基于軟件定義安全的水利網(wǎng)絡安全協(xié)同防御體系探析

肖堯軒，牟 舵，秦澤寧，郭冬寶

(水利部珠江水利委員會珠江水利綜合技術中心，廣東 廣州 510611)

隨著《中華人民共和國網(wǎng)絡安全法》《數(shù)據(jù)安全法》《關鍵信息基礎設施安全保護條例》《信息安全技術網(wǎng)絡安全等級保護基本要求》等法律法規(guī)和相關要求的出臺，以及網(wǎng)絡規(guī)模逐漸復雜化、信息基礎設施逐漸多樣化以及虛擬化、云計算技術等新一代信息技術的不斷發(fā)展，水利傳統(tǒng)網(wǎng)絡架構和安全防護手段在主動性、協(xié)同性以及管控性等方面的局限日益凸顯。

目前，軟件定義網(wǎng)絡(Software Defined Networks，SDN)作為新型的網(wǎng)絡架構，通過使控制平面和數(shù)據(jù)平面有效分離，實現(xiàn)網(wǎng)絡的操作自動化和可編程性，有效彌補了傳統(tǒng)網(wǎng)絡結構過于扁平化的弊端[1]。水利部網(wǎng)絡通過SDN升級改造，使服務器區(qū)具有了網(wǎng)絡流量統(tǒng)一管理調(diào)度、集中控制、云資源統(tǒng)一編排、簡化運維工作等特點[2]。在SDN網(wǎng)絡架構的基礎上研究者及廠商提出了軟件定義安全(Software Defined Securtity,SDS)的網(wǎng)絡安全防御架構，它繼承了軟件定義網(wǎng)絡架構中控制平面和數(shù)據(jù)平面分離的特點，安全應用程序可以靈活地指導定制流的轉(zhuǎn)發(fā)，通過添加安全組件或修改安全應用程序邏輯即可完成安全服務在線優(yōu)化升級，實現(xiàn)安全設備及防御策略的高效管理[3]。劉文懋等[4]將安全功能從SDN控制器轉(zhuǎn)移到專用的安全應用和安全控制器，可以更新有效抵御SDN和虛擬化環(huán)境中的各類攻擊；郭春梅等[5]分析了虛擬化和實體安全設備結合的安全防御體系面臨的問題，并提出了軟件定義安全模型及關鍵技術。Kim 等[6]利用SDN和NFV技術為物聯(lián)網(wǎng)環(huán)境提供集中的安全管理，并在實際的攻擊場景中驗證了該方法的有效性。

目前基于軟件定義安全技術相對成熟，在公安、電力、銀行、通信等行業(yè)已發(fā)揮較好的效果，但還未見其應用于水利行業(yè)中[7-9]。因此，本文旨在結合水利行業(yè)無時無刻的網(wǎng)絡安全需求、風險和威脅，基于該架構設計一種水利網(wǎng)絡安全協(xié)同防御體系，及時檢測網(wǎng)絡攻擊行為，動態(tài)確定安全基線，提供合理有效的安全策略，主動預防且阻斷相應的惡意攻擊，從而實現(xiàn)全局管控、自主決策和主動防御的目標。

1 水利網(wǎng)絡安全發(fā)展現(xiàn)狀及問題

1.1 水利網(wǎng)絡安全防護流程

水利網(wǎng)絡安全防護體系建設根據(jù)不同業(yè)務對網(wǎng)絡安全需求的差異分別部署配置安全設備和管控策略，從物理環(huán)境、計算環(huán)境、通信網(wǎng)絡、區(qū)域邊界、可信認證、運維審計、管理制度、管理機構、技術人員等方面加強安全管控。目前，水利網(wǎng)絡安全日常防護流程一般包括監(jiān)測預警、應急處置、分析排查、核實確認、恢復服務以及事件總結等步驟，見圖1。

