肖堯軒，牟 舵，秦澤寧，郭冬寶

(水利部珠江水利委員會(huì)珠江水利綜合技術(shù)中心，廣東 廣州 510611)

隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等法律法規(guī)和相關(guān)要求的出臺(tái)，以及網(wǎng)絡(luò)規(guī)模逐漸復(fù)雜化、信息基礎(chǔ)設(shè)施逐漸多樣化以及虛擬化、云計(jì)算技術(shù)等新一代信息技術(shù)的不斷發(fā)展，水利傳統(tǒng)網(wǎng)絡(luò)架構(gòu)和安全防護(hù)手段在主動(dòng)性、協(xié)同性以及管控性等方面的局限日益凸顯。

目前，軟件定義網(wǎng)絡(luò)(Software Defined Networks，SDN)作為新型的網(wǎng)絡(luò)架構(gòu)，通過(guò)使控制平面和數(shù)據(jù)平面有效分離，實(shí)現(xiàn)網(wǎng)絡(luò)的操作自動(dòng)化和可編程性，有效彌補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)過(guò)于扁平化的弊端[1]。水利部網(wǎng)絡(luò)通過(guò)SDN升級(jí)改造，使服務(wù)器區(qū)具有了網(wǎng)絡(luò)流量統(tǒng)一管理調(diào)度、集中控制、云資源統(tǒng)一編排、簡(jiǎn)化運(yùn)維工作等特點(diǎn)[2]。在SDN網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上研究者及廠商提出了軟件定義安全(Software Defined Securtity,SDS)的網(wǎng)絡(luò)安全防御架構(gòu)，它繼承了軟件定義網(wǎng)絡(luò)架構(gòu)中控制平面和數(shù)據(jù)平面分離的特點(diǎn)，安全應(yīng)用程序可以靈活地指導(dǎo)定制流的轉(zhuǎn)發(fā)，通過(guò)添加安全組件或修改安全應(yīng)用程序邏輯即可完成安全服務(wù)在線優(yōu)化升級(jí)，實(shí)現(xiàn)安全設(shè)備及防御策略的高效管理[3]。劉文懋等[4]將安全功能從SDN控制器轉(zhuǎn)移到專(zhuān)用的安全應(yīng)用和安全控制器，可以更新有效抵御SDN和虛擬化環(huán)境中的各類(lèi)攻擊；郭春梅等[5]分析了虛擬化和實(shí)體安全設(shè)備結(jié)合的安全防御體系面臨的問(wèn)題，并提出了軟件定義安全模型及關(guān)鍵技術(shù)。Kim 等[6]利用SDN和NFV技術(shù)為物聯(lián)網(wǎng)環(huán)境提供集中的安全管理，并在實(shí)際的攻擊場(chǎng)景中驗(yàn)證了該方法的有效性。

目前基于軟件定義安全技術(shù)相對(duì)成熟，在公安、電力、銀行、通信等行業(yè)已發(fā)揮較好的效果，但還未見(jiàn)其應(yīng)用于水利行業(yè)中[7-9]。因此，本文旨在結(jié)合水利行業(yè)無(wú)時(shí)無(wú)刻的網(wǎng)絡(luò)安全需求、風(fēng)險(xiǎn)和威脅，基于該架構(gòu)設(shè)計(jì)一種水利網(wǎng)絡(luò)安全協(xié)同防御體系，及時(shí)檢測(cè)網(wǎng)絡(luò)攻擊行為，動(dòng)態(tài)確定安全基線，提供合理有效的安全策略，主動(dòng)預(yù)防且阻斷相應(yīng)的惡意攻擊，從而實(shí)現(xiàn)全局管控、自主決策和主動(dòng)防御的目標(biāo)。

