基于可編程技術(shù)的一體化內(nèi)生安全架構(gòu)設(shè)計(jì)

賈慧燕 陳振杰 王寶寶 王立昆

摘要：隨著數(shù)字化時(shí)代的發(fā)展，業(yè)務(wù)結(jié)構(gòu)與業(yè)務(wù)需求的快速變化對(duì)網(wǎng)絡(luò)安全性的要求越來越高，現(xiàn)有的安全防護(hù)體系以外掛、被動(dòng)的縱深防御體系為主，難以支持網(wǎng)絡(luò)和安全運(yùn)維的智能化和自動(dòng)化需求。分析了國內(nèi)外內(nèi)生安全的技術(shù)理念，結(jié)合新技術(shù)，新理念，創(chuàng)新地提出了基于可編程技術(shù)的一體化內(nèi)生安全架構(gòu)，利用SDN/P4的可編程優(yōu)勢構(gòu)建內(nèi)生的網(wǎng)絡(luò)安全環(huán)境，達(dá)到協(xié)同聯(lián)動(dòng)的內(nèi)生安全的效能，提升體系化防御能力。

關(guān)鍵詞：縱深防御；內(nèi)生安全；可編程

中圖分類號(hào)：TP文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2022）22-59-4

0引言

隨著數(shù)字經(jīng)濟(jì)時(shí)代的到來，社會(huì)生產(chǎn)生活涉及到的信息安全幾乎包含了現(xiàn)代社會(huì)的各行各業(yè)和方方面面。業(yè)務(wù)和數(shù)據(jù)的安全性成了重中之重。并且伴隨著日趨復(fù)雜的國際環(huán)境，各國對(duì)網(wǎng)絡(luò)空間的競爭博弈日趨激烈，網(wǎng)絡(luò)空間安全日益與國家安全息息相關(guān)，網(wǎng)絡(luò)安全產(chǎn)業(yè)是否壯大已經(jīng)成為衡量國家網(wǎng)絡(luò)安全綜合實(shí)力的重要標(biāo)準(zhǔn)。當(dāng)前網(wǎng)絡(luò)的安全性主要依賴基于“補(bǔ)丁式”“外掛式”設(shè)計(jì)思想的防御方案，由于網(wǎng)絡(luò)設(shè)計(jì)的缺陷以及新技術(shù)的發(fā)展，現(xiàn)有的網(wǎng)絡(luò)雖然有可靠性設(shè)計(jì)，但這種方式是局部的和針對(duì)單點(diǎn)的，而不是徹底的和全面的。這種“局部整改”為主的安全建設(shè)模式，導(dǎo)致網(wǎng)絡(luò)本身缺乏抗攻擊能力，網(wǎng)絡(luò)與安全協(xié)同能力差。同時(shí)，隨著數(shù)字化時(shí)代的發(fā)展，業(yè)務(wù)結(jié)構(gòu)與業(yè)務(wù)需求的快速變化將成為企業(yè)經(jīng)營的常態(tài)，這就要求信息化系統(tǒng)不斷根據(jù)業(yè)務(wù)需求進(jìn)行快速調(diào)整。而網(wǎng)絡(luò)環(huán)境瞬息萬變，安全與網(wǎng)絡(luò)策略必須能夠適應(yīng)業(yè)務(wù)變化與威脅變化。因此，探索研究更有效的網(wǎng)絡(luò)安全新型防御體系，以內(nèi)生安全的建設(shè)思想為指導(dǎo)，充分考慮安全問題，深植網(wǎng)絡(luò)安全能力，具有重大的現(xiàn)實(shí)意義。

1內(nèi)生安全的理念

針對(duì)現(xiàn)有安全防護(hù)方法的缺陷，采取不同的技術(shù)發(fā)展內(nèi)生安全，現(xiàn)在主流內(nèi)生安全研究可以歸納為3種解決方案：

安全與網(wǎng)絡(luò)一體化設(shè)計(jì)（Design-In Security）：其設(shè)計(jì)理念為從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)之初考慮安全，將安全作為網(wǎng)絡(luò)的DNA，從身份認(rèn)證、網(wǎng)絡(luò)安全、平臺(tái)安全、數(shù)據(jù)安全以及業(yè)務(wù)安全等全方位構(gòu)建端到端安全防護(hù)體系。其典型應(yīng)用為網(wǎng)絡(luò)5.0技術(shù)中的內(nèi)生安全架構(gòu)[1]。

