劉曉峰，譚 彬，邱 嵐，王煥如

(中國(guó)移動(dòng)通信集團(tuán)廣西有限公司信息安全管理中心 南寧530022)

1 引言

網(wǎng)絡(luò)安全域劃分和邊界防護(hù)是等級(jí)防護(hù)和縱深防御框架的基本要求，也是整個(gè)網(wǎng)絡(luò)及信息系統(tǒng)最基本的安全需要。電信運(yùn)營(yíng)商通過安全域劃分和邊界防護(hù)的實(shí)施，有效保障了通信網(wǎng)和支撐網(wǎng)的安全。但是，隨著業(yè)務(wù)迅速發(fā)展，業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)及互聯(lián)關(guān)系處于持續(xù)的動(dòng)態(tài)變化過程中，原有的安全域劃分和邊界的安全狀態(tài)會(huì)被破壞，并直接導(dǎo)致網(wǎng)絡(luò)和信息系統(tǒng)的巨大安全風(fēng)險(xiǎn)。

目前，安全域管理單純依靠人工方式進(jìn)行管理、審計(jì)、檢查，難以實(shí)現(xiàn)精準(zhǔn)、實(shí)時(shí)、全面地分析，無法有效限制安全域的隨意調(diào)整，無法確保長(zhǎng)期符合安全域劃分標(biāo)準(zhǔn)要求，也無法對(duì)不斷積累的大量邊界訪問控制策略的合理性進(jìn)行有效判斷。在全網(wǎng)的各類安全檢查、風(fēng)險(xiǎn)評(píng)估和事件分析工作中，安全域劃分問題成為常見安全風(fēng)險(xiǎn)的主要來源。

本文通過研究基于真實(shí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全域劃分審計(jì)技術(shù)，自動(dòng)分析業(yè)務(wù)系統(tǒng)安全域劃分實(shí)際情況，準(zhǔn)確掌握安全域邊界出口設(shè)置情況，自動(dòng)發(fā)現(xiàn)私自部署或者調(diào)整設(shè)備行為，自動(dòng)分析邊界訪問控制策略是否滿足最小化原則。確保安全域劃分的持續(xù)合規(guī)，降低安全域管理的相關(guān)風(fēng)險(xiǎn)。

2 網(wǎng)絡(luò)安全域劃分管理現(xiàn)狀及風(fēng)險(xiǎn)

2.1 現(xiàn)狀

目前，為滿足網(wǎng)絡(luò)邊界安全防護(hù)、等級(jí)保護(hù)以及縱深防御的需要，電信運(yùn)營(yíng)商均遵循安全域劃分及邊界防護(hù)技術(shù)要求，按照業(yè)務(wù)功能和重要性劃分了安全域，在安全域邊界、安全域子域之間部署了防火墻等訪問控制設(shè)備，進(jìn)行數(shù)據(jù)流的訪問控制。通過全網(wǎng)安全域劃分，分等級(jí)對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行集中防護(hù)或者分系統(tǒng)防護(hù)，建立了完善的系統(tǒng)安全域防護(hù)體系。為通信網(wǎng)、業(yè)務(wù)網(wǎng)和網(wǎng)管網(wǎng)提供可靠邊界防護(hù)能力。

在日常網(wǎng)絡(luò)運(yùn)營(yíng)中，業(yè)務(wù)系統(tǒng)管理員根據(jù)運(yùn)維和業(yè)務(wù)實(shí)際需要，對(duì)網(wǎng)絡(luò)互聯(lián)關(guān)系或者邊界進(jìn)行持續(xù)性調(diào)整；當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化或設(shè)備內(nèi)部配置調(diào)整時(shí)，安全域邏輯結(jié)構(gòu)隨之發(fā)生變化。目前，安全域劃分情況主要采取人工方式核查，即基于系統(tǒng)維護(hù)人員提供的安全域規(guī)劃拓?fù)鋱D，判斷安全域劃分是否符合要求。但由于維護(hù)人員提供的信息存在不準(zhǔn)確情況，僅僅依靠人工記錄修正拓?fù)鋱D的方式，很難保證其準(zhǔn)確性、實(shí)時(shí)性、完整性，導(dǎo)致誤判情況經(jīng)常發(fā)生，安全域的安全管理工作難以正常進(jìn)行。

