网络安全着千技术难点初探 ●国家计算机网络应急技术处理协调中心云晓春 互联的特性和存在的问囊 对网络安全来说,之所以称之为网络安全,一个基本的 根源是由于网络或者互联网自身存在的一些问题。那么互联 网本身有哪些特性呢?我们认为比较典型、比较重要的有四个 方面的特性: 第一个特性就是规模庞大,而且分域自治。比如互联网 在建立的时候,互联网本身是没有中心的,运行时都是各自分 别接入,然后遵循统一的标准,分别运行。通过分别接入这 个方法,最后形成一个整体。 第二个特性就是带宽持续增长,进入90年代以来,互 联网发展非常迅速,在2000年的时候,我国的互联网带宽就 是8个多G,所以这个增长速度是非常快的。 第三个特性就是互联网的协议是开放的。所谓协议开放, 主要体现在:1.可以遵循PPI协议自由接入到互联网中;2.允 许用户按照自己的需求来定制自己的软件,这是开放性方面的 一个底线。 第四个特性是应用逻辑越来越复杂。随着互联网应用越 来越广泛,各种各样新的应用层出不穷,使得这种应用也变得 越来越复杂,越来越难办。 这些特性最后导致几个问题: 1.由于它规模很大,而且各管各的,其结果是各自为了解 决自己的问题,在构建自己的安全网络时,只是为自己服务, 导致了非常明显的各自为政的现象。 2.由于带宽的持续增长,导致处理能力的增长跟不上通 讯的增长。18个月计算能力的增长可以翻一倍,而带宽的增长, 有的人说6个月翻一倍,有的人说9个月翻一倍。但不管是6 个月还是9个月,对比的结果是,这种通讯的能力增长远远高 于计算能力的增长,从而形成了处理的瓶颈。 3.协议的开放性导致安全事件层出不穷。今天把这个病 毒或者把这种类型安全事件处置了'但是明天换一个手段, 稍微变换 一种新的工具手段就会出现,始终都处于每天 疲于奔命的情况。 4.关于应用逻辑的复杂,在软件工程里面已经得到证明。 对于大规模软件来说,软件正确性是不可证明的。不可证明 意味着什么?意味着安全漏洞的出现是不可避免的。 对策分析 由上述r1.个方面的问题,我们需要在整个工作中,关注以 下方面的安全需求: 整体安全需求。既然每个人或者每个部门各管各的安全 防护措施的话,那么各扫门前雪实际上是有问题的,问题在 于你只管好了你自己家,并不意味着你就不会出问题,因为你 是作为整体的一部分接入到整个网络中的。这时你花了很多 钱,投资了很多,但是最后你该受攻击还是受到攻击,你该 受影响还是受影响。这种情况 我们就想有没有可能把大 家联合起来,形成一种全局协同的工作局面。处理瓶颈问题, 我们当然希望找到提高计算处理能力方法。协议开放和应用 逻辑复杂导致漏洞不可避免的问题,需要有比较好的处理手 段来解决,既然漏洞不可避免,那么在出事前尽可能地先发 现问题,能够防患于未然这是我们期望的。 下面从这几个方面,简单介绍 我们所从事的一些工 作。 (一)全局协同 1.异构网络安全资源的整合问题 每一个不同的部门,不同的网络,各自按照自己的要求, 已经建立了自己的防护系统,而这些系统由于各建各的,所以 从结构上、从思路上还是有差异的。有没有可能把这种自觉 自发的、无秩序的方式,通过某种方式,不断地向有秩序的 方式来转化?构建一个开放的安全管理体系的框架和标准,并 且该框架和标准应对现有的各种安全防护措施,有一定的包 容能力。大家只需要稍微做一些修改,能够纳入到这种安全 框架中。通过这种大家认可的安全框架和标准,使新建立的 安全系统能够遵循这种框架和标准,自然而然也就纳入到整 个体系中。 (二)计算效能 从计算效果的角度来说,要想提高这种计算的效果,无 外乎有两个思路: 1.高效的数据业务流分类问题 (1)基于行为特征的流识别:学习模型。既然网络数据 这么多,计算能力跟不上,那么我有没有可能把根本不可能出 现安全问题这些数据,先处理扔掉,这样就把数据规模降下 28 l匿圈l 2008¨ 来了'通过这种方法来解决安全效能的问题。(2)基于内容 特征的流识别:特征提取。事实上,我们在网络数据中更关 注的是与安全有关的协议的数据情况,需要解决的是如何区 分出与安全有关或无关的数据。这个问题实际上本质就是这 种高效数据的问题,在最初进行一个协议标志的时候,实际 上是通过端口来标志的,但是现在不一样了,网络越来越多, 所以根本不可能通过这种端口的方法简单的来区分出当前这 个数据,到底属于哪一类的数据,需要有一种方法能够比较 准确的区分每一个数据。