網(wǎng)絡安全分析與監(jiān)控平臺安全防護關鍵技術

嚴莉 李明 張丞

摘 要：網(wǎng)絡安全分析與監(jiān)控平臺通過收集防火墻、入侵防御系統(tǒng)等網(wǎng)絡安全設備的事件日志、安全策略等信息，實現(xiàn)對整個網(wǎng)絡的安全分析與監(jiān)控，因此其安全性尤為重要。為了保障平臺安全性，提出多重安全防護機制：利用智能密碼鑰匙和數(shù)字證書，實現(xiàn)高強度的身份鑒別;通過設置多級管理體系，實現(xiàn)管理權限的分割與訪問控制;對每一次操作進行日志記錄和數(shù)字簽名，保證操作行為日志的完整性，可用于安全審計與責任追溯;采用秘密共享技術實現(xiàn)對對稱密鑰的分割存儲，以保證安全策略等重要數(shù)據(jù)備份恢復的安全性。這些安全防護技術的使用，能夠有效增強網(wǎng)絡安全分析與監(jiān)控平臺的安全性，防止攻擊者通過平臺獲取關鍵信息，或進行非法篡改等惡意攻擊。

關鍵詞：網(wǎng)絡安全;安全策略;身份鑒別;數(shù)字簽名;智能密鑰

DOI：10. 11907/rjdk. 182554

中圖分類號：TP309

文獻標識碼：A文章編號：1672-7800（2019）006-0196-04

Abstract： In a network security analysis and monitoring platform， various data such as event logs and security policies can be collected from firewalls， intrusion detection systems and other network security systems to acquire the analysis and monitoring of the network. Thus the security of the platform is of great significance. For protecting the platform， several security techniques are proposed. Firstly， USB smart key and digital certificates are used to implement high-security identification. Multi-level management systems are used to acquire privilege division and access control. Every operation can be logged and signed digitally to assure the integrity of the logs for security auditing and traceability. Secret sharing technique is used to store the split symmetric key respectively to assure the security of the backup and restoring of crucial data such as security policies. These security protection techniques can improve the security of the network security analysis and monitoring platform significantly and prevent the attackers from obtaining the crucial information and other attacks such as tampering.

Key Words： network security; security policies; identification; digital signature; smart key

0 引言

在電力、能源等領域的信息網(wǎng)絡環(huán)境中，應用了各種規(guī)模龐大的生產(chǎn)、辦公等業(yè)務系統(tǒng)，信息化已滲透到電網(wǎng)價值鏈的各個環(huán)節(jié)，因此保障信息網(wǎng)絡安全已成為電力信息系統(tǒng)正常、穩(wěn)定運行的關鍵因素。

為了保證電力信息網(wǎng)的安全性，需要在網(wǎng)絡邊界部署防火墻、入侵檢測系統(tǒng)（IDS）等多種網(wǎng)絡安全防護設備，并根據(jù)業(yè)務需求制定安全防護策略。然而，隨著訪問控制策略的不斷增加，由于網(wǎng)絡安全設備數(shù)量多，且分布分散，如果對設備運行狀態(tài)、策略內(nèi)容采用人工手動管理方式，則實時性差、效率低下、問題定位耗時，而且無法呈現(xiàn)策略生命全過程，管理十分困難。

