网络安全架构演进思路探讨

何 明，刘东鑫，沈 军

（中国电信股份有限公司广州研究院 广州510630）

1 背景

“道高一尺，魔高一丈”，随着网络攻击手段的不断演化，现有网络安全防护架构面临挑战，比较突出的威胁主要是0day漏洞和APT（advanced persistent threat，高级持续性威胁）等新型攻击。当前，由于经济利益的驱动，0day漏洞黑市交易活跃，扩散加速，给网络安全防护带来严峻考验。同时，APT等新型攻击开始盛行，具有极强的隐蔽性和针对性，传统安全防护系统很难防御，美国等发达国家已将APT攻击列入国家网络安全防御战略的重要环节。

与此同时，超宽带网络、云计算、大数据等新技术也对现有网络安全防护架构带来新的安全挑战。首先，面对宽带战略目标人均100 Mbit/s带宽和亿级终端的接入，现有网络安全系统将面临超大规模流量攻击威胁以及海量安全信息挖掘分析的挑战；其次，云计算、大数据等新技术与传统技术有较大区别，网络安全架构需要适应其技术特点和安全需求。

因此，现有网络安全架构需不断演进，以适应网络安全攻击手段的演变以及新技术新应用的安全需求。本文将重点研究APT的安全防御思路以及云计算、大数据等新技术对安全能力的要求，探讨网络安全架构构建需求以及目标架构演进思路和策略。

2 网络安全架构能力需求分析

2.1 APT等新型攻击安全防御思路

以APT为代表的新型攻击具有明确的目标性和长期的行为隐蔽性，主要利用常见软件的0day漏洞、社会工程学等方法在目标企业内部员工的电脑主机中建立攻击支点。由于其往往模拟正常业务流量，因此难以被现有的安全防御系统所检测。

针对APT等新型攻击的特点，网络安全架构应增强主动防御能力，提升对安全事件的智能感知能力、策略自适应能力、纵深防御能力。

（1）主动防御

根据重点资产重点保护的原则，APT安全防御应首先从企业资产的角度分析保护对象，确定可能的APT对象，并将特定的IT资产与其他部分实施差异化的等级保护策略。同时，根据APT的攻击特点采取主动防御手段，降低安全风险。

·通过安全基线控制将常见高频漏洞清除，提高攻击门槛，延缓渗透速度。

·将重要网络流量与普通流量隔离，增加APT攻击者通过侦听窃取数据的难度。

·APT攻击者常在“夜深人静”的时候利用窃取的内部员工账号进行活动，因此应将员工账号的使用情况与其工作时间关联，以快速发现异常账号的活动。

·对应用程序、使用端口、电子邮件等实施基于白名单思想的策略控制：只允许白名单内的应用程序安装、运行，禁止网络端口、目的IP地址跳变的应用程序；只允许白名单指定端口范围内的流量发送；屏蔽垃圾邮件中的URL链接、附件文件，当员工要特别查看某垃圾邮件的完整内容，须向管理员申请并备案。

（2）提升安全感知和自愈能力，及时发现并阻断APT攻击

·在多种查询条件下对流量数据进行可视化分析，及时发现异常行为。

·实现业务流程异常的审计，重点针对业务逻辑和行为进行审计。

·具有安全策略自动分发和配置的手段，发现异常后能动态调整安全策略，阻断攻击。

·纵深防御，提高抗打击能力。

·强化现有安全防御基础设施，提高攻击门槛。

·安全策略统一控制，防止出现安全短板。

·部署蜜罐系统，诱使攻击者进入，拖延其入侵时间，并分析其行为特征，为溯源和针对性安全防护奠定基础。

2.2 云计算、大数据等新技术的安全能力需求

2.2.1 云计算安全能力需求

云计算，尤其是网络虚拟化技术的发展，一方面实现了细颗粒度的计算/网络/存储资源动态管理，另一方面有效提升了网络及业务系统的处理能力，由此对安全提出了更高的防护能力和精细化的动态安全策略要求。

（1）防护能力需求

TRILL、SPB等数据平面虚拟化技术实现了核心交换网络能力的极大扩展，相对应的，安全系统也需要实现云化扩展，提升安全处理能力以满足高性能要求。

传统安全设备主要通过堆叠等方式实现集群部署，受限于主控模块能力，可扩展性较差，无法实现性能的快速提升。建议通过构建安全能力资源池的方式，实现安全系统的高度协同，从而有效提升网络安全性能。

（2）精细化动态安全策略要求

SR-IOV、VEPA、VN-tag等技术将网络管理能力延伸到虚拟机层面，实现计算/网络/存储虚拟资源的动态调配，对于网络安全设备/系统来说，同样需要将安全能力延伸到虚拟机层面。

云计算弹性业务要求快速的虚拟资源部署管理，安全策略也需要随之动态按需变化。传统的安全管理模式下，安全策略相对比较固定，配置速度及灵活性较差，无法适应云计算环境下的快速变化，容易遗留安全漏洞。因此，云计算环境下的安全设备应具备感知虚拟机的位置、状态改变的能力，并实施精细化的动态安全防护策略，从而满足弹性按需服务的要求。

