通信世界网消息(CWW)近年来,全球网络安全形势日益严峻,针对重要行业设施的恶意网络攻击事件屡屡发生,攻击目标从电力、交通等领域延伸到公共服务、政务服务系统等重要设施。政务外网作为我国数字政府的基础底座,经过十多年持续的安全基础设施建设,已经建立了基于边界划分的纵深防御体系,形成基于“防火墙—IDS/IPS—WAF”的入侵防范能力。然而,在日常安全事件监测应对和攻防演练中发现,上述被动防御体系存在严重依赖大量人力投入、容易出错和应对效率不高等问题。
国务院2021年发布实施的《关键信息基础设施安全保护条例》明确要求,“采取技术保护措施和监测预警措施,应对网络安全事件,防范网络攻击和违法犯罪活动”;而2022年发布的国家标准《信息安全技术关键信息基础设施安全保护要求》(GB/T 39204-2022)明确将“主动防御”列为关键信息基础设施安全保护的六个环节之一。
为落实国家相关要求,结合政务外网安全防护现状,本文研究推进基于威胁阻断的主动防御能力构建,实现防护关口的前移,提升威胁发现能力、协同防御能力等,及时掌握网络安全状况、降低并消除网络威胁,以进一步提升政务外网互联网出口防护水平,以及网络安全保障和应急响应能力。
基于威胁阻断的主动防御系统概述
本研究以集中管理设备和威胁阻断设备为整体架构,将公有威胁情报和政务外网本地威胁情报进行共享联动,针对互联网出口构建基于威胁阻断的主动防御系统(以下简称“主动防御系统”)。主动防御系统对数据中心互联网出口区域的业务流量进行检测,基于威胁情报生成IP阻断指令,通过向网络发送阻断(reset)包,实现双向阻断,达成对互联网攻击行为的主动防御,进一步提升互联网出口安全防护能力。
主动防御系统组成
主动防御系统包括威胁阻断设备和集中管理设备等。其中,威胁阻断设备是依托顶尖的安全情报、本地情报以及其他情报源,对恶意攻击、受控外联等行为进行实时研判、预警和威胁拦截的综合防护系统;集中管理设备面向威胁阻断设备进行统一管理,包括统一策略配置、统一情报推送、统一日志展示分析等。
技术架构
集中管理设备充分融合汇总本地情报、本地安全事件数据、权威机构情报和第三方情报平台数据,面向全部威胁阻断系统进行统一管理,支持私有情报同步和威胁情报溯源。威胁阻断设备进行基于情报的风险识别,同时具备多维度、灵活匹配的情报检索能力,包括行业维度的情报画像、攻击来源画像、攻击轨迹追溯及详细原始信息下钻获取等,保证情报利用价值的最大化,最终对各种隐蔽威胁和未知威胁等进行有效防范。
系统的主要功能
功能架构
主动防御系统整体分为展示层、业务层、情报生产层及事件处置层等,各层级协同实现全流程安全防护。
其中,展示层提供全面、直观、可视化展示窗口,实时展示攻击监测、受控外联检测以及弱口令检测等数据,并按照不同的分析维度进行聚合展示,便于运维管理人员及时准确了解网络安全情况;业务层由正向攻击监测、受控外联检测、威胁情报溯源、情报源管理、弱口令登录检测以及点对点访问控制等模块组成;情报生产层基于内置的检测引擎及语义分析引擎,实时检测流量中的攻击行为,生成情报数据;事件处置层通过发送reset包实现旁路阻断,并实时同步告警数据。图1为主动防御系统功能架构。
威胁阻断设备主要功能
1. 基于IP黑白名单的防护策略配置
支持IP黑名单和IP白名单配置,具体配置项包括IP地址/IP段、过期时长及备注信息。
针对黑名单阻断配置,通过不同的IP地址进行各种有效的策略组合,以实现精准阻断,具备精准IP封禁、C段地址封禁、B段地址封禁等模式,封禁时长可以灵活控制。当IP黑名单的源IP访问目标时,或者客户端访问IP黑名单的目的IP时,流量经过威胁阻断设备检测后将被拦截,无法完成正常访问。
针对白名单配置,通过对核心资产仅放行已知的可信流量,有效阻断“零日攻击”、新型恶意软件及利用未知漏洞攻击等未知威胁。
2. 阻断恶意攻击流量
威胁阻断设备通过监听口对镜像流量进行分析检测,发现攻击行为后,模拟服务器端与客户端通信模式及状态细节,主动构造交互双方的reset包并发送到客户端或服务器端,以中断后续会话,达到封堵攻击的目的。
3. 攻击监测
威胁阻断设备支持自动值守与人工研判双模式,以满足不同安全防护级别的处置需求。在自动值守模式下,可对威胁请求直接进行实时封堵,无需手动配置;在人工研判模式下,可结合其他检测事件及业务系统的状态信息,对情报检测结果进行综合分析和二次甄别,通过增加人工判断环节提升威胁处理的可靠性。
威胁阻断设备支持防护资产配置,将本地资产按实际情况进行分组录入,与其他功能相互配合使用。威胁阻断设备支持受控外联检测,基于公有情报库中恶意网址、IP等情报,对政务外网互联网出口流量中的外联行为进行有效检测,并进行响应处置。
4. 访问控制