為了對網(wǎng)絡安全設備進行統(tǒng)一管理與集中分析，需要建立一個網(wǎng)絡安全分析與監(jiān)控平臺，以實現(xiàn)安全策略管理集中化、策略操作流程化、策略內(nèi)容和配置合規(guī)化、設備運行狀態(tài)實時化等，從而實現(xiàn)對全網(wǎng)防護設備進行安全、集中、規(guī)范化管理，營造良好的網(wǎng)絡環(huán)境。近年來，很多研究者提出各種類型的網(wǎng)絡安全監(jiān)控與分析平臺[1-4]，這些平臺不但能夠收集網(wǎng)絡安全設備的配置文件、安全事件、流量日志等信息，還能實現(xiàn)對網(wǎng)絡的實時監(jiān)控與動態(tài)管理。如寧建創(chuàng)等[5]提出基于大數(shù)據(jù)的網(wǎng)絡安全分析技術發(fā)展趨勢，利用大數(shù)據(jù)進行網(wǎng)絡資源的優(yōu)化配置與主動防御;宋巖[6]對網(wǎng)絡安全綜合監(jiān)控平臺的安全策略進行分析，以實現(xiàn)對安全策略的一致性檢測與沖突消解;趙穎等[7]對網(wǎng)絡安全綜合平臺的展示層和可視化技術進行系統(tǒng)論述，通過交互式可視化工具提升網(wǎng)絡安全分析能力。對網(wǎng)絡安全綜合監(jiān)控平臺更詳細的綜述可參見參考文獻[8]-[10]。

網(wǎng)絡安全分析與監(jiān)控平臺通過收集防火墻等網(wǎng)絡安全設備的事件日志、安全策略等信息，實現(xiàn)對整個網(wǎng)絡的全局分析與實時監(jiān)控，因此該平臺是整個網(wǎng)絡安全的管理核心和數(shù)據(jù)匯集點。為了保障平臺安全性，需要從平臺管理員身份鑒別與訪問控制、關鍵數(shù)據(jù)機密性與完整性保護、平臺操作行為安全審計與不可否認性等方面進行重點防護。針對網(wǎng)絡安全分析與監(jiān)控平臺的安全風險，本文提出一系列安全防護技術以加強其安全性。在身份鑒別方面，利用智能密碼鑰匙和數(shù)字證書，實現(xiàn)對超級管理員、管理員和審計員的雙因素身份鑒別;通過設置三級管理體系，實現(xiàn)管理權限的分割與訪問控制;管理員在平臺上的每一次操作，都進行日志記錄和數(shù)字簽名，以便于安全審計與責任追溯;采用Shamir的門限秘密共享技術，實現(xiàn)對密鑰的分割保存，保證安全策略等重要數(shù)據(jù)備份恢復的機密性與完整性。因此，這些安全措施能夠有效提升整個網(wǎng)絡環(huán)境的安全性。

1 網(wǎng)絡安全分析與監(jiān)控平臺架構(gòu)設計

網(wǎng)絡安全分析與監(jiān)控平臺架構(gòu)如圖1所示，包括采集控制層、接口層、應用服務層和業(yè)務展現(xiàn)層。

（1）采集控制層主要面對防火墻、入侵檢測系統(tǒng)等網(wǎng)絡安全設備，通過Telnet、SSH、SNMP、TFTP等協(xié)議實現(xiàn)安全策略收集、事件日志收集、運行狀態(tài)采集等功能。

（2）接口層包括采集控制接口、工單系統(tǒng)接口、4A系統(tǒng)接口等，分別與網(wǎng)絡中的各業(yè)務系統(tǒng)進行數(shù)據(jù)對接。

（3）應用服務層位于采集控制層與展現(xiàn)層之間，負責對采集的數(shù)據(jù)信息按照業(yè)務規(guī)則、業(yè)務關系進行分析與邏輯處理，為展現(xiàn)層提供必要的數(shù)據(jù)信息。

（4）業(yè)務展現(xiàn)層是對系統(tǒng)功能進行集中展現(xiàn)與交互的界面，可實現(xiàn)設備狀態(tài)監(jiān)控、預告警中心等功能。

2 平臺安全防護關鍵技術

網(wǎng)絡安全分析與監(jiān)控平臺通過收集各種網(wǎng)絡安全設備的安全策略、事件信息、日志信息等數(shù)據(jù)，以對其進行綜合分析、實時監(jiān)控和統(tǒng)一管理，因此其安全性至關重要。針對該平臺的安全防護技術包括管理員身份鑒別、訪問控制、通信安全、安全審計、關鍵數(shù)據(jù)備份等。

