郭 慶,余 海,房利國
(中國電子科技集團(tuán)公司第三十研究所,四川 成都 610041)
處理機(jī)密信息的終端用戶設(shè)備(End User Device,EUD)通過移動通信網(wǎng)連接到相同保密等級的政府機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)或政府合作企業(yè)內(nèi)部網(wǎng)絡(luò)時,需要使用密碼實現(xiàn)網(wǎng)絡(luò)傳輸數(shù)據(jù)的加密保護(hù)和基礎(chǔ)設(shè)施網(wǎng)絡(luò)接入的安全認(rèn)證,同時需要綜合利用各種網(wǎng)絡(luò)監(jiān)測手段,提升基礎(chǔ)設(shè)施網(wǎng)絡(luò)的可見性,賦予用戶對網(wǎng)絡(luò)安全態(tài)勢的感知能力。
針對上述EUD 安全接入相同保密等級內(nèi)部網(wǎng)絡(luò)的問題,美國國家安全局(National Security Agency,NSA)在移動接入能力包(Mobile Access Capability Package,MA CP)中提出了基于IPsec VPN 和TLS VPN 等貨架式商用密碼產(chǎn)品,實現(xiàn)跨越移動通信網(wǎng)傳輸機(jī)密數(shù)據(jù)的雙層加密解決方案,同時給出了在基礎(chǔ)設(shè)施網(wǎng)絡(luò)和EUD 實施持續(xù)監(jiān)測的機(jī)制及實施要求。
本文將介紹NSA 針對移動接入解決方案提出的持續(xù)監(jiān)測機(jī)制及實施要求,并就其安全原理進(jìn)行分析。
文獻(xiàn)[1]MA CP 賦予了用戶利用具備雙層傳輸加密功能的EUD,通過移動通信網(wǎng)接入相同保密等級網(wǎng)絡(luò)的能力。如圖1 所示,跨越黑網(wǎng)的EUD 流量依次通過外部防火墻、外部VPN 網(wǎng)關(guān)、灰防火墻、內(nèi)部加密組件、內(nèi)部防火墻,最后接入相同保密等級的紅網(wǎng)。
圖1 移動接入解決方案
隨著該安全接入能力的增加,產(chǎn)生了對解決方案中基礎(chǔ)設(shè)施網(wǎng)絡(luò)流量和系統(tǒng)日志等進(jìn)行持續(xù)監(jiān)測的需求。這種持續(xù)監(jiān)測將使得用戶能檢測、響應(yīng)和報告針對其解決方案基礎(chǔ)設(shè)施的攻擊事件,同時能偵測解決方案基礎(chǔ)設(shè)施組件中的配置錯誤和潛在威脅。
文獻(xiàn)[2]中的CSfC 持續(xù)監(jiān)測架構(gòu)定義了分布在移動接入解決方案黑網(wǎng)、灰網(wǎng)和紅網(wǎng)上的8 個監(jiān)測點(Monitoring Point,MP)。如圖2 所示,每個MP 都代表了基礎(chǔ)設(shè)施網(wǎng)絡(luò)上的一個關(guān)鍵點,其上的監(jiān)測功能使系統(tǒng)和網(wǎng)絡(luò)行為具有可見性,使分析人員能夠通過觀察加密點前后和管理網(wǎng)內(nèi)部的網(wǎng)絡(luò)情況來確認(rèn)各加密組件的運行狀態(tài)。
圖2 MA CP 監(jiān)測點位置
監(jiān)測點1(MP1):位于黑網(wǎng)中,用于監(jiān)視外部防火墻和外部VPN 網(wǎng)關(guān)之間的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到任何本應(yīng)被外部防火墻阻斷的流量時產(chǎn)生異常告警。這些異常告警可能指示外部防火墻的過濾功能失效,也可能表示存在錯誤配置、潛在威脅或試圖未經(jīng)授權(quán)連接外部VPN 網(wǎng)關(guān)。
