主动安全网络架构的安全策略

2021-11-16刘建兵马旭艳王小宏王振欣

信息安全研究 2021年11期

刘建兵马旭艳王小宏王振欣

1(北京北信源软件股份有限公司北京 100195)

2(中国石油东方地球物理勘探有限责任公司河北保定 072750)

3(昆仑数智科技有限责任公司西安 710077)(fqy-vrv@wo.cn)

主动安全网络架构以边界认证机代替接入层交换机，在开放互联的传统网络架构基础上，重新建立业已模糊的内网边界，以此边界围合起全网的安全区域.边界的内嵌认证保证了接入网络设备的身份合法性，确保接入设备执行了网络管理者认可的基本约束，外来设备或非法设备随意接入网络的情形被彻底消除[1]，甚至可以通过边界的内嵌认证发现非法设备试图进入网络的尝试行为.但是，建立起清晰的边界、接入了合法的设备并不意味着网络安全.如何保证接入网络的设备和网内资产得到有效的保护，按网络管理者的意志实现网络全域精细化的安全控制，必须依赖安全策略[2]的精细化、体系化、灵活性、准确性、时效性来保证.本文所述安全策略是以边界认证机围合区域的安全策略，安全策略包含的安全规则是以访问控制规则为基础的，在此前提下，重点讨论安全策略的相关问题.

1 主动安全网络架构安全理念

以密码技术[3]支撑的身份认证为基础，将边界管控、设备准入和安全策略关联起来，建立接入设备到安全策略的一一对应关系，并将安全策略即时发布到接入设备所在的边界并自动化地执行.

安全策略的精细化和有效性是决定网络整体安全的关键因素，ASN(active security network)安全策略是确定性安全策略，基于既有知识建立，考虑3个方面因素:一是网络中业务应用的保障，安全策略融入业务需求，保证应用使用的网络资源不受限制;二是安全背景知识，包括一切业界已经掌握的网络攻击方法和恶意代码所涉及漏洞的利用和防护方法[4];三是未来出现的攻击利用的漏洞和防护方法[5]..其中前2项是可以提前制定出确定性的安全防护策略的，第3项在跟踪安全威胁变化时及时制定.

整合分立的安全能力是指各自独立的传统安全服务的计算结果，可以统一转化为安全策略或规则，被ASN接受和执行，以应对各自发现的风险或威胁.

2 以安全策略为核心的内涵

毛泽东同志说过：“政策和策略是党的生命”,这个重要的哲学思想适用于网络安全，安全策略同样是网络安全的生命，可以说，有什么样的安全策略就有什么样的安全水平，没有适当的安全策略就无法保证网络安全.为实现以安全策略保护网络成员安全、实现全网安全目标的目的，主动安全网络架构下的安全策略，必须是全局和集中统一的，必须是精细化和实时的，必须是主动的、动态的、灵活的.

2.1 安全防护策略全局性和集中统一

安全策略的全局性和集中统一是由安全完整性决定的，符合木桶原理，目标网络的安全水平由短板决定.网络环境是由网络和网络成员共同组成的，通过网络边界实施的安全策略，需要为所有成员提供安全的网络环境，因此安全策略必须是全局视角的，必须包容所有网络成员的需求，这就要求安全策略的制定者站在全局的角度制定安全策略.

集中统一包含2个方面的含义:一是集中制定安全策略;二是集中统一部署安全策略.集中统一制定安全策略是全局性的保证，离开集中统一全局性就会被破坏，安全策略也必然是局部的、分散的甚至是矛盾的、碎片化的.仅有好的安全策略还不够，安全策略的部署是安全策略发挥的重要条件.集中统一部署才能保证全局安全策略体系化地全面及时到位，才能避免策略执行的碎片化和策略部署漏洞，才能充分发挥安全策略的作用，保证有效性.

全局安全策略的制定主要从以下5个方面考量：

1) 清楚了解网络资源的详细状况，了解网络应用所使用资源的风险.

