安全策略集中管理智能化运维平台需求说明

安全策略集中管理智能化运维平台需求说明1系统概述1.1建设目标对中心网络设备安全防护提升，在安全防护提升方面，安全策略集中管理智能化运维平台纳管全网异构访问控制设备，形成作战地图，平时持续进行策略优化、暴露面收敛和业务开通，战时进行一键封堵，快速阻断攻击。在简化运维及节约成本方面，拦截网关减小后续安全防护设备处理压力，减少重复日志，简化其他安全设备的运维；全流量分析提供可视化分析能力，降低人员对流量分析的技术门槛，降低人员能力要求，节约人力成本。安全策略集中管理智能化运维平台统一纳管全网异构访问控制设备，自动化化开通，减少运维人力，降低技术门槛，规范化并简化业务流程；系统联动，如策略可视化与拦截网关联动，快速自动化封禁恶意地址，为实现一键处置、一键查找、一键封堵做准备，进一步简化运维并节约投入成本。（1）实现全网安全策略集中可视化管理，提升网络安全运维效率通过网络安全设备与安全策略的集中管理，实现对网异构品牌的防火墙、交换路由、负载均衡等设备的安全策略、路由策略、NAT策略等策略配置信息的自动采集、解析、归一化存储，并采用统一的可视化结构进行策略业务逻辑展示，可读性和可维护管理性大大提高。安全策略集中管理智能化运维平台提供了智能化、自动化的策略开通管理，从策略变更申请工单提交到工单审批、工单推送、策略执行做到及时跟踪和审核，同时平台自带策略仿真功能，在工单审批环节可根据全网安全策略现状与企业访问控制策略基线提供全面的策略变更风险分析报告，协助运维人员能快速、有效的完成策略变更，并确保变更内容准确性。同时平台围绕安全策略管理方面还提供策略查询分析、策略优化检查、策略历史备份与对比、策略命中与收敛分析、策略报表报告等一系列功能，最终实现全网安全策略可控、可看、可管，大幅提升网络安全运维管理效率。（2）通过策略优化检查，落实信息安全最小化原则由于网络安全设备长时间维护和使用，通常会存在较多过多的、不必要的、重复的安全策略，同时也会存在一些过于宽松的策略设置(服务、地址全any)，这类垃圾与过于宽松的策略验证影响设备运行效率，也不符合信息安全管理规范，同时还存在被恶意利用和攻击的严重安全隐患。针对此类策略的检查和梳理，平台提供基于大数据和机器学习算法的安全策略优化检查功能，可对设备中安全策略进行秒级的优化检查，从而快速找出设备中的各类冗余策略、屏蔽策略、空策略、过期策略，及时发现并规避全网中过于“宽松”的安全策略与访问控制策略（类似核心交换防火墙安全策略默认全通），从而减少核心业务与数据资产受攻击面。（3）通过策略开通实现智能化运维，释放业务敏感性提供网络访问控制策略变更全生命周期管理能力，实现工单申请、路径仿真、策略检查、风险分析、配置生成下发、路径验证与报告审计全流程自动化，批量业务开通最快能实现分钟级完成，确保业务变更准确的同时提升业务变更响应与交付效率。完美解决策略运维工作效率低与业务敏捷性高的矛盾，持续保证策略变更工作的准确、合规与高效。（4）助力安全监管真正合规、网络环境更加健康安全等保2.0中对安全策略与访问控制方面的强制要求：应对服务层个安全组件的安全策略进行集中的可视化展示、管理和控制，并检测安全策略的有效性；应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则梳理最小化。安全策略集中管理智能化运维平台安全策略管理、策略优化检查、策略基线等功能将很好助力企业安全监管真正合规、络环境更加健康安全。（5）监控联动告警、提升运维智能化水平告警可视化：通过广泛集成，增强网络运维支撑系统间横向联动，实现监控告警可视化展示，相关监控系统的告警信息能直观在拓扑视图中显示，准确定位告警位置；报表报告：依托大数据分析和统计，满足用户自定义各类设备台账、设备变更、拓扑链接更新等相关监控告警、报表报告。