隨着網絡的泛化和無邊界化,網絡安全問題會越來越嚴峻。單就惡意代碼一項,就呈現出爆炸增長的趨勢。目前全球已經有 50億惡意樣本,每天還將以300萬種的速度產生。如果把惡意代碼問題看作天災的話,那麼現代網絡同時還面臨着“人禍”。“棱鏡門”事件揭露了網絡數據被監聽的事實,暴露出國家安全、網絡安全形勢嚴峻。無論數據被惡意代碼破壞,還是被黑客監聽,最終都使得安全問題迴歸到了安全體系如何建設這樣一個根本命題。
1.安全現狀
地下黑色產業鏈的發展,使得製作黑客工具、控制用戶終端、盜取用戶信息、濫用互聯網資源、攻擊受害系統等行爲形成產業化,並快速壯大,對互聯網安全造成嚴峻挑戰。新型安全攻擊方式增長迅猛,傳統技術難以應對。利用 0Day進行攻擊案例迅速增長,而 APT攻擊方式向更加多維化的方向發展,綜合運用各類攻擊手段的能力、複雜度繼續提升。網絡 IP化、IPv6、雲、物聯網的智能化發展趨勢,產生了更爲複雜的安全問題。運營商網絡往往規模龐大,安全脆弱點多,安全體系建設難以達到更好的效果,在這樣的網絡結構下,運營商骨幹網、短信系統長期受到攻擊,獲取用戶信息,難以發現,國家安全部門發現運營商重要系統中被植入特種木馬的事例也逐漸增多,在這種安全趨勢下,新的安全威脅對舊的安全體系發起了挑戰。
2.基於 P2DR安全模型的早期安全防護體系
早期的安全體系建設就是基於P2DR模型,包括 4個主要部分:策略、防護、檢測和響應。
策略(Policy):根據風險分析產生的安全策略描述了系統中哪些資源要得到保護,以及如何實現對它們的保護等。策略是模型的核心,所有的防護、檢測和響應都是依據安全策略實施的。
防護(Protection):通過修復系統漏洞、正確設計開發和安裝系統來預防安全事件的發生;通過定期檢查來發現可能存在的系統脆弱性;通過教育等手段,使用戶和操作員正確使用系統,防止意外威脅;通過訪問控制、監視等手段來防止惡意威脅。採用的防護技術通常包括數據加密、身份認證、訪問控制、授權和虛擬專用網(VPN)技術、防火牆、安全掃描和數據備份等。
檢測(Detection):是動態響應和加強防護的依據,通過不斷地檢測和監控網絡系統,來發現新的威脅和弱點,通過循環反饋來及時做出有效的響應。當攻擊者穿透防護系統時,檢測功能就發揮作用,與防護系統形成互補。
響應(Response):系統一旦檢測到入侵,響應系統就開始工作,進行事件處理。響應包括緊急響應和恢復處理,恢復處理又包括系統恢復和信息恢復。
該安全體系的好處是基於風險評估理論,將安全看做一個動態的整體。通過策略與響應來使得安全問題形成閉環,但是該安全體系並沒有對安全威脅的本質進行分析,是安全體系的初級階段的產物。
基於該安全體系,產生了一些如防火牆、入侵檢測等初期的安全產品,然後隨着BODY、大數據時代的到來,這些初期安全產品已漸漸的不能滿足我們對安全需求。所以UniNAC網絡准入控制、UniBDP數據防泄漏、UniAccess終端安全管理等管理技術冉冉升起。它們基於NACC、802.1x、EOU、WebAuth、MAB、IAB等技術,適用於無線、有線、LAN、WLAN、HUB、遠程接入等各種複雜環境,通過WEB方式對企業內外部網絡進行安全管理,強化網絡管理員對計算機終端從准入-註冊-監控-修復的全週期的安全管理。
