网安学术 | 一种智能弹性的 3 层网络安全防御架构

内容目录：

1　相关工作

2　智能弹性的 3 层网络安全防御架构设计

2.1　体系架构设计

2.2　基础防护层

2.3　运维管理层

2.4　智能决策层

3　安全防护架构对比分析

3.1　体系架构整体效能方面

3.2　对防御能力的支撑方面

3.3　业务的架构符合情况

4　结　语

当前信息系统建设过程中，由于安全防护系统缺乏体系设计，造成运维管理困难、与系统的融合度不够等问题，且安全防护体系的弹性、韧性和灵活性不足，使安全防护能力大打折扣。

为了解决安全防护架构的灵活性问题，基于前后台的架构被应用到网络安全防护场景中。随着信息化建设加速发展，基于前后台的网络安全架构暴露出诸多问题，例如：运维管理庞杂，安全防护能力烟囱式建设，安全数据出现孤岛，无法实现融合协作；前台的灵活需求和后台的稳定需求不协调，导致安全防护体系持续发展受阻。因此，设计一种满足前台弹性、灵活和后台稳定可靠、智能的需求，且能够紧跟信息系统迭代步伐的安全防护框架成为亟待解决的问题。

本文在“前 - 后”台安全防护架构的基础上，提出一种智能弹性的 3 层网络安全防御架构，通过构建中间运维管理层来衔接灵活的前端防护载荷和稳定的后台智能决策层，打通安全防护软件之间的相互隔阂。该架构由云计算、大数据、人工智能等技术提供支撑，后台能够充分利用融合汇聚的各类安全数据，对未知威胁或即将发生的威胁产生预测预判。运维管理层能够根据后端智能决策层提供的分析结果自适应生成安全防护策略，再调度前端功能载荷展开实际安全防护，构建一个灵活、弹性、智能的 3 层网络安全防护架构。

随着信息化建设进入加速发展阶段，基于前后台的网络安全架构暴露出许多问题。

（1）前后台架构的安全防护体系存在系统功能重复建设，各个安全防护软件都需要具备用户管理、身份认证、资产管理、策略管理等功能，不利于软件功能复用，增加了系统研制成本。

（2）前后台架构的安全防护体系导致烟囱式系统建设，造成了网络防病毒、主机综合管控、补丁分发管理、端点威胁检测与响应等安全防护软件之间的独立研制、独立建设，不利于安全防护体系的数据融合协作。

（3）前后台架构的安全防护体系造成前后台不协调，前台要快速响应用户需求，需要适应不同的软硬件平台，要求前台必须简单、灵活、适变，能够快速安装部署、快速升级迭代。为了更好地支撑越来越多的前台业务，后台就越来越庞大。后台要稳定、可靠、智能，才能支撑安全防护体系的持续发展。由于前台和后台具有截然不同的特点，前台和后台系统如果直接连接必定造成安全防护体系存在不稳定、不可靠的状态。

图 1　智能弹性的 3 层网络安全防御架构

2.2　基础防护层

基础安全防护层为智能弹性网络安全防御体系的“四肢”，是安全防护体系的感知执行部分，属于安全防护策略执行端，主要包括网络安全、终端安全、边界安全、数据安全、应用安全等安全基础防护能力，为信息系统构建安全防护屏障。

传统的前台支撑性安全技术主要包括访问控制、身份鉴别、终端监控、网络隔离、特征检测、病毒查杀等，前台安全设备间很少交互联动，其主要作用在于缩小攻击面、提高攻击成本。传统的前台技术存在一些问题，首先，为构建全面的终端防护能力，一般需要在终端上安装病毒查杀、主机监控、补丁修复、可信控制以及各种防护功能的代理软件，这些防护功能由于缺乏统一设计，往往相互影响，甚至相互冲突，不能共存。其次，网络边界防护往往需要部署入侵检测、防火墙、网站应用防火墙（Web Application Firewall，WAF）、抗分布式拒绝服务（Distributed Denial of Service，DDOS）设备、应用防护等，这些设备间存在功能重叠的现象，给用户增加经济和运维上的负担。另外，随着云计算技术的快速发展，云上应用的数据高度集中，原有实体网络之间的网络边界、实体设备之间的物理边界已经模糊，不同安全等级的网络区域整合到了一个网络区域中，给数据有效隔离和网络边界防护带来挑战 ，而传统的前台技术面对云环境往往无能为力。

