主動安全網(wǎng)絡(luò)架構(gòu)的安全策略

劉建兵 馬旭艷 王小宏 王振欣

1(北京北信源軟件股份有限公司 北京 100195)

2(中國石油東方地球物理勘探有限責(zé)任公司 河北保定 072750)

3(昆侖數(shù)智科技有限責(zé)任公司 西安 710077)(fqy-vrv@wo.cn)

主動安全網(wǎng)絡(luò)架構(gòu)以邊界認(rèn)證機(jī)代替接入層交換機(jī)，在開放互聯(lián)的傳統(tǒng)網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上，重新建立業(yè)已模糊的內(nèi)網(wǎng)邊界，以此邊界圍合起全網(wǎng)的安全區(qū)域.邊界的內(nèi)嵌認(rèn)證保證了接入網(wǎng)絡(luò)設(shè)備的身份合法性，確保接入設(shè)備執(zhí)行了網(wǎng)絡(luò)管理者認(rèn)可的基本約束，外來設(shè)備或非法設(shè)備隨意接入網(wǎng)絡(luò)的情形被徹底消除[1]，甚至可以通過邊界的內(nèi)嵌認(rèn)證發(fā)現(xiàn)非法設(shè)備試圖進(jìn)入網(wǎng)絡(luò)的嘗試行為.但是，建立起清晰的邊界、接入了合法的設(shè)備并不意味著網(wǎng)絡(luò)安全.如何保證接入網(wǎng)絡(luò)的設(shè)備和網(wǎng)內(nèi)資產(chǎn)得到有效的保護(hù)，按網(wǎng)絡(luò)管理者的意志實(shí)現(xiàn)網(wǎng)絡(luò)全域精細(xì)化的安全控制，必須依賴安全策略[2]的精細(xì)化、體系化、靈活性、準(zhǔn)確性、時效性來保證.本文所述安全策略是以邊界認(rèn)證機(jī)圍合區(qū)域的安全策略，安全策略包含的安全規(guī)則是以訪問控制規(guī)則為基礎(chǔ)的，在此前提下，重點(diǎn)討論安全策略的相關(guān)問題.

1 主動安全網(wǎng)絡(luò)架構(gòu)安全理念

以密碼技術(shù)[3]支撐的身份認(rèn)證為基礎(chǔ)，將邊界管控、設(shè)備準(zhǔn)入和安全策略關(guān)聯(lián)起來，建立接入設(shè)備到安全策略的一一對應(yīng)關(guān)系，并將安全策略即時發(fā)布到接入設(shè)備所在的邊界并自動化地執(zhí)行.

安全策略的精細(xì)化和有效性是決定網(wǎng)絡(luò)整體安全的關(guān)鍵因素，ASN(active security network)安全策略是確定性安全策略，基于既有知識建立，考慮3個方面因素:一是網(wǎng)絡(luò)中業(yè)務(wù)應(yīng)用的保障，安全策略融入業(yè)務(wù)需求，保證應(yīng)用使用的網(wǎng)絡(luò)資源不受限制;二是安全背景知識，包括一切業(yè)界已經(jīng)掌握的網(wǎng)絡(luò)攻擊方法和惡意代碼所涉及漏洞的利用和防護(hù)方法[4];三是未來出現(xiàn)的攻擊利用的漏洞和防護(hù)方法[5]..其中前2項(xiàng)是可以提前制定出確定性的安全防護(hù)策略的，第3項(xiàng)在跟蹤安全威脅變化時及時制定.

整合分立的安全能力是指各自獨(dú)立的傳統(tǒng)安全服務(wù)的計算結(jié)果，可以統(tǒng)一轉(zhuǎn)化為安全策略或規(guī)則，被ASN接受和執(zhí)行，以應(yīng)對各自發(fā)現(xiàn)的風(fēng)險或威脅.

2 以安全策略為核心的內(nèi)涵

毛澤東同志說過：“政策和策略是黨的生命”,這個重要的哲學(xué)思想適用于網(wǎng)絡(luò)安全，安全策略同樣是網(wǎng)絡(luò)安全的生命，可以說，有什么樣的安全策略就有什么樣的安全水平，沒有適當(dāng)?shù)陌踩呗跃蜔o法保證網(wǎng)絡(luò)安全.為實(shí)現(xiàn)以安全策略保護(hù)網(wǎng)絡(luò)成員安全、實(shí)現(xiàn)全網(wǎng)安全目標(biāo)的目的，主動安全網(wǎng)絡(luò)架構(gòu)下的安全策略，必須是全局和集中統(tǒng)一的，必須是精細(xì)化和實(shí)時的，必須是主動的、動態(tài)的、靈活的.

