关于信息安全保障模式变革浅析
发布时间:2015-07-02 14:40
作者:韩立华 韩立宁 张亮 徐强
论文关键词:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式变革
论文摘要:互联网时代的来临给人们带来便利的同时也使信息安全与网络安全形势日益严峻。形形色色的漏洞层出不穷,传统的安全保障模式已经无法有效地应对当前的威胁。本文分析了信息安全形势和现状,阐述了由漏洞挖掘、漏洞利用所构成的病毒产业链对现有安全技术和理念的冲击。根据病毒产业链中各个环节的特点,提出了基于“云安全”思想的新型的安全保障模式,使之能够快速感知和捕获新的威胁,并从源头上予以监控。
l 引言
信息安全与网络安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作,稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。
近年以来,我国的信息安全形势发生着影响深远的变化,透过种种纷繁芜杂的现象,可以发现一些规律和趋势,一些未来信息安全保障模式变革初现端倪。
2 信息安全形势及分析
据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估,我国被列入防护能力最低的国家之一,排名大大低于美国、俄罗斯和以色列等信息安全强国,排在印度、韩国之后。我国已成为信息安全恶性事件的重灾区,国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
在互联网的催化下,计算机病毒领域正发生着深刻变革,病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。
传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而,现在由于整个链条通过互联网运作,从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控,已经形成了一个高效的流水线,不同的黑客可以选择自己擅长的环节运作并牟取利润,从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响:
首先,病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形,从而生产出大量新种类的病毒。面对井喷式的病毒增长,当前的病毒防范技术存在以下三大局限:①新样本巨量增加、单个样本的生存期缩短,现有技术无法及时截获新样本。②即使能够截获,则每天高达数十万的新样本数量,也在严重考验着对于样本的分析、处理能力。③即使能够分析处理,则如何能够让中断在最短时间内获取最新的病毒样本库,成为重要的问题。
其次,病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下,黑客间通过共享技术和成果,漏洞挖掘能力大幅提升,速度远远超过了操作系统和软件生产商的补丁发布速度。
再次,黑客通过租用更好的服务器、更大的带宽,为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等,高级黑客雇佣“软件民工”来编写更强的驱动程序,加入病毒中加强对抗功能。大量软件民工的加入,使得病毒产业链条更趋“正规化、专业化”,效率也进一步提高。
最后,黑客通过使用自动化的“肉鸡”管理工具,达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。
3 漏洞挖捆与利用
病毒产业能有今天的局面,与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具,这是一柄双刃剑。
3.1漏洞存在的必然性
首先,由于internet中存在着大量早期的系统,包括低级设备、旧的系统等,拥有这些早期系统的组织没有足够的资源去维护、升级,从而保留了大量己知的未被修补的漏洞。其次,不断升级中的系统和各种应用软件,由于要尽快推向市场,往往没有足够的时间进行严格的测试,不可避免地存在大量安全隐患。再次,在软件开发中,由于开发成本、开发周期、系统规模过分庞大等等原因,bug的存在有其固有性,这些bug往往是安全隐患的源头。另外,过分庞大的网络在连接、组织、管理等方面涉及到很多因素,不同的硬件平台、不同的系统平台、不同的应用服务交织在一起,在某种特定限制下安全的网络,由于限制条件改变,也会漏洞百出。
3.2漏洞挖掘技术
