主動安全網絡架構的安全策略

劉建兵 馬旭艷 王小宏 王振欣

1(北京北信源軟件股份有限公司 北京 100195)

2(中國石油東方地球物理勘探有限責任公司 河北保定 072750)

3(昆侖數智科技有限責任公司 西安 710077)(fqy-vrv@wo.cn)

主動安全網絡架構以邊界認證機代替接入層交換機，在開放互聯的傳統網絡架構基礎上，重新建立業已模糊的內網邊界，以此邊界圍合起全網的安全區域.邊界的內嵌認證保證了接入網絡設備的身份合法性，確保接入設備執行了網絡管理者認可的基本約束，外來設備或非法設備隨意接入網絡的情形被徹底消除[1]，甚至可以通過邊界的內嵌認證發現非法設備試圖進入網絡的嘗試行為.但是，建立起清晰的邊界、接入了合法的設備并不意味著網絡安全.如何保證接入網絡的設備和網內資產得到有效的保護，按網絡管理者的意志實現網絡全域精細化的安全控制，必須依賴安全策略[2]的精細化、體系化、靈活性、準確性、時效性來保證.本文所述安全策略是以邊界認證機圍合區域的安全策略，安全策略包含的安全規則是以訪問控制規則為基礎的，在此前提下，重點討論安全策略的相關問題.

1 主動安全網絡架構安全理念

以密碼技術[3]支撐的身份認證為基礎，將邊界管控、設備準入和安全策略關聯起來，建立接入設備到安全策略的一一對應關系，并將安全策略即時發布到接入設備所在的邊界并自動化地執行.

安全策略的精細化和有效性是決定網絡整體安全的關鍵因素，ASN(active security network)安全策略是確定性安全策略，基于既有知識建立，考慮3個方面因素:一是網絡中業務應用的保障，安全策略融入業務需求，保證應用使用的網絡資源不受限制;二是安全背景知識，包括一切業界已經掌握的網絡攻擊方法和惡意代碼所涉及漏洞的利用和防護方法[4];三是未來出現的攻擊利用的漏洞和防護方法[5]..其中前2項是可以提前制定出確定性的安全防護策略的，第3項在跟蹤安全威脅變化時及時制定.

整合分立的安全能力是指各自獨立的傳統安全服務的計算結果，可以統一轉化為安全策略或規則，被ASN接受和執行，以應對各自發現的風險或威脅.

2 以安全策略為核心的內涵

毛澤東同志說過：“政策和策略是黨的生命”,這個重要的哲學思想適用于網絡安全，安全策略同樣是網絡安全的生命，可以說，有什么樣的安全策略就有什么樣的安全水平，沒有適當的安全策略就無法保證網絡安全.為實現以安全策略保護網絡成員安全、實現全網安全目標的目的，主動安全網絡架構下的安全策略，必須是全局和集中統一的，必須是精細化和實時的，必須是主動的、動態的、靈活的.

2.1 安全防護策略全局性和集中統一

安全策略的全局性和集中統一是由安全完整性決定的，符合木桶原理，目標網絡的安全水平由短板決定.網絡環境是由網絡和網絡成員共同組成的，通過網絡邊界實施的安全策略，需要為所有成員提供安全的網絡環境，因此安全策略必須是全局視角的，必須包容所有網絡成員的需求，這就要求安全策略的制定者站在全局的角度制定安全策略.

集中統一包含2個方面的含義:一是集中制定安全策略;二是集中統一部署安全策略.集中統一制定安全策略是全局性的保證，離開集中統一全局性就會被破壞，安全策略也必然是局部的、分散的甚至是矛盾的、碎片化的.僅有好的安全策略還不夠，安全策略的部署是安全策略發揮的重要條件.集中統一部署才能保證全局安全策略體系化地全面及時到位，才能避免策略執行的碎片化和策略部署漏洞，才能充分發揮安全策略的作用，保證有效性.

全局安全策略的制定主要從以下5個方面考量：

1) 清楚了解網絡資源的詳細狀況，了解網絡應用所使用資源的風險.

