SAPPDRRC动态网络安全模型研究
2009-08-12
作者:王绍斌 朱 贤 洪 帆
摘 要: 概述了动态网络安全发展状况,提出并分析了一种基于全局的SAPPDRRC动态网络安全模型。
关键词: 网络安全 安全策略 动态网络
1 动态网络安全模型
自1985年美国国防部国家计算机安全中心(NCSC)提出可信任计算机系统评估准则(TCSEC)以来,计算机安全模型的研究经历了由静态安全模型到动态安全模型的演变。静态安全模型主要是针对单机系统制定的,对网络安全所面临的威胁和系统脆弱性没有做充分的估计。动态网络安全模型主要是应对来自网络的破坏与攻击。
动态网络安全模型是基于闭环控制理论。典型的模型是PDR(Protection、Detection、Response)模型以及在其基础上提出的P2DR(Policy、Protection、Detection、Response)模型和APPDRR(Analysis、Policy、Protection、Detection、Response、Recovery)模型等。基于PDR模型的系统由3大部件组成:检测、反馈和保护。一旦检测部件发现攻击,则通过反馈部件发出信号,使保护部件更改系统配置以适应新情况。P2DR模型如图1所示,它是20世纪90年代末ISS公司提出来的以PDR模型为核心的安全模型,基本描述为:网络安全=根据风险分析制定安全策略(Policy)+执行安全防护策略(Protection)+实时漏洞监测(Detection)+实时响应(Response)。APPDRR模型如图2所示,它由北京启明星辰信息技术有限公司于2002年提出。其安全体系可以概括为:网络安全=风险分析+制定策略+防御系统+实时监测+实时响应+灾难恢复。该体系的设计充分考虑到风险分析、安全策略、防御系统、监控与检测、响应与恢复等各个方面,并且考虑到各部分之间的动态关系与依赖性,使得整个系统生存能力大大增强,最大限度地减少网络事件带来的风险和损失。但以上模型均是一种局部小系统的被动型动态防御模型,基于网络环境整体考虑的主动防御能力还不够。为此,我们提出了一种基于全局的SAPPDRRC动态网络安全模型,并对其中的主动动态防御技术进行了讨论。
2 SAPPDRRC网络安全模型
网络的安全是一个全局的、动态的概念。PDR模型、P2DR模型以及APPDRR模型虽然能最大限度地减少网络攻击带来的损失,但是系统为防御与保护而付出的代价很大,系统的功能和速度也会因此受到影响。此外,若以某个局部的网络系统来考虑,这种模型基本起到了保护自己的目的。但是从整个互联网环境考虑,这种安全模型没有发挥它应有的作用。如图3所示,假设互联网上有A、B、C、D几个相互独立的安全系统,现在有来自网络B的某个攻击X,X攻击A,被A检测到,A可以保护自己不受损失;X可以继续在网上攻击B、C、D甚至A,因为A虽然发现有非法攻击X,但是他不能杜绝X在网络中肆意骚扰其他的网络,A只能被动防守。所以说PDR模型、P2DR模型以及APPDRR模型均是一种局部系统的被动动态防御性模型,基于网络环境整体考虑的主动防御能力还不够。
SAPPDRRC动态网络安全模型能够提供给用户更完整、更合理的安全机制,能够根据具体的服务需求进行风险分析,制定相应的安全策略,启动与服务需求相适应的检测、防御、响应机制,把因安全防御对系统功能与速度的影响降到最低;同时,将发现的非法攻击情况通知发源地,请求其切断该攻击源,即将攻击消灭在攻击源所在的系统内。例如在图3中,A发现攻击X来自B,A即向B发出信号,请B消灭攻击X。这样,只要某个安全系统发现新的攻击,就可以通知攻击源的安全系统消灭该攻击,避免了该攻击在网络中长期肆意破坏,起到了主动防御的作用。
SAPPDRRC动态安全体系可以概括为:网络安全=服务需求+风险分析+安全策略+防御系统+实时监测+实时响应+灾难恢复+主动反击。即:网络的安全是一个SAPPDRRC的动态安全模型。其体系结构如图4所示。
动态安全体系的设计充分考虑到服务需求、风险评估、安全策略的制定、防御系统、监控与检测、响应、恢复与主动反击等各个方面,并且考虑到各个部分之间的动态关系与依赖性。
(1)服务需求
服务需求(Service)是整个网络安全的前提,它是动态变化的。只有针对特定的服务进行风险分析,制定相应的安全策略,才能把因安全防御对系统功能与速度的影响降到最低。
(2)风险分析
进行风险分析(Analysis)和提出安全需求是制定网络安全策略的依据。风险分析(又称风险评估、风险管理)是指确定网络资产面临的安全威胁和网络的脆弱性,并估计可能由此造成的损失。风险分析有2种基本方法:定性分析和定量分析。
(3)安全策略
安全策略(Policy)是模型的核心,负责制定一系列的控制策略、通信策略和整体安全策略。在制定网络安全策略时,要从全局考虑,基于风险分析的结果进行决策。
(4)系统防御
系统防御(Protection)通过采用传统的静态安全技术来实现,主要有防火墙、加密、认证等。通过系统防御可以限制进出网络的数据包,防范由外对内的攻击以及切断由内对外的非法访问。
(5)实时监测
实时监测(Detection)是整个模型动态性的体现,能够保证模型随时间的递增,其防御能力也随之增强。
