以网络安全监测预警为核心的安全运维服务构建研究

2022-08-31彭海云王玉玺

电脑知识与技术 2022年19期

彭海云王玉玺

摘要：在网络和信息系统受到各类攻击和威胁时，安全设备的部署对网络安全起到了一定的防御和保护作用。但是随着新型威胁的不断出现，威胁处置相对滞后。该文提出了网络安全运维服务应以监测预警为核心的新模式，将网络安全运维关口前移，梳理网络资产、排查安全风险，给出加强网络安全监测预警的途径和方法，并以此为目标，提出以监测、预警、处置、持续优化为主要内容的网络安全主动运维服务模式。

关键词：网络安全;监测预警;安全服务;等级保护

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2022）19-0037-03

国家计算机网络应急技术处理协调中心2020年上半年数据统计显示，我国每年遭受木马、蠕虫、钓鱼邮件、勒索病毒、APT等网络持续攻击，对网络安全造成严重威胁，给我国数字经济的发展带来严峻挑战。以新基建为标志的5G技术、大数据技术、AI技术在高校信息化建设和应用中也越来越受到重视。网络和信息安全也成为高校信息化建设与管理中的重要内容。因此，在推进校园网络和信息化应用建设的同时，要加强网络安全的建设。随着信息技术的应用与发展，特别是移动互联应用、云计算、物联网的普及，突破了传统网络安全的防御边界[1]。为寻求更为有效的安全防护技术和手段，本文提出将网络安全工作关口前移，做好安全监测预警工作，同时将部署在网络中的安全设备实现层级联动，做到相互补充，实现主动监测、预警、处置、持续优化[2]，从而达到网络安全整体水平上升的目标。

1 校园网中存在的安全风险

随着互联网、人工智能、物联网、大数据等技术在高校广泛应用，智慧校园、一卡通系统、教务系统、人事系统、学工系统、财务系统、科研系统、平安校园等应用系统涉及教职工信息、学生信息、消费信息、财务信息、科研项目等重要数据，面临着网络安全威胁，网络诈骗、恶意软件、黑客攻击、勒索病毒、APT攻击层出不穷。在信息技术迅猛发展的今天，网络安全的重要性上升到前所未有的高度，国家颁布的《网络安全法》《数据安全法》《个人信息保护法》等为网络安全体系建设提供了法律依据。因此，做好校园网络和信息安全工作，才能保护学校信息安全，保证学校业务系统正常运转。

传统的校园网存在的安全风险主要有以下几个方面：

1.1 网络安全设备功能单一

校园网中部署的网络安全产品有：边界防火墙、隔离防火墙、上网行为审计、WAF、VPN、入侵防御、防病毒软件、日志审计等。这些网络安全设备的加持在一定程度上满足了等级保护的要求，同时也对校园网的安全防护起到一定的作用。但是，这些网络安全产品在专业性和功能上都有一定的局限性，例如：防火墙可以禁止不安全的NFS协议进出受保护的网络，可以保护内部网络免受基于路由的攻击，但是防火墙不能防范不经过防火墙的攻击等;上网行为管理和上网行为审计只能对用户访问互联网的行为进行包括网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计和用户行为分析等;WAF能够实现对网站漏洞攻击进行防护，但对于0day漏洞则无能为力。同时，网络中安全产品的功能相对独立，相互之间没有建立起应有的事件关联关系，没有形成策略互补，没有形成相互联动机制，从而使得大量的安全设备相互独立，没有形成合力优势，导致并非牢不可破。

1.2 网络资产没有摸排清楚

随着信息化的快速普及和发展，越来越多的Web应用上线。由于这些Web应用需求对网络资源的需求不高，访问量不大，因此，业务管理部门对这些应用没有建立相应的管理台账，对网站的管理过于宽松。经过一段时间的运行之后，这些Web应用可能无人管理、更新和维护，很有可能会成为一个“僵尸”网站，成为黑客的目标，许多网站被提权、网页被篡改、挂马、外链等，甚至可能成为“肉鸡”和“跳板”，横向攻击其他网站和应用服务器，给网络安全带来很大的隐患。

1.3 主机缺少安全防护机制

主机面临着安全风险。比如：基于操作系统的攻击有系统漏洞、缓冲器溢出、IE漏洞、用户提权、弱口令、0day漏洞、端口利用等;基于Web应用的服务攻击有拒绝服务攻击（DDoS）、目录遍历攻击、网络嗅探、域名劫持等;基于中间件的攻击有IIS漏洞利用、权限配置不合理、远程代码执行、暴力破解等;基于数据库的攻击有SQL注入、撞库攻击、特权提升、强力破解弱口令等。安全威胁还有病毒、木马、蠕虫等。主机缺少安全防护机制，操作系统补丁没有及时更新，不用的端口没有关闭，软件防火墙设置不当，查杀病毒软件没有安装，系统资源状态缺少监控手段。

