張小梅，袁蘇文，馬 錚，張曼君，高 楓（.中國聯(lián)通網(wǎng)絡(luò)技術(shù)研究院，北京00048；.中國電子科技集團公司電子科學(xué)研究院，北京0004）

0 前言

隨著互聯(lián)網(wǎng)的快速發(fā)展，電信運營商的業(yè)務(wù)發(fā)生了重大變革，為此尋找更靈活、更高效、低成本的網(wǎng)絡(luò)架構(gòu)解決方案成為運營商關(guān)注的焦點。云化網(wǎng)絡(luò)作為一種新型的網(wǎng)絡(luò)架構(gòu)，其倡導(dǎo)的虛擬化能全面突破現(xiàn)有網(wǎng)絡(luò)困境。在云化網(wǎng)絡(luò)架構(gòu)下，原來的硬件網(wǎng)元設(shè)備的物理邊界消失，引入更多軟件安全問題，攻擊面變得更廣，云化網(wǎng)絡(luò)的資產(chǎn)安全管理顯得越來越重要。盡管現(xiàn)在安全風(fēng)險排查力度不斷加大，但尚未完全掌握在網(wǎng)全量資產(chǎn)安全信息，安全巡檢的盲點仍然很多，大量安全漏洞一直潛伏在系統(tǒng)中，查找定位問題源頭較為困難。如何對云化網(wǎng)絡(luò)的基礎(chǔ)資源、虛擬網(wǎng)元進行安全調(diào)度和管理，成為業(yè)界普遍面臨的重要問題，SDN/NFV作為下一代網(wǎng)絡(luò)變革的核心技術(shù)，具有集中控制、資源靈活調(diào)度等特性，易于實現(xiàn)統(tǒng)一安全管控及安全能力重構(gòu)。本文基于SDN/NFV技術(shù)設(shè)計了自動化、智能化的云化網(wǎng)絡(luò)資產(chǎn)安全管理解決方案，實現(xiàn)網(wǎng)絡(luò)資產(chǎn)安全信息動態(tài)更新和精確管理。

1 云化網(wǎng)絡(luò)架構(gòu)

云計算促使傳統(tǒng)硬件資源從無共享、系統(tǒng)封閉、運維流程復(fù)雜的網(wǎng)絡(luò)向資源虛擬化的按需分配的云網(wǎng)絡(luò)轉(zhuǎn)型，云化網(wǎng)絡(luò)中采用虛擬化技術(shù)對各種資源進行虛擬化，打破了傳統(tǒng)電信設(shè)備豎井式體系，所有的業(yè)務(wù)都可以通過MANO分配虛擬化資源、實例化VNF等實現(xiàn)新業(yè)務(wù)快速部署、資源靈活調(diào)度，簡化運維、提高網(wǎng)絡(luò)資源利用率。圖1顯示了云化網(wǎng)絡(luò)架構(gòu)，從功能上來劃分，可以分為MANO管理與協(xié)同模塊、虛擬化的網(wǎng)絡(luò)實體層、網(wǎng)絡(luò)虛擬化功能基礎(chǔ)設(shè)施層。

圖1 云化網(wǎng)絡(luò)架構(gòu)

a）MANO管理與協(xié)同模塊：負責(zé)虛擬機生命周期管理、資源監(jiān)控、虛擬機性能監(jiān)控、故障管理、虛擬機動態(tài)遷移、資源管理、信息維護等。

b）虛擬化的網(wǎng)絡(luò)實體層：實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)功能虛擬化，以軟件的形式運行在虛擬機上。

c）網(wǎng)絡(luò)虛擬化功能基礎(chǔ)設(shè)施層：包括各種物理硬件資源、虛擬資源及Hypervisor，是支持VNF運行的環(huán)境。

2 資產(chǎn)安全管控關(guān)鍵技術(shù)

