【转】基于主动防御的高安全军事网络防御

原文:http://mp.weixin.qq.com/s/kpDKsoV3n1A9l6yfoYqM9g

军事信息网络的特殊安全需求

军事指挥网络不同于普通信息网络,其核心任务是保障军队指挥链常时畅通、持续有效,确保指挥命令、指挥要素、指挥活动得以依托网络快速展开,在指挥链路的全时贯通、指控信息的全时受控、指挥系统的连续运行、指挥体系的安全可靠等方面有着很高的要求,导致其网络安全防护体系设计有其特殊性。现阶段主要采取传统安全保护技术手段,对军事指挥网络进行防护,并不能很好地满足指挥信息体系安全需求。其特殊性主要体现在以下 3 个方面:

**一是安全防御以可靠性作为首要目标。**在信息网络的安全保护中,主要关注的是对网络中业务数据的安全防护,着重保证数据的私密性、完整性与不可抵赖性。而在军事指挥网络中,网络的可用性是需要率先保障的,且其需要连续运行的特性决定了网络生命周期很长,指挥业务要求不间断运行,运行过程中很难对安全设备进行更新换代,也不能像信息网络那样可以晚间中止服务数个小时来更新通信协议版本或安全机制。

**二是安全弹性是军事网络的基本属性。**与普通信息网络强调“共享性”不同,军事指挥网络是典型的对抗型网络,其网络信息体系设计和安全防御架构,必须考虑从“硬摧毁”和“软杀伤”等各类网络攻击事件中“迅速恢复”能力,即弹性安全能力(Cyber Resilience)。如何确保军队指挥活动在遭受覆盖性网络攻击期间,军事网络系统能够抵挡攻击活动并快速从攻击损伤中恢复,弹性适应作战环境并保持其业务正常运转能力,是非常重要的。

**三是军事网络是高度确定性网络。**军事网络环境相对清晰明确,网络边界、终端设备、通信协议、操作行为都可以通过管理制度、强制措施等方式予以明确,在相对局部的网络环境内,其安全防护的对象是有限而清晰定义的,其网络整体的可描述性和确定性更强。

基于军事指挥网络特殊安全属性,其安全防御需求至少包括以下 3 个方面:

一是网络环境的可信性,主要是指整个网络环境必须是确定清晰且可信任的,至少涵盖网络边界、网络设备和网络交互的可信性等三个方面。

其中:边界可信是指所有网络边界都是清晰可描述的,包括终端设备的接入、终端设备上的外设接口、边界隔离交换设备配置策略等;设备可信是指所有接入网络的设备都是明确无遗漏的,所有终端设备的使用与变更要做到实时监控;网络交互可信是指网络中各个终端设备之间的交互行为是清晰可信的,包括网络交互的参与方、采用的通信协议、执行的操作行为等。

二是网络状态的可知性,主要是指网络安全管理部门对于网络当前运行的总体状态明确可知,能够及时感知其中正在发生或可能发生的安全事件,提前发现网络异常情况或正在发生的攻击活动,提升网络异常行为发现探知能力,至少涵盖设备接入、网络交互和安全事件的可知性等三个方面。

其中:设备接入可知是指各类终端设备接入网络的情况是实时可知的,包括设备数量、类型、终端属性信息等;交互活动可知是指网络内各个终端设备之间的交互情况是实时可知的,包括当前活动连接分布情况、网络流量内容情况等;安全事件可知是指网络中出现的异常流量现象或异常网络行为是实时可知的,包括可疑终端设备接入、违规外联、恶意提权操作等。

三是网络运行的可控性,主要是指网络能够在运行过程中随着网络环境的变化及时调整威胁检测规则,在网络内发现异常活动或攻击行为时能够随即采取措施,阻断其攻击活动,控制其危害范围,保证相关指挥业务系统的安全平稳运行,至少需要涵盖分布性、适应性和可恢复性等三个方面内容。