具體流程如下：首先借助安全監(jiān)測設備開展安全攻擊事件實時監(jiān)測預警；發(fā)現(xiàn)問題及時采取應急處置，對高危IP進行封堵并聯(lián)系相關人員；利用安全感知平臺、網(wǎng)絡回溯分析系統(tǒng)、日志審計系統(tǒng)等設備排查事件起因、經(jīng)過和影響，形成排查分析報告；然后將事件分析結果上報領導，并與事件相關人員進行核實；事件風險經(jīng)核實確認已排除后，依次開放訪問權限和恢復服務，最后將事件處置全流程進行記錄和總結，同時全面進行隱患排查和防護加固。

1.2 水利網(wǎng)絡安全架構

水利行業(yè)部門多數(shù)采用傳統(tǒng)的網(wǎng)絡架構和安全架構，按照分區(qū)分域原則，將網(wǎng)絡大致劃分為業(yè)務應用區(qū)、安全管理區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、公共服務區(qū)、辦公終端區(qū)等[10-11]。除了各區(qū)應有的防火墻等安全設備外，其他主要的安全設備均部署在安全管理區(qū)，包括APT、漏洞掃描、日志管理系統(tǒng)、態(tài)勢感知系統(tǒng)、運維平臺、網(wǎng)絡審計、入侵檢測等，安全管理區(qū)通過防火墻與核心交換機相連接，各安全設備均有一套獨立管理系統(tǒng)。水利部本級機關網(wǎng)絡突破了傳統(tǒng)網(wǎng)絡架構，在服務器區(qū)旁掛SDN控制器，借助物理網(wǎng)元通信控制服務器區(qū)和互聯(lián)網(wǎng)服務區(qū)，為后續(xù)網(wǎng)絡安全資源池化奠定了一定的基礎。

1.3 水利網(wǎng)絡安全存在問題

近幾年，國家和水利部對網(wǎng)絡安全高度重視，通過出臺網(wǎng)絡安全相關法律、修定等級保護相關標準以及水利網(wǎng)絡安全實戰(zhàn)演練等舉措，使水利行業(yè)網(wǎng)絡安全水平得到較大提升，但是隨著網(wǎng)絡設備復雜化、網(wǎng)絡攻擊手段多樣化，水利行業(yè)網(wǎng)絡安全防護能力仍然存在短板，具體如下。

a)網(wǎng)絡安全主動響應能力不足。多數(shù)水利部門已部署態(tài)勢感知平臺、APT預警平臺以及防火墻系統(tǒng)等設備，能對外來攻擊及時作出預警、研判、事件處置，但監(jiān)測預警機制仍停留在被動防御，發(fā)現(xiàn)問題后需要人工進行分析。并且從公安部、水利部組織的多次攻防演練結果表明，針對網(wǎng)絡安全威脅往往無法追溯到源頭，安全應急處理依舊被動。同時，網(wǎng)絡安全防護是動態(tài)的過程，設備的優(yōu)化配置、聯(lián)動響應及運行維護尤其重要，水利行政主管部門與下屬單位還沒有形成整體協(xié)同防御體系，水利行業(yè)協(xié)同防守合力還需進一步強化。

b)安全設備利用率低。水利行業(yè)安全設備類似“糖葫蘆串”部署，設備來自不同廠商，策略復雜、部署繁瑣，各設備之間利用率低，大量的物理設備會占據(jù)寶貴空間；并且重要安全防護設備均有一套獨立的運維系統(tǒng)，導致監(jiān)測到的數(shù)據(jù)成為數(shù)據(jù)孤島，無法發(fā)揮設備聯(lián)動能力和價值。

c)網(wǎng)絡安全防護壓力大。近年來各級水利部門積極響應建設智慧水利的號召，開發(fā)了大量業(yè)務應用，導致數(shù)據(jù)規(guī)模、系統(tǒng)數(shù)量、網(wǎng)絡性能等要求越來越高。信息化應用已由主要提供本行業(yè)支撐，轉(zhuǎn)變?yōu)闉樗?、環(huán)保、應急、自然資源、社會等眾多領域交叉提供服務，網(wǎng)絡邊界變得模糊化，導致網(wǎng)絡安全防護壓力隨之劇增。

d)虛擬化防護無法個性化定制。水利行業(yè)部署了不少虛擬化基礎平臺，雖然根據(jù)等級保護2.0關于云計算的擴展要求，增加了虛擬化安全防護[12]，但還是面臨用戶粗粒度安全服務，難以滿足個性化定制安全策略，防護效果不佳。