2.1 安全防護(hù)策略全局性和集中統(tǒng)一

安全策略的全局性和集中統(tǒng)一是由安全完整性決定的，符合木桶原理，目標(biāo)網(wǎng)絡(luò)的安全水平由短板決定.網(wǎng)絡(luò)環(huán)境是由網(wǎng)絡(luò)和網(wǎng)絡(luò)成員共同組成的，通過網(wǎng)絡(luò)邊界實(shí)施的安全策略，需要為所有成員提供安全的網(wǎng)絡(luò)環(huán)境，因此安全策略必須是全局視角的，必須包容所有網(wǎng)絡(luò)成員的需求，這就要求安全策略的制定者站在全局的角度制定安全策略.

集中統(tǒng)一包含2個方面的含義:一是集中制定安全策略;二是集中統(tǒng)一部署安全策略.集中統(tǒng)一制定安全策略是全局性的保證，離開集中統(tǒng)一全局性就會被破壞，安全策略也必然是局部的、分散的甚至是矛盾的、碎片化的.僅有好的安全策略還不夠，安全策略的部署是安全策略發(fā)揮的重要條件.集中統(tǒng)一部署才能保證全局安全策略體系化地全面及時到位，才能避免策略執(zhí)行的碎片化和策略部署漏洞，才能充分發(fā)揮安全策略的作用，保證有效性.

全局安全策略的制定主要從以下5個方面考量：

1) 清楚了解網(wǎng)絡(luò)資源的詳細(xì)狀況，了解網(wǎng)絡(luò)應(yīng)用所使用資源的風(fēng)險.

2) 掌握網(wǎng)絡(luò)安全威脅的背景[6]和當(dāng)前重點(diǎn)，好比防疫工作，即需要理解天花麻疹這樣的長久威脅，也需要理解季節(jié)性流感的發(fā)生規(guī)律，還要充分認(rèn)識新冠肺炎這樣的現(xiàn)實(shí)威脅，綜合這些因素才能制定出切實(shí)有效的流行病防疫策略.對于網(wǎng)絡(luò)安全來說也是這樣，綜合安全威脅的過去和當(dāng)前信息制定的安全策略才能是有效適用的.

3) 我們既需要理解傳統(tǒng)的病毒和網(wǎng)絡(luò)攻擊方法對應(yīng)的漏洞和防護(hù)措施，也需要及時掌握當(dāng)前活躍的病毒和攻擊方式所利用的漏洞，基于此制定安全策略.

4) 既要考慮長期威脅也要包含當(dāng)前攻擊，甚至要針對最新發(fā)現(xiàn)的安全漏洞，作出提前預(yù)防的策略考量.

5) 安全策略的集中統(tǒng)一貫穿網(wǎng)絡(luò)安全全生命周期，集中統(tǒng)一制定安全策略，集中統(tǒng)一部署安全策略，維護(hù)更新，隨勢而動、隨變而應(yīng)，針對風(fēng)險及時調(diào)整.

2.2 安全策略精細(xì)化和實(shí)時性

精細(xì)化包含4個方面的含義：

1) 策略針對單個設(shè)備的身份，不是針對IP地址，IP和設(shè)備沒有嚴(yán)格對應(yīng)關(guān)系[7]；策略發(fā)布給單個設(shè)備，與設(shè)備身份綁定，IP地址是策略中介，作用在設(shè)備使用的當(dāng)前IP上，執(zhí)行在當(dāng)期接入邊界機(jī)上，隨設(shè)備位置移動；

2) 策略針對單個IP地址，以邏輯地址local標(biāo)注在規(guī)則中；

3) 策略細(xì)化到IP地址和協(xié)議端口；

4) 策略可針對主體和客體雙向制定.

實(shí)時性是指安全策略的執(zhí)行與接入設(shè)備的接入時間是自動化同步的，從設(shè)備接入到安全策略執(zhí)行的時間延遲是秒級的.以動態(tài)安全策略保護(hù)接入設(shè)備和網(wǎng)絡(luò)資源安全，對實(shí)時性有很高的要求，從接入設(shè)備接入網(wǎng)絡(luò)到安全策略執(zhí)行生效的時間延遲如果很長，就會出現(xiàn)防護(hù)空窗期，這個時延越短越好.ASN架構(gòu)下，由于邊界機(jī)具備準(zhǔn)入能力，可以保證安全策略和準(zhǔn)入的無縫銜接，在安全策略生效前不轉(zhuǎn)發(fā)接入設(shè)備的數(shù)據(jù)報文，設(shè)備一入網(wǎng)安全策略生效是同時的；從設(shè)備接入網(wǎng)絡(luò)通過認(rèn)證、策略下發(fā)、執(zhí)行生效的一系列過程是在秒級完成的.

