（计算机软件与理论专业论文）基于复杂适用系统的动态网络安全模型的研究.pdf

基于复杂适用系统的动态网络安全模型的研究 摘要 摘要 随着网络的深入发展，使得网络安全问题显得越来越突出，人们对网络安全 的问题也越来越关注。面对日益增多的网络攻击，如何真正做到“网络既开放又 安全”已经成为摆在世界科技人员面前的一个重要课题。 安全模型是针对网络安全问题提出的解决方案，传统的安全模型是静态安全 模型，对动态的安全威胁、系统的脆弱性没有应对措施。面对日益流行的分布式、 协同式攻击，任何单个的安全组件防御能力是有限的，只有各安全组件实现有效 的互动，构成整体安全解决方案，才能进行有效解决网络安全问题。 另外研究表明：i n t e r n c t 网络是一个由简单规则形成的复杂网络，随着时间 的推延和人们对网络安全问题的关注的增加，如何提供好的网络安全模型使其适 应这样的动态变化的复杂网络环境已成为一个亟待解决的问题。 本文在介绍现有的几种网络安全模型的基础上，详细分析了现有安全模型存 在的问题，在复杂适用系统的基础上提出一个基于闭环控制的，以安全管理和安 全策略为中心的s a p 2 m d r 2 c 动态网络安全模型，并设计一种基于复杂适用系统 的入侵检测系统应用于s a p 2 m d r 2 c 模型中，一定程度上解决了入侵检测中的误 测和漏测的问题，增加了模型的安全性能和安全等级。并利用s w a r m 提供的仿真 环境，实现入侵检测系统聚集模块的动态仿真，对推动复杂适用系统和动态网络 安全模型的迸一步发展有一定的指导和借鉴意义。 关键词：复杂系统，复杂适用系统，动态网络安全模型，入侵检测，动态仿真 t h er e s e a r c ho fd y n a m i cn e t w o r ks e c u r i t ym o d e l b a s e do n c o m p l e xa d a p t i v es y s t e m a b s t r a c t w i mt h ed e v e l o p m e n to fi n t e r n e t , n e t w o r ks e c u r i t yb e c o m e sm o l ea n dm o p r o m i n e n t l y 1 1 地p e o p l ea l s op a ym o r ea t t e n t i o nt o t h el l e t w o r ks e c u r i t y f a c i n g n e t w o r ka t t a c k i n g 、j v h i e hi n c r e a s e sd a yb yd a y , h o wt r u l ya c h i e v e d t h en e t w o r kb o t h o p e na n ds a f e l y ”a l r e a d yb e c o m e ss u s p e n d si nf i o n to faw o r l dt e c h n i c a lp e r s o n n e l s i m p o r t a n tt o p i c 1 1 1 e s e c u r i t ym o d e l i sa i m sa tt h es o l u t i o nw h i c ht h en e t w o r ks e c u r i t y p r o p o s e d t h et r a d i t i o n a ls e c u r i t ym o d e li st h es t a t i cs e c u r i t ym o d e l i ti sn o tm e a s u l 七 t ot h ed y n a m i cs a f et h r e a ta n dt h es y s t e mv u l n e r a b i l i t y f a c i n gc l a yb yd a yp o p u l a r d i s t r i b u t i o n a l ，c o o r d i n a t i o nt y p ea t t a c k , a n ys i n g l es e c u r i t ym o d u l ed e f e n s ec a p a b i l i t y i sl i m i t e d o n l yw h e ne a c hs e c u r i t ym o d u l er e a l i z ee f f e c t i v ei n t e r a c t i o na n dc o n s t i t u t e w h o l es a f es o l u t i o n , t h em o d e lc a ns o l v et h en e t w o r ks e c u r i t yq u e s t i o ne f f e e t i v e l y m o r e o v e r , t h er e s e