2 基于軟件定義安全的水利網(wǎng)絡安全協(xié)同防御體系構建

2.1 軟件定義安全總體架構

軟件定義網(wǎng)絡(SDN)架構針對網(wǎng)絡轉(zhuǎn)發(fā)設備，將原本數(shù)據(jù)轉(zhuǎn)發(fā)和控制緊密耦合的狀態(tài)，轉(zhuǎn)變成數(shù)據(jù)平面和控制平面分離，數(shù)據(jù)平面由完全受控的轉(zhuǎn)發(fā)設備構成，控制平面由數(shù)據(jù)轉(zhuǎn)發(fā)和相關業(yè)務邏輯的控制組成。而軟件定義安全(SDS)架構在軟件定義的思想上針對安全設備，強調(diào)將安全控制平面上移，借助SDN技術實現(xiàn)網(wǎng)絡流量的調(diào)度，結合NFV技術使安全設備控制與轉(zhuǎn)發(fā)分離，更靈活的管理安全資源。通過以上技術的結合，可以有效地簡化安全設備部署難度，利于搭建安全防護解決方案。

針對水利行業(yè)網(wǎng)絡安全突出問題，設計基于軟件定義安全的水利網(wǎng)絡安全協(xié)同防御體系。首先將網(wǎng)絡安全設備與其調(diào)用方法、接入接口、安全防護能力有效分離，抽象為安全資源池[13]；構建安全控制器，通過在SDN控制器中增加安全控制代理實現(xiàn)對網(wǎng)絡流量的控制，同時連接云計算管理平臺，共同形成安全控制平臺，根據(jù)具體業(yè)務需求動態(tài)調(diào)整、調(diào)用資源池安全能力；設計編排單個或多個安全應用，滿足水利網(wǎng)絡安全防御的功能定制?？傮w架構見圖2，主要由安全資源池、數(shù)據(jù)轉(zhuǎn)發(fā)層、安全控制平臺以及安全應用層4個部分組成。

圖2 基于軟件定義安全的水利網(wǎng)絡安全協(xié)同防御體系架構

2.2 安全資源池

水利行業(yè)部門當前購置的安全產(chǎn)品多為軟硬件一體化設備，安全資源池可以打破以往的傳統(tǒng)架構枷鎖，使安全產(chǎn)品既可以是傳統(tǒng)物理形態(tài)也可以是虛擬化形態(tài)。圖3所示，借助NFV架構中的基礎設施層方案，虛擬層將設備功能實體與底層硬件邏輯分離形成多個虛擬化安全資源，實現(xiàn)安全產(chǎn)品系統(tǒng)運行在通用服務器的虛擬環(huán)境中。

圖3 安全設備軟硬件解耦

由于不同廠商的產(chǎn)品功能、工作模式、部署方法均不相同，表1所示，通過歸納不同安全產(chǎn)品的共性構建通用接口，主要包括基本信息接口、配置接口、策略接口以及日志接口，安全控制平臺調(diào)用接口即可獲取安全資源池能力[14]。

表1 通用應用接口

2.3 數(shù)據(jù)轉(zhuǎn)發(fā)層

數(shù)據(jù)轉(zhuǎn)發(fā)層根據(jù)流表處理所有的出入流量，起到數(shù)據(jù)轉(zhuǎn)發(fā)的作用。主要由Openflow交換機、路由器等網(wǎng)絡交換設備組成，OpenFlow交換設備不再自主地進行地址學習和選路，而是僅能按照安全控制平臺的流表進行分組轉(zhuǎn)發(fā)。安全設備與數(shù)據(jù)轉(zhuǎn)發(fā)層相連接，就可以通過對流量的控制，決定是否經(jīng)過某個安全設備，從而實現(xiàn)安全設備的優(yōu)化調(diào)整。

