北京邮电大学
一、单位简介
北京邮电大学是国内首批与中央网信办开展网络空间安全学科人才培养基地合作项目的五所高校之一,也是首批获得“网络空间安全”一级学科博士点的29所高校之一,并于2016年正式设立了网络空间安全学院。网络空间安全学院拥有一支包括院士、教育部长江学者特聘教授、国家杰出青年科学基金获得者、国家级教学名师、全国优秀博士论文获得者和教育部新世纪人才在内的50余人的高水平师资队伍。
近五年来,学院获得国家技术发明奖、国家科学技术进步奖等多项国家级和省部级奖项,依托基地承担了一批包括国家973计划项目、国家863计划项目、国家科技重大专项、国家自然科学基金重点项目、国家发改委项目等在内的大量网络空间安全领域国家重大、重点项目。学院在包括PNAS、 IEEE Transactions、IEEE JSAC、Physical Reviews A等国际、国内学术刊物和会议上发表了800余篇高水平学术论文,出版了学术专著二十余部,获得了几十项国家发明专利授权。
项目负责人:朱洪亮,北京邮电大学副教授,硕士生导师。北京邮电大学信息安全中心副主任,灾备技术国家工程实验室副主任,灾备技术产业联盟副秘书长,云安全北京市工程实验室副主任,中国密码学会教育与科普工作委员会委员,移动互联网系统与应用安全国家工程实验室技术专家。长期从事网络信息安全、流量监控、大数据及云安全等领域研究,主持或参与国家242项目、国家863项目、国家发改委信息安全专项、国家自然基金、电力科学院、西门子、国家网络空间安全重点研发计划等科研项目近10项。申请国家发明专利10余项,参与制定灾备技术领域行业标准6项。发表SCI、EI论文10余篇。
二、产品介绍
一.1 安全策略审计系统
安全策略审计系统一种网络设备安全策略审计优化系统,能够在复杂的网络环境下,根据配置文件检测当前网络设备的运行情况,详细梳理其安全防范策略,审计出其中存在的不安全的配置,去除冗余策略,合并相关策略、并能对配置错误的策略进行检测与提示。该系统为检测分析和了解系统当前的安全状况提供有力证据,能保证防火墙和路由器等网络设备正常、高效的工作,有效降低公司对维护难度与成本、提升设备性能、减少管理维护失误带来的安全隐患。系统效果图如下:
系统采用B/S架构开发,主要包括服务模块、采集模块、分析模块、报表模块、拓扑图模块。采集模块支持Telnet、SSH协议。支持在Windows7、Windows Server2008上通过虚拟化软件部署,提供部署所需要OS及软件镜像,使用简单方便。
一.2 主要功能:
1、 支持基于路由器设备的配置信息进行自动化分析;
2、 支持路由器配置信息的自动提取以及审计策略的手工导入功能;
3、 支持单个路由器和多个级路由器的配置安全审计,审计内容包括冲突策略、冗余策略、过度授权策略、策略的连通性、效率的优化分析以及多个级路由器配置信息的关联分析;
4、 支持审计策略的人工定制接口,允许人工加入分析规则;
5、 良好的插件机制,能够方便今后扩展检测功能;
6、 提供良好的报表定制模式和报表模板。
一.3 产品规格:
产品名称 | 网络安全策略审计系统 |
设备外型 | 机架式 |
设备高度 | 2U高度 |
产品尺寸 | 87mm(H)*445mm(W)*500mm(L) |
工作温度范围 | 0℃-40℃ |
工作湿度范围 | 5%-90% |
额定电压范围 | 100-240V AC |
硬盘接口类型 | SATA/SAS |
硬盘类型 | 支持固态硬盘和机械硬盘 |
显示接口 | 支持VGA或HDMI等显示接口 |
存储扩展 | 支持3.5英寸HDD硬盘并兼容2.5英寸SSD硬盘 |
三、核心技术
本系统解决了系列问题,形成了特有的审计规则,并对以下核心技术取得了突破:
基于判定树的规则合并算法:
算法调用规则集中的每一条规则作为第一个参数,规则中的字段作为第二个参数,根节点作为第三个参数。递归确保一个规则能扩展到与新插入规则相关的所有分枝中。
智能化网络拓扑发现与策略采集技术:
自动发现网络拓扑中网元及安全设备,并对被测设备完成策略采集工作。
多源异构策略集归一化解析技术:
针对不同网元及安全设备,不同策略格式,不同命令语义,实现统一归一性处理和解析。
四、应用领域
路由器、防火墙等网络设备配置安全审计隶属于安全管理审计,所谓“三分技术七分管理”,现网中因管理漏洞造成的安全问题占据主要地位,因为路由器、防火墙等网络设备的使用者对网络访问的需求各不相同,管理手段单一甚至混乱,随着网络规模扩大人工管理难度激增。因而,要求能够对网络设备和安全设备的管理配置和策略进行梳理,分析其策略逻辑以及安全域连通性,使得路由器的配置策略安全可用。因此,本系统广泛应用于各行业各类信息系统:系统运维、网络管理、网络优化、安全检测、风险评估等。
五、应用案例
北邮基于自主知识产权的网络安全策略配置核查系统,目前已应用于华为网络设备配置安全审计工具,华为基于VRP平台的路由器设备的配置信息进行自动化分析、路由器/CX系列,天融信NGFW4000-UF系列、启明星辰3600D系列等网络设备,都取得了良好的应用效果,获得了用户好评。同时本系统的相关技术,也应用到中国电力科学研究院,针对国家电网下辖各信息系统进行策略审计,取得很好的应用效果。此外还可以应用到其他产品,比如网络安全管理平台,网络安全大数据展示平台等产品上。
