構建檢察機關網絡安全防御一體化體系的設想

唐詩泉

隨著網絡的發展，基于網絡的信息交互和共享已經成為人類信息交流的最主要組成部分，同時由于網絡攻擊而導致的損失也隨之日益增長，信息安全面臨巨大挑戰。為了應對日益嚴重的信息安全問題，檢察機關多年來在信息安全防護方面不斷探索和實踐，對檢察技術人員的網絡安全防護要求也日益提高，面臨的網絡安全防護挑戰也日益升級，檢察技術部門在網絡安全方面往往面臨著人手短缺、知識與技能儲備不足、對網絡安全事件的分析與處置能力薄弱等多方面問題，這就要求我們在網絡安全防御策略方面做出改變。

一、現階段面臨的問題

近年來各級檢察機關以分級保護為基礎，建成了由防火墻（Firewall）、入侵檢測（IDS）、入侵防護（IPS）、安全審計（Security Audit）、流量監控（Traffic monitoring）等多種安全設備組成的網絡安全防護體系，有效地阻隔和減小了安全威脅。隨著檢察機關信息安全防護體系的建設，不斷有新的安全產品和技術部署到系統內，這些防御手段在一定程度上提升了檢察網絡自主安全防護能力，但這種被動的增添設備仍停留于“缺什么，補什么”的被動防御階段，并且大部分安全產品都是專注于特定方面的安全問題，在具體實施過程中相對獨立，從不同層面、不同角度來彌補網絡安全性的不足，形成了“打補丁”式的安全防護方式。這樣的防護方式極為被動，每一類威脅、甚至某一種威脅均需要一種甚至幾種防護手段的使用才能夠很好的發揮效果。但由于各種防御手段之間的防御原理不同、防御理念不同，造成的安全防御孤島仍無法面對層出不窮的安全威脅的攻擊和滲透，例如，防火墻處于網關的位置，不可能對進出攻擊作太多判斷，否則會嚴重影響網絡性能；入侵檢測系統（IDS）通過旁路監聽的方式不間斷的收取網絡數據，判斷其中是否含有攻擊的企圖，IDS 對網絡的運行和性能無任何影響，也不能對安全時間采取積極的措施，只能通過各種手段向管理員報警，但誤報率和漏報率始終是IDS 的實施的軟肋；入侵防護系統（IPS）則傾向于提供主動性的防護，其設計旨在預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報，但是IPS的規則如果配置失當則有可能導致正常業務被隔斷。這些網絡安全防護技術本身具有局限性，加之不能形成有效應對網絡威脅，有用的信息也不能得到有效利用，更有甚者，大量涌現出來的新的安全威脅已經具有了規避安全防御手段的能力，如碎片、變形、加殼等手段已經司空見慣。對于這樣的攻擊手段單一安全防御手段或單點防御能力已無法有效的進行防御；同時網絡運維仍大量采用人工分析和審計，信息安全防護的效果很大程度上依賴檢察技術部門網絡運維人員的個人業務水平和技術技能。網絡管理員需要檢查來自所有部署的安全設備提供的信息，作出合理的判斷，才能制定合理安全策略改進措施，大大的降低了網絡安全防護效率，因此整合各種網絡安全技術，實現各種安全設備之間的互通，構建基于一體化安全檢測的自適應網絡防御體系是檢察機關網絡安全優化的可行方案之一。

二、檢察機關網絡安全防御一體化的設計思路

檢察機關面臨的網絡攻擊威脅從路徑上來看是一條從最終用戶經過路由、交換、應用、數據的完整鏈條，這個鏈條之上的所有安全防御手段如防火墻、入侵檢測、漏洞掃描等均在一個攻擊路徑上進行各自的防御、分析工作。這既是產生了將其統一起來的先決條件。檢察機關網絡安全一體化防御既是在了解和掌握了網絡中整體安全態勢的前提下，針對各個特征點進行統一的策略部署和防御手段的制定，從而形成一個智能有效的多層次防御體系。

