基于威脅阻斷的政務(wù)外網(wǎng)主動防御研究

通信世界網(wǎng)消息（CWW）近年來，全球網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，針對重要行業(yè)設(shè)施的惡意網(wǎng)絡(luò)攻擊事件屢屢發(fā)生，攻擊目標(biāo)從電力、交通等領(lǐng)域延伸到公共服務(wù)、政務(wù)服務(wù)系統(tǒng)等重要設(shè)施。政務(wù)外網(wǎng)作為我國數(shù)字政府的基礎(chǔ)底座，經(jīng)過十多年持續(xù)的安全基礎(chǔ)設(shè)施建設(shè)，已經(jīng)建立了基于邊界劃分的縱深防御體系，形成基于“防火墻—IDS/IPS—WAF”的入侵防范能力。然而，在日常安全事件監(jiān)測應(yīng)對和攻防演練中發(fā)現(xiàn)，上述被動防御體系存在嚴(yán)重依賴大量人力投入、容易出錯和應(yīng)對效率不高等問題。

國務(wù)院2021年發(fā)布實施的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》明確要求，“采取技術(shù)保護措施和監(jiān)測預(yù)警措施，應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)攻擊和違法犯罪活動”；而2022年發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》（GB/T 39204-2022）明確將“主動防御”列為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的六個環(huán)節(jié)之一。

為落實國家相關(guān)要求，結(jié)合政務(wù)外網(wǎng)安全防護現(xiàn)狀，本文研究推進基于威脅阻斷的主動防御能力構(gòu)建，實現(xiàn)防護關(guān)口的前移，提升威脅發(fā)現(xiàn)能力、協(xié)同防御能力等，及時掌握網(wǎng)絡(luò)安全狀況、降低并消除網(wǎng)絡(luò)威脅，以進一步提升政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口防護水平，以及網(wǎng)絡(luò)安全保障和應(yīng)急響應(yīng)能力。

基于威脅阻斷的主動防御系統(tǒng)概述

本研究以集中管理設(shè)備和威脅阻斷設(shè)備為整體架構(gòu)，將公有威脅情報和政務(wù)外網(wǎng)本地威脅情報進行共享聯(lián)動，針對互聯(lián)網(wǎng)出口構(gòu)建基于威脅阻斷的主動防御系統(tǒng)（以下簡稱“主動防御系統(tǒng)”）。主動防御系統(tǒng)對數(shù)據(jù)中心互聯(lián)網(wǎng)出口區(qū)域的業(yè)務(wù)流量進行檢測，基于威脅情報生成IP阻斷指令，通過向網(wǎng)絡(luò)發(fā)送阻斷（reset）包，實現(xiàn)雙向阻斷，達成對互聯(lián)網(wǎng)攻擊行為的主動防御，進一步提升互聯(lián)網(wǎng)出口安全防護能力。

主動防御系統(tǒng)組成

主動防御系統(tǒng)包括威脅阻斷設(shè)備和集中管理設(shè)備等。其中，威脅阻斷設(shè)備是依托頂尖的安全情報、本地情報以及其他情報源，對惡意攻擊、受控外聯(lián)等行為進行實時研判、預(yù)警和威脅攔截的綜合防護系統(tǒng)；集中管理設(shè)備面向威脅阻斷設(shè)備進行統(tǒng)一管理，包括統(tǒng)一策略配置、統(tǒng)一情報推送、統(tǒng)一日志展示分析等。

技術(shù)架構(gòu)

集中管理設(shè)備充分融合匯總本地情報、本地安全事件數(shù)據(jù)、權(quán)威機構(gòu)情報和第三方情報平臺數(shù)據(jù)，面向全部威脅阻斷系統(tǒng)進行統(tǒng)一管理，支持私有情報同步和威脅情報溯源。威脅阻斷設(shè)備進行基于情報的風(fēng)險識別，同時具備多維度、靈活匹配的情報檢索能力，包括行業(yè)維度的情報畫像、攻擊來源畫像、攻擊軌跡追溯及詳細(xì)原始信息下鉆獲取等，保證情報利用價值的最大化，最終對各種隱蔽威脅和未知威脅等進行有效防范。

