摘要:
通过对军事网络、党政内网以及军工企业内网等高安全等级网络面临的安全威胁和防御需求进行深入分析,结合对PDRR、P2DR现有安全模型的研究,提出了适用于高安全等级网络安全防御的P2DAR安全模型,并设计了与P2DAR安全模型适配的安全防御体系。该体系聚焦高安全等级网络安全威胁检测、安全威胁识别等关键问题,设计了威胁感知、威胁分析以及威胁处置等安全防御技术,能够为高安全等级网络安全防御提供有效防御。
引言
网络空间作为陆地、海洋、空气空间、外层空间之外的“第五空域”(Fifth Domain),正成为各国特别是主要大国斗争与合作的新疆域。网络安全是关乎一个国家能否在“第五空域”维护自身权益和占据主动的重要保证。网络对抗也已成为国家和国家之间对抗的另一个战场。网络空间安全已经是国家战略安全不可或缺的一部分。
01 高安全等级网络安全防护特点
军事网络、党政内网、军工企业内网、电力网以及银行专网等关系到国家安全、经济发展的网络都属于高安全等级网络,是国家网络安全的重要防护对象,也是国与国之间网络对抗的重要目标。它们面临的安全威胁比互联网更大,一旦被攻击,很有可能会影响到国家安全。鉴于高安全等级网络的重要性和特殊性,它在安全防护上具有以下特点。
1.1 网络特点
1.1.1 网络隔离特性
军事网络、党政内网、军工企业内网、电力网以及银行专网等高安全等级网络通常都与互联网以及其他网络隔离。隔离有物理隔离和逻辑隔离两种方式。军事网络、党政内网以及军工企业内网一般是物理隔离。电力网和银行专网等一般为逻辑隔离。物理隔离的网络其通信线路、路由交换设备以及信息系统与其他网络没有物理连接,无法通过其他网络对其进行访问。逻辑隔离的网络与其他网络之间存在物理连接,在网络边界通过密码和安全装备实现与其他网络的隔离。
1.1.2 网络规模特性
高安全等级网络通常具有范围广、规模大以及承载业务多的特点,网络结构复杂。它既有自身独有的专用传输线路,也有租用运营商的共用传输线路。既有有线网络,也有无线网络。此外,网络用户数量大,终端类型多。
1.1.3 网络业务特性
高安全等级网络承载的业务都是非公开业务,具有一定的保密性,特别是军事网络和党政内网承载的业务密级非常高,需要防范的安全风险也更多。
1.2 安全威胁特点
1.2.1 攻击者
高安全等级网络面临的攻击者包括外部攻击者和内部攻击者。外部攻击者通常不是互联网上的黑客或一般的黑客组织,更有可能是国家层面的网络入侵者,甚至是网络战作战力量。内部攻击者通常是被外部力量收买和控制的带有特殊身份的人员,存在很强的隐蔽性。可见,高安全等级网络面临的攻击者具有身份特殊、技术水平高以及隐蔽性强等特点。
1.2.2 攻击方式
高安全等级网络自身的网络特性和攻击者的特殊性,决定了面临的攻击方式与互联网面临的网络攻击手段存在很大的差异。针对互联网目标的网络攻击,通常基于在线方式实施,即直接利用各种攻击手段攻击目标,能够及时确认攻击结果。高安全等级网络由于与外部网络隔离,外部攻击者无法使用在线的攻击方式实施攻击,需要利用攻击摆渡或临近攻击的方式实施攻击。攻击者需要有针对性地设计攻击方法和攻击程序(武器),突破网络隔离的限制。
1.2.3 攻击目的
互联网上的网络攻击通常是以获取经济利益为目标,而针对高安全等级网络的攻击则以危害国家安全利益为目标,属于国家对抗的范畴。攻击高安全等级网络的目的包括信息窃取、系统破坏和控制系统。信息窃取是攻击者通过各种攻击手段突破网络隔离限制入侵高安全等级网络内部,在各类终端、信息系统中搜集和获取特定的内部信息,并通过摆渡攻击等方式把信息传回攻击者手中。系统破坏是攻击者提前把攻击程序(武器)植入到高安全等级网络中,针对特定的目标系统在达到预设条件时发动攻击,对系统实施破坏,如瘫痪系统、毁坏数据等。控制系统是攻击者利用攻击程序(武器)事先突破高安全等级网络中的特定目标系统的控制权限,在达到预设条件时能够对目标系统发送控制指令,使目标系统按照攻击者的意图运行,如发布关闭系统、停水以及停电等非法控制指令。
1.3 安全防护特点
1.3.1 防护方式
高安全等级网络面临的攻击所具有的特殊性,决定了其防护方式与互联网安全防护的方式不同。高安全等级网络主要是防御长期潜伏和隐蔽的攻击,以及内部人员实施的安全违规行为,重点在于能够提前发现和识别网络中潜在的安全威胁,以及及时发现和阻止内部人员实施的违规行为。
1.3.2 防护目的
