網絡攻防與安全滲透范文
時間:2023-09-22 17:20:24
導語:如何才能寫好一篇網絡攻防與安全滲透,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-2064(2017)01-0027-02
1 引言
隨著計算機網絡技術的快速發展及其在各領域的廣泛應用,社會各界也越來越重視信息網絡安全問題,不斷投入資源進行網絡攻防演練和信息安全研究。考慮到計算機網絡應用服務的實時性和高可靠性要求,難以直接在業務網絡尤其是生產系統上進行網絡攻防演練和滲透測試研究。網絡靶場技術能夠對真實業務網絡進行模擬,在其上進行攻防演練能夠避免對真實業務網絡的破壞,并且成本低、部署靈活、過程可重復,是網絡攻防演練和測試研究的有效途徑。
網絡靶場概念最初在軍事領域提出,是為了滿足信息化武器系統的研究需求而構建的信息安全試驗平臺,是一個貼近實戰的信息戰模擬環境[1]。由于網絡靶場可以進行各種攻擊手段和防御技術的研究,針對性制定安全性策略以及安全方案,并可進行定量和定性的安全評估,因此其在軍事領域之外的其他信息安全研究領域也得到了廣泛的應用。
本文根據網絡攻擊及防護技術在真實網絡環境中的應用特點,基于云計算技術構建了網絡攻防靶場平臺,能夠為網絡攻防演練、滲透測試以及防護技術研究提供綜合模擬環境,可應用于政府、企業以及高校等行業的網絡安全實驗室。
2 OpenStack云計算技術
云計算是一種基于互聯網的計算方式和服務模式,它具有靈活動態分配資源、統一管理、有效降低管理維護成本等優勢,因此基于云計算平臺的網絡靶場也具有高性價比和便于管理維護等優點。OpenStack是由開源社區開發維護的一個開源云計算平臺,采用組件化的服務形式管理計算、存儲以及網絡資源池,支持自定義方式搭建靈活的云計算環境,其主要組件包括:
(1)運算組件Nova,是OpenStack的核心組件,負責虛擬運算和資源的調度;
(2)對象存儲組件Swift,其以分布式對象存儲方式存放虛擬機鏡像文件;
(3)區塊存儲組件Cinder,分塊存儲,為虛擬機提供塊存儲設備;
(4)網絡組件Quantum,管理虛擬網絡系統;
(5)身份認證組件Keystone,用于身份認證和授權;
(6)鏡像文件管理組件Glance,對虛擬機鏡像文件進行管理;
(7)儀表盤組件Horizon,提供UI操作界面。
OpenStack通過以上組件提供可擴展、靈活的云計算平臺,并且鑒于其開源特性以及強大的社區開發模式,本文采用OpenStack作為云平臺構建網絡靶場。
3 基于OpenStack技術的網絡攻防靶場平臺構建
3.1 設計目標
在實際業務環境中,網絡攻擊和防御是“道高一尺魔高一丈”的關系,手段也呈現多樣性特點,所以近似真實業務網絡是靶場設計的基本要求,并且靶場的設計應滿足以下目標:
(1)網絡攻防的指標參數應可以根據需要進行配置,比如拓撲結構、漏洞等級、設備參數以及評價指標等。
(2)可以進行多種模式的演練,以滿足不同的演練需求,包括紅藍對抗和單兵作戰。
(3)能夠對演練過程和成績進行實時監控和統計,并以圖形化界面全程展示演練情況,具備一定的態勢感知能力。
(4)在演練過程中,靶場應能夠在運行資源和管理資源方面支持不同攻防場景的快速部署,從而全方位地對靶場進行安全性評估,重點完善薄弱環節,也能夠通過豐富的演練場景,掌握網絡攻擊與防護的理論知識和實踐技能。
(5)演練數據應被詳細記錄,通過數據處理和分析,評估靶場的安全性以及演練人員的技能水平,并進一步形成和豐富網絡攻防實驗模型和實驗數據庫。
3.2 總體架構
根據前述設計目標,基于云平臺的網絡攻防靶場在OpenStack基礎設施之上模擬出多種設備和系統,包括網絡設備、安全設備、主機設備以及操作系統,并能夠完全貼近網絡安全的各應用領域,例如網絡設備安全、操作系統安全、數據庫安全、Web應用安全、主機程序安全、移動設備安全以及中間件安全。功能模塊主要有靶場信息管理系統、紅藍對抗系統和單兵作戰系統。靶場系統又包括各種靶場場景,可以預設和修改,主要靶場場景包括ServU漏洞利用靶場、Windows漏洞靶場、Linux漏洞靶場、webshell利用、SqlServer提權靶場、SQL注入靶場、cookie分析靶場、ftp弱口令利用靶場、telnet弱口令利用靶場、系統登錄弱口令利用靶場、電商網站靶場、新聞系統靶場、個人博客靶場、Wiki靶場、OA系統靶場等。系統總體架構如圖1所示。
3.3 功能模塊
3.3.1 靶場管理信息系統
靶場管理信息系統對整個靶場平臺進行統一管理調度,采用B/S架構模式,無需安裝客戶端,升級維護靈活方便。其一方面通過API接口訪問OpenStack云計算資源,另一方面負責對靶場場景進行鏡像管理和參數配置,并提供實時監控、分析統計、可視化展示、系統管理等功能。靶場管理信息系統自身具備較高的安全防護能力,能夠防止在攻防演練中受到攻擊導致整個靶場平臺的失效。
3.3.2 紅藍對抗系統
呈現紅藍對抗演練模式,即將演練者分為紅方和藍方兩組進行網絡攻防的對抗演練,以CTF(Capture the Flag)奪旗比賽模式進行,紅方試圖利用藍方的安全防護漏洞獲取藍方的Flag,藍方則盡力堵住自身安全漏洞,并反利用紅方漏洞獲取紅方Flag,是一種對抗激烈的演練模式,對演練者的技能水平有較高考驗。
3.3.3 單兵作戰系統
主要訓練考核演練者的攻擊水平,系統為演練者提供了兩臺攻擊機以及目標靶機,攻擊機分別為預置有攻擊工具的Windows操作系統和Kali Linux操作系統,目標靶機由系統管理員從靶場場景中選取設置,演練者通過攻擊機對靶機進行滲透,獲取過關文件,向系統提交過關文件后由系統自動進行判分,并給出實時成績。
4 網絡攻防滲透測試實例
本文對系統功能和各靶場場景逐一進行了測試,此處以Windows漏洞利用靶場場景為例闡述滲透測試過程。該靶場場景部署Windows xp SP1版本操作系統作為目標靶機,測試時使用靶場平臺提供的Kali Linux作為攻擊機,在攻擊機運行漏洞掃描程序對目標靶機進行漏洞掃描,發現目標靶機存在MS08-067高危漏洞。于是攻擊機啟動Metasploit攻擊框架,使用攻擊模塊,加載攻擊載荷,對靶機進行滲透,從而獲取到靶機的命令行權限,并添加用戶、提權,最終獲得靶機的最高控制權,取得Flag,滲透成功。
通過對網絡攻防靶場系統全部功能模塊和靶場場景的測試以及實踐檢驗,證明該系統功能全面、運行穩定,達到了預期設計目標。
5 結語
本文根據網絡攻擊及防護技術在真實網絡業務環境中的應用特點,基于OpenStack云計算技術構建了網絡攻防靶場平臺,能夠為網絡攻防演練、滲透測試以及防護技術研究提供綜合模擬環境,避免對真網絡的影響和危害,可應用于政府、企業以及高校等行業的網絡安全實驗室。
篇2
摘要:本文結合筆者的實際教學經驗,從課程實驗課的教學目標、教學方法和考核方式三個方面探索了新的教學方法。
關鍵詞:網絡攻防技術;實驗課;教學研究
中圖分類號:G642
文獻標識碼:B
實驗教學在高校教學體系中占有十分重要的地位,進行實驗教學改革與探索的目的是提高實驗教學質量,使實驗教學在人才培養中發揮更大的作用。下面結合筆者自身的教學經驗,從教學目標、教學方法和考核方式三個方面對實驗課的教學進行了一些探索。
1完善教學內容
1.1教學內容設計
“網絡攻防技術”課程實驗課的教學目標就是以實驗為手段,使學生在實際操作過程中鞏固已有的網絡攻防理論知識,并以此為基礎了解目前常見的漏洞和攻擊模式,熟練配置一個安全的網絡系統,培養學生使用計算機網絡工具和設備來組建、配置和調試安全的局域網。
我們認為,目前的網絡攻防技術課程實驗課教學設計具有兩大特點:一是要突出實驗課在網絡攻防課程教學中的地位和作用;二是要以培養學生技術應用能力為主線設計實驗課的教學內容。為此,結合我院網絡實驗室已有的實驗設備和工具情況,我們設計了如下教學內容。
(1) 網絡安全漏洞測試與評估實驗:安裝并使用安全測試評估工具Shadow Security Scanner;使用Shadow Security Scanner對局域網的特定主機進行網絡安全檢測;分析并撰寫安全評估報告,及安全加固措施。
(2) 網絡嗅探與欺騙實驗:使用網絡嗅探工具Iris對局域網的特定主機進行ARP、ICMP、TCP、UDP等協議的數據報網絡嗅探;使用Iris對局域網的特定主機進行ARP欺騙。
(3) 計算機木馬與后門實驗:使用后門工具Hkdoor對局域網的特定主機進行FindPass、Shutdown等遠程監控;使用HkDoor與局域網的特定主機進行FTP數據傳輸。
(4) 軟件緩沖區溢出漏洞利用設計實驗:編寫并運用由MessageBoxA顯示信息的ShellCode代碼;編寫具有安全漏洞實例代碼的攻擊利用程序,并測試通過。
1.2實驗環境設置
網絡攻防實驗與其他實驗有著很大的區別,主要表現為系統性與繼承性。
系統性是指網絡攻防面對的是系統集成問題,其實驗的對象和環境是一個計算機網絡。計算機網絡所面對的系統集成問題與電子測量、電子技術、微機接口等實驗課程不大一樣。微機接口等實驗立足與元件級,即把一些元件按實驗內容設計出電路圖,再連接成相應的電路,實驗結果是完成某一功能。由于功能單一,整體結構簡單,因而安裝、調試過程難度均不大。而網絡攻防實驗無論硬件和軟件的復雜程度都大大超過微機接口實驗,系統集成后復雜程度更高。因此,我們在實驗中更要注意從系統的、聯系的觀點看問題,這也是培養學生處理大系統,從事系統開發和提高系統集成能力的好機會。
繼承性有硬件、軟件方面的。硬件方面繼承性是指只有完成了基本的組網實驗,后繼實驗才能順利地在此環境下進行。軟件方面的繼承性是指每一種網絡環境下的實驗,都基于特定的網絡操作系統,只有完成了有關網絡操作系統的安裝、配置,這個網絡環境下的其他實驗才能順利進行。因為網絡實驗的系統性和繼承性,使得網絡攻防的實驗對實驗環境要求較高,涉及實驗的設備與組織管理多方面,實驗前后的許多工作需要實驗室的支持與配合,實驗指導老師需要對實驗環境有較深的了解,每一個實驗項目都要考慮其可行性和可操作性。開設網絡教學實驗,需要有更多的實驗設備與技術力量的支持,相對于計算機課程的其他實驗,難度更大。因此實驗前的準備功夫一定要做好,只有這樣才能理清實驗目的、要求,列出實驗步驟,對可能出現的問題有充分的準備,才不會臨到實驗時手忙腳亂、窮于應付。
2改革實驗課教學方法
2.1教師的主導作用
一直以來,計算機課程實驗主要是驗證性實驗,嚴格來說這種實驗只能稱為上機,談不上實驗教學。改革實驗教學方法,規范管理,提高教學水平,就是要注重學生是教育主體的作用,通過對學生的引導、幫助和促進,充分調動他們獲取知識的積極性和主動性,增強能力,提高素質。實驗是教學過程中的一個重要環節,因此實驗教學方法的好壞直接影響著學生對實驗的態度,影響著他們的動手能力,創新意識的培養。我們認為網絡攻防技術這門課程既有一般計算機課程的普遍性,也有其自身特性,網絡攻防技術實驗不僅是理論的驗證,更重要的是通過網絡與系統安全的實驗操作,培養學生對網絡安全的分析、設計、管理和應用的實驗技能,加深對網絡攻防理論知識的理解和應用。
在教師主導作用方面,我們首先改變過去按部就班的教學模式[3],以啟發式的方式指導實驗。教師在備課時,對每次實驗重點和難點、實驗中可能出現的問題、實驗的數據和結果做到心中有數。實驗過程中,教師加強巡視,出現問題,一般由學生自主研究解決,教師作啟發提示、釋疑和引導。這樣的實驗不光是學生動手做,教師在整個實驗中起著主導作用。
在學生主體方面,由于實驗報告是培養學生寫作能力、表達能力、分析能力和總結能力的一種較好方式。因此,要求學生每一個實驗都要提交實驗報告。在報告中注重分析、總結實驗中的收獲、體會,使學生從實驗中不斷積累經驗,獲得更多的實驗技能。在實驗課結束時,組織實驗技能考核,最后根據學生實驗情況、實驗報告、考核及平時成績,客觀評價學生的實驗成績。
通過以上措施,提高了學生對實驗課的重視程度,同時對指導老師也提出了更高的要求。可見,把教師的主導作用和學生的主體作用結合起來,有利于提高實驗教學水平。
2.2學生的組織管理
我院根據網絡攻擊技術實驗的特點,采取了獨立實驗和分組實驗等多種形式進行實驗操作。更多地采用分批分組來組織實驗,學生相互學習、相互討論切磋,提出一個最優方案,然后實施。
