基于ICT新技术和新理念构造下一代安全网络
打印
一、引言
进入21世纪以来,信息通信技术(ICT)发展势头迅猛,涌现出大数据、云计算、软件定义网络(SDN)等诸多新技术,信息化已融入各行各业,渗透到人们工作和生活的各个环节。快速发展的ICT技术改变了信息存储、共享和使用的方式,提供了更加开放的网络架构;同时新的安全威胁和挑战无处不在,网络威胁方式更加复杂多样,其行为更加隐蔽且目标更加广泛。本文拟通过研究ICT技术的安全性创新应用,为用户打造可控、可用、可信的新一代安全网络。
二、下一代网络安全防护体系
传统的基于动态网络安全体系(P2DR)安全模型的安全防护体系主要包括4个部分:安全策略、防护、检测和响应。该安全体系的优点是基于风险评估理论,将安全视作一个动态的整体,但该安全体系并没有对安全威胁的本质进行分析。基于该安全体系出现了一些如防火墙、入侵检测等传统的安全产品。随着人们对安全理解的不断深入,业界提出了基于木桶原理的安全防护体系,安全防护体系的出发点就是寻求整个网络的安全瓶颈并进行有针对性的补强,避免出现安全短板。
上述基于P2DR安全模型和木桶原理的安全体系均属于被动的安全防护体系,真正有效的安全体系应主动感知安全威胁并主动防范威胁和实施必要措施。威胁入侵只有两条路径:一条是从外网向内网的威胁入侵路径,另一条是从内网向外网的威胁扩散路径。从理论上看,只要对这两条关键威胁路径进行监测和管控,就能遏
制威胁产生的态势,以最小的安全成本解决系统安全问题。基于这一理念,业界提出了下一代网络安全防护体系,如基于大数据的“云+端+边界”的安全防护体系,整个安全体系包括大数据安全、边界安全和端安全3个关键部分。鉴于原有防御容易被绕过,需要对云、终端和边界设备赋予智能优化,使其能信息同步,互相配合,以应对不断变化的IT架构和复杂的网络风险。此外,新的安全防护体系认为内网不再可信,甚至是零信任(ZeroTrust)网络,要求对内网人员进行认证识别、行为审计、基线行为建模、异常行为识别报警,以减少由于人员行为不当导致的安全隐患。
三、下一代安全网络的构造策略
打造新一代可控、可用、可信的网络必须在设计和构建网络时就开始考虑安全问题,将网络和安全视为一个整体,从终端到网络、从网络到数据,全网协调运作来自动感知环境脆弱性,基于业务特征实施安全策略,智能整合安全认证、信誉机制、SDN和大数据等技术来检测和防御未知的安全威胁,只有这样才有可能解开网络安全问题的症结。
通过部署新一代防火墙(NGFW)等安全设备,从应用、用户、时间、内容、威胁和位置等多个维度感知网络环境,对网络中的各种对象进行灵活的精细化管控。在新一代安全网络中,安全设备不再是孤立的网络节点,而是通过多层次的虚拟化技术构成的安全资源池,由统一的控制器在全网实施调度。此外,具备多层次弹性扩展能力的安全云技术可向任何一个节点扩充物理安全网关,以增强全网安全处理能力。真正可用的安全必须包括安全部署、安全扩展和安全能力的可用性,可用的安全是可用网络的核心要素。
传统网络安全的基本原则就是“不可信”,例如,防火墙首先定义可信域和非可信域,对于所有来自非可信域的访问缺省都禁止,安全管理默认怀疑和检测所有对象。造成这一现象的根本原因是,传统网络安全机制属于“事后防御”,而无法事先预测和发现未知的安全威胁。这种不可知导致不可信,不可信则带来效率下降和成本上升,且安全问题未得到有效解决。为此,新一代网络安全策略强调未知的安全威胁检测和快速诊断,并借助于信誉和认证机制使网络变得可信。具体来说,建议采用如下策略。
