【关键词】网络安全架构边界防御可信计算主动防御
1引言
近年来,随着信息技术的持续发展和广泛应用,各种网络攻击方式和安全事件层出不穷,网络安全面临着日益严峻的挑战。
众所周知,软硬件在开发和设计过程中存在漏洞难以避免,而不同种类的攻击方式始终层出不穷。如果对存在的风险缺乏统一的思考和防范,网络系统没有构建体系性的防御措施,网络安全防护工作就会变成一种临时性的应激操作,网络运行管理人员需要不断应对来自不同方向、不同种类的难以预测的攻击,而多数结果等同于亡羊补牢,在造成数据的失泄密后再行补救则为时已晚。为了对网络内的重要信息和设施进行保护,有必要建立一套体系性的防护框架,在攻击发生之前使系统具有防御能力,防患于未然。
世界范围内大部分国家对网络安全的重视程度越来越高,在理念、机制、举措等方面积极制定网络安全政策,构建自身的网络安全体系,提升网络安全防护能力。例如,拜登政府上台后,把网络安全作为重大的国家安全问题和首要任务,并迅速在网络安全体系形成了包括网络威胁战略认知、网络防御重点、统筹协调机制和网络防御能力等内容的四大体系架构。
为了清晰梳理网络安全架构的发展情况,本文分析总结了国内外现有的网络安全架构,从边界防御架构、纵深防御架构、零信任架构、可信计算架构4个方面进行了详细分析,介绍了每种架构的特点,并对其优点及局限性进行了探讨。在此基础上,对网络安全架构的主要发展趋势进行了展望和总结。
2常见的网络安全架构
国内外普遍认为网络安全架构应该是一个动态的、不断完善的过程,大量科研人员及学者进行了长期的研究工作,并设计了各类动态安全保障体系模型。其中,最具代表性的模型包括边界防御架构、纵深防御架构、零信任架构、可信计算架构等。
2.1边界防御架构
“边界防御”架构于2012年被国内安全企业率先提出并应用,通过在网络边界处严密设防,如代理、网关、路由器、防火墙、加密隧道等,监控进入终端的外界程序,在恶意代码尚未运行时即对其安全性进行鉴定,从而最大限度地保障本地计算机的安全。其中,4类较为常见的边界防御技术分别是防火墙技术、多重安全网关技术、网闸技术,以及虚拟专用网(VPN)技术。
边界防御架构的优势主要集中在3个方面。首先,可以快速鉴别未知文件是否安全。未知文件一旦到达网络边界,将触发边界防御对其安全性迅速做出判断,从而保证安全防护的效率。其次,无需安装专门的杀毒软件。避免传统杀毒软件对系统资源的不合理占用,解放了系统资源,同时人机界面良好,用户配置方便。最后,低成本实现有效防御。由于传统杀毒软件重客户端轻服务端,客户端对抗病毒的成本高昂,而边界防御架构只需配置防火墙等防御机制,就能控制外部网络对内部网络的访问,保障内部网络的安全。
边界防御架构虽然在网络边界处部署了防护机制,但受限于其产生的时代背景,该架构在当前来看存在一定的局限性。首先,无法防范来自网络内部的安全威胁。由于边界防御架构只在网络边界处设置防护措施,将不安全的外部威胁挡在边界外,而内部恶意用户和缺乏安全意识的用户的存在,都会给系统内部带来安全风险。其次,无法防范绕过边界防御的攻击。边界防御是单一的、静态的安全防护技术,只要携带病毒的文件通过某种手段绕过边界防御的检测,便可以进入网络内部散播病毒,威胁整个系统的安全。最后,无法抵御数据驱动型攻击。在边界防御架构中,它通常无法抵御数据投毒等数据驱动型网络攻击。这意味着,在当前以高隐蔽性复杂攻击为新安全挑战的网络环境中,边界防御正面临着极大危机。
2.2纵深防御架构
由于攻击方式的多样性,任何单一防御机制都不足以对抗所有类型的攻击,网络存在被攻破的可能性,为此“纵深防御”架构应运而生。“纵深防御”也被称为深度防护策略(DefenseinDepth,DiD),是一种采用多样化、多层次的防御措施来保障信息系统安全的策略,其主要目标是在攻击者成功破坏某种防御机制的情况下,仍能够利用其他防御机制继续为信息系统提供保护。