1.2系统架构（1）安全策略可视化系统技术架构系统采用分层设计理念，共分为数据采集层、建模分析层、安全清理运维层、监控呈现层。数据采集层主要通过在线采集方式定期采集防火墙、路由、交换机、负载均衡等设备的策略配置文件与路由数据，并进行归一化入库存储。建模分析层提供了一套策略模拟仿真环境，可以根据业务开通信息进行全网访问路径模拟仿真分析，生成策略开通建议并翻译成命令行。业务功能层主要提供访问控制策略的集中管理和分析，主要包括策略列表、策略梳理、策略检查、策略命中与收敛分析。可视化展示层主要提供网络拓扑可视化及安全路径可视化。（2）网络节点资源管理平台技术架构网络资源节点管理平台由数据采集层、建模分析层、业务应用层、可视化展示层组成。主要通过种子设备的方式，采用SNMP协议定期采集防火墙、路由、交换机、负载均衡等设备的MIB库数据，并进行归一化入库存储。基于读取到的MIB库基本信息，匹配预定义规则库，实现自动分类设备类型厂商，通过接口-IP-MAC映射数据，关联分析出生成树。业务功能层提供了一套设备发现及设备管理的环境，可以通过种子发现设备自动发现设备，并自动按机构分组，自动生成拓扑图。可视化展示层主要提供网络拓扑可视化、链路信息可视及设备状态告警可视。1.3部署方式部署位置：中心主机房与下属网点机房部署方式：安全策略集中管理智能化运维平台为软件系统，采用旁路部署即可，不改变现有网络结构。建议部署在网络安全管理区，保证平台与被管防火墙设备之间IP网络可到即可，平台通过节点设备只读账号以SSH方式在线读取设备配置信息。1.4规划体现（1）异构设备集中管理技术异构设备关联分析的基础工作是针对多源异构设备进行统一解析和治理。依照网络OSI结构模型，异构多源网络安全设备在网络安全管理上同样具备共通性，如网络层安全访问控制，最终通过对源地址、目的地址、源端口、目的端口、协议端口号等七元组信息来达成管控的目的。异构设备策略解析技术通过策略建模将多源异构网络安全设备的策略进行统一解析。（2）异构设备策略关联分析技术多源异构设备策略统一解析后，多台设备和各业务系统之间可进行关联分析。安全策略集中管理系统运用数据关联分析技术进行多源异构网络安全设备策略解析形成业务拓扑并进行业务路径分析。（3）异构设备联动处置技术基于安全策略集中管理平台根据异构网络安全设备实际配置所构建的安全业务域拓扑，平台分析网络攻击所利用的业务路径信息，判断可进行威胁处理的网络安全设备，并向异构网络安全设备下发配置，实现安全威胁的一键处置、快速封禁和策略收敛。本项目进行流程和技术的自动化设计，通过系统间关联分析，自动化发现和处置安全威胁，提升网络安全和运维效率，并降低运维成本。策略自动化开通和封堵包括业务请求服务化、模拟仿真分析、选路建议、策略风险分析、策略配置自动生成以及策略开通验证等多个环节，通过全流程化、自动化的方式减轻策略开通和封堵业务工作量，并确保变更内容准确。1.5关键技术设计（1）异构设备访问控制策略集中管理平台通过在线采集方式定期抓取防火墙、路由交换、负载均衡等网关设备的策略配置文件以及路由表信息，再通过归一化方式解析存储到统一的安全策略模型中，最终实现对异构品牌型号及设备的各类访问控制策略的集中展示、查询、导出、分析等相关功能。为满足不同的应用场景，支持手工采集和在线采集两种策略配置采集提取方式：手工采集：管理员通过手工方式在目标防火墙等设备Web管理界面通过“导出配置”或命令行控制台通过ShowConfig的方式将设备策略配置信息导出到配置文件中，再将配置文件上传至安全策略集中管理平台。支持Log、txt、conf、cfg、XML等多种文件格式的配置文件解析。