在實踐中,我們發現分組實驗的許多優點。網絡安全從軟件、硬件和通信幾個方面來說,都是一個復雜的網絡系統,網絡攻防的信息探測、分析、漏洞掃描、實施,以及滲透測試一般都是一個群體來實現的,學生將來如何從事網絡攻防方面的工作,也需要與人合作,分組實踐,加強了學生之間相互學習研究、溝通和合作的精神。對于實驗能力較強的學生,可以指定他們做一些實驗輔導工作,由他們負責所在小組的實驗,這種變教師指導實驗為學生指導實驗的教學方式,充分調動了學生參加實驗教學的積極性。網絡攻防實驗不光是需要計算機和網絡,還需要一些配套設施,且操作有一定的破壞性,一人一套設備有時是不可能也沒必要,以小組為單位,有利于實驗室的恢復和維護。不過,分組實驗有些問題也要引起注意。如在一個小組中,學生的能力相對有強弱之分,如果以小組為單位完成某個實驗,那么學生為盡早完成,可能由能力強的學生做完了事,而其他同學,尤其是能力較差的學生就沒有得到應用的實踐。所以,在實驗的組織與管理中,應當注意對不同層次學生做不同要求,采取多種形式提高學生對實驗的興趣,加強分組分配的合理性以及實驗過程中鼓勵弱勢學生的積極參與。
2.3實驗課教學方法改進
實驗課是培養學生動手能力的最基本環節,在很大程度上影響著實驗課的教學目標能否順利實現。因此,結合網絡攻防技術課程實驗課的教學特點,我院對本課程實驗教學方法進行了積極的探索和改革。
(1) 規范操作流程。實驗之前,要求學生撰寫并提交以明確實驗目的、實驗任務、分析或預測可能困難為目標的預習報告;實驗過程中,應按規定操作,并遵守實驗室各項規章制度;實驗完成后,應及時提交實驗報告、實驗心得以及經驗總結等相應資料。
(2) 改革教學模式。減少演示性實驗內容,增加技能性、設計性和綜合性實踐教學內容;在教學過程中,結合流行的新網絡技術講解,激發學生學習的積極性,在實驗課中使學生由被動受教育轉為積極主動受教育。
(3) 改革教學方式。減少教師手把手的教學方式,指導和啟發學生分析、解決問題,盡可能地讓學生通過自己查找資料、相互討論,解決實踐過程中遇到的問題。
(4) 激發學生的創造性思維。鼓勵學生對同一個實際問題從不同角度來思考,并提出不同的解決方案。教師在規定問題求解的大范圍前提下,可讓學生自行完成方案設計和實驗操作,充分挖掘學生的創新性、靈活性等,并讓優秀方案設計者談談其設計思路、心得體會,促進學生間的相互交流,營造濃厚的學習氛圍。
(5) 培養學生查找和搜索專業資料的能力。教師可以在實驗課的不同階段,布置一些與本階段學習相關的最前沿的主題,讓學生自己去查找,并進行相互之間的交流,這不僅僅可以開闊學生的知識視野,也為最后階段的綜合網絡實踐順利完成提供了文獻查閱方面的保障。
(6) 鼓勵學生深入實驗。在完成規定的教學內容外,安排一些更具有實用性、工程性特點的實驗內容,加強對學生動手能力的訓練。
3結束語
隨著計算機業的發展,網絡環境下的實驗在不斷更新,實驗內容也必須隨之而更新,這對于提高實驗教學質量有著重要作用,因此改革之路仍然漫長,我們仍需不斷探索。
篇3
會議擬請公安、工業和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網絡與信息安全信息通報中心等部門擔任指導單位,同時將出版論文集,經專家評選的部分優秀論文,將推薦至國家核心期刊發表。現就會議征文的有關情況通知如下:
一、征文范圍
1. 新技術應用環境下信息安全等級保護技術:物聯網、云計算、大數據、工控系統、移動接入網、下一代互聯網(IPv6)等新技術、環境下的等級保護支撐技術,等級保護技術體系在新環境下的應用方法;
2. 關鍵基礎設施信息安全保護技術:政府部門及金融、交通、電力、能源、通信、制造等重要行業網站、核心業務信息系統等安全威脅、隱患分析及防范措施;
3. 國內外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機制特點,信息安全管理標準發展對策,網絡恐怖的特點、趨勢、危害研究;
4. 信息安全預警與突發事件應急處置技術:攻擊監測技術,態勢感知預警技術,安全監測技術,安全事件響應技術,應急處置技術,災難備份技術,恢復和跟蹤技術,風險評估技術;
5. 信息安全等級保護建設技術:密碼技術,可信計算技術,網絡實名制等體系模型與構建技術,漏洞檢測技術,網絡監測與監管技術,網絡身份認證技術,網絡攻防技術,軟件安全技術,信任體系研究;
6. 信息安全等級保護監管技術:用于支撐安全監測的數據采集、挖掘與分析技術,用于支撐安全監管的敏感數據發現與保護技術,安全態勢評估技術,安全事件關聯分析技術、安全績效評估技術,電子數據取證和鑒定技術;
7. 信息安全等級保護測評技術:標準符合性檢驗技術,安全基準驗證技術,源代碼安全分析技術,逆向工程剖析技術,滲透測試技術,測評工具和測評方法;
8. 信息安全等級保護策略與機制:網絡安全綜合防控體系建設,重要信息系統的安全威脅與脆弱性分析,縱深防御策略,大數據安全保護策略,信息安全保障工作評價機制、應急響應機制、安全監測預警機制。
二、投稿要求
1. 來稿內容應屬于作者的科研成果,數據真實、可靠,未公開發表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內容;
2. 會議只接受以Word排版的電子稿件,稿件一般不超過5000字;
3. 稿件以Email方式發送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權出版;
5. 提交截止日期: 2014年5月25日。
三、聯系方式
通信地址:北京市海淀區首都體育館南路1號
郵編:100048
Email:.cn
聯系人: 范博、王晨
聯系電話:010-68773930,
13717905088,13581879819
篇4
新戰略對我國網絡空間安全的主要威脅與挑戰
美國是世界信息技術革命的“領跑者”。近來,美國在網絡空間不斷取得新的突破對我國網絡空間安全帶來嚴峻威脅與挑戰。
第一,美國從“全面防御”到“營造威懾態勢”對我國網絡空間安全和社會穩定帶來巨大沖擊。
美國新版網絡戰略與前幾屆政府的網絡戰略重心形成了鮮明對比。一是把營造威懾態勢作為美網絡戰略的關鍵目標。奧巴馬執政后,美國將威懾作為網絡戰略的關鍵部分。未來10年,美軍將不再僅僅是打造防火墻,而是要明確告訴敵對分子,他們要為自己的網絡攻擊行為付出代價。新戰略列出了美認為在網絡安全面臨最大威脅的對手――俄羅斯、中國、伊朗和朝鮮。二是全面提升網絡戰略威懾能力。新戰略聲稱,為阻止網絡攻擊,必須在網絡惡意行為發生前威懾此類行為。為有效實施威懾戰略,美將重點打造三種能力:通過政策宣示展現反擊的態度;形成強大的防御能力,保護國防部和整個國家免受復雜網絡攻擊,實現“拒止”威懾;提高網絡系統的恢復能力,確保遭受攻擊后能繼續運轉,降低對手網絡攻擊的成功幾率。三是美新戰略對我國網絡空間安全和社會穩定帶來巨大沖擊。目前,美憑借在網絡空間追求一種遠超對手能力甚至遠超盟友能力的“絕對優勢”,企圖通過掌控網絡空間“單方面自由和透明”,達到遏制威懾對手、顛覆我國政權目的。
第二,美國從“主動防御”到塑造“進攻性網絡作戰能力”對我網絡空間和作戰能力提升帶來嚴峻挑戰。美新版網絡戰略突出的“進攻能力”與過去的“主動防御”相比更顯戰略透明。一是新戰略首次將網絡戰列為戰術選項;二是美國必須擁有多種網絡進攻能力和手段;三是明確總統或國防部長開展網絡行動的指揮權;四是美對我國網絡空間和作戰能力提升帶來嚴峻挑戰。
第三,美國從“國際伙伴關系倡議”到“國際網絡同盟控制世界”對我網絡空間國家利益形成嚴重擠壓。
美國在《網絡政策評估報告》中提出“加強與國際伙伴關系”倡議,并持續發力,拉攏傳統盟國打造國際網絡同盟。一是在歐洲利用北約“借尸還魂”。美先后主導北約新版“網絡防御政策”、召開網絡安全國防部長會議,頻繁舉行“網絡聯盟”“鎖定盾牌”“堅定爵士”等演習。二是在亞太玩弄網絡空間的“亞太再平衡”。美國于2011年與澳大利亞達成協議,在雙邊共同防御條約中納入網絡安全方面的內容;2013年與日本舉行首次網絡安全綜合對話,就共享網絡威脅情報、開展網絡培訓等達成共識。今年在“山櫻”聯合演習中首次演練網絡戰課目,兩國還宣稱,將在新版《美日防衛合作指針》中加入網絡安全合作內容。美國還將在關鍵地區“優先”合作對象,建立強大的同盟體系和伙伴關系。三是美企圖重構虛擬世界國際秩序,擠壓我國網絡空間國家利益。美國認為,在現代安全局勢下,聯盟作戰是政治上最易被接受、經濟上最可持續的方法。新版戰略的出臺,意味著美國將在打造國際網絡同盟的問題上尋找更多著力點。
應對新戰略威脅的體系能力構建策略
網絡空間安全威脅不是危言聳聽,我們應遵循網絡空間的特點規律,從國家安全戰略高度,優化戰略領導機構,重塑新質力量體系,確立攻勢行動戰略,開展國際合作與斗爭。
第一,網絡空間的復雜屬性,決定我國網絡空間安全必須加快“重塑體系”,建立我國軍警民戰略應急指揮機構。
網絡空間信息依托網絡和電磁信號的傳遞無形無聲、瞬間同步,形成實體層和虛擬層相互貫通,多域融合的復雜虛擬空間。這一復雜特性決定了重塑網絡空間力量體系,應遵循網絡空間系統的共性規律,按照“明確定位、找準問題、體系構建、整體推進”的思想,重塑新常態下中國特色的網絡空間力量體系。一是組建國家層次的網絡空間戰略指揮機構。著眼適應國家網絡空間安全管控的需求,組建國家層次的網絡空間戰略指揮機構,整合網絡空間力量體系,負責網絡空間應急行動的力量動員和組織指揮,充分發揮在關鍵時刻、關鍵問題、關鍵行動上的戰略指揮優勢。二是確立軍警民協調機制。著眼國家網絡空間安全大局需要,健全跨領域跨部門的合作與協調制度,明確職責任務,制定應急預案,確保有效應對網絡空間安全突發事件,最大限度地發揮國家整體合力優勢。三是建立國家網絡空間安全管控常態化運行制度。根據我國網絡空間安全管控平戰一體、軍民一體、聯合制勝的要求,建立情報搜集、信息共享、動態感知、聯合反制的運行機制,保持常態化運行,確保隨時應對各種網絡空間安全的突發事件。
第二,網絡空間攻防的分離性,決定了我國網絡空間安全必須堅持“攻勢戰略”,將攻勢行動作為奪取主動權的重要方式。
面對網絡空間安全的威脅與挑戰,一是積極貫徹攻勢戰略的思想。我國應立足國家實際,突出網絡空間攻防中的攻勢行動,扭轉敵攻我守、敵進我弱的戰略態勢,打好網絡空間安全的主動仗。二是堅持網絡空間攻勢管控行動。網絡空間作戰能夠以非對稱信息迅速顛覆實體空間的客觀現實,改變戰爭進程和格局。網絡空間攻勢行動應突出應對危機的主動性、靈活性和攻防行動的整體性。三是爭奪網絡空間技術自主創新主動權。著力提高核心信息技術的研發能力,堅持把核心信息技術研發作為國家科技創新發展的重大項目。制定滿足新型網絡空間安全管控技術標準,用足后發優勢實現跨越式發展。建立自主創新“孵化”基地,加快創新成果的產品轉化。
第三,網絡戰爭“制勝機理”的特殊屬性,決定我國必須將網絡空間作戰作為“新質作戰力量”重點發展。
信息技術正以驚人的速度向各領域滲透,網絡空間正以超乎想象的速度在全球擴張,成為影響社會穩定、國家安全、軍事經濟發展和文化傳播的第五維國家安全空間。一是網絡空間戰爭“制勝機理”改寫戰場規則。未來戰爭形態已發生了深刻變化,網絡空間戰爭的制勝機理顛覆了傳統戰爭的作戰方式。未來網絡空間作戰將按照實時感知、靈敏響應、毀源斷鏈、聯合制勝的“制勝機理”刷新戰場規則。二是網絡空間力量成長為一種新質作戰力量。信息時代的戰爭,以網絡為中心,依靠信息力制勝,打“網絡戰+火力戰”。未來網絡空間作戰力量是指“相互依賴的信息技術基礎設施網,包括互聯網、電信網、計算機系統以及重要行業的嵌入式處理器和控制器”。這些網絡空間作戰力量逐漸從支援保障力量向核心作戰力量遷移,成為一種新質作戰力量。三是重點發展網絡空間新質作戰力量。近年來,美國高調宣布成立網絡司令部。新戰略中,美國防部長卡特還在硅谷聯絡高科技企業和專家,保證美國軍方擁有尖端網絡技術。美國還成立了一個由現役軍人、平民和預備役軍人組成的全日制機構,專門網羅可用于情報工作的創新技術。目前我國還沒有形成完整的網絡空間作戰力量體系,缺少既會網絡技術又懂作戰指揮的高端人才,加強網絡空間作戰力量建設勢在必行。
篇5
【 關鍵詞 】 高級隱遁技術;高級持續性攻擊;檢測方法
China’s Situation of Protection Techniques against Special Network Attacks
Xu Jin-wei
(The Chinese PLA Zongcan a Research Institute Beijing 100091)
【 Abstract 】 By the end of 2013,the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit, the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks, as an inspiration to the colleagues?and units in the information security industry.
