摘 要
互联网为人类社会的进步提供了巨大推动力,由于互联网的特性,产生了网络信息安全问题。分析网络信息安全现状,发现传统的防护方法和产品研发对安全防护理念——PDR(Protection Detection Response,防护检测响应)理论模型的理解存在严重误区;网络信息安全的威胁利用技术不断发展并发生变化;等级保护要求的严格化驱使防护方法和产品研发在安全理念上要有新的理解和创新。分析管理和技术的关系发现有效地管理仍然依赖于可靠的技术,然而现有网络信息安全的防护技术难点又在于主机安全、网内安全和边界安全。主机防护及文件保护存在缺陷;网内接入与传输存在缺陷;网间隔离存在缺陷。目前的网络安全处于防守层次。
于是一个着重解决以上三个防护技术难点的系统和指导该系统的全新的防御理念显得重要,即突出防护主线的PDR提升模型--ACD(Active Controllability Defense,主动可控防御) 理论模型与系统。首先提出对传统网络信息安全七大误区的正确看法、防守和防御的本质区别。ACD理论继承传统的PDR理论并突出防护主线,使防护提升到防御级别,让检测和响应更为主动,需要更加主动的防范方式,当出现安全事件时,不仅能够报警,而且可以做到对非法行为的拦截。然后提出从网间、网内、终端三个层次构建了一套纵深防御体系,结合基于安全全知识域的安全产品,不仅可以防止已知的侵害,还能防患于未然。ACDS(Active Controllability Defense System,主动可控防御系统)是以ACD理论为依据,针对性解决三个网络安全根本问题的全新防御系统。
关键词:PDR理念,主动可控防御
前 言
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。
可正是由于互联网的上述特性,产生了网络安全问题。黑客会利用各种漏洞,以及结合社会工程学,采取新技术来对企业网络进行攻击,一旦企业网络遭到攻击,将会遭受无法想象的损失。
然而传统的防护方法和产品研发对安全防护理念的理解存在严重误区,是被动的,处于防守层面;因此一套能提升防守为防御的网络安全理念与产品成为迫在眉睫的需求。
第一章 网络信息安全现状
1.1 网络信息安全
信息安全通常指网络信息安全,从网络信息安全的定义看,网络信息安全包括两个层面:一是数据安全,包括私密性、完整性和可用性三个方面;二是网络信息系统的安全,包括系统的正常运行、网络服务不中断。从本质上来讲,网络信息安全就是网络上的信息安全,是指网络系统的硬件、软件、机器系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行、网络服务不中断。
1.2 传统的防护方法和产品研发对PDR的理解存在严重误区
PDR(Protection Detection Response,防护检测响应)是传统网络信息安全防护方法和安全产品研发的理论模型。PDR模型如图1-1,PDR指出:脆弱性永远存在,突破任何防护只是时间问题。PDR实现防护的原理在于:{Pt > Dt + Rt(突破防护系统的时间 > 检测的时间+响应的时间)}=安全;所以PDR是个注重结构安全的动态信息安全模型,突出防护为主检测和响应为辅,PDR模型图还被许多安全厂家升级和改版,典型的有PDR环形模型如图1-2。
PDR防护理念被许多传统安全产品作为设计的指导思想,如入侵检测系统、入侵防御系统、病毒检测系统、统一威胁管理系统等,这类产品没有真正贯彻PDR以防护为主线的理论基础,其实现安全依赖于对告警产生后联动措施,也依赖于告警产生的及时性即响应的及时性,依赖于对威胁信息库以及黑名单的覆盖面和更新速度,所以处于防守层面。
