大型跨區日常網絡安全防護工作分析

導語：大型跨區日常網絡安全防護工作分析一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：隨著《網絡安全法》、《個人信息保護法》、《數據安全法》等法律法規的頒布實施，大型跨區域關鍵信息基礎設施單位的日常網絡安全防護亟需得到進一步完善和規范。文章從闡述大型跨區域關基單位在網絡安全防護面臨的主要問題入手，對單位日常協同防護體系建設以及關鍵區域的網絡安全日常防護工作進行了思考研究。

關鍵詞：跨區域；關鍵信息基礎設施；網絡安全；協同防護；日常防護

1引言

近年來我國網絡安全頂層制度設計加速推進，網絡安全上升至國家安全，國家陸續頒布《網絡安全法》、《個人信息保護法》、《數據安全法》等法律法規，對各企事業單位尤其是關鍵信息基礎設施提升自身整體安全防護水平，提出了具體的要求。而隨著國家信息化發展的逐步深入，我國關鍵信息基礎設施單位的規模正在逐步擴大，業務涉及各大民生行業，普遍形成了集團總部、省公司、地市分公司三級跨區域架構，關聯的信息系統和人員眾多、網絡結構復雜，單位管理難度大，容易導致單位面臨著各種性質的安全威脅。盡管單位花費大量人力物力構建了相對完善的網絡安全防護體系，但是每年全國各地開展的各項應急演練檢查中，大型關基設施企事業單位仍然被檢查發現多種安全風險，甚至一些網絡攻擊成功進入內網系統，存在較大安全隱患。

2大型跨區域關基單位網絡安全防護面臨的主要風險問題

2.1組織架構和責任不明確

隨著關基單位規模的擴大，單位組織架構也由總部延伸至地市，形成三級架構，但是網絡安全日常防護的職責和要求卻沒有隨著組織架構的延伸而延續。部分單位網絡安全責任制落實不力，未明確網絡安全管理工作負責領導、內設機構及相應責任，導致網絡安全工作難以推進[1]。

2.2資產管理缺失

關基單位在業務不斷發展過程中，信息化系統建設不斷擴大，人員頻繁流動，導致互聯網資產和內網資產數量不清、信息不準確、歸屬不明確等問題。尤其是地市層面分公司缺乏準確資產清單或有效的資產管理系統，使得出現網絡安全事件、嚴重漏洞時定位困難，無法及時處置，任何一環的疏漏，都會造成互聯網邊界被突破、攻擊者進入單位內網的嚴重后果。

2.3互聯網出口未收斂，內網各域邊界模糊

目前，仍然有眾多關基單位由于業務的發展，分散發布了大量的互聯網應用，存在大量的互聯網出口。不同分公司防護措施更是良莠不齊，給攻擊者創造了大量的機會，同時給防護工作帶來巨大壓力。此外，單位內部存在一定數量的跨域終端，甚至混合域終端，而且分布廣泛，一旦這些終端被控，將直接成為攻擊者的跳板。

3在現有防護體系下怎樣進一步做好日常防護

3.1協同防護體系建設

根據關基單位三級跨區域架構，建立網絡安全日常三級協同流程，分別在集團總部、省公司、地市公司設立研判分析組、攻擊監測組、防御處置組、應急保障組，重點加強縱向行動的統一領導，承接落實好集團總部工作任務和要求，協調組織好自身管轄范圍內的網絡安全事件。攻擊監測組：重點負責全程方位監控和防護，及時發現攻擊、威脅，并上報研判分析組決策；研判分析組：重點負責重大攻擊事件、威脅行為分析研判，形成處置決策并安排處置，無法做出決策的逐級進行上報，由上級統籌決議；防御處置組：主要根據研判分析組和上級的決策進行相關處置動作，如阻斷會話、封鎖IP、停應用服務等，負責對攻擊事件發現和處置結果上報；應急保障組：負責對發現風險漏洞、系統癱瘓、系統運行緩慢等異常情況處置，由主機系統運維人員、應用開發運維人員、網絡運維人員、安全運維人員等組成。

