摘要:
通過對軍事網(wǎng)絡、黨政內(nèi)網(wǎng)以及軍工企業(yè)內(nèi)網(wǎng)等高安全等級網(wǎng)絡面臨的安全威脅和防御需求進行深入分析,結合對PDRR、P2DR現(xiàn)有安全模型的研究,提出了適用于高安全等級網(wǎng)絡安全防御的P2DAR安全模型,并設計了與P2DAR安全模型適配的安全防御體系。該體系聚焦高安全等級網(wǎng)絡安全威脅檢測、安全威脅識別等關鍵問題,設計了威脅感知、威脅分析以及威脅處置等安全防御技術,能夠為高安全等級網(wǎng)絡安全防御提供有效防御。
引言
網(wǎng)絡空間作為陸地、海洋、空氣空間、外層空間之外的“第五空域”(Fifth Domain),正成為各國特別是主要大國斗爭與合作的新疆域。網(wǎng)絡安全是關乎一個國家能否在“第五空域”維護自身權益和占據(jù)主動的重要保證。網(wǎng)絡對抗也已成為國家和國家之間對抗的另一個戰(zhàn)場。網(wǎng)絡空間安全已經(jīng)是國家戰(zhàn)略安全不可或缺的一部分。
01 高安全等級網(wǎng)絡安全防護特點
軍事網(wǎng)絡、黨政內(nèi)網(wǎng)、軍工企業(yè)內(nèi)網(wǎng)、電力網(wǎng)以及銀行專網(wǎng)等關系到國家安全、經(jīng)濟發(fā)展的網(wǎng)絡都屬于高安全等級網(wǎng)絡,是國家網(wǎng)絡安全的重要防護對象,也是國與國之間網(wǎng)絡對抗的重要目標。它們面臨的安全威脅比互聯(lián)網(wǎng)更大,一旦被攻擊,很有可能會影響到國家安全。鑒于高安全等級網(wǎng)絡的重要性和特殊性,它在安全防護上具有以下特點。
1.1 網(wǎng)絡特點
1.1.1 網(wǎng)絡隔離特性
軍事網(wǎng)絡、黨政內(nèi)網(wǎng)、軍工企業(yè)內(nèi)網(wǎng)、電力網(wǎng)以及銀行專網(wǎng)等高安全等級網(wǎng)絡通常都與互聯(lián)網(wǎng)以及其他網(wǎng)絡隔離。隔離有物理隔離和邏輯隔離兩種方式。軍事網(wǎng)絡、黨政內(nèi)網(wǎng)以及軍工企業(yè)內(nèi)網(wǎng)一般是物理隔離。電力網(wǎng)和銀行專網(wǎng)等一般為邏輯隔離。物理隔離的網(wǎng)絡其通信線路、路由交換設備以及信息系統(tǒng)與其他網(wǎng)絡沒有物理連接,無法通過其他網(wǎng)絡對其進行訪問。邏輯隔離的網(wǎng)絡與其他網(wǎng)絡之間存在物理連接,在網(wǎng)絡邊界通過密碼和安全裝備實現(xiàn)與其他網(wǎng)絡的隔離。
1.1.2 網(wǎng)絡規(guī)模特性
高安全等級網(wǎng)絡通常具有范圍廣、規(guī)模大以及承載業(yè)務多的特點,網(wǎng)絡結構復雜。它既有自身獨有的專用傳輸線路,也有租用運營商的共用傳輸線路。既有有線網(wǎng)絡,也有無線網(wǎng)絡。此外,網(wǎng)絡用戶數(shù)量大,終端類型多。
1.1.3 網(wǎng)絡業(yè)務特性
高安全等級網(wǎng)絡承載的業(yè)務都是非公開業(yè)務,具有一定的保密性,特別是軍事網(wǎng)絡和黨政內(nèi)網(wǎng)承載的業(yè)務密級非常高,需要防范的安全風險也更多。
1.2 安全威脅特點
1.2.1 攻擊者
