基于流量分析的移动基线安全检测系统设计

李愿军 付跃军 雷西勇

（1.贵州中烟工业有限责任公司 贵州省贵阳市 550001 2.铜仁卷烟厂 贵州省铜仁市 554300）

作为网络安全管理中的一项基本管理要求，《GBT22239-2019信息安全技术网络安全等级保护基本要求》中对于各类业务的信息基础设施，提出了各种不同的配置要求。对于烟草行业而言，无论是在物理层面、网络层面还是数据层面、终端层面都承载着企业发展过程中各类软硬件的高要求[1]。其中物理安全基线要求27 条，网络安全基线要求39 条，主机安全基线要求25 条，应用安全基线要求30 条，数据安全基线要求12 条，终端安全基线要求15 条；采用人工方式进行安全基线核查存在费时低效、标准不统一、不能定时检查、检查不全面等各种问题[2]。当前基线配置核查管理的难点在于费时低效：检查1000 台设备，需要1 个专业人员40 天才能完成；标准不统一；不能定时检查；采取抽查的方式，无法覆盖全网设备；涉事资产是否整改，无法回归验证，无法建立有效的闭环管理机制等。因此，设定统一的安全基线配置核查指标，保障核心生产业务的安全持续运营，需建立一套符合铜仁卷烟厂乃至烟草行业网络安全特点的“移动基线安全检测系统”[3]。基于此，本文开展基于流量分析的移动基线安全检测系统设计研究。

1 基于流量分析的移动基线安全检测系统硬件设计

1.1 系统硬件结构框架设计

本文提出的基于流量分析的移动基线安全检测系统为满足对基线安全的检测需求，其整体结构包括基于流量分析的移动基线安全检测系统模块[4]。其中，标准策略库主要是针对各类信息设备进行核查，并根据铜仁卷烟厂在运行过程中其移动基线合规要求建立相应的配置标准。图1为基于流量分析的移动基线安全检测系统硬件结构框架示意图。

如图1所示，基于流量分析的移动基线安全检测系统硬件结构可划分为数据采集层、存储层、处理层和展示层。

数据采集层通过U 盘数据采集代理，对Windows、Linux、Unix、中标麒麟等系统数据源进行数据采集。

存储层主要是将采集的数据和数据处理分析后的数据进行存储，主要包括：采集信息库、合规结果库、CheckList 信息等。

数据处理层，对采集的数据进行分析，形成有价值的合规分析结果。

展示层则是以监测报告的形式，让数据以更直观的方式呈现在用户面前。同一种设备可以对扫描的不符合项进行确认定性为特定忽略并描述其原因，可解决不同情况不同标准的问题，完成从检查标准中体现针对工控系统的特点。

1.2 系统服务器选型

为满足本文系统的数据采集和存储要求，本文选用Poweredge R150-25 型号64G 服务器作为本文系统的数据采集服务器，选用Poweredge R150-25 型号128G 服务器作为数据存储服务器。该型号服务器当中包含E6-564V7 型号CPU 两颗；内存大小为64G 2400T；硬盘为550GBSAS58K 共三块；阵列卡（RAID 卡）选用H725 型号，支持4G/5G 缓存；电源为750W 双电型电源结构。将Poweredge R150-25 型号服务器通过硬件阵列控制器进行连接，能够有效提高磁盘的IO 性能。同时，Poweredge R150-25 型号服务器支持多个协议同时运行，为实现对移动基线的检测，本文选用SMB 协议对系统进行不需要安装代理的服务和启动服务[5]。同时，为实现本文系统的数据通信，采用端口3389 型号完成RDP 通信。通过该结构的支撑可有效提高终端服务器环境安全以及抵御黑客的非法入侵。同时，在Poweredge R150-25 型号服务器当中引入自动探测功能，自动探测被检测的操作类型及版本，无须再录入相关信息，从而降低了对设备信息的收集时间，节约对数据的录入时间，从而提高了本文系统在应用过程中的便利性和人性化设计。

2 基于流量分析的移动基线安全检测系统软件设计

2.1 移动基线自动采集和可视化展现

通过自定义策略、检查项及固化工作后，系统能够实现编写、灵活的方式，对信息资产的配置脆弱性信息自动采集与分析。在不影响现有系统稳定运行的基础上，实现工控系统上位机及服务器设备全面、细粒度的配置检查与合规对比分析、提供详尽的加固方案；通过配置脆弱性的直观展现，动态反映工控系统上位机及服务器的整体安全状况。

