基于網(wǎng)絡(luò)安全策略的可視化管理平臺(tái)研究

劉潤(rùn)福，李志強(qiáng)，梁建輝，孟 超，朱 祎

（中國(guó)鐵路蘭州局集團(tuán)有限公司 信息技術(shù)所，蘭州 730000）

隨著我國(guó)鐵路信息化建設(shè)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模越來(lái)越大，網(wǎng)絡(luò)安全的重要性與日俱增，網(wǎng)絡(luò)安全策略配置和管理工作中出現(xiàn)策略規(guī)則數(shù)量增加、效果評(píng)估難以完成及合規(guī)性難以保證等現(xiàn)象[1]。因此，許多學(xué)者對(duì)網(wǎng)絡(luò)安全策略管理進(jìn)行了研究。周映等人[2]提出動(dòng)態(tài)自適應(yīng)網(wǎng)絡(luò)安全防御系統(tǒng)，通過(guò)對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行動(dòng)態(tài)響應(yīng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的動(dòng)態(tài)安全防御；李泓杉等人[3]分析金融業(yè)在網(wǎng)絡(luò)安全與信息安全方面出現(xiàn)的問(wèn)題，提出了進(jìn)一步完善金融行業(yè)網(wǎng)絡(luò)信息安全的防御體系；高智強(qiáng)等人[4]通過(guò)改進(jìn)蜉蝣算法，優(yōu)化了其在防火墻策略配置中的應(yīng)用。但已有方案仍然存在管理顆粒度過(guò)粗、防火墻兼容性和墻間策略不統(tǒng)一等問(wèn)題。

基于上述問(wèn)題，本文構(gòu)建基于網(wǎng)絡(luò)安全策略的可視化管理平臺(tái)，從網(wǎng)絡(luò)安全視角實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)權(quán)限的風(fēng)險(xiǎn)分析、訪問(wèn)路徑可視化、安全策略可視化和用戶業(yè)務(wù)權(quán)限管理，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力。

1 平臺(tái)構(gòu)建

1.1 平臺(tái)部署

根據(jù)既有理論和實(shí)際部署經(jīng)驗(yàn)，將網(wǎng)絡(luò)安全策略可視化管理平臺(tái)部署在綜合信息網(wǎng)內(nèi)，旁掛于核心交換機(jī)，以保證服務(wù)器可訪問(wèn)并讀取所有三層設(shè)備配置。網(wǎng)絡(luò)數(shù)據(jù)由聯(lián)通、移動(dòng)、電信等運(yùn)營(yíng)商端口輸送到負(fù)載均衡單元，再通過(guò)防火墻過(guò)濾到達(dá)核心交換機(jī)模塊。在核心交換機(jī)模塊接入網(wǎng)絡(luò)安全策略可視化平臺(tái)，通過(guò)該平臺(tái)的邏輯拓?fù)浼軜?gòu)、網(wǎng)絡(luò)安全策略態(tài)勢(shì)感知和報(bào)表報(bào)告，進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全管理。經(jīng)網(wǎng)絡(luò)安全策略判別為合格的信號(hào)方可傳輸至三層交換機(jī)，并由其輸送至用戶客戶端，實(shí)現(xiàn)基于網(wǎng)絡(luò)安全策略可視化平臺(tái)的網(wǎng)絡(luò)傳輸。平臺(tái)部署方案如圖1所示。

圖1 網(wǎng)絡(luò)安全策略可視化平臺(tái)部署方案

1.2 總體架構(gòu)

基于網(wǎng)絡(luò)安全策略的可視化平臺(tái)總體架構(gòu)分為數(shù)據(jù)交換層、建模分析層、清理運(yùn)行維護(hù)（簡(jiǎn)稱(chēng)：運(yùn)維）層和監(jiān)控呈現(xiàn)層，如圖2所示。

圖2 網(wǎng)絡(luò)安全策略可視化管理平臺(tái)總體架構(gòu)

1.2.1 數(shù)據(jù)交換層

數(shù)據(jù)交換層利用Syslog采集多種防火墻和路由器設(shè)備信息，通過(guò)SSH/API對(duì)交換機(jī)、負(fù)載均衡設(shè)備進(jìn)行配置采集和配置下發(fā)，并將收集的信息交由建模分析層使用，實(shí)現(xiàn)網(wǎng)絡(luò)安全策略數(shù)據(jù)的自動(dòng)化收集，為建模分析提供數(shù)據(jù)支撐。

