關(guān)于信息安全保障模式變革淺析

1、關(guān)于信息安全保障模式變革淺析作者：韓立華韓立寧張亮徐強(qiáng) 論文關(guān)鍵詞：信息安全漏洞挖掘漏洞利用病毒云安全保障模式變革論文摘要：互聯(lián)網(wǎng)時(shí)代的來(lái)臨給人們帶來(lái)便利的同時(shí)也使信息安全與網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻。形形色色的漏洞層出 不窮，傳統(tǒng)的安全保障模式已經(jīng)無(wú)法有效地應(yīng)對(duì)當(dāng)前的威脅。 本文分析了信息安全形勢(shì)和現(xiàn)狀，闡述了由漏洞挖掘、漏洞 利用所構(gòu)成的病毒產(chǎn)業(yè)鏈對(duì)現(xiàn)有安全技術(shù)和理念的沖擊。根 據(jù)病毒產(chǎn)業(yè)鏈中各個(gè)環(huán)節(jié)的特點(diǎn)，提出了基于“云安全”思 想的新型的安全保障模式，使之能夠快速感知和捕獲新的威 脅，并從源頭上予以監(jiān)控。論文聯(lián)盟編輯。1引言信息安全與網(wǎng)絡(luò)安全的概念正在與時(shí)俱進(jìn)，它從早期的通信保密發(fā)展到關(guān)注信

2、息的保密、完整、可用、可控和不可 否認(rèn)的信息安全，再到如今的信息保障和信息保障體系。單 純的保密和靜態(tài)的保障模式都已經(jīng)不能適應(yīng)今天的需要。信 息安全保障依賴人、操作和技術(shù)實(shí)現(xiàn)組織的業(yè)務(wù)運(yùn)作，穩(wěn)健 的信息保障模式意味著信息保障和政策、步驟、技術(shù)與機(jī)制 在整個(gè)組織的信息基礎(chǔ)設(shè)施的所有層面上均能得以實(shí)施。近年以來(lái)，我國(guó)的信息安全形勢(shì)發(fā)生著影響深遠(yuǎn)的變化, 透過(guò)種種紛繁蕪雜的現(xiàn)象，可以發(fā)現(xiàn)一些規(guī)律和趨勢(shì)，一些 未來(lái)信息安全保障模式變革初現(xiàn)端倪。2信息安全形勢(shì)及分析據(jù)英國(guó)簡(jiǎn)氏戰(zhàn)略報(bào)告和其它網(wǎng)絡(luò)組織對(duì)世界各國(guó)信 息防護(hù)能力的評(píng)估，我國(guó)被列入防護(hù)能力最低的國(guó)家之一， 排名大大低于美國(guó)、俄羅斯和以色列等信息安

3、全強(qiáng)國(guó)，排在 印度、韓國(guó)之后。我國(guó)已成為信息安全惡性事件的重災(zāi)區(qū)， 國(guó)內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年高于30%的速度遞 增。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心的監(jiān)測(cè)結(jié)果，目前我國(guó)95% 與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過(guò)境內(nèi)外黑客的攻擊 或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。在互聯(lián)網(wǎng)的催化下，計(jì)算機(jī)病毒領(lǐng)域正發(fā)生著深刻變革， 病毒產(chǎn)業(yè)化經(jīng)營(yíng)的趨勢(shì)日益顯現(xiàn)。一條可怕的病毒產(chǎn)業(yè)鏈正 悄然生成。傳統(tǒng)的黑客尋找安全漏洞、編寫(xiě)漏洞利用工具、傳播病 毒、操控受害主機(jī)等環(huán)節(jié)都需要自己手工完成。然而，現(xiàn)在 由于整個(gè)鏈條通過(guò)互聯(lián)網(wǎng)運(yùn)作，從挖掘漏洞、漏洞利用、病 毒傳播到受害主機(jī)的操控，已經(jīng)形成了一個(gè)高效的