安全內(nèi)嵌網(wǎng)絡(luò)（Built-In Security）：通過增強(qiáng)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備內(nèi)部的安全防范能力，使攻擊不可能發(fā)生。其典型應(yīng)用為WIN-T嵌入式安全[2]、思科自防御網(wǎng)絡(luò)戰(zhàn)略[3]等。

本質(zhì)安全（Native Security）：依靠網(wǎng)絡(luò)自身構(gòu)造因素產(chǎn)生的安全功效，通過網(wǎng)絡(luò)隨機(jī)化/動(dòng)態(tài)化/多樣化等手段實(shí)現(xiàn)安全的目標(biāo)。其典型應(yīng)用為移動(dòng)目標(biāo)防御MTD[4]、擬態(tài)防御[5]。

當(dāng)前的縱深防御體系是邊界防御的進(jìn)一步發(fā)展，在網(wǎng)絡(luò)系統(tǒng)上實(shí)施遞進(jìn)、層次化的防御。其主要是以人、技術(shù)和運(yùn)行維護(hù)作為信息保障的核心要素，在網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)邊界、計(jì)算環(huán)境和支撐性基礎(chǔ)設(shè)施等信息系統(tǒng)重要區(qū)域部署安全措施；根據(jù)網(wǎng)絡(luò)的層次化體系結(jié)構(gòu)，實(shí)施分層部署防護(hù)和檢測措施，形成層次化的安全配置，應(yīng)對(duì)已知攻擊有較大把握，防范信息竊密有較強(qiáng)措施，防止系統(tǒng)癱瘓有一定能力[6]。

但是立足當(dāng)前網(wǎng)絡(luò)空間安全發(fā)展現(xiàn)狀，網(wǎng)絡(luò)安全防御仍面臨嚴(yán)峻的形勢和挑戰(zhàn)：

①目前通信網(wǎng)絡(luò)安全防護(hù)建設(shè)仍然采用了“外掛式”附加安全設(shè)備的方式，安全功能靜態(tài)化，使用維護(hù)復(fù)雜、成本較高，同時(shí)安全設(shè)備的加入也引入了新的網(wǎng)絡(luò)開銷，對(duì)網(wǎng)絡(luò)攻擊的及時(shí)阻斷能力較弱，無法做到對(duì)近攻擊源的攻擊阻斷。因此將網(wǎng)絡(luò)與安全融為一體，實(shí)現(xiàn)協(xié)同聯(lián)動(dòng)的主動(dòng)防御，對(duì)于贏得網(wǎng)絡(luò)空間斗爭主動(dòng)權(quán)具有重要的現(xiàn)實(shí)意義[7]。

②海量設(shè)備接入網(wǎng)絡(luò)，傳統(tǒng)安全防護(hù)體系面臨新的挑戰(zhàn)，同時(shí)隨著網(wǎng)絡(luò)技術(shù)從SDN控制面可編程到P4數(shù)據(jù)面靈活可編程地演進(jìn)，用戶擺脫了網(wǎng)絡(luò)數(shù)據(jù)平面的束縛，能夠自上而下地定義數(shù)據(jù)包的完整處理流程，為安全機(jī)制內(nèi)生于網(wǎng)絡(luò)數(shù)據(jù)面帶來新的機(jī)遇。

③由于數(shù)字化時(shí)代的發(fā)展要求，業(yè)務(wù)結(jié)構(gòu)的多樣化，對(duì)通信業(yè)務(wù)體驗(yàn)的追求也不斷提升。網(wǎng)絡(luò)故障的及時(shí)排除、服務(wù)質(zhì)量端到端的保障、面向不同的業(yè)務(wù)需求、網(wǎng)絡(luò)安全策略的動(dòng)態(tài)一致性調(diào)整等，都需要網(wǎng)絡(luò)和安全運(yùn)維的智能化和自動(dòng)化，當(dāng)前網(wǎng)絡(luò)和安全分離的策略控制體制，已無法適應(yīng)快速變化的業(yè)務(wù)需求。