2) 掌握网络安全威胁的背景[6]和当前重点，好比防疫工作，即需要理解天花麻疹这样的长久威胁，也需要理解季节性流感的发生规律，还要充分认识新冠肺炎这样的现实威胁，综合这些因素才能制定出切实有效的流行病防疫策略.对于网络安全来说也是这样，综合安全威胁的过去和当前信息制定的安全策略才能是有效适用的.

3) 我们既需要理解传统的病毒和网络攻击方法对应的漏洞和防护措施，也需要及时掌握当前活跃的病毒和攻击方式所利用的漏洞，基于此制定安全策略.

4) 既要考虑长期威胁也要包含当前攻击，甚至要针对最新发现的安全漏洞，作出提前预防的策略考量.

5) 安全策略的集中统一贯穿网络安全全生命周期，集中统一制定安全策略，集中统一部署安全策略，维护更新，随势而动、随变而应，针对风险及时调整.

2.2 安全策略精细化和实时性

精细化包含4个方面的含义：

1) 策略针对单个设备的身份，不是针对IP地址，IP和设备没有严格对应关系[7]；策略发布给单个设备，与设备身份绑定，IP地址是策略中介，作用在设备使用的当前IP上，执行在当期接入边界机上，随设备位置移动；

2) 策略针对单个IP地址，以逻辑地址local标注在规则中；

3) 策略细化到IP地址和协议端口；

4) 策略可针对主体和客体双向制定.

实时性是指安全策略的执行与接入设备的接入时间是自动化同步的，从设备接入到安全策略执行的时间延迟是秒级的.以动态安全策略保护接入设备和网络资源安全，对实时性有很高的要求，从接入设备接入网络到安全策略执行生效的时间延迟如果很长，就会出现防护空窗期，这个时延越短越好.ASN架构下，由于边界机具备准入能力，可以保证安全策略和准入的无缝衔接，在安全策略生效前不转发接入设备的数据报文，设备一入网安全策略生效是同时的；从设备接入网络通过认证、策略下发、执行生效的一系列过程是在秒级完成的.

2.3 安全策略的主动性、动态化和灵活性

主动性是指所有的安全策略集中管理，在安全事件尚未发生前预先制定，策略制定针对安全问题、威胁和漏洞，不针对具体目标设备，以策略库的形式保存备用.动态化是指精细化安全策略根据接入位置(边界机及端口)移动而跟随接入设备部署到位，并在接入设备离线后自动清除相应安全策略.灵活性是指策略库中的策略可以根据不同的安全场景选择特定目标发布，随时发布即刻生效，选择的发布目标基于CID(combination ID)标识，无需目标在线，无需目标地址，同时，集成系统提供的安全规则可以融入执行.在精细化安全策略准确执行到位的情况下，理论上可以控制网络中所有资源的访问，可以控制全网IP地址之间的访问，达到保护信息系统安全和接入设备自身安全的双重作用.

2.4 安全策略技术支撑

集中管控全网的访问控制是ASN的核心能力，支撑ASN架构的技术基础是网络接入层设备的访问控制能力，即接入交换机的ACL，集中管控关联身份的网络接入层ACL，以此形成内网边界的安全防护能力.

依传统网络模型的观点，ACL是建立在内网的汇聚层和核心层的，接入层的访问控制一直被弃之不用，偶有使用也是简单化的、静态的、分散的、手工的.站在内网安全全域边界的视角重新审视，我们发现接入层是网络安全的重要关口，是重新建立内网边界的最佳位置，放弃在边界上建立安全控制能力不得不说是网络安全界一直以来的失误和损失.ASN重拾接入层安全能力，并对其进行系统化、体系化、集中化、自动化的组织利用，成为解决内网安全问题的全新安全方法，也是ASN技术的基础，依托这个技术基础，ASN得以建立起内网精细化、体系化的主动动态安全策略和自动执行机制.

