试述大型跨区日常网络安全防护工作分析.docx

试述大型跨区日常网络平安防护工作分析摘要：随着网络平安法、个人信息保护法、数据平安 法等法律法规的公布实施，大型跨区域关键信息基础设施单位的日 常网络平安防护亟需得到进一步完善和规范。文章从阐述大型跨区域 关基单位在网络平安防护面临的主要问题入手，对单位日常协同防护 体系建设以及关键区域的网络平安日常防护工作进行了思考研究。关键词：跨区域；关键信息基础设施；网络平安；协同防护；日 常防护1引言近年来我国网络平安顶层制度设计加速推进，网络平安上升至国 家平安，国家陆续公布网络平安法、个人信息保护法、数 据平安法等法律法规，对各企事业单位尤其是关键信息基础设施提 升自身整体平安防护水平，提出了具体的要求。而随着国家信息化发 展的逐步深入，我国关键信息基础设施单位的规模正在逐步扩大，业 务涉及各大民生行业，普遍形成了集团总部、省公司、地市分公司三 级跨区域架构，关联的信息系统和人员众多、网络结构复杂，单位管 理难度大，容易导致单位面临着各种性质的平安威胁。尽管单位花费 大量人力物力构建了相对完善的网络平安防护体系，但是每年全国各 地开展的各项应急演练检查中，大型关基设施企事业单位仍然被检查 发现多种平安风险，甚至一些网络攻击成功进入内网系统，存在较大 平安隐患。2大型跨区域关基单位网络平安防护面临的主要风险问题组织架构和责任不明确随着关基单位规模的扩大，单位组织架构也由总部延伸至地市,形成三级架构，但是网络平安日常防护的职责和要求却没有随着组织 架构的延伸而延续。局部单位网络平安责任制落实不力，未明确网络 平安管理工作负责领导、内设机构及相应责任，导致网络平安工作难 以推进。2.1 资产管理缺失关基单位在业务不断开展过程中，信息化系统建设不断扩大，人 员频繁流动，导致互联网资产和内网资产数量不清、信息不准确、归 属不明确等问题。尤其是地市层面分公司缺乏准确资产清单或有效的 资产管理系统，使得出现网络平安事件、严重漏洞时定位困难，无法 及时处置，任何一环的疏漏，都会造成互联网边界被突破、攻击者进 入单位内网的严重后果。2.2 互联网出口未收敛，内网各域边界模糊目前，仍然有众多关基单位由于业务的开展，分散了大量的互联 网应用，存在大量的互联网出口。不同分公司防护措施更是良莠不齐, 给攻击者创造了大量的机会，同时给防护工作带来巨大压力。止匕外, 单位内部存在一定数量的跨域终端，甚至混合域终端，而且分布广泛, 一旦这些终端被控，将直接成为攻击者的跳板。2.3 有防护体系下怎样进一步做好日常防护协同防护体系建设根据关基单位三级跨区域架构，建立网络平安日常三级协同流程, 分别在集团总部、省公司、地市公司设立研判分析组、攻击监测组、 防御处置组、应急保障组，重点加强纵向行动的统一领导，承接落实 好集团总部工作任务和要求，协调组织好自身管辖范围内的网络平安 事件。攻击监测组：重点负责全程方位监控和防护，及时发现攻击、 威胁，并上报研判分析组决策;研判分析组:重点负责重大攻击事件、 威胁行为分析研判，形成处置决策并安排处置，无法做出决策的逐级 进行上报，由上级统筹决议；防御处置组：主要根据研判分析组和上 级的决策进行相关处置动作，如阻断会话、封锁IP、停应用服务等， 负责对攻击事件发现和处置结果上报；应急保障组：负责对发现风险 漏洞、系统瘫痪、系统运行缓慢等异常情况处置，由主机系统运维人 员、应用开发运维人员、网络运维人员、平安运维人员等组成。3.1 网络纵深防御工作纵深防御是一种经典的平安防御思想，主要目的是通过多层次多 方面的防护措施，降低攻击入侵系统直至获取数据的可能性2。