因此，只有構(gòu)建一張集網(wǎng)絡(luò)與安全一體的智能化網(wǎng)絡(luò)，利用SDN/P4的可編程優(yōu)勢構(gòu)建內(nèi)生的網(wǎng)絡(luò)安全環(huán)境，實(shí)現(xiàn)架構(gòu)、設(shè)備、運(yùn)維的全方面簡化，推動(dòng)網(wǎng)絡(luò)安全的全生命周期自動(dòng)化，提高整個(gè)信息化系統(tǒng)環(huán)境控制的靈活性，提升體系化防御能力，變外掛為內(nèi)生，變被動(dòng)為主動(dòng)，才能為未來網(wǎng)絡(luò)作戰(zhàn)提供強(qiáng)有力的后臺(tái)支撐。

2基于可編程技術(shù)的一體化內(nèi)生安全架構(gòu)設(shè)計(jì)

2.1可編程的網(wǎng)絡(luò)和安全一體化技術(shù)體系

借鑒SDN的軟件定義架構(gòu)，瞄準(zhǔn)在“數(shù)據(jù)轉(zhuǎn)發(fā)”“流量采集”“策略控制”等方面實(shí)現(xiàn)網(wǎng)絡(luò)與安全深度融合的SDN與安全一體化體系架構(gòu)，如圖1所示，從邏輯上共分為4層：數(shù)據(jù)平面層、服務(wù)抽象層、控制平面層和應(yīng)用層。

①數(shù)據(jù)平面層

主要包括一體化數(shù)據(jù)面可編程交換機(jī)。接受上層網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器的控制，集成數(shù)據(jù)轉(zhuǎn)發(fā)、短狀態(tài)防火墻、低存儲(chǔ)非采樣流量統(tǒng)計(jì)測量以及基于INT的傳輸路徑測量等功能，并集成基于P4語言的FPGA可編程平臺(tái)，接收網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器下發(fā)的策略，同時(shí)向網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器上報(bào)測量結(jié)果。

②服務(wù)抽象層

服務(wù)抽象層實(shí)現(xiàn)對(duì)各類測量、安全和網(wǎng)絡(luò)等功能的基本信息、配置、策略、日志等接口的標(biāo)準(zhǔn)化，實(shí)現(xiàn)控制與數(shù)據(jù)的分離。

③控制平面層

控制平面層主要是網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器。為應(yīng)用層“數(shù)據(jù)轉(zhuǎn)發(fā)網(wǎng)絡(luò)與安全一體”集成一體化監(jiān)控以及安全應(yīng)用，提供網(wǎng)絡(luò)控制面編程接口，控制面與數(shù)據(jù)面配合完成防火墻、入侵檢測和抗DDoS攻擊等安全應(yīng)用，實(shí)現(xiàn)安全與網(wǎng)絡(luò)轉(zhuǎn)發(fā)的融合嵌入，從而在網(wǎng)絡(luò)轉(zhuǎn)發(fā)時(shí)第一時(shí)間識(shí)別并阻斷異常事件；對(duì)應(yīng)用層提供Restful和Web接口，實(shí)現(xiàn)各種采集測量功能的一體化，以及彈性伸縮和故障遷移等增值能力。

④應(yīng)用層

基于控制平面提供的Restful接口，實(shí)現(xiàn)網(wǎng)絡(luò)和安全一體化編程。策略控制系統(tǒng)能夠自動(dòng)提取與解析控制層的安全應(yīng)用以及一體化監(jiān)測應(yīng)用、網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器以及一體化數(shù)據(jù)面可編程交換機(jī)等的配置、策略、日志信息，形成全網(wǎng)安全拓?fù)?，自?dòng)梳理及智能優(yōu)化策略，自動(dòng)分析與展示安全路徑及攻擊面，實(shí)現(xiàn)網(wǎng)絡(luò)和安全策略可視化以及全局策略一致性檢測與沖突智能消解。能夠根據(jù)任務(wù)需求，自動(dòng)生成全局網(wǎng)絡(luò)安全策略，基于Restful編程接口統(tǒng)籌驅(qū)動(dòng)內(nèi)嵌安全應(yīng)用的網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器、一體化數(shù)據(jù)面可編程交換機(jī)等動(dòng)態(tài)調(diào)整、部屬網(wǎng)絡(luò)和安全資源以及下發(fā)策略。具備數(shù)據(jù)路徑及攻擊面自動(dòng)分析的能力。

2.2可編程的網(wǎng)絡(luò)和安全一體化融合框架

可編程的網(wǎng)絡(luò)和安全一體化融合框架如圖2所示。整個(gè)框架主要由一體化數(shù)據(jù)面可編程交換機(jī)、網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器以及多級(jí)安全策略全局控制系統(tǒng)等組成。