漏洞挖掘技术并不单纯的只使用一种方法,根据不同的应用有选择地使用自下而上或者自上而下技术,发挥每种技术的优势,才能达到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全扫描技术。安全扫描也称为脆弱性评估,其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术,人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等,从而检测出已知的安全漏洞,探查主机和网络系统的入侵点。
(2)手工分析。针对开源软件,手工分析一般是通过源码阅读工具,例如sourceinsight等,来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查,进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同,非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中,反编引擎和调试器扮演了最蘑要的角色,如ida pro是目前性能较好的反汇编工具。
(3)静态检查。静态检查根据软件类型分为两类,针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息,然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台idapro,使用自下而上的分析方法,对二进制文件中的库函数调用,循环操作等做检查,其侧重点主要在于静态的数据流回溯和对软件的逆向工程。
(4)动态检查。动态检查也称为运行时检查,基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的,各种技术往往通过融合来互相弥补缺陷,从而构造功能强大的漏洞挖掘工具。
漏洞的价值体现在利用,如果一个漏洞没有得到广泛的利用便失去了意义。通常,从技术层面上讲,黑客可以通过远程/本地溢出、脚本注入等手段,利用漏洞对目标主机进行渗透,包括对主机信息和敏感文件的获取、获得主机控制权、监视主机活动、破坏系统、暗藏后门等,而当前漏洞利用的主要趋势是更趋向于web攻击,其最终日标是要在日标主机(主要针对服务器)上植入可以综合利用上面的几种挖掘技术的复合型病毒,达到其各种目的。
4 新型信息安全模式分析
最近的两三年间,在与病毒产业此消彼涨的较量中,信息安全保障体系的格局,包括相关技术、架构、形态发生了一些深远、重大的变化,大致归纳为以下三个方面:第一,细分和拓展。信息安全的功能和应用正在从过去简单的攻击行为和病毒防范开始向各种各样新的联网应用业务拓展,开始向网络周边拓展。如现在常见的对于帐号的安全保护、密码的安全保护、游戏的安全保护、电子商务支付过程的安全保护等,都是信息安全功能和应用的细分与拓展。
第二,信息安全保障一体化的趋向。从终端用户来说,他们希望信息安全保障除了能够专业化地解决他们具体应用环节里面临的各种各样的具体问题之外,更希望整体的、一体化的信息安全解决方案贯穿业务的全过程,贯穿it企业架构的全流程。因此,许多不同的安全厂商都在进行自身的安全产品、体系架构的整合,针对性地应用到个人客户的方方面面,表现出信息安全保障一体化的趋向。
第三,安全分布结构的变化。在服务器端,不管是相关市场的投入还是企业的需要,乃至相关的企业对服务器市场的重视都在发生重大的变化。这样的变化对安全的分布结构产生了重大的影响,在这方面,各个安全厂商无论在服务器安全还是客户端安全都加入了许多新型功能,甚至都在从体系结构方面提出一些新模式。
透过技术、架构、形态的新发展,我们看到了·些规律和趋势,吏看到了一些未来信息安伞保障模式变节的端倪。既然客在互联的催化下实现产业化,那么信息安全保障呢?将互联网上的每个终端用户的力量调动起来,使整个互联网就将成为一个安全保障工具,这样的模式就是未来信息安全保障的模式,被一些机构和安全厂商命名为“云安全”。
在“云安全”模式中,参与安全保障的不仅是安全机构和安全产品生产商,更有终端用户——客户端的参与。“云安全”并不是一种安全技术,而是一种将安全互联网化的理念。
