基于业务识别的安全域分析方法

基于业务识别的安全域分析方法林素标（广东移动业务支持中心广东510623）摘要：随着运营商业务的快速发展和业务的多样性，运营商的网络也面临着越来越多的问题，但是在安全建设过程中往往存在着堆砌式的安全建设，而忽略了最根本的业务安全需求。本文采用访问控制策略和资产关联信息的方法，在安全域的构建中可识别出关键访问路径，从而实现对业务访问关系的优化和完善纵深分层防御体系。关键词：安全域、业务识别、边界风险、边界开放度1引言2013年，国家发布了《国务院关于促进信息消费扩大内需的若干意见》[1]，在第一条“总体要求”的“指导思想中提出：“加强信息基础设施建设，加快信息产业优化升级，大力丰富信息消费内容，提高信息网络安全保障能力，建立促进信息消费持续稳定增长的长效机制”。2014年，中央网络安全和信息化领导小组宣告成立并发表重要讲话[2]，提出“没有网络安全就没有国家安全”，这标志着网络安全上升至国家战略高度。2014年工业和信息化部发布《关于加强电信和互联网行业网络安全工作的指导意见》[3]，要求各行各业健全网络信息安全技术体系，提升网络空间安全的保障能力，以安全保发展、以发展促安全。广东移动业务支持中心在全力支持各项新业务发展时，以“健全信息安全保障体系”为目标，结合业务系统的建设，积极完善信息安全防御体系，定期进行安全评估和检查，同时建立对问题整改的闭环流程，提高安全防御水平，为业务发展保驾护航。2安全域构建的问题(1)业务访问关系未能正确授权的风险：在运营商内部，话费详单、客户资料、经营分析报表等各类信息资产已成为运营商的核心资产。公司的核心数据如企业运营数据、客户资料等都存储在高度集中的支撑系统中，任何访问通道的问题将给企业的经营和发展带来较高的风险。通过对安全事件研究表明，公司遭攻击和泄密的主要原因之一就是没有实时的安全监控，未能采取足够的措施监测未经授权的访问和有效的控制。(2)业务访问关系复杂难以管理的风险广东移动业务支撑系统拥有庞大的实时计费系统，其中包含了数量庞大、类型多的各种网络设备、主机和数据库等系统资源。同时还伴随着大量代办、合办、短信营业厅、网上营业厅等多种多样的服务方式。面对如此众多的接入点和复杂的接入方式，广东移动迫切需要解决的问题就是对支撑系统访问关系的高效监督和管理。(3)业务访问关系高度动态变化的风险随着业务发展，移动网络一直在调整变化，其承载的业务也在快速动态变化发展，因此面临的安全威胁也在不断演化。而防火墙作为网络访问策略控制设备，一直都是网络安全的“基石”，处于安全防御的第一道防线。在任何情况下，防火墙在提供安全性的同时还必须确保业务连续性。需要保障防火墙能够处理所有这些不断的变化，又不会对业务连续性造成影响，防火墙管理员承受着巨大的压力。面对业务更新快，访问关系变动频繁的需求，传统的运维方式，已经难以快速响应业务变化，保障业务安全，因此在防火墙管理系统方面，需要支持基于业务的，能够正确进行访问关系识别的自动化工具，保障防火墙的防御效果，加强业务发展的安全保障。3基于业务识别的安全域分析方法目前，安全水平已逐渐成为影响电信运营商企业形象的重要因素；同时安全也是提高客户满意度，支撑业务创新，以及降低管理成本的一个重要环节。广东移动在加强网络基础设施建设、促进业务和客户快速发展的同时，遵循集团安全规范不断强化网络安全工作。(1)建立安全域构建原则：在广东移动业务支撑网络，安全域要求依据业务类别和重要性等级进行划分，安全域和子域之间的边界是安全防护的重要位置，安全域的划分为边界整合和建立安全域保护措施提供了前提和基础。安全域的主要划分主要遵循三大原则，分别是：业务相关原则、对等可信原则、安全最小授权原则。根据这些原则，以生产计费系统为核心构建了一系列明确的访问规则：严禁从生产计费系统的核心域发起访问互联网接口/外部接口/内部接口/终端接入子域的安全策略；开发测试系统和生产系统需进行隔离，原则上测试域不能访问生产域；各接入子域访问防火墙生产计费系统的核心域，源地址需明确服务的IP、端口范围、发起请求的IP或网段，目标地址精确到端口级别；(2)依托平台实现基于业务的安全域动态分析：安全域的划分过程中，不仅需要在规划时以网络设备为边界进行静态设计，还需要依据策略检测保护的动态安全模型，建立动态的访问控制策略跟踪方法。