大型跨区日常网络安全防护工作分析

摘要：随着《网络安全法》、《个人信息保护法》、《数据安全法》等法律法规的颁布实施，大型跨区域关键信息基础设施单位的日常网络安全防护亟需得到进一步完善和规范。文章从阐述大型跨区域关基单位在网络安全防护面临的主要问题入手，对单位日常协同防护体系建设以及关键区域的网络安全日常防护工作进行了思考研究。

关键词：跨区域；关键信息基础设施；网络安全；协同防护；日常防护

1引言

近年来我国网络安全顶层制度设计加速推进，网络安全上升至国家安全，国家陆续颁布《网络安全法》、《个人信息保护法》、《数据安全法》等法律法规，对各企事业单位尤其是关键信息基础设施提升自身整体安全防护水平，提出了具体的要求。而随着国家信息化发展的逐步深入，我国关键信息基础设施单位的规模正在逐步扩大，业务涉及各大民生行业，普遍形成了集团总部、省公司、地市分公司三级跨区域架构，关联的信息系统和人员众多、网络结构复杂，单位管理难度大，容易导致单位面临着各种性质的安全威胁。尽管单位花费大量人力物力构建了相对完善的网络安全防护体系，但是每年全国各地开展的各项应急演练检查中，大型关基设施企事业单位仍然被检查发现多种安全风险，甚至一些网络攻击成功进入内网系统，存在较大安全隐患。

2大型跨区域关基单位网络安全防护面临的主要风险问题

2.1组织架构和责任不明确

随着关基单位规模的扩大，单位组织架构也由总部延伸至地市，形成三级架构，但是网络安全日常防护的职责和要求却没有随着组织架构的延伸而延续。部分单位网络安全责任制落实不力，未明确网络安全管理工作负责领导、内设机构及相应责任，导致网络安全工作难以推进[1]。

2.2资产管理缺失

关基单位在业务不断发展过程中，信息化系统建设不断扩大，人员频繁流动，导致互联网资产和内网资产数量不清、信息不准确、归属不明确等问题。尤其是地市层面分公司缺乏准确资产清单或有效的资产管理系统，使得出现网络安全事件、严重漏洞时定位困难，无法及时处置，任何一环的疏漏，都会造成互联网边界被突破、攻击者进入单位内网的严重后果。

2.3互联网出口未收敛，内网各域边界模糊

目前，仍然有众多关基单位由于业务的发展，分散了大量的互联网应用，存在大量的互联网出口。不同分公司防护措施更是良莠不齐，给攻击者创造了大量的机会，同时给防护工作带来巨大压力。此外，单位内部存在一定数量的跨域终端，甚至混合域终端，而且分布广泛，一旦这些终端被控，将直接成为攻击者的跳板。

3在现有防护体系下怎样进一步做好日常防护

3.1协同防护体系建设

根据关基单位三级跨区域架构，建立网络安全日常三级协同流程，分别在集团总部、省公司、地市公司设立研判分析组、攻击监测组、防御处置组、应急保障组，重点加强纵向行动的统一领导，承接落实好集团总部工作任务和要求，协调组织好自身管辖范围内的网络安全事件。攻击监测组：重点负责全程方位监控和防护，及时发现攻击、威胁，并上报研判分析组决策；研判分析组：重点负责重大攻击事件、威胁行为分析研判，形成处置决策并安排处置，无法做出决策的逐级进行上报，由上级统筹决议；防御处置组：主要根据研判分析组和上级的决策进行相关处置动作，如阻断会话、封锁IP、停应用服务等，负责对攻击事件发现和处置结果上报；应急保障组：负责对发现风险漏洞、系统瘫痪、系统运行缓慢等异常情况处置，由主机系统运维人员、应用开发运维人员、网络运维人员、安全运维人员等组成。

