移動接入解決方案持續(xù)監(jiān)測機(jī)制研究*

郭 慶，余 海，房利國

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

處理機(jī)密信息的終端用戶設(shè)備（End User Device，EUD）通過移動通信網(wǎng)連接到相同保密等級的政府機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)或政府合作企業(yè)內(nèi)部網(wǎng)絡(luò)時，需要使用密碼實現(xiàn)網(wǎng)絡(luò)傳輸數(shù)據(jù)的加密保護(hù)和基礎(chǔ)設(shè)施網(wǎng)絡(luò)接入的安全認(rèn)證，同時需要綜合利用各種網(wǎng)絡(luò)監(jiān)測手段，提升基礎(chǔ)設(shè)施網(wǎng)絡(luò)的可見性，賦予用戶對網(wǎng)絡(luò)安全態(tài)勢的感知能力。

針對上述EUD 安全接入相同保密等級內(nèi)部網(wǎng)絡(luò)的問題，美國國家安全局（National Security Agency，NSA）在移動接入能力包（Mobile Access Capability Package，MA CP）中提出了基于IPsec VPN 和TLS VPN 等貨架式商用密碼產(chǎn)品，實現(xiàn)跨越移動通信網(wǎng)傳輸機(jī)密數(shù)據(jù)的雙層加密解決方案，同時給出了在基礎(chǔ)設(shè)施網(wǎng)絡(luò)和EUD 實施持續(xù)監(jiān)測的機(jī)制及實施要求。

本文將介紹NSA 針對移動接入解決方案提出的持續(xù)監(jiān)測機(jī)制及實施要求，并就其安全原理進(jìn)行分析。

1 持續(xù)監(jiān)測機(jī)制

1.1 移動接入方案

文獻(xiàn)[1]MA CP 賦予了用戶利用具備雙層傳輸加密功能的EUD，通過移動通信網(wǎng)接入相同保密等級網(wǎng)絡(luò)的能力。如圖1 所示，跨越黑網(wǎng)的EUD 流量依次通過外部防火墻、外部VPN 網(wǎng)關(guān)、灰防火墻、內(nèi)部加密組件、內(nèi)部防火墻，最后接入相同保密等級的紅網(wǎng)。

圖1 移動接入解決方案

隨著該安全接入能力的增加，產(chǎn)生了對解決方案中基礎(chǔ)設(shè)施網(wǎng)絡(luò)流量和系統(tǒng)日志等進(jìn)行持續(xù)監(jiān)測的需求。這種持續(xù)監(jiān)測將使得用戶能檢測、響應(yīng)和報告針對其解決方案基礎(chǔ)設(shè)施的攻擊事件，同時能偵測解決方案基礎(chǔ)設(shè)施組件中的配置錯誤和潛在威脅。

1.2 監(jiān)測點

文獻(xiàn)[2]中的CSfC 持續(xù)監(jiān)測架構(gòu)定義了分布在移動接入解決方案黑網(wǎng)、灰網(wǎng)和紅網(wǎng)上的8 個監(jiān)測點（Monitoring Point，MP）。如圖2 所示，每個MP 都代表了基礎(chǔ)設(shè)施網(wǎng)絡(luò)上的一個關(guān)鍵點，其上的監(jiān)測功能使系統(tǒng)和網(wǎng)絡(luò)行為具有可見性，使分析人員能夠通過觀察加密點前后和管理網(wǎng)內(nèi)部的網(wǎng)絡(luò)情況來確認(rèn)各加密組件的運行狀態(tài)。

圖2 MA CP 監(jiān)測點位置

監(jiān)測點1（MP1）：位于黑網(wǎng)中，用于監(jiān)視外部防火墻和外部VPN 網(wǎng)關(guān)之間的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到任何本應(yīng)被外部防火墻阻斷的流量時產(chǎn)生異常告警。這些異常告警可能指示外部防火墻的過濾功能失效，也可能表示存在錯誤配置、潛在威脅或試圖未經(jīng)授權(quán)連接外部VPN 網(wǎng)關(guān)。

