基于軟件定義安全的水利網絡安全協同防御體系探析

肖堯軒，牟 舵，秦澤寧，郭冬寶

(水利部珠江水利委員會珠江水利綜合技術中心，廣東 廣州 510611)

隨著《中華人民共和國網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》《信息安全技術網絡安全等級保護基本要求》等法律法規和相關要求的出臺，以及網絡規模逐漸復雜化、信息基礎設施逐漸多樣化以及虛擬化、云計算技術等新一代信息技術的不斷發展，水利傳統網絡架構和安全防護手段在主動性、協同性以及管控性等方面的局限日益凸顯。

目前，軟件定義網絡(Software Defined Networks，SDN)作為新型的網絡架構，通過使控制平面和數據平面有效分離，實現網絡的操作自動化和可編程性，有效彌補了傳統網絡結構過于扁平化的弊端[1]。水利部網絡通過SDN升級改造，使服務器區具有了網絡流量統一管理調度、集中控制、云資源統一編排、簡化運維工作等特點[2]。在SDN網絡架構的基礎上研究者及廠商提出了軟件定義安全(Software Defined Securtity,SDS)的網絡安全防御架構，它繼承了軟件定義網絡架構中控制平面和數據平面分離的特點，安全應用程序可以靈活地指導定制流的轉發，通過添加安全組件或修改安全應用程序邏輯即可完成安全服務在線優化升級，實現安全設備及防御策略的高效管理[3]。劉文懋等[4]將安全功能從SDN控制器轉移到專用的安全應用和安全控制器，可以更新有效抵御SDN和虛擬化環境中的各類攻擊；郭春梅等[5]分析了虛擬化和實體安全設備結合的安全防御體系面臨的問題，并提出了軟件定義安全模型及關鍵技術。Kim 等[6]利用SDN和NFV技術為物聯網環境提供集中的安全管理，并在實際的攻擊場景中驗證了該方法的有效性。

目前基于軟件定義安全技術相對成熟，在公安、電力、銀行、通信等行業已發揮較好的效果，但還未見其應用于水利行業中[7-9]。因此，本文旨在結合水利行業無時無刻的網絡安全需求、風險和威脅，基于該架構設計一種水利網絡安全協同防御體系，及時檢測網絡攻擊行為，動態確定安全基線，提供合理有效的安全策略，主動預防且阻斷相應的惡意攻擊，從而實現全局管控、自主決策和主動防御的目標。

1 水利網絡安全發展現狀及問題

1.1 水利網絡安全防護流程

水利網絡安全防護體系建設根據不同業務對網絡安全需求的差異分別部署配置安全設備和管控策略，從物理環境、計算環境、通信網絡、區域邊界、可信認證、運維審計、管理制度、管理機構、技術人員等方面加強安全管控。目前，水利網絡安全日常防護流程一般包括監測預警、應急處置、分析排查、核實確認、恢復服務以及事件總結等步驟，見圖1。

具體流程如下：首先借助安全監測設備開展安全攻擊事件實時監測預警；發現問題及時采取應急處置，對高危IP進行封堵并聯系相關人員；利用安全感知平臺、網絡回溯分析系統、日志審計系統等設備排查事件起因、經過和影響，形成排查分析報告；然后將事件分析結果上報領導，并與事件相關人員進行核實；事件風險經核實確認已排除后，依次開放訪問權限和恢復服務，最后將事件處置全流程進行記錄和總結，同時全面進行隱患排查和防護加固。

1.2 水利網絡安全架構

水利行業部門多數采用傳統的網絡架構和安全架構，按照分區分域原則，將網絡大致劃分為業務應用區、安全管理區、外聯區、互聯網接入區、公共服務區、辦公終端區等[10-11]。除了各區應有的防火墻等安全設備外，其他主要的安全設備均部署在安全管理區，包括APT、漏洞掃描、日志管理系統、態勢感知系統、運維平臺、網絡審計、入侵檢測等，安全管理區通過防火墻與核心交換機相連接，各安全設備均有一套獨立管理系統。水利部本級機關網絡突破了傳統網絡架構，在服務器區旁掛SDN控制器，借助物理網元通信控制服務器區和互聯網服務區，為后續網絡安全資源池化奠定了一定的基礎。

