【摘 要】 從揚州電視臺全臺網主干平臺原有安全防御體系、網絡安全主動防御技術思路、網絡安全主動防御技術體系、主干平臺主動防御機制建立、主干平臺主動防御系統應用等方面論述了主動防御技術在揚州電視臺全臺網主干平臺安全防御體系的應用。
【關鍵詞】 全臺網主干平臺 安全防御體系 主動防御 蜜罐系統
揚州電視臺全臺網主干平臺(簡稱主干平臺)作為所有業務網的中心樞紐,是節目生產的媒體資源交換中心和業務交互信息管理中心,實現各業務網的數據交換和業務交互流程管理,支持多種網絡接入方式,支持多種交換形式和文件傳輸協議,完成對媒體數據內容的轉碼、遷移等,還負責對所有交換處理資源的集中調度、管理和監控等,主干平臺的安全問題是全臺網安全的重點。
一.主干平臺原有安全防御體系
全臺網主干平臺包括基礎和業務兩類支撐平臺,通過規范的接口,實現辦公網、非編制作網、集中收錄網、媒資網以及播出系統的互聯互通。主干平臺負責提供各個業務板塊的接入方式、業務交互方式以及數據交換方式;實現視頻素材、圖片資料、音樂素材和成品節目跨業務子網資源共享;提供臺內網多業務板塊之間的業務整合功能,如:流程編排、執行與監控等。一個安全的網絡環境是電視臺開展多種業務應用的基礎,揚州電視臺全臺網主干平臺原有網絡安全防御體系采用了訪問控制和數據過濾技術,這些防御技術都屬于基于特征庫匹配檢測的被動防御技術。
1.防火墻技術
采用防火墻,通過預設的訪問控制規則,阻斷來自其他網絡的直接入。
2.網閘技術
采用網閘,通過切斷所有的TCP/IP連接,實現網絡隔離,防范網絡攻擊。
主干平臺與臺內辦公網采用防火墻+網閘實現互聯互通。
采用USB擺渡技術,基于私有協議(也是非TCP/IP傳輸協議),實現網絡隔離,防范網絡攻擊。
主干平臺與播出系統采用防火墻+USB擺渡技術實現互聯互通,主干平臺與播出系統的這種安全連接方式將送播節目MXF文件通過防火墻以FTP方式傳輸,杜絕其他端口的打開,并以播出系統拉取的方式導入。ESB消息和送播節目元數據則通過USB擺渡方式連接主干平臺和播出系統,實現素材和消息分離傳輸。
3.防病毒軟件
防病毒軟件通過數據記錄特征庫,檢測現有的病毒,查殺病毒,防止其他感染和蔓延。
4.原有安全防御體系的不足
主干平臺原有的安全防御體系采用的是傳統的被動型防御技術,對于未知的攻擊行為不能夠做出及時有效的響應,只在某種程度上起到安全防護和隔離作用,不能從根本上阻斷網絡入侵。
被動型防御技術大多都是基于特征庫匹配檢測的防御技術,這就使網絡防御始終落后于網絡攻擊,難以從根本上解決網絡安全問題,表現在:一是防護能力是靜態的,二是防護是被動的,三是不能識別新的網絡攻擊。
圖1 主干平臺原有安全防御體系網絡拓撲示意圖
5.采用主動防御技術的必要性
目前主干平臺面臨的網絡安全威脅呈現多元化,已經成為必須面對的安全問題。因此,在采用傳統的被動防御技術的基礎上,采用主動防御技術對主干平臺建立主動防御機制,并將傳統的被動防御系統同主動防御系統結合在一起構成多層和縱深的網絡安全防御體系非常必要。
網絡安全主動防御技術是在增強和保證本地網絡安全性的同時,及時發現正在發生的網絡攻擊,預測和識別未知攻擊,并采取各種措施使攻擊者不能達到其目的所使用的各種方法和技術,是優化信息網絡安全體系建設必要且行之有效的方法。
二.網絡安全主動防御技術思路
主動防御技術是指在動態網絡安全的基礎上用預先檢測技術等手段,通過多種路徑,接收安全消息,并根據安全消息,分析出安全威脅信息,提前在系統中部署安全措施,抵御未知木馬和病毒的攻擊,做到主動防御。
