摘? 要: 概述了動(dòng)態(tài)網(wǎng)絡(luò)安全發(fā)展?fàn)顩r,提出并分析了一種基于全局的SAPPDRRC動(dòng)態(tài)網(wǎng)絡(luò)安全模型,。
????關(guān)鍵詞: 網(wǎng)絡(luò)安全? 安全策略? 動(dòng)態(tài)網(wǎng)絡(luò)
?
1 動(dòng)態(tài)網(wǎng)絡(luò)安全模型
自1985年美國國防部國家計(jì)算機(jī)安全中心(NCSC)提出可信任計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則(TCSEC)以來,計(jì)算機(jī)安全模型的研究經(jīng)歷了由靜態(tài)安全模型到動(dòng)態(tài)安全模型的演變,。靜態(tài)安全模型主要是針對(duì)單機(jī)系統(tǒng)制定的,對(duì)網(wǎng)絡(luò)安全所面臨的威脅和系統(tǒng)脆弱性沒有做充分的估計(jì),。動(dòng)態(tài)網(wǎng)絡(luò)安全模型主要是應(yīng)對(duì)來自網(wǎng)絡(luò)的破壞與攻擊,。
動(dòng)態(tài)網(wǎng)絡(luò)安全模型是基于閉環(huán)控制理論。典型的模型是PDR(Protection,、Detection,、Response)模型以及在其基礎(chǔ)上提出的P2DR(Policy、Protection,、Detection,、Response)模型和APPDRR(Analysis、Policy,、Protection,、Detection、Response,、Recovery)模型等,。基于PDR模型的系統(tǒng)由3大部件組成:檢測(cè),、反饋和保護(hù),。一旦檢測(cè)部件發(fā)現(xiàn)攻擊,則通過反饋部件發(fā)出信號(hào),使保護(hù)部件更改系統(tǒng)配置以適應(yīng)新情況。P2DR模型如圖1所示,它是20世紀(jì)90年代末ISS公司提出來的以PDR模型為核心的安全模型,基本描述為:網(wǎng)絡(luò)安全=根據(jù)風(fēng)險(xiǎn)分析制定安全策略(Policy)+執(zhí)行安全防護(hù)策略(Protection)+實(shí)時(shí)漏洞監(jiān)測(cè)(Detection)+實(shí)時(shí)響應(yīng)(Response),。APPDRR模型如圖2所示,它由北京啟明星辰信息技術(shù)有限公司于2002年提出,。其安全體系可以概括為:網(wǎng)絡(luò)安全=風(fēng)險(xiǎn)分析+制定策略+防御系統(tǒng)+實(shí)時(shí)監(jiān)測(cè)+實(shí)時(shí)響應(yīng)+災(zāi)難恢復(fù)。該體系的設(shè)計(jì)充分考慮到風(fēng)險(xiǎn)分析,、安全策略,、防御系統(tǒng),、監(jiān)控與檢測(cè)、響應(yīng)與恢復(fù)等各個(gè)方面,并且考慮到各部分之間的動(dòng)態(tài)關(guān)系與依賴性,使得整個(gè)系統(tǒng)生存能力大大增強(qiáng),最大限度地減少網(wǎng)絡(luò)事件帶來的風(fēng)險(xiǎn)和損失,。但以上模型均是一種局部小系統(tǒng)的被動(dòng)型動(dòng)態(tài)防御模型,基于網(wǎng)絡(luò)環(huán)境整體考慮的主動(dòng)防御能力還不夠,。為此,我們提出了一種基于全局的SAPPDRRC動(dòng)態(tài)網(wǎng)絡(luò)安全模型,并對(duì)其中的主動(dòng)動(dòng)態(tài)防御技術(shù)進(jìn)行了討論,。
2?SAPPDRRC網(wǎng)絡(luò)安全模型