系統(tǒng)的主要功能

功能架構(gòu)

主動防御系統(tǒng)整體分為展示層、業(yè)務(wù)層、情報生產(chǎn)層及事件處置層等，各層級協(xié)同實現(xiàn)全流程安全防護。

其中，展示層提供全面、直觀、可視化展示窗口，實時展示攻擊監(jiān)測、受控外聯(lián)檢測以及弱口令檢測等數(shù)據(jù)，并按照不同的分析維度進行聚合展示，便于運維管理人員及時準(zhǔn)確了解網(wǎng)絡(luò)安全情況；業(yè)務(wù)層由正向攻擊監(jiān)測、受控外聯(lián)檢測、威脅情報溯源、情報源管理、弱口令登錄檢測以及點對點訪問控制等模塊組成；情報生產(chǎn)層基于內(nèi)置的檢測引擎及語義分析引擎，實時檢測流量中的攻擊行為，生成情報數(shù)據(jù)；事件處置層通過發(fā)送reset包實現(xiàn)旁路阻斷，并實時同步告警數(shù)據(jù)。圖1為主動防御系統(tǒng)功能架構(gòu)。

威脅阻斷設(shè)備主要功能

1.基于IP黑白名單的防護策略配置

支持IP黑名單和IP白名單配置，具體配置項包括IP地址/IP段、過期時長及備注信息。

針對黑名單阻斷配置，通過不同的IP地址進行各種有效的策略組合，以實現(xiàn)精準(zhǔn)阻斷，具備精準(zhǔn)IP封禁、C段地址封禁、B段地址封禁等模式，封禁時長可以靈活控制。當(dāng)IP黑名單的源IP訪問目標(biāo)時，或者客戶端訪問IP黑名單的目的IP時，流量經(jīng)過威脅阻斷設(shè)備檢測后將被攔截，無法完成正常訪問。

針對白名單配置，通過對核心資產(chǎn)僅放行已知的可信流量，有效阻斷“零日攻擊”、新型惡意軟件及利用未知漏洞攻擊等未知威脅。

2.阻斷惡意攻擊流量

威脅阻斷設(shè)備通過監(jiān)聽口對鏡像流量進行分析檢測，發(fā)現(xiàn)攻擊行為后，模擬服務(wù)器端與客戶端通信模式及狀態(tài)細(xì)節(jié)，主動構(gòu)造交互雙方的reset包并發(fā)送到客戶端或服務(wù)器端，以中斷后續(xù)會話，達到封堵攻擊的目的。

3.攻擊監(jiān)測

威脅阻斷設(shè)備支持自動值守與人工研判雙模式，以滿足不同安全防護級別的處置需求。在自動值守模式下，可對威脅請求直接進行實時封堵，無需手動配置；在人工研判模式下，可結(jié)合其他檢測事件及業(yè)務(wù)系統(tǒng)的狀態(tài)信息，對情報檢測結(jié)果進行綜合分析和二次甄別，通過增加人工判斷環(huán)節(jié)提升威脅處理的可靠性。

威脅阻斷設(shè)備支持防護資產(chǎn)配置，將本地資產(chǎn)按實際情況進行分組錄入，與其他功能相互配合使用。威脅阻斷設(shè)備支持受控外聯(lián)檢測，基于公有情報庫中惡意網(wǎng)址、IP等情報，對政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口流量中的外聯(lián)行為進行有效檢測，并進行響應(yīng)處置。

4.訪問控制

IP訪問控制主要是針對網(wǎng)絡(luò)層的訪問控制，通過配置面向?qū)ο蟮耐ㄓ冒^濾規(guī)則，實現(xiàn)對非Web訪問行為的管控。系統(tǒng)能夠自定義不同區(qū)域或源IP到目的IP的一對一訪問控制策略，支持IPv4和IPv6地址格式，配置策略按照不同時間級別設(shè)定生效周期，同時支持配置導(dǎo)入和導(dǎo)出。

