宋俊芳，江英華，涂興洋

(西藏民族大學(xué) 信息工程學(xué)院，陜西 咸陽 712082)

1 網(wǎng)絡(luò)及安全管理分析

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息系統(tǒng)廣泛地應(yīng)用在社會(huì)的各個(gè)方面，同時(shí)，網(wǎng)絡(luò)攻擊對(duì)信息安全的威脅越來越大。作為網(wǎng)路管理員，每天分析龐大的攻擊日志耗時(shí)又耗力，專業(yè)技術(shù)人員稀缺，導(dǎo)致分析處理響應(yīng)網(wǎng)絡(luò)攻擊的效率較低，如果能夠?qū)崿F(xiàn)網(wǎng)絡(luò)攻擊及安全控制策略的智能可視化，將在很大程度上提升網(wǎng)絡(luò)與安全運(yùn)維管理的效率。本文分析企業(yè)網(wǎng)中可能會(huì)出現(xiàn)的安全問題，提出相應(yīng)的安全策略，并有針對(duì)性地設(shè)計(jì)可視化模塊[1]。企業(yè)網(wǎng)日常安全管理一般流程如圖1所示。

圖1 網(wǎng)絡(luò)日常安全管理流程

在被攻擊前，需要展開攻擊面分析，包括暴露風(fēng)險(xiǎn)、脆弱性評(píng)估和資產(chǎn)盤點(diǎn)。在網(wǎng)絡(luò)被攻擊之后，防火墻會(huì)產(chǎn)生攻擊日志，通過分析日志，可以對(duì)風(fēng)險(xiǎn)排序，分級(jí)進(jìn)行漏洞修補(bǔ)，但這樣的系統(tǒng)流程是無法進(jìn)行異常提前預(yù)知的。隨著漏洞數(shù)量與日俱增，網(wǎng)絡(luò)攻擊手段升級(jí)，攻防兩端對(duì)抗加劇，安全日志分析需要更智能、更快捷，結(jié)果需要更直觀、更全面，才能為風(fēng)險(xiǎn)評(píng)估提供可靠的數(shù)據(jù)。為此，在攻擊面分析時(shí)(見圖2)，加入大數(shù)據(jù)關(guān)聯(lián)分析和網(wǎng)絡(luò)異常檢測技術(shù)實(shí)現(xiàn)業(yè)務(wù)的安全監(jiān)控與自動(dòng)化響應(yīng)。在被攻擊之前，根據(jù)各項(xiàng)檢測數(shù)據(jù)，對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)事件進(jìn)行分類，這樣就做到了攻擊的提前預(yù)警。被攻擊后，可以通過日志來進(jìn)行快速自動(dòng)化響應(yīng)，自動(dòng)修補(bǔ)漏洞，并參與到預(yù)知風(fēng)險(xiǎn)計(jì)算中，這樣大大減少了工作量，實(shí)現(xiàn)了智能化監(jiān)管[2]。

圖2 安全監(jiān)控與自動(dòng)化響應(yīng)流程

2 安全監(jiān)控與自動(dòng)化響應(yīng)管理可視化

2.1 安全管理策略可視化

基于安全監(jiān)控與自動(dòng)化響應(yīng)的管理策略，為實(shí)現(xiàn)可視化，增設(shè)了策略概覽、策略列表、策略優(yōu)化、策略收斂、策略梳理和策略檢查6個(gè)模塊：(1)策略概覽是呈現(xiàn)一臺(tái)設(shè)備的策略概況的，可以統(tǒng)計(jì)檢測設(shè)備涉及的IP數(shù)、策略總數(shù)，檢查過多少次策略，有多少條策略路由、靜態(tài)路由以及路由表中有多少路由條目等基礎(chǔ)信息。(2)策略列表與策略概覽相反，會(huì)顯示每一條策略的詳細(xì)內(nèi)容，包括安全策略、NAT策略、ACL策略、靜態(tài)路由、策略路由、路由表，都是統(tǒng)計(jì)的對(duì)象。不僅將這些內(nèi)容詳細(xì)地羅列出來，還做了統(tǒng)計(jì)，哪種策略一共有多少條，當(dāng)管理員想要知道哪條策略在哪臺(tái)設(shè)備上時(shí)，可以快速查找到[3]。(3)策略優(yōu)化是羅列一臺(tái)設(shè)備中有問題的策略的模塊，設(shè)備中的隱藏策略、冗余策略、空策略，過期策略和合并策略都屬于問題策略。這些策略輕者使得一些網(wǎng)段不通，影響業(yè)務(wù)，重者產(chǎn)生攻擊面，讓攻擊者有機(jī)可乘。平臺(tái)也統(tǒng)計(jì)了每種問題策略的數(shù)量，做出了分布餅狀圖來供管理員參考。(4)策略收斂是用來統(tǒng)計(jì)一臺(tái)設(shè)備策略修改過程的，羅列出了哪臺(tái)設(shè)備什么時(shí)間進(jìn)行了哪些參數(shù)的重新設(shè)置，最后生成統(tǒng)計(jì)日志，方便管理員查看，并定期進(jìn)行更新。(5)策略梳理通過防火墻策略日志(或會(huì)話日志)分析，自動(dòng)梳理出防火墻安全策略配置建議，并支持按源地址、目的地址分別進(jìn)行合并匯聚梳理。策略梳理需先新建策略梳理任務(wù)，待任務(wù)執(zhí)行完畢后，可在梳理結(jié)果欄下載或在線查詢梳理報(bào)告。管理員看到這些報(bào)告，可以很快地找出最佳的策略配置方案。(6)策略檢查是用來顯示整個(gè)網(wǎng)絡(luò)策略安全情況的，檢查完畢后會(huì)做出評(píng)分，并顯示存在風(fēng)險(xiǎn)設(shè)備的總數(shù)，將存在風(fēng)險(xiǎn)設(shè)備的風(fēng)險(xiǎn)策略羅列出來，同時(shí)顯示風(fēng)險(xiǎn)情況，方便管理員隨時(shí)掌控網(wǎng)絡(luò)中策略安全程度，必要時(shí)做出修改[4]。

