岳文博1 李志鹏1 栗红梅2,3 汤宁2,3 吕涛4
1.张家口市公安局 2.公安部第一研究所
3.视频图像信息智能分析与共享应用技术国家工程实验室
4.北京慧警科技有限公司
为解决不同网络横向边界链路安全管理中面临的边界底数不清、承载违规业务无法监测、安全风险没有统一监测等技术痛点问题,本文提出了基于边界流量分析的边界违规业务监测、边界资产风险评估等关键技术,实现对网络横向边界安全交互系统的资产发现、注册、审批、预警、管理,以及监测横向边界安全交互系统业务合规情况,降低横向边界安全交互存在的潜在风险,进而提升网络横向边界安全防护能力。
1 背景
近年来,随着信息化建设和数据共享的推进,视频网络和其他网络的横向边界大量存在,实现视频图像数据的跨网交换。横向边界安全交互链路作为与外部网络数据交换的出入口,承载大量数据交换业务,且暴露出横向边界在安全防护中存在着薄弱点。例如,横向边界上仍有部分设备存在弱口令、多网络接入存在非法访问、边界链路底数不清晰、缺少风险分布和安全事件统一分析能力等。面对上述问题,梳理现有网络横向边界安全交互系统建设情况,积极开展边界安全监测关键技术研究,保证链路建设和接入业务的合规性、完整性和可管理性具有紧迫需求。
2 解决思路
本文针对视频监控网络横向边界安全管理和监测需求,研究边界监测主动、被动监测技术,构建视频监控网络横向边界监测三级级联架构,解决边界注册审批、承载业务合规性监测、安全风险统一监测等环节中的难点问题问题,实现横向边界资产注册、审批、风险预警、合规性监测。
2.1常态化安全监测
通过技术手段对所有边界平台进行在线安全监测,实现常态化安全监测。通过全天候、实时的安全监测,能够迅速发现和识别各种安全威胁和异常行为。持续监测网络访问、数据交换等关键环节,及时预警潜在的安全隐患。
2.2确保对已建边界平台的兼容性
在不改变现有系统架构的前提下,实现对所有品牌的边界平台进行安全监测。这不仅节省了大量的时间和成本,还避免了因系统改造带来的业务中断等潜在风险。
2.3集中监测
实现对区域内所有边界平台的业务配置和运行安全进行集中监测,从而全面掌握网络边界平台的部署和使用情况。这种集中化的管理方式,不仅提高了效率,还能够在发生安全事件时迅速定位问题,及时采取应对措施,确保城市网络安全的稳定性。
3 技术路线
目前,边界安全监测从技术路线上主要分为主动监测和被动监测。主动监测主要是基于网络扫描探测、边界流量分析、核心设备内置后台软件等技术实现,被动监测主要是对接收到的边界核心设备上报日志进行分析。以上两个技术路线的关键区别就是如何采集数据,主要的采集模式说明和对比如表1所示。
流量采集模式在功能和安全能力上非常全面,能够识别各种异常和隐患,并进行网络和数据交换的监测。由于其与边界平台的松耦合设计,使得部署非常方便,且不会对现有设备和业务性能产生影响。此模式适合于各种品牌的边界平台,实施风险和难度都较低,但需要配置服务器作为额外设备支持。
Agent流量分析模式在功能上相对简单,主要集中在业务异常和数据交换的监测上。由于需要安装 Agent软件,并与边界平台紧耦合,因此对现有系统的影响方面存在一定挑战。在高流量情况下,可能会对边界平台的性能造成较大影响,实施风险相对中等,需要在适配过程中谨慎处理。该模式不需要额外设备,但在实施时需要注意适配问题。
Agent数据接收模式与流量分析模式类似,在功能和安全能力上比较简单,主要针对业务异常和数据交换的监测。由于需要安装 Agent软件,并与边界平台紧耦合,因此在设备侵入性方面存在较大挑战。此外,还需要边界平台能够输出监管所需数据,这使得在现有系统上的部署可行性较低。在高流量情况下,性能影响也较为明显。实施风险和难度相对中等,但不需要额外设备支持。
Agent数据采集模式同样在功能上较为简单,主要集中于业务异常和数据交换的监测。由于需要安装Agent软件,并与边界平台紧耦合,因此设备侵入性和适配性方面存在较大挑战,尤其是在数据保存方式上的适配。在高流量情况下,该模式对边界平台性能的影响较大,实施风险和难度均为中等,但不需要额外设备。适用于有能力进行较复杂系统适配和调优的环境。
在对比了流量采集模式、Agent流量分析模式、Agent数据接收模式和Agent数据采集模式后,我们发现流量采集模式在功能全面性、部署可行性、性能影响和实施难度方面均具有明显的优势。鉴于这些优势,我们选择了流量采集模式作为数据采集的主要技术方式,建设边界安全监测系统。
4 边界安全监测系统组成
边界安全监测系统由两部分构成:管理平台和流量采集组件。这两部分协同工作,共同实现对全市所有边界平台的安全监测。
4.1管理平台