高安全等级网络来自外部的安全攻击在未达到预设条件或未接收到控制指令时,攻击活动主要是以目标渗透和目标发掘为主。对于这类攻击的防护以提前发现和处置威胁为主。对于内部人员实施的攻击,则主要以监测和取证为主。高安全等级网络安全防护的核心目的是要在网络内彻底消除威胁,对威胁进行溯源,并采取措施进行防范,防止威胁再次发生。
1.3.3 防护手段
高安全等级网络安全威胁和防护目的的特殊性,要求其防护手段需要有很强的针对性,重点瞄准威胁的发现和识别,能够针对安全威胁高隐蔽性和持续性特点,具备广度和深度工作的能力。
02 典型的安全防护模型
2.1 PDRR模型
PDRR模型由美国国防部(United States Department of Defense,DoD)提出,由Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)4部分组成一个持续的安全防护循环,如图1所示。
图1 PDRR安全模型
防护(Protection)是指利用各种安全防护手段对信息系统加以保护,防止外部入侵和阻止各类攻击。
检测(Detection)是指对信息系统的安全检测,重点是检测信息系统的脆弱性和网络攻击行为。
响应(Response)是指当检测发现信息系统存在脆弱性或出现网络攻击行为时,采取相应的安全防护措施针对脆弱性进行安全加固或针对攻击行为采取阻止行动。
恢复(Recovery)是指攻击阻止后,针对被破坏的系统进行系统恢复,主要包括系统功能恢复和数据恢复。
2.2 P2DR/PPDR模型
P2DR模型由美国国际互联网安全系统公司(American International Internet Security System,ISS)提出,是一个基于时间的自适应网络安全模型。该模型是在安全策略的控制下,由Protection(防护)、Detection(检测)、Response(响应)3部分形成一个完整动态的循环,如图2所示。
图2 P2DR安全模型
P2DR模型基于时间的理论基础是,网络安全相关的所有活动包括攻击行为、防护行为、检测行为和响应行为都要消耗时间,因此可以用时间来衡量一个安全体系的安全性和安全能力。
假如攻击花费的时间为Pt,威胁检测发现时间为Dt,响应时间为Rest,系统恢复时间为Rect。当Pt>(Dt+Rest)+Rect时,说明系统能够在攻击成功之前检测到威胁并采取响应措施,则认为系统是安全的。
03 高安全等级网络安全防护体系设计
3.1 P2DAR安全防护模型设计
高安全等级网络在安全防护模型的选择上,需要充分考虑所面临的安全威胁和防护目的的特殊性,不能纯粹沿用互联网安全防护模型。因此,这里在充分研究PDRR、P2DR等现有模型的基础上,以“全域感知、精准防御”作为高安全等级网络安全防御思想,设计了P2DAR安全模型。P2DAR模型在P2DR模型基础上增加了分析(Analyse)环节,通过全面感知和分析网络中的安全状态和安全行为,准确识别潜在的安全威胁,并及时制定和调整安全策略,对威胁进行响应和处置,模型如图3所示。
图3 P2DAR安全模型
防护(Protection)是指利用各种安全防护手段对信息系统加以保护,防止外部入侵和阻止各类攻击。
检测(Detection)是指对信息系统的安全状态和安全行为进行检测,全面感知信息系统的脆弱性和网络中的各类安全行为。
分析(Analyse)是指对检测的安全状态和安全行为进行深度分析研判,准确定位威胁。
响应(Response)是针对已定位的威胁实施安全防护和处置措施,阻止和消除威胁。
策略(Policy)是整个模型运转的核心,作用于防护、检测、分析和响应的全过程。
P2DAR安全模型依然遵循时间理论。假如攻击花费的时间为Pt,威胁检测发现时间为Dt,分析时间为At,响应时间为Rest,系统恢复时间为Rect。当Pt>(Dt+At+Rest)+Rect时,说明系统能够在攻击成功之前检测到威胁,进而通过分析定位确定并采取适当的处置措施,认为系统是安全的。高安全等级网络安全防护的关键是能够及时发现和识别威胁,因此分析时间At是决定Pt>(Dt+At+Rest)+Rect成立的重要因素。
3.2 安全防护体系设计
3.2.1 安全防护体系架构
高安全等级网络安全防护体系基于P2DAR安全模型设计,如图4所示。
图4 高安全等级网络安全防护体系架构