【 Keywords 】 advanced evasion techniques; advanced persistent threat; detection methods
1 引言
2010年發生的“震網”病毒對伊朗布什爾核電站離心機的攻擊和2013年的“斯諾登”事件,標志著信息安全進入了一個全新的時代:新型攻擊者(國家組織的專業團隊),采用全新的方式(APT[注1])攻擊國家的重要基礎設施。
APT攻擊因其采用了各種組合隱遁技術,具有極強的隱蔽攻擊能力,傳統的依賴攻擊特征庫比對模式的IDS/IPS無法檢測到它的存在,APT攻擊得手后并不馬上進行破壞的特性更是難以發覺。它甚至能在重要基礎網絡中自由進出長時間潛伏進行偵察活動,一旦時機成熟即可通過在正常網絡通道中構筑的隱蔽通道盜取機密資料或進行目標破壞活動,APT的出現給網絡安全帶來了極大危害。目前在西方先進國家,APT攻擊已經成為國家網絡安全防御戰略的重要環節。例如,美國國防部的High Level網絡作戰原則中,明確指出針對APT攻擊行為的檢測與防御是整個風險管理鏈條中至關重要也是最基礎的組成部分。
從資料中得知,國外有些著名的信息安全廠商和研究機構,例如美國電信公司Verizon Business的ICSA實驗室,芬蘭的Stonesoft公司幾年前就開展了高級隱遁技術的研究;2013年美國的網絡安全公司FireEye(FEYE)受到市場追捧,因為FireEye能夠解決兩大真正的安全難題――能夠阻止那種許多公司此前無法阻止的網絡攻擊,即所謂的“零天(Zeroday)”攻擊和“高級持續性威脅(APT)”。零天攻擊是指利用軟件廠商還未發現的軟件漏洞來發動網絡攻擊,也就是說,黑客在發現漏洞的當天就發動攻擊,而不會有延遲到后幾天再發動攻擊,軟件廠商甚至都來不及修復這些漏洞。高級持續性威脅則是由那些想進入特殊網絡的黑客所發動的一系列攻擊。FireEye的安全應用整合了硬件和軟件功能,可實時通過在一個保護區來運行可疑代碼或打開可疑電子郵件的方式來查看這些可疑代碼或可疑電子郵件的行為,進而發現黑客的攻擊行為。
APT攻擊的方式和危害后果引起了我國信息安全管理機構和信息安全專業檢測及應急支援隊伍的高度重視。國家發改委在關于組織實施2013年信息安全專項通知中的 “信息安全產品產業化”項目中,首次明確指明“高級可持續威脅(APT)安全監測產品”是支持重點產品之一。我國的眾多信息安全廠商到底有沒有掌握檢測和防護APT的技術手段?2013年底,帶著這個疑問專門走訪了幾家對此有研究和技術積累的公司,聽取了他們近年來在研究防護APT攻擊方面所取得的成果介紹,并與技術人員進行了技術交流。
2 高級隱遁技術(AET[注2])
根據IMB X-force小組針對2011年典型攻擊情況的采樣分析調查,如圖1所示可以看出,有許多的攻擊是未知(Unknown)原因的攻擊。Gartner《Defining Next-Generation Network Intrusion Prevention》文章中也明確提出了利用先進技術逃避網絡安全設備檢查的事件越來越多。同時,NSS Lab最新的IPS測試標準《NSS Labs ips group 滲透測試工具t methodology v6.2》,已經把layered evasion(也就是AET)作為必須的測試項。
結合近年情況,各國基礎網絡和重要信息系統所面臨的最新和最大的信息安全問題,即APT攻擊,我們相信高級隱遁技術有可能已經在APT中被黑客廣泛采用。
目前,各企事業單位為了應對網絡外部攻擊威脅,均在網絡邊界部署了入侵檢測系統(簡稱IDS)和入侵防御系統(簡稱IPS),這些措施確實有效地保護了企業內部網絡的安全。黑客們為了試圖逃避IPS這類系統的檢測,使用了大量的逃避技術。近年來,國外信息安全機構發現了一套新型逃避技術,即將以前的逃避技術進行各種新的組合,以增加IPS對入侵檢測的難度。這些新型逃避技術,我們稱之為高級隱遁技術(AET)。AET可利用協議的弱點以及網絡通信的隨意性,從而使逃避技術的數量呈指數級增長,這些技術的出現對信息安全而言無疑是個新的挑戰。
使用畸形報頭和數據流以及迷惑性代碼調用的AET攻擊的原理:包含AET攻擊代碼的非常規IP數據流首先躲避過IDS/IPS的檢測,悄悄滲透到企業網中;之后,這些數據流被用規范方式重新組裝成包并被發送至目標終端上。以上過程看似正常,但這樣的IP包經目標終端翻譯后,則會形成一個可攻擊終端系統的漏洞利用程序,從而給企業的信息資源造成大規模破壞,只留下少量或根本不會留下任何審計數據痕跡,這類攻擊就是所謂的隱遁攻擊。
2.1 常見的高級隱遁技術攻擊方法
常見的高級隱遁技術攻擊方法有字符串混淆、加密和隧道、碎片技術和協議的違規。這些僅列舉了TCP協議某層的幾種隱遁攻擊的技術,實際上高級隱遁技術千變萬化,種類疊加后更是天文數字。
2.2 高級隱遁技術的測試
為了研究AET的特點,研發AET檢測、防護工具,國內有必要搭建自己的高級隱遁監測審計平臺來對現有的網絡安全設備進行測試和分析,并根據檢測結果來改進或重新部署現有網絡中的網絡安全設備。
國內某信息安全公司最近研制成功一款專門針對高級隱遁技術測試的工具CNGate-TES。CNGate-TES有針對CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各種組合、疊加隱遁模擬的測試工具,從IP、TCP、NetBios、SMB、MSRPC、HTTP等各層都有自己相應的隱遁技術。各個層之間的隱遁可以互相疊加組合,同一層內的隱遁技術也可以互相疊加組合。
測試的目的是檢驗網絡中的IDS/IPS是否具備檢測和防護AET的能力。
CNGate-TES測試環境部署如圖2所示。
3 下一代威脅與 APT
下一代威脅主要是指攻擊者采取了現有檢測體系難以檢測的方式(未知漏洞利用、已知漏洞變形、特種木馬等),組合各種其他手段(社會工程、釣魚、供應鏈植入等),有針對性地對目標發起的攻擊。這種攻擊模式能有效穿透大多數公司的內網防御體系,攻擊者成功控制了內網主機之后,再進行內部滲透或收集信息。
對信息系統的下一代威脅和特征有幾點。
0DAY漏洞威脅:0DAY漏洞由于系統還未修補,而大多數用戶、廠商也不知道漏洞的存在,因此是攻擊者入侵系統的利器。也有很多利用已修復的漏洞,但由于補丁修復不普遍(如第三方軟件),通過變形繞過現有基于簽名的檢測體系而發起攻擊的案例。
多態病毒木馬威脅:已有病毒木馬通過修改變形就可以形成一個新的未知的病毒和木馬,而惡意代碼開發者也還在不斷開發新的功能更強大的病毒和木馬,他們可以繞過現有基于簽名的檢測體系發起攻擊。
混合性威脅:攻擊者混合多種路徑、手段和目標來發起攻擊,如果防御體系中存在著一個薄弱點就會被攻破,而現有安全防御體系之間缺乏關聯而是獨立防御,即使一個路徑上檢測到威脅也無法將信息共享給其他的檢測路徑。
定向攻擊威脅:攻擊者發起針對具體目標的攻擊,大多數情況下是從郵件、IM、SNS發起,因為這些系統賬戶背后標記的都是一個真實固定的人,而定向到人與他周邊的關系,是可以在和攻擊者目標相關的人與系統建立一個路徑關系。定向攻擊如果是小范圍發起,并和多種滲透手段組合起來,就是一種APT攻擊,不過定向攻擊也有大范圍發起的,這種情況下攻擊者出于成本和曝光風險考慮,攻擊者往往使用已知的安全漏洞來大規模發起,用于撒網和撈魚(攻擊一大片潛在受害者,再從成功攻擊中查找有價值目標或作為APT攻擊的滲透路徑點)。
高級持續性威脅: APT是以上各種手段(甚至包括傳統間諜等非IT技術手段)的組合,是威脅中最可怕的威脅。APT是由黑客團隊精心策劃,為了達成即定的目標,長期持續的攻擊行為。攻擊者一旦攻入系統,會長期持續的控制、竊取系統信息,關鍵時也可能大范圍破壞系統,會給受害者帶來重大的損失(但受害者可能渾然不知)。APT攻擊,其實是一種網絡情報、間諜和軍事行為。很多時候,APT都具有國家和有政治目的組織的背景,但為了商業、知識產權和經濟目的的APT攻擊,也不少見。
3.1 APT攻擊過程和技術手段
APT攻擊可以分為大的三個環節,每個環節具體的工作內容,如圖3所示。
在攻擊前奏環節,攻擊者主要是做入侵前的準備工作。主要是收集信息:了解被攻擊目標的IT環境、保護體系、人際關系、可能的重要資產等信息,用于指導制定入侵方案,開發特定的攻擊工具。在收集信息時,攻擊者可以利用多種方式來收集信息,主要有網絡公開信息收集、釣魚收集、人肉搜集、嗅探、掃描等,信息收集是貫穿全攻擊生命周期的,攻擊者在攻擊計劃中每獲得一個新的控制點,就能掌握更多的信息,指導后續的攻擊。