監(jiān)測點2（MP2）：位于灰網(wǎng)中，用于監(jiān)視外部VPN 網(wǎng)關(guān)和灰防火墻之間的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到任何本應(yīng)被外部VPN 網(wǎng)關(guān)或灰防火墻阻止的流量時產(chǎn)生異常告警。這些異常告警可能指示灰防火墻或外部VPN 網(wǎng)關(guān)的過濾功能失效，也可能表示存在錯誤配置或潛在威脅。

監(jiān)測點3（MP3）：位于灰網(wǎng)中，用于監(jiān)視灰防火墻和內(nèi)部加密組件之間的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到任何本應(yīng)被灰防火墻阻止或不該由內(nèi)部加密組件發(fā)送的流量時產(chǎn)生異常告警。這些異常告警可能指示灰防火墻的過濾功能失效，也可能表示灰防火墻或內(nèi)部加密組件存在錯誤配置或潛在威脅。

監(jiān)測點4（MP4）：位于紅網(wǎng)中，用于監(jiān)視內(nèi)部加密組件和內(nèi)部防火墻之間的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到任何本應(yīng)被內(nèi)部加密組件或內(nèi)部防火墻阻止的流量時產(chǎn)生異常告警。這些異常告警可能指示內(nèi)部加密組件或內(nèi)部防火墻的過濾功能失效，也可能表示存在錯誤配置或潛在威脅。

監(jiān)測點5（MP5）：位于紅網(wǎng)內(nèi)部，用于監(jiān)視內(nèi)部防火墻和紅網(wǎng)之間的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到任何本應(yīng)被內(nèi)部防火墻阻止或不該從紅網(wǎng)發(fā)送給EUD 或內(nèi)部加密組件的流量時產(chǎn)生異常告警。這些異常告警可能指示內(nèi)部加密組件或內(nèi)部防火墻的過濾功能失效，也可能表示存在錯誤配置或潛在威脅。

監(jiān)測點6（MP6）：位于灰管理網(wǎng)內(nèi)部，用于監(jiān)視部署在灰網(wǎng)中的管理服務(wù)的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到本應(yīng)被灰防火墻阻止或不該從灰管理網(wǎng)發(fā)出的流量時產(chǎn)生異常告警，并使安全管理員能夠查詢連接到灰管理網(wǎng)的所有組件的系統(tǒng)日志數(shù)據(jù)。在灰管理網(wǎng)產(chǎn)生的異常告警可能指示灰防火墻的過濾功能失效，也可能表示外部VPN 網(wǎng)關(guān)、灰防火墻或灰管理網(wǎng)組件存在錯誤配置或潛在威脅。

監(jiān)測點7（MP7）：位于紅管理網(wǎng)內(nèi)部，用于監(jiān)視部署在紅網(wǎng)中的管理服務(wù)的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到本應(yīng)被內(nèi)部防火墻阻止或不該從紅管理網(wǎng)發(fā)出的流量時產(chǎn)生異常告警，并使安全管理員能夠查詢連接到紅管理網(wǎng)的所有組件的系統(tǒng)日志數(shù)據(jù)。在紅管理網(wǎng)產(chǎn)生的異常告警可能指示內(nèi)部防火墻的過濾功能失效，也可能表示內(nèi)部加密組件、內(nèi)部防火墻或紅管理網(wǎng)組件存在錯誤配置或潛在威脅。

監(jiān)測點8（MP8）：位于EUD 上，用于從設(shè)備中采集系統(tǒng)和應(yīng)用的日志數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為將EUD 日志數(shù)據(jù)和異常告警發(fā)送到紅網(wǎng)。這些日志和告警可能表示EUD 存在錯誤配置或潛在威脅。

1.3 監(jiān)測數(shù)據(jù)收集

MA CP 要求收集和分析的安全事件數(shù)據(jù)包括但不限于各設(shè)備的系統(tǒng)日志、IDS/IPS 告警和網(wǎng)絡(luò)流量數(shù)據(jù)。設(shè)備系統(tǒng)的日志可以非常廣泛，包括安全關(guān)聯(lián)事件、配置變更、狀態(tài)告警以及在感知系統(tǒng)安全態(tài)勢時可能有用的數(shù)據(jù)。MA CP 數(shù)據(jù)收集方案，如圖3 所示。

