|
摘 要:近年来,云计算、大数据等新兴技术得到了快速发展和广泛应用,这些新技术在为信息系统的发展提高效能的同期,亦为当前的安全防护机制带来许多挑战。传统安全防护架构因自己架构设计不足,存在运维管理困难、与系统的融合度不足等问题,其静态策略模式不可全面处理由虚拟化、大数据等技术引入的新型未知安全威胁,亦不足以支撑大规模的计算、存储、网络资源安全防护需要。因此呢,亟须科研一种应对新时代安全挑战的安全防护架构。基于容器、软件定义安全、人工智能等技术提出了一种智能弹性的 3 层网络安全防御架构,前端灵活、后端稳定,后端连续为前端防护载荷赋能,且能自组织和共生演化防护功能,从而提高网络安全防护能力,为网络信息系统托底。
内容目录:
1 关联工作
2 智能弹性的 3 层网络安全防御架构设计
2.1 体系架构设计
2.2 基本防护层
2.3 运维管理层
2.4 智能决策层
3 安全防护架构对比分析
3.1 体系架构整体效能方面
3.2 对防御能力的支撑方面
3.3 业务的架构符合状况
4 结 语
当前信息系统建设过程中,因为安全防护系统缺乏体系设计,导致运维管理困难、与系统的融合度不足等问题,且安全防护体系的弹性、韧性和灵活性不足,使安全防护能力大打折扣。
为认识决安全防护架构的灵活性问题,基于前后台的架构被应用到网络安全防护场景中。随着信息化建设加速发展,基于前后台的网络安全架构暴露出许多问题,例如:运维管理庞杂,安全防护能力烟囱式建设,安全数据显现孤岛,没法实现融合协作;前台的灵活需要和后台的稳定需要不协调,引起安全防护体系连续发展受阻。因此呢,设计一种满足前台弹性、灵活和后台稳定靠谱、智能的需要,且能够紧跟信息系统迭代步伐的安全防护框架作为亟待处理的问题。
本文在“前 - 后”台安全防护架构的基本上,提出一种智能弹性的 3 层网络安全防御架构,经过构建中间运维管理层来衔接灵活的前端防护载荷和稳定的后台智能决策层,打通安全防护软件之间的相互隔阂。该架构由云计算、大数据、人工智能等技术供给支撑,后台能够充分利用融合汇聚的各类安全数据,对未知威胁或即将出现的威胁产生预测预判。运维管理层能够按照后端智能决策层供给的分析结果自适应生成安全防护策略,再调度前端功能载荷展开实质安全防护,构建一个灵活、弹性、智能的 3 层网络安全防护架构。
1 关联工作
“前-后”台分离的设计广泛应用于金融业 、电信以及 IT 服务的信息系统 架构中。随着信息化建设发展,基于前后台的网络安全防护架构 逐步积淀形成。前台重点完成安全数据采集、端点防护、网络防护、应用防护等功能,重点包含网络防火墙、应用安全网关、网络入侵检测设备、防病毒客户端和主机管控客户端等。后台重点是各样安全防护后台服务,重点包含安全运营系统、安全态势系统、网络威胁分析系统等。
随着信息化建设进入加速发展周期,基于前后台的网络安全架构暴露出许多问题。
(1)前后台架构的安全防护体系存在系统功能重复建设,各个安全防护软件都需要具备用户管理、身份认证、资产管理、策略管理等功能,有害于软件功能复用,增多了系统研制成本。
(2)前后台架构的安全防护体系引起烟囱式系统建设,造成为了网络防病毒、主机综合管控、补丁分发管理、端点威胁检测与响应等安全防护软件之间的独立研制、独立建设,有害于安全防护体系的数据融合协作。
(3)前后台架构的安全防护体系导致前后台不协调,前台要快速响应用户需要,需要适应区别的软硬件平台,需求前台必须简单、灵活、适变,能够快速安装安排、快速升级迭代。为了更好地支撑越来越多的前台业务,后台就越来越庞大。后台要稳定、靠谱、智能,才可支撑安全防护体系的连续发展。由于前台和后台拥有截然区别的特点,前台和后台系统倘若直接连接必定导致安全防护体系存在不稳定、不靠谱的状态。
