，要实现对主机的安全防护，必须从加固主机自身的防护能力开始，严格控制主机与主机之间、用户与用户之间的数据流和访问权限。

图4 校园主机攻击流分析图

3.2 主机管理中心

通过主机代理模式实现主机与主机管理中心的加密互联，安全管理员可通过主机管理中心发现网络中存活的主机，在主机部署代理（Agent）后进行统一监控和安全策略下发等操作。一方面，通过主机管理中心实现对主机的集中统一监管，实现主机资产的动态发现和主机运行状态的实时监控，限制主机访问权限，增加远程桌面的二次登录，严格限制主机外接设备（USB、光驱等）、违规外联、广告弹窗等桌面应用，要求进行责任人资产登记等，大大提升主机的管理能力；另一方面，管理主机的端口、进程及服务等资源，特别针对Windows系统实现白名单机制，防止可疑IP、进程、文件等运行，实现病毒查杀、漏洞查修、病毒库和补丁库更新的策略集中下发，结合AI病毒基因特征分析技术最新病毒和补丁特征库，有效防护0day、WebShell检测、暴力破解、勒索病毒及其变种等防护能力。

3.3 微隔离技术

传统部署在网络出口位置或某个网络区域边界的防火墙、IPS、WAF等传统被动式防御手段已无法对东西向网络流量做过滤与访问控制，一旦攻击者利用0day漏洞或者加密协议对攻击载荷进行传输，传统的东西向安全设备就无法对攻击进行拦截，导致来自内网的攻击没有较好的防御手段。在这样的背景下，微隔离技术应运而生，它是颗粒度更小的网络隔离技术，可分为网络层隔离、管理程序隔离和主机代理隔离，能够应对传统环境、虚拟化环境、混合云环境、容器环境下对东西向流量隔离的需求，阻止攻击者进入数据中心内网后的横向平移。

高校主机管理可以通过微隔离技术和FW、WAF、IPS等构成多向联动防护机制，实现数据中心、管理中心、校园网之间的细颗粒度管控，提升数据中心对主机的访问控制和隔离能力，微隔离防护如图5所示。管理员可根据主机承载的协议类型、IP地址类型等特征进行分组，明确主机数据流向后，根据特征分组配置上下行策略。以Web应用主机为例，通过评估分析确认业务源地址和目的地址，对所需的端口和服务特征进行聚类，确定仅允许80、8080、3128、8081、443等web应用端口开放，拒绝所有源地址访问主机的SFTP服务（115端口）、POP3（110端口）、445端口等，针对远程维护的某些特定服务（如SSH、Telnet等）则采取弹性管理机制，即仅在维护期间开启。通过微隔离技术能够实现主机与主机之间数据流向的管控，大大提升了主机东西向微颗粒度的安全防护能力。

图5 微隔离防护拓扑图

4 安全威胁预测与响应

Gartner自适应安全架构更加强调安全威胁预测和响应的重要性，使安全防护从提升预测防范能力转移到对威胁事件的监控和情报上。因此，需要建设具备全面感知、异常行为分析和及时响应能力的实时防御体系，减少“规则”性防御被欺骗或绕过的可能。

4.1 安全威胁预测

安全威胁预测的内容主要包括风险评估、预测威胁和基线安全态势三个方面，通过对主机威胁事件的群集特征关联后驱动安全威胁的解决，如借助人工智能算法分析勒索病毒及其变种特征提升对新型衍生病毒的预测和防护效果。

主机病毒查杀：通过管理中心可向所有纳管的主机及时下发病毒查杀任务，或定时查杀策略，主机代理向管理中心反馈查杀结果，管理人员在管理中心中就可以掌握所有主机感染病毒的具体情况，及时采取隔离等措施；

主机漏洞查补：漏洞查补主要是对Windows操作系统漏洞的检测，通过管理中心的安全威胁检测功能向Agent主机下发漏洞检测任务，Agent主机将检查结果反馈管理中心，实现管理中心对漏洞情况的直观监控；

主机基线检查：能够针对主机安全基线配置情况进行对比检测，如Linux系统是否禁止SSH的root账户直接登录、是否设置密码强度标准等，及时调整基线配置，提高主机安全防护能力，推进主机的规范化标准化管理。

4.2 安全威胁响应

安全威胁响应是对威胁事件而采取的补救和规则变更，通过安全响应对主机安全进行加固，可分为威胁响应和漏洞响应两个部分：

威胁响应是按照主机威胁等级或威胁事件类型进行响应，其中威胁事件类型包括勒索病毒、暴力破解、僵尸网络、Webshell后门和高级威胁等。对于威胁事件，可结合本地查杀和云端AI查杀实现双保险，通过威胁文件的MD5值或域名实现对全网感染相同威胁文件主机或访问相同威胁域名主机的精准定位，方便确定威胁影响范围，实现对数据中心主机威胁影响力的整体评估。针对威胁事件的处置主要采取自动处置和手动处置，包括限制威胁事件源IP、查杀或隔离威胁病毒和文件等，威胁事件处置流程如图6所示。

图6 安全威胁事件处置流程图

漏洞响应是在主机漏洞查补的基础上进行的漏洞修复，修复补丁可来源于管理中心，也可通过管理中心从云端更新，方便于非DMZ区内主机的漏洞修复任务。漏洞响应补丁可结合漏洞修复社区等社会力量及时更新，有效提升防护0day漏洞和变种病毒的攻击。另外，漏洞修复采用轻量化修复技术进行，能够很好解决官方停止更新的操作系统（Windows 7、Windows Server 2008等）漏洞修复、历史信息系统修复漏洞后无法使用等问题，保障了历史信息系统的正常运行，提升了历史主机的安全防护能力。

5 总结

基于自适应安全架构能够有效地提升高校主机的安全防护能力，增强对主机统一集中管理和控制能力。一方面，结合Gartner自适应架构和等保2.0安全体系结构，构建主机自适应安全防护架构，实现以安全管理中心为核心的主机安全防护集中管理模式，减小了主机安全配置难度，提升了主机安全管理效率；另一方面，针对数据中心主机东西向防护弱、历史主机或信息系统更新后无法使用、0day漏洞或变种病毒防控能力弱等问题，能够利用微隔离技术、虚拟补丁技术、人工智能分析技术等进行解决，提升主机预测、防护、检测和响应能力。

[1]江欣.基于EDR与CARTA模型的动态主机安全防护平台研究[J].网络安全技术与应用，2020（09）：47-48.

[2]姜帆，孙国齐，杜金宝，等.基于EDR技术与机器学习的电力物联网终端安全防护系统[J].网络安全技术与应用，2021（01）：126-128.

[3]邹创勋，李铿.DDoS攻击实测与业务系统主机安全防护[J].通信与信息技术，2020（02）：38-42.

[4]孙宝才.探究主机网络安全防护技术的研究与应用[J].通讯世界，2020，27（03）：87-88.

[5]李大伟，张敏，沈汀.网络安全等级保护2.0时代主机安全免疫可信技术研究[C].中国网络安全等级保护和关键信息基础设施保护大会论文集.2019：40-43.

[6]熊明俊，杨景茂.虚拟化安全防护与应用研究[J].保密科学技术，2020（10）：15-20.

[7]张鉴，唐洪玉，刘文韬.虚拟化平台安全漏洞分析与防护研究[J].信息通信技术与政策，2020（02）：41-45.

[8]孙宝才.探究主机网络安全防护技术的研究与应用[J].通讯世界，2020，27（03）：87-88.