在气象部门构建积极主动防御网络安全体系的研究

0 引言

近年来，网络空间安全形势快速发展，随着互联网飞速发展，人工智能等新技术的应用，“攻防不对等”形势更为严峻。在体验互联网带来共享资源的同时，网络威胁也随之而来，信息探测、网络入侵、病毒感染、木马入侵等黑客攻击时时刻刻都在进行着。不少气象部门对网络安全问题都没有足够的重视和清晰的认识，成为近年来的黑客频频得手、造成重大损失的重要原因。

2017年6月国家网络安全法的正式发布和实施，2019年5月“等保2.0”公布，均要求国家关键性基础设施应具备全面看得见风险，快速响应风险，有效管理风险的能力。对入侵攻击的检测与防范、保障计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

网络安全是一个系统的概念，有效地安全策略制定，是网络信息安全的首要目标。因此，如何制定一个有效的安全防御策略，能够从攻击者视角、防守者视角双向辩证地去解决安全问题，已成为当下用户优先选择解决网络安全问题的重要条件之一。本文就着眼于气象部门系统的安全现状，以攻防视角探讨利用积极主动防御策略来保障气象网络安全，为气象部门构建适应新安全形势的网络安全保障体系，可以应对各类攻击的积极主动防御网络安全体系。

1 现存气象网络安全现状

1、高级威胁呈上升态势

气象网络被攻击手法不断地迭代，从起初的简单工具或自动化脚本的初级攻击手段，演变到利用APT、0day、社工等高级攻击方法。从起初的单一手段攻击，演变到多工具手段的复合使用。从起初的黑客个人行为，演变到由利益驱动的组织化。气象部门各类网络安全攻击事件层出不穷，网络安全防御压力增大。

气象部门传统的通过安全事件推动，由处置已知安全威胁所衍生的网络安全解决方案已经远远不足以应对目前复杂、多变的安全态势。

2、被动防御无法阻挡APT、0day

气象部门现行的网络安全防御机制，往往由防火墙、入侵检测、网闸及防毒软件建构其核心检测能力，这些产品依靠已知攻击特征码进行模式匹配来检测已知的网络攻击，在一些特定情况下，也可检测针对已知漏洞的新的未知攻击。

气象部门现行的网络安全防御机制能够非常有效地监测到一般的已知网络攻击，如：蠕虫、特洛伊木马、间谍软件、botnet及基本的电脑病毒等，但针对现今高级可持续威胁和东西流量安全，却完全没有招架之力。在大多数情况下，APT攻击面对气象部门传统的安全防御机制时，犹如入无人之境，因为这些攻击没有特征码，故气象部门传统的网络安全防御机制无法检测攻击者在起始阶段所采取的攻击手段，最终导致网络攻击者可以任意的控制气象部门网络。

3、网络安全攻击无法溯源取证

气象部门传统的网络安全产品只能根据现有安全策略组进行防御和阻断，对高级威胁行为无法进行有效的感知，从而也无法对攻击者的属性信息、攻击手法、攻击路径、攻击意图进行有效的判定和监控，因此在面对正在进行的攻击及入侵后的攻击溯源等问题上缺乏行之有效的方法。

2 典型主动防御技术

（1）沙箱

沙箱是采用虚拟化等技术构造封闭隔离的运行环境，记录恶意软件的执行过程所有操作行为，发现软件中隐藏的木马、病毒和恶意代码等，从而发现未知威胁。

按照实现方式，沙箱分为基于虚拟化和基于规则两种，基于虚拟化的沙箱让软件在封闭的虚拟机环境中执行，不会对宿主机产生影响。基于规则的沙箱，根据定义的规则限制软件对计算机的使用，通过拦截系统调用实现对资源访问等。

沙箱的作用是保护系统和分析软件行为，采用关键技术有虚拟化、恶意行为检测和重定向三种技术。虚拟化技术采用使逻辑资源与对用户隐藏不要细节并方便实现有效隔离。恶意行为检测技术采用特征码检测和行为检测，恶特征码检测是通过采集分析恶意软件的样本文件，提取包含字节的特征码，通过这些字节内容及位置信息来检验某个文件是否病毒然后检查样本文件是否具有。行为检测通过分析程序的运行状态，一旦发现恶意行为特征就产生告警。重定向技术将对系统恶意操作重定向到其他地方，保护系统资源的安全性，例如常见的文件重定向和注册表重定向等。

（2）蜜罐

采用类似狩猎中挖陷阱方法，在网络中部署仿真主机，主动诱导攻击者攻击，记录攻击细节并产生告警，可定位攻击源，也可虚拟出多个仿真主机，形成复杂的蜜网环境（黑客诱捕网络体系架构）提升异常行为的发现率，弥补网络防护体系短板，提升主动防御能力。