报告提供对采集命令审计和采集原始结果审计：

（1）用户依据原始结果中的采集脚本，可以了解采集过程中，基线服务器对被扫描设备操作情况，是否对本扫描设备部署的应用具有威胁性；

表1：两种检测系统实验结果对比表

（2）用户依据原始结果中的采集结果，可以了解该安全项对应被扫描设备的具体配置情况，不需要重新再登录到被扫描设备，人工查看配置信息[6]。

（3）采集命令和结果，易于帮助用户排错和整改。

2.2 基于流量分析的移动基线脆弱性核查

按照国家、烟草行业相关文件的指导和要求，将主流操作系统设备的安全基线配置基线标准固化，并利用强大的自动探测技术，对操作系统及版本信息通过多协议的自动组合完成对设备的全方位检查，面对越来越多的信息设备种类，可通过系统中的检查项配置功能完成用户的自定义检查项及配置核查策略[7]。移动基线安全检测系统的数据采集不仅涵盖了传统设备安全基线合规信息的采集，并且依据实际生产环境的不同，承载业务的重要性，应用系统的特殊性制定了不同的核查方式；基于多协议支持完成全网覆盖的定时及周期性自动核查；依据安全配置基线标准进行全面、细粒度的配置检查与合规对比分析后，直观、准确反映信息设备安全配置的整体状况，为安全运营提供有力的技术支撑。

3 对比实验

为进一步验证本文提出的基于流量分析的移动基线安全检测系统在实际应用中的性能，开展对其和传统检测系统的对比实验研究。本文实验案例选择在铜仁卷烟厂实施，覆盖铜仁卷烟厂现有的虚拟服务器硬件8 台、虚拟服务器38 台，包括自建信息系统8 个、工控系统6 个。分别利用本文系统和传统系统对铜仁卷烟厂中现有移动基线进行安全检测，并将检测结果分别进行记录，绘制成如表1所示的实验结果对比表。

由表1中的数据可以看出，本文系统在受到攻击时，数据丢失量明显小于传统系统，同时在第1 次、第4 次和第5 次攻击时，本文系统数据丢失量为零具有十分重要的意义。而在第2 次和第3 次攻击时，数据丢失量对于整个移动基线的稳定运行而言不会受到影响。因此，通过对比实验证明，本文提出的基于流量分析的移动基线安全检测系统能够有效提高检测效率，减少移动基线数据丢失量。同时，在实验过程中，本文系统做到了现有IT 资产全覆盖，通过定期开展移动基线配置核查工作，有效提升了铜仁卷烟厂IT信息基础设施安全基线合规率，保障了现有业务环境的安全稳定运行，提升了铜仁卷烟厂网络安全总体防护水平。同时，针对本文提出的安全监测系统，如果按照一个应用系统和主机系统每年发生信息安全事件的百分比为1%，每起信息安全事件平均损失500000元，PC 终端平均每年发生信息安全事件的百分比为2%，每次丢失数据平均损失100000 元，那么直接经济损失为ALE=(SLE×A RO)=(15+160)*1%*500000+500*2%*100000=187.5 万元由此每年减少直接经济损失为187.5万。另外，生产工业控制每年因为数据丢失、网络安全造成的灾害性损失难以用具体的经济损失来估计，而这些系统一旦因安全事件造成的经济损失往往以数十万数百万计，因此，实际节约的直接经济成本可能大于上述金额。

4 结束语

本文通过开展基于流量分析的移动基线安全检测系统设计研究，提出一种全新的安全监测系统，并通过标准的指导和实践的验证，探索如何在安全技术架构逐渐部署的前提下，更好地保障企业业务系统的安全。技术角度规范IT 设备的安全配置策略，从管理角度加强技术的落地和推广。本课题运用了技术和管理相结合的实践方式，充分考虑了铜仁卷烟厂乃至烟草行业业务系统的实际情况，正是这种从实际出发的技术实践最终得到了显著的效果，使系统具备可操作、可落地、可推广的优势。