技術準備:根據獲取的信息,攻擊者做相應的技術準備,主要有入侵路徑設計并選定初始目標,尋找漏洞和可利用代碼及木馬(漏洞、利用代碼和木馬,我們統稱為攻擊負載),選擇控制服務器和跳板。
周邊滲透準備:入侵實際攻擊目標可信的外部用戶主機、外部用戶的各種系統賬戶、外部服務器、外部基礎設施等。
在入侵實施環節,攻擊者針對實際的攻擊目標,展開攻擊;主要內容有攻擊者利用常規的手段,將惡意代碼植入到系統中;常見的做法有通過病毒傳播感染目標、通過薄弱安全意識和薄弱的安全管理控制目標,利用缺陷入侵、漏洞入侵、通過社會工程入侵、通過供應鏈植入等。
SHELLCODE執行:大多數情況攻擊者利用漏洞觸發成功后,攻擊者可以在漏洞觸發的應用母體內執行一段特定的代碼(由于這段代碼在受信應用空間內執行,很難被檢測),實現提權并植入木馬。
木馬植入:木馬植入方式有遠程下載植入、綁定文檔植入、綁定程序植入、激活后門和冬眠木馬。
滲透提權:攻擊者控制了內網某個用戶的一臺主機控制權之后,還需要在內部繼續進行滲透和提權,最終逐步滲透到目標資產存放主機或有特權訪問攻擊者目標資產的主機上,到此攻擊者已經成功完成了入侵。
在后續攻擊環節,攻擊者竊取大量的信息資產或進行破壞,同時還在內部進行深度的滲透以保證發現后難以全部清除,主要環節有價值信息收集、傳送與控制、等待與破壞;一些破壞性木馬,不需要傳送和控制,就可以進行長期潛伏和等待,并按照事先確定的邏輯條件,觸發破壞流程,如震網,探測到是伊朗核電站的離心機環境,就觸發了修改離心機轉速的破壞活動,導致1000臺離心機癱瘓。
深度滲透:攻擊者為了長期控制,保證被受害者發現后還能復活,攻擊者會滲透周邊的一些機器,然后植入木馬。
痕跡抹除:為了避免被發現,攻擊者需要做很多痕跡抹除的工作,主要是銷毀一些日志,躲避一些常規的檢測手段等。
3.2 APT檢測方法
隨著APT攻擊被各國重視以來,一些國際安全廠商逐步提出了一些新的檢測技術并用于產品中,并且取得了良好的效果,這些檢測技術主要有兩種。
虛擬執行分析檢測:通過在虛擬機上執行檢測對抗,基于運行行為來判定攻擊。這種檢測技術原理和主動防御類似,但由于不影響用戶使用,可以采用更深更強的防繞過技術和在虛擬機下層進行檢測。另外,可疑可以由對安全研究更深入的人員進行專業判定和驗證。國外多家廠商APT檢測的產品主要使用該技術。
內容無簽名算法檢測:針對內容深度分析發現可疑特征,再配合虛擬執行分析檢測。該技術需要對各種內容格式進行深入研究,并分析攻擊者負載內容的原理性特征。該技術可以幫助快速過濾檢測樣本,降低虛擬執行分析檢測的性能壓力,同時虛擬執行分析檢測容易被對抗,而攻擊原理性特征比較難繞過。國外幾個最先進的APT檢測廠商檢測的產品里部分使用了該技術。
國內某公司總結了近年來對APT攻擊特點的研究和檢測實踐,提出了建立新一代安全檢測體系的設想。
3.2.1基于攻擊生命周期的縱深檢測體系
從攻擊者發起的攻擊生命周期角度,可以建立一個縱深檢測體系,覆蓋攻擊者攻擊的主要環節。這樣即使一點失效和被攻擊者繞過,也可以在后續的點進行補充,讓攻擊者很難整體逃逸檢測。
信息收集環節的檢測:攻擊者在這個環節,會進行掃描、釣魚郵件等類型的刺探活動,這些刺探活動的信息傳遞到受害者網絡環境中,因此可以去識別這類的行為來發現攻擊準備。
入侵實施環節的檢測:攻擊者在這個環節,會有基于漏洞利用的載體、木馬病毒的載體傳遞到受害者網絡環境中,因此可以去識別這類的行為和載體來發現攻擊發起。
木馬植入環節:攻擊者在這個環節,會釋放木馬并突破防御體系植入木馬。因此可以去識別這類的行為來發現入侵和入侵成功。
控制竊取與滲透環節:攻擊者在這個環節,會收集敏感信息,傳遞敏感信息出去,與控制服務器通訊,在本地滲透等行為。因此可以去識別已經受害的主機和潛在被攻擊的主機。
3.2.2基于信息來源的多覆蓋檢測
從攻擊者可能采用的攻擊路徑的角度,可以建立一個覆蓋廣泛的檢測體系,覆蓋攻擊者攻擊的主要路徑。這樣避免存在很大的空區讓攻擊者繞過,同時增加信息的來源度進行檢測。
從攻擊載體角度覆蓋:攻擊者發起攻擊的內容載體主要包括:數據文件、可執行文件、URL、HTML、數據報文等,主要發起來源的載體包括郵件、HTTP流量和下載、IM通訊、FTP下載、P2P通訊。
雙向流量覆蓋:攻擊者在信息收集環節、入侵實施環節主要是外部進入內部的流量。但在木馬植入環節、控制竊取與滲透環節,則包含了雙向的流量。對內部到外部的流量的檢測,可以發現入侵成功信息和潛在可疑已被入侵的主機等信息。
從攻擊類型角度覆蓋:覆蓋主要的可以到達企業內容的攻擊類型,包括但不限于基于數據文件應用的漏洞利用攻擊、基于瀏覽器應用的漏洞利用攻擊、基于系統邏輯的漏洞利用攻擊、基于XSS、CSRF的漏洞利用攻擊、進行信息收集的惡意程序的竊取、掃描、嗅探等。
從信息來源角度覆蓋:主要覆蓋網絡流來收集流量,但是考慮到加密流量、移動介質帶入的攻擊等方式,還需要補充客戶端檢測機制。同時為了發現更多的可疑點,針對主機的日志挖掘,也是一個非常重要的信息補充。
3.2.3基于攻擊載體的多維度檢測
針對每個具體攻擊載體點的檢測,則需要考慮多維度的深度檢測機制,保證攻擊者難以逃過檢測。
基于簽名的檢測:采用傳統的簽名技術,可以快速識別一些已知的威脅。
基于深度內容的檢測:通過對深度內容的分析,發現可能會導致危害的內容,或者與正常內容異常的可疑內容。基于深度內容的檢測是一種廣譜但無簽名檢測技術,讓攻擊者很難逃逸,但是又可以有效篩選樣本,降低后續其他深度分析的工作量。
基于虛擬行為的檢測:通過在沙箱中,虛擬執行漏洞觸發、木馬執行、行為判定的檢測技術,可以分析和判定相關威脅。
基于事件關聯的檢測:可以從網絡和主機異常行為事件角度,通過分析異常事件與發現的可疑內容事件的時間關聯,輔助判定可疑內容事件與異常行為事件的威脅準確性和關聯性。
基于全局數據分析的檢測:通過全局收集攻擊樣本并分析,可以獲得攻擊者全局資源的信息,如攻擊者控制服務器、協議特征、攻擊發起方式,這些信息又可以用于對攻擊者的檢測。
對抗處理與檢測:另外需要考慮的就是,攻擊者可以采用的對抗手段有哪些,被動的對抗手段(條件觸發)可以通過哪些模擬環境手段仿真,主動的對抗手段(環境檢測)可以通過哪些方式檢測其對抗行為。
綜上所述,新一代的威脅檢測思想,就是由時間線(攻擊的生命周期)、內容線(信息來源覆蓋)、深度線(多維度檢測),構成一個立體的網狀檢測體系,攻擊者可能會饒過一個點或一個面的檢測,但想全面地逃避掉檢測,則非常困難。只有逐步實現了以上的檢測體系,才是一個最終完備的可以應對下一代威脅(包括APT)的新一代安全檢測體系。
4 結束語
結合目前我國防護特種網絡攻擊技術現狀,針對AET和APT的防護提出三點建議。
一是國家信息安全主管部門應將高級隱遁攻擊和APT技術研究列入年度信息安全專項,引導國內信息安全廠商重點開展針對高級隱遁攻擊和高級持續性威脅的防御技術研發,推動我國具有自主知識產權的新一代IDS和IPS產品產業化。
二是有條件的網絡安全設備廠商應建設網絡攻防實驗室,搭建仿真實驗環境,對網絡IDS/IPS進行高級隱遁技術和APT的攻防測試,收集此類攻擊的案例,積累檢測和防御此類攻擊的方法和經驗。
三是在業界成立“防御特種網絡攻擊”學術聯盟,定期開展學術交流并嘗試制定特網攻擊應急響應的防護技術要求和檢測標準。
[注1] APT(Advanced Persistent Threat)直譯為高級持續性威脅。這種威脅的特點:一是具有極強的隱蔽能力和很強的針對性;二是一種長期而復雜的威脅方式。它通常使用特種攻擊技術(包括高級隱遁技術)對目標進行長期的、不定期的探測(攻擊)。
[注2] AET(Advanced Evasion Techniques),有的文章譯為高級逃避技術、高級逃逸技術,筆者認為譯為高級隱遁技術比較貼切,即說明采用這種技術的攻擊不留痕跡,又可躲避IDS、IPS的檢測和阻攔。
參考文獻
[1] 關于防御高級逃逸技術攻擊的專題報告.
[2] Mark Boltz、Mika Jalava、Jack Walsh(ICSA實驗室)Stonesoft公司.高級逃逸技術-避開入侵防御技術的新方法和新組合 .
[3] 惡意代碼綜合監控系統技術白皮書.國都興業信息審計系統技術(北京)有限公司.
[4] 杜躍進.從RSA2012看中國的網絡安全差距.2012信息安全高級論壇.
[5] 張帥.APT攻擊那些事.金山網絡企業安全事業部.
[6] 徐金偉,徐圣凡.我國信息安全產業現狀調研報告.2012.5.
[7] 徐金偉.我國專業公司網絡流量監控技術現狀. 2012.6.
[8] 北京科能騰達信息技術股份有限公司.CNGate-TES測試手冊.
[9] 南京翰海源信息技術有限公司.星云2技術白皮書V1.0.