高安全等级网络安全防护体系在提供计算环境安全防护、网络安全防护以及应用安全防护等传统安全防护能力基础上,以消除外部和内部高级威胁为目标,能够对各类针对物理隔离网络的高隐蔽威胁在触发前对其进行识别和清除。安全防护体系以威胁感知为基础,威胁识别为重点,依据标准制度进行威胁处置。安全策略通过人工或自适应动态调整,作用于感知、识别、处置以及安全防护的全过程。
3.2.2 威胁感知
威胁感知基于各种安全防护技术手段,根据检测策略对网络中的终端、流量、用户、应用等网络行为和安全系统、应用系统等系统状态进行检测,第一时间感知网络中发生的攻击、违规和可疑行为,并对所有感知的行为进行记录或告警。
高安全等级网络除了对传统的网络行为进行感知之外,还需要对用户行为进行全方位感知,包括用户的入网行为、网络访问行为,特别是内部网络与外部网络的数据交换行为、信息的输入输出行为等。在网络行为感知方面,需要重点对非法外联、存储介质内外网交叉使用等行为进行感知。
3.2.3 威胁识别
威胁识别在威胁感知基础上采集汇聚各种安全防护手段检测记录的所有网络告警、行为数据和系统状态数据,根据安全数据标准和威胁识别策略处理采集的元数据,完成数据的清洗、融合和汇总,以保障数据质量和建立数据之间的关联性。威胁识别的关键在于安全分析。通过不同的分析方式和分析模型,对各类数据进行综合关联分析。通过数据之间的关联关系和不同网络行为之间的映射关系,分析出现有安全防护手段无法识别的安全威胁,如APT攻击。通过数据的关联分析能够对安全威胁进行溯源,生成攻击行为轨迹,实现对威胁的精准定位。必要时,需通过人工研判对识别出来的安全威胁进行进一步的人工验证和确认。安全威胁分析流程设计如图5所示。
图5 安全威胁分析流程设计
高安全等级网络防护除了能够及时发现网络中传统的网络攻击外,如病毒传播、网络扫描、分布式拒绝服务攻击(Distributed Denial of Service,DDoS)攻击等,更重要的是能够及时发现通过供应链或网络摆渡攻击潜入内部网络的对特定目标、非传统攻击手段的安全威胁。这类安全威胁利用传统的防病毒、入侵检测系统(Intrusion Detection System,IDS)以及防火墙等技术手段无法识别,需要有针对性地建立相应的分析模型,包括供应链攻击分析模型、网络摆渡攻击分析模型等,并利用大数据分析、数据挖掘和人工智能技术进行综合分析和识别。
3.2.4 威胁处置
根据应急响应处置流程和处置预案,对已确认的安全威胁进行处置,主要工作包括取证分析、策略调整、系统加固和系统恢复。处置的目的是消除威胁,并防止威胁再次发生。其中,取证分析是高安全等级网络防护威胁处置的重要一环。通过取证分析不仅要对威胁进行定位和取证,更重要的是需要对威胁进行溯源,准确查清威胁的来源,进入内部网络的方式和途径,涉及的终端、系统与人员,以及威胁在内网中的蔓延情况等,以便制定及时准确处置来彻底消除威胁,阻断威胁再次进入的途径。
3.2.5 安全策略
安全策略贯穿安全防御全过程,可根据安全防御需求和安全状态变化适时调整策略。需要注意,策略调整之前应进行策略的评估和验证,确保策略的正确性和有效性。
3.2.6 标准制度
标准制度是安全防御的技术规范和行动指南,保障安全防御能够有序、高效运转,主要包括安全保密标准、资产管理制度、人员管理制度和应急响应制度等。
3.3 安全防护体系关键技术
安全防御体系涉及的关键技术主要是安全数据治理技术和安全威胁分析技术。
3.3.1 安全数据治理技术
高安全等级网络采用的安全技术手段种类多、部署规模大,产生的安全数据语义不规范、格式不统一,数据量大、质量低,严重制约数据的有效利用。运用数据治理技术对数据进行清洗、校正、转换以及补缺等处理,可形成统一的、规范的网络行为数据描述,使数据可理解、可融合、可关联,提升数据质量。
3.3.2 安全威胁分析技术
安全威胁分析是高安全等级网络在攻防博弈中能否占据主动、先人一步的关键。通过设计有针对性的分析算法和分析模型,并利用行为模式、专家知识以及机器学习等人工智能技术,可有效提升安全分析的准确性和效率。
04 结语
网络攻防是一个动态的博弈过程,特别是高安全等级网络安全防御面对的是国家级网络攻击力量,网络防御难度更大,需要采用针对性更强、更有效的安全防御机制和技术,并能够持续跟踪攻防技术的发展,研究对手新的攻击手段和战法,才能拥有应对各类新型安全威胁的能力。
文章来源:盘善海,裴华(中国电子科技集团公司第三十研究所,四川成都)