摘 要

随着网络的快速发展,各类社会活动的信息化日益普及,但是网络安全威胁也更加复杂多变,使得信息系统处于安全威胁风险极高的环境中,严重威胁信息的共享和获取。针对核心信息系统的安全防护,提出了一种信息系统免疫安全防护架构。针对信息系统高可用和高可靠性需求,结合生物免疫原理,围绕信息系统的系统、网络、终端建立协同联动的安全防护体系,并综合应用各类安全数据进行安全威胁的深度挖掘和响应处置,有效保障信息系统持续可靠地运行。

内容目录:

1相关工作

2 架构设计

3 防御机制设计

3.1 系统侧安全防护

3.2 网络侧安全防护

3.3 终端侧安全防护

4 结 语

近年来,大数据、人工智能等技术高速发展,为信息系统的赋能增效带来极大的助力,并促进了信息系统更好地服务于社会。但是,随着信息系统越来越深入人们的工作、生活、学习等方面,人们对信息系统的依赖也越来越强。为了保障信息系统的持续可靠运行,面向信息系统的安全防护设施也应运而生,然而,传统的安全防护设备主要针对特定已知的威胁攻击行为,且多独立运行,难以应对当前复杂的网络威胁攻击形势。

本文针对核心信息系统的持续、高效、可靠运行的需求,基于生物免疫机制,提出了一种信息系统免疫安全防护架构。通过构建面向系统、网络、终端侧的防御机制,综合运用系统、网络、终端的各类安全数据,实现信息系统安全威胁攻击的高效感知和智能应对,从而提升信息系统持续运作能力。

1 相关工作

针对信息系统的安全防护需求,目前已有多种应对方案,但通常只能被动接受防护指令,存在严重的滞后性和局限性,而生物免疫机制由于其良好的自适应、自学习能力,给信息系统安全防护带来了巨大启发,因此受到越来越多的关注。

在美国新墨西哥大学,Dr.Forrest 及其所在的研究中心首次将人工免疫理论应用于计算机网络进行病毒检测。美国诺贝尔奖得主 Niels K. Jerne 博士提出了著名的免疫网络理论,其主要观点是将生物体的免疫系统看成是一个由免疫细胞组成的、能够相互刺激和协调的网络。美国 IBM 研究中心的研究人员 Kephart 等人建立了第一个投入商业应用的计算机病毒免疫系统。该系统利用分布式网络结构,对用户提交的众多任务进行快速高效的分析处理。2010 年,受生物免疫系统的启发,美国国防部高级研究计划局(Defense Advanced Research Projects Agency,DARPA)提出了实用化的免疫网络安全系统 CRASH,在该系统中引入了先天性免疫、适应性免疫,以及多样性策略机制。

目前,我国在基于人工免疫理论的网络安全技术方面的研究还处于初级阶段,相关的理论成果还不多。部分专家学者将免疫技术与可信计算结合在一起,提出了基于可信计算的网络安全防御体系。还有人将免疫原理应用到网络安全防护中,提出了网络自免疫内生安全防护体系 ,实现自适应、自学习、自组织及动态的网络安全防护能力。另外,免疫原理在网络安全风险检测 和恶意代码检测 中也有一些探索性应用。

本文基于生物免疫原理,提出了一种信息系统免疫安全防护架构,能够实现信息系统自适应、自进化安全防护能力,有效保障信息系统业务的持续可靠运行。

2 架构设计

免疫(Immunity)的原意是机体对病原侵害做出的应答反应。免疫系统是维持生物体自身健康状态必不可少的关键系统,具有免疫防御、免疫监视和免疫自身稳定三大功能,通过发现、消灭外来病原体来防止感染,并监控体内异常病变细胞,对维持机体内环境的稳态发挥着重要作用。借鉴生物免疫能够适应环境变化,并且具有灵活多变保护措施的防护机理,参照免疫系统具有的记忆性、自限性、多样性、耐受性、特异性等功能特性,本文提出,针对信息系统的免疫安全系统应具备以下 5 个方面的能力:

(1)能够从实体身份、行为特征等维度识别出“本体”和“异体”;

(2)能够对识别的“异体”包括实体和行为,采用不同策略实施“排异”;

(3)在遭受攻击破坏时,能够在一定程度上对影响范围进行控制,具备“带病运行”的特点;