由于缺乏有效的手段準(zhǔn)確呈現(xiàn)安全域劃分情況，加上管理流程執(zhí)行落實(shí)不到位，全網(wǎng)安全域管理成為目前安全管理工作中的薄弱環(huán)節(jié)，主要表現(xiàn)為：

·缺乏安全域變更調(diào)整信息的準(zhǔn)確提供和記錄，維護(hù)人員無法掌握內(nèi)部設(shè)備功能、互聯(lián)需求等基礎(chǔ)信息，失去了判斷安全域健康狀況的一手?jǐn)?shù)據(jù)和判斷能力；

·缺乏有效的手段準(zhǔn)確呈現(xiàn)安全域劃分情況，導(dǎo)致安全域?qū)嶋H劃分情況不可見，無法及時(shí)發(fā)現(xiàn)違反安全域規(guī)定的變更行為；

·由于單純依靠人工方式進(jìn)行管理、檢查，難以實(shí)現(xiàn)精準(zhǔn)、實(shí)時(shí)、全面的安全域管理，無法確保長(zhǎng)期符合安全域劃分標(biāo)準(zhǔn)要求。

2.2 安全域劃分管理風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全域是整個(gè)網(wǎng)絡(luò)安全的基礎(chǔ)，安全域管理的混亂直接導(dǎo)致如下安全風(fēng)險(xiǎn)：

·無法保證長(zhǎng)期符合標(biāo)準(zhǔn)安全域結(jié)構(gòu)要求，各類設(shè)備安全需求不能得到正常保障；

·無合理互聯(lián)需求的子域之間互通，引起攻擊或者惡意代碼流量的廣泛傳播，導(dǎo)致網(wǎng)絡(luò)癱瘓；

·互聯(lián)網(wǎng)或者其他網(wǎng)絡(luò)用戶利用混亂的邊界設(shè)置，直接攻擊該安全域，或者以該安全域作為跳板攻擊其他核心子域，導(dǎo)致“一點(diǎn)攻破、全網(wǎng)皆失”的后果。

電信運(yùn)營(yíng)商的網(wǎng)絡(luò)系統(tǒng)是一個(gè)龐大、復(fù)雜的系統(tǒng)，在業(yè)務(wù)不斷發(fā)展的前提下，如何保證安全域劃分和邊界防護(hù)的持續(xù)合規(guī)，是一個(gè)巨大的挑戰(zhàn)。

基于上述風(fēng)險(xiǎn)，本文設(shè)計(jì)一種針對(duì)電信運(yùn)營(yíng)商安全域的自動(dòng)化核查和分析系統(tǒng)，實(shí)現(xiàn)在網(wǎng)設(shè)備準(zhǔn)確發(fā)現(xiàn)、真實(shí)的安全域拓?fù)鋵徲?jì)、子域之間和安全域之間邊界訪問控制策略自動(dòng)核查，為安全域管理提供一體化的技術(shù)支撐手段，實(shí)現(xiàn)安全域劃分和管理的透明性，保障安全域劃分和防護(hù)控制的持續(xù)合規(guī)，降低安全域管理的風(fēng)險(xiǎn)。

3 安全域合規(guī)自動(dòng)核查系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)

本應(yīng)用設(shè)計(jì)面向支撐整個(gè)安全域的管理工作，立足于全面解決上述主要問題，為安全域拓?fù)渥詣?dòng)還原和展現(xiàn)、設(shè)備變更管理、安全域劃分合規(guī)檢查、各類邊界策略核查提供一體化支撐能力。

3.1 安全域管理模型和功能架構(gòu)設(shè)計(jì)

