網(wǎng)絡(luò)安全架構(gòu)演進(jìn)思路探討

何 明，劉東鑫，沈 軍

（中國(guó)電信股份有限公司廣州研究院 廣州510630）

1 背景

“道高一尺，魔高一丈”，隨著網(wǎng)絡(luò)攻擊手段的不斷演化，現(xiàn)有網(wǎng)絡(luò)安全防護(hù)架構(gòu)面臨挑戰(zhàn)，比較突出的威脅主要是0day漏洞和APT（advanced persistent threat，高級(jí)持續(xù)性威脅）等新型攻擊。當(dāng)前，由于經(jīng)濟(jì)利益的驅(qū)動(dòng)，0day漏洞黑市交易活躍，擴(kuò)散加速，給網(wǎng)絡(luò)安全防護(hù)帶來(lái)嚴(yán)峻考驗(yàn)。同時(shí)，APT等新型攻擊開(kāi)始盛行，具有極強(qiáng)的隱蔽性和針對(duì)性，傳統(tǒng)安全防護(hù)系統(tǒng)很難防御，美國(guó)等發(fā)達(dá)國(guó)家已將APT攻擊列入國(guó)家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。

與此同時(shí)，超寬帶網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)等新技術(shù)也對(duì)現(xiàn)有網(wǎng)絡(luò)安全防護(hù)架構(gòu)帶來(lái)新的安全挑戰(zhàn)。首先，面對(duì)寬帶戰(zhàn)略目標(biāo)人均100 Mbit/s帶寬和億級(jí)終端的接入，現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)將面臨超大規(guī)模流量攻擊威脅以及海量安全信息挖掘分析的挑戰(zhàn)；其次，云計(jì)算、大數(shù)據(jù)等新技術(shù)與傳統(tǒng)技術(shù)有較大區(qū)別，網(wǎng)絡(luò)安全架構(gòu)需要適應(yīng)其技術(shù)特點(diǎn)和安全需求。

因此，現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)需不斷演進(jìn)，以適應(yīng)網(wǎng)絡(luò)安全攻擊手段的演變以及新技術(shù)新應(yīng)用的安全需求。本文將重點(diǎn)研究APT的安全防御思路以及云計(jì)算、大數(shù)據(jù)等新技術(shù)對(duì)安全能力的要求，探討網(wǎng)絡(luò)安全架構(gòu)構(gòu)建需求以及目標(biāo)架構(gòu)演進(jìn)思路和策略。

2 網(wǎng)絡(luò)安全架構(gòu)能力需求分析

2.1 APT等新型攻擊安全防御思路

以APT為代表的新型攻擊具有明確的目標(biāo)性和長(zhǎng)期的行為隱蔽性，主要利用常見(jiàn)軟件的0day漏洞、社會(huì)工程學(xué)等方法在目標(biāo)企業(yè)內(nèi)部員工的電腦主機(jī)中建立攻擊支點(diǎn)。由于其往往模擬正常業(yè)務(wù)流量，因此難以被現(xiàn)有的安全防御系統(tǒng)所檢測(cè)。

針對(duì)APT等新型攻擊的特點(diǎn)，網(wǎng)絡(luò)安全架構(gòu)應(yīng)增強(qiáng)主動(dòng)防御能力，提升對(duì)安全事件的智能感知能力、策略自適應(yīng)能力、縱深防御能力。

（1）主動(dòng)防御

根據(jù)重點(diǎn)資產(chǎn)重點(diǎn)保護(hù)的原則，APT安全防御應(yīng)首先從企業(yè)資產(chǎn)的角度分析保護(hù)對(duì)象，確定可能的APT對(duì)象，并將特定的IT資產(chǎn)與其他部分實(shí)施差異化的等級(jí)保護(hù)策略。同時(shí)，根據(jù)APT的攻擊特點(diǎn)采取主動(dòng)防御手段，降低安全風(fēng)險(xiǎn)。

·通過(guò)安全基線(xiàn)控制將常見(jiàn)高頻漏洞清除，提高攻擊門(mén)檻，延緩滲透速度。

·將重要網(wǎng)絡(luò)流量與普通流量隔離，增加APT攻擊者通過(guò)偵聽(tīng)竊取數(shù)據(jù)的難度。

·APT攻擊者常在“夜深人靜”的時(shí)候利用竊取的內(nèi)部員工賬號(hào)進(jìn)行活動(dòng)，因此應(yīng)將員工賬號(hào)的使用情況與其工作時(shí)間關(guān)聯(lián)，以快速發(fā)現(xiàn)異常賬號(hào)的活動(dòng)。