2.3 安全策略的主動性、動態(tài)化和靈活性

主動性是指所有的安全策略集中管理，在安全事件尚未發(fā)生前預(yù)先制定，策略制定針對安全問題、威脅和漏洞，不針對具體目標(biāo)設(shè)備，以策略庫的形式保存?zhèn)溆?動態(tài)化是指精細(xì)化安全策略根據(jù)接入位置(邊界機(jī)及端口)移動而跟隨接入設(shè)備部署到位，并在接入設(shè)備離線后自動清除相應(yīng)安全策略.靈活性是指策略庫中的策略可以根據(jù)不同的安全場景選擇特定目標(biāo)發(fā)布，隨時發(fā)布即刻生效，選擇的發(fā)布目標(biāo)基于CID(combination ID)標(biāo)識，無需目標(biāo)在線，無需目標(biāo)地址，同時，集成系統(tǒng)提供的安全規(guī)則可以融入執(zhí)行.在精細(xì)化安全策略準(zhǔn)確執(zhí)行到位的情況下，理論上可以控制網(wǎng)絡(luò)中所有資源的訪問，可以控制全網(wǎng)IP地址之間的訪問，達(dá)到保護(hù)信息系統(tǒng)安全和接入設(shè)備自身安全的雙重作用.

2.4 安全策略技術(shù)支撐

集中管控全網(wǎng)的訪問控制是ASN的核心能力，支撐ASN架構(gòu)的技術(shù)基礎(chǔ)是網(wǎng)絡(luò)接入層設(shè)備的訪問控制能力，即接入交換機(jī)的ACL，集中管控關(guān)聯(lián)身份的網(wǎng)絡(luò)接入層ACL，以此形成內(nèi)網(wǎng)邊界的安全防護(hù)能力.

依傳統(tǒng)網(wǎng)絡(luò)模型的觀點(diǎn)，ACL是建立在內(nèi)網(wǎng)的匯聚層和核心層的，接入層的訪問控制一直被棄之不用，偶有使用也是簡單化的、靜態(tài)的、分散的、手工的.站在內(nèi)網(wǎng)安全全域邊界的視角重新審視，我們發(fā)現(xiàn)接入層是網(wǎng)絡(luò)安全的重要關(guān)口，是重新建立內(nèi)網(wǎng)邊界的最佳位置，放棄在邊界上建立安全控制能力不得不說是網(wǎng)絡(luò)安全界一直以來的失誤和損失.ASN重拾接入層安全能力，并對其進(jìn)行系統(tǒng)化、體系化、集中化、自動化的組織利用，成為解決內(nèi)網(wǎng)安全問題的全新安全方法，也是ASN技術(shù)的基礎(chǔ)，依托這個技術(shù)基礎(chǔ)，ASN得以建立起內(nèi)網(wǎng)精細(xì)化、體系化的主動動態(tài)安全策略和自動執(zhí)行機(jī)制.

傳統(tǒng)網(wǎng)絡(luò)模型的接入層并不天然具備ASN要求的安全能力，ASN通過創(chuàng)新改進(jìn)使接入層設(shè)備具備認(rèn)證、準(zhǔn)入和訪問控制集中管控執(zhí)行能力，由網(wǎng)絡(luò)交換機(jī)轉(zhuǎn)變?yōu)檫吔缯J(rèn)證機(jī)，以此形成ASN架構(gòu)下新的內(nèi)網(wǎng)接入層.

3 主動安全策略的實(shí)現(xiàn)

建立與接入設(shè)備身份相聯(lián)系的訪問控制策略，需要解決3個問題:其一,建立接入設(shè)備的唯一身份標(biāo)識;其二,依據(jù)安全和業(yè)務(wù)要求制定和發(fā)布與唯一標(biāo)識關(guān)聯(lián)的訪問控制策略;其三,在訪問網(wǎng)絡(luò)前獲得接入設(shè)備使用的IP地址.第1個問題我們在前文中已經(jīng)解決，內(nèi)嵌認(rèn)證技術(shù)建立了與設(shè)備物理地址關(guān)聯(lián)的唯一標(biāo)識CID，可以實(shí)現(xiàn)接入設(shè)備的身份認(rèn)證，這個唯一標(biāo)識可以作為管理安全策略的設(shè)備身份；第2個問題將在策略制定部分解決；第3個問題，邊界認(rèn)證機(jī)在完成接入設(shè)備身份認(rèn)證的過程中，可以從接入設(shè)備的數(shù)據(jù)包中獲取其IP地址，并實(shí)時上報給策略平臺.