蜜罐可分为低交互式、中交换式和高交互式三种类型。低交互式简单模拟操作系统和部分服务实现，收集信息少，容易被攻击者识破。中交互式能模拟操作系统更多服务，提供攻击者和系统之间更多交互，收集信息更多。高交换式通常提供真实应用环境，很容易吸引攻击者，可以更多更全的信息，但是部署和维护成本更高。

（3）入侵容忍

由于系统漏洞和后门无法根除，攻击者总是能发现新的漏洞和新的攻击手段，系统不能保证百分之百的安全的前提下，安全人员不得不考虑在已经遭受攻击情况下，如何隔离和遏制攻击行为？如何确保核心系统的正常运行？这就是入侵容忍的概念，能够阻止和预防攻击的发生；能够检测攻击和评估攻击造成的破坏；在遭受攻击后，能够维护和恢复关键数据、关键服务或完全服务。入侵容忍应用可根据被保护的对象分为以下两类：对服务的入侵容忍，主要研究系统在面临攻击的情况下，仍能为预期的合法用户提供有效服务的方法和机制。对数据的入侵容忍，主要研究系统面临攻击的情况下如何保证数据的机密性和可用性。由于受到技术和成本等因素限制，目前入侵容忍技术发展缓慢，但是随着开源、云计算等技术发展主动防御技术，未来入侵容忍仍然是未来网络防御技术重要方向。

（4）可信计算

可信计算是为了解决计算机和网络结构上的不安全，从根本上提高安全性的技术方法，计算机的软硬件可以基于采用带有特殊密钥的硬件芯片形成信任链，确保系统运行以期望方式进行。可信计算犹如计算机的免疫系统，经过安全检测和用户许可的程序加入可信白名单允许其执行，未经许可的程序均认定为非法程序，例如病毒木马等恶意代码、漏洞利用工具和脚本等，虽然允许存在在当前系统中，但是不列入可信范围，就主动阻断其执行。确保系统可控，实现主动防御免疫，使得恶意程序难以执行和漏洞难以被利用。

（5）移动目标防御技术（MTD）

将目标系统组成要素进行多样化、随机化和动态，使得攻击面呈现出不确定性，导致攻击者无法获得准确的目标对象信息和特质，形成不断变化的攻击面。根据系统组成MTD技术实现层次分为动态网络、动态平台、动态软件和动态数据。攻击者在攻击开始前需要对系统网络的IP、端口和服务等进行扫描探测，MTD通过动态网络地址转换、端口跳变技术和动态拓扑技术，扰乱攻击者的扫描探测行为。动态平台主要包括处理器、虚拟机、操作系统、开发环境和运行环境等，通过构建多个异构的应用支撑平台，在系统运行期间进行动态切换。

动态软件是保持功能不变前提下，修改程序的指令实现程序的异构，采用多个异构的目标系统对攻击者呈现出连续动态变化特性，让漏洞难以在所有异构软件中复现。动态数据是改变程序中内部和外部的语法、编码和形式，攻击者或黑客工具很难针对不同数据表现形式都能攻击成功。

（6）零信任

零信任一种主动防御安全理念，传统的访问验证方式只需要知道IP或主机信息，便可通过验证，而零信任默认不相信任何人，需要明确用户身份、访问来源、授权途径等信息，否则访问请求则会被立即拒绝。

零信任的主流技术称为SIM：S为SDP（Software Defined Perimeter, 软件定义边界）、I为IAM（Identity and Access Management，身份识别与访问管理系统），M为MSG（Micro-Segmentation，微隔离）。SDP建立虚拟边界，利用基于身份的访问控制和权限认证机制，让应用和服务“隐身”，具有相应权限的用户才能看见。IAM定义和管理用户的角色和访问权限，即决定了谁可以访问，如何访问，访问后可以执行哪些操作。微隔离（MSG) 微隔离通过细粒度的策略控制，可以灵活地实现业务系统内外部主机与主机的隔离，让东西向流量可视可控，从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。

3 构建气象积极主动防御网络安全体系总体思想

总体思路：通过积极主动防御把威胁防护左移，把安全介入杀伤链的阻击时间提前，把被动挨打的龟壳式防御状态扭转为攻防平等对抗的状态，变被动为主动。

（1）、利用高仿真应用，把蜜罐沙箱平行部署于气象部门真实应用周围，混淆入侵者情报，让攻击者在侦查跟踪阶段就无法正确获取标靶；

（2）、不影响应用正常使用前提下，利用伪装代理、微蜜罐、中继节点的方式做沙箱发布，利用气象部门真实的空端口、空IP、虚假页面组建蜜网，多维度欺骗防御威胁者，增加攻击者命中蜜网沙箱的概率，增强威胁感知能力；