在线采集：针对目标防火墙设备是否支持命令行配置管理，安全策略集中管理平台提供两种在线采集方式。对于支持命令行配置的目标设备，平台可通过SSH、Telnet等远程访问管理协议在线自动采集目标设备的策略配置信息；对于不支持命令行配置的目标设备，平台可通过API接口或Web管理页面获取策略配置信息。（2）安全策略配置检查与优化分析防火墙策略由于日积月累、频繁变更等原因造成很多垃圾无效策略，安全策略配置检查通过对配置文件中的安全策略进行逐一与其他策略进行比对分析，判断相互之间的包含与被包含关系，最终检查分析判断是否为冗余策略或隐藏策略，以及是否存在可合并策略和空策略等，管理员可根据分析结果进行精简和优化调整。（3）逻辑安全域拓扑自动生成通过读取防火墙、路由交换设备的配置，解析出各网关设备包含的接口与网段、以及安全域设置；任意两个网关节点之间，若存在相同的接口子网，即为互联关系，在拓扑上会自动通过子网连线体现出来，依次递归遍历所有网关设备，即可自动形成全网逻辑拓扑；在此基础上，通过人工干预安全域及资产信息，描绘安全域架构拓扑。（4）端到端全路径分析实现任意源地址到目的地址的访问路径及数据流分析，包括是否有可达路径、可达路径经过的节点及命中的路由及策略信息、允许或拒绝的数据流详情等；访问路径分析时，通过源地址定位到对应的网关设备，再通过网关设备上的路由逐一寻找下一网关，直到目的地址；期间需匹配网关设备上的ACL策略、Nat策略、路由、安全策略等信息。（5）访问控制策略自动化运维访问控制策略自动化运维包括开通业务请求服务化、模拟仿真分析、开通选路建议、策略风险分析、策略配置自动生成以及策略开通验证等多个环节，通过全流程化、自动化的方式减轻访问控制开通业务工作量，并确保变更内容准确。2项目建设需求本项目包括但不限于以下建设需求：2.1异构设备集中管理实现对全网防火墙、路由交换、负载均衡、VPN等异构品牌、异构型号的网络安全设备进行统一集中管理，包括策略采集、策略解析、策略历史、策略变更监控、策略查询、策略清理、策略开通等相关功能。支持对被管设备通过SSH、Telnet等远程访问管理协议在线定期自动采集策略配置信息，并通过解析模板解析成归一化的格式进行存储。策略信息包括各类安全策略、NAT策略、ACL策略路径路由信息。主要功能明细说明如下：1.配置提取：支持对全网三层网关设备（包括防火墙、路由器、交换机、负载均衡）的安全策略配置信息的自动采集与解析；2.路由采集：支持对三层网关设备路由表数据采集与解析；3.策略可视：支持对被管理设备的对象（包括地址对象、服务对象、时间对象）、策略（包括安全策略、ACL策略、NAT策略）和路由信息集中展示、查询及下载导出；4.网段管理：支持对全网网段的集中展示、查询及下载导出；5.配置更新：支持定时方式对被管设备的策略配置进行自动采集和更新；6.配置比对：支持同一设备不同时间点的策略配置比对。2.2策略配置优化检查支持对被管理设备（防火墙、交换机、路由器、负载均衡）的策略配置和对象进行优化检查，检查类型包括：隐藏策略、冗余策略、可合并策略、空策略、过期策略及宽松策略，以及空对象和未被应用对象。各类策略检查描述如下：1.隐藏策略：同一策略集内，一条高优先级策略的源地址、目的地址、服务对象、时间对象完全包含或等于另外一条低优先级策略的源地址、目的地址、服务对象、时间对象，不管动作是否一致或相反；2.冗余策略：同一策略集内，一条低优先级策略的源地址、目的地址、服务对象、时间对象、老化时间（长短链接）完全包含高优先级另外一条策略的源地址、目的地址、服务对象，时间对象、老化时间，并且动作相同；3.空策略：策略引用的源地址对象、目的地址对象或服务对象有为空的对象，此类策略在实际应用中是不会被匹配；4.