聯(lián)軟科技攜手至賽科技聯(lián)合發(fā)布全新一代網(wǎng)絡(luò)安全策略管理系統(tǒng)，依托聯(lián)軟科技強大的網(wǎng)絡(luò)安全運維能力，雙方的合作將構(gòu)建統(tǒng)一安全策略管理能力體系，對防火墻、路由交換、負載均衡等異構(gòu)品牌、異構(gòu)型號的網(wǎng)絡(luò)設(shè)備進行統(tǒng)一集中管理，提供策略集中管理、策略梳理、策略可視化監(jiān)控、策略運維等多個維度的綜合策略管理能力，促進網(wǎng)絡(luò)運營降本增效。此外，在原有安全策略管理引擎基礎(chǔ)上，結(jié)合聯(lián)軟科技網(wǎng)絡(luò)空間資產(chǎn)測繪能力，即將推出掛圖作戰(zhàn)網(wǎng)絡(luò)安全場景解決方案。

策略管理耗時久，有隱患，怎么辦？

1、策略開通工作復(fù)雜由于各行業(yè)發(fā)展迅速，需求量大，往往配備多種防火墻設(shè)備，人工操作環(huán)節(jié)多，檢查內(nèi)容復(fù)雜，導(dǎo)致效率低下。
2、策略優(yōu)化耗時久安全策略需要定期、逐條篩查，消耗大量人力和時間。不同設(shè)備廠商對策略的表達方式各不相同，操作流程不規(guī)范，需要反復(fù)進行策略分析優(yōu)化。
3、安全策略存隱患當出現(xiàn)配置問題時，管理員需要根據(jù)策略路徑節(jié)點逐個分析，效率較低且容易出錯，系統(tǒng)安全與穩(wěn)定性存在隱憂。

4、安全策略“不可見”由于對安全策略的管理缺乏有效的手段，處于“不可見”的狀態(tài)，無法檢查全策略配置的正確性、合規(guī)性。

策略運維真的優(yōu)化了嗎？

安全策略運維新階段？

聯(lián)軟至賽UniNSPM安全策略管理系統(tǒng)解決方案

●技術(shù)領(lǐng)先：策略可視化技術(shù)領(lǐng)先國外頭牌公司，國內(nèi)唯一原創(chuàng)技術(shù)供應(yīng)商●完全自主研發(fā)●策略管理集中一體管理●策略梳理高效精細●等保合規(guī)●策略態(tài)勢可視化●智能運維●廣泛兼容：支持國內(nèi)外90%廠商防火墻、路由器、交換機

聯(lián)軟至賽網(wǎng)絡(luò)安全策略管理系統(tǒng)能夠對企業(yè)內(nèi)所涉及到的網(wǎng)絡(luò)設(shè)備及安全設(shè)備的策略進行全面的梳理和優(yōu)化，及時發(fā)現(xiàn)網(wǎng)絡(luò)策略的各類異常并通知維護人員，以保證網(wǎng)絡(luò)以最優(yōu)狀態(tài)運行，提升網(wǎng)絡(luò)用戶的感知。

策略集中管理

1策略采集

聯(lián)軟至賽網(wǎng)絡(luò)安全策略管理系統(tǒng)可實現(xiàn)全網(wǎng)防火墻、路由交換、負載均衡等異構(gòu)品牌、異構(gòu)型號的網(wǎng)絡(luò)設(shè)備進行統(tǒng)一集中管理。系統(tǒng)通過在線采集（ssh/telnet)、手工導(dǎo)入等方式納管三層網(wǎng)絡(luò)設(shè)備，支持設(shè)備中接口、ZONE、地址、服務(wù)、策略、NAT、路由等數(shù)據(jù)。管理人員可以對策略中可能存在的地址、服務(wù)等進行包含過濾，快速找到與之相關(guān)的策略，同時對一些策略進行標記，例如記錄請求者、創(chuàng)建用途、截止時間等信息，提高后期維護效率。