篇6
“數據那些事兒”理念很重要
UZER、安全工作空間、數據不落地……,一個個新興詞匯蹦入眼簾,對此諧桐科技CTO張之收表示,隨著后移動時代的到來,信息存在的場景以及使用的方式與設備變得更加多樣化,導致之前的安全防護方式有了很明顯的變化。盡管近些年人們都十分注重企業數據安全方面的投入,但是安全事件依然頻發,“我們覺得這是非常好的創業發展契機,確實想通過自身的不斷努力去實踐一些創新的想法。”張之收對《中國信息化周報》記者說。
據筆者了解,UZER安全工作空間與傳統的攻防類安全產品有很大不同,它除了與傳統的安全產品相結合外,還補足其在移動端方面的不足,是一種“不走尋常路”的創新。產品將視角專注于適應越來越復雜網絡環境,尤其是復雜的WiFi環境以及BYOD趨勢。張之收認為,依照傳統的攻防形式保障數據安全,即使一個企業部署了防火墻、加密安全產品,架構完整的安全體系,仍很難從源頭上有效制止數據泄露,諧桐科技的理念恰好相反,遵循“大道至簡”的規律原則,認為越復雜的部署反而不利于安全的管控,因此UZER安全工作空間并不做出復雜的部署,并且提供給運維人員行之有效的便利。
例如在投資銀行的業務工作中,公司往往會在相關人員的便攜設備上安裝諸多監控,當負責人員使用沒有認證過的軟件或者登錄沒有認證過的網址時,系統就會報警,但系統本身對于安全與否的鑒定又不十分準確,如此看來就會對用戶體驗造成很明顯的困擾。UZER安全工作空間正是從不給用戶使用帶來負擔,不增加運維人員的安全運維難度的角度出發,力圖通過最簡單的方式提供安全使用環境的一款產品。
數據不落地 一切在云端
眾所周知,傳統的安全防護是通過防火墻,包括網絡端防火墻以及應用層防火墻來攔截攻擊,而客戶端主要是通過殺毒軟件來避免設備被黑客控制。概括來講安全環境就意味著后臺服務器的安全以及員工設備的安全,但傳統的邊界式防護,通常無法解決通過移動設備繞到內網中進行破壞的行為。張之收說:“后臺服務器的安全相對來說可控性較高,但是個人設備的安全就沒有很大的保證。因為設備掌握在人的手中,可以被攜帶到任何地點的任何環境,也可以在其中安裝各種軟件,所以說在用戶的設備上進行安全防護是十分復雜的,無論是從安全還是運維抑或其他方面。
傳統的辦公環境中設備與人相互綁定,也就是說人的身份得到認證后就代表所使用的設備安全性同時得到默認,目前的企業辦公系統還沒有辦法在短時間內有效界定設備是否安全,這就會很容易造成在使用公司數據時,由于自身的設備漏洞造成安全隱患。”從員工使用公司數據的一般流程來說,在某個環境中登錄客戶端或者相關應用,對辦公數據進行修改、上傳。但復雜的網絡環境就有可能造成數據被篡改、泄露;或被植入一些木馬病毒造成數據的感染,當用戶上傳被感染的數據到服務器端就會造成一次安全事故。也就是說黑客就可以輕松繞過防火墻、審計以及加密等設置,達成不良的目的。“面對這種數據泄露的方式,我們的產品是將公司的數據以及相關軟件應用始終部署在后臺服務器端,軟件應用和數據的結合也是在服務器端。使用的是應用軟件與服務器端瞬間組合而成的、可供使用的安全的臨時環境,然后以視頻流的方式推送到用戶終端,用戶看到的畫面其實是一個視頻,而且是經過加密的。”張之收補充道。
當用戶進行常規操作時,不需要將數據下載到本地,只是本地的鼠標鍵盤事件通過一個加密的通道上傳到后臺,后臺的軟件接收到鼠標鍵盤事件后進行對應的處理,在本地沒有任何數據落地,內存中也找不到任何數據痕跡,加密視頻播放之后也隨之消失于無形。“這就在服務端和客戶端形成了一條隔離帶,讓用戶沒有辦法獲取超越其權限的數據,避免了因為本地設備受到黑客控制造成的數據泄露。”諧桐科技執行副總裁陳立言解釋道。
由于應用和數據始終保存在后臺服務器上,在數據不落地的情況下,保障數據安全;而視頻也通過加密傳輸到客戶端,在傳輸的過程中視頻始終呈現加密狀態,即使在網絡環境中被截取,視頻的內容也是不可見的,只是一種行為的呈現。
靈活接入、報警留據
一個不落
所謂“離職季,你的數據又丟了多少”,形象生動地展現了數據泄露在很大程度上取決于內部人員。因為數據本身存儲在服務器中,UZER安全工作空間做到讓員工用戶只是通過設備去安全查看、修改以及上傳,如果發現有任何不軌的行為,后臺隨時可以報警,但是這個報警的行為只有用戶在使用安全工作空間時才會觸發,換句話說,只有進入安全空間后才可能訪問到企業數據,因此員工的個人行為不會受到監控,保證員工的隱私不會被侵犯。不同的員工根據不同的工作內容會有不同的權限,如果存在問題就會被直接鎖定控制,瞬間將風險控制到最小,面對嚴重問題后臺還可以留據,做到做到信息可以追溯,給具體的員工以警示。
“UZER安全工作空間,成功地將公司的應用與數據以及個人的應用與數據分離,我們不監控員工在個人設備上購物,看網頁等個人行為,這樣就不會給員工帶來反感和排斥,在不改變用戶習慣的前提下完成了監控。我們無法控制每個員工嚴格按照安全守則的規則操作個人設備,也無法避免他們不去點擊那些高度偽裝的釣魚]件。所以我們換了一個思路,從服務器端解決問題,讓應用與數據做到真正的不落地,最終解決移動設備的安全性所帶來的風險。”陳立言認為。
篇7
0 引言
在信息時代里,網絡化的信息系統已經成為國防力量的重要標志,軍事活動中,軍事信息的交流行為越來越多,局城網、廣城網等技術也逐步成為了軍事活動中不可或缺的內容,確保網絡環境下軍事信息的安全就是一項非常重要任務。
1 網絡環境下軍事信息安全面臨的威脅
軍事信息安全的主要威脅有:網絡攻擊、蓄意入侵、計算機病毒等。
1.1 計算機病毒
現代計算機病毒可以借助文件、郵件、網頁、局域網中的任何一種方式進行傳播,具有自動啟動功能,并且常潛人系統核心與內存,利用控制的計算機為平臺,對整個網絡里面的軍事信息進行大肆攻擊。病毒一旦發作,能沖擊內存、影響性能、修改數據或刪除文件,將使軍事信息受到損壞或者泄露。
1.2 網絡攻擊
對于網絡的安全侵害主要來自于敵對勢力的竊取、纂改網絡上的特定信息和對網絡環境的蓄意破壞等幾種情況。目前來看各類攻擊給網絡使用或維護者造成的損失已越來越大了,有的損失甚至是致命的。一般來講,常見的網絡攻擊有如下幾種:
(1)竊取軍事秘密:這類攻擊主要是利用系統漏洞,使入侵者可以用偽裝的合法身份進入系統,獲取軍事秘密信息。
(2)軍事信息網絡控制:這類攻擊主要是依靠在目標網絡中植入黑客程序,使系統中的軍事信息在不知不覺中落入指定入侵者的手中。
(3)欺騙性攻擊:它主要是利用網絡協議與生俱來的某些缺陷,入侵者進行某些偽裝后對網絡進行攻擊。主要欺騙性攻擊方式有:IP欺騙,ARP欺騙,Web欺騙、電子郵件欺騙、源路由欺騙,地址欺騙等。
(4)破壞信息傳輸完整性:信息在傳輸中可能被修改,通常用加密方法可阻止大部分的篡改攻擊。當加密和強身份標識、身份鑒別功能結合在一起時,截獲攻擊便難以實現。
(5)破壞防火墻:防火墻由軟件和硬件組成,目的是防止非法登錄訪問或病毒破壞,但是由于它本身在設計和實現上存在著缺陷。這就導致攻擊的產生,進而出現軍事信息的泄露。
1.3 人為因素造成的威脅
因為計算機網絡是一個巨大的人機系統,除了技術因素之外,還必須考慮到工作人員的安全保密因素。如國外的情報機構的滲透和攻擊,利用系統值班人員和掌握核心技術秘密的人員,對軍事信息進行竊取等攻擊。網絡運用的全社會廣泛參與趨勢將導致控制權分散,由于人們利益、目標、價值的分歧,使軍事信息資源的保護和管理出現脫節和真空,從而使軍事信息安全問題變得廣泛而復雜。
2 網絡環境下軍事信息安全的應對策略
2.1 確立網絡信息安全的戰略意識
要確保網絡信息的完整性、可用性和保密性,當前最為緊要的是各級都要確立網絡信息安全的戰略意識。必須從保證信息安全,就是保證國家主權安全,掌握軍事斗爭準備主動權和打贏信息化戰爭主動權的高度,來認識網絡信息安全的重要性。要堅決克服那種先把網絡建起來,解決了"有"的問題之后,再去考慮信息安全保密問題的錯誤認識。注意從系統的整體性出發,統籌考慮,同步進行,協調發展。
2.2 重視網絡信息安全人才的培養。
加強計算機網絡指揮人員的培訓,使網絡指揮人員熟練通過計算機網絡實施正確的指揮和對信息進行有效的安全管理,保證部隊的網絡信息安全。加強操作人員和管理人員的安全培訓,主要是在平時訓練過程中提高能力,通過小間斷的培訓,提高保密觀念和責任心,加強業務、技術的培訓,提高操作技能;對內部涉密人員更要加強人事管理,定期組織思想教育和安全業務培訓,不斷提高人員的思想素質、技術素質和職業道德。
積極鼓勵廣大官兵研究軍隊計算機網絡攻防戰的特點規律,尋找進入和破壞敵力網絡系統的辦法,探索竭力阻止敵人網絡入侵,保護己方網絡系統安全的手段。只有擁有一支訓練有素、善于信息安全管理的隊伍,才能保證軍隊在未來的信息化戰爭中占據主動權。
2.3 加強網絡信息安全的技術手段
在進行軍隊信息化建設時,要大力開發各種信息安全技術,普及和運用強有力的安全技術手段。技術的不斷創新和進步,才是網絡信息安全的關鍵,才是實現網絡信息安全最重要、最有力的武器。
2.3.1 防火墻技術
防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合,它是不同網絡或網絡安全域之間信息的唯一出入口,能根據使用者的安全政策控制出入網絡的信息流。根據防火墻所采用的技術和對數據的處理方式不同,我們可以將它分為三種基本類型:過濾型,型和監測型。
2.3.2 數據加密技術
數據加密是對軍信息內容進行某種方式的改變,從而使其他人在沒有密鑰的前提下不能對其進行正常閱讀,這一處理過程稱為"加密"。
在計算機網絡中,加密可分為"通信加密"和"文件加密",這些加密技術可用于維護數據庫的隱蔽性、完整性、反竊聽等安全防護工作,它的核心思想就是:既然網絡本身并不安全、可靠,那么,就要對全部重要的信息都進行加密處理,密碼體制能將信息進行偽裝,使得任何未經授權者無法了解其真實內容。加密的過程,關鍵在于密鑰。
2.3.3安裝入侵檢測系統和網絡誘騙系統。入侵檢測能力是衡量個防御體系是否完整有效的重要因素,入侵檢測的軟件和硬件共同組成了入侵檢測系統。
強大的、完整的入侵檢測系統可以彌補軍隊網絡防火墻相對靜態防御的小足,可以對內部攻擊、外部攻擊和誤操作進行實時防護,當軍隊計算機網絡和系統受到危害之前進行報攔截和響應,為系統及時消除威脅。網絡誘騙系統是通過構建個欺騙環境真實的網絡、主機,或用軟件模擬的網絡和主機),誘騙入侵者對其進行攻擊或在檢測出對實際系統的攻擊行為后,將攻擊重定向到該嚴格控制的環境中,從而保護實際運行的系統;同時收集入侵信息,借以觀察入侵者的行為,記錄其活動,以便分析入侵者的水平、目的、所用上具、入侵手段等,并對入侵者的破壞行為提供證據。
要確保軍事信息網絡安全,技術是安全的主體,管理是安全的保障,人才是安全的靈魂。當前最為緊要的是各級都要樹立信息網絡安全意識,從系統整體出發,進一步完善和落實好風險評估制度,建立起平時和戰時結合、技術和管理一體、綜合完善的多層次、多級別、多手段的軍事安全信息網絡。