高安全等級網(wǎng)絡面臨的攻擊者包括外部攻擊者和內(nèi)部攻擊者。外部攻擊者通常不是互聯(lián)網(wǎng)上的黑客或一般的黑客組織,更有可能是國家層面的網(wǎng)絡入侵者,甚至是網(wǎng)絡戰(zhàn)作戰(zhàn)力量。內(nèi)部攻擊者通常是被外部力量收買和控制的帶有特殊身份的人員,存在很強的隱蔽性。可見,高安全等級網(wǎng)絡面臨的攻擊者具有身份特殊、技術水平高以及隱蔽性強等特點。
1.2.2 攻擊方式
高安全等級網(wǎng)絡自身的網(wǎng)絡特性和攻擊者的特殊性,決定了面臨的攻擊方式與互聯(lián)網(wǎng)面臨的網(wǎng)絡攻擊手段存在很大的差異。針對互聯(lián)網(wǎng)目標的網(wǎng)絡攻擊,通?;谠诰€方式實施,即直接利用各種攻擊手段攻擊目標,能夠及時確認攻擊結果。高安全等級網(wǎng)絡由于與外部網(wǎng)絡隔離,外部攻擊者無法使用在線的攻擊方式實施攻擊,需要利用攻擊擺渡或臨近攻擊的方式實施攻擊。攻擊者需要有針對性地設計攻擊方法和攻擊程序(武器),突破網(wǎng)絡隔離的限制。
1.2.3 攻擊目的
互聯(lián)網(wǎng)上的網(wǎng)絡攻擊通常是以獲取經(jīng)濟利益為目標,而針對高安全等級網(wǎng)絡的攻擊則以危害國家安全利益為目標,屬于國家對抗的范疇。攻擊高安全等級網(wǎng)絡的目的包括信息竊取、系統(tǒng)破壞和控制系統(tǒng)。信息竊取是攻擊者通過各種攻擊手段突破網(wǎng)絡隔離限制入侵高安全等級網(wǎng)絡內(nèi)部,在各類終端、信息系統(tǒng)中搜集和獲取特定的內(nèi)部信息,并通過擺渡攻擊等方式把信息傳回攻擊者手中。系統(tǒng)破壞是攻擊者提前把攻擊程序(武器)植入到高安全等級網(wǎng)絡中,針對特定的目標系統(tǒng)在達到預設條件時發(fā)動攻擊,對系統(tǒng)實施破壞,如癱瘓系統(tǒng)、毀壞數(shù)據(jù)等??刂葡到y(tǒng)是攻擊者利用攻擊程序(武器)事先突破高安全等級網(wǎng)絡中的特定目標系統(tǒng)的控制權限,在達到預設條件時能夠對目標系統(tǒng)發(fā)送控制指令,使目標系統(tǒng)按照攻擊者的意圖運行,如發(fā)布關閉系統(tǒng)、停水以及停電等非法控制指令。
1.3 安全防護特點
1.3.1 防護方式
高安全等級網(wǎng)絡面臨的攻擊所具有的特殊性,決定了其防護方式與互聯(lián)網(wǎng)安全防護的方式不同。高安全等級網(wǎng)絡主要是防御長期潛伏和隱蔽的攻擊,以及內(nèi)部人員實施的安全違規(guī)行為,重點在于能夠提前發(fā)現(xiàn)和識別網(wǎng)絡中潛在的安全威脅,以及及時發(fā)現(xiàn)和阻止內(nèi)部人員實施的違規(guī)行為。
1.3.2 防護目的
高安全等級網(wǎng)絡來自外部的安全攻擊在未達到預設條件或未接收到控制指令時,攻擊活動主要是以目標滲透和目標發(fā)掘為主。對于這類攻擊的防護以提前發(fā)現(xiàn)和處置威脅為主。對于內(nèi)部人員實施的攻擊,則主要以監(jiān)測和取證為主。高安全等級網(wǎng)絡安全防護的核心目的是要在網(wǎng)絡內(nèi)徹底消除威脅,對威脅進行溯源,并采取措施進行防范,防止威脅再次發(fā)生。
1.3.3 防護手段
高安全等級網(wǎng)絡安全威脅和防護目的的特殊性,要求其防護手段需要有很強的針對性,重點瞄準威脅的發(fā)現(xiàn)和識別,能夠針對安全威脅高隱蔽性和持續(xù)性特點,具備廣度和深度工作的能力。