·對(duì)應(yīng)用程序、使用端口、電子郵件等實(shí)施基于白名單思想的策略控制：只允許白名單內(nèi)的應(yīng)用程序安裝、運(yùn)行，禁止網(wǎng)絡(luò)端口、目的IP地址跳變的應(yīng)用程序；只允許白名單指定端口范圍內(nèi)的流量發(fā)送；屏蔽垃圾郵件中的URL鏈接、附件文件，當(dāng)員工要特別查看某垃圾郵件的完整內(nèi)容，須向管理員申請(qǐng)并備案。

（2）提升安全感知和自愈能力，及時(shí)發(fā)現(xiàn)并阻斷APT攻擊

·在多種查詢(xún)條件下對(duì)流量數(shù)據(jù)進(jìn)行可視化分析，及時(shí)發(fā)現(xiàn)異常行為。

·實(shí)現(xiàn)業(yè)務(wù)流程異常的審計(jì)，重點(diǎn)針對(duì)業(yè)務(wù)邏輯和行為進(jìn)行審計(jì)。

·具有安全策略自動(dòng)分發(fā)和配置的手段，發(fā)現(xiàn)異常后能動(dòng)態(tài)調(diào)整安全策略，阻斷攻擊。

·縱深防御，提高抗打擊能力。

·強(qiáng)化現(xiàn)有安全防御基礎(chǔ)設(shè)施，提高攻擊門(mén)檻。

·安全策略統(tǒng)一控制，防止出現(xiàn)安全短板。

·部署蜜罐系統(tǒng)，誘使攻擊者進(jìn)入，拖延其入侵時(shí)間，并分析其行為特征，為溯源和針對(duì)性安全防護(hù)奠定基礎(chǔ)。

2.2 云計(jì)算、大數(shù)據(jù)等新技術(shù)的安全能力需求

2.2.1 云計(jì)算安全能力需求

云計(jì)算，尤其是網(wǎng)絡(luò)虛擬化技術(shù)的發(fā)展，一方面實(shí)現(xiàn)了細(xì)顆粒度的計(jì)算/網(wǎng)絡(luò)/存儲(chǔ)資源動(dòng)態(tài)管理，另一方面有效提升了網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的處理能力，由此對(duì)安全提出了更高的防護(hù)能力和精細(xì)化的動(dòng)態(tài)安全策略要求。

（1）防護(hù)能力需求

TRILL、SPB等數(shù)據(jù)平面虛擬化技術(shù)實(shí)現(xiàn)了核心交換網(wǎng)絡(luò)能力的極大擴(kuò)展，相對(duì)應(yīng)的，安全系統(tǒng)也需要實(shí)現(xiàn)云化擴(kuò)展，提升安全處理能力以滿(mǎn)足高性能要求。

傳統(tǒng)安全設(shè)備主要通過(guò)堆疊等方式實(shí)現(xiàn)集群部署，受限于主控模塊能力，可擴(kuò)展性較差，無(wú)法實(shí)現(xiàn)性能的快速提升。建議通過(guò)構(gòu)建安全能力資源池的方式，實(shí)現(xiàn)安全系統(tǒng)的高度協(xié)同，從而有效提升網(wǎng)絡(luò)安全性能。

（2）精細(xì)化動(dòng)態(tài)安全策略要求

SR-IOV、VEPA、VN-tag等技術(shù)將網(wǎng)絡(luò)管理能力延伸到虛擬機(jī)層面，實(shí)現(xiàn)計(jì)算/網(wǎng)絡(luò)/存儲(chǔ)虛擬資源的動(dòng)態(tài)調(diào)配，對(duì)于網(wǎng)絡(luò)安全設(shè)備/系統(tǒng)來(lái)說(shuō)，同樣需要將安全能力延伸到虛擬機(jī)層面。

云計(jì)算彈性業(yè)務(wù)要求快速的虛擬資源部署管理，安全策略也需要隨之動(dòng)態(tài)按需變化。傳統(tǒng)的安全管理模式下，安全策略相對(duì)比較固定，配置速度及靈活性較差，無(wú)法適應(yīng)云計(jì)算環(huán)境下的快速變化，容易遺留安全漏洞。因此，云計(jì)算環(huán)境下的安全設(shè)備應(yīng)具備感知虛擬機(jī)的位置、狀態(tài)改變的能力，并實(shí)施精細(xì)化的動(dòng)態(tài)安全防護(hù)策略，從而滿(mǎn)足彈性按需服務(wù)的要求。

2.2.2 大數(shù)據(jù)安全能力需求

以Hadoop為代表的大數(shù)據(jù)分析技術(shù)具有分布式存儲(chǔ)、大規(guī)模并發(fā)處理、處理能力向數(shù)據(jù)移動(dòng)的特點(diǎn)，要求大數(shù)據(jù)安全技術(shù)也應(yīng)具備高可擴(kuò)展性，實(shí)現(xiàn)安全策略統(tǒng)一調(diào)度、權(quán)限安全傳遞、協(xié)同處理能力。