監(jiān)測點2(MP2):位于灰網(wǎng)中,用于監(jiān)視外部VPN 網(wǎng)關(guān)和灰防火墻之間的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到任何本應(yīng)被外部VPN 網(wǎng)關(guān)或灰防火墻阻止的流量時產(chǎn)生異常告警。這些異常告警可能指示灰防火墻或外部VPN 網(wǎng)關(guān)的過濾功能失效,也可能表示存在錯誤配置或潛在威脅。
監(jiān)測點3(MP3):位于灰網(wǎng)中,用于監(jiān)視灰防火墻和內(nèi)部加密組件之間的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到任何本應(yīng)被灰防火墻阻止或不該由內(nèi)部加密組件發(fā)送的流量時產(chǎn)生異常告警。這些異常告警可能指示灰防火墻的過濾功能失效,也可能表示灰防火墻或內(nèi)部加密組件存在錯誤配置或潛在威脅。
監(jiān)測點4(MP4):位于紅網(wǎng)中,用于監(jiān)視內(nèi)部加密組件和內(nèi)部防火墻之間的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到任何本應(yīng)被內(nèi)部加密組件或內(nèi)部防火墻阻止的流量時產(chǎn)生異常告警。這些異常告警可能指示內(nèi)部加密組件或內(nèi)部防火墻的過濾功能失效,也可能表示存在錯誤配置或潛在威脅。
監(jiān)測點5(MP5):位于紅網(wǎng)內(nèi)部,用于監(jiān)視內(nèi)部防火墻和紅網(wǎng)之間的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到任何本應(yīng)被內(nèi)部防火墻阻止或不該從紅網(wǎng)發(fā)送給EUD 或內(nèi)部加密組件的流量時產(chǎn)生異常告警。這些異常告警可能指示內(nèi)部加密組件或內(nèi)部防火墻的過濾功能失效,也可能表示存在錯誤配置或潛在威脅。
監(jiān)測點6(MP6):位于灰管理網(wǎng)內(nèi)部,用于監(jiān)視部署在灰網(wǎng)中的管理服務(wù)的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到本應(yīng)被灰防火墻阻止或不該從灰管理網(wǎng)發(fā)出的流量時產(chǎn)生異常告警,并使安全管理員能夠查詢連接到灰管理網(wǎng)的所有組件的系統(tǒng)日志數(shù)據(jù)。在灰管理網(wǎng)產(chǎn)生的異常告警可能指示灰防火墻的過濾功能失效,也可能表示外部VPN 網(wǎng)關(guān)、灰防火墻或灰管理網(wǎng)組件存在錯誤配置或潛在威脅。
監(jiān)測點7(MP7):位于紅管理網(wǎng)內(nèi)部,用于監(jiān)視部署在紅網(wǎng)中的管理服務(wù)的網(wǎng)絡(luò)數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為在檢測到本應(yīng)被內(nèi)部防火墻阻止或不該從紅管理網(wǎng)發(fā)出的流量時產(chǎn)生異常告警,并使安全管理員能夠查詢連接到紅管理網(wǎng)的所有組件的系統(tǒng)日志數(shù)據(jù)。在紅管理網(wǎng)產(chǎn)生的異常告警可能指示內(nèi)部防火墻的過濾功能失效,也可能表示內(nèi)部加密組件、內(nèi)部防火墻或紅管理網(wǎng)組件存在錯誤配置或潛在威脅。
