摘? 要: 概述了動態網絡安全發展狀況,提出并分析了一種基于全局的SAPPDRRC動態網絡安全模型。

????關鍵詞: 網絡安全? 安全策略? 動態網絡

?

1 動態網絡安全模型

　　自1985年美國國防部國家計算機安全中心(NCSC)提出可信任計算機系統評估準則(TCSEC)以來,計算機安全模型的研究經歷了由靜態安全模型到動態安全模型的演變。靜態安全模型主要是針對單機系統制定的,對網絡安全所面臨的威脅和系統脆弱性沒有做充分的估計。動態網絡安全模型主要是應對來自網絡的破壞與攻擊。

　　動態網絡安全模型是基于閉環控制理論。典型的模型是PDR(Protection、Detection、Response)模型以及在其基礎上提出的P2DR(Policy、Protection、Detection、Response)模型和APPDRR(Analysis、Policy、Protection、Detection、Response、Recovery)模型等?；赑DR模型的系統由3大部件組成:檢測、反饋和保護。一旦檢測部件發現攻擊,則通過反饋部件發出信號,使保護部件更改系統配置以適應新情況。P2DR模型如圖1所示,它是20世紀90年代末ISS公司提出來的以PDR模型為核心的安全模型,基本描述為:網絡安全=根據風險分析制定安全策略(Policy)+執行安全防護策略(Protection)+實時漏洞監測(Detection)+實時響應(Response)。APPDRR模型如圖2所示,它由北京啟明星辰信息技術有限公司于2002年提出。其安全體系可以概括為:網絡安全=風險分析+制定策略+防御系統+實時監測+實時響應+災難恢復。該體系的設計充分考慮到風險分析、安全策略、防御系統、監控與檢測、響應與恢復等各個方面,并且考慮到各部分之間的動態關系與依賴性,使得整個系統生存能力大大增強,最大限度地減少網絡事件帶來的風險和損失。但以上模型均是一種局部小系統的被動型動態防御模型,基于網絡環境整體考慮的主動防御能力還不夠。為此,我們提出了一種基于全局的SAPPDRRC動態網絡安全模型,并對其中的主動動態防御技術進行了討論。

2?SAPPDRRC網絡安全模型

　　網絡的安全是一個全局的、動態的概念。PDR模型、P2DR模型以及APPDRR模型雖然能最大限度地減少網絡攻擊帶來的損失,但是系統為防御與保護而付出的代價很大,系統的功能和速度也會因此受到影響。此外,若以某個局部的網絡系統來考慮,這種模型基本起到了保護自己的目的。但是從整個互聯網環境考慮,這種安全模型沒有發揮它應有的作用。如圖3所示,假設互聯網上有A、B、C、D幾個相互獨立的安全系統,現在有來自網絡B的某個攻擊X,X攻擊A,被A檢測到,A可以保護自己不受損失;X可以繼續在網上攻擊B、C、D甚至A,因為A雖然發現有非法攻擊X,但是他不能杜絕X在網絡中肆意騷擾其他的網絡,A只能被動防守。所以說PDR模型、P2DR模型以及APPDRR模型均是一種局部系統的被動動態防御性模型,基于網絡環境整體考慮的主動防御能力還不夠。

　　SAPPDRRC動態網絡安全模型能夠提供給用戶更完整、更合理的安全機制,能夠根據具體的服務需求進行風險分析,制定相應的安全策略,啟動與服務需求相適應的檢測、防御、響應機制,把因安全防御對系統功能與速度的影響降到最低;同時,將發現的非法攻擊情況通知發源地,請求其切斷該攻擊源,即將攻擊消滅在攻擊源所在的系統內。例如在圖3中,A發現攻擊X來自B,A即向B發出信號,請B消滅攻擊X。這樣,只要某個安全系統發現新的攻擊,就可以通知攻擊源的安全系統消滅該攻擊,避免了該攻擊在網絡中長期肆意破壞,起到了主動防御的作用。

　　SAPPDRRC動態安全體系可以概括為:網絡安全=服務需求+風險分析+安全策略+防御系統+實時監測+實時響應+災難恢復+主動反擊。即:網絡的安全是一個SAPPDRRC的動態安全模型。其體系結構如圖4所示。

?

　　動態安全體系的設計充分考慮到服務需求、風險評估、安全策略的制定、防御系統、監控與檢測、響應、恢復與主動反擊等各個方面,并且考慮到各個部分之間的動態關系與依賴性。

　　(1)服務需求

　　服務需求(Service)是整個網絡安全的前提,它是動態變化的。只有針對特定的服務進行風險分析,制定相應的安全策略,才能把因安全防御對系統功能與速度的影響降到最低。

　　(2)風險分析

　　進行風險分析(Analysis)和提出安全需求是制定網絡安全策略的依據。風險分析(又稱風險評估、風險管理)是指確定網絡資產面臨的安全威脅和網絡的脆弱性,并估計可能由此造成的損失。風險分析有2種基本方法:定性分析和定量分析。

　　(3)安全策略

　　安全策略(Policy)是模型的核心,負責制定一系列的控制策略、通信策略和整體安全策略。在制定網絡安全策略時,要從全局考慮,基于風險分析的結果進行決策。

????(4)系統防御

　　系統防御(Protection)通過采用傳統的靜態安全技術來實現,主要有防火墻、加密、認證等。通過系統防御可以限制進出網絡的數據包,防范由外對內的攻擊以及切斷由內對外的非法訪問。