黑網(wǎng)：黑網(wǎng)中的兩個關(guān)鍵組件是外部防火墻和監(jiān)測點MP1。建議在黑管理服務(wù)中部署專門的數(shù)據(jù)收集服務(wù)器，從這兩個獨立的設(shè)備上收集安全事件數(shù)據(jù)。如圖3 所示，通過獲得認(rèn)證的跨域解決方案（Cross Domain Solution，CDS）將這些數(shù)據(jù)轉(zhuǎn)發(fā)到灰網(wǎng)的數(shù)據(jù)收集服務(wù)器。

圖3 MA CP 數(shù)據(jù)收集方案

灰網(wǎng)：灰網(wǎng)中的關(guān)鍵組件是外部VPN 網(wǎng)關(guān)、灰防火墻、監(jiān)測點MP2、監(jiān)測點MP3、監(jiān)測點MP6以及灰管理服務(wù)器。在最低要求下，這些設(shè)備的安全事件數(shù)據(jù)至少被直接發(fā)送到部署在灰網(wǎng)中的安全信息與事件管理器（Security Information and Event Management，SIEM）?；襍IEM 不允許從黑網(wǎng)收集數(shù)據(jù)，除非使用獲得認(rèn)證的CDS，如圖3 所示。建議利用專門的數(shù)據(jù)收集服務(wù)器接收所有設(shè)備的安全事件數(shù)據(jù)，并通過獲得認(rèn)證的CDS 將這些數(shù)據(jù)轉(zhuǎn)發(fā)到紅網(wǎng)中的數(shù)據(jù)收集服務(wù)器。

紅網(wǎng)：為EUD 提供各種服務(wù)的紅網(wǎng)中的關(guān)鍵組件至少包括內(nèi)部加密組件、內(nèi)部防火墻、監(jiān)測點MP4、監(jiān)測點MP5、監(jiān)測點MP7 以及紅管理服務(wù)器。所有安全事件數(shù)據(jù)必須被發(fā)送到部署在紅網(wǎng)監(jiān)測域的專門的數(shù)據(jù)收集服務(wù)器，并被提供給紅網(wǎng)中的SIEM。紅SIEM 不允許從黑網(wǎng)或灰網(wǎng)收集數(shù)據(jù)，除非使用獲得認(rèn)證的CDS，如圖3 所示。建議利用紅SIEM 收集、統(tǒng)計、關(guān)聯(lián)和分析來自黑網(wǎng)、灰網(wǎng)、紅網(wǎng)的全部安全事件數(shù)據(jù)。

為了保護(hù)安全事件數(shù)據(jù)的機(jī)密性和完整性，所有數(shù)據(jù)的傳輸都采用TLS、SSH 或IPsec 加密。

另外，可使用單向無源光纖網(wǎng)絡(luò)測試接入點（Test Access Point，TAP）將原始網(wǎng)絡(luò)通信流量傳輸?shù)礁弑Ｗo(hù)級別網(wǎng)絡(luò)中的IDS 或SIEM。光學(xué)TAP 的使用僅限于解決方案的原始網(wǎng)絡(luò)數(shù)據(jù)捕獲，不能用于向更高保護(hù)級別網(wǎng)絡(luò)傳輸系統(tǒng)日志或任何其他數(shù)據(jù)。

2 監(jiān)測實施要求

為保障有效提升基礎(chǔ)設(shè)施網(wǎng)絡(luò)的整體防御能力，解決方案實施連續(xù)監(jiān)測時，在監(jiān)測點選擇、設(shè)備部署、告警設(shè)置、流量監(jiān)測、日志記錄和安全審計等方面需遵循相應(yīng)要求。