1.2.2 建模分析層

建模分析層基于自動(dòng)收集的網(wǎng)絡(luò)安全策略數(shù)據(jù)，進(jìn)行策略分析與檢測(cè)，包括以下2種方式。

（1）策略分析是對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)策略進(jìn)行查詢(xún)、統(tǒng)計(jì)、檢查、收斂和梳理，通過(guò)策略分析檢測(cè)出的隱藏策略、冗余策略、空策略、過(guò)期策略、域外策略、寬松策略及未生效對(duì)象整理出攻擊面，以整個(gè)網(wǎng)絡(luò)（簡(jiǎn)稱(chēng)：全網(wǎng)）主機(jī)為對(duì)象，從安全路徑角度描述其對(duì)外的暴露情況，輔助進(jìn)行暴露面收斂與路徑安全加固；

（2）安全域拓?fù)涔芾砜奢o助網(wǎng)絡(luò)管理員建立正確的網(wǎng)絡(luò)訪問(wèn)控制策略規(guī)范和基線，并通過(guò)技術(shù)手段對(duì)存量安全策略進(jìn)行即時(shí)或定期的檢測(cè)，及時(shí)發(fā)現(xiàn)違規(guī)策略，并提供處置建議。

1.2.3 清理運(yùn)維層

清理運(yùn)維層是通過(guò)對(duì)策略報(bào)表檢測(cè)出的問(wèn)題進(jìn)行策略風(fēng)險(xiǎn)評(píng)估，從而對(duì)網(wǎng)絡(luò)安全策略進(jìn)行針對(duì)性綜合配置，包括以下3項(xiàng)主要功能。

（1）策略?xún)?yōu)化清理：對(duì)安全設(shè)備進(jìn)行配置檢查和收斂分析，并給出具體的網(wǎng)絡(luò)安全策略配置建議；

（2）安全風(fēng)險(xiǎn)分析：根據(jù)劃分的邏輯安全域，提供安全域集中管理、域間安全策略合規(guī)檢查和網(wǎng)絡(luò)暴露風(fēng)險(xiǎn)管理；

（3）策略智能運(yùn)維：通過(guò)子網(wǎng)列表進(jìn)行安全策略工單管理，并提供全網(wǎng)拓?fù)?，進(jìn)行路徑分析和數(shù)據(jù)預(yù)存儲(chǔ)，為數(shù)據(jù)流及路徑查詢(xún)提供依據(jù)。

1.2.4 監(jiān)控呈現(xiàn)層

監(jiān)控呈現(xiàn)層通過(guò)邏輯拓?fù)浼軜?gòu)及策略態(tài)勢(shì)感知，匯集建模分析結(jié)果，形成策略報(bào)表，并對(duì)策略進(jìn)行匯總和大屏展示。其中，報(bào)表報(bào)告可提供策略列表、策略檢查、策略文本匹配、策略五元組匹配、策略概覽等數(shù)據(jù)的統(tǒng)計(jì)功能。報(bào)表以Excel的形式展示所選設(shè)備上的網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translation）策略、訪問(wèn)控制列表（ACL，Access Control List）策略和策略路由的名稱(chēng)、源域、源網(wǎng)際互連協(xié)議（IP，Internet Protocol）、目的域、目的IP、源端口、目的端口和動(dòng)作中所有條目的詳細(xì)信息。報(bào)表輸出信息包括防火墻設(shè)備上違反了域間互訪合規(guī)規(guī)則的安全策略列表明細(xì)、設(shè)備基本信息及策略對(duì)象變更統(tǒng)計(jì)等。

2 關(guān)鍵技術(shù)

本文從網(wǎng)絡(luò)安全視角，提出安全域拓?fù)涔芾砑夹g(shù)及策略建模與分析技術(shù)。網(wǎng)絡(luò)安全策略可視化管理平臺(tái)通過(guò)安全分析研究，快速檢測(cè)不合規(guī)安全策略并實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)防火墻狀態(tài)，研究目前復(fù)雜網(wǎng)絡(luò)下如何進(jìn)行可視化的網(wǎng)絡(luò)態(tài)勢(shì)感知，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力，更高效快捷地管理既有網(wǎng)絡(luò)安全設(shè)備。

從工作流程視角，提出策略?xún)?yōu)化清理技術(shù)及策略應(yīng)急處置技術(shù)。通過(guò)研究網(wǎng)絡(luò)安全策略的變更業(yè)務(wù)流程和運(yùn)維機(jī)制，當(dāng)業(yè)務(wù)人員提出變更請(qǐng)求，能夠自動(dòng)分析并在相關(guān)設(shè)備上變更策略，隨著關(guān)鍵業(yè)務(wù)信息網(wǎng)絡(luò)安全策略的變更，實(shí)現(xiàn)各安全域部署設(shè)備信息的快速更新和展示。