传统网络模型的接入层并不天然具备ASN要求的安全能力，ASN通过创新改进使接入层设备具备认证、准入和访问控制集中管控执行能力，由网络交换机转变为边界认证机，以此形成ASN架构下新的内网接入层.

3 主动安全策略的实现

建立与接入设备身份相联系的访问控制策略，需要解决3个问题:其一,建立接入设备的唯一身份标识;其二,依据安全和业务要求制定和发布与唯一标识关联的访问控制策略;其三,在访问网络前获得接入设备使用的IP地址.第1个问题我们在前文中已经解决，内嵌认证技术建立了与设备物理地址关联的唯一标识CID，可以实现接入设备的身份认证，这个唯一标识可以作为管理安全策略的设备身份；第2个问题将在策略制定部分解决；第3个问题，边界认证机在完成接入设备身份认证的过程中，可以从接入设备的数据包中获取其IP地址，并实时上报给策略平台.

在具备以上条件的前提下，主动安全网络架构的安全策略制定、发布和执行即可以实现主动和动态能力.

3.1 安全策略制定

管理要求和安全目标是安全策略的出发点，主动动态的精细化安全策略应根据应用需求、安全背景和安全威胁制定，以此落实安全目标.

1) 业务应用的需求是需要考虑的首要因素，安全策略必须保证业务应用的资源得到合理的保障.在安全策略实现上，应根据应用的具体要求精细化到IP和端口.如某个网络中部署的多种应用，对于不同的业务部门需要分配不同的访问权限.电子邮件系统(192.168.10.10)是全部用户都可以访问的，而财务系统(192.168.10.20)仅仅允许财务部门的用户访问，采购系统(192.168.10.30)仅允许特定的岗位人员访问.把这个应用需求翻译为安全策略的语言就是：拒绝财务以外用户访问财务系统(192.168.10.20)，拒绝特定以外用户访问采购系统(192.168.10.30)，电子邮件系统允许所有用户访问，则可以制定如下安全策略规则，留待应用到相应的用户对象.

ACL1：access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action permit;

ACL2：access-list frame-type ipv4-tcp sip local dip 192.168.10.20/32 action deny;

ACL3：access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action permit;

ACL4：access-list frame-type ipv4-tcp sip local dip 192.168.10.30/32 action deny.

2) 安全背景是考量安全策略的重要因素，对于已经发现的安全漏洞及其威胁，既有知识已经给出应对的方法，将其转化为安全策略即可应对.来自于多个方面如病毒、木马、网络攻击、系统漏洞、应用漏洞都是需要考虑的因素，这些因素归结起来都是对漏洞的利用，如445，139端口被多个病毒和网络攻击利用[8]，存在严重的安全威胁，需要禁止对445端口的访问，我们就应该制定如下的安全策略.

ACL1：access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny;

ACL2：access-list frame-type ipv4-tcp sip local dip any sport any dport 139 action deny.

其中以local作为虚拟地址逻辑上表示接入设备的实际地址.

对于既有的安全威胁，安全策略管理者在制定安全策略时还需要综合考虑当前主要活跃的威胁和本网设备漏洞修补情况，结合其他独立安全系统的情况，决定采用哪些策略规则，可以更好地精简和优化安全策略.

3) 制定并部署安全策略后，新的安全威胁仍然会不断出现，安全策略需要随着安全威胁的变化而变化.

4) 全局策略和局部的个性化策略应统一考虑，以提高策略的执行效率和简化策略逻辑.如445端口是高危端口，经常被多种网络攻击和病毒利用，为了保护全网接入设备安全应将对其访问控制作为全局策略，而不必在每个安全策略里重复出现.全局策略不使用local逻辑地址，可以被边界机直接执行.全局策略示例如下.

ACL1：access-list frame-type ipv4-tcp sip any dip any sport any dport 445 action deny.

类似以上安全规则可以作为策略存入策略库备用，诸如此类的安全规则可以有很多，根据安全状况和业务场景可以组合出多种安全策略.

