国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

網(wǎng)絡(luò)安全架構(gòu)演進(jìn)思路探討

2013-02-28 03:05劉東鑫
電信科學(xué) 2013年1期
關(guān)鍵詞:全網(wǎng)安全策略架構(gòu)

何 明,劉東鑫,沈 軍

(中國電信股份有限公司廣州研究院 廣州510630)

1 背景

“道高一尺,魔高一丈”,隨著網(wǎng)絡(luò)攻擊手段的不斷演化,現(xiàn)有網(wǎng)絡(luò)安全防護(hù)架構(gòu)面臨挑戰(zhàn),比較突出的威脅主要是0day漏洞和APT(advanced persistent threat,高級持續(xù)性威脅)等新型攻擊。當(dāng)前,由于經(jīng)濟利益的驅(qū)動,0day漏洞黑市交易活躍,擴散加速,給網(wǎng)絡(luò)安全防護(hù)帶來嚴(yán)峻考驗。同時,APT等新型攻擊開始盛行,具有極強的隱蔽性和針對性,傳統(tǒng)安全防護(hù)系統(tǒng)很難防御,美國等發(fā)達(dá)國家已將APT攻擊列入國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。

與此同時,超寬帶網(wǎng)絡(luò)、云計算、大數(shù)據(jù)等新技術(shù)也對現(xiàn)有網(wǎng)絡(luò)安全防護(hù)架構(gòu)帶來新的安全挑戰(zhàn)。首先,面對寬帶戰(zhàn)略目標(biāo)人均100 Mbit/s帶寬和億級終端的接入,現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)將面臨超大規(guī)模流量攻擊威脅以及海量安全信息挖掘分析的挑戰(zhàn);其次,云計算、大數(shù)據(jù)等新技術(shù)與傳統(tǒng)技術(shù)有較大區(qū)別,網(wǎng)絡(luò)安全架構(gòu)需要適應(yīng)其技術(shù)特點和安全需求。

因此,現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)需不斷演進(jìn),以適應(yīng)網(wǎng)絡(luò)安全攻擊手段的演變以及新技術(shù)新應(yīng)用的安全需求。本文將重點研究APT的安全防御思路以及云計算、大數(shù)據(jù)等新技術(shù)對安全能力的要求,探討網(wǎng)絡(luò)安全架構(gòu)構(gòu)建需求以及目標(biāo)架構(gòu)演進(jìn)思路和策略。

2 網(wǎng)絡(luò)安全架構(gòu)能力需求分析

2.1 APT等新型攻擊安全防御思路

以APT為代表的新型攻擊具有明確的目標(biāo)性和長期的行為隱蔽性,主要利用常見軟件的0day漏洞、社會工程學(xué)等方法在目標(biāo)企業(yè)內(nèi)部員工的電腦主機中建立攻擊支點。由于其往往模擬正常業(yè)務(wù)流量,因此難以被現(xiàn)有的安全防御系統(tǒng)所檢測。

針對APT等新型攻擊的特點,網(wǎng)絡(luò)安全架構(gòu)應(yīng)增強主動防御能力,提升對安全事件的智能感知能力、策略自適應(yīng)能力、縱深防御能力。

(1)主動防御

根據(jù)重點資產(chǎn)重點保護(hù)的原則,APT安全防御應(yīng)首先從企業(yè)資產(chǎn)的角度分析保護(hù)對象,確定可能的APT對象,并將特定的IT資產(chǎn)與其他部分實施差異化的等級保護(hù)策略。同時,根據(jù)APT的攻擊特點采取主動防御手段,降低安全風(fēng)險。

·通過安全基線控制將常見高頻漏洞清除,提高攻擊門檻,延緩滲透速度。

·將重要網(wǎng)絡(luò)流量與普通流量隔離,增加APT攻擊者通過偵聽竊取數(shù)據(jù)的難度。

·APT攻擊者常在“夜深人靜”的時候利用竊取的內(nèi)部員工賬號進(jìn)行活動,因此應(yīng)將員工賬號的使用情況與其工作時間關(guān)聯(lián),以快速發(fā)現(xiàn)異常賬號的活動。

·對應(yīng)用程序、使用端口、電子郵件等實施基于白名單思想的策略控制:只允許白名單內(nèi)的應(yīng)用程序安裝、運行,禁止網(wǎng)絡(luò)端口、目的IP地址跳變的應(yīng)用程序;只允許白名單指定端口范圍內(nèi)的流量發(fā)送;屏蔽垃圾郵件中的URL鏈接、附件文件,當(dāng)員工要特別查看某垃圾郵件的完整內(nèi)容,須向管理員申請并備案。