2.1 策略?xún)?yōu)化清理技術(shù)

隱藏策略指同一策略組內(nèi)，不管動(dòng)作是否相同，該策略的協(xié)議、IP、端口均為其優(yōu)先級(jí)更高策略的子集；空策略為策略中配置源地址、目標(biāo)地址、服務(wù)對(duì)象，但對(duì)象內(nèi)容為空；冗余策略為同一策略集內(nèi)，該策略的協(xié)議、IP、端口均包含比其優(yōu)先級(jí)更高的策略，且動(dòng)作相同。隨著安全設(shè)備使用時(shí)間增長(zhǎng)，若運(yùn)維人員不固定，后續(xù)工作人員不熟悉舊網(wǎng)絡(luò)安全策略，則很可能誤刪網(wǎng)絡(luò)安全策略對(duì)象中的數(shù)據(jù)，產(chǎn)生大量上述問(wèn)題策略。

基于大數(shù)據(jù)和機(jī)器學(xué)習(xí)算法的網(wǎng)絡(luò)安全策略?xún)?yōu)化，可對(duì)設(shè)備中的網(wǎng)絡(luò)安全策略進(jìn)行秒級(jí)優(yōu)化檢查，從而快速找出設(shè)備中的各類(lèi)冗余策略、屏蔽策略、空策略及過(guò)期策略，及時(shí)發(fā)現(xiàn)并規(guī)避全網(wǎng)中過(guò)于“寬松”的網(wǎng)絡(luò)安全策略與訪問(wèn)控制策略，從而減少核心業(yè)務(wù)與數(shù)據(jù)資產(chǎn)的受攻擊面[5]。通過(guò)策略?xún)?yōu)化清理技術(shù)可對(duì)網(wǎng)絡(luò)安全策略進(jìn)行深層分析、精準(zhǔn)定位，供運(yùn)維人員進(jìn)行甄別處理，有效減少因人工配置錯(cuò)誤產(chǎn)生的問(wèn)題策略。

2.2 安全域拓?fù)涔芾砑夹g(shù)

安全域與安全拓?fù)涔芾碜幽K用于實(shí)現(xiàn)全局訪問(wèn)控制策略關(guān)聯(lián)分析建模，自動(dòng)生成安全拓?fù)?。由于網(wǎng)絡(luò)環(huán)境中存在多臺(tái)防火墻，每個(gè)防火墻均按照邏輯關(guān)系劃分出多個(gè)安全域，顯著增加了運(yùn)維人員管理網(wǎng)絡(luò)安全策略的難度?；诎踩蛲?fù)涔芾砑夹g(shù)，平臺(tái)可提供智能化、自動(dòng)化的策略開(kāi)通管理功能，從策略變更工單提交到工單審批、工單推送、策略執(zhí)行等，都能做到及時(shí)跟蹤和審核。同時(shí)，平臺(tái)自帶策略仿真功能，在工單審批環(huán)節(jié)可根據(jù)全網(wǎng)的網(wǎng)絡(luò)安全策略現(xiàn)狀與訪問(wèn)控制策略基線提供全面的策略變更風(fēng)險(xiǎn)分析報(bào)告，協(xié)助運(yùn)維人員快速、有效地完成策略變更，并確保變更內(nèi)容的準(zhǔn)確性。

2.3 策略建模與分析技術(shù)

通過(guò)策略建模與分析技術(shù)對(duì)比平臺(tái)中已知的訪問(wèn)通路，可對(duì)計(jì)算出的設(shè)定規(guī)則之外的訪問(wèn)通路進(jìn)行告警。繪制域間訪問(wèn)關(guān)系矩陣圖，域間訪問(wèn)關(guān)系列表圖還可切換黑、白名單模式，具體分析域間I/O策略，對(duì)比風(fēng)險(xiǎn)規(guī)則庫(kù)中域間訪問(wèn)風(fēng)險(xiǎn)的內(nèi)置規(guī)則，計(jì)算出域間違反規(guī)則的通路數(shù)量。通過(guò)該技術(shù)可實(shí)現(xiàn)策略查詢(xún)分析、策略?xún)?yōu)化檢查、策略歷史備份與對(duì)比、策略命中與收斂分析、策略報(bào)表報(bào)告等一系列功能，最終實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)安全策略可控、可看、可管，大幅提升網(wǎng)絡(luò)安全運(yùn)維管理效率。