1 水利網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀及問(wèn)題

1.1 水利網(wǎng)絡(luò)安全防護(hù)流程

水利網(wǎng)絡(luò)安全防護(hù)體系建設(shè)根據(jù)不同業(yè)務(wù)對(duì)網(wǎng)絡(luò)安全需求的差異分別部署配置安全設(shè)備和管控策略，從物理環(huán)境、計(jì)算環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、可信認(rèn)證、運(yùn)維審計(jì)、管理制度、管理機(jī)構(gòu)、技術(shù)人員等方面加強(qiáng)安全管控。目前，水利網(wǎng)絡(luò)安全日常防護(hù)流程一般包括監(jiān)測(cè)預(yù)警、應(yīng)急處置、分析排查、核實(shí)確認(rèn)、恢復(fù)服務(wù)以及事件總結(jié)等步驟，見(jiàn)圖1。

具體流程如下：首先借助安全監(jiān)測(cè)設(shè)備開(kāi)展安全攻擊事件實(shí)時(shí)監(jiān)測(cè)預(yù)警；發(fā)現(xiàn)問(wèn)題及時(shí)采取應(yīng)急處置，對(duì)高危IP進(jìn)行封堵并聯(lián)系相關(guān)人員；利用安全感知平臺(tái)、網(wǎng)絡(luò)回溯分析系統(tǒng)、日志審計(jì)系統(tǒng)等設(shè)備排查事件起因、經(jīng)過(guò)和影響，形成排查分析報(bào)告；然后將事件分析結(jié)果上報(bào)領(lǐng)導(dǎo)，并與事件相關(guān)人員進(jìn)行核實(shí)；事件風(fēng)險(xiǎn)經(jīng)核實(shí)確認(rèn)已排除后，依次開(kāi)放訪問(wèn)權(quán)限和恢復(fù)服務(wù)，最后將事件處置全流程進(jìn)行記錄和總結(jié)，同時(shí)全面進(jìn)行隱患排查和防護(hù)加固。

1.2 水利網(wǎng)絡(luò)安全架構(gòu)

水利行業(yè)部門(mén)多數(shù)采用傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)和安全架構(gòu)，按照分區(qū)分域原則，將網(wǎng)絡(luò)大致劃分為業(yè)務(wù)應(yīng)用區(qū)、安全管理區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、公共服務(wù)區(qū)、辦公終端區(qū)等[10-11]。除了各區(qū)應(yīng)有的防火墻等安全設(shè)備外，其他主要的安全設(shè)備均部署在安全管理區(qū)，包括APT、漏洞掃描、日志管理系統(tǒng)、態(tài)勢(shì)感知系統(tǒng)、運(yùn)維平臺(tái)、網(wǎng)絡(luò)審計(jì)、入侵檢測(cè)等，安全管理區(qū)通過(guò)防火墻與核心交換機(jī)相連接，各安全設(shè)備均有一套獨(dú)立管理系統(tǒng)。水利部本級(jí)機(jī)關(guān)網(wǎng)絡(luò)突破了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，在服務(wù)器區(qū)旁掛SDN控制器，借助物理網(wǎng)元通信控制服務(wù)器區(qū)和互聯(lián)網(wǎng)服務(wù)區(qū)，為后續(xù)網(wǎng)絡(luò)安全資源池化奠定了一定的基礎(chǔ)。

1.3 水利網(wǎng)絡(luò)安全存在問(wèn)題

近幾年，國(guó)家和水利部對(duì)網(wǎng)絡(luò)安全高度重視，通過(guò)出臺(tái)網(wǎng)絡(luò)安全相關(guān)法律、修定等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)以及水利網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練等舉措，使水利行業(yè)網(wǎng)絡(luò)安全水平得到較大提升，但是隨著網(wǎng)絡(luò)設(shè)備復(fù)雜化、網(wǎng)絡(luò)攻擊手段多樣化，水利行業(yè)網(wǎng)絡(luò)安全防護(hù)能力仍然存在短板，具體如下。

