網絡安全監控與自動化響應管理策略分析及可視化

宋俊芳，江英華，涂興洋

(西藏民族大學 信息工程學院，陜西 咸陽 712082)

1 網絡及安全管理分析

隨著網絡技術的快速發展，信息系統廣泛地應用在社會的各個方面，同時，網絡攻擊對信息安全的威脅越來越大。作為網路管理員，每天分析龐大的攻擊日志耗時又耗力，專業技術人員稀缺，導致分析處理響應網絡攻擊的效率較低，如果能夠實現網絡攻擊及安全控制策略的智能可視化，將在很大程度上提升網絡與安全運維管理的效率。本文分析企業網中可能會出現的安全問題，提出相應的安全策略，并有針對性地設計可視化模塊[1]。企業網日常安全管理一般流程如圖1所示。

圖1 網絡日常安全管理流程

在被攻擊前，需要展開攻擊面分析，包括暴露風險、脆弱性評估和資產盤點。在網絡被攻擊之后，防火墻會產生攻擊日志，通過分析日志，可以對風險排序，分級進行漏洞修補，但這樣的系統流程是無法進行異常提前預知的。隨著漏洞數量與日俱增，網絡攻擊手段升級，攻防兩端對抗加劇，安全日志分析需要更智能、更快捷，結果需要更直觀、更全面，才能為風險評估提供可靠的數據。為此，在攻擊面分析時(見圖2)，加入大數據關聯分析和網絡異常檢測技術實現業務的安全監控與自動化響應。在被攻擊之前，根據各項檢測數據，對可能出現的風險事件進行分類，這樣就做到了攻擊的提前預警。被攻擊后，可以通過日志來進行快速自動化響應，自動修補漏洞，并參與到預知風險計算中，這樣大大減少了工作量，實現了智能化監管[2]。

圖2 安全監控與自動化響應流程

2 安全監控與自動化響應管理可視化

2.1 安全管理策略可視化

基于安全監控與自動化響應的管理策略，為實現可視化，增設了策略概覽、策略列表、策略優化、策略收斂、策略梳理和策略檢查6個模塊：(1)策略概覽是呈現一臺設備的策略概況的，可以統計檢測設備涉及的IP數、策略總數，檢查過多少次策略，有多少條策略路由、靜態路由以及路由表中有多少路由條目等基礎信息。(2)策略列表與策略概覽相反，會顯示每一條策略的詳細內容，包括安全策略、NAT策略、ACL策略、靜態路由、策略路由、路由表，都是統計的對象。不僅將這些內容詳細地羅列出來，還做了統計，哪種策略一共有多少條，當管理員想要知道哪條策略在哪臺設備上時，可以快速查找到[3]。(3)策略優化是羅列一臺設備中有問題的策略的模塊，設備中的隱藏策略、冗余策略、空策略，過期策略和合并策略都屬于問題策略。這些策略輕者使得一些網段不通，影響業務，重者產生攻擊面，讓攻擊者有機可乘。平臺也統計了每種問題策略的數量，做出了分布餅狀圖來供管理員參考。(4)策略收斂是用來統計一臺設備策略修改過程的，羅列出了哪臺設備什么時間進行了哪些參數的重新設置，最后生成統計日志，方便管理員查看，并定期進行更新。(5)策略梳理通過防火墻策略日志(或會話日志)分析，自動梳理出防火墻安全策略配置建議，并支持按源地址、目的地址分別進行合并匯聚梳理。策略梳理需先新建策略梳理任務，待任務執行完畢后，可在梳理結果欄下載或在線查詢梳理報告。管理員看到這些報告，可以很快地找出最佳的策略配置方案。(6)策略檢查是用來顯示整個網絡策略安全情況的，檢查完畢后會做出評分，并顯示存在風險設備的總數，將存在風險設備的風險策略羅列出來，同時顯示風險情況，方便管理員隨時掌控網絡中策略安全程度，必要時做出修改[4]。

2.2 攻擊面可視化

在攻擊面上，設置了路徑分析、主機攻擊面和服務攻擊面3個小模塊：(1)路徑分析是一個配合拓撲圖使用的功能，可以在拓撲圖中查詢節點、數據流和路徑。節點是用來查詢單一設備的，當輸入想要查詢的節點的名稱或者管理IP時，就會在拓撲圖中顯示該設備所在的位置，并附帶該節點的基本信息，方便管理員快速查找。數據流是可以輸入起點與終點的，也可以只輸入起點。當輸入起點與終點后，該條路徑的數據流詳情就會顯示，包括源、目的端口、協議等。如果只輸入起點，那么以這臺設備為中心，哪些設備可達、走哪些路徑都會顯示出來。當一臺設備中毒之后，就能很快地知道會擴散到網絡中的哪些區域，以作精準應對。(2)主機攻擊面主要是用來分析暴露風險的，同樣會給主機做出風險評估，如果主機有暴露風險，則會列出詳細的風險情況，包括主機所屬安全域，通過哪個服務暴露的，這個暴露會涉及哪些路徑。(3)服務攻擊面和主機攻擊面類似，主要用來分析服務的暴露風險，進行風險評估[5]。

2.3 風險評估可視化

在風險評估上，設置了域間的訪問關系、風險規則庫和域間風險3個小模塊：(1)域間訪問關系羅列了整個企業網的各個域之間的訪問關系，它分為白名單和黑名單，是根據現有的防火墻的配置生成的。風險規則庫定義域間的風險規則。默認系統中有預設的風險規則，同時也可以自定義風險規則。有一級分類和二級分類兩種，一級分類包含域間訪問風險和策略規則風險。二級分類包含域間訪問風險、寬松風險、高危端口、策略檢查、對象檢查等規則。(2)規則級別分別有高、較高、中、較低、低。預設規則有幾十種以供選擇，同時，自定義也可以完全根據現網情況進行配置，能滿足絕大部分網絡。(3)域間風險則是按照管理員啟用的規則庫里的規則做分析之后的域間可能出現的風險，以矩陣的方式進行羅列，方便管理員隨時發現危險。

3 結語

針對企業網提出使用網絡流量控制策略可視化技術，全面提升網絡安全防御能力。在攻擊面分析時，加入大數據關聯分析和網絡異常檢測技術，實現業務的安全監控與自動化響應。主要從安全管理策略可視化、攻擊面可視化和風險評估可視化3個方面進行了落地設計，為企業核心業務安全運行保駕護航，提升了網絡與安全運維管理的效率。