4、流水線， 不同的黑客可以選擇自己擅長(zhǎng)的環(huán)節(jié)運(yùn)作并牟取利潤(rùn)，從而 使得整個(gè)病毒產(chǎn)業(yè)的運(yùn)作效率更高。黑客產(chǎn)業(yè)化經(jīng)營(yíng)產(chǎn)生了 嚴(yán)重的負(fù)面影響：首先，病毒產(chǎn)業(yè)鏈的形成意味著更高的生產(chǎn)效率。一些 經(jīng)驗(yàn)豐富的黑客甚至可以編寫(xiě)出自動(dòng)化的處理程序?qū)σ延?的病毒進(jìn)行變形，從而生產(chǎn)出大量新種類的病毒。面對(duì)井噴 式的病毒增長(zhǎng)，當(dāng)前的病毒防范技術(shù)存在以下三大局限： 新樣本巨量增加、單個(gè)樣本的生存期縮短，現(xiàn)有技術(shù)無(wú)法及 時(shí)截獲新樣本。即使能夠截獲，則每天高達(dá)數(shù)十萬(wàn)的新樣 本數(shù)量，也在嚴(yán)重考驗(yàn)著對(duì)于樣本的分析、處理能力。即 使能夠分析處理，則如何能夠讓中斷在最短時(shí)間內(nèi)獲取最新 的病毒樣本庫(kù)，成為重要的問(wèn)題。其次，病毒產(chǎn)業(yè)鏈

5、的形成意味著更多的未知漏洞被發(fā) 現(xiàn)。在互聯(lián)網(wǎng)的協(xié)作模式下，黑客間通過(guò)共享技術(shù)和成果， 漏洞挖掘能力大幅提升，速度遠(yuǎn)遠(yuǎn)超過(guò)了操作系統(tǒng)和軟件生 產(chǎn)商的補(bǔ)丁發(fā)布速度。再次，黑客通過(guò)租用更好的服務(wù)器、更大的帶寬，為漏 洞利用和病毒傳播提供硬件上的便利；利用互聯(lián)網(wǎng)論壇、博 客等，高級(jí)黑客雇傭“軟件民工”來(lái)編寫(xiě)更強(qiáng)的驅(qū)動(dòng)程序, 加入病毒中加強(qiáng)對(duì)抗功能。大量軟件民工的加入，使得病毒 產(chǎn)業(yè)鏈條更趨“正規(guī)化、專業(yè)化”，效率也進(jìn)一步提高。最后，黑客通過(guò)使用自動(dòng)化的“肉雞”管理工具，達(dá)到 控制海量的受害主機(jī)并且利用其作為繼續(xù)牟取商業(yè)利潤(rùn)的 目的。至此整個(gè)黑客產(chǎn)業(yè)內(nèi)部形成了一個(gè)封閉的以黑客養(yǎng)黑 客的“良性循環(huán)”圈。3

6、漏洞挖捆與利用病毒產(chǎn)業(yè)能有今天的局面，與其突破了漏洞挖掘的瓶頸 息息相關(guān)。而漏洞挖掘也是我們尋找漏洞、彌補(bǔ)漏洞的有利 工具，這是一柄雙刃劍。3. 1漏洞存在的必然性首先，由于internet中存在著大量早期的系統(tǒng)，包括 低級(jí)設(shè)備、舊的系統(tǒng)等，擁有這些早期系統(tǒng)的組織沒(méi)有足夠 的資源去維護(hù)、升級(jí)，從而保留了大量己知的未被修補(bǔ)的漏 洞。其次，不斷升級(jí)中的系統(tǒng)和各種應(yīng)用軟件，由于要盡快 推向市場(chǎng)，往往沒(méi)有足夠的時(shí)間進(jìn)行嚴(yán)格的測(cè)試，不可避免 地存在大量安全隱患。再次，在軟件開(kāi)發(fā)中，由于開(kāi)發(fā)成本、 開(kāi)發(fā)周期、系統(tǒng)規(guī)模過(guò)分龐大等等原因，bug的存在有其固 有性，這些bug往往是安全隱患的源頭。另外，過(guò)分龐大

