高校网络安全服务新模式探索

孙建立 朱卫东 李歆丽

摘   要：基于深信服公司的网络安全技术，结合高校特殊网络环境，文章提出网络安全服务的一种新模式，内容包括：以安全防护、风险发现、检测响应、态势感知等4大组件为基础，结合“人机共智”的理念，实现实际网络防护的最新安全状况同步云端大数据中心并进行综合分析汇总的安全可视化平台;添加安全专家服务、风险中心、报告中心3大业务风险管理中心，提供全方位网络安全的立体化展示，做到事前风险预警、事中安全防御、事后应急处置。

关键词：安全防护;风险发现;检测响应;态势感知;大数据;人机共智

中图分类号：TP393.08 文献标志码：A 文章编号：1673-8454（2021）03-0027-05

一、引言

近几年，随着区块链和勒索病毒等新型技术和威胁的出现，整个黑产发生了很大的变化，因为勒索病毒改变了获利模式;比特币，改变了交易模式，两者结合让安全事件发生频率大大提高，让攻防对抗变得更加不对等。

近期，CNCERT捕获勒索软件近14万个，总体呈现快速增长趋势。勒索软件 GandCrab一年时间内就约出现了19个版本，其更新迭代速度远超安全厂商的产品迭代速度。其次伴随“勒索软件即服务”产业的兴起，活跃勒索软件数量同样呈现快速增长趋势，且更新频率和威胁影响范围都大幅度增加，导致用户网络安全的有效性面临极大的挑战。

根据威瑞森 2019年数据泄露调查报告，攻击者启动攻击到攻击成功往往只需要数分钟甚至几十秒便可完成。针对这些攻击事件，防守方的平均检测时间及平均处置时间却越来越长，普遍需要几周、几个月才能发现攻击行为并加以处置。

安全工作不是一蹴而就的，它始终贯穿于日常生活中。针对高校网络环境，实际存在诸多网络安全问题难以解决，包括以下几方面。[1]①资产管理困难：内部资产数量不清楚，资产变动无感知。②防御边界模糊：业务交互复杂，暴露面过多，防护边界模糊，给黑客留下大量机会。③脆弱性难修复：存在大量脆弱性问题，修复措施难推进，修复状态无管理。④防守策略无效：安全策略配置依赖工程师的主观判断，策略有效性难保障。⑤事件响应被动：安全事件发生摸不着，看不见，处置难，损失大;难以主动发现、快速止损。⑥高端人才紧缺：缺乏专业的安全对抗专业人才;薪资要求高，招聘难。

为了解决高校网络安全人员缺口的瓶颈问题，结合北京交通大学实际网络安全环境与深信服安全科技公司实际进行探讨，最终基于网络安全态势感知平台[2]的理念，提出进行基于大数据分析与云端的安全服务综合平台（以下简称云网络安全服务平台）的建设与应用。通过把安全专家资源池化的方式，让更多的单位能随时享受到专业的安全团队服务。同时，再将安全团队实际处理问题的经验固化到云网络安全服务平台中，实现精准的监测告警并输出专业的处置建议，达到“人机共智”的效果。通过“人机共智”理念打造的网络安全运营服务，将从资产、漏洞、威胁、事件四个要素出发，全面、持续地进行信息安全风险管理，与用户一同构建持续（7×24小时）、主动、闭环的安全运营体系，帮助用户实现安全合规、风险可控、能力提升、价值可视。

二、云网络安全服务平台

平台在云端为使用者配置了多种级别的安全专家，根据使用者遇到的网络安全事件级别，对安全专家进行合理分配。平台云端的安全专家，全都是拥有5年及以上安全工作经验的人员。云网络安全服务平台依托深信服的技术优势，汇聚了很多高阶安全专家，为用户虚拟成高级安全专家池。

当使用者遇到安全问题比较多时，云网络安全服务平台可以持续投入安全专家，甚至是云网络安全服务平台的首席专家和研发团队。采用人机共智的方式，确保了安全服务的持续性，并且持续进化、环形迭代。自动化运营平台模块用来保障更好的服务效果。这套系统解决了以往高校安全设备自运营阶段，工作量大、精力不足的问题。也解决了聘用第三方安全服务人员业务能力参差不齐、服务效果达不到预期的问题。

从大的层面上说，在安全体系建设中，大家比较常听到的是技术体系， 技术体系主要是通过一些技术手段和技术措施来实现。现在技术手段越做越多，技术体系的安全效果越来越低，并不是说我们使用的安全设备产品不行，而是现在安全的形式变化太快了，可是我们高校网络安全人员的精力有限，没有办法对每个安全产品都达到精通的状态，更没有能力将外部的威胁和自身的业务情况结合起来，形成动态调整的安全防御措施。

