何 明，劉東鑫，沈 軍

（中國電信股份有限公司廣州研究院 廣州510630）

1 背景

“道高一尺，魔高一丈”，隨著網(wǎng)絡(luò)攻擊手段的不斷演化，現(xiàn)有網(wǎng)絡(luò)安全防護架構(gòu)面臨挑戰(zhàn)，比較突出的威脅主要是0day漏洞和APT（advanced persistent threat，高級持續(xù)性威脅）等新型攻擊。當前，由于經(jīng)濟利益的驅(qū)動，0day漏洞黑市交易活躍，擴散加速，給網(wǎng)絡(luò)安全防護帶來嚴峻考驗。同時，APT等新型攻擊開始盛行，具有極強的隱蔽性和針對性，傳統(tǒng)安全防護系統(tǒng)很難防御，美國等發(fā)達國家已將APT攻擊列入國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。

與此同時，超寬帶網(wǎng)絡(luò)、云計算、大數(shù)據(jù)等新技術(shù)也對現(xiàn)有網(wǎng)絡(luò)安全防護架構(gòu)帶來新的安全挑戰(zhàn)。首先，面對寬帶戰(zhàn)略目標人均100 Mbit/s帶寬和億級終端的接入，現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)將面臨超大規(guī)模流量攻擊威脅以及海量安全信息挖掘分析的挑戰(zhàn)；其次，云計算、大數(shù)據(jù)等新技術(shù)與傳統(tǒng)技術(shù)有較大區(qū)別，網(wǎng)絡(luò)安全架構(gòu)需要適應其技術(shù)特點和安全需求。

因此，現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)需不斷演進，以適應網(wǎng)絡(luò)安全攻擊手段的演變以及新技術(shù)新應用的安全需求。本文將重點研究APT的安全防御思路以及云計算、大數(shù)據(jù)等新技術(shù)對安全能力的要求，探討網(wǎng)絡(luò)安全架構(gòu)構(gòu)建需求以及目標架構(gòu)演進思路和策略。

2 網(wǎng)絡(luò)安全架構(gòu)能力需求分析

2.1 APT等新型攻擊安全防御思路

以APT為代表的新型攻擊具有明確的目標性和長期的行為隱蔽性，主要利用常見軟件的0day漏洞、社會工程學等方法在目標企業(yè)內(nèi)部員工的電腦主機中建立攻擊支點。由于其往往模擬正常業(yè)務(wù)流量，因此難以被現(xiàn)有的安全防御系統(tǒng)所檢測。

針對APT等新型攻擊的特點，網(wǎng)絡(luò)安全架構(gòu)應增強主動防御能力，提升對安全事件的智能感知能力、策略自適應能力、縱深防御能力。

（1）主動防御

根據(jù)重點資產(chǎn)重點保護的原則，APT安全防御應首先從企業(yè)資產(chǎn)的角度分析保護對象，確定可能的APT對象，并將特定的IT資產(chǎn)與其他部分實施差異化的等級保護策略。同時，根據(jù)APT的攻擊特點采取主動防御手段，降低安全風險。

·通過安全基線控制將常見高頻漏洞清除，提高攻擊門檻，延緩滲透速度。

·將重要網(wǎng)絡(luò)流量與普通流量隔離，增加APT攻擊者通過偵聽竊取數(shù)據(jù)的難度。

·APT攻擊者常在“夜深人靜”的時候利用竊取的內(nèi)部員工賬號進行活動，因此應將員工賬號的使用情況與其工作時間關(guān)聯(lián)，以快速發(fā)現(xiàn)異常賬號的活動。

·對應用程序、使用端口、電子郵件等實施基于白名單思想的策略控制：只允許白名單內(nèi)的應用程序安裝、運行，禁止網(wǎng)絡(luò)端口、目的IP地址跳變的應用程序；只允許白名單指定端口范圍內(nèi)的流量發(fā)送；屏蔽垃圾郵件中的URL鏈接、附件文件，當員工要特別查看某垃圾郵件的完整內(nèi)容，須向管理員申請并備案。

（2）提升安全感知和自愈能力，及時發(fā)現(xiàn)并阻斷APT攻擊

·在多種查詢條件下對流量數(shù)據(jù)進行可視化分析，及時發(fā)現(xiàn)異常行為。

·實現(xiàn)業(yè)務(wù)流程異常的審計，重點針對業(yè)務(wù)邏輯和行為進行審計。

·具有安全策略自動分發(fā)和配置的手段，發(fā)現(xiàn)異常后能動態(tài)調(diào)整安全策略，阻斷攻擊。

·縱深防御，提高抗打擊能力。

·強化現(xiàn)有安全防御基礎(chǔ)設(shè)施，提高攻擊門檻。

·安全策略統(tǒng)一控制，防止出現(xiàn)安全短板。

·部署蜜罐系統(tǒng)，誘使攻擊者進入，拖延其入侵時間，并分析其行為特征，為溯源和針對性安全防護奠定基礎(chǔ)。

2.2 云計算、大數(shù)據(jù)等新技術(shù)的安全能力需求

2.2.1 云計算安全能力需求

云計算，尤其是網(wǎng)絡(luò)虛擬化技術(shù)的發(fā)展，一方面實現(xiàn)了細顆粒度的計算/網(wǎng)絡(luò)/存儲資源動態(tài)管理，另一方面有效提升了網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的處理能力，由此對安全提出了更高的防護能力和精細化的動態(tài)安全策略要求。

