贾慧燕 陈振杰 王宝宝 王立昆

摘要：随着数字化时代的发展，业务结构与业务需求的快速变化对网络安全性的要求越来越高，现有的安全防护体系以外挂、被动的纵深防御体系为主，难以支持网络和安全运维的智能化和自动化需求。分析了国内外内生安全的技术理念，结合新技术，新理念，创新地提出了基于可编程技术的一体化内生安全架构，利用SDN/P4的可编程优势构建内生的网络安全环境，达到协同联动的内生安全的效能，提升体系化防御能力。

关键词：纵深防御；内生安全；可编程

中图分类号：TP文献标志码：A文章编号：1008-1739（2022）22-59-4

0引言

随着数字經济时代的到来，社会生产生活涉及到的信息安全几乎包含了现代社会的各行各业和方方面面。业务和数据的安全性成了重中之重。并且伴随着日趋复杂的国际环境，各国对网络空间的竞争博弈日趋激烈，网络空间安全日益与国家安全息息相关，网络安全产业是否壮大已经成为衡量国家网络安全综合实力的重要标准。当前网络的安全性主要依赖基于“补丁式”“外挂式”设计思想的防御方案，由于网络设计的缺陷以及新技术的发展，现有的网络虽然有可靠性设计，但这种方式是局部的和针对单点的，而不是彻底的和全面的。这种“局部整改”为主的安全建设模式，导致网络本身缺乏抗攻击能力，网络与安全协同能力差。同时，随着数字化时代的发展，业务结构与业务需求的快速变化将成为企业经营的常态，这就要求信息化系统不断根据业务需求进行快速调整。而网络环境瞬息万变，安全与网络策略必须能够适应业务变化与威胁变化。因此，探索研究更有效的网络安全新型防御体系，以内生安全的建设思想为指导，充分考虑安全问题，深植网络安全能力，具有重大的现实意义。

1内生安全的理念

针对现有安全防护方法的缺陷，采取不同的技术发展内生安全，现在主流内生安全研究可以归纳为3种解决方案：

安全与网络一体化设计（Design-In Security）：其设计理念为从网络架构设计之初考虑安全，将安全作为网络的DNA，从身份认证、网络安全、平台安全、数据安全以及业务安全等全方位构建端到端安全防护体系。其典型应用为网络5.0技术中的内生安全架构[1]。

安全内嵌网络（Built-In Security）：通过增强计算机系统、网络设备内部的安全防范能力，使攻击不可能发生。其典型应用为WIN-T嵌入式安全[2]、思科自防御网络战略[3]等。

本质安全（Native Security）：依靠网络自身构造因素产生的安全功效，通过网络随机化/动态化/多样化等手段实现安全的目标。其典型应用为移动目标防御MTD[4]、拟态防御[5]。

当前的纵深防御体系是边界防御的进一步发展，在网络系统上实施递进、层次化的防御。其主要是以人、技术和运行维护作为信息保障的核心要素，在网络基础设施、网络边界、计算环境和支撑性基础设施等信息系统重要区域部署安全措施；根据网络的层次化体系结构，实施分层部署防护和检测措施，形成层次化的安全配置，应对已知攻击有较大把握，防范信息窃密有较强措施，防止系统瘫痪有一定能力[6]。

但是立足当前网络空间安全发展现状，网络安全防御仍面临严峻的形势和挑战：

①目前通信网络安全防护建设仍然采用了“外挂式”附加安全设备的方式，安全功能静态化，使用维护复杂、成本较高，同时安全设备的加入也引入了新的网络开销，对网络攻击的及时阻断能力较弱，无法做到对近攻击源的攻击阻断。因此将网络与安全融为一体，实现协同联动的主动防御，对于赢得网络空间斗争主动权具有重要的现实意义[7]。

②海量设备接入网络，传统安全防护体系面临新的挑战，同时随着网络技术从SDN控制面可编程到P4数据面灵活可编程地演进，用户摆脱了网络数据平面的束缚，能够自上而下地定义数据包的完整处理流程，为安全机制内生于网络数据面带来新的机遇。