为了解决上述问题，在 3 层网络智能防御体系的基础防护层中，需要着重考虑 3 个方面的问题：一是终端防护功能插件化集成，二是网络防护一体化、虚拟化，三是增强云环境的检测防护能力。

（1）终端防护功能插件化集成。借鉴云平台的容器技术，在终端系统通过虚拟化技术实现资源的安全隔离与安全保障，保证各安全功能的可控运行，构造高效、便捷、和谐的软件生态环境。遵循统一的终端安全容器插件集成规范，按照功能插件方式综合提供用户登录控制、终端加固、软件自保护、恶意活动检测、主动安全防御、网络准入控制等能力，在安全容器的统一调度下，通过组件加载、算法重构、资源保障、策略配置、可信控制、安全加固、风险评估、准入控制等手段，实现资源按需变化、动态调度、安全运行，形成动态的终端综合安全防护能力。终端防护功能插件化集成如图 2 所示。

图 2　终端防护功能插件化集成

（2）网络防护功能一体化、虚拟化。在安全集成框架内集成多种类型的网络安全功能单元，通过对各类安全功能单元的集中管理，形成安全服务资源池，结合安全服务编排和流量调度等技术，为网络和业务提供动态可扩展、按需自定义的网络安全服务。安全集成框架是一个具备安全管理和安全资源调度的软硬件结合的集成平台，通过统一的硬件和电气接口，在集成平台内插入各类安全防护单元，通过安全管理和调度接口，将安全防护单元提供的防护功能和资源抽象化，形成安全资源池。当需要实施安全防护时，从资源池中提取相应的安全防护资源，对外提供安全服务。安全功能单元具备板卡、独立硬件、虚拟软件等多种形态，提供包过滤、攻击检测、流量控制等安全功能。通过统一安全集成框架，整合多种安全功能，实现安全资源的弹性伸缩、安全功能的动态调配和安全性能快速扩展。

（3）云环境的检测防护能力增强。可以通过以下几个方面综合提升云平台的安全检测能力，降低整个云平台的安全风险。首先，增强云平台内生安全能力，采用虚拟化与安全防护一体化设计，内置虚拟机强隔离、镜像加密、虚拟机完整性保护、虚拟机行为管控与审计等安全能力；其次，实现云平台跨虚拟机内部的全流量采集与监测，例如目前有很多针对 openstack 的流量监控方案；再次，通过软件定义安全的方式，充分利用安全防护设备的软件化、虚拟化，实现个性化流量监测策略，例如针对不同的 Web 应用业务实现不同的 WAF 策略，而无须像以往一样受限于固定硬件设备的一些掣肘；最后，实现不同安全防护设备的云化集中监测能力，云平台自身的特性和云计算的强大能力使得各类安全检测设备云化后，安全日志等安全检测信息的整合集中与关联能力更容易获得。

传统的前台设备功能固化，一旦部署难以更改，无法应对新的安全防护需求和新的安全威胁 。在3 层网络智能防御体系中，由于基础防护层采用了一体化、可扩展化设计，可以通过运维管理层接收智能决策层的各种安全资源，包括各种特征库、检测规则、威胁情报，甚至可以扩展新的防护功能载荷，实现防护功能的迭代优化和持续演进。

2.3　运维管理层

运维管理层为 3 层网络智能防御体系的“躯干”，是安全防护体系的智能运维管理部分，以服务化方式提供基本的安全共性服务，支持资源灵活编配和调度，为网络智能防御提供前沿支撑，提升整个安全防护体系的弹性和韧性。

在 3 层网络智能防御体系中，运维管理层是衔接基础防护层和智能决策层的枢纽，它一方面从基础防护层采集汇聚资产信息、运行状态、安全日志、安全事件、安全漏洞、网络流量、安全策略等各类安全数据，并将这些数据汇聚到智能决策层，为智能决策层的安全大脑提供数据支撑；另一方面，接收智能决策层发布的防御指令、威胁情报、防护载荷、安全知识等，转化为基础防护层设备能够直接加载执行的规则、策略、功能模块、知识库等，保持持续更新，及时应对安全威胁，优化提升防护能力。