2) 掌握網絡安全威脅的背景[6]和當前重點，好比防疫工作，即需要理解天花麻疹這樣的長久威脅，也需要理解季節性流感的發生規律，還要充分認識新冠肺炎這樣的現實威脅，綜合這些因素才能制定出切實有效的流行病防疫策略.對于網絡安全來說也是這樣，綜合安全威脅的過去和當前信息制定的安全策略才能是有效適用的.

3) 我們既需要理解傳統的病毒和網絡攻擊方法對應的漏洞和防護措施，也需要及時掌握當前活躍的病毒和攻擊方式所利用的漏洞，基于此制定安全策略.

4) 既要考慮長期威脅也要包含當前攻擊，甚至要針對最新發現的安全漏洞，作出提前預防的策略考量.

5) 安全策略的集中統一貫穿網絡安全全生命周期，集中統一制定安全策略，集中統一部署安全策略，維護更新，隨勢而動、隨變而應，針對風險及時調整.

2.2 安全策略精細化和實時性

精細化包含4個方面的含義：

1) 策略針對單個設備的身份，不是針對IP地址，IP和設備沒有嚴格對應關系[7]；策略發布給單個設備，與設備身份綁定，IP地址是策略中介，作用在設備使用的當前IP上，執行在當期接入邊界機上，隨設備位置移動；

2) 策略針對單個IP地址，以邏輯地址local標注在規則中；

3) 策略細化到IP地址和協議端口；

4) 策略可針對主體和客體雙向制定.

實時性是指安全策略的執行與接入設備的接入時間是自動化同步的，從設備接入到安全策略執行的時間延遲是秒級的.以動態安全策略保護接入設備和網絡資源安全，對實時性有很高的要求，從接入設備接入網絡到安全策略執行生效的時間延遲如果很長，就會出現防護空窗期，這個時延越短越好.ASN架構下，由于邊界機具備準入能力，可以保證安全策略和準入的無縫銜接，在安全策略生效前不轉發接入設備的數據報文，設備一入網安全策略生效是同時的；從設備接入網絡通過認證、策略下發、執行生效的一系列過程是在秒級完成的.

2.3 安全策略的主動性、動態化和靈活性

主動性是指所有的安全策略集中管理，在安全事件尚未發生前預先制定，策略制定針對安全問題、威脅和漏洞，不針對具體目標設備，以策略庫的形式保存備用.動態化是指精細化安全策略根據接入位置(邊界機及端口)移動而跟隨接入設備部署到位，并在接入設備離線后自動清除相應安全策略.靈活性是指策略庫中的策略可以根據不同的安全場景選擇特定目標發布，隨時發布即刻生效，選擇的發布目標基于CID(combination ID)標識，無需目標在線，無需目標地址，同時，集成系統提供的安全規則可以融入執行.在精細化安全策略準確執行到位的情況下，理論上可以控制網絡中所有資源的訪問，可以控制全網IP地址之間的訪問，達到保護信息系統安全和接入設備自身安全的雙重作用.

2.4 安全策略技術支撐

集中管控全網的訪問控制是ASN的核心能力，支撐ASN架構的技術基礎是網絡接入層設備的訪問控制能力，即接入交換機的ACL，集中管控關聯身份的網絡接入層ACL，以此形成內網邊界的安全防護能力.

依傳統網絡模型的觀點，ACL是建立在內網的匯聚層和核心層的，接入層的訪問控制一直被棄之不用，偶有使用也是簡單化的、靜態的、分散的、手工的.站在內網安全全域邊界的視角重新審視，我們發現接入層是網絡安全的重要關口，是重新建立內網邊界的最佳位置，放棄在邊界上建立安全控制能力不得不說是網絡安全界一直以來的失誤和損失.ASN重拾接入層安全能力，并對其進行系統化、體系化、集中化、自動化的組織利用，成為解決內網安全問題的全新安全方法，也是ASN技術的基礎，依托這個技術基礎，ASN得以建立起內網精細化、體系化的主動動態安全策略和自動執行機制.