監(jiān)測點8(MP8):位于EUD 上,用于從設(shè)備中采集系統(tǒng)和應(yīng)用的日志數(shù)據(jù)。部署在此處的監(jiān)測組件應(yīng)配置為將EUD 日志數(shù)據(jù)和異常告警發(fā)送到紅網(wǎng)。這些日志和告警可能表示EUD 存在錯誤配置或潛在威脅。
MA CP 要求收集和分析的安全事件數(shù)據(jù)包括但不限于各設(shè)備的系統(tǒng)日志、IDS/IPS 告警和網(wǎng)絡(luò)流量數(shù)據(jù)。設(shè)備系統(tǒng)的日志可以非常廣泛,包括安全關(guān)聯(lián)事件、配置變更、狀態(tài)告警以及在感知系統(tǒng)安全態(tài)勢時可能有用的數(shù)據(jù)。MA CP 數(shù)據(jù)收集方案,如圖3 所示。
黑網(wǎng):黑網(wǎng)中的兩個關(guān)鍵組件是外部防火墻和監(jiān)測點MP1。建議在黑管理服務(wù)中部署專門的數(shù)據(jù)收集服務(wù)器,從這兩個獨立的設(shè)備上收集安全事件數(shù)據(jù)。如圖3 所示,通過獲得認(rèn)證的跨域解決方案(Cross Domain Solution,CDS)將這些數(shù)據(jù)轉(zhuǎn)發(fā)到灰網(wǎng)的數(shù)據(jù)收集服務(wù)器。
圖3 MA CP 數(shù)據(jù)收集方案
灰網(wǎng):灰網(wǎng)中的關(guān)鍵組件是外部VPN 網(wǎng)關(guān)、灰防火墻、監(jiān)測點MP2、監(jiān)測點MP3、監(jiān)測點MP6以及灰管理服務(wù)器。在最低要求下,這些設(shè)備的安全事件數(shù)據(jù)至少被直接發(fā)送到部署在灰網(wǎng)中的安全信息與事件管理器(Security Information and Event Management,SIEM)?;襍IEM 不允許從黑網(wǎng)收集數(shù)據(jù),除非使用獲得認(rèn)證的CDS,如圖3 所示。建議利用專門的數(shù)據(jù)收集服務(wù)器接收所有設(shè)備的安全事件數(shù)據(jù),并通過獲得認(rèn)證的CDS 將這些數(shù)據(jù)轉(zhuǎn)發(fā)到紅網(wǎng)中的數(shù)據(jù)收集服務(wù)器。
紅網(wǎng):為EUD 提供各種服務(wù)的紅網(wǎng)中的關(guān)鍵組件至少包括內(nèi)部加密組件、內(nèi)部防火墻、監(jiān)測點MP4、監(jiān)測點MP5、監(jiān)測點MP7 以及紅管理服務(wù)器。所有安全事件數(shù)據(jù)必須被發(fā)送到部署在紅網(wǎng)監(jiān)測域的專門的數(shù)據(jù)收集服務(wù)器,并被提供給紅網(wǎng)中的SIEM。紅SIEM 不允許從黑網(wǎng)或灰網(wǎng)收集數(shù)據(jù),除非使用獲得認(rèn)證的CDS,如圖3 所示。建議利用紅SIEM 收集、統(tǒng)計、關(guān)聯(lián)和分析來自黑網(wǎng)、灰網(wǎng)、紅網(wǎng)的全部安全事件數(shù)據(jù)。
為了保護(hù)安全事件數(shù)據(jù)的機(jī)密性和完整性,所有數(shù)據(jù)的傳輸都采用TLS、SSH 或IPsec 加密。
另外,可使用單向無源光纖網(wǎng)絡(luò)測試接入點(Test Access Point,TAP)將原始網(wǎng)絡(luò)通信流量傳輸?shù)礁弑Wo(hù)級別網(wǎng)絡(luò)中的IDS 或SIEM。光學(xué)TAP 的使用僅限于解決方案的原始網(wǎng)絡(luò)數(shù)據(jù)捕獲,不能用于向更高保護(hù)級別網(wǎng)絡(luò)傳輸系統(tǒng)日志或任何其他數(shù)據(jù)。
