信息安全问题越来越频繁地发生于网络内部（内网），而传统的安全防护产品更多的侧重于边界防护，对内部安全问题难以有效发现及处置。同时网络内部的安全问题相对不容易察觉，也更容易造成大范围的影响，可能在短时间内就扩散到全网。应对当前的信息安全局势，我们需要将安全防护的边界下沉至网络层面，让网络与安全融合，使之在网络层面就能够发现威胁、处置威胁，实现网络原生自安全。

　　1 引言

　　信息安全问题越来越频繁地发生于网络内部，传统的网络只是单纯的作为数据传输通道， 而传统的安全防护产品又更侧重于边界安全防护，也就是对外部攻击的防护，这使得网络内部的安全处于一种近似“真空”的状态。根据调研显示，68% 的受访组织表示内部网络攻击的发生变得越来越频繁，70% 的受访者在一年内经历过一起或多起内部网络攻击。

　　同时，大多数受访者（52%）认为内部网络攻击比外部网络攻击更难检测和防护，这是因为内部人员本身即拥有内部资源的访问权限，要区分对内部资源的访问是合法访问还是恶意攻击具有一定挑战性。由此可见，网络内部的信息安全问题呈现日益加剧的趋势。为应对此种态势， 我们不能仅仅依靠传统的边界防护，要将安全防护下沉至网络层面，让网络从数据传输的通道变成安全可信任的管道，使得在网络层面就能够防御攻击以及阻断威胁的扩散。

　　我们在网络设备内部增加安全防护模块， 使其能够实时采集、分析终端行为，由于网络设备离终端最近，在部署位置上具备天然优势， 在遇到威胁、攻击可以第一时间进行处置并告警。将网络安全由原来单纯基于安全防护产品的单点防御，变成基于安全防护产品与网络设备的网状防御相融合的联合防御系统。

　　2 网络内部安全面临的挑战

　　《2020 Insider Threat Report》[1] 报告针对网络内部攻击的现状进行调研，用户覆盖科技、金融、政府、教育、企业、电信和制造业等多个行业，其中受访企业员工规模在 1000 人以上的访谈样本占比为 46%。

　　根据其调研，只有占比 48% 的受访组织表示有适当的方式去防护内部攻击，有 29% 的受访组织对其自身的防护能力不了解，还有剩下23% 的受访组织表示明确不具备防护能力。如图 1 所示。

　　图 1 受访组织具备防护内部攻击能力调研

　　由于内部人员本身拥有一定的内部资源访问权限，要区分一次对内部资源的访问是合法性访问还是恶意攻击相比对外部网络攻击的检测更具挑战，因此，内部网络攻击相比外部网络攻击具备更强的隐蔽性和传播性。如 2017 年“永恒之蓝”勒索病毒在短时间内迅速蔓延 ， 包含政府部门、企业单位和教育机构等多个单位均受到侵害。

　　而“永恒之蓝”勒索病毒是利用 Windows 操作系统的漏洞进行传播，通过攻击没有关闭 TCP445 端口的 Windows 操作系统， 向其他受害者加以传播和感染。但 445 端口是很常用的 TCP 端口，开启此端口可在局域网中轻松访问各种共享文件夹或共享打印机以提高工作效率，由此可以看出，对内部网络攻击的检测与防护相比外部网络攻击确实更加充满挑战。

　　另外，根据调研，有 59% 的受访者反馈无法及时处置内部攻击威胁，这在社会节奏逐步加快的今天是不可接受的，对于业务实时性要求高的行业更是一种灾难。根据前述，网络内部威胁相比外部威胁更具隐蔽性和传播性，故其爆发后也会造成更大范围的影响。有 54% 的受访者表示内部威胁的爆发会导致运营中断， 有 50% 的受访者表示内部威胁爆发会导致关键数据丢失，有 38% 的受访者表示内部威胁爆发会导致其品牌损害，具体如图 2 所示。

　　图 2 内部威胁影响

　　综上所述，网络内部的安全威胁已经呈现无法忽视的状态，IT 管理者需要考虑更多方面来保障内网安全，其面临的具体挑战可以整理归纳如下。

　　2.1 移动终端、物联网终端带来的接入风险

　　网络接入安全主要靠三大部分联合完成，分别为终端系统自带的基础防护安全、终端防病毒软件提供的进一步专业防护、终端准入系统保障的网络准入安全。与此同时，互联网及物联网的蓬勃发展，也出现了对网络接入安全的新挑战。