(4)在遭受不可抗力的破坏时,能够通过数据重置,重新启动运行;

(5)能够针对外部刺激或基于外部信息,产生特征“疫苗”实现安全防护能力的持续提升。

基于信息系统免疫安全特征,提出集主动识别、威胁抑制、入侵容忍、自适应恢复、持续进化于一体的信息系统免疫安全防护模型。信息系统免疫安全防护模型如图 1 所示。

图 1 信息系统免疫安全防护能力模型

另外,在对信息系统进行安全防护设计之前,本文先对信息系统运用模式进行概要分析。信息系统应用部署框架通常如图 2 所示,各个信息系统采用单独或云化方式部署在后台高性能服务器上,不同位置的用户终端经由网络采用客户端 / 服务器(Client/Server,C/S)或浏览器 / 服务器(Browser/Server,B/S)等方式访问各信息系统,满足自身信息交互需求。结合信息系统的应用模式可知,信息系统的使用主要与系统、网络、终端 3 类实体相关,因此,针对信息系统的免疫安全防护架构设计也将围绕这 3 方面进行展开。

传统信息系统安全防护主要根据攻击特征进行安全配置或安全策略临时下发,属于被动滞后的防御手段,导致防御一方在网络空间安全对抗中长期处于劣势地位。为扭转网络攻防地位的不对称性,本文按照“内生安全、主动塑造、体系防御”的总体思路,结合生物免疫防护机制,构建信息系统免疫安全防护架构,围绕信息系统、网络、终端进行防护体系设计,以动态调整系统攻击面、增强自我非我识别、主动塑造信息系统安全可靠运行环境为手段,有效限制系统漏洞暴露及被利用机会,并在应对各类威胁攻击时,有效保障信息系统持续、可靠运行,实现信息服务不中断。

图 2 信息系统应用部署框架

本文所提信息系统免疫安全防护总体架构如图3 所示,主要包括系统侧、网络侧、终端侧安全防护 3 个方面。其中,系统侧安全防护综合 3 类实体的安全数据,进行威胁攻击的分析识别和智能应对,并为信息系统运行提供可靠的运行环境;网络侧安全防护对信息系统访问网络进行伪装和攻击诱捕;终端侧安全防护对信息系统访问用户行为及终端安全状态等进行实时监测,确保信息系统访问用户及终端的安全可靠。

图 3 信息系统免疫保护总体架构

3 防御机制设计

3.1 系统侧安全防护

3.1.1 免疫安全防护控制

免疫安全防护控制是整个信息系统免疫安全防护架构的核心,与威胁监测识别、安全协同防护、威胁攻击诱捕、终端检测响应等模块进行协同联动,并提供各类技术支持。

免疫安全防护控制包括免疫学习、免疫记忆和疫苗生成等部分,其中,免疫学习主要基于信息系统自身、网络、终端中的各类安全数据,结合外部威胁情报进行信息系统威胁的学习和挖掘,为信息系统潜在威胁的检测识别提供支撑。

免疫记忆主要针对信息系统各类应用服务以及典型威胁攻击进行行为建模和应用画像。通过将应用行为中主要涉及的应用进程名称、线程名称、加载的模块名称及其中的调用关系,网络访问中主要涉及的网络地址(源地址、目的地址等)、通信端口、通信协议、进程流量监控,文件访问行为中主要涉及的文件名称、文件类型、文件路径、操作类型(文件读写、新建、删除等),以及威胁攻击行为中主要涉及的攻击手段、攻击流程、攻击对象等进行研究分析,实现应用行为和威胁攻击的快速识别,从而为信息系统“本体”和“异体”识别提供支撑。

疫苗生成则主要结合信息系统各类安全事件,利用信息系统自身各类安全防护资源,生成相应的安全防护预案,为威胁事件的快速响应处置提供支撑。

3.1.2 威胁监测识别

威胁监测识别主要满足信息系统的“异体识别”需求,为尽早发现信息系统存在的安全隐患,及时对威胁攻击进行响应处置提供支撑。威胁监测识别应具备系统行为监测、网络行为监测、终端行为监测、威胁特征提取、威胁攻击识别以及威胁事件整编等能力。