為保障有效提升基礎(chǔ)設(shè)施網(wǎng)絡(luò)的整體防御能力,解決方案實施連續(xù)監(jiān)測時,在監(jiān)測點選擇、設(shè)備部署、告警設(shè)置、流量監(jiān)測、日志記錄和安全審計等方面需遵循相應(yīng)要求。
如表1 所示,MA CP 實施持續(xù)監(jiān)測時,必須對EUD、灰管理服務(wù)以及紅管理服務(wù)進(jìn)行監(jiān)視;在內(nèi)部防火墻的外網(wǎng)或內(nèi)網(wǎng)側(cè)選擇一個監(jiān)測點,對出入紅網(wǎng)的數(shù)據(jù)進(jìn)行監(jiān)視;在外部VPN 網(wǎng)關(guān)或灰防火墻的外網(wǎng)或內(nèi)網(wǎng)側(cè)選擇一個監(jiān)測點,對出入黑網(wǎng)或灰網(wǎng)的數(shù)據(jù)進(jìn)行監(jiān)視。
在各監(jiān)測點應(yīng)部署IDS 或IPS,并在檢測到任何未經(jīng)允許的目的IP 地址或源IP 地址時產(chǎn)生告警。若部署的是IPS,還應(yīng)在產(chǎn)生告警的同時阻塞可疑流量。
一般在灰網(wǎng)中應(yīng)部署SIEM,除非已部署了經(jīng)認(rèn)證的CDS 將事件報給紅網(wǎng)中的SIEM?;襍IEM應(yīng)收集來自外部VPN 網(wǎng)關(guān)、灰防火墻和任何灰管理服務(wù)組件的日志,并維護(hù)一份最新的EUD 證書和外部IPsec 隧道IP 地址的關(guān)聯(lián)表。
表1 MA CP 監(jiān)測點部署要求
灰SIEM 應(yīng)在以下情況下產(chǎn)生告警:
(1)檢測到外部VPN 網(wǎng)關(guān)或灰防火墻阻塞了可疑流量等異常事件;
(2)EUD 試圖使用錯誤的VPN 客戶端設(shè)置與外部VPN 網(wǎng)關(guān)建立連接;
(3)外部VPN 網(wǎng)關(guān)或灰防火墻在24 小時內(nèi)出現(xiàn)3 次以上的無效登錄嘗試;
(4)外部VPN 網(wǎng)關(guān)或灰防火墻發(fā)生授權(quán)擴(kuò)大或配置變更;
(5)在外部VPN 網(wǎng)關(guān)、灰防火墻或任何灰認(rèn)證服務(wù)器上創(chuàng)建新賬戶;
(6)試圖利用無效的證書與外部VPN 網(wǎng)關(guān)建立IPsec 連接;
(7)出現(xiàn)預(yù)期IP 地址外的DNS 請求。
內(nèi)部防火墻上應(yīng)使能網(wǎng)絡(luò)流量提取功能。同時,紅網(wǎng)中應(yīng)安裝網(wǎng)絡(luò)流量收集器,如SiLK、IPFlow、NetFlow 等,并建立網(wǎng)絡(luò)流量數(shù)據(jù)基線且定期更新。
網(wǎng)絡(luò)流量數(shù)據(jù)應(yīng)檢查以下內(nèi)容:
(1)產(chǎn)生過多流量的網(wǎng)絡(luò)數(shù)據(jù)流;
(2)試圖連接不恰當(dāng)?shù)腎P 地址;
(3)試圖連接內(nèi)部服務(wù)已關(guān)閉的端口;
(4)產(chǎn)生過多的小包數(shù)據(jù),如超過60%的數(shù)據(jù)包僅含150 字節(jié)及以下的數(shù)據(jù);
(5)產(chǎn)生過多ICMP 消息。
移動接入基礎(chǔ)設(shè)施各設(shè)備發(fā)送到SIEM 的日志記錄應(yīng)包括以下內(nèi)容:
(1)VPN 網(wǎng)關(guān)記錄的VPN 隧道建立和隧道終結(jié)的日志;