檢察機關信息安全主動防御一體化的大框架主要由數據采集、數據分析、風險控制和管理控制四層構成。

管理控制層進行整體安全態勢的分析、評價、預測與展現，總體安全策略的規劃與調整，安全解決方案的設計與執行，風險評價與監控，平臺管理，以及多級部署時的上下級聯；風險控制層基于漏洞知識庫和風險數據庫對系統的風險進行控制、降低或規避；數據采集層集成各類安全產品或組件，負責采集基礎網絡、主機系統、數據庫系統、業務應用和通用服務等不同層面的安全屬性，并將采集到的原始數據輸出到數據分析層；數據分析層基于漏洞知識庫對原始數據進行安全性分析，分析結果輸出到風險數據庫。為了更好地集成和關聯各個組件提供的功能和數據，在信息安全主動防御一體化平臺中設計了3 個數據庫，即管理數據庫、風險數據庫和漏洞知識庫。管理數據庫存儲電力信息安全主動防御一體化平臺的管理信息，包括任務信息、報表信息、用戶信息；風險數據庫存儲所有組件檢測到的各類安全風險信息；漏洞知識庫存儲專家的經驗知識，包括漏洞分類、漏洞檢測插件、漏洞風險描述、解決方案等

檢察機關網絡安全主動防御一體化設計的基礎組件包括安全測評類組件和安全加固類組件。測評組件基于漏洞知識庫對管理控制臺下發的測評任務信息進行分析，在漏洞知識庫的支持下采集網絡各節點的安全風險數據，并輸出到數據分析模塊，分析后進入風險數據庫。加固組件基于漏洞知識庫對管理控制臺下發的加固任務信息進行分析，根據存儲于風險數據庫中的測評結果，在漏洞知識庫的支持下對測評對象進行加固，加固完成后進行驗證，并進入風險監控階段。其中，分本地加固和系統加固2 種，前者直接在測評對象上進行，后者考慮到部分加固措施無法在測評對象上實施或實施風險過高，則通過加強邊界、網絡等其他方面的安全防護措施來達到降低測評對象安全風險的目的?；A組件設計中難點之一是要開發設計可適應大部分主流安全防護產品的標準軟件代理模塊，不同來源的產品通過這些代理模塊與平臺進行交互。另外，如何解決產品自帶漏洞庫與平臺統一漏洞庫之間的轉換也需要重點考慮。

檢察機關網絡安全主動防御一體化設計的高級應用組件包括安全態勢、安全策略、解決方案和風險監控組件等。安全態勢組件對網絡特性、入侵信息、系統性能、安全狀況等信息進行關聯分析、數據融合和數據挖掘，以可視化方式表述，綜合呈現安全態勢，并進行安全態勢預測和態勢對比分析。安全策略和解決方案組件則根據系統安全態勢分析結果動態調整安全防護策略、自動化生成安全加固解決方案，經適度人工干預后下發基礎組件自主執行。風險監控組件實時監控系統的風險數據，在評價指標體系支撐下，對風險進行排序，重點監控高危風險點。為實現平臺在各級檢察機關一體化部署，平臺支持上下級聯，下一級接受上一級的管理，使一體化防御平臺可以防御針對整個檢察專網的攻擊。高級應用組件是整個平臺的關鍵部分，解決了通用安全防護軟件只針對特定類型安全問題和被動觸發式工作模式等局限性，其中安全態勢綜合分析與預測、可視化展現、自主策略調整與加固、風險評價與監控等是平臺研究和設計的重點和難點。

通過構建基于一體化安全檢測的主動網絡防御體系，可以將現有的各網絡防護技術手段整合為一個整體，協助檢察技術部門網絡管理員了解和掌握檢察專網中整體安全態勢，針對各個特征點進行統一的策略部署和防御手段的制定，形成一個智能有效的多層次防御體系，為檢察工作提供更為安全便利的網絡環境。endprint