“云安全”的客户端区别于通常意义的单机客户端,而是一个传统的客户端进行互联网化改造的客户端,它是感知、捕获、抵御互联网威胁的前端,除了具有传统单机客户端的检测功能以外还有基于互联网协作的行为特征检测和基于互联网协作的资源防护功能,因此它可以在感知到威胁的同时,迅速把威胁传递给“云安全”的威胁信息数据中心。威胁信息数据中心是收集威胁信息并提供给客户端协作信息的机构,它具有两个功能:一是收集威胁信息;二是客户端协作信息的查询和反馈。首先,从“云安全”的客户端收集、截获的恶意威胁信息,及时传递给数据中心,然后传递给来源挖掘和挖掘服务集群,来源挖掘和挖掘服务集群会根据这些数据来挖掘恶意威胁的来源,通过协作分析找到源头,进而对源头进行控制,如果不能控制,则至少可以对源头进行检测。然后,将所有收集到的信息集中到自动分析处理系统,由其形成一个解决方案,传递给服务器,服务器再回传客户端,或者是形成一个互联网的基础服务,传递给所有安全合作伙伴,形成一个互联网技术服务,使整个网络都享受该安全解决方案。
概括而言,“云安全”模式具有以下特点:第一,快速感知,快速捕获新的威胁。“云安全”的数据中心可以并行服务,通过互联网大大提高威胁捕获效率。第二,“云安全”的客户端具有专业的感知能力。通过威胁挖掘集群的及时检测,可以从源头监控互联网威胁。
互联网已经进入web2.o时代,web2.0的特点就是重在用户参与,而“云安全”模式已经让用户进入了安全的2.o时代。在黑客产业化经营的新威胁的形势下,也只有互联网化的“云安全”保障模式才能与之对抗。
4 结柬语
信息安全领域认为,仅仅依靠政策、法规和保密技术是不够的,必须建立一个实体来操作,可见信息安全已经扩展成为技术保障、组织保证、法规管理的全方位的动态概念,它包括保护、检测、反应和恢复的有机结合。目前,世界信息安全策略已经发生重大调整:①从追求部件的绝对保密,变为求得系统的相对安全。②从保证纵向“管式”的信息安全,转变为保障“扁平式”纵横信息网络互联的安全。⑨顶层设计、综合开发,统筹安排设计的安全框架、安全结构和安全协议,使开发信息系统高效运行、安全互通互操作。④“三分技术,七分管理”,管用并举,重在管理。
信息技术的发展和广泛应用,正在深刻改变着人们的生活方式、生产方式与管理模式,对推进国家现代化、推进社会文明的发展产生日益重大的影响。由于信息技术本身的特殊性,在整个信息化进程中,必将带来巨大的信息安全风险。信息安全涉及到国家安全、社会公共安全和公民个人安全的方方面面。要使我们的信息化、现代化的发展不受影响,就必须克服众多的信息安全问题,化解日益严峻的信息安全风险,加大信息安全普及的力度,建立全面、系统、高效的新型信息安全防御体系。
论文关键词:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式变革
论文摘要:互联网时代的来临给人们带来便利的同时也使信息安全与网络安全形势日益严峻。形形色色的漏洞层出不穷,传统的安全保障模式已经无法有效地应对当前的威胁。本文分析了信息安全形势和现状,阐述了由漏洞挖掘、漏洞利用所构成的病毒产业链对现有安全技术和理念的冲击。根据病毒产业链中各个环节的特点,提出了基于“云安全”思想的新型的安全保障模式,使之能够快速感知和捕获新的威胁,并从源头上予以监控。
l 引言
信息安全与网络安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作,稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。
近年以来,我国的信息安全形势发生着影响深远的变化,透过种种纷繁芜杂的现象,可以发现一些规律和趋势,一些未来信息安全保障模式变革初现端倪。
2 信息安全形势及分析
据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估,我国被列入防护能力最低的国家之一,排名大大低于美国、俄罗斯和以色列等信息安全强国,排在印度、韩国之后。我国已成为信息安全恶性事件的重灾区,国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
在互联网的催化下,计算机病毒领域正发生着深刻变革,病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。
传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而,现在由于整个链条通过互联网运作,从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控,已经形成了一个高效的流水线,不同的黑客可以选择自己擅长的环节运作并牟取利润,从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响:
