網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建

網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建

0設(shè)備之間的協(xié)同性現(xiàn)在，隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用向社會(huì)的深入，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性日益成為網(wǎng)絡(luò)用戶的中心。建立一個(gè)整體的網(wǎng)絡(luò)安全防護(hù)體系的關(guān)鍵,在于要求各網(wǎng)絡(luò)安全設(shè)備之間具有較高的協(xié)同性,即聯(lián)動(dòng)性。聯(lián)動(dòng)技術(shù)體現(xiàn)了智能化網(wǎng)絡(luò)安全管理的潮流,能夠有機(jī)整合各種網(wǎng)絡(luò)安全技術(shù),全部部署網(wǎng)絡(luò)安全防御體系,有效提升網(wǎng)絡(luò)性能。通過(guò)聯(lián)動(dòng)機(jī)制連接各功能模塊,可以對(duì)各安全設(shè)備進(jìn)行功能協(xié)調(diào)和實(shí)時(shí)監(jiān)控,根據(jù)網(wǎng)絡(luò)安全狀況實(shí)現(xiàn)安全設(shè)備的配置和更改,把危害限制在最小范圍,產(chǎn)生“1+1>2”的合力,避免產(chǎn)生木桶效應(yīng)本文提出了一種跨域協(xié)同與全局聯(lián)動(dòng)的多區(qū)域聯(lián)動(dòng)體系,可以加強(qiáng)通信網(wǎng)間的信息共享,促使各種安全機(jī)制、設(shè)備以及系統(tǒng)間形成優(yōu)勢(shì)互補(bǔ),提升通信網(wǎng)絡(luò)的整體防御能力1系統(tǒng)研究1.1統(tǒng)一安全網(wǎng)絡(luò)組成安全自治域是由具備一定安全檢測(cè)、防護(hù)及其協(xié)調(diào)機(jī)制的設(shè)備/系統(tǒng)集合組成的物理網(wǎng)絡(luò),如圖1所示。該網(wǎng)絡(luò)擁有統(tǒng)一安全防御策略,能夠獨(dú)立實(shí)現(xiàn)安全檢測(cè)和安全防護(hù)。該集合包括若干個(gè)受保護(hù)主機(jī)/系統(tǒng)、檢測(cè)器、控制器和一套安全管理中心。集合中的設(shè)備/系統(tǒng)均接受安全管理中心的管理。1.2基于安全自治域的護(hù)需求并相互信任的安全自治域安全區(qū)域是在同一個(gè)管理控制下由一組具有相同安全保護(hù)需求并相互信任的安全自治域組成的物理網(wǎng)絡(luò),如圖2所示。在一個(gè)安全區(qū)域中部署一套或多套區(qū)域協(xié)同中心,各安全自治域統(tǒng)一遵循區(qū)域協(xié)同中心的策略。1.3聯(lián)動(dòng)協(xié)同中心層跨域協(xié)同與全局聯(lián)動(dòng)機(jī)制由設(shè)備層、安全管理層和協(xié)同中心層三個(gè)邏輯層面組成,如圖3所示。設(shè)備層。該層由分布在網(wǎng)絡(luò)中的各種安全設(shè)備、受保護(hù)網(wǎng)絡(luò)、主機(jī)和系統(tǒng)組成,是聯(lián)動(dòng)協(xié)同功能的最終執(zhí)行者。安全管理層。該層由安全管理中心(SMC)組成,每個(gè)安全自治域內(nèi)部署一套,直接完成各安全設(shè)備/系統(tǒng)的聯(lián)動(dòng)。協(xié)同中心層。該層由處于多區(qū)域協(xié)同與全局聯(lián)動(dòng)機(jī)制上層的協(xié)同中心(CC)組成,每個(gè)安全區(qū)域部署一套或多套,完成安全區(qū)域和安全自治域間的協(xié)同。