在具備以上條件的前提下，主動安全網(wǎng)絡(luò)架構(gòu)的安全策略制定、發(fā)布和執(zhí)行即可以實(shí)現(xiàn)主動和動態(tài)能力.

3.1 安全策略制定

管理要求和安全目標(biāo)是安全策略的出發(fā)點(diǎn)，主動動態(tài)的精細(xì)化安全策略應(yīng)根據(jù)應(yīng)用需求、安全背景和安全威脅制定，以此落實(shí)安全目標(biāo).

1) 業(yè)務(wù)應(yīng)用的需求是需要考慮的首要因素，安全策略必須保證業(yè)務(wù)應(yīng)用的資源得到合理的保障.在安全策略實(shí)現(xiàn)上，應(yīng)根據(jù)應(yīng)用的具體要求精細(xì)化到IP和端口.如某個網(wǎng)絡(luò)中部署的多種應(yīng)用，對于不同的業(yè)務(wù)部門需要分配不同的訪問權(quán)限.電子郵件系統(tǒng)(192.168.10.10)是全部用戶都可以訪問的，而財務(wù)系統(tǒng)(192.168.10.20)僅僅允許財務(wù)部門的用戶訪問，采購系統(tǒng)(192.168.10.30)僅允許特定的崗位人員訪問.把這個應(yīng)用需求翻譯為安全策略的語言就是：拒絕財務(wù)以外用戶訪問財務(wù)系統(tǒng)(192.168.10.20)，拒絕特定以外用戶訪問采購系統(tǒng)(192.168.10.30)，電子郵件系統(tǒng)允許所有用戶訪問，則可以制定如下安全策略規(guī)則，留待應(yīng)用到相應(yīng)的用戶對象.

ACL1：access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action permit;

ACL2：access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action deny;

ACL3：access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action permit;

ACL4：access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action deny.

2) 安全背景是考量安全策略的重要因素，對于已經(jīng)發(fā)現(xiàn)的安全漏洞及其威脅，既有知識已經(jīng)給出應(yīng)對的方法，將其轉(zhuǎn)化為安全策略即可應(yīng)對.來自于多個方面如病毒、木馬、網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞、應(yīng)用漏洞都是需要考慮的因素，這些因素歸結(jié)起來都是對漏洞的利用，如445，139端口被多個病毒和網(wǎng)絡(luò)攻擊利用[8]，存在嚴(yán)重的安全威脅，需要禁止對445端口的訪問，我們就應(yīng)該制定如下的安全策略.

ACL1：access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny;

ACL2：access-list frame-type ipv4-tcp sip local dip any sport any dport 139 action deny.

其中以local作為虛擬地址邏輯上表示接入設(shè)備的實(shí)際地址.

對于既有的安全威脅，安全策略管理者在制定安全策略時還需要綜合考慮當(dāng)前主要活躍的威脅和本網(wǎng)設(shè)備漏洞修補(bǔ)情況，結(jié)合其他獨(dú)立安全系統(tǒng)的情況，決定采用哪些策略規(guī)則，可以更好地精簡和優(yōu)化安全策略.

3) 制定并部署安全策略后，新的安全威脅仍然會不斷出現(xiàn)，安全策略需要隨著安全威脅的變化而變化.

4) 全局策略和局部的個性化策略應(yīng)統(tǒng)一考慮，以提高策略的執(zhí)行效率和簡化策略邏輯.如445端口是高危端口，經(jīng)常被多種網(wǎng)絡(luò)攻擊和病毒利用，為了保護(hù)全網(wǎng)接入設(shè)備安全應(yīng)將對其訪問控制作為全局策略，而不必在每個安全策略里重復(fù)出現(xiàn).全局策略不使用local邏輯地址，可以被邊界機(jī)直接執(zhí)行.全局策略示例如下.

ACL1：access-list frame-type ipv4-tcp sip any dip any sport any dport 445 action deny.

類似以上安全規(guī)則可以作為策略存入策略庫備用，諸如此類的安全規(guī)則可以有很多，根據(jù)安全狀況和業(yè)務(wù)場景可以組合出多種安全策略.