①多級(jí)安全策略全局控制系統(tǒng)

多級(jí)安全策略全局控制系統(tǒng)是整個(gè)可編程的網(wǎng)絡(luò)和安全一體化融合框架的控制中心，它能夠根據(jù)用戶意圖自動(dòng)生成編排策略，基于軟件定義方式統(tǒng)籌調(diào)度全網(wǎng)網(wǎng)絡(luò)和安全資源，以滿足面向特定任務(wù)網(wǎng)絡(luò)快速靈活規(guī)劃的需求，支持分級(jí)部署和管理，如圖3所示。該系統(tǒng)能夠?qū)崿F(xiàn)全網(wǎng)網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)的可視化，展示全網(wǎng)安全域劃分、安全域內(nèi)網(wǎng)絡(luò)、安全設(shè)備節(jié)點(diǎn)、網(wǎng)絡(luò)邏輯連接關(guān)系和網(wǎng)絡(luò)安全訪問關(guān)系等信息。能夠根據(jù)下層一體化數(shù)據(jù)面可編程交換機(jī)、網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器等上報(bào)的安全事件、安全態(tài)勢、安全資源、流信息、網(wǎng)絡(luò)資源、網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)突發(fā)、丟包率和網(wǎng)絡(luò)時(shí)延等信息，實(shí)現(xiàn)全局網(wǎng)絡(luò)和安全策略的一致性檢測與沖突消解，能夠自動(dòng)對(duì)特定流量在全網(wǎng)的數(shù)據(jù)路徑和攻擊面進(jìn)行分析和預(yù)警。

②網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器

網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器，實(shí)現(xiàn)對(duì)可編程網(wǎng)絡(luò)、安全、監(jiān)測資源的統(tǒng)一抽象，能夠編譯、解釋來自多級(jí)安全策略全局控制系統(tǒng)的網(wǎng)絡(luò)和安全策略模型程序（CNSPM），集成單通道狀態(tài)防火墻等安全應(yīng)用以及路由錯(cuò)誤等一體化監(jiān)測應(yīng)用，并通過一體化數(shù)據(jù)面可編程交換機(jī)提供的Restful接口，將具體策略下發(fā)到網(wǎng)絡(luò)和安全資源，同時(shí)接收一體化數(shù)據(jù)面可編程交換機(jī)上報(bào)的測量結(jié)果，網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器集成的單通道狀態(tài)防火墻等安全應(yīng)用以及路由錯(cuò)誤等一體化監(jiān)測應(yīng)用根據(jù)測量結(jié)果進(jìn)行判斷并采取操作，實(shí)現(xiàn)網(wǎng)絡(luò)和安全資源的統(tǒng)籌調(diào)度以及控制面與數(shù)據(jù)面的協(xié)作測量。另外，該控制器對(duì)上提供北向控制平面API，支持對(duì)全局策略和資源進(jìn)行動(dòng)態(tài)調(diào)整和控制，以實(shí)現(xiàn)網(wǎng)絡(luò)安全一體化的全局策略優(yōu)化和部署。

③一體化數(shù)據(jù)面可編程交換機(jī)

該SDN交換機(jī)為協(xié)議無關(guān)轉(zhuǎn)發(fā)架構(gòu)交換機(jī)，支持基于P4語言對(duì)數(shù)據(jù)面編程，集成交換芯片與FPGA結(jié)合的可編程平臺(tái)，通過與上層控制器協(xié)作，實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)的同時(shí)實(shí)現(xiàn)低存儲(chǔ)非采樣流量統(tǒng)計(jì)測量、短狀態(tài)防火墻以及基于INT的傳輸路徑測量等功能，通過編譯器加載相應(yīng)P4程序到可編程平臺(tái)中實(shí)現(xiàn)一體化網(wǎng)絡(luò)安全測量。

2.3可編程的網(wǎng)絡(luò)和安全一體化編程模型

可編程的網(wǎng)絡(luò)和安全一體化編程模型如圖4所示。

具體描述如下：

①用戶或任務(wù)子系統(tǒng)基于多級(jí)安全策略全局控制系統(tǒng)的UI或Restful接口，輸入由“高級(jí)策略抽象圖”形式化描述的網(wǎng)絡(luò)和安全資源統(tǒng)籌編排模型。