02 典型的安全防護模型
2.1 PDRR模型
PDRR模型由美國國防部(United States Department of Defense,DoD)提出,由Protection(防護)、Detection(檢測)、Response(響應)、Recovery(恢復)4部分組成一個持續(xù)的安全防護循環(huán),如圖1所示。
圖1 PDRR安全模型
防護(Protection)是指利用各種安全防護手段對信息系統(tǒng)加以保護,防止外部入侵和阻止各類攻擊。
檢測(Detection)是指對信息系統(tǒng)的安全檢測,重點是檢測信息系統(tǒng)的脆弱性和網(wǎng)絡攻擊行為。
響應(Response)是指當檢測發(fā)現(xiàn)信息系統(tǒng)存在脆弱性或出現(xiàn)網(wǎng)絡攻擊行為時,采取相應的安全防護措施針對脆弱性進行安全加固或針對攻擊行為采取阻止行動。
恢復(Recovery)是指攻擊阻止后,針對被破壞的系統(tǒng)進行系統(tǒng)恢復,主要包括系統(tǒng)功能恢復和數(shù)據(jù)恢復。
2.2 P2DR/PPDR模型
P2DR模型由美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司(American International Internet Security System,ISS)提出,是一個基于時間的自適應網(wǎng)絡安全模型。該模型是在安全策略的控制下,由Protection(防護)、Detection(檢測)、Response(響應)3部分形成一個完整動態(tài)的循環(huán),如圖2所示。
圖2 P2DR安全模型
P2DR模型基于時間的理論基礎是,網(wǎng)絡安全相關的所有活動包括攻擊行為、防護行為、檢測行為和響應行為都要消耗時間,因此可以用時間來衡量一個安全體系的安全性和安全能力。
假如攻擊花費的時間為Pt,威脅檢測發(fā)現(xiàn)時間為Dt,響應時間為Rest,系統(tǒng)恢復時間為Rect。當Pt>(Dt+Rest)+Rect時,說明系統(tǒng)能夠在攻擊成功之前檢測到威脅并采取響應措施,則認為系統(tǒng)是安全的。
03 高安全等級網(wǎng)絡安全防護體系設計
3.1 P2DAR安全防護模型設計
高安全等級網(wǎng)絡在安全防護模型的選擇上,需要充分考慮所面臨的安全威脅和防護目的的特殊性,不能純粹沿用互聯(lián)網(wǎng)安全防護模型。因此,這里在充分研究PDRR、P2DR等現(xiàn)有模型的基礎上,以“全域感知、精準防御”作為高安全等級網(wǎng)絡安全防御思想,設計了P2DAR安全模型。P2DAR模型在P2DR模型基礎上增加了分析(Analyse)環(huán)節(jié),通過全面感知和分析網(wǎng)絡中的安全狀態(tài)和安全行為,準確識別潛在的安全威脅,并及時制定和調整安全策略,對威脅進行響應和處置,模型如圖3所示。
圖3 P2DAR安全模型
防護(Protection)是指利用各種安全防護手段對信息系統(tǒng)加以保護,防止外部入侵和阻止各類攻擊。
檢測(Detection)是指對信息系統(tǒng)的安全狀態(tài)和安全行為進行檢測,全面感知信息系統(tǒng)的脆弱性和網(wǎng)絡中的各類安全行為。
分析(Analyse)是指對檢測的安全狀態(tài)和安全行為進行深度分析研判,準確定位威脅。
