会员中心
用户名:
密 码:
 
  忘记密码
通信管理
构建智能化的安全域管理支撑系统
文章来源:本站原创  发布时间:2014-10-31  浏览次数:645
作者:房仲阳
(中国移动通信集团辽宁有限公司网络部  110179)
摘  要:目前互联网应用日趋广泛,数据业务系统日益复杂,安全防护要求不断提高。安全域管理已成为制约当前业务发展的重点与难点之一。本文从电信运营商安全域管理面临的问题入手,讨论了安全域管理的整体思路,提出了基于业务运营角度的安全域管理的解决方案。
关键词:安全域,智能化,支撑
1.前言
      所谓安全域(Security Zone),是指网络中重要性相近、面临类似威胁、具有相同的安全保护需求、并相互信任的区域或网络实体的集合。一个安全域内可进一步被划分为若干个安全子域,即二层安全域;二层安全域也可继续依次细化为若干个安全子域,可称之为三层安全域;还可以继续细分为四层、五层安全域等。随着电信网络的IP化、智能移动终端的普及等促使网络形态更为开放,在为用户提供更佳使用体验的同时,也令众多攻击与威胁有机可乘,许多原本只在互联网领域存在的风险被迅速引入到电信网络。安全域管理是电信运营商基于IP的业务系统进行安全防护重要工作,但目前安全域管理存在很多问题,导致安全域工作长期流于形式而无法真正落实,如何做好安全域的维护管理,在满足安全域建设目标的同时,兼顾工作效率,是摆在电信运营商安全管理人员面前必须要解决的一个难题。
2.安全域管理存在关键问题
2.1 防火墙策略最小化原则难以落实
      安全管理员进行防火墙策略审计时,由于掌握精确、真实的互连需求,无法对any to any、*** to any、any to ***等明显错误之外的其它策略进行判断;系统管理员也无法判断业务开通、变更时厂家提出的互连需求的合理性;而集成商也普遍缺乏在研发等环节存留网络互连端口、服务、进程等基础信息的管理要求,只能以开通业务为主要目的设置过粗的策略,忽略安全方面策略最小化的要求,经常造成超范围开放防火墙端口,导致系统直接暴露的互联网上。
2.2 设备互连关系可视化技术手段缺失
      在安全域日常维护方面,因缺乏手段,现网中是否存在互联网子域直接访问核心域后台数据库的需求,两个无关系统之间流量是否正常,是否出现新的未备案、直接部署到安全域内的设备,是否存在超出接入审批的其它设备,对于管理员来说都无法第一时间掌握,仅仅依靠管理措施,无法准确判断是否符合安全域划分要求,是否满足《中国移动安全域管理办法》、《中国移动远程接入安全管理办法》、《中国移动网络互连安全管理办法》、《中国移动系统服务与端口安全管理办法》中的具体设备部署要求、互连要求等等,对安全域管理状态掌控的缺失,直接导致安全域内部各系统间的信任关系无法持续成立。
2.3 业务端口服务及异常检测手段不成熟
      运营商安全管理员不掌握用于网络通信的固定端口或者端口变化的分布规律,无法进行端口异常检测,及时发现植入的恶意程序、后门的活动痕迹。近年来,在运营商网关统计服务器上植入程序、利用WAP网关到MISC认证机制的脆弱性进行恶意订购的行为, BOSS系统程序中含有窃取用户话单、通信记录信息的后门程序,不定期地窃取并发送到外部设备的客户信息泄露重大安全事件,感染木马、僵尸恶意代码导致系统被控制的安全事件等均证明了业务端口的异常检测手段不成熟,监测不到位,导致安全事件频出。
2.4 传统防护检测技术存在的瓶颈
      业界安全普遍采用特征匹配技术检测威胁,各种病毒检测工具、入侵检测工具、网页防篡改工具检测到了大多数的安全威胁,但网络攻击技术日新月异,通用的特征匹配技术无法穷尽所有的攻击行为,传统安全检测工具越来越多显示其存在技术盲点。通用的入侵检测技术,由于缺少对网络环境和业务特征的输入,不了解部署环境中的合法业务、管理流量,产生的巨量无效安全告警无法使维护及安全管理人员进行有效响应,带来人力资源的持续消耗。
3.智能化安全域管理支撑系统实践 
      为有效解决上述问题,切实加强安全域管理,全面提升信息安全保障能力,辽宁移动大胆探索,开展了安全域管理支撑系统的建设实践,经过半年的运行取得了良好的效果。
3.1 安全域管理支撑系统框架
      安全域管理支撑系统利用网络流量探针抓取业务系统各主要节点的流量,形成可视化的网络连接视图,从而全面地掌握业务系统安全域内、外的网络互联关系,并根据业务系统安全域各边界互联要求,分析、判断网络连接的合法性。对于不能明确的网络连接,督促和指导业务系统管理部门与合作厂家加强对业务系统连接的梳理,明确不明连接存在的原因和目的,并进行有效的整改措施。
      安全域管理系统的总体技术框架如下图所示:
3.2 安全域管理支撑系统功能说明
      安全域管理系统在不同区域部署探针,通过网络流量的采集自动发现不同安全域间、同一安全域内不同安全子域间、安全子域内三类边界流量中存活的设备(IP地址),并允许通过人工录入的方式将已发现的IP地址与资产进行绑定。 