（1）防護能力需求

TRILL、SPB等數(shù)據(jù)平面虛擬化技術(shù)實現(xiàn)了核心交換網(wǎng)絡(luò)能力的極大擴展，相對應的，安全系統(tǒng)也需要實現(xiàn)云化擴展，提升安全處理能力以滿足高性能要求。

傳統(tǒng)安全設(shè)備主要通過堆疊等方式實現(xiàn)集群部署，受限于主控模塊能力，可擴展性較差，無法實現(xiàn)性能的快速提升。建議通過構(gòu)建安全能力資源池的方式，實現(xiàn)安全系統(tǒng)的高度協(xié)同，從而有效提升網(wǎng)絡(luò)安全性能。

（2）精細化動態(tài)安全策略要求

SR-IOV、VEPA、VN-tag等技術(shù)將網(wǎng)絡(luò)管理能力延伸到虛擬機層面，實現(xiàn)計算/網(wǎng)絡(luò)/存儲虛擬資源的動態(tài)調(diào)配，對于網(wǎng)絡(luò)安全設(shè)備/系統(tǒng)來說，同樣需要將安全能力延伸到虛擬機層面。

云計算彈性業(yè)務(wù)要求快速的虛擬資源部署管理，安全策略也需要隨之動態(tài)按需變化。傳統(tǒng)的安全管理模式下，安全策略相對比較固定，配置速度及靈活性較差，無法適應云計算環(huán)境下的快速變化，容易遺留安全漏洞。因此，云計算環(huán)境下的安全設(shè)備應具備感知虛擬機的位置、狀態(tài)改變的能力，并實施精細化的動態(tài)安全防護策略，從而滿足彈性按需服務(wù)的要求。

2.2.2 大數(shù)據(jù)安全能力需求

以Hadoop為代表的大數(shù)據(jù)分析技術(shù)具有分布式存儲、大規(guī)模并發(fā)處理、處理能力向數(shù)據(jù)移動的特點，要求大數(shù)據(jù)安全技術(shù)也應具備高可擴展性，實現(xiàn)安全策略統(tǒng)一調(diào)度、權(quán)限安全傳遞、協(xié)同處理能力。

·安全策略在Master節(jié)點集中控制、統(tǒng)一調(diào)度，并將安全任務(wù)分發(fā)給各安全控制節(jié)點，協(xié)同處理。安全控制能力分布于處理節(jié)點，隨節(jié)點靈活擴展。

·計算能力向數(shù)據(jù)移動過程須確保安全令牌隨任務(wù)傳遞的安全性，并具備基于令牌的身份認證、訪問控制等安全機制。

·海量數(shù)據(jù)對數(shù)據(jù)驗證、加密、監(jiān)控等處理帶來挑戰(zhàn)，節(jié)點應具備協(xié)同處理能力。

2.3 網(wǎng)絡(luò)安全架構(gòu)能力需求

根據(jù)上述對APT等新型攻擊防御思路研究以及云計算、大數(shù)據(jù)等新技術(shù)對安全能力的需求分析，網(wǎng)絡(luò)安全架構(gòu)應強化高效協(xié)同、狀態(tài)智能感知、資源動態(tài)分配的安全理念，加強縱深防御，實現(xiàn)“主動防護、全面預防、快速響應”。

·強化網(wǎng)絡(luò)和系統(tǒng)自身強壯性，強化邊界控制與層次化內(nèi)部防護，提高攻擊門檻。同時，實施等級保護安全策略，實現(xiàn)安全問題的影響范圍可控。

·能自動感知全網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)、評估網(wǎng)絡(luò)安全風險，并能對攻擊者未來的行為、動作、可能采取的手段以及攻擊路徑進行預測分析。

·能根據(jù)感知的安全威脅和風險分析，動態(tài)調(diào)整安全策略并能自動下發(fā)和配置，保證安全問題得到快速的自動化處理。

·增強分散的網(wǎng)絡(luò)安全設(shè)備的高效協(xié)同分析能力，形成對于大規(guī)模安全事件的全網(wǎng)協(xié)同分析處理能力，提高安全防護效率。

圖1 網(wǎng)絡(luò)安全目標演進架構(gòu)

3 網(wǎng)絡(luò)安全架構(gòu)演進思路及策略

3.1 網(wǎng)絡(luò)安全目標架構(gòu)

根據(jù)網(wǎng)絡(luò)安全架構(gòu)能力需求分析，網(wǎng)絡(luò)安全目標架構(gòu)如圖1所示。

整個架構(gòu)分為控制平面和數(shù)據(jù)平面兩個部分，控制平面主要負責實現(xiàn)一體化安全管控能力，分為4個層面。

·安全感知層：收集數(shù)據(jù)平面中的安全設(shè)備/系統(tǒng)、彈性安全能力資源池發(fā)送的安全事件、安全漏洞信息，同時掌握安全能力資源現(xiàn)狀，為安全能力資源的動態(tài)調(diào)配奠定基礎(chǔ)。

