網(wǎng)絡安全防護體系的構建

網(wǎng)絡安全防護體系的構建

0設備之間的協(xié)同性現(xiàn)在，隨著計算機網(wǎng)絡應用向社會的深入，網(wǎng)絡系統(tǒng)的安全性和可靠性日益成為網(wǎng)絡用戶的中心。建立一個整體的網(wǎng)絡安全防護體系的關鍵,在于要求各網(wǎng)絡安全設備之間具有較高的協(xié)同性,即聯(lián)動性。聯(lián)動技術體現(xiàn)了智能化網(wǎng)絡安全管理的潮流,能夠有機整合各種網(wǎng)絡安全技術,全部部署網(wǎng)絡安全防御體系,有效提升網(wǎng)絡性能。通過聯(lián)動機制連接各功能模塊,可以對各安全設備進行功能協(xié)調和實時監(jiān)控,根據(jù)網(wǎng)絡安全狀況實現(xiàn)安全設備的配置和更改,把危害限制在最小范圍,產(chǎn)生“1+1>2”的合力,避免產(chǎn)生木桶效應本文提出了一種跨域協(xié)同與全局聯(lián)動的多區(qū)域聯(lián)動體系,可以加強通信網(wǎng)間的信息共享,促使各種安全機制、設備以及系統(tǒng)間形成優(yōu)勢互補,提升通信網(wǎng)絡的整體防御能力1系統(tǒng)研究1.1統(tǒng)一安全網(wǎng)絡組成安全自治域是由具備一定安全檢測、防護及其協(xié)調機制的設備/系統(tǒng)集合組成的物理網(wǎng)絡,如圖1所示。該網(wǎng)絡擁有統(tǒng)一安全防御策略,能夠獨立實現(xiàn)安全檢測和安全防護。該集合包括若干個受保護主機/系統(tǒng)、檢測器、控制器和一套安全管理中心。集合中的設備/系統(tǒng)均接受安全管理中心的管理。1.2基于安全自治域的護需求并相互信任的安全自治域安全區(qū)域是在同一個管理控制下由一組具有相同安全保護需求并相互信任的安全自治域組成的物理網(wǎng)絡,如圖2所示。在一個安全區(qū)域中部署一套或多套區(qū)域協(xié)同中心,各安全自治域統(tǒng)一遵循區(qū)域協(xié)同中心的策略。1.3聯(lián)動協(xié)同中心層跨域協(xié)同與全局聯(lián)動機制由設備層、安全管理層和協(xié)同中心層三個邏輯層面組成,如圖3所示。設備層。該層由分布在網(wǎng)絡中的各種安全設備、受保護網(wǎng)絡、主機和系統(tǒng)組成,是聯(lián)動協(xié)同功能的最終執(zhí)行者。安全管理層。該層由安全管理中心(SMC)組成,每個安全自治域內部署一套,直接完成各安全設備/系統(tǒng)的聯(lián)動。協(xié)同中心層。該層由處于多區(qū)域協(xié)同與全局聯(lián)動機制上層的協(xié)同中心(CC)組成,每個安全區(qū)域部署一套或多套,完成安全區(qū)域和安全自治域間的協(xié)同。1.4協(xié)同能力:安全自治域間的協(xié)同如圖4所示,跨域協(xié)同與全局聯(lián)動機制分為四個層次——安全自治域內聯(lián)動、安全自治域間協(xié)同、安全區(qū)域間協(xié)同和網(wǎng)系協(xié)同;完成協(xié)同功能需要的協(xié)同系統(tǒng)分別為安全管理中心(SMC)、一級區(qū)域協(xié)同中心、二級區(qū)域協(xié)同中心和全局協(xié)同中心。安全自治域內聯(lián)動處于整個協(xié)同聯(lián)動機制的最底層,所有的協(xié)同和聯(lián)動指令最終均在該層次執(zhí)行。