(2)提升安全感知和自愈能力,及時發(fā)現(xiàn)并阻斷APT攻擊

·在多種查詢條件下對流量數(shù)據(jù)進(jìn)行可視化分析,及時發(fā)現(xiàn)異常行為。

·實現(xiàn)業(yè)務(wù)流程異常的審計,重點針對業(yè)務(wù)邏輯和行為進(jìn)行審計。

·具有安全策略自動分發(fā)和配置的手段,發(fā)現(xiàn)異常后能動態(tài)調(diào)整安全策略,阻斷攻擊。

·縱深防御,提高抗打擊能力。

·強化現(xiàn)有安全防御基礎(chǔ)設(shè)施,提高攻擊門檻。

·安全策略統(tǒng)一控制,防止出現(xiàn)安全短板。

·部署蜜罐系統(tǒng),誘使攻擊者進(jìn)入,拖延其入侵時間,并分析其行為特征,為溯源和針對性安全防護(hù)奠定基礎(chǔ)。

2.2 云計算、大數(shù)據(jù)等新技術(shù)的安全能力需求

2.2.1 云計算安全能力需求

云計算,尤其是網(wǎng)絡(luò)虛擬化技術(shù)的發(fā)展,一方面實現(xiàn)了細(xì)顆粒度的計算/網(wǎng)絡(luò)/存儲資源動態(tài)管理,另一方面有效提升了網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的處理能力,由此對安全提出了更高的防護(hù)能力和精細(xì)化的動態(tài)安全策略要求。

(1)防護(hù)能力需求

TRILL、SPB等數(shù)據(jù)平面虛擬化技術(shù)實現(xiàn)了核心交換網(wǎng)絡(luò)能力的極大擴展,相對應(yīng)的,安全系統(tǒng)也需要實現(xiàn)云化擴展,提升安全處理能力以滿足高性能要求。

傳統(tǒng)安全設(shè)備主要通過堆疊等方式實現(xiàn)集群部署,受限于主控模塊能力,可擴展性較差,無法實現(xiàn)性能的快速提升。建議通過構(gòu)建安全能力資源池的方式,實現(xiàn)安全系統(tǒng)的高度協(xié)同,從而有效提升網(wǎng)絡(luò)安全性能。

(2)精細(xì)化動態(tài)安全策略要求

SR-IOV、VEPA、VN-tag等技術(shù)將網(wǎng)絡(luò)管理能力延伸到虛擬機層面,實現(xiàn)計算/網(wǎng)絡(luò)/存儲虛擬資源的動態(tài)調(diào)配,對于網(wǎng)絡(luò)安全設(shè)備/系統(tǒng)來說,同樣需要將安全能力延伸到虛擬機層面。

云計算彈性業(yè)務(wù)要求快速的虛擬資源部署管理,安全策略也需要隨之動態(tài)按需變化。傳統(tǒng)的安全管理模式下,安全策略相對比較固定,配置速度及靈活性較差,無法適應(yīng)云計算環(huán)境下的快速變化,容易遺留安全漏洞。因此,云計算環(huán)境下的安全設(shè)備應(yīng)具備感知虛擬機的位置、狀態(tài)改變的能力,并實施精細(xì)化的動態(tài)安全防護(hù)策略,從而滿足彈性按需服務(wù)的要求。

2.2.2 大數(shù)據(jù)安全能力需求

以Hadoop為代表的大數(shù)據(jù)分析技術(shù)具有分布式存儲、大規(guī)模并發(fā)處理、處理能力向數(shù)據(jù)移動的特點,要求大數(shù)據(jù)安全技術(shù)也應(yīng)具備高可擴展性,實現(xiàn)安全策略統(tǒng)一調(diào)度、權(quán)限安全傳遞、協(xié)同處理能力。

·安全策略在Master節(jié)點集中控制、統(tǒng)一調(diào)度,并將安全任務(wù)分發(fā)給各安全控制節(jié)點,協(xié)同處理。安全控制能力分布于處理節(jié)點,隨節(jié)點靈活擴展。