信息系统具有组成元素多样的特点,其既包含服务器、网络设备、终端等多种物理设备实体,也包含信息服务软件、服务协议、服务资源数据等虚拟要素。目前,主要采用虚拟机隔离防护技术、云平台安全检测技术、应用服务防护技术等进行信息系统威胁攻击的检测挖掘,但各技术运用都比较孤立单一,只能满足信息系统安全监控部分需求,无法对信息系统形成全面体系化的安全监控。针对威胁监测识别模块,本文提出一种信息系统状态多维感知监测机制,通过在信息系统云平台、网络交换设施、用户终端等上部署软探针或轻代理,在后台服务器上部署威胁监测分析系统,从信息系统计算环境基础设施、信息服务平台、信息系统应用服务、网络流量、终端行为等方面开展全面监测分析,进行威胁攻击的融合关联识别,实现信息系统软件、硬件、用户等方面安全威胁的全面监测感知,增强信息系统威胁检测的准确性。信息系统多维监测感知机制如图 4 所示。

图 4 信息系统多维监测感知机制

3.1.3 安全协同防护

安全协同防护主要满足信息系统威胁攻击的快速智能响应应对,为及时对威胁攻击进行封堵灭杀提供支撑,降低威胁攻击对信息系统的损伤。安全协同防护应具备威胁事件响应、安全资源编排等能力。

目前,各安全防护设备通常独立运行,数据难以共享,防护行动也难以进行协同。在软件定义安全的驱动下,部分安全厂商提出了基于安全编排的安全防护资源协同联动机制,并且受到越来越多的关注。

针对安全协同防护模块,本文提出基于事件干预和安全编排的安全防护资源协同联动方法。通过将各类已部署的安全工具与既有安全人力及安全流程连接起来,基于安全工作流最佳实践及独有工作流梳理进行自动化安全运营。根据信息系统威胁监测数据和威胁事件研判结果,结合信息系统实际运行环境和安全标准、规范和策略的要求,采用安全资源自动化采集、策略自动生成与冲突检测、任务流程自动编排等自动化辅助手段实现对安全信息和事件处置的智能化决策,降低对人员的技能要求和时间消耗,实现信息系统各种防御策略的灵活、快速调整,确保对威胁攻击的及时封堵。

3.1.4 自免疫保护环境

自免疫保护环境构建主要从信息系统可信运行环境构建和信息系统自适应恢复两方面进行考量。其中,信息系统可信运行环境构建主要满足信息系统运行环境的安全可靠性需求,支持信息系统“本体”识别。信息系统自适应恢复则主要满足信息系统容灾恢复需求。

(1)信息系统可信运行环境构建

信息系统可信运行环境应具备信息系统运行时保护、行为管控、资源微隔离和漏洞抑制等能力。目前,可信计算技术基于可信根通过对系统组件的度量确保系统的完整性和有效性,防止系统自身被篡改和替换,具有较好的“识真”能力,能够识别和阻止“异体”的运行,可以较好地满足安全免疫的“排异”特性。可信识别和度量技术已经比较成熟,也有多种产品在各类信息系统环境中应用,但是传统的可信计算相关装备应用环境缺乏灵活性和可操作性。

本文所提免疫保护架构采用构建信任链进行智能化增强,提升信息系统安全可信运行环境建立的可用性和可扩展性。通过免疫学习自主建立可信度量的信任链,对信息系统环境进行自适应学习来确定合法组件的特征,并在系统运行中强化免疫记忆,持续采集特征信息,对免疫记忆进行强化或修正,实现系统运行环境自适应的免疫识别能力。同时,通过构建“安全容器”,整合已有的软件可信机制,对运行信息系统“白名单”管控实现信任链向业务层延伸;通过在运行环境底层对交互的数据进行拦截、重构和安全性检测,实现多层次的攻击防护,并建立可信连接和访问控制机制。信息系统可信运行环境构建如图 5 所示。