集中管理設(shè)備主要功能

1.多源情報融合

內(nèi)置情報源接收實時更新的威脅情報，包含權(quán)威機構(gòu)情報、第三方平臺的情報，通過大數(shù)據(jù)融合技術(shù)挖掘和同步高危、鮮活的情報數(shù)據(jù)，并推送至威脅阻斷設(shè)備，實現(xiàn)風(fēng)險監(jiān)測及聯(lián)動處置。

2.統(tǒng)一日志展示

集中管理設(shè)備對接所有節(jié)點的威脅阻斷設(shè)備，實時同步設(shè)備日志信息和設(shè)備狀態(tài)信息（包括設(shè)備名稱、設(shè)備管理地址、設(shè)備狀態(tài)、部署方式、CPU使用率、內(nèi)存使用率、硬盤使用率等），并提供可視化、直觀易用且全面的展示窗口，支撐安全管理人員及時準(zhǔn)確了解各個網(wǎng)絡(luò)節(jié)點的安全情況，必要時立即采取安全措施。

集中管理設(shè)備能夠可視化展示整體攻擊態(tài)勢，在地圖上直觀顯示情報IP分布，支持安全管理人員在數(shù)據(jù)統(tǒng)計界面進行人工研判。展示詳情包括設(shè)備名稱、威脅情報查詢、實時攻擊告警、外聯(lián)檢測分析、弱口令登錄告警、設(shè)備告警TOP5、攻擊IP TOP5及不同周期攻擊封禁情況等。

在攻擊監(jiān)測方面，集中管理設(shè)備可統(tǒng)計攻擊監(jiān)測日志、分析攻擊IP和被攻擊IP等，通過豐富的組合篩選條件進行詳細(xì)風(fēng)險審計，實現(xiàn)對惡意IP的情報溯源和本地攻擊溯源。

在外聯(lián)檢測方面，集中管理設(shè)備可統(tǒng)計外聯(lián)檢測日志、分析外聯(lián)域名等，通過豐富的組合篩選條件進行詳細(xì)審計。

在弱口令登錄檢測方面，集中管理設(shè)備可實時同步告警日志，并通過豐富的組合篩選條件進行詳細(xì)審計。

3.統(tǒng)一策略下發(fā)

集中管理系統(tǒng)可統(tǒng)一配置安全檢測策略，并下發(fā)至威脅阻斷系統(tǒng)，包含攻擊檢測策略、受控外聯(lián)檢測策略、弱口令登錄檢測策略、IP訪問控制策略等。

攻擊檢測策略可以配置策略、規(guī)則及詳細(xì)的防護參數(shù)（含防護分組、情報類型、情報碰撞策略、情報威脅等級、處置動作等）。

受控外聯(lián)檢測策略針對威脅阻斷設(shè)備進行外聯(lián)檢測策略的配置下發(fā)（含URL和IP的外聯(lián)檢測），對網(wǎng)絡(luò)流量中所有外聯(lián)行為進行有效檢測，可按照不同資產(chǎn)分組設(shè)置不同的處理動作。

弱口令登錄策略主要用于檢測密碼的強弱程度并進行防護，可以根據(jù)需求選擇檢測級別，也可以自定義口令字典。

4.外聯(lián)檢測情報同步

集中管理系統(tǒng)對接外聯(lián)私有情報，可以手動添加或者批量導(dǎo)入外聯(lián)檢測情報，可導(dǎo)入URL及IP類型情報，并支持導(dǎo)出備份。外聯(lián)域名支持正則匹配，同時將所有外聯(lián)域名或外聯(lián)IP推送至所有節(jié)點威脅阻斷設(shè)備。

