信息安全問題越來越頻繁地發生于網絡內部（內網），而傳統的安全防護產品更多的側重于邊界防護，對內部安全問題難以有效發現及處置。同時網絡內部的安全問題相對不容易察覺，也更容易造成大范圍的影響，可能在短時間內就擴散到全網。應對當前的信息安全局勢，我們需要將安全防護的邊界下沉至網絡層面，讓網絡與安全融合，使之在網絡層面就能夠發現威脅、處置威脅，實現網絡原生自安全。

　　1 引言

　　信息安全問題越來越頻繁地發生于網絡內部，傳統的網絡只是單純的作為數據傳輸通道， 而傳統的安全防護產品又更側重于邊界安全防護，也就是對外部攻擊的防護，這使得網絡內部的安全處于一種近似“真空”的狀態。根據調研顯示，68% 的受訪組織表示內部網絡攻擊的發生變得越來越頻繁，70% 的受訪者在一年內經歷過一起或多起內部網絡攻擊。

　　同時，大多數受訪者（52%）認為內部網絡攻擊比外部網絡攻擊更難檢測和防護，這是因為內部人員本身即擁有內部資源的訪問權限，要區分對內部資源的訪問是合法訪問還是惡意攻擊具有一定挑戰性。由此可見，網絡內部的信息安全問題呈現日益加劇的趨勢。為應對此種態勢， 我們不能僅僅依靠傳統的邊界防護，要將安全防護下沉至網絡層面，讓網絡從數據傳輸的通道變成安全可信任的管道，使得在網絡層面就能夠防御攻擊以及阻斷威脅的擴散。

　　我們在網絡設備內部增加安全防護模塊， 使其能夠實時采集、分析終端行為，由于網絡設備離終端最近，在部署位置上具備天然優勢， 在遇到威脅、攻擊可以第一時間進行處置并告警。將網絡安全由原來單純基于安全防護產品的單點防御，變成基于安全防護產品與網絡設備的網狀防御相融合的聯合防御系統。

　　2 網絡內部安全面臨的挑戰

　　《2020 Insider Threat Report》[1] 報告針對網絡內部攻擊的現狀進行調研，用戶覆蓋科技、金融、政府、教育、企業、電信和制造業等多個行業，其中受訪企業員工規模在 1000 人以上的訪談樣本占比為 46%。

　　根據其調研，只有占比 48% 的受訪組織表示有適當的方式去防護內部攻擊，有 29% 的受訪組織對其自身的防護能力不了解，還有剩下23% 的受訪組織表示明確不具備防護能力。如圖 1 所示。

　　圖 1 受訪組織具備防護內部攻擊能力調研

　　由于內部人員本身擁有一定的內部資源訪問權限，要區分一次對內部資源的訪問是合法性訪問還是惡意攻擊相比對外部網絡攻擊的檢測更具挑戰，因此，內部網絡攻擊相比外部網絡攻擊具備更強的隱蔽性和傳播性。如 2017 年“永恒之藍”勒索病毒在短時間內迅速蔓延 ， 包含政府部門、企業單位和教育機構等多個單位均受到侵害。

　　而“永恒之藍”勒索病毒是利用 Windows 操作系統的漏洞進行傳播，通過攻擊沒有關閉 TCP445 端口的 Windows 操作系統， 向其他受害者加以傳播和感染。但 445 端口是很常用的 TCP 端口，開啟此端口可在局域網中輕松訪問各種共享文件夾或共享打印機以提高工作效率，由此可以看出，對內部網絡攻擊的檢測與防護相比外部網絡攻擊確實更加充滿挑戰。

　　另外，根據調研，有 59% 的受訪者反饋無法及時處置內部攻擊威脅，這在社會節奏逐步加快的今天是不可接受的，對于業務實時性要求高的行業更是一種災難。根據前述，網絡內部威脅相比外部威脅更具隱蔽性和傳播性，故其爆發后也會造成更大范圍的影響。有 54% 的受訪者表示內部威脅的爆發會導致運營中斷， 有 50% 的受訪者表示內部威脅爆發會導致關鍵數據丟失，有 38% 的受訪者表示內部威脅爆發會導致其品牌損害，具體如圖 2 所示。

　　圖 2 內部威脅影響

　　綜上所述，網絡內部的安全威脅已經呈現無法忽視的狀態，IT 管理者需要考慮更多方面來保障內網安全，其面臨的具體挑戰可以整理歸納如下。

　　2.1 移動終端、物聯網終端帶來的接入風險

　　網絡接入安全主要靠三大部分聯合完成，分別為終端系統自帶的基礎防護安全、終端防病毒軟件提供的進一步專業防護、終端準入系統保障的網絡準入安全。與此同時，互聯網及物聯網的蓬勃發展，也出現了對網絡接入安全的新挑戰。