如圖1所示，筆者基于PDCA循環(huán)理念設(shè)計(jì)了安全域管理模型，通過plan階段的策略管理、do階段的現(xiàn)網(wǎng)數(shù)據(jù)收集、check階段的綜合分析和action階段的響應(yīng)處理，進(jìn)行閉環(huán)和循環(huán)管理，實(shí)現(xiàn)安全域管理問題的及時(shí)發(fā)現(xiàn)和整改，保持安全域的持續(xù)合規(guī)。

如圖2所示，筆者基于安全域管理模型，采用分層低耦合架構(gòu)設(shè)計(jì)安全域合規(guī)自動(dòng)核查系統(tǒng)的功能框架。

網(wǎng)絡(luò)安全域自動(dòng)核查系統(tǒng)按照采集層、分析層和展現(xiàn)層進(jìn)行設(shè)計(jì)。

·采集層：實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備信息的自動(dòng)采集。

·分析層：通過信息標(biāo)準(zhǔn)化處理，實(shí)現(xiàn)安全域拓?fù)溥€原、安全域劃分核查、防火墻策略核查和在網(wǎng)設(shè)備自動(dòng)發(fā)現(xiàn)。

·展現(xiàn)層：提供安全域信息管理、安全域核查結(jié)果展現(xiàn)，并提供安全域合規(guī)問題閉環(huán)整改。

通過技術(shù)手段，結(jié)合配套管理流程，實(shí)現(xiàn)安全域管理工作過程的閉環(huán)和持續(xù)管理。下文對(duì)安全域合規(guī)自動(dòng)核查系統(tǒng)的關(guān)鍵設(shè)計(jì)進(jìn)行說明。

圖1 安全域合規(guī)管理模型示意

圖2 安全域合規(guī)自動(dòng)核查系統(tǒng)功能架構(gòu)

3.2 網(wǎng)絡(luò)信息采集設(shè)計(jì)

網(wǎng)絡(luò)信息采集模塊利用Telnet、SSH等手段，通過登錄交換機(jī)、路由器、防火墻和主機(jī)等設(shè)備采集如下信息。

·采集與設(shè)備發(fā)現(xiàn)和網(wǎng)絡(luò)拓?fù)溥€原相關(guān)的信息：包括設(shè)備ARP信息、設(shè)備MAC地址信息、設(shè)備路由信息、設(shè)備接口信息、設(shè)備配置信息等。

·采集防火墻、交換機(jī)上有關(guān)邊界訪問控制策略的信息。

·采集各安全域、各邊界設(shè)備互聯(lián)關(guān)系白名單。

由于涉及不同設(shè)備類型、設(shè)備廠商，采集模塊對(duì)于采集到的原始信息進(jìn)行標(biāo)準(zhǔn)化處理，生成標(biāo)準(zhǔn)化的資產(chǎn)信息表、與拓?fù)溥壿嫹治鲇嘘P(guān)的網(wǎng)絡(luò)設(shè)備互聯(lián)關(guān)系表、路由表、防火墻策略表等列表，為上層的分析功能提供歸一化數(shù)據(jù)。

3.3 安全域合規(guī)分析與展現(xiàn)設(shè)計(jì)

3.3.1 安全對(duì)象核查與確認(rèn)

安全對(duì)象核查是從現(xiàn)網(wǎng)環(huán)境中發(fā)現(xiàn)所有存在的設(shè)備IP地址信息，與安全管控平臺(tái)已接入的資產(chǎn)對(duì)象進(jìn)行比對(duì)，核查現(xiàn)網(wǎng)內(nèi)是否有未接入安全管控平臺(tái)的設(shè)備。

對(duì)于未知的在網(wǎng)設(shè)備，觸發(fā)用戶確認(rèn)、更新、完善安全對(duì)象信息的流程，實(shí)現(xiàn)對(duì)各安全對(duì)象入網(wǎng)、變更、退網(wǎng)等業(yè)務(wù)狀態(tài)的監(jiān)控，支撐安全域管理辦法規(guī)定的管理要求。圖3為安全對(duì)象自動(dòng)發(fā)現(xiàn)與處理流程示意。