系統(tǒng)部署與對接

部署架構(gòu)

根據(jù)中央級政務(wù)外網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特點，在數(shù)據(jù)中心安全管理區(qū)部署集中管理設(shè)備進行統(tǒng)一管理，在數(shù)據(jù)中心核心交換區(qū)部署威脅阻斷設(shè)備進行整體安全防護。

集中管理設(shè)備接入公有情報平臺，該平臺每分鐘向集中管理設(shè)備推送公有情報，集中管理設(shè)備留存情報到本地；業(yè)務(wù)鏡像流量通過流量日志系統(tǒng)被推送至威脅阻斷設(shè)備，該設(shè)備對鏡像流量進行分析，一旦匹配到情報庫信息，威脅阻斷系統(tǒng)立即發(fā)送阻斷包至交換機，強制中斷攻擊行為，阻斷包發(fā)送頻率為“匹配到一次情報庫信息就發(fā)送一次”。

系統(tǒng)對接

集中管理平臺對接威脅情報系統(tǒng)，通過提供API接收威脅情報系統(tǒng)的黑名單IP，將情報下發(fā)至威脅阻斷設(shè)備，由該設(shè)備執(zhí)行攻擊阻斷。上述功能可結(jié)合內(nèi)部業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)和管理系統(tǒng)等不同屬性信息資產(chǎn)的管控需求，有效防護橫向滲透攻擊、惡意反彈攻擊、隱蔽通道攻擊等典型的內(nèi)部安全威脅，通過違規(guī)跨域訪問控制實現(xiàn)對內(nèi)網(wǎng)分區(qū)、分域的安全隔離。

集中管理平臺與威脅阻斷設(shè)備對接，并對后者進行集中管理，可實現(xiàn)統(tǒng)一策略配置、統(tǒng)一情報推送、統(tǒng)一日志展示分析等。

威脅阻斷設(shè)備與流量日志平臺完成流量日志對接，可及時獲取鏡像流量，按照相關(guān)策略配置實現(xiàn)預(yù)期阻斷防護效果。

總結(jié)

本文基于落實國家關(guān)于開展網(wǎng)絡(luò)“主動防御”能力建設(shè)的要求，研究提出基于威脅阻斷的政務(wù)外網(wǎng)主動防御方案，并進行應(yīng)用實踐，取得了以下幾方面成效。

一是實現(xiàn)“一點監(jiān)控、全網(wǎng)阻斷”。通過對接權(quán)威情報組織、第三方情報平臺的情報數(shù)據(jù)，進行多源融合與智能分析，當(dāng)任一防護設(shè)備檢測到互聯(lián)網(wǎng)攻擊時，可實時聯(lián)動互聯(lián)網(wǎng)出口威脅阻斷系統(tǒng)進行攔截封堵。

二是實現(xiàn)“縱深防御、聯(lián)防聯(lián)控”。依托私有威脅情報信息及安全域監(jiān)控審查策略，對監(jiān)測到的內(nèi)網(wǎng)橫向流量中的惡意滲透攻擊、非法訪問連接、違規(guī)對外連接等進行自動化隔離阻斷，以達到內(nèi)網(wǎng)間情報貫通、安全隔離的效果。

三是實現(xiàn)“自動化監(jiān)測與阻斷”。利用大范圍部署的監(jiān)測節(jié)點搜集情報數(shù)據(jù)，實現(xiàn)各互聯(lián)網(wǎng)出口任意節(jié)點檢測到的互聯(lián)網(wǎng)攻擊信息與阻斷設(shè)備情報源的及時共享，開展針對性防護，有效彌補傳統(tǒng)靜態(tài)防御無法主動應(yīng)對攻擊方式變化的短板，真正實現(xiàn)網(wǎng)絡(luò)安全防護由靜態(tài)防御到動態(tài)防御、從被動防護到主動防御的轉(zhuǎn)型。

*本篇刊載于《通信世界》2025年11月25日*

第22期 總980期