|
基于主動(dòng)防御技術(shù)的安全防護(hù)
(作者未知) 2009/11/30
(接上頁)入侵者的一切信息、使用的工具��、策略及目的等����。
另一種技術(shù)是取證技術(shù),它包括靜態(tài)取證技術(shù)和動(dòng)態(tài)取證技術(shù)�����。靜態(tài)取證技術(shù)是在已經(jīng)遭受入侵的情況下���,運(yùn)用各種技術(shù)手段進(jìn)行分析取證工作���,F(xiàn)在普遍采用的正是這種靜態(tài)取證方法,在入侵后對(duì)數(shù)據(jù)進(jìn)行確認(rèn)�����、提取�����、分析,抽取出有效證據(jù)��,基于此思想的工具有數(shù)據(jù)克隆工具���、數(shù)據(jù)分析工具和數(shù)據(jù)恢復(fù)工具�。目前已經(jīng)有專門用于靜態(tài)取證的工具����,如GuidanceSoftware的Encase,它運(yùn)行時(shí)能建立一個(gè)獨(dú)立的硬盤鏡像,而它的FastBloc工具則能從物理層組織操作系統(tǒng)向硬盤寫數(shù)據(jù)�。動(dòng)態(tài)取證技術(shù)是計(jì)算機(jī)取證的發(fā)展趨勢,它是在受保護(hù)的計(jì)算機(jī)上事先安裝上代理��,當(dāng)攻擊者入侵時(shí)�����,對(duì)系統(tǒng)的操作及文件的修改�����、刪除���、復(fù)制����、傳送等行為�,系統(tǒng)和代理會(huì)產(chǎn)生相應(yīng)的日志文件加以記錄。利用文件系統(tǒng)的特征�����,結(jié)合相關(guān)工具���,盡可能真實(shí)的恢復(fù)這些文件信息����,這些日志文件傳到取證機(jī)上加以備份保存用以作為入侵證據(jù)�。目前的動(dòng)態(tài)取證產(chǎn)品國外開發(fā)研制的較多,價(jià)格昂貴�,國內(nèi)部分企業(yè)也開發(fā)了一些類似產(chǎn)品。
2.3調(diào)度自動(dòng)化系統(tǒng)安全模型
調(diào)度自動(dòng)化安全系統(tǒng)防護(hù)的主導(dǎo)思想是圍繞著P2DR模型思想建立一個(gè)完整的信息安全體系框架�,P2DR模型最早是由ISS公司提出的動(dòng)態(tài)安全模型的代表性模型,它主要包含4個(gè)部分:安全策略(Policy)�����、防護(hù)(Protection)、檢測(Detection)和響應(yīng)(Response)[8]�����。模型體系框架如圖1所示�。
在P2DR模型中,策略是模型的核心����,它意味著網(wǎng)絡(luò)安全需要達(dá)到的目標(biāo),是針對(duì)網(wǎng)絡(luò)的實(shí)際情況��,在網(wǎng)絡(luò)管理的整個(gè)過程中具體對(duì)各種網(wǎng)絡(luò)安全措施進(jìn)行取舍�����,是在一定條件下對(duì)成本和效率的平衡[3]����。防護(hù)通常采用傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實(shí)現(xiàn),主要有防火墻����、加密和認(rèn)證等方法。檢測是動(dòng)態(tài)響應(yīng)的依據(jù)�����,通過不斷的檢測和監(jiān)控,發(fā)現(xiàn)新的威脅和弱點(diǎn)���。響應(yīng)是在安全系統(tǒng)中解決安全潛在性的最有效的方法,它在安全系統(tǒng)中占有最重要的地位���。
2.4調(diào)度自動(dòng)化系統(tǒng)的安全防御系統(tǒng)設(shè)計(jì)
調(diào)度自動(dòng)化以P2DR模型為基礎(chǔ)����,合理利用主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)來構(gòu)建動(dòng)態(tài)安全防御體系���,結(jié)合調(diào)度自動(dòng)化系統(tǒng)的實(shí)際運(yùn)行情況�,其安全防御體系模型的物理架構(gòu)如圖2所示�����。