a)網(wǎng)絡(luò)安全主動(dòng)響應(yīng)能力不足。多數(shù)水利部門(mén)已部署態(tài)勢(shì)感知平臺(tái)、APT預(yù)警平臺(tái)以及防火墻系統(tǒng)等設(shè)備，能對(duì)外來(lái)攻擊及時(shí)作出預(yù)警、研判、事件處置，但監(jiān)測(cè)預(yù)警機(jī)制仍停留在被動(dòng)防御，發(fā)現(xiàn)問(wèn)題后需要人工進(jìn)行分析。并且從公安部、水利部組織的多次攻防演練結(jié)果表明，針對(duì)網(wǎng)絡(luò)安全威脅往往無(wú)法追溯到源頭，安全應(yīng)急處理依舊被動(dòng)。同時(shí)，網(wǎng)絡(luò)安全防護(hù)是動(dòng)態(tài)的過(guò)程，設(shè)備的優(yōu)化配置、聯(lián)動(dòng)響應(yīng)及運(yùn)行維護(hù)尤其重要，水利行政主管部門(mén)與下屬單位還沒(méi)有形成整體協(xié)同防御體系，水利行業(yè)協(xié)同防守合力還需進(jìn)一步強(qiáng)化。

b)安全設(shè)備利用率低。水利行業(yè)安全設(shè)備類(lèi)似“糖葫蘆串”部署，設(shè)備來(lái)自不同廠商，策略復(fù)雜、部署繁瑣，各設(shè)備之間利用率低，大量的物理設(shè)備會(huì)占據(jù)寶貴空間；并且重要安全防護(hù)設(shè)備均有一套獨(dú)立的運(yùn)維系統(tǒng)，導(dǎo)致監(jiān)測(cè)到的數(shù)據(jù)成為數(shù)據(jù)孤島，無(wú)法發(fā)揮設(shè)備聯(lián)動(dòng)能力和價(jià)值。

c)網(wǎng)絡(luò)安全防護(hù)壓力大。近年來(lái)各級(jí)水利部門(mén)積極響應(yīng)建設(shè)智慧水利的號(hào)召，開(kāi)發(fā)了大量業(yè)務(wù)應(yīng)用，導(dǎo)致數(shù)據(jù)規(guī)模、系統(tǒng)數(shù)量、網(wǎng)絡(luò)性能等要求越來(lái)越高。信息化應(yīng)用已由主要提供本行業(yè)支撐，轉(zhuǎn)變?yōu)闉樗?、環(huán)保、應(yīng)急、自然資源、社會(huì)等眾多領(lǐng)域交叉提供服務(wù)，網(wǎng)絡(luò)邊界變得模糊化，導(dǎo)致網(wǎng)絡(luò)安全防護(hù)壓力隨之劇增。

d)虛擬化防護(hù)無(wú)法個(gè)性化定制。水利行業(yè)部署了不少虛擬化基礎(chǔ)平臺(tái)，雖然根據(jù)等級(jí)保護(hù)2.0關(guān)于云計(jì)算的擴(kuò)展要求，增加了虛擬化安全防護(hù)[12]，但還是面臨用戶粗粒度安全服務(wù)，難以滿足個(gè)性化定制安全策略，防護(hù)效果不佳。

2 基于軟件定義安全的水利網(wǎng)絡(luò)安全協(xié)同防御體系構(gòu)建

2.1 軟件定義安全總體架構(gòu)

軟件定義網(wǎng)絡(luò)(SDN)架構(gòu)針對(duì)網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備，將原本數(shù)據(jù)轉(zhuǎn)發(fā)和控制緊密耦合的狀態(tài)，轉(zhuǎn)變成數(shù)據(jù)平面和控制平面分離，數(shù)據(jù)平面由完全受控的轉(zhuǎn)發(fā)設(shè)備構(gòu)成，控制平面由數(shù)據(jù)轉(zhuǎn)發(fā)和相關(guān)業(yè)務(wù)邏輯的控制組成。而軟件定義安全(SDS)架構(gòu)在軟件定義的思想上針對(duì)安全設(shè)備，強(qiáng)調(diào)將安全控制平面上移，借助SDN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)流量的調(diào)度，結(jié)合NFV技術(shù)使安全設(shè)備控制與轉(zhuǎn)發(fā)分離，更靈活的管理安全資源。通過(guò)以上技術(shù)的結(jié)合，可以有效地簡(jiǎn)化安全設(shè)備部署難度，利于搭建安全防護(hù)解決方案。