如表1 所示，MA CP 實施持續(xù)監(jiān)測時，必須對EUD、灰管理服務(wù)以及紅管理服務(wù)進(jìn)行監(jiān)視；在內(nèi)部防火墻的外網(wǎng)或內(nèi)網(wǎng)側(cè)選擇一個監(jiān)測點，對出入紅網(wǎng)的數(shù)據(jù)進(jìn)行監(jiān)視；在外部VPN 網(wǎng)關(guān)或灰防火墻的外網(wǎng)或內(nèi)網(wǎng)側(cè)選擇一個監(jiān)測點，對出入黑網(wǎng)或灰網(wǎng)的數(shù)據(jù)進(jìn)行監(jiān)視。

在各監(jiān)測點應(yīng)部署IDS 或IPS，并在檢測到任何未經(jīng)允許的目的IP 地址或源IP 地址時產(chǎn)生告警。若部署的是IPS，還應(yīng)在產(chǎn)生告警的同時阻塞可疑流量。

一般在灰網(wǎng)中應(yīng)部署SIEM，除非已部署了經(jīng)認(rèn)證的CDS 將事件報給紅網(wǎng)中的SIEM?；襍IEM應(yīng)收集來自外部VPN 網(wǎng)關(guān)、灰防火墻和任何灰管理服務(wù)組件的日志，并維護(hù)一份最新的EUD 證書和外部IPsec 隧道IP 地址的關(guān)聯(lián)表。

表1 MA CP 監(jiān)測點部署要求

灰SIEM 應(yīng)在以下情況下產(chǎn)生告警：

（1）檢測到外部VPN 網(wǎng)關(guān)或灰防火墻阻塞了可疑流量等異常事件；

（2）EUD 試圖使用錯誤的VPN 客戶端設(shè)置與外部VPN 網(wǎng)關(guān)建立連接；

（3）外部VPN 網(wǎng)關(guān)或灰防火墻在24 小時內(nèi)出現(xiàn)3 次以上的無效登錄嘗試；

（4）外部VPN 網(wǎng)關(guān)或灰防火墻發(fā)生授權(quán)擴(kuò)大或配置變更；

（5）在外部VPN 網(wǎng)關(guān)、灰防火墻或任何灰認(rèn)證服務(wù)器上創(chuàng)建新賬戶；

（6）試圖利用無效的證書與外部VPN 網(wǎng)關(guān)建立IPsec 連接；

（7）出現(xiàn)預(yù)期IP 地址外的DNS 請求。

內(nèi)部防火墻上應(yīng)使能網(wǎng)絡(luò)流量提取功能。同時，紅網(wǎng)中應(yīng)安裝網(wǎng)絡(luò)流量收集器，如SiLK、IPFlow、NetFlow 等，并建立網(wǎng)絡(luò)流量數(shù)據(jù)基線且定期更新。