通過單一的登錄口令或生物特征進行身份鑒別，其安全強度較低，而且不能實現(xiàn)機密性、完整性、不可否認性等安全需求。因此，本文采用數(shù)字證書的方式，不但能夠?qū)崿F(xiàn)管理員高強度身份鑒別，還能實現(xiàn)關鍵數(shù)據(jù)完整性保護、操作行為不可否認性以及密鑰協(xié)商等功能。

為了實現(xiàn)對平臺管理員的身份鑒別，需要建立一個CA數(shù)字認證系統(tǒng)。該系統(tǒng)支持SM2國產(chǎn)橢圓曲線密碼算法，負責為平臺的各類管理員生成非對稱密鑰對并頒發(fā)數(shù)字證書，每名管理員使用一個USB接口的智能密鑰作為私鑰和數(shù)字證書的載體，每一次簽名運算都在智能密鑰內(nèi)部生成，以保證其安全性。關于CA數(shù)字認證系統(tǒng)的建設和數(shù)字證書的使用，參見參考文獻[11]、[12]。本平臺采用SM2橢圓曲線密碼算法[13]實現(xiàn)數(shù)字簽名和密鑰協(xié)商功能，并采用SM3密碼雜湊算法[14]作為哈希運算算法，以及SM4分組密碼算法[15]作為數(shù)據(jù)加密算法。

2.1 身份鑒別與訪問控制

本平臺采用三級管理機制，包括超級管理員、管理員和審計員，以實現(xiàn)不同管理權限的分割與訪問控制：超級管理員負責對管理員與審計員賬號進行設置，不負責平臺具體日常操作;管理員負責平臺日常管理和監(jiān)控操作，包括對各種網(wǎng)絡安全設備的實時監(jiān)控、策略備份恢復、事件分析等，每一次操作都記入日志，并進行數(shù)字簽名;審計員負責對平臺進行審計，同時對管理員的操作行為日志進行安全審計。

平臺管理員設置及身份鑒別工作流程描述如下：

（1）系統(tǒng)初始化。平臺初始化時，首先生成超級管理員，為超級管理員生成SM2非對稱密鑰對和數(shù)字證書，并導入智能密鑰。超級管理員需要設置口令，作為使用智能密鑰的認證憑證。

（2）生成管理員和審計員。超級管理員在平臺插入智能密鑰，輸入口令成功登錄后，可以生成管理員和審計員，并為每個管理員和審計員生成SM2非對稱密鑰對、數(shù)字證書和相應的智能密鑰。根據(jù)平臺使用情況，可以成3個以上的管理員，每個管理員擁有自己的智能密鑰和數(shù)字證書。

（3）管理員登錄與操作。當管理員登錄時，需要插入智能密鑰并輸入正確口令才能成功登錄，在平臺進行的每一筆操作都要用自己的私鑰進行簽名，以保證每一次操作的不可否認性。

（4）審計員登錄與審計操作。審計員插入智能密鑰、輸入口令登錄平臺后，對平臺的日志記錄和管理員操作活動進行審計。管理員活動包括對平臺上的信息進行查看、修改、備份、恢復等操作。日志信息包括使用資源、使用時間、執(zhí)行操作等。

超級管理員、管理員和審計員的登錄過程是一個以挑戰(zhàn)—應答協(xié)議為基礎的身份鑒別過程，具體實現(xiàn)流程如下：①登錄者發(fā)起身份鑒別請求。管理員（或超級管理員、審計員）登錄時，首先向平臺發(fā)起身份鑒別請求;②平臺發(fā)送挑戰(zhàn)碼。平臺接收到請求后，產(chǎn)生一個隨機數(shù)R，并發(fā)送給登錄者;③登錄者發(fā)回簽名作為響應。登錄者收到隨機數(shù)R后，對隨機數(shù)R及其它相關信息（例如時間戳、雙方數(shù)字證書等）進行簽名，將簽名結(jié)果發(fā)回平臺;④平臺驗證簽名。平臺收到登錄者簽名后，采用登錄者公鑰驗證簽名正確性，如驗證通過則登錄成功，否則拒絕登錄請求。

