高安全等級網絡安全防護體系研究與設計
摘 要:
通過對軍事網絡、黨政內網以及軍工企業內網等高安全等級網絡面臨的安全威脅和防御需求進行深入分析,結合對PDRR、P2DR現有安全模型的研究,提出了適用于高安全等級網絡安全防御的P2DAR安全模型,并設計了與P2DAR安全模型適配的安全防御體系。該體系聚焦高安全等級網絡安全威脅檢測、安全威脅識別等關鍵問題,設計了威脅感知、威脅分析以及威脅處置等安全防御技術,能夠為高安全等級網絡安全防御提供有效防御。
網絡空間作為陸地、海洋、空氣空間、外層空間之外的“第五空域”(Fifth Domain),正成為各國特別是主要大國斗爭與合作的新疆域。網絡安全是關乎一個國家能否在“第五空域”維護自身權益和占據主動的重要保證。網絡對抗也已成為國家和國家之間對抗的另一個戰場。網絡空間安全已經是國家戰略安全不可或缺的一部分。
1 高安全等級網絡安全防護特點
軍事網絡、黨政內網、軍工企業內網、電力網以及銀行專網等關系到國家安全、經濟發展的網絡都屬于高安全等級網絡,是國家網絡安全的重要防護對象,也是國與國之間網絡對抗的重要目標。它們面臨的安全威脅比互聯網更大,一旦被攻擊,很有可能會影響到國家安全。鑒于高安全等級網絡的重要性和特殊性,它在安全防護上具有以下特點。
1.1 網絡特點
1.1.1 網絡隔離特性
軍事網絡、黨政內網、軍工企業內網、電力網以及銀行專網等高安全等級網絡通常都與互聯網以及其他網絡隔離。隔離有物理隔離和邏輯隔離兩種方式。軍事網絡、黨政內網以及軍工企業內網一般是物理隔離。電力網和銀行專網等一般為邏輯隔離。物理隔離的網絡其通信線路、路由交換設備以及信息系統與其他網絡沒有物理連接,無法通過其他網絡對其進行訪問。邏輯隔離的網絡與其他網絡之間存在物理連接,在網絡邊界通過密碼和安全裝備實現與其他網絡的隔離。
1.1.2 網絡規模特性
高安全等級網絡通常具有范圍廣、規模大以及承載業務多的特點,網絡結構復雜。它既有自身獨有的專用傳輸線路,也有租用運營商的共用傳輸線路。既有有線網絡,也有無線網絡。此外,網絡用戶數量大,終端類型多。
1.1.3 網絡業務特性
高安全等級網絡承載的業務都是非公開業務,具有一定的保密性,特別是軍事網絡和黨政內網承載的業務密級非常高,需要防范的安全風險也更多。
1.2 安全威脅特點
1.2.1 攻擊者
高安全等級網絡面臨的攻擊者包括外部攻擊者和內部攻擊者。外部攻擊者通常不是互聯網上的黑客或一般的黑客組織,更有可能是國家層面的網絡入侵者,甚至是網絡戰作戰力量。內部攻擊者通常是被外部力量收買和控制的帶有特殊身份的人員,存在很強的隱蔽性。可見,高安全等級網絡面臨的攻擊者具有身份特殊、技術水平高以及隱蔽性強等特點。
1.2.2 攻擊方式
高安全等級網絡自身的網絡特性和攻擊者的特殊性,決定了面臨的攻擊方式與互聯網面臨的網絡攻擊手段存在很大的差異。針對互聯網目標的網絡攻擊,通常基于在線方式實施,即直接利用各種攻擊手段攻擊目標,能夠及時確認攻擊結果。高安全等級網絡由于與外部網絡隔離,外部攻擊者無法使用在線的攻擊方式實施攻擊,需要利用攻擊擺渡或臨近攻擊的方式實施攻擊。攻擊者需要有針對性地設計攻擊方法和攻擊程序(武器),突破網絡隔離的限制。
1.2.3 攻擊目的
互聯網上的網絡攻擊通常是以獲取經濟利益為目標,而針對高安全等級網絡的攻擊則以危害國家安全利益為目標,屬于國家對抗的范疇。攻擊高安全等級網絡的目的包括信息竊取、系統破壞和控制系統。信息竊取是攻擊者通過各種攻擊手段突破網絡隔離限制入侵高安全等級網絡內部,在各類終端、信息系統中搜集和獲取特定的內部信息,并通過擺渡攻擊等方式把信息傳回攻擊者手中。系統破壞是攻擊者提前把攻擊程序(武器)植入到高安全等級網絡中,針對特定的目標系統在達到預設條件時發動攻擊,對系統實施破壞,如癱瘓系統、毀壞數據等。控制系統是攻擊者利用攻擊程序(武器)事先突破高安全等級網絡中的特定目標系統的控制權限,在達到預設條件時能夠對目標系統發送控制指令,使目標系統按照攻擊者的意圖運行,如發布關閉系統、停水以及停電等非法控制指令。
1.3 安全防護特點
1.3.1 防護方式
高安全等級網絡面臨的攻擊所具有的特殊性,決定了其防護方式與互聯網安全防護的方式不同。高安全等級網絡主要是防御長期潛伏和隱蔽的攻擊,以及內部人員實施的安全違規行為,重點在于能夠提前發現和識別網絡中潛在的安全威脅,以及及時發現和阻止內部人員實施的違規行為。
