首頁 > 關于我們 > 新聞動態 > 公司新聞

從美軍聯合區域安全??淳W絡安全能力建設發展

發布時間 2018-07-06

聯合區域安全棧(Joint Region Security Stack,JRSS)是新形勢下美軍網絡安全體系建設的一種新模式,主要是集成利用市場成熟安全產品,以確定的編配模型構建集約化、標準化、全功能的安全防御框架,部署在各業務局和軍事基地邊界處,對進出特定區域的網絡流量進行編排、監測和防御,在降低人力和技術等總投入成本的情況下,提高美軍網絡整體防御效能。
 



 

一、建設背景


采用JRSS模式是美軍安全體系建設的必然要求。近年來美軍為提高軍事網絡效能和安全性,大力推廣聯合信息環境(Joint Information Environment, JIE)以整合全軍信息基礎設施,其實質是利用共享的基礎設施,提供集約化企業服務,在統一安全架構保障下,達成戰場信息優勢。由于采用了有中心的信息服務架構,其安全體系必然隨之適應而調整為高度集成的安全架構。

 

采用JRSS模式是美軍安全體系建設的無奈選擇。美軍傳統采用的網絡安全體系,不論是信息保障(Information Assurance, IA),還是計算機網絡防御(Computer Network Defense, CND),都從頂層較為“完美”地規范了全軍安全系統建設,但由于體系能力形成需要依托裝備建設,而裝備建設一旦型號多、規模大、范圍廣、經費有限、人員不足,又涉及多個職能部門,往往會面臨較大的不確定性,很難取得預期結果,從而導致安全短板效應。JRSS建設模式能夠集中有限的人力和技術資源,面向重點對象開展針對性防御,極大降低系統建設運營的復雜程度和成本。

 

采用JRSS模式開展網絡安全體系建設,能夠獲得多個方面的收益:

 

■ 縮小攻擊面。從原來1000多個分散的國防部核心網接入點收縮為45個,集中防護資源把住關鍵節點,以提高惡意攻擊者成本。

 

■ 集中安全管理運營。在每個JRSS配置全面的安全監測、安全管理等技術手段,結合安全專業力量全時段現場運營,構建網絡態勢感知和IT服務管理等能力。

 

■ 安全體系標準化。全球共建設45個JRSS,由20個非密網(NIPRNET)棧和25保密網(SIPRNET)棧構成,具備防御、監測、管理等全量安全功能,以標準化裝備配置和運用模式,靈活快速交付部署。

 

■ 聯合同步防御。多個JRSS之間可實現協同聯動,能夠在指揮鏈的統籌下,共享安全情報和知識庫,協同執行防御任務,大幅度提升網絡協同防御能力。


二、安全棧構成


美軍從2014年開始正式建設JRSS,中間歷經1.0、1.5和2.0三個版本,預計2019年全部完成。從功能演進上看,JRSS1.0包括MPLS、負載均衡、流量分配、多租戶管理、防火墻、IPS、IDS、日志/告警、安全認證、IT服務管理和日志分析存儲等功能;JRSS1.5在1.0的基礎上,增加了全包檢測、身份管理、備份恢復、性能管理、事件管理、虛擬桌面架構和安全訪問網關等功能;JRSS2.0在1.5的基礎上,增加了WEB轉發代理、SSL流量解密、沙箱、WAN加速、內嵌IPS、日志匯聚分析等功能。

 

一個典型的非密網JRSS由20個機架的安全設備構成,執行防火墻,入侵檢測和防御,企業管理和虛擬路由轉發等功能。

20個機架的設備從整體上看主要由流量處理A側(A Side),流量處理B側(B Side)和聯合管理系統3部分構成。A側和B側安全系統構成相同,執行冗余熱備功能,據稱能在6個故障情況下仍可正常處理流量。

 

A側和B側設備的主要功能是網絡流量編排和安全防護。一方面基于MPLS和VRF(虛擬路由轉發)等路由交換功能,實現網絡流量的交換引接,確保末端網絡流量經過安全棧;另一方面部署SSL解密、網絡防火墻,IPS等防護功能,確保網絡訪問的安全性。

 