ASN安全策略可以阻斷危險網(wǎng)絡(luò)地址和端口，保護(hù)網(wǎng)絡(luò)接入成員的安全，但是實(shí)際的業(yè)務(wù)應(yīng)用由于特定原因可能使用部分漏洞端口，或者由于其他原因無法修補(bǔ)某些端口的漏洞，限制漏洞端口的可訪問或被訪問范圍，雖然不能絕對消除漏洞風(fēng)險，但在安全上仍然具有很大的意義.作為應(yīng)用服務(wù)端，將訪問者限制在業(yè)務(wù)設(shè)定的范圍，拒絕設(shè)定范圍以外的非業(yè)務(wù)訪問，可以有效阻止來自內(nèi)網(wǎng)和外網(wǎng)的探測、漏洞利用和網(wǎng)絡(luò)攻擊.此場景下的訪問策略規(guī)則如下例.

1) 服務(wù)端

ACL1：access-list frame-type ipv4-tcp sip 192.168.1.0/24 dip local sport any dport 445 action permit；

ACL 2：access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

以上規(guī)則組合成的安全策略在服務(wù)端以local虛擬地址作為被訪問目的地址的訪問控制，在服務(wù)端連接的邊界機(jī)上落地執(zhí)行，服務(wù)端一般是固定IP地址，此時local確定為固定IP：192.168.2.1，僅僅允許192.168.1.0/24網(wǎng)段的設(shè)備訪問445端口.

2) 訪問端

ACL 1：access-list frame-type ipv4-tcp sip local dip 192.168.2.1/32 sport any dport 445 action permit;

ACL 2：access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny.

以上規(guī)則以local虛擬地址代表訪問端的源IP地址，發(fā)布給該應(yīng)用成員的PEG，在對應(yīng)CID訪問者接入認(rèn)證成功后，該策略即在對應(yīng)的邊界機(jī)上執(zhí)行，僅有訪問192.168.2.1：445的數(shù)據(jù)包得以轉(zhuǎn)發(fā)到達(dá)目的地址.

管理控制服務(wù)器平臺提供了主動安全網(wǎng)絡(luò)架構(gòu)安全策略的制定功能.這里所稱的安全策略，是1個或1組安全威脅或管理要求的訪問控制規(guī)則.在安全策略制定階段，安全策略僅僅針對具體的安全威脅或管理要求，不指定具體的作用對象，策略文本中以local邏輯上代表接入設(shè)備的實(shí)際IP地址，編輯好的安全策略以不同的命名保存在安全策略庫中.每個安全策略針對不同的安全場景和管理要求，隨時可以被調(diào)出使用，安全策略制定如圖1所示:

圖1 安全策略制定

安全策略是通過交換機(jī)上的1組訪問控制規(guī)則，即通常所稱訪問控制列表(ACL)實(shí)現(xiàn)的[9].訪問控制列表的一般使用方式是：由網(wǎng)絡(luò)工程師通過命令行或交換機(jī)Web界面進(jìn)行配置，其結(jié)果格式形如下.

ACL3：access-list frame-type ipv4-tcp sip 192.168.82.46/32 dip 192.168.82.48/32 sport 300 dport 500 action deny.

其中的源和目的IP地址都固定了，每條ACL作用于所設(shè)定IP地址或地址范圍，其有效性要求訪問的雙方必須使用確定范圍的IP地址，而一旦使用指定范圍外的IP地址，該訪問控制規(guī)則就不起作用了，這是靜態(tài)ACL的主要缺陷.利用邊界機(jī)ACL功能實(shí)現(xiàn)動態(tài)有效的訪問控制，就需要在ACL中使用接入設(shè)備的當(dāng)前IP地址，因此如何獲取設(shè)備當(dāng)前的IP地址是問題的關(guān)鍵.

利用接入層ACL實(shí)現(xiàn)動態(tài)的訪問控制就需要用接入設(shè)備的IP，邊界機(jī)提供了實(shí)時獲取接入設(shè)備IP地址的能力，并即時上報策略集中管控平臺，安全策略的local得以及時轉(zhuǎn)換為實(shí)際IP地址.

3.2 安全策略的發(fā)布

ASN針對邊界接入設(shè)備的安全策略是邏輯的，安全策略本身并未包含策略的執(zhí)行對象，以此保證策略的靈活性.但策略的執(zhí)行必須使具體的策略與對象相對應(yīng)，這個過程是在ASN的策略發(fā)布過程完成的.

ASN以唯一標(biāo)識CID保證接入設(shè)備唯一性，據(jù)此保證接入設(shè)備身份的唯一性，而不管接入設(shè)備使用什么IP地址，這是策略和接入設(shè)備關(guān)聯(lián)對應(yīng)的基礎(chǔ).