　　其一，移动终端及物联网终端的系统往往不是我们常见的 Windows 系统，无法安装一些终端准入控制软件及防病毒软件，导致其在准入控制及防病毒上存在天然缺陷， 无法很好地执行终端准入控制策略，也无法及时发现自身安全风险。若一台感染病毒的终端接入网络， 极有可能造成病毒在网络内部的大范围传播。

　　其二，企业内部虽然对员工移动终端上的杀毒软件的安装及更新有明确的规章制度，但缺乏有效的检测手段，使得针对杀毒软件的规章制度在具体执行上存在一定困难。网络安全的防护需要方方面面，有一个漏洞就有可能导致前功尽弃。如果某终端未安装杀毒软件就接入内部网络，就会给网络安全撕开一道口子。

　　其三，各行各业的业务场景中存在许多哑终端， 如一些医疗专用设备或工业专用设备等（如医疗 CT 机、仓储 AGV 小车等），其往往没有基本的输入设备，导致我们传统常用的账号密码认证无法在此类设备上应用。其四，物联网终端系统种类多样且起步较晚，不像常见的 Windows系统在安全防护上有多年投入，可能存在部分系统对安全考虑不足的情况。

　　2.2 终端移动带来的信息安全隐患

　　不同部门、不同岗位或不同职级往往有不同的访问权限，如一个企业内部，财务部有财务部的特定访问权限，市场部有市场部的特定访问权限，如果访问了对方部门的敏感资源，就有可能引发信息安全风险。而传统安全防护的访问控制策略的视角是基于位置（基于设备或基于端口）进行防护，如将财务部网络从接入往上都规划为 VLAN10，将市场部网络从接入往上都规划为 VLAN20，IT 管理者对 VLAN10 及 VLAN20 进行配置访问控制策略来达到对部门的访问权限进行控制的目的。当对应部门办公终端不离开其办公区域时并不会引起问题，一旦因工作需要移动终端位置则会出现问题。不同部门的员工可能因为某一任务需要而聚集在一起进行联合办公，也可能因为工作需要出差至分公司或总公司进行跨地域办公，若出现因为移动终端位置而导致员工访问了其不应该访问的资源，则会存在信息安全风险。

　　因此，访问控制策略的视角应该从聚焦于位置变更为聚焦于人， 即访问控制策略要跟着人的移动而移动，而不再局限于某一位置。即财务部的员工具有财务部的权限， 市场部的员工具有市场部的权限，不论将办公终端移动到哪里，都只会有其对应的资源访问权限。

　　2.3 传统的边界防护对网络内部的攻击无能为力

　　传统的安全防护产品更专注于边界防护， 基于成本考虑，也无法将安全防护产品下沉至网络的更底层（如接入层），故传统的安全防护产品更多的是将防护对象聚焦于网络外部， 让网络内部的安全处于一种近似“真空”的状态， 如图 3 所示。

　　图 3 内部攻击无法防护

　　网络内部某终端中毒后可以直接通过内部网络传播给其他终端，由于病毒传播流量不经过出口的安全防护产品，故无法进行防护。异常终端甚至可以攻击某些网络设备，并以此作为跳板进一步在全网散播病毒。这也是内部网络攻击相比外部网络攻击更具传播性的原因。

　　3 自安全网络解决方案

　　2017 年我国政府正式发布《中华人民共和国网络安全法》，充分体现了党中央对网络安全的高度重视。而网络内部的安全问题在近年又出现愈演愈烈的趋势，如何让内部网络变得安全可信成为重中之重。

　　自安全网络解决方案提出一种让网络原生自安全的概念，即让网络不再仅仅是数据的传输通道，更是安全可信任的通道，使得在网络层面就能够防御攻击以及阻断威胁的扩散。自安全网络解决方案的整体思路为让安全防护下沉至网络层面，在网络设备（如交换机、路由器、AP 等）内部增加安全防护模块，使其能够实时采集、分析终端行为，由于网络设备离终端更近， 其具备位置优势，在遇到威胁、攻击时，可以第一时间进行处置并告警。