1.3 水利網絡安全存在問題

近幾年，國家和水利部對網絡安全高度重視，通過出臺網絡安全相關法律、修定等級保護相關標準以及水利網絡安全實戰演練等舉措，使水利行業網絡安全水平得到較大提升，但是隨著網絡設備復雜化、網絡攻擊手段多樣化，水利行業網絡安全防護能力仍然存在短板，具體如下。

a)網絡安全主動響應能力不足。多數水利部門已部署態勢感知平臺、APT預警平臺以及防火墻系統等設備，能對外來攻擊及時作出預警、研判、事件處置，但監測預警機制仍停留在被動防御，發現問題后需要人工進行分析。并且從公安部、水利部組織的多次攻防演練結果表明，針對網絡安全威脅往往無法追溯到源頭，安全應急處理依舊被動。同時，網絡安全防護是動態的過程，設備的優化配置、聯動響應及運行維護尤其重要，水利行政主管部門與下屬單位還沒有形成整體協同防御體系，水利行業協同防守合力還需進一步強化。

b)安全設備利用率低。水利行業安全設備類似“糖葫蘆串”部署，設備來自不同廠商，策略復雜、部署繁瑣，各設備之間利用率低，大量的物理設備會占據寶貴空間；并且重要安全防護設備均有一套獨立的運維系統，導致監測到的數據成為數據孤島，無法發揮設備聯動能力和價值。

c)網絡安全防護壓力大。近年來各級水利部門積極響應建設智慧水利的號召，開發了大量業務應用，導致數據規模、系統數量、網絡性能等要求越來越高。信息化應用已由主要提供本行業支撐，轉變為為水利、環保、應急、自然資源、社會等眾多領域交叉提供服務，網絡邊界變得模糊化，導致網絡安全防護壓力隨之劇增。

d)虛擬化防護無法個性化定制。水利行業部署了不少虛擬化基礎平臺，雖然根據等級保護2.0關于云計算的擴展要求，增加了虛擬化安全防護[12]，但還是面臨用戶粗粒度安全服務，難以滿足個性化定制安全策略，防護效果不佳。

2 基于軟件定義安全的水利網絡安全協同防御體系構建

2.1 軟件定義安全總體架構

軟件定義網絡(SDN)架構針對網絡轉發設備，將原本數據轉發和控制緊密耦合的狀態，轉變成數據平面和控制平面分離，數據平面由完全受控的轉發設備構成，控制平面由數據轉發和相關業務邏輯的控制組成。而軟件定義安全(SDS)架構在軟件定義的思想上針對安全設備，強調將安全控制平面上移，借助SDN技術實現網絡流量的調度，結合NFV技術使安全設備控制與轉發分離，更靈活的管理安全資源。通過以上技術的結合，可以有效地簡化安全設備部署難度，利于搭建安全防護解決方案。

針對水利行業網絡安全突出問題，設計基于軟件定義安全的水利網絡安全協同防御體系。首先將網絡安全設備與其調用方法、接入接口、安全防護能力有效分離，抽象為安全資源池[13]；構建安全控制器，通過在SDN控制器中增加安全控制代理實現對網絡流量的控制，同時連接云計算管理平臺，共同形成安全控制平臺，根據具體業務需求動態調整、調用資源池安全能力；設計編排單個或多個安全應用，滿足水利網絡安全防御的功能定制。總體架構見圖2，主要由安全資源池、數據轉發層、安全控制平臺以及安全應用層4個部分組成。

圖2 基于軟件定義安全的水利網絡安全協同防御體系架構

2.2 安全資源池

水利行業部門當前購置的安全產品多為軟硬件一體化設備，安全資源池可以打破以往的傳統架構枷鎖，使安全產品既可以是傳統物理形態也可以是虛擬化形態。圖3所示，借助NFV架構中的基礎設施層方案，虛擬層將設備功能實體與底層硬件邏輯分離形成多個虛擬化安全資源，實現安全產品系統運行在通用服務器的虛擬環境中。

圖3 安全設備軟硬件解耦

由于不同廠商的產品功能、工作模式、部署方法均不相同，表1所示，通過歸納不同安全產品的共性構建通用接口，主要包括基本信息接口、配置接口、策略接口以及日志接口，安全控制平臺調用接口即可獲取安全資源池能力[14]。

表1 通用應用接口

2.3 數據轉發層

數據轉發層根據流表處理所有的出入流量，起到數據轉發的作用。主要由Openflow交換機、路由器等網絡交換設備組成，OpenFlow交換設備不再自主地進行地址學習和選路，而是僅能按照安全控制平臺的流表進行分組轉發。安全設備與數據轉發層相連接，就可以通過對流量的控制，決定是否經過某個安全設備，從而實現安全設備的優化調整。

