摘? 要: 概述了動態(tài)網(wǎng)絡(luò)安全發(fā)展?fàn)顩r,提出并分析了一種基于全局的SAPPDRRC動態(tài)網(wǎng)絡(luò)安全模型。

????關(guān)鍵詞: 網(wǎng)絡(luò)安全? 安全策略? 動態(tài)網(wǎng)絡(luò)

?

1 動態(tài)網(wǎng)絡(luò)安全模型

　　自1985年美國國防部國家計(jì)算機(jī)安全中心(NCSC)提出可信任計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則(TCSEC)以來,計(jì)算機(jī)安全模型的研究經(jīng)歷了由靜態(tài)安全模型到動態(tài)安全模型的演變。靜態(tài)安全模型主要是針對單機(jī)系統(tǒng)制定的,對網(wǎng)絡(luò)安全所面臨的威脅和系統(tǒng)脆弱性沒有做充分的估計(jì)。動態(tài)網(wǎng)絡(luò)安全模型主要是應(yīng)對來自網(wǎng)絡(luò)的破壞與攻擊。

　　動態(tài)網(wǎng)絡(luò)安全模型是基于閉環(huán)控制理論。典型的模型是PDR(Protection、Detection、Response)模型以及在其基礎(chǔ)上提出的P2DR(Policy、Protection、Detection、Response)模型和APPDRR(Analysis、Policy、Protection、Detection、Response、Recovery)模型等?；赑DR模型的系統(tǒng)由3大部件組成:檢測、反饋和保護(hù)。一旦檢測部件發(fā)現(xiàn)攻擊,則通過反饋部件發(fā)出信號,使保護(hù)部件更改系統(tǒng)配置以適應(yīng)新情況。P2DR模型如圖1所示,它是20世紀(jì)90年代末ISS公司提出來的以PDR模型為核心的安全模型,基本描述為:網(wǎng)絡(luò)安全=根據(jù)風(fēng)險分析制定安全策略(Policy)+執(zhí)行安全防護(hù)策略(Protection)+實(shí)時漏洞監(jiān)測(Detection)+實(shí)時響應(yīng)(Response)。APPDRR模型如圖2所示,它由北京啟明星辰信息技術(shù)有限公司于2002年提出。其安全體系可以概括為:網(wǎng)絡(luò)安全=風(fēng)險分析+制定策略+防御系統(tǒng)+實(shí)時監(jiān)測+實(shí)時響應(yīng)+災(zāi)難恢復(fù)。該體系的設(shè)計(jì)充分考慮到風(fēng)險分析、安全策略、防御系統(tǒng)、監(jiān)控與檢測、響應(yīng)與恢復(fù)等各個方面,并且考慮到各部分之間的動態(tài)關(guān)系與依賴性,使得整個系統(tǒng)生存能力大大增強(qiáng),最大限度地減少網(wǎng)絡(luò)事件帶來的風(fēng)險和損失。但以上模型均是一種局部小系統(tǒng)的被動型動態(tài)防御模型,基于網(wǎng)絡(luò)環(huán)境整體考慮的主動防御能力還不夠。為此,我們提出了一種基于全局的SAPPDRRC動態(tài)網(wǎng)絡(luò)安全模型,并對其中的主動動態(tài)防御技術(shù)進(jìn)行了討論。