篇8
關鍵詞:高職院校;信息安全專業; 專業實驗室;方案設計
1、引言
目前,信息安全已發展成為一個綜合、交叉的學科領域,它需要綜合利用計算機、通信、微電子、數學、法律、管理、教育等等諸多學科的長期知識積累和最新研究成果。信息安全也是一個復雜的系統工程,涉及到信息基礎建設、網絡與系統的構造、信息系統與業務應用系統的開發、信息安全的法律法規、安全管理體系等。信息安全作為一門新興、綜合、交叉學科,涉及的領域也很多,因此除了工程教育共有的特點,信息安全人才培養有其獨有的特點:信息安全領域知識覆蓋面寬、信息安全知識更新快、信息安全教育是一種持續教育、信息安全教育需要面向多樣化、層次化的人才需求、信息安全教育更注重應用和實踐能力。
作為高職院校信息安全專業,應該在專業培養目標明確的前提下,充分考慮信息安全人才培養的特點,對專業實驗室建設進行科學設計,準確定位,才能發揮專業實驗室對培養學生核心能力,提高動手能力的重要作用。
2、專業實驗室建設的定位
高等職業教育培養的是面向生產、建設、服務和管理第一線的高級應用型人才,“高級”強調的是理論基礎寬厚,“應用型”強調的是技能熟練程度,因此培養具備較扎實的專業理論知識和一定實踐操作技能的“高級藍領”(社會上把企業中的人員按其受教育程度、工作性質、創造的價值、獲取的報酬等綜合因素分為金領、白領、藍領。隨著我國加入WTO與經濟全球化的發展,我國的國民經濟結構調整使許多企業進行了產品結構的調整,崗位技術含量正在不斷增加,“藍領”“白領”的邊際正在模糊和淡化,“高級藍領”應運而生。
以浙江警官職業學院司法信息安全專業為例,該專業的培養目標是為司法行政機關及其他行政機關、企事業單位培養信息安全管理員(運行維護),為信息安全企業培養安全服務工程師,為公安機關培養網絡警察,培養能夠勝任“信息安全事件的預防、發現、處置”工作的技能型、管理型、復合型人才,主要滿足一線工作崗位、實踐操作技能強、具有大專學歷層次的信息安全人才需求。因此,高職院校司法信息安全專業更加注重實踐教學,更加注重學生動手能力的培養,更加注重學生職業能力的培養。
3、專業實驗室規劃與設計
3.1專業實驗室規劃
信息安全綜合實訓室的建設緊緊圍繞網絡信息安全事件“預防發現處置”工作流程為主線,以學生職業能力培養為中心,實現“教、學、做”一體。目標為培養掌握最前沿高級信息安全的實用技能型人才,突出網絡信息安全事件處置能力的培養,加強網絡安全技術應用與管理能力、信息安全事件處置能力的實訓。
3.2專業實驗室設計
信息安全綜合實訓室實驗實訓綜合系統分別由信息安全基礎實驗室系統(實驗性質、仿真環境)、信息安全仿真實訓平臺(實訓性質、仿真環境)、信息安全綜合實訓平臺(實訓性質、全真環境)三部分組成,學生通過該實驗實訓系統的訓練,逐步完成從基本技能培養崗位能力建立崗位能力提升及強化三個層次職業能力的三次提升。
(1)信息安全基礎實驗室系統——(實驗性質、仿真環境)
信息安全基礎實驗室系統能夠提供多種常用信息安全產品的仿真環境,能夠完成人機操作、多機操作等攻防實驗內容。配合理論教學供學生進行日常上機實驗,教師可以參照實驗室教材與標準講義,指導學生通過實際操作理解典型網絡攻擊的原理與手法,進而掌握針對這些典型攻擊的各種網絡安全防御手段,同時掌握常用網絡安全防御軟件的配置使用方法。 (教學軟件+硬件集成為一體)
要求滿足:50人能同時進行交互操作。
(2)信息安全仿真實訓平臺——(實訓性質、仿真環境)
信息安全仿真實訓平臺通過還原職業活動情景的方式,仿真多種企業環境,重建企業不同的網絡安全需求,采用案例分析模式,任務驅動的教學方式,培養學生對企業各種安全問題的綜合處理能力,使其掌握不同網絡環境下對一系列安全產品的綜合部署和配置方法。支持多人配合完成實訓任務,具有高互動性和真實性,培養學生團隊工作意識。實訓方案來源于真實企業需求,并參照國家職業技能鑒定標準符合當前信息安全保障工作對實用型信息安全人才的要求,實現學習與就業的無縫銜接。(教學軟件+硬件集成為一體)
要求滿足:50人能同時進行交互操作。
4、結語
信息安全綜合實訓室主要是針對司法信息安全專業崗位(信息安全管理員-運行維護)所要求的核心能力(網絡安全技術應用能力和信息安全事件的綜合處置能力),進行設計的。信息安全綜合實訓室的建設為信息安全人才培養提供了全方位的實驗環境, 學生在這里通過實驗、實訓,能夠加深對網絡攻擊技術、網絡滲透技術、服務器入侵技術、網絡防護技術、數據恢復技術及計算機信息的加密與解密等技術原理的理解,掌握防火墻、IDS等網絡安全產品的搭建、配置與使用,電子證據的固定與分析,電子數據恢復,信息安全事件的綜合處置等核心技能,對于提升學生就業能力將有直接幫助,同時,對改善學校辦學條件、提高教學質量、培養高素質操作技能強的信息安全人才具有十分重要的意義。
參考文獻
[1]李建華,張愛新等.信息安全實驗室的建設方案[J].實驗室研究與探索,2009(3):65-67
[2]鐘平,王會林.高校網絡安全實驗室建設探索[J].實驗室科學,2010(2):122-124
篇9
關鍵詞:網絡技術;實訓;模塊
中圖分類號:TG76-4 文獻標識碼:A文章編號:1007-9599(2012)04-0000-02
隨著經濟和技術水平的迅猛發展,計算機網絡技術發生著日新月異的變化,互聯網的普及與網民人數的絕不斷攀升,各行各業都離不開網絡技術。網絡技術學習和網絡人才培養在各級、各類教育中也占據了重要的地位。隨著各種高新技術的流入,對各行各業人才也提出了較高要求。一些非網絡專業的學生在今后的職業生涯中都會和網絡技術打交道,但是他們在職業教育中沒有接觸任何網絡技術方面的知識甚至是動手的機會,可能連網線斷了這樣的的問題也無從下手。高等職業教育的根本任務是為國民經濟建設培養造就大批的應用型、技能型的人才,這就要求高職院校的實踐模式必須適應高新技術的發展。
如何針對傳統高職教育中網絡教學的缺點進行課程模式和教學方法的改革?如何使各專業學生能夠適應新的網絡教學體系?網絡教學如何適應飛速發展的網絡技術的日新月異的技術標準?如何使畢業生盡快適應企業的工作需求?這些都是目前網絡技術教育工作者思考和探索的問題。
一、模塊化網絡實訓教學的必要性
(一)對提高網絡教學水平意義重大
模塊化網絡實訓教學的研究對提高網絡教學水平的意義體現在兩個方面:一,增加了網絡實訓教學這門課;二,提高教師的教學水平。
(二)提高個各專業人才對網絡技術的需求
通過模塊化網絡實訓教學,各專業各層次人才能夠對網絡技術有一定的了解,能夠提高網絡動手能力。
(三)對學生就業意義重大
模塊化網絡實訓教學提供了真實的網絡環境,可以讓學生親自搭建網絡、親自動手調試、配置網絡,加深對網絡原理、協議、標準的認識。通過模塊化網絡實訓基地的學習,提高學生的網絡技能和實戰能力,在將來的就業競爭中非常明顯的競爭優勢。
(四)促進學校品牌的建設
模塊化網絡實訓的建設,可以提高學校的教師的教學力量;其次,模塊化網絡實訓教學還可以提高學生的動手能力,在日漸激烈的就業市場中更有競爭力。
二、模塊化網絡實訓教學改革的目標和原則
(一)完成模塊化網絡實訓教學的目標。第一個層次是實訓類別的完備;第二個層次是實訓模擬情境的完備;第三個層次是實訓功能的完備;第四個層次是實訓布局的完備性;第五個層次是效益的完備性;最終建成一個高水平的綜合模塊化網絡實訓,在其平臺上運行多種實訓系統。使實訓中心成為滿足不同層次教學需要的面向全校學生開放的計算機網絡技術實訓基地和人才培養基地。(二)建設模塊化網絡實訓教學的原則。為達到模塊化網絡實訓教學建設的目標,綜合考慮近幾年IP技術的發展和數據承載網絡的發展,在實訓教學設計構建中,應始終堅持以下原則:第一,高可靠性;第二,標準性及開放性;第三,靈活性及可擴展性;第四,先進性;第五,可管理性;第六,安全性;第七,綜合性和統一性;第八,模塊化設計;第九,分離式理念。
三、模塊化網絡實訓教學改革思路
(一)通過將專業分類的方式對各專業對網絡技術的不同需求
A類:計算機網絡專業
B類:信息相關專業,包括電子商務、信息安全、計算機應用技術、多媒體技術等相關專業
C類:其它專業
(二)由于不同專業的知識基礎不同,對網絡知識的攫取要求也是不一樣的,通過模塊化細分確定不同總類專業對網絡技術的需求
(三)分析各高職類專業網絡實訓常用模塊,將網絡實訓部分進行模塊化分類:網絡基礎部分、網絡技術應用部分(含服務器搭建、網絡維護、設備操作)、路由交換技術實訓模塊、無線技術實訓模塊、網絡安全與管理(含協議分析、災難修復、網絡攻防)、網絡管理實訓模塊
(四)建立菜單式網絡技術實訓教學模塊,并分析出前驅知識點、適用專業與人員類型、每個模塊理論知識基礎、實訓目的、考核標準、實訓條件要求等;
四、模塊化網絡實訓教學建設需求分析
(一)培養網絡技術人才的目標。職業學校主要培養生產、建設、管理、服務第一線需要的,德、智、體全面發展的技術應用性人才。本著“系統性、整體性、綜合性、應用性”的原則,形成了以素質教育和能力培養為主線、理論教學和實踐教學互相滲透的人才培養模式,注重對學生實際能力的培養的同時,同時積極開展多種職業技能培訓。(二)職業學校的網絡人才培養需求。職業技術教育培養目標是應用型(技能型)人才,職業教育的發展特性決定了它堅持以就業為導向。首先,要實現辦學思想的轉變;第二,要適應就業市場、勞動力市場的需要,要面向社會、面向市場、面向企業、面向群眾需求來辦學。第三,要實行更大范圍工學結合。
五、模塊化網絡實訓教學的應用需求
提供真實的網絡實訓教學環境,滿足不同層次實訓的需要,提供實訓基地配套的實訓教學系統,實操技能型實訓能在實訓基地完成,有效地對實訓教學進行管理,解決學生將來就業的通用性問題,模塊化網絡實訓基地和職業教育認證培訓結合。
篇10
關鍵詞:電力系統;智能終端;安全挑戰與風險;安全防護
0引言
為應對全球節能減排、能源綜合利用效率提升的挑戰,發展能源互聯網成為推動后危機時代經濟轉型、發展低碳經濟的重要手段[1]。能源互聯網的建設使得現代電網向開放、互聯、以用戶為中心的方向發展,實現多類型能源開放互聯、各種設備與系統開放對等接入。2019年,國家電網有限公司提出了“三型兩網”的戰略發展目標,在建設堅強智能電網的基礎上,重點建設泛在電力物聯網,以構建世界一流能源互聯網。泛在電力物聯網將充分應用移動互聯、人工智能等現代信息技術和先進通信技術,實現電力系統各個環節萬物互聯、人機交互,打造電網狀態全面感知、信息高效處理、應用便捷靈活的能力。泛在電力物聯網的建設主要包括感知層、網絡層、平臺層、應用層4個部分,其中感知層重點實現終端標準化統一接入,以及通信、計算等資源共享,在源端實現數據融通和邊緣智能。在此背景下,智能表計、新一代配電終端、源網荷友好互動終端、電動汽車充電樁等多類型電力系統智能終端在電網中得以廣泛應用[2],成為連接電力骨干網絡與電力一次系統、用戶的第一道門戶。電力系統智能終端作為能源互聯中多網“融合控制”的紐帶節點,實現了電網監測數據的“本地疏導”以及電網對外控制的“功能聚合”[3],其安全性直接關系到電網的安全穩定運行,研究電力系統智能終端的信息安全防護技術意義重大。