安全策略發(fā)布功能如圖2所示，安全管理者根據(jù)安全和管理需要選定策略庫中某個安全策略作為即將發(fā)布的安全策略，從對象庫中選取合適的1組CID并向其發(fā)布選定的安全策略.發(fā)布的結(jié)果是安全策略被分發(fā)給每個CID對應(yīng)接入設(shè)備的PEG(policy enabling group)中，將即將執(zhí)行的策略賦值在接入設(shè)備上，被賦予安全策略的設(shè)備一旦接入網(wǎng)絡(luò)，其對應(yīng)PEG中的安全策略將被執(zhí)行.

圖2 安全策略發(fā)布執(zhí)行

管理控制服務(wù)器與第三方平臺進(jìn)行安全策略的交互，實(shí)現(xiàn)安全策略發(fā)布、接收、優(yōu)化、執(zhí)行、撤銷的全生命周期管理.管理控制服務(wù)器收到第三方平臺發(fā)布的安全策略后，與本地制定的安全策略進(jìn)行優(yōu)化精簡后發(fā)布，并將策略的接收、優(yōu)化、發(fā)布、執(zhí)行等信息發(fā)送給第三方平臺；收到第三方平臺的策略撤銷信息時，進(jìn)行策略撤銷.

管理控制服務(wù)器將企業(yè)的靜態(tài)安全策略、動態(tài)安全策略統(tǒng)一管理，集成企業(yè)所有安全防護(hù)能力智慧，實(shí)現(xiàn)企業(yè)安全策略的落地生效、終端網(wǎng)絡(luò)訪問行為的全面精細(xì)控制.

3.3 安全策略的執(zhí)行

ASN安全策略的執(zhí)行是和接入認(rèn)證和準(zhǔn)入連貫完成的，如圖2所示，當(dāng)設(shè)備通過邊界機(jī)完成身份認(rèn)證后，系統(tǒng)即獲得了接入設(shè)備對應(yīng)的CID，同時邊界機(jī)從認(rèn)證過程中解析出接入設(shè)備當(dāng)前IP地址，并即時上報給策略服務(wù)器，策略執(zhí)行模塊根據(jù)CID找到對應(yīng)的PEG，從中取出安全策略，并用獲得的IP地址替換安全策略中的邏輯地址符號“l(fā)ocal”，形成可以在邊界機(jī)上執(zhí)行的真實(shí)訪問控制列表ACL，之后安全策略執(zhí)行模塊通過BIP(business interaction protocal)協(xié)議將ACL發(fā)送給接入設(shè)備所在的邊界機(jī)，邊界機(jī)將收到的ACL文本追加進(jìn)自己的訪問控制列表中，并立即執(zhí)行.

策略服務(wù)器上保留有全部邊界機(jī)上正在執(zhí)行策略的副本緩存.邊界機(jī)上接入設(shè)備的在線狀態(tài)由AAP(access authentication protocal)協(xié)議實(shí)時偵測，一旦發(fā)現(xiàn)并確認(rèn)某個接入設(shè)備離線，即將該離線設(shè)備對應(yīng)離線信息和對應(yīng)的IP地址信息報告策略服務(wù)器，安全策略發(fā)布模塊即通過BIP協(xié)議給邊界機(jī)下發(fā)指令，從其訪問控制列表中刪除對應(yīng)的安全規(guī)則內(nèi)容.

3.4 集成系統(tǒng)的策略協(xié)同

以ASN為平臺可以集成眾多獨(dú)立的信息安全應(yīng)用，包括防病毒、補(bǔ)丁分發(fā)、漏洞掃描、流量分析等，我們統(tǒng)一將其稱為集成應(yīng)用，ASN與集成應(yīng)用協(xié)同聯(lián)動，可以倍增集成應(yīng)用的價值，成為集成應(yīng)用的執(zhí)行機(jī)構(gòu)，共同發(fā)揮出綜合效應(yīng).

如與ASN集成的漏洞掃描系統(tǒng)，通過掃描發(fā)現(xiàn)網(wǎng)中某個IP下的設(shè)備存在某個高風(fēng)險漏洞，漏洞對應(yīng)端口號:4488，即可生成禁用該IP:PORT的安全策略，并通過OIP(open integration protocol )協(xié)議發(fā)送給ASN，ASN通過自身定位機(jī)制可以快速定位該IP所在邊界機(jī)，并通過安全策略執(zhí)行模塊向?qū)?yīng)邊界機(jī)追加該條安全策略，并在邊界機(jī)上立即生效.如此網(wǎng)上任何利用該漏洞的數(shù)據(jù)包都會被邊界機(jī)丟棄，這個安全漏洞就在數(shù)秒時間內(nèi)被ASN保護(hù)起來.在此網(wǎng)絡(luò)中一切試圖訪問和利用該漏洞危害此設(shè)備的可能性都不存在了，此設(shè)備如同穿上了失傳已久的金鐘罩.

