【摘 要】 网络安全架构的规划与部署直接影响网络整体安全防护的效果。为了加强对其的掌握,本文从边界防御架构、纵深防御架构、零信任架构、可信计算架构4个方面分析了国内外现有的网络安全架构,介绍了每种架构的特点及局限性,在此基础上,对网络安全体系架构的主要发展趋势进行了总结和展望,以期为后续相关研究提供有益参考。
【关键词】 网络安全架构 边界防御 可信计算 主动防御
1 引言
近年来,随着信息技术的持续发展和广泛应用,各种网络攻击方式和安全事件层出不穷,网络安全面临着日益严峻的挑战。
众所周知,软硬件在开发和设计过程中存在漏洞难以避免,而不同种类的攻击方式始终层出不穷。如果对存在的风险缺乏统一的思考和防范,网络系统没有构建体系性的防御措施,网络安全防护工作就会变成一种临时性的应激操作,网络运行管理人员需要不断应对来自不同方向、不同种类的难以预测的攻击,而多数结果等同于亡羊补牢,在造成数据的失泄密后再行补救则为时已晚。为了对网络内的重要信息和设施进行保护,有必要建立一套体系性的防护框架,在攻击发生之前使系统具有防御能力,防患于未然。
世界范围内大部分国家对网络安全的重视程度越来越高,在理念、机制、举措等方面积极制定网络安全政策,构建自身的网络安全体系,提升网络安全防护能力。例如,拜登政府上台后,把网络安全作为重大的国家安全问题和首要任务,并迅速在网络安全体系形成了包括网络威胁战略认知、网络防御重点、统筹协调机制和网络防御能力等内容的四大体系架构。
为了清晰梳理网络安全架构的发展情况,本文分析总结了国内外现有的网络安全架构,从边界防御架构、纵深防御架构、零信任架构、可信计算架构4个方面进行了详细分析,介绍了每种架构的特点,并对其优点及局限性进行了探讨。在此基础上,对网络安全架构的主要发展趋势进行了展望和总结。
2 常见的网络安全架构
国内外普遍认为网络安全架构应该是一个动态的、不断完善的过程,大量科研人员及学者进行了长期的研究工作,并设计了各类动态安全保障体系模型。其中,最具代表性的模型包括边界防御架构、纵深防御架构、零信任架构、可信计算架构等。
2.1 边界防御架构
“边界防御”架构于2012年被国内安全企业率先提出并应用,通过在网络边界处严密设防,如代理、网关、路由器、防火墙、加密隧道等,监控进入终端的外界程序,在恶意代码尚未运行时即对其安全性进行鉴定,从而最大限度地保障本地计算机的安全。其中,4类较为常见的边界防御技术分别是防火墙技术、多重安全网关技术、网闸技术,以及虚拟专用网(VPN)技术。
如图1所示,边界防御架构可以控制外部网络对内部网络的访问,强化内部网络安全。边界防御技术还可通过对进入内部网络的文件进行安全鉴定,防止内部信息外泄,隐藏内部网络的敏感信息。由于内外网之间数据的传输必须经过边界防御,一切未被允许的就是禁止的,只有被授权合法的数据,即在边界防御系统安全策略中允许的数据才能穿过网络边界,保障了内部网络的整体安全。此外,边界防御架构通过提供日志记录,对网络存取和访问进行监控审计。在边界防御架构中,部署的边界防护机制是内、外部网络的唯一通信通道,它们可以详细记录所有针对内部网络的访问,形成完整的日志文件,以此达到监控审计的目的。
边界防御架构的优势主要集中在3个方面。首先,可以快速鉴别未知文件是否安全。未知文件一旦到达网络边界,将触发边界防御对其安全性迅速做出判断,从而保证安全防护的效率。其次,无需安装专门的杀毒软件。避免传统杀毒软件对系统资源的不合理占用,解放了系统资源,同时人机界面良好,用户配置方便。最后,低成本实现有效防御。由于传统杀毒软件重客户端轻服务端,客户端对抗病毒的成本高昂,而边界防御架构只需配置防火墙等防御机制,就能控制外部网络对内部网络的访问,保障内部网络的安全。