2?SAPPDRRC網(wǎng)絡(luò)安全模型

　　網(wǎng)絡(luò)的安全是一個全局的、動態(tài)的概念。PDR模型、P2DR模型以及APPDRR模型雖然能最大限度地減少網(wǎng)絡(luò)攻擊帶來的損失,但是系統(tǒng)為防御與保護(hù)而付出的代價很大,系統(tǒng)的功能和速度也會因此受到影響。此外,若以某個局部的網(wǎng)絡(luò)系統(tǒng)來考慮,這種模型基本起到了保護(hù)自己的目的。但是從整個互聯(lián)網(wǎng)環(huán)境考慮,這種安全模型沒有發(fā)揮它應(yīng)有的作用。如圖3所示,假設(shè)互聯(lián)網(wǎng)上有A、B、C、D幾個相互獨(dú)立的安全系統(tǒng),現(xiàn)在有來自網(wǎng)絡(luò)B的某個攻擊X,X攻擊A,被A檢測到,A可以保護(hù)自己不受損失;X可以繼續(xù)在網(wǎng)上攻擊B、C、D甚至A,因?yàn)锳雖然發(fā)現(xiàn)有非法攻擊X,但是他不能杜絕X在網(wǎng)絡(luò)中肆意騷擾其他的網(wǎng)絡(luò),A只能被動防守。所以說PDR模型、P2DR模型以及APPDRR模型均是一種局部系統(tǒng)的被動動態(tài)防御性模型,基于網(wǎng)絡(luò)環(huán)境整體考慮的主動防御能力還不夠。

　　SAPPDRRC動態(tài)網(wǎng)絡(luò)安全模型能夠提供給用戶更完整、更合理的安全機(jī)制,能夠根據(jù)具體的服務(wù)需求進(jìn)行風(fēng)險分析,制定相應(yīng)的安全策略,啟動與服務(wù)需求相適應(yīng)的檢測、防御、響應(yīng)機(jī)制,把因安全防御對系統(tǒng)功能與速度的影響降到最低;同時,將發(fā)現(xiàn)的非法攻擊情況通知發(fā)源地,請求其切斷該攻擊源,即將攻擊消滅在攻擊源所在的系統(tǒng)內(nèi)。例如在圖3中,A發(fā)現(xiàn)攻擊X來自B,A即向B發(fā)出信號,請B消滅攻擊X。這樣,只要某個安全系統(tǒng)發(fā)現(xiàn)新的攻擊,就可以通知攻擊源的安全系統(tǒng)消滅該攻擊,避免了該攻擊在網(wǎng)絡(luò)中長期肆意破壞,起到了主動防御的作用。

　　SAPPDRRC動態(tài)安全體系可以概括為:網(wǎng)絡(luò)安全=服務(wù)需求+風(fēng)險分析+安全策略+防御系統(tǒng)+實(shí)時監(jiān)測+實(shí)時響應(yīng)+災(zāi)難恢復(fù)+主動反擊。即:網(wǎng)絡(luò)的安全是一個SAPPDRRC的動態(tài)安全模型。其體系結(jié)構(gòu)如圖4所示。

?

　　動態(tài)安全體系的設(shè)計(jì)充分考慮到服務(wù)需求、風(fēng)險評估、安全策略的制定、防御系統(tǒng)、監(jiān)控與檢測、響應(yīng)、恢復(fù)與主動反擊等各個方面,并且考慮到各個部分之間的動態(tài)關(guān)系與依賴性。

　　(1)服務(wù)需求

　　服務(wù)需求(Service)是整個網(wǎng)絡(luò)安全的前提,它是動態(tài)變化的。只有針對特定的服務(wù)進(jìn)行風(fēng)險分析,制定相應(yīng)的安全策略,才能把因安全防御對系統(tǒng)功能與速度的影響降到最低。

　　(2)風(fēng)險分析

　　進(jìn)行風(fēng)險分析(Analysis)和提出安全需求是制定網(wǎng)絡(luò)安全策略的依據(jù)。風(fēng)險分析(又稱風(fēng)險評估、風(fēng)險管理)是指確定網(wǎng)絡(luò)資產(chǎn)面臨的安全威脅和網(wǎng)絡(luò)的脆弱性,并估計(jì)可能由此造成的損失。風(fēng)險分析有2種基本方法:定性分析和定量分析。

　　(3)安全策略

　　安全策略(Policy)是模型的核心,負(fù)責(zé)制定一系列的控制策略、通信策略和整體安全策略。在制定網(wǎng)絡(luò)安全策略時,要從全局考慮,基于風(fēng)險分析的結(jié)果進(jìn)行決策。

????(4)系統(tǒng)防御

　　系統(tǒng)防御(Protection)通過采用傳統(tǒng)的靜態(tài)安全技術(shù)來實(shí)現(xiàn),主要有防火墻、加密、認(rèn)證等。通過系統(tǒng)防御可以限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,防范由外對內(nèi)的攻擊以及切斷由內(nèi)對外的非法訪問。

