摘""要：針對煤礦企業(yè)網(wǎng)絡(luò)安全管理的復(fù)雜性和多樣性挑戰(zhàn)，降低網(wǎng)絡(luò)安全運維難度及成本，設(shè)計并實施了一個訪問控制策略運維平臺。該平臺采用四層架構(gòu)實現(xiàn)訪問控制信息收集、網(wǎng)絡(luò)安全設(shè)備納管及訪問控制策略運維等核心功能，并基于異構(gòu)安全設(shè)備策略采集、多模態(tài)訪問控制策略分析和自動化策略下發(fā)技術(shù)，實現(xiàn)對核心功能的支持。目前，該系統(tǒng)已在煤礦企業(yè)中成功部署，顯著提升了網(wǎng)絡(luò)安全管理水平，并為網(wǎng)絡(luò)安全的高質(zhì)量發(fā)展提供了堅實的技術(shù)支撐。

關(guān)鍵詞：網(wǎng)絡(luò)安全；煤礦企業(yè)；異構(gòu)設(shè)備；訪問控制策略

中圖分類號：P27

Design"and"Implementation"of"Access"Control"Policy"Operation"and"Maintenance"System

WEI"Tianxiang1"""LI"Ziwei2

1.China"Energy"Digital"Inteltech"Development（Beijing）"Co.，"Ltd.，"Beijing，"100011"China;2.Beijing"IWHR"Technology"Co.，"Ltd.，"Beijing，100089"China

Abstract："To"address"the"complexity"and"diversity"of"network"security"management"challenges"in"coal"mine"enterprises，"a"platform"for"access"control"policy"operation"and"maintenance"has"been"designed"and"implemented"to"reduce"the"difficulty"and"cost"of"network"security"operations."The"platform"adopts"a"four-tier"architecture"to"achive"core"functions"such"as"collection"of"access"control"information，"the"management"of"network"security"devices，"and"the"operation"and"maintenance"of"access"control"policies."Based"on"the"collection"of"access"control"policies"for"heterogeneous"security"devices，"the"analysis"of"multi-modal"access"control"policies，"and"the"automated"distribution"of"strategies，"support"for"core"functions"is"achieved."At"present，"the"system"has"been"successfully"deployed"in"coal"mine"enterprises，"significantly"enhancing"the"level"of"network"security"management"and"providing"a"technical"support"for"the"high-quality"development"of"network"security.

Key"Words："Cybersecurity;"Coal"mine"enterprise;"Heterogeneous"devices;"Access"control"policy

1""引言

1.1""研究背景

隨著工業(yè)互聯(lián)網(wǎng)技術(shù)的發(fā)展，煤礦行業(yè)也在數(shù)字化、智能化的道路上不斷探索。但在數(shù)字化、智能化發(fā)展過程中，煤礦企業(yè)所要網(wǎng)絡(luò)安全問題呈現(xiàn)出行業(yè)影響大、防護要求高、基礎(chǔ)底子薄、特色限制多、轉(zhuǎn)型難度大的特點[1]，因此實施網(wǎng)絡(luò)安全保障的重要性日益凸顯。

當前煤礦企業(yè)網(wǎng)絡(luò)安全建設(shè)面臨著一些問題：一是安全防護體系不完善，部分煤礦企業(yè)缺乏完善的安全防護體系，安全策略不明確，安全措施不到位，難以有效應(yīng)對網(wǎng)絡(luò)安全威脅；二是安全運維成本高，煤礦企業(yè)需要購買和維護大量安全設(shè)備，如防火墻、入侵檢測系統(tǒng)等，導致運維成本逐年提升，難以持續(xù)投入；三是安全人才短缺，煤礦企業(yè)缺乏專業(yè)的網(wǎng)絡(luò)安全人才，難以有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全形勢。

1.2""研究的目的與意義

設(shè)計一種訪問控制策略運維系統(tǒng)，并探討其在煤礦行業(yè)中的應(yīng)用實踐，為煤礦行業(yè)提供一種切實可行的解決方案，旨在推動煤礦企業(yè)網(wǎng)絡(luò)安全保障水平的提升。