2.4 安全控制平臺

安全控制平臺負責整個協同防御體系的核心，負責管理、協調和控制。圖2所示，安全控制平臺由安全控制器、SDN網絡控制器、云計算管理平臺等組成。

安全控制器北向與安全應用層連接，為應用提供可編程的安全接口，南向通過數據轉發層和安全資源池提供安全資源能力，東西向以松耦合的方式連接云管理平臺和SDN網絡控制器，在云環境中可以獲取計算資源并管理虛擬化安全設備，在SDN網絡中可以獲取、控制全局流量。其中南向接口采用兼容性和使用率較高的OpenFlow通道，控制器配置和管理交換設備、接收交換設備發出的事件信息等均可以通過南向接口實現，而北向接口尚未形成統一標準，各種控制層網絡操作系統基于不同技術為上層安全應用服務，考慮到WEB應用的普及以及接口靈活易用性，采用REST API作為北向接口，能夠支持Floodlight、OpenDaylight、Ryu等市場較為流行的控制器[15]，通過使用GET、POST、PUT、DELETE等HTTP協議來查詢網絡相關參數，GET方法用于網絡資源的查詢，POST方法用于增添和修改資源，PUT用于修改具體資源的數據的內容，DELETE方法用于刪除資源，返回的格式可以是JSON或XML，具體操作見表2。

表2 北向接口資源規劃

SDN網絡控制器通過安全控制代理(agent)與安全控制器相連接，主要對水利行業部門的全網流量進行分析和控制，首先根據網絡設備上的流表和PACKET_IN獲取全網的實時流量，當SDN控制器獲得PACKET_IN后，解析出原始數據包并獲取包頭字段，然后根據安全控制器傳遞的流指令，直接向網絡設備下發FLOW_MOD指令，例如交換機端口1的虛擬機A向端口2的虛擬機B傳送流量，流表可以表示為“inport=1,A→B,actions=output:2”,通過不同的動作actions控制實現全網流量的放行、阻斷、重定向和鏡像等操作。

云計算管理平臺提供基礎設施即服務(IaaS)，為安全控制器提供虛擬化計算資源和虛擬化安全設備。

2.5 安全應用層

安全應用層為網絡安全防護體系提供多種多樣的應用交付，如WEB安全、訪問控制、DDoS防護等，這些應用均可由第三方定制開發。同時，應用層本身支持服務編排的部署模式，即多種應用可以疊加同時實現多種業務，實現安全防護的智能化、自動化。詳情請見第3節網絡安全協同防御管控系統。

2.6 協同防御工作原理

實際防御過程中，事先根據水利行業部門實際防護場景進行定制安全應用，安全控制平臺流量統計信息模塊獲取東西向的網絡流量，當監測到流量過大或連接異常端口等滿足安全應用定制的威脅條件，安全應用會將策略下發到安全控制平臺，策略格式見式(1)：

S=(E,M,P,A)

(1)

當事件E被觸發時，模塊M會對數據信息進行檢查，檢查結果若符合模式P，則執行動作A。策略解析模塊收到后，形成調用資源池安全能力的命令，通過設備管理模塊在設備池中選擇最合適的安全設備進行防護，或經由SDN控制器推送到網絡設備，通過交換機端口的關閉和斷開或者將流量限制在一定范圍內。當攻擊被檢測到或防護，安全設備會將告警日志推送到設備管理模塊，往后一旦有訂閱的策略滿足條件，則會通過事件調度模塊迭代觸發更多防護動作[4]。

3 水利網絡安全協同防御管控系統

融合目前水利行業部門已有的態勢感知平臺、安全設備系統、虛擬化管理平臺等，根據基于SDS的水利網絡安全協同防御體系構建水利網絡安全協同防御管控系統，調動安全資源池將各自獨立的基礎安全功能編排成多條防護鏈，從而解決水利行業大規模網絡攻擊所面臨的安全防御問題，并具備良好的通用性和擴展性。主要功能如下。

3.1 安全應用管理功能

安全應用管理用于水利部門及其下屬機構安全應用的注冊、部署、驗證、運行和升級等操作。圖4所示，對于需要特定安全防護體系的用戶，僅需要將已注冊的網絡設備和安全設備拖拽到相應的部署界面，通過驗證功能可以校正部署過程中邏輯錯誤，同時本功能支持設備升級。運維人員僅需要具備基本的網絡安全技能，不必了解設備具體的部署方法、規則命令等，極大降低了運維成本。