　　其一，移動終端及物聯網終端的系統往往不是我們常見的 Windows 系統，無法安裝一些終端準入控制軟件及防病毒軟件，導致其在準入控制及防病毒上存在天然缺陷， 無法很好地執行終端準入控制策略，也無法及時發現自身安全風險。若一臺感染病毒的終端接入網絡， 極有可能造成病毒在網絡內部的大范圍傳播。

　　其二，企業內部雖然對員工移動終端上的殺毒軟件的安裝及更新有明確的規章制度，但缺乏有效的檢測手段，使得針對殺毒軟件的規章制度在具體執行上存在一定困難。網絡安全的防護需要方方面面，有一個漏洞就有可能導致前功盡棄。如果某終端未安裝殺毒軟件就接入內部網絡，就會給網絡安全撕開一道口子。

　　其三，各行各業的業務場景中存在許多啞終端， 如一些醫療專用設備或工業專用設備等（如醫療 CT 機、倉儲 AGV 小車等），其往往沒有基本的輸入設備，導致我們傳統常用的賬號密碼認證無法在此類設備上應用。其四，物聯網終端系統種類多樣且起步較晚，不像常見的 Windows系統在安全防護上有多年投入，可能存在部分系統對安全考慮不足的情況。

　　2.2 終端移動帶來的信息安全隱患

　　不同部門、不同崗位或不同職級往往有不同的訪問權限，如一個企業內部，財務部有財務部的特定訪問權限，市場部有市場部的特定訪問權限，如果訪問了對方部門的敏感資源，就有可能引發信息安全風險。而傳統安全防護的訪問控制策略的視角是基于位置（基于設備或基于端口）進行防護，如將財務部網絡從接入往上都規劃為 VLAN10，將市場部網絡從接入往上都規劃為 VLAN20，IT 管理者對 VLAN10 及 VLAN20 進行配置訪問控制策略來達到對部門的訪問權限進行控制的目的。當對應部門辦公終端不離開其辦公區域時并不會引起問題，一旦因工作需要移動終端位置則會出現問題。不同部門的員工可能因為某一任務需要而聚集在一起進行聯合辦公，也可能因為工作需要出差至分公司或總公司進行跨地域辦公，若出現因為移動終端位置而導致員工訪問了其不應該訪問的資源，則會存在信息安全風險。

　　因此，訪問控制策略的視角應該從聚焦于位置變更為聚焦于人， 即訪問控制策略要跟著人的移動而移動，而不再局限于某一位置。即財務部的員工具有財務部的權限， 市場部的員工具有市場部的權限，不論將辦公終端移動到哪里，都只會有其對應的資源訪問權限。

　　2.3 傳統的邊界防護對網絡內部的攻擊無能為力

　　傳統的安全防護產品更專注于邊界防護， 基于成本考慮，也無法將安全防護產品下沉至網絡的更底層（如接入層），故傳統的安全防護產品更多的是將防護對象聚焦于網絡外部， 讓網絡內部的安全處于一種近似“真空”的狀態， 如圖 3 所示。

　　圖 3 內部攻擊無法防護

　　網絡內部某終端中毒后可以直接通過內部網絡傳播給其他終端，由于病毒傳播流量不經過出口的安全防護產品，故無法進行防護。異常終端甚至可以攻擊某些網絡設備，并以此作為跳板進一步在全網散播病毒。這也是內部網絡攻擊相比外部網絡攻擊更具傳播性的原因。

　　3 自安全網絡解決方案

　　2017 年我國政府正式發布《中華人民共和國網絡安全法》，充分體現了黨中央對網絡安全的高度重視。而網絡內部的安全問題在近年又出現愈演愈烈的趨勢，如何讓內部網絡變得安全可信成為重中之重。

　　自安全網絡解決方案提出一種讓網絡原生自安全的概念，即讓網絡不再僅僅是數據的傳輸通道，更是安全可信任的通道，使得在網絡層面就能夠防御攻擊以及阻斷威脅的擴散。自安全網絡解決方案的整體思路為讓安全防護下沉至網絡層面，在網絡設備（如交換機、路由器、AP 等）內部增加安全防護模塊，使其能夠實時采集、分析終端行為，由于網絡設備離終端更近， 其具備位置優勢，在遇到威脅、攻擊時，可以第一時間進行處置并告警。