2""煤礦企業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)

煤礦生產(chǎn)系統(tǒng)集成了眾多設(shè)備，如傳感器、監(jiān)控設(shè)備和自動化控制系統(tǒng)，這些設(shè)備通過工控協(xié)議實現(xiàn)數(shù)據(jù)的實時傳輸與工作交互。然而，工控協(xié)議普遍缺乏安全防護機制也為黑客和不法分子提供了攻擊機會。他們可能利用惡意軟件、釣魚網(wǎng)站、拒絕服務(wù)攻擊（Distributed"Denial"of"Service，DDoS）等手段，對煤礦生產(chǎn)系統(tǒng)發(fā)起攻擊，嚴重威脅煤礦生產(chǎn)安全和業(yè)務(wù)連續(xù)性。

為確保煤礦智能化系統(tǒng)的正常運行和安全，定期更新和維護網(wǎng)絡(luò)安全設(shè)備勢在必行。然而，受煤礦特殊環(huán)境和設(shè)備廣泛分布的影響，系統(tǒng)更新和維護面臨諸多挑戰(zhàn)。例如：部分設(shè)備位于地下深處或偏遠地帶，難以進行及時維護。同時，安全策略之間難以形成有效的統(tǒng)一響應(yīng)，不同類型的設(shè)備在兼容性方面存在顯著問題，導致聯(lián)動防護效果不佳。此外，隨著新安全漏洞和攻擊手段的不斷涌現(xiàn)，煤礦智能化系統(tǒng)需不斷更新安全防護策略，這無疑增加了系統(tǒng)維護的復(fù)雜性和管理難度。

3""架構(gòu)設(shè)計

為提升煤礦企業(yè)網(wǎng)絡(luò)安全管理水平，參考信息安全事件管理系統(tǒng)的數(shù)據(jù)集成和分析處置理念以及防火墻安全策略管理的訪問控制和安全審計功能實現(xiàn)方法，基于存儲IP地址、物理位置信息、配置信息等設(shè)備基礎(chǔ)信息，以及網(wǎng)絡(luò)邏輯拓撲等關(guān)系信息構(gòu)成屬性圖結(jié)構(gòu)[2]，設(shè)計一種基于四層架構(gòu)的訪問控制策略運維系統(tǒng)，包括技術(shù)支撐層、數(shù)據(jù)服務(wù)層、業(yè)務(wù)應(yīng)用層和用戶展示層?；谠摷軜?gòu)，系統(tǒng)可實現(xiàn)防火墻、路由器等網(wǎng)絡(luò)設(shè)備的訪問控制策略的集中管理，提供策略批量配置、區(qū)域風險分析、訪問控制策略遠程下發(fā)等功能，助力運維人員高效完成策略變更[3]，降低管理成本。圖1展示了訪問控制策略運維系統(tǒng)的整體設(shè)計框架。

3.1""技術(shù)支撐層

平臺采用分布式文件系統(tǒng)和數(shù)據(jù)庫，提供海量數(shù)據(jù)存儲功能，并利用關(guān)系型數(shù)據(jù)庫進行用戶管理和權(quán)限管理。分布式批處理和流處理框架加速業(yè)務(wù)處理速度，保障數(shù)據(jù)高效處理。

3.2""數(shù)據(jù)服務(wù)層

包含關(guān)鍵數(shù)據(jù)采集、異構(gòu)設(shè)備信息歸一化處理和安全業(yè)務(wù)數(shù)據(jù)可靠存儲功能。平臺從納管的防火墻上通過安全外殼協(xié)議"（Secure"Shell"Protocol，SSH）、簡單網(wǎng)絡(luò)管理協(xié)議"（Simple"Network"Management"Protocol，SNMP）接入等方法獲取防火墻配置信息，并通過適配腳本解析其中包含的訪問控制規(guī)則，并將元數(shù)據(jù)存儲于分布式數(shù)據(jù)庫。采用RAID10模式存儲數(shù)據(jù)，保障數(shù)據(jù)安全性和可靠性。通過密文加密存儲和簽名函數(shù)校驗進一步提升數(shù)據(jù)安全性。云計算和容器化技術(shù)實現(xiàn)平臺快速部署和高可擴展性。

