信息网络安全技术及发展趋势
信息网络安全技术及发展趋势
郑志彬博士,中国通信标准化协会(C C S A)网络与信息安全技术委员会无线网络安全工作组组长、国家商用密码应用总体技术组核心专家、广东省保密委员会专家委员,长期从事网络安全、密码应 用技术、无线安全等技术领域的研究,现任华为公司安全与存储产品线营销工程部部长。
文/郑志彬
安全威胁攻击方法的演进
去的一年里,重大信息安全事件的发生率确实已 经有所下降,往年震动业界的安全事件几乎没有 发生。但是在这种较为平静的表面之下,信息安 全的攻击手段正变得更具有针对性,安全形势更加严峻。信
息安全威胁方式的演进主要体现在如下几个方面。
实施网络攻击的主体发生了变化
实施网络攻击的主要人群正由好奇心重、炫耀攻防能力 的兴趣型黑客群,向更具犯罪思想的赢利型攻击人群过渡, 针对终端系统漏洞实施“zero-day攻击”和利用网络攻击获取 经济利益,逐步成为主要趋势。其中以僵尸网络、间谍软件 为手段的恶意代码攻击,以敲诈勒索为目的的分布式拒绝服 务攻击,以网络仿冒、网址嫁接、网络劫持等方式进行的在 线身份窃取等安全事件持续快增,而针对P2P、I M等新型网络 应用的安全攻击也在迅速发展。近期以“熊猫烧香”、“灰 鸽子”事件为代表形成的黑色产业链,也凸显了解决信息安 全问题的迫切性和重要性。
企业内部对安全威胁的认识发生了变化
过去,企业信息网络安全的防护中心一直定位于网络边
界及核心数据区,通过部署各种各样的安全设备实现安全保 障。但随着企业信息边界安全体系的基本完善,信息安全事 件仍然层出不穷。内部员工安全管理不足、员工上网使用不 当等行为带来的安全风险更为严重,企业管理人员也逐步认 识到加强内部安全管理、采取相关的安全管理技术手段控制 企业信息安全风险的重要性。
安全攻击的主要手段发生了变化
安全攻击的手段多种多样,典型的手段包含拒绝服务攻 击、非法接入、I P欺骗、网络嗅探、中间人攻击、木马攻击以 及信息垃圾等等。随着攻击技术的发展,主要攻击手段由原来 单一的攻击手段,向多种攻击手段结合的综合性攻击发展。例 如结合木马、网络嗅探、防拒绝服务等多种攻击手段的结合带 来的危害,将远远大于单一手法的攻击,且更难控制。
信息安全防护技术综述
信息网络的发展本身就是信息安全防护技术和信息安全 攻击技术不断博弈的过程。随着信息安全技术的发展,我们 经历了从基本安全隔离、主机加固阶段、到后来的网
络认证阶段,直到将行为监控和审计也纳入 安全的范畴。这样的 演变不仅仅是为了避免 恶意攻击,更重要的是为了提 高网络的可信度。下面分析信息网络中常
用的信息安全技术和网络防护方法。
基本信息安全技术
信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和 不可否认性,进而又发展为“攻(攻击)、防(防 范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。目前 信息网络常用的基础性安全技术包括以下几方面的 内容。
身份认证技术:用来确定用户或者设备身份的 合法性,典型的手段有用户名口令、身份识别、P K I 证书和生物认证等。
加解密技术:在传输过程或存储过程中进行信 息数据的加解密,典型的加密体制可采用对称加密 和非对称加密。
边界防护技术:防止外部网络用户以非法手段 进入内部网络,访问内部资源,保护内部网络操作 环境的特殊网络互连设备,典型的设备有防火墙和 入侵检测设备。
访问控制技术:保证网络资源不被非法使用和 访问。访问控制是网络安全防范和保护的主要核心 策略,规定了主体对客体访问的限制,并在身份识 别的基础上,根据身份对提出资源访问的请求加以 权限控制。
主机加固技术:操作系统或者数据库的实现会 不可避免地出现某些漏洞,从而使信息网络系统遭 受严重的威胁。主机加固技术对操作系统、数据库 等进行漏洞加固和保护,提高系统的抗攻击能力。
安全审计技术:包含日志审计和行为审计, 通过日志审计协助管理员在受到攻击后察看网络日 志,从而评估网络配置的合理性、安全策略的有效 性,追溯分析安全攻击轨迹,并能为实时防御提供 手段。通过对员工或用户的网络行为审计,确认行 为的合规性,确保管理的安全。