1.4協(xié)同能力:安全自治域間的協(xié)同如圖4所示,跨域協(xié)同與全局聯(lián)動(dòng)機(jī)制分為四個(gè)層次——安全自治域內(nèi)聯(lián)動(dòng)、安全自治域間協(xié)同、安全區(qū)域間協(xié)同和網(wǎng)系協(xié)同;完成協(xié)同功能需要的協(xié)同系統(tǒng)分別為安全管理中心(SMC)、一級(jí)區(qū)域協(xié)同中心、二級(jí)區(qū)域協(xié)同中心和全局協(xié)同中心。安全自治域內(nèi)聯(lián)動(dòng)處于整個(gè)協(xié)同聯(lián)動(dòng)機(jī)制的最底層,所有的協(xié)同和聯(lián)動(dòng)指令最終均在該層次執(zhí)行。域內(nèi)聯(lián)動(dòng)負(fù)責(zé)根據(jù)域內(nèi)安全情況和所屬安全區(qū)域的統(tǒng)一策略調(diào)整域內(nèi)安全設(shè)備/系統(tǒng)的策略、執(zhí)行檢測(cè)或防護(hù)任務(wù)。聯(lián)動(dòng)是讓安全自治域中具備安全解決能力的元素協(xié)同工作。雖然它們各自分工不同,但勢(shì)必能構(gòu)成團(tuán)體的優(yōu)勢(shì)。聯(lián)動(dòng)中不可忽視的核心點(diǎn)是要使交換機(jī)、路由器、IDS、防火墻、用戶管理系統(tǒng)和網(wǎng)元管理系統(tǒng)等擁有統(tǒng)一的溝通機(jī)制。但是,聯(lián)動(dòng)思想僅僅把網(wǎng)絡(luò)中局部的安全設(shè)備整合起來(lái)共同工作,最好的效果也僅僅是維護(hù)一個(gè)局部的安全體系。對(duì)于大規(guī)模的網(wǎng)絡(luò)攻擊(如蠕蟲病毒攻擊、或DDoS攻擊),攻擊潛伏于網(wǎng)絡(luò)的各個(gè)角落,再堅(jiān)固的安全體系也會(huì)被受黑客控制的信任主機(jī)攻破。為此,不僅要做好安全自治域中的安全措施“聯(lián)動(dòng)”工作,還要更大范圍內(nèi)實(shí)現(xiàn)對(duì)入侵的協(xié)同,將其對(duì)網(wǎng)絡(luò)的災(zāi)難降低到最小。安全自治域間協(xié)同完成協(xié)調(diào)同一個(gè)安全區(qū)域內(nèi)跨安全自治域的協(xié)同功能。當(dāng)一個(gè)安全自治域分析安全態(tài)勢(shì)需要其他安全自治域的信息、消除隱患需要其他安全自治域的協(xié)助、檢測(cè)到針對(duì)其他安全自治域的安全事件時(shí),可通過(guò)安全自治域的SMC的管理CC作為聯(lián)系紐帶來(lái)完成。安全區(qū)域間協(xié)同完成協(xié)調(diào)跨安全區(qū)域的協(xié)同功能。當(dāng)一個(gè)安全區(qū)域分析安全態(tài)勢(shì)需要其他安全區(qū)域的信息、消除隱患需要其他安全自治域的協(xié)助、檢測(cè)到針對(duì)其他安全區(qū)域安全事件時(shí),可通過(guò)各安全區(qū)域CC作為聯(lián)系紐帶來(lái)完成。網(wǎng)系協(xié)同由通信網(wǎng)頂層的全局協(xié)同中心參與完成通信網(wǎng)中不同網(wǎng)絡(luò)之間的安全協(xié)同。1.5聯(lián)動(dòng)2,攻擊目標(biāo)明確聯(lián)動(dòng)是使安全自治域中具備安全解決能力的元素協(xié)同工作。域內(nèi)聯(lián)動(dòng)流程,如圖5所示。按照聯(lián)動(dòng)操作的側(cè)重點(diǎn)不同,可以分為以下幾類。(1)記錄安全事件:記錄安全事件,有利于管理員的事后追查。