數據驅動安全架構升級---“花瓶”模型迎來V5.0(二)

數據驅動安全架構升級---“花瓶”模型迎來V5.0

Jackzhai

三、“花瓶”模型V5.0

“花瓶”模型V5.0是從安全事件防護的角度，設計安全保障架構的。事前制定策略，部署防護措施，提高***門檻，阻斷常規的******；事中監控，動態檢測***防護體系的***者，通過分析業務狀態的異常，流量的異常，網絡行為的異常，以及對各種惡意代碼的檢測，從多個角度展示安全態勢與行為的關聯分析，及時發現***者，并及時阻斷***者的破壞行為；事后進行溯源、取證、合規性分析，一方面震懾違規者，另一方面是改進防護策略，調整防護措施，進入下一輪的***循環。

全面的監控，與多角度的審計分析，都離不開大量的日志、流量數據，收集的數據越豐的富(覆蓋全、時間久)，基于大數據的分析就越精準。面對海量的數據采集、存儲、檢索，需要在安全管理中心建立一個專門處理海量數據的“數據湖”，作為數據的管理倉庫。

“花瓶”模型提供的是基于“防護-監控-審計-平臺”的“三線一中心”的防護架構，覆蓋了***對抗互動的整個過程。下面介紹“三線一中心”上可以選擇的安全技術措施：

   1、  防護體系：

   防護體系主要的目的是提高***者進入的門檻，建立用戶訪問的控制機制，傳統的訪問控制策略多數是本地管理，隨著等級保護標準V2.0的推出，安全策略集中管理、統一下發成為趨勢，這促進了邊界安全措施的安全策略統一描述語言的誕生，包括主機操作系統、安全設備、安全中間件等。

   網絡虛擬化模糊了網絡的邊界，一些企業的網絡甚至與互聯網都不在有明確的邊界，所以，“花瓶”模型原有的五大邊界也發生了改變。按網絡分層抽象的理解，分為物理邊界與虛擬邊界：

   a) 物理邊界：有明確的物理連接，網絡分為端、網、服務三個部分

      (1)  網：物理網絡，與傳統的網絡相同，其邊界分為

        安全域邊界：域邊界成為安全區域隔離的主體，采用傳統的安全隔離方式

          NGFW、IPS、AV

          WAF

          網閘：雙向、單向

          數據交換區：數據共享交換平臺

          AP/AC：無線WiFi網絡的接入網關

          4G/5G等移動網接入網關

        業務代理邊界：應用層的代理網關

          ×××：基于加密技術的鏈路協議通道

          CASB：云計算服務代理訪問

          運維堡壘機(隔離運維人員直接接觸服務器)

     （2）服務器：面向服務的控制

         服務器安全加固

         統一安全策略管理(與SOC)

      (3)   終端：

         終端安全管理(網絡準入、非法外聯、介質管理、軟件安裝管理、補丁管理…)

         統一安全策略管理(與SOC)

         信息加密中間件：端到端加密控件

   b) 虛擬邊界：網絡虛擬化，也包含虛擬的端、網、服務三部分

      (1)網：即業務流邊界，通過對信息系統流量的引導控制，建立信息系統之間的虛擬邊界

      (2) 虛擬機：信息系統的服務支撐部分，虛擬機是可以動態遷移的，但其外部可訪問的URL是確定的

      (3)虛擬桌面：訪問信息系統服務的方式很多，大致可分為兩類

         遠程虛擬桌面：即瘦終端模式，處理功能在遠程

         本地容器式安全運行環境：即胖終端中運行一個應用安全環境

         安全瀏覽器

         終端虛擬機

         應用容器

         手機APP

      (4) 流量引導技術：虛擬網絡的邊界建立離不開流量的引導與控制，一般通過通信協議實現，需要在虛擬交換機與物理交換機上同時支持。在虛擬化平臺上目前常用的方式如下：

         SDN

         VPC

         VXLAN

         NVGRE

   2、  監控體系：

   監控體系是為了應對那些***到網絡內部的***者，他們通過了邊界安全措施的檢查，偽裝成“合法用戶”，具備業務信息系統的訪問權限。監控措施就是發現這些***者的“異常”行為、“破壞”活動，并進行及時阻斷。因此，監控體系就是安全運營、應急處理、事件追蹤的基礎支撐部分。

