訪問控制策略運維系統的設計與實現

摘""要：針對煤礦企業網絡安全管理的復雜性和多樣性挑戰，降低網絡安全運維難度及成本，設計并實施了一個訪問控制策略運維平臺。該平臺采用四層架構實現訪問控制信息收集、網絡安全設備納管及訪問控制策略運維等核心功能，并基于異構安全設備策略采集、多模態訪問控制策略分析和自動化策略下發技術，實現對核心功能的支持。目前，該系統已在煤礦企業中成功部署，顯著提升了網絡安全管理水平，并為網絡安全的高質量發展提供了堅實的技術支撐。

關鍵詞：網絡安全；煤礦企業；異構設備；訪問控制策略

中圖分類號：P27

Design"and"Implementation"of"Access"Control"Policy"Operation"and"Maintenance"System

WEI"Tianxiang1"""LI"Ziwei2

1.China"Energy"Digital"Inteltech"Development（Beijing）"Co.，"Ltd.，"Beijing，"100011"China;2.Beijing"IWHR"Technology"Co.，"Ltd.，"Beijing，100089"China

Abstract："To"address"the"complexity"and"diversity"of"network"security"management"challenges"in"coal"mine"enterprises，"a"platform"for"access"control"policy"operation"and"maintenance"has"been"designed"and"implemented"to"reduce"the"difficulty"and"cost"of"network"security"operations."The"platform"adopts"a"four-tier"architecture"to"achive"core"functions"such"as"collection"of"access"control"information，"the"management"of"network"security"devices，"and"the"operation"and"maintenance"of"access"control"policies."Based"on"the"collection"of"access"control"policies"for"heterogeneous"security"devices，"the"analysis"of"multi-modal"access"control"policies，"and"the"automated"distribution"of"strategies，"support"for"core"functions"is"achieved."At"present，"the"system"has"been"successfully"deployed"in"coal"mine"enterprises，"significantly"enhancing"the"level"of"network"security"management"and"providing"a"technical"support"for"the"high-quality"development"of"network"security.

Key"Words："Cybersecurity;"Coal"mine"enterprise;"Heterogeneous"devices;"Access"control"policy

1""引言

1.1""研究背景

隨著工業互聯網技術的發展，煤礦行業也在數字化、智能化的道路上不斷探索。但在數字化、智能化發展過程中，煤礦企業所要網絡安全問題呈現出行業影響大、防護要求高、基礎底子薄、特色限制多、轉型難度大的特點[1]，因此實施網絡安全保障的重要性日益凸顯。

當前煤礦企業網絡安全建設面臨著一些問題：一是安全防護體系不完善，部分煤礦企業缺乏完善的安全防護體系，安全策略不明確，安全措施不到位，難以有效應對網絡安全威脅；二是安全運維成本高，煤礦企業需要購買和維護大量安全設備，如防火墻、入侵檢測系統等，導致運維成本逐年提升，難以持續投入；三是安全人才短缺，煤礦企業缺乏專業的網絡安全人才，難以有效應對日益復雜的網絡安全形勢。

1.2""研究的目的與意義

設計一種訪問控制策略運維系統，并探討其在煤礦行業中的應用實踐，為煤礦行業提供一種切實可行的解決方案，旨在推動煤礦企業網絡安全保障水平的提升。

2""煤礦企業網絡安全挑戰

煤礦生產系統集成了眾多設備，如傳感器、監控設備和自動化控制系統，這些設備通過工控協議實現數據的實時傳輸與工作交互。然而，工控協議普遍缺乏安全防護機制也為黑客和不法分子提供了攻擊機會。他們可能利用惡意軟件、釣魚網站、拒絕服務攻擊（Distributed"Denial"of"Service，DDoS）等手段，對煤礦生產系統發起攻擊，嚴重威脅煤礦生產安全和業務連續性。

為確保煤礦智能化系統的正常運行和安全，定期更新和維護網絡安全設備勢在必行。然而，受煤礦特殊環境和設備廣泛分布的影響，系統更新和維護面臨諸多挑戰。例如：部分設備位于地下深處或偏遠地帶，難以進行及時維護。同時，安全策略之間難以形成有效的統一響應，不同類型的設備在兼容性方面存在顯著問題，導致聯動防護效果不佳。此外，隨著新安全漏洞和攻擊手段的不斷涌現，煤礦智能化系統需不斷更新安全防護策略，這無疑增加了系統維護的復雜性和管理難度。

3""架構設計

為提升煤礦企業網絡安全管理水平，參考信息安全事件管理系統的數據集成和分析處置理念以及防火墻安全策略管理的訪問控制和安全審計功能實現方法，基于存儲IP地址、物理位置信息、配置信息等設備基礎信息，以及網絡邏輯拓撲等關系信息構成屬性圖結構[2]，設計一種基于四層架構的訪問控制策略運維系統，包括技術支撐層、數據服務層、業務應用層和用戶展示層。基于該架構，系統可實現防火墻、路由器等網絡設備的訪問控制策略的集中管理，提供策略批量配置、區域風險分析、訪問控制策略遠程下發等功能，助力運維人員高效完成策略變更[3]，降低管理成本。圖1展示了訪問控制策略運維系統的整體設計框架。

3.1""技術支撐層

平臺采用分布式文件系統和數據庫，提供海量數據存儲功能，并利用關系型數據庫進行用戶管理和權限管理。分布式批處理和流處理框架加速業務處理速度，保障數據高效處理。

3.2""數據服務層

包含關鍵數據采集、異構設備信息歸一化處理和安全業務數據可靠存儲功能。平臺從納管的防火墻上通過安全外殼協議"（Secure"Shell"Protocol，SSH）、簡單網絡管理協議"（Simple"Network"Management"Protocol，SNMP）接入等方法獲取防火墻配置信息，并通過適配腳本解析其中包含的訪問控制規則，并將元數據存儲于分布式數據庫。采用RAID10模式存儲數據，保障數據安全性和可靠性。通過密文加密存儲和簽名函數校驗進一步提升數據安全性。云計算和容器化技術實現平臺快速部署和高可擴展性。