主干平臺的主動防御技術思路是基于對木馬和病毒破壞計算機網絡系統機理的分析,將其行為特征值作為判別的基礎和出發點,自動模擬反病毒的分析判斷過程,從而實現對木馬和病毒的主動防御。以主干平臺局域網主機為安全系統保護對象,在安全防御體系中部署安全檢測、防護措施等安全技術,以策略和管理為核心,利用動態安全體系結構模型作為指導,在各安全系統中部署安全防線,同時在各系統之間利用統一的安全消息模式進行消息共享,從而形成各系統之間多層和縱深的防線,使主干平臺整個網絡在安全上形成交互的主動防御體系。
三.網絡安全主動防御技術體系
網絡安全主動防御技術除了包含傳統的入侵防護技術和入侵檢測技術,還包括入侵預測技術、入侵響應技術等。
1.入侵防護技術
入侵防護技術是主動防御體系的基礎,與傳統防御基本相同,包括邊界控制、身份認證、病毒網關和漏洞掃描等,主要的防護措施包括防火墻、VPN等。
2.入侵檢測技術
在主動防御技術體系中,入侵檢測是預測的基礎,入侵檢測和入侵預測是入侵響應的前提條件,入侵檢測是在系統防護基礎上對網絡攻擊和入侵的后驗感知,入侵檢測技術起著承前啟后的作用。
3.入侵預測技術
入侵預測技術有基于安全事件和基于流量檢測兩種預測方法,對網絡入侵的預測功能是主動防御技術區別于傳統防御技術的一個特征,在網絡攻擊發生前預測將要發生的入侵和安全趨勢,為信息系統的主動防護和響應提供線索,贏得響應時間。
4.入侵響應技術
入侵響應技術是主動防御技術的主要體現,通過對安全事件主動地響應,對檢測到的入侵事件進行處理,并將響應結果反饋給防護系統,實現整個主動防御體系防護能力的動態增強。
(1)入侵追蹤技術
是確定攻擊源精確位置或近似區域的技術,在受保護網絡中重建攻擊者的攻擊路徑,主要包括入口過濾技術、鏈路測試技術、路由器日志技術、ICMP回溯技術和包標記技術等。
(2)攻擊吸收與轉移技術
如果在檢測到攻擊發生時直接切斷連接,就不能進一步觀察攻擊者的后續動作,也不利于收集攻擊信息。攻擊吸收與轉移技術能在秒級時間將攻擊包吸收到誘騙系統,既可以在不切斷與攻擊者連接的同時保護主機服務,又可以對入侵行為進行研究。
(3)蜜罐技術
蜜罐系統是一個設定好的陷阱和誘騙系統,是一種用于被攻擊的網絡防御資源,利用該資源能夠捕獲并分析入侵者及其攻擊信息,并將結論應用到網絡防御中,變被動防御為主動防御。應用蜜罐技術這一主動性的入侵響應技術,能夠吸引入侵者的攻擊,并捕獲其在蜜罐系統上的活動數據,以更好地研究入侵者的行為和動機,做到主動防御,通過設置一個與應用系統類似的操作環境,誘騙攻擊者,記錄入侵過程,及時獲取攻擊信息,對攻擊進行深入分析,提取入侵特征。蜜罐技術提供了一種動態識別未知攻擊的方法,將捕獲的未知攻擊信息反饋給防護系統,實現防護能力的動態提升。
蜜罐系統的關鍵技術包括:網絡偽裝:蜜罐系統本身的價值在于被攻陷,如何將蜜罐系統偽裝成正常的系統并吸引入侵者攻擊是其關鍵。數據捕獲:分為入侵者的前期掃描漏洞、中期嘗試入侵、后期離開蜜罐等環節的數據捕獲(數據采樣)。數據分析:包括網絡協議、網絡行為和入侵特征分析。數據控制:目的是為了防止入侵者利用攻陷的蜜罐系統作跳板,進而入侵其他正常的系統。
(4)取證技術
取證技術是借助法律手段來解決網絡安全問題的基礎,通過對網絡入侵行為進行記錄和還原,借助法律的威懾力來對入侵者施加壓力,使其不敢輕易進行入侵。
(5)自動反擊技術