可合并策略：同一策略集内，两条及以上策略源域、目的域以及动作相同的策略，源地址、目的地址、服务对象、时间对象四个元素只有一项不相同，其余均相同；5.过期策略：策略中会包含时间对象，当时间对象过期后，该策略会显示为过期策略；6.宽松策略：源IP、目的IP及服务端口命中率过低的为宽松策略；7.空对象：只有对象名，对象内容为空；8.未被应用对象：未被安全策略、ACL策略和NAT策略所引用的对象。2.3安全拓扑架构可视支持系统根据全网防火墙、路由交换等三层设备的子网、安全域、路由、NAT、ACL等影响网络通路和可达的配置信息，并运用可视化技术，自动生成业务拓扑图，实现基于全网的面向业务视角的安全域拓扑架构可视。主要功能明细说明如下：1.逻辑拓扑：支持系统基于三层网关设备的配置信息，并运用可视化技术，自动生成全网逻辑拓扑图，实现基于全网的面向业务视角的安全域拓扑架构可视；2.图层管理：支持根据不同业务视角，自定义创建并维护多张逻辑拓扑图，如全网、各业务区域、各分行等；3.逻辑安全域：支持防火墙安全域解析，以及逻辑安全域定义和管理，结合逻辑拓扑图，实现各区域防火墙重点防护区域的可视化2.4安全策略自动生成实现与现有的安全运维体系对接，构建基于业务安全策略变更工作流，对变更操作的各个步骤进行监控及影响性分析，并结合合规策略基线提出配置建议。安全策略自动化运维包含开通业务请求、开通建议、策略风险分析、策略远程下发以及策略开通验证等功能，协助网络安全运维人员能快速、有效的完成策略变更，并确保变更内容准确，从而提高工作效率，降低维护成本。1.开通工单管理：支持通过工单形式维护策略开通任务，包括策略开通的新增、查询、删除等；支持按工单创建人进行快速查询和过滤。支持开通结果报告管理，包括策略开通申请选路建议、风险分析、命令行翻译、开通验证等结果信息集中展示。2.开通模拟仿真：根据开通申请的源/目的/服务进行仿真分析，判断当前开通请求的通路情况，并定位出需要新增放通策略的防火墙设备及策略详情。支持多源、多目的、多服务的开通申请，对可能的源/目的/服务组合进行开通模拟仿真。源与目地对象间存在NAT的情况，应能够自动检测到，并自动按NAT规则正确替换访问控制规则中的源或目的地址，实现过NAT前后防火墙配访问控制配置脚本的自动分段生成，以保证过NAT时访问控制策略下发的正确性与效率。3.策略配置检查：在配置生成时，能够针对每一条网络访问需求提示现有策略是否已经满足需求。基于模拟仿真结果，将待开通策略与目的防火墙已有策略进行隐藏（冲突）策略的比对分析，对可能出现的隐藏策略进行预警提示。在配置生成时，对于能够在现有策略进行合并的配置进行提示（策略合并规则为五元组：源、目的、服务、时间、action，至少有四项相同，目的地址除外）。4.策略风险分析：在配置生成时，可同时安全基线检查，如是否包含高危端口（TCP445,139,3389等），并对不合规配置需求进行提示和告警。支持根据安全域或业务组的互访基线进行检查，针对不合规的开通需求进行提示和告警。5.命令行生成：基于模拟仿真结果，系统根据目的防火墙命令行规则自动翻译生成安全策略命令行脚本。支持灵活命令行翻译规则配置，如命令行中是否需要源域/目的域、是否需要创建地址对象、新增策略插入的行号位置等；新增策略时优先使用目的防火墙已有的服务对象，避免重复创建冗余服务对象；支持对批量工单的命令行脚本按目标防火墙维度进行汇总。6.策略开通验证：在安全策略下发完成后，可对开通路径进行源到目的仿真分析并可视化展示，辅助定位异常问题（如逻辑路径未开通非访问控制问题、访问控制策略在哪台墙上未开通成功）。