針對(duì)水利行業(yè)網(wǎng)絡(luò)安全突出問(wèn)題，設(shè)計(jì)基于軟件定義安全的水利網(wǎng)絡(luò)安全協(xié)同防御體系。首先將網(wǎng)絡(luò)安全設(shè)備與其調(diào)用方法、接入接口、安全防護(hù)能力有效分離，抽象為安全資源池[13]；構(gòu)建安全控制器，通過(guò)在SDN控制器中增加安全控制代理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的控制，同時(shí)連接云計(jì)算管理平臺(tái)，共同形成安全控制平臺(tái)，根據(jù)具體業(yè)務(wù)需求動(dòng)態(tài)調(diào)整、調(diào)用資源池安全能力；設(shè)計(jì)編排單個(gè)或多個(gè)安全應(yīng)用，滿足水利網(wǎng)絡(luò)安全防御的功能定制。總體架構(gòu)見(jiàn)圖2，主要由安全資源池、數(shù)據(jù)轉(zhuǎn)發(fā)層、安全控制平臺(tái)以及安全應(yīng)用層4個(gè)部分組成。

圖2 基于軟件定義安全的水利網(wǎng)絡(luò)安全協(xié)同防御體系架構(gòu)

2.2 安全資源池

水利行業(yè)部門(mén)當(dāng)前購(gòu)置的安全產(chǎn)品多為軟硬件一體化設(shè)備，安全資源池可以打破以往的傳統(tǒng)架構(gòu)枷鎖，使安全產(chǎn)品既可以是傳統(tǒng)物理形態(tài)也可以是虛擬化形態(tài)。圖3所示，借助NFV架構(gòu)中的基礎(chǔ)設(shè)施層方案，虛擬層將設(shè)備功能實(shí)體與底層硬件邏輯分離形成多個(gè)虛擬化安全資源，實(shí)現(xiàn)安全產(chǎn)品系統(tǒng)運(yùn)行在通用服務(wù)器的虛擬環(huán)境中。

圖3 安全設(shè)備軟硬件解耦

由于不同廠商的產(chǎn)品功能、工作模式、部署方法均不相同，表1所示，通過(guò)歸納不同安全產(chǎn)品的共性構(gòu)建通用接口，主要包括基本信息接口、配置接口、策略接口以及日志接口，安全控制平臺(tái)調(diào)用接口即可獲取安全資源池能力[14]。

表1 通用應(yīng)用接口

2.3 數(shù)據(jù)轉(zhuǎn)發(fā)層

數(shù)據(jù)轉(zhuǎn)發(fā)層根據(jù)流表處理所有的出入流量，起到數(shù)據(jù)轉(zhuǎn)發(fā)的作用。主要由Openflow交換機(jī)、路由器等網(wǎng)絡(luò)交換設(shè)備組成，OpenFlow交換設(shè)備不再自主地進(jìn)行地址學(xué)習(xí)和選路，而是僅能按照安全控制平臺(tái)的流表進(jìn)行分組轉(zhuǎn)發(fā)。安全設(shè)備與數(shù)據(jù)轉(zhuǎn)發(fā)層相連接，就可以通過(guò)對(duì)流量的控制，決定是否經(jīng)過(guò)某個(gè)安全設(shè)備，從而實(shí)現(xiàn)安全設(shè)備的優(yōu)化調(diào)整。

2.4 安全控制平臺(tái)