網(wǎng)絡(luò)流量數(shù)據(jù)應(yīng)檢查以下內(nèi)容：

（1）產(chǎn)生過多流量的網(wǎng)絡(luò)數(shù)據(jù)流；

（2）試圖連接不恰當(dāng)?shù)腎P 地址；

（3）試圖連接內(nèi)部服務(wù)已關(guān)閉的端口；

（4）產(chǎn)生過多的小包數(shù)據(jù)，如超過60%的數(shù)據(jù)包僅含150 字節(jié)及以下的數(shù)據(jù)；

（5）產(chǎn)生過多ICMP 消息。

移動接入基礎(chǔ)設(shè)施各設(shè)備發(fā)送到SIEM 的日志記錄應(yīng)包括以下內(nèi)容：

（1）VPN 網(wǎng)關(guān)記錄的VPN 隧道建立和隧道終結(jié)的日志；

（2）受TLS 保護(hù)的服務(wù)記錄的TLS 連接建立和連接終結(jié)的日志；

（3）使用相同EUD 設(shè)備證書，從不同IP 地址同時建立2 條以上VPN 隧道或TLS 連接的日志；

（4）所有對審計日志進(jìn)行操作的日志，如卸載、刪除等；

（5）所有鑒別和認(rèn)證相關(guān)操作的日志；

（6）未經(jīng)認(rèn)證就試圖在對象上執(zhí)行操作的日志，如讀、寫、執(zhí)行以及刪除等；

（7）所有以超級用戶或管理員權(quán)限執(zhí)行的操作；

（8）用戶權(quán)限擴(kuò)大的日志；

（9）產(chǎn)生、加載和撤回證書的日志；

（10）系統(tǒng)時間改變的日志。

每條日志記錄都應(yīng)記錄事件的日期和時間、標(biāo)識符、類型、成功或失敗，并包括錯誤碼、何時有效、主體標(biāo)識符等。對于基于網(wǎng)絡(luò)的事件，每條日志記錄都應(yīng)記錄源地址。對于基于規(guī)則的事件，每條日志記錄都應(yīng)記錄用戶、規(guī)則標(biāo)識符以及何處應(yīng)用等。

審計員應(yīng)至少每天參照建立的基線對比收集的網(wǎng)絡(luò)流量數(shù)據(jù)。所有組件的基線配置應(yīng)由安全管理員維護(hù)，并由審計員審計。

EUD 監(jiān)測數(shù)據(jù)的來源包括但不限于操作系統(tǒng)事件日志數(shù)據(jù)、主機(jī)入侵檢測系統(tǒng)、遠(yuǎn)程認(rèn)證解決方案、移動設(shè)備管理器和企業(yè)數(shù)據(jù)駐留代理，監(jiān)測數(shù)據(jù)包括但不限于VPN 隧道的狀態(tài)、軟件/固件更新、硬件狀態(tài)、錯誤配置和與入侵相關(guān)的事件等。

3 安全原理分析

移動接入解決方案的安全原理是利用物理獨立的外部VPN 網(wǎng)關(guān)和內(nèi)部加密組件在基礎(chǔ)設(shè)施網(wǎng)絡(luò)中構(gòu)建出灰網(wǎng)絡(luò)，確保兩層加密只要不同時失效，機(jī)密數(shù)據(jù)就不會泄露到黑網(wǎng)上；實施持續(xù)監(jiān)測，確保能及時發(fā)現(xiàn)外部VPN 網(wǎng)關(guān)和內(nèi)部加密組件等設(shè)備因錯誤配置或被攻破等導(dǎo)致機(jī)密信息泄露的風(fēng)險，為問題處置和系統(tǒng)恢復(fù)爭取寶貴的時間。

3.1 網(wǎng)絡(luò)流量監(jiān)測

網(wǎng)絡(luò)流量監(jiān)測點選擇部署在外部防火墻和外部VPN 網(wǎng)關(guān)之間（MP1）、外部VPN 網(wǎng)關(guān)和灰防火墻之間（MP2）、灰防火墻和內(nèi)部加密組件之間（MP3）、內(nèi)部加密組件和內(nèi)部防火墻之間（MP4）、內(nèi)部防火墻以內(nèi)（MP5）。

如圖4 所示，MP1 上的常態(tài)流量為IPsec 加密流量、有限數(shù)量IKE 協(xié)議[3]。由于幾乎所有通過MP1 的流量都使用了IPsec 加密，IDS/IPS 被限于僅能分析IP 地址、端口、協(xié)議和流量等數(shù)據(jù)。通過網(wǎng)絡(luò)流量分析，當(dāng)入站流量包含非IPsec 和IKE 包，或者目的IP 地址不是外部VPN 網(wǎng)關(guān)的IP 地址時，外部防火墻可能被攻破或存在錯誤配置。當(dāng)出站流量包含非IPsec 和IKE 包，或者源IP 地址不是外部VPN 網(wǎng)關(guān)的IP 地址時，外部VPN 網(wǎng)關(guān)可能存在錯誤配置。當(dāng)出入站的IKE 包流量明顯超出基線值時，可能存在針對外部VPN 網(wǎng)關(guān)的IKE 協(xié)議攻擊。