运维管理层一般包括安全管理、安全审计、应急处置、统一认证、威胁分析等安全功能，这些功能一般单独部署，但部署复杂，占用资源多，无法统一调度，自身运行平台安全性无法保证。因此，在 3 层网络智能防御体系的安全防护框架中，采用统一安全服务集成平台化框架和透明封装技术，在基础设施之上透明封装一个隔离的安全服务容器化环境，基于安全敏捷运行环境增强平台的内生安全防护能力，提供安全服务从分析、构建、发布、部署到运维的全生命周期管理，结合网络安全的实际运用实现安全服务的资源组合和通信流量、安全策略的编排能力。基于统一平台的安全服务集成的安全运维管理层系统架构如图 3 所示。

图 3　基于统一平台的安全服务集成

安全服务集成平台主要包括两部分功能：一是采用虚拟化及透明封装技术，实现安全服务与硬件的分离，通过统一规范实现各类安全服务的弹性编排、部署、调度；二是实现服务间认证、流量编排、服务发现、负载均衡、服务调用图谱等功能。

安全服务层主要针对网络安全防护的实际应用需求，按需集成安全管理、安全审计、应急响应、统一认证等已有的各类安全基础服务和动态扩充新的安全服务。底层为安全服务集成平台，提供服务虚拟化及透明封装支撑。

运维管理层提供的安全服务主要包括策略管理分发服务、资产智能监控服务、协同运维处置服务及其他共性安全服务。

策略管理分发服务能对安全策略进行分析优化，并根据智能决策层生成的安全防护方案，结合业务需求、网络情况自动生成安全设备防护策略，实现策略生成、分发、管理。

安全资产智能监控服务能够自动发现安全设备、网络设备、服务器、终端等网络设施资产自动纳管，能够展现安全及网络资产的逻辑连接关系，具备在线监控网络设施资产运行状态和实施安全基线核查的能力。

安全协同运维处置服务能够根据动态协同防御的目标、对象、主体、流程等提供协同防御、运维处置能力，实现云、网、端系统的高效协同工作。

共性安全服务包括身份管理、资源管理、权限管理、认证授权、流量分析、行为分析、恶意代码分析、情报利用等，这些服务能够为基础防护层赋能，达到快速支撑安全防护能力敏捷弹性拓展的需求。

2.4　智能决策层

智能决策层为 3 层网络智能防御体系 [14] 的“大脑”，是安全防护体系的服务部分，属于安全防护策略决策端，实现安全数据深度分析处理、安全威胁情报生成和网络防御辅助决策。

3 层网络智能防御体系后台大脑由安全数据挖掘、业务经验建模、智能化安全分析技术支撑，与安全专家的攻防经验进行结合，对安全大数据进行全量计算，生成威胁情报与攻击指标，解析攻击手段与技 / 战术，形成攻击趋势分析预测，推动整个防护体系的能力跃迁。

智能决策层以安全数据为驱动，有序调度、按需编排各种安全基础设施、安全管理技术手段和组织保障力量，形成准确预测、灵敏响应、协同处置的安全防御有机整体，各级各类安全设施的安全能力被优化组织并最大化释放，为网络空间防御提供及时、可靠、系统、完备的安全保障能力支撑。

3 层网络智能防御体系智能决策层通过安全大数据采集、训练、分析，实现威胁发现、能力生成和策略发布；通过内置安全知识库、安全算法算子及分析引擎，实现智能分析、响应、评估。

如图 4 所示，3 层网络智能防御体系智能决策层由安全大数据支撑平台、智能安全分析系统、威胁情报系统、智能安全响应处置系统、智能安全评估系统、机器学习训练平台和安全知识库系统组成。

图 4　智能决策层系统组成

大数据支撑平台构建安全大数据分析系统，内置统计分析、关联、分类、聚类等算法算子及高级持续性威胁（Advanced Persistent Threat，APT）检测、恶意代码分析等分析引擎，为智能安全分析提供基础支撑。