安全控制平臺(tái)負(fù)責(zé)整個(gè)協(xié)同防御體系的核心，負(fù)責(zé)管理、協(xié)調(diào)和控制。圖2所示，安全控制平臺(tái)由安全控制器、SDN網(wǎng)絡(luò)控制器、云計(jì)算管理平臺(tái)等組成。

安全控制器北向與安全應(yīng)用層連接，為應(yīng)用提供可編程的安全接口，南向通過(guò)數(shù)據(jù)轉(zhuǎn)發(fā)層和安全資源池提供安全資源能力，東西向以松耦合的方式連接云管理平臺(tái)和SDN網(wǎng)絡(luò)控制器，在云環(huán)境中可以獲取計(jì)算資源并管理虛擬化安全設(shè)備，在SDN網(wǎng)絡(luò)中可以獲取、控制全局流量。其中南向接口采用兼容性和使用率較高的OpenFlow通道，控制器配置和管理交換設(shè)備、接收交換設(shè)備發(fā)出的事件信息等均可以通過(guò)南向接口實(shí)現(xiàn)，而北向接口尚未形成統(tǒng)一標(biāo)準(zhǔn)，各種控制層網(wǎng)絡(luò)操作系統(tǒng)基于不同技術(shù)為上層安全應(yīng)用服務(wù)，考慮到WEB應(yīng)用的普及以及接口靈活易用性，采用REST API作為北向接口，能夠支持Floodlight、OpenDaylight、Ryu等市場(chǎng)較為流行的控制器[15]，通過(guò)使用GET、POST、PUT、DELETE等HTTP協(xié)議來(lái)查詢網(wǎng)絡(luò)相關(guān)參數(shù)，GET方法用于網(wǎng)絡(luò)資源的查詢，POST方法用于增添和修改資源，PUT用于修改具體資源的數(shù)據(jù)的內(nèi)容，DELETE方法用于刪除資源，返回的格式可以是JSON或XML，具體操作見(jiàn)表2。

表2 北向接口資源規(guī)劃

SDN網(wǎng)絡(luò)控制器通過(guò)安全控制代理(agent)與安全控制器相連接，主要對(duì)水利行業(yè)部門(mén)的全網(wǎng)流量進(jìn)行分析和控制，首先根據(jù)網(wǎng)絡(luò)設(shè)備上的流表和PACKET_IN獲取全網(wǎng)的實(shí)時(shí)流量，當(dāng)SDN控制器獲得PACKET_IN后，解析出原始數(shù)據(jù)包并獲取包頭字段，然后根據(jù)安全控制器傳遞的流指令，直接向網(wǎng)絡(luò)設(shè)備下發(fā)FLOW_MOD指令，例如交換機(jī)端口1的虛擬機(jī)A向端口2的虛擬機(jī)B傳送流量，流表可以表示為“inport=1,A→B,actions=output:2”,通過(guò)不同的動(dòng)作actions控制實(shí)現(xiàn)全網(wǎng)流量的放行、阻斷、重定向和鏡像等操作。

云計(jì)算管理平臺(tái)提供基礎(chǔ)設(shè)施即服務(wù)(IaaS)，為安全控制器提供虛擬化計(jì)算資源和虛擬化安全設(shè)備。

2.5 安全應(yīng)用層

安全應(yīng)用層為網(wǎng)絡(luò)安全防護(hù)體系提供多種多樣的應(yīng)用交付，如WEB安全、訪問(wèn)控制、DDoS防護(hù)等，這些應(yīng)用均可由第三方定制開(kāi)發(fā)。同時(shí)，應(yīng)用層本身支持服務(wù)編排的部署模式，即多種應(yīng)用可以疊加同時(shí)實(shí)現(xiàn)多種業(yè)務(wù)，實(shí)現(xiàn)安全防護(hù)的智能化、自動(dòng)化。詳情請(qǐng)見(jiàn)第3節(jié)網(wǎng)絡(luò)安全協(xié)同防御管控系統(tǒng)。