a r c hi n d i c a t e dt h a t n e t w o r ki sac o m p l e xn e t w o r kw h i c hf o r m s b y $ o l n es i m p l er u l e s a l o n g 、】l ，i 也t i m ee x t e n d i n ga n dt h ep e o p l et 0t h en e t w o r k s e c u r i t yq u e s t i o na t t e n t i o ni l l c r c a s e ，h o wp r o v i d e st h eg o o dn e t w o r ks e c u r i t ym o d e l w h i c hc l i l la d a p tt os u c hd y n a m i cc h a n g ec o m p l e xn e t w o r kc i r c u m s t a n c e si sb e c o m ei 1 1 q u e s t i o nw h i c hu r g e n t l ya w a i t st ob es o l v e d t h i sa r t i c l ei n t r o d u c e ds o m en e t w o r ks e c u r i t ym o d e l sa n da n a l y z e dt h e i r l i m i n i t a t i o n t h e nt h ea u t h o rb r i n g sf o r w a r dan e wd y n a m i cn e t w o r ks e c u r i t ym o d e l s a m d 彰co ft h ec o m p l e xa d a p t i v es y s t e mw h i c hb a s e do nt h ed o s e d l o o p c o n t r 0 1 i t sn u c l e u si ss e c u r i t ym a n a g e m e n ta n ds e c u r i t yp o l i c y a n di td e s i g n s1 3 n e w a l g o r i t h mo fi n t r u s i o nd e t e c t i o nb a s e do nc o m p l e xa d a p t i v es y s t e mu t i l i z e si n t h i s m o d e l i tc a l ls o l v e di ns o m ed e g r e et h ep r o b l e mo fn l e f l , s l l g eb ym i s t a k ea n dm i s s e d d e t e c t i o n ；i l i e r e a s e dt h em o d e ls a f e t yr 栅o r m a n e ea n dt h es e c u r i t yr a t i n g w j t hu s i n g t h es i m u l a t i o r le n v i r o n m e n to fs w a r m ，i tr e a l i z e sc l y n a m i es i m u l a t i o no fi n t r u s i o n d e t e c t i o ns y s t e m i tt oi m p e l sc o m p l e xa d a p t i v es y s t e ma n dt h ed y n a m i cn c l w o r k s e c u r i t ym o d e lf u r t h e rd e v e l o p m e n th a s c e r t a i ni n s t r u c t i o na n dt h em o d e l s i g n i f i c a n c e k e yw o r d ：c o m p l e xs y s t e m , c o m p l e xa d a p t i v es y s t e m ，d y n a m i cn e t w o r ks e c u r i t y m o d e l ，i n t r u s i o nd e t e c t i o n , d y n a m i cs i m u l a t i o n 图日录 图3 1 闭环控制的安全系统模型1 3 图3 2p p d r 模型1 4 图3 3a p p d r r 模型。