3.3""業(yè)務(wù)應(yīng)用層

包含業(yè)務(wù)資產(chǎn)管理模塊，實現(xiàn)訪問控制策略生成、下發(fā)、監(jiān)控、廢止的全生命周期管理，構(gòu)建業(yè)務(wù)資產(chǎn)全景視圖，建立資產(chǎn)圖景幫助用戶理解各業(yè)務(wù)、各設(shè)備間的關(guān)系。訪問控制策略分析與優(yōu)化系統(tǒng)通過數(shù)據(jù)分析算法和業(yè)務(wù)流程，識別合規(guī)策略基線，并提供數(shù)據(jù)服務(wù)接口支持異常行為發(fā)現(xiàn)和安全風險預(yù)警。參照GB/T"20984-2007信息安全風險評估規(guī)范、ISO"27005：2008信息安全風險管理，以及OWASP威脅建模項目中風險計算模型的要求[15]，建立基于風險矩陣的量化安全風險評估系統(tǒng)。通過設(shè)計實用化的風險計算模型，實現(xiàn)量化的安全風險估算和評估。工作流管理模塊實現(xiàn)與其他安全設(shè)備的接入，構(gòu)建基于態(tài)勢感知的工作流，實現(xiàn)網(wǎng)絡(luò)安全自動化運維。

3.4""用戶展示層

通過各種可視化手段，平臺向用戶呈現(xiàn)了詳盡的信息和數(shù)據(jù)，包括策略構(gòu)成、業(yè)務(wù)流向分析、網(wǎng)絡(luò)架構(gòu)、策略梳理等內(nèi)容。通過表格展示的方式，能夠直觀地展示出策略數(shù)據(jù)的詳細信息，包括訪問源、目的、協(xié)議、端口等。拓撲圖則可以形象地展現(xiàn)企業(yè)網(wǎng)絡(luò)架構(gòu)的整體結(jié)構(gòu)和網(wǎng)絡(luò)拓撲關(guān)系，幫助用戶更好地理解網(wǎng)絡(luò)中不同設(shè)備之間的連接和通信。餅狀圖則能夠直觀地展示出策略數(shù)據(jù)的分類占比情況，例如攻擊來源地的地理分布、攻擊類型的分布情況等。

此外，在用戶展示層，平臺還提供了數(shù)據(jù)查詢和統(tǒng)計功能，用戶可以通過查詢關(guān)鍵字、時間范圍等條件來快速定位和檢索相關(guān)策略數(shù)據(jù)，也可以通過統(tǒng)計分析功能對策略數(shù)據(jù)進行匯總、統(tǒng)計和分析，以便更好地了解企業(yè)網(wǎng)絡(luò)的安全狀況和趨勢。總的來說，用戶展示層通過直觀、清晰的方式，為用戶提供了全面的策略數(shù)據(jù)展示和分析，使用戶能夠更加全面地了解企業(yè)網(wǎng)絡(luò)的安全狀況和趨勢，進而制定更有效的安全策略和措施。

4""功能實現(xiàn)

4.1""異構(gòu)設(shè)備的歸一化處理

平臺通過定期抓取不同品牌和型號的防火墻、路由器、交換機等網(wǎng)絡(luò)設(shè)備的策略配置文件和路由表信息，并利用算法解析訪問控制策略的元數(shù)據(jù)[4]。將解析后的元數(shù)據(jù)存儲于統(tǒng)一的訪問控制策略模型中，實現(xiàn)對異構(gòu)設(shè)備的訪問控制策略進行集中展示、查詢、導出和分析等功能。通過對訪問控制策略元數(shù)據(jù)的解析，可以構(gòu)造不同防火墻相關(guān)命令，例如顯示訪問控制列表、下發(fā)新的訪問策略等，方便用戶理解和管理不同設(shè)備的策略配置。