傳統網絡模型的接入層并不天然具備ASN要求的安全能力，ASN通過創新改進使接入層設備具備認證、準入和訪問控制集中管控執行能力，由網絡交換機轉變為邊界認證機，以此形成ASN架構下新的內網接入層.

3 主動安全策略的實現

建立與接入設備身份相聯系的訪問控制策略，需要解決3個問題:其一,建立接入設備的唯一身份標識;其二,依據安全和業務要求制定和發布與唯一標識關聯的訪問控制策略;其三,在訪問網絡前獲得接入設備使用的IP地址.第1個問題我們在前文中已經解決，內嵌認證技術建立了與設備物理地址關聯的唯一標識CID，可以實現接入設備的身份認證，這個唯一標識可以作為管理安全策略的設備身份；第2個問題將在策略制定部分解決；第3個問題，邊界認證機在完成接入設備身份認證的過程中，可以從接入設備的數據包中獲取其IP地址，并實時上報給策略平臺.

在具備以上條件的前提下，主動安全網絡架構的安全策略制定、發布和執行即可以實現主動和動態能力.

3.1 安全策略制定

管理要求和安全目標是安全策略的出發點，主動動態的精細化安全策略應根據應用需求、安全背景和安全威脅制定，以此落實安全目標.

1) 業務應用的需求是需要考慮的首要因素，安全策略必須保證業務應用的資源得到合理的保障.在安全策略實現上，應根據應用的具體要求精細化到IP和端口.如某個網絡中部署的多種應用，對于不同的業務部門需要分配不同的訪問權限.電子郵件系統(192.168.10.10)是全部用戶都可以訪問的，而財務系統(192.168.10.20)僅僅允許財務部門的用戶訪問，采購系統(192.168.10.30)僅允許特定的崗位人員訪問.把這個應用需求翻譯為安全策略的語言就是：拒絕財務以外用戶訪問財務系統(192.168.10.20)，拒絕特定以外用戶訪問采購系統(192.168.10.30)，電子郵件系統允許所有用戶訪問，則可以制定如下安全策略規則，留待應用到相應的用戶對象.

ACL1：access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action permit;

ACL2：access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action deny;

ACL3：access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action permit;

ACL4：access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action deny.

2) 安全背景是考量安全策略的重要因素，對于已經發現的安全漏洞及其威脅，既有知識已經給出應對的方法，將其轉化為安全策略即可應對.來自于多個方面如病毒、木馬、網絡攻擊、系統漏洞、應用漏洞都是需要考慮的因素，這些因素歸結起來都是對漏洞的利用，如445，139端口被多個病毒和網絡攻擊利用[8]，存在嚴重的安全威脅，需要禁止對445端口的訪問，我們就應該制定如下的安全策略.

ACL1：access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny;

ACL2：access-list frame-type ipv4-tcp sip local dip any sport any dport 139 action deny.

其中以local作為虛擬地址邏輯上表示接入設備的實際地址.

對于既有的安全威脅，安全策略管理者在制定安全策略時還需要綜合考慮當前主要活躍的威脅和本網設備漏洞修補情況，結合其他獨立安全系統的情況，決定采用哪些策略規則，可以更好地精簡和優化安全策略.

3) 制定并部署安全策略后，新的安全威脅仍然會不斷出現，安全策略需要隨著安全威脅的變化而變化.

4) 全局策略和局部的個性化策略應統一考慮，以提高策略的執行效率和簡化策略邏輯.如445端口是高危端口，經常被多種網絡攻擊和病毒利用，為了保護全網接入設備安全應將對其訪問控制作為全局策略，而不必在每個安全策略里重復出現.全局策略不使用local邏輯地址，可以被邊界機直接執行.全局策略示例如下.

ACL1：access-list frame-type ipv4-tcp sip any dip any sport any dport 445 action deny.

類似以上安全規則可以作為策略存入策略庫備用，諸如此類的安全規則可以有很多，根據安全狀況和業務場景可以組合出多種安全策略.

