基于软件定义安全的水利网络安全协同防御体系探析

肖尧轩，牟 舵，秦泽宁，郭冬宝

(水利部珠江水利委员会珠江水利综合技术中心，广东 广州 510611)

随着《中华人民共和国网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《信息安全技术网络安全等级保护基本要求》等法律法规和相关要求的出台，以及网络规模逐渐复杂化、信息基础设施逐渐多样化以及虚拟化、云计算技术等新一代信息技术的不断发展，水利传统网络架构和安全防护手段在主动性、协同性以及管控性等方面的局限日益凸显。

目前，软件定义网络(Software Defined Networks，SDN)作为新型的网络架构，通过使控制平面和数据平面有效分离，实现网络的操作自动化和可编程性，有效弥补了传统网络结构过于扁平化的弊端[1]。水利部网络通过SDN升级改造，使服务器区具有了网络流量统一管理调度、集中控制、云资源统一编排、简化运维工作等特点[2]。在SDN网络架构的基础上研究者及厂商提出了软件定义安全(Software Defined Securtity,SDS)的网络安全防御架构，它继承了软件定义网络架构中控制平面和数据平面分离的特点，安全应用程序可以灵活地指导定制流的转发，通过添加安全组件或修改安全应用程序逻辑即可完成安全服务在线优化升级，实现安全设备及防御策略的高效管理[3]。刘文懋等[4]将安全功能从SDN控制器转移到专用的安全应用和安全控制器，可以更新有效抵御SDN和虚拟化环境中的各类攻击；郭春梅等[5]分析了虚拟化和实体安全设备结合的安全防御体系面临的问题，并提出了软件定义安全模型及关键技术。Kim 等[6]利用SDN和NFV技术为物联网环境提供集中的安全管理，并在实际的攻击场景中验证了该方法的有效性。

目前基于软件定义安全技术相对成熟，在公安、电力、银行、通信等行业已发挥较好的效果，但还未见其应用于水利行业中[7-9]。因此，本文旨在结合水利行业无时无刻的网络安全需求、风险和威胁，基于该架构设计一种水利网络安全协同防御体系，及时检测网络攻击行为，动态确定安全基线，提供合理有效的安全策略，主动预防且阻断相应的恶意攻击，从而实现全局管控、自主决策和主动防御的目标。

1 水利网络安全发展现状及问题

1.1 水利网络安全防护流程

水利网络安全防护体系建设根据不同业务对网络安全需求的差异分别部署配置安全设备和管控策略，从物理环境、计算环境、通信网络、区域边界、可信认证、运维审计、管理制度、管理机构、技术人员等方面加强安全管控。目前，水利网络安全日常防护流程一般包括监测预警、应急处置、分析排查、核实确认、恢复服务以及事件总结等步骤，见图1。

具体流程如下：首先借助安全监测设备开展安全攻击事件实时监测预警；发现问题及时采取应急处置，对高危IP进行封堵并联系相关人员；利用安全感知平台、网络回溯分析系统、日志审计系统等设备排查事件起因、经过和影响，形成排查分析报告；然后将事件分析结果上报领导，并与事件相关人员进行核实；事件风险经核实确认已排除后，依次开放访问权限和恢复服务，最后将事件处置全流程进行记录和总结，同时全面进行隐患排查和防护加固。

1.2 水利网络安全架构

水利行业部门多数采用传统的网络架构和安全架构，按照分区分域原则，将网络大致划分为业务应用区、安全管理区、外联区、互联网接入区、公共服务区、办公终端区等[10-11]。除了各区应有的防火墙等安全设备外，其他主要的安全设备均部署在安全管理区，包括APT、漏洞扫描、日志管理系统、态势感知系统、运维平台、网络审计、入侵检测等，安全管理区通过防火墙与核心交换机相连接，各安全设备均有一套独立管理系统。水利部本级机关网络突破了传统网络架构，在服务器区旁挂SDN控制器，借助物理网元通信控制服务器区和互联网服务区，为后续网络安全资源池化奠定了一定的基础。