2.2.2 大数据安全能力需求

以Hadoop为代表的大数据分析技术具有分布式存储、大规模并发处理、处理能力向数据移动的特点，要求大数据安全技术也应具备高可扩展性，实现安全策略统一调度、权限安全传递、协同处理能力。

·安全策略在Master节点集中控制、统一调度，并将安全任务分发给各安全控制节点，协同处理。安全控制能力分布于处理节点，随节点灵活扩展。

·计算能力向数据移动过程须确保安全令牌随任务传递的安全性，并具备基于令牌的身份认证、访问控制等安全机制。

·海量数据对数据验证、加密、监控等处理带来挑战，节点应具备协同处理能力。

2.3 网络安全架构能力需求

根据上述对APT等新型攻击防御思路研究以及云计算、大数据等新技术对安全能力的需求分析，网络安全架构应强化高效协同、状态智能感知、资源动态分配的安全理念，加强纵深防御，实现“主动防护、全面预防、快速响应”。

·强化网络和系统自身强壮性，强化边界控制与层次化内部防护，提高攻击门槛。同时，实施等级保护安全策略，实现安全问题的影响范围可控。

·能自动感知全网的网络安全状态、评估网络安全风险，并能对攻击者未来的行为、动作、可能采取的手段以及攻击路径进行预测分析。

·能根据感知的安全威胁和风险分析，动态调整安全策略并能自动下发和配置，保证安全问题得到快速的自动化处理。

·增强分散的网络安全设备的高效协同分析能力，形成对于大规模安全事件的全网协同分析处理能力，提高安全防护效率。

图1 网络安全目标演进架构

3 网络安全架构演进思路及策略

3.1 网络安全目标架构

根据网络安全架构能力需求分析，网络安全目标架构如图1所示。

整个架构分为控制平面和数据平面两个部分，控制平面主要负责实现一体化安全管控能力，分为4个层面。

·安全感知层：收集数据平面中的安全设备/系统、弹性安全能力资源池发送的安全事件、安全漏洞信息，同时掌握安全能力资源现状，为安全能力资源的动态调配奠定基础。

·多维分析层：对接收到的安全信息进行启发式安全风险关联分析，感知全网安全状态和安全态势。由于安全信息的数据来源复杂、信息量大，为提高安全分析速度，需引入大数据等技术提高海量数据处理和分析能力。

·安全视图层：实现全网安全状态、安全态势、安全预警的可视化实时展现，提高安全响应速度。

·智能决策层：根据全网安全状态、安全态势、安全预警分析数据进行智能安全策略决策和管理，对数据平面的安全设备下发安全策略调整指令，并根据需求动态调用弹性安全能力。

数据平面包括安全设备/系统以及弹性安全能力资源池，执行控制平面下发的安全策略，实施边界安全防护和内部安全风险控制。

3.2 演进思路及策略

安全自感知、安全能力高效协同、安全策略自适应的网络安全目标架构不是一蹴而就的，应以“主动防护、全面预防、快速响应”为目标，有重点，分阶段构建。

（1）第一阶段

以多维感知为目标，增强对未知安全威胁和风险的感知能力，提升安全分析精确性，实现网络安全状态、网络安全风险、网络安全态势演化的可视化。本阶段的重点建设工作是：

·基于大数据、复杂网络趋势分析等技术提升安全预警、安全态势分析能力；

·以业务为核心，完善关联分析策略，提高安全分析的精确度。

（2）第二阶段

以高效协同为目标，构建安全能力资源池，强化协同调度能力，实现全网安全能力高效协同处理。本阶段的重点建设工作是：

·整合安全资源，构建安全能力资源池，提升分布式协同调度能力，实现全网联动分析和处理；

·由宏观层面安全控制和数据分离向微观层面设备、应用等安全控制与数据分离延伸，实现安全资源精细化管理和动态调度。

（3）第三阶段

以智能控制为目标，完善策略控制系统，提高策略自适应能力，实现自组织安全决策以及灵活快捷的安全控制。本阶段的重点工作是：基于专家分析技术及智能决策实现安全策略自分析、自分发和自配置，提升全网安全态势的智能化管控能力。

4 结束语

与传统网络安全架构相比，本架构重点在一体化安全管控能力的3个维度上进行了提升。

·安全感知维度的提升。现有的全网安全状态感知技术体系对全网安全设备的数据进行实时收集，面临海量数据的处理和分析等一系列难题。本架构引入大数据和复杂网络趋势分析等技术提高海量数据处理和分析能力。

·高效协同维度的提升。通过将全网安全资源整合成弹性安全资源池，提升分布式协同调度能力，实现全网联动分析和处理。由宏观层面安全控制和数据分离向微观层面设备、应用等安全控制与数据分离延伸，实现安全资源精细化管理和动态调度。

·智能控制维度的提升。提高策略分析决策能力，在感知到异常行为后，策略控制系统可针对性调整安全策略，并自动下发到安全设备进行自配置，提升全网安全态势的智能化管控能力和响应速度。

1 金华敏，王帅.电信运营商如何应对网络安全新挑战.人民邮电，2012-8-9

2 汪来富，沈军，金华敏.电信级云计算平台安全策略研究.电信科学，2011(10):19～23

3 张帅.对APT攻击的检测与防御.信息安全与技术,2011(9):17～19