系统防御与实时监测主要包括防火墙、漏洞扫描、入侵检测、防病毒、网管、网站保护、备份与恢复、VPN、数字证书与CA、加密、日志与审计以及一些增强型的安全技术(如动态口令、IPsec等)。此外,还要确立设施与环境保护要求、设备选型原则、安全配置原则和隔离原则等。
(6)响 应
响应(Response)指发生安全事故后的紧急处理程序。响应组织一般要有以下基本成分:①安全管理中心。②入侵预警和跟踪小组。③病毒预警和防护小组。④漏洞扫描小组。⑤跟踪小组。⑥其他安全响应小组。响应是解决安全潜在性问题的最有效的方法。从某种意义上讲,安全问题就是要解决紧急响应和异常处理问题。
(7)灾难恢复
灾难恢复(Recovery)是指将受损失的系统复原到发生安全事故以前的状态。这是一个复杂和烦琐的过程。一般灾难恢复组织包括以下基本成分:①恢复领导小组。②网络恢复小组。③系统恢复小组。④数据库恢复小组。⑤应用恢复小组。灾难恢复是系统生存能力的重要体现。
(8)主动反击
主动反击(Counterattack)是指当破坏安全的网络行为发生时,网络安全系统能及时记录其行为的相关特征,作为追究责任的证据,并主动封杀该行为。如果是来自本地网的攻击,则将其封杀在本地网内;如果是外部攻击,则将其攻击行为通知给发起该攻击的站点的网络安全系统,令其及时封杀,以避免类似的攻击在网上再次出现,从而有效地提高了网络的安全性。
网络的动态安全是立体的安全构架,涉及的各个环节如图5所示。
3 网络的安全因素
从系统和应用的角度看,网络的安全因素可以划分为5个层次:物理层、系统层、网络层、应用层以及安全管理层,如图6所示。
不同的层次包含了不同的安全问题。
(1)物理层安全:包括通信线路、物理设备的安全及机房的安全等。在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案。
(2)系统层安全:该层的安全问题来自网络运行的操作系统(如Unix系列、Linux系列、WindowsNT系列、NetWare以及专用操作系统等)。安全性问题表现在2个方面:①操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等。②操作系统的安全配置存在问题。
(3)网络层安全:网络层的安全防护是面向IP包的。该层的安全问题主要指网络信息的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入、域名系统及路由系统的安全,入侵检测的手段等。
(4)应用层安全:该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性,包括数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网关系统、业务应用软件以及其他网络服务系统(如Telnet、FTP)等。
(5)管理层安全:包括安全技术和设备的管理、安全管理制度等。管理的制度化程度极大地影响着整个网络的安全。严格安全管理制度、明确部门安全职责划分及合理定义人员角色都可以在很大程度上减少安全漏洞。
一个完整的解决方案必须从多方面入手,当网络发生变化或者出现新的安全技术和攻击手段时,动态安全体系必须能够包容新的情况,及时做出反应,把安全风险维持在所允许的范围之内。
4 主动动态防御技术
目前常用的主动动态防御技术有陷阱网络和防火墙网络。
陷阱网络是基于Honey pot理论,采用的是一种研究和分析黑客的思想。它由放置在网络中的若干陷阱机和一个远程管理平台组成。陷阱机是一种专门为让人“攻陷”而设计的网络或主机,一旦被入侵者攻破,入侵者的信息和工具等都有可能被记录,并被用来分析,还有可能作为证据来起诉入侵者。陷阱网络应用如图7所示。
陷阱网络中常用到信息控制、信息捕获和入侵重定向技术。当入侵检测系统检测到攻击行为后,就立即报警,截获攻击者的数据包,并将结果通知入侵重定向系统,入侵重定向系统复制数据,并切断入侵者与实际网络的连接,将所有数据流向陷阱网络。
防火墙网络是借鉴实际生活中的公安系统模式,将互联网上的所有防火墙视为一个防火墙网络。当某个系统的防火墙(某地公安局)发现攻击行为(罪犯的犯罪行为)时,立即将该攻击行为通过互联网通知该攻击行为所在系统的防火墙(当地公安局)。该防火墙就记录并封杀该攻击行为(罪犯所在地的公安机关捉拿罪犯),使该攻击不能在互联网上传播(使该罪犯没有机会再犯罪),被消灭在局部范围内。
参考文献
1 袁津生,吴砚农.计算机网络安全基础.北京:人民邮电出版社,2002
2 侯小梅,毛宗源,张波.基于P2DR模型的Internet安全技术.计算机工程与应用,2000;36(12)
3 Design of Secure System Architecture Model for Active Network.http://www.jos.org.cn/1000-9825/13/
1352.pdf.2003-05-26
4 Spitzner L.Honey pot:Definitions and Value of Honey pots.http://www.enteract.com/~1spitz.2003-05-26