云网络安全服务平台引入了管理体系，通过制定人员行为、流程来规范化。但是现实中，管理体系真正运转起来的高校非常少，更多的是一堆体系文件放在那里。并不是说我们的技术体系和管理体系不行，而且我们现在缺少了这样的一个运营机制，帮助技术体系更好地发挥安全效果、帮助管理体系更好地落地。云网络安全服务平台意在帮助使用单位构建规范的安全运营体系，发挥技术体系安全效果，将管理体系更好地落地。

图1是云网络安全服务平台的架构，由安全组件、云端平台、云端专家、服务内容和服务机制五部分构成。

在用户端部署的这个安全组件的作用是为了收集用户现场安全设备的安全日志。随后将安全日志汇聚到云端平台，形成我们单位独特的内部网络安全信息，达到知己的状态。同时平台也可以采集外部的安全信息，看看大环境下有哪些安全事件，这些安全事件的行为特征是什么，攻击的路径是什么，传播的方式是什么，達到知彼的状态。将这两个状态通过AI引擎碰撞后，形成针对我们单位特有的威胁消息，这个威胁消息一定是立足于现在并且展望于未来的。从而可以去推动我们管理体系中的人员、流程去跟进处置这个事情。

这些威胁消息首先到达平台云端的T2安全运营专家，由T2安全运营专家初步研判处置。如果威胁消息过多，平台可以持续投入T2的安全运营专家;当威胁消息过于复杂时，T3首席安全专家会及时介入并列出解决方案后，通知用户和T1工程师，由T1工程师与用户确定解决方案的具体实现和跟进状态，解决方案最终又作用于我们的安全组件。

实际上，我们在安全组件、云端平台、云端专家提供的是一种安全运营的持续闭环能力，在此基础之上，平台又会提供七大安全服务内容，包括安全评估、漏洞管理、策略管理、攻击对抗、未公开威胁处置、事件分析与处置、应急响应等。貌似这七大服务内容跟以往的安全服务有些重合，但是其实不然，会比以往的安全服务更进步，后面会详细展开说。基于以上服务内容，去构建一个持续评估、持续保护、快速响应的服务机制。

1.安全评估（见图2）

标准安全评估指通过安全防护组件、风险发现组件和安全评估器的安装部署，从而完成外部威胁检测、Web安全扫描、系统漏洞扫描、系统基线检测、暴露面检查和防护有效性检查。其中风险发现组件具备资产可视化检测、大数据分析平台、智能分布式网络爬虫、脆弱性检测引擎、0DAY检测引擎等专业能力;安全防护组件具备攻击威胁检测和防护能力;安全评估器则具备边界防护有效性检测能力，通过模拟攻击测试查看防护状况。

最佳修复方案指通过安全专家的全面风险分析后，结合业务特性与行业最佳实践，最后交付用户安全风险加固方案和风险应对措施。

整个过程包括现场调研，获取用户的网络拓扑和业务情况，并进行安全设备并入和拓扑图的优化。一线服务人员针对用户的业务网络情况，进行资产梳理和安全组件的部署实施。安全服务专家结合用户的《风险评估报告》和《安全能力成熟度差距分析报告》，对用户的业务情况进行综合评估，产生最终服务方案。

在这个阶段，我们主要做的事情是理清有效资产、识别评估方向、异常状态检查、缺陷路径发现、业务安全脆弱性评估、边界安全脆弱性评估、安全脆弱性修复、风险应对及建议。

2.漏洞管理（见图3）

安全托管漏洞管理服务是通过上线评估、每日复查、每月复评这3大阶段，对用户的业务资产进行暴露面检查、漏洞检查、基线核查等全面的风险管理。以持续评估流程，加上精准的人工审核，确保风险及时发现。通过将业务风险及时通知到业务部门和持续复查，跟踪整个漏洞的处理闭环。

依托安全防护组件、风险发现组件，为用户提供新增资产增量评估、资产变更持续检测、高危风险持续复查、指定漏洞定向检测、每月全面检查等服务，云端大数据安全专家持续对0Day漏洞进行检测/监控。结合人工审核机制确保无误判以及甲级修复建议和报告解读。

整个过程通过安全运营中心自动定期下发扫描任务，与用户确认后对用户的风险漏洞进行识别确认，提前发现漏洞风险。当业务变更或新漏洞爆发后，及时与用户确认后下发扫描任务。安全工程师（T1）针对发现的漏洞及时进行线上安全防护组件的策略调整和规则库升级，并由高级安全运营专家（T2）给出专业的修复建议。通过定时漏洞复测，安全工程师（T1）持续跟踪用户的漏洞修复情况，确保用户的漏洞风险得以修复和解决。

3.策略管理（见图4）

策略管理存在的主要问题实际上是因为人员岗位流动性复杂，现任由于对上任所做的策略不了解，不敢删除，导致策略越来越多，久而久之就造成了策略宽松、策略乱序、策略冲突、策略冗余。