2.6 協(xié)同防御工作原理

實(shí)際防御過(guò)程中，事先根據(jù)水利行業(yè)部門(mén)實(shí)際防護(hù)場(chǎng)景進(jìn)行定制安全應(yīng)用，安全控制平臺(tái)流量統(tǒng)計(jì)信息模塊獲取東西向的網(wǎng)絡(luò)流量，當(dāng)監(jiān)測(cè)到流量過(guò)大或連接異常端口等滿足安全應(yīng)用定制的威脅條件，安全應(yīng)用會(huì)將策略下發(fā)到安全控制平臺(tái)，策略格式見(jiàn)式(1)：

S=(E,M,P,A)

(1)

當(dāng)事件E被觸發(fā)時(shí)，模塊M會(huì)對(duì)數(shù)據(jù)信息進(jìn)行檢查，檢查結(jié)果若符合模式P，則執(zhí)行動(dòng)作A。策略解析模塊收到后，形成調(diào)用資源池安全能力的命令，通過(guò)設(shè)備管理模塊在設(shè)備池中選擇最合適的安全設(shè)備進(jìn)行防護(hù)，或經(jīng)由SDN控制器推送到網(wǎng)絡(luò)設(shè)備，通過(guò)交換機(jī)端口的關(guān)閉和斷開(kāi)或者將流量限制在一定范圍內(nèi)。當(dāng)攻擊被檢測(cè)到或防護(hù)，安全設(shè)備會(huì)將告警日志推送到設(shè)備管理模塊，往后一旦有訂閱的策略滿足條件，則會(huì)通過(guò)事件調(diào)度模塊迭代觸發(fā)更多防護(hù)動(dòng)作[4]。

3 水利網(wǎng)絡(luò)安全協(xié)同防御管控系統(tǒng)

融合目前水利行業(yè)部門(mén)已有的態(tài)勢(shì)感知平臺(tái)、安全設(shè)備系統(tǒng)、虛擬化管理平臺(tái)等，根據(jù)基于SDS的水利網(wǎng)絡(luò)安全協(xié)同防御體系構(gòu)建水利網(wǎng)絡(luò)安全協(xié)同防御管控系統(tǒng)，調(diào)動(dòng)安全資源池將各自獨(dú)立的基礎(chǔ)安全功能編排成多條防護(hù)鏈，從而解決水利行業(yè)大規(guī)模網(wǎng)絡(luò)攻擊所面臨的安全防御問(wèn)題，并具備良好的通用性和擴(kuò)展性。主要功能如下。

3.1 安全應(yīng)用管理功能

安全應(yīng)用管理用于水利部門(mén)及其下屬機(jī)構(gòu)安全應(yīng)用的注冊(cè)、部署、驗(yàn)證、運(yùn)行和升級(jí)等操作。圖4所示，對(duì)于需要特定安全防護(hù)體系的用戶，僅需要將已注冊(cè)的網(wǎng)絡(luò)設(shè)備和安全設(shè)備拖拽到相應(yīng)的部署界面，通過(guò)驗(yàn)證功能可以校正部署過(guò)程中邏輯錯(cuò)誤，同時(shí)本功能支持設(shè)備升級(jí)。運(yùn)維人員僅需要具備基本的網(wǎng)絡(luò)安全技能，不必了解設(shè)備具體的部署方法、規(guī)則命令等，極大降低了運(yùn)維成本。

圖4 安全應(yīng)用管理功能

當(dāng)需要部署應(yīng)用防火墻(WAF)時(shí)，可以在設(shè)備供選區(qū)將WAF拖到相應(yīng)的被防護(hù)虛擬機(jī)上，并配置好WAF的管理地址、部署模式等。安全控制平臺(tái)向云計(jì)算管理平臺(tái)發(fā)送指令，啟動(dòng)對(duì)應(yīng)的WAF虛擬機(jī)，然后向SDN控制器下發(fā)流指令，命令其將虛擬網(wǎng)關(guān)到Web服務(wù)器的HTTP流量牽引至WAF虛擬機(jī)所在的交換機(jī)端口。