響應(Response)是針對已定位的威脅實施安全防護和處置措施,阻止和消除威脅。
策略(Policy)是整個模型運轉的核心,作用于防護、檢測、分析和響應的全過程。
P2DAR安全模型依然遵循時間理論。假如攻擊花費的時間為Pt,威脅檢測發(fā)現(xiàn)時間為Dt,分析時間為At,響應時間為Rest,系統(tǒng)恢復時間為Rect。當Pt>(Dt+At+Rest)+Rect時,說明系統(tǒng)能夠在攻擊成功之前檢測到威脅,進而通過分析定位確定并采取適當?shù)奶幹么胧J為系統(tǒng)是安全的。高安全等級網(wǎng)絡安全防護的關鍵是能夠及時發(fā)現(xiàn)和識別威脅,因此分析時間At是決定Pt>(Dt+At+Rest)+Rect成立的重要因素。
3.2 安全防護體系設計
3.2.1 安全防護體系架構
高安全等級網(wǎng)絡安全防護體系基于P2DAR安全模型設計,如圖4所示。
圖4 高安全等級網(wǎng)絡安全防護體系架構
高安全等級網(wǎng)絡安全防護體系在提供計算環(huán)境安全防護、網(wǎng)絡安全防護以及應用安全防護等傳統(tǒng)安全防護能力基礎上,以消除外部和內(nèi)部高級威脅為目標,能夠對各類針對物理隔離網(wǎng)絡的高隱蔽威脅在觸發(fā)前對其進行識別和清除。安全防護體系以威脅感知為基礎,威脅識別為重點,依據(jù)標準制度進行威脅處置。安全策略通過人工或自適應動態(tài)調整,作用于感知、識別、處置以及安全防護的全過程。
3.2.2 威脅感知
威脅感知基于各種安全防護技術手段,根據(jù)檢測策略對網(wǎng)絡中的終端、流量、用戶、應用等網(wǎng)絡行為和安全系統(tǒng)、應用系統(tǒng)等系統(tǒng)狀態(tài)進行檢測,第一時間感知網(wǎng)絡中發(fā)生的攻擊、違規(guī)和可疑行為,并對所有感知的行為進行記錄或告警。
高安全等級網(wǎng)絡除了對傳統(tǒng)的網(wǎng)絡行為進行感知之外,還需要對用戶行為進行全方位感知,包括用戶的入網(wǎng)行為、網(wǎng)絡訪問行為,特別是內(nèi)部網(wǎng)絡與外部網(wǎng)絡的數(shù)據(jù)交換行為、信息的輸入輸出行為等。在網(wǎng)絡行為感知方面,需要重點對非法外聯(lián)、存儲介質內(nèi)外網(wǎng)交叉使用等行為進行感知。
3.2.3 威脅識別
威脅識別在威脅感知基礎上采集匯聚各種安全防護手段檢測記錄的所有網(wǎng)絡告警、行為數(shù)據(jù)和系統(tǒng)狀態(tài)數(shù)據(jù),根據(jù)安全數(shù)據(jù)標準和威脅識別策略處理采集的元數(shù)據(jù),完成數(shù)據(jù)的清洗、融合和匯總,以保障數(shù)據(jù)質量和建立數(shù)據(jù)之間的關聯(lián)性。威脅識別的關鍵在于安全分析。通過不同的分析方式和分析模型,對各類數(shù)據(jù)進行綜合關聯(lián)分析。通過數(shù)據(jù)之間的關聯(lián)關系和不同網(wǎng)絡行為之間的映射關系,分析出現(xiàn)有安全防護手段無法識別的安全威脅,如APT攻擊。通過數(shù)據(jù)的關聯(lián)分析能夠對安全威脅進行溯源,生成攻擊行為軌跡,實現(xiàn)對威脅的精準定位。必要時,需通過人工研判對識別出來的安全威脅進行進一步的人工驗證和確認。安全威脅分析流程設計如圖5所示。
圖5 安全威脅分析流程設計