ASN安全策略可以阻斷危險網絡地址和端口，保護網絡接入成員的安全，但是實際的業務應用由于特定原因可能使用部分漏洞端口，或者由于其他原因無法修補某些端口的漏洞，限制漏洞端口的可訪問或被訪問范圍，雖然不能絕對消除漏洞風險，但在安全上仍然具有很大的意義.作為應用服務端，將訪問者限制在業務設定的范圍，拒絕設定范圍以外的非業務訪問，可以有效阻止來自內網和外網的探測、漏洞利用和網絡攻擊.此場景下的訪問策略規則如下例.

1) 服務端

ACL1：access-list frame-type ipv4-tcp sip 192.168.1.0/24 dip local sport any dport 445 action permit；

ACL 2：access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

以上規則組合成的安全策略在服務端以local虛擬地址作為被訪問目的地址的訪問控制，在服務端連接的邊界機上落地執行，服務端一般是固定IP地址，此時local確定為固定IP：192.168.2.1，僅僅允許192.168.1.0/24網段的設備訪問445端口.

2) 訪問端

ACL 1：access-list frame-type ipv4-tcp sip local dip 192.168.2.1/32 sport any dport 445 action permit;

ACL 2：access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny.

以上規則以local虛擬地址代表訪問端的源IP地址，發布給該應用成員的PEG，在對應CID訪問者接入認證成功后，該策略即在對應的邊界機上執行，僅有訪問192.168.2.1：445的數據包得以轉發到達目的地址.

管理控制服務器平臺提供了主動安全網絡架構安全策略的制定功能.這里所稱的安全策略，是1個或1組安全威脅或管理要求的訪問控制規則.在安全策略制定階段，安全策略僅僅針對具體的安全威脅或管理要求，不指定具體的作用對象，策略文本中以local邏輯上代表接入設備的實際IP地址，編輯好的安全策略以不同的命名保存在安全策略庫中.每個安全策略針對不同的安全場景和管理要求，隨時可以被調出使用，安全策略制定如圖1所示:

圖1 安全策略制定

安全策略是通過交換機上的1組訪問控制規則，即通常所稱訪問控制列表(ACL)實現的[9].訪問控制列表的一般使用方式是：由網絡工程師通過命令行或交換機Web界面進行配置，其結果格式形如下.

ACL3：access-list frame-type ipv4-tcp sip 192.168.82.46/32 dip 192.168.82.48/32 sport 300 dport 500 action deny.

其中的源和目的IP地址都固定了，每條ACL作用于所設定IP地址或地址范圍，其有效性要求訪問的雙方必須使用確定范圍的IP地址，而一旦使用指定范圍外的IP地址，該訪問控制規則就不起作用了，這是靜態ACL的主要缺陷.利用邊界機ACL功能實現動態有效的訪問控制，就需要在ACL中使用接入設備的當前IP地址，因此如何獲取設備當前的IP地址是問題的關鍵.

利用接入層ACL實現動態的訪問控制就需要用接入設備的IP，邊界機提供了實時獲取接入設備IP地址的能力，并即時上報策略集中管控平臺，安全策略的local得以及時轉換為實際IP地址.

3.2 安全策略的發布

ASN針對邊界接入設備的安全策略是邏輯的，安全策略本身并未包含策略的執行對象，以此保證策略的靈活性.但策略的執行必須使具體的策略與對象相對應，這個過程是在ASN的策略發布過程完成的.

ASN以唯一標識CID保證接入設備唯一性，據此保證接入設備身份的唯一性，而不管接入設備使用什么IP地址，這是策略和接入設備關聯對應的基礎.

安全策略發布功能如圖2所示，安全管理者根據安全和管理需要選定策略庫中某個安全策略作為即將發布的安全策略，從對象庫中選取合適的1組CID并向其發布選定的安全策略.發布的結果是安全策略被分發給每個CID對應接入設備的PEG(policy enabling group)中，將即將執行的策略賦值在接入設備上，被賦予安全策略的設備一旦接入網絡，其對應PEG中的安全策略將被執行.

圖2 安全策略發布執行

管理控制服務器與第三方平臺進行安全策略的交互，實現安全策略發布、接收、優化、執行、撤銷的全生命周期管理.管理控制服務器收到第三方平臺發布的安全策略后，與本地制定的安全策略進行優化精簡后發布，并將策略的接收、優化、發布、執行等信息發送給第三方平臺；收到第三方平臺的策略撤銷信息時，進行策略撤銷.