7、的 網(wǎng)絡(luò)在連接、組織、管理等方面涉及到很多因素，不同的硬 件平臺(tái)、不同的系統(tǒng)平臺(tái)、不同的應(yīng)用服務(wù)交織在一起，在 某種特定限制下安全的網(wǎng)絡(luò)，由于限制條件改變，也會(huì)漏洞 百出。3. 2漏洞挖掘技術(shù)漏洞挖掘技術(shù)并不單純的只使用一種方法，根據(jù)不同的 應(yīng)用有選擇地使用自下而上或者自上而下技術(shù)，發(fā)揮每種技 術(shù)的優(yōu)勢(shì)，才能達(dá)到更好的效果。下面是常用的漏洞挖掘方 法：(1) 安全掃描技術(shù)。安全掃描也稱為脆弱性評(píng)估，其基 本原理是采用模擬攻擊的方式對(duì)目標(biāo)系統(tǒng)可能存在的已知 安全漏洞進(jìn)行逐項(xiàng)檢測(cè)。借助于安全掃描技術(shù)，人們可以發(fā) 現(xiàn)主機(jī)和網(wǎng)絡(luò)系統(tǒng)存在的對(duì)外開(kāi)放的端口、提供的服務(wù)、某 些系統(tǒng)信息、錯(cuò)誤的配置等，從而檢

8、測(cè)出已知的安全漏洞， 探查主機(jī)和網(wǎng)絡(luò)系統(tǒng)的入侵點(diǎn)。(2) 手工分析。針對(duì)開(kāi)源軟件，手工分析一般是通過(guò)源 碼閱讀工具，例如sourcei nsight等，來(lái)提高源碼檢索和查 詢的速度。簡(jiǎn)單的分析一般都是先在系統(tǒng)中尋找strcpy0之 類不安全的庫(kù)函數(shù)調(diào)用進(jìn)行審查，進(jìn)一步地審核安全庫(kù)函數(shù) 和循環(huán)之類的使用。非開(kāi)源軟件與開(kāi)源軟件相比又有些不同, 非開(kāi)源軟件的主要局限性是由于只能在反匯編獲得的匯編 代碼基礎(chǔ)上進(jìn)行分析。在針對(duì)非開(kāi)源軟件的漏洞分析中，反 編引擎和調(diào)試器扮演了最蘑要的角色，如idapro是目前性能 較好的反匯編工具。(3) 靜態(tài)檢查。靜態(tài)檢查根據(jù)軟件類型分為兩類，針對(duì) 開(kāi)源軟件的靜態(tài)檢查和

9、針對(duì)非開(kāi)源軟件的靜態(tài)檢查。前者主 要使用編譯技術(shù)在代碼掃描或者編譯期間確定相關(guān)的判斷 信息，然后根據(jù)這些信息對(duì)特定的漏洞模型進(jìn)行檢查。而后 者主要是基于反匯編平臺(tái)idapro,使用自下而上的分析方法, 對(duì)二進(jìn)制文件中的庫(kù)函數(shù)調(diào)用，循環(huán)操作等做檢查，其側(cè)重 點(diǎn)主要在于靜態(tài)的數(shù)據(jù)流回溯和對(duì)軟件的逆向工程。(4) 動(dòng)態(tài)檢查。動(dòng)態(tài)檢查也稱為運(yùn)行時(shí)檢查，基本的原理 就是通過(guò)操作系統(tǒng)提供的資源監(jiān)視接口和調(diào)試接口獲取運(yùn) 行時(shí)目標(biāo)程序的運(yùn)行狀態(tài)和運(yùn)行數(shù)據(jù)。目前常用的動(dòng)態(tài)檢查 方法主要有環(huán)境錯(cuò)誤注入法和數(shù)據(jù)流分析法。以上介紹的各 種漏洞挖掘技術(shù)之間并不是完全獨(dú)立的，各種技術(shù)往往通過(guò) 融合來(lái)互相彌補(bǔ)缺陷，從而構(gòu)造