③由于数字化时代的发展要求，业务结构的多样化，对通信业务体验的追求也不断提升。网络故障的及时排除、服务质量端到端的保障、面向不同的业务需求、网络安全策略的动态一致性调整等，都需要网络和安全运维的智能化和自动化，当前网络和安全分离的策略控制体制，已无法适应快速变化的业务需求。

因此，只有构建一张集网络与安全一体的智能化网络，利用SDN/P4的可编程优势构建内生的网络安全环境，实现架构、设备、运维的全方面简化，推动网络安全的全生命周期自动化，提高整个信息化系统环境控制的灵活性，提升体系化防御能力，变外挂为内生，变被动为主动，才能为未来网络作战提供强有力的后台支撑。

2基于可编程技术的一体化内生安全架构设计

2.1可编程的网络和安全一体化技术体系

借鉴SDN的软件定义架构，瞄准在“数据转发”“流量采集”“策略控制”等方面实现网络与安全深度融合的SDN与安全一体化体系架构，如图1所示，从逻辑上共分为4层：数据平面层、服务抽象层、控制平面层和应用层。

①数据平面层

主要包括一体化数据面可编程交换机。接受上层网络安全监测一体化可编程控制器的控制，集成数据转发、短状态防火墙、低存储非采样流量统计测量以及基于INT的传输路径测量等功能，并集成基于P4语言的FPGA可编程平台，接收网络安全监测一体化可编程控制器下发的策略，同时向网络安全监测一体化可编程控制器上报测量结果。

②服务抽象层

服务抽象层实现对各类测量、安全和网络等功能的基本信息、配置、策略、日志等接口的标准化，实现控制与数据的分离。

③控制平面层

控制平面层主要是网络安全监测一体化可编程控制器。为应用层“数据转发网络与安全一体”集成一体化监控以及安全应用，提供网络控制面编程接口，控制面与数据面配合完成防火墙、入侵检测和抗DDoS攻击等安全应用，实现安全与网络转发的融合嵌入，从而在网络转发时第一时间识别并阻断异常事件；对应用层提供Restful和Web接口，实现各种采集测量功能的一体化，以及弹性伸缩和故障迁移等增值能力。

④应用层

基于控制平面提供的Restful接口，实现网络和安全一体化编程。策略控制系统能够自动提取与解析控制层的安全应用以及一体化监测应用、网络安全监测一体化可编程控制器以及一体化数据面可编程交换机等的配置、策略、日志信息，形成全网安全拓扑，自动梳理及智能优化策略，自动分析与展示安全路径及攻击面，实现网络和安全策略可视化以及全局策略一致性检测与冲突智能消解。能够根据任务需求，自动生成全局网络安全策略，基于Restful编程接口统筹驱动内嵌安全应用的网络安全监测一体化可编程控制器、一体化数据面可编程交换机等动态调整、部属网络和安全资源以及下发策略。具备数据路径及攻击面自动分析的能力。

2.2可编程的网络和安全一体化融合框架

可编程的网络和安全一体化融合框架如图2所示。整个框架主要由一体化数据面可编程交换机、网络安全监测一体化可编程控制器以及多级安全策略全局控制系统等组成。

①多级安全策略全局控制系统

多级安全策略全局控制系统是整个可编程的网络和安全一体化融合框架的控制中心，它能够根据用户意图自动生成编排策略，基于软件定义方式统筹调度全网网络和安全资源，以满足面向特定任务网络快速灵活规划的需求，支持分级部署和管理，如图3所示。该系统能够实现全网网络安全基础架构的可视化，展示全网安全域划分、安全域内网络、安全设备节点、网络逻辑连接关系和网络安全访问关系等信息。能够根据下层一体化数据面可编程交换机、网络安全监测一体化可编程控制器等上报的安全事件、安全态势、安全资源、流信息、网络资源、网络拓扑、业务突发、丢包率和网络时延等信息，实现全局网络和安全策略的一致性检测与冲突消解，能够自动对特定流量在全网的数据路径和攻击面进行分析和预警。