　　同時，在網絡的各個位置（如接入、匯聚、核心）均有網絡設備， 可以讓不同位置的網絡設備聯合工作，將網絡安全由原來單純基于安全防護產品的單點防御， 變成基于安全防護產品與網絡設備的網狀防御相融合的聯合防御系統。

　　如圖 4 所示，異常終端在發起內網攻擊時， 會立刻被自安全接入所檢測到并阻斷。同時， 自安全網絡在接入、匯聚、核心均有防護能力， 由于其距終端更近，可以在第一時間發現攻擊行為并處理，大大提升了網絡的安全性。

　　圖 4 自安全網絡

　　由于自安全網絡解決方案要求讓安全防護下沉至網絡層面，故需要對傳統網絡設備進行改進優化。需要在其內部增加策略配置組件、分析組件及異常流量處置組件，共同完成安全防護工作 ，如圖 5 所示。

　　圖 5 自安全交換機設計

　　策略配置組件：可針對不同威脅、不同攻擊源、不同攻擊目的等配置不同防護策略，以應對各種應用場景的對應安全需求。

　　分析組件：分析交換芯片上送的流量，將分析結果告知異常流量處置組件。

　　異常流量處置組件：接收策略配置組件下發的處置策略，并針對分析組件發送的分析結果，對交換芯片下發指令，對異常流量按照預配置策略進行處置。

　　3.1 自安全網絡關鍵技術

　　（ 1 ） 安全準入

　　安全準入旨在對終端接入網絡的合法性進行控制，斷絕非授權終端的接入，在接入層保障網絡安全可信。由于移動終端、物聯網終端等新型終端的不斷出現，安全準入需要支持不同終端的不同認證方式，如常規 Windows 電腦可使用傳統的賬號密碼認證，有殺毒軟件安裝要求的可支持殺毒軟件安裝認證，攝像頭、醫療專用設備等可針對其業務模型進行業務模型認證等多種認證方式，當接入終端不滿足認證條件時，阻斷其網絡訪問權限，保障網絡接入安全。同時，此類無客戶端或輕客戶端認證方式更受用戶歡迎。

　　自安全網絡安全準入技術可以有效識別終端類型，自適配地為不同類型終端引導至對應認證方式進行認證，有效避免人工干預，降低用戶學習成本。

　　同時，安全準入技術的終端識別技術可以進一步進行應用，有效防范私接行為。例如， 在部分場景下， 為信息安全考慮不允許員工私接路由， 但可能存在部分員工為個人便捷考慮， 在網絡內部私接無線路由器給手機上網，從而將內部網絡通過無線廣播出去。若此時無線不設置密碼或簡單使用弱口令作為無線密碼，將造成更嚴重的后果。安全準入技術的防私接技術， 可對非法接入的私接路由器、私接攝像頭等其他設備進行禁入，可以有效防止數據脫離安全防護邊界，造成信息泄露的安全風險。

　?。?2 ） 安全檢測

　　安全檢測旨在將安全邊界下移，讓網絡設備具備安全防護能力，其主要專注安全威脅的檢測識別等。由于網絡設備離終端最近，可以第一時間發現異常行為，并將異常上報，以進行后續處理。即使某臺終端存在漏洞或者中毒也沒關系，當其在網絡中傳播攻擊時會被立刻識別并上報。

　　自安全網絡的安全檢測技術除了傳統基于報文數據特征的威脅識別方式，還增加了基于行為特征的威脅識別方式。雖然不同病毒的報文數據特征不同，但是傳播的行為模型往往相似。自安全網絡對病毒傳播的行為模型進行整理歸納、特征提取，形成基于行為特征的威脅識別方式，對未知的新型病毒具備一定識別率， 可以更有效地保障網絡安全。

　　同時，安全監測技術還具備業務模型學習及匹配技術。一些特殊場景的專用設備具有獨特的業務模型，在此類特殊場景下，業務往往比較簡單，不會出現業務模型以外的流量。如醫療場景下的 CT 機，只應該傳輸醫療業務數據， 自安全網絡可以對不匹配業務模型的流量進行識別并上報，由安全處置模塊進行進一步處置。同時，為方便用戶使用，自安全網絡具備業務模型學習技術，可自動學習業務模型，避免人工干預，提升設備易用性。

　?。?3 ） 安全處置

　　安全處置旨在將安全邊界下移，讓網絡設備具備安全防護能力，其主要專注安全威脅的處置。由于網絡設備離終端最近，可在第一時間發現安全威脅后進行處理，可阻止威脅擴散。如當某臺終端的攻擊被識別后，可立刻基于預配置策略進行處理。