聯合管理系統(Joint Management System, JMS)執行安全監測和管理功能,在安全監測上,包括流檢測、報文檢測、文件檢測、應用檢測、異常檢測、數據檢測、沙箱等全棧功能,全方位感知已知和未知網絡攻擊;在安全管理上,包括性能管理、事件管理、變更管理、配置管理、建模分析等功能,用于規范JRSS運營管理,分析發現有價值的安全信息和情報。

根據公開材料,JRSS的供應商來自美國排名靠前的網絡安全廠商,例如思科網絡交換設備,F5、A10負載均衡設備,Juniper、Palo Alto、思科防火墻設備,Argus、Bivio、Bro流量采集設備,Micro Focus (Arcsight),Splunk的SIEM設備,Red Seal大數據安全建模分析設備,Symantec,Trend Micro,OPSWAT惡意代碼防護設備,Veritas、Veeam備份恢復設備,Fidelis數據安全設備,InfoVista、Riverbed應用性能管理和加速設備,Gigamon、Stealthwatch加密流量監測分析設備,以及惠普、戴爾、EMC、微軟、紅帽子、VMWare、Citrix等計算存儲設施等。


三、建設啟示


總體上看,JRSS是美軍針對其安全需求和大規模網絡安全建設背景,在多種安全體系建設摸索過程中,逐步探索出來的一種基本可行的建設模式。

 

JRSS本質上與民用開放式互聯網服務平臺安全模式類似,并沒有采用高、精、深的技術,而是通過安全人員與系統的有機結合,將現有在市場上經過錘煉的成熟商用安全技術發揮到極致。其中可借鑒的啟示主要有以下幾點:

 

● 集約化防御。采用扁平化服務模式,將重要核心業務系統部署在少量幾個數據中心,通過收縮業務服務系統的暴露面,同時將有限的安全防護資源(人和系統)進行收縮,集中力量在關鍵節點提高網絡防御效能,同時可降低防護成本。

 

● 標準化防御。借鑒民用領域通用成熟安全技術,統一網絡安全防護的手段、機制和標準,整合成為獨立的安全功能機架,封裝為服務的方式提供安全能力,可簡化安全系統建設,有利于快速、靈活、高質量部署,節約人員培訓和管理等方面成本。

 

● 全功能防御。在核心關鍵防御位置,聚合安全資源,面向TCP/IP的七層協議棧,針對每一個層面都投入資源進行安全監測和防護,使安全能力貫通網絡、應用、數據和業務邏輯等不同領域,構成全功能防御體系,防范出現網絡安全短板效應。

 

● 注重安全運營。網絡安全本質上是人之間的對抗博弈,專業性要求非常高,絕對不是安全產品的簡單堆砌。JRSS高度重視“人在回路”中的運營工作,部署了大量以大數據為支撐的監測和管理等技術手段,另外由于美國軍方專業安全力量非常薄弱,他們采用外包方式,不惜花重金從專業公司挖專業人才專門從事7*24小時安全保障工作,確保網絡性能優化、漏洞管理、安全建模分析等工作做到極致。


四、我們的方案


根據最新消息,雖然JRSS已經形成能力標準,但多廠商網絡安全設備集成建設任務較重,一個JRSS站點需要20個機柜的不同廠商設備,所以美軍在未來也在考慮使用虛擬化、軟件定義等新技術模式,通過構建安全資源能力池的方式,優化現有JRSS建設架構。

 

啟明星辰的類似技術解決方案,利用軟件定義安全、大數據安全智能分析等技術,設計集約化、標準化的安全資源能力池,將防御能力、檢測能力、管理能力、安全數據分析研判能力等進行最優化集成,形成功能完備、要素齊全、按需擴展、敏捷靈活的統一安全防護框架,示意如下圖所示:
 



在核心業務系統的承載數據中心,或者網絡匯聚接入點等關鍵位置,建設部署安全資源能力池,統一對用戶的訪問流量進行防護、檢測和響應。同時配置具有一定專業能力的安全人員,針對安全資源能力池開展運營工作,使用系統提供的安全手段,開展安全管理、分析研判等工作,不僅能對安全設備報出的安全事件及時報警,還能夠利用大數據安全分析等技術發現夾帶在正常流量中的異常行為,實現未知攻擊行為的早期預警。

上一篇 下一篇