3.2.1设备管理
      资产信息包括以下内容:
      所属业务系统
      所属安全域
      所属部门
      资产名称
      IP地址
      设备型号
      自定义字段
      该系统支持根据预先定义的模板,进行资产的导入、导出操作。同时该系统还支持安全域定义、业务系统定义、管理类设备定义、地址组定义。
3.2.2互连关系管理
      互连关系管理包括互连关系监控、互连关系表和待确认的互连关系三个子项。其中,互连关系监控主要展现了业务系统设备间因一定需求存在的、真实的连接情况总体视图;互连关系表则将视图信息转化为详细的表单,供系统管理员进行分析;对于不在白名单中的互连关系,应由系统管理员和厂商经过分析、判断后进行确认。
3.2.3互连关系监控
      通过采集不同安全域间、同一安全域内不同安全子域间、安全子域内三类边界流量,安全域管理支撑系统能够展现出当前监控的所有设备互连关系的连接关系视图,作为系统当前检测设备互连关系情况的概览;对于一条互联关系,该系统能够记录数据在转发过程中的关键路径点。由于网络拓扑的复杂性,部署缺乏一定的规范性,网络中可能存在一定的冗余路径和设备。通过互连关系的记录可以真实反映出数据经过的网络路径点,并提示网络管理人员可能存在的冗余路径和设备,有针对性地开展优化。
3.2.4互联关系表
      互连关系表是展现当前系统所有设备互连关系的详细列表,是系统管理员掌握设备互连情况的重要数据。
3.2.5 待确认互连关系
      业务系统的连接关系因日常运营和维护要求,通常由系统管理员协同厂商共同梳理。当发现不明确的连接关系时,如果判断为合法,则将这类连接关系转化为白名单。
      当存在待确认(或者高度疑似)的互连关系时,应触发指定条件的Payload数据提取和特征分析功能,抓取数个连接实例的完整流量,解析包内容,获得指令、帐号等多维度特征信息,进行综合判断。
      系统支持批量确认功能和人工确认功能,并提供以下内容:
      四元组:源IP地址,目的IP地址,目的端口,所用协议;
      设备互连建立时间:互连关系建立的时间;
      Payload数据:获取指定条件的payload数据提取;
      特征分析数据:分析出的特征信息,如:周期、频次等;
      确认时间:系统自动产生确认时操作的时间;
      确认人员:手动填入确认人员的姓名;
      确认原因:手动填入确认原因;
      操作人员:系统自动获得当前操作人工确认的人员。
4. 试点成果
      辽宁移动于2013年9月底完成安全域的试点工作,网络边界互连关系智能梳理功能配置应用后,后续维护工作量大大减少,系统可根据提前配置好的采集、审核周期自动采集网络连接会话信息,实现对网络边界互连关系的自动监控,在这种情况下,大大减少了人为操作带来的风险。
      通过本系统的应用,管理员可通过该系统精确掌握系统各主机网络互访情况,全面掌握系统内部与外部之间的流量情况,从而精确审计防火墙策略的合理性;从流量分析入手,为业务建设、入网、运维、退服各个阶段信息安全规划和产品配置提供了一手数据,同时也为不同角色人员的信息安全工作决策提供了有效支撑,为各专业信息安全应急预案的编制和有针对性地开展演练工作提供了方向指导。
      通过本系统的应用,存在于各系统边界间的风险得以第一时间展现,各专业可以通过作业计划等工作安排立即消除消除各个环节风险和漏洞;实现安全管理工作从基于经验的试错方式到基于流量的精确管理模式转变,促进信息安全工作得以主动开展,对于运营商承担的企业社会责任的履行起到了积极促进作用。辽宁移动根据安全域支撑系统上线前后相关工作的改善情况进行量化分析,相关系统的建设目标得以实现,具备了继续大规模推广的条件,同时对其他专业风险评价可视化、威胁分析数据化的工作提供了良好的借鉴思路,其监测思路适用于各种业务系统、支撑系统以及核心网的边界管理。目前各主流网络设备均支持本系统的应用,具体效果见表2:


      通过对现网数据的分析整合实现对网络合法流量的梳理与监控。系统完善后,完全可以替代部分高投入、低产出的入侵检测系统,每年预计减少投资至少200万元,使安全域管理成本得有降低,各类系统互联关系可见、可维护成为可能。提升了现网网络安全管理水平,安全域内各业务系统可用性、机密性、完整性得到更加完善和主动的保障。
参考文献: 
[1] 中国移动安全域流量监控系统技术要求(2013年试点版)
网站首页 关于我们免责声明联系我们
版权所有:辽宁省通信学会  备案号:辽ICP备11005629
联系电话:024-22517766  地址:沈阳市沈河区北站路72号


网站建设:恒昊互联网络