4.2""訪問控制策略配置檢查與優(yōu)化分析

防火墻策略的頻繁變更可能導致冗余策略、隱藏策略和空策略等問題。平臺采用多模態(tài)訪問控制策略分析模型[5]，分析策略之間的包含和被包含關(guān)系，通過訪問控制標記識別冗余策略、隱藏策略和空策略等，并提供優(yōu)化建議。管理員可根據(jù)分析結(jié)果進行策略精簡和優(yōu)化調(diào)整，提高策略的效率和安全性。需要注意的是，策略優(yōu)化分析需要考慮數(shù)據(jù)流向的一致性，即具有相同源和目的安全域的策略才能進行合并或刪除。

4.3""訪問控制策略的下發(fā)

平臺提供訪問控制策略的自動開通功能，包括開通業(yè)務(wù)請求服務(wù)、模擬仿真分析、策略風險分析、自動生成策略配置以及驗證策略開通等環(huán)節(jié)。這些環(huán)節(jié)全流程化、自動化，旨在減輕訪問控制開通業(yè)務(wù)的工作量，并確保變更內(nèi)容的準確性。操作人員審核通過后，策略可自動下發(fā)到防火墻并立即生效，提高操作效率，減少人為錯誤，確保整個過程更加可靠和安全。

5""結(jié)語

本文提出并實現(xiàn)了一種訪問控制策略運維系統(tǒng)，該系統(tǒng)采用四層架構(gòu)，分別為技術(shù)支撐層、數(shù)據(jù)服務(wù)層、業(yè)務(wù)應(yīng)用層和用戶展示層。系統(tǒng)功能涵蓋了策略集中管理、流量監(jiān)控、設(shè)備狀態(tài)管理等方面，實現(xiàn)了網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一集中管理，包括策略采集、解析、歷史查詢、變更監(jiān)控、搜尋、清理、開通等功能。

系統(tǒng)已在某大型企業(yè)成功應(yīng)用，實現(xiàn)了對1"100多臺設(shè)備的集中納管，有效提升了網(wǎng)絡(luò)安全管理水平。在國家級網(wǎng)絡(luò)安全實戰(zhàn)攻防演練中，系統(tǒng)通過七大策略下發(fā)場景，與態(tài)勢感知平臺及其他安全管控設(shè)備聯(lián)動，實現(xiàn)了訪問控制策略的快速、大規(guī)模執(zhí)行和下發(fā)，展現(xiàn)了跨地域、跨組織的協(xié)同能力。

當前系統(tǒng)依賴預(yù)配置腳本進行異構(gòu)設(shè)備命令識別，在未適配設(shè)備納管問題上存在一定的局限性。未來研究將探索基于人工智能大模型技術(shù)，研發(fā)自適應(yīng)或自學習的訪問控制策略配置方法，進一步提升系統(tǒng)智能化水平，解決網(wǎng)絡(luò)安全管理的難題。

參考文獻

• 王丹識，韓鵬軍，王榮博，等.我國煤炭企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀、問題分析研究與建議[J].中國煤炭，2022，48（7）：34-40.
• 沈凡.SIEM日志分析系統(tǒng)關(guān)鍵技術(shù)研究與應(yīng)用[D].北京：北京郵電大學，2021.
• 金生祥，梁錦華，胡耀宇，等.基于態(tài)勢感知技術(shù)的網(wǎng)絡(luò)安全主動防御體系[J].創(chuàng)新世界周刊，2023（3）：68-73.
• 趙銀艷.面向企業(yè)網(wǎng)絡(luò)的自適應(yīng)訪問控制機制研究[D].南京：南京理工大學2021.
• 秦曉宇，金·尕迪.國有企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全訪問控制模型設(shè)計[J].信息與電腦（理論版），2022，34（14）：211-213.