1.3.2 防護目的
高安全等級網絡來自外部的安全攻擊在未達到預設條件或未接收到控制指令時,攻擊活動主要是以目標滲透和目標發掘為主。對于這類攻擊的防護以提前發現和處置威脅為主。對于內部人員實施的攻擊,則主要以監測和取證為主。高安全等級網絡安全防護的核心目的是要在網絡內徹底消除威脅,對威脅進行溯源,并采取措施進行防范,防止威脅再次發生。
1.3.3 防護手段
高安全等級網絡安全威脅和防護目的的特殊性,要求其防護手段需要有很強的針對性,重點瞄準威脅的發現和識別,能夠針對安全威脅高隱蔽性和持續性特點,具備廣度和深度工作的能力。
2 典型的安全防護模型
2.1 PDRR模型
PDRR模型由美國國防部(United States Department of Defense,DoD)提出,由Protection(防護)、Detection(檢測)、Response(響應)、Recovery(恢復)4部分組成一個持續的安全防護循環,如圖1所示。
圖1 PDRR安全模型
防護(Protection)是指利用各種安全防護手段對信息系統加以保護,防止外部入侵和阻止各類攻擊。
檢測(Detection)是指對信息系統的安全檢測,重點是檢測信息系統的脆弱性和網絡攻擊行為。
響應(Response)是指當檢測發現信息系統存在脆弱性或出現網絡攻擊行為時,采取相應的安全防護措施針對脆弱性進行安全加固或針對攻擊行為采取阻止行動。
恢復(Recovery)是指攻擊阻止后,針對被破壞的系統進行系統恢復,主要包括系統功能恢復和數據恢復。
2.2 P2DR/PPDR模型
P2DR模型由美國國際互聯網安全系統公司(American International Internet Security System,ISS)提出,是一個基于時間的自適應網絡安全模型。該模型是在安全策略的控制下,由Protection(防護)、Detection(檢測)、Response(響應)3部分形成一個完整動態的循環,如圖2所示。
圖2 P2DR安全模型
P2DR模型基于時間的理論基礎是,網絡安全相關的所有活動包括攻擊行為、防護行為、檢測行為和響應行為都要消耗時間,因此可以用時間來衡量一個安全體系的安全性和安全能力。
假如攻擊花費的時間為Pt,威脅檢測發現時間為Dt,響應時間為Rest,系統恢復時間為Rect。當Pt>(Dt+Rest)+Rect時,說明系統能夠在攻擊成功之前檢測到威脅并采取響應措施,則認為系統是安全的。
3 高安全等級網絡安全防護體系設計
3.1 P2DAR安全防護模型設計
高安全等級網絡在安全防護模型的選擇上,需要充分考慮所面臨的安全威脅和防護目的的特殊性,不能純粹沿用互聯網安全防護模型。因此,這里在充分研究PDRR、P2DR等現有模型的基礎上,以“全域感知、精準防御”作為高安全等級網絡安全防御思想,設計了P2DAR安全模型。P2DAR模型在P2DR模型基礎上增加了分析(Analyse)環節,通過全面感知和分析網絡中的安全狀態和安全行為,準確識別潛在的安全威脅,并及時制定和調整安全策略,對威脅進行響應和處置,模型如圖3所示。
圖3 P2DAR安全模型
防護(Protection)是指利用各種安全防護手段對信息系統加以保護,防止外部入侵和阻止各類攻擊。
檢測(Detection)是指對信息系統的安全狀態和安全行為進行檢測,全面感知信息系統的脆弱性和網絡中的各類安全行為。
分析(Analyse)是指對檢測的安全狀態和安全行為進行深度分析研判,準確定位威脅。
響應(Response)是針對已定位的威脅實施安全防護和處置措施,阻止和消除威脅。
策略(Policy)是整個模型運轉的核心,作用于防護、檢測、分析和響應的全過程。
P2DAR安全模型依然遵循時間理論。假如攻擊花費的時間為Pt,威脅檢測發現時間為Dt,分析時間為At,響應時間為Rest,系統恢復時間為Rect。當Pt>(Dt+At+Rest)+Rect時,說明系統能夠在攻擊成功之前檢測到威脅,進而通過分析定位確定并采取適當的處置措施,認為系統是安全的。高安全等級網絡安全防護的關鍵是能夠及時發現和識別威脅,因此分析時間At是決定Pt>(Dt+At+Rest)+Rect成立的重要因素。
3.2 安全防護體系設計
3.2.1 安全防護體系架構
高安全等級網絡安全防護體系基于P2DAR安全模型設計,如圖4所示。
圖4 高安全等級網絡安全防護體系架構
