基于PDCA 的主机网信安全数字化防护“五步法”管理机制及应用

［陈子琨 陈龙如］

1 引言

在2016 年4 月19 日召开的网络安全和信息化工作座谈会上，习近平总书记对互联网管理提出明确要求：“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。”[1]根据国家互联网应急中心CNCERT 发布的《2020 年上半年我国互联网网络安全监测数据分析报告》，我国境内感染计算机恶意程序的主机数量约304 万台，同比增长25.7%。从我国境内感染计算机恶意程序主机数量地区分布来看，主要分布在江苏省（占我国境内感染数量的15.3%）、浙江省（占11.9%）、广东省（占11.6%）等，具体分布如图1 所示。

图1 我国境内感染木马僵尸程序的主机数量按地区分布

2 主机安全威胁分析

运营商的主机部署在公网和DCN/CN2 等内部网络，一般安装UNIX/LINUX 或WINDOWS 的操作系统，其中UNIX/LINUX 的数量居多，占比超过90%以上。UNIX/LINUX 主机主要存在4 类漏洞：①服务、端口和权限没有最小化；②服务存在弱口令或未经授权就能登录；③操作系统或应用软件存在高中风险的漏洞；④操作系统或应用服务的敏感信息泄露。第三方团体或个人可以利用主机的四类漏洞，获取主机的敏感信息或操作权限，甚至进行内网渗透，拿下核心数据库的权限，获取大量运营商用户的信息。

防火墙是整个数据包要进入主机前的第一道关卡，为了保护网络的安全，Linux 系统中提供了可靠的防火墙机制Netfilter，并在此基础上提供了Iptables 软件实现数据包的过滤。[4]ACL 是英文单词Access Control Lists 的首字母简写，意为访问控制列表，这种访问控制列表是通过对经由交换机或路由器的数据流进行判断、分类和过滤的一种技术。其本质是一系列包含着源地址、目的地址以及端口号等信息语句的集合，其中的每一条语句都可被称为通信规则，因为其规定了对到达的数据包进行处理的动作，只有匹配相应规则的数据包中的信息，才能通过访问控制列表访问相应的数据信息，否则就会被拒绝访问，这样就能实现安全控制路由器和网络。[5]通过启动Iptables 软件，配置ACL，实现主机访问流量的精准控制，这是实际安全防护中“零成本”且有效的一种方法。

主机ACL 配置完整和准确，则可以减少99%的主机安全威胁，但是由于配置主机ACL 有如下问题，主机管理员存在不敢配，不会配和不想配的心态，导致主机ACL配置缺失，或者不完整，或者不准确等情况。配置主机ACL 的主要问题如下。

（1）端口和IP 数量多：主机数量多，开放端口较多，访问IP 数量较多，收集端口和IP 的工作量很大。

（2）可能影响业务：主机端口承载着核心业务，ACL 配置不当容易导致业务异常甚至全阻。

（3）端口变化：日常主机的应用升级或变更，会改变主机端口，需要更新主机ACL。

PDCA 环是由著名的质量管理大师戴明于20 世纪60年代初创立的，又称戴明环.其反复强调质量控制的重要性，是一套能够全面遵循质量管理的科学程序，这个循环主要包括4 个阶段：计划（Plan）、实施（Do）、检查（Check）和处理（Action）。本文遵循工信部的系列规范与准则，对运营商主机网信安全的管理进行深度研究与分析，希望建设一套更理想、更科学的运营商主机网信安全数字化防护管理机制，将PDCA 循环引入运营商主机网信安全数字化防护的全面质量管理体系，通过PDCA 运转的基本方法，综合运用PDCA 过程方法和系统方法，遵循PDCA 环来构建运营商主机网信安全数字化防护质量管理体系的运行，使网络安全质量得以持续改进，不断地满足与超出各相关方的需求。[3]

3 主机安全数字化防护“五步法”管理机制

借鉴PDCA 循环的管理思路，某运营商建立了基于PDCA 的主机网信安全数字化防护“五步法”管理机制，如图2，基于PDCA循环分为建立访问矩阵、智能分析风险、正式启用配置、智能交叉核查、整改ACL 配置5 个阶段，在确保网络和业务运行稳定的前提下，分级防护，先观察后拦截，逐步完善策略。5 个阶段逐步进行，像车轮一样向前滚进，周而复始，不断循环。