攻击 者的攻击路径一般通过下列图1所示五个步骤从外向内进行纵深攻击， 为做好纵深防御，单位需要从网络平安策略、重要防护资源、平安域 划分、技术手段、平安可控等方面层层递进，防止攻击者顺利进行横 向和纵向渗透。3.2 攻击面防护管理 网络攻击者在发起攻击前，会对目标单位或系统开展广泛的信息收集工作，发现并筛选防护措施薄弱、存在漏洞利用等具有突破 口的系统作为目标。为了有效降低风险，在日常需要加强互联网暴露 面的梳理与管理，收敛攻击面、加强全方面平安防护管理，具体可以 涵盖下列图2所示九个方面的工作。3.3 主动防御工作传统的网络平安基于被动防护的思路，外挂式、补丁式的平安技 术和产品以及由此衍生的解决方案无法抵御不断演化的威胁和攻击 3,网络平安防护的理念需要由被动防护转向网络平安态势感知、应 急恢复处置、网络攻击行为诱捕等主动防御。建设网络平安联动共享 机制，通过风险监测、平安防护、应急响应等进行自驱动循环，构建 一套以人为本、以技术为驱动、以平安为导向、以业务流为组织的有 机整体，促进立体化防御体系的建设，具体日常工作如下列图3所示。3.4 社会工程学防护工作社会工程学是指通过与他人交流，使其心理受到影响，做出某些 动作或者是透露一些机密信息的方式。这通常被认为是以欺骗他人来 获取所需信息行为4。攻击者更倾向于利用工作人员平安意识的问题 窃取局部信息或权限发起攻击，如图4所示。因此在单位日常管理中 需要定期提升全体员工及第三方人员的平安意识，开展信息防泄漏自 查，严查并及时清理在互联网上存放的、涉及本单位重要系统的相关 技术规范、网络配置与拓扑、业务组件、源代码、邮件、通讯录等。3.5 AD域控系统防护工作大型跨区域关基单位经常会使用AD域(ActiveDirectoryDomain)来统一管理网络中的PC终端，日常域控的防护可以通过事前、事中、 事后多种手段和措施相结合加强域控平安管控，事前评估风险、加固 整改，事中实时监测、快速处置，事后日志回溯、复盘总结，确保不 发生重大平安事件，防止域控成为攻击突破口。3.6 VPN/4A系统防护工作VPN做为单位暴露在互联网上能够直接进入单位内部网络的通 道系统，以及4A系统作为对各类网元及系统连接提供物理和权限通 道5,在单位网络中扮演着关键的角色，并已成为攻击者重点关注对 象。如下列图6所示，单位日常可以从平台侧、账号状态、账号权限三 个方面来检查系统是否做到了脆弱性检查、双因子认证、账号稽核以 及权限分配等必要的防护工作。图6VPN/4A系统防护工作4结束语本文围绕大型跨区域关键信息基础设施单位在日常网络平安防 护的风险问题，针对性地从协同防护体系建设、网络纵深防御、攻击 面防护管理、主动防御、社会工程学防护、AD域控系统防护、VPN/4A 系统防护七个方面，思考提出了相应的日常工作内容，为单位在现有 网络平安防护体系下进一步做好网络平安工作提供了补充借鉴。参考文献：胡国良，肖刚，张超.新形势网络平安管理存在的问题及应对 建议浅析J.网络平安技术与应用，2020 (08) ： 7-8.耿延军，王俊周，红亮.云数据中心网络纵深防御研究川信息平安与通信保密，2019 (07) ： 22-29.刘建兵，王振欣.主动平安网络架构一一基于社会控制原理的网络平安技术J.信息平安研究,2021 (07)： 590-597.金涛，吴晓文.基于社会工程学网络渗透方法的研究J.网络空 间平安，2021 (Z2) ： 57-62.邹杰.基于4A平台的敏感数据防护系统几网络空间平安,2018 (03) ： 36-38.