網(wǎng)絡(luò)的安全是一個(gè)全局的,、動(dòng)態(tài)的概念。PDR模型,、P2DR模型以及APPDRR模型雖然能最大限度地減少網(wǎng)絡(luò)攻擊帶來的損失,但是系統(tǒng)為防御與保護(hù)而付出的代價(jià)很大,系統(tǒng)的功能和速度也會(huì)因此受到影響,。此外,若以某個(gè)局部的網(wǎng)絡(luò)系統(tǒng)來考慮,這種模型基本起到了保護(hù)自己的目的。但是從整個(gè)互聯(lián)網(wǎng)環(huán)境考慮,這種安全模型沒有發(fā)揮它應(yīng)有的作用,。如圖3所示,假設(shè)互聯(lián)網(wǎng)上有A,、B、C,、D幾個(gè)相互獨(dú)立的安全系統(tǒng),現(xiàn)在有來自網(wǎng)絡(luò)B的某個(gè)攻擊X,X攻擊A,被A檢測(cè)到,A可以保護(hù)自己不受損失;X可以繼續(xù)在網(wǎng)上攻擊B,、C、D甚至A,因?yàn)锳雖然發(fā)現(xiàn)有非法攻擊X,但是他不能杜絕X在網(wǎng)絡(luò)中肆意騷擾其他的網(wǎng)絡(luò),A只能被動(dòng)防守,。所以說PDR模型,、P2DR模型以及APPDRR模型均是一種局部系統(tǒng)的被動(dòng)動(dòng)態(tài)防御性模型,基于網(wǎng)絡(luò)環(huán)境整體考慮的主動(dòng)防御能力還不夠。
SAPPDRRC動(dòng)態(tài)網(wǎng)絡(luò)安全模型能夠提供給用戶更完整,、更合理的安全機(jī)制,能夠根據(jù)具體的服務(wù)需求進(jìn)行風(fēng)險(xiǎn)分析,制定相應(yīng)的安全策略,啟動(dòng)與服務(wù)需求相適應(yīng)的檢測(cè),、防御、響應(yīng)機(jī)制,把因安全防御對(duì)系統(tǒng)功能與速度的影響降到最低;同時(shí),將發(fā)現(xiàn)的非法攻擊情況通知發(fā)源地,請(qǐng)求其切斷該攻擊源,即將攻擊消滅在攻擊源所在的系統(tǒng)內(nèi),。例如在圖3中,A發(fā)現(xiàn)攻擊X來自B,A即向B發(fā)出信號(hào),請(qǐng)B消滅攻擊X,。這樣,只要某個(gè)安全系統(tǒng)發(fā)現(xiàn)新的攻擊,就可以通知攻擊源的安全系統(tǒng)消滅該攻擊,避免了該攻擊在網(wǎng)絡(luò)中長期肆意破壞,起到了主動(dòng)防御的作用。
SAPPDRRC動(dòng)態(tài)安全體系可以概括為:網(wǎng)絡(luò)安全=服務(wù)需求+風(fēng)險(xiǎn)分析+安全策略+防御系統(tǒng)+實(shí)時(shí)監(jiān)測(cè)+實(shí)時(shí)響應(yīng)+災(zāi)難恢復(fù)+主動(dòng)反擊,。即:網(wǎng)絡(luò)的安全是一個(gè)SAPPDRRC的動(dòng)態(tài)安全模型,。其體系結(jié)構(gòu)如圖4所示。
?
動(dòng)態(tài)安全體系的設(shè)計(jì)充分考慮到服務(wù)需求,、風(fēng)險(xiǎn)評(píng)估,、安全策略的制定、防御系統(tǒng),、監(jiān)控與檢測(cè),、響應(yīng)、恢復(fù)與主動(dòng)反擊等各個(gè)方面,并且考慮到各個(gè)部分之間的動(dòng)態(tài)關(guān)系與依賴性,。
(1)服務(wù)需求
服務(wù)需求(Service)是整個(gè)網(wǎng)絡(luò)安全的前提,它是動(dòng)態(tài)變化的,。只有針對(duì)特定的服務(wù)進(jìn)行風(fēng)險(xiǎn)分析,制定相應(yīng)的安全策略,才能把因安全防御對(duì)系統(tǒng)功能與速度的影響降到最低。
(2)風(fēng)險(xiǎn)分析
進(jìn)行風(fēng)險(xiǎn)分析(Analysis)和提出安全需求是制定網(wǎng)絡(luò)安全策略的依據(jù),。風(fēng)險(xiǎn)分析(又稱風(fēng)險(xiǎn)評(píng)估,、風(fēng)險(xiǎn)管理)是指確定網(wǎng)絡(luò)資產(chǎn)面臨的安全威脅和網(wǎng)絡(luò)的脆弱性,并估計(jì)可能由此造成的損失。風(fēng)險(xiǎn)分析有2種基本方法:定性分析和定量分析。