②多級(jí)安全策略全局控制系統(tǒng)收到步驟①的意圖輸入后，基于本地策略庫、信息庫和知識(shí)庫等信息，對(duì)用戶/任務(wù)子系統(tǒng)的意圖進(jìn)行智能分析，生成內(nèi)部編排策略。

③多級(jí)安全策略全局控制系統(tǒng)的意圖翻譯模塊將內(nèi)部編排策略翻譯為CNSPM程序。

④網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器對(duì)CNSPM程序進(jìn)行編譯和解釋執(zhí)行，并通過下層提供的北向Restful接口，將具體策略下發(fā)到一體化數(shù)據(jù)面可編程交換機(jī)。

⑤一體化數(shù)據(jù)面可編程交換機(jī)對(duì)全流量進(jìn)行采樣測量后，將測量結(jié)果上報(bào)給網(wǎng)絡(luò)安全監(jiān)測一體化可編程控制器，控制器中生成的一體化監(jiān)測應(yīng)用以及安全應(yīng)用根據(jù)測量結(jié)果向多級(jí)安全策略全局控制系統(tǒng)上報(bào)安全事件、安全態(tài)勢、安全資源、流信息、網(wǎng)絡(luò)資源、網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)突發(fā)、丟包率和延遲等信息。

⑥多級(jí)安全策略全局控制系統(tǒng)根據(jù)這些信息更新本地策略庫和信息庫，自動(dòng)分析數(shù)據(jù)路徑及攻擊面等，分析評(píng)估網(wǎng)絡(luò)與安全策略模型的執(zhí)行情況，進(jìn)行全局策略一致性檢測、沖突消解以及攻擊面自動(dòng)分析等。

3結(jié)束語

基于可編程技術(shù)的一體化網(wǎng)絡(luò)安全模型借鑒SDN思想，在“數(shù)據(jù)轉(zhuǎn)發(fā)”“流量采集”“策略控制”等多方面實(shí)現(xiàn)網(wǎng)絡(luò)與安全功能的深度和高效融合，極大提高網(wǎng)絡(luò)和安全資源的集約化水平和管理運(yùn)維水平，支持以軟件定義的方式根據(jù)用戶意圖實(shí)現(xiàn)對(duì)全局網(wǎng)絡(luò)和安全資源、策略的自動(dòng)控制和優(yōu)化部署，滿足由網(wǎng)絡(luò)、安全和業(yè)務(wù)變化引起的全網(wǎng)網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)快速調(diào)整需求，實(shí)現(xiàn)網(wǎng)絡(luò)與安全能力的自適應(yīng)提供。該架構(gòu)能夠有效應(yīng)用在下一代網(wǎng)絡(luò)體系設(shè)計(jì)中，在數(shù)據(jù)面、控制面和應(yīng)用策略層全面提升網(wǎng)絡(luò)安全效能。

參考文獻(xiàn)

[1]網(wǎng)絡(luò)5.0產(chǎn)業(yè)和技術(shù)創(chuàng)新聯(lián)盟.網(wǎng)絡(luò)5.0技術(shù)白皮書[R/OL].（2019-06-20）[2022-08-14]. http：//www.doc88. com/ p-99229254578739.html.

[2] IBM.嵌入式安全子系統(tǒng)[EB/OL].[2022-08-14].http：//www. pc.ibm.com/us/security/index.html.

[3] Cisco.The Cisco Self-Defending Network[EB/OL].[2022-08-14].http：//www.cisco.com/en/US/netsol/ns340ns394/ ns171/ns413/networking_solutions_package.html.

[4] JAJODIA S， GHOSH A K， SWARUP V， et al. Moving Target Defense： Creating Asymmetric Uncertainty for Cyber Threats[M]. Berlin： Springer， 2011.

[5]鄔江興.擬態(tài)計(jì)算與擬態(tài)安全防御的原意和愿景[J].電信科學(xué)，2014，30（7）：2-7.

[6]孟丹，侯悅，于愛民，等.網(wǎng)絡(luò)空間內(nèi)置式主動(dòng)防御[M]北京：科學(xué)出版社，2021.

[7]郭麗紅，張謙，梅強(qiáng)，等.美軍信息通信系統(tǒng)發(fā)展研究[J].無線電通信技術(shù)，2017，43（3） ：13-20.