　　(5)實(shí)時監(jiān)測

　　實(shí)時監(jiān)測(Detection)是整個模型動態(tài)性的體現(xiàn),能夠保證模型隨時間的遞增,其防御能力也隨之增強(qiáng)。

系統(tǒng)防御與實(shí)時監(jiān)測主要包括防火墻、漏洞掃描、入侵檢測、防病毒、網(wǎng)管、網(wǎng)站保護(hù)、備份與恢復(fù)、VPN、數(shù)字證書與CA、加密、日志與審計(jì)以及一些增強(qiáng)型的安全技術(shù)(如動態(tài)口令、IPsec等)。此外,還要確立設(shè)施與環(huán)境保護(hù)要求、設(shè)備選型原則、安全配置原則和隔離原則等。

　　(6)響? 應(yīng)

　　響應(yīng)(Response)指發(fā)生安全事故后的緊急處理程序。響應(yīng)組織一般要有以下基本成分:①安全管理中心。②入侵預(yù)警和跟蹤小組。③病毒預(yù)警和防護(hù)小組。④漏洞掃描小組。⑤跟蹤小組。⑥其他安全響應(yīng)小組。響應(yīng)是解決安全潛在性問題的最有效的方法。從某種意義上講,安全問題就是要解決緊急響應(yīng)和異常處理問題。

　　(7)災(zāi)難恢復(fù)　

　　災(zāi)難恢復(fù)(Recovery)是指將受損失的系統(tǒng)復(fù)原到發(fā)生安全事故以前的狀態(tài)。這是一個復(fù)雜和煩瑣的過程。一般災(zāi)難恢復(fù)組織包括以下基本成分:①恢復(fù)領(lǐng)導(dǎo)小組。②網(wǎng)絡(luò)恢復(fù)小組。③系統(tǒng)恢復(fù)小組。④數(shù)據(jù)庫恢復(fù)小組。⑤應(yīng)用恢復(fù)小組。災(zāi)難恢復(fù)是系統(tǒng)生存能力的重要體現(xiàn)。

　　(8)主動反擊

　　主動反擊(Counterattack)是指當(dāng)破壞安全的網(wǎng)絡(luò)行為發(fā)生時,網(wǎng)絡(luò)安全系統(tǒng)能及時記錄其行為的相關(guān)特征,作為追究責(zé)任的證據(jù),并主動封殺該行為。如果是來自本地網(wǎng)的攻擊,則將其封殺在本地網(wǎng)內(nèi);如果是外部攻擊,則將其攻擊行為通知給發(fā)起該攻擊的站點(diǎn)的網(wǎng)絡(luò)安全系統(tǒng),令其及時封殺,以避免類似的攻擊在網(wǎng)上再次出現(xiàn),從而有效地提高了網(wǎng)絡(luò)的安全性。

網(wǎng)絡(luò)的動態(tài)安全是立體的安全構(gòu)架,涉及的各個環(huán)節(jié)如圖5所示。

3?網(wǎng)絡(luò)的安全因素

　　從系統(tǒng)和應(yīng)用的角度看,網(wǎng)絡(luò)的安全因素可以劃分為5個層次:物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層以及安全管理層,如圖6所示。

?

　　不同的層次包含了不同的安全問題。

　　(1)物理層安全:包括通信線路、物理設(shè)備的安全及機(jī)房的安全等。在物理層上主要通過制定物理層面的管理規(guī)范和措施來提供安全解決方案。

　　(2)系統(tǒng)層安全:該層的安全問題來自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)(如Unix系列、Linux系列、WindowsNT系列、NetWare以及專用操作系統(tǒng)等)。安全性問題表現(xiàn)在2個方面:①操作系統(tǒng)本身的不安全因素,主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等。②操作系統(tǒng)的安全配置存在問題。