纵深防御架构的基本思路是将各类网络安全防护措施有机结合,针对保护对象,部署合适的安全措施,形成多道保护线,在各安全防护措施相互支持和补救下,尽可能地阻断攻击者的威胁。根据美国国防部提出的PDRR(Pro-tection,Detection,Reaction,Reco-very)模型,即防护、检测、响应、恢复4道防线,纵深防御架构通过在这些技术框架区域中实施保障机制,最大程度地降低风险,应对攻击并保护信息系统的安全。
如图2所示,纵深防御架构不是安全设备或系统的简单堆积,而是在各个层面有针对性且合理地部署各类防护或检测系统,形成系统间的优势互补,从而实现对安全态势的全面感知。纵深防御架构通过多点布防、以点带面、多面成体,形成一个多层次、立体的全方位防御体系来维护网络安全,其特点可概述为以下3点。
(1)多点防护
部署位置主要包括网络和基础设施、区域边界、计算环境和支撑性基础设施,通过在这4个重点方位布置全面的防御机制,将信息系统的安全风险降至最低。
(2)分层防御
在攻击者和目标之间部署多层防御机制,每个机制都能对攻击者形成一道屏障,且各防御机制在功能上相互协同和补充。根据网络的层次化体系结构,分层部署防护和检测措施形成了层次化的安全配置,增加攻击被检测到的概率,大大提高了攻击成本。
(3)分级防护
根据信息系统各部分的重要性等级,在对应安全强度下配置防护措施,以平衡纵深防御架构建设成本和安全需求之间的关系。
纵深防御架构虽然搭建了多层防护屏障,避免了对单一安全机制的依赖,但其仍然存在3个方面的局限性。
其次,缺乏主动防御安全威胁的机制。尽管各重点区域都部署了安全检查和防御措施,但并没有主动进行安全威胁检查和防御。随着攻击方式的不断演进、病毒特征的不断变化,如果不及时主动更新防御机制,就会有新的中毒风险。目前,一些专门用来对付纵深防御模式的高级网络攻击工具可被轻易获取,导致网络攻击数量大幅增加,以至于纵深防御架构面临巨大的安全威胁。
最后,没有考虑虚拟网络的防御问题。纵深防御架构模型主要针对传统物理信息系统设计,没有考虑云数据中心虚拟化带来的虚拟网络特点。虚拟网络运行在现有物理网络之上,具有网络边界弹性、生命周期短暂等动态特征,而传统纵深防御模型尚未考虑虚拟网络的安全防护问题。
2.3零信任架构
图3是零信任网络架构示意图。如图中所示,在零信任网络架构中,身份是零信任的基石。为了构建基于身份而不是基于网络位置的访问控制系统,首先需要给网络中的人和设备赋予相应的身份,在运行时结合识别的人和设备来构建访问主体,并设置最小访问权限。零信任架构还具有以下3个特点。
(2)持续的信任评估。持续的信任评估是零信任体系中从无到有建立信任的关键手段。通过信任评估模型和算法,可以实现基于身份的信任评估能力。同时需要判断访问上下文环境的风险,识别访问请求的异常行为,以调整信任评估结果。
(3)动态访问控制。动态访问控制是零信任架构安全闭环能力的重要体现。通常采用基于角色的权限控制(RBAC)和基于属性的权限控制(ABAC)相结合来实现灵活的访问控制基线,基于信任级别来实现分层业务访问。同时,当访问上下文和环境存在风险时,应进行访问权限的实时干预,评估访问主体的信任度。
零信任架构的局限性主要表现在权限集中、实时性与控制精度之间的矛盾、数据处理难度等方面。
2.4可信计算架构
可信计算架构的核心是基于可信且可靠设备,为设备提供给定系统状态的证据。信任被定义为对系统状态的期望,被认为是安全的,它需要可信平台模块(TPM)中可信且可靠的实体来提供有关系统状态的可信证据。TPM规范由称为可信计算组织(TCG)的国际标准组织维护和开发,TCG不仅发布了TPM规范,还发布了移动可信模块(MTM)、可信多租户基础设施和可信网络连接。
可信平台的基本框架是有一个信任根,其作用是衡量一个系统的可信度。TCG规范中的信任根结合了测量信任根(RTM)、存储信任根(RTS)和报告信任根(RTR)。RTM是一个独立的计算平台,具有最少的指令集,这些指令被认为是可信任的,用于测量系统的完整性矩阵。在典型的台式计算机上,RTM是基本输入输出系统(BIOS)的一部分,在这种情况下,它被称为测量信任的核心根(CRTM)。RTS和RTR基于独立、自给自足且可靠的计算设备,该计算设备具有预定义的指令集以提供身份认证和证明功能,这种设备称为可信平台模块(TPM)。传递信任背后的基本原理是,如果实体信任平台的TPM,它也会信任其测量。可信平台架构如图4所示。