安全设备上线之后，业务测试正常，所以安全策略就一成不变，导致了安全策略极其宽松。举一个真实的案例：AF上面针对一个大网段做了SNAT映射，用于员工上网，然后针对服务器这个网段做了DNAT映射，用于服务器对外提供访问。这个大网段包含服务器的网关，这意味着服务器就可以主动向外发起请求了，有一天，服务器中了一个木马，这个木马把服务器的重要文件都copy走了。针对这种情况，平台提供了策略维护和策略指导的功能。当新增业务、业务变更时，平台会主动提供专家级的策略指导。

4.攻击对抗（见图5）

安全风险按照来源可分为内部风险和外部风险，外部最大的风险便来自于黑客攻击，特别是针对性、持续性的攻击。及早发现并遏制针对性、持续性攻击是规避外部风险的有效手段。

安全托管持续攻击对抗服务是基于云端情报和安全日志分析主动发现针对性或持续性攻击，并提供实时攻击对抗，将外部风险扼杀在萌芽之中，做到风险前移。

深信服会收集大量脱敏的攻击日志，当然很多是来源于用户的安全设备，还有一部分来源于合作伙伴共享，每天新增超过100G去重数据。

再通过深信服的大数据机器学习算法，根据黑客地理位置（例如是否境外）、时间隐蔽性（例如是否为凌晨、非业务时间）、攻击手法（例如善于利用高危漏洞、社会工程学）、攻击范围（例如历史攻击事件、攻击目标行业）、持续时间（例如长时间、有计划、有针对性）等建立高危黑客模型形成黑客画像。当发现有针对性或高级黑客正在攻击所保护的用户时立刻采取行动，封锁黑客行为。

高级安全运营专家（T2）根据云脑识别的高危攻击源形成应对策略（如封锁IP、调整防护阈值）。安全工程师（T1）实施应对策略扼杀风险于萌芽。

5.未公开威胁处置（见图6）

未公开威胁源自于专门白帽子团队在安全实验室中挖掘系统、中间件、开源框架等存在的未公开漏洞，全球100+合作伙伴（其中包含Google VirusTotal、微软MAPP、RAPID7、卡巴斯基等等）的威胁情报共享，经过用户允许确认后的流量上报沙箱分析。再经过安全专家确认后得到各类0Day漏洞、安全公司獨有漏洞或最新发现病毒的预防与处置解决方案。

依托风险发现组件和安全防护组件，通过高级安全运营专家及时对威胁进行通告、规避，并由研发团队将防护能力整合到安全设备中，更快、更及时地应对未公开威胁。其中包含安全专家负责对安全问题进行分析给出解决方案;运营专家负责安全策略的运营（通告预警、自定义策略临时防护）、临时应对、规避风险等;技术研发负责安全功能的迭代（更新规则库、升级安全组件），将防护能力集成到工具中，全面保障用户的业务避免受到未公开威胁的攻击，从而有效预防和解决用户的安全问题。

整个过程通过云端威胁情报共享和知名安全厂商云脑大数据安全专家进行未公开威胁的实时收集，及时发现/分析问题、下发应对策略。高级安全运营专家（T2）和首席安全专家（T4）快速更新防护策略、防护功能，保障用户的业务风险得以规避。

其实大家都不同程度遇到过未公开威胁。当出现一个未公开威胁时，一般安全厂商的做法是在其微信公众号、微博上进行通告预警。实际上这样会导致一个问题，就是这个威胁有没有对我、我的业务系统产生影响。相对于以往的安全服务，我们的做法是，直接告诉你说，我们发现了一个未公开威胁，这个威胁有什么危害，目前我们的AF 和EDR 已经整合了相关的防护能力。如果需要扫描确认的，我们征得用户同意后，就可以在云端下发扫描策略。从点到面的、又贴合实际场景地解决了我们的未公开威胁。例如，勒索病毒变种，我们当天通知了所有的云网络安全服务平台用户，帮助用户规避风险。还有前两周的Weblogic反序化漏洞，我们也是当天通知了用户，帮助用户规避风险。

6.事件分析与处置（见图7）

安全托管事件分析与处置服务是基于僵尸网络、病毒、后门、黑链等各类安全事件的分析与处置，通过结合知名安全厂商主动发现、主动处置、被动响应流程，为用户提供以上安全事件的处置服务。

依托于安全防护组件、检测响应组件和云脑安全平台，将海量安全数据脱敏，包括漏洞信息、共享威胁情报、异常流量、攻击日志、病毒日志等数据，经由大数据处理平台（Spark、HBASE、Hadoop等技术），结合人工智能和云端安全专家，使用多种数据分析算法（SVM、貝叶斯网络、随机森林、LDA、DGA、马尔科夫聚类、iForest、RNN等）模型进行数据归因关联分析，发现各类安全事件。