检测监控技术:对信息网络中的流量或应用内容进行二至七层的检测并适度监管和控制,避免网 络流量的滥用、垃圾信息和有害信息的传播。
网络安全防护思路
为了保证信息网络的安全性,降低信息网络所 面临的安全风险,单一的安全技术是不够的。根据 信息系统面临的不同安全威胁以及不同的防护重点 和出发点,有对应的不同网络安全防护方法。下面 分析一些有效的网络安全防护思路。
■基于主动防御的边界安全控制
以内网应用系统保护为核心,在各层的网络边 缘建立多级的安全边界,从而实施进行安全访问的 控制,防止恶意的攻击和访问。这种防护方式更多 的是通过在数据网络中部署防火墙、入侵检测、防 病毒等产品来实现。
■基于攻击检测的综合联动控制
所有的安全威胁都体现为攻击者的一些恶意网 络行为,通过对网络攻击行为特征的检测,从而对 攻击进行有效的识别,通过安全设备与网络设备的 联动进行有效控制,从而防止攻击的发生。这种方式主要是通过部署漏洞扫描、入侵检测等产品,并实现入侵
检测产品和防火墙、路由器、交换机之间的联动控制。
■基于源头控制的统一接入管理
绝大多数的攻击都是通过终端的恶意用户发起,通过对 接入用户的有效认证、以及对终端的检查可以大大降低信息 网络所面临的安全威胁。这种防护通过部署桌面安全代理、 并在网络端设置策略服务器,从而实现与交换机、网络宽带 接入设备等联动实现安全控制。
■基于安全融合的综合威胁管理
未来的大多数攻击将是混合型的攻击,某种功能单一的 安全设备将无法有效地对这种攻击进行防御,快速变化的安 全威胁形势促使综合性安全网关成为安全市场中增长最快的 领域。这种防护通过部署融合防火墙、防病毒、入侵检测、 VPN等为一体的UTM设备来实现。
■基于资产保护的闭环策略管理
信息安全的目标就是保护资产,信息安全的实质是“三 分技术、七分管理”。在资产保护中,信息安全管理将成为 重要的因素,制定安全策略、实施安全管理并辅以安全技术 配合将成为资产保护的核心,从而形成对企业资产的闭环保 护。目前典型的实现方式是通过制定信息安全管理制度,同时采用内网安全管理产品以及其它安全监控审计等产品,从
而实现技术支撑管理。
信息网络安全防护策略
“魔高一尺,道高一丈”,信息网络的不断普及,网 络攻击手段也不断复杂化、多样化,随之产生的信息安全技 术和解决方案也在不断发展变化,安全产品和解决方案也更 趋于合理化、适用化。经过多年的发展,安全防御体系已从 如下几个方面进行变革:由“被动防范”向“主动防御”发 展,由“产品叠加”向“策略管理”过渡,由“保护网络” 向“保护资产”过渡。
根据对信息网络安全威胁以及安全技术发展趋势的现状 分析,并综合各种安全防护思路的优点,信息网络安全防护 可以按照三阶段演进的策略。通过实现每一阶段所面临的安 全威胁和关键安全需求,逐步构建可防、可控、可信的信息 网络架构。
信息网络安全防护演进策略
信息网络安全防护演进将分为三个阶段。
■第一阶段:以边界保护、主机防毒为特点的纵深防御阶段
纵深防御网络基于传统的攻击防御的边界安全防护思 路,利用经典的边界安 全设备来对网络提供基 本的安全保障,采取堵 漏
洞、作高墙、防外攻 等防范方法。比如通过 防火墙对网络进行边界 防护,采用入侵检测系 统对发生的攻击进行检 测,通过主机病毒软件 对受到攻击的系统进行 防护和病毒查杀,以此 达到信息网络核心部件 的基本安全。防火墙、 入侵检测系统、防病毒 成为纵深防御网络常用的安全设备 , 被称为 “老三样”。
随着攻击技术的发展,纵深防御的局限性 越来越明显。网络边界越来越模糊,病毒和漏洞种类越来越多,使得病毒库和攻击特征库越来越庞大。新的攻击特别是网络病毒在短短的数小时之内足 以使整个系统瘫痪,纵深防御的网络已经不能有效解决信息网络 面临的安全问题。这个阶段是其它安全管理阶段的基础。
■第二阶段:以设备联动、功能融合为特点的安全免疫阶段