图2 主机网信安全数字化防护的“五步法”管理机制流程图

3.1 建立访问矩阵

建立访问矩阵是主机网信安数字化防护“五步法”管理机制的第一步，对应PDCA 循环的计划（Plan）阶段，主要是明确平台的防护等级，主机ACL 配置规则和配置标准，然后通过数字化的方式，收集端口信息和访问关系，形成数字化的端口访问矩阵，助力管理员全面梳理业务系统的应用服务运行和内外调用关系，掌握业务系统运行情况的全景视图，为保障业务系统的稳定运行和网信安全打下坚实基础。

首先，根据平台承载的用户数量、重要性以及平台的接入网络和互联网暴露面来分级，用户数量多，接入公网且存在互联网暴露面的平台等级高，反之则低，从高到低，可以分为5 级。每个等级有相应的防护规则和防护配置标准。每一级的防护配置标准如表1 所示，本文重点研究的是主机ACL 白名单模式的配置。

表1 平台/系统分级防护的标准

一级防护：部署在公网的平台数据库主机。

二级防护：部署在公网的平台且设置了默认路由的主机，安全防护配置要求最低为二级防护。部署在CN2/DCN 的数据库主机安全防护配置要求最低为二级防护。

三级防护：部署在私网的平台，安全防护配置要求最低为三级防护。

四级防护：工程施工期间且部署在公网的平台，安全防护配置要求最低为四级防护。

五级防护：工程施工期间且部署在私网的平台，安全防护配置要求最低为五级防护。

管理员先初步收集系统主机的重要服务端口以及其他端口，主机内部的互访关系，主机和外系统的互访关系，建立一个基础的端口资源列表和端口访问矩阵，如表2 所示。重要服务端口的收集可参考漏洞扫描结果中具有中高危风险的服务端口，并结合服务的重要性，如Oracle 服务（1521 端口）、MySQL 服务（3389）、SSH 服务（22 端口）、FTP 服务（21 端口）、Web 服务（80、8080 端口）等。其中对于SSH 服务（22 端口），一般建议先配置白名单，源IP 为4A/网管/SOC 平台的地址，限制只能从4A/网 管/SOC 平台登录主机。

表2 主机端口访问矩阵

3.2 智能分析风险

根据基础的端口资源列表和端口访问矩阵，配置主机ACL，模式是不拦截只做记录，然后开启iptables 防火墙，ACL开始生效。管理员在收集一周到一个月的访问日志后，通过运行智能化脚本，去重提取出所有访问的源IP、目的IP、源端口、目的端口和协议类型。经管理员和外部门确认后，更新端口资源列表和端口访问矩阵，同步更新主机ACL，然后继续观察一周的访问日志，最终完成主机端口资源列表和端口访问矩阵的确认。

智能分析风险是“五步法”管理机制中很重要的一步，对应PDCA 循环的实施（Do）阶段，通过智能化的脚本，提高了管理员的工作效率，解决了主机ACL 的端口和IP信息量较多而产生的工作量大问题，通过一段时间的观察，确保端口访问矩阵信息准确完整，做到了“颗粒归仓”，解决了主机ACL 配置不准确可能影响业务的问题，保证主机ACL 正式启用后，网络和业务依然可以稳定运行，实现了主机网信安全数字化安全防护的“零成本”和“零影响”。

3.3 正式启用配置

正式启用配置是“五步法”管理机制的关键一步，仍处于PDCA 循环的实施（Do）阶段。它承前启后，在第2步通过观察确定的端口访问矩阵基础上，管理员修改主机防火墙ACL 的模式，从只记录不拦截，改为拦截且记录，允许白名单的IP 通过，拒绝其他IP，同时继续记录端口的访问日志，观察业务，直到业务运行正常一周以上。