各安全設(shè)備將檢測(cè)到的安全事件進(jìn)行記錄,上報(bào)至安全管理中心。安全管理中心將其存儲(chǔ)于原始事件數(shù)據(jù)庫(kù)。安全管理中心默認(rèn)情況自動(dòng)執(zhí)行該操作,記錄所有安全事件。(2)產(chǎn)生告警信息:在安全管理中心產(chǎn)生告警信息,上報(bào)至協(xié)同中心。對(duì)所有融合后的安全事件,將采取該聯(lián)動(dòng)措施。安全管理員可以設(shè)置是否告警及告警的方式。安全管理中心對(duì)安全設(shè)備上報(bào)的安全事件進(jìn)行融合分析,采用系統(tǒng)設(shè)置的告警方式通知管理員,以便于管理員對(duì)入侵行為和違規(guī)行為進(jìn)行處理。(3)引誘取證:將入侵行為或非法行為誘導(dǎo)至誘餌設(shè)備,消耗其資源并進(jìn)行取證。該類聯(lián)動(dòng)措施適用于所有的網(wǎng)絡(luò)入侵行為。交換機(jī)和路由器等設(shè)備將入侵和非法數(shù)據(jù)流引導(dǎo)至偽裝誘騙系統(tǒng)。偽裝誘騙系統(tǒng)收集入侵者或非法操作者的證據(jù)。安全管理中心完成數(shù)據(jù)的分析與設(shè)備策略的生成。(4)阻斷攻擊源或隔離被攻擊對(duì)象:這種措施實(shí)際上禁止了攻擊者對(duì)被攻擊對(duì)象的訪問(wèn)。這種聯(lián)動(dòng)方式可以通過(guò)配置控制器策略或終止被攻擊對(duì)象的服務(wù)等完成。當(dāng)設(shè)備遭到網(wǎng)絡(luò)攻擊時(shí)、設(shè)備遭到病毒或木馬入侵時(shí)、設(shè)備成為內(nèi)部攻擊者時(shí)、設(shè)備訪問(wèn)非授權(quán)內(nèi)容時(shí),可以采取該類聯(lián)動(dòng)響應(yīng)措施。(5)檢測(cè)隱患:檢測(cè)可能對(duì)網(wǎng)絡(luò)或主機(jī)造成危害的對(duì)象。安全管理中心可以實(shí)施該種響應(yīng)措施來(lái)檢查管轄設(shè)備的系統(tǒng)漏洞、配置漏洞、間諜軟件、后門軟件、病毒程序和文件的完整性等。(6)清除隱患:清除可能對(duì)網(wǎng)絡(luò)或主機(jī)造成危害的對(duì)象,包括系統(tǒng)漏洞、配置漏洞、間諜軟件、后門軟件和病毒程序等。當(dāng)檢測(cè)器檢測(cè)到設(shè)備上存在安全隱患時(shí),安全管理中心下發(fā)這類聯(lián)動(dòng)策略來(lái)清除隱患。(7)調(diào)整設(shè)備運(yùn)行策略:根據(jù)網(wǎng)絡(luò)環(huán)境、管轄設(shè)備配置情況或區(qū)域協(xié)同中心統(tǒng)一配置策略,調(diào)整安全設(shè)備/系統(tǒng)的檢測(cè)規(guī)則、防護(hù)規(guī)則和軟件版本等策略。(8)追蹤攻擊者:找到盡量接近攻擊發(fā)起的位置。(9)反擊攻擊者:主動(dòng)對(duì)入侵者進(jìn)行反擊。1.6綜合防御功能域間協(xié)同包括安全自治域間和安全區(qū)域間的協(xié)同。協(xié)同是指利用現(xiàn)有安全技術(shù)、措施和設(shè)備,將時(shí)間上分離、空間上分布而功能上互為補(bǔ)充的多個(gè)安全系統(tǒng)有機(jī)組織起來(lái),從而使整個(gè)安全體系具有預(yù)防、檢測(cè)、分析、恢復(fù)和對(duì)抗等綜合防御功能,使各個(gè)安全系統(tǒng)能夠最大程度或近似最大程度地發(fā)揮其效能。域間協(xié)同的流程圖,如圖6所示。域間協(xié)同按照協(xié)同的內(nèi)容分為以下幾種類型。全局策略型:由上級(jí)或可信第三方提供的統(tǒng)一工作安全策略。