域內聯(lián)動負責根據(jù)域內安全情況和所屬安全區(qū)域的統(tǒng)一策略調整域內安全設備/系統(tǒng)的策略、執(zhí)行檢測或防護任務。聯(lián)動是讓安全自治域中具備安全解決能力的元素協(xié)同工作。雖然它們各自分工不同,但勢必能構成團體的優(yōu)勢。聯(lián)動中不可忽視的核心點是要使交換機、路由器、IDS、防火墻、用戶管理系統(tǒng)和網(wǎng)元管理系統(tǒng)等擁有統(tǒng)一的溝通機制。但是,聯(lián)動思想僅僅把網(wǎng)絡中局部的安全設備整合起來共同工作,最好的效果也僅僅是維護一個局部的安全體系。對于大規(guī)模的網(wǎng)絡攻擊(如蠕蟲病毒攻擊、或DDoS攻擊),攻擊潛伏于網(wǎng)絡的各個角落,再堅固的安全體系也會被受黑客控制的信任主機攻破。為此,不僅要做好安全自治域中的安全措施“聯(lián)動”工作,還要更大范圍內實現(xiàn)對入侵的協(xié)同,將其對網(wǎng)絡的災難降低到最小。安全自治域間協(xié)同完成協(xié)調同一個安全區(qū)域內跨安全自治域的協(xié)同功能。當一個安全自治域分析安全態(tài)勢需要其他安全自治域的信息、消除隱患需要其他安全自治域的協(xié)助、檢測到針對其他安全自治域的安全事件時,可通過安全自治域的SMC的管理CC作為聯(lián)系紐帶來完成。安全區(qū)域間協(xié)同完成協(xié)調跨安全區(qū)域的協(xié)同功能。當一個安全區(qū)域分析安全態(tài)勢需要其他安全區(qū)域的信息、消除隱患需要其他安全自治域的協(xié)助、檢測到針對其他安全區(qū)域安全事件時,可通過各安全區(qū)域CC作為聯(lián)系紐帶來完成。網(wǎng)系協(xié)同由通信網(wǎng)頂層的全局協(xié)同中心參與完成通信網(wǎng)中不同網(wǎng)絡之間的安全協(xié)同。1.5聯(lián)動2,攻擊目標明確聯(lián)動是使安全自治域中具備安全解決能力的元素協(xié)同工作。域內聯(lián)動流程,如圖5所示。按照聯(lián)動操作的側重點不同,可以分為以下幾類。(1)記錄安全事件:記錄安全事件,有利于管理員的事后追查。各安全設備將檢測到的安全事件進行記錄,上報至安全管理中心。安全管理中心將其存儲于原始事件數(shù)據(jù)庫。安全管理中心默認情況自動執(zhí)行該操作,記錄所有安全事件。(2)產(chǎn)生告警信息:在安全管理中心產(chǎn)生告警信息,上報至協(xié)同中心。對所有融合后的安全事件,將采取該聯(lián)動措施。安全管理員可以設置是否告警及告警的方式。安全管理中心對安全設備上報的安全事件進行融合分析,采用系統(tǒng)設置的告警方式通知管理員,以便于管理員對入侵行為和違規(guī)行為進行處理。(3)引誘取證:將入侵行為或非法行為誘導至誘餌設備,消耗其資源并進行取證。該類聯(lián)動措施適用于所有的網(wǎng)絡入侵行為。交換機和路由器等設備將入侵和非法數(shù)據(jù)流引導至偽裝誘騙系統(tǒng)。偽裝誘騙系統(tǒng)收集入侵者或非法操作者的證據(jù)。安全管理中心完成數(shù)據(jù)的分析與設備策略的生成。(4)阻斷攻擊源或隔離被攻擊對象:這種措施實際上禁止了攻擊者對被攻擊對象的訪問。這種聯(lián)動方式可以通過配置控制器策略或終止被攻擊對象的服務等完成。