动态安全防护在企业信息化安全建设中的研究和应用

胡鑫 王宏波

随着信息化安全形势的日益严峻，国内外各类基于网络的安全事件层出不穷，仅最近一年内，国内外先后出现了“暗云Ⅲ”病毒攻击事件、WannaCry勒索病毒攻击事件、Petya病毒攻击事件等多起网络安全事件。而现有安全防护手段是基于已有病毒或漏洞进行的，能够根据特征对已知攻击行为进行安全防护，但对于未知的漏洞以及攻击无法做到主动防御。

一、国网陕西省电力公司安全建设现状

在国家电网公司信息化建设大力推进下，国网陕西省电力公司信息化建设步伐大大加快，目前已经建成近百个业务系统，业务覆盖了规划、建设、检修、运行、营销以及人力资源、财务、物资等专业，这些系统的建设都有一个共同点，均是以三层或多层体系架构设计的B/S架构应用，而对于这些网站的漏洞扫描以及漏洞攻击，成为了影响陕西省电力公司运维质量及业务指标的关键因素。在持续不断的扫描和攻击事件中，运维人员长期处于不对等的状态。由于多数扫描和攻击事件采用自动化的工具执行，业务系统漏洞时有发现，而随着信息安全扫描手段的多样化，一些新的漏洞被持续发现，运维人员对于这些新的漏洞难以做到提前防护，整体安全运维工作处于被动状态。

（一）现有安全防护手段难以抵御应用漏洞探测

虽然已经部署了防火墙等传统网络安全防护设备，但由于WEB应用经常变更及调整，策略难以时刻匹配，导致系统内可能存在新引入漏洞，而各类漏洞探测工具可能发现这些漏洞从而利用这些漏洞进行攻击。

（二）难以识别用户正常行为以及攻击行为

由于目前的各类扫描及攻击工具往往采用模拟用户正常行为的方式发起撞库攻击以及爬虫数据窃取，传统防护手段由于无法区分正常访问用户及软件攻击行为，从而难以对这类问题进行有效防护，使管理人员的安全视角一直存在盲区。

二、動态安全防护平台的实践

（一）预期目标

通过建设动态安全防护平台，提升信息化安全管理水平，实现防漏洞探测、防零日漏洞、防应用DDOS、防代码分析等一系列安全功能，使WEB应用安全防护模式从原有的被动式的安全防护的管理方式转变为主动的、自动化、高效的安全防护模式。

（二）需求调研

为了应对多样化的信息安全扫描手段，利用各种未知漏洞进行的扫描攻击、安全攻击以及利用机器人技术通过应用程序大批量的进行扫描和攻击，动态防护平台必须满足以下实际需求：

1.网站安全保障

通过动态封装、动态验证、动态混淆、动态灵牌等技术，防止黑客通过漏洞扫描工具扫描网站结构及应用漏洞，同时防止攻击者利用零日漏洞对系统发起攻击，防止攻击者针对资源消耗较高的业务发起自动化DDOS攻击，防止通过正常网页访问，查看并分析网页源代码。

2.防止数据泄露

系统应能够有效阻挡攻击者利用自动化程序爬取网站及应用信息、页面信息等内容，同时防止利用合法用户身份通过工具获取内部数据，防止攻击者利用逻辑漏洞，通过工具批量导出用户资料，防止攻击者通过脚本或者程序进行批量信息导出。