2.1 資產(chǎn)存活性探測

資產(chǎn)存活性探測用于探測網(wǎng)絡(luò)中資產(chǎn)的在線情況，資產(chǎn)存活性探測可采用登錄采集方式和遠程掃描探測方式，可以根據(jù)不同的網(wǎng)絡(luò)環(huán)境靈活選擇資產(chǎn)發(fā)現(xiàn)方式，摸清企業(yè)資產(chǎn)存活情況，從而掌握企業(yè)全網(wǎng)資產(chǎn)上下線情況。

登錄采集方式：通過登錄業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)采集路由/交換設(shè)備相關(guān)配置信息，激活所有在網(wǎng)設(shè)備，根據(jù)獲取的ARP表、MAC表、路由表、接口信息表等信息匯總形成完整資產(chǎn)列表，實現(xiàn)在網(wǎng)資產(chǎn)的全量發(fā)現(xiàn)。

掃描探測方式：通過發(fā)送探測包到指定IP，根據(jù)回復(fù)情況來判斷資產(chǎn)存活情況，發(fā)送的探測包可以是ARP、ICMP、TCP SYN/ACK包、UDP、SCTP等。

a）ARP協(xié)議探測：通過向目標資產(chǎn)發(fā)送ARP Request包，在探測包超時前如果接收到目標資產(chǎn)的ARP Re-sponse包，則此資產(chǎn)存活。

b）ICMP協(xié)議探測：通過向目標資產(chǎn)發(fā)送ICMP請求包，根據(jù)應(yīng)答報文的類型判斷資產(chǎn)的活躍狀態(tài)。

c）TCP SYN/ACK協(xié)議探測：通過向目標資產(chǎn)發(fā)送TCPSYN/ACK探測包，在探測包超時前如果收到目標資產(chǎn)的TCP應(yīng)答報文是RST包或SYN/ACK包，則此資產(chǎn)存活。

d）UDP協(xié)議探測：通過向目標資產(chǎn)發(fā)送UDP探測包，在探測包超時前如果收到目標資產(chǎn)的UDP應(yīng)答報文，則此資產(chǎn)存活。

e）SCTP協(xié)議探測：通過向目標資產(chǎn)發(fā)送SCTP INIT探測包，在探測包超時前如果收到目標資產(chǎn)的SCTP應(yīng)答報文，則此資產(chǎn)存活。

2.2 資產(chǎn)指紋信息識別

在資產(chǎn)存活性探測的基礎(chǔ)上，對存活資產(chǎn)進行指紋信息收集，首先需要確定資產(chǎn)端口開放情況，以及端口上運行的具體應(yīng)用程序與版本信息，然后進行操作系統(tǒng)的偵測，最后對資產(chǎn)安全基線配置、漏洞等信息進行收集，指紋信息主要包括以下幾種。

a）開放端口：資產(chǎn)對外開放的端口信息。

b）軟件版本：資產(chǎn)上運行的軟件版本信息。c）操作系統(tǒng)：資產(chǎn)的操作系統(tǒng)類型及版本信息。d）安全基線配置：資產(chǎn)配置信息，用于核查是否存在不合規(guī)的配置。

e）網(wǎng)站漏洞：網(wǎng)站漏洞信息，并檢測弱密碼和撞庫攻擊。

f）系統(tǒng)漏洞：資產(chǎn)系統(tǒng)漏洞信息，用于發(fā)現(xiàn)潛在的漏洞隱患。

資產(chǎn)指紋采集方式主要包括遠程探測和登錄獲取2種方式，遠程探測方式是通過發(fā)送數(shù)據(jù)包去主動探測網(wǎng)絡(luò)資產(chǎn)，通過返回的報文信息來識別資產(chǎn)指紋信息。登錄獲取方式是通過與網(wǎng)絡(luò)中的4A系統(tǒng)（集賬號管理、授權(quán)管理、認證管理、審計管理功能于一體的身份識別與訪問管理系統(tǒng)）進行對接，通過4A系統(tǒng)的指令通道來獲取指紋信息。針對未知資產(chǎn)可以采用遠程探測方式，已納入4A系統(tǒng)管控的資產(chǎn)可以利用指令通道直接獲取資產(chǎn)指紋信息。