图 5 信息系统可信运行环境构建

(2)信息系统自适应恢复

信息系统自适应恢复应具备在信息系统崩溃和设备故障等场景下,进行快速迁移或恢复的能力,保障信息系统高效可用。

当前,信息系统容灾恢复方面主要采用容灾备份、数据镜像、快照等技术实现系统数据的安全防护。其中,备份技术又分为离线备份和在线备份,离线备份通常是把数据备份到磁带库,在线备份是周期性地将数据复制到其他地点。镜像技术是在两个或多个磁盘或磁盘子系统上生成同一个数据的镜像视图的信息存储技术,存在数据误删或损坏导致的数据丢失问题。快照技术是在存储技术上实现的一种记录某一时间系统状态的技术,是指定数据集合在某个时间点的映像。上述技术通常基于运维管理角度进行系统数据的容灾恢复,但缺乏安全视角下的数据恢复措施。

本文从安全角度出发,通过分析信息系统业务运行环境的安全状态,结合信息系统威胁攻击研判结果,对信息系统安全风险进行综合分析评估,提出安全驱动的信息系统容灾恢复机制,即如果系统安全风险超过阈值,则在系统未崩溃时,从安全角度考虑,依然进行系统运行环境的快速重构,避免威胁攻击的扩大化。安全驱动的信息系统数据恢复技术,能够解决传统信息系统未崩溃,但威胁攻击已无法抵御情况下的系统防护,同时,将安全考量融入系统灾备恢复中,能够避免传统灾备技术响应迟缓所引起的数据丢失问题。

3.2 网络侧安全防护

3.2.1 网络伪装欺骗

网络伪装欺骗主要满足信息系统威胁攻击迟滞和阻断需求,应具备仿真网络构建、网络动态调整、策略自适应跳变等能力。

目前,部分安全厂商已开发了蜜网等相关的网络伪装欺骗工具。本文所提免疫安全防护架构可集成现有网络伪装欺骗工具,结合威胁事件响应处置流程,通过对重点防御目标网络提升网络和系统的动态弹性等方式,不断转移攻击面,增加攻击方的入侵成本和身份暴露的可能性,以此挫败攻击者的攻击。

3.2.2 威胁攻击诱捕

威胁攻击诱捕主要满足信息系统提前预防威胁攻击的需求,应具备诱捕文件生成、诱捕文件标识嵌入以及诱捕环境构建等能力。

目前,部分安全厂商已开发了蜜罐等相关的威胁攻击诱捕工具,但缺乏与信息系统的结合。本文所提免疫安全防护架构可集成现有威胁攻击诱捕工具,结合免疫学习过程所掌握的信息系统服务模型,构建仿真服务、仿真数据等诱饵,诱导攻击者进入诱饵,获取伪装数据,从而感知捕捉攻击行为,了解攻击者的入侵方法,分析其攻击思路,做到知己知彼,并产生免疫记忆提升系统安全防护能力,使攻击者远离核心资产,并延缓或迟滞其攻击进程。

3.3 终端侧安全防护

3.3.1 终端安全防护

终端安全防护主要满足信息系统用户访问终端的安全管控需求,应具备外设管控、外联控制、终端策略管理、用户行为审计等能力。

目前,各终端安全防护厂商已具备相应的终端防护能力,但难以进行信息共享。本文所提免疫安全防护架构可集成现有终端安全防护工具,并融合终端安全防护数据进行威胁关联检测和系统访问控制。

3.3.2 终端检测响应

终端检测响应主要满足信息系统用户访问终端的威胁感知和响应需求,应具备持续性的终端行为监测和记录等能力。

目前,相关安全厂商已开发相应产品。本文所提免疫安全防护架构可集成现有终端监测响应工具,并融合终端行为监测数据和分析结果进行威胁关联挖掘和封堵。

3.3.3 防病毒

防病毒主要满足信息系统用户访问终端运行环境安全可靠需求,应具备恶意代码查杀、系统漏洞修复、病毒知识库维护、黑白名单管理等能力。

目前,各防病毒厂商已具备相应的终端病毒查杀能力。本文所提免疫安全防护架构可集成现有防病毒工具,并融合终端病毒防护数据进行威胁关联检测。

4 结 语

本文提出了一种基于生物免疫机制的信息系统免疫安全防护架构。本文利用生物免疫自适应、自学习的特点,结合信息系统部署应用模式,从系统、网络、终端侧分别进行安全防护设计,并进行各类安全防护资源的体系化管理运用,实现信息系统安全威胁的深度挖掘和协同处置,支持信息系统安全防护能力的持续提升,为信息系统持续安全可靠运行提供保障。