首先,病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形,从而生产出大量新种类的病毒。面对井喷式的病毒增长,当前的病毒防范技术存在以下三大局限:①新样本巨量增加、单个样本的生存期缩短,现有技术无法及时截获新样本。②即使能够截获,则每天高达数十万的新样本数量,也在严重考验着对于样本的分析、处理能力。③即使能够分析处理,则如何能够让中断在最短时间内获取最新的病毒样本库,成为重要的问题。
其次,病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下,黑客间通过共享技术和成果,漏洞挖掘能力大幅提升,速度远远超过了操作系统和软件生产商的补丁发布速度。
再次,黑客通过租用更好的服务器、更大的带宽,为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等,高级黑客雇佣“软件民工”来编写更强的驱动程序,加入病毒中加强对抗功能。大量软件民工的加入,使得病毒产业链条更趋“正规化、专业化”,效率也进一步提高。
最后,黑客通过使用自动化的“肉鸡”管理工具,达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。
3 漏洞挖捆与利用
病毒产业能有今天的局面,与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具,这是一柄双刃剑。
3.1漏洞存在的必然性
首先,由于internet中存在着大量早期的系统,包括低级设备、旧的系统等,拥有这些早期系统的组织没有足够的资源去维护、升级,从而保留了大量己知的未被修补的漏洞。其次,不断升级中的系统和各种应用软件,由于要尽快推向市场,往往没有足够的时间进行严格的测试,不可避免地存在大量安全隐患。再次,在软件开发中,由于开发成本、开发周期、系统规模过分庞大等等原因,bug的存在有其固有性,这些bug往往是安全隐患的源头。另外,过分庞大的网络在连接、组织、管理等方面涉及到很多因素,不同的硬件平台、不同的系统平台、不同的应用服务交织在一起,在某种特定限制下安全的网络,由于限制条件改变,也会漏洞百出。
3.2漏洞挖掘技术
漏洞挖掘技术并不单纯的只使用一种方法,根据不同的应用有选择地使用自下而上或者自上而下技术,发挥每种技术的优势,才能达到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全扫描技术。安全扫描也称为脆弱性评估,其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术,人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等,从而检测出已知的安全漏洞,探查主机和网络系统的入侵点。
(2)手工分析。针对开源软件,手工分析一般是通过源码阅读工具,例如sourceinsight等,来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查,进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同,非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中,反编引擎和调试器扮演了最蘑要的角色,如ida pro是目前性能较好的反汇编工具。
(3)静态检查。静态检查根据软件类型分为两类,针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息,然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台idapro,使用自下而上的分析方法,对二进制文件中的库函数调用,循环操作等做检查,其侧重点主要在于静态的数据流回溯和对软件的逆向工程。
(4)动态检查。动态检查也称为运行时检查,基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的,各种技术往往通过融合来互相弥补缺陷,从而构造功能强大的漏洞挖掘工具。
3.3漏洞利用
漏洞的价值体现在利用,如果一个漏洞没有得到广泛的利用便失去了意义。通常,从技术层面上讲,黑客可以通过远程/本地溢出、脚本注入等手段,利用漏洞对目标主机进行渗透,包括对主机信息和敏感文件的获取、获得主机控制权、监视主机活动、破坏系统、暗藏后门等,而当前漏洞利用的主要趋势是更趋向于web攻击,其最终日标是要在日标主机(主要针对服务器)上植入可以综合利用上面的几种挖掘技术的复合型病毒,达到其各种目的。