②网络安全监测一体化可编程控制器

网络安全监测一体化可编程控制器，实现对可编程网络、安全、监测资源的统一抽象，能够编译、解释来自多级安全策略全局控制系统的网络和安全策略模型程序（CNSPM），集成单通道状态防火墙等安全应用以及路由错误等一体化监测应用，并通过一体化数据面可编程交换机提供的Restful接口，将具体策略下发到网络和安全资源，同时接收一体化数据面可编程交换机上报的测量结果，网络安全监测一体化可编程控制器集成的单通道状态防火墙等安全应用以及路由错误等一体化监测应用根据测量结果进行判断并采取操作，实现网络和安全资源的统筹调度以及控制面与数据面的协作测量。另外，该控制器对上提供北向控制平面API，支持对全局策略和资源进行动态调整和控制，以实现网络安全一体化的全局策略优化和部署。

③一体化数据面可编程交换机

该SDN交换机为协议无关转发架构交换机，支持基于P4语言对数据面编程，集成交换芯片与FPGA结合的可编程平台，通过与上层控制器协作，实现数据转发的同时实现低存储非采样流量统计测量、短状态防火墙以及基于INT的传输路径测量等功能，通过编译器加载相应P4程序到可编程平台中实现一体化网络安全测量。

2.3可編程的网络和安全一体化编程模型

可编程的网络和安全一体化编程模型如图4所示。

具体描述如下：

①用户或任务子系统基于多级安全策略全局控制系统的UI或Restful接口，输入由“高级策略抽象图”形式化描述的网络和安全资源统筹编排模型。

②多级安全策略全局控制系统收到步骤①的意图输入后，基于本地策略库、信息库和知识库等信息，对用户/任务子系统的意图进行智能分析，生成内部编排策略。

③多级安全策略全局控制系统的意图翻译模块将内部编排策略翻译为CNSPM程序。

④网络安全监测一体化可编程控制器对CNSPM程序进行编译和解释执行，并通过下层提供的北向Restful接口，将具体策略下发到一体化数据面可编程交换机。

⑤一体化数据面可编程交换机对全流量进行采样测量后，将测量结果上报给网络安全监测一体化可编程控制器，控制器中生成的一体化监测应用以及安全应用根据测量结果向多级安全策略全局控制系统上报安全事件、安全态势、安全资源、流信息、网络资源、网络拓扑、业务突发、丢包率和延迟等信息。

⑥多级安全策略全局控制系统根据这些信息更新本地策略库和信息库，自动分析数据路径及攻击面等，分析评估网络与安全策略模型的执行情况，进行全局策略一致性检测、冲突消解以及攻击面自动分析等。

3结束语

基于可编程技术的一体化网络安全模型借鉴SDN思想，在“数据转发”“流量采集”“策略控制”等多方面实现网络与安全功能的深度和高效融合，极大提高网络和安全资源的集约化水平和管理运维水平，支持以软件定义的方式根据用户意图实现对全局网络和安全资源、策略的自动控制和优化部署，满足由网络、安全和业务变化引起的全网网络安全基础架构快速调整需求，实现网络与安全能力的自适应提供。该架构能够有效应用在下一代网络体系设计中，在数据面、控制面和应用策略层全面提升网络安全效能。

参考文献

[1]网络5.0产业和技术创新联盟.网络5.0技术白皮书[R/OL].（2019-06-20）[2022-08-14]. http：//www.doc88. com/ p-99229254578739.html.

[2] IBM.嵌入式安全子系统[EB/OL].[2022-08-14].http：//www. pc.ibm.com/us/security/index.html.

[3] Cisco.The Cisco Self-Defending Network[EB/OL].[2022-08-14].http：//www.cisco.com/en/US/netsol/ns340ns394/ ns171/ns413/networking_solutions_package.html.

[4] JAJODIA S， GHOSH A K， SWARUP V， et al. Moving Target Defense： Creating Asymmetric Uncertainty for Cyber Threats[M]. Berlin： Springer， 2011.

[5]邬江兴.拟态计算与拟态安全防御的原意和愿景[J].电信科学，2014，30（7）：2-7.

[6]孟丹，侯悦，于爱民，等.网络空间内置式主动防御[M]北京：科学出版社，2021.

[7]郭丽红，张谦，梅强，等.美军信息通信系统发展研究[J].无线电通信技术，2017，43（3） ：13-20.