防護(hù)是調(diào)度自動(dòng)化系統(tǒng)安全防護(hù)的前沿����,主要由傳統(tǒng)的靜態(tài)安全技術(shù)防火墻和陷阱機(jī)實(shí)現(xiàn)。在調(diào)度自動(dòng)化系統(tǒng)�、配網(wǎng)自動(dòng)化系統(tǒng)和公司信息網(wǎng)絡(luò)之間安置防火墻監(jiān)視限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包�,防范對(duì)內(nèi)及內(nèi)對(duì)外的非法訪問�����。陷阱機(jī)隱藏在防火墻后面����,制造一個(gè)被入侵的網(wǎng)絡(luò)環(huán)境誘導(dǎo)入侵,引開黑客對(duì)調(diào)度自動(dòng)化Web服務(wù)器的攻擊���,從而提高網(wǎng)絡(luò)的防護(hù)能力���。
檢測是調(diào)度自動(dòng)化安全防護(hù)系統(tǒng)主動(dòng)防御的核心,主要由IDS�����、漏洞掃描系統(tǒng)�、陷阱機(jī)和取證系統(tǒng)共同實(shí)現(xiàn),包括異常檢測����、模式發(fā)現(xiàn)和漏洞發(fā)現(xiàn)。IDS對(duì)來自外界的流量進(jìn)行檢測,主要用于模式發(fā)現(xiàn)及告警��。漏洞掃描系統(tǒng)對(duì)調(diào)度自動(dòng)化系統(tǒng)����、配網(wǎng)自動(dòng)化主機(jī)端口的已知漏洞進(jìn)行掃描,找出漏洞或沒有打補(bǔ)丁的主機(jī)��,以便做出相應(yīng)的補(bǔ)救措施��。陷阱機(jī)是設(shè)置的蜜罐系統(tǒng)��,其日志記錄了網(wǎng)絡(luò)入侵行為�����,因此不但充當(dāng)了防護(hù)系統(tǒng)�����,實(shí)際上又起到了第二重檢測作用�。取證分析系統(tǒng)通過事后分析可以檢測并發(fā)現(xiàn)病毒和新的黑客攻擊方法和工具以及新的系統(tǒng)漏洞����。響應(yīng)包括兩個(gè)方面,其一是取證機(jī)完整記錄了網(wǎng)絡(luò)數(shù)據(jù)和日志數(shù)據(jù)��,為攻擊發(fā)生系統(tǒng)遭破壞后提出訴訟提供了證據(jù)支持。另一方面是根據(jù)檢測結(jié)果利用各種安全措施及時(shí)修補(bǔ)調(diào)度自動(dòng)化系統(tǒng)的漏洞和系統(tǒng)升級(jí)�。
綜上所述,基于P2DR模型設(shè)計(jì)的調(diào)度自動(dòng)化安全防護(hù)系統(tǒng)有以下特點(diǎn)和優(yōu)越性:
•在整個(gè)調(diào)度自動(dòng)化系統(tǒng)的運(yùn)行過程中進(jìn)行主動(dòng)防御����,具有雙重防護(hù)與多重檢測響應(yīng)功能;
•企業(yè)內(nèi)部和外部兼防�,可以以武器來威懾入侵行為,并追究經(jīng)濟(jì)責(zé)任��。
•形成了以調(diào)度自動(dòng)化網(wǎng)絡(luò)安全策略為核心的防護(hù)���、檢測和響應(yīng)相互促進(jìn)以及循環(huán)遞進(jìn)的����、動(dòng)態(tài)的安全防御體系����。
3結(jié)論
調(diào)度自動(dòng)化系統(tǒng)的安全防護(hù)是一個(gè)動(dòng)態(tài)的過程,本次設(shè)計(jì)的安全防護(hù)模型是采用主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)相結(jié)合�����,在P2DR模型基礎(chǔ)上進(jìn)行的設(shè)計(jì),使調(diào)度自動(dòng)化系統(tǒng)安全防御在遭受攻擊的時(shí)候進(jìn)行主動(dòng)防御��,增強(qiáng)了系統(tǒng)安全性���。但調(diào)度自動(dòng)化系統(tǒng)安全防護(hù)并不是純粹的技術(shù)����,僅依賴安全產(chǎn)品的堆積來應(yīng)對(duì)迅速發(fā)展變化的攻擊手段是不能持續(xù)有效的��。調(diào)度自動(dòng)化系統(tǒng)安全防護(hù)的主動(dòng)防御技術(shù)不能完全取代其他安全機(jī)制��,尤其是管理規(guī)章制度的嚴(yán)格執(zhí)行等必須長抓不懈����。
:
[1]梁國文.縣級(jí)電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)實(shí)現(xiàn)的功能.電氣化,2004,(12):33~34.
[2]丁杰,高會(huì)生,俞曉雯.主動(dòng)防御新技術(shù)及(未完�����,下一頁)
|