1 5 图3 4i s o7 4 9 8 - 2 安全构架三维图1 7 图3 5 安全基线关系图1 8 图3 6 安全风险过程模型1 9 图3 7 安全风险关系模型2 0 图3 8 安全风险计算模型2 0 图3 9s a p 2 m d r 模型示意图2 4 图3 1 0 安全风险评估模型2 7 图4 1 入侵检测系统体系结构4 7 图4 2w i n d o w s 平台的网络通信结构4 8 图5 1s w a r m 基本结构图5 5 图5 2 初始攻击事件图5 6 图5 3 选择操作运行状态图5 6 图5 4 投影操作运行状态图l 5 7 图5 5 投影操作运行状态图2 5 7 图5 6 投影操作运行状态图3 5 7 图5 7 投影操作运行状态图4 。5 7 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据 我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的 研究成果也不包含为获得 盒罂至些盔堂 或其他教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文作者签名：玲戈、刁殇签字目期： 7 年6 月1 3 日 学位论文版权使用授权书 本学位论文作者完全了解金蟹互些塞堂有关保留、使用学位论文的规定，有权保留并 向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权金蟹 王些盍堂可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：撅、9 奄 导师签名： 签字日期：1 年占月i j 日 j 学位论文作者毕业后去向：j l 嫩 工作单位：电钧鼬咖讯备商f i 己 通讯地址： 签字日期：j 矿 电话： 邮编： 日 致谢 在此论文完成之际，向我的导师、计算机学院的老师、我的同学以及其他 在学习上和生活中给与我帮助的人们表达我真挚的谢意! 我的导师周健老师知识渊博，治学严谨认真。他对科研问题有敏锐的洞察 力，并鼓励我们自由思考和选择。在他的指点下，我们各自选择了自己喜爱的研 究方向。我从研究生一年级开始，通过对复杂理论和园区网络的大量阅读，取得 了一些成绩，这些成绩都离不开周老师的悉心指导和鼓励。我的硕士论文也是在 周老师的精心修改和反复提炼下完成的。另外，周老师还建议我们广泛阅读，在 这种思想指引下，我还阅读了非线性科学、博弈论、 d 。+ r t ( 1 ) 其中p 。是安全体系提供的防护时间，d 。为系统检测时间，r 。的为系统的响 应时间，e t 为暴露时间。对于需要保护的安全目标，如果满足公式( 1 ) ，即防护 时间大于检测时间加上响应时间，也就是在入侵者危害安全目标之前，这种入侵 1 3 行为就能够及时被检测到并及时处理，系统就是安全的：若p t d t + r t 公式中p 。表示系统为了保护安全目标设置各种保护后的防护时间，也可认为 是黑客攻击系统所花的时间。d 。表示从攻击开始，系统能够检测到攻击行为所花 的时间。r t 为发现攻击后，系统能做出足够响应将系统调整到正常状态的时间 如果系统能满足1 ) 公式，即：防护时间p t 大于检测时间d t 加上响应时间r t ， 则认为该系统为安全的，因为它在攻击危害系统之前就能够检测到并及时处理。 2 ) e 。= d t + r t ，i fp 。；o 1 4 公式中e t 表示系统的暴露时间，假定系统的防护时间p t 为0 ，如系统突然遭 到破坏，则希望系统能快速检测到并迅速调整到正常状态，系统的检测时间d t 和响应时问r t 之和就是系统的暴露时间e t ，该时间越小，系统安全性越好。 从数学公式我们可以看出：“网络安全的目标实际上是尽可能延长保护时间， 尽量缩短检测时间和响应时间”，其关键在于“增大防护时间、及时的检测和响 应”。 2 p p d r 模型的特点 相对而言，p d r 模型强调落实反应，而p p d r 模型则更强调控制、定位、跟 踪、监管和对抗能力，也即，该模型强调的是系统安全的动态性，以安全检测、 漏洞检测和自适用填充。安全间隙”为循环来提高网络安全，其特点如下； ( 1 ) 安全策略的动态性：以实时监视网络活动、发现威胁和弱点来调整和 填补网络漏洞。 ( 2 ) 可测即可控：通过经常对网络系统的评估把握系统风险点，及时弱化 甚至堵塞系统的安全漏洞。 ( 3 ) 利用专家系统、统计分析以及神经网络方法对现有的网络行为实施实 时监控并分析风险。 3 1 2 3a p p d r r 模型1 ” a p p d r r 网络安全模型如图3 3 所示，它是由北京启明星辰信息技术有限公司 图3 3a p p d r r 模型 于2 0 0 2 年提出，主要有六部分；风险分析( a n a l y s i s ) 、安全策略( p o l i c y ) 、防 御系统( p r o t e c t i o n ) 、实时监测( d e t e c t i o n ) 、实时响应( r e s p o n s e ) 和灾难恢复 ( r e c o v e r y ) 。该模型的整个工作流程：在进行风险分析后，制定安全策略，根据 制定的安全策略部署防御系统( 该防御系统包括对需要保护的核心资产进行冗余 备份和容灾备份) ，并对整个网络实时监测，对检测到的网络入侵事件及时做出 响应，最后对遭受到的破坏，利用前面的冗余备份和容灾备份系统进行恢复。 