3.2 協(xié)同防御策略下發(fā)功能

圖5所示，針對(duì)大規(guī)模的網(wǎng)絡(luò)攻擊進(jìn)行協(xié)同防護(hù)，首先進(jìn)行協(xié)同防御策略分析，根據(jù)風(fēng)險(xiǎn)評(píng)估模型對(duì)攻擊行為進(jìn)行量化等級(jí)劃分，對(duì)于威脅大的攻擊進(jìn)行協(xié)同防御，根據(jù)分析結(jié)果選擇或建立相應(yīng)的協(xié)同防御策略，最后通過(guò)安全控制平臺(tái)進(jìn)行策略分發(fā)。

圖5 協(xié)同防御策略下發(fā)

3.3 未知攻擊防御功能

未知攻擊防御功能選擇主動(dòng)防御網(wǎng)絡(luò)入侵技術(shù)——蜜網(wǎng)，通過(guò)水利行業(yè)部門(mén)在用系統(tǒng)與攻擊者之間的交互，記錄攻擊者行為，分析攻擊信息，產(chǎn)生面對(duì)新型攻擊的防御策略。圖6所示，當(dāng)防火墻、IDS安全應(yīng)用檢測(cè)到有攻擊行為卻不在特征庫(kù)范圍內(nèi)，則將流表轉(zhuǎn)發(fā)至蜜網(wǎng)，蜜網(wǎng)交換機(jī)根據(jù)接受的請(qǐng)求，將攻擊者請(qǐng)求內(nèi)容轉(zhuǎn)至相應(yīng)蜜網(wǎng)應(yīng)用中，充分利用蜜網(wǎng)收集到的數(shù)據(jù)，對(duì)數(shù)據(jù)庫(kù)中的攻擊信息進(jìn)行特征提取和分類(lèi)，有效的攻擊信息形成新的規(guī)則，第一時(shí)間更新IDS和防火墻特征庫(kù)，做到主動(dòng)防御，防患攻擊行為大規(guī)模擴(kuò)散。未知攻擊防御功能提供事件日志管理、蜜網(wǎng)管理和配置、事件監(jiān)視等功能[16]。

圖6 未知攻擊防御功能

3.4 網(wǎng)絡(luò)安全監(jiān)控功能

根據(jù)水利行業(yè)重要時(shí)期網(wǎng)絡(luò)安全保障和管理要求，網(wǎng)絡(luò)安全監(jiān)控具備監(jiān)控現(xiàn)有設(shè)備資產(chǎn)性能及威脅信息的功能，尤其是受攻擊的主機(jī)信息，為防護(hù)策略的制定提供案件支撐。圖7所示，該功能可以展示風(fēng)險(xiǎn)資產(chǎn)名稱、風(fēng)險(xiǎn)等級(jí)、事件標(biāo)簽、攻擊數(shù)量以及發(fā)生時(shí)間等，并支持多維度篩選以及關(guān)鍵字檢索等。