   監控系統包括兩個基本部分，數據采集與關聯分析，信息采集的越充分、越具體，分析才會更有效，顯然，足夠多的信息采集，意味著需要海量數據的處理能力。

   a) 信息采集：網絡安全需要采集的信息分為三類：

     (1)安全事件：安全事件的生成一般是發現惡意代碼，發現網絡***行為，或者是發現異常訪問行為。安全事件來自于多個方面，主要是安全措施檢測或阻斷的記錄：

        病毒蠕蟲檢測系統，如AV、主機防病毒等

        ******檢測系統，如IDS、主機IDS等

        網關阻斷***日志，如DDOS、CC***、SQL注入等

        高級威脅檢測系統，如沙箱發現惡意文件等

        信息系統的安全中間件，如口令暴力破解、資源異常使用、敏感信息的異常訪問等安全事件輸出

     (2)狀態信息：網絡安全是以保護網絡核心資產為目標的，這些資產的狀態變化就必須隨時掌握，包括如下幾個方面：

        服務狀態：業務信息系統的服務狀態，如用戶狀態、服務能力、流量、存儲空間等；

        設備狀態：提供服務的設備自身狀態，可以是物理設備，也可以是各種功能的虛擬機；

        鏈路狀態：即網絡連通狀態；

        終端狀態：終端是用戶所在，也常常是***者藏身的地點；

     (3) 漏洞信息：自身的脆弱性信息。漏洞是多方面的，包括對已知漏洞的內部發現，以及外部威脅信息中新漏洞信息的關聯；

   b) 關聯分析：采集數據是為了發現、定位***者。為了適應高級威脅的***態勢，以及海量數據的現狀，在傳統安全檢測的基礎上，很多高級、多維的關聯分析技術相繼出現：

     (1)   網絡異常行為檢測：從流量中提取的多元原始訪問信息，如IP、URL、DNS等信息，通過大數據關聯聚合，形成訪問者行為軌跡；

     (2) 流量異常檢測：從流量中提取多元原始訪問信息，按業務系統聚合，形成業務訪問分布圖，分析業務的異常波動，發現DDOS、CC、蠕蟲等***；

     (3)高級威脅檢測：發現高級***者是監控體系的核心目標所在，目前主要的方法是從兩個維度進行的：

       文件沙箱：對網絡的可執行文件進行黑白名單分類，即確認是惡意的放入黑名單，確認是好的放入白名單。未知的文件可以通過文件指紋(如MD5值)等方式檢測，未知的文件則送入文件沙箱檢測系統，通過虛擬機建立文件運行的環境，讓未知文件釋放運行，通過配置的惡意型模型，對其行為是否惡意進行判定，并放入黑白名單庫中，以后就可以直接用文件指紋檢測了；

       行為模式匹配：先分析***者常見的***行為模型，再通過對網絡行為記錄進行大數據模式匹配分析，發現***者的惡意行為；

   c) 威脅情報關聯：安全監控需要知己知彼，前三項檢測是對內部安全動態的了解，威脅情報是為外部安全動態的了解。由于網絡安全已經成為國家戰略，應對高級威脅就不可能閉關自守，威脅情報是一個體系化的系統措施，涉及內容較多，其關鍵是獲取的威脅情報信息如何對整個安全保障體系所用：

     (1)威脅情報種類：哪些情報是有用的，我們需要哪些威脅情報信息

        新漏洞信息

        新型***技術、新型防護技術信息

        新安全補丁信息

        外部尤其是同行業內的***事件

        新發現的惡意代碼特征

        ***組織信息，或者是對我威脅方的信息，如行業競爭者

        惡意IP地址、惡意URL地址

        釣魚網站URL地址

        敏感信息曝光

     (2)威脅情報格式：威脅情報的處理自動化，即“機讀”威脅情報(威脅指示器IOC)