2.2 攻擊面可視化

在攻擊面上，設(shè)置了路徑分析、主機(jī)攻擊面和服務(wù)攻擊面3個(gè)小模塊：(1)路徑分析是一個(gè)配合拓?fù)鋱D使用的功能，可以在拓?fù)鋱D中查詢節(jié)點(diǎn)、數(shù)據(jù)流和路徑。節(jié)點(diǎn)是用來查詢單一設(shè)備的，當(dāng)輸入想要查詢的節(jié)點(diǎn)的名稱或者管理IP時(shí)，就會(huì)在拓?fù)鋱D中顯示該設(shè)備所在的位置，并附帶該節(jié)點(diǎn)的基本信息，方便管理員快速查找。數(shù)據(jù)流是可以輸入起點(diǎn)與終點(diǎn)的，也可以只輸入起點(diǎn)。當(dāng)輸入起點(diǎn)與終點(diǎn)后，該條路徑的數(shù)據(jù)流詳情就會(huì)顯示，包括源、目的端口、協(xié)議等。如果只輸入起點(diǎn)，那么以這臺(tái)設(shè)備為中心，哪些設(shè)備可達(dá)、走哪些路徑都會(huì)顯示出來。當(dāng)一臺(tái)設(shè)備中毒之后，就能很快地知道會(huì)擴(kuò)散到網(wǎng)絡(luò)中的哪些區(qū)域，以作精準(zhǔn)應(yīng)對(duì)。(2)主機(jī)攻擊面主要是用來分析暴露風(fēng)險(xiǎn)的，同樣會(huì)給主機(jī)做出風(fēng)險(xiǎn)評(píng)估，如果主機(jī)有暴露風(fēng)險(xiǎn)，則會(huì)列出詳細(xì)的風(fēng)險(xiǎn)情況，包括主機(jī)所屬安全域，通過哪個(gè)服務(wù)暴露的，這個(gè)暴露會(huì)涉及哪些路徑。(3)服務(wù)攻擊面和主機(jī)攻擊面類似，主要用來分析服務(wù)的暴露風(fēng)險(xiǎn)，進(jìn)行風(fēng)險(xiǎn)評(píng)估[5]。

2.3 風(fēng)險(xiǎn)評(píng)估可視化

在風(fēng)險(xiǎn)評(píng)估上，設(shè)置了域間的訪問關(guān)系、風(fēng)險(xiǎn)規(guī)則庫和域間風(fēng)險(xiǎn)3個(gè)小模塊：(1)域間訪問關(guān)系羅列了整個(gè)企業(yè)網(wǎng)的各個(gè)域之間的訪問關(guān)系，它分為白名單和黑名單，是根據(jù)現(xiàn)有的防火墻的配置生成的。風(fēng)險(xiǎn)規(guī)則庫定義域間的風(fēng)險(xiǎn)規(guī)則。默認(rèn)系統(tǒng)中有預(yù)設(shè)的風(fēng)險(xiǎn)規(guī)則，同時(shí)也可以自定義風(fēng)險(xiǎn)規(guī)則。有一級(jí)分類和二級(jí)分類兩種，一級(jí)分類包含域間訪問風(fēng)險(xiǎn)和策略規(guī)則風(fēng)險(xiǎn)。二級(jí)分類包含域間訪問風(fēng)險(xiǎn)、寬松風(fēng)險(xiǎn)、高危端口、策略檢查、對(duì)象檢查等規(guī)則。(2)規(guī)則級(jí)別分別有高、較高、中、較低、低。預(yù)設(shè)規(guī)則有幾十種以供選擇，同時(shí)，自定義也可以完全根據(jù)現(xiàn)網(wǎng)情況進(jìn)行配置，能滿足絕大部分網(wǎng)絡(luò)。(3)域間風(fēng)險(xiǎn)則是按照管理員啟用的規(guī)則庫里的規(guī)則做分析之后的域間可能出現(xiàn)的風(fēng)險(xiǎn)，以矩陣的方式進(jìn)行羅列，方便管理員隨時(shí)發(fā)現(xiàn)危險(xiǎn)。

3 結(jié)語

針對(duì)企業(yè)網(wǎng)提出使用網(wǎng)絡(luò)流量控制策略可視化技術(shù)，全面提升網(wǎng)絡(luò)安全防御能力。在攻擊面分析時(shí)，加入大數(shù)據(jù)關(guān)聯(lián)分析和網(wǎng)絡(luò)異常檢測技術(shù)，實(shí)現(xiàn)業(yè)務(wù)的安全監(jiān)控與自動(dòng)化響應(yīng)。主要從安全管理策略可視化、攻擊面可視化和風(fēng)險(xiǎn)評(píng)估可視化3個(gè)方面進(jìn)行了落地設(shè)計(jì)，為企業(yè)核心業(yè)務(wù)安全運(yùn)行保駕護(hù)航，提升了網(wǎng)絡(luò)與安全運(yùn)維管理的效率。