Visual management platform based on network security policy
-
摘要: 为实现网络安全策略可视化、精细化和集中化管理,并将网络安全策略自动化管理融入日常网络运行维护(简称:运维)工作中,文章分别从网络安全视角和工作流程视角,研究网络安全策略优化清理技术、安全拓扑域管理技术、建模与分析技术及策略应急处置技术,构建基于网络安全策略的可视化管理平台。该平台提供快速检测不合规安全策略及实时监测网络防火墙状态等功能。在运维管理工作中的实际应用表明,该平台可确保网络安全策略满足合规管理要求与安全控制要求,实现网络安全策略持续合规运维,提高防火墙的应用效果与网络安全防御的整体水平。Abstract: In order to implement the visualization, refinement and centralized management of network security policies, and integrate the automatic management of network security policies into the daily network operation and maintenance work, this paper respectively from the perspective of network security and workflow studied the optimization and cleaning technology of network security policies, security topology domain management technology, modeling and analysis technology, and strategy emergency response technology, built a visual management platform based on network security policy. The platform provided functions such as rapid detection of non compliant security policies and real-time monitoring of network firewall status. The practical application in operation and maintenance management shows that the platform can ensure that network security policies meet the requirements of compliance management and security control, achieve continuous compliance operation and maintenance of network security policies, and improve the application effect of firewall and the overall level of network security defense.
-
随着我国铁路信息化建设的快速发展,计算机网络规模越来越大,网络安全的重要性与日俱增,网络安全策略配置和管理工作中出现策略规则数量增加、效果评估难以完成及合规性难以保证等现象[1]。因此,许多学者对网络安全策略管理进行了研究。周映等人[2]提出动态自适应网络安全防御系统,通过对网络攻击行为进行动态响应,实现对网络攻击的动态安全防御;李泓杉等人[3]分析金融业在网络安全与信息安全方面出现的问题,提出了进一步完善金融行业网络信息安全的防御体系;高智强等人[4]通过改进蜉蝣算法,优化了其在防火墙策略配置中的应用。但已有方案仍然存在管理颗粒度过粗、防火墙兼容性和墙间策略不统一等问题。
基于上述问题,本文构建基于网络安全策略的可视化管理平台,从网络安全视角实现对网络访问权限的风险分析、访问路径可视化、安全策略可视化和用户业务权限管理,增强网络安全防护能力。
1 平台构建
1.1 平台部署
根据既有理论和实际部署经验,将网络安全策略可视化管理平台部署在综合信息网内,旁挂于核心交换机,以保证服务器可访问并读取所有三层设备配置。网络数据由联通、移动、电信等运营商端口输送到负载均衡单元,再通过防火墙过滤到达核心交换机模块。在核心交换机模块接入网络安全策略可视化平台,通过该平台的逻辑拓扑架构、网络安全策略态势感知和报表报告,进一步强化网络安全管理。经网络安全策略判别为合格的信号方可传输至三层交换机,并由其输送至用户客户端,实现基于网络安全策略可视化平台的网络传输。平台部署方案如图1所示。