圖4 安全應用管理功能

當需要部署應用防火墻(WAF)時，可以在設備供選區將WAF拖到相應的被防護虛擬機上，并配置好WAF的管理地址、部署模式等。安全控制平臺向云計算管理平臺發送指令，啟動對應的WAF虛擬機，然后向SDN控制器下發流指令，命令其將虛擬網關到Web服務器的HTTP流量牽引至WAF虛擬機所在的交換機端口。

3.2 協同防御策略下發功能

圖5所示，針對大規模的網絡攻擊進行協同防護，首先進行協同防御策略分析，根據風險評估模型對攻擊行為進行量化等級劃分，對于威脅大的攻擊進行協同防御，根據分析結果選擇或建立相應的協同防御策略，最后通過安全控制平臺進行策略分發。

圖5 協同防御策略下發

3.3 未知攻擊防御功能

未知攻擊防御功能選擇主動防御網絡入侵技術——蜜網，通過水利行業部門在用系統與攻擊者之間的交互，記錄攻擊者行為，分析攻擊信息，產生面對新型攻擊的防御策略。圖6所示，當防火墻、IDS安全應用檢測到有攻擊行為卻不在特征庫范圍內，則將流表轉發至蜜網，蜜網交換機根據接受的請求，將攻擊者請求內容轉至相應蜜網應用中，充分利用蜜網收集到的數據，對數據庫中的攻擊信息進行特征提取和分類，有效的攻擊信息形成新的規則，第一時間更新IDS和防火墻特征庫，做到主動防御，防患攻擊行為大規模擴散。未知攻擊防御功能提供事件日志管理、蜜網管理和配置、事件監視等功能[16]。

圖6 未知攻擊防御功能

3.4 網絡安全監控功能

根據水利行業重要時期網絡安全保障和管理要求，網絡安全監控具備監控現有設備資產性能及威脅信息的功能，尤其是受攻擊的主機信息，為防護策略的制定提供案件支撐。圖7所示，該功能可以展示風險資產名稱、風險等級、事件標簽、攻擊數量以及發生時間等，并支持多維度篩選以及關鍵字檢索等。

圖7 網絡安全監控功能

3.5 安全事件共享

如今的網絡攻擊，攻擊者一般不會僅針對水利行業部門的某個網站窮追猛打，而會選擇收集與本級部門相關的下屬單位或企業信息、C段信息、旁站信息、真實IP信息、網站信息、服務器信息等，很容易將目標轉換到各下屬單位。水利網絡安全協同防御不能出現“木桶效應”，圖8所示，安全事件共享功能提供了資產和運行狀態數據、網絡安全事件數據、網絡安全態勢信息。按照水利部統一的網絡安全管理需要，將網絡安全管理方面的通知通報、事件處置報告、處置流程等實現接口聯動，有助于實現行業級網絡安全事件協同處置和資源調度。

圖8 安全事件共享功能

4 效果

通過水利網絡安全協同防御管控系統與防火墻、上網行為管理系統等安全設備聯動響應，實現互聯網出口、業務應用區等關鍵位置聯動防御功能。利用各網絡分區流量探針感知各區域安全威脅和協同防御管控系統的綜合分析研判，可第一時間發現外部威脅和攻擊IP并聯動相關安全設備進行聯動封堵。截至目前，在某水利管理部門部署的協同防御管控系統，日均能夠聯動封堵270個外部攻擊IP，有效實現了外部攻擊快速發現和自動處置，提升安全威脅處置效率，有力保障網絡安全，效果明顯。

5 結論

面對錯綜復雜的網絡攻擊，水利行業部門協同防御顯得尤為重要。本文對現有水利網絡安全形式進行了分析，在此基礎上給出了一種基于軟件定義安全的水利網絡安全協同防御體系架構及其一整套協同防御系統的功能機制，最后實現了系統的部分功能。該方案通過將傳統安全產品軟硬件解耦形成安全資源池，調動安全資源池中各自獨立的基礎安全功能編排成多條防護鏈，能夠解決水利行業網絡安全產品部署復雜、網絡安全設備聯動能力弱、信息共享能力不足等問題，實現內外協同、上下聯動的水利網絡安全協同防御能力。下一步將從以下2個方面著手進一步健全體系建設：①完善基于軟件定義安全的水利網絡安全協同防御體系，進一步融合現有的水利網絡安全防御應用，實現安全應用管理、協同防御策略下發等功能；②目前水利行業中工業控制、物聯網終端、移動辦公等領域應用不斷拓展，隨之衍生出新特征、新行為、新方法的攻擊手段，下一步將采用基于SDS的蜜網技術抵抗未知攻擊，提高攻擊溯源能力。