當設備遭到網(wǎng)絡攻擊時、設備遭到病毒或木馬入侵時、設備成為內部攻擊者時、設備訪問非授權內容時,可以采取該類聯(lián)動響應措施。(5)檢測隱患:檢測可能對網(wǎng)絡或主機造成危害的對象。安全管理中心可以實施該種響應措施來檢查管轄設備的系統(tǒng)漏洞、配置漏洞、間諜軟件、后門軟件、病毒程序和文件的完整性等。(6)清除隱患:清除可能對網(wǎng)絡或主機造成危害的對象,包括系統(tǒng)漏洞、配置漏洞、間諜軟件、后門軟件和病毒程序等。當檢測器檢測到設備上存在安全隱患時,安全管理中心下發(fā)這類聯(lián)動策略來清除隱患。(7)調整設備運行策略:根據(jù)網(wǎng)絡環(huán)境、管轄設備配置情況或區(qū)域協(xié)同中心統(tǒng)一配置策略,調整安全設備/系統(tǒng)的檢測規(guī)則、防護規(guī)則和軟件版本等策略。(8)追蹤攻擊者:找到盡量接近攻擊發(fā)起的位置。(9)反擊攻擊者:主動對入侵者進行反擊。1.6綜合防御功能域間協(xié)同包括安全自治域間和安全區(qū)域間的協(xié)同。協(xié)同是指利用現(xiàn)有安全技術、措施和設備,將時間上分離、空間上分布而功能上互為補充的多個安全系統(tǒng)有機組織起來,從而使整個安全體系具有預防、檢測、分析、恢復和對抗等綜合防御功能,使各個安全系統(tǒng)能夠最大程度或近似最大程度地發(fā)揮其效能。域間協(xié)同的流程圖,如圖6所示。域間協(xié)同按照協(xié)同的內容分為以下幾種類型。全局策略型:由上級或可信第三方提供的統(tǒng)一工作安全策略。相互學習型:在某一安全管理域內,通過管理員行為學習得到的安全規(guī)則,在通過可信驗證后在全網(wǎng)推廣。協(xié)調防御型:對跨安全域的安全事件進行聯(lián)合打擊、封堵。風險預警型:對局部出現(xiàn)的異?，F(xiàn)象,可通知臨近域提前防御,防患于未然。來源追溯型:對出現(xiàn)的攻擊行為進行可能的來源追溯。1.6.1社區(qū)網(wǎng)絡服務的策略全局策略是由上級協(xié)同中心向下級協(xié)同中心、協(xié)同中心向安全管理中心下發(fā)的所管轄范圍內的統(tǒng)一安全策略,描述了安全需求目標、安全服務說明和信任管理等內容。這些策略包括檢測策略、控制策略、告警策略、事件分析策略、軟件升級和安全信息通告等。檢測策略指管轄范圍內需要檢測的內容、檢測粒度和設備檢測規(guī)則等?？刂撇呗允侵笇茌牱秶鷥雀鞣N資源實體的統(tǒng)一控制原則。這些對象實體可能是網(wǎng)絡部署、網(wǎng)絡地址、端口協(xié)議、應用服務、終端外設與接口、系統(tǒng)文件和信道資源等。告警策略是指告警粒度、告警方式和是否需要通報等。1.6.2創(chuàng)建執(zhí)行數(shù)據(jù)庫,進行全域上傳該協(xié)同類型是指在某一安全管理域內通過管理員行為學習得到的執(zhí)行效果較好的安全策略在通過可信驗證后在全網(wǎng)推廣,達到共同提高防御能力的目的。安全管理中心、區(qū)域協(xié)同中心都有一個安全策略數(shù)據(jù)庫。各中心生成一條新的安全策略后,系統(tǒng)將對已執(zhí)行安全策略的執(zhí)行效果進行評估。對于評估后分值較高的安全策略,安全中心將其放入安全策略共享區(qū),便于其他安全域共享。必要時,可將策略進行全域分發(fā)。各域的安全中心通過自己安全策略評估模塊,將分發(fā)下來的安全策略與已有的安全策略進行比較,并將評估的最優(yōu)安全策略更新到安全策略庫中,達到優(yōu)秀安全策略全網(wǎng)更新的目的,從而共同提高防御能力。