高安全等級網(wǎng)絡防護除了能夠及時發(fā)現(xiàn)網(wǎng)絡中傳統(tǒng)的網(wǎng)絡攻擊外,如病毒傳播、網(wǎng)絡掃描、分布式拒絕服務攻擊(Distributed Denial of Service,DDoS)攻擊等,更重要的是能夠及時發(fā)現(xiàn)通過供應鏈或網(wǎng)絡擺渡攻擊潛入內(nèi)部網(wǎng)絡的對特定目標、非傳統(tǒng)攻擊手段的安全威脅。這類安全威脅利用傳統(tǒng)的防病毒、入侵檢測系統(tǒng)(Intrusion Detection System,IDS)以及防火墻等技術手段無法識別,需要有針對性地建立相應的分析模型,包括供應鏈攻擊分析模型、網(wǎng)絡擺渡攻擊分析模型等,并利用大數(shù)據(jù)分析、數(shù)據(jù)挖掘和人工智能技術進行綜合分析和識別。
3.2.4 威脅處置
根據(jù)應急響應處置流程和處置預案,對已確認的安全威脅進行處置,主要工作包括取證分析、策略調整、系統(tǒng)加固和系統(tǒng)恢復。處置的目的是消除威脅,并防止威脅再次發(fā)生。其中,取證分析是高安全等級網(wǎng)絡防護威脅處置的重要一環(huán)。通過取證分析不僅要對威脅進行定位和取證,更重要的是需要對威脅進行溯源,準確查清威脅的來源,進入內(nèi)部網(wǎng)絡的方式和途徑,涉及的終端、系統(tǒng)與人員,以及威脅在內(nèi)網(wǎng)中的蔓延情況等,以便制定及時準確處置來徹底消除威脅,阻斷威脅再次進入的途徑。
3.2.5 安全策略
安全策略貫穿安全防御全過程,可根據(jù)安全防御需求和安全狀態(tài)變化適時調整策略。需要注意,策略調整之前應進行策略的評估和驗證,確保策略的正確性和有效性。
3.2.6 標準制度
標準制度是安全防御的技術規(guī)范和行動指南,保障安全防御能夠有序、高效運轉,主要包括安全保密標準、資產(chǎn)管理制度、人員管理制度和應急響應制度等。
3.3 安全防護體系關鍵技術
安全防御體系涉及的關鍵技術主要是安全數(shù)據(jù)治理技術和安全威脅分析技術。
3.3.1 安全數(shù)據(jù)治理技術
高安全等級網(wǎng)絡采用的安全技術手段種類多、部署規(guī)模大,產(chǎn)生的安全數(shù)據(jù)語義不規(guī)范、格式不統(tǒng)一,數(shù)據(jù)量大、質量低,嚴重制約數(shù)據(jù)的有效利用。運用數(shù)據(jù)治理技術對數(shù)據(jù)進行清洗、校正、轉換以及補缺等處理,可形成統(tǒng)一的、規(guī)范的網(wǎng)絡行為數(shù)據(jù)描述,使數(shù)據(jù)可理解、可融合、可關聯(lián),提升數(shù)據(jù)質量。
3.3.2 安全威脅分析技術
安全威脅分析是高安全等級網(wǎng)絡在攻防博弈中能否占據(jù)主動、先人一步的關鍵。通過設計有針對性的分析算法和分析模型,并利用行為模式、專家知識以及機器學習等人工智能技術,可有效提升安全分析的準確性和效率。
04 結語
網(wǎng)絡攻防是一個動態(tài)的博弈過程,特別是高安全等級網(wǎng)絡安全防御面對的是國家級網(wǎng)絡攻擊力量,網(wǎng)絡防御難度更大,需要采用針對性更強、更有效的安全防御機制和技術,并能夠持續(xù)跟蹤攻防技術的發(fā)展,研究對手新的攻擊手段和戰(zhàn)法,才能擁有應對各類新型安全威脅的能力。
文章來源:盤善海,裴華(中國電子科技集團公司第三十研究所,四川成都)