相互學(xué)習(xí)型:在某一安全管理域內(nèi),通過(guò)管理員行為學(xué)習(xí)得到的安全規(guī)則,在通過(guò)可信驗(yàn)證后在全網(wǎng)推廣。協(xié)調(diào)防御型:對(duì)跨安全域的安全事件進(jìn)行聯(lián)合打擊、封堵。風(fēng)險(xiǎn)預(yù)警型:對(duì)局部出現(xiàn)的異?，F(xiàn)象,可通知臨近域提前防御,防患于未然。來(lái)源追溯型:對(duì)出現(xiàn)的攻擊行為進(jìn)行可能的來(lái)源追溯。1.6.1社區(qū)網(wǎng)絡(luò)服務(wù)的策略全局策略是由上級(jí)協(xié)同中心向下級(jí)協(xié)同中心、協(xié)同中心向安全管理中心下發(fā)的所管轄范圍內(nèi)的統(tǒng)一安全策略,描述了安全需求目標(biāo)、安全服務(wù)說(shuō)明和信任管理等內(nèi)容。這些策略包括檢測(cè)策略、控制策略、告警策略、事件分析策略、軟件升級(jí)和安全信息通告等。檢測(cè)策略指管轄范圍內(nèi)需要檢測(cè)的內(nèi)容、檢測(cè)粒度和設(shè)備檢測(cè)規(guī)則等?？刂撇呗允侵笇?duì)管轄范圍內(nèi)各種資源實(shí)體的統(tǒng)一控制原則。這些對(duì)象實(shí)體可能是網(wǎng)絡(luò)部署、網(wǎng)絡(luò)地址、端口協(xié)議、應(yīng)用服務(wù)、終端外設(shè)與接口、系統(tǒng)文件和信道資源等。告警策略是指告警粒度、告警方式和是否需要通報(bào)等。1.6.2創(chuàng)建執(zhí)行數(shù)據(jù)庫(kù),進(jìn)行全域上傳該協(xié)同類型是指在某一安全管理域內(nèi)通過(guò)管理員行為學(xué)習(xí)得到的執(zhí)行效果較好的安全策略在通過(guò)可信驗(yàn)證后在全網(wǎng)推廣,達(dá)到共同提高防御能力的目的。安全管理中心、區(qū)域協(xié)同中心都有一個(gè)安全策略數(shù)據(jù)庫(kù)。各中心生成一條新的安全策略后,系統(tǒng)將對(duì)已執(zhí)行安全策略的執(zhí)行效果進(jìn)行評(píng)估。對(duì)于評(píng)估后分值較高的安全策略,安全中心將其放入安全策略共享區(qū),便于其他安全域共享。必要時(shí),可將策略進(jìn)行全域分發(fā)。各域的安全中心通過(guò)自己安全策略評(píng)估模塊,將分發(fā)下來(lái)的安全策略與已有的安全策略進(jìn)行比較,并將評(píng)估的最優(yōu)安全策略更新到安全策略庫(kù)中,達(dá)到優(yōu)秀安全策略全網(wǎng)更新的目的,從而共同提高防御能力。1.6.3攻擊源及防御措施對(duì)入侵行為或違規(guī)行為進(jìn)行跨區(qū)域的封堵、打擊,可以分為以下幾種情況進(jìn)行處理。在理想防御點(diǎn)進(jìn)行防御。對(duì)某個(gè)區(qū)域檢測(cè)到的安全事件,在本域內(nèi)進(jìn)行防御可能達(dá)不到效果,需要通過(guò)鄰域擴(kuò)散方式在其他域進(jìn)行封堵,以達(dá)到最佳效果。例如,對(duì)于域內(nèi)某臺(tái)主機(jī)的拒絕服務(wù)攻擊,特別是分布式拒絕服務(wù)攻擊,僅僅在本域進(jìn)行阻斷并不能阻止大量數(shù)據(jù)流量,且消耗邊界控制器的性能,達(dá)不到理想的防御效果。這時(shí)需要通過(guò)鄰域逐步擴(kuò)散,在入侵?jǐn)?shù)據(jù)流量的入口處進(jìn)行封堵,以消除攻擊路徑上的攻擊流量,達(dá)到較好的防御效果。內(nèi)部攻擊源截?cái)唷４蟛糠值娜肭中袨槎际莾?nèi)部攻擊,某個(gè)區(qū)域檢測(cè)到的安全事件的源頭可能就在本域或其他安全區(qū)域內(nèi)部。