一是构建统一的信任体系。需要基于历史统计分析、身份认证和密码技术,构建统一的信任体系和生成各种信誉数据库,作为检测异常行为的基础。具体来说,主要包括建立公共密钥基础设施、采用高效的密码算法、实施数据安全加密保护、启用身份认证和电子身份证(eID)等技术手段。
二是变被动防御为主动防护。不再只是事后基于攻击特征进行粗放式的威胁检测和防御,而是在不涉及用户隐私的前提下,在网络中部署网络黑洞和蜜罐等探测分析系统,实时采集安全事件样本,构建信誉等级体系。当事件行为的信誉评级低于设定阈值时,将会视其为可疑对象并做进一步深入检测,从而在不影响系统正常运行的情况下,很大程度上消除未知的安全威胁。
三是以用户为中心。过去在发生病毒攻击事件后,往往需要借助于专业机构提供杀毒软件或系统补丁,这样做既耽误时间,也不利于避免用户遭受更大损失。为此,应尽可能将安全防御产品部署在用户网络中或云端,直接为用户提供安全服务,大幅缩短未知恶意攻击的响应时间。例如,可在用户网络中部署沙箱(Sandbox),将被信誉体系筛选出的可疑对象导入沙箱进行模拟分析,判断其行为是否具有恶意或威胁。经典沙箱系统的实现途径一般是通过拦截系统调用,监视程序行为,再依据用户定义的策略来控制和限制程序对计算机资源的使用,如改写注册表、读写磁盘等。
四是运用大数据进行安全分析和防御。当前,用户遭受的攻击方式和行为呈现多样化、复杂化的特点,既有来自外部网络黑客的攻击,也有来自内部网络的恶意破坏。为此,可将大数据技术应用于网络安全防御,通过采集网络设备、安全设备、终端系统和业务系统的事件,并在大数据平台上从多个维度进行关联分析,从而及时发现和跟踪恶意的攻击行为。通过部署和使用大数据分析平台,可较好地抵御高级持续性威胁攻击(APT)行为。
四、核心技术手段分析
1、大数据分析处理技术
真实的物理空间和数据空间之间存在对应关系,真实空间的任何活动和行为在数据空间里都有对应的表现和反映。因此,通过在数据空间进行分析和处理同样可有效影响真实的物理空间,这正是大数据发挥其重要价值的根本。利用大数据进行有效数据分析和网络监控,不仅可有效发现已知和未知的攻击行为,还能很好地解决APT攻击难题。
APT之所以难以防范和解决,主要在于其攻击行为特征难以提取、攻击渠道多元化且攻击空间的不确定性。目前,孤立地进行恶意代码检测和主机应用保护对于检测和防御APT攻击往往很难奏效。但可利用大数据对APT进行有针对性检测和应对。通过统计分析网络各层面和各阶段的全方位数据,理论上可对任何交互行为进行检测。另外,可基于大数据平台对全网流量进行宏观分析和微观特定事件检测。此外,可利用大数据组织和整理相关信息,提高截获攻击者攻击路径的概率。最后,对于攻击目标确定的APT攻击,可大量存储相关信息数据来构造历史模式数据,通过对历史模式数据进行重放来发现攻击线索。
大数据分析技术可很好地应用到分布式拒绝服务攻击(DDoS)的检测和防御当中。快速发现和响应应用层攻击的首要条件是防御系统能多维度地精确描述流量模型。一旦发现业务访问流量模型发生变化,说明网络有异常。这要求防御系统能对网络进行全流量拷贝,并基于大数据逐流、逐包进行统计、分析和比对。此外,为提升异常行为的监测和防御精度,需利用大数据关联分析技术。
大数据技术需要解决数据复杂性、计算复杂性、系统复杂性和大数据有效学习4个难题。数据复杂性不仅源自数据的巨大规模,且数据之间的关系也非常复杂。我们需要寻找恶意行为的结构规则特征,进而快速准确地检测恶意行为。数据的规模、搜索的空间决定了计算的复杂性,必须找到一种简约式的集中计算方法对适当数量的数据进行分析。大数据系统平台需对存储的各类海量数据进行分析和处理,系统复杂性不言而喻,我们需要一种基于相关数据生命周期的灵活的系统架构。