如圖5 所示，MP2 上的常態(tài)流量可包括IPsec流量、使用TLS 或SRTP 加密的數(shù)據(jù)面流量、控制面流量和管理流量[3]。由于幾乎所有通過MP2 的流量都使用IPsec、TLS、SRTP 或者SSH 進(jìn)行了加密，IDS/IPS 被限于僅能分析IP 地址、端口、協(xié)議和流量等數(shù)據(jù)。通過網(wǎng)絡(luò)流量分析，當(dāng)入站流量包含非IPsec、TLS、SRTP、SSH 和ISAKMP 包或者目的IP 地址不是允許的IP 地址時，外部防火墻和外部VPN 網(wǎng)關(guān)可能被攻破或存在錯誤配置；當(dāng)出站流量包含非IPsec、TLS、SRTP、SSH 和ISAKMP 包或者源IP 地址不是允許的IP 地址時，灰防火墻和內(nèi)部加密組件可能存在配置錯誤。

圖4 MP1 監(jiān)測點上的合法流量

圖5 MP2 和MP3 監(jiān)測點上的合法流量

如圖5 所示，MP3 上的常態(tài)流量可包括IPsec流量、使用TLS 或SRTP 加密的數(shù)據(jù)面流量[3]。由于幾乎所有通過MP3 的流量都使用IPsec、TLS、SRTP 進(jìn)行了加密，IDS/IPS 被限于僅能分析IP 地址、端口、協(xié)議和流量等數(shù)據(jù)。通過網(wǎng)絡(luò)流量分析，當(dāng)入站流量包含非IPsec、TLS、SRTP 和ISAKMP包或者目的IP 地址不是允許的IP 地址時，灰防火墻可能存在錯誤配置；當(dāng)出站流量包含非IPsec、TLS、SRTP 和ISAKMP 包或者源IP 地址不是允許的IP 地址時，內(nèi)部加密組件可能存在錯誤配置。

MP4 和MP5 是最難明確網(wǎng)絡(luò)流量數(shù)據(jù)的，但由于流量沒有被加密，能夠?qū)嵤┥疃劝鼨z查。通過網(wǎng)絡(luò)流量深度檢查，當(dāng)入站流量包含非允許的數(shù)據(jù)包時，內(nèi)部防火墻可能存在配置錯誤；當(dāng)出站流量包含非允許的數(shù)據(jù)包時，內(nèi)部紅網(wǎng)中的服務(wù)器或用戶終端可能存在錯誤配置，或者存在潛在的威脅，如木馬、病毒等。

3.2 數(shù)據(jù)關(guān)聯(lián)匯集

外部VPN 網(wǎng)關(guān)和內(nèi)部加密組件基于密碼實現(xiàn)了黑網(wǎng)和灰網(wǎng)、灰網(wǎng)和紅網(wǎng)的隔離，禁止紅網(wǎng)數(shù)據(jù)不經(jīng)過內(nèi)部加密組件流向灰網(wǎng)和黑網(wǎng)以及灰網(wǎng)數(shù)據(jù)不經(jīng)過外部VPN 網(wǎng)關(guān)流向黑網(wǎng)。

但是，將黑網(wǎng)、灰網(wǎng)和紅網(wǎng)中各設(shè)備系統(tǒng)日志、IDS/IPS 告警和網(wǎng)絡(luò)流量數(shù)據(jù)等安全事件數(shù)據(jù)關(guān)聯(lián)起來，用戶將獲得移動接入基礎(chǔ)設(shè)施網(wǎng)絡(luò)的安全態(tài)勢全息圖，從而及時應(yīng)對和處理各種網(wǎng)絡(luò)攻擊和潛在的安全威脅。因此，可以采用獲得認(rèn)證的CDS 將低安全等級邊界的數(shù)據(jù)逐次交換到紅網(wǎng)，在確保紅網(wǎng)、灰網(wǎng)、黑網(wǎng)網(wǎng)絡(luò)隔離的同時實現(xiàn)安全事件數(shù)據(jù)的匯集。

3.3 系統(tǒng)安全模型

移動接入解決方案采用雙層加密與持續(xù)監(jiān)測相結(jié)合的方式，實現(xiàn)了包含策略、防護(hù)、檢測以及響應(yīng)恢復(fù)的P2DR2 動態(tài)安全模型。