ASN安全策略可以阻断危险网络地址和端口，保护网络接入成员的安全，但是实际的业务应用由于特定原因可能使用部分漏洞端口，或者由于其他原因无法修补某些端口的漏洞，限制漏洞端口的可访问或被访问范围，虽然不能绝对消除漏洞风险，但在安全上仍然具有很大的意义.作为应用服务端，将访问者限制在业务设定的范围，拒绝设定范围以外的非业务访问，可以有效阻止来自内网和外网的探测、漏洞利用和网络攻击.此场景下的访问策略规则如下例.

1) 服务端

ACL1：access-list frame-type ipv4-tcp sip 192.168.1.0/24 dip local sport any dport 445 action permit；

ACL 2：access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

以上规则组合成的安全策略在服务端以local虚拟地址作为被访问目的地址的访问控制，在服务端连接的边界机上落地执行，服务端一般是固定IP地址，此时local确定为固定IP：192.168.2.1，仅仅允许192.168.1.0/24网段的设备访问445端口.

2) 访问端

ACL 1：access-list frame-type ipv4-tcp sip local dip 192.168.2.1/32 sport any dport 445 action permit;

ACL 2：access-list frame-type ipv4-tcp sip local dip any sport any dport 445 action deny.

以上规则以local虚拟地址代表访问端的源IP地址，发布给该应用成员的PEG，在对应CID访问者接入认证成功后，该策略即在对应的边界机上执行，仅有访问192.168.2.1：445的数据包得以转发到达目的地址.

管理控制服务器平台提供了主动安全网络架构安全策略的制定功能.这里所称的安全策略，是1个或1组安全威胁或管理要求的访问控制规则.在安全策略制定阶段，安全策略仅仅针对具体的安全威胁或管理要求，不指定具体的作用对象，策略文本中以local逻辑上代表接入设备的实际IP地址，编辑好的安全策略以不同的命名保存在安全策略库中.每个安全策略针对不同的安全场景和管理要求，随时可以被调出使用，安全策略制定如图1所示:

图1 安全策略制定

安全策略是通过交换机上的1组访问控制规则，即通常所称访问控制列表(ACL)实现的[9].访问控制列表的一般使用方式是：由网络工程师通过命令行或交换机Web界面进行配置，其结果格式形如下.

ACL3：access-list frame-type ipv4-tcp sip 192.168.82.46/32 dip 192.168.82.48/32 sport 300 dport 500 action deny.

其中的源和目的IP地址都固定了，每条ACL作用于所设定IP地址或地址范围，其有效性要求访问的双方必须使用确定范围的IP地址，而一旦使用指定范围外的IP地址，该访问控制规则就不起作用了，这是静态ACL的主要缺陷.利用边界机ACL功能实现动态有效的访问控制，就需要在ACL中使用接入设备的当前IP地址，因此如何获取设备当前的IP地址是问题的关键.

利用接入层ACL实现动态的访问控制就需要用接入设备的IP，边界机提供了实时获取接入设备IP地址的能力，并即时上报策略集中管控平台，安全策略的local得以及时转换为实际IP地址.

3.2 安全策略的发布

ASN针对边界接入设备的安全策略是逻辑的，安全策略本身并未包含策略的执行对象，以此保证策略的灵活性.但策略的执行必须使具体的策略与对象相对应，这个过程是在ASN的策略发布过程完成的.

ASN以唯一标识CID保证接入设备唯一性，据此保证接入设备身份的唯一性，而不管接入设备使用什么IP地址，这是策略和接入设备关联对应的基础.

安全策略发布功能如图2所示，安全管理者根据安全和管理需要选定策略库中某个安全策略作为即将发布的安全策略，从对象库中选取合适的1组CID并向其发布选定的安全策略.发布的结果是安全策略被分发给每个CID对应接入设备的PEG(policy enabling group)中，将即将执行的策略赋值在接入设备上，被赋予安全策略的设备一旦接入网络，其对应PEG中的安全策略将被执行.

