摘? 要: 概述了動態(tài)網(wǎng)絡(luò)安全發(fā)展狀況,提出并分析了一種基于全局的SAPPDRRC動態(tài)網(wǎng)絡(luò)安全模型。

????關(guān)鍵詞: 網(wǎng)絡(luò)安全? 安全策略? 動態(tài)網(wǎng)絡(luò)

?

1 動態(tài)網(wǎng)絡(luò)安全模型

　　自1985年美國國防部國家計算機安全中心(NCSC)提出可信任計算機系統(tǒng)評估準則(TCSEC)以來,計算機安全模型的研究經(jīng)歷了由靜態(tài)安全模型到動態(tài)安全模型的演變。靜態(tài)安全模型主要是針對單機系統(tǒng)制定的,對網(wǎng)絡(luò)安全所面臨的威脅和系統(tǒng)脆弱性沒有做充分的估計。動態(tài)網(wǎng)絡(luò)安全模型主要是應對來自網(wǎng)絡(luò)的破壞與攻擊。

　　動態(tài)網(wǎng)絡(luò)安全模型是基于閉環(huán)控制理論。典型的模型是PDR(Protection、Detection、Response)模型以及在其基礎(chǔ)上提出的P2DR(Policy、Protection、Detection、Response)模型和APPDRR(Analysis、Policy、Protection、Detection、Response、Recovery)模型等?；赑DR模型的系統(tǒng)由3大部件組成:檢測、反饋和保護。一旦檢測部件發(fā)現(xiàn)攻擊,則通過反饋部件發(fā)出信號,使保護部件更改系統(tǒng)配置以適應新情況。P2DR模型如圖1所示,它是20世紀90年代末ISS公司提出來的以PDR模型為核心的安全模型,基本描述為:網(wǎng)絡(luò)安全=根據(jù)風險分析制定安全策略(Policy)+執(zhí)行安全防護策略(Protection)+實時漏洞監(jiān)測(Detection)+實時響應(Response)。APPDRR模型如圖2所示,它由北京啟明星辰信息技術(shù)有限公司于2002年提出。其安全體系可以概括為:網(wǎng)絡(luò)安全=風險分析+制定策略+防御系統(tǒng)+實時監(jiān)測+實時響應+災難恢復。該體系的設(shè)計充分考慮到風險分析、安全策略、防御系統(tǒng)、監(jiān)控與檢測、響應與恢復等各個方面,并且考慮到各部分之間的動態(tài)關(guān)系與依賴性,使得整個系統(tǒng)生存能力大大增強,最大限度地減少網(wǎng)絡(luò)事件帶來的風險和損失。但以上模型均是一種局部小系統(tǒng)的被動型動態(tài)防御模型,基于網(wǎng)絡(luò)環(huán)境整體考慮的主動防御能力還不夠。為此,我們提出了一種基于全局的SAPPDRRC動態(tài)網(wǎng)絡(luò)安全模型,并對其中的主動動態(tài)防御技術(shù)進行了討論。

2?SAPPDRRC網(wǎng)絡(luò)安全模型

　　網(wǎng)絡(luò)的安全是一個全局的、動態(tài)的概念。PDR模型、P2DR模型以及APPDRR模型雖然能最大限度地減少網(wǎng)絡(luò)攻擊帶來的損失,但是系統(tǒng)為防御與保護而付出的代價很大,系統(tǒng)的功能和速度也會因此受到影響。此外,若以某個局部的網(wǎng)絡(luò)系統(tǒng)來考慮,這種模型基本起到了保護自己的目的。但是從整個互聯(lián)網(wǎng)環(huán)境考慮,這種安全模型沒有發(fā)揮它應有的作用。如圖3所示,假設(shè)互聯(lián)網(wǎng)上有A、B、C、D幾個相互獨立的安全系統(tǒng),現(xiàn)在有來自網(wǎng)絡(luò)B的某個攻擊X,X攻擊A,被A檢測到,A可以保護自己不受損失;X可以繼續(xù)在網(wǎng)上攻擊B、C、D甚至A,因為A雖然發(fā)現(xiàn)有非法攻擊X,但是他不能杜絕X在網(wǎng)絡(luò)中肆意騷擾其他的網(wǎng)絡(luò),A只能被動防守。所以說PDR模型、P2DR模型以及APPDRR模型均是一種局部系統(tǒng)的被動動態(tài)防御性模型,基于網(wǎng)絡(luò)環(huán)境整體考慮的主動防御能力還不夠。

　　SAPPDRRC動態(tài)網(wǎng)絡(luò)安全模型能夠提供給用戶更完整、更合理的安全機制,能夠根據(jù)具體的服務(wù)需求進行風險分析,制定相應的安全策略,啟動與服務(wù)需求相適應的檢測、防御、響應機制,把因安全防御對系統(tǒng)功能與速度的影響降到最低;同時,將發(fā)現(xiàn)的非法攻擊情況通知發(fā)源地,請求其切斷該攻擊源,即將攻擊消滅在攻擊源所在的系統(tǒng)內(nèi)。例如在圖3中,A發(fā)現(xiàn)攻擊X來自B,A即向B發(fā)出信號,請B消滅攻擊X。這樣,只要某個安全系統(tǒng)發(fā)現(xiàn)新的攻擊,就可以通知攻擊源的安全系統(tǒng)消滅該攻擊,避免了該攻擊在網(wǎng)絡(luò)中長期肆意破壞,起到了主動防御的作用。