2.4 策略應(yīng)急處置技術(shù)

平臺(tái)基于策略應(yīng)急處置技術(shù)可實(shí)現(xiàn)以下功能：（1）自動(dòng)識(shí)別并定位到與封堵IP相關(guān)的防火墻和路由器，實(shí)現(xiàn)一鍵封堵下發(fā)、全網(wǎng)同步生效；（2）快速封堵不良IP、遏制超大規(guī)模網(wǎng)絡(luò)攻擊，有效保障數(shù)據(jù)中心基礎(chǔ)設(shè)施安全，全面提升網(wǎng)絡(luò)安全防御能力和水平；（3）自動(dòng)識(shí)別并生成封堵腳本，并與安全分析平臺(tái)、網(wǎng)絡(luò)管理平臺(tái)實(shí)現(xiàn)聯(lián)動(dòng)后，自動(dòng)定位待封堵的目標(biāo)設(shè)備，達(dá)到快速、智能應(yīng)急封堵，提升數(shù)據(jù)中心網(wǎng)絡(luò)安全運(yùn)營(yíng)效率。

3 平臺(tái)應(yīng)用效果

網(wǎng)絡(luò)安全策略可視化管理平臺(tái)已應(yīng)用于鐵路網(wǎng)絡(luò)安全和信息化建設(shè)實(shí)踐中，取得了以下效果。

3.1 降低防火墻設(shè)備風(fēng)險(xiǎn)

本文配置的網(wǎng)絡(luò)環(huán)境有多臺(tái)防火墻，按不同安全等級(jí)形成多個(gè)邏輯區(qū)域。因各區(qū)域防火墻獨(dú)立運(yùn)行，網(wǎng)絡(luò)安全策略動(dòng)態(tài)變化，通過(guò)網(wǎng)絡(luò)安全策略風(fēng)險(xiǎn)分析，對(duì)影響網(wǎng)絡(luò)權(quán)限的網(wǎng)絡(luò)拓?fù)涔?jié)點(diǎn)建立從網(wǎng)絡(luò)安全視角的安全分析拓?fù)?。結(jié)合安全域、安全策略、訪問(wèn)路徑、業(yè)務(wù)等與安全相關(guān)的數(shù)據(jù)，分析網(wǎng)絡(luò)訪問(wèn)權(quán)限風(fēng)險(xiǎn)，并從安全管理的角度對(duì)網(wǎng)絡(luò)和業(yè)務(wù)進(jìn)行安全風(fēng)險(xiǎn)分析，輔助運(yùn)維人員降低防火墻設(shè)備上具有的安全風(fēng)險(xiǎn)，提高自身安全風(fēng)險(xiǎn)處置能力。

3.2 推動(dòng)網(wǎng)絡(luò)安全體系建設(shè)

利用匯集的大量網(wǎng)絡(luò)安全策略數(shù)據(jù)，進(jìn)行策略建模，建立標(biāo)準(zhǔn)策略規(guī)則庫(kù)，在運(yùn)維人員生成配置時(shí)，進(jìn)行安全基線檢查，并對(duì)不合規(guī)配置需求進(jìn)行提示和告警。通過(guò)網(wǎng)絡(luò)安全技術(shù)與硬件進(jìn)行有機(jī)組合[6]，形成切實(shí)可行的結(jié)構(gòu)化立體安全運(yùn)維管理體系[7-8]，使網(wǎng)絡(luò)安全運(yùn)維管理在技術(shù)上具備可控性，持續(xù)強(qiáng)化網(wǎng)絡(luò)安全的防護(hù)能力部署。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全策略是網(wǎng)絡(luò)邊界第一道安全防線，文章分別從網(wǎng)絡(luò)安全視角和工作流程視角，研究網(wǎng)絡(luò)安全策略?xún)?yōu)化清理技術(shù)、安全拓?fù)溆蚬芾砑夹g(shù)、建模與分析技術(shù)及策略應(yīng)急處置技術(shù)，構(gòu)建基于網(wǎng)絡(luò)安全策略的可視化管理平臺(tái)。該平臺(tái)已在運(yùn)維管理工作中得到應(yīng)用，可確保網(wǎng)絡(luò)安全策略滿足合規(guī)管理要求與安全控制要求，實(shí)現(xiàn)網(wǎng)絡(luò)安全策略持續(xù)合規(guī)運(yùn)維，提高防火墻的應(yīng)用效果與網(wǎng)絡(luò)安全防御的整體水平。