　　同时，在网络的各个位置（如接入、汇聚、核心）均有网络设备， 可以让不同位置的网络设备联合工作，将网络安全由原来单纯基于安全防护产品的单点防御， 变成基于安全防护产品与网络设备的网状防御相融合的联合防御系统。

　　如图 4 所示，异常终端在发起内网攻击时， 会立刻被自安全接入所检测到并阻断。同时， 自安全网络在接入、汇聚、核心均有防护能力， 由于其距终端更近，可以在第一时间发现攻击行为并处理，大大提升了网络的安全性。

　　图 4 自安全网络

　　由于自安全网络解决方案要求让安全防护下沉至网络层面，故需要对传统网络设备进行改进优化。需要在其内部增加策略配置组件、分析组件及异常流量处置组件，共同完成安全防护工作 ，如图 5 所示。

　　图 5 自安全交换机设计

　　策略配置组件：可针对不同威胁、不同攻击源、不同攻击目的等配置不同防护策略，以应对各种应用场景的对应安全需求。

　　分析组件：分析交换芯片上送的流量，将分析结果告知异常流量处置组件。

　　异常流量处置组件：接收策略配置组件下发的处置策略，并针对分析组件发送的分析结果，对交换芯片下发指令，对异常流量按照预配置策略进行处置。

　　3.1 自安全网络关键技术

　　（ 1 ） 安全准入

　　安全准入旨在对终端接入网络的合法性进行控制，断绝非授权终端的接入，在接入层保障网络安全可信。由于移动终端、物联网终端等新型终端的不断出现，安全准入需要支持不同终端的不同认证方式，如常规 Windows 电脑可使用传统的账号密码认证，有杀毒软件安装要求的可支持杀毒软件安装认证，摄像头、医疗专用设备等可针对其业务模型进行业务模型认证等多种认证方式，当接入终端不满足认证条件时，阻断其网络访问权限，保障网络接入安全。同时，此类无客户端或轻客户端认证方式更受用户欢迎。

　　自安全网络安全准入技术可以有效识别终端类型，自适配地为不同类型终端引导至对应认证方式进行认证，有效避免人工干预，降低用户学习成本。

　　同时，安全准入技术的终端识别技术可以进一步进行应用，有效防范私接行为。例如， 在部分场景下， 为信息安全考虑不允许员工私接路由， 但可能存在部分员工为个人便捷考虑， 在网络内部私接无线路由器给手机上网，从而将内部网络通过无线广播出去。若此时无线不设置密码或简单使用弱口令作为无线密码，将造成更严重的后果。安全准入技术的防私接技术， 可对非法接入的私接路由器、私接摄像头等其他设备进行禁入，可以有效防止数据脱离安全防护边界，造成信息泄露的安全风险。

　　（ 2 ） 安全检测

　　安全检测旨在将安全边界下移，让网络设备具备安全防护能力，其主要专注安全威胁的检测识别等。由于网络设备离终端最近，可以第一时间发现异常行为，并将异常上报，以进行后续处理。即使某台终端存在漏洞或者中毒也没关系，当其在网络中传播攻击时会被立刻识别并上报。

　　自安全网络的安全检测技术除了传统基于报文数据特征的威胁识别方式，还增加了基于行为特征的威胁识别方式。虽然不同病毒的报文数据特征不同，但是传播的行为模型往往相似。自安全网络对病毒传播的行为模型进行整理归纳、特征提取，形成基于行为特征的威胁识别方式，对未知的新型病毒具备一定识别率， 可以更有效地保障网络安全。

　　同时，安全监测技术还具备业务模型学习及匹配技术。一些特殊场景的专用设备具有独特的业务模型，在此类特殊场景下，业务往往比较简单，不会出现业务模型以外的流量。如医疗场景下的 CT 机，只应该传输医疗业务数据， 自安全网络可以对不匹配业务模型的流量进行识别并上报，由安全处置模块进行进一步处置。同时，为方便用户使用，自安全网络具备业务模型学习技术，可自动学习业务模型，避免人工干预，提升设备易用性。

　　（ 3 ） 安全处置

　　安全处置旨在将安全边界下移，让网络设备具备安全防护能力，其主要专注安全威胁的处置。由于网络设备离终端最近，可在第一时间发现安全威胁后进行处理，可阻止威胁扩散。如当某台终端的攻击被识别后，可立刻基于预配置策略进行处理。