　　SAPPDRRC動態(tài)安全體系可以概括為:網(wǎng)絡(luò)安全=服務(wù)需求+風險分析+安全策略+防御系統(tǒng)+實時監(jiān)測+實時響應+災難恢復+主動反擊。即:網(wǎng)絡(luò)的安全是一個SAPPDRRC的動態(tài)安全模型。其體系結(jié)構(gòu)如圖4所示。

?

　　動態(tài)安全體系的設(shè)計充分考慮到服務(wù)需求、風險評估、安全策略的制定、防御系統(tǒng)、監(jiān)控與檢測、響應、恢復與主動反擊等各個方面,并且考慮到各個部分之間的動態(tài)關(guān)系與依賴性。

　　(1)服務(wù)需求

　　服務(wù)需求(Service)是整個網(wǎng)絡(luò)安全的前提,它是動態(tài)變化的。只有針對特定的服務(wù)進行風險分析,制定相應的安全策略,才能把因安全防御對系統(tǒng)功能與速度的影響降到最低。

　　(2)風險分析

　　進行風險分析(Analysis)和提出安全需求是制定網(wǎng)絡(luò)安全策略的依據(jù)。風險分析(又稱風險評估、風險管理)是指確定網(wǎng)絡(luò)資產(chǎn)面臨的安全威脅和網(wǎng)絡(luò)的脆弱性,并估計可能由此造成的損失。風險分析有2種基本方法:定性分析和定量分析。

　　(3)安全策略

　　安全策略(Policy)是模型的核心,負責制定一系列的控制策略、通信策略和整體安全策略。在制定網(wǎng)絡(luò)安全策略時,要從全局考慮,基于風險分析的結(jié)果進行決策。

????(4)系統(tǒng)防御

　　系統(tǒng)防御(Protection)通過采用傳統(tǒng)的靜態(tài)安全技術(shù)來實現(xiàn),主要有防火墻、加密、認證等。通過系統(tǒng)防御可以限制進出網(wǎng)絡(luò)的數(shù)據(jù)包,防范由外對內(nèi)的攻擊以及切斷由內(nèi)對外的非法訪問。

　　(5)實時監(jiān)測

　　實時監(jiān)測(Detection)是整個模型動態(tài)性的體現(xiàn),能夠保證模型隨時間的遞增,其防御能力也隨之增強。

系統(tǒng)防御與實時監(jiān)測主要包括防火墻、漏洞掃描、入侵檢測、防病毒、網(wǎng)管、網(wǎng)站保護、備份與恢復、VPN、數(shù)字證書與CA、加密、日志與審計以及一些增強型的安全技術(shù)(如動態(tài)口令、IPsec等)。此外,還要確立設(shè)施與環(huán)境保護要求、設(shè)備選型原則、安全配置原則和隔離原則等。

　　(6)響? 應

　　響應(Response)指發(fā)生安全事故后的緊急處理程序。響應組織一般要有以下基本成分:①安全管理中心。②入侵預警和跟蹤小組。③病毒預警和防護小組。④漏洞掃描小組。⑤跟蹤小組。⑥其他安全響應小組。響應是解決安全潛在性問題的最有效的方法。從某種意義上講,安全問題就是要解決緊急響應和異常處理問題。

　　(7)災難恢復　

　　災難恢復(Recovery)是指將受損失的系統(tǒng)復原到發(fā)生安全事故以前的狀態(tài)。這是一個復雜和煩瑣的過程。一般災難恢復組織包括以下基本成分:①恢復領(lǐng)導小組。②網(wǎng)絡(luò)恢復小組。③系統(tǒng)恢復小組。④數(shù)據(jù)庫恢復小組。⑤應用恢復小組。災難恢復是系統(tǒng)生存能力的重要體現(xiàn)。

　　(8)主動反擊

　　主動反擊(Counterattack)是指當破壞安全的網(wǎng)絡(luò)行為發(fā)生時,網(wǎng)絡(luò)安全系統(tǒng)能及時記錄其行為的相關(guān)特征,作為追究責任的證據(jù),并主動封殺該行為。如果是來自本地網(wǎng)的攻擊,則將其封殺在本地網(wǎng)內(nèi);如果是外部攻擊,則將其攻擊行為通知給發(fā)起該攻擊的站點的網(wǎng)絡(luò)安全系統(tǒng),令其及時封殺,以避免類似的攻擊在網(wǎng)上再次出現(xiàn),從而有效地提高了網(wǎng)絡(luò)的安全性。

網(wǎng)絡(luò)的動態(tài)安全是立體的安全構(gòu)架,涉及的各個環(huán)節(jié)如圖5所示。

3?網(wǎng)絡(luò)的安全因素

　　從系統(tǒng)和應用的角度看,網(wǎng)絡(luò)的安全因素可以劃分為5個層次:物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應用層以及安全管理層,如圖6所示。

?