2.2 數(shù)據(jù)采集與通信

網(wǎng)絡安全分析與監(jiān)控平臺的數(shù)據(jù)采集功能將獲取防火墻、入侵檢測系統(tǒng)等網(wǎng)絡安全設備的配置信息、安全策略、網(wǎng)絡日志等信息，并將其記錄到平臺中。因此，要保證相關數(shù)據(jù)在網(wǎng)絡傳輸中的機密性與完整性。

不同網(wǎng)絡安全設備可能使用不同的管理配置或日志記錄接口，常見協(xié)議包括SNMP、SSH、Syslog等。SNMP V3和SSH等協(xié)議本身都支持數(shù)據(jù)加密功能，因此可以直接配置加密傳輸，即可保證數(shù)據(jù)傳輸?shù)臋C密性。Syslog協(xié)議本身不支持加密功能，但可以采用SSL/TLS協(xié)議，以實現(xiàn)對Syslog數(shù)據(jù)傳輸?shù)募用鼙Ｗo。

對于某些特殊的網(wǎng)絡安全設備，如果允許安裝采集客戶端軟件，并分別為平臺和采集客戶端生成數(shù)字證書和SM2非對稱密鑰對，用于雙方的身份鑒別和安全通信，則具體通信流程如下：①發(fā)送采集指令。平臺向網(wǎng)絡安全設備的采集客戶端發(fā)送數(shù)據(jù)收集指令;②啟動密鑰協(xié)商。采集客戶端收到指令后，向平臺發(fā)起SM2密鑰協(xié)商協(xié)議;③生成對稱密鑰。平臺和網(wǎng)絡安全設備之間經(jīng)過若干輪的密鑰協(xié)商交互協(xié)議，完成SM2密鑰協(xié)商過程，產(chǎn)生一個雙方共享的SM4密碼算法對稱密鑰Session_Key;④加密傳輸。網(wǎng)絡安全設備的采集客戶端將相應的配置、策略、日志等信息使用SM4密碼算法（密鑰為Session_Key）加密后，將密文傳輸給平臺;⑤數(shù)據(jù)解密。平臺將密文利用SM4密碼算法（密鑰為Session_Key）解密后，將數(shù)據(jù)存入平臺，并采用平臺私鑰對數(shù)據(jù)進行數(shù)字簽名，以保證數(shù)據(jù)完整性，防止非法篡改。

2.3 關鍵數(shù)據(jù)存儲與備份

網(wǎng)絡安全分析與監(jiān)控平臺還具有對安全策略等關鍵數(shù)據(jù)的備份和恢復功能，即可以將安全策略等關鍵數(shù)據(jù)加密后存儲到平臺外，需要時再進行解密并導入平臺中。

為了保障關鍵數(shù)據(jù)的機密性和完整性，本文采用秘密共享和數(shù)字簽名技術實現(xiàn)對關鍵數(shù)據(jù)的加密與簽名，以防止數(shù)據(jù)泄露與非法篡改，具體備份流程如下：

（1）對關鍵數(shù)據(jù)進行簽名。設需要備份的安全策略等關鍵數(shù)據(jù)信息為Data，首先用平臺私鑰對數(shù)據(jù)Data進行數(shù)字簽名，得到簽名值Sig（Data）。

（2）對數(shù)據(jù)進行加密。生成一個隨機對稱密鑰Key，對關鍵數(shù)據(jù)Data和簽名值Sig（Data）進行加密，即計算密文Cipher-text=Encrypt_Key（Data，Sig（Data））。

（3）對密鑰Key的秘密共享。隨機生成一個素數(shù)p和一個小于p的整數(shù)a1，得到一個模p的多項式y(tǒng)=a1x+Key mod p。隨機選擇3個整數(shù)x0、x1、x2，分別計算多項式的值y0、y1、y2，并分別將（x0，y0）、（x1，y1）、（x2，y2）存入3名管理員的智能密鑰中。