当前国内外主流的方法,一种是基 于协议特征,把每一种协议可能的行为特征分析出来,然后 按照这个协议的特征,整理出这种行为的特征,再进行分类。 第二种是既然当前通过端口是没法识别的,就把这种协议识 别放入到内容体系里,通过一些内容特征来进行识别。这种 方法现在还属于比较初级的阶段,到最终可实时识别还是有 一定的距离。 2.安全事件的多样化和统一匹配引擎之间的矛盾消除问题 通过算法优化把算法的能力提高,要实现这种安全事件 特征的高效匹配,主要两个问题:第一,大规则集串匹配算法。 大规模名单问题,这是一个非常经典的问题,自70年代起就 有很多人来做,但到了90年代后,已经没有什么可研究的了c 现在却发现还是有问题,问题是对于匹配来说是不可能有太 多规则的,可现在光是各种恶意代码就是几.十万G,几十万G 意味着规则就是几.1十万的规模,而在几I十万规模的情况下,传 统的AC做法,或者BM做法,这些做法在这种超大规模级 的规则情况下,计算的性能都会下降。如何在大规模级的情 况下实现高效,是目前很多人关注的问题。第二,大规则集正 则表达式匹配算法。在大规模级设计的时候,我们做这种匹 配时,一种方法就是到内容体里面进行规则。而这种协议的 规则,往往是用单一特征是没法描述的,需要通过策略表模 式来描述,而策略表面临最大的问题是它需要存储开销和计 算开销是非常大的。在做这种识别的时候,完全用策略表来 描述每一种协议,就有300多种协议,普通的计算机不可能 把这300个协议、300多个规则完全编辑成模式。那么在这 种比较大的规则和有限的计算能力情况下实现这种策略表的 匹配,这是现在比较关注的一个问题。 (三)事件处置 1.隐藏特征(低速率、源欺骗)大规模攻击的监控问题 从事情处理角度来说,我们比较关注隐藏较深、多规模 攻击的监控问题。各种各样的安全事件攻击的监测算法,包 括控制方法,实际上都是有一些预算条件的。比如,当监测 一个攻击的时候,先假设它可能引起流量的异差,那么通过 流量的一些变化和规律来进行监测。但是这种预设条件的情 况,往往还是有它的适用面,但随着安全形势的发展,这种 预算条件逐渐会有问题的。因此我们认为在下一步研究中,我 们需要来为预算的条件、大的规模安全攻击的研究,包括在 没有预测的情况 对异常行为的检查,异常行为建模。 2.结构无关的数据灾备问题 现在很多人提出了各种各样的控制策略,但是还是有很 多最后防不住的。防不住怎么办?需要能够恢复过来。我们认 为已经有很多部门、很多单位在做了'尤其是各种金融机构都 建设了各种各样的灾备系统,但是现在灾备系统有一个问题, 它是一个“富人俱乐部”,有钱的部门才能做得起。只有这些 有钱的部门的重要信息系统才需要吗?不是。大量的这种中小 企业、中小部门都有这方面的需要。因此实行低成本的数据 灾备方面的研究,实际上就致力于实践,我们叫做IBC。 这里有几个比较核心的问题:第一,就是说应用无关的, 要想实现第三方备份,就是应用无关的数据快照问题。因为 第三方的备份,实际上你注意的同时,尤其是像数据库,有很 多的状态信息正在内存中存在,现在的数据,怎么样把这种 内存的状态信息和这种信息,最后给关联起来,最终能实现 真正的规模。第二,CDP数据保护,保持数据库稳定的问题。 第三,面向低数据冗余的安全存储。数据备份完后,不能让 它出问题。目前采用的方法是备份很多节点,多个副本存储, 这就意味着多种副本的开销。 (四)事前管理 1.等级保护与风险评估问题 现在所关心的是怎么样实现对于网络安全性的这种真 实、客观的分析。包括两个比较关键的问题:l_信息系统等级 保护技术实现体系结构和功能符合性检验。要具体到等级保 护的技术实现,以及实现后的功能符合性检验。2.面向非合 作网络的宏观安全态势分析。现在各种风险评估往往强调的 是一个基本条件,要评估的网络是否可靠的,需要的数据事 先可获得。我们现在有这种需求,需要评估这种大规模网络, 互联网上整体的安全态势。那么互联网整体安全态势,很多 的部分,对你来说是不可控的,对于不可控的,非合作网络来 说,你怎么对他进行评估?这是我们关心的问题。 2.未知漏洞挖掘问题 对于漏洞挖掘,有一些专家或一些非常高水平的技术人 员,逐渐由技巧化向理论化转变。可预测的未知漏洞挖掘。 