此時(shí),除了在本域?qū)θ肭衷催M(jìn)行封堵外,還需要通知源頭所屬的安全區(qū)域?qū)ζ溥M(jìn)行處理。例如,某域內(nèi)主機(jī)被作為傀儡主機(jī)對(duì)其他主機(jī)進(jìn)行攻擊時(shí),需要對(duì)其進(jìn)行清除后門、增強(qiáng)其安全性等聯(lián)動(dòng)協(xié)同策略。防御措施求助。對(duì)于某域內(nèi)檢測(cè)到的安全事件,域內(nèi)的安全防護(hù)設(shè)備可能不具備對(duì)該事件的防護(hù)能力,需要通過(guò)上級(jí)協(xié)同中心尋求幫助,對(duì)安全事件進(jìn)行處理。例如,針對(duì)安全事件需要的補(bǔ)丁、升級(jí)包等,可以在其他安全區(qū)域下載;本域沒(méi)有對(duì)安全事件的控制器時(shí),直接在其他安全區(qū)域使用控制器控制安全事件源頭。1.6.4預(yù)警和報(bào)警機(jī)制對(duì)局部出現(xiàn)的異?，F(xiàn)象,可通知其他區(qū)域提前防御,防患于未然。具體地,根據(jù)預(yù)警的內(nèi)容可分為兩類進(jìn)行處理。入侵預(yù)警。在攻擊數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)協(xié)同與聯(lián)動(dòng)體系的檢測(cè)范圍還未到達(dá)目標(biāo)時(shí),可能被檢測(cè)器檢測(cè)到并產(chǎn)生報(bào)警。協(xié)同中心收到安全管理中心的預(yù)警后,通過(guò)協(xié)同體系直至將預(yù)警信息傳遞至目的區(qū)域的安全管理中心,然后安全管理中心生成聯(lián)動(dòng)指令提前進(jìn)行封堵。擴(kuò)散預(yù)警。在某域內(nèi)檢測(cè)到的安全事件如果屬于易于擴(kuò)散類型如病毒、蠕蟲等,則需要通過(guò)安全協(xié)同系統(tǒng)將安全事件及其防御策略進(jìn)行全網(wǎng)通報(bào)。各中心收到預(yù)警信息后提前設(shè)置防御策略,遏制安全事件的擴(kuò)散。1.6.5多區(qū)域協(xié)同與聯(lián)動(dòng)框架對(duì)出現(xiàn)的入侵行為或違規(guī)行為進(jìn)行可能的來(lái)源追溯。追溯的重點(diǎn)在于發(fā)現(xiàn)攻擊者的真實(shí)地址和傳輸路徑,而追蹤技術(shù)有助于提高響應(yīng)的準(zhǔn)確性。它的基本思想是以攻擊報(bào)文的相關(guān)信息為依據(jù),實(shí)現(xiàn)對(duì)攻擊源的反向追蹤?，F(xiàn)有的來(lái)源追蹤技術(shù)如鏈路測(cè)試、日志記錄、ICMP追蹤和報(bào)文標(biāo)記技術(shù),均需要網(wǎng)絡(luò)路由器的參與,以使用其特殊功能。因此,實(shí)施比較困難。多區(qū)域協(xié)同與聯(lián)動(dòng)框架主要是基于對(duì)各安全管理中心、協(xié)同中心收集的安全事件的綜合分析。來(lái)源追溯分為在線追溯和離線追溯。在線追溯是指即時(shí)尋找事件來(lái)源。當(dāng)某域檢測(cè)到一條安全事件時(shí),若需要追溯其來(lái)源,則向上級(jí)協(xié)同中心發(fā)布來(lái)源追溯策略。策略包含其事件相關(guān)信息。協(xié)同中心通過(guò)協(xié)同體系將追溯策略傳播至安全管理中心和協(xié)同中心,各中心將檢測(cè)到的實(shí)時(shí)事件與追溯策略中的相關(guān)信息進(jìn)行匹配,直至找到事件源頭(內(nèi)部估計(jì))或網(wǎng)絡(luò)邊界(外部攻擊)。離線追溯是指事后對(duì)安全事件進(jìn)行分析來(lái)尋找事件來(lái)源。若某