(3)安全策略
安全策略(Policy)是模型的核心,負(fù)責(zé)制定一系列的控制策略,、通信策略和整體安全策略,。在制定網(wǎng)絡(luò)安全策略時(shí),要從全局考慮,基于風(fēng)險(xiǎn)分析的結(jié)果進(jìn)行決策。
????(4)系統(tǒng)防御
系統(tǒng)防御(Protection)通過采用傳統(tǒng)的靜態(tài)安全技術(shù)來實(shí)現(xiàn),主要有防火墻,、加密,、認(rèn)證等。通過系統(tǒng)防御可以限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,防范由外對(duì)內(nèi)的攻擊以及切斷由內(nèi)對(duì)外的非法訪問,。
(5)實(shí)時(shí)監(jiān)測(cè)
實(shí)時(shí)監(jiān)測(cè)(Detection)是整個(gè)模型動(dòng)態(tài)性的體現(xiàn),能夠保證模型隨時(shí)間的遞增,其防御能力也隨之增強(qiáng),。
系統(tǒng)防御與實(shí)時(shí)監(jiān)測(cè)主要包括防火墻、漏洞掃描,、入侵檢測(cè),、防病毒、網(wǎng)管,、網(wǎng)站保護(hù),、備份與恢復(fù)、VPN,、數(shù)字證書與CA,、加密、日志與審計(jì)以及一些增強(qiáng)型的安全技術(shù)(如動(dòng)態(tài)口令,、IPsec等),。此外,還要確立設(shè)施與環(huán)境保護(hù)要求、設(shè)備選型原則,、安全配置原則和隔離原則等,。
(6)響? 應(yīng)
響應(yīng)(Response)指發(fā)生安全事故后的緊急處理程序。響應(yīng)組織一般要有以下基本成分:①安全管理中心,。②入侵預(yù)警和跟蹤小組,。③病毒預(yù)警和防護(hù)小組。④漏洞掃描小組,。⑤跟蹤小組,。⑥其他安全響應(yīng)小組。響應(yīng)是解決安全潛在性問題的最有效的方法,。從某種意義上講,安全問題就是要解決緊急響應(yīng)和異常處理問題,。
(7)災(zāi)難恢復(fù)
災(zāi)難恢復(fù)(Recovery)是指將受損失的系統(tǒng)復(fù)原到發(fā)生安全事故以前的狀態(tài)。這是一個(gè)復(fù)雜和煩瑣的過程,。一般災(zāi)難恢復(fù)組織包括以下基本成分:①恢復(fù)領(lǐng)導(dǎo)小組,。②網(wǎng)絡(luò)恢復(fù)小組。③系統(tǒng)恢復(fù)小組,。④數(shù)據(jù)庫恢復(fù)小組,。⑤應(yīng)用恢復(fù)小組,。災(zāi)難恢復(fù)是系統(tǒng)生存能力的重要體現(xiàn)。
(8)主動(dòng)反擊
主動(dòng)反擊(Counterattack)是指當(dāng)破壞安全的網(wǎng)絡(luò)行為發(fā)生時(shí),網(wǎng)絡(luò)安全系統(tǒng)能及時(shí)記錄其行為的相關(guān)特征,作為追究責(zé)任的證據(jù),并主動(dòng)封殺該行為,。如果是來自本地網(wǎng)的攻擊,則將其封殺在本地網(wǎng)內(nèi);如果是外部攻擊,則將其攻擊行為通知給發(fā)起該攻擊的站點(diǎn)的網(wǎng)絡(luò)安全系統(tǒng),令其及時(shí)封殺,以避免類似的攻擊在網(wǎng)上再次出現(xiàn),從而有效地提高了網(wǎng)絡(luò)的安全性,。
網(wǎng)絡(luò)的動(dòng)態(tài)安全是立體的安全構(gòu)架,涉及的各個(gè)環(huán)節(jié)如圖5所示。
3?網(wǎng)絡(luò)的安全因素
從系統(tǒng)和應(yīng)用的角度看,網(wǎng)絡(luò)的安全因素可以劃分為5個(gè)層次:物理層,、系統(tǒng)層,、網(wǎng)絡(luò)層、應(yīng)用層以及安全管理層,如圖6所示,。
?