2 构建网络安全监测预警处置框架

基于以上基本事实和安全威胁现状，网络安全不能完全依赖网络安全设备的简单叠加，“头疼医头，脚痛医脚”的策略不是解决网络安全的根本方法，应充分利用现有的安全设备和管理平台，根据网络安全设备的自身特点，发挥其优势作用，充分利用各个安全设备的日志信息、状态信息、协议分析数据、数据流量包信息，对网络中各个节点的服务器、网络边界、提供的服务、应用、数据库及个人终端进行不间断监测，形成数据分析报告，对网络威胁提供预警机制，从而更加主动地实现网络安全运维。

2.1 监测预警技术的重要性

传统的网络安全领域中在网络的不同节点部署相应的安全产品。随着云计算、大数据、移动互联应用的普及，各种新技术的出现使得当前网络边界发生了很大变化，比如移动互联技术突破了地域边界的限制，物联网跨越传统网络产品的范畴，云计算使得系统、应用、数据以及服务集中化和平台化，打破了传统信息系统技术架构独立分散、线条化的局面。整个网络安全保障的重点也从边界防护、服务器防护的局部防护向行为防护、整体防护的全局动态防护模式转变。网络安全监测预警主要着眼于“发现问题，解决问题”。监测网络安全设备，能够发现网络边界和关键区域的安全威胁;监测业务系统，可以定位应用安全问题;监测业务数据读写操作，可以发现数据使用有迹可循。通过对网络、应用和数据全时空监测，并对可能发生的攻击行为进行分析、判断，将分析结果发送给监测预警平台，以便及早采取相应的防御处置措施[3]。因此，做好網络安全监测、预警、处置，是发现网络安全事件的重要手段。

2.2 构建全方位网络安全监测预警的途径

针对来自互联网的持续恶意攻击和校园网不可避免地存在的安全漏洞，做好安全监测预警工作必须从多个方面进行综合、全方位、立体化的监控，做好安全防范工作。

2.2.1 梳理校园网络资产，摸清家底

校园网络资产包括网络互联设备（含网络安全设备）、服务器、存储、业务系统、Web应用、数据资产等，其中Web资产占据了很大部分的应用。建立和运用网络资产安全治理平台，能够有效地“摸清家底”，及时发现不合规或不安全的Web资产，形成资产数据库，建立起长效的管理机制，形成线上检查以及安全监测日常管理机制，对于存在安全风险、安全问题的网站能够及时告警和应急处置。

2.2.2 利用态势感知平台，收集日志信息

针对操作系统、网络设备、数据库、中间件存在的安全问题和漏洞，定期或不定期进行漏洞扫描，对扫描结果进行评估检查，及时更新补丁程序，并对已发现的漏洞进行闭环管理。针对服务器特定端口进行探测、扫描，关闭不用的端口，避免恶意程序利用開放的端口非法植入木马、病毒和恶意脚本。

2.2.3 开展等级保护测评，查找存在问题

定期开展信息系统等级保护测评工作。一方面，等级保护是我国信息安全的基本政策，校园网管理者应当按照信息等级保护制度的要求，开展等保测评工作。另一方面，通过对信息系统等级保护测评，发现信息系统存在的安全隐患和不足，按照要求及时整改，从而提高信息系统的抗风险能力，降低被攻击的风险。另外，到公安网监部门申请信息系统定级备案后，将学校的信息系统纳入公安机关的监督检查范围之内。

2.2.4 用好外部监测预警信息，提前防范

关注国家信息安全漏洞库网站、国家互联网应急中心、国家计算机网络入侵防范中心、网络安全厂家发布的安全威胁情报，及时了解和掌握最新网络安全威胁动态信息、漏洞通报、处置办法，做好补丁更新，密切跟踪业界安全动态，做好自身网络和信息系统安全加固。通过Web云防护平台，可以抵御Web攻击、CC攻击、DDOS攻击，阻断各种Web扫描和攻击行为、防止攻击者上传、访问WebShell和查找攻击溯源。通过Web监测平台，实现网站漏洞监测，包括监测Web服务容器、第三方软件漏洞、服务器端脚本漏洞、应用漏洞等。同时根据教育行业网信办的安全威胁通报，及时做好防范措施，打上补丁和修复漏洞。