边界防御架构虽然在网络边界处部署了防护机制,但受限于其产生的时代背景,该架构在当前来看存在一定的局限性。首先,无法防范来自网络内部的安全威胁。由于边界防御架构只在网络边界处设置防护措施,将不安全的外部威胁挡在边界外,而内部恶意用户和缺乏安全意识的用户的存在,都会给系统内部带来安全风险。其次,无法防范绕过边界防御的攻击。边界防御是单一的、静态的安全防护技术,只要携带病毒的文件通过某种手段绕过边界防御的检测,便可以进入网络内部散播病毒,威胁整个系统的安全。最后,无法抵御数据驱动型攻击。在边界防御架构中,它通常无法抵御数据投毒等数据驱动型网络攻击。这意味着,在当前以高隐蔽性复杂攻击为新安全挑战的网络环境中,边界防御正面临着极大危机。
2.2 纵深防御架构
由于攻击方式的多样性,任何单一防御机制都不足以对抗所有类型的攻击,网络存在被攻破的可能性,为此“纵深防御”架构应运而生。“纵深防御”也被称为深度防护策略(Defense in Depth,DiD),是一种采用多样化、多层次的防御措施来保障信息系统安全的策略,其主要目标是在攻击者成功破坏某种防御机制的情况下,仍能够利用其他防御机制继续为信息系统提供保护。
纵深防御架构的基本思路是将各类网络安全防护措施有机结合,针对保护对象,部署合适的安全措施,形成多道保护线,在各安全防护措施相互支持和补救下,尽可能地阻断攻击者的威胁。根据美国国防部提出的PDRR(Pro-tection,Detection,Reaction,Reco-very)模型,即防护、检测、响应、恢复4道防线,纵深防御架构通过在这些技术框架区域中实施保障机制,最大程度地降低风险,应对攻击并保护信息系统的安全。
如图2所示,纵深防御架构不是安全设备或系统的简单堆积,而是在各个层面有针对性且合理地部署各类防护或检测系统,形成系统间的优势互补,从而实现对安全态势的全面感知。纵深防御架构通过多点布防、以点带面、多面成体,形成一个多层次、立体的全方位防御体系来维护网络安全,其特点可概述为以下3点。
(1)多点防护
部署位置主要包括网络和基础设施、区域边界、计算环境和支撑性基础设施,通过在这4个重点方位布置全面的防御机制,将信息系统的安全风险降至最低。
(2)分层防御
在攻击者和目标之间部署多层防御机制,每个机制都能对攻击者形成一道屏障,且各防御机制在功能上相互协同和补充。根据网络的层次化体系结构,分层部署防护和检测措施形成了层次化的安全配置,增加攻击被检测到的概率,大大提高了攻击成本。
(3)分级防护
根据信息系统各部分的重要性等级,在对应安全强度下配置防护措施,以平衡纵深防御架构建设成本和安全需求之间的关系。
纵深防御架构虽然搭建了多层防护屏障,避免了对单一安全机制的依赖,但其仍然存在3个方面的局限性。
首先,各区域安全措施相对独立,缺乏统一的管理。由于纵深防御架构模型将人作为核心要素,安全人员一旦发现潜在风险,需要对所有安全措施进行逐个配置,增加了管理复杂度。而且纵深防御体系的各层防御之间的协同机制薄弱,其中的检测手段多是基于规则和黑白名单,对于抱有经济政治目的的专业黑客,攻克这种防御体系也只是时间问题。
其次,缺乏主动防御安全威胁的机制。尽管各重点区域都部署了安全检查和防御措施,但并没有主动进行安全威胁检查和防御。随着攻击方式的不断演进、病毒特征的不断变化,如果不及时主动更新防御机制,就会有新的中毒风险。目前,一些专门用来对付纵深防御模式的高级网络攻击工具可被轻易获取,导致网络攻击数量大幅增加,以至于纵深防御架构面临巨大的安全威胁。
最后,没有考虑虚拟网络的防御问题。纵深防御架构模型主要针对传统物理信息系统设计,没有考虑云数据中心虚拟化带来的虚拟网络特点。虚拟网络运行在现有物理网络之上,具有网络边界弹性、生命周期短暂等动态特征,而传统纵深防御模型尚未考虑虚拟网络的安全防护问题。