10、功能強(qiáng)大的漏洞挖掘工具。 3. 3漏洞利用漏洞的價(jià)值體現(xiàn)在利用，如果一個(gè)漏洞沒(méi)有得到廣泛的 利用便失去了意義。通常，從技術(shù)層面上講，黑客可以通過(guò) 遠(yuǎn)程/本地溢出、腳本注入等手段，利用漏洞對(duì)目標(biāo)主機(jī)進(jìn) 行滲透，包括對(duì)主機(jī)信息和敏感文件的獲取、獲得主機(jī)控制 權(quán)、監(jiān)視主機(jī)活動(dòng)、破壞系統(tǒng)、暗藏后門(mén)等，而當(dāng)前漏洞利 用的主要趨勢(shì)是更趨向于web攻擊，其最終日標(biāo)是要在日標(biāo) 主機(jī)（主要針對(duì)服務(wù)器）上植入可以綜合利用上面的幾種挖 掘技術(shù)的復(fù)合型病毒，達(dá)到其各種目的。論文聯(lián)盟編輯。4新型信息安全模式分析最近的兩三年間，在與病毒產(chǎn)業(yè)此消彼漲的較量中，信 息安全保障體系的格局，包括相關(guān)技術(shù)、架構(gòu)、形態(tài)發(fā)生了 一些深

11、遠(yuǎn)、重大的變化，大致歸納為以下三個(gè)方面：第一， 細(xì)分和拓展。信息安全的功能和應(yīng)用正在從過(guò)去簡(jiǎn)單的攻擊 行為和病毒防范開(kāi)始向各種各樣新的聯(lián)網(wǎng)應(yīng)用業(yè)務(wù)拓展，開(kāi) 始向網(wǎng)絡(luò)周邊拓展。如現(xiàn)在常見(jiàn)的對(duì)于帳號(hào)的安全保護(hù)、密 碼的安全保護(hù)、游戲的安全保護(hù)、電子商務(wù)支付過(guò)程的安全 保護(hù)等，都是信息安全功能和應(yīng)用的細(xì)分與拓展。第二，信息安全保障一體化的趨向。從終端用戶來(lái)說(shuō), 他們希望信息安全保障除了能夠?qū)I(yè)化地解決他們具體應(yīng) 用環(huán)節(jié)里面臨的各種各樣的具體問(wèn)題之外，更希望整體的、 一體化的信息安全解決方案貫穿業(yè)務(wù)的全過(guò)程，貫穿it企 業(yè)架構(gòu)的全流程。因此，許多不同的安全廠商都在進(jìn)行自身 的安全產(chǎn)品、體系架構(gòu)的整合，

12、針對(duì)性地應(yīng)用到個(gè)人客戶的 方方面面，表現(xiàn)出信息安全保障一體化的趨向。第三，安全分布結(jié)構(gòu)的變化。在服務(wù)器端，不管是相關(guān) 市場(chǎng)的投入還是企業(yè)的需要，乃至相關(guān)的企業(yè)對(duì)服務(wù)器市場(chǎng) 的重視都在發(fā)生重大的變化。這樣的變化對(duì)安全的分布結(jié)構(gòu) 產(chǎn)生了重大的影響，在這方面，各個(gè)安全廠商無(wú)論在服務(wù)器 安全還是客戶端安全都加入了許多新型功能，甚至都在從體 系結(jié)構(gòu)方面提出一些新模式。透過(guò)技術(shù)、架構(gòu)、形態(tài)的新發(fā)展，我們看到了 些規(guī)律 和趨勢(shì)，吏看到了一些未來(lái)信息安傘保障模式變節(jié)的端倪。 既然客在互聯(lián)的催化下實(shí)現(xiàn)產(chǎn)業(yè)化，那么信息安全保障呢? 將互聯(lián)網(wǎng)上的每個(gè)終端用戶的力量調(diào)動(dòng)起來(lái)，使整個(gè)互聯(lián)網(wǎng) 就將成為一個(gè)安全保障工具，這