（4）密文存儲：密文文件Cipher-text存儲在平臺外的U盤或硬盤中，將3個智能密鑰分別交給3名管理員保存。

關鍵數(shù)據(jù)恢復流程描述如下：①導入密文數(shù)據(jù)。讀取密文文件Cipher-text，并存儲到平臺中;②恢復密鑰Key。兩名持有備份智能密碼鑰匙的管理員（可以是3名管理員中的任意兩名），先后成功登錄平臺，并分別插入自己持有的智能密碼鑰匙。由于有（x0，y0）、（x1，y1）、（x2，y2）中的兩對值，因此可以求解y=a1x+Key mod p的參數(shù)a1和Key;③解密密文。用密鑰Key解密密文Cipher-text，得到關鍵數(shù)據(jù)Data和簽名值Sig（Data）;④驗證簽名。用平臺公鑰驗證關鍵數(shù)據(jù)Data的簽名值Sig（Data），如果驗證通過，則關鍵數(shù)據(jù)Data未被篡改，將Data導入平臺中。

3 平臺安全性分析

3.1 身份鑒別與訪問控制安全性

本平臺的身份鑒別采用雙因子認證的智能密鑰，在智能密鑰內(nèi)置數(shù)字證書和密鑰對，并通過口令進行登錄認證，以保證管理員身份鑒別時的安全性。

每一次管理員登錄時，都由平臺發(fā)送隨機數(shù)作為挑戰(zhàn)碼，由管理員對隨機數(shù)進行數(shù)字簽名，平臺通過驗證簽名防止消息重放攻擊。超級管理員、管理員和審計員分別具有不同操作權限，每一次操作都進行數(shù)字簽名并記錄日志，可用于日后追溯與審計，實現(xiàn)每一次操作都具有不可抵賴性。

3.2 遠程認證與通信安全性

本平臺與每一臺網(wǎng)絡安全設備都具有自己的數(shù)字證書和非對稱密鑰對，用于彼此之間的身份鑒別與通信。網(wǎng)絡安全設備采用的SSL/TLS、SSH、SNMP V3等安全協(xié)議以及本文給出的安全通信協(xié)議，都是基于數(shù)字證書與Diffie-Hellman密鑰協(xié)商機制的安全通信協(xié)議。首先通過雙方的數(shù)字證書進行雙向認證，然后通過密鑰協(xié)商協(xié)議生成對稱秘鑰Key，之后的數(shù)據(jù)傳輸都采用密鑰Key進行加密傳輸，密鑰Key一定時間之后通過重新協(xié)商進行更新。因此，整個通信過程實現(xiàn)了平臺與網(wǎng)絡安全設備之間的雙向認證，能夠保證數(shù)據(jù)的機密性和完整性。

3.3 關鍵數(shù)據(jù)備份與恢復安全性

對于本平臺安全策略等關鍵數(shù)據(jù)的備份，必須對數(shù)據(jù)進行加密后才能導出平臺，因此加密關鍵數(shù)據(jù)的密鑰保護至關重要。本文采用Shamir的（t，n）門限方案[16-20]，將密鑰通過多項式插值分為3個密鑰因子，由3名管理員分別保存，因而具有更高的安全性。

當需要將關鍵數(shù)據(jù)恢復到平臺時，需要3名管理員中的兩名同時登錄，才能重構(gòu)密鑰，將密文關鍵數(shù)據(jù)解密后導入平臺。而且在導出關鍵數(shù)據(jù)時，用平臺私鑰對數(shù)據(jù)進行簽名，恢復數(shù)據(jù)時則需要驗證簽名，以防數(shù)據(jù)被篡改。

4 結(jié)語

本文設計的網(wǎng)絡安全分析與監(jiān)控平臺，采用雙因素身份鑒別與數(shù)字證書技術，實現(xiàn)高強度身份鑒別與訪問控制機制;采用雙向認證和密鑰協(xié)商機制，實現(xiàn)與遠程設備之間的網(wǎng)絡通信安全;采用數(shù)字簽名與門限密碼技術，實現(xiàn)對關鍵數(shù)據(jù)的完整性及機密性保護。這些安全防護技術能夠顯著提高網(wǎng)絡安全分析與監(jiān)控平臺的安全防護能力。將來的一個研究方向是采用大數(shù)據(jù)分析技術對平臺收集的各種數(shù)據(jù)進行分析、挖掘，從而實現(xiàn)對網(wǎng)絡安全的整體監(jiān)控與態(tài)勢感知。

參考文獻：

[1] 薛輝， 鄧軍， 葉柏龍， 等. 一種多功能網(wǎng)絡監(jiān)控與防御平臺設計與實現(xiàn)[J]. 網(wǎng)絡安全技術與應用， 2011（5）：67-70.