2.5自定义报表报告支持自定义报表订阅管理，可周期性自动生成报表报告，可订阅发送至指定邮箱；支持自定义组织报表内容，包括策略列表、策略查询、策略检查、策略监控等报表。2.6动态评估节点配置平台内置多种基线检查规则，并可自定义基线规则，通过多任务并发的形式快速高效的生成基线配置合规报表，及时准确的筛选出违反配置规则的设备，并提供相应的处置建议。支持多维度的展示检查结果，支持高亮显示违规配置。2.7API接口平台采用开放式体系架构，对外提供完整的RESTAPI接口，以便与第三方运维平台、安全管理平台等系统或产品进行深度集成与对接。3设备采购清单3.1设备采购清单序号产品名称规格参数数量单位1基础平台详见设备参数指标1套2动态拓扑详见设备参数指标1套3策略命中与收敛详见设备参数指标1套4拓扑与路径详见设备参数指标1套5策略开通详见设备参数指标1套6应急封堵详见设备参数指标1套7防火墙设备授权防火墙、网闸设备授权，包括主备，虚墙等15台8其他网关设备授权除防火墙之外的网关设备，包括路由、交换、负载均衡、模拟网关30台9设备授权100台设备授权1套10首次安装部署安装实施服务项13.2设备参数指标1基础要求支持传统网络架构中防火墙、路由器、交换机、负载均衡等设备策略配置信息和路由信息的自动提取与解析，包括对网络访问路径和数据安全产生影响的设备接口与安全域、访问控制策略、NAT策略、路由信息；持多品牌防火墙、路由交换、负载均衡。支持预定义资产分类规则库，支持对已发现资产自动确定设备类型及厂商；支持设备自动分组，根据预定义的设备命名规则或IP地址规则，自动移动设备到对应设备组；支持批量方式添加纳管设备，可通过批量Excel方式将设备IP、用户名、密码等信息批量导入系统并通过SSH协议方式进行批量设备的配置采集和解析；支持在平台设备列表中，提供命令行窗口，快速链接到并访问被管设备的cli控制台或web管理页面；支持针对被纳管设备的采集凭据和下发凭据进行分开管理；2网络设备发现支持种子发现和指定网段发现两种网络设备发现方式，包括：

1）支持通过种子设备自动发现下挂设备，支持任意指定一台核心交换机为“种子”节点，自动发现区域内部路由器、交换机、负载均衡和防火墙设备；

2）指定网段发现时，支持网段、IP范围以及其组合的方式进行录入；支持自动发现任务监控和管理，能够纪录更新发现耗时以及发现资产数量等；，支持在web页面查看发现任务执行过程的详细信息，包括但不限于：扫描IPSNMP状态ARP表、链路表数据等；3物理拓扑及链路发现根据全网网络设备链路信息，或者根据自身获取配置信息变化，动态展示拓扑变化，如新增、删除设备后自动更新拓扑图；对于设备down、端口up/down和性能超阈值告警提示，能够直接反应到拓扑图标和连接的状态变化；支持物理拓扑图层编辑管理，包括但不限于组面板、设备面板、属性面板、关联数据面板、搜索面板、告警面板等；4策略优化检查支持策略考核评分功能，通过系统预置防火墙健康度量化评估模型，定期对防火墙风险策略进行百分制评分，并支持按组织结构进行分组统计平均考核分数；支持被管理设备（防火墙、交换机、路由器、负载均衡）的策略配置信息进行优化检查，检查策略类型包括：隐藏策略、冗余策略、可合并策略、ACL策略未被调用、空策略和过期策略，并以饼状图方式显示问题策略分布梳理情况和统计每类问题策略数量；支持策略优化检查出的问题策略进行标记功能，便于再次检查时忽略检查，或清理时忽略已标记的问题策略；支持被管理设备（防火墙、交换机、路由器、负载均衡）的策略的地址对象，服务对象，时间对象进行优化检查，检查类型包括：空对象和未被引用对象，并以饼状图方式显示问题对象分布梳理情况和统计每类问题对象数量；支持策略优化检查处置功能，可针对问题策略直接翻译生成对应的处置优化脚本，并通过策略下发模块进行下发；5策略收敛梳理基于防火墙策略命中日志分析，支持安全策略的历史命中次数统计以趋势图方式显示；支持策略三元组（源地址、目的地址、目的端口）命中数与利用率统计分析。