2.4 安全控制平臺

安全控制平臺負責整個協(xié)同防御體系的核心，負責管理、協(xié)調(diào)和控制。圖2所示，安全控制平臺由安全控制器、SDN網(wǎng)絡控制器、云計算管理平臺等組成。

安全控制器北向與安全應用層連接，為應用提供可編程的安全接口，南向通過數(shù)據(jù)轉(zhuǎn)發(fā)層和安全資源池提供安全資源能力，東西向以松耦合的方式連接云管理平臺和SDN網(wǎng)絡控制器，在云環(huán)境中可以獲取計算資源并管理虛擬化安全設備，在SDN網(wǎng)絡中可以獲取、控制全局流量。其中南向接口采用兼容性和使用率較高的OpenFlow通道，控制器配置和管理交換設備、接收交換設備發(fā)出的事件信息等均可以通過南向接口實現(xiàn)，而北向接口尚未形成統(tǒng)一標準，各種控制層網(wǎng)絡操作系統(tǒng)基于不同技術為上層安全應用服務，考慮到WEB應用的普及以及接口靈活易用性，采用REST API作為北向接口，能夠支持Floodlight、OpenDaylight、Ryu等市場較為流行的控制器[15]，通過使用GET、POST、PUT、DELETE等HTTP協(xié)議來查詢網(wǎng)絡相關參數(shù)，GET方法用于網(wǎng)絡資源的查詢，POST方法用于增添和修改資源，PUT用于修改具體資源的數(shù)據(jù)的內(nèi)容，DELETE方法用于刪除資源，返回的格式可以是JSON或XML，具體操作見表2。

表2 北向接口資源規(guī)劃

SDN網(wǎng)絡控制器通過安全控制代理(agent)與安全控制器相連接，主要對水利行業(yè)部門的全網(wǎng)流量進行分析和控制，首先根據(jù)網(wǎng)絡設備上的流表和PACKET_IN獲取全網(wǎng)的實時流量，當SDN控制器獲得PACKET_IN后，解析出原始數(shù)據(jù)包并獲取包頭字段，然后根據(jù)安全控制器傳遞的流指令，直接向網(wǎng)絡設備下發(fā)FLOW_MOD指令，例如交換機端口1的虛擬機A向端口2的虛擬機B傳送流量，流表可以表示為“inport=1,A→B,actions=output:2”,通過不同的動作actions控制實現(xiàn)全網(wǎng)流量的放行、阻斷、重定向和鏡像等操作。

云計算管理平臺提供基礎設施即服務(IaaS)，為安全控制器提供虛擬化計算資源和虛擬化安全設備。

2.5 安全應用層

安全應用層為網(wǎng)絡安全防護體系提供多種多樣的應用交付，如WEB安全、訪問控制、DDoS防護等，這些應用均可由第三方定制開發(fā)。同時，應用層本身支持服務編排的部署模式，即多種應用可以疊加同時實現(xiàn)多種業(yè)務，實現(xiàn)安全防護的智能化、自動化。詳情請見第3節(jié)網(wǎng)絡安全協(xié)同防御管控系統(tǒng)。

2.6 協(xié)同防御工作原理

實際防御過程中，事先根據(jù)水利行業(yè)部門實際防護場景進行定制安全應用，安全控制平臺流量統(tǒng)計信息模塊獲取東西向的網(wǎng)絡流量，當監(jiān)測到流量過大或連接異常端口等滿足安全應用定制的威脅條件，安全應用會將策略下發(fā)到安全控制平臺，策略格式見式(1)：

S=(E,M,P,A)

(1)

當事件E被觸發(fā)時，模塊M會對數(shù)據(jù)信息進行檢查，檢查結果若符合模式P，則執(zhí)行動作A。策略解析模塊收到后，形成調(diào)用資源池安全能力的命令，通過設備管理模塊在設備池中選擇最合適的安全設備進行防護，或經(jīng)由SDN控制器推送到網(wǎng)絡設備，通過交換機端口的關閉和斷開或者將流量限制在一定范圍內(nèi)。當攻擊被檢測到或防護，安全設備會將告警日志推送到設備管理模塊，往后一旦有訂閱的策略滿足條件，則會通過事件調(diào)度模塊迭代觸發(fā)更多防護動作[4]。