虽然通过第二步的观察，端口访问矩阵的信息应该是准确和完整的，但由于观察时间在一个月左右，仍不排除缺漏了一些端口访问关系，因此正式启用配置还是具有很大的操作风险，可能会影响核心业务的运行，因此在正式启用配置后，应组织支撑厂商和外部门实施充分的业务回归测试，在测试通过后，管理员应继续观察一段时间业务的运行情况，若发现业务运行异常，则应检查主机防火墙的访问日志，核对无误后，更新端口访问矩阵以及主机ACL 配置，如此循环，直至业务高峰期过后，系统依然运行正常。

3.4 智能交叉核查

智能交叉核查是“五步法”管理机制的重要创新，处于PDCA 循环的检查(Check)阶段，是PDCA 循环的核心体现，遵循PDCA 循环的定义，通过程序每天智能化扫描主机端口的开放情况，以及定期组织经验丰富的专家交叉复核主机的ACL 配置，双管齐下，全面发现主机ACL 的配置缺漏或不当，进而去推动管理员去整改，最终实现主机ACL 配置的闭环管理。

为了及时发现主机端口的变更情况，以及主机ACL缺漏或配置不当的情况，解决管理员人工检查的低效和易失误问题，提高主机ACL 的工作效率，某运营商组织开源和安全人才自研Xnmap 端口扫描系统，实现对主机端口开放情况的每天自动扫描和核查，对于确认开放且未备案的端口，自动发邮件给管理员提醒处理，确保管理员能及时配置主机ACL。

在Xnmap 端口扫描系统的智能化扫描基础上，增加主机ACL 配置经验丰富的专家人工核查方式，弥补程序核查不够全面准确的缺陷，为此某运营商从各专业科室抽调熟悉主机ACL 配置的专家组成多个检查组，由检查组之间交叉核查主机ACL 的配置，检查系统的端口开放情况和主机ACL 配置，查看配置是否符合等级标准要求，检查记录表如表3 所示。

表3 交叉检查组的检查记录表

3.5 整改ACL 配置

整改ACL 配置是“五步法”管理机制的最后一步，处于PDCA 循环的处理(Action)阶段，是PDCA 循环的精华，遵循PDCA 循环的定义，只有不断整改发现的问题，完善相关的操作指引，主机网信安全数字化防护工作才能不断完善，适应主机网信安全防护最新的要求。

根据智能交叉核查的结果，发现主机ACL 配置还存在如下典型问题。各专业科室完成了主机ACL 配置的整改，并通过了检查组的复核。

（1）部分系统的ACL 策略未启用全端口白名单方式。

（2）ACL 配置的源IP 范围过大。

（3）部分端口允许同网段IP 访问。

（4）ACL 配置缺漏了部分端口。

3.6 应用效果

本成果自2016 年1 月4 日起在某运营商推广，历时5 年，已应用到移动核心网和网信安系统等核心网元及重要系统的主机，建立多个核心网元的业务访问关系矩阵，配置了11 759 台主机的ACL，关闭了6 894 个非必要的端口，部署了40 万+条主机ACL，并且通过智能交叉核查，发现1 326 个ACL 配置不符合规范，已经全部修正。

通过严格执行主机网信安数字化防护“五步法”管理机制，落实主机ACL 配置，守好主机的第一道大门，某运营商的主机安全风险隐患数持续下降，核心业务系统的主机网信安保障水平得到显著提升。

4 结束语

本文提出的基于PDCA 的主机网信安全数字化防护“五步法”管理机制，通过建立访问矩阵、智能分析风险、正式启用配置、智能交叉核查、整改主机ACL 五个阶段的循环开展，保证了主机防护配置的准确性、完整性和业务风险可控，解决维护人员不敢配、不会配和不想配的问题，实现了主机ACL 配置的“零成本，零影响，精准控制”，可以减少部署网络防火墙、蜜罐、全流量检测系统等安全设备，预计节省运营商至少3 000 万元网信安类软硬件的建设投资。基于PDCA 的主机网信安全数字化防护“五步法”管理机制有效构建了核心业务平台的主机安全防护能力，成为核心业务平台安全防护体系至为重要的组成部分，在全国范围内具有借鉴推广价值。