·多維分析層：對接收到的安全信息進行啟發(fā)式安全風險關(guān)聯(lián)分析，感知全網(wǎng)安全狀態(tài)和安全態(tài)勢。由于安全信息的數(shù)據(jù)來源復雜、信息量大，為提高安全分析速度，需引入大數(shù)據(jù)等技術(shù)提高海量數(shù)據(jù)處理和分析能力。

·安全視圖層：實現(xiàn)全網(wǎng)安全狀態(tài)、安全態(tài)勢、安全預警的可視化實時展現(xiàn)，提高安全響應速度。

·智能決策層：根據(jù)全網(wǎng)安全狀態(tài)、安全態(tài)勢、安全預警分析數(shù)據(jù)進行智能安全策略決策和管理，對數(shù)據(jù)平面的安全設(shè)備下發(fā)安全策略調(diào)整指令，并根據(jù)需求動態(tài)調(diào)用彈性安全能力。

數(shù)據(jù)平面包括安全設(shè)備/系統(tǒng)以及彈性安全能力資源池，執(zhí)行控制平面下發(fā)的安全策略，實施邊界安全防護和內(nèi)部安全風險控制。

3.2 演進思路及策略

安全自感知、安全能力高效協(xié)同、安全策略自適應的網(wǎng)絡(luò)安全目標架構(gòu)不是一蹴而就的，應以“主動防護、全面預防、快速響應”為目標，有重點，分階段構(gòu)建。

（1）第一階段

以多維感知為目標，增強對未知安全威脅和風險的感知能力，提升安全分析精確性，實現(xiàn)網(wǎng)絡(luò)安全狀態(tài)、網(wǎng)絡(luò)安全風險、網(wǎng)絡(luò)安全態(tài)勢演化的可視化。本階段的重點建設(shè)工作是：

·基于大數(shù)據(jù)、復雜網(wǎng)絡(luò)趨勢分析等技術(shù)提升安全預警、安全態(tài)勢分析能力；

·以業(yè)務(wù)為核心，完善關(guān)聯(lián)分析策略，提高安全分析的精確度。

（2）第二階段

以高效協(xié)同為目標，構(gòu)建安全能力資源池，強化協(xié)同調(diào)度能力，實現(xiàn)全網(wǎng)安全能力高效協(xié)同處理。本階段的重點建設(shè)工作是：

·整合安全資源，構(gòu)建安全能力資源池，提升分布式協(xié)同調(diào)度能力，實現(xiàn)全網(wǎng)聯(lián)動分析和處理；

·由宏觀層面安全控制和數(shù)據(jù)分離向微觀層面設(shè)備、應用等安全控制與數(shù)據(jù)分離延伸，實現(xiàn)安全資源精細化管理和動態(tài)調(diào)度。

（3）第三階段

以智能控制為目標，完善策略控制系統(tǒng)，提高策略自適應能力，實現(xiàn)自組織安全決策以及靈活快捷的安全控制。本階段的重點工作是：基于專家分析技術(shù)及智能決策實現(xiàn)安全策略自分析、自分發(fā)和自配置，提升全網(wǎng)安全態(tài)勢的智能化管控能力。

4 結(jié)束語

與傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)相比，本架構(gòu)重點在一體化安全管控能力的3個維度上進行了提升。

·安全感知維度的提升?，F(xiàn)有的全網(wǎng)安全狀態(tài)感知技術(shù)體系對全網(wǎng)安全設(shè)備的數(shù)據(jù)進行實時收集，面臨海量數(shù)據(jù)的處理和分析等一系列難題。本架構(gòu)引入大數(shù)據(jù)和復雜網(wǎng)絡(luò)趨勢分析等技術(shù)提高海量數(shù)據(jù)處理和分析能力。

·高效協(xié)同維度的提升。通過將全網(wǎng)安全資源整合成彈性安全資源池，提升分布式協(xié)同調(diào)度能力，實現(xiàn)全網(wǎng)聯(lián)動分析和處理。由宏觀層面安全控制和數(shù)據(jù)分離向微觀層面設(shè)備、應用等安全控制與數(shù)據(jù)分離延伸，實現(xiàn)安全資源精細化管理和動態(tài)調(diào)度。

·智能控制維度的提升。提高策略分析決策能力，在感知到異常行為后，策略控制系統(tǒng)可針對性調(diào)整安全策略，并自動下發(fā)到安全設(shè)備進行自配置，提升全網(wǎng)安全態(tài)勢的智能化管控能力和響應速度。

1 金華敏，王帥.電信運營商如何應對網(wǎng)絡(luò)安全新挑戰(zhàn).人民郵電，2012-8-9

2 汪來富，沈軍，金華敏.電信級云計算平臺安全策略研究.電信科學，2011(10):19～23

3 張帥.對APT攻擊的檢測與防御.信息安全與技術(shù),2011(9):17～19