访问控制策略运维系统的设计与实现

摘""要：针对煤矿企业网络安全管理的复杂性和多样性挑战，降低网络安全运维难度及成本，设计并实施了一个访问控制策略运维平台。该平台采用四层架构实现访问控制信息收集、网络安全设备纳管及访问控制策略运维等核心功能，并基于异构安全设备策略采集、多模态访问控制策略分析和自动化策略下发技术，实现对核心功能的支持。目前，该系统已在煤矿企业中成功部署，显著提升了网络安全管理水平，并为网络安全的高质量发展提供了坚实的技术支撑。

关键词：网络安全；煤矿企业；异构设备；访问控制策略

中图分类号：P27

Design"and"Implementation"of"Access"Control"Policy"Operation"and"Maintenance"System

WEI"Tianxiang1"""LI"Ziwei2

1.China"Energy"Digital"Inteltech"Development（Beijing）"Co.，"Ltd.，"Beijing，"100011"China;2.Beijing"IWHR"Technology"Co.，"Ltd.，"Beijing，100089"China

Abstract："To"address"the"complexity"and"diversity"of"network"security"management"challenges"in"coal"mine"enterprises，"a"platform"for"access"control"policy"operation"and"maintenance"has"been"designed"and"implemented"to"reduce"the"difficulty"and"cost"of"network"security"operations."The"platform"adopts"a"four-tier"architecture"to"achive"core"functions"such"as"collection"of"access"control"information，"the"management"of"network"security"devices，"and"the"operation"and"maintenance"of"access"control"policies."Based"on"the"collection"of"access"control"policies"for"heterogeneous"security"devices，"the"analysis"of"multi-modal"access"control"policies，"and"the"automated"distribution"of"strategies，"support"for"core"functions"is"achieved."At"present，"the"system"has"been"successfully"deployed"in"coal"mine"enterprises，"significantly"enhancing"the"level"of"network"security"management"and"providing"a"technical"support"for"the"high-quality"development"of"network"security.

Key"Words："Cybersecurity;"Coal"mine"enterprise;"Heterogeneous"devices;"Access"control"policy

1""引言

1.1""研究背景

随着工业互联网技术的发展，煤矿行业也在数字化、智能化的道路上不断探索。但在数字化、智能化发展过程中，煤矿企业所要网络安全问题呈现出行业影响大、防护要求高、基础底子薄、特色限制多、转型难度大的特点[1]，因此实施网络安全保障的重要性日益凸显。

当前煤矿企业网络安全建设面临着一些问题：一是安全防护体系不完善，部分煤矿企业缺乏完善的安全防护体系，安全策略不明确，安全措施不到位，难以有效应对网络安全威胁；二是安全运维成本高，煤矿企业需要购买和维护大量安全设备，如防火墙、入侵检测系统等，导致运维成本逐年提升，难以持续投入；三是安全人才短缺，煤矿企业缺乏专业的网络安全人才，难以有效应对日益复杂的网络安全形势。

1.2""研究的目的与意义

设计一种访问控制策略运维系统，并探讨其在煤矿行业中的应用实践，为煤矿行业提供一种切实可行的解决方案，旨在推动煤矿企业网络安全保障水平的提升。

2""煤矿企业网络安全挑战

煤矿生产系统集成了众多设备，如传感器、监控设备和自动化控制系统，这些设备通过工控协议实现数据的实时传输与工作交互。然而，工控协议普遍缺乏安全防护机制也为黑客和不法分子提供了攻击机会。他们可能利用恶意软件、钓鱼网站、拒绝服务攻击（Distributed"Denial"of"Service，DDoS）等手段，对煤矿生产系统发起攻击，严重威胁煤矿生产安全和业务连续性。

为确保煤矿智能化系统的正常运行和安全，定期更新和维护网络安全设备势在必行。然而，受煤矿特殊环境和设备广泛分布的影响，系统更新和维护面临诸多挑战。例如：部分设备位于地下深处或偏远地带，难以进行及时维护。同时，安全策略之间难以形成有效的统一响应，不同类型的设备在兼容性方面存在显著问题，导致联动防护效果不佳。此外，随着新安全漏洞和攻击手段的不断涌现，煤矿智能化系统需不断更新安全防护策略，这无疑增加了系统维护的复杂性和管理难度。

3""架构设计

为提升煤矿企业网络安全管理水平，参考信息安全事件管理系统的数据集成和分析处置理念以及防火墙安全策略管理的访问控制和安全审计功能实现方法，基于存储IP地址、物理位置信息、配置信息等设备基础信息，以及网络逻辑拓扑等关系信息构成属性图结构[2]，设计一种基于四层架构的访问控制策略运维系统，包括技术支撑层、数据服务层、业务应用层和用户展示层。基于该架构，系统可实现防火墙、路由器等网络设备的访问控制策略的集中管理，提供策略批量配置、区域风险分析、访问控制策略远程下发等功能，助力运维人员高效完成策略变更[3]，降低管理成本。图1展示了访问控制策略运维系统的整体设计框架。

3.1""技术支撑层

平台采用分布式文件系统和数据库，提供海量数据存储功能，并利用关系型数据库进行用户管理和权限管理。分布式批处理和流处理框架加速业务处理速度，保障数据高效处理。

3.2""数据服务层

包含关键数据采集、异构设备信息归一化处理和安全业务数据可靠存储功能。平台从纳管的防火墙上通过安全外壳协议"（Secure"Shell"Protocol，SSH）、简单网络管理协议"（Simple"Network"Management"Protocol，SNMP）接入等方法获取防火墙配置信息，并通过适配脚本解析其中包含的访问控制规则，并将元数据存储于分布式数据库。采用RAID10模式存储数据，保障数据安全性和可靠性。通过密文加密存储和签名函数校验进一步提升数据安全性。云计算和容器化技术实现平台快速部署和高可扩展性。