3 水利網(wǎng)絡安全協(xié)同防御管控系統(tǒng)

融合目前水利行業(yè)部門已有的態(tài)勢感知平臺、安全設備系統(tǒng)、虛擬化管理平臺等，根據(jù)基于SDS的水利網(wǎng)絡安全協(xié)同防御體系構建水利網(wǎng)絡安全協(xié)同防御管控系統(tǒng)，調(diào)動安全資源池將各自獨立的基礎安全功能編排成多條防護鏈，從而解決水利行業(yè)大規(guī)模網(wǎng)絡攻擊所面臨的安全防御問題，并具備良好的通用性和擴展性。主要功能如下。

3.1 安全應用管理功能

安全應用管理用于水利部門及其下屬機構安全應用的注冊、部署、驗證、運行和升級等操作。圖4所示，對于需要特定安全防護體系的用戶，僅需要將已注冊的網(wǎng)絡設備和安全設備拖拽到相應的部署界面，通過驗證功能可以校正部署過程中邏輯錯誤，同時本功能支持設備升級。運維人員僅需要具備基本的網(wǎng)絡安全技能，不必了解設備具體的部署方法、規(guī)則命令等，極大降低了運維成本。

圖4 安全應用管理功能

當需要部署應用防火墻(WAF)時，可以在設備供選區(qū)將WAF拖到相應的被防護虛擬機上，并配置好WAF的管理地址、部署模式等。安全控制平臺向云計算管理平臺發(fā)送指令，啟動對應的WAF虛擬機，然后向SDN控制器下發(fā)流指令，命令其將虛擬網(wǎng)關到Web服務器的HTTP流量牽引至WAF虛擬機所在的交換機端口。

3.2 協(xié)同防御策略下發(fā)功能

圖5所示，針對大規(guī)模的網(wǎng)絡攻擊進行協(xié)同防護，首先進行協(xié)同防御策略分析，根據(jù)風險評估模型對攻擊行為進行量化等級劃分，對于威脅大的攻擊進行協(xié)同防御，根據(jù)分析結果選擇或建立相應的協(xié)同防御策略，最后通過安全控制平臺進行策略分發(fā)。

圖5 協(xié)同防御策略下發(fā)

3.3 未知攻擊防御功能

未知攻擊防御功能選擇主動防御網(wǎng)絡入侵技術——蜜網(wǎng)，通過水利行業(yè)部門在用系統(tǒng)與攻擊者之間的交互，記錄攻擊者行為，分析攻擊信息，產(chǎn)生面對新型攻擊的防御策略。圖6所示，當防火墻、IDS安全應用檢測到有攻擊行為卻不在特征庫范圍內(nèi)，則將流表轉(zhuǎn)發(fā)至蜜網(wǎng)，蜜網(wǎng)交換機根據(jù)接受的請求，將攻擊者請求內(nèi)容轉(zhuǎn)至相應蜜網(wǎng)應用中，充分利用蜜網(wǎng)收集到的數(shù)據(jù)，對數(shù)據(jù)庫中的攻擊信息進行特征提取和分類，有效的攻擊信息形成新的規(guī)則，第一時間更新IDS和防火墻特征庫，做到主動防御，防患攻擊行為大規(guī)模擴散。未知攻擊防御功能提供事件日志管理、蜜網(wǎng)管理和配置、事件監(jiān)視等功能[16]。

圖6 未知攻擊防御功能

3.4 網(wǎng)絡安全監(jiān)控功能

根據(jù)水利行業(yè)重要時期網(wǎng)絡安全保障和管理要求，網(wǎng)絡安全監(jiān)控具備監(jiān)控現(xiàn)有設備資產(chǎn)性能及威脅信息的功能，尤其是受攻擊的主機信息，為防護策略的制定提供案件支撐。圖7所示，該功能可以展示風險資產(chǎn)名稱、風險等級、事件標簽、攻擊數(shù)量以及發(fā)生時間等，并支持多維度篩選以及關鍵字檢索等。