2策略搜索

全網(wǎng)策略、對象快速搜索定位設(shè)備配置統(tǒng)一標準化管理可快速統(tǒng)一搜索IP匹配規(guī)則等于、包含、被包含、相交、不相交等支持全網(wǎng)設(shè)備及單個設(shè)備的策略查找支持端口數(shù)的策略查詢

3變更對比跟蹤

不同時間點配置對比，記錄每次采集防火墻配置的修改，包括修改的詳細技術(shù)信息。可比較不同版本的策略、地址對象、服務(wù)對象等的變化，也可比較配置文本的差異。

策略梳理


1策略優(yōu)化分析

隨著網(wǎng)絡(luò)復(fù)雜度的提升，防火墻的策略也變得日益龐大，而其中通常有大量的隱藏、冗余、過期、空策略和可合并策略。通過聯(lián)軟至賽網(wǎng)絡(luò)安全策略管理系統(tǒng)，管理員可以對現(xiàn)有策略集進行梳理，清除各種冗余、失效的垃圾策略，降低防火墻策略的復(fù)雜性，提高網(wǎng)絡(luò)性能。

2策略命中分析

對于開啟日志功能的策略，防火墻會生成命中日志syslog，平臺收集日志并與策略關(guān)聯(lián)，計算出對應(yīng)的命中數(shù)量。對于未開啟日志功能的策略，系統(tǒng)定期采集防火墻自帶的策略命中累計數(shù)，通過對比不同時間采集的累計數(shù)差異，計算出該時間段的命中數(shù)。通過記錄每條安全策略的命中情況，查看某臺防火墻上哪些策略是長期以來沒有被使用過，哪些安全策略的使用率最高等等。

3策略流量分析

對于開啟日志功能的策略，可以進行策略流量分析。通過收集防火墻發(fā)出來的命中日志syslog，系統(tǒng)會提取出日志中的五元組信息（源地址、目的地址、源端口、目的端口、協(xié)議），并關(guān)聯(lián)到對應(yīng)的策略上，從而梳理出該策略的明細流量。系統(tǒng)可以根據(jù)明細流量生成明細策略及對應(yīng)設(shè)備的命令行腳本，實現(xiàn)寬泛策略到明細策略的整改，實現(xiàn)策略最小化原則。

4合規(guī)性檢查

系統(tǒng)依據(jù)企業(yè)和行業(yè)安全配置指導(dǎo)標準和規(guī)范進行安全配置檢查，對不符合規(guī)范的策略和配置自動檢測生成報告。系統(tǒng)提供預(yù)定義檢查項一百多個。檢查項可以是基于正則表達式或策略搜索。用戶可以自定義檢查項，比如對高危端口、策略帶有any放行、大于16位子網(wǎng)等進行檢查。

策略可視化

1可視化拓撲

自動生成網(wǎng)絡(luò)拓撲模型，在模型上進行深度計算，支持源地址、目的地址的訪問路徑查詢，計算匹配的策略、nat、路由信息；計算網(wǎng)絡(luò)中任意兩點的數(shù)據(jù)包可通性，支持源、目的網(wǎng)段或安全域放通關(guān)系查詢，顯示放通的數(shù)據(jù)明細。可用于數(shù)據(jù)流查詢、攻擊面分析、跳板分析、域間基線檢查。

2數(shù)據(jù)流查詢

輸入網(wǎng)段或者安全域，查看數(shù)據(jù)的放通情況，可以進行攻擊面的分析。

3跳板分析

根據(jù)可以訪問的目的作為下一次訪問的源，進行下一跳計算，被攻擊后可以再次訪問哪里。

策略運維

關(guān)鍵點：路徑查詢、策略規(guī)劃、策略生成、策略下發(fā)、下發(fā)驗證回退
針對新的開通需求（源地址、目的地址、端口），策略自動化可以通過全網(wǎng)拓撲模型，進行路徑計算，展示出經(jīng)過的防火墻和放通情況，自動定位防火墻，自動梳理出防火墻策略建議，可以計算出添加策略的位置，或修改原有策略，同時可將策略建議轉(zhuǎn)換成命令腳本，實現(xiàn)策略開通、策略批量下發(fā)、一鍵封堵等多項功能，提高運維效率和策略配置的準確性。