2.3 零信任架构
零信任架构是一种端到端的网络架构,重点关注身份、凭证、访问管理、操作、终端、主机环境和互连基础设施。美国技术委员会-工业咨询委员会(ACT-IAC)于2019年发布了《零信任网络安全当前趋势》(Zero Trust Cybersecurity Current Trends),同年,美国国防部国防创新委员会发布了零信任架构白皮书《零信任安全之路》(The Road to Zero Trust Security),强调了对零信任架构的重视。
传统的安全方案只注重边界保护,对授权用户开放过多的访问权限,而零信任的主要目标是基于身份的细粒度访问控制,以应对日益严重未经授权的水平移动风险。零信任的本质是在新互联网环境下零信任安全架构的主体和客体之间构建一个基于身份的动态可信访问控制系统。该架构的主要特点可以概括为:以身份作为访问控制的基础,业务安全访问、持续的信任评估,以及动态访问控制。
图3是零信任网络架构示意图。如图中所示,在零信任网络架构中,身份是零信任的基石。为了构建基于身份而不是基于网络位置的访问控制系统,首先需要给网络中的人和设备赋予相应的身份,在运行时结合识别的人和设备来构建访问主体,并设置最小访问权限。零信任架构还具有以下3个特点。
(1)业务的安全访问。零信任架构侧重于业务防护面的构建,通过业务防护面来实现对资源的保护。在零信任架构中,应用、服务、接口和数据被认为是业务资源。通过对业务保护的操作,要求对所有服务默认隐藏,根据授权结果最小权限开启。所有服务访问请求都应进行加密和强制授权。
(2)持续的信任评估。持续的信任评估是零信任体系中从无到有建立信任的关键手段。通过信任评估模型和算法,可以实现基于身份的信任评估能力。同时需要判断访问上下文环境的风险,识别访问请求的异常行为,以调整信任评估结果。
(3)动态访问控制。动态访问控制是零信任架构安全闭环能力的重要体现。通常采用基于角色的权限控制(RBAC)和基于属性的权限控制(ABAC)相结合来实现灵活的访问控制基线,基于信任级别来实现分层业务访问。同时,当访问上下文和环境存在风险时,应进行访问权限的实时干预,评估访问主体的信任度。
零信任架构关键能力的实现需要通过特定的逻辑架构组件来实现。零信任的核心理念是没有人的参与。网络内外的设备/系统默认不信任,需要基于认证和授权重构访问控制的信任基础。单个IP地址、主机、地理位置、网络等不能作为可信凭证。零信任颠覆了访问控制范式,引领安全系统架构从“网络中心化”走向“身份中心化”。它的本质要求是基于身份和环境来控制访问,在多个场景方面具有极大的优势。
零信任架构的局限性主要表现在权限集中、实时性与控制精度之间的矛盾、数据处理难度等方面。
在零信任架构中,策略引擎需要解决对所有资源访问的授权工作,一旦策略引擎出现问题,对业务连续性和数据安全性都会产生较大的影响,因此设计开发高可用性的策略引擎,是零信任领域下一步研究的重点方向。其次,零信任架构需要对对象进行实时校验,通过实时监督认证用户的行为,动态调整授权的范围,对应策略执行点与策略引擎,既要做到实时控制,又要做到最小化权限的精准度,无论是算法、性能还是认证逻辑方面都面临比较大的挑战。此外,零信任的成熟度很大程度取决于对相关数据的收集、分析与处理能力。首先需要对设备、用户、应用、历史行为的各类数据进行收集。分散的数据来源会导致数据的准确性、完整度、格式化等方面存在问题。在解决数据收集、过滤、归并、存储等问题后,需要高效地对这些数据进行处理,该过程对策略引擎的算法和性能要求非常高。因此,设计实现高效的数据处理算法,也是零信任架构需要重点关注的问题。