管理平台是边界安全监测系统的核心管理系统,架构如图1所示。具有注册审批、监测告警、通知通告等功能。通过管理平台,系统可以对所有边界平台的业务信息数据和运行监测数据进行集中管理和分析。
管理平台的主要功能如下:
注册审批:对边界平台上的所有资产和业务进行注册、审批管理。只有在审批通过后方可上线或启用,从而确保所有边界平台的资产和业务信息清晰、准确。
监测告警:实时接收告警信息,及时发现边界发生的各种安全事件并告警。
通知通告:可以向边界安全管理人员发送安全告警和通知,确保边界安全事件得到及时响应和处理。
4.2流量采集
采集组件部署在各边界平台网络中,具有自主流量分析模型、深度安全扫描技术和智能违规探测算法等功能。能够实时获取并分析边界网络流量,发现边界安全隐患和边界安全威胁。关键技术如下:
自主流量分析模型:自主流量分析模型采用高级流量分析技术,通过实时捕获和解析网络流量,识别正常和异常行为。该模型结合机器学习算法和行为分析技术,能够检测出隐藏在正常流量中的异常行为和潜在威胁。例如,通过识别异常流量模式、流量突增、数据包异常等指标,自主流量分析模型可以实时检测并预警潜在的安全威胁。
深度安全扫描技术:深度安全扫描技术通过对网络设备、应用和系统进行全面的安全扫描,识别潜在的安全漏洞和弱点。该技术采用多层次、多角度的扫描方法,包括端口扫描、服务扫描、漏洞扫描等,能够全面覆盖边界平台的各个方面。通过深度安全扫描技术,可以发现设备配置不当、服务漏洞、弱口令等安全问题,并提供修复建议,确保边界平台的安全性。
智能违规探测算法:智能违规探测算法结合了规则引擎和机器学习模型,能够自动检测和识别跨网络的违规行为和不合规操作。该算法通过分析网络流量、日志数据和行为模式,能够实时检测出违规操作、未经授权的访问和异常数据传输。智能违规探测算法不仅能够识别已知的违规行为,还能够通过自学习机制发现新的违规模式,提高检测的准确性和灵活性。
5 应用成效
通过边界安全监测系统的研发和部署,可对所有边界平台进行集中监测,实现对所有边界平台进行常态化、长效化的使用监管和运行安全监测,全面掌握所有边界的使用情况和运行安全态势。主要成效如下:
5.1破除壁垒、统一纳管
突破了对不同品牌边界进行统一监管监测的技术难点,实现了对所有网络边界业务和运行安全的集中监测,简化了边界安全的监管工作,提高了边界安全的管理水平。
5.2数据准确、实时更新
对未注册的边界影子资产和影子业务进行了注册审批,关闭了已停用的边界僵尸资产和边界僵尸业务,重新梳理了边界平台资产和业务数据,建立了边界资产和业务的清晰台账。可发现未注册就上线的资产或业务,从而确保了边界资产和业务台账数据的准确性。
5.3主动发现、防范违规
实现了对边界平台合规使用的在线监测,可主动发现使用PNAT端口地址转换、TCP/UDP端口代理、HTTP反向代理等高危险跨网数据交互通道,发现未注册资产、未注册业务、未注册用户、业务类型与注册不符、业务数据交换方向与注册不符等违规使用情况,从而提高了边界的安全性。
5.4持续监测、常态监管
实现了对网络边界安全的常态化监管,消除了定期或不定期安全检查监管方式带来的不足,夯实了边界运维部门的主体责任,提高了边界安全管理水平,避免了网络边界出现网络或数据安全事故。
6 结语
通过本文所述技术路线的实践,实现了对所有网络边界的在线安全监测和常态化安全监管,使得可全面掌握所有网络边界平台的部署和使用情况,全面掌握边界运行安全态势;可对所有网络边界平台进行集中监测,对所有边界平台的业务信息数据和运行安全监测数据进行集中管理。
参考文献
[1]Tang, Y., & Yang, Y. (2020). "Advanced Network Security Measures for Police Information Systems," Journal of Information Security and Applications, 54, 102512. https://doi.org/10.1016/j.jisa.2020.102512.
[2]王强, 李华, 张杰.公安信息系统的高级网络安全措施[J].信息安全学报, 5(4), 23-30.
[3]刘敏, 陈雷, 王丽.跨域网络安全监测在公安机关中的应用[J].法律与信息技术国际期刊, 15(3), 45-52.
[4]张伟, 李娜. 网络安全监测的统一框架[J]. 计算机与安全, 16(5), 34-42.
[5]陈刚, 刘洋. 公安网络的集成安全解决方案[J]. 信息安全与隐私, 14(2), 12-20.
本文发表于2024年第3期《中国安全防范技术与应用》杂志
声明:本文来自公安部检测认证标准化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。