典型應(yīng)用場景一

基礎(chǔ)運維流程化提供標準接口，可對接工單系統(tǒng)工單需求快速定位工單參數(shù)、放通狀態(tài)校驗

典型應(yīng)用場景二

攻防場景主動防御

查詢所有訪問、放通關(guān)系，及時進行策略優(yōu)化。

●攻擊面分析：攻防演練前預(yù)先對網(wǎng)段或域進行掃描和分析

●跳板分析：提前預(yù)演，對某一結(jié)點被滲透后會進一步對哪些系統(tǒng)造成攻擊。

●安全策略收斂：避免策略開放過于寬泛造成暴露面風險。

●一鍵阻斷：一旦發(fā)現(xiàn)滲透攻擊，可通過一鍵阻斷功能直接回收網(wǎng)絡(luò)訪問權(quán)限。

●安全策略自動下發(fā)：攻防演練中，設(shè)定安全策略定時下發(fā)，預(yù)驗證策略提高容錯處理能力。

典型應(yīng)用場景三

加強網(wǎng)絡(luò)合規(guī)性建設(shè)

合規(guī)性管理國家等保2.0策略集中管控監(jiān)管部門防火墻合規(guī)審計內(nèi)部合規(guī)部門管理
定期審計防火墻策略審計網(wǎng)絡(luò)合規(guī)審計
定期輸出報表防火墻安全策略報表路由交換策略報表配置變更報表
策略檢查冗余、無效策略定期清理防火墻安全基線符合性檢查

聯(lián)軟至賽UniNSPM

方案亮點

1策略梳理可以定義審計項，對不合規(guī)的端口或放行過大的策略進行檢查，梳理出不符合要求的策略。
2自動計算對于開通工單，平臺可以自動計算路徑判斷是否已有策略放通，沒有放通的定位設(shè)備給出規(guī)劃建議和腳本。
3黑名單監(jiān)控根據(jù)業(yè)務(wù)定義不同的邏輯安全域，計算域間的放通情況，對不允許的定義黑名單，不斷進行監(jiān)控。
4集中管理集中納管現(xiàn)網(wǎng)所有防火墻、路由交換，實現(xiàn)全網(wǎng)的集中管理，可以快速全網(wǎng)搜索地址、服務(wù)，以及對應(yīng)策略導(dǎo)出，提高運維效率。
5策略優(yōu)化防火墻存在上萬條策略，通過人為清理無效策略很難落地，平臺能自動計算策略中存在的隱藏、冗余、過期策略等，生成清理腳本下發(fā)。
6跟蹤配置變化記錄設(shè)備的變更情況，對不同配置版本進行比較跟蹤管理，幫助管理員及時了解配置變化詳情。

典型案例-某證券項目

●通過對異構(gòu)品牌的設(shè)備信息采集、解析，可用于全網(wǎng)策略的展示、搜索、對比、導(dǎo)出等功能。每次采集記錄配置變更，可對不同的配置版本深度可視化對比。
●針對新的開通需求，系統(tǒng)提供智能化、自動化的策略開通流程，將策略建議轉(zhuǎn)換成命令腳本并下發(fā)到設(shè)備。

●通過網(wǎng)絡(luò)拓撲模型的深度計算，分析出訪問路徑，實現(xiàn)攻擊面分析和跳板分析。用戶可以定義各個安全域之間的訪問關(guān)系黑白名單，以此作為安全域基線，系統(tǒng)自動對比計算出的現(xiàn)網(wǎng)開通情況，實現(xiàn)域間異常開通關(guān)系的告警。

（該資訊首發(fā)于2022-03-25）