3 1 2 4 现有动态网络安全模型的不足 现有的网络安全模型虽然对构建网络安全体系具有一定的指导性参考价值， 但是对模型的深入研究发现，现有的这几种模型还不够完善，存在以下几个问题： 1 一个好的网络安全模型需要从管理安全、物理安全、技术安全三个方面 全面进行考虑，上述模型忽略了管理在安全防御体系中的重要性和网络安全体系 中人员流动以及人员素质的差异人的因素；另外只注重被动的防护和入侵检测， 没有主动的防御，其“动态性”仅仅体现在入侵检测上，对入侵后的恢复没有考 虑等。 2 p d r 模型要求的核心与本质是给出攻防时间表。该攻防时间表是一个统计 平均值时间表，是测评认证的副产品。所谓基准测试就是固定防守，测试攻击时 间；相反，固定攻击手法，测试防守时间，这是测定攻防时间表的依据。此模型 的不足之处在于难以适应网络安全环境的快速变化“” 3 p p d r 模型相对而言较为简单，很多关键部分在模型上没有体现出来。首 先该模型没有把必须要做的安全风险分析和安全策略工作为模型的一部分，对于 有经验网络安全设计工程师，可能会考虑到对需要保护的网络系统进行这方面的 工作，对于没有经验的网络安全设计人员，可能会在着手设计安全系统前漏掉这 些重要的准备工作。任何安全系统都是在一定的安全基线下实现的。安全基线不 同，安全成本则完全不同，如果没有明确安全基线就开始实施安全系统，这有可 能会导致资金预算的不可预测。其次，如果没有对需要保护的网络系统指定详细 的安全策略和进行认真地风险分析就开始进行安全保护，就如同瞎子摸象，根本 无法真正有效的、针对性的部署安全系统，部署的安全系统就可能存在很多安全 隐患。最后，该模型在实际中仍属于被动型的，依据该模型，在黑客开始攻击后 安全系统才开始工作，不能做到主动预防和实现预警。 4 a p p d r r 模型则较为复杂，首先部分环节存在顺序上的颠倒，该模型先进 行风险分析然后再制定安全策略，而事实上，如果没有制定安全策略，明确安全 基线，所做的安全风险分析就没有基准了，风险分析就带有一定的盲目性，风险 分析过深，就会造成成本的浪费，风险分析不能满足要求，就会带来安全隐患。 不同的安全策略，所做的风险分析结果势必截然不同。工作流程顺序的颠倒，有 可能会导致大量的工作白做。此外，该模型没有预警系统，如果发生了入侵事件， 系统不能及时地进行全网预警。该模型独有特点是考虑了灾难恢复，在发生了安 全事件后，该模型可以利用备份资料及时的恢复系统。 1 6 3 2 网络安全模型设计理论和原则 3 2 1 网络安全模型设计理论 3 2 1 1 网络安全框架( n e t w o r ks e c u r i t yf r a m e w o r k ) i s 0 7 4 9 8 - 2 中详细地描述了互联系统安全的体系结构，明确提出了设计安全 信息系统的基础架构应该包含( 见图3 4 ) 以下几个方面内容： 1 五类安全服务( 安全功能) ： 2 能够为这五类安全服务提供支持的八类安全机制： 3 需要进行的三种0 r 安全管理方式。 图3 4 i s o7 4 9 8 - 2 安全构架三维图 3 2 1 2 安全策略理论 既要保证网络的安全，又要安全系统的投资经济，这就需要制定恰当的安全 策略。本文以安全基线为参考来制定安全策略。安全基线( s e c u r i t yb a s e l i n e ) 是在s s e c 删模型中提出的，是一个网络信息系统的最小安全保证。网络信息系 统安全总是在安全付出成本与所能承受的安全风险之间进行平衡，而安全基线正 是这个平衡的合理分界线。不满足系统最基本的安全需求，也就无法承受由此带 来的安全风险，而超基本安全需求的满足同样也会带来超额安全成本的付出，所 以构造合理的安全基线是一个首要问题。构造网络信息系统安全基线是对网络信 息系统及其内外部环境进行系统的安全分析，最终确定系统需要保护的安全目标 以及这些安全目标的保护程度。事实上，构造网络信息系统安全基线的过程也是 网络对信息系统进行安全需求的分析、制定安全策略的过程“”。 1 7 安全基线类别主要由物理安全基线( 如对设各和数据资源的物理保护以及对 自然灾害或常规犯罪的防范等) ，逻辑安全基线即技术基线( 如存取控制，信息保 护，传输加密等) ，管理安全基线( 如组织机构调整、人员管理教育、培训、系统 运行管理等) 和系统实施安全基线。它们的关系如图3 5 所示。 图3 5安全基线关系图 1 管理安全基线 安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不 可能完全由计算机系统来承担安全保证任务，因此必须建立完备的安全组织和管 理制度。 2 物理安全基线 保证信息网络中所有的机房、通信线路、网络设备、安全设备等基础设备的 安全是保障整个网络系统安全的前提，然而，这些设备都面临着地震、水灾、火 灾等环境事故以及人为操作失误及各种计算机犯罪行为导致的破坏过程，设备安 全威胁主要包括设备的被盗、恶意破坏、电磁信息辐射泄漏、线路截获监听、电 磁干扰、电源掉电、服务器死机以及设备的破坏等等。