(2)受TLS 保護(hù)的服務(wù)記錄的TLS 連接建立和連接終結(jié)的日志;
(3)使用相同EUD 設(shè)備證書,從不同IP 地址同時建立2 條以上VPN 隧道或TLS 連接的日志;
(4)所有對審計日志進(jìn)行操作的日志,如卸載、刪除等;
(5)所有鑒別和認(rèn)證相關(guān)操作的日志;
(6)未經(jīng)認(rèn)證就試圖在對象上執(zhí)行操作的日志,如讀、寫、執(zhí)行以及刪除等;
(7)所有以超級用戶或管理員權(quán)限執(zhí)行的操作;
(8)用戶權(quán)限擴(kuò)大的日志;
(9)產(chǎn)生、加載和撤回證書的日志;
(10)系統(tǒng)時間改變的日志。
每條日志記錄都應(yīng)記錄事件的日期和時間、標(biāo)識符、類型、成功或失敗,并包括錯誤碼、何時有效、主體標(biāo)識符等。對于基于網(wǎng)絡(luò)的事件,每條日志記錄都應(yīng)記錄源地址。對于基于規(guī)則的事件,每條日志記錄都應(yīng)記錄用戶、規(guī)則標(biāo)識符以及何處應(yīng)用等。
審計員應(yīng)至少每天參照建立的基線對比收集的網(wǎng)絡(luò)流量數(shù)據(jù)。所有組件的基線配置應(yīng)由安全管理員維護(hù),并由審計員審計。
EUD 監(jiān)測數(shù)據(jù)的來源包括但不限于操作系統(tǒng)事件日志數(shù)據(jù)、主機(jī)入侵檢測系統(tǒng)、遠(yuǎn)程認(rèn)證解決方案、移動設(shè)備管理器和企業(yè)數(shù)據(jù)駐留代理,監(jiān)測數(shù)據(jù)包括但不限于VPN 隧道的狀態(tài)、軟件/固件更新、硬件狀態(tài)、錯誤配置和與入侵相關(guān)的事件等。
移動接入解決方案的安全原理是利用物理獨立的外部VPN 網(wǎng)關(guān)和內(nèi)部加密組件在基礎(chǔ)設(shè)施網(wǎng)絡(luò)中構(gòu)建出灰網(wǎng)絡(luò),確保兩層加密只要不同時失效,機(jī)密數(shù)據(jù)就不會泄露到黑網(wǎng)上;實施持續(xù)監(jiān)測,確保能及時發(fā)現(xiàn)外部VPN 網(wǎng)關(guān)和內(nèi)部加密組件等設(shè)備因錯誤配置或被攻破等導(dǎo)致機(jī)密信息泄露的風(fēng)險,為問題處置和系統(tǒng)恢復(fù)爭取寶貴的時間。
網(wǎng)絡(luò)流量監(jiān)測點選擇部署在外部防火墻和外部VPN 網(wǎng)關(guān)之間(MP1)、外部VPN 網(wǎng)關(guān)和灰防火墻之間(MP2)、灰防火墻和內(nèi)部加密組件之間(MP3)、內(nèi)部加密組件和內(nèi)部防火墻之間(MP4)、內(nèi)部防火墻以內(nèi)(MP5)。
如圖4 所示,MP1 上的常態(tài)流量為IPsec 加密流量、有限數(shù)量IKE 協(xié)議[3]。由于幾乎所有通過MP1 的流量都使用了IPsec 加密,IDS/IPS 被限于僅能分析IP 地址、端口、協(xié)議和流量等數(shù)據(jù)。通過網(wǎng)絡(luò)流量分析,當(dāng)入站流量包含非IPsec 和IKE 包,或者目的IP 地址不是外部VPN 網(wǎng)關(guān)的IP 地址時,外部防火墻可能被攻破或存在錯誤配置。當(dāng)出站流量包含非IPsec 和IKE 包,或者源IP 地址不是外部VPN 網(wǎng)關(guān)的IP 地址時,外部VPN 網(wǎng)關(guān)可能存在錯誤配置。當(dāng)出入站的IKE 包流量明顯超出基線值時,可能存在針對外部VPN 網(wǎng)關(guān)的IKE 協(xié)議攻擊。