針對電力系統信息安全防護問題,自2002年起中國提出了以網絡邊界隔離保護為主的電力二次安全防護體系[4],有效保障了電力監控系統和電力調度數據網的安全穩定運行。電力二次安全防護體系制定了“安全分區、網絡專用、橫向隔離、縱向認證”的安全防護策略,重點強調了通過內網隔離保護的方式確保電力二次系統的安全防護[5],然而對新形勢下電力系統智能終端的安全防護并未考慮。一方面,與傳統信息安全相比,泛在電力物聯網中各環節數億規模終端具有異構與分散特性,后天標準化的終端自身安全防護理論與技術難以獲得,如何兼顧實時性和安全性雙重約束進行電力系統終端自身安全防護成為需要考慮的問題,電力系統智能終端自身安全性保證需求迫切。另一方面,隨著泛在電力物聯網建設推進,電力系統智能終端廣泛采用無線傳感網絡等公共網絡與電網主站系統進行通信[6],在電力二次安全防護體系隔離保護邊界外形成具有泛在互聯、開放共享特性的邊緣計算網絡。這必然會將網絡攻擊威脅傳導至電力系統本體,使得因網絡攻擊造成的大停電風險陡增。
為應對以上安全威脅,2014年國家發改委和能源局了《電力監控系統安全防護規定》[7],要求電力生產控制大區設立安全接入區,對使用無線通信網等方式縱向接入生產控制大區的電力系統智能終端進行網絡隔離。因此,在當前網絡攻擊手段呈現高級定制化、特征不確定化的嚴峻形勢下,如何解決異構多樣、數量龐大的電力系統智能終端邊緣接入過程中的網絡攻擊實時監控發現和防滲透成為需要考慮的另外一項重要問題。
為此,本文圍繞電力系統智能設備安全互聯需求,首先分析電力系統智能終端業務特征和信息安全風險,明確電力系統智能終端信息安全防護特性;在此基礎上,本文總結提出了電力系統智能終端信息安全防護面臨的關鍵技術問題;然后,設計構建了覆蓋芯片層、終端層、交互層的電力系統智能終端信息安全防護研究框架;最后,對電力系統智能終端信息安全防護關鍵技術進行了展望。
1電力系統智能終端信息安全風險
近年來網絡空間安全事件頻發,國家級、集團式網絡安全威脅層出不窮[8-10]。電力等重要基礎設施領域成為“網絡戰”的重點攻擊目標之一,信息安全形勢異常嚴峻[11]。2010年“震網”病毒事件中,西門子可編程邏輯控制器(PLC)終端受病毒攻擊導致1000多臺離心機損毀,使得核電站癱瘓。2015年烏克蘭停電事件,以終端為攻擊跳板癱瘓電力控制系統導致,成為全球首例公開報道的因黑客攻擊導致大范圍停電事件[12]。以上事件均表明,電力系統智能終端已成為攻擊電網的重要目標和主要跳板[13],面臨著嚴峻的信息安全風險。本文從信息安全防護的保密性、完整性、可用性3項重要目標角度出發[14-15],結合電力系統智能終端的組成結構和業務特征對信息安全風險進行分析,具體涉及芯片層、終端層、交互層3個方面,如圖1所示。
1)芯片層:電力系統智能終端芯片自主可控性和安全性不足,在非受控環境下面臨后門漏洞被利用風險。
2018年Intel芯片漏洞事件,爆出Intel芯片存在融毀漏洞以及幽靈漏洞,利用該漏洞進行攻擊,可獲取用戶的賬號密碼、通信信息等隱私,智能終端均受波及,電力系統智能終端芯片同樣面臨漏洞、后門隱患的巨大問題。隨著電力系統智能終端的開放性逐漸增強,與外界交互范圍逐漸擴大,電力系統智能終端芯片安全性的不足逐漸凸顯,主要表現在電力系統智能終端芯片自主可控程度低、芯片安全設計不足,導致當前電力系統智能終端存在“帶病”運行,漏洞隱患易被攻擊利用造成安全事件。為此,需要在芯片層面提高電力系統智能終端芯片的安全性,從芯片層面提高電網的安全防護能力。
2)終端層:異構電力系統智能終端計算環境安全保證不足,存在終端被惡意控制破壞的風險。
據數據統計表明,目前中國電網已部署各類型電力系統智能終端總數超4億,規劃至2030年接入各類保護、采集、控制終端設備數量將達到20億。各類電力系統智能終端覆蓋了電力“發電、輸電、變電、配電、用電、調度”等各個環節,終端形態各異且業務邏輯差異巨大。終端復雜多樣的嵌入式硬件計算環境、異構的軟件應用環境和多類型私有通信協議等特性,使得其安全防護尚未形成統一標準。各類終端安全防護措施和水平亦參差不齊,在面對病毒、木馬等網絡攻擊時整體安全防護能力薄弱。同時,電力系統智能終端在研發、生產、制造等環節無法避免的漏洞后門隱患也存在被攻擊者利用的巨大安全風險。隨著電力系統智能化水平的不斷升級,各類型電力系統智能終端越來越多地承載了大量異構封閉、連續作業的電力生產運營應用,運行可靠性、實時性要求較高。電力系統智能終端一旦遭受惡意網絡攻擊,將可能導致終端生產監測信息采集失真,甚至造成終端誤動作引發停電風險,傳統事后響應型的終端被動防護技術無法滿足電力安全防護的需要。因此,確保電力系統智能終端軟硬件計算環境安全的標準化防護技術,以及事前防御型的主動防御技術研究需求迫切。
3)交互層:電力系統智能終端廣泛互聯互通導致網絡開放性擴大,引入網絡攻擊滲透破壞風險。
泛在電力物聯網的建設,其核心目標是將電力用戶及其設備、電網企業及其設備、發電企業及其設備、供應商及其設備,以及人和物連接起來,產生共享數據,為用戶、電網、發電、供應商和政府社會服務。以電網為樞紐,發揮平臺和共享作用,為全行業和更多市場主體發展創造更大機遇,提供價值服務。因此,泛在電力物聯網環境下的電力系統智能終端將廣泛采用電力無線專網、NB-IoT、北斗定位、IPv6和5G等無線、公共網絡與電網主站系統進行通信,使得電力系統智能終端的通信交互形式將呈現數量大、層級多、分布廣、種類雜等特點,極大地增加了遭受網絡攻擊的暴露面。無論是電力系統智能終端,還是主站電力系統,被網絡攻擊滲透破壞的風險均進一步增大。在當前網絡空間安全異常嚴峻的形勢下,新型網絡攻擊手段不斷衍變衍生,呈高級、定制化、持續性發展,尤其是面向工控環境的攻擊更具有高度定制化、危害大的特點,使得電力系統智能終端通信交互過程中面臨著新型網絡攻擊被動處置的局面。例如在烏克蘭停電事件中,黑客通過欺騙電力公司員工信任、植入木馬、后門連接等方式,繞過認證機制,對烏克蘭境內3處變電站的數據采集與監控(SCADA)系統發起攻擊,刪除磁盤所有文件,造成7個110kV和23個35kV變電站發生故障,從而導致該地區發生大面積停電事件。
綜上可知,電力系統智能終端面臨的芯片層、終端層信息安全風險主要由終端芯片、計算環境安全性不可控和漏洞被利用等原因造成,可歸納為終端“自身安全”問題。交互層信息安全風險產生的原因主要為電力系統智能終端在互聯接入過程中存在被滲透攻擊可能性造成的,可歸納為“攻擊防御”問題。
2電力系統智能終端信息安全防護技術問題剖析
為了解決電力系統智能終端“自身安全”和“攻擊防御”問題,國內外學者開展了諸多信息安全防護技術研究,主要從傳統信息安全的角度探索密碼技術在終端自身數據保護、通信協議安全、安全接入傳輸方面的應用[16]。然而,受制于當前中國的芯片自主可控水平限制,以及電力系統智能終端異構多樣的復雜計算環境和高安全、高實時運行特性限制,加之網絡攻擊特征不確定的混合約束,電力系統智能終端的整體安全防護尚存在待突破的技術問題,具體如下。
1)技術問題1:覆蓋電路級、CPU內核及片上內嵌入式操作系統的芯片全通路安全防護機制及適應各類異構終端的普適性主動免疫問題。
根據安全風險分析可知,解決電力系統智能終端“自身安全”問題,必須實現芯片安全和終端計算環境安全。
在電力系統智能終端芯片層,面臨的安全隱患表現為芯片各層次防護理論和技術無法滿足安全需求。然而,當前電力系統智能終端采用了大量先進工藝條件制造的芯片,此類芯片主要由國外掌控,自主可控程度很低,其安全性保障技術更是存在空白。隨著中國自主先進芯片技術發展,電力系統智能終端芯片在實現自主可控的同時應充分考慮芯片的安全防護,同步設計、同步發展。首先需從芯片設計理論的安全建模方面進行技術突破,確保理論層面的可證明安全。其次,應突破電路級、CPU內核以及片上內嵌入式操作系統等芯片核心組件的安全防護技術,從而構建芯片全通路安全防護技術體系。在電力系統智能終端計算環境安全方面,由于電力系統智能終端異構多樣、資源受限、長期運行,傳統終端被動式、個性化安全技術無法適用。因此需開展結合芯片層面的終端安全技術研究,構建適用于電力系統智能終端不同硬件架構、不同系統環境、不同應用環境的標準化安全防護框架,且能夠在網絡安全事件發生前、發生時確保終端計算環境的安全性和完整性,最終形成電力系統智能終端的普適性主動免疫技術體系。
2)技術問題2:攻擊特征不確定、終端/業務/網絡強耦合條件下,終端安全狀態建模、精確感知及威脅阻斷問題。
解決電力系統智能終端“攻擊防御”問題,重點需突破電力系統終端遠程接入交互過程中的攻擊監測和防滲透技術。然而,電力系統智能終端點多面廣、業務系統專業性強、互聯網絡組成復雜度高,且三者間相互耦合,而針對電力系統的網絡攻擊呈現定制化、隱蔽化和高級化等特點,難以清晰描述基于零日漏洞的高級持續性網絡攻擊的機理和特征,不同電力系統智能終端、系統、網絡在攻擊下的表現不一,因此無法單一根據攻擊特征進行識別和阻斷。傳統監測手段缺少對電力業務場景的安全建模,監測數據源僅涉及CPU內存等基礎資源狀態和基礎網絡流量,未面向電網業務流、專用協議和應用特征進行深度監控與分析,難以精確、深入地感知電力系統智能終端系統安全狀態,需要探索終端安全精確感知與攻擊阻斷技術。同時,在電力設備廣泛互聯后,邊緣側安全防護能力不足,需突破混合電力業務可信邊緣接入與多級安全隔離技術。
3電力系統智能終端信息安全防護技術研究思路
針對電力系統智能設備安全互聯的需求,以解決電力系統智能終端“自身安全”和“攻擊防御”問題為核心,本文提出了覆蓋“芯片層、終端層、交互層”的3層安全防護研究脈絡,構建電力系統智能終端安全防護技術研究模型,如圖2所示。
具體來說,首先需解決“覆蓋電路級、CPU內核及片上內嵌入式操作系統的芯片全通路安全防護機制及適應各類異構終端的普適性主動免疫問題”,從芯片層安全和終端層安全開展關鍵技術研究,以確保電力系統智能終端自身安全。在芯片層,需開展芯片電路級安全、專用CPU內核、片上內嵌入式操作系統安全等3方面技術研究,為電力系統智能終端計算環境安全提供滿足安全性、實時性要求的電力專用芯片,為終端主動免疫能力構建提供基礎。在終端層,需從終端計算環境安全、應用安全、通信安全角度,重點研究具有主動免疫能力的電力系統智能終端內嵌入式組件和控制單元技術,并研制具備主動免疫能力的電力嵌入式組件、控制單元和終端。芯片層研究和終端層研究的成果共同解決終端主動免疫問題;同時,終端層將為交互層提供終端安全監測數據,并向交互層終端邊緣接入防護提供業務場景和接入需求。