·計算能力向數(shù)據(jù)移動過程須確保安全令牌隨任務(wù)傳遞的安全性,并具備基于令牌的身份認(rèn)證、訪問控制等安全機制。

·海量數(shù)據(jù)對數(shù)據(jù)驗證、加密、監(jiān)控等處理帶來挑戰(zhàn),節(jié)點應(yīng)具備協(xié)同處理能力。

2.3 網(wǎng)絡(luò)安全架構(gòu)能力需求

根據(jù)上述對APT等新型攻擊防御思路研究以及云計算、大數(shù)據(jù)等新技術(shù)對安全能力的需求分析,網(wǎng)絡(luò)安全架構(gòu)應(yīng)強化高效協(xié)同、狀態(tài)智能感知、資源動態(tài)分配的安全理念,加強縱深防御,實現(xiàn)“主動防護(hù)、全面預(yù)防、快速響應(yīng)”。

·強化網(wǎng)絡(luò)和系統(tǒng)自身強壯性,強化邊界控制與層次化內(nèi)部防護(hù),提高攻擊門檻。同時,實施等級保護(hù)安全策略,實現(xiàn)安全問題的影響范圍可控。

·能自動感知全網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)、評估網(wǎng)絡(luò)安全風(fēng)險,并能對攻擊者未來的行為、動作、可能采取的手段以及攻擊路徑進(jìn)行預(yù)測分析。

·能根據(jù)感知的安全威脅和風(fēng)險分析,動態(tài)調(diào)整安全策略并能自動下發(fā)和配置,保證安全問題得到快速的自動化處理。

·增強分散的網(wǎng)絡(luò)安全設(shè)備的高效協(xié)同分析能力,形成對于大規(guī)模安全事件的全網(wǎng)協(xié)同分析處理能力,提高安全防護(hù)效率。

圖1 網(wǎng)絡(luò)安全目標(biāo)演進(jìn)架構(gòu)

3 網(wǎng)絡(luò)安全架構(gòu)演進(jìn)思路及策略

3.1 網(wǎng)絡(luò)安全目標(biāo)架構(gòu)

根據(jù)網(wǎng)絡(luò)安全架構(gòu)能力需求分析,網(wǎng)絡(luò)安全目標(biāo)架構(gòu)如圖1所示。

整個架構(gòu)分為控制平面和數(shù)據(jù)平面兩個部分,控制平面主要負(fù)責(zé)實現(xiàn)一體化安全管控能力,分為4個層面。

·安全感知層:收集數(shù)據(jù)平面中的安全設(shè)備/系統(tǒng)、彈性安全能力資源池發(fā)送的安全事件、安全漏洞信息,同時掌握安全能力資源現(xiàn)狀,為安全能力資源的動態(tài)調(diào)配奠定基礎(chǔ)。

·多維分析層:對接收到的安全信息進(jìn)行啟發(fā)式安全風(fēng)險關(guān)聯(lián)分析,感知全網(wǎng)安全狀態(tài)和安全態(tài)勢。由于安全信息的數(shù)據(jù)來源復(fù)雜、信息量大,為提高安全分析速度,需引入大數(shù)據(jù)等技術(shù)提高海量數(shù)據(jù)處理和分析能力。

·安全視圖層:實現(xiàn)全網(wǎng)安全狀態(tài)、安全態(tài)勢、安全預(yù)警的可視化實時展現(xiàn),提高安全響應(yīng)速度。

·智能決策層:根據(jù)全網(wǎng)安全狀態(tài)、安全態(tài)勢、安全預(yù)警分析數(shù)據(jù)進(jìn)行智能安全策略決策和管理,對數(shù)據(jù)平面的安全設(shè)備下發(fā)安全策略調(diào)整指令,并根據(jù)需求動態(tài)調(diào)用彈性安全能力。

數(shù)據(jù)平面包括安全設(shè)備/系統(tǒng)以及彈性安全能力資源池,執(zhí)行控制平面下發(fā)的安全策略,實施邊界安全防護(hù)和內(nèi)部安全風(fēng)險控制。

3.2 演進(jìn)思路及策略

安全自感知、安全能力高效協(xié)同、安全策略自適應(yīng)的網(wǎng)絡(luò)安全目標(biāo)架構(gòu)不是一蹴而就的,應(yīng)以“主動防護(hù)、全面預(yù)防、快速響應(yīng)”為目標(biāo),有重點,分階段構(gòu)建。

