基干私网穿透技术自助式安全扫描方法.doc

基于私网穿透技术的自助式安全扫描方法 　　【摘 要】为了促进并推动中国电信安全评估检查工作的深化开展，将更多的业务平台纳入到安全评估的检查范围，针对原先使用人工检查加辅助工具扫描的传统评估方式而导致的工作效率低下的问题，提出了一种较为有效的一键式安全评估方法。通过在日常运维工作中应用该方法，可大大减少人力成本投入，提升了安全威胁处置的能力，从而实现安全评估的自动化、日常化、全面化和集中化 【关键词】安全评估 私网评估 闭环管理 中图分类号：TP317.1 文献标识码：A 文章编号：1006-1010（2016）18-0062-05 1 背景研究 随着网络规模的不断扩大和网络安全事件的逐年增加，手工加辅助工具方式的传统主机风险评估系统虽然目前运用得较广泛，但是这种半自动的方式工作效率不高且操作麻烦，在这种情况下，实现自动化的安全评估系统成为亟待解决的重要问题[1-2]。同时，随着中国电信安全评估检查工作的不断深化开展，越来越多的业务平台纳入到安全评估的检查范围，而各业务平台普遍存在私网资产，针对这些私网资产的安全评估检查工作对于运维人员来说是一个很大的难题[3] 1.1 问题分析 在当前的电信网络实际运行环境中，开展安全评估工作主要存在以下方面的问题[4]： （1）待检查的设备数量多，需要人工参与的评估工作量太大，耗费大量的人力资源； （2）安全运维流程零散杂乱，无电子化的安全运维流程； （3）系统评估过程中使用的工具多，需要将各安全评估系统临时接入到各个数据业务系统中进行扫描或采用临时打通通路的方式，这种安全评估方式要在日常维护中定期频繁的实施基本上不可行[5]； （4）缺乏统一安全现状呈现，对于设备安全信息现状和系统整体安全情况只是体现在定期报告中，无安全现状的实时呈现[6] 1.2 解决思路 山东电信前期已建成SOC（Security Operation Center，安全运营中心）网络安全管理平台，它是一个统一的安全管理中心，协调包括安全评估子系统、异常流量监控子系统、攻击溯源子系统等众多第三方安全子系统在内的联动工作。因此，在SOC平台中嵌入一键式安全扫描评估闭环模块，从安全运维的实际需求出发，为管理、运维、监控人员提供统一的安全自评估平台，全面实现安全评估自动化、日常化、全面化和集中化。通过提高安全评估工作效率，实现安全工作融入日常工作，将各种评估手段结合起来以实现全面评估，同时进行集中化的分析汇总与呈现[7] 2 技术方案设计 2.1 设计目标 以SOC网络安全管理平台为中枢，建立统一的安全评估管理流程，分别面向监控、维护及管理人员，提供集中化统一的安全评估界面，全面助力一键式自助安全评估工作落地 2.2 技术方案 （1）评估闭环管理模型 如图1所示，一键式自助安全扫描评估以安全风险管理为核心，通过SOC安全管理平台集中化管理，实现对安全资产的自动化扫描评估，从而达到对安全风险的全面管控，并且与电子运维工单系统对接，将评估结果和整改建议通过工单系统通知到相应的维护责任人，及时对安全漏洞进行整改处置，对于暂时无法整改的漏洞需在SOC平台进行备案说明[8] 通过一键式自助安全扫描评估，配置不同的任务策略和模板，实现以安全资产或业务系统两种不同维度的任务自动下发，并对扫描评估结果进行统一管理与备案。通过“发现-扫描-评估-整改-复查”的闭环评估法则[9]，能够快速发现网络中的未知安全资产，全面扫描安全资产漏洞，清晰定性网络安全风险，并给出修复建议和预防措施，同时将漏洞整改流程固化到系统中，从而在自动化安全评估的基础上实现安全自主掌控[10] （2）私网安全评估技术 针对防火墙NAT（Network Address Translation，网络地址转换）后的私网资产无法通过网络直接进行访问，导致远程安全评估无法有效开展的技术难题，通过部署安全私网评估代理，建立L2TP（Layer 2 Tunneling Protocol，第二层通道协议）安全隧道，远程实现对私网资产的安全扫描 私网安全评估架构如图2所示。其中，针对私网设备无法实现自动扫描的问题，利用部署在私网平台的代理机，由代理机与集中平台（SOC平台）建立通讯通道，通过公网穿透打通集中平台（SOC平台）与私网资产的网络层可达性。代理机接收集中平台（SOC平台）控制机下发的安全评估指令并转发私网资产；私网资产将安全指令反馈数据返回给代理机；代理机上报安全评估指令结果给集中平台（SOC平台）控制机进行备案。整个过程采用心跳机制进行保活 代理的角色分为： ◆SOC平台公共代理（Public Proxy）：部署于中心SOC平台内网，与安全评估子系统同一个