a）遠程探測方式：通過發(fā)送探測包到指定IP，根據(jù)回復(fù)情況來判斷資產(chǎn)指紋信息情況，發(fā)送的探測包可以是TCP、ICMP、UDP等。

b）登錄獲取方式：對于已經(jīng)納入4A系統(tǒng)管控的資產(chǎn)，可利用4A系統(tǒng)指令通道接口來獲取資產(chǎn)指紋信息，4A系統(tǒng)指令通道接口是指為各類維護或管理平臺、維護人員自行開發(fā)的自動化程序提供的程序調(diào)用接口，可以解決自動化程序通過4A系統(tǒng)訪問接入資源的問題。因此，只需要編制指紋信息獲取的自動化腳本程序，即可通過指令通道提取出資產(chǎn)的指紋信息。

圖2示出的是登錄獲取方式流程。

圖2 登錄獲取方式流程

2.3 資產(chǎn)安全信息管理

目前網(wǎng)絡(luò)中存在退網(wǎng)資產(chǎn)仍在線運行、未經(jīng)管理流程違規(guī)上線、擅自更改資產(chǎn)用途、攜帶各類安全問題等情況，這將成為企業(yè)網(wǎng)安全短板，是惡意入侵利用的主要目標。精確的資產(chǎn)安全信息管控是信息安全的基礎(chǔ)，因此，需要對資產(chǎn)安全信息進行全生命周期管理，定位存在安全隱患的系統(tǒng)或組件。

資產(chǎn)安全信息管理主要包括存活性和安全指紋信息管理，根據(jù)網(wǎng)絡(luò)業(yè)務(wù)具體需求，對指定掃描范圍的所有IP地址進行周期性存活探測，發(fā)現(xiàn)存活資產(chǎn)，進而對已存活的資產(chǎn)進行指紋信息獲取，并將獲取的資產(chǎn)指紋信息與歷史資產(chǎn)快照進行對比，查看資產(chǎn)指紋信息是否有變更，并全面分析資產(chǎn)存在的安全基線、漏洞等問題。

圖3示出的是資產(chǎn)異常管理。

圖3 資產(chǎn)異常管理

a）通過遠程掃描方式周期性探測資產(chǎn)庫里面設(shè)備的存活狀態(tài)，如果發(fā)現(xiàn)設(shè)備不在線，則核對設(shè)備是否已下線，確認下線就更新資產(chǎn)庫信息，確認不是正常下線就展示資產(chǎn)異常告警；如果發(fā)現(xiàn)設(shè)備存活，則獲取資產(chǎn)指紋信息。

b）將獲取的資產(chǎn)指紋信息與歷史資產(chǎn)快照進行對比，查看資產(chǎn)指紋信息是否有變更，如果無變更，則繼續(xù)周期性探測資產(chǎn)庫設(shè)備存活狀態(tài)；如果有信息變更，則對變更的信息進行分析，分析是否存在安全隱患，并對存在的安全隱患進行全生命周期閉環(huán)管理。

3 云化網(wǎng)絡(luò)資產(chǎn)安全管理方案

3.1 云化網(wǎng)絡(luò)資產(chǎn)安全管理系統(tǒng)架構(gòu)

借助SDN/NFV網(wǎng)絡(luò)控制與轉(zhuǎn)發(fā)平面分離、集中控制、開放可編程等特性，設(shè)計了云化網(wǎng)絡(luò)資產(chǎn)安全管控系統(tǒng)架構(gòu)（見圖4），實現(xiàn)統(tǒng)一安全管控及安全能力重構(gòu)。通過安全資源虛擬化技術(shù)對網(wǎng)絡(luò)中的安全能力進行抽象，形成滿足特定安全需求的安全虛擬機，再由安全編排和控制器對安全策略、安全功能和網(wǎng)絡(luò)流量進行動態(tài)的編排，實現(xiàn)可重構(gòu)安全資源的按需部署和動態(tài)伸縮的同時，為企業(yè)內(nèi)部及客戶提供滿足其需求的資產(chǎn)安全評估服務(wù)。

