从空间角度诠释安全体系架构---“花瓶”模型V3.0
发布时间:2011-07-26   作者:Jack zhai

入侵就是要意想不到,出现在你不注意的角度与方位;若你还没有看清楚入侵者是谁前就盲目动作,往往步步被动,被对手牵着走。“用空间赢得时间”是安全设计的常用理念,空间换取的是你可以反应和准备的响应时间。在现实生活中这很容易理解,但在“虚拟的网络上”,如何建立网络空间的概念,如何设计安全体系架构呢?


花瓶模型(V2.0)是从时间维度去解读信息安全架构,是以安全事件为主线,从安全事件的发生过程,给出了对应的安全措施:发生前部署防护策略,发生中监控异常与应急处理,发生后审计取证与调整升级,这是一个可循环的、动态的安全防护体系。


建立网络空间概念,先了解网络功能划分。下图给出了网络功能上的结构示意图(非公众服务网络),共分五个大功能区:核心是网络“总线”区域,数据中心、服务中心是服务提供区域,业务管理中心、运行维护中心(网管与安管的结合)、第三方维护区是管理区域,用户接入区与远程用户接入区是网络的内部用户区域,互联网是外部区域,互联网上的用户具有不可追查性,因为即使发现有不法分子,也不是本网络管理人员可以处理的,需要公安的界入才有可能。


从空间的维度看,网络分为外部与内部,内部有分为服务区域与用户区域,服务区域有分为服务提供区域与维护管理区域。安全架构的目标是:既要防止外部的“入侵与攻击”,又要防止内部的“有意与无意的破坏”,安全结构分为“防护-监控-信任”三大体系,对应为边界上的防护、内部网络的监控、内部人员的信任管理,我们称为“花瓶模型V3.0”:


1.防护体系:


抵御外部的攻击与入侵是网络安全的基本保障基线,防护体系就是构筑网络边防线。防护的关键点在网络的“边界”,也就是进出网络的比经关口点,通常有下面几个地方:


Ø  网络出入口:一般是局域网与广域网的接口,通常是与互联网的出口,不仅是外部入侵的通道,还是外部攻击(如DDOS)的通常目标


Ø  终端:用户访问网络资源的入口,也是病毒、木马传播的汇集地


Ø  服务器:普通人员只能通过应用访问到服务器,而维护人员则可以直接访问服务器,尤其是大型服务器设备,厂家提供远程管理维护,任何“误操作”与“好奇”都可能成为“灾难”扩散点,当然这里也是高级黑客经常光顾的地方,也外部攻击的常见目标之一


Ø  数据交换区:为了网络有效隔离,建立网络间的数据专用过渡区,成为网络互联的“流量净化池”,众矢之的,当然也是入侵者“展示”其技术的地方


Ø  安全子域的边界:把大网络划分为小的区块(常见的安全域“3+1划分”模式:服务域、核心域、接入域、管理域),在子域边界上安装“安全门”,可以避免一个区域的安全问题,波及到其他区域


这五个“边界点”的防护体系部署的重点,称为“五边界”。


防护体系的主要工作是根据安全策略,部署相应的安全措施。边界一般都是网络接口,所以网络层的安全措施为多,如FW/IPS/AV/UTM/VPN/防垃圾/网闸等,Web服务前还有WAF/防DDOS等,优化服务一般还选择流量控制/流量压缩等设备;网络防护的同时,终端与服务器上还需要安装防病毒、防木马等基本安全软件;另外,终端与服务器的补丁管理(系统与应用),病毒库、攻击库的及时升级,都是提供自身免疫能力的保证,在防护体系中是不可或缺的。


边界清晰,服务流向明确,是边界安全防护的前提,因此安全方案设计一般都是从安全域的划分开始。

 

2.监控体系:


初步“交手”发生在边界上,但对于入侵的高手而言,进大门只是他的“基本功”;混过边界检查,安全任务就要交给监控体系了。监控体系的任务是发现异常,揪出 “黑手”,从设备状态到网络流量、从服务性能到用户行为的各种“可疑”点,全局报警,及时应对。监控体系的目标是做到网络的可控性,可控就是安全的保证。

 

监控的特点是点越细越好、范围越全面越好。安全需要监控的层面很多,我们一般采用“先中心、后边缘,先重点,后一般”的策略,具体监控的内容如下:


Ø  入侵监控:黑客、木马、蠕虫、病毒是安全监控的重点,它们的特点是有“活体特征”,在没有发作的传播阶段,就可以发现。在网络的核心、汇聚点要部署网络层的监控体系,同时还要对服务器、终端主机上进行监控,尤其是隐藏在应用、加密通道内部的入侵行为。网络IDS与主机IDS是相互配合的监控体系,是不可分割的