4 新型信息安全模式分析
最近的两三年间,在与病毒产业此消彼涨的较量中,信息安全保障体系的格局,包括相关技术、架构、形态发生了一些深远、重大的变化,大致归纳为以下三个方面:第一,细分和拓展。信息安全的功能和应用正在从过去简单的攻击行为和病毒防范开始向各种各样新的联网应用业务拓展,开始向网络周边拓展。如现在常见的对于帐号的安全保护、密码的安全保护、游戏的安全保护、电子商务支付过程的安全保护等,都是信息安全功能和应用的细分与拓展。
第二,信息安全保障一体化的趋向。从终端用户来说,他们希望信息安全保障除了能够专业化地解决他们具体应用环节里面临的各种各样的具体问题之外,更希望整体的、一体化的信息安全解决方案贯穿业务的全过程,贯穿it企业架构的全流程。因此,许多不同的安全厂商都在进行自身的安全产品、体系架构的整合,针对性地应用到个人客户的方方面面,表现出信息安全保障一体化的趋向。
第三,安全分布结构的变化。在服务器端,不管是相关市场的投入还是企业的需要,乃至相关的企业对服务器市场的重视都在发生重大的变化。这样的变化对安全的分布结构产生了重大的影响,在这方面,各个安全厂商无论在服务器安全还是客户端安全都加入了许多新型功能,甚至都在从体系结构方面提出一些新模式。
透过技术、架构、形态的新发展,我们看到了·些规律和趋势,吏看到了一些未来信息安伞保障模式变节的端倪。既然客在互联的催化下实现产业化,那么信息安全保障呢?将互联网上的每个终端用户的力量调动起来,使整个互联网就将成为一个安全保障工具,这样的模式就是未来信息安全保障的模式,被一些机构和安全厂商命名为“云安全”。
在“云安全”模式中,参与安全保障的不仅是安全机构和安全产品生产商,更有终端用户——客户端的参与。“云安全”并不是一种安全技术,而是一种将安全互联网化的理念。
“云安全”的客户端区别于通常意义的单机客户端,而是一个传统的客户端进行互联网化改造的客户端,它是感知、捕获、抵御互联网威胁的前端,除了具有传统单机客户端的检测功能以外还有基于互联网协作的行为特征检测和基于互联网协作的资源防护功能,因此它可以在感知到威胁的同时,迅速把威胁传递给“云安全”的威胁信息数据中心。威胁信息数据中心是收集威胁信息并提供给客户端协作信息的机构,它具有两个功能:一是收集威胁信息;二是客户端协作信息的查询和反馈。首先,从“云安全”的客户端收集、截获的恶意威胁信息,及时传递给数据中心,然后传递给来源挖掘和挖掘服务集群,来源挖掘和挖掘服务集群会根据这些数据来挖掘恶意威胁的来源,通过协作分析找到源头,进而对源头进行控制,如果不能控制,则至少可以对源头进行检测。然后,将所有收集到的信息集中到自动分析处理系统,由其形成一个解决方案,传递给服务器,服务器再回传客户端,或者是形成一个互联网的基础服务,传递给所有安全合作伙伴,形成一个互联网技术服务,使整个网络都享受该安全解决方案。
概括而言,“云安全”模式具有以下特点:第一,快速感知,快速捕获新的威胁。“云安全”的数据中心可以并行服务,通过互联网大大提高威胁捕获效率。第二,“云安全”的客户端具有专业的感知能力。通过威胁挖掘集群的及时检测,可以从源头监控互联网威胁。
互联网已经进入web2.o时代,web2.0的特点就是重在用户参与,而“云安全”模式已经让用户进入了安全的2.o时代。在黑客产业化经营的新威胁的形势下,也只有互联网化的“云安全”保障模式才能与之对抗。
4 结柬语
信息安全领域认为,仅仅依靠政策、法规和保密技术是不够的,必须建立一个实体来操作,可见信息安全已经扩展成为技术保障、组织保证、法规管理的全方位的动态概念,它包括保护、检测、反应和恢复的有机结合。目前,世界信息安全策略已经发生重大调整:①从追求部件的绝对保密,变为求得系统的相对安全。②从保证纵向“管式”的信息安全,转变为保障“扁平式”纵横信息网络互联的安全。⑨顶层设计、综合开发,统筹安排设计的安全框架、安全结构和安全协议,使开发信息系统高效运行、安全互通互操作。④“三分技术,七分管理”,管用并举,重在管理。
信息技术的发展和广泛应用,正在深刻改变着人们的生活方式、生产方式与管理模式,对推进国家现代化、推进社会文明的发展产生日益重大的影响。由于信息技术本身的特殊性,在整个信息化进程中,必将带来巨大的信息安全风险。信息安全涉及到国家安全、社会公共安全和公民个人安全的方方面面。要使我们的信息化、现代化的发展不受影响,就必须克服众多的信息安全问题,化解日益严峻的信息安全风险,加大信息安全普及的力度,建立全面、系统、高效的新型信息安全防御体系。
上一篇:试论企业局域网信息安全
下一篇:关于网络攻防实验技术的研究