在信息系统研发中,常常经过引入一个中间层来将前台系统中的稳定通用业务能力下沉。中间层的存在不仅减轻了前台的压力,提高了前台的响应速度,还能够将后台系统中需要频繁变化或需要被前台直接运用的业务能力抽取到中间层,提高这些业务的灵活度,从而为前台更好赋能。然而,怎样将该思想应用在网络信息系统的安全防护中,构建灵活智能的安全防护架构,仍然处在探索周期。
2 智能弹性的3层网络安全防御架构设计
2.1 体系架构设计
在前后台网络安全防护架构基本上,加强前台的融合与可扩展设计,将原来体系中的后台改为新体系的运维管理层,在新体系中创立由安全大数据驱动的网络智能决策层后台,实现安全能力与云计算、大数据、网络基本设备、终端的结合,经过软件定义安全创立防护功能虚拟化、一体化机制,嵌入覆盖云平台、数据、应用、网络、终端的内生安全基因,依据网络空间信息防御体系模型,构建3 层网络智能防御体系架构。在网络智能防御体系架构中,3 层分别对应基本安全防护层、安全运维管理层和安全智能决策层,各自分工区别,互为弥补,将其整合为统一体系,其体系架构如图 1 所示。
图 1 智能弹性的 3 层网络安全防御架构
2.2 基本防护层
基本安全防护层为智能弹性网络安全防御体系的“四肢”,是安全防护体系的感知执行部分,属于安全防护策略执行端,重点包含网络安全、终端安全、边界安全、数据安全、应用安全等安全基本防护能力,为信息系统构建安全防护屏障。
传统的前台支撑性安全技术重点包含拜访掌控、身份鉴别、终端监控、网络隔离、特征检测、病毒查杀等,前台安全设备间很少交互联动,其重点功效在于缩小攻击面、加强攻击成本。传统的前台技术存在有些问题,首先,为构建全面的终端防护能力,通常需要在终端上安装病毒查杀、主机监控、补丁修复、可信掌控以及各样防护功能的代理软件,这些防护功能因为缺乏统一设计,常常相互影响,乃至相互冲突,不可共存。其次,网络边界防护常常需要安排入侵检测、防火墙、网站应用防火墙(Web Application Firewall,WAF)、抗分布式拒绝服务(Distributed Denial of Service,DDOS)设备、应用防护等,这些设备间存在功能重叠的现象,给用户增多经济和运维上的包袱。另一,随着云计算技术的快速发展,云上应用的数据高度集中,原有实体网络之间的网络边界、实体设备之间的理学边界已然模糊,区别安全等级的网络区域整合到了一个网络区域中,给数据有效隔离和网络边界防护带来挑战 ,而传统的前台技术面对云环境常常无能为力。
为认识决以上问题,在 3 层网络智能防御体系的基本防护层中,需要着重思虑 3 个方面的问题:一是终端防护功能插件化集成,二是网络防护一体化、虚拟化,三是加强云环境的检测防护能力。
(1)终端防护功能插件化集成。借鉴云平台的容器技术,在终端系统经过虚拟化技术实现资源的安全隔离与安全保证,保准各安全功能的可控运行,构造有效、方便、和谐的软件生态环境。遵循统一的终端安全容器插件集成规范,根据功能插件方式综合供给用户登录掌控、终端加固、软件自守护、恶意活动检测、主动安全防御、网络准入掌控等能力,在安全容器的统一调度下,经过组件加载、算法重构、资源保证、策略配置、可信掌控、安全加固、危害评定、准入掌控等手段,实现资源按需变化、动态调度、安全运行,形成动态的终端综合安全防护能力。终端防护功能插件化集成如图 2 所示。
图 2 终端防护功能插件化集成
