随着网络的泛化和无边界化,网络安全问题会越来越严峻。单就恶意代码一项,就呈现出爆炸增长的趋势。目前全球已经有 50亿恶意样本,每天还将以 300万种的速度产生。如果把恶意代码问题看作天灾的话,那么现代网络同时还面临着“人祸”。“棱镜门”事件揭露了网络数据被监听的事实,暴露出国家安全、网络安全形势严峻。无论数据被恶意代码破坏,还是被黑客监听,最终都使得安全问题回归到了安全体系如何建设这样一个根本命题。
1.安全现状
地下黑色产业链的发展,使得制作黑客工具、控制用户终端、盗取用户信息、滥用互联网资源、攻击受害系统等行为形成产业化,并快速壮大,对互联网安全造成严峻挑战。
新型安全攻击方式增长迅猛,传统技术难以应对。利用 0Day进行攻击案例迅速增长,而 APT攻击方式向更加多维化的方向发展,综合运用各类攻击手段的能力、复杂度继续提升。
网络 IP化、IPv6、云、物联网的智能化发展趋势,产生了更为复杂的安全问题。
运营商网络往往规模庞大,安全脆弱点多,安全体系建设难以达到更好的效果,在这样的网络结构下,运营商骨干网、短信系统长期受到攻击,获取用户信息,难以发现,国家安全部门发现运营商重要系统中被植入特种木马的事例也逐渐增多,在这种安全趋势下,新的安全威胁对旧的安全体系发起了挑战。
2.基于 P2DR安全模型的早期安全防护体系
早期的安全体系建设就是基于 P2DR模型,包括 4个主要部分:策略、防护、检测和响应。
策略(Policy):根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等。策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
防护(Protection):通过修复系统漏洞、正确设计开发和安装系统来预防安全事件的发生;通过定期检查来发现可能存在的系统脆弱性;通过教育等手段,使用户和操作员正确使用系统,防止意外威胁;通过访问控制、监视等手段来防止恶意威胁。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网(VPN)技术、防火墙、安全扫描和数据备份等。
检测(Detection):是动态响应和加强防护的依据,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能就发挥作用,与防护系统形成互补。
响应(Response):系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
该安全体系的好处是基于风险评估理论,将安全看做一个动态的整体。通过策略与响应来使得安全问题形成闭环,但是该安全体系并没有对安全威胁的本质进行分析,是安全体系的初级阶段的产物。
基于该安全体系,产生了一些如防火墙、入侵检测等初期的安全产品。