·安全策略在Master節(jié)點(diǎn)集中控制、統(tǒng)一調(diào)度，并將安全任務(wù)分發(fā)給各安全控制節(jié)點(diǎn)，協(xié)同處理。安全控制能力分布于處理節(jié)點(diǎn)，隨節(jié)點(diǎn)靈活擴(kuò)展。

·計(jì)算能力向數(shù)據(jù)移動(dòng)過(guò)程須確保安全令牌隨任務(wù)傳遞的安全性，并具備基于令牌的身份認(rèn)證、訪(fǎng)問(wèn)控制等安全機(jī)制。

·海量數(shù)據(jù)對(duì)數(shù)據(jù)驗(yàn)證、加密、監(jiān)控等處理帶來(lái)挑戰(zhàn)，節(jié)點(diǎn)應(yīng)具備協(xié)同處理能力。

2.3 網(wǎng)絡(luò)安全架構(gòu)能力需求

根據(jù)上述對(duì)APT等新型攻擊防御思路研究以及云計(jì)算、大數(shù)據(jù)等新技術(shù)對(duì)安全能力的需求分析，網(wǎng)絡(luò)安全架構(gòu)應(yīng)強(qiáng)化高效協(xié)同、狀態(tài)智能感知、資源動(dòng)態(tài)分配的安全理念，加強(qiáng)縱深防御，實(shí)現(xiàn)“主動(dòng)防護(hù)、全面預(yù)防、快速響應(yīng)”。

·強(qiáng)化網(wǎng)絡(luò)和系統(tǒng)自身強(qiáng)壯性，強(qiáng)化邊界控制與層次化內(nèi)部防護(hù)，提高攻擊門(mén)檻。同時(shí)，實(shí)施等級(jí)保護(hù)安全策略，實(shí)現(xiàn)安全問(wèn)題的影響范圍可控。

·能自動(dòng)感知全網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)、評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并能對(duì)攻擊者未來(lái)的行為、動(dòng)作、可能采取的手段以及攻擊路徑進(jìn)行預(yù)測(cè)分析。

·能根據(jù)感知的安全威脅和風(fēng)險(xiǎn)分析，動(dòng)態(tài)調(diào)整安全策略并能自動(dòng)下發(fā)和配置，保證安全問(wèn)題得到快速的自動(dòng)化處理。

·增強(qiáng)分散的網(wǎng)絡(luò)安全設(shè)備的高效協(xié)同分析能力，形成對(duì)于大規(guī)模安全事件的全網(wǎng)協(xié)同分析處理能力，提高安全防護(hù)效率。

圖1 網(wǎng)絡(luò)安全目標(biāo)演進(jìn)架構(gòu)

3 網(wǎng)絡(luò)安全架構(gòu)演進(jìn)思路及策略

3.1 網(wǎng)絡(luò)安全目標(biāo)架構(gòu)

根據(jù)網(wǎng)絡(luò)安全架構(gòu)能力需求分析，網(wǎng)絡(luò)安全目標(biāo)架構(gòu)如圖1所示。

整個(gè)架構(gòu)分為控制平面和數(shù)據(jù)平面兩個(gè)部分，控制平面主要負(fù)責(zé)實(shí)現(xiàn)一體化安全管控能力，分為4個(gè)層面。

·安全感知層：收集數(shù)據(jù)平面中的安全設(shè)備/系統(tǒng)、彈性安全能力資源池發(fā)送的安全事件、安全漏洞信息，同時(shí)掌握安全能力資源現(xiàn)狀，為安全能力資源的動(dòng)態(tài)調(diào)配奠定基礎(chǔ)。

·多維分析層：對(duì)接收到的安全信息進(jìn)行啟發(fā)式安全風(fēng)險(xiǎn)關(guān)聯(lián)分析，感知全網(wǎng)安全狀態(tài)和安全態(tài)勢(shì)。由于安全信息的數(shù)據(jù)來(lái)源復(fù)雜、信息量大，為提高安全分析速度，需引入大數(shù)據(jù)等技術(shù)提高海量數(shù)據(jù)處理和分析能力。

·安全視圖層：實(shí)現(xiàn)全網(wǎng)安全狀態(tài)、安全態(tài)勢(shì)、安全預(yù)警的可視化實(shí)時(shí)展現(xiàn)，提高安全響應(yīng)速度。

·智能決策層：根據(jù)全網(wǎng)安全狀態(tài)、安全態(tài)勢(shì)、安全預(yù)警分析數(shù)據(jù)進(jìn)行智能安全策略決策和管理，對(duì)數(shù)據(jù)平面的安全設(shè)備下發(fā)安全策略調(diào)整指令，并根據(jù)需求動(dòng)態(tài)調(diào)用彈性安全能力。