     (3)威脅情報處理：收到的威脅情報，可以落實為不同的處理方式

        安全策略下發：如新補丁發布，安排網絡內打補丁工作；發現新漏洞，沒有補丁時可以部署虛擬補丁措施；發現惡意IP地址，在邊界網關部署ACL，禁止網絡內用戶訪問該IP；

        信息通報：如新***技術、安全事件，通告相關部門，提高大家安全意識；

        受害情況分析：如僵尸控制服務IP地址，可以掃描網絡行為記錄，發現網絡內有多少終端訪問該IP，即已經被該僵尸控制；如釣魚網站URL地址，通過網絡內訪問該URL的記錄，可以給出網絡內有多少終端已經訪問釣魚網站，有可能被***了；

        泄密事件預警：發現被曝光的敏感信息屬于內部業務系統，說明該系統發生泄密事件，立即部署清查活動，發現泄密源；

    d)安全態勢：監控系統需要一個展示平臺，將動態信息實時展示出來，以圖形圖像等方式展示其各種元素之間的關聯關系，還可以發揮人的高度概括、抽象的能力，發現其中隱含的關聯關系，這也是安全分析中常用的手段之一。把采集的信息與分析的結果按照安全管理者關注的框架展示出來，就是常說的安全態勢。安全態勢感知是對安全信息采集、分析、展示、預測等的總體稱謂。因此，安全態勢需要一個描述安全態勢的指標體系，即表征用戶關注的安全態勢的關鍵要素，有這些要素的動態數據，組合成安全態勢視圖。一般安全態勢有多個視圖，如資產狀態、事件影響、事件追蹤、情報關聯等。

   3、  信用體系

   信用體系是對網絡用戶的一系列安全管理措施，其核心就是確定是誰，是否有權做，做法是否合規，最終落實到用戶的行為審計。“花瓶”模型V5.0增加對合規行為的動態分析，不僅僅是事后取證，而且可以在用戶行為進行中，及時關聯分析，并動態追蹤該用戶目前在哪里，在干啥。

   信用體系的構建分為如下幾個部分：

   a) 身份認證：身份認證是信任體系的基礎支撐，是跨層建設的安全服務系統。

     (1)  鑒別技術：賬戶口令、動態口令、生物特征、數字證書、電子芯片…

     (2) 多因子：多種鑒別技術組合，對重要信息的訪問，還可以追加鑒別機制

     (3) 網絡漫游：移動接入與多屏合一的業務發展，需要用戶單點登錄(SSO)認證與網絡漫游支持

   b) 授權控制：判斷用戶是否可以訪問，依據授權管理。由于網絡資源較多，應用增加速度較快，分立的授權管理難以支撐網絡安全運營，集中的授權管理，分布式的用戶訪問控制機制是未來的方向；

   c) 行為日志：有了身份認證、授權管理，就可以確定某人的行為是否被授權允許。行為日志是用戶的行為記錄，是事后取證的依據，是用戶行為防抵賴的保障措施；

   d) 基于大數據的合規性檢測：單個看一個行為，不合規，未授權，則訪問控制機制直接拒絕。多個合法的行為組合起來，卻不一定是合法的，這要看用戶實現業務的結果。基于大數據的合規性檢測，就是發現內部人員違規操作的行為，或者是內部人員被冒充，執行冒充者的指令行為。

     (1) 用戶行為檢測：是各種不同業務系統的訪問行為關聯分析，從用戶訪問的時間、順序、訪問內容與數量等，分析其動機，發現其異常；

     (2)  流程合規檢測：是對業務流程操作的行為關聯分析，從用戶操作的時間、順序、動作等，分析是否符合流程操作規范，從而發現操作異常；

   e) 行為取證：發現的異常行為、違規行為都要能獲取其完整的行為證據鏈。行為取證可以復現***者的***的場景，從而分析流程、管理中的漏洞，為安全策略的完善提供建議。