随着对计算平台的依赖日益增加,TPM将在提供安全计算平台方面发挥越来越重要的作用。此外,普通用户也开始意识到可能导致他们激活TPM的潜在安全问题。然而,虽然TPM的采用可能会增加,但该规范并未随着计算技术的变化而改变。
3安全体系架构的发展趋势
随着云计算、物联网、移动互联网、人工智能、大数据、区块链等技术的飞速发展,传统的安全体系架构已经难以满足日新月异的网络安全需求。同时,网络面临着层出不穷的新型攻击方式。针对以上挑战,近年来国内外出现了多种新型网络安全防护技术作为对传统安全体系架构的补充,其中具有代表性的有主动防御技术、安全态势感知技术等。
3.1主动防御技术
多年来,传统安全防护构建了以系统为核心,以网络边界为防护重点的“硬壳软心”边界防御体系。传统的、静态的各类安全机制无法适应动态变化的网络安全环境,其本质上发挥的是“传感器”“探测器”作用,一旦攻击威胁突破边界进入内部网络,其被动防御机制将形同虚设。此外,被动防御缺少对网内未知的横向移动威胁的应对策略和封控办法,更不具备对攻击威胁的主动清除和溯源反制能力,无法应对高级持续的未知网络攻击。
3.2安全态势感知技术
网络安全体系架构中的网络安全产品从设备、网络、数据等不同维度提供了网络的纵深防御手段,但目前的现状是不同网络安全产品相互孤立,产品间缺乏有效协同,所采集的运行数据以及生成的大量网络告警事件无法关联,用户面对海量的告警事件难以处理,也无法掌握安全态势的全局。安全态势感知技术就是为了呈现网络安全体系的整体情况,包括对外部恶意攻击的抵御能力、对网络脆弱性的防护能力及面对内部攻击时的防失泄密能力。
网络态势感知(CyberspaceSituationalAwareness,CSA)的概念于1999年由TimBass首次提出,定义为在大规模网络环境中对引起网络态势发生变化的要素进行获取、理解、展示以及对发展趋势进行预测,从而帮助决策和行动。美国自2003年开始研制网络空间态势感知系统“爱因斯坦”,至2013年,已完成3次迭代。“爱因斯坦1”基于流量的分析技术来进行异常分析检测和总体趋势分析,“爱因斯坦2”基于深度包解析(DPI)技术实现恶意行为分析,“爱因斯坦3”基于之前的技术,结合网络攻防经验积累下来的特殊攻击特征,可实时地感知网络基础设施面临的威胁,并更迅速地采取恰当的对策。截至2019年9月,已有76个联邦民事机构完全实现了“爱因斯坦3”计划的基本能力。
在国内,安全态势感知技术的发展也受到高度重视。2021年我国网络安全重要法规《关键信息基础设施安全保护条例》中明确提到,“掌握关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作”。近几年,国内在网络安全态势感知方面具有代表性的研究性工作包括,大数据环境下的网络安全态势感知评估方法的提出,基于深度学习的网络流量分类及异常检测方法的提出,以及对网络安全威胁感知关键技术的研究。但是,目前已有的网络态势感知系统依然存在着数据源单一、难以落地实现的问题。但是越来越多的企业单位开始意识到网络安全态势感知技术对于网络风险发现、预测、响应的重要性,国内的安全厂商近些年纷纷推出包含分析和情报、响应、安全编排的态势感知系统,并广泛应用于政府、金融、电力、教育等多个行业。随着网络安全态势感知技术的发展,其将在网络安全防护中起到越来越重要的作用。
4结语
随着网络安全防护技术的复杂化,网络安全体系的构建仍是国内外的研究热点。归纳来讲,网络安全防护体系的建设不能简单依靠各种安全产品的叠加,而是需要结合不同网络架构及业务应用固有的特性,对多种安全机制进行有机融合,形成一套动态、有效、全面的整体防御体系。网络安全防护建设是一个长期、循序渐进的过程,随着网络技术的不断发展,必然会出现各种新的威胁。因此,信息安全防护建设也应随之不断完善和调整,才能构建一道保护网络信息安全的铜墙铁壁。