(2)网络防护功能一体化、虚拟化。在安全集成框架内集成多种类型的网络安全功能单元,经过对各类安全功能单元的集中管理,形成安全服务资源池,结合安全服务编排和流量调度等技术,为网络和业务供给动态可扩展、按需自定义的网络安全服务。安全集成框架是一个具备安全管理和安全资源调度的软硬件结合的集成平台,经过统一的硬件和电气接口,在集成平台内插进各类安全防护单元,经过安全管理和调度接口,将安全防护单元供给的防护功能和资源抽象化,形成安全资源池。当需要实施安全防护时,从资源池中提取相应的安全防护资源,对外供给安全服务。安全功能单元具备板卡、独立硬件、虚拟软件等多种形态,供给包过滤、攻击检测、流量掌控等安全功能。经过统一安全集成框架,整合多种安全功能,实现安全资源的弹性伸缩、安全功能的动态调配和安全性能快速扩展。
(3)云环境的检测防护能力加强。能够经过以下几个方面综合提高云平台的安全检测能力,降低全部云平台的安全危害。首要,加强云平台内生安全能力,采用虚拟化与安全防护一体化设计,内置虚拟机强隔离、镜像加密、虚拟机完整性守护、虚拟机行径管控与审计等安全能力;其次,实现云平台跨虚拟机内部的全流量采集与监测,例如日前有非常多针对 openstack 的流量监控方法;再次,经过软件定义安全的方式,充分利用安全防护设备的软件化、虚拟化,实现个性化流量监测策略,例如针对区别的 Web 应用业务实现区别的 WAF 策略,而无须像以往同样受限于固定硬件设备的有些掣肘;最后,实现区别安全防护设备的云化集中监测能力,云平台自己的特性和云计算的强大能力使得各类安全检测设备云化后,安全日志等安全检测信息的整合集中与相关能力更易得到。
传统的前台设备功能固化,一旦安排难以更改,没法应对新的安全防护需要和新的安全威胁 。在3 层网络智能防御体系中,因为基本防护层采用了一体化、可扩展化设计,能够经过运维管理层接收智能决策层的各样安全资源,包含各样特征库、检测规则、威胁情报,乃至能够扩展新的防护功能载荷,实现防护功能的迭代优化和连续演进。
2.3 运维管理层
运维管理层为 3 层网络智能防御体系的“躯干”,是安全防护体系的智能运维管理部分,以服务化方式供给基本的安全共性服务,支持资源灵活编配和调度,为网络智能防御供给前沿支撑,提高全部安全防护体系的弹性和韧性。
在 3 层网络智能防御体系中,运维管理层是衔接基本防护层和智能决策层的枢纽,它一方面从基本防护层采集汇聚资产信息、运行状态、安全日志、安全事件、安全漏洞、网络流量、安全策略等各类安全数据,并将这些数据汇聚到智能决策层,为智能决策层的安全大脑供给数据支撑;另一方面,接收智能决策层发布的防御指令、威胁情报、防护载荷、安全知识等,转化为基本防护层设备能够直接加载执行的规则、策略、功能模块、知识库等,保持连续更新,即时应对安全威胁,优化提高防护能力。
运维管理层通常包含安全管理、安全审计、应急处置、统一认证、威胁分析等安全功能,这些功能通常单独安排,但安排繁杂,占用资源多,没法统一调度,自己运行平台安全性没法保准。因此呢,在 3 层网络智能防御体系的安全防护框架中,采用统一安全服务集成平台化框架和透明封装技术,在基本设备之上透明封装一个隔离的安全服务容器化环境,基于安全敏捷运行环境加强平台的内生安全防护能力,供给安全服务从分析、构建、发布、安排到运维的全生命周期管理,结合网络安全的实质运用实现安全服务的资源组合和通信流量、安全策略的编排能力。基于统一平台的安全服务集成的安全运维管理层系统架构如图 3 所示。
图 3 基于统一平台的安全服务集成
安全服务集成平台重点包含两部分功能:一是采用虚拟化及透明封装技术,实现安全服务与硬件的分离,经过统一规范实现各类安全服务的弹性编排、安排、调度;二是实现服务间认证、流量编排、服务发掘、负载平衡、服务调用图谱等功能。
安全服务层重点针对网络安全防护的实质应用需要,按需集成安全管理、安全审计、应急响应、统一认证等已有的各类安全基本服务和动态扩充新的安全服务。底层为安全服务集成平台,供给服务虚拟化及透明封装支撑。
运维管理层供给的安全服务重点包含策略管理分发服务、资产智能监控服务、协同运维处置服务及其他共性安全服务。