3.2网络纵深防御工作

纵深防御是一种经典的安全防御思想，主要目的是通过多层次多方面的防护措施，降低攻击入侵系统直至获取数据的可能性[2]。攻击者的攻击路径一般通过下图1所示五个步骤从外向内进行纵深攻击，为做好纵深防御，单位需要从网络安全策略、重要防护资源、安全域划分、技术手段、安全可控等方面层层递进，避免攻击者顺利进行横向和纵向渗透。

3.3攻击面防护管理

网络攻击者在发起攻击前，会对目标单位或系统开展广泛的信息收集工作，发现并筛选防护措施薄弱、存在已知漏洞利用等具有突破口的系统作为目标。为了有效降低风险，在日常需要加强互联网暴露面的梳理与管理，收敛攻击面、加强全方面安全防护管理，具体可以涵盖下图2所示九个方面的工作。

3.4主动防御工作

传统的网络安全基于被动防护的思路，外挂式、补丁式的安全技术和产品以及由此衍生的解决方案无法抵御不断演化的威胁和攻击[3]，网络安全防护的理念需要由被动防护转向网络安全态势感知、应急恢复处置、网络攻击行为诱捕等主动防御。建设网络安全联动共享机制，通过风险监测、安全防护、应急响应等进行自驱动循环，构建一套以人为本、以技术为驱动、以安全为导向、以业务流为组织的有机整体，促进立体化防御体系的建设，具体日常工作如下图3所示。

3.5社会工程学防护工作

社会工程学是指通过与他人交流，使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是以欺骗他人来获取所需信息行为[4]。攻击者更倾向于利用工作人员安全意识的问题窃取部分信息或权限发起攻击，如图4所示。因此在单位日常管理中需要定期提升全体员工及第三方人员的安全意识，开展信息防泄漏自查，严查并及时清理在互联网上存放的、涉及本单位重要系统的相关技术规范、网络配置与拓扑、业务组件、源代码、邮件、通讯录等。

3.6AD域控系统防护工作

大型跨区域关基单位经常会使用AD域（ActiveDirectoryDomain）来统一管理网络中的PC终端，日常域控的防护可以通过事前、事中、事后多种手段和措施相结合加强域控安全管控，事前评估风险、加固整改，事中实时监测、快速处置，事后日志回溯、复盘总结，确保不发生重大安全事件，避免域控成为攻击突破口。

3.7VPN/4A系统防护工作

VPN做为单位暴露在互联网上能够直接进入单位内部网络的通道系统，以及4A系统作为对各类网元及系统连接提供物理和权限通道[5]，在单位网络中扮演着关键的角色，并已成为攻击者重点关注对象。如下图6所示，单位日常可以从平台侧、账号状态、账号权限三个方面来检查系统是否做到了脆弱性检查、双因子认证、账号稽核以及权限分配等必要的防护工作。图6VPN/4A系统防护工作

4结束语

本文围绕大型跨区域关键信息基础设施单位在日常网络安全防护的风险问题，针对性地从协同防护体系建设、网络纵深防御、攻击面防护管理、主动防御、社会工程学防护、AD域控系统防护、VPN/4A系统防护七个方面，思考提出了相应的日常工作内容，为单位在现有网络安全防护体系下进一步做好网络安全工作提供了补充借鉴。

参考文献：

[1]胡国良，肖刚，张超.新形势网络安全管理存在的问题及应对建议浅析[J].网络安全技术与应用，2020（08）：7-8.

[2]耿延军，王俊周，红亮.云数据中心网络纵深防御研究[J].信息安全与通信保密，2019（07）：22-29.

[3]刘建兵，王振欣.主动安全网络架构——基于社会控制原理的网络安全技术[J].信息安全研究，2021（07）：590-597.

[4]金涛，吴晓文.基于社会工程学网络渗透方法的研究[J].网络空间安全，2021（Z2）：57-62.

[5]邹杰.基于4A平台的敏感数据防护系统[J].网络空间安全，2018（03）：36-38.

作者：张勇 胡嘉 俊肖刚 单位：国家计算机网络与信息安全管理中心湖南分中心