网络安全域自动核查分析技术及应用

doi:10.11959/j.issn.1000-0801.2015020

摘要/Abstract

摘要：

通过对网络安全域自动核查分析技术的研究与应用，实现了安全域拓扑自动还原以及安全域设备互联关系、安全域边界及边界访问控制策略的自动核查。通过自动化、常态化和流程固化的方式，及时发现违反安全域规定的行为，确保边界访问控制策略最小化，确保网络安全域划分的持续合规，降低安全域管理的相关风险。

关键词: 安全域, 合规, 访问控制策略

Abstract:

By studying the automatic verification analysis techniques of network security domain, a secure domain topology automatically restore and security domains devices interconnected relations, security domain boundaries and border access control policy automatic verification were achieved. Through automation, normalization and processes curing methods, violations of the security domain provisions of the act were detected. It ensures border access control policy is minimized and network security domain is divided continued compliance, reduces the risks associated with the security domain management.

Key words: security domain, compliance, access control policy

刘晓峰,谭彬,邱岚,王焕如. 网络安全域自动核查分析技术及应用[J]. 电信科学, 2015, 31(1): 171-175.

Xiaofeng Liu,Bin Tan,Lan Qiu,Huanru Wang. Automatic Verification Analysis Technology of Network Security Domain[J]. Telecommunications Science, 2015, 31(1): 171-175.

图/表 5

图1

图2

图3

图4

表1

核查项	业务系统
核查项	业务系统1	业务系统2
在网设备发现	实际在网设备49台，实际发现49台，设备发现率100%	实际在网设备 172 台，实际发现 172 台，设备发现率 100%
安全域拓扑还原	准确还原业务系统安全域拓扑	准确还原业务系统安全域拓扑
设备互联关系变更核查	可自动分析出两次核查间的资产互联关系变更情况、VLAN所拥有端口和IP地址变更情况、端口（接口）IP地址变更情况	可自动分析出两次核查间的资产互联关系变更情况、VLAN所拥有端口和IP地址变更情况、端口（接口）IP地址变更情况
业务系统VLAN核查	如实核查出系统划分了2个VLAN，无违规情况	如实核查出系统划分了4个VLAN，其中一个VLAN与其他业务系统共用，存在违规情况
安全域边界出口变动核查	如实分析出有边界出口2个；如实核查出两次核查间的边界出口数量和边界出口IP地址没有发生变化	如实分析出有边界出口3个；如实分析出两次核查间的边界出口增加了1个，原有边界中有1个出口IP地址发生变化
安全域划分合规核查	如实核查出有2条设备互联白名单违反安全域划分规定	如实核查出有17 条设备互联白名单违反安全域划分规定
边界访问控制策略核查	可自动分析出其出口防火墙设备存在端口开放范围过大的问题	可自动分析出其出口防火墙设备的IP地址和端口开放范围过大的问题
核查效率	手工核查耗时2天	手工核查耗时5天
	系统自动核查耗时17 min	系统自动核查耗时21 min

1	邱岚，谭彬 . 安全域划分研究与应用. 计算机安全， 2012(6) Qiu L , Tan B . Research and application of security domain. Computer Security, 2012(6)
2	中国移动通信集团公司. 中国移动支撑系统安全域划分与边界整合技术要求， 2008China Mobile Communications Corporation. Technical Specification of Secure Domain and Boundary Convergence for Supporting Systems, 2008
3	GB/T 25058-2010. 信息安全技术信息系统安全等级保护实施指南， 2010GB/T 25058-2010.Information Security Technology-Implementation Guide for Classified Protection of Information System, 2010
4	李萍，于慧龙 . 大型信息系统安全域划分和等级保护. 计算机安全， 2006(7) Li P , Yu H L . Large-scale information systems security domain partitioning and graded protection. Computer Security, 2006(7)

[1]	姚晓辉,李青,孙焜焜. 一种域适配混合遗传算法及在安全服务链编排中的验证[J]. 电信科学, 2020, 36(5): 16-24.
[2]	邱恭安,封森. 一种基于融合规则的自适应分簇协作频谱感知算法[J]. 电信科学, 2015, 31(5): 88-94.
[3]	马智勇. 家庭网络多节点安全域建立方法[J]. 电信科学, 2015, 31(11): 129-133.
[4]	刘晓峰,谭彬,邱岚,王焕如. 网络安全域自动核查分析技术及应用[J]. 电信科学, 2015, 31(1): 2015020-.
[5]	李洪,伍思源,渠凯,王发光,宋阿芳,李青,黄斯伟,王荣. 大规模云资源池中虚拟防火墙部署问题研究[J]. 电信科学, 2014, 30(Z1): 164-167.
[6]	邱贤奕,李洪. 构建集约化的运营商业务平台安全域防护体系——业务平台安全域划分及边界整合思路浅析[J]. 电信科学, 2013, 29(8): 56-62.
[7]	黄斯炜,李洪. 短信平台安全域改造研究初探[J]. 电信科学, 2013, 29(8): 63-68.
[8]	李洪,渠凯. 中国电信ISMP系统安全加固方案浅析[J]. 电信科学, 2011, 27(1): 129-136.
[9]	王丽芳,李旭. 可信计算在分级保护建设中的应用研究[J]. 电信科学, 2009, 25(5): 71-74.