（3）、识别真人攻击与机器扫描的区别，对真人攻击能够获取攻击者的唯一硬件指纹，锁定威胁源，实现零误报。

（4）、通过扩大积极欺骗防御的感知面和感知时间，积累掌握足够的定制化威胁情报。该威胁情报不再是价值低、容易仿造的IP/URL，而是包括入侵者画像、黑客入侵路径及手法的高级威胁情报。通过该情报库可以指导精准溯源、更早介入安全告警、协助构建精准安全响应方案。

4 构建积极主动防御网络安全体系具体措施

（1）、混淆攻击，增加攻击成本

通过克隆气象部门业务的高仿真沙箱，混淆黑客的攻击目标，将攻击隔离进沙箱系统，延缓攻击进程，并且以邮件等形式通知气象部门管理员，为应急响应争取宝贵时间，降低气象部门信息资产、数据资产受损的风险。基于全链路欺骗，使攻防信息不对称，指数级提升攻击成本和难度，树立安全的威慑力。

（2）、部署诱饵文件，增强办公网入侵检测

气象部门办公网一直是网络安全的重灾区，气象部门需要在其办公网的PC终端机上安装诱饵文件，诱饵文件与沙箱联动，当攻击者攻击PC终端机准备利用PC终端机做跳板机，一旦“咬到”诱饵文件，就可以立马检测到攻击，并且通知气象部门管理员，及时采取措施。

（3）、伪装代理，攻击流量转移

利用“伪装代理”技术在气象部门真实服务器上建立伪装端口，使得攻击者在攻击客户真实服务器的时候让攻击者非常容易感知到伪装端口，伪装端口会把流量转移到沙箱中，同时，能够实时检测到资产被真正入侵。

气象部门还可以通过在网络层构建虚拟IP，并开通相关的端口映射到沙箱上，只要攻击者只要开始攻击该虚拟IP地址即可进入到虚假的沙箱内，实时检测有攻击者尝试攻击气象部门网络。

（4）、多角度、全方位的流量分析体系

通过捕获气象部门内对外、外对内和内对内多个方向网络流量，通过失陷威胁、横向移动、内部违规、外部威胁等分析方式，全面对各类攻击行为进行覆盖，能够大量检测出僵木蠕攻击、恶意挖矿、恶意后门等攻击类型。

（5）、动态联合分析，确定有效攻击

通过流量分析、网络层欺骗诱捕和应用层网站欺骗诱捕，在真真假假虚虚实实地诱捕页面和真实服务之间，一方面可以增加黑客的攻击成本，另一方面可以实现攻击精准检测0误报，实现有效攻击确认。

（6）、智能化阻断策略

能够实施对4-7层网络层通讯进行智能化策略阻断，可实施域名阻断、服务端IP阻断以及客户端IP阻断。同时还能够实施黑名单阻断和白名单阻断，加入白名单的地址，当对某个域名添加了黑名单打击，则所有人都不能在访问该域名，若启用了白名单打击，则所有人都只能访问到白名单打击中的域名。

（7）、溯源分析，帮助调查取证

通过详细记录攻击者执行的操作，并且可以获取攻击者的浏览器信息、操作系统信息、地理地址、设备的指纹、以及攻击者的一些社交账号，方便气象部门针对此攻击者的取证调查和溯源追踪。

（8）、攻击反制，解决攻防不对称

通过先进的攻击反制技术，对攻击者采取反监听措施，并可反向获取攻击者信息。气象部门可通过实现对攻击者的全面收集，获取全量的情报信息，包含攻击者当前使用设备的基本信息、WiFi连接状态和网络适配信息，以及攻击者的账户和进程信息等，来解决攻防不对称问题，实现对攻击者的反制。

5 总结

构建积极主动防御网络安全体系，不同于传统的蜜罐。积极主动防御机制是通过伪装发布，把蜜网融入气象部门的业务系统；通过基于黑客的入侵思路，一步一步把攻击者引诱到陷阱；实时追踪、记录、审计攻击者的行为。让防御更早的介入攻击环节，实现更准确、更强大的安全防护。

与IDS、APT等传统设备相比，积极主动防御网络安全体系思想是完全不同的思路和角度实现的网络安全威胁防范解决方案。积极主动防御能够完全切合等级保护2.0的主动防御思想，能够全面实现高级威胁的防护，也能够实现真正意义上的实战攻防对抗能力。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!