1.3 水利网络安全存在问题

近几年，国家和水利部对网络安全高度重视，通过出台网络安全相关法律、修定等级保护相关标准以及水利网络安全实战演练等举措，使水利行业网络安全水平得到较大提升，但是随着网络设备复杂化、网络攻击手段多样化，水利行业网络安全防护能力仍然存在短板，具体如下。

a)网络安全主动响应能力不足。多数水利部门已部署态势感知平台、APT预警平台以及防火墙系统等设备，能对外来攻击及时作出预警、研判、事件处置，但监测预警机制仍停留在被动防御，发现问题后需要人工进行分析。并且从公安部、水利部组织的多次攻防演练结果表明，针对网络安全威胁往往无法追溯到源头，安全应急处理依旧被动。同时，网络安全防护是动态的过程，设备的优化配置、联动响应及运行维护尤其重要，水利行政主管部门与下属单位还没有形成整体协同防御体系，水利行业协同防守合力还需进一步强化。

b)安全设备利用率低。水利行业安全设备类似“糖葫芦串”部署，设备来自不同厂商，策略复杂、部署繁琐，各设备之间利用率低，大量的物理设备会占据宝贵空间；并且重要安全防护设备均有一套独立的运维系统，导致监测到的数据成为数据孤岛，无法发挥设备联动能力和价值。

c)网络安全防护压力大。近年来各级水利部门积极响应建设智慧水利的号召，开发了大量业务应用，导致数据规模、系统数量、网络性能等要求越来越高。信息化应用已由主要提供本行业支撑，转变为为水利、环保、应急、自然资源、社会等众多领域交叉提供服务，网络边界变得模糊化，导致网络安全防护压力随之剧增。

d)虚拟化防护无法个性化定制。水利行业部署了不少虚拟化基础平台，虽然根据等级保护2.0关于云计算的扩展要求，增加了虚拟化安全防护[12]，但还是面临用户粗粒度安全服务，难以满足个性化定制安全策略，防护效果不佳。

2 基于软件定义安全的水利网络安全协同防御体系构建

2.1 软件定义安全总体架构

软件定义网络(SDN)架构针对网络转发设备，将原本数据转发和控制紧密耦合的状态，转变成数据平面和控制平面分离，数据平面由完全受控的转发设备构成，控制平面由数据转发和相关业务逻辑的控制组成。而软件定义安全(SDS)架构在软件定义的思想上针对安全设备，强调将安全控制平面上移，借助SDN技术实现网络流量的调度，结合NFV技术使安全设备控制与转发分离，更灵活的管理安全资源。通过以上技术的结合，可以有效地简化安全设备部署难度，利于搭建安全防护解决方案。

针对水利行业网络安全突出问题，设计基于软件定义安全的水利网络安全协同防御体系。首先将网络安全设备与其调用方法、接入接口、安全防护能力有效分离，抽象为安全资源池[13]；构建安全控制器，通过在SDN控制器中增加安全控制代理实现对网络流量的控制，同时连接云计算管理平台，共同形成安全控制平台，根据具体业务需求动态调整、调用资源池安全能力；设计编排单个或多个安全应用，满足水利网络安全防御的功能定制。总体架构见图2，主要由安全资源池、数据转发层、安全控制平台以及安全应用层4个部分组成。

图2 基于软件定义安全的水利网络安全协同防御体系架构

2.2 安全资源池

水利行业部门当前购置的安全产品多为软硬件一体化设备，安全资源池可以打破以往的传统架构枷锁，使安全产品既可以是传统物理形态也可以是虚拟化形态。图3所示，借助NFV架构中的基础设施层方案，虚拟层将设备功能实体与底层硬件逻辑分离形成多个虚拟化安全资源，实现安全产品系统运行在通用服务器的虚拟环境中。

图3 安全设备软硬件解耦

由于不同厂商的产品功能、工作模式、部署方法均不相同，表1所示，通过归纳不同安全产品的共性构建通用接口，主要包括基本信息接口、配置接口、策略接口以及日志接口，安全控制平台调用接口即可获取安全资源池能力[14]。

表1 通用应用接口

2.3 数据转发层

数据转发层根据流表处理所有的出入流量，起到数据转发的作用。主要由Openflow交换机、路由器等网络交换设备组成，OpenFlow交换设备不再自主地进行地址学习和选路，而是仅能按照安全控制平台的流表进行分组转发。安全设备与数据转发层相连接，就可以通过对流量的控制，决定是否经过某个安全设备，从而实现安全设备的优化调整。