   4、  安全管理中心

   安全管理中心的作用是提供公共的安全集中管理與服務。即是網絡安全運維、安全應急指揮、事件跟蹤處理的平臺，同時也是用戶常用軟件的服務中心。與傳統的安全管理中心不同的是，由于采集的數據量龐大，需要建立數據湖(數據倉庫)處理海量數據，包括數據的采集、存儲、檢索。

   a) 安裝軟件倉庫：軟件倉庫服務統一提供各種軟件安裝，不僅方便日常安裝使用，而且既可以統一做兼容性測試，又避免軟件被“污染”，控制***的傳播；

     (1) 補丁軟件：以云服務模式提供補丁管理服務，包括系統、設備、應用等補丁；

     (2) 常用應用軟件：以云服務模式提供常用軟件的安裝版，尤其是終端軟件；

   b) 數據湖：即數據層，采集的原始數據分為三類：

     (1) 事件：從各種安全設備報上來的安全事件

     (2) 日志：從各系統、設備報上來的狀態、操作等

     (3) 配置：安全設備當前的安全配置，即目前的安全策略

     對原始數據進行實時分析，生成新的數據，也有三類:

     (1) 統計數據：進行各種統計的數據

     (2) 關聯分析：規則分析、模式匹配等產生的新數據

     (3)     挖掘數據：進行各種大數據分析挖掘出的新數據

   c) 安全管理平臺：管理層，提供安全管理平臺的各項功能

     (1) 資產管理：機房的設備好管理，難度大的是終端，尤其是那些移動終端的管理。很多用戶都希望對接入網絡的終端可以及時發現，這是發現內網***者的有效策略之一；NFV技術的使用，很多設備軟件化，動態生成與銷毀很容易，快速、高效管理更是需要；

     (2) 態勢展示：用戶關心的態勢指標體系可視化展示，同時也是監控體系的工作臺，應急指揮、輔助領導決策的指揮臺；

     (3) 事件處理：安全運維的基本工作，即安全事件的跟蹤、溯源、處置流程；

     (4) 安全策略：安全策略的統一下發，這項功能比傳統SOC有較大提升，即可以針對終端，如Windows/Linux等下發加固策略，對NGFW批量下發訪問控制策略，對IDS/流量采集下發重點監控的臨時安全策略；

     (5) 運維管理：日常的安全運維工作，如人員變動、配置變更、新系統上線、設備更換等，還包括值班處理、安全通告、違規處罰等管理職能；

     (6) 補丁管理：補丁管理是安全運維重要的一項工作，包括補丁兼容性測試、批量補丁下發、虛擬補丁部署等。

 “花瓶”模型V5.0的三條安全線，是相互配合的，相互支撐的。防護體系是門檻，是防護基線，建立基于“空間”的縱深防御體系；監控體系是針對高級***，發現那些透過防護體系進入到網絡內部的***者，通過多角度、多時空的信息關聯，發現***者的異常；信任體系是針對網絡內部用戶的安全管理，發現內部***者，發現違規操作者，建立基于用戶的網絡信任體系。

“花瓶”模型V5.0適應網絡新應用模式，防御體系分化為物理網絡層與虛擬網絡層，同時向應用層轉移，向用戶邊界---終端轉移；擴大了監控體系的粒度與覆蓋面，強化了身份認證與授權，與業務系統更加緊密地結合。因此，“花瓶”模型V5.0不僅更加適合“國家網絡安全法”第33條要求的“三同步”設計原則，而且更加適合基于云計算、物聯網等新型IT基礎架構的安全保障設計。

四、小結

    “花瓶”模型伴隨著信息安全已經經歷了風雨十年，為眾多網絡安全保障方案的設計提供了便利，是方案設計者最佳的參考模型之一。V5.0版本的發布，讓“花瓶”模型融入了最新的安全***理念，整合了最新的安全技術手段，不僅適合傳統的網絡信息系統使用，而且適合基于新型IT基礎架構的信息系統，與云計算的虛擬化技術、大數據處理技術、移動互聯應用無縫結合，將是售前工程師為用戶設計符合等級保護標準2.0的安全保障方案的最佳參考模型。