宋俊芳,江英华,涂兴洋
(西藏民族大学 信息工程学院,陕西 咸阳 712082)
随着网络技术的快速发展,信息系统广泛地应用在社会的各个方面,同时,网络攻击对信息安全的威胁越来越大。作为网路管理员,每天分析庞大的攻击日志耗时又耗力,专业技术人员稀缺,导致分析处理响应网络攻击的效率较低,如果能够实现网络攻击及安全控制策略的智能可视化,将在很大程度上提升网络与安全运维管理的效率。本文分析企业网中可能会出现的安全问题,提出相应的安全策略,并有针对性地设计可视化模块[1]。企业网日常安全管理一般流程如图1所示。
图1 网络日常安全管理流程
在被攻击前,需要展开攻击面分析,包括暴露风险、脆弱性评估和资产盘点。在网络被攻击之后,防火墙会产生攻击日志,通过分析日志,可以对风险排序,分级进行漏洞修补,但这样的系统流程是无法进行异常提前预知的。随着漏洞数量与日俱增,网络攻击手段升级,攻防两端对抗加剧,安全日志分析需要更智能、更快捷,结果需要更直观、更全面,才能为风险评估提供可靠的数据。为此,在攻击面分析时(见图2),加入大数据关联分析和网络异常检测技术实现业务的安全监控与自动化响应。在被攻击之前,根据各项检测数据,对可能出现的风险事件进行分类,这样就做到了攻击的提前预警。被攻击后,可以通过日志来进行快速自动化响应,自动修补漏洞,并参与到预知风险计算中,这样大大减少了工作量,实现了智能化监管[2]。
图2 安全监控与自动化响应流程
基于安全监控与自动化响应的管理策略,为实现可视化,增设了策略概览、策略列表、策略优化、策略收敛、策略梳理和策略检查6个模块:(1)策略概览是呈现一台设备的策略概况的,可以统计检测设备涉及的IP数、策略总数,检查过多少次策略,有多少条策略路由、静态路由以及路由表中有多少路由条目等基础信息。(2)策略列表与策略概览相反,会显示每一条策略的详细内容,包括安全策略、NAT策略、ACL策略、静态路由、策略路由、路由表,都是统计的对象。不仅将这些内容详细地罗列出来,还做了统计,哪种策略一共有多少条,当管理员想要知道哪条策略在哪台设备上时,可以快速查找到[3]。(3)策略优化是罗列一台设备中有问题的策略的模块,设备中的隐藏策略、冗余策略、空策略,过期策略和合并策略都属于问题策略。这些策略轻者使得一些网段不通,影响业务,重者产生攻击面,让攻击者有机可乘。平台也统计了每种问题策略的数量,做出了分布饼状图来供管理员参考。(4)策略收敛是用来统计一台设备策略修改过程的,罗列出了哪台设备什么时间进行了哪些参数的重新设置,最后生成统计日志,方便管理员查看,并定期进行更新。(5)策略梳理通过防火墙策略日志(或会话日志)分析,自动梳理出防火墙安全策略配置建议,并支持按源地址、目的地址分别进行合并汇聚梳理。策略梳理需先新建策略梳理任务,待任务执行完毕后,可在梳理结果栏下载或在线查询梳理报告。管理员看到这些报告,可以很快地找出最佳的策略配置方案。(6)策略检查是用来显示整个网络策略安全情况的,检查完毕后会做出评分,并显示存在风险设备的总数,将存在风险设备的风险策略罗列出来,同时显示风险情况,方便管理员随时掌控网络中策略安全程度,必要时做出修改[4]。
在攻击面上,设置了路径分析、主机攻击面和服务攻击面3个小模块:(1)路径分析是一个配合拓扑图使用的功能,可以在拓扑图中查询节点、数据流和路径。节点是用来查询单一设备的,当输入想要查询的节点的名称或者管理IP时,就会在拓扑图中显示该设备所在的位置,并附带该节点的基本信息,方便管理员快速查找。数据流是可以输入起点与终点的,也可以只输入起点。当输入起点与终点后,该条路径的数据流详情就会显示,包括源、目的端口、协议等。如果只输入起点,那么以这台设备为中心,哪些设备可达、走哪些路径都会显示出来。当一台设备中毒之后,就能很快地知道会扩散到网络中的哪些区域,以作精准应对。(2)主机攻击面主要是用来分析暴露风险的,同样会给主机做出风险评估,如果主机有暴露风险,则会列出详细的风险情况,包括主机所属安全域,通过哪个服务暴露的,这个暴露会涉及哪些路径。(3)服务攻击面和主机攻击面类似,主要用来分析服务的暴露风险,进行风险评估[5]。
在风险评估上,设置了域间的访问关系、风险规则库和域间风险3个小模块:(1)域间访问关系罗列了整个企业网的各个域之间的访问关系,它分为白名单和黑名单,是根据现有的防火墙的配置生成的。风险规则库定义域间的风险规则。默认系统中有预设的风险规则,同时也可以自定义风险规则。有一级分类和二级分类两种,一级分类包含域间访问风险和策略规则风险。二级分类包含域间访问风险、宽松风险、高危端口、策略检查、对象检查等规则。(2)规则级别分别有高、较高、中、较低、低。预设规则有几十种以供选择,同时,自定义也可以完全根据现网情况进行配置,能满足绝大部分网络。(3)域间风险则是按照管理员启用的规则库里的规则做分析之后的域间可能出现的风险,以矩阵的方式进行罗列,方便管理员随时发现危险。
针对企业网提出使用网络流量控制策略可视化技术,全面提升网络安全防御能力。在攻击面分析时,加入大数据关联分析和网络异常检测技术,实现业务的安全监控与自动化响应。主要从安全管理策略可视化、攻击面可视化和风险评估可视化3个方面进行了落地设计,为企业核心业务安全运行保驾护航,提升了网络与安全运维管理的效率。