數(shù)據(jù)平面包括安全設(shè)備/系統(tǒng)以及彈性安全能力資源池，執(zhí)行控制平面下發(fā)的安全策略，實(shí)施邊界安全防護(hù)和內(nèi)部安全風(fēng)險(xiǎn)控制。

3.2 演進(jìn)思路及策略

安全自感知、安全能力高效協(xié)同、安全策略自適應(yīng)的網(wǎng)絡(luò)安全目標(biāo)架構(gòu)不是一蹴而就的，應(yīng)以“主動(dòng)防護(hù)、全面預(yù)防、快速響應(yīng)”為目標(biāo)，有重點(diǎn)，分階段構(gòu)建。

（1）第一階段

以多維感知為目標(biāo)，增強(qiáng)對(duì)未知安全威脅和風(fēng)險(xiǎn)的感知能力，提升安全分析精確性，實(shí)現(xiàn)網(wǎng)絡(luò)安全狀態(tài)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全態(tài)勢(shì)演化的可視化。本階段的重點(diǎn)建設(shè)工作是：

·基于大數(shù)據(jù)、復(fù)雜網(wǎng)絡(luò)趨勢(shì)分析等技術(shù)提升安全預(yù)警、安全態(tài)勢(shì)分析能力；

·以業(yè)務(wù)為核心，完善關(guān)聯(lián)分析策略，提高安全分析的精確度。

（2）第二階段

以高效協(xié)同為目標(biāo)，構(gòu)建安全能力資源池，強(qiáng)化協(xié)同調(diào)度能力，實(shí)現(xiàn)全網(wǎng)安全能力高效協(xié)同處理。本階段的重點(diǎn)建設(shè)工作是：

·整合安全資源，構(gòu)建安全能力資源池，提升分布式協(xié)同調(diào)度能力，實(shí)現(xiàn)全網(wǎng)聯(lián)動(dòng)分析和處理；

·由宏觀層面安全控制和數(shù)據(jù)分離向微觀層面設(shè)備、應(yīng)用等安全控制與數(shù)據(jù)分離延伸，實(shí)現(xiàn)安全資源精細(xì)化管理和動(dòng)態(tài)調(diào)度。

（3）第三階段

以智能控制為目標(biāo)，完善策略控制系統(tǒng)，提高策略自適應(yīng)能力，實(shí)現(xiàn)自組織安全決策以及靈活快捷的安全控制。本階段的重點(diǎn)工作是：基于專(zhuān)家分析技術(shù)及智能決策實(shí)現(xiàn)安全策略自分析、自分發(fā)和自配置，提升全網(wǎng)安全態(tài)勢(shì)的智能化管控能力。

4 結(jié)束語(yǔ)

與傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)相比，本架構(gòu)重點(diǎn)在一體化安全管控能力的3個(gè)維度上進(jìn)行了提升。

·安全感知維度的提升。現(xiàn)有的全網(wǎng)安全狀態(tài)感知技術(shù)體系對(duì)全網(wǎng)安全設(shè)備的數(shù)據(jù)進(jìn)行實(shí)時(shí)收集，面臨海量數(shù)據(jù)的處理和分析等一系列難題。本架構(gòu)引入大數(shù)據(jù)和復(fù)雜網(wǎng)絡(luò)趨勢(shì)分析等技術(shù)提高海量數(shù)據(jù)處理和分析能力。

·高效協(xié)同維度的提升。通過(guò)將全網(wǎng)安全資源整合成彈性安全資源池，提升分布式協(xié)同調(diào)度能力，實(shí)現(xiàn)全網(wǎng)聯(lián)動(dòng)分析和處理。由宏觀層面安全控制和數(shù)據(jù)分離向微觀層面設(shè)備、應(yīng)用等安全控制與數(shù)據(jù)分離延伸，實(shí)現(xiàn)安全資源精細(xì)化管理和動(dòng)態(tài)調(diào)度。

·智能控制維度的提升。提高策略分析決策能力，在感知到異常行為后，策略控制系統(tǒng)可針對(duì)性調(diào)整安全策略，并自動(dòng)下發(fā)到安全設(shè)備進(jìn)行自配置，提升全網(wǎng)安全態(tài)勢(shì)的智能化管控能力和響應(yīng)速度。

1 金華敏，王帥.電信運(yùn)營(yíng)商如何應(yīng)對(duì)網(wǎng)絡(luò)安全新挑戰(zhàn).人民郵電，2012-8-9

2 汪來(lái)富，沈軍，金華敏.電信級(jí)云計(jì)算平臺(tái)安全策略研究.電信科學(xué)，2011(10):19～23

3 張帥.對(duì)APT攻擊的檢測(cè)與防御.信息安全與技術(shù),2011(9):17～19