3.3""业务应用层

包含业务资产管理模块，实现访问控制策略生成、下发、监控、废止的全生命周期管理，构建业务资产全景视图，建立资产图景帮助用户理解各业务、各设备间的关系。访问控制策略分析与优化系统通过数据分析算法和业务流程，识别合规策略基线，并提供数据服务接口支持异常行为发现和安全风险预警。参照GB/T"20984-2007信息安全风险评估规范、ISO"27005：2008信息安全风险管理，以及OWASP威胁建模项目中风险计算模型的要求[15]，建立基于风险矩阵的量化安全风险评估系统。通过设计实用化的风险计算模型，实现量化的安全风险估算和评估。工作流管理模块实现与其他安全设备的接入，构建基于态势感知的工作流，实现网络安全自动化运维。

3.4""用户展示层

通过各种可视化手段，平台向用户呈现了详尽的信息和数据，包括策略构成、业务流向分析、网络架构、策略梳理等内容。通过表格展示的方式，能够直观地展示出策略数据的详细信息，包括访问源、目的、协议、端口等。拓扑图则可以形象地展现企业网络架构的整体结构和网络拓扑关系，帮助用户更好地理解网络中不同设备之间的连接和通信。饼状图则能够直观地展示出策略数据的分类占比情况，例如攻击来源地的地理分布、攻击类型的分布情况等。

此外，在用户展示层，平台还提供了数据查询和统计功能，用户可以通过查询关键字、时间范围等条件来快速定位和检索相关策略数据，也可以通过统计分析功能对策略数据进行汇总、统计和分析，以便更好地了解企业网络的安全状况和趋势。总的来说，用户展示层通过直观、清晰的方式，为用户提供了全面的策略数据展示和分析，使用户能够更加全面地了解企业网络的安全状况和趋势，进而制定更有效的安全策略和措施。

4""功能实现

4.1""异构设备的归一化处理

平台通过定期抓取不同品牌和型号的防火墙、路由器、交换机等网络设备的策略配置文件和路由表信息，并利用算法解析访问控制策略的元数据[4]。将解析后的元数据存储于统一的访问控制策略模型中，实现对异构设备的访问控制策略进行集中展示、查询、导出和分析等功能。通过对访问控制策略元数据的解析，可以构造不同防火墙相关命令，例如显示访问控制列表、下发新的访问策略等，方便用户理解和管理不同设备的策略配置。

4.2""访问控制策略配置检查与优化分析

防火墙策略的频繁变更可能导致冗余策略、隐藏策略和空策略等问题。平台采用多模态访问控制策略分析模型[5]，分析策略之间的包含和被包含关系，通过访问控制标记识别冗余策略、隐藏策略和空策略等，并提供优化建议。管理员可根据分析结果进行策略精简和优化调整，提高策略的效率和安全性。需要注意的是，策略优化分析需要考虑数据流向的一致性，即具有相同源和目的安全域的策略才能进行合并或删除。

4.3""访问控制策略的下发

平台提供访问控制策略的自动开通功能，包括开通业务请求服务、模拟仿真分析、策略风险分析、自动生成策略配置以及验证策略开通等环节。这些环节全流程化、自动化，旨在减轻访问控制开通业务的工作量，并确保变更内容的准确性。操作人员审核通过后，策略可自动下发到防火墙并立即生效，提高操作效率，减少人为错误，确保整个过程更加可靠和安全。

5""结语

本文提出并实现了一种访问控制策略运维系统，该系统采用四层架构，分别为技术支撑层、数据服务层、业务应用层和用户展示层。系统功能涵盖了策略集中管理、流量监控、设备状态管理等方面，实现了网络安全设备的统一集中管理，包括策略采集、解析、历史查询、变更监控、搜寻、清理、开通等功能。

系统已在某大型企业成功应用，实现了对1"100多台设备的集中纳管，有效提升了网络安全管理水平。在国家级网络安全实战攻防演练中，系统通过七大策略下发场景，与态势感知平台及其他安全管控设备联动，实现了访问控制策略的快速、大规模执行和下发，展现了跨地域、跨组织的协同能力。

当前系统依赖预配置脚本进行异构设备命令识别，在未适配设备纳管问题上存在一定的局限性。未来研究将探索基于人工智能大模型技术，研发自适应或自学习的访问控制策略配置方法，进一步提升系统智能化水平，解决网络安全管理的难题。

参考文献

• 王丹识，韩鹏军，王荣博，等.我国煤炭企业网络安全现状、问题分析研究与建议[J].中国煤炭，2022，48（7）：34-40.
• 沈凡.SIEM日志分析系统关键技术研究与应用[D].北京：北京邮电大学，2021.
• 金生祥，梁锦华，胡耀宇，等.基于态势感知技术的网络安全主动防御体系[J].创新世界周刊，2023（3）：68-73.
• 赵银艳.面向企业网络的自适应访问控制机制研究[D].南京：南京理工大学2021.
• 秦晓宇，金·尕迪.国有企业内部网络信息安全访问控制模型设计[J].信息与电脑（理论版），2022，34（14）：211-213.