构建智能化的安全域管理支撑系统.pdfVIP

构建智能化的安全域管理支撑系统 房仲阳 (中国移动通信集团辽宁有限公司网络部110179) 摘要 目前互联网应用日趋广泛，数据业务系统日益复杂，安全防护要求不断提 高。安全域管理已成为制约当前业务发展的重点与难点之一。本文从电信运营商安全域 管理面临的问题入手，讨论了安全域管理的整体思路，提出了基于业务运营角度的安全 域管理的解决方案。 关键词 安全域；智能化；支撑 1 前言 所谓安全域(SecuritvZone)，是指网络中重要性相近、面临类似威胁、具有相同的 安全保护需求、并相互信任的区域或网络实体的集合。一个安全域内可进一步被划分为 若干个安全子域，即二层安全域；二层安全域也可继续依次细化为若干个安全子域，可 称之为三层安全域；还可以继续细分为四层、五层安全域等。随着电信网络的IP化、智 能移动终端的普及等促使网络形态更为开放，在为用户提供更佳使用体验的同时，也令 众多攻击与威胁有机可乘，许多原本只在互联网领域存在的风险被迅速引入到电信网 络。安全域管理是电信运营商基于IP的业务系统进行安全防护重要工作，但目前安全域 管理存在很多问题，导致安全域工作长期流于形式而无法真正落实，如何做好安全域的 维护管理，在满足安全域建设目标的同时，兼顾工作效率，是摆在电信运营商安全管理 人员面前必须要解决的一个难题。 2安全域管理存在关键问题 2．1 防火墙策略最小化原则难以落实 安全管理员进行防火墙策略审计时，由于掌握精确、真实的互连需求，无法对any to to木木水等明显错误之外的其他策略进行判断；系统管理员也无法判 any、木木，．ctoany、any 断业务开通、变更时厂家提出的互连需求的合理性；而集成商也普遍缺乏在研发等环节 存留网络互连端口、服务、进程等基础信息的管理要求，只能以开通业务为主要目的设 置过粗的策略，忽略安全方面策略最小化的要求，经常造成超范围开放防火墙端口，导 致系统直接暴露的互联网上。 2．2设备互连关系可视化技术手段缺失 在安全域日常维护方面，因缺乏手段，现网中是否存在互联网子域直接访问核心域 后台数据库的需求，两个无关系统之间流量是否正常，是否出现新的未备案、直接部署 18 到安全域内的设备，是否存在超出接人审批的其他设备，对于管理员来说都无法第一时 间掌握，仅仅依靠管理措施，无法准确判断是否符合安全域划分要求，是否满足《中国 移动安全域管理办法》、《中国移动远程接人安全管理办法》、《中国移动网络互连安全管 理办法》、《中国移动系统服务与端口安全管理办法》中的具体设备部署要求、互连要求 等等，对安全域管理状态掌控的缺失，直接导致安全域内部各系统间的信任关系无法持 续成立。 2．3业务端口服务及异常检测手段不成熟 运营商安全管理员不掌握用于网络通信的固定端口或者端口变化的分布规律，无法 进行端口异常检测，及时发现植入的恶意程序、后门的活动痕迹。近年来，在运营商网 关统计服务器上植入程序、利用WAP网关到MISC认证机制的脆弱性进行恶意订购的行 为，BOSS系统程序中含有窃取用户话单、通信记录信息的后门程序，不定期地窃取并发 送到外部设备的客户信息泄露重大安全事件，感染木马、僵尸恶意代码导致系统被控制 的安全事件等均证明了业务端口的异常检测手段不成熟，监测不到位，导致安全事件 频出。 2．4传统防护检测技术存在的瓶颈 业界安全普遍采用特征匹配技术检测威胁，各种病毒检测工具、入侵检测工具、网 页防篡改工具检测到了大多数的安全威胁，但网络攻击技术日新月异，通用的特征匹配 技术无法穷尽所有的攻击行为，传统安全检测工具越来越多显示其存在技术盲点。通用 的人侵检测技术，由于缺少对网络环境和业务特征的输人，不了解部署环境中的合法业 务、管理流量，产生的巨量无效安全告警无法使维护及安全管理人员进行有效响应，带 来人力资源的持续消耗。 3智能化安全域管理支撑系统实践 为有效解决上述问题，切实加强安全域管理，全面提升信息安全保障能力，辽宁移 动大胆探索，开展了安全域管理支撑系统的建设实践，经过半年的运行取得了良好的 效果。 3．1安全域管理支撑系统框架 安全域管理支撑系统利用网络流量探针抓取业务系统各主要节点的流量，形成可视 化的网络连接视图，从而全面地掌握业务系统安全域内、外的网络互联关系，并根据业 务系统安全域各边界互联要求，分析、判断网络连接的合法性。对于不能明确的网络连 接，督促和指导