PDR防护理念也被许多企事业单位作为安全防护的指导思想,但多数对其存在理解的误区,往往是对系统进行检测发现有问题才有所响应再去提升防护手段,而并非在一开始就以防护为主,所以处于防守层面。
1.3.1 局部攻击目标演变为多范围攻击目标
操作系统、网络服务、应用都可能成为攻击目标。
1.3.2 混合型威胁形成
现在的威胁不以单一的病毒、木马存在,而是不同种类攻击技术的结合,恶意程序得以用更快的传播速度、更多样化的管道及更强的破坏力展开突击。
1.3.3 黑客的职业化、趋利化
攻击不再是单纯的成名游戏,而是与金钱挂钩,他们受网络商人或商业间谍雇佣,盗取商业机密以获取个人利益。黑客群体逐渐庞大,攻击技术不断提升,攻击手段不断变化。所以安全防护理念与措施也需要不断改进,不断创新。
1.4等级保护要求驱使防护理念创新
等级保护要求的严格化驱使防护方法和产品研发在安全理念上要有新的理解和创新。
等级保护第四级开始,隐通道概念被提出。等级保护第四级安全的信息系统要求具备对信息和系统进行基于安全策略强制的整体的安全保护能力。等级保 护第五级要求提供对信息和系统进行基于可验证安全策略强制的安全保护能力。
在监督保护级的第三级,如果防护不当,已经会对国家安全、社会秩序和公共利益造成损害;第四级就会对国家安全、社会秩序和公共利益造成严重损害;第五级就会对国家安全、社会秩序和公共利益造成特别严重损害。如果第三级勉强可以用防守理念,那么第四级开始必然要使用更新的理念,由于缺乏可靠的技术支撑,尤其是边界隔离技术,于是等级保护第四级开始多半采用了物理隔离手段。
1.5管理依赖于可靠的技术
不论是提倡三分管理七分技术还是提倡七分管理三分技术,其管理必然还是依赖于可靠的技术手段去实现,否则就是纸上谈兵,无从下手,管理也就变成无效的管理。
1.6 现有网络信息安全的防护技术难点
现有网络信息安全的防护技术难点归纳起来又在于主机安全防护、网内安全防护和边界安全防护。
1.6.1主机防护及文件保护存在缺陷
现在的木马可以隐藏文件、进程、连接、端口、注册表键值等一切留下的痕迹。
特征码防恶意:加壳技术的应用已经让“特征码防恶意”难有作为。
虚拟机防恶意:无法完全模拟系统的所有API接口,所以恶意软件可以根据两者的区别做条件跳转,这样虚拟机就如同虚设。
行为防御:现在大多的终端防护软件都主打民用市场,这就不得不选择安全性低但易使用、兼容性相对较高的防恶意技术,以至于一些恶意的软件总可以通过巧妙的方法通过终端防护的行为防御功能。
云规则:在上述三种方式的基础上,使用云计算,构建云规则库,依然继承上述三种方式的缺陷。
1.6.2网内接入与传输存在缺陷
网络的接入与传输依赖于TCP/IP协议,TCP/IP协议的开放性导致以下几个威胁:
接入无需认证,任意主机和设备可随意接入,访问无权限划分;
网络间的数据传输是透明可被窃听的;
网络通信的任何层都可以被非法利用;
网内接入,ARP欺骗一直是没有彻底解决的问题。
1.6.3网间隔离存在缺陷
访问控制隔离(防火墙)和虚拟专网隔离(VPN)的缺陷
存在双向数据通信所产生的隐患;难以摆脱交换和传输协议先天缺陷带来的隐患;依赖于依托网络和依托平台的安全性和设备平台的安全性;未知的漏洞、0Day远程溢出、反向连接木马等都能轻松穿越防火墙的防御;专网内所有威胁依旧存在。
协议隔离(协议转换设备)和逻辑隔离(网闸、U盘拷贝)的缺陷