2、下一代防火墙技术(NGFW)
下一代防火墙(NGFW)是对传统防火墙的继承和发展,本质上也采用“访问控制+特征匹配”的手段来限制非法用户对特定网络资源的访问,并识别异常攻击行为。可将NGFW视为在传统防火墙基础上,增加入侵防护系统(IPS)和安全管理功能,克服了传统防火墙管控能力不足和防护手段单一的缺陷,并通过并行化设计较好地兼顾网络安全与运行性能。
一是新时代下网络环境的变化增加了访问控制实施的难度。NGFW作为用户网络的重要安全守卫,必须能适应网络环境的动态变化。当前,社交网络应用非常普遍,同时云计算和虚拟化正迅速改变着信息化使用方式,这些变化也使传统防火墙力不从心。NGFW必须能应对主动感知网络环境和实现精确策略部署的巨大挑战。访问控制是NGFW的基础能力,相比于传统防火墙,NGFW的访问控制更加精确,必须能从应用、用户、时间、内容、威胁和位置等多个维度感知网络环境,对网络中的各种对象进行灵活的精细化管控。此外,通过综合运用报文分片重组、协议去干扰、统计识别和行为识别等手段,准确识别各类复杂应用。
二是传统防火墙对于威胁的检测常会开启防火墙的所有检测功能,这样做能提供足够的安全保障,但耗费时间和资源,并会产生许多误报警,大幅降低检测效率。但如果管理员只是有针对性地开启防火墙的部分检测模块,在提高效率的同时又会带来安全隐患。为此可部署NGFW,以便在不影响用户正常业务的同时,主动感知环境和识别安全威胁,并能进行实时性的动态调整和优化。
三是NGFW的防御从网络层上升到应用层,但面对种类繁多的应用和大量的用户,必须将传统被动的手工部署方式改变为主动智能部署方式。NGFW在遵循最小授权原则的同时,可更主动积极地调整安全策略,确保合法访问通道不被攻击者利用,并大大降低对安全管理员的技术要求。
3、软件定义网络(SDN)安全管理技术
随着网络规模的不断扩大和业务数量的增多,对网络进行及时有效的配置和管理变得越来越困难。SDN可以实施灵活控制和调度业务流,在网络管理中的作用日益显著。在基于云计算和大数据的新一代网络中,云数据中心会频繁接受外部用户的访问,业务可靠性至关重要。SDN的出现能很好地满足数据中心网络动态、自动化和集中管理的发展需求。SDN能极大改善云数据中心的安全策略配置和管理的复杂度,降低IT运维成本。SDN通过集中式的控制器,可使网络管理员方便定义基于网络流的安全控制策略,并将这些安全策略应用到各种网络设备中,从而实现对整体网络的安全控制。SDN充当云数据中心安全管理方案的执行和调度引擎,统揽系统全局。无论数据中心网络和业务如何变化,无论涉及哪些交换机、路由器和安全设备,管理员只需根据业务、租户和安全策略在控制器上进行任务编排,由控制器负责将编排的任务转化为IP地址、访问控制、转发路由和安全防护的配置策略,再自动分发到相应的网络设备上加以执行。
五、结语
可控、可用、可信的网络是人们期望的下一代安全网络,要达到这个目标,必须综合运用包括云计算、大数据和SDN在内的ICT新技术,引入新的安全模型并实施积极主动的全面安全防御策略。只有将安全网关、云数据中心、信誉认证中心、SDN管控、沙箱、NGFW和大数据分析平台有机构成一个整体,有效应对已知和未知的各种安全威胁和异常事件,才能顺利地演进到真正质量可控、业务可用和安全可信的下一代安全网络。
(原载于《保密科学技术》杂志2017年3月刊)