3.3.1 策略（Policy）

根據(jù)移動接入業(yè)務(wù)服務(wù)需求，制定具體的“IPsec+IPsec”或“IPsec+TLS/SRTP”雙層加密策略。另外，給各防火墻、IDS/IPS、SIEM、認(rèn)證服務(wù)器、管理工作站等設(shè)備分別制定出站和入站規(guī)則、流量監(jiān)測規(guī)則、安全告警策略、身份認(rèn)證機(jī)制等安全策略，設(shè)置各類用戶操作權(quán)限，建立流量、規(guī)則和權(quán)限等配置基線。

3.3.2 防護(hù)（Protection）

外部VPN 網(wǎng)關(guān)和內(nèi)部加密組件實現(xiàn)EUD 和紅網(wǎng)服務(wù)器間交互數(shù)據(jù)的雙層加密保護(hù)，確保機(jī)密信息不會泄露到黑網(wǎng)上；各防火墻實現(xiàn)黑網(wǎng)到外部VPN 網(wǎng)關(guān)、外部VPN 網(wǎng)關(guān)到內(nèi)部加密組件、內(nèi)部加密組件到紅網(wǎng)的網(wǎng)絡(luò)包過濾。

3.3.3 檢測（Detection）

IDS/IPS 對各持續(xù)監(jiān)測點上的網(wǎng)絡(luò)流量進(jìn)行提取分析，SIEM 則收集分析各設(shè)備系統(tǒng)日志、IDS/IPS 告警和網(wǎng)絡(luò)流量數(shù)據(jù)，并產(chǎn)生告警信息。

3.3.4 響應(yīng)（Response）

若部署IPS，可在產(chǎn)生告警信息的同時阻斷異常流量；各管理員接收到告警信息后，可及時進(jìn)行策略更改、規(guī)則更新等操作。

3.3.5 恢復(fù)（Recovery）

完成異常告警處理后，通過新策略、新規(guī)則、新基線設(shè)置等的下發(fā)，可快速恢復(fù)系統(tǒng)運行，繼續(xù)提供安全的移動接入服務(wù)。

一個比較典型的異常處理實例：當(dāng)發(fā)現(xiàn)使用同一個EUD 設(shè)備證書從不同IP 地址同時建立兩條以上VPN 隧道或TLS 連接時，認(rèn)證服務(wù)器可立即停止對該EUD 設(shè)備證書的認(rèn)證服務(wù)，并發(fā)送異常事件信息給SIEM；接收到告警信息后，CA 管理員可立即撤回設(shè)備證書，并給安全管理員提供一份更新的CRL，安全管理員則應(yīng)立即中斷會話；待排除掉該EUD 設(shè)備的安全威脅后，再采取更換EUD 和設(shè)備證書等措施恢復(fù)為該合法用戶提供的服務(wù)。

4 結(jié)語

本文介紹了NSA 移動接入解決方案持續(xù)監(jiān)測機(jī)制給出的監(jiān)測點位置、安全事件數(shù)據(jù)匯集手段以及實施持續(xù)監(jiān)測時需滿足的要求，分析了各監(jiān)測點網(wǎng)絡(luò)流量類型和異常告警判斷依據(jù)，利用CDS 實現(xiàn)數(shù)據(jù)匯聚的安全意義和整個系統(tǒng)的動態(tài)安全模型。類似的持續(xù)監(jiān)測機(jī)制在NSA 的文獻(xiàn)[4]多站點連接能力包（Multi-Site Connectivity Capability Package，MSC CP）和文獻(xiàn)[5]WLAN 能力包（Wireless Local Area Network Capability Package，WLAN CP）中 也可找到。上述解決方案中提出的持續(xù)監(jiān)測機(jī)制和實施要求可以為我國黨政機(jī)關(guān)、企事業(yè)單位、科研院所等用戶，基于移動通信網(wǎng)、互聯(lián)網(wǎng)、WLAN 網(wǎng)等開放網(wǎng)絡(luò)構(gòu)建虛擬私有專網(wǎng)時設(shè)計網(wǎng)絡(luò)整體監(jiān)測方案提供參考。