这些都对整个网络的基础 设备及上面的各种应用有着严重的安全威胁，这些事故一旦出现，就会使整个网 络不可用，造成极大损失“”。 3 技术安全基线( 逻辑安全基线) 技术策略是针对网络、操作系统、数据库、应用服务提出的具体的措施。因 涉及到的范围比较广，所以采用首先确立逻辑安全基线原则，而后于各个系统进 行匹配的方式进行叙述。 构造合理的安全基线要做好以下几方面的事宜： 1 确定安全目标 安全目标是指使用目标系统内资产时的安全目标以及安全保护的程度。安全 目标确定后，才能明确安全基线。 2 确定安全基线涉及的方面 安全目标的实现是安全基线制定的目的，所有的安全目标必须有相应的安全 基线保证。 3 安全基线的定义 安全基线须按类别逐条加以定义。每条安全基线应有目标系统范围内唯一的 标识，该标识可作为安全基线配置管理库中的配置项标识。安全基线的定义只需 涉及安全需求，无须涉及要满足的具体技术和方法。 4 匹配安全基线与安全目标 安全基线构成后，应建立安全基线与安全目标的关系。可以通过匹配矩阵的 形式来检查每个安全目标是有哪些安全基线保证的。针对每一个安全目标，检查 是否安全基线覆盖了该目标的要求。当安全目标和安全基线数量较大时，可按类 别用多个矩阵表示安全目标和安全基线的关系。 3 2 1 3 安全风险模型理论 风险是指特定的威胁利用资产的一种或一组脆弱性，导致了资产的丢失或损 害的潜在可能性，即风险是特定威胁事件发生的可能性与后果的结合。风险只能 降低、转移、拒绝、接受，但不可能完全被消灭。在对网络采取安全保护措施前， 首先要做的工作是进行安全风险现状分析，找出潜在的危险。 图3 6安全风险过程模型 安全风险评估模型的建立来自于b s 7 7 9 9 的思想。要做安全风险分析就需要 建立安全风险模型。在建立安全风险模型时，本文参考了安全风险过程模型( 见 图3 6 ) 和安全风险关系模型( 见图3 7 ) 3 2 1 4 安全风险评估 图3 7安全风险关系模型 安全风险的评估是根据资产、威胁、和脆弱性的评估结果，结合适当的风险 测量方法或工具确定风险的大小和风险等级，即对网络安全管理范围内的每 图3 8安全风险计算模型 一信息资产因遭受泄漏、修改、不可用和破坏所带来的任何影响做出一个风险测 量的列表，以便识别与选择适当和正确的安全控制方式，这也是网络策划信息安 全管理体系的重要步骤。具体见图3 8 安全风险计算模型。 3 2 2 网络安全模型设计原则 在进行网络安全系统设计之前，首先要弄清楚：哪些资产需要被保护? 存在的 风险种类及程度? 为什么这些资产会受到威胁? 这些资产受损时的后果? 什么是有 效的解决措施? m 1 从整体和发展的角度来看待安全需求，安全系统应该是一个动 态循环的系统，能够不断自我完善和优化以适应新的变化和发展需要。综上所述， 设计安全系统，应遵循以下几个原则。 1 整体性原则 整体性原则就是在明确要保护的资产后，必须从管理安全、物理安全、技术 安全三个方面全面的考虑网络安全，确保整个网络所需要保护的资产没有被安全 系统遗漏的地方。网络中的任何一个漏洞或隐患都可能被黑客抓住，如果忽略了 一个，就有可能被黑客抓住，入侵到整个网络中。因此网络安全必须遵从整体性 原则，从全网的角度出发，综合考虑。 2 集中性原则 为保证所采取的安全措施和产品的部署能够有效的满足网络安全需要，在部 署管理和预警系统的时候，应集中起来一起管理，通过最高安全指挥机构来完成 日常安全维护工作。集中性原则主要体现在以下两个方面： ( 1 ) 管理集中：安全重在管理，“三分技术，七分管理”阐述了网络安全的 本质，网络设备和主机类型众多，业务系统也相对复杂且管理机构和管理模式也 千差万别，为保证网络安全系统指导思想能够全网统一，就十分有必要安全管理 集中翻。 ( 2 ) 全网预警和响应集中：做到对各设备和系统的集中安全管理以及安全事 件发生后的集中预警响应。 3 层次性原则 在网络安全方案设计中，无论是具体的软硬件部署，还是管理制度的制定， 都遵循层次性原则。安全问题的层次性原则集中在以下两个方面： ( 1 ) 管理模式的层次性 网络安全方案应该做到用户管理分层次的授权机制；防病毒体系的病毒库分 发或报警分层次机制：安全紧急响应的流程也要建立分层监控，逐级响应的机制 】 ( 2 ) 防护技术的层次性 网络安全方案还要根据业务系统特点提出多层次防护机制，保证当外层防护 被黑客入侵以后，内部防护层还能起到防护作用。 4 长期性原则 任何产品或系统都有生命周期网络安全系统也一样有生命周期，特别是随着 2 1 一个黑客技术的发明或一个漏洞被发现，网络也会随之由安全状态变为非安全状 态。长期性原则要求对部署的产品做长期的扩容和升级的考虑，以便针对外界环 境的变化及时进行动态的响应，将网络重新调整到安全状态下，否则安全系统就 有可能会很快的结束自己的生命周期。为保证安全系统能够长久的提供安全保 障服务，必须把安全作为一个长期的任务来实施。 3 3s a p 2 m d r 2 c 动态网络安全模型的设计 3 3 1 设计目标 通过对网络的安全现状以及当前现有的网络安全模型的全面分析，构建一个 新的网络安全模型，依据该模型建立一套动态的网络安全系统，该系统利用各种 主动或被动的方式用来保护网络核心资产的完整性，将可能发生的损害减到最 小，使投资回报率最大化，并确保向社会提供的服务和业务的连续运行。 