高安全等級網絡安全防護體系在提供計算環境安全防護、網絡安全防護以及應用安全防護等傳統安全防護能力基礎上,以消除外部和內部高級威脅為目標,能夠對各類針對物理隔離網絡的高隱蔽威脅在觸發前對其進行識別和清除。安全防護體系以威脅感知為基礎,威脅識別為重點,依據標準制度進行威脅處置。安全策略通過人工或自適應動態調整,作用于感知、識別、處置以及安全防護的全過程。
3.2.2 威脅感知
威脅感知基于各種安全防護技術手段,根據檢測策略對網絡中的終端、流量、用戶、應用等網絡行為和安全系統、應用系統等系統狀態進行檢測,第一時間感知網絡中發生的攻擊、違規和可疑行為,并對所有感知的行為進行記錄或告警。
高安全等級網絡除了對傳統的網絡行為進行感知之外,還需要對用戶行為進行全方位感知,包括用戶的入網行為、網絡訪問行為,特別是內部網絡與外部網絡的數據交換行為、信息的輸入輸出行為等。在網絡行為感知方面,需要重點對非法外聯、存儲介質內外網交叉使用等行為進行感知。
3.2.3 威脅識別
威脅識別在威脅感知基礎上采集匯聚各種安全防護手段檢測記錄的所有網絡告警、行為數據和系統狀態數據,根據安全數據標準和威脅識別策略處理采集的元數據,完成數據的清洗、融合和匯總,以保障數據質量和建立數據之間的關聯性。威脅識別的關鍵在于安全分析。通過不同的分析方式和分析模型,對各類數據進行綜合關聯分析。通過數據之間的關聯關系和不同網絡行為之間的映射關系,分析出現有安全防護手段無法識別的安全威脅,如APT攻擊。通過數據的關聯分析能夠對安全威脅進行溯源,生成攻擊行為軌跡,實現對威脅的精準定位。必要時,需通過人工研判對識別出來的安全威脅進行進一步的人工驗證和確認。安全威脅分析流程設計如圖5所示。
圖5 安全威脅分析流程設計
高安全等級網絡防護除了能夠及時發現網絡中傳統的網絡攻擊外,如病毒傳播、網絡掃描、分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)攻擊等,更重要的是能夠及時發現通過供應鏈或網絡擺渡攻擊潛入內部網絡的對特定目標、非傳統攻擊手段的安全威脅。這類安全威脅利用傳統的防病毒、入侵檢測系統(Intrusion Detection System,IDS)以及防火墻等技術手段無法識別,需要有針對性地建立相應的分析模型,包括供應鏈攻擊分析模型、網絡擺渡攻擊分析模型等,并利用大數據分析、數據挖掘和人工智能技術進行綜合分析和識別。
3.2.4 威脅處置
根據應急響應處置流程和處置預案,對已確認的安全威脅進行處置,主要工作包括取證分析、策略調整、系統加固和系統恢復。處置的目的是消除威脅,并防止威脅再次發生。其中,取證分析是高安全等級網絡防護威脅處置的重要一環。通過取證分析不僅要對威脅進行定位和取證,更重要的是需要對威脅進行溯源,準確查清威脅的來源,進入內部網絡的方式和途徑,涉及的終端、系統與人員,以及威脅在內網中的蔓延情況等,以便制定及時準確處置來徹底消除威脅,阻斷威脅再次進入的途徑。
3.2.5 安全策略
安全策略貫穿安全防御全過程,可根據安全防御需求和安全狀態變化適時調整策略。需要注意,策略調整之前應進行策略的評估和驗證,確保策略的正確性和有效性。
3.2.6 標準制度
標準制度是安全防御的技術規范和行動指南,保障安全防御能夠有序、高效運轉,主要包括安全保密標準、資產管理制度、人員管理制度和應急響應制度等。
3.3 安全防護體系關鍵技術
安全防御體系涉及的關鍵技術主要是安全數據治理技術和安全威脅分析技術。
3.3.1 安全數據治理技術
高安全等級網絡采用的安全技術手段種類多、部署規模大,產生的安全數據語義不規范、格式不統一,數據量大、質量低,嚴重制約數據的有效利用。運用數據治理技術對數據進行清洗、校正、轉換以及補缺等處理,可形成統一的、規范的網絡行為數據描述,使數據可理解、可融合、可關聯,提升數據質量。
3.3.2 安全威脅分析技術
安全威脅分析是高安全等級網絡在攻防博弈中能否占據主動、先人一步的關鍵。通過設計有針對性的分析算法和分析模型,并利用行為模式、專家知識以及機器學習等人工智能技術,可有效提升安全分析的準確性和效率。
4 結 語
網絡攻防是一個動態的博弈過程,特別是高安全等級網絡安全防御面對的是國家級網絡攻擊力量,網絡防御難度更大,需要采用針對性更強、更有效的安全防御機制和技術,并能夠持續跟蹤攻防技術的發展,研究對手新的攻擊手段和戰法,才能擁有應對各類新型安全威脅的能力。