安全事件积极处置并分析出的勒索病毒、挖矿病毒、篡改事件、webshell、僵尸网络等安全事件，安全服务专家对攻击事件进行深入的分析，包括攻击路径溯源，从根本上给出安全修复整改建议和安全防护加固方案。

当发现安全事件后，安全工程师（T1）第一时间与用户联系对接，了解事件具体详情，然后高级安全运营专家（T2）或首席安全专家（T3）根据用户对事件的描述和事件严重等级分类标准确定影响范围和事件性质，确定安全事件的处理方案以及方案失败的应变和回退措施。

7.应急响应

安全托管应急响应服务是基于主动响应和被动响应流程，对用户的页面篡改、通报、断网、webshell、黑链等各类严重安全事件进行紧急响应和处置的解决方案。通过及时联系用户进行溯源分析排查，根据Web安全事件、恶意程序事件、网络流量攻击、信息破坏事件等不同事件的定级和响应级别，提供给用户专业的安全整改加固建议。

依托于安全防护组件和检测响应组件，实现入侵检测（分钟级检测）、0Day检测（24小时内、触发式检测）、后门检测（分钟级检测）、篡改检测（域名首页、每5分钟一次），勒索病毒、挖矿病毒等安全检测，支持紧急电话、邮件、Web管理端、微信公众号等多种响应渠道和方式，结合云端安全专家团队和本地安全专家，对安全事件进行入侵影响抑制、入侵威胁清除、入侵原因分析、加固建议指导等服务。

整个过程是通过安全工程师（T1）第一时间与用户联系对接了解事件具体详情，然后由高级安全运营专家（T2）根据用户对事件的描述、各方面收集的信息确定事件性质和影响范围，确定安全事件的应急处理方案并包含方案失败的应变和回退措施。如果在响应过程中，发现攻击正在扩散、持续，或者正在对当前业务正常运行造成影响，知名安全厂商安全服务团队将采取抑制手段，抑制事态发展是为了将事故的损害降到低程度。在对安全事件进行原因初步分析和影响抑制后，知名安全厂商安全团队将进一步处理安全事件并留存证据。知名安全厂商首席安全专家（T3）将从网络流量情况、主机系统日志、网站服务日志、业务应用日志、数据库日志等，结合已有安全设备数据，分析入侵方式，还原造成安全事件的过程。事件处理完毕后，根据整个事件情况进行分析汇总并提交一份《安全应急响应报告》。针对安全事件现象、处理过程、处理结果进行陈述，同时对入侵原因进行分析，并给出相应的安全加固建议和安全防御体系建设指导。

三、云网络安全服务平台的研究

相对于以往的安全服务，云网络安全服务平台用评估、检测、保护、响应多种手段协同，结合云端人工智能算法以及云端安全专家，避免企业或组织对安全事件认知存在盲点，将各个维度的安全行为统纳到云端进行全局思考交付。

通过持续评估、持续保护、快速响应三大服务机制，对七大内容系统化交付。避免了不一样的现场人员服务效果不一样的问题。

通过云端平台解决了持续服务的问题，避免对安全事件的认识瓶颈，情报协作贯穿安全事件的生命周期。

我们提供安全组件的灵活扩展，也灵活按需提供安全服务。交付到用户端的价值是，帮助用户把安全运营体系建立起来，提供整体的安全效益。

四、结语

《网络安全法》已于2017年6月1日正式实施，针对违法行为可直接处罚相关单位和相关人员，并首次在法律中明确国家实行网络安全等级保护制度。随后，“网络安全等级保护2.0系列国家标准”悉数正式发布，并于2019年12月1日起正式实施。等保2.0成为我国网络安全领域的基本国策、基本制度和基本方法。等保2.0系列标准相较于以往的等保1.0标准更加注重全方位主动防御、动态防御、整体防控和精准防护，实现了对云计算、移动互联网、物联网、工业控制系统、大数据等保护对象的全覆盖，以及除个人及家庭自建自用网络之外的领域全覆盖。

根据调研，很多单位网络安全的建设工作存在误区，其中“重建设、轻运营”最为明显。众多单位安全建设集中在安全设备采购，部署后缺乏专人运转，导致发生安全事件时不能及时发现以及动态防护，日常安全工作受限于人力、技术资源，安全运营经验不足，导致安全效果无法达到预期。

参考文献：

[1]孙建立，李歆丽等.高校环境下的信息系统备案与安全管理研究[J]计算机科学，2018（46）：137-141.

[2]孙建立，杨志军等.基于数据流量分析的网络安全态势感知平台研究[J]计算机科学，2019（46）：275-280.

（编辑：王天鹏）