双向数据通信所产生的隐患依旧存在;依赖于私有化协议的保密性和应用设计的保密性;依赖于依托网络和依托平台的安全性和对设备平台的安全性;网闸、U盘拷贝隔离仅仅是时间逻辑上的错觉,延长时间,压缩时间轴,所看到的信息交互量曲线与网线相连无异。
第二章 主动可控防御理论与系统
2.1 走出传统网络信息安全七大误区的正确看法
安全产品叠加≠全网安全,合适的产品用在合适的位置,配置合适的策略,才能体现出价值;
不要过于依赖昂贵的设备,信息安全不是仅仅靠设备和技术就能完全解决的,人员的配合、制度的建立和实施甚至更重要;
要解决根本问题,不要专注表面问题,如果没有解决根本问题,问题迟早会在另一个侧面表现出来,不要头痛医头,脚痛医脚;
信息安全应该是宏观与微观相结合,必须将信息安全技术和组织管理结合起来;
不要使用太复杂的方法,复杂的方法在未彻底验证之前,本身就可能存在漏洞,简单技术不一定不安全,复杂技术不一定就安全;
不要使用单一防线策略,单一防线不能够防范混合型的攻击,要建立一套纵深防御体系;
不要假设内部人员都是可靠的,对组织内部人员,也要有一定的制度和措施对其行为进行限制,往往由内部人员引起的破坏和损失会更大。
2.2 ACD(Active Controllability Defense,主动可控防御)理论概述及其必要性
2.2.1 防守与防御的区别:
防守:是以被动保护为特征的技术。主要特点是“亡羊补牢,消缺补漏”。
防御:是以主动防备为特征的技术。主要特点是“未雨绸缪,防患于未然”。
2.2.2 相对安全与极端安全
现有的大多数网络安全产品采用访问控制策略、黑名单、安全知识库等机制,过分依赖于对网络、协议、平台的可信,过分依赖于对使用者在产品上专业的管理。造成技术与管理的矛盾循环。基于这种理念设计的产品只做到了相对安全。
所谓极端安全即无限接近于绝对安全。极端安全设计理念强调方法和系统的先天安全特性,强调方法和系统的可控性和不可抵赖性,这与PDR理论中强调以防护为主检测与响应为辅是同出一辙。用这种理念和技术支撑的管理才是有效的管理。
绝对安全是个理想状态,是网络安全的终极目标
2.2.3 ACD原理(如图2-1):
ACD理论仍然继承传统的PDR理论模型的防护主线,提出让检测和响应更为主动,例如防病毒软件病毒库的更新总是滞后于病毒的产生,需要更加主动的防范方式,当出现安全事件时,不仅能够报警,而且可以做到对非法行为的拦截。ACD理论强调产品设计采用极端安全设计理念。
可控是指安全时间做到可控,信息安全可控是指:
对可能产生的安全问题清楚;
对发生的安全问题能将其限定在特定的范围;
对发生的安全问题能在一定时间内消除。
在PDR的理论上实现主动和可控,这样防护层次就从防守升到防御。
2.2.4信息安全三性提升为五性
传统安全理论强调信息安全三性:保密性、完整性和可用性,ACD理论提倡信息安全五性:保密性、完整性、可用性、可控性和不可否认性(不可抵赖性)。可控性和不可否认性(不可抵赖性)也是极端安全理论的核心。
2.2.5 ACDS(Active Controllability Defense System,主动可控防御系统)概述
ACDS是以ACD理论为依据,针对性解决以下三个网络安全根本问题的全新防御系统:
终端安全:核心在于文件保护;
网内安全:核心在于接入认证与传输加密;
网间安全:核心在于边界有效隔离。
2.3 组成ACDS的子系统原理
2.3.1 主机行为防御系统
2.3.1.1传统主机防护技术失效的原因
传统主机防护技术失效的原因在于:黑名单库更新总滞后恶意软件产生;导致事后处理的必然性。商业行为导致企业统一考虑易用性和兼容性,高端用户承担低端用户风险。