13、樣的模式就是未來(lái)信息安全 保障的模式，被一些機(jī)構(gòu)和安全廠商命名為"云安全"。在''云安全”模式中，參與安全保障的不僅是安全機(jī)構(gòu) 和安全產(chǎn)品生產(chǎn)商，更有終端用戶一一客戶端的參與。'云 安全”并不是一種安全技術(shù)，而是一種將安全互聯(lián)網(wǎng)化的理 念?！霸瓢踩钡目蛻舳藚^(qū)別于通常意義的單機(jī)客戶端，而 是一個(gè)傳統(tǒng)的客戶端進(jìn)行互聯(lián)網(wǎng)化改造的客戶端，它是感知、 捕獲、抵御互聯(lián)網(wǎng)威脅的前端，除了具有傳統(tǒng)單機(jī)客戶端的 檢測(cè)功能以外還有基于互聯(lián)網(wǎng)協(xié)作的行為特征檢測(cè)和基于 互聯(lián)網(wǎng)協(xié)作的資源防護(hù)功能，因此它可以在感知到威脅的同 時(shí)，迅速把威脅傳遞給''云安全”的

14、威脅信息數(shù)據(jù)中心。威 脅信息數(shù)據(jù)中心是收集威脅信息并提供給客戶端協(xié)作信息 的機(jī)構(gòu)，它具有兩個(gè)功能：一是收集威脅信息；二是客戶端 協(xié)作信息的查詢和反饋。首先，從“云安全”的客戶端收集、 截獲的惡意威脅信息，及時(shí)傳遞給數(shù)據(jù)中心，然后傳遞給來(lái) 源挖掘和挖掘服務(wù)集群，來(lái)源挖掘和挖掘服務(wù)集群會(huì)根據(jù)這 些數(shù)據(jù)來(lái)挖掘惡意威脅的來(lái)源，通過(guò)協(xié)作分析找到源頭，進(jìn) 而對(duì)源頭進(jìn)行控制，如果不能控制，則至少可以對(duì)源頭進(jìn)行 檢測(cè)。然后，將所有收集到的信息集中到自動(dòng)分析處理系統(tǒng)， 由其形成一個(gè)解決方案，傳遞給服務(wù)器，服務(wù)器再回傳客戶 端，或者是形成一個(gè)互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，傳遞給所有安全合 作伙伴，形成一個(gè)互聯(lián)網(wǎng)技術(shù)服務(wù)，使整

15、個(gè)網(wǎng)絡(luò)都享受該安 全解決方案。概括而言，“云安全”模式具有以下特點(diǎn)：第一，快速 感知，快速捕獲新的威脅。'云安全”的數(shù)據(jù)中心可以并行服 務(wù)，通過(guò)互聯(lián)網(wǎng)大大提高威脅捕獲效率。第二，“云安全” 的客戶端具有專業(yè)的感知能力。通過(guò)威脅挖掘集群的及時(shí)檢 測(cè)，可以從源頭監(jiān)控互聯(lián)網(wǎng)威脅?；ヂ?lián)網(wǎng)已經(jīng)進(jìn)入web2. 0時(shí)代，web2. 0的特點(diǎn)就是重 在用戶參與，而''云安全”模式已經(jīng)讓用戶進(jìn)入了安全的2. 0 時(shí)代。在黑客產(chǎn)業(yè)化經(jīng)營(yíng)的新威脅的形勢(shì)下，也只有互聯(lián)網(wǎng) 化的“云安全”保障模式才能與之對(duì)抗。4結(jié)柬語(yǔ)信息安全領(lǐng)域認(rèn)為，僅僅依靠政策、法規(guī)和保密技術(shù)是 不夠的，必須建立一個(gè)實(shí)體來(lái)操作，可見(jiàn)信息安全已經(jīng)擴(kuò)展 成為技術(shù)保障、組織保證、法規(guī)管理的全方位的動(dòng)態(tài)概念, 它包括保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)的有機(jī)結(jié)合。目前，世界信 息安全策略已經(jīng)發(fā)生重大調(diào)整：從追求部件的絕對(duì)保密， 變?yōu)榍蟮孟到y(tǒng)的相對(duì)安全。從保證縱向"管式”的信息安 全，轉(zhuǎn)變?yōu)楸Ｕ稀氨馄绞健笨v橫信息網(wǎng)絡(luò)互聯(lián)的安全。頂 層設(shè)計(jì)、綜合開(kāi)發(fā)，統(tǒng)籌安排設(shè)計(jì)的安全框架、安全結(jié)構(gòu)和 安全協(xié)議，使開(kāi)發(fā)信息系統(tǒng)高效運(yùn)行、安全互通互操作。