图2 安全策略发布执行

管理控制服务器与第三方平台进行安全策略的交互，实现安全策略发布、接收、优化、执行、撤销的全生命周期管理.管理控制服务器收到第三方平台发布的安全策略后，与本地制定的安全策略进行优化精简后发布，并将策略的接收、优化、发布、执行等信息发送给第三方平台；收到第三方平台的策略撤销信息时，进行策略撤销.

管理控制服务器将企业的静态安全策略、动态安全策略统一管理，集成企业所有安全防护能力智慧，实现企业安全策略的落地生效、终端网络访问行为的全面精细控制.

3.3 安全策略的执行

ASN安全策略的执行是和接入认证和准入连贯完成的，如图2所示，当设备通过边界机完成身份认证后，系统即获得了接入设备对应的CID，同时边界机从认证过程中解析出接入设备当前IP地址，并即时上报给策略服务器，策略执行模块根据CID找到对应的PEG，从中取出安全策略，并用获得的IP地址替换安全策略中的逻辑地址符号“local”，形成可以在边界机上执行的真实访问控制列表ACL，之后安全策略执行模块通过BIP(business interaction protocal)协议将ACL发送给接入设备所在的边界机，边界机将收到的ACL文本追加进自己的访问控制列表中，并立即执行.

策略服务器上保留有全部边界机上正在执行策略的副本缓存.边界机上接入设备的在线状态由AAP(access authentication protocal)协议实时侦测，一旦发现并确认某个接入设备离线，即将该离线设备对应离线信息和对应的IP地址信息报告策略服务器，安全策略发布模块即通过BIP协议给边界机下发指令，从其访问控制列表中删除对应的安全规则内容.

3.4 集成系统的策略协同

以ASN为平台可以集成众多独立的信息安全应用，包括防病毒、补丁分发、漏洞扫描、流量分析等，我们统一将其称为集成应用，ASN与集成应用协同联动，可以倍增集成应用的价值，成为集成应用的执行机构，共同发挥出综合效应.

如与ASN集成的漏洞扫描系统，通过扫描发现网中某个IP下的设备存在某个高风险漏洞，漏洞对应端口号:4488，即可生成禁用该IP:PORT的安全策略，并通过OIP(open integration protocol )协议发送给ASN，ASN通过自身定位机制可以快速定位该IP所在边界机，并通过安全策略执行模块向对应边界机追加该条安全策略，并在边界机上立即生效.如此网上任何利用该漏洞的数据包都会被边界机丢弃，这个安全漏洞就在数秒时间内被ASN保护起来.在此网络中一切试图访问和利用该漏洞危害此设备的可能性都不存在了，此设备如同穿上了失传已久的金钟罩.

ASN的安全策略是网络安全的根本，有什么样的安全策略就有什么样的安全水平.安全策略可以是多种多样的，通过ACL的灵活配置，既可实现源目地址、源目端口等的限制特定对象的访问或被访问，也可实现全局的拒绝访问.策略中ACL的灵活配置可实现各种安全访问需求.

安全策略和实际应用场景的结合是需要特别注意的问题，在安全和业务之间求得平衡的安全策略才是容易实施的.如445端口是在很多业务系统中使用的，也是很多网络攻击和病毒木马利用的端口，从安全的角度来看，全部禁用即可保证不受此类攻击，但会影响相关业务，因此不能简单全面停用该端口，这种情况下应该考虑该端口的使用范围，将其限制在业务应用的最小范围，即可防范来自业务系统之外的远程攻击，此时的安全策略可以把业务系统的设备范围写进安全策略中，形成限制范围的适度策略,并赋予业务相关的设备对象.

ACL1：access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action permit；

ACL2：access-list frame-type ipv4-tcp sip any dip local sport any dport 445 action deny.