圖7 網(wǎng)絡(luò)安全監(jiān)控功能

3.5 安全事件共享

如今的網(wǎng)絡(luò)攻擊，攻擊者一般不會(huì)僅針對(duì)水利行業(yè)部門(mén)的某個(gè)網(wǎng)站窮追猛打，而會(huì)選擇收集與本級(jí)部門(mén)相關(guān)的下屬單位或企業(yè)信息、C段信息、旁站信息、真實(shí)IP信息、網(wǎng)站信息、服務(wù)器信息等，很容易將目標(biāo)轉(zhuǎn)換到各下屬單位。水利網(wǎng)絡(luò)安全協(xié)同防御不能出現(xiàn)“木桶效應(yīng)”，圖8所示，安全事件共享功能提供了資產(chǎn)和運(yùn)行狀態(tài)數(shù)據(jù)、網(wǎng)絡(luò)安全事件數(shù)據(jù)、網(wǎng)絡(luò)安全態(tài)勢(shì)信息。按照水利部統(tǒng)一的網(wǎng)絡(luò)安全管理需要，將網(wǎng)絡(luò)安全管理方面的通知通報(bào)、事件處置報(bào)告、處置流程等實(shí)現(xiàn)接口聯(lián)動(dòng)，有助于實(shí)現(xiàn)行業(yè)級(jí)網(wǎng)絡(luò)安全事件協(xié)同處置和資源調(diào)度。

圖8 安全事件共享功能

4 效果

通過(guò)水利網(wǎng)絡(luò)安全協(xié)同防御管控系統(tǒng)與防火墻、上網(wǎng)行為管理系統(tǒng)等安全設(shè)備聯(lián)動(dòng)響應(yīng)，實(shí)現(xiàn)互聯(lián)網(wǎng)出口、業(yè)務(wù)應(yīng)用區(qū)等關(guān)鍵位置聯(lián)動(dòng)防御功能。利用各網(wǎng)絡(luò)分區(qū)流量探針感知各區(qū)域安全威脅和協(xié)同防御管控系統(tǒng)的綜合分析研判，可第一時(shí)間發(fā)現(xiàn)外部威脅和攻擊IP并聯(lián)動(dòng)相關(guān)安全設(shè)備進(jìn)行聯(lián)動(dòng)封堵。截至目前，在某水利管理部門(mén)部署的協(xié)同防御管控系統(tǒng)，日均能夠聯(lián)動(dòng)封堵270個(gè)外部攻擊IP，有效實(shí)現(xiàn)了外部攻擊快速發(fā)現(xiàn)和自動(dòng)處置，提升安全威脅處置效率，有力保障網(wǎng)絡(luò)安全，效果明顯。

5 結(jié)論

面對(duì)錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)攻擊，水利行業(yè)部門(mén)協(xié)同防御顯得尤為重要。本文對(duì)現(xiàn)有水利網(wǎng)絡(luò)安全形式進(jìn)行了分析，在此基礎(chǔ)上給出了一種基于軟件定義安全的水利網(wǎng)絡(luò)安全協(xié)同防御體系架構(gòu)及其一整套協(xié)同防御系統(tǒng)的功能機(jī)制，最后實(shí)現(xiàn)了系統(tǒng)的部分功能。該方案通過(guò)將傳統(tǒng)安全產(chǎn)品軟硬件解耦形成安全資源池，調(diào)動(dòng)安全資源池中各自獨(dú)立的基礎(chǔ)安全功能編排成多條防護(hù)鏈，能夠解決水利行業(yè)網(wǎng)絡(luò)安全產(chǎn)品部署復(fù)雜、網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)能力弱、信息共享能力不足等問(wèn)題，實(shí)現(xiàn)內(nèi)外協(xié)同、上下聯(lián)動(dòng)的水利網(wǎng)絡(luò)安全協(xié)同防御能力。下一步將從以下2個(gè)方面著手進(jìn)一步健全體系建設(shè)：①完善基于軟件定義安全的水利網(wǎng)絡(luò)安全協(xié)同防御體系，進(jìn)一步融合現(xiàn)有的水利網(wǎng)絡(luò)安全防御應(yīng)用，實(shí)現(xiàn)安全應(yīng)用管理、協(xié)同防御策略下發(fā)等功能；②目前水利行業(yè)中工業(yè)控制、物聯(lián)網(wǎng)終端、移動(dòng)辦公等領(lǐng)域應(yīng)用不斷拓展，隨之衍生出新特征、新行為、新方法的攻擊手段，下一步將采用基于SDS的蜜網(wǎng)技術(shù)抵抗未知攻擊，提高攻擊溯源能力。