ASN的安全策略是網(wǎng)絡(luò)安全的根本，有什么樣的安全策略就有什么樣的安全水平.安全策略可以是多種多樣的，通過ACL的靈活配置，既可實(shí)現(xiàn)源目地址、源目端口等的限制特定對象的訪問或被訪問，也可實(shí)現(xiàn)全局的拒絕訪問.策略中ACL的靈活配置可實(shí)現(xiàn)各種安全訪問需求.

安全策略和實(shí)際應(yīng)用場景的結(jié)合是需要特別注意的問題，在安全和業(yè)務(wù)之間求得平衡的安全策略才是容易實(shí)施的.如445端口是在很多業(yè)務(wù)系統(tǒng)中使用的，也是很多網(wǎng)絡(luò)攻擊和病毒木馬利用的端口，從安全的角度來看，全部禁用即可保證不受此類攻擊，但會影響相關(guān)業(yè)務(wù)，因此不能簡單全面停用該端口，這種情況下應(yīng)該考慮該端口的使用范圍，將其限制在業(yè)務(wù)應(yīng)用的最小范圍，即可防范來自業(yè)務(wù)系統(tǒng)之外的遠(yuǎn)程攻擊，此時的安全策略可以把業(yè)務(wù)系統(tǒng)的設(shè)備范圍寫進(jìn)安全策略中，形成限制范圍的適度策略,并賦予業(yè)務(wù)相關(guān)的設(shè)備對象.

ACL1：access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action permit；

ACL2：access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

主動網(wǎng)絡(luò)安全架構(gòu)通過策略管理控制平臺和邊界機(jī)協(xié)調(diào)工作實(shí)現(xiàn)內(nèi)網(wǎng)邊界安全防護(hù)的目標(biāo)，完成安全策略的制定、發(fā)布和執(zhí)行.企業(yè)根據(jù)網(wǎng)絡(luò)安全防護(hù)的整體戰(zhàn)略戰(zhàn)術(shù)需要，制定體系化的安全策略，通過管理控制服務(wù)器的策略模塊創(chuàng)建和發(fā)布安全策略.

安全策略的目的是控制終端的網(wǎng)絡(luò)訪問行為.策略的發(fā)布根據(jù)邊界認(rèn)證機(jī)上終端的上線和移動情況實(shí)時下發(fā)執(zhí)行.邊界認(rèn)證機(jī)上的終端上線后，管理控制服務(wù)器將該邊界認(rèn)證機(jī)上所有終端的安全策略優(yōu)化精簡后下發(fā)至邊界認(rèn)證機(jī)執(zhí)行控制，也可以通過邊界認(rèn)證機(jī)下發(fā)至某一個終端的認(rèn)證客戶端執(zhí)行控制；終端移動到其他邊界認(rèn)證機(jī)接入后，安全策略也會將該終端安全策略下發(fā)至終端移動接入的邊界認(rèn)證機(jī)執(zhí)行控制，實(shí)現(xiàn)終端走到哪里其策略就部署到哪里的移動管控.

邊界認(rèn)證機(jī)和認(rèn)證客戶端執(zhí)行安全策略管控，實(shí)現(xiàn)了在最貼近終端的部位進(jìn)行終端訪問行為精準(zhǔn)管控，減少終端惡意訪問、違規(guī)訪問、異常行為、攻擊行為的擴(kuò)散和影響范圍，將危害控制至最小范圍.

4 主動安全策略獲得的安全價值

4.1 安全防護(hù)統(tǒng)一指揮

企業(yè)網(wǎng)絡(luò)安全策略(包括全局、局部、靜態(tài)、動態(tài)等)在主動安全網(wǎng)絡(luò)架構(gòu)的管理控制服務(wù)器上統(tǒng)一制定發(fā)布，可實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全防護(hù)的統(tǒng)一指揮，改變以往網(wǎng)絡(luò)安全四處救火而火情不減的不良防護(hù)模式，讓網(wǎng)絡(luò)安全運(yùn)營人員將精力集中到網(wǎng)絡(luò)安全防護(hù)最核心、最緊要、最關(guān)鍵、最有效的安全策略研究、制定和發(fā)布執(zhí)行中來.