网络安全模型设计目标是：建立一个动态自适应的网络安全模型。“动态” 就是安全系统能够自主地随着安全形势的变化而产生相应的响应；“自适应”强 调在发生黑客攻击之前就主动检测网络系统的安全漏洞和缺陷，并及时打上补 丁，并调整安全策略。任何系统都会有漏洞，在一个漏洞不被世人所知时，从理 论上讲，这个漏洞可视同不存在，网络系统就是安全的，如果这个漏洞被公开或 被黑客知晓，网络系统就立即处在非安全状态。设计的模型要能够在黑客做出相 应的动作前及时发现这个漏洞，并及时向全网发出预警，提醒并协助相关网络安 全管理员做好系统升级打补丁工作，把网络从非安全状态调整到安全状态，让黑 客抓不住机会，无懈可击，从而保证络的长治久安。 3 3 2 构建s a p 2 m d r 2 c 动态网络安全模型 本文依据c a s 理论、网络安全模型的设计理论和原则，在分析p d r 、p p d r 和 a p p d r r 网络安全模型的基础上，同时考虑到网络安全的重心正由传统的对网络系 统的加固和保护转为预先发现网络漏洞和缺陷并及时响应，提出一个基于闭环控 制的珏劬，以安全管理和安全策略为中心的s a p 2 i v d r 2 c 动态的、具有自适应性网络安 全模型。 图3 9 是s a p 铂d r 2 c 动态网络安全模型示意图，主要由服务需求( s e r v i c e ) 、风 险分析( a n a l y s is ) 、系统防御( p r o t e c t i o n ) 、安全策略( p o l i c y ) 、安全管理 ( m a n a g e m e n t ) 、漏洞监测( d e t e c t i o n ) 、实时响应( r e s p o n s e ) 、灾难恢复( r e c o v e r y ) 和主动反击( c o u n t e r a t t a c k ) 共九个部分构成。传统安全模型在本质上是属于静 态的保护，只是通过增加防火墙和加固验证等手段被动的去防范攻击。s a p 2 h 仍r 网络安全模型的则是动态自适应的，能够最大限度的保护网络不受诸多威胁的侵 犯，同时与当前流行的其他安全模型相比较，s a p 飞仍r 网络安全模型更加注重安 全策略和安全管理，强调了自适应。 图3 9 s a p 2 m d r 模型示意图 在s a p 2 m d r 2 c 这个安全模型中，所有的工作都是从安全策略和安全管理开始入 手的，有效的安全策略和好的安全管理是实现网络安全的第一步；在整体的网络 安全管理指导下，制定了不同服务需求的安全策略后，随后对网络进行安全风险 分析，根据风险分析的结果，在需要的地方，进行加固和部署基本的技术防范措 施，建立起防护体系，这时整个安全系统进入了管理和维护阶段。综合运用诸如 安全操作系统、防火墙、机密等安全防护措施和手段来保证网络系统具有一定的 安全基础，利用人侵检测系统、弱点漏洞分析和评估工具对网络的安全状况进行 评估和分析，实时监控网络事件，并对安全系统的工作进行监控，看目前系统的 工作是否和安全策略一致，并随时检测网络上新的漏洞和病毒，根据监测和监控 的结果及时进行事件响应，定期对系统重要资源进行备份，旦被攻破立刻就能 得到恢复，最大限度地减少风险和损失；同时把由于发现新的漏洞或病毒导致网 络又处于潜在危险的状态调整到安全状态；并重新调整安全策略，再根据安全策 略确定是否需要重新部署安全防护系统，尽力保持网络处于相对安全状态。另外 采取主动防御措施，采用入侵诱骗技术收集入侵信息，分析入侵者的详细资料( 如 水平、目的、所用工具、入侵手段等) ，间接地了解系统的安全状况，及时记录 其行为的相关特征，作为追究责任的证据，并主动封杀该行为。从而保证了整个 系统进入了一个良性循环，成为一个能够自我完善、不断发展、自我适应能力极 强网络安全系统。 s a p 2 m d r 2 c 模型的设计充分考虑到服务需求、风险评估、安全策略的制定、安 全管理的实施、防御系统、实时检测、响应、恢复与主动反击等各个方面，并且 考虑到各个部分之间的动态关系和依赖性，使它们相互协作，加强整个系统的生 存能力，最大限度地减少网络事件带来的风险和损失。 该模型认可风险的存在性，认为绝对的安全与可靠的网络系统是完全不存在 的，只有相对的安全性，并且系统会为防御与保护而付出代价，系统的功能和速 度也会因此而受到影响。 3 3 2 1s a p 伽r 2 c 模型与复杂适应系统( c a s ) c a s 理论的基本思想是适应性造就复杂性，所谓具有适应性，就是指它能够 与环境以及其他主体进行交互作用。c a s 中的主体在与环境的交互作用中遵循一 般的刺激反应模式。所谓适应能力表现在它能够在个体最优的原则下，根据 行为的效果修改自己的行为规则，体现了主体不断适应环境变化的能力。这种能 力使微观行为个体始终处于进化过程中。在s a p 狮r 2 c 模型中，我们可以把每个模 块看作一个个体，模块之间相互作用，也即个体之间的相互作用。模型中每个模 块最少与模型中另外一个模块有某种相互作用。