管理控制服務器將企業的靜態安全策略、動態安全策略統一管理，集成企業所有安全防護能力智慧，實現企業安全策略的落地生效、終端網絡訪問行為的全面精細控制.

3.3 安全策略的執行

ASN安全策略的執行是和接入認證和準入連貫完成的，如圖2所示，當設備通過邊界機完成身份認證后，系統即獲得了接入設備對應的CID，同時邊界機從認證過程中解析出接入設備當前IP地址，并即時上報給策略服務器，策略執行模塊根據CID找到對應的PEG，從中取出安全策略，并用獲得的IP地址替換安全策略中的邏輯地址符號“local”，形成可以在邊界機上執行的真實訪問控制列表ACL，之后安全策略執行模塊通過BIP(business interaction protocal)協議將ACL發送給接入設備所在的邊界機，邊界機將收到的ACL文本追加進自己的訪問控制列表中，并立即執行.

策略服務器上保留有全部邊界機上正在執行策略的副本緩存.邊界機上接入設備的在線狀態由AAP(access authentication protocal)協議實時偵測，一旦發現并確認某個接入設備離線，即將該離線設備對應離線信息和對應的IP地址信息報告策略服務器，安全策略發布模塊即通過BIP協議給邊界機下發指令，從其訪問控制列表中刪除對應的安全規則內容.

3.4 集成系統的策略協同

以ASN為平臺可以集成眾多獨立的信息安全應用，包括防病毒、補丁分發、漏洞掃描、流量分析等，我們統一將其稱為集成應用，ASN與集成應用協同聯動，可以倍增集成應用的價值，成為集成應用的執行機構，共同發揮出綜合效應.

如與ASN集成的漏洞掃描系統，通過掃描發現網中某個IP下的設備存在某個高風險漏洞，漏洞對應端口號:4488，即可生成禁用該IP:PORT的安全策略，并通過OIP(open integration protocol )協議發送給ASN，ASN通過自身定位機制可以快速定位該IP所在邊界機，并通過安全策略執行模塊向對應邊界機追加該條安全策略，并在邊界機上立即生效.如此網上任何利用該漏洞的數據包都會被邊界機丟棄，這個安全漏洞就在數秒時間內被ASN保護起來.在此網絡中一切試圖訪問和利用該漏洞危害此設備的可能性都不存在了，此設備如同穿上了失傳已久的金鐘罩.

ASN的安全策略是網絡安全的根本，有什么樣的安全策略就有什么樣的安全水平.安全策略可以是多種多樣的，通過ACL的靈活配置，既可實現源目地址、源目端口等的限制特定對象的訪問或被訪問，也可實現全局的拒絕訪問.策略中ACL的靈活配置可實現各種安全訪問需求.

安全策略和實際應用場景的結合是需要特別注意的問題，在安全和業務之間求得平衡的安全策略才是容易實施的.如445端口是在很多業務系統中使用的，也是很多網絡攻擊和病毒木馬利用的端口，從安全的角度來看，全部禁用即可保證不受此類攻擊，但會影響相關業務，因此不能簡單全面停用該端口，這種情況下應該考慮該端口的使用范圍，將其限制在業務應用的最小范圍，即可防范來自業務系統之外的遠程攻擊，此時的安全策略可以把業務系統的設備范圍寫進安全策略中，形成限制范圍的適度策略,并賦予業務相關的設備對象.

ACL1：access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action permit；

ACL2：access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

主動網絡安全架構通過策略管理控制平臺和邊界機協調工作實現內網邊界安全防護的目標，完成安全策略的制定、發布和執行.企業根據網絡安全防護的整體戰略戰術需要，制定體系化的安全策略，通過管理控制服務器的策略模塊創建和發布安全策略.