其中:控制的分布性是指网络中的安全控制点或监测设备分散在网络各个角落,无中心监测器;控制的适应性是指能够随着网络环境的变化动态调整其威胁检测能力,确保对外部安全威胁和内部异常行为的检测效率与准确性;控制的自恢复性是指网络在发现内部异常活动或外部攻击行为后,能够及时采取措施反制,自行恢复网络运转。

高安全军事网络设计思路

高安全军事网络,不是用各种绝对安全控制手段将核心网络节点和重要数据资产隔离起来,形成传统意义上的“安全孤岛”或“数字堡垒”。高安全军事网络构建,主要有以下4个着眼点:

一是创新网络体系结构,基于下一代互联网技术建立具备自认证特征的基础安全网络,解决现有网络在互联互通与安全可控之间的对立矛盾,改变当前以行政管理手段解决基础架构安全问题的尴尬局面,为军事网络安全防御体系构造打下坚实技术根基;

二是加强已有静态防御机制,将网络安全能力部署到信息化基础设施与信息系统的“每一个角落”,力求最大化覆盖构成网络的各个组成实体,实现信息化与安全防护措施“深度结合、全面覆盖”的综合防御能力;

三是建立动态信任体系,将传统网络安全技术与"可信计算"技术结合起来,改变传统安全体系"防外重于防内"却"防不胜防"的不利现状,根据不同任务场景的不同安全需求,以终端的安全可信为源头、作为信任根,从终端到网络、到应用、到服务、到数据,基于主体属性与客体保护等级之间的安全度量,建立动态信任关系(信任链),一级认证一级、一级信任一级,最终建立起覆盖整个军事网络的可信网络连接,从而提供对军事网络环境更加完善的关口控制与安全保障;

四是部署网络主动防御能力,建立威胁情报引导的网络安全态势感知与安全控制体系,持续检测网络安全风险、准确感知网络攻击征候、及时阻断网络攻击活动、完善改进网络防护措施,哪怕是在战争环境下遭受物理攻击,也能确保核心业务数据不被窃取、重要军事活动不被干扰、关键行动流程不被影响,表现出充分的业务安全弹性与自主恢复能力。

关于创新网络体系架构,高安全军事网络基于 IPv6 协议实现安全保密一体化设计,具备内生式安全特性。所谓“内生式安全”是指信实体或网络活动“天生”就带有安全免疫能力,可自认证、自检测,并能够根据认证和检测结果建立安全依赖和信任关系,并自然贯穿到终端安全、网络准入控制、路由交换、行为控制、应用交互等过程中。内生式安全网络将安全视为第一要素融入网络体系,在考虑未来网络的发展趋势的同时实现安全要素与网络功能一体化设计,我们需要从“网络安全”到“安全网络”的构想出发,建立从终端、网元、协议到应用系统具有先天安全防护和免疫能力的网络,使得基础网元是安全和可信的、接入网络的用户是可信和可控的、提供的服务和内容是无害的,摆脱网络安全被动跟随网络架构的束缚。特别是,需要从攻防实践的视角检验内生式安全机制的有效性,通过实验改进设计和运行效果。

关于加强静态防御机制,高安全军事网络的基础传输、网络承载、计算终端、信息服务等安全防护装备,以"硬件集成化、软件容器化"为指导原则,采用硬件与软件解耦的软件定义设计思路,采用具备可编程接口、可嵌入结构的国产化通用计算平台作为其基础硬件,能够根据业务应用类型、业务通联关系以及网络安全态势等多样化需求,按需加载定制后的安全服务功能插件,使得安全防护端点设备具有"算法可注入、软件可下载、硬件可扩展、功能可重构"能力,从根本上改变现有安全防护产品功能固化、单一的现状,实现通过软件插件来定义和赋予所需的安全服务功能。