例如风险分析模块，它是在安全 策略中制定的安全基线的基础上来进行风险分析的，而根据风险分析的结果，来 制定系统防御模块。在模型运行过程中，根据前次的运行状况，不断调整安全 策略，并且根据安全策略来调整安全防护系统，模型在九个模块的相互作用和不 断的学习中得到进化，安全性得到螺旋型的上升。 下面我们从c a s 理论的几个基本概念和主要特点来看s a p 2 m d r 2 c 模型。 1 从c a s 理论的几个基本概念的角度来看： ( 1 ) 聚集：在复杂系统的演变过程中，较小的、较低层次的个体通过某种 特定的方式结合起来，形成较大的、较高层次的个体，这是一个十分重要的关键 步骤。最初的安全模型是在单个模块( 个体) 或者其中几个模块( 个体) 的基础 上建立的，例如p d r 模型就是由防护，检测和响应三个模块构成。s a t i r i c 模型 可以看作是九个个体( 模块) 按照一定的规则( 即模块之间的相互作用关系) 聚 集而成。 ( 2 ) 非线性：c a s 理论认为个体之间相互影响不是简单的、被动的、单向的 因果关系，而是主动的“适应”关系。以往的“历史”会留下痕迹，以往的“经 验”会影响将来的行为。在这种情况下，线性的、简单的、直线式的因果链己经 不复存在，实际的情况往往是各种反馈作用( 包括负反馈和正反馈) 交互影响的、 互相缠绕的复杂关系。在s a p 2 m d r 2 c 模型中，安全策略不断的调整，安全防护系统 不断完善，是模型中的模块相互作用的结果，并且所作的这种调整是要达到主动 适应现有网络环境。 ( 3 ) 流：模型的每个模块和环境之间、模块与模块间存在着物质流、能量 流和信息流。 ( 4 ) 多样性：模型的每个模块的类型不一样，并且作用也不相同，也就是 个体问存在差异，类型多样性。和前面的聚集联系起来，模型中的每个模块随着 每检测到一次攻击或漏洞，模块在做相应的调整，如果把攻击或者漏洞的随机性 考虑其中，就会看到自组织现象的出现。 ( 5 ) 标识：模型中每个模块都各有各自的功能和标识。 ( 6 ) 内部模块：模型中每个模块都有自己的子模块，由多个子模块来共同 实现个体的功能，这也是一个复杂的内部机制。 ( 7 ) 构筑块：如果把每个模块看作一个块，则s a p 氇d r 2 c 模型是这9 个块其中 一种组合方式。如果改变他们之间的相互作用关系和作用顺序，则将是另外一个 模型。 2 从c a s 理论的主要特点来看： ( 1 ) c a s 的主体是主动的、活的实体。复杂性是在个体与其它个体之间主动 交往，相互作用的过程中形成和产生的。个体的主动性是这里的关键。个体主动 的程度，决定了整个系统行为的复杂性的程度。这里所说的主动性或适应性是一 个十分广泛的、抽象的概念。它并不一定就是生物学意义上的“活”的意思。 只要是个体能够在与其他个体的交互中，表现出随着得到的信息不同，而对自身 的结构和行为方式进行不同的变更，就可以认为它具有主动性或适应性，适应的 目的是生存或发展。模型中的模块在模型中都有其自己独特的作用，模块与模块 之间相互作用，随着模型的运行，每个模块都在不断的变化，其目的是为了使模 型的安全性能增加，能动态的检测并预测攻击，也可以说模型具有主动性或者适 应性。 ( 2 ) 在c a s 中，个体与环境、个体与个体之间的相互影响，相互作用，是系 统演变和进化的主要动力。模型的建成初期是根据以前的理论知识和已知攻击的 类型来定义各个模块的具体实行措施，而随着模型的运行，发现了一些新的不能 解决的问题，所以要对相对应的模块进行调整，而模块的调整又会使攻击者研究 其他的新的攻击方式来攻击系统，使得模型的安全性能和攻击者的攻击技术都在 不断上升，这可以看作是个体与环境之间的相互作用和影响。而一个模块的调整 必然与它相关的模块的调整，譬如服务需求分类的调整必然导致安全策略的调 整，而安全策略的调整又将会导致风险分析和防御系统的调整，而模块的这些连 环调整又会导致模型的安全性能的变化，所以模块之间即个体之间的相互作用和 相互影响也是模型演化和进化的动力。 ( 3 ) 在c a s 中，通过主体和环境的相互作用，使得个体的变化成为整个系统 变化的基础，统一地加以考察。而在模型中，模型安全性能的变化是因为模块的 调整和模块之间因为调整而产生的连锁反应造成的，即个体的变化是系统变化的 基础。 ( 4 ) c a s 中引进了随机因素的作用，使它具有更强的描述和表达能力。考虑 随机因素并不是c a s 理论所独有的特征，然而c a s 理论处理随机因素的方法是很特 别，简单地说，它从生物界的许多现象中吸取了有益的启示。模型中也有很多随 机事件发生，譬如攻击的类型，时间都不是固定的或者能预测到的，而模型有处 理这种随机时间的能力和方法。 从上面的分析我们可以看出s a p 2 m d r 2 c 模型是由九个模块构成的一个复杂适 应系统，模型的建立贯穿着c a s 理论。 3 3 2 2 服务需求( s e r v i c e ) 它是整个网络安全的前提，是动态变化的。只有针对特定的服务进行风险分 析，制定相应的安全策略，才能把安全防御对系统功能与速度的影响降低到最低。 