2.4 安全控制平台

安全控制平台负责整个协同防御体系的核心，负责管理、协调和控制。图2所示，安全控制平台由安全控制器、SDN网络控制器、云计算管理平台等组成。

安全控制器北向与安全应用层连接，为应用提供可编程的安全接口，南向通过数据转发层和安全资源池提供安全资源能力，东西向以松耦合的方式连接云管理平台和SDN网络控制器，在云环境中可以获取计算资源并管理虚拟化安全设备，在SDN网络中可以获取、控制全局流量。其中南向接口采用兼容性和使用率较高的OpenFlow通道，控制器配置和管理交换设备、接收交换设备发出的事件信息等均可以通过南向接口实现，而北向接口尚未形成统一标准，各种控制层网络操作系统基于不同技术为上层安全应用服务，考虑到WEB应用的普及以及接口灵活易用性，采用REST API作为北向接口，能够支持Floodlight、OpenDaylight、Ryu等市场较为流行的控制器[15]，通过使用GET、POST、PUT、DELETE等HTTP协议来查询网络相关参数，GET方法用于网络资源的查询，POST方法用于增添和修改资源，PUT用于修改具体资源的数据的内容，DELETE方法用于删除资源，返回的格式可以是JSON或XML，具体操作见表2。

表2 北向接口资源规划

SDN网络控制器通过安全控制代理(agent)与安全控制器相连接，主要对水利行业部门的全网流量进行分析和控制，首先根据网络设备上的流表和PACKET_IN获取全网的实时流量，当SDN控制器获得PACKET_IN后，解析出原始数据包并获取包头字段，然后根据安全控制器传递的流指令，直接向网络设备下发FLOW_MOD指令，例如交换机端口1的虚拟机A向端口2的虚拟机B传送流量，流表可以表示为“inport=1,A→B,actions=output:2”,通过不同的动作actions控制实现全网流量的放行、阻断、重定向和镜像等操作。

云计算管理平台提供基础设施即服务(IaaS)，为安全控制器提供虚拟化计算资源和虚拟化安全设备。

2.5 安全应用层

安全应用层为网络安全防护体系提供多种多样的应用交付，如WEB安全、访问控制、DDoS防护等，这些应用均可由第三方定制开发。同时，应用层本身支持服务编排的部署模式，即多种应用可以叠加同时实现多种业务，实现安全防护的智能化、自动化。详情请见第3节网络安全协同防御管控系统。

2.6 协同防御工作原理

实际防御过程中，事先根据水利行业部门实际防护场景进行定制安全应用，安全控制平台流量统计信息模块获取东西向的网络流量，当监测到流量过大或连接异常端口等满足安全应用定制的威胁条件，安全应用会将策略下发到安全控制平台，策略格式见式(1)：

S=(E,M,P,A)

(1)

当事件E被触发时，模块M会对数据信息进行检查，检查结果若符合模式P，则执行动作A。策略解析模块收到后，形成调用资源池安全能力的命令，通过设备管理模块在设备池中选择最合适的安全设备进行防护，或经由SDN控制器推送到网络设备，通过交换机端口的关闭和断开或者将流量限制在一定范围内。当攻击被检测到或防护，安全设备会将告警日志推送到设备管理模块，往后一旦有订阅的策略满足条件，则会通过事件调度模块迭代触发更多防护动作[4]。

3 水利网络安全协同防御管控系统

融合目前水利行业部门已有的态势感知平台、安全设备系统、虚拟化管理平台等，根据基于SDS的水利网络安全协同防御体系构建水利网络安全协同防御管控系统，调动安全资源池将各自独立的基础安全功能编排成多条防护链，从而解决水利行业大规模网络攻击所面临的安全防御问题，并具备良好的通用性和扩展性。主要功能如下。

3.1 安全应用管理功能

安全应用管理用于水利部门及其下属机构安全应用的注册、部署、验证、运行和升级等操作。图4所示，对于需要特定安全防护体系的用户，仅需要将已注册的网络设备和安全设备拖拽到相应的部署界面，通过验证功能可以校正部署过程中逻辑错误，同时本功能支持设备升级。运维人员仅需要具备基本的网络安全技能，不必了解设备具体的部署方法、规则命令等，极大降低了运维成本。