该阶段采用“积极防御,综合防范”的理念,结合多 种安全防护思路,特别是基于源头抑制的统一接入控制和安 全融合的统一威胁管理,体现为安全功能与网络设备融合以 及不同安全功能的融合,使信息网络具备较强的安全免疫能 力。例如网络接入设备融合安全控制的能力,拒绝不安全终 端接入,对存在安全漏洞的终端强制进行修复,使之具有安 全免疫能力;网络设备对攻击和业务进行深层感知,与网络 设备进行全网策略联动,形成信息网络主动防御能力。
功能融合和全网设备联动是安全免疫网络的特征。与纵 深防御网络相比,具有明显的主动防御能力。安全免疫网络 是目前业界网络安全的主题。在纵深防御网络的基础上,从 源头上对安全威胁进行抑制,通过功能融合、综合管理和有 效联动,克服了纵深防御的局限性。
■第三阶段:以资产保护、业务增值为特点的可信增值阶段
可信增值网络基于信息资产增值的思想,在基于资产保 护的闭环策略管理的安全防护思路的基础上,通过建立统一 的认证平台,完善的网络接入认证机制,保证设备、用户、 应用等各个层面的可信,从而提供一个可信的网络环境,促 进各种杀手级应用的发展,实现信息网络资产的增值。
在可信增值网络中,从设备、终端以及操作系统等多个 层面确保终端可信,确保用户的合法性和资源的一致性,使 用户只能按照规定的权限和访问控制规则进行操作,做到具 有权限级别的人只能做与其身份规定相应的访问操作,建立 合理的用户控制策略,并对用户的行为分析建立统一的用户信任管理。
从业界的信息安全管理发展趋势来看,基本上会遵循 上述的三个阶段来发展。目前还处于第二阶段,第三阶段的 部分技术和解决方案也在开发中。下面我们详细介绍第二阶段——安
全免疫阶段。
安全免疫网络介绍
采用“堵漏洞、作高墙、防外攻”等防范方法的纵深防 御网络在过去的一段时间里对信息网络的安全管理发挥了重 要作用。但是目前网络威胁呈现出复杂性和动态性的特征, 黑客日益聚焦于混合型攻击,结合各种有害代码来探测和攻击系统漏洞,并使之成为僵尸或跳板,再进一步发动大规模组合攻击。攻击速度超乎想象,已经按小时和分钟来计算, 出现了所谓大量的零日或零小时攻击的新未知攻击。纵深防 御网络已经不能胜任当前的网络安全状况。
用户更需要零距离、多功能的综合保护。安全能力与网 络能力的融合,使网络具备足够的安全能力,将成为信息网 络发展的趋势。安全免疫网络基于主动防御的理念,通过安 全设备融合网络功能、网络设备融合安全能力,以及多种安 全功能设备的融合,并与网络控制设备进行全网联动,从而 有效防御信息网络中的各种安全威胁。
免疫网络具备以下两大特点。
■产品、功能和技术的融合
在安全免疫网络中,安全功能将与网络功能相互融合, 同时安全功能之间将进行集成融合。此时,在安全产品中可 以集成数据网络应用的网卡、接口技术、封装技术等,如E1/ T1接口、电话拨号、I S D N等都可以集成进安全网关。此外, 新的安全网关技术可以支持RIP、OSPF、BGP、IPv6等协议,满 足中小企业对安全功能和路由功能融合的需求。网关安全产 品已经从单一的状态检测防火墙发展到了加入I P S、V P N、杀 毒、反垃圾邮件的U T M,再到整合了路由、语音、上网行为 管理甚至广域网优化技术的新型安全设备。
此外,在交换机、路由器甚至宽带接入设备中也可以集 成防火墙、入侵检测、VPN以及深度检测功能,而且原有的防 火墙、深度检测、VPN、防病毒等功能也可以集成在一个统一 的设备中。相关的网络设备或者安全设备可以部署在网络边 缘,从而对网络进行全方位保护。
■终端、网络和设备的联动
安全免疫网络的联动有两个核心。第一个核心是接入控 制,通过提供终端安全保护能力,在终端与安全策略设备、 安全策略设备与网络设备之间建立联动协议。第二个核心是 综合安全管理,综合安全管理中心作为一个集中设备,提供 对全网设备、主机以及应用的安全攻击事件的管理。在中心 与网络设备、安全设备之间建立联动协议,从而实现全网安 全事件的精确控制。
安全功能融合以及联动防御成为安全免疫网络的主题。 融合的作用将使安全功能更集中、更强大,同时安全设备与 路由功能的融合、安全功能与网络设备的融合将使网络对攻 击具备更强的免疫
能力;通过基于安全策略的网络联动,可 实现统一的安全管理和全网的综合安全防御。