例如针对o s i 参考模型不能层次的访问来进行服务分类，然后针对不同的服 务来进行风险分析和制定相对应的不同安全策略。由于服务需求花样繁多，必然 导致种类繁杂，越细的分类会给管理和后续带来巨大的工作量，但是服务需求越 详细，在此基础上的风险分析必然更精确，安全策略更加详尽。所以在现实实现 中，这是一个繁琐的过程，要在兼顾工作量和精确度这两个方面的前提下，为服 务需求分类。 3 3 2 3 风险分析( a n a l y s i s ) 风险分析是模型的一个关键部分，信息资产由于自身的脆弱性，使得威胁的 发生成为可能，从而形成风险。只有在对网络安全状况进行全面地分析，找到风 险所在，并依据所制定的安全策略对这些风险进行加固或修补，确保现有网络的 安全能够满足安全基线的要求。 风险分析的过程就是对影响、威胁和脆弱性分析的过程。在风险评估阶段， 资产的价值、资产破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资 产的脆弱程度都成为风险评估的关键因素。在安全风险评估模型中( 见图3 1 0 ) ， 资产的评估主要是对资产进行相应估价，而其估计准则就是依赖于对其影响的分 析，从资产的相对价值中体现了威胁的严重程度。这样，威胁评估就仅仅成了对 资产所受威胁发生的可能性的评估。脆弱性的评估是对资产脆弱程度的评估。安 全风险评估就是通过综合分析评估后的资产信息、威胁信息和脆弱性信息，最终 生成风险信息m 。 图3 1 0安全风险评估模型 3 3 2 3 1 风险评估流程 ( 1 ) 确定风险评估范围 进行具体安全风险评估首先要做的工作就是业务调查，通过分析网络上运行 的所有业务和应用，了解主要业务的流程，清楚地掌握支持业务运行的网络系统 基本结构和安全现状，收集评估所需的设备信息，同时结合业务调查，需要对网 络安全评估范围进行界定。这个阶段很重要，一个明确的范围界定不仅可以防止 不必要的工作而且能够极大的改进评估的质量。风险评估具体内容包括：需要评 估的业务或应用；信息资产( 如硬件、软件、数据等) 、人员、环境、活动( 如对 资产进行的操作等相关的权限等) 、i p 地址信息( 如i f 范围、网段信息) 和网络资 产的识别和评估等。 安全风险评估的对象是网络中风险评估范围内的所有资产。这些资产容易受 到安全威胁的侵害，给造成不同程度的损害。因此正确地管理这些资产是非常重 要的，它也是所有级别安全管理的责任所在。由此可见，为了风险评估，就必须 对评估范围内的相关资产进行识别鉴定，根据资产在业务和应用流程中的作用进 行评估。 首先在划定的评估范围内，按照网络拓扑结构图的业务系统为主线，列出所 有网络上的物理资产、软件资产和数据资产。在识别出所有信息资产后，接着是 为每项资产赋予价值。资产评估是一个主观的过程，资产价值不是以资产的账面 价格来衡量的，而是指其相对价值。在对资产进行估价时，不仅要考虑资产的成 本价格，更重要的是考虑资产对于组织的商务重要性，即根据资产损失所引起的 潜在的商务影响来决定。为确保资产估价时的一致性和准确性，应按上述原则， 建立一个资产价值尺度( 资产评估标准) ，已明确如何对资产进行赋值。资产评估 的过程也就是资产影响分析的过程，影响就是由于人为或突发性引起的安全事件 对资产破坏的后果。这一后果可能毁灭某些资产，微机信息系统并使其丧失机密 性、完整性，可用性，最终还会导致财政损失、市场份额或公司的形象的损失。 特别重要的事，即使每一次影响引起的损失并不大，但长期积累的众多意外事件 的影响总和则可造成严重损失。一般情况下，影响主要从以下几方面来考虑：是 否违反了有关法律或( 和) 规章制度；是否影响了业务发展；是否造成了自身信誉、 声誉的损失；是否侵犯了他人个人隐私；是否造成了人身伤害；是否侵犯了商业 机密；是否违反了社会公共准则和造成了经济损失等。 ( 2 ) 安全威胁评估 威胁是只可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要 因素，威胁是一个客观存在的事务，无论对于多么安全的信息系统，它都存在。 在安全威胁评估过程中，首先要对网络需要保护的每一项关键资产进行威胁 识别。在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害 的情况来判断，一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产 造成影响。识别出威胁由谁或什么事务引发以及威胁影响的资产是什么，即确认 威胁的主体和客体。威胁可能源于意外的，或有预谋的事件。接着要做的是对每 种威胁的严重性和发生的可能性进行分析，最终为其赋一个相对等级值。威胁的 严重性是威胁本身的一个重要因素，因为在风险的分析时这个因素由资产的相对 价值体现出来所有在这一阶段并不对威胁的严重性进行详细评估。评估确定威胁 发生的可能性是这一阶段的重要工作，评估者应根据经验和( 或) 有关的统计数据 来判断威胁发生的频率或者发生的概率。其中，威胁发生的可能性受下列因素影 响：资产的吸引力；资产转化成报酬的容易程度；威胁的技术力量以及脆弱性被 利用的难易程度。 威胁评估所采用的方法