　?。?4 ） 安全可視

　　安全可視旨在通過可視化的方式，更直接、更形象地展示網絡安全狀態。同時，避免單設備信息孤立，統籌整網設備信息，讓管理員更清楚明白地了解當前網絡的安全問題，并能夠快速采取行動，以此降低網絡安全運維成本。

　?。?5 ） 安全隨行

　　安全隨行旨在改變傳統基于位置的安全防護策略，變更為基于人的安全防護策略，達到策略隨行的目的，以應對終端移動而引發的信息安全風險。如財務部員工因臨時任務需要， 前往其他部門進行工作。當該財務部員工接入其他部門網絡后，被自安全網絡自動識別為財務部終端，則分配對應權限，可避免信息泄露的安全風險。

　?。?6 ） 安全回溯

　　安全回溯旨在記錄終端行為，以達到發生安全事件后協助管理員回溯分析，并以此數據為基礎對網絡進行調優、改進的目的。

　　3.2 自安全網絡帶來的價值

　?。?1 ） 持續業務安全保障

　　在當今的社會下，網絡不僅是我們訪問互聯網的通道，更是我們開展業務不可或缺的關鍵部分。自安全網絡可以主動、快速發現并處置威脅，可以提升網絡的可靠性、降低業務中斷的風險，以保障業務的持續穩定運行。

　?。?2 ） 完善網絡安全架構

　　自安全網絡加固了內部網絡安全，可以降低或避免數據泄露和篡改的風險、并有效阻止內部攻擊、防范病毒擴散，為用戶做到整網安全可控。

　?。?3 ） 降低運維管理成本

　　自安全網絡有效提升了網絡的安全性、可靠性，可以降低企業對 IT 運維管理的投入，提升 IT 管理者的工作效率，進一步讓企業將有限的人力、物力投入業務發展，為社會創造更大的價值。

　　3.3 安全網絡應用場景

　　自安全網絡專注內網安全，著力于讓網絡原生自安全，可在各種場景中應用，以下用典型的辦公場景和存在專用設備的醫療場景對自安全網絡的場景應用進行論述。

　?。?1 ） 辦公場景

　　辦公場景是政府、企業、教育、醫療等各行各業均存在的典型應用場景。在辦公場景下， 一方面為接入安全，只有授權終端允許接入， 如辦公電腦、打印機、企業 AP、訪客終端等， 并禁止非授權終端，如私接路由、員工個人筆記本等，這里可以應用安全準入技術保障接入安全。另一方面，需要保障接入后的威脅防護檢測及策略隨行。外部訪客終端，只擁有訪客的權限，內部員工擁有內部員工的權限，同時， 內部員工根據不同部門、不同崗位、不同職級也需要分配相應的權限，并啟用策略隨行，讓防護策略細化到人。

　?。?2 ） 醫療場景

　　在醫技科室中，有 CT 機、核磁共振等專用醫療設備。由于該類醫療設備是用于臨床診斷的重要工具，故其業務量大且連續性要求高。同時，此類醫療設備必定部署于內網，也需要做好相應的安全防護。專用醫療設備非常精密復雜，醫院自身技術人員往往不具備設備維護保養的能力，需每年向設備原廠購買原廠維保服務，但勒索病毒等網絡安全事件爆發時往往需要快速解決以保證業務，原廠運維人員趕赴醫院現場進行維護往往需要一定時間，一旦發生網絡安全事件難免會造成業務在一定時間內中斷，這對病患和醫療機構都是不可接受的。

　　在醫療機構的信息化發展中，網絡安全事件會隨著網絡規模不斷增大而同步增多，這就會導致信息科的日常精力經常消耗在此類事務上， 難以讓信息科把主要精力放在提升醫療業務本身上。而自安全解決方案可有效解決此類問題， 一方面，通過安全準入禁止非授權終端接入，甚至可以在具體科室只允許匹配醫療業務模型的醫療終端接入；另一方面，通過安全檢測和安全防護第一時間發現并防護攻擊行為，保障醫療業務穩定運行。

　　4 結語

　　隨著近年安全形勢的發展，網絡內部安全問題頻發，網絡內部的安全形勢不容忽視。自安全網絡秉持著讓網絡原生自安全的思路，在網絡設備上增加安全防護模塊，將安全防護邊界下移，使網絡安全由原來單純基于安全防護產品的單點防御，變成與基于網絡設備的網狀防御相融合的聯合防御系統。為各行各業的內網安全提供了一套系統的解決方案，使網絡從數據傳輸的通道變成安全可信任的管道，以更好地為用戶服務。