　　(3)網(wǎng)絡(luò)層安全:網(wǎng)絡(luò)層的安全防護(hù)是面向IP包的。該層的安全問題主要指網(wǎng)絡(luò)信息的安全性,包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、域名系統(tǒng)及路由系統(tǒng)的安全,入侵檢測的手段等。

　　(4)應(yīng)用層安全:該層的安全考慮網(wǎng)絡(luò)對用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性,包括數(shù)據(jù)庫軟件、Web服務(wù)、電子郵件系統(tǒng)、域名系統(tǒng)、交換與路由系統(tǒng)、防火墻及應(yīng)用網(wǎng)關(guān)系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)(如Telnet、FTP)等。

　　(5)管理層安全:包括安全技術(shù)和設(shè)備的管理、安全管理制度等。管理的制度化程度極大地影響著整個網(wǎng)絡(luò)的安全。嚴(yán)格安全管理制度、明確部門安全職責(zé)劃分及合理定義人員角色都可以在很大程度上減少安全漏洞。

　　一個完整的解決方案必須從多方面入手,當(dāng)網(wǎng)絡(luò)發(fā)生變化或者出現(xiàn)新的安全技術(shù)和攻擊手段時,動態(tài)安全體系必須能夠包容新的情況,及時做出反應(yīng),把安全風(fēng)險維持在所允許的范圍之內(nèi)。

4? 主動動態(tài)防御技術(shù)

　　目前常用的主動動態(tài)防御技術(shù)有陷阱網(wǎng)絡(luò)和防火墻網(wǎng)絡(luò)。

　　陷阱網(wǎng)絡(luò)是基于Honey pot理論,采用的是一種研究和分析黑客的思想。它由放置在網(wǎng)絡(luò)中的若干陷阱機(jī)和一個遠(yuǎn)程管理平臺組成。陷阱機(jī)是一種專門為讓人“攻陷”而設(shè)計(jì)的網(wǎng)絡(luò)或主機(jī),一旦被入侵者攻破,入侵者的信息和工具等都有可能被記錄,并被用來分析,還有可能作為證據(jù)來起訴入侵者。陷阱網(wǎng)絡(luò)應(yīng)用如圖7所示。

?

　　陷阱網(wǎng)絡(luò)中常用到信息控制、信息捕獲和入侵重定向技術(shù)。當(dāng)入侵檢測系統(tǒng)檢測到攻擊行為后,就立即報(bào)警,截獲攻擊者的數(shù)據(jù)包,并將結(jié)果通知入侵重定向系統(tǒng),入侵重定向系統(tǒng)復(fù)制數(shù)據(jù),并切斷入侵者與實(shí)際網(wǎng)絡(luò)的連接,將所有數(shù)據(jù)流向陷阱網(wǎng)絡(luò)。

防火墻網(wǎng)絡(luò)是借鑒實(shí)際生活中的公安系統(tǒng)模式,將互聯(lián)網(wǎng)上的所有防火墻視為一個防火墻網(wǎng)絡(luò)。當(dāng)某個系統(tǒng)的防火墻(某地公安局)發(fā)現(xiàn)攻擊行為(罪犯的犯罪行為)時,立即將該攻擊行為通過互聯(lián)網(wǎng)通知該攻擊行為所在系統(tǒng)的防火墻(當(dāng)?shù)毓簿?。該防火墻就記錄并封殺該攻擊行為(罪犯所在地的公安機(jī)關(guān)捉拿罪犯),使該攻擊不能在互聯(lián)網(wǎng)上傳播(使該罪犯沒有機(jī)會再犯罪),被消滅在局部范圍內(nèi)。

?

參考文獻(xiàn)

1 袁津生,吳硯農(nóng).計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ).北京:人民郵電出版社,2002?

2?侯小梅,毛宗源,張波.基于P2DR模型的Internet安全技術(shù).計(jì)算機(jī)工程與應(yīng)用,2000;36(12)?

3?Design of Secure System Architecture Model for Active Network.http://www.jos.org.cn/1000-9825/13/?

1352.pdf.2003-05-26?

4?Spitzner L.Honey pot:Definitions and Value of Honey?pots.http://www.enteract.com/~1spitz.2003-05-26?