在此基礎上,為解決“攻擊特征不確定、終端/業務/網絡強耦合條件下,終端安全狀態建模、精確感知及威脅阻斷”的問題,需從交互層安全開展關鍵技術研究以確保外部攻擊防御。具體來說,面向主動免疫終端的互聯應用場景,研究提供網絡監控防御和安全交互保障技術;從終端狀態感知、攻擊識別、威脅阻斷等3個監控與防滲透必要環節,研究終端、業務、網絡多維融合狀態感知、關聯電力業務邏輯的深度攻擊識別、終端網絡聯動的威脅阻斷技術,實現終端安全威脅精確感知與阻斷,為電力系統智能終端提供網絡攻擊防滲透決策控制服務。同時,研究電力系統智能終端的統一邊緣接入場景安全防護,為終端的邊緣接入安全、數據安全和隔離保護提供技術支撐,為具有自免疫能力的電力系統智能終端的邊緣接入提供安全傳輸通道。
4電力系統智能終端信息安全防護關鍵技術
下文將從芯片層、終端層、交互層等3個方面對電力系統智能終端安全防護需突破的關鍵技術展開闡述。
1)芯片層安全防護關鍵技術:芯片電路級可證明安全防護技術和內核故障自修復技術。
針對復雜環境、先進工藝條件以及新型攻擊模型帶來的一系列芯片安全問題,研究覆蓋電路級、CPU內核以及嵌入式操作系統的具有完全自主知識產權的電力芯片安全技術[17]。滿足電力系統終端對電力專用芯片的高安全、高可靠、高實時性要求。
首先需要進行芯片級安全防護理論研究,針對集成電路器件的信息泄露產生源問題[18],具體理論研究方法為:研究先進工藝下電流、光、熱等物理信息的產生機理[19],掌握其內在物理特性和工藝間的關系;分析芯片電路元件的組合物理特性,以及多元并行數據在信息泄露上的相互影響;在芯片內部特征差異和外部噪聲環境下,研究先進工藝下電力專用芯片物理信息泄露的精準建模方法,構建普適性物理信息泄露模型;研究可證明安全的泄露信息掩碼、隱藏技術以及抵御高階分析和模式類分析的防護技術,提升芯片安全設計理論與方法;研究層次化芯片安全防御體系架構。通過研究芯片運行電磁環境監測、運行狀態監測、多源故障檢測技術,實現芯片的環境監測和內部監測。研究CPU指令流加密和簽名、平衡電路構建、數字真隨機數電路等技術,實現芯片內部數據的存儲加密、總線擾動、電路掩碼。提出可證明安全的自主知識產權芯片電路級防護方法,滿足電力專用芯片的高安全要求。
在理論研究基礎上,需基于可證明安全的芯片電路級防護方法進行芯片電路級防護實現技術研究。首先,基于自主知識產權的CPU架構,研發帶有高安全、高可靠特性的CPU內核,并對以上技術進行仿真驗證,研究形成CPU內核故障自修復技術,滿足電力專用芯片的高可靠性要求;然后,確定仿真驗證可行性,并采用以上關鍵技術研制低功耗、高速特性的電力專用芯片,開發適用于電力應用的片上內嵌入式操作系統,滿足電力專用芯片的高實時性要求。
最后,對研制的電力專用芯片和內嵌入式操作系統進行全套模擬測試,以確定滿足后續電力智能終端的開發應用。通過芯片層安全研究方法確保電力專用芯片滿足安全防護要求,實現功耗電磁隱藏、數據命令掩碼、電路屏蔽,以抵御模板攻擊、電磁注入攻擊等新型信道攻擊、故障攻擊、侵入式攻擊。具體研究框架如圖3所示。
2)終端層安全防護關鍵技術:融合可信計算和業務安全的異構智能終端主動免疫技術。
針對電力智能終端異構、資源受限條件帶來的終端易被惡意控制和破壞的風險,提出研究融合可信計算和業務安全的異構智能終端主動免疫技術。首先,根據電力多場景業務應用情況,分析各類電力系統智能終端的安全防護需求,提取異構智能終端的主動免疫需求特征;然后,根據異構終端的主動免疫需求特征,研究建立適應電力系統智能終端的普適性主動免疫安全架構。①在硬件安全架構技術研究方面,針對電力終端特性研究基于電力專用芯片的電力終端可信根[20],實現對電力終端操作系統、業務應用程序的可信量度,保證終端狀態的可信[21-22];設計以可信根為基礎、以嵌入式微控制單元(MCU)為應用的終端可信邏輯硬件架構,研究端口安全訪問機制和接口驅動安全機制,實現終端的主動免疫能力。②在軟件架構技術研究方面,針對電力終端在數據交互、訪問機制、檢查機制、審計機制方面存在的漏洞,研究數據安全保護機制[23],保證各個應用和各部分數據的獨立安全;研究滿足電力系統需求的安全訪問控制機制,外層訪問和軟件平臺之間的安全檢查機制;研究適應外層、軟件平臺訪問的安全訪問審計機制。
在電力系統智能終端普適性主動免疫安全架構基礎上,為實現終端計算環境安全、業務應用安全和對外通信安全,提升多種場景下異構電力系統智能終端的安全防護能力。需開展系統安全訪問、數據安全保護、信任鏈構建、可信量度與可信管理、可信證明與可信證據收集、數據安全交互、核心功能保護、快速恢復及通信完整性保護等方面的關鍵技術研究,建立適應電力系統異構終端的普適性主動免疫體系。具體研究框架如圖4所示。
3)交互層安全防護關鍵技術一:面向不確定攻擊特征的終端威脅精確感知與阻斷技術。
針對電力終端接入和互聯過程中的攻擊監測、異常處理與安全防護需求存在的問題,研究基于“異常監測—阻斷響應—安全防護”的交互層安全技術。
首先,研究多級分布式監測與防滲透架構,構建監測布點機制和終端防滲透模型:①針對典型電力終端業務場景,分析不同場景的脆弱性和安全威脅,研究基于業務場景的終端網絡滲透路徑;②對終端系統中已有的安全防御措施進行建模;③綜合防御模型與終端網絡滲透路徑,形成不同業務場景的監控與防滲透模型。
其次,針對網絡滲透攻擊特征的不確定性,需研究終端、業務、網絡多維融合安全狀態建模與感知方法,建立各維度安全狀態基準,采用異常特征抽取技術獲取各類攻擊和異常特征的映射關系,反向推導可能發生的滲透攻擊,實現異常識別。在終端安全狀態感知方面,需分析多源異構嵌入式電力智能終端硬件資源、可信模塊、配置文件、關鍵進程等運行狀態特征,構建面向終端狀態異常行為的分類和診斷模型,實現對多源異構終端的有效異常感知。在業務安全狀態感知方面,開展基于協議深度分析的業務異常感知的研究。分析電力協議的格式規范、業務指令特征和操作邏輯,對協議進行深度解析并提取指令級特征[24];分析單一數據報文的合規性,識別畸形報文;分析組合數據報文,還原業務操作行為,實現對違規行為的異常感知。在網絡安全狀態感知方面,從通信路徑、通信頻率、流量大小、流量類型等多維角度分析電力終端流量特征[25],并融合歸一化處理,以自學習的方式確定行為基線,實現流量異常識別。
在此基礎上,針對電力系統遭受滲透攻擊后的準確有效響應需求,結合各類電力系統業務場景,研究基于特征提取和模式識別的攻擊關聯分析方法,構建概率關聯模型和因果關聯模型,對攻擊特征進行關聯分析[26],作為攻擊識別技術的支撐基礎。對具有較顯著特征的攻擊行為,構建多模式快速匹配模型,實現攻擊的快速匹配識別,對特征相對不很顯著的復雜攻擊行為,利用機器學習,實現攻擊的有效檢測。
最后需研究防滲透策略管理和隔離阻斷技術,形成網絡和終端設備的策略下發、執行和優化等綜合管理方法;對于被入侵的高風險終端,產生終端隔離策略或網絡阻斷策略,對于受影響終端,生成風險規避策略。并需要研究策略優化、沖突檢測、沖突消除算法,實現融合“終端隔離”與“網絡阻斷”的多層協同防御策略,最終基于攻擊危害評估的隔離阻斷技術實現攻擊的抵御和消解。具體研究框架如圖5所示。
4)交互層安全防護關鍵技術二:電力系統智能終端互聯場景下終端邊緣安全接入和混合業務隔離保護技術。
首先研究電力系統智能終端邊緣接入體系架構和安全防護體系,為電力監控系統、智慧能源系統、能源計量系統的終端互聯安全提供基礎支撐。
在此基礎上,針對電力系統智能終端互聯、混合業務統一接入場景下,海量多樣化終端的合法快速接入認證問題,需采用分布式授權接入控制、輕量級驗簽等方法,研究快速接入認證技術;在輕量級公鑰、私鑰研究的基礎上,提出輕量級簽名算法以及公鑰對生成算法[27],通過軟硬件結合方式構建輕量級的驗簽體系,支撐系統的實時驗簽處理。實現終端分布式授權和高速安全接入認證。同時,需針對不同邊緣側業務、環境、時間、跨度,實現不同安全需求的邊緣側認證授權技術,即在知識庫、規則庫構建的基礎上,基于自學習方法構建完整的電力系統邊緣計算認證因子體系[28],實現多種認證因子共存的“白名單”最小化授權認證。
針對邊緣接入過程中的數據安全防護問題,需研究輕量級密鑰更新和數據安全處理與質量保障技術,實現全實時數據安全防護。首先設計密鑰管理、協商、更新機制,重點研究混合業務分級分類安全存儲、高速接入場景動態協調存儲方法,滿足數據高速增量存儲。在此基礎上,研究高性能的安全多方計算方法,實現實時數據流的安全、高速處理和隱私保護,在計算能力和帶寬約束條件下解決數據篡改、數據失真等安全問題,并在邊緣計算能力和帶寬約束條件下實現數據清洗、融合、治理,定量化提升數據質量。
最后針對多業務互聯過程中的業務隔離困難的問題[29],需結合資源虛擬化調度和切片技術,研究多業務安全隔離技術,選擇合適的切片粒度和生命周期,平衡切片的靈活性和復雜性,實現多業務共享資源的切片式安全隔離,支持混合業務可信敏捷接入與多級安全隔離。同時為了確保業務連續性不受影響,充分利用不同通道的優勢,需采用通道切換的方法進行多模通道自動倒換,實現通道使用優化,提高業務接入和備份能力,確保業務狀態不中斷。具體研究框架如圖6所示。
5電力系統智能終端信息安全防護能力測試驗證技術
電力系統智能終端信息安全防護需要多方面的關鍵技術,目前國內外尚無適用于電力系統智能終端業務環境的安全性測評驗證技術。本文嘗試從安全防護技術集成優化、實驗室測試驗證、多業務綜合試驗驗證等3個方面,對電力系統智能終端信息安全防護技術有效性進行分析和展望。
1)安全防護關鍵技術集成優化。電力系統智能終端安全防護涉及了芯片層、終端層、交互層3個方面,相關技術在應用過程中需兼容電力不同業務系統應用場景、防護要求及措施的差異。同時,需要兼顧與各業務系統在功能模型、性能指標、安全策略等方面的匹配性,考慮與已有防護策略的優化集成應用需求,以支撐芯片層—終端層—交互層安全防護技術的整體研發與應用。
2)安全性實驗室測試驗證。為滿足電力系統智能終端信息安全防護技術有效性驗證需求,需基于電力業務系統運行場景模擬,研究安全防護能力的實驗室測試技術,構建終端安全性檢驗測試平臺,實現安全功能符合性、穿透性測試。此外,需研究考慮不同攻擊密度、攻擊特征及目標定位的攻擊用例,構建安全攻防驗證平臺,實現主動免疫電力系統智能終端及安全監測與防滲透系統安全功能的有效性測試。
3)安全性綜合驗證評估。綜合考慮實際業務環境中的負荷特點、供電可靠性要求等因素,在安全防護技術應用到生產環境后,為對相關安全技術有效性以及業務影響性進行測評驗證。需考慮通過紅隊攻擊和專家組驗證等方式,采用終端自身攻擊、縱向通信攻擊、主站下行攻擊等方式,驗證主動免疫電力終端、終端安全監測與防滲透系統、邊緣計算安全接入設備的安全功能有效性,并評估對業務系統實時性、正確性、可靠性等方面的影響及對現有防護體系的提升能力。