不同的層次包含了不同的安全問題,。
(1)物理層安全:包括通信線路,、物理設(shè)備的安全及機(jī)房的安全等,。在物理層上主要通過制定物理層面的管理規(guī)范和措施來提供安全解決方案。
(2)系統(tǒng)層安全:該層的安全問題來自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)(如Unix系列,、Linux系列,、WindowsNT系列、NetWare以及專用操作系統(tǒng)等),。安全性問題表現(xiàn)在2個(gè)方面:①操作系統(tǒng)本身的不安全因素,主要包括身份認(rèn)證,、訪問控制、系統(tǒng)漏洞等,。②操作系統(tǒng)的安全配置存在問題,。
(3)網(wǎng)絡(luò)層安全:網(wǎng)絡(luò)層的安全防護(hù)是面向IP包的。該層的安全問題主要指網(wǎng)絡(luò)信息的安全性,包括網(wǎng)絡(luò)層身份認(rèn)證,、網(wǎng)絡(luò)資源的訪問控制,、數(shù)據(jù)傳輸?shù)谋C芘c完整性、遠(yuǎn)程接入,、域名系統(tǒng)及路由系統(tǒng)的安全,入侵檢測(cè)的手段等,。
(4)應(yīng)用層安全:該層的安全考慮網(wǎng)絡(luò)對(duì)用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性,包括數(shù)據(jù)庫軟件、Web服務(wù),、電子郵件系統(tǒng),、域名系統(tǒng)、交換與路由系統(tǒng),、防火墻及應(yīng)用網(wǎng)關(guān)系統(tǒng),、業(yè)務(wù)應(yīng)用軟件以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)(如Telnet、FTP)等,。
(5)管理層安全:包括安全技術(shù)和設(shè)備的管理,、安全管理制度等。管理的制度化程度極大地影響著整個(gè)網(wǎng)絡(luò)的安全,。嚴(yán)格安全管理制度,、明確部門安全職責(zé)劃分及合理定義人員角色都可以在很大程度上減少安全漏洞,。
一個(gè)完整的解決方案必須從多方面入手,當(dāng)網(wǎng)絡(luò)發(fā)生變化或者出現(xiàn)新的安全技術(shù)和攻擊手段時(shí),動(dòng)態(tài)安全體系必須能夠包容新的情況,及時(shí)做出反應(yīng),把安全風(fēng)險(xiǎn)維持在所允許的范圍之內(nèi)。
4? 主動(dòng)動(dòng)態(tài)防御技術(shù)
目前常用的主動(dòng)動(dòng)態(tài)防御技術(shù)有陷阱網(wǎng)絡(luò)和防火墻網(wǎng)絡(luò),。
陷阱網(wǎng)絡(luò)是基于Honey pot理論,采用的是一種研究和分析黑客的思想,。它由放置在網(wǎng)絡(luò)中的若干陷阱機(jī)和一個(gè)遠(yuǎn)程管理平臺(tái)組成。陷阱機(jī)是一種專門為讓人“攻陷”而設(shè)計(jì)的網(wǎng)絡(luò)或主機(jī),一旦被入侵者攻破,入侵者的信息和工具等都有可能被記錄,并被用來分析,還有可能作為證據(jù)來起訴入侵者,。陷阱網(wǎng)絡(luò)應(yīng)用如圖7所示,。
?
陷阱網(wǎng)絡(luò)中常用到信息控制、信息捕獲和入侵重定向技術(shù),。當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到攻擊行為后,就立即報(bào)警,截獲攻擊者的數(shù)據(jù)包,并將結(jié)果通知入侵重定向系統(tǒng),入侵重定向系統(tǒng)復(fù)制數(shù)據(jù),并切斷入侵者與實(shí)際網(wǎng)絡(luò)的連接,將所有數(shù)據(jù)流向陷阱網(wǎng)絡(luò),。
防火墻網(wǎng)絡(luò)是借鑒實(shí)際生活中的公安系統(tǒng)模式,將互聯(lián)網(wǎng)上的所有防火墻視為一個(gè)防火墻網(wǎng)絡(luò)。當(dāng)某個(gè)系統(tǒng)的防火墻(某地公安局)發(fā)現(xiàn)攻擊行為(罪犯的犯罪行為)時(shí),立即將該攻擊行為通過互聯(lián)網(wǎng)通知該攻擊行為所在系統(tǒng)的防火墻(當(dāng)?shù)毓簿?,。該防火墻就記錄并封殺該攻擊行為(罪犯所在地的公安機(jī)關(guān)捉拿罪犯),使該攻擊不能在互聯(lián)網(wǎng)上傳播(使該罪犯沒有機(jī)會(huì)再犯罪),被消滅在局部范圍內(nèi),。
?
參考文獻(xiàn)
1 袁津生,吳硯農(nóng).計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ).北京:人民郵電出版社,2002?
2?侯小梅,毛宗源,張波.基于P2DR模型的Internet安全技術(shù).計(jì)算機(jī)工程與應(yīng)用,2000;36(12)?
3?Design of Secure System Architecture Model for Active Network.http://www.jos.org.cn/1000-9825/13/?
1352.pdf.2003-05-26?
4?Spitzner L.Honey pot:Definitions and Value of Honey?pots.http://www.enteract.com/~1spitz.2003-05-26?