IP访问控制主要是针对网络层的访问控制,通过配置面向对象的通用包过滤规则,实现对非Web访问行为的管控。系统能够自定义不同区域或源IP到目的IP的一对一访问控制策略,支持IPv4和IPv6地址格式,配置策略按照不同时间级别设定生效周期,同时支持配置导入和导出。
集中管理设备主要功能
1. 多源情报融合
内置情报源接收实时更新的威胁情报,包含权威机构情报、第三方平台的情报,通过大数据融合技术挖掘和同步高危、鲜活的情报数据,并推送至威胁阻断设备,实现风险监测及联动处置。
2. 统一日志展示
集中管理设备对接所有节点的威胁阻断设备,实时同步设备日志信息和设备状态信息(包括设备名称、设备管理地址、设备状态、部署方式、CPU使用率、内存使用率、硬盘使用率等),并提供可视化、直观易用且全面的展示窗口,支撑安全管理人员及时准确了解各个网络节点的安全情况,必要时立即采取安全措施。
集中管理设备能够可视化展示整体攻击态势,在地图上直观显示情报IP分布,支持安全管理人员在数据统计界面进行人工研判。展示详情包括设备名称、威胁情报查询、实时攻击告警、外联检测分析、弱口令登录告警、设备告警TOP5、攻击IP TOP5及不同周期攻击封禁情况等。
在攻击监测方面,集中管理设备可统计攻击监测日志、分析攻击IP和被攻击IP等,通过丰富的组合筛选条件进行详细风险审计,实现对恶意IP的情报溯源和本地攻击溯源。
在外联检测方面,集中管理设备可统计外联检测日志、分析外联域名等,通过丰富的组合筛选条件进行详细审计。
在弱口令登录检测方面,集中管理设备可实时同步告警日志,并通过丰富的组合筛选条件进行详细审计。
3. 统一策略下发
集中管理系统可统一配置安全检测策略,并下发至威胁阻断系统,包含攻击检测策略、受控外联检测策略、弱口令登录检测策略、IP访问控制策略等。
攻击检测策略可以配置策略、规则及详细的防护参数(含防护分组、情报类型、情报碰撞策略、情报威胁等级、处置动作等)。
受控外联检测策略针对威胁阻断设备进行外联检测策略的配置下发(含URL和IP的外联检测),对网络流量中所有外联行为进行有效检测,可按照不同资产分组设置不同的处理动作。
弱口令登录策略主要用于检测密码的强弱程度并进行防护,可以根据需求选择检测级别,也可以自定义口令字典。
4. 外联检测情报同步
集中管理系统对接外联私有情报,可以手动添加或者批量导入外联检测情报,可导入URL及IP类型情报,并支持导出备份。外联域名支持正则匹配,同时将所有外联域名或外联IP推送至所有节点威胁阻断设备。
系统部署与对接
部署架构
根据中央级政务外网网络结构特点,在数据中心安全管理区部署集中管理设备进行统一管理,在数据中心核心交换区部署威胁阻断设备进行整体安全防护。
集中管理设备接入公有情报平台,该平台每分钟向集中管理设备推送公有情报,集中管理设备留存情报到本地;业务镜像流量通过流量日志系统被推送至威胁阻断设备,该设备对镜像流量进行分析,一旦匹配到情报库信息,威胁阻断系统立即发送阻断包至交换机,强制中断攻击行为,阻断包发送频率为“匹配到一次情报库信息就发送一次”。
系统对接
集中管理平台对接威胁情报系统,通过提供API接收威胁情报系统的黑名单IP,将情报下发至威胁阻断设备,由该设备执行攻击阻断。上述功能可结合内部业务系统、办公系统和管理系统等不同属性信息资产的管控需求,有效防护横向渗透攻击、恶意反弹攻击、隐蔽通道攻击等典型的内部安全威胁,通过违规跨域访问控制实现对内网分区、分域的安全隔离。
集中管理平台与威胁阻断设备对接,并对后者进行集中管理,可实现统一策略配置、统一情报推送、统一日志展示分析等。
威胁阻断设备与流量日志平台完成流量日志对接,可及时获取镜像流量,按照相关策略配置实现预期阻断防护效果。
总结
本文基于落实国家关于开展网络“主动防御”能力建设的要求,研究提出基于威胁阻断的政务外网主动防御方案,并进行应用实践,取得了以下几方面成效。
一是实现“一点监控、全网阻断”。通过对接权威情报组织、第三方情报平台的情报数据,进行多源融合与智能分析,当任一防护设备检测到互联网攻击时,可实时联动互联网出口威胁阻断系统进行拦截封堵。
二是实现“纵深防御、联防联控”。依托私有威胁情报信息及安全域监控审查策略,对监测到的内网横向流量中的恶意渗透攻击、非法访问连接、违规对外连接等进行自动化隔离阻断,以达到内网间情报贯通、安全隔离的效果。
三是实现“自动化监测与阻断”。利用大范围部署的监测节点搜集情报数据,实现各互联网出口任意节点检测到的互联网攻击信息与阻断设备情报源的及时共享,开展针对性防护,有效弥补传统静态防御无法主动应对攻击方式变化的短板,真正实现网络安全防护由静态防御到动态防御、从被动防护到主动防御的转型。
*本篇刊载于《通信世界》2025年11月25日*
第22期 总980期