1.2 总体架构
基于网络安全策略的可视化平台总体架构分为数据交换层、建模分析层、清理运行维护(简称:运维)层和监控呈现层,如图2所示。
1.2.1 数据交换层
数据交换层利用Syslog采集多种防火墙和路由器设备信息,通过SSH/API对交换机、负载均衡设备进行配置采集和配置下发,并将收集的信息交由建模分析层使用,实现网络安全策略数据的自动化收集,为建模分析提供数据支撑。
1.2.2 建模分析层
建模分析层基于自动收集的网络安全策略数据,进行策略分析与检测,包括以下2种方式。
(1)策略分析是对网络节点策略进行查询、统计、检查、收敛和梳理,通过策略分析检测出的隐藏策略、冗余策略、空策略、过期策略、域外策略、宽松策略及未生效对象整理出攻击面,以整个网络(简称:全网)主机为对象,从安全路径角度描述其对外的暴露情况,辅助进行暴露面收敛与路径安全加固;
(2)安全域拓扑管理可辅助网络管理员建立正确的网络访问控制策略规范和基线,并通过技术手段对存量安全策略进行即时或定期的检测,及时发现违规策略,并提供处置建议。
1.2.3 清理运维层
清理运维层是通过对策略报表检测出的问题进行策略风险评估,从而对网络安全策略进行针对性综合配置,包括以下3项主要功能。
(1)策略优化清理:对安全设备进行配置检查和收敛分析,并给出具体的网络安全策略配置建议;
(2)安全风险分析:根据划分的逻辑安全域,提供安全域集中管理、域间安全策略合规检查和网络暴露风险管理;
(3)策略智能运维:通过子网列表进行安全策略工单管理,并提供全网拓扑,进行路径分析和数据预存储,为数据流及路径查询提供依据。
1.2.4 监控呈现层
监控呈现层通过逻辑拓扑架构及策略态势感知,汇集建模分析结果,形成策略报表,并对策略进行汇总和大屏展示。其中,报表报告可提供策略列表、策略检查、策略文本匹配、策略五元组匹配、策略概览等数据的统计功能。报表以Excel的形式展示所选设备上的网络安全策略、网络地址转换(NAT,Network Address Translation)策略、访问控制列表(ACL,Access Control List)策略和策略路由的名称、源域、源网际互连协议(IP,Internet Protocol)、目的域、目的IP、源端口、目的端口和动作中所有条目的详细信息。报表输出信息包括防火墙设备上违反了域间互访合规规则的安全策略列表明细、设备基本信息及策略对象变更统计等。
2 关键技术
本文从网络安全视角,提出安全域拓扑管理技术及策略建模与分析技术。网络安全策略可视化管理平台通过安全分析研究,快速检测不合规安全策略并实时监测网络防火墙状态,研究目前复杂网络下如何进行可视化的网络态势感知,增强网络安全防护能力,更高效快捷地管理既有网络安全设备。
从工作流程视角,提出策略优化清理技术及策略应急处置技术。通过研究网络安全策略的变更业务流程和运维机制,当业务人员提出变更请求,能够自动分析并在相关设备上变更策略,随着关键业务信息网络安全策略的变更,实现各安全域部署设备信息的快速更新和展示。
2.1 策略优化清理技术
隐藏策略指同一策略组内,不管动作是否相同,该策略的协议、IP、端口均为其优先级更高策略的子集;空策略为策略中配置源地址、目标地址、服务对象,但对象内容为空;冗余策略为同一策略集内,该策略的协议、IP、端口均包含比其优先级更高的策略,且动作相同。随着安全设备使用时间增长,若运维人员不固定,后续工作人员不熟悉旧网络安全策略,则很可能误删网络安全策略对象中的数据,产生大量上述问题策略。
基于大数据和机器学习算法的网络安全策略优化,可对设备中的网络安全策略进行秒级优化检查,从而快速找出设备中的各类冗余策略、屏蔽策略、空策略及过期策略,及时发现并规避全网中过于“宽松”的网络安全策略与访问控制策略,从而减少核心业务与数据资产的受攻击面[5]。通过策略优化清理技术可对网络安全策略进行深层分析、精准定位,供运维人员进行甄别处理,有效减少因人工配置错误产生的问题策略。
2.2 安全域拓扑管理技术
安全域与安全拓扑管理子模块用于实现全局访问控制策略关联分析建模,自动生成安全拓扑。由于网络环境中存在多台防火墙,每个防火墙均按照逻辑关系划分出多个安全域,显著增加了运维人员管理网络安全策略的难度。基于安全域拓扑管理技术,平台可提供智能化、自动化的策略开通管理功能,从策略变更工单提交到工单审批、工单推送、策略执行等,都能做到及时跟踪和审核。同时,平台自带策略仿真功能,在工单审批环节可根据全网的网络安全策略现状与访问控制策略基线提供全面的策略变更风险分析报告,协助运维人员快速、有效地完成策略变更,并确保变更内容的准确性。