如圖5 所示,MP2 上的常態(tài)流量可包括IPsec流量、使用TLS 或SRTP 加密的數(shù)據(jù)面流量、控制面流量和管理流量[3]。由于幾乎所有通過MP2 的流量都使用IPsec、TLS、SRTP 或者SSH 進(jìn)行了加密,IDS/IPS 被限于僅能分析IP 地址、端口、協(xié)議和流量等數(shù)據(jù)。通過網(wǎng)絡(luò)流量分析,當(dāng)入站流量包含非IPsec、TLS、SRTP、SSH 和ISAKMP 包或者目的IP 地址不是允許的IP 地址時,外部防火墻和外部VPN 網(wǎng)關(guān)可能被攻破或存在錯誤配置;當(dāng)出站流量包含非IPsec、TLS、SRTP、SSH 和ISAKMP 包或者源IP 地址不是允許的IP 地址時,灰防火墻和內(nèi)部加密組件可能存在配置錯誤。
圖4 MP1 監(jiān)測點上的合法流量
圖5 MP2 和MP3 監(jiān)測點上的合法流量
如圖5 所示,MP3 上的常態(tài)流量可包括IPsec流量、使用TLS 或SRTP 加密的數(shù)據(jù)面流量[3]。由于幾乎所有通過MP3 的流量都使用IPsec、TLS、SRTP 進(jìn)行了加密,IDS/IPS 被限于僅能分析IP 地址、端口、協(xié)議和流量等數(shù)據(jù)。通過網(wǎng)絡(luò)流量分析,當(dāng)入站流量包含非IPsec、TLS、SRTP 和ISAKMP包或者目的IP 地址不是允許的IP 地址時,灰防火墻可能存在錯誤配置;當(dāng)出站流量包含非IPsec、TLS、SRTP 和ISAKMP 包或者源IP 地址不是允許的IP 地址時,內(nèi)部加密組件可能存在錯誤配置。
MP4 和MP5 是最難明確網(wǎng)絡(luò)流量數(shù)據(jù)的,但由于流量沒有被加密,能夠?qū)嵤┥疃劝鼨z查。通過網(wǎng)絡(luò)流量深度檢查,當(dāng)入站流量包含非允許的數(shù)據(jù)包時,內(nèi)部防火墻可能存在配置錯誤;當(dāng)出站流量包含非允許的數(shù)據(jù)包時,內(nèi)部紅網(wǎng)中的服務(wù)器或用戶終端可能存在錯誤配置,或者存在潛在的威脅,如木馬、病毒等。
外部VPN 網(wǎng)關(guān)和內(nèi)部加密組件基于密碼實現(xiàn)了黑網(wǎng)和灰網(wǎng)、灰網(wǎng)和紅網(wǎng)的隔離,禁止紅網(wǎng)數(shù)據(jù)不經(jīng)過內(nèi)部加密組件流向灰網(wǎng)和黑網(wǎng)以及灰網(wǎng)數(shù)據(jù)不經(jīng)過外部VPN 網(wǎng)關(guān)流向黑網(wǎng)。
但是,將黑網(wǎng)、灰網(wǎng)和紅網(wǎng)中各設(shè)備系統(tǒng)日志、IDS/IPS 告警和網(wǎng)絡(luò)流量數(shù)據(jù)等安全事件數(shù)據(jù)關(guān)聯(lián)起來,用戶將獲得移動接入基礎(chǔ)設(shè)施網(wǎng)絡(luò)的安全態(tài)勢全息圖,從而及時應(yīng)對和處理各種網(wǎng)絡(luò)攻擊和潛在的安全威脅。因此,可以采用獲得認(rèn)證的CDS 將低安全等級邊界的數(shù)據(jù)逐次交換到紅網(wǎng),在確保紅網(wǎng)、灰網(wǎng)、黑網(wǎng)網(wǎng)絡(luò)隔離的同時實現(xiàn)安全事件數(shù)據(jù)的匯集。
移動接入解決方案采用雙層加密與持續(xù)監(jiān)測相結(jié)合的方式,實現(xiàn)了包含策略、防護(hù)、檢測以及響應(yīng)恢復(fù)的P2DR2 動態(tài)安全模型。
3.3.1 策略(Policy)