　　（ 4 ） 安全可视

　　安全可视旨在通过可视化的方式，更直接、更形象地展示网络安全状态。同时，避免单设备信息孤立，统筹整网设备信息，让管理员更清楚明白地了解当前网络的安全问题，并能够快速采取行动，以此降低网络安全运维成本。

　　（ 5 ） 安全随行

　　安全随行旨在改变传统基于位置的安全防护策略，变更为基于人的安全防护策略，达到策略随行的目的，以应对终端移动而引发的信息安全风险。如财务部员工因临时任务需要， 前往其他部门进行工作。当该财务部员工接入其他部门网络后，被自安全网络自动识别为财务部终端，则分配对应权限，可避免信息泄露的安全风险。

　　（ 6 ） 安全回溯

　　安全回溯旨在记录终端行为，以达到发生安全事件后协助管理员回溯分析，并以此数据为基础对网络进行调优、改进的目的。

　　3.2 自安全网络带来的价值

　　（ 1 ） 持续业务安全保障

　　在当今的社会下，网络不仅是我们访问互联网的通道，更是我们开展业务不可或缺的关键部分。自安全网络可以主动、快速发现并处置威胁，可以提升网络的可靠性、降低业务中断的风险，以保障业务的持续稳定运行。

　　（ 2 ） 完善网络安全架构

　　自安全网络加固了内部网络安全，可以降低或避免数据泄露和篡改的风险、并有效阻止内部攻击、防范病毒扩散，为用户做到整网安全可控。

　　（ 3 ） 降低运维管理成本

　　自安全网络有效提升了网络的安全性、可靠性，可以降低企业对 IT 运维管理的投入，提升 IT 管理者的工作效率，进一步让企业将有限的人力、物力投入业务发展，为社会创造更大的价值。

　　3.3 安全网络应用场景

　　自安全网络专注内网安全，着力于让网络原生自安全，可在各种场景中应用，以下用典型的办公场景和存在专用设备的医疗场景对自安全网络的场景应用进行论述。

　　（ 1 ） 办公场景

　　办公场景是政府、企业、教育、医疗等各行各业均存在的典型应用场景。在办公场景下， 一方面为接入安全，只有授权终端允许接入， 如办公电脑、打印机、企业 AP、访客终端等， 并禁止非授权终端，如私接路由、员工个人笔记本等，这里可以应用安全准入技术保障接入安全。另一方面，需要保障接入后的威胁防护检测及策略随行。外部访客终端，只拥有访客的权限，内部员工拥有内部员工的权限，同时， 内部员工根据不同部门、不同岗位、不同职级也需要分配相应的权限，并启用策略随行，让防护策略细化到人。

　　（ 2 ） 医疗场景

　　在医技科室中，有 CT 机、核磁共振等专用医疗设备。由于该类医疗设备是用于临床诊断的重要工具，故其业务量大且连续性要求高。同时，此类医疗设备必定部署于内网，也需要做好相应的安全防护。专用医疗设备非常精密复杂，医院自身技术人员往往不具备设备维护保养的能力，需每年向设备原厂购买原厂维保服务，但勒索病毒等网络安全事件爆发时往往需要快速解决以保证业务，原厂运维人员赶赴医院现场进行维护往往需要一定时间，一旦发生网络安全事件难免会造成业务在一定时间内中断，这对病患和医疗机构都是不可接受的。

　　在医疗机构的信息化发展中，网络安全事件会随着网络规模不断增大而同步增多，这就会导致信息科的日常精力经常消耗在此类事务上， 难以让信息科把主要精力放在提升医疗业务本身上。而自安全解决方案可有效解决此类问题， 一方面，通过安全准入禁止非授权终端接入，甚至可以在具体科室只允许匹配医疗业务模型的医疗终端接入；另一方面，通过安全检测和安全防护第一时间发现并防护攻击行为，保障医疗业务稳定运行。

　　4 结语

　　随着近年安全形势的发展，网络内部安全问题频发，网络内部的安全形势不容忽视。自安全网络秉持着让网络原生自安全的思路，在网络设备上增加安全防护模块，将安全防护边界下移，使网络安全由原来单纯基于安全防护产品的单点防御，变成与基于网络设备的网状防御相融合的联合防御系统。为各行各业的内网安全提供了一套系统的解决方案，使网络从数据传输的通道变成安全可信任的管道，以更好地为用户服务。