2.4 可信计算架构
可信计算架构的核心是基于可信且可靠设备,为设备提供给定系统状态的证据。信任被定义为对系统状态的期望,被认为是安全的,它需要可信平台模块(TPM)中可信且可靠的实体来提供有关系统状态的可信证据。TPM规范由称为可信计算组织(TCG)的国际标准组织维护和开发,TCG不仅发布了TPM规范,还发布了移动可信模块(MTM)、可信多租户基础设施和可信网络连接。
可信平台的基本框架是有一个信任根,其作用是衡量一个系统的可信度。TCG规范中的信任根结合了测量信任根(RTM)、存储信任根(RTS)和报告信任根(RTR)。RTM是一个独立的计算平台,具有最少的指令集,这些指令被认为是可信任的,用于测量系统的完整性矩阵。在典型的台式计算机上,RTM是基本输入输出系统(BIOS)的一部分,在这种情况下,它被称为测量信任的核心根(CRTM)。RTS和RTR基于独立、自给自足且可靠的计算设备,该计算设备具有预定义的指令集以提供身份认证和证明功能,这种设备称为可信平台模块(TPM)。传递信任背后的基本原理是,如果实体信任平台的TPM,它也会信任其测量。可信平台架构如图4所示。
可信平台TPM最大的优势在于安全启动和报告操作。现阶段的可信计算热潮是从可信电脑客户端平台起步,但是它涉及了广泛的研究和应用领域,主要包含关键技术、理论基础和应用等3个方面。关键技术指可信计算的系统结构、TPM的系统结构、可信计算中的密码技术、信任链技术信任的度量、可信软件和可信网络。理论基础包括可信计算模型、可信性的度量理论、信任链理论和可信软件理论。可信计算技术的应用是可信计算发展的根本目的。可信计算技术与产品主要用于电子商务、电子政务、安全风险管理、数字版权管理、安全检测与应急响应等领域。
基于TPM设计目标,它可以为潜在的“安全且不可破解”的数字版权管理(DRM)框架提供一个平台,然而同时会引发计算机控制权的问题,从而掩盖了TPM潜在的有益特性,如安全启动、安全存储和加密密钥的安全管理。目前,越来越多的电脑客户端具有内置的TPM,但这些模块中的大部分并未由其各自的用户启用,此外,使用TPM功能为用户提供附加安全和隐私服务的应用程序并不多。因此,最终用户似乎没有充分的理由积极使用TPM来满足其安全和隐私要求。
随着对计算平台的依赖日益增加,TPM将在提供安全计算平台方面发挥越来越重要的作用。此外,普通用户也开始意识到可能导致他们激活TPM的潜在安全问题。然而,虽然TPM的采用可能会增加,但该规范并未随着计算技术的变化而改变。
3 安全体系架构的发展趋势
随着云计算、物联网、移动互联网、人工智能、大数据、区块链等技术的飞速发展,传统的安全体系架构已经难以满足日新月异的网络安全需求。同时,网络面临着层出不穷的新型攻击方式。针对以上挑战,近年来国内外出现了多种新型网络安全防护技术作为对传统安全体系架构的补充,其中具有代表性的有主动防御技术、安全态势感知技术等。
3.1 主动防御技术
多年来,传统安全防护构建了以系统为核心,以网络边界为防护重点的“硬壳软心”边界防御体系。传统的、静态的各类安全机制无法适应动态变化的网络安全环境,其本质上发挥的是“传感器”“探测器”作用,一旦攻击威胁突破边界进入内部网络,其被动防御机制将形同虚设。此外,被动防御缺少对网内未知的横向移动威胁的应对策略和封控办法,更不具备对攻击威胁的主动清除和溯源反制能力,无法应对高级持续的未知网络攻击。
与被动防御相比,网络主动防御(Proactive Defense)具有预测性和主动性,其理念和技术已经引起国内外政府界、学术界等广泛关注,成为网络安全领域的研究热点。主动防御手段主要是防御者针对攻击者攻击行为主动采取规避性、欺骗性的防御技术,比如猎杀、拒绝、欺骗等,综合运用网络动态变化和网络欺骗等方法,在攻击行为对信息系统发生影响之前,干扰攻击者认知、捕获早期攻击侦察特征、动态调整防御策略,改变传统防御体系“被动应对”的不利局面。