圖4 云化網(wǎng)絡(luò)資產(chǎn)安全管理系統(tǒng)架構(gòu)

a）安全服務(wù)：安全業(yè)務(wù)服務(wù)模塊是整個系統(tǒng)的核心，負責(zé)處理系統(tǒng)的安全業(yè)務(wù)邏輯。

b）安全編排及控制器：負責(zé)對安全設(shè)備策略、安全功能和網(wǎng)絡(luò)流量進行動態(tài)的管理和編排，并通過監(jiān)控網(wǎng)絡(luò)設(shè)備及安全設(shè)備運行狀態(tài)，實現(xiàn)對相關(guān)安全數(shù)據(jù)的采集。

c）資產(chǎn)安全管控平臺：負責(zé)對采集資產(chǎn)指紋信息及日志信息進行關(guān)聯(lián)分析，并對發(fā)現(xiàn)的安全問題進行全生命周期閉環(huán)管理。在安全分析過程中，如發(fā)現(xiàn)異常情況將進行預(yù)警，并通知安全編排及控制器調(diào)整安全策略。

d）SDN控制器：根據(jù)業(yè)務(wù)需求，負責(zé)各廠家網(wǎng)絡(luò)或邏輯域內(nèi)網(wǎng)絡(luò)的路由、QoS等策略生成與下發(fā)。

e）MANO：實現(xiàn)對安全資源的管理，虛擬化安全網(wǎng)元的生命周期管理及初始化配置。

f）安全資源池：包含安全設(shè)備以及交換機、路由器等網(wǎng)絡(luò)設(shè)備。

3.2 云化網(wǎng)絡(luò)資產(chǎn)安全評估服務(wù)運營流程

以漏洞掃描服務(wù)為例，對云化網(wǎng)絡(luò)資源漏洞清點及問題跟蹤進行詳細解析，具體運營流程如圖5所示。

圖5 漏洞掃描服務(wù)運營流程

a）申請網(wǎng)絡(luò)資產(chǎn)所需的漏洞掃描服務(wù)，并將漏洞掃描服務(wù)任務(wù)下發(fā)給安全編排及控制器。

b）安全編排及控制器根據(jù)需要進行漏洞掃描的資產(chǎn)范圍，確定漏洞掃描服務(wù)路徑經(jīng)過的所有節(jié)點，將流量調(diào)度策略下發(fā)給SDN控制器，將漏掃設(shè)備配置策略下發(fā)給MANO。

c）漏洞掃描服務(wù)路徑經(jīng)過的所有節(jié)點由控制器下發(fā)SDN流表，構(gòu)建安全服務(wù)鏈，由MANO對漏掃設(shè)備進行初始化，并由安全編排及控制器對其進行安全策略配置。

d）進行漏洞掃描服務(wù)，并將執(zhí)行結(jié)果和日志信息反饋給資產(chǎn)安全管控平臺，由資產(chǎn)安全管控平臺進行關(guān)聯(lián)分析及呈現(xiàn)，必要時須對安全方案進行調(diào)整。

4 結(jié)束語

借鑒現(xiàn)有信息系統(tǒng)安全模型由安全策略、防護、檢測和響應(yīng)共同構(gòu)成完整安全體系的思想，并把安全能力池作為功能基礎(chǔ)，將安全能力構(gòu)建過程設(shè)計為動態(tài)可調(diào)整過程，并在此過程中融合了業(yè)務(wù)安全需求分析、安全方案適配、安全服務(wù)鏈構(gòu)建、安全服務(wù)動態(tài)調(diào)整、網(wǎng)絡(luò)資產(chǎn)安全態(tài)勢分析等機制，以實現(xiàn)基于SDN/NFV技術(shù)的資產(chǎn)安全管控解決方案，以保證云化網(wǎng)絡(luò)在引入虛擬化技術(shù)后的資產(chǎn)安全，保證新網(wǎng)絡(luò)能力和業(yè)務(wù)能夠在安全的資產(chǎn)上運行。