自動反擊技術是最具主動性的響應技術,通過建立入侵反擊行為庫來實現對網絡入侵行為的自動反擊。
5.主動防御技術的優勢
與被動型防御技術相比,主動防御技術的優勢主要有:
(1)能提供動態防護能力
主動防御具有自學習的功能,可以實現對網絡安全防御系統進行動態的加固,而且無需網絡管理人員對網絡安全設備進行人工配置即可實現。
(2)能提前做好防護措施
采用主動防御技術,對入侵病毒或木馬的每一次攻擊,能夠提前做出防御。
(3)能預測未來攻擊形勢
可以預測未來的攻擊形勢,檢測未知的攻擊,從根本上改變被動防御落后于攻擊的不利局面,能識別未知的病毒或木馬攻擊,預先做好防御措施。
(4)能實時響應網絡攻擊
主動防御系統能夠對網絡進行監控,并對檢測到的網絡攻擊進行實時的響應,包括:牽制和轉移黑客的攻擊,對黑客入侵方法進行技術分析,對網絡入侵進行取證,對入侵者進行跟蹤甚至反擊。
四.主干平臺主動防御機制建立
利用主動防御技術建立主干平臺主動防御機制,從木馬和病毒破壞計算機網絡系統的機理出發,將其行為特征值作為判別的基礎和出發點,用預先檢測技術等手段,通過多種路徑,接收安全消息,分析出安全威脅信息,提前在系統中部署安全措施,抵御未知木馬和病毒的攻擊,實現對木馬和病毒的主動防御,主動防御機制包含以下多個層次的多重防護。
1.掃描對資源的訪問
通過對一些資源的監控,比如對系統引導區、文件腳本的訪問進行內容掃描,自動收集程序進程動作及特征信息,來處理和分析惡意代碼,傳統殺毒軟件就屬于此層。
2.控制資源訪問規則
通過對系統資源(注冊表、進程啟動、API的調用、文件系統等)進行規則化控制,阻止惡意病毒程序、木馬等對這些資源的使用。
3.程序活動行為分析引擎
該引擎采用程序行為分析技術、模式識別技術和智能修復處理技術,能自動提取特征、自動準確判定新病毒,其中最關鍵的是行為分析引擎技術,它采用主動防御智能惡意行為判定引擎,通過對病毒危險的行為進行提煉、分析,可以自動識別出并主動有效地防御具有有害動作的已知和未知病毒、木馬等惡意程序對計算機的入侵和攻擊,無需用戶參與。
4.預測新威脅
通過預測新威脅,主動檢測、預警、防御已知和未知病毒、木馬、惡意代碼、間諜程序、危險及破壞程序等對網絡主機的入侵和攻擊;通過系統安全加固、智能修復等功能增強系統抗攻擊和反入侵能力;通過使用過濾檢測技術,偵測網絡中的新威脅,并對產生相關攻擊的路徑進行追蹤,最大限度地避免病毒、木馬入侵,保障網絡信息的可靠與安全。
5.動態加固網絡信息安全
網絡安全主動防御系統憑借其數據監測系統,對網絡文件的狀態進行實時檢測,一旦系統發現文件被攻擊,防御系統就會迅速彈出警告窗口記錄篡改路徑,同時提出解決方案。
6.應用程序白名單策略
主動定制計算機終端能夠運行的應用程序并生成白名單,通過安全管理平臺根據安全要求制定策略,并對終端操作行為實施控制,使得終端能夠防范計算機啟動過程中操作系統相關部件的篡改和破壞,保證終端動態服務的真實可信,防范隱匿技術型攻擊,根據策略對應用類型加以限制,對病毒、木馬、惡意代碼進行主動防御,對流氓軟件的非法安裝和運行進行控制。
7.提供應急處置功能
對網絡安全事件進行安全評估,對威脅和攻擊事件進行取證,并提供應急處置功能,以有效防止重大信息安全事件的發生。
五.主干平臺主動防御系統應用
1.主干平臺主動防御系統拓撲
以主干平臺局域網主機為安全管理對象,將檢測、防護等安全技術部署到安全系統中,并在安全系統采用統一的安全消息共享方式通信,從而形成各系統之間多層和縱深的防線,使整個網絡形成交互的主動安全防御體系。