显示源址的目的地址的对象内每个地址的命中次数，并且统计源地址的百分比利用率、目的地址的百分比利用率、目的端口的百分比以利用率；支持对大段策略进行收敛梳理，梳理条件支持合并方式、掩码长度、合并标准、统计周期等多个维度进行组合设定，并支持对收敛建议结果自动转换为整改优化命令行脚本，通过策略下发模块进行下发，实现策略宽松策略收敛的闭环；支持自定义内网IP地址范围、互联网地址范围，并在收敛梳理任务中可设置是否跳过互联网地址梳理；6安全域拓扑管理运用可视化技术，基于防火墙、路由器、交换机、负载均衡设备配置信息自动生成全网逻辑拓扑图，实现网络安全域基础架构与访问关系的可视化展示；支持灵活的网络拓扑编辑功能，可任意控制网关设备、连接子网等元素的显示和隐藏；支持拓扑图层上网关设备的大小、图标、位置等显示属性的修改和调整；支持根据不同的网络区域绘制多个网络拓扑图层；支持通过虚拟网关的方式模拟不同区域网络的互联关系，并支持经过虚拟网络的跨区域路径分析功能；针对边界区域的模拟网关，支持自动采集边界路由器的路由表数据，并将路由中的业务网段或IP信息补充到模拟网关设备配置中；支持二层防火墙设备的接入，并通过模拟串联的方式在拓扑图中体现；支持子网拆分功能，针对有相同管理或业务地址的设备通过子网拆分实现自动拓扑的合理性；7策略开通运维支持仿真开通、自动开通、定向开通三种策略开通运维方式：

1）仿真开通：平台基于路径模拟仿真引擎，通过待开通的五元组进行路径仿真分析，自动定位到需新增放通策略的防火墙设备，并生成命令行脚本；

2）自动开通：支持在只纳管防火墙设备的情况，通过实现维护好的防火墙与防护网段字典表，根据待开通的五元组与字典表进行匹配并确定需新增放通策略的防火墙设备，并生成命令行脚本；

3）定向开通：用户指定防火墙设备，系统根据待开通的五元组翻译生成命令行脚本；支持负载均衡策略的自动开通运维，可根据开通需服务器地址、服务、POOL信息、Na跳转换等信息自动生成开通命令行脚本；支持开通管理：支持通过任务工单形式维护策略开通申请，包括新增操作，以及策略开通申请选路建议、风险分析、策略下发、开通验证等结果信息展示；支持Excel批量导入访问控制策略开通申请，支持对批量策略开通结果进行汇总下载；支持源、目的地址录入单个或多个主机IP、单个或多个网段IP（网段支持各类变长子网掩码，至少包括/8、/16、/24）、单个或多个IP地址范围（如：1.1.1.1-1.1.1.20），并可组合录入，最多可支持254组；支持同时录入TCP、UDP、ICMP等不同类型的开通协议；支持每类服务能够录入单个端口、多个端口或端口范围；支持开通建议：根据开通申请的源、目的进行全网路径查询，并展示查询结果，列出开通建议，包括涉及到的节点设备信息，以及路由、ACL策略配置建议等；针对多源/多目的/多服务开通申请，需根据每一组源/目的/服务的组合进行开通建议，然后再从防火墙维度进行合并汇总；在单台防火墙涉及到多条策略需求时，支持将该台防火墙配置集中显示在一个文本中；支持过NAT前后防火墙配访问控制配置脚本的自动分段生成，以保证过NAT时访问控制策略下发的正确性与效率；支持自定义策略生成命令行规范，至少包括但不限于：是否创建地址对象；是否复用现有对象；安全域配置；ACL挂载接口方向设置；支持新增策略位置的配置管理，包括：插入最前，插入最后，插入到指定行之前，插入到指定行之后，插入到相关策略之前；支持策略下发反馈管理配置，如自定义一些常见错误，下发时命中错误时可继续跳过错