2.3.1.2白名单机制的优越性
白名单机制,没有恶意软件与正常软件之分,只有企业需要与不需要之分。不管是否恶意软件,只要企业不需要,或者此软件的行为不是企业需要的,那软件就不可以运行,软件的行为就不能被执行,这样才能做到终端的真正安全制。
2.3.1.3系统简介
主机行为防御系统以主动防御为目的,通过内核级行为防御、驱动程序加载控制、进程保护和文件安全保护机制来保护自身的基本安全。在保护系统内核不被病毒或木马入侵的同时,根据应用程序的行为进行判断,从而达到对系统和文件安全构成威胁的行为进行预警和阻止,保护主机的安全。
2.3.1.4系统应用场合
适合于有固定应用、安全级别较高的主机安全防护(含服务器和操作终端):
白名单机制确保主机不受恶意软件侵扰;
访问安全防护功能确保信息文件在介质安全防护上的进一步保护;
内核机制确保安装有效性和运行有效性,从而确保白名单的有效执行;
由于是固定应用,使得操作简单,无兼容性问题;
2.3.2 物理单向传输系统
为了防止涉密信息泄露:要求涉密网与互联网或其它公共信息网络之间必须进行物理隔离。然而,实际情况是涉密网内部的一些业务系统所需的一些基础数据却不可避免的来自互联网或其它公共网络。物理隔离之后,涉密网所需的这些数据只能通过磁盘拷贝等手工方式进行,大大降低了工作效率。所以一种既能让涉密网通过网络从互联网或其它公共网络提取数据,又能防止涉密信息通过网络泄露的技术变得尤为重要。就有了这样设备或系统的使用需求,这就是物理单向传输。
2.3.2.1物理隔离与物理单向隔离的定义
首先对“物理隔离”误区要提出矫正:一、不要在乎是否有实物;二、防止在时间和空间上给人造成的错觉。物理隔离的真正定义应该是“数据传播在约定的时间范围内(通常是无限长)不存在任何介质形式的有效通路”, 物理单向隔离的定义应该是数据传播在约定的时间范围内(通常是无限长)单方向不存在任何介质形式的有效通路。一个硬件设备,在其硬件物理特性上已经满足了隔离要求,并非靠软件逻辑来实现隔离,称之为物理隔离,反之称之为逻辑隔离。
2.3.2.2物理单向传输的原理
物理单向传输的基础电路,如二极管与下拉电阻电路、单向光耦合装置、输入并联的与门电路,这些电路和装置都是可起到真正的物理单向传输的器件装置,其信号只可以从一端传输到另一端。
2.3.2.3物理单向传输系统的实现形态
第一种为无反馈型物理单向传输系统(如图2-2),物理单一方向传输由硬件器件的物理特性决定,数据由TX向RX端通过单向传输器件传输,通过冗余和纠错技术来提高数据完整性,如果发生传输错误,产生系统报警,需人工干预。 此版本用于高安全级别并且允许人工干预的单向传输环境。
2.3.3 安全网络接入系统
安全网络接入系统针对网络中存在的非法接入、网络数据包窃取、伪造、ARP病毒等方式造成敏感信息泄露的问题。安全网络接入系统采用全面的、高度混合接入控制技术,终端到终端的通信数据加密技术,高度灵活的部署方式,实现了多层次、多模式共存的内网接入安全管理,达到净化内网网络环境、规范网络行为和确保内网通信安全的目的。
安全网络接入系统实际上是在一个传统的交换机的每一个物理接口上串接一个嵌入式系统,主要完成以下功能:
网络层以上数据完全加密;
相互访问必须经过身份认证;
基于端到端的访问控制列表(ACL );
可通过不同权限分配,将整个网络按安全要求划分;
将所有网络通信都转换为有权限管理的加密通信;
网络访问可审计。
安全网络接入系统将替代现有接入交换机,杜绝协议层面安全隐患,从根本上防止了数据攻击、网络入侵等安全风险。