[2] 李春，王之一，楊爽，等.網(wǎng)絡流量實時監(jiān)控及安全分析系統(tǒng)的開發(fā)應用[J]. 電子技術與軟件工程， 2018（2）：47-48.

[3] 李菲. 網(wǎng)絡安全審計及監(jiān)控系統(tǒng)的設計與實現(xiàn)研究[J]. 電腦與信息技術，2017，25（6）：48-50.？

[4] 趙文瑞，盧志剛，姜政偉，等. 網(wǎng)絡安全綜合監(jiān)控系統(tǒng)的設計與實現(xiàn)[J]. 核電子學與探測技術， 2014， 34（4）：419-424.？

[5] 寧建創(chuàng)，楊明，梁業(yè)裕. 基于大數(shù)據(jù)安全分析的網(wǎng)絡安全技術發(fā)展趨勢研究[J].網(wǎng)絡空間安全， 2017， 8（12）：21-24.

[6] 宋巖. 網(wǎng)絡安全綜合監(jiān)控平臺中的安全策略分析[J]. 硅谷， 2014（13）：176-177.？

[7] 趙穎，樊曉平，周芳芳，等. 網(wǎng)絡安全數(shù)據(jù)可視化綜述[J]. 計算機輔助設計與圖形學學報，2014，26（5）：687-697.？

[8] GHAFIR I，PRENOSIL V，SVOBODA J，et al. A survey on network security monitoring implementations [C]. 2016 IEEE 4th International Conference on Future Internet of Things and Cloud Workshops （FiCloudW），2016：77-82.

[9] 王煒鑫. 面向設備集成的網(wǎng)絡安全管理平臺的設計與實現(xiàn)[D]. 哈爾濱：哈爾濱工業(yè)大學， 2016.

[10] 霍俊生. 基于B/S架構(gòu)的網(wǎng)絡安全監(jiān)控系統(tǒng)的設計和實現(xiàn)[D]. 北京：北京郵電大學， 2017.

[11] 張明德. PKI/CA與數(shù)字證書技術大全[M]. 北京：電子工業(yè)出版社， 2015.

[12] 馬臣云，王彥. 精通PKI網(wǎng)絡安全認證技術與編程實現(xiàn)[M]. 北京：人民郵電出版社， 2008.

[13] 汪朝暉，張振峰. SM2橢圓曲線公鑰密碼算法綜述[J]. 信息安全研究，2016（11）： 972-982.

[14] 王小云，于紅波. SM3密碼雜湊算法[J]. 信息安全研究，2016（11）： 983-994.

[15] 呂述望，蘇波展，王鵬，等. SM4分組密碼算法綜述[J]. 信息安全研究，2016（11）： 995-1007.

[16] STINSON D. 密碼學原理與實踐[M]. 第3版.馮登國，等，譯. 北京：電子工業(yè)出版社，2016.

[17] SHAMIR A. How to share a secret[J]. Communications of the ACM， 1979， 22 （11）： 612-613.

[18] DAWSON E， DONOVAN D. The breadth of Shamir's secret-sharing scheme [J]. Computers & Security， 1994， 13： 69-78.

[19] 龐遼軍. 秘密共享技術及其應用研究[D]. 西安： 西安電子科技大學， 2006.

[20] 龐遼軍，裴慶祺，李慧賢，等. 秘密共享技術及其應用[M]. 北京：人民郵電出版社，2017.

（責任編輯：黃 健）