图4 安全应用管理功能

当需要部署应用防火墙(WAF)时，可以在设备供选区将WAF拖到相应的被防护虚拟机上，并配置好WAF的管理地址、部署模式等。安全控制平台向云计算管理平台发送指令，启动对应的WAF虚拟机，然后向SDN控制器下发流指令，命令其将虚拟网关到Web服务器的HTTP流量牵引至WAF虚拟机所在的交换机端口。

3.2 协同防御策略下发功能

图5所示，针对大规模的网络攻击进行协同防护，首先进行协同防御策略分析，根据风险评估模型对攻击行为进行量化等级划分，对于威胁大的攻击进行协同防御，根据分析结果选择或建立相应的协同防御策略，最后通过安全控制平台进行策略分发。

图5 协同防御策略下发

3.3 未知攻击防御功能

未知攻击防御功能选择主动防御网络入侵技术——蜜网，通过水利行业部门在用系统与攻击者之间的交互，记录攻击者行为，分析攻击信息，产生面对新型攻击的防御策略。图6所示，当防火墙、IDS安全应用检测到有攻击行为却不在特征库范围内，则将流表转发至蜜网，蜜网交换机根据接受的请求，将攻击者请求内容转至相应蜜网应用中，充分利用蜜网收集到的数据，对数据库中的攻击信息进行特征提取和分类，有效的攻击信息形成新的规则，第一时间更新IDS和防火墙特征库，做到主动防御，防患攻击行为大规模扩散。未知攻击防御功能提供事件日志管理、蜜网管理和配置、事件监视等功能[16]。

图6 未知攻击防御功能

3.4 网络安全监控功能

根据水利行业重要时期网络安全保障和管理要求，网络安全监控具备监控现有设备资产性能及威胁信息的功能，尤其是受攻击的主机信息，为防护策略的制定提供案件支撑。图7所示，该功能可以展示风险资产名称、风险等级、事件标签、攻击数量以及发生时间等，并支持多维度筛选以及关键字检索等。

图7 网络安全监控功能

3.5 安全事件共享

如今的网络攻击，攻击者一般不会仅针对水利行业部门的某个网站穷追猛打，而会选择收集与本级部门相关的下属单位或企业信息、C段信息、旁站信息、真实IP信息、网站信息、服务器信息等，很容易将目标转换到各下属单位。水利网络安全协同防御不能出现“木桶效应”，图8所示，安全事件共享功能提供了资产和运行状态数据、网络安全事件数据、网络安全态势信息。按照水利部统一的网络安全管理需要，将网络安全管理方面的通知通报、事件处置报告、处置流程等实现接口联动，有助于实现行业级网络安全事件协同处置和资源调度。

图8 安全事件共享功能

4 效果

通过水利网络安全协同防御管控系统与防火墙、上网行为管理系统等安全设备联动响应，实现互联网出口、业务应用区等关键位置联动防御功能。利用各网络分区流量探针感知各区域安全威胁和协同防御管控系统的综合分析研判，可第一时间发现外部威胁和攻击IP并联动相关安全设备进行联动封堵。截至目前，在某水利管理部门部署的协同防御管控系统，日均能够联动封堵270个外部攻击IP，有效实现了外部攻击快速发现和自动处置，提升安全威胁处置效率，有力保障网络安全，效果明显。

5 结论

面对错综复杂的网络攻击，水利行业部门协同防御显得尤为重要。本文对现有水利网络安全形式进行了分析，在此基础上给出了一种基于软件定义安全的水利网络安全协同防御体系架构及其一整套协同防御系统的功能机制，最后实现了系统的部分功能。该方案通过将传统安全产品软硬件解耦形成安全资源池，调动安全资源池中各自独立的基础安全功能编排成多条防护链，能够解决水利行业网络安全产品部署复杂、网络安全设备联动能力弱、信息共享能力不足等问题，实现内外协同、上下联动的水利网络安全协同防御能力。下一步将从以下2个方面着手进一步健全体系建设：①完善基于软件定义安全的水利网络安全协同防御体系，进一步融合现有的水利网络安全防御应用，实现安全应用管理、协同防御策略下发等功能；②目前水利行业中工业控制、物联网终端、移动办公等领域应用不断拓展，随之衍生出新特征、新行为、新方法的攻击手段，下一步将采用基于SDS的蜜网技术抵抗未知攻击，提高攻击溯源能力。