广东移动业务支持中心以业务为导向，针对各业务系统访问关系管理存在的风险威胁，以生产计费安全域为切入点，依托已经建立的FIMAS防火墙综合管理与审计系统，通过关联业务和敏感信息分类分级信息，采用基于业务识别的安全域分析方法，探索建立自动化的检查业务访问关系合规性和监控安全域边界风险状况的审计分析平台。从业务角度分析计费生产安全域中重要资产的访问关系的合规性，评估其安全风险状况，实时监控防火墙访问策略变化。根据核心资产关联信息，可识别出关键访问路径，优化业务访问关系，完善纵深分层防御体系，降低安全事件概率，为业务发展保驾护航。图3-1FIMAS防火墙综合管理与审计系统依托于FIMAS平台，基于业务识别的安全域分析步骤如下：图3-2基于业务识别的安全域分析步骤(1)自动提取并泛化安全域边界防火墙策略组分析，所提取的访问控制策略包括：ACL策略、NAT策略、静态/动态路由策略、对象组策略，并对这些策略进行泛化处理，将不同制式防火墙的访问控制策略变成一种通用的访问策略，这种通用的访问策略将以9元组的形式显示：源逻辑接口,目的逻辑接口,控制动作,协议,源地址,目的地址,源端口,目的端口,有效时间，通过对访问控制策略的泛化，使得后面的开放度分析、业务识别和动态跟踪更加精准和高效。(2)根据泛化后的访问控制策略，进行开放度分析，开放度分析主要检查访问控制策略所涉及的资产范围，包括：点对点策略、C类地址策略、B类地址策略、A类地址策略和ANY策略，而策略安全性也以上顺序由高变低，点对点策略安全性最高，ANY策略安全性最低。通过策略的开放度的分析，可以发现其中可能出现的访问授权过宽的问题，实现安全最小授权原则的控制。(3)基于业务和服务的安全域边界识别和风险分析方法，首要任务是将资产进行用途划分和定义，将核心的资产和服务进行标示，然后将泛化后的访问控制策略与资产信息进行地址和服务的关联匹配。在完成关联后，围绕对核心资产的访问控制策略，采用基于业务和服务识别的方法可以快速重建网络安全域边界，评估安全域边界合规性和风险状况。(4)对核心资产的访问控制策略，将进行动态跟踪，跟踪包括策略的修改、删除等行为，这些行为将被严格的审计，包括这些策略的变更是否遵循策略变更流程、这些策略的变更是否有合理的依据和业务需求等，最后判断这些策略变更操作是否合规，对不合规的策略变更行为进行告警和阻断。4方法效果验证通过FIMAS防火墙综合管理与审计平台可定期评估检查访问策略合规性，发现业务访问的风险问题，对存在问题整改并监控整改后的结果。目前FIMAS规则库中共包含六种分析规则，主要包括：安全域边界业务访问关系不可信、核心安全域边界禁止主动跨域流出访问、安全域边界地址范围宽松、安全域边界端口服务宽松、安全域边界生产域与非生产域未隔离、安全域级联通道形成高危跳板。同时随着云计算技术的快速反战，运营商的业务服务端也逐渐向云计算平台演进，在私有云场景中，基于物理设备的网络边界变得模糊，存在一台物理设备上部署不同安全需求和不同安全策略的多种业务的情况。因此云计算模式下安全域的划分，需要结合云计算的虚拟机、资源共享、弹性扩展等基本特性，重构新的安全域边界。针对以上新问题，采用基于业务的安全域分析方法和经验，以端到端的安全分析思路，研究分析跨域间的路径和安全风险。梳理现有安全域划分规范，规范整理现有各安全域间关系，研究在云计算中安全域划分与边界整合方法。同时依托已经建设的FIMAS防火墙综合管理与审计平台，可以建立覆盖全网全程访问路径，监控不同设备的访问控制策略，并且对这些访问控制策略进行业务识别与分析，最终实现对业务系统安全的保障和提升。5结束语依托于FIMAS防火墙综合管理与审计系统，广东移动业务支持中心完善并提升了第一道网络安全防御体系——防火墙的防护效果，同时降低了防火墙安全风险及其运维审计成本。广东移动业务支持中心将继续结合业务系统需要，逐步完善信息安全保障体系，不断强化内部风险的精确管理，加强客户敏感信息保护，防止泄露。最终建立一个有效的，以业务为导向，以风险管理为中心，以检查、评估、监控，发现问题和问题整改为闭环的信息安全管理流程，建立具有运营竞争优势的安全平台。参考文献[1]《国务院关于促进信息消费扩大内需的若干意见》[Z].2013.8[2]《中央网络安全和信息化领导小组宣告成立并发表重要讲话》[Z].2014.2[3]《关于加强电信和互联网行业网络安全工作的指导意见》[Z].工业和信息化部.2014.8[4]《业务支撑系统安全域划分规范》.中国移动通信集团[Z].2012.12