(1)入侵檢測系統
如前文所述,在主動防御系統體系中,入侵檢測系統(IDS)是一個非常重要的組成部分。具有主動防御功能的人侵檢測系統不僅具有較好的防病毒功能,同時還可以抑制攻擊源點的通信。外界的流量用IDS做檢測,及時發現危險進程并做出報警提示。
(2)蜜罐系統
如前文所述,蜜罐系統是一個偽裝的WEB平臺,用來誘騙入侵,并記錄下入侵者的攻擊行為。
(3)安全掃描系統
安全掃描系統負責提取蜜罐系統上的攻擊行為記錄日志。
(4)漏洞修復系統
漏洞修復系統通過對采集的攻擊行為特征進行分析,利用分析結果自動修復IDS入侵特征庫的漏洞。
圖2 主干平臺主動防御系統拓撲示意圖
2.主干平臺主動防御流程
主動防御技術是通過對程序行為特征進行分析判斷,采取實時監測和防護技術,不同于傳統的用病毒特征庫中的特征碼來作為判斷程序是否是病毒的依據。
當檢測到外界的非法攻擊時,IDS的入侵響應模塊會依據病毒知識庫的系統分析,看能否匹配自己的入侵特征庫中的數據,如果IDS找到了匹配的數據,則直接拒絕外部數據的請求服務。如果IDS在入侵特征庫中沒有找到與之相匹配的數據,則把數據包發送給安全掃描系統。該系統對數據進行分析后判斷,如果是可疑代碼,則發送給蜜罐系統,如果不是可疑代碼,則直接轉發數據包到WEB服務器。
圖3 主干平臺主動防御流程示意圖
應盡可能地提供一個有效的偽裝環境,蜜罐系統只是一個偽裝的WEB平臺,沒有任何防護措施,安全掃描系統對蜜罐系統進行實時監控,不斷地掃描蜜罐系統的系統日志。一旦安全掃描系統發現蜜罐系統被攻擊,則立即終止連接,同時修改IDS的入侵特征庫,并構造出有針對性的主動響應,包括攻擊的防御代碼,同時還會通過節點安全策略庫,有針對性地動態實時調整本地安全策略。
3.主干平臺主動防御系統對各業務網的安全防護
主干平臺主動防御系統作為一種動態的網絡安全防護手段,通過對網絡信息進行分析維護,能夠對威脅進行預先估計,同時檢測外部數據包并做出及時響應,最終通過設置偽裝環境誘騙來對網絡敏感信息進行保護。
(1)超前防御攻擊
主干平臺是各業務網實現數據交換的樞紐,主動防御機制是一種超前性防御,通過實施超前防御措施,使攻擊者無法完成對目標的攻擊,使系統在無需人為響應情況下預防安全事件,從而完成對各業務網的防護。
(2)動態跟蹤全程監視
主動防御系統對程序運行進行動態跟蹤、全程監視,在發現程序有破壞動機和攻擊時,即時提醒用戶,隨即采取措施,進行判斷或直接終止危險進程的執行。
(3)主動判斷安全情況
主動防御系統通過風險評估、態勢感知、安全檢測等手段對當前安全情況進行主動判斷,依據判斷結果來實施網絡安全主動防御,有效降低各業務網的安全風險。
六.結語
揚州電視臺全臺網主干平臺通過將主動防御系統與被動防御系統結合使用,構成了多層和縱深的網絡安全防御體系,該防御體系不僅大大提升了全臺網主干平臺整個網絡運行的安全性,而且也使全臺網主干平臺防范、應對新的未知病毒、木馬等惡意程序攻擊的能力得到了明顯提高。
參考文獻:
[1]許波勇.網絡攻擊的成因及防范剖析[J].辦公自動化,2012,(02):19-21
[2]盧文杰.網絡安全主動防御技術[J].網絡安全技術與應用,2015,(04):35-37
[3]揚州廣電集團(總臺).主干平臺系統高清化升級改造項目技術報告[R].2014年版.江蘇:揚州廣電集團(總臺),2014年.