圖7 網(wǎng)絡安全監(jiān)控功能

3.5 安全事件共享

如今的網(wǎng)絡攻擊，攻擊者一般不會僅針對水利行業(yè)部門的某個網(wǎng)站窮追猛打，而會選擇收集與本級部門相關的下屬單位或企業(yè)信息、C段信息、旁站信息、真實IP信息、網(wǎng)站信息、服務器信息等，很容易將目標轉(zhuǎn)換到各下屬單位。水利網(wǎng)絡安全協(xié)同防御不能出現(xiàn)“木桶效應”，圖8所示，安全事件共享功能提供了資產(chǎn)和運行狀態(tài)數(shù)據(jù)、網(wǎng)絡安全事件數(shù)據(jù)、網(wǎng)絡安全態(tài)勢信息。按照水利部統(tǒng)一的網(wǎng)絡安全管理需要，將網(wǎng)絡安全管理方面的通知通報、事件處置報告、處置流程等實現(xiàn)接口聯(lián)動，有助于實現(xiàn)行業(yè)級網(wǎng)絡安全事件協(xié)同處置和資源調(diào)度。

圖8 安全事件共享功能

4 效果

通過水利網(wǎng)絡安全協(xié)同防御管控系統(tǒng)與防火墻、上網(wǎng)行為管理系統(tǒng)等安全設備聯(lián)動響應，實現(xiàn)互聯(lián)網(wǎng)出口、業(yè)務應用區(qū)等關鍵位置聯(lián)動防御功能。利用各網(wǎng)絡分區(qū)流量探針感知各區(qū)域安全威脅和協(xié)同防御管控系統(tǒng)的綜合分析研判，可第一時間發(fā)現(xiàn)外部威脅和攻擊IP并聯(lián)動相關安全設備進行聯(lián)動封堵。截至目前，在某水利管理部門部署的協(xié)同防御管控系統(tǒng)，日均能夠聯(lián)動封堵270個外部攻擊IP，有效實現(xiàn)了外部攻擊快速發(fā)現(xiàn)和自動處置，提升安全威脅處置效率，有力保障網(wǎng)絡安全，效果明顯。

5 結論

面對錯綜復雜的網(wǎng)絡攻擊，水利行業(yè)部門協(xié)同防御顯得尤為重要。本文對現(xiàn)有水利網(wǎng)絡安全形式進行了分析，在此基礎上給出了一種基于軟件定義安全的水利網(wǎng)絡安全協(xié)同防御體系架構及其一整套協(xié)同防御系統(tǒng)的功能機制，最后實現(xiàn)了系統(tǒng)的部分功能。該方案通過將傳統(tǒng)安全產(chǎn)品軟硬件解耦形成安全資源池，調(diào)動安全資源池中各自獨立的基礎安全功能編排成多條防護鏈，能夠解決水利行業(yè)網(wǎng)絡安全產(chǎn)品部署復雜、網(wǎng)絡安全設備聯(lián)動能力弱、信息共享能力不足等問題，實現(xiàn)內(nèi)外協(xié)同、上下聯(lián)動的水利網(wǎng)絡安全協(xié)同防御能力。下一步將從以下2個方面著手進一步健全體系建設：①完善基于軟件定義安全的水利網(wǎng)絡安全協(xié)同防御體系，進一步融合現(xiàn)有的水利網(wǎng)絡安全防御應用，實現(xiàn)安全應用管理、協(xié)同防御策略下發(fā)等功能；②目前水利行業(yè)中工業(yè)控制、物聯(lián)網(wǎng)終端、移動辦公等領域應用不斷拓展，隨之衍生出新特征、新行為、新方法的攻擊手段，下一步將采用基于SDS的蜜網(wǎng)技術抵抗未知攻擊，提高攻擊溯源能力。