(1)第一階段

以多維感知為目標(biāo),增強對未知安全威脅和風(fēng)險的感知能力,提升安全分析精確性,實現(xiàn)網(wǎng)絡(luò)安全狀態(tài)、網(wǎng)絡(luò)安全風(fēng)險、網(wǎng)絡(luò)安全態(tài)勢演化的可視化。本階段的重點建設(shè)工作是:

·基于大數(shù)據(jù)、復(fù)雜網(wǎng)絡(luò)趨勢分析等技術(shù)提升安全預(yù)警、安全態(tài)勢分析能力;

·以業(yè)務(wù)為核心,完善關(guān)聯(lián)分析策略,提高安全分析的精確度。

(2)第二階段

以高效協(xié)同為目標(biāo),構(gòu)建安全能力資源池,強化協(xié)同調(diào)度能力,實現(xiàn)全網(wǎng)安全能力高效協(xié)同處理。本階段的重點建設(shè)工作是:

·整合安全資源,構(gòu)建安全能力資源池,提升分布式協(xié)同調(diào)度能力,實現(xiàn)全網(wǎng)聯(lián)動分析和處理;

·由宏觀層面安全控制和數(shù)據(jù)分離向微觀層面設(shè)備、應(yīng)用等安全控制與數(shù)據(jù)分離延伸,實現(xiàn)安全資源精細(xì)化管理和動態(tài)調(diào)度。

(3)第三階段

以智能控制為目標(biāo),完善策略控制系統(tǒng),提高策略自適應(yīng)能力,實現(xiàn)自組織安全決策以及靈活快捷的安全控制。本階段的重點工作是:基于專家分析技術(shù)及智能決策實現(xiàn)安全策略自分析、自分發(fā)和自配置,提升全網(wǎng)安全態(tài)勢的智能化管控能力。

4 結(jié)束語

與傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)相比,本架構(gòu)重點在一體化安全管控能力的3個維度上進(jìn)行了提升。

·安全感知維度的提升?,F(xiàn)有的全網(wǎng)安全狀態(tài)感知技術(shù)體系對全網(wǎng)安全設(shè)備的數(shù)據(jù)進(jìn)行實時收集,面臨海量數(shù)據(jù)的處理和分析等一系列難題。本架構(gòu)引入大數(shù)據(jù)和復(fù)雜網(wǎng)絡(luò)趨勢分析等技術(shù)提高海量數(shù)據(jù)處理和分析能力。

·高效協(xié)同維度的提升。通過將全網(wǎng)安全資源整合成彈性安全資源池,提升分布式協(xié)同調(diào)度能力,實現(xiàn)全網(wǎng)聯(lián)動分析和處理。由宏觀層面安全控制和數(shù)據(jù)分離向微觀層面設(shè)備、應(yīng)用等安全控制與數(shù)據(jù)分離延伸,實現(xiàn)安全資源精細(xì)化管理和動態(tài)調(diào)度。

·智能控制維度的提升。提高策略分析決策能力,在感知到異常行為后,策略控制系統(tǒng)可針對性調(diào)整安全策略,并自動下發(fā)到安全設(shè)備進(jìn)行自配置,提升全網(wǎng)安全態(tài)勢的智能化管控能力和響應(yīng)速度。

1 金華敏,王帥.電信運營商如何應(yīng)對網(wǎng)絡(luò)安全新挑戰(zhàn).人民郵電,2012-8-9

2 汪來富,沈軍,金華敏.電信級云計算平臺安全策略研究.電信科學(xué),2011(10):19~23

3 張帥.對APT攻擊的檢測與防御.信息安全與技術(shù),2011(9):17~19

猜你喜歡
全網(wǎng)安全策略架構(gòu)
基于FPGA的RNN硬件加速架構(gòu)
《唐宮夜宴》火遍全網(wǎng)的背后
功能架構(gòu)在電子電氣架構(gòu)開發(fā)中的應(yīng)用和實踐
基于飛行疲勞角度探究民航飛行員飛行安全策略
雙十一帶貨6500萬,他憑什么?——靠一句“把價格打下來”,牛肉哥火遍全網(wǎng)
基于云服務(wù)的圖書館IT架構(gòu)
電力系統(tǒng)全網(wǎng)一體化暫態(tài)仿真接口技術(shù)
一種防火墻安全策略沖突檢測方法*
淺析涉密信息系統(tǒng)安全策略
WebGIS架構(gòu)下的地理信息系統(tǒng)構(gòu)建研究