主动网络安全架构通过策略管理控制平台和边界机协调工作实现内网边界安全防护的目标，完成安全策略的制定、发布和执行.企业根据网络安全防护的整体战略战术需要，制定体系化的安全策略，通过管理控制服务器的策略模块创建和发布安全策略.

安全策略的目的是控制终端的网络访问行为.策略的发布根据边界认证机上终端的上线和移动情况实时下发执行.边界认证机上的终端上线后，管理控制服务器将该边界认证机上所有终端的安全策略优化精简后下发至边界认证机执行控制，也可以通过边界认证机下发至某一个终端的认证客户端执行控制；终端移动到其他边界认证机接入后，安全策略也会将该终端安全策略下发至终端移动接入的边界认证机执行控制，实现终端走到哪里其策略就部署到哪里的移动管控.

边界认证机和认证客户端执行安全策略管控，实现了在最贴近终端的部位进行终端访问行为精准管控，减少终端恶意访问、违规访问、异常行为、攻击行为的扩散和影响范围，将危害控制至最小范围.

4 主动安全策略获得的安全价值

4.1 安全防护统一指挥

企业网络安全策略(包括全局、局部、静态、动态等)在主动安全网络架构的管理控制服务器上统一制定发布，可实现企业网络安全防护的统一指挥，改变以往网络安全四处救火而火情不减的不良防护模式，让网络安全运营人员将精力集中到网络安全防护最核心、最紧要、最关键、最有效的安全策略研究、制定和发布执行中来.

体系化安全策略从战略、战术、整体、局部、静态、动态等各方面进行周密考量，并与企业的网络安全防护实际需求相符合，通过统一管理中心——管理控制服务器——集中制定、发布和执行，并随着实际执行情况进行灵活的调整和动态适应，保证了企业网络安全运营人员安全防护工作的主导性、组织性、主动性和高效性.

企业网络安全防护以主动安全网络架构的中央管控核心——管理控制服务器——为作战室，直接操纵精细化安全策略，可达到运筹帷幄，决胜全局的效果.

4.2 安全能力协同释放

企业已有的安全应用/系统/设备，作为多个烟囱式的防护措施对企业安全的多个方面独立、离散防护，整体安全防护达不到1+1>2的效果.企业安全防护没有统一策略指挥指导，堆砌N个烟囱式防护能力的整体效果实际折扣会更大，不菲的安全投入换来了实际折扣较大的、不理想的安全防护效果，与企业网络安全管理和运营人员的期望相去甚远.

主动网络安全架构通过管理控制服务器的安全策略功能，给网络安全防护带来新的思路，注入新活力.管理控制服务器通过安全策略集成融合了企业所有安全应用的安全防护能力和智慧，盘活所有的安全应用，激发所有安全应用价值的体现与释放，使得企业以往的安全投入再次绽放能量、释放价值、拓展回报.

4.3 安全防护成效提升

以往网络安全策略的部署，需要网络安全运营人员分别登录各种安全设备，进行策略的配置和执行.例如勒索病毒的应急防护，需要网络安全人员分别登录网络接入交换机，进行安全策略配置(利用ACL封锁445端口通信)，对于网络规模相当大的企业，安全策略人工逐台配置工作量大、耗时长、出错率高，人工配置的速度远慢于病毒快速蔓延的速度，导致应急响应工作的效率效果欠佳.

主动网络安全架构将网络终端和终端接入的边界认证机集中管理，安全策略也统一管理，通过管理控制服务器集成所有安全应用、安全专家的智慧，统一制定防御策略，一键式快速自动化下达至所有边界认证机执行安全策略，从全网最贴近中毒终端的所有部位进行病毒蔓延的全面快速封堵，在极短的时间内将病毒的威胁整体控制住，安全防护工作敏捷高效，直指要害，精准防御，事半功倍.

主动网络安全架构保障了安全防护工作有统一抓手，有高能引擎，安全防护安全策略的制定、下发、撤销都可高效完成，极大提高了网络安全防护工作的成效.