智能安全分析系统基于人工智能和机器学习技术，应用支撑平台提供的算子和模型，采用人机结合的方式对安全数据进行分析挖掘。同时，根据新发现的安全漏洞、攻击方式、恶意代码等，提炼检测特征，丰富安全知识库，反哺基础防护层防护载荷，实现其防护功能的持续进化。

威胁情报系统聚焦多源威胁情报管理，管理融合多方情报数据并整合应用到安全体系中，为构建更加高效和自动化的威胁检测体系，有效应对规模化网络攻击和 0day 等高级持续性威胁提供有力技术支撑，能够全面提升威胁检测和响应能力。

智能安全响应处置系统用于对挖掘的安全威胁实现智能响应处置，包括威胁溯源、事件处置、预案生成等。响应处置根据威胁追踪溯源得到的攻击源、攻击目标、发展趋势、攻击组织等属性调度防御资源，制定最优的安全预案，并下发到运维管理层，对安全威胁进行积极主动防御。

智能安全评估系统用于评估安全能效、评判系统安全状态，促进安全能力演进，评估内容包括风险评估、安全评估、策略评估、信任评估等。

机器学习训练平台对安全数据集合进行训练，生成新的分析模型。现有的分析模型在新的环境中，可以通过训练平台进行测试和参数调整，提高其检测准确度，实现系统的持续优化。

表 1　智能弹性的 3 层网络安全防御体系与前后台的网络安全防御体系对比

3.1　体系架构整体效能方面

智能弹性的 3 层网络安全防御体系的防护能力兼具灵活和稳定双重特性。既可以把前台系统中的稳定通用业务能力“沉降”到中台层，赋予前台响应灵活度，又可以将后台系统中需要频繁变化或需要被前端直接使用的安全服务“提取”到运维管理层，为不同的防护需求赋能。因此，该架构具备更强的灵活度和更低的变更成本。与此同时，智能决策层负责智慧决策，实时按需赋能，为整个安全防护体系提供最稳定持续的支撑保障。

智能弹性的 3 层网络安全防御体系的智慧后台持续按需赋能、动态调整，形成安全能力自组织和共生演化的安全防护体系，进而形成全面安全防护生态，能更好地应对复杂未知的安全威胁。

3.2　对防御能力的支撑方面

智能弹性的 3 层网络安全防御体系打造了灵活敏捷的前端防御能力。在传统“前 - 后”台架构下，为了在保持后台系统的稳定性前提下响应用户持续不断的防护需求，自然就会将大量的安全防护业务逻辑直接嵌入前台系统中，在引入重复的同时还会使前台“臃肿”。而在新的架构中，将通用支撑能力调整至运维管理层，让基础防护层更加灵活敏捷，以便更好地适配安全防护需求。

智能弹性的 3 层网络安全防御体系具备快速响应防护需求的能力。在保持智能决策层各系统稳定性的前提下，当前端防护需求来临时，运维管理层能快速响应。

3.3　业务的架构符合情况

智能弹性的 3 层网络安全防御体系能形成更强大的防护能力。基于终端防护功能插件化集成、网络防护一体化、虚拟化及增强云环境的检测防护能力来扩大传统安全体系的防护范畴，不但能适配传统防护范畴，还能提供适用于云计算、大数据场景下的防护能力，增强了安全体系的防护能力。

在基于前后台的网络安全防护体系中，前台需要适配满足不同的应用场景和操作环境，这就决定了前台系统必须简单、灵活、适变。后台主要为前台提供安全服务，输出各种安全能力，必须保持相对的稳定和可靠。前台和后台截然相反的特性造成了基于前后台的网络安全防护体系不够牢固、不够稳定，后台对前台输出的安全能力的持久性不强。尤其是随着云计算、大数据和 5G 等新技术的广泛应用，前后台之间的距离越来越远，这种不稳定性越来越突出。

在本文提出的智能弹性的 3 层网络安全防御体系中，运维管理层相当于一个靠前部署、靠前指挥的前线指挥机构，能够全面及时了解掌握前端的各种情况，根据防护对象所面临的安全威胁程度，随时调整安全防护策略，根据需要可以随时呼叫智能决策层提供不同的安全能力和安全服务。当出现极端情况时，如果不能连接到智能防御后端，运维管理层也能为前台提供最核心的安全能力和安全服务。