根據(jù)移動接入業(yè)務(wù)服務(wù)需求,制定具體的“IPsec+IPsec”或“IPsec+TLS/SRTP”雙層加密策略。另外,給各防火墻、IDS/IPS、SIEM、認(rèn)證服務(wù)器、管理工作站等設(shè)備分別制定出站和入站規(guī)則、流量監(jiān)測規(guī)則、安全告警策略、身份認(rèn)證機(jī)制等安全策略,設(shè)置各類用戶操作權(quán)限,建立流量、規(guī)則和權(quán)限等配置基線。
3.3.2 防護(hù)(Protection)
外部VPN 網(wǎng)關(guān)和內(nèi)部加密組件實現(xiàn)EUD 和紅網(wǎng)服務(wù)器間交互數(shù)據(jù)的雙層加密保護(hù),確保機(jī)密信息不會泄露到黑網(wǎng)上;各防火墻實現(xiàn)黑網(wǎng)到外部VPN 網(wǎng)關(guān)、外部VPN 網(wǎng)關(guān)到內(nèi)部加密組件、內(nèi)部加密組件到紅網(wǎng)的網(wǎng)絡(luò)包過濾。
3.3.3 檢測(Detection)
IDS/IPS 對各持續(xù)監(jiān)測點上的網(wǎng)絡(luò)流量進(jìn)行提取分析,SIEM 則收集分析各設(shè)備系統(tǒng)日志、IDS/IPS 告警和網(wǎng)絡(luò)流量數(shù)據(jù),并產(chǎn)生告警信息。
3.3.4 響應(yīng)(Response)
若部署IPS,可在產(chǎn)生告警信息的同時阻斷異常流量;各管理員接收到告警信息后,可及時進(jìn)行策略更改、規(guī)則更新等操作。
3.3.5 恢復(fù)(Recovery)
完成異常告警處理后,通過新策略、新規(guī)則、新基線設(shè)置等的下發(fā),可快速恢復(fù)系統(tǒng)運行,繼續(xù)提供安全的移動接入服務(wù)。
一個比較典型的異常處理實例:當(dāng)發(fā)現(xiàn)使用同一個EUD 設(shè)備證書從不同IP 地址同時建立兩條以上VPN 隧道或TLS 連接時,認(rèn)證服務(wù)器可立即停止對該EUD 設(shè)備證書的認(rèn)證服務(wù),并發(fā)送異常事件信息給SIEM;接收到告警信息后,CA 管理員可立即撤回設(shè)備證書,并給安全管理員提供一份更新的CRL,安全管理員則應(yīng)立即中斷會話;待排除掉該EUD 設(shè)備的安全威脅后,再采取更換EUD 和設(shè)備證書等措施恢復(fù)為該合法用戶提供的服務(wù)。
本文介紹了NSA 移動接入解決方案持續(xù)監(jiān)測機(jī)制給出的監(jiān)測點位置、安全事件數(shù)據(jù)匯集手段以及實施持續(xù)監(jiān)測時需滿足的要求,分析了各監(jiān)測點網(wǎng)絡(luò)流量類型和異常告警判斷依據(jù),利用CDS 實現(xiàn)數(shù)據(jù)匯聚的安全意義和整個系統(tǒng)的動態(tài)安全模型。類似的持續(xù)監(jiān)測機(jī)制在NSA 的文獻(xiàn)[4]多站點連接能力包(Multi-Site Connectivity Capability Package,MSC CP)和文獻(xiàn)[5]WLAN 能力包(Wireless Local Area Network Capability Package,WLAN CP)中 也可找到。上述解決方案中提出的持續(xù)監(jiān)測機(jī)制和實施要求可以為我國黨政機(jī)關(guān)、企事業(yè)單位、科研院所等用戶,基于移動通信網(wǎng)、互聯(lián)網(wǎng)、WLAN 網(wǎng)等開放網(wǎng)絡(luò)構(gòu)建虛擬私有專網(wǎng)時設(shè)計網(wǎng)絡(luò)整體監(jiān)測方案提供參考。