3.2網絡縱深防御工作

縱深防御是一種經典的安全防御思想，主要目的是通過多層次多方面的防護措施，降低攻擊入侵系統直至獲取數據的可能性[2]。攻擊者的攻擊路徑一般通過下圖1所示五個步驟從外向內進行縱深攻擊，為做好縱深防御，單位需要從網絡安全策略、重要防護資源、安全域劃分、技術手段、安全可控等方面層層遞進，避免攻擊者順利進行橫向和縱向滲透。

3.3攻擊面防護管理

網絡攻擊者在發起攻擊前，會對目標單位或系統開展廣泛的信息收集工作，發現并篩選防護措施薄弱、存在已知漏洞利用等具有突破口的系統作為目標。為了有效降低風險，在日常需要加強互聯網暴露面的梳理與管理，收斂攻擊面、加強全方面安全防護管理，具體可以涵蓋下圖2所示九個方面的工作。

3.4主動防御工作

傳統的網絡安全基于被動防護的思路，外掛式、補丁式的安全技術和產品以及由此衍生的解決方案無法抵御不斷演化的威脅和攻擊[3]，網絡安全防護的理念需要由被動防護轉向網絡安全態勢感知、應急恢復處置、網絡攻擊行為誘捕等主動防御。建設網絡安全聯動共享機制，通過風險監測、安全防護、應急響應等進行自驅動循環，構建一套以人為本、以技術為驅動、以安全為導向、以業務流為組織的有機整體，促進立體化防御體系的建設，具體日常工作如下圖3所示。

3.5社會工程學防護工作

社會工程學是指通過與他人交流，使其心理受到影響，做出某些動作或者是透露一些機密信息的方式。這通常被認為是以欺騙他人來獲取所需信息行為[4]。攻擊者更傾向于利用工作人員安全意識的問題竊取部分信息或權限發起攻擊，如圖4所示。因此在單位日常管理中需要定期提升全體員工及第三方人員的安全意識，開展信息防泄漏自查，嚴查并及時清理在互聯網上存放的、涉及本單位重要系統的相關技術規范、網絡配置與拓撲、業務組件、源代碼、郵件、通訊錄等。

3.6AD域控系統防護工作

大型跨區域關基單位經常會使用AD域（ActiveDirectoryDomain）來統一管理網絡中的PC終端，日常域控的防護可以通過事前、事中、事后多種手段和措施相結合加強域控安全管控，事前評估風險、加固整改，事中實時監測、快速處置，事后日志回溯、復盤總結，確保不發生重大安全事件，避免域控成為攻擊突破口。

3.7VPN/4A系統防護工作

VPN做為單位暴露在互聯網上能夠直接進入單位內部網絡的通道系統，以及4A系統作為對各類網元及系統連接提供物理和權限通道[5]，在單位網絡中扮演著關鍵的角色，并已成為攻擊者重點關注對象。如下圖6所示，單位日常可以從平臺側、賬號狀態、賬號權限三個方面來檢查系統是否做到了脆弱性檢查、雙因子認證、賬號稽核以及權限分配等必要的防護工作。圖6VPN/4A系統防護工作

4結束語

本文圍繞大型跨區域關鍵信息基礎設施單位在日常網絡安全防護的風險問題，針對性地從協同防護體系建設、網絡縱深防御、攻擊面防護管理、主動防御、社會工程學防護、AD域控系統防護、VPN/4A系統防護七個方面，思考提出了相應的日常工作內容，為單位在現有網絡安全防護體系下進一步做好網絡安全工作提供了補充借鑒。

參考文獻：

[1]胡國良，肖剛，張超.新形勢網絡安全管理存在的問題及應對建議淺析[J].網絡安全技術與應用，2020（08）：7-8.

[2]耿延軍，王俊周，紅亮.云數據中心網絡縱深防御研究[J].信息安全與通信保密，2019（07）：22-29.

[3]劉建兵，王振欣.主動安全網絡架構——基于社會控制原理的網絡安全技術[J].信息安全研究，2021（07）：590-597.

[4]金濤，吳曉文.基于社會工程學網絡滲透方法的研究[J].網絡空間安全，2021（Z2）：57-62.

[5]鄒杰.基于4A平臺的敏感數據防護系統[J].網絡空間安全，2018（03）：36-38.

作者：張勇 胡嘉 俊肖剛 單位：國家計算機網絡與信息安全管理中心湖南分中心