2.2.5 通过攻防演练和护网行动，加强能力提升

在日益频繁的攻防对抗中，要利用一切机会提升网络安全监测预警能力，这样才能在真实的安全威胁到来时做到游刃有余。攻防演练时，作为防守方，要充分利用各种网络安全监测平台，通过监测数据建立有效的安全防御机制，通过多数据源关联分析全面感知安全风险，快速定位系统漏洞并进行有效处置，提升精准防御能力[4-5]。

3 围绕网络安全监测预警开展网络安全运维服务

按照等级保护和等级保护测评要求，网络安全运维服务首先要认真梳理网络资产，细化具体要求，对标法律法规要求，做到安全运维全覆盖。在网络安全运维过程中，建立网络安全责任主体，明确信息系统安全需求，从监测预警、威胁处置、复核查验、持续优化几个阶段开展网络安全运维工作。

3.1 监测预警服务

监测预警是做好网络安全运维服务的首要任务。清点和梳理校园网内部的信息系统和应用程序，摸清通信数据在不同信息系统或设备的上下游关系，梳理出可能出现的攻击路径，控制内外网资源的数据访问权限，发现关键业务和关键系统之间的依存关系，降低“僵尸网站”“双非网站”存在的可能性。通过Web云防护和Web云监测，发现网络中威胁和攻击，跟踪溯源，阻断攻击源，通过主机安全监测，及时发现占用系统资源多、CPU利用率高、网络流量异常的应用。利用网络安全监测和动态感知平台，获取相关设备、时间范围、风险级别和资产属性等不同维度的数据，并以多种形式的有效预警为威胁处置工作提供翔实的处置依据，提高威胁处置工作的效率。

3.2 威胁处置服务

威胁处置是网络安全运维服务的根本任务。在取得监测数据的基础上，对安全事件原始记录进行溯源分析，对原始攻击信息进行分析研判，并直接进行预警处置任务下发。在日常运维工作中，做好备份重要数据和系统，严格限制对备份数据的访问权限;强制禁用弱口令并定期更换账号密码，拒绝使用与身份信息、出生日期、电话、门牌号等具有强关联性的密码。定期开展风险评估和渗透测试，识别并记录脆弱性的资产，及时修复系统存在的安全漏洞;关闭不必要的访问服务;加强身份验证和权限管理，加强访问凭证发布、管理、验证、撤销和审计功能，合理配置访问权限。严格访问控制策略，不允许使用远程管理端口，如果需要开放管理端口，须经堡垒机访问，同时定期修改访问控制策略。制定应急响应预案，明确应急人员和工作岗位职责、操作顺序，发生网络安全事件后，要立即启动应急响应预案，定期开展应急演练。

3.3 复核查验服务

复查核查是安全运维服务的重要内容。对于新系统上线前，必须先对其进行漏洞扫描、渗透测试和风险评估，发现问题及时整改。经专业工具测试通过后才能上线运行，将安全漏洞及时进行封堵，上线后纳入监测预警平台，定期对所有线上运行的系统进行复核检查、基线核查等保备案并进行测评等，将这项工作纳入安全运维常规服务。

3.4 持续优化服务

持续优化是安全运维服务的长期任务。通过监测预警平台，以在长期监测过程中发现的风险隐患以及各个阶段获取的数据作为基础，深度分析安全威胁、脆弱性的原因，从技术、管理、制度等方面进行持续优化完善，同时对网络监测预警平台和能力升级迭代，循序渐进、全面提升网络安全运维服务和保障能力。

4 结语

构建以网络安全监测预警为核心的安全运维服务，以网络安全法律法规、等级保护要求为依据，以有效降低网络安全威胁和攻击为目标，将网络安全防护关口前移，提供主动防御、多层次、安全设备联动的安全运维服务，全面把握网络安全态势，提升网络安全保障能力。

参考文献：

[1] 禄凯，程浩，刘蓓.全面构建以网络安全监测预警为核心的全时域网络安全新服务[J].中国信息安全，2021（5）：61-63.

[2] 毛辉，曹龙全，吴启星，等.监测预警处置一体化网络安全管理平台研究[J].信息网络安全，2020（S1）：122-126.

[3] 胡国良，张超，胡嘉俊.网络安全技术手段建设存在问题与应对措施浅析[J].网络安全技术与应用，2021（1）：161-162.

[4] 毕江，王燕清，张宁，等.电视台网络安全监测系统规划[J].广播与电视技术，2017，44（11）：38-43.

[5] 曾柯达.基于推理机的网络安全事件关联分析技术的研究与实现[D].长沙：国防科学技术大学，2010.