　　不同的層次包含了不同的安全問題。

　　(1)物理層安全:包括通信線路、物理設(shè)備的安全及機房的安全等。在物理層上主要通過制定物理層面的管理規(guī)范和措施來提供安全解決方案。

　　(2)系統(tǒng)層安全:該層的安全問題來自網(wǎng)絡(luò)運行的操作系統(tǒng)(如Unix系列、Linux系列、WindowsNT系列、NetWare以及專用操作系統(tǒng)等)。安全性問題表現(xiàn)在2個方面:①操作系統(tǒng)本身的不安全因素,主要包括身份認證、訪問控制、系統(tǒng)漏洞等。②操作系統(tǒng)的安全配置存在問題。

　　(3)網(wǎng)絡(luò)層安全:網(wǎng)絡(luò)層的安全防護是面向IP包的。該層的安全問題主要指網(wǎng)絡(luò)信息的安全性,包括網(wǎng)絡(luò)層身份認證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠程接入、域名系統(tǒng)及路由系統(tǒng)的安全,入侵檢測的手段等。

　　(4)應用層安全:該層的安全考慮網(wǎng)絡(luò)對用戶提供服務(wù)所采用的應用軟件和數(shù)據(jù)的安全性,包括數(shù)據(jù)庫軟件、Web服務(wù)、電子郵件系統(tǒng)、域名系統(tǒng)、交換與路由系統(tǒng)、防火墻及應用網(wǎng)關(guān)系統(tǒng)、業(yè)務(wù)應用軟件以及其他網(wǎng)絡(luò)服務(wù)系統(tǒng)(如Telnet、FTP)等。

　　(5)管理層安全:包括安全技術(shù)和設(shè)備的管理、安全管理制度等。管理的制度化程度極大地影響著整個網(wǎng)絡(luò)的安全。嚴格安全管理制度、明確部門安全職責劃分及合理定義人員角色都可以在很大程度上減少安全漏洞。

　　一個完整的解決方案必須從多方面入手,當網(wǎng)絡(luò)發(fā)生變化或者出現(xiàn)新的安全技術(shù)和攻擊手段時,動態(tài)安全體系必須能夠包容新的情況,及時做出反應,把安全風險維持在所允許的范圍之內(nèi)。

4? 主動動態(tài)防御技術(shù)

　　目前常用的主動動態(tài)防御技術(shù)有陷阱網(wǎng)絡(luò)和防火墻網(wǎng)絡(luò)。

　　陷阱網(wǎng)絡(luò)是基于Honey pot理論,采用的是一種研究和分析黑客的思想。它由放置在網(wǎng)絡(luò)中的若干陷阱機和一個遠程管理平臺組成。陷阱機是一種專門為讓人“攻陷”而設(shè)計的網(wǎng)絡(luò)或主機,一旦被入侵者攻破,入侵者的信息和工具等都有可能被記錄,并被用來分析,還有可能作為證據(jù)來起訴入侵者。陷阱網(wǎng)絡(luò)應用如圖7所示。

?

　　陷阱網(wǎng)絡(luò)中常用到信息控制、信息捕獲和入侵重定向技術(shù)。當入侵檢測系統(tǒng)檢測到攻擊行為后,就立即報警,截獲攻擊者的數(shù)據(jù)包,并將結(jié)果通知入侵重定向系統(tǒng),入侵重定向系統(tǒng)復制數(shù)據(jù),并切斷入侵者與實際網(wǎng)絡(luò)的連接,將所有數(shù)據(jù)流向陷阱網(wǎng)絡(luò)。

防火墻網(wǎng)絡(luò)是借鑒實際生活中的公安系統(tǒng)模式,將互聯(lián)網(wǎng)上的所有防火墻視為一個防火墻網(wǎng)絡(luò)。當某個系統(tǒng)的防火墻(某地公安局)發(fā)現(xiàn)攻擊行為(罪犯的犯罪行為)時,立即將該攻擊行為通過互聯(lián)網(wǎng)通知該攻擊行為所在系統(tǒng)的防火墻(當?shù)毓簿?。該防火墻就記錄并封殺該攻擊行為(罪犯所在地的公安機關(guān)捉拿罪犯),使該攻擊不能在互聯(lián)網(wǎng)上傳播(使該罪犯沒有機會再犯罪),被消滅在局部范圍內(nèi)。

?

參考文獻

1 袁津生,吳硯農(nóng).計算機網(wǎng)絡(luò)安全基礎(chǔ).北京:人民郵電出版社,2002?

2?侯小梅,毛宗源,張波.基于P2DR模型的Internet安全技術(shù).計算機工程與應用,2000;36(12)?

3?Design of Secure System Architecture Model for Active Network.http://www.jos.org.cn/1000-9825/13/?

1352.pdf.2003-05-26?

4?Spitzner L.Honey pot:Definitions and Value of Honey?pots.http://www.enteract.com/~1spitz.2003-05-26?