目前网络主动防御仍处于研究探索阶段,其概念内涵还没有标准化的定义,业界普遍接受的是美国国土安全部下属研究中心在2016年提出的主动防御定义:主动防御是处于传统的被动防御和进攻之间的一系列主动防御手段。对比美国,我国主动防御技术理论研究起步较晚。随着主动防御技术的演进发展,我国相关研究机构相继提出了主动防御技术理论,产业界的原型系统和商业产品不断被研发应用,具有代表性的有拟态防御技术、中国科学院信息工程研究所的“网络空间内置式主动防御”技术等。随着主动防御技术产业化逐渐成熟,国内主动防御技术的规模应用日趋广泛,主动防御技术手段也在国家级网络防护任务中发挥了关键作用,防御效能显著。
3.2 安全态势感知技术
网络安全体系架构中的网络安全产品从设备、网络、数据等不同维度提供了网络的纵深防御手段,但目前的现状是不同网络安全产品相互孤立,产品间缺乏有效协同,所采集的运行数据以及生成的大量网络告警事件无法关联,用户面对海量的告警事件难以处理,也无法掌握安全态势的全局。安全态势感知技术就是为了呈现网络安全体系的整体情况,包括对外部恶意攻击的抵御能力、对网络脆弱性的防护能力及面对内部攻击时的防失泄密能力。
网络态势感知(Cyberspace Situational Awareness,CSA)的概念于1999年由Tim Bass首次提出,定义为在大规模网络环境中对引起网络态势发生变化的要素进行获取、理解、展示以及对发展趋势进行预测,从而帮助决策和行动。美国自2003年开始研制网络空间态势感知系统“爱因斯坦”,至2013年,已完成3次迭代。“爱因斯坦1”基于流量的分析技术来进行异常分析检测和总体趋势分析,“爱因斯坦2”基于深度包解析(DPI)技术实现恶意行为分析,“爱因斯坦3”基于之前的技术,结合网络攻防经验积累下来的特殊攻击特征,可实时地感知网络基础设施面临的威胁,并更迅速地采取恰当的对策。截至2019年9月,已有76个联邦民事机构完全实现了“爱因斯坦3”计划的基本能力。
在国内,安全态势感知技术的发展也受到高度重视。2021年我国网络安全重要法规《关键信息基础设施安全保护条例》中明确提到,“掌握关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作”。近几年,国内在网络安全态势感知方面具有代表性的研究性工作包括,大数据环境下的网络安全态势感知评估方法的提出,基于深度学习的网络流量分类及异常检测方法的提出,以及对网络安全威胁感知关键技术的研究。但是,目前已有的网络态势感知系统依然存在着数据源单一、难以落地实现的问题。但是越来越多的企业单位开始意识到网络安全态势感知技术对于网络风险发现、预测、响应的重要性,国内的安全厂商近些年纷纷推出包含分析和情报、响应、安全编排的态势感知系统,并广泛应用于政府、金融、电力、教育等多个行业。随着网络安全态势感知技术的发展,其将在网络安全防护中起到越来越重要的作用。
4 结语
随着网络安全防护技术的复杂化,网络安全体系的构建仍是国内外的研究热点。归纳来讲,网络安全防护体系的建设不能简单依靠各种安全产品的叠加,而是需要结合不同网络架构及业务应用固有的特性,对多种安全机制进行有机融合,形成一套动态、有效、全面的整体防御体系。网络安全防护建设是一个长期、循序渐进的过程,随着网络技术的不断发展,必然会出现各种新的威胁。因此,信息安全防护建设也应随之不断完善和调整,才能构建一道保护网络信息安全的铜墙铁壁。
(原载于《保密科学技术》杂志2022年8月刊)