3.3.2 安全域拓?fù)浣Y(jié)構(gòu)還原及展現(xiàn)

安全域拓?fù)溥€原通過對(duì)現(xiàn)網(wǎng)中的網(wǎng)絡(luò)設(shè)備和主機(jī)的ARP MAC地址、路由信息、接口信息等配置信息，分析出設(shè)備之間的互聯(lián)關(guān)系，分析內(nèi)容主要包括設(shè)備間連接關(guān)系、設(shè)備上下聯(lián)位置關(guān)系、服務(wù)器VLAN歸屬、雙機(jī)互聯(lián)關(guān)系、二層交換機(jī)分析、邊界設(shè)備和邊界出口?；诖?，實(shí)現(xiàn)安全域邏輯的網(wǎng)絡(luò)拓?fù)涞倪€原。通過對(duì)安全域拓?fù)溥M(jìn)行版本保存，實(shí)現(xiàn)拓?fù)鋱D的版本管理和版本間拓?fù)渥兓闆r對(duì)比。圖4為安全域拓?fù)溥€原效果示意。

圖3 安全對(duì)象自動(dòng)發(fā)現(xiàn)與處理流程

基于安全域邏輯的網(wǎng)絡(luò)拓?fù)?，不同于網(wǎng)管系統(tǒng)中的網(wǎng)絡(luò)拓?fù)涓拍睿饕w現(xiàn)各類系統(tǒng)安全域劃分的子域和邊界概念，體現(xiàn)主機(jī)、網(wǎng)絡(luò)設(shè)備之間的互聯(lián)關(guān)系。

3.3.3 安全域合規(guī)自動(dòng)核查

根據(jù)安全域管理辦法進(jìn)行安全域自動(dòng)核查設(shè)計(jì)，自動(dòng)核查內(nèi)容包括安全域設(shè)備互聯(lián)關(guān)系變更核查、業(yè)務(wù)系統(tǒng)VLAN核查、安全域邊界出口變動(dòng)核查、安全域劃分合規(guī)核查、邊界訪問控制策略核查。

·安全域設(shè)備互聯(lián)關(guān)系變更核查內(nèi)容：資產(chǎn)使用端口數(shù)目變更、端口（接口）IP地址變更、VLAN所擁有端口和IP地址變更、資產(chǎn)之間互聯(lián)關(guān)系變更。

·業(yè)務(wù)系統(tǒng)VLAN核查內(nèi)容：業(yè)務(wù)系統(tǒng)VLAN變更、業(yè)務(wù)系統(tǒng)未劃分為獨(dú)立VLAN。

·安全域邊界出口變動(dòng)核查內(nèi)容：邊界出口數(shù)量變化、邊界出口IP地址變化。

·安全域劃分合規(guī)核查內(nèi)容：通過安全域訪問規(guī)則與互聯(lián)關(guān)系白名單對(duì)比，分析互聯(lián)關(guān)系白名單是否符合安全域管理要求。

·邊界訪問控制策略核查內(nèi)容：策略沖突、策略交叉沖突、策略重復(fù)、策略交叉重復(fù)、目的地IP地址范圍過大、目的地端口范圍過大、超范圍目的端口（包含管理端口）。

3.4 安全域合規(guī)問題整改閉環(huán)處理設(shè)計(jì)

對(duì)于安全域合規(guī)檢查中發(fā)現(xiàn)的各類問題，采取閉環(huán)管理的流程和自動(dòng)化跟蹤的方式，確保每個(gè)安全問題得到及時(shí)和妥善處理。