关于建立动态信任体系,高效的身份管理与访问控制体系是保证军事网络高安全性、高可用性的前提。网络的元活动就是按照各种标识或地址将数据包从一个地点运送到另外一个地点,并基于此来完成各种应用功能。对通信实体各种标识的身份管理与信任关系构建是保证军事网络安全的第一道关口。网络标识、主机/设备标识、服务(应用程序)标识、内容标识、用户标识等身份标识的管理与认证,是解决源地址欺骗、拒绝服务攻击、泛洪攻击的前提,是关系到网络各个环节安全运转的关键。与此同时,考虑到这些身份标识的数量规模是海量的,基于传统公钥密码体制PKI的身份标识认证过程使用类似 CA 的可信第三方进行密钥分发与管理,产生大量通信与计算开销,有可能成为限制网络运行效率的主要瓶颈,大大降低网络可用性。

关于部署主动防御能力,高安全军事网络不应再依赖于网络安全威胁的先验知识,能够有效应对潜在未知安全威胁,全方位收集整合各类安全数据,建立威胁可视化及分析框架,及时发现各种攻击威胁与异常,全面掌握攻击前的扫描探测、攻击中的越权提权、攻击后的破坏行动等威胁情报,在此基础上,以实时威胁情报为指引,通过网络系统中协议、软件、接口等主动重构或迁移实现动态环境,在防御方可控范围内进行主动变化,动态隐藏网络特征,攻击方难以觉察和预测,从而大幅提高网络攻击难度与成本,大幅降低网络安全风险。

高安全军事网络实现关键路径

高安全军事网络以统一安全基底为基础、以安全按需赋能为核心、以智能安全管理为保障,在安全态势感知、威胁检测预警、防御能力部署机制的支撑下,形成“监测—决策—响应—防御”的动态防御体系,实现基于态势变化和安全需求的网络信息系统安全防御。其关键技术途径主要包括:内生安全基础网络、动态信任体制、多域安全可信终端,其中:基础安全网络是整个军事网络防御的基石,不解决基础架构安全问题,其他所谓被动防御、积极防御、动态防御都是浮云;动态信任体制是军事网络防御的关口,既不能让"坏人"进来,又要把"好人"放进来,而且"好"与"坏"并非一成不变,而是要持续度量持续评估;多域安全可信终端是军事网络防御的支点,终端是所有安全策略与信任关系的执行点,是所有安全措施与访问控制的落脚点,是所有安全防御活动实际效果体现的环节。

内生式安全网络

现有军事网络不具备地址真实性鉴别的内生机制,不仅容易造成源地址欺骗(Source Spoofing)、路由劫持(Hijacked Route)、拒绝服务(Denial-of-service)等攻击的发生,而且导致攻击源头和攻击者身份难以追查。军队内部运用强大的行政管理资源,将所有在线军事机构实体与IP地址进行一对一绑定,通过行政手段进行IP地址安全性验证,耗费大量人力物力且加剧了网络管理体制的僵化程度,最终效果如何也不易评价。现有的安全技术都是以修修补补的形式增加,系统性不强,基本处于被动应对状态。我们认为,造成这一问题的根本原因在于IP网络不具备审计能力,即发生问题后无法进行追责。为此,包括地址真实性鉴别在内的命名安全体系是网络安全的基础和前提,也是高安全军事网络设计亟待解决的重要问题之一。

这里我们采用IETF提出的HIP协议思路,在网络层和传输层之间插入主机标识层,IP地址只作为网络层所使用的定位标识符,实现数据报的路由转发,主机标识符 HI(Host Identity)提供主机身份标识功能,由传输层使用。双方在通信时,IP地址的变化对传输层透明,从而保证在发生移动或地址变化时,通信不中断可以持续进行,并且通信对端可以根据主机标识 HI确定移动节点身份。这里主机标识符HI使用 IPv6 地址,IP 地址还是使用 IPv4 地址,两者之间的转换使用 IPv4/v6 协议双栈完成。主机标识符 HI 的生成算法采用组合公钥体制 CPK 体制,即主机标识符 HI 作为通信实体标识送到 KMC (私钥管理中心), KMC 对 HI 进行散列变换后,生成映射序列 YS ,取 YS 序列的前 64 位为 HI 中的本地地址; KMC 使用映射序列的行列坐标得到组合矩阵,然后按照有限域上的加法得到组合私钥, KMC 将组合私钥发送给主机并在本地删除,公钥矩阵以文件形式公布;其它主机以及网络通信设备按照HI和和公钥矩阵, 查表获得其组合公钥。