策略管理分发服务能对安全策略进行分析优化,并按照智能决策层生成的安全防护方法,结合业务需要、网络状况自动生成安全设备防护策略,实现策略生成、分发、管理。
安全资产智能监控服务能够自动发掘安全设备、网络设备、服务器、终端等网络设备资产自动纳管,能够展现安全及网络资产的规律连接关系,具备在线监控网络设备资产运行状态和实施安全基线核查的能力。
安全协同运维处置服务能够按照动态协同防御的目的、对象、主体、流程等供给协同防御、运维处置能力,实现云、网、端系统的有效协同工作。
共性安全服务包含身份管理、资源管理、权限管理、认证授权、流量分析、行径分析、恶意代码分析、情报利用等,这些服务能够为基本防护层赋能,达到快速支撑安全防护能力敏捷弹性拓展的需要。
2.4 智能决策层
智能决策层为 3 层网络智能防御体系 [14] 的“大脑”,是安全防护体系的服务部分,属于安全防护策略决策端,实现安全数据深度分析处理、安全威胁情报生成和网络防御辅助决策。
3 层网络智能防御体系后台大脑由安全数据挖掘、业务经验建模、智能化安全分析技术支撑,与安全专家的攻防经验进行结合,对安全大数据进行全量计算,生成威胁情报与攻击指标,解析攻击手段与技 / 战术,形成攻击趋势分析预测,推动全部防护体系的能力跃迁。
智能决策层以安全数据为驱动,有序调度、按需编排各样安全基本设备、安全管理技术手段和组织保证力量,形成准确预测、灵敏响应、协同处置的安全防御有机整体,各级各类安全设备的安全能力被优化组织并最大化释放,为网络空间防御供给即时、靠谱、系统、完备的安全保证能力支撑。
3 层网络智能防御体系智能决策层经过安全大数据采集、训练、分析,实现威胁发掘、能力生成和策略发布;经过内置安全知识库、安全算法算子及分析引擎,实现智能分析、响应、评定。
如图 4 所示,3 层网络智能防御体系智能决策层由安全大数据支撑平台、智能安全分析系统、威胁情报系统、智能安全响应处置系统、智能安全评定系统、设备学习训练平台和安全知识库系统构成。
图 4 智能决策层系统构成
大数据支撑平台构建安全大数据分析系统,内置统计分析、相关、归类、聚类等算法算子及高级连续性威胁(Advanced Persistent Threat,APT)检测、恶意代码分析等分析引擎,为智能安全分析供给基本支撑。
智能安全分析系统基于人工智能和设备学习技术,应用支撑平台供给的算子和模型,采用人机结合的方式对安全数据进行分析挖掘。同期,按照新发掘的安全漏洞、攻击方式、恶意代码等,提炼检测特征,丰富安全知识库,反哺基本防护层防护载荷,实现其防护功能的连续进化。
威胁情报系统聚焦多源威胁情报管理,管理融合多方情报数据并整合应用到安全体系中,为构建更加有效和自动化的威胁检测体系,有效应对规模化网络攻击和 0day 等高级连续性威胁供给有力技术支撑,能够全面提高威胁检测和响应能力。
智能安全响应处置系统用于对挖掘的安全威胁实现智能响应处置,包含威胁溯源、事件处置、预案生成等。响应处置按照威胁跟踪溯源得到的攻击源、攻击目的、发展趋势、攻击组织等属性调度防御资源,制定最优的安全预案,并下发到运维管理层,对安全威胁进行积极主动防御。
智能安全评定系统用于评定安全能效、评判系统安全状态,促进安全能力演进,评定内容包含危害评定、安全评定、策略评定、信任评定等。
设备学习训练平台对安全数据集合进行训练,生成新的分析模型。现有的分析模型在新的环境中,能够通过训练平台进行测试和参数调节,加强其检测准确度,实现系统的连续优化。
安全知识库系统内置网络资产库、安全告警库、安全日志库、系统补丁库、漏洞资源库、黑白名单库、安全知识库、攻击代码库、安全预案库、安全策略库、法规知识库、威胁情报库,支撑智能分析、响应和评定。