2.3 策略建模与分析技术
通过策略建模与分析技术对比平台中已知的访问通路,可对计算出的设定规则之外的访问通路进行告警。绘制域间访问关系矩阵图,域间访问关系列表图还可切换黑、白名单模式,具体分析域间I/O策略,对比风险规则库中域间访问风险的内置规则,计算出域间违反规则的通路数量。通过该技术可实现策略查询分析、策略优化检查、策略历史备份与对比、策略命中与收敛分析、策略报表报告等一系列功能,最终实现全网的网络安全策略可控、可看、可管,大幅提升网络安全运维管理效率。
2.4 策略应急处置技术
平台基于策略应急处置技术可实现以下功能:(1)自动识别并定位到与封堵IP相关的防火墙和路由器,实现一键封堵下发、全网同步生效;(2)快速封堵不良IP、遏制超大规模网络攻击,有效保障数据中心基础设施安全,全面提升网络安全防御能力和水平;(3)自动识别并生成封堵脚本,并与安全分析平台、网络管理平台实现联动后,自动定位待封堵的目标设备,达到快速、智能应急封堵,提升数据中心网络安全运营效率。
3 平台应用效果
网络安全策略可视化管理平台已应用于铁路网络安全和信息化建设实践中,取得了以下效果。
3.1 降低防火墙设备风险
本文配置的网络环境有多台防火墙,按不同安全等级形成多个逻辑区域。因各区域防火墙独立运行,网络安全策略动态变化,通过网络安全策略风险分析,对影响网络权限的网络拓扑节点建立从网络安全视角的安全分析拓扑。结合安全域、安全策略、访问路径、业务等与安全相关的数据,分析网络访问权限风险,并从安全管理的角度对网络和业务进行安全风险分析,辅助运维人员降低防火墙设备上具有的安全风险,提高自身安全风险处置能力。
3.2 推动网络安全体系建设
利用汇集的大量网络安全策略数据,进行策略建模,建立标准策略规则库,在运维人员生成配置时,进行安全基线检查,并对不合规配置需求进行提示和告警。通过网络安全技术与硬件进行有机组合[6],形成切实可行的结构化立体安全运维管理体系[7-8],使网络安全运维管理在技术上具备可控性,持续强化网络安全的防护能力部署。
4 结束语
网络安全策略是网络边界第一道安全防线,文章分别从网络安全视角和工作流程视角,研究网络安全策略优化清理技术、安全拓扑域管理技术、建模与分析技术及策略应急处置技术,构建基于网络安全策略的可视化管理平台。该平台已在运维管理工作中得到应用,可确保网络安全策略满足合规管理要求与安全控制要求,实现网络安全策略持续合规运维,提高防火墙的应用效果与网络安全防御的整体水平。
-
[1] 张晓东,朱洪刚. 探析网络安全管理防火墙存在的问题及改善策略 [J]. 网络安全技术与应用,2019(11):10-11. [2] 周 映,吴 章,杨梓涛,等. 基于欺骗防御的动态自适应网络安全防御研究 [J]. 工业信息安全,2022(3):54-60. [3] 李泓杉,康埕铭,王 钰,等. 构建金融行业网络安全策略研究 [J]. 内蒙古科技与经济,2022(10):88-89. [4] 高智强,张亚加,邱啟蒙,等. 改进蜉蝣算法及其在防火墙策略配置中的应用 [J]. 陕西理工大学学报(自然科学版),2022,38(2):41-48. [5] 迟克群. 大数据背景下计算机网络安全策略分析 [J]. 网络安全技术与应用,2022(5):168-169. [6] 张 勇. 基于异构网络安全设备的管理平台构建 [J]. 信息安全与技术,2012,3(11):45-47. [7] 郭晓宇. 企业信息网络安全管理的建设与运维研究 [J]. 现代信息科技,2022,6(6):133-135,140. [8] 张雅琴,李 鸥. 面向安全设备的网络安全管理平台 [J]. 微计算机信息,2006(27):119-121. -
期刊类型引用(4)
1. 项卫山,赵建伟,赵光. 基于LSTM的数据中台多目标监测优化研究. 粘接. 2024(09): 137-140 . 
百度学术
2. 黄宗伟. 数据中心网络中基于SDN的大象流负载均衡的研究. 长江信息通信. 2023(01): 189-191 . 百度学术
3. 孙洁. 基于大数据分析的嵌入式软件测试系统设计. 自动化与仪器仪表. 2023(02): 209-212+217 . 百度学术
4. 李炜. 基于队列迁移的数据中心紧急任务动态调度方法. 华东交通大学学报. 2022(02): 118-125 . 百度学术
其他类型引用(1)
下载:
计量
- 文章访问数: 126
- HTML全文浏览量: 116
- PDF下载量: 45
- 被引次数: 5