體系化安全策略從戰(zhàn)略、戰(zhàn)術(shù)、整體、局部、靜態(tài)、動態(tài)等各方面進(jìn)行周密考量，并與企業(yè)的網(wǎng)絡(luò)安全防護(hù)實(shí)際需求相符合，通過統(tǒng)一管理中心——管理控制服務(wù)器——集中制定、發(fā)布和執(zhí)行，并隨著實(shí)際執(zhí)行情況進(jìn)行靈活的調(diào)整和動態(tài)適應(yīng)，保證了企業(yè)網(wǎng)絡(luò)安全運(yùn)營人員安全防護(hù)工作的主導(dǎo)性、組織性、主動性和高效性.

企業(yè)網(wǎng)絡(luò)安全防護(hù)以主動安全網(wǎng)絡(luò)架構(gòu)的中央管控核心——管理控制服務(wù)器——為作戰(zhàn)室，直接操縱精細(xì)化安全策略，可達(dá)到運(yùn)籌帷幄，決勝全局的效果.

4.2 安全能力協(xié)同釋放

企業(yè)已有的安全應(yīng)用/系統(tǒng)/設(shè)備，作為多個煙囪式的防護(hù)措施對企業(yè)安全的多個方面獨(dú)立、離散防護(hù)，整體安全防護(hù)達(dá)不到1+1>2的效果.企業(yè)安全防護(hù)沒有統(tǒng)一策略指揮指導(dǎo)，堆砌N個煙囪式防護(hù)能力的整體效果實(shí)際折扣會更大，不菲的安全投入換來了實(shí)際折扣較大的、不理想的安全防護(hù)效果，與企業(yè)網(wǎng)絡(luò)安全管理和運(yùn)營人員的期望相去甚遠(yuǎn).

主動網(wǎng)絡(luò)安全架構(gòu)通過管理控制服務(wù)器的安全策略功能，給網(wǎng)絡(luò)安全防護(hù)帶來新的思路，注入新活力.管理控制服務(wù)器通過安全策略集成融合了企業(yè)所有安全應(yīng)用的安全防護(hù)能力和智慧，盤活所有的安全應(yīng)用，激發(fā)所有安全應(yīng)用價值的體現(xiàn)與釋放，使得企業(yè)以往的安全投入再次綻放能量、釋放價值、拓展回報.

4.3 安全防護(hù)成效提升

以往網(wǎng)絡(luò)安全策略的部署，需要網(wǎng)絡(luò)安全運(yùn)營人員分別登錄各種安全設(shè)備，進(jìn)行策略的配置和執(zhí)行.例如勒索病毒的應(yīng)急防護(hù)，需要網(wǎng)絡(luò)安全人員分別登錄網(wǎng)絡(luò)接入交換機(jī)，進(jìn)行安全策略配置(利用ACL封鎖445端口通信)，對于網(wǎng)絡(luò)規(guī)模相當(dāng)大的企業(yè)，安全策略人工逐臺配置工作量大、耗時長、出錯率高，人工配置的速度遠(yuǎn)慢于病毒快速蔓延的速度，導(dǎo)致應(yīng)急響應(yīng)工作的效率效果欠佳.

主動網(wǎng)絡(luò)安全架構(gòu)將網(wǎng)絡(luò)終端和終端接入的邊界認(rèn)證機(jī)集中管理，安全策略也統(tǒng)一管理，通過管理控制服務(wù)器集成所有安全應(yīng)用、安全專家的智慧，統(tǒng)一制定防御策略，一鍵式快速自動化下達(dá)至所有邊界認(rèn)證機(jī)執(zhí)行安全策略，從全網(wǎng)最貼近中毒終端的所有部位進(jìn)行病毒蔓延的全面快速封堵，在極短的時間內(nèi)將病毒的威脅整體控制住，安全防護(hù)工作敏捷高效，直指要害，精準(zhǔn)防御，事半功倍.

主動網(wǎng)絡(luò)安全架構(gòu)保障了安全防護(hù)工作有統(tǒng)一抓手，有高能引擎，安全防護(hù)安全策略的制定、下發(fā)、撤銷都可高效完成，極大提高了網(wǎng)絡(luò)安全防護(hù)工作的成效.

5 總 結(jié)

主動安全網(wǎng)絡(luò)架構(gòu)安全策略的統(tǒng)一管理、智能集成、快速發(fā)布、高效執(zhí)行，打造了企業(yè)的安全管控核心和安全防護(hù)統(tǒng)一指揮中心，集成了企業(yè)多維安全防護(hù)能力，形成了綜合的企業(yè)網(wǎng)絡(luò)安全協(xié)同防御體系，保證了網(wǎng)絡(luò)安全運(yùn)營人員的防護(hù)工作的主導(dǎo)性、統(tǒng)一性和高效性，最大程度釋放企業(yè)安全投資價值.