3.3""業務應用層

包含業務資產管理模塊，實現訪問控制策略生成、下發、監控、廢止的全生命周期管理，構建業務資產全景視圖，建立資產圖景幫助用戶理解各業務、各設備間的關系。訪問控制策略分析與優化系統通過數據分析算法和業務流程，識別合規策略基線，并提供數據服務接口支持異常行為發現和安全風險預警。參照GB/T"20984-2007信息安全風險評估規范、ISO"27005：2008信息安全風險管理，以及OWASP威脅建模項目中風險計算模型的要求[15]，建立基于風險矩陣的量化安全風險評估系統。通過設計實用化的風險計算模型，實現量化的安全風險估算和評估。工作流管理模塊實現與其他安全設備的接入，構建基于態勢感知的工作流，實現網絡安全自動化運維。

3.4""用戶展示層

通過各種可視化手段，平臺向用戶呈現了詳盡的信息和數據，包括策略構成、業務流向分析、網絡架構、策略梳理等內容。通過表格展示的方式，能夠直觀地展示出策略數據的詳細信息，包括訪問源、目的、協議、端口等。拓撲圖則可以形象地展現企業網絡架構的整體結構和網絡拓撲關系，幫助用戶更好地理解網絡中不同設備之間的連接和通信。餅狀圖則能夠直觀地展示出策略數據的分類占比情況，例如攻擊來源地的地理分布、攻擊類型的分布情況等。

此外，在用戶展示層，平臺還提供了數據查詢和統計功能，用戶可以通過查詢關鍵字、時間范圍等條件來快速定位和檢索相關策略數據，也可以通過統計分析功能對策略數據進行匯總、統計和分析，以便更好地了解企業網絡的安全狀況和趨勢。總的來說，用戶展示層通過直觀、清晰的方式，為用戶提供了全面的策略數據展示和分析，使用戶能夠更加全面地了解企業網絡的安全狀況和趨勢，進而制定更有效的安全策略和措施。

4""功能實現

4.1""異構設備的歸一化處理

平臺通過定期抓取不同品牌和型號的防火墻、路由器、交換機等網絡設備的策略配置文件和路由表信息，并利用算法解析訪問控制策略的元數據[4]。將解析后的元數據存儲于統一的訪問控制策略模型中，實現對異構設備的訪問控制策略進行集中展示、查詢、導出和分析等功能。通過對訪問控制策略元數據的解析，可以構造不同防火墻相關命令，例如顯示訪問控制列表、下發新的訪問策略等，方便用戶理解和管理不同設備的策略配置。

4.2""訪問控制策略配置檢查與優化分析

防火墻策略的頻繁變更可能導致冗余策略、隱藏策略和空策略等問題。平臺采用多模態訪問控制策略分析模型[5]，分析策略之間的包含和被包含關系，通過訪問控制標記識別冗余策略、隱藏策略和空策略等，并提供優化建議。管理員可根據分析結果進行策略精簡和優化調整，提高策略的效率和安全性。需要注意的是，策略優化分析需要考慮數據流向的一致性，即具有相同源和目的安全域的策略才能進行合并或刪除。

4.3""訪問控制策略的下發

平臺提供訪問控制策略的自動開通功能，包括開通業務請求服務、模擬仿真分析、策略風險分析、自動生成策略配置以及驗證策略開通等環節。這些環節全流程化、自動化，旨在減輕訪問控制開通業務的工作量，并確保變更內容的準確性。操作人員審核通過后，策略可自動下發到防火墻并立即生效，提高操作效率，減少人為錯誤，確保整個過程更加可靠和安全。

5""結語

本文提出并實現了一種訪問控制策略運維系統，該系統采用四層架構，分別為技術支撐層、數據服務層、業務應用層和用戶展示層。系統功能涵蓋了策略集中管理、流量監控、設備狀態管理等方面，實現了網絡安全設備的統一集中管理，包括策略采集、解析、歷史查詢、變更監控、搜尋、清理、開通等功能。

系統已在某大型企業成功應用，實現了對1"100多臺設備的集中納管，有效提升了網絡安全管理水平。在國家級網絡安全實戰攻防演練中，系統通過七大策略下發場景，與態勢感知平臺及其他安全管控設備聯動，實現了訪問控制策略的快速、大規模執行和下發，展現了跨地域、跨組織的協同能力。

當前系統依賴預配置腳本進行異構設備命令識別，在未適配設備納管問題上存在一定的局限性。未來研究將探索基于人工智能大模型技術，研發自適應或自學習的訪問控制策略配置方法，進一步提升系統智能化水平，解決網絡安全管理的難題。

參考文獻

• 王丹識，韓鵬軍，王榮博，等.我國煤炭企業網絡安全現狀、問題分析研究與建議[J].中國煤炭，2022，48（7）：34-40.
• 沈凡.SIEM日志分析系統關鍵技術研究與應用[D].北京：北京郵電大學，2021.
• 金生祥，梁錦華，胡耀宇，等.基于態勢感知技術的網絡安全主動防御體系[J].創新世界周刊，2023（3）：68-73.
• 趙銀艷.面向企業網絡的自適應訪問控制機制研究[D].南京：南京理工大學2021.
• 秦曉宇，金·尕迪.國有企業內部網絡信息安全訪問控制模型設計[J].信息與電腦（理論版），2022，34（14）：211-213.