1.6.3攻擊源及防御措施對入侵行為或違規(guī)行為進行跨區(qū)域的封堵、打擊,可以分為以下幾種情況進行處理。在理想防御點進行防御。對某個區(qū)域檢測到的安全事件,在本域內進行防御可能達不到效果,需要通過鄰域擴散方式在其他域進行封堵,以達到最佳效果。例如,對于域內某臺主機的拒絕服務攻擊,特別是分布式拒絕服務攻擊,僅僅在本域進行阻斷并不能阻止大量數(shù)據(jù)流量,且消耗邊界控制器的性能,達不到理想的防御效果。這時需要通過鄰域逐步擴散,在入侵數(shù)據(jù)流量的入口處進行封堵,以消除攻擊路徑上的攻擊流量,達到較好的防御效果。內部攻擊源截斷。大部分的入侵行為都是內部攻擊,某個區(qū)域檢測到的安全事件的源頭可能就在本域或其他安全區(qū)域內部。此時,除了在本域對入侵源進行封堵外,還需要通知源頭所屬的安全區(qū)域對其進行處理。例如,某域內主機被作為傀儡主機對其他主機進行攻擊時,需要對其進行清除后門、增強其安全性等聯(lián)動協(xié)同策略。防御措施求助。對于某域內檢測到的安全事件,域內的安全防護設備可能不具備對該事件的防護能力,需要通過上級協(xié)同中心尋求幫助,對安全事件進行處理。例如,針對安全事件需要的補丁、升級包等,可以在其他安全區(qū)域下載;本域沒有對安全事件的控制器時,直接在其他安全區(qū)域使用控制器控制安全事件源頭。1.6.4預警和報警機制對局部出現(xiàn)的異?，F(xiàn)象,可通知其他區(qū)域提前防御,防患于未然。具體地,根據(jù)預警的內容可分為兩類進行處理。入侵預警。在攻擊數(shù)據(jù)進入網(wǎng)絡協(xié)同與聯(lián)動體系的檢測范圍還未到達目標時,可能被檢測器檢測到并產(chǎn)生報警。協(xié)同中心收到安全管理中心的預警后,通過協(xié)同體系直至將預警信息傳遞至目的區(qū)域的安全管理中心,然后安全管理中心生成聯(lián)動指令提前進行封堵。擴散預警。在某域內檢測到的安全事件如果屬于易于擴散類型如病毒、蠕蟲等,則需要通過安全協(xié)同系統(tǒng)將安全事件及其防御策略進行全網(wǎng)通報。各中心收到預警信息后提前設置防御策略,遏制安全事件的擴散。1.6.5多區(qū)域協(xié)同與聯(lián)動框架對出現(xiàn)的入侵行為或違規(guī)行為進行可能的來源追溯。追溯的重點在于發(fā)現(xiàn)攻擊者的真實地址和傳輸路徑,而追蹤技術有助于提高響應的準確性。它的基本思想是以攻擊報文的相關信息為依據(jù),實現(xiàn)對攻擊源的反向追蹤?，F(xiàn)有的來源追蹤技術如鏈路測試、日志記錄、ICMP追蹤和報文標記技術,均需要網(wǎng)絡路由器的參與,以使用其特殊功能。因此,實施比較困難。多區(qū)域協(xié)同與聯(lián)動框架主要是基于對各安全管理中心、協(xié)同中心收集的安全事件的綜合分析。來源追溯分為在線追溯和離線追溯。在線追溯是指即時尋找事件來源。當某域檢測到一條安全事件時,若需要追溯其來源,則向上級協(xié)同中心發(fā)布來源追溯策略。策略包含其事件相關信息。協(xié)同中心通過協(xié)同體系將追溯策略傳播至安全管理中心和協(xié)同中心,各中心將檢測到的實時事件與追溯策略中的相關信息進行匹配,直至找到事件源頭(內部估計)或網(wǎng)絡邊界(外部攻擊)。離線追溯是指事后對安全事件進行分析來尋找事件來源。若某