3.保障账号安全

防止对登录入口密码实时暴力破解，防止攻击者利用自动化工具批量注册用户，防止攻击者通过自动化工具实施登录尝试，盗取合法账号。

4.防止网络漏洞扫描

防止通过各类漏洞扫描工具对WEB系统的漏洞扫描，从根源上防止漏洞扫描，有效解决层出不穷的各类漏洞扫描工具对系统漏洞的攻击及扫描。

5.防止工具及机器人流量

防止各类扫描工具以及机器人行为对WEB系统产生的攻击，有效防止各类传统的攻击手段以及业务层的重复操作手段带来的机器人流量。

6.防范未知的攻击

通过技术手段，做到重要业务系统的漏洞隐藏以及安全保护，从根本上防止未知攻击手段的攻击，确保业务系统处于安全运行状态。

（三）系统实现

1.系统架构

动态安全防护平台在用户执行段的WEB浏览器与最终服务器之间构建了动态应用防护系统，通过对于业务系统的动态防护技术，利用对威胁的感知、响应分析、威胁预测以及主动变幻的方式有效进行服务器安全防护，保障业务系统不被代码攻击。如图1。

2.功能实现

通过实施、部署动态安全防护平台，对陕西省电力公司主要业务系统开展安全防护，实现安全的动态封装、动态验证、动态混淆及动态令牌功能，使业务系统免于各类扫描攻击、DDOS攻击、零日漏洞攻击，并有效保障账号及数据的安全。动态安全防护平台提供的主要功能如下：

（1）动态封装

利用动态封装功能，动态封装网页内的一段JS语句，该语句完成与动态安全防护平台及浏览测运行验证等功能，通过该动态封装功能，能够防止各类扫描行为发现后端应用服务，从而从根本上使后端系统免于各类扫描攻击。

（2）动态验证

利用动态验证功能，使服务器与客户端之间进行动态的双向验证，防止恶意的中断访问，通过每次随机选取的检测项目与数量，使业务应用具备不可预测性，有效客服各类静态代码采集攻击行为。

（3）动态混淆

利用动态混淆功能，对网页内的Cookie、POST、URL信息进行动态混淆，使各类恶意代码注入、交易篡改攻击难以进行。

（4）动态令牌

利用动态令牌功能，能够阻拦各类没有令牌的非法请求，保障系统免于各类越权访问、网页后门、DDOS攻击等行为。

（5）攻击统计

对攻击来源、目标、使用的工具、手法、详情、过程等信息进行详细记录，使管理人员了解工具的来源和方法。

3.实施部署和效果

动态安全防护平台采用反向代理的方式部署，利用F5引流获取数据，进行反向代理，数据将先经过动态安全防护平台再向前台业务系统进行传送，其部属图如图2所示。

动态安全防护平台通过隐藏攻击入口提升攻击难度，针对某业务系统的防护对比效果如表1所示。

4.技術优势

安全防护技术与黑客技术紧密相关，对于简单脚本和工具攻击，动态安全防护平台利用网页代码动态变化技术实现有效的安全防护；对于录屏操作以及真人操作攻击行为，平台采用态势分析、机器学习及行为分析技术进行有效阻挡，为业务系统的安全运行提供了可靠保障。

三、系统实施效果

通过实施动态安全防护平台，有效保障了业务系统的安全性，防范了各种恶意攻击；通过动态安全防护平台，能够采用“动态防御”技术，使用隐藏漏洞、变换自身、验证真伪等手段，实现业务系统安全的主动防御，有效抵御漏洞探测、零日漏洞攻击、应用DDOS、代码分析等攻击手段，并实现防爬虫、防内鬼、防数据便利、防拖库等数据安全功能，并防止暴力破解、批量注册、防止撞库等账号攻击行为，实现对于业务系统安全的全面保障。

四、结语

陕西省电力公司从实际安全建设情况出发，以动态安全防护为切入点进行面向业务的新型安全防护研究，通过创新的动态安全机制，借助技术手段实现主动化、智能化的应用安全防护手段，有效抵御网络安全扫描，应用攻击等攻击行为，以“先发制人，掌握先机”的防护方式，为建设新一代的防御体系迈出了坚实的一步。后续还将结合机器学习（ML）和人工智能（AI）技术进一步完善智能化的安全防护体系，通过进行主动安全防御，实现对业务系统安全的全面保障。

作者单位：胡鑫 国网陕西省电力公司信息通信公司

王宏波 国网陕西省电力公司培训中心