3 安全防护架构对比分析
智能弹性的 3 层网络安全防御体系与传统的前后台网络安全防御体系相比较,具备显著的优良,详细表现如表 1 所示。
表 1 智能弹性的 3 层网络安全防御体系与前后台的网络安全防御体系对比
3.1 体系架构整体效能方面
智能弹性的 3 层网络安全防御体系的防护能力兼具灵活和稳定双重特性。既能够把前台系统中的稳定通用业务能力“沉降”到中台层,赋予前台响应灵活度,又能够将后台系统中需要频繁变化或需要被前端直接运用的安全服务“提取”到运维管理层,为区别的防护需要赋能。因此呢,该架构具备更强的灵活度和更低的变更成本。与此同期,智能决策层负责智慧决策,实时按需赋能,为全部安全防护体系供给最稳定连续的支撑保证。
智能弹性的 3 层网络安全防御体系的智慧后台连续按需赋能、动态调节,形成安全能力自组织和共生演化的安全防护体系,从而形成全面安全防护生态,能更好地应对繁杂未知的安全威胁。
3.2 对防御能力的支撑方面
智能弹性的 3 层网络安全防御体系打造了灵活敏捷的前端防御能力。在传统“前 - 后”台架构下,为了在保持后台系统的稳定性前提下响应用户连续持续的防护需要,自然就会将海量的安全防护业务规律直接嵌入前台系统中,在引入重复的同期还会使前台“臃肿”。而在新的架构中,将通用支撑能力调节至运维管理层,让基本防护层更加灵活敏捷,以便更好地适配安全防护需要。
智能弹性的 3 层网络安全防御体系具备快速响应防护需要的能力。在保持智能决策层各系统稳定性的前提下,当前端防护需要来临时,运维管理层能快速响应。
3.3 业务的架构符合状况
智能弹性的 3 层网络安全防御体系能形成更强大的防护能力。基于终端防护功能插件化集成、网络防护一体化、虚拟化及加强云环境的检测防护能力来扩大传统安全体系的防护范畴,不仅能适配传统防护范畴,还能供给适用于云计算、大数据场景下的防护能力,加强了安全体系的防护能力。
贴合实质安全需要,实现按需精细防护。智能弹性的 3 层网络安全防御体系依托大数据技术、人工智能技术供给威胁研判,基于服务虚拟化及透明封装技术实现对共性安全能力的统一支撑,利用软件定义网络、服务编排调度、负载平衡等技术,形成贴合实质安全需要的智能动态防护系统,能够基于实时安全状态自适应动态调节,实现按需精细防护。
4 结 语
在基于前后台的网络安全防护体系中,前台需要适配满足区别的应用场景和操作环境,这就决定了前台系统必须简单、灵活、适变。后台重点为前台供给安全服务,输出各样安全能力,必须保持相对的稳定和靠谱。前台和后台截然相反的特性造成为了基于前后台的网络安全防护体系不足牢靠、不足稳定,后台对前台输出的安全能力的持久性不强。尤其是随着云计算、大数据和 5G 等新技术的广泛应用,前后台之间的距离越来越远,这种不稳定性越来越明显。
在本文提出的智能弹性的 3 层网络安全防御体系中,运维管理层相当于一个靠前安排、靠前指挥的前线指挥公司,能够全面即时认识把握前端的各样状况,按照防护对象所面临的安全威胁程度,随时调节安全防护策略,按照需要能够随时呼叫智能决策层供给区别的安全能力和安全服务。当显现极端状况时,倘若不可连接到智能防御后端,运维管理层亦能为前台供给最核心的安全能力和安全服务。
引用格式:王强 , 彭正冲 , 金晓鑫 . 一种智能弹性的 3 层网络安全防御架构 [J]. 通信技术 ,2024,57(7):711-717.
作者简介 >>>
王 强,男,硕士,高级工程师,重点科研方向为网络与信息安全;
彭正冲,男,硕士,高级工程师,重点科研方向为网络与信息安全;
金晓鑫,女,学士,工程师,重点科研方向为网络与信息安全。
选自《通信技术》2024年第7期(为便于排版,已省去原文参考文献)
| 
发表于 2024-8-30 21:38:40