2023年5月1日实施的《关键信息基础设施安全保护要求》(GB/T39204)新增了主动防御的要求，指出要以攻击行为监测发现为基础，通过采取收敛暴露面、捕获、溯源、干扰和阻断等措施以及持续性开展攻防实战演练、威胁情报分析等工作，提升对网络威胁与攻击行为的识别、分析和主动防御能力。据此，网御星云将从网络威胁攻击态势、重点应用及建设、实施成效等方面，给出关基主动防御解决方案。

网络威胁攻击态势

关键信息基础设施已成为网络威胁攻击的新焦点，关键业务链面临的风险隐患可以归纳为以下4个方面： 

1.暴露面成为网络威胁攻击新途径

重要行业总部的关键业务防护虽已初见成效，但缺少对关键业务链的网络安全统筹管理，导致关键业务链暴露面宽且薄弱点分散，分支单位关键业务防护不到位，大量漏洞极易成为攻击方入侵的突破口。

2.欺骗成为网络威胁攻击新武器

从趋于定向化和敏捷化的勒索攻击，到各类挖矿攻击的全面铺开，众多网络安全事件频发，说明攻击手段更加武器化，在经济利益驱使下，黑客攻击更趋于理性化，网络攻击更加产业化。

3.立体化渗透成为网络威胁攻击新方式

攻击方一般会在前期搜集情报、寻找突破口、建立突破据点；中期横向移动攻打内网，尽可能多地控制服务器或直接打击目标系统；后期会删日志、清工具、写后门以及建立持久控制权限。

4.敏感信息泄露成为网络威胁攻击新情报

 敏感信息泄露严重，成为网络攻击的“情报源”，攻击方在网盘等平台上获得一些单位的系统源代码，通过源代码筛查，挖掘并利用零日漏洞，攻击内网，获得重要数据资源。

网御星云解决方案及思路

基于《关键信息基础设施安全保护要求》，网御星云重点围绕四个维度构建主动防御解决方案：

1.暴露面收缩的最小化

资产梳理与暴露面收敛是提升关基主动防御能力，健全整体安全架构的关键一环。依托人工+平台工具的方式对关键业务链内外资产以及其对外暴露的协议、端口、应用服务等暴露面进行梳理、评估，帮助用户构建全局资产清单、高效识别存在的风险隐患并通过采取减少互联网连接通道、归拢外网访问出口、关闭高危端口、下线整改风险资产等系列措施，提升用户网络攻击难度，收缩安全防线，凝聚安全能力实现关基业务的重点防护。

2.攻击发现和阻断的常态化

面对越发严峻的网络安全态势，构建常态化的攻击发现及阻断能力是保障关基业务免受威胁的重中之重，亦是构建主动防御能力的核心。为应对“花样翻新”的攻击形势，在安全能力构建上应引入更为有效的防御措施，以打破现有攻守不平衡的态势。在方案设计上除入侵检测/防御等基础安全检测能力之外，在关键业务链边界设置欺骗防御系统诱骗攻击方，提升延缓攻击、资产防护、监测预警、攻击溯源反制等能力；此外针对关键业务链的网络空间测绘攻击，可依托拟相防御系统的动态跳变、移动目标防御（MTD）技术达到隐藏真实网络结构、关键业务、混淆攻击的效果，使网络空间测绘难度指数增加，同时提升精准防护能力，降低横向渗透风险。

3.攻防演练的实战化

在《关键信息基础设施安全保护要求》中明确提出了构建实战化安全体系框架的要求，同时对于关基运营者来说提升主动防御、检测能力并以实战化为导向打造安全能力体系是应对风云变化的安全态势的有利武器。在实战化攻防演练中，关基运营者可通过接入攻防演练平台，针对网络攻击渗透手段、实战演练、应急演练、防护加固策略进行反复演练，并将演练结果进行整理、分析，输出能力评判及效能评估结果，在验证整体安全能力的同时，优化客户安全知识培训、人才培养、技术研究、效能评估等机制，系统化提升安全能力。

4.威胁情报的体系化

打通产业链上下游，形成体系化的威胁情报共享机制，实现协同联动的联防联控是提升关键信息基础设施威胁检测能力，进一步构建持续安全运营能力的核心。关基运营者在构建威胁情报体系过程中，可依托威胁情报平台进行多源威胁情报的统一接入及管理，并通过情报生产、热点情报狩猎等能力将高质量情报数据以情报赋能和情报共享的方式应用到整体的安全防护体系中，提升全网安全设备的检测能力，缩短安全平台的威胁研判、响应周期，并通过多级部署的方式，打通产业上下游，实现情报由点到面的共享，实现威胁情报的本地化运营，构建独立的情报运营体系，从而实现提升关基整体业务链安全检测、主动防御能力提升的目标。

“新基建”浪潮加速推进，网御星云将持续助力体系化构建数字时代的安全基础设施，为国家网络空间安全和行业生态发展贡献自己的力量。