我们现在漏洞挖掘往往是一种什么现象呢,就是说我今天找 到这么_个东西,那么我们希望有一天变成指导。就是说事先 知道评估出这么一个软件的实现,有可能有什么漏洞?有可能 存在的漏洞,我现在挖掘出来的有什么漏洞?这种我们需要有 一个事先的评估预测,而不是一种混乱的状态下对它进行挖 掘。无损伤运行时检测。有很多系统已经是运行起来的,如 证,而我们关注目标是大规模的网络环境下,做行为模拟。如 果运行后想知道它有没有可能存在一些问题?这时候你对它进 何—方面能够保证模拟的真实性,另—方面又能把复杂度降低, 行探测的时候还不能对它造成伤害,那么怎么实现:无损伤的 来实现大规模的模拟。多模式(模拟、模型、知识推理)结合 运行监测?这是我们需要关注的问题。 的网络安全行为建模。多模式的、模拟的结果形成模型的方法, 3.高性能大规模网络行为模拟的抽象建模问题 实现网络安全行为的减低,这是我们当前比较关注的问题。 对高可信、低复杂度的大规模网络行为的模拟,实际上 总而言之,大规模网络的客观属性决定了网络安全问题 是要应用于安全态势的预测。有没有可能事先能大致知道,下 将在一段时间内长期存在。网络安全技术将随攻守双方的对 一步有可能会出现什么样的安全问题,如果出现某种安全问 抗不断向前演进。◆ (责编张岩) 题的话,会产生什么样的后果?这时候实际上本质就是一个行 (根据第23次全国计算机安全学术交流会会议录音整 为模拟。因为现有的模拟器通常是针对目标非常精细化的验 理) 奥逗安保与信息安全保障 ■航天科工集团706所王晓程 奥运安保科技系统是一个专用名词,指专门在奥运场馆 全防护的动态管理,也就集中式安全管理。与集中对应的是 内运营的专用软件系统或应用系统。比如,电子系统,奥运安 一种分布式的安全管理,从表面上看,管理分布有100多个 保指挥系统等。奥运安保指挥系统是由中国航天科工集团统 点的网络,采取分布式管理方式是不是会比采取集中式管理 一来承担的。该系统是奥运赛场安保、指挥、运行的一个核 方式要好呢?通过实际分析得出,因为奥运会赛事比较集中, 心系统。航天科工集团706所承担了整个奥运安保科技系统 且同时使用的部门人员也相对集中和规范,所以应采取集中 的安全保障工作,主要有:整个奥运安保科技系统基础网络 式的安全管理。那么这里需要解决的问题是分散系统和设备 建设,以及基础网络上的应用系统,包括电子发动、安保指挥 的安全。安全策略的动态管理就是解决这个问题的方法,它 等系统,同时还负责了“好运北京”测试赛、奥运会、残奥会, 最终体现为—整套定制的安全管理。 长达一年时间的整个网络系统和应用系统运行的安全工作。 2.安全态势的检视 (一)奥运安保科技系统 由于这个网是非常大,且用户数非常多,同时负责方、组 奥运安保科技系统安全是基础网络的安全,该网络具有 织方和具体用户都要看整个网络的安全状态,摆在面前的是 节点多、分布广、应用多的特点。物理分布范围,它分为竞赛 如何把一个统一的安全态势展现给大家,还要让不同领域的 场馆、训练场馆,加起来大概有100多个大大小小的网络局 人、不同层面的人都能够看得懂,这是要解决的一个关键问题。 域网或者群网。应用多样,业务复杂,包括电子发动系统、安 所以采用了集中式的监测显示,掌控各个网络整体完全运行 保系统、数据和视频的多种类型的业务流。同时,网络连接多, 态势,更值得提出的是除了安全事件,网络流量、网络事件和 涉及网络应用、用户终端服务器等各个层面的安全,不仅包括 应用系统的一些基本事件,也都统一集中在安全态势中展示 竞赛场馆,还包括100多个训练场馆。针对这种特点,做了以 出来。 下,乙个方面的工作: 3.动态的安全测试评估 1.设计整个奥运安保科技系统的信息安全保障体系规划框架 该网络的应用系统需要动态接入,要保证这种接入的安 该设计是从应用系统建设开始之初,自基础网络建设起 全,就必须对它进行一个充分的评估。通过评估后才能接入, 就从顶层进行了信息安全保障体系的规划和设计。同时与用户 如果不符合这个策略,就会被断开。另外还有运营评估,由 和组织单位一起制定了安全管理规范和相应标准。具体的基 第三方监测评估机构对运行过程都要做到评估。 础工作分为:综合安全防护、集中式的安全监护管理、动态 4.应急响应 安全测试评估和应急集中响应。其中最关键的问题是综合安 要做到系统内部和网络系统的协同、应用系统的协同,