将军事网络通信实体标识与 CPK 公钥签名技术结合, 能够实现主机标识符、网络标识符和公钥三者绑定, 为地址真实性提供证据(地址的签名), 并且任何路由器均可鉴别其真伪(验证签名),快速实现主机鉴别、路由通告鉴别与消息加密,能够从数据源端到目的端,保证用户身份和信息内容的真实性,保证转发过程中的真实性,从源头上保证了网络层的内生安全。

多域安全可信终端

目前军队网络信息体系中的各类终端设备,其软硬件体系结构( Wintel 架构)在很大程度不符合安全保密需要,其终端安全管控系统只能通过"打补丁、堵漏洞、建盾墙"等外挂方式,为军用终端系统运行提供安全防护能力,其防护效果无法满足军事安全要求。根据国产化替代工程实施要求,军队各类终端设备都要使用国产化硬件平台( PK 架构),如何利用此次终端软硬件体系架构变更契机,研究提出满足军事安全需求的新一代终端安全体系架构,是当前迫切需要解决的问题。

在单台国产硬件平台(飞腾或龙芯)上部署自主可控的 Hypervisor 虚拟化平台,该平台具备最高硬件权限和较小可信计算基,能够同时运行多个相互隔离的 Linux 系列操作系统(包括Android),实现单台终端对多个不同安全域的同时访问。不同 Linux 系统内可以使用来自不同安全域的数据、应用、服务,不同 Linux 系统之间保持充分的隔离性,即使某个 Linux 系统遭到恶意渗透或攻击,部署在虚拟化 Hypervisor 平台中的安全保密措施也可以确保攻击活动被限制在有限范围内。

在此基础上,将虚拟化软件栈视为一个整体,运用多层次的隔离机制、加密机制和访问控制机制,构建安全保密一体化的多层次虚拟化软件栈防护框架,通过这个框架对 Hypervisor 层、 GOS 和业务应用进行统一的行为监控、资源控制、密钥管理、虚拟机之间的隔离,以及虚拟机内部不同模块与应用之间隔离,通过多层隔离机制实现资源独立访问,通过多层访问控制实现共享资源的不同权限访问,通过多层监控机制实现整体恶意代码发现识别,通过多层密钥管理实现安全快捷的加密服务。这个统一安全架构能够从横向和纵向两个维度防护不同类型的安全威胁,还可以增加信息认证功能为用户提供确凿的运行时证据,证明其所属的数据与软件的安全。

动态信任体制

在军队传统C/S应用架构中,服务器是整个业务应用体系的核心节点,应用架构采用基于PKI和CA的静态信任机制,用于保证单机系统的可信问题。静态信任机制先构建基础的信任根,然后从信任根开始到硬件平台、操作系统、应用程序,一层认证一层,一层信任一层,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信性。新一代军事信息系统更加强调大规模业务资源共享与广域业务流程协作,更加强调扁平化指挥控制与分步式协同联动,静态信任机制不适用于当前及未来军事信息体系。

基于“零特权“理念的动态信任体制,是参考了人类社会中的信任关系而提出的用于解决分布式网络的信任管理模型。动态信任管理模型认为信任关系随时间变化而变化,需要实时在线对信任关系进行评估;认为不同任务场景下网络主体与客体之间的信任关系,需要根据主体身份属性与客体受保护等级的不同而精确度量分析,进行细粒度权限控制和特定时空范围的检测审计;认为信任关系可以传播,可以沿着业务网络中具备可信连接路径的关系路线进行传播,解决不同安全域之间身份标识按需安全互认问题;认为信任关系的构建主要依靠相当长有效时间的安全交互行为,真正管用好用的可信管理策略需要从海量通信实体交互日志中挖掘生成,人为行政管理手段只是辅助。

Avatar
sbilly

主要关注 信息安全、网络安全、系统架构、计算机、网络、开发、科技、制造等科技领域

Related

comments powered by Disqus