為實(shí)現(xiàn)安全域合規(guī)問題的強(qiáng)制性處理，通過流程平臺(tái)將問題處理流程化，到達(dá)限定時(shí)間后系統(tǒng)自動(dòng)進(jìn)行復(fù)查。對(duì)復(fù)查不達(dá)標(biāo)的問題按照既定的重復(fù)次數(shù)自動(dòng)重發(fā)工單；對(duì)于整改達(dá)標(biāo)的情況，自動(dòng)出具歷史對(duì)比報(bào)告。

4 安全域合規(guī)自動(dòng)核查系統(tǒng)應(yīng)用效果

安全域合規(guī)自動(dòng)核查系統(tǒng)在省內(nèi)完成兩大高風(fēng)險(xiǎn)系統(tǒng)的安全域拓?fù)浣Y(jié)構(gòu)還原、展現(xiàn)和核查。安全域管理的實(shí)際應(yīng)用效果見表1。

通過系統(tǒng)的持續(xù)應(yīng)用，實(shí)現(xiàn)了精準(zhǔn)、實(shí)時(shí)、全面的安全域管理，有效降低了安全域劃分和訪問控制方面的風(fēng)險(xiǎn)：

·自動(dòng)及時(shí)地發(fā)現(xiàn)違反安全域規(guī)定私自部署或者調(diào)整設(shè)備等行為；

·自動(dòng)分析呈現(xiàn)真實(shí)的安全域拓?fù)浣Y(jié)構(gòu)；

·能夠基于真實(shí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行安全域劃分審計(jì)；

·能夠準(zhǔn)確掌握安全域出口設(shè)置情況；

圖4 安全域拓?fù)溥€原效果

表1 安全域合規(guī)自動(dòng)核查應(yīng)用測(cè)試情況

·自動(dòng)準(zhǔn)確分析邊界訪問控制策略是否實(shí)現(xiàn)了對(duì)應(yīng)合理互聯(lián)需求的最小化；

·有效限制安全域隨意調(diào)整的情況，確保網(wǎng)絡(luò)實(shí)際情況長(zhǎng)期符合安全域劃分標(biāo)準(zhǔn)要求。

通過安全域合規(guī)核查自動(dòng)化的實(shí)現(xiàn)，大大提升了核查效率，并為安全域合規(guī)核查的常態(tài)化和持續(xù)合規(guī)化提供了技術(shù)支撐手段。

5 結(jié)束語

分析了現(xiàn)有網(wǎng)絡(luò)安全域管理的現(xiàn)狀和風(fēng)險(xiǎn)，并結(jié)合通信運(yùn)營(yíng)商的業(yè)務(wù)特點(diǎn)，設(shè)計(jì)了安全域合規(guī)自動(dòng)核查模型和系統(tǒng)。實(shí)現(xiàn)了在網(wǎng)設(shè)備準(zhǔn)確發(fā)現(xiàn)、真實(shí)的安全域拓?fù)湔宫F(xiàn)與合規(guī)審計(jì)、子域之間和安全域之間邊界訪問控制策略審計(jì)等，提供了一體化自動(dòng)核查的支撐能力。為安全管理員和網(wǎng)絡(luò)系統(tǒng)管理員提供了有效的技術(shù)支撐手段，為管理員打造火眼金睛，有效保障安全域管理的持久健康和合規(guī)。

1 邱嵐，譚彬.安全域劃分研究與應(yīng)用.計(jì)算機(jī)安全,2012(6)Qiu L,Tan B.Research and application of security domain.Computer Security,2012(6)

2 中國(guó)移動(dòng)通信集團(tuán)公司.中國(guó)移動(dòng)支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求,2008 China Mobile Communications Corporation.Technical Specification of Secure Domain and Boundary Convergence for Supporting Systems,2008

3 GB/T 25058-2010.信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南,2010 GB/T 25058-2010.Information Security Technology-Implementation Guide for Classified Protection of Information System,2010

4 李萍,于慧龍.大型信息系統(tǒng)安全域劃分和等級(jí)保護(hù).計(jì)算機(jī)安全，2006(7)Li P,Yu H L.Large-scale information systems security domain partitioning and graded protection.Computer Security,2006(7)