Ø  异常监控:对“破坏行为”、“偷盗行为”的及时发现,是减少损失的前提。这里的“异常”有两种表现方式,一是不合乎常规逻辑的动作,如建立你没有想访问站点的连接,可能就是木马在“回家”的操作;你没有网络应用,网卡却忙碌不止,也许是蠕虫已经发作…二是与以前相同条件下表现的不同,如下班时间突然有访问核心数据库的行为,休息时间的网络流量突然增大…异常往往是破坏行为的开始,发现越早,损失会越小


Ø  状态监控:网络是IT信息系统的承载,网络设备的正常运行是业务服务正常的保障,需要了解的状态信息有:网络设备的状态、服务器的状态、终端的状态...也包括它们运行工作的动态信息,如CPU的占有率、进程的生死、硬盘空间的剩余等


Ø  流量监控:网络是信息流,流量的动态变化往往是网络安全状态的晴雨表,若能及时显示网络核心到汇聚的流量分布,也是业务调配管理的重要依据,这有些像城市的交通管理,流量的牵引是避免拥堵的重要手段。流量好比是网络的公共安全,当然攻击破坏往往也是从制造流量拥堵开始的


Ø  行为监控:这个要求主要是针对有保密信息的安全需求,多数是内部人员的监守自盗或“无意”丢失,信息泄密是保护的重点,需要安装非法外联、移动介质使用监控等措施。网络数据是电子化的,数据在处理的过程中,拷贝、打印、邮件时,都可能泄露出去,所以对终端、服务器的各种外联接口行为进行监控是必需的


这五种行为、状态的监控是监控体系关注的重点,我们称为“五控点”。


监控体系是网络的“视频监控”系统,不仅是为了及时发现“异常”,及时调整,而且可以在处理安全事件的时候,作为即使了解现场反馈,反映网络安全态势的应急调度平台。


3.信任体系:


对于外来者我们可以阻止他的进入,但对于内部用户,我们必须信任他,提供相应的服务,那么,我们如何区别内部人员与入侵者呢,如何判别合法的用户是否做了“非法”的事情呢?这就是信任体系的工作职责。在 “花瓶”模型的时间维度中,我们对于内部人员采用事后审计的方式,就是说让你先去做,有了不“合法”行为的时候,再处理你。如何审计的到位?就是建立完备的信任体系。


信任体系的核心就是对每个用户的权限进行定义,限制你在网络中的各种行为,超出权限的动作就是“违法”行为。信任体系面对的都是“良民”,所以网络层面的控制措施一般难有作为,而更多的是深入业务应用系统内的安全架构,因为目前的业务系统逐渐庞大,往往是限制你可以访问一个应用的某些功能,而不是全部,后者系统的某些数据不限制你的访问,仅仅控制你可访问的服务器业务系统,已经很难到达目的了。

 

信任体系的起点是用户,不是终端,这一点与手机不一样。所以我们先把用户分一下类:


Ø  普通用户:网络的一般用户,只能通过业务服务提供的通道访问,行为上比较容易控制,主要是终端上的安全管理,由于点多人杂,管理比较复杂


Ø  特殊用户:领导的特殊需求,或为了适应业务灵活性组成的临时工作组(SOA架构模式下经常出现的),他们工作跨部门、跨服务,需要打通很多网络控制,防火墙等安全防护体系对他们来说,很“合理”地穿透,安全体系上很容易产生权限定义的漏洞


Ø  系统管理员:他们是系统的特殊使用人群,不仅可以从业务访问通道访问业务服务器,而且可以直接登陆服务器或各种安全设备,他们有建立帐号与更改权限的特殊权利


Ø  第三方维护人员:这是一个不可忽视的群体,IT系统比较复杂,技术含量高。厂家与开发商的维护是不可避免的,很多业务系统是边上线使用边开发调整的,他们一般很容易取得系统管理员的权限,甚至更高的权限(如厂家后门、系统调试代码等),他们在线上的误操作可能导致整个系统的灾难,他们有很多窥视保密数据的机会与时间


信任体系是一个过程的管理,可以分为用户登录、访问控制、行为审计三个过程,用户登录时需要身份鉴别,验证用户的身份;访问控制时需要验证用户的权限,验证是否有访问的权利;行为审计时需要验证用户的动作是否符合要,是否合乎规定,最后完成验证-授权-取证的过程,我们称为“三验证”。


 
从“网络空间”上分析,安全架构为“防护-监控-信任”三大体系,防护体系分为“五边界”部署,监控体系内含有“五控点”监控,信任体系分为“三验证”过程。


三个体系关注安全的重点不同,使用的技术不同,大部分网络对边界防护比较关注,对信任体系大多停留在网络登录的身份认证层次上,与应用的结合、授权管理目前都处于刚起步阶段;监控体系是一个长期的、持续的、但又不容易看到效果的的工作,但随着网络灾难的增多,全网络的监控体系已经逐渐被人们认知。

 

“花瓶”模型提供了安全架构,同时体现了这三个体系的相互配合、缺一不可。在网络这个虚拟的、无所不在的“世界”里,建立一个安全的、和谐的“生活环境”,与现实社会是一样重要的。

文章来源:
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号