第三章 主动可控防御系统的典型应用
3.1 XX单位某研发系统部署ACDS实现网络信息安全的典型案列
3.1.1 背景
XX单位某研发系统总部在北京,全国有几十个研发分支机构,密级极高。平时每天都有几百兆字节的数据要从分支机构向总部汇总,过去担心互联网的失泄密,每天由专人携带数据光盘乘飞机往返。总部内部网络与互联网完全物理隔离,部分重要机器担心病毒破坏和失泄密,就与内部网络断开,成为信息孤岛,对信息共享和协同操作造成极大不便。
3.1.2 需求
利用互联网将分支机构的数据向总部汇总,互联网数据不能侵入分支机构和总部,分支机构和总部的信息不能泄露到互联网。数据在互联网传输不能被破解,总部内网的信息孤岛要用一个安全可靠的机制互联起来,还要保障原有的安全性。
3.1.3 原则
由于安全级别极高,不能简单地运用防火墙和VPN进行文件传输;总部内网接入需认证,用户到用户的传输要采用不同密钥加密,访问可控制、可审计。
3.1.4 设计思路与实现
这是一套安全级别极高的应用,区别于一般的企业和低保密性要求的应用,所以传统的被动防守思路是不可行的,必须采用ACD理论和该理论支撑下的ACDS来实现。如图3-1,以分支机构成都和总部北京为例,其他分支机构照此复制:
构建跨互联网物理单向文件传输系统,从源端(成都)到目的端(北京)两次跨越了物理单向隔离的安全区和准安全区边界以及虚拟专网隔离的准安全区和非安全区边界,分别从源端安全区到目的端安全区、源端准安全区到目的端准安全区,采用两种不同级别的加密方式,
从源端准安全区到目的端准安全区还采用双向证书认证,确保身份唯一性。
总部网络全部采用网络安全接入系统替代接入交换机,并根据业务需要,配置相关的账号、ACL策略和审计策略;
所有终端上安装主机行为防御系统,行成安全操作主机。
综上所述,由于对安全理念理解存在误区,传统的网络安全防护方法与网络安全产品是被动的,处于防守层面。网络不安全的现实,迫使我们必须对传统的观念加以改变,必须从全新的视角来认识网络防御,必须发展一种创新的网络防御手段。主动可控防御理论体系和系统,从网间、网内、终端三个层次构建了一套纵深防御体系,结合基于安全全知识域的安全产品,不仅可以防止已知的侵害,还能防患于未然。
随着网络的飞速发展和广泛运用,网络能力将成为衡量一个国家实力的重要标志。随着网络安全升格为国家安全,网络防御与捍卫领土、领海、领空安全具有同等重要的战略意义。因此,加强我国网络防御是信息时代紧要的战略任务,必须只争朝夕地打造坚实的网络盾牌,变被动防守为主动防御。
致谢与声明
首先感谢中国信息安全博士论坛给予我这次对信息安全探讨的机会,再则感谢公安部、省厅领导给予的帮助和指导,也感谢国家863信息系统安全等级保护技术研发联盟各成员单位给予的帮助和指导。
所有给予我及我的公司帮助的人们,在这里请接受我诚挚的谢意!
另外,文章主要阐述了我及我的公司对当前网络信息安全的看法,旨在于与同行的探讨,或许文章中提及了您的相同观点,纯属偶然,敬请谅解,也由于公司并非科研和学术机构,文章中所涉及观点未尽严谨,缺漏和错误之处,欢迎批评和指正!
参考文献
[1] BSI. 信息安全管理实施细则﹝M﹞. ISO/IEC17799:2000,2000.
[2] BSI. 信息安全管理体系规范﹝M﹞. ISO27001:2005,2005.
[3] 中华人民共和国国家质量监督检验检疫总局/中国国家标准化管理委员会, 信息系统等级保护安全技术设计要求﹝M﹞. GB/T24856-2009,2009.
(责任编辑:)