　　(5)實時監測

　　實時監測(Detection)是整個模型動態性的體現,能夠保證模型隨時間的遞增,其防御能力也隨之增強。

系統防御與實時監測主要包括防火墻、漏洞掃描、入侵檢測、防病毒、網管、網站保護、備份與恢復、VPN、數字證書與CA、加密、日志與審計以及一些增強型的安全技術(如動態口令、IPsec等)。此外,還要確立設施與環境保護要求、設備選型原則、安全配置原則和隔離原則等。

　　(6)響? 應

　　響應(Response)指發生安全事故后的緊急處理程序。響應組織一般要有以下基本成分:①安全管理中心。②入侵預警和跟蹤小組。③病毒預警和防護小組。④漏洞掃描小組。⑤跟蹤小組。⑥其他安全響應小組。響應是解決安全潛在性問題的最有效的方法。從某種意義上講,安全問題就是要解決緊急響應和異常處理問題。

　　(7)災難恢復　

　　災難恢復(Recovery)是指將受損失的系統復原到發生安全事故以前的狀態。這是一個復雜和煩瑣的過程。一般災難恢復組織包括以下基本成分:①恢復領導小組。②網絡恢復小組。③系統恢復小組。④數據庫恢復小組。⑤應用恢復小組。災難恢復是系統生存能力的重要體現。

　　(8)主動反擊

　　主動反擊(Counterattack)是指當破壞安全的網絡行為發生時,網絡安全系統能及時記錄其行為的相關特征,作為追究責任的證據,并主動封殺該行為。如果是來自本地網的攻擊,則將其封殺在本地網內;如果是外部攻擊,則將其攻擊行為通知給發起該攻擊的站點的網絡安全系統,令其及時封殺,以避免類似的攻擊在網上再次出現,從而有效地提高了網絡的安全性。

網絡的動態安全是立體的安全構架,涉及的各個環節如圖5所示。

3?網絡的安全因素

　　從系統和應用的角度看,網絡的安全因素可以劃分為5個層次:物理層、系統層、網絡層、應用層以及安全管理層,如圖6所示。

?

　　不同的層次包含了不同的安全問題。

　　(1)物理層安全:包括通信線路、物理設備的安全及機房的安全等。在物理層上主要通過制定物理層面的管理規范和措施來提供安全解決方案。

　　(2)系統層安全:該層的安全問題來自網絡運行的操作系統(如Unix系列、Linux系列、WindowsNT系列、NetWare以及專用操作系統等)。安全性問題表現在2個方面:①操作系統本身的不安全因素,主要包括身份認證、訪問控制、系統漏洞等。②操作系統的安全配置存在問題。

　　(3)網絡層安全:網絡層的安全防護是面向IP包的。該層的安全問題主要指網絡信息的安全性,包括網絡層身份認證、網絡資源的訪問控制、數據傳輸的保密與完整性、遠程接入、域名系統及路由系統的安全,入侵檢測的手段等。

　　(4)應用層安全:該層的安全考慮網絡對用戶提供服務所采用的應用軟件和數據的安全性,包括數據庫軟件、Web服務、電子郵件系統、域名系統、交換與路由系統、防火墻及應用網關系統、業務應用軟件以及其他網絡服務系統(如Telnet、FTP)等。

　　(5)管理層安全:包括安全技術和設備的管理、安全管理制度等。管理的制度化程度極大地影響著整個網絡的安全。嚴格安全管理制度、明確部門安全職責劃分及合理定義人員角色都可以在很大程度上減少安全漏洞。

　　一個完整的解決方案必須從多方面入手,當網絡發生變化或者出現新的安全技術和攻擊手段時,動態安全體系必須能夠包容新的情況,及時做出反應,把安全風險維持在所允許的范圍之內。

4? 主動動態防御技術

　　目前常用的主動動態防御技術有陷阱網絡和防火墻網絡。

　　陷阱網絡是基于Honey pot理論,采用的是一種研究和分析黑客的思想。它由放置在網絡中的若干陷阱機和一個遠程管理平臺組成。陷阱機是一種專門為讓人“攻陷”而設計的網絡或主機,一旦被入侵者攻破,入侵者的信息和工具等都有可能被記錄,并被用來分析,還有可能作為證據來起訴入侵者。陷阱網絡應用如圖7所示。

?

　　陷阱網絡中常用到信息控制、信息捕獲和入侵重定向技術。當入侵檢測系統檢測到攻擊行為后,就立即報警,截獲攻擊者的數據包,并將結果通知入侵重定向系統,入侵重定向系統復制數據,并切斷入侵者與實際網絡的連接,將所有數據流向陷阱網絡。

防火墻網絡是借鑒實際生活中的公安系統模式,將互聯網上的所有防火墻視為一個防火墻網絡。當某個系統的防火墻(某地公安局)發現攻擊行為(罪犯的犯罪行為)時,立即將該攻擊行為通過互聯網通知該攻擊行為所在系統的防火墻(當地公安局)。該防火墻就記錄并封殺該攻擊行為(罪犯所在地的公安機關捉拿罪犯),使該攻擊不能在互聯網上傳播(使該罪犯沒有機會再犯罪),被消滅在局部范圍內。

?

參考文獻

1 袁津生,吳硯農.計算機網絡安全基礎.北京:人民郵電出版社,2002?

2?侯小梅,毛宗源,張波.基于P2DR模型的Internet安全技術.計算機工程與應用,2000;36(12)?

3?Design of Secure System Architecture Model for Active Network.http://www.jos.org.cn/1000-9825/13/?

1352.pdf.2003-05-26?

4?Spitzner L.Honey pot:Definitions and Value of Honey?pots.http://www.enteract.com/~1spitz.2003-05-26?