安全策略的目的是控制終端的網絡訪問行為.策略的發布根據邊界認證機上終端的上線和移動情況實時下發執行.邊界認證機上的終端上線后，管理控制服務器將該邊界認證機上所有終端的安全策略優化精簡后下發至邊界認證機執行控制，也可以通過邊界認證機下發至某一個終端的認證客戶端執行控制；終端移動到其他邊界認證機接入后，安全策略也會將該終端安全策略下發至終端移動接入的邊界認證機執行控制，實現終端走到哪里其策略就部署到哪里的移動管控.

邊界認證機和認證客戶端執行安全策略管控，實現了在最貼近終端的部位進行終端訪問行為精準管控，減少終端惡意訪問、違規訪問、異常行為、攻擊行為的擴散和影響范圍，將危害控制至最小范圍.

4 主動安全策略獲得的安全價值

4.1 安全防護統一指揮

企業網絡安全策略(包括全局、局部、靜態、動態等)在主動安全網絡架構的管理控制服務器上統一制定發布，可實現企業網絡安全防護的統一指揮，改變以往網絡安全四處救火而火情不減的不良防護模式，讓網絡安全運營人員將精力集中到網絡安全防護最核心、最緊要、最關鍵、最有效的安全策略研究、制定和發布執行中來.

體系化安全策略從戰略、戰術、整體、局部、靜態、動態等各方面進行周密考量，并與企業的網絡安全防護實際需求相符合，通過統一管理中心——管理控制服務器——集中制定、發布和執行，并隨著實際執行情況進行靈活的調整和動態適應，保證了企業網絡安全運營人員安全防護工作的主導性、組織性、主動性和高效性.

企業網絡安全防護以主動安全網絡架構的中央管控核心——管理控制服務器——為作戰室，直接操縱精細化安全策略，可達到運籌帷幄，決勝全局的效果.

4.2 安全能力協同釋放

企業已有的安全應用/系統/設備，作為多個煙囪式的防護措施對企業安全的多個方面獨立、離散防護，整體安全防護達不到1+1>2的效果.企業安全防護沒有統一策略指揮指導，堆砌N個煙囪式防護能力的整體效果實際折扣會更大，不菲的安全投入換來了實際折扣較大的、不理想的安全防護效果，與企業網絡安全管理和運營人員的期望相去甚遠.

主動網絡安全架構通過管理控制服務器的安全策略功能，給網絡安全防護帶來新的思路，注入新活力.管理控制服務器通過安全策略集成融合了企業所有安全應用的安全防護能力和智慧，盤活所有的安全應用，激發所有安全應用價值的體現與釋放，使得企業以往的安全投入再次綻放能量、釋放價值、拓展回報.

4.3 安全防護成效提升

以往網絡安全策略的部署，需要網絡安全運營人員分別登錄各種安全設備，進行策略的配置和執行.例如勒索病毒的應急防護，需要網絡安全人員分別登錄網絡接入交換機，進行安全策略配置(利用ACL封鎖445端口通信)，對于網絡規模相當大的企業，安全策略人工逐臺配置工作量大、耗時長、出錯率高，人工配置的速度遠慢于病毒快速蔓延的速度，導致應急響應工作的效率效果欠佳.

主動網絡安全架構將網絡終端和終端接入的邊界認證機集中管理，安全策略也統一管理，通過管理控制服務器集成所有安全應用、安全專家的智慧，統一制定防御策略，一鍵式快速自動化下達至所有邊界認證機執行安全策略，從全網最貼近中毒終端的所有部位進行病毒蔓延的全面快速封堵，在極短的時間內將病毒的威脅整體控制住，安全防護工作敏捷高效，直指要害，精準防御，事半功倍.

主動網絡安全架構保障了安全防護工作有統一抓手，有高能引擎，安全防護安全策略的制定、下發、撤銷都可高效完成，極大提高了網絡安全防護工作的成效.

5 總 結

主動安全網絡架構安全策略的統一管理、智能集成、快速發布、高效執行，打造了企業的安全管控核心和安全防護統一指揮中心，集成了企業多維安全防護能力，形成了綜合的企業網絡安全協同防御體系，保證了網絡安全運營人員的防護工作的主導性、統一性和高效性，最大程度釋放企業安全投資價值.