探析信息安全保障模式变革

1/7探析信息安全保障模式变革摘要互联网时代的来临给人们带来便利的同时也使信息安全与论坛、博客等，高级黑客雇佣“软件民工”来编写更强的驱动程序，加入病毒中加强对抗功能。大量软件民工的加入，使得病毒产业链条更趋“正规化、专业化”，效率也进一步提高。最后，黑客通过使用自动化的“肉鸡”管理工具，达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。漏洞挖捆与利用病毒产业能有今天的局面，与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具，这是一柄双刃剑。1漏洞存在的必然性首先，由于INTERNET中存在着大量早期的系统，包括低级设备、旧的系统等，拥有这些早期系统的组织没有足够的资源去维护、升级，从而保留了大量己知的未被修补的漏洞。其次，不断升级中的系统和各种应用软件，由于要尽快推向市场，往往没有足够的时间进行严格的测试，不可避免地存在大量安全隐患。再次，在软件开发中，由于开发成本、开发周期、系统规模过分庞大等等原因，BUG2/7的存在有其固有性，这些BUG往往是安全隐患的源头。另外，过分庞大的网络在连接、组织、管理等方面涉及到很多因素，不同的硬件平台、不同的系统平台、不同的应用服务交织在一起，在某种特定限制下安全的网络，由于限制条件改变，也会漏洞百出。2漏洞挖掘技术漏洞挖掘技术并不单纯的只使用一种方法，根据不同的应用有选择地使用自下而上或者自上而下技术，发挥每种技术的优势，才能达到更好的效果。LOCALHOST下面是常用的漏洞挖掘方法1安全扫描技术。安全扫描也称为脆弱性评估，其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术，人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等，从而检测出已知的安全漏洞，探查主机和网络系统的入侵点。2手工分析。针对开源软件，手工分析一般是通过源码阅读工具，例如SOURCEINSIGHT等，来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找STRCPY0之类不安全的库函数调用进行审查，进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同，非开源软件的主要局限性是由于只能在反汇编获3/7得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中，反编引擎和调试器扮演了最蘑要的角色，如IDAPRO是目前性能较好的反汇编工具。3静态检查。静态检查根据软件类型分为两类，针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息，然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台IDAPRO，使用自下而上的分析方法，对二进制文件中的库函数调用，循环操作等做检查，其侧重点主要在于静态的数据流回溯和对软件的逆向工程。4动态检查。动态检查也称为运行时检查，基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的，各种技术往往通过融合来互相弥补缺陷，从而构造功能强大的漏洞挖掘工具。33漏洞利用漏洞的价值体现在利用，如果一个漏洞没有得到广泛的利用便失去了意义。通常，从技术层面上讲，黑客可以通过远程/本地溢出、脚本注入等手段，利用漏洞对目标主4/7机进行渗透，包括对主机信息和敏感文件的获取、获得主机控制权、监视主机活动、破坏系统、暗藏后门等，而当前漏洞利用的主要趋势是更趋向于WEB攻击,其最终日标是要在日标主机主要针对服务器上植入可以综合利用上面的几种挖掘技术的复合型病毒，达到其各种目的。新型信息安全模式分析最近的两三年间，在与病毒产业此消彼涨的较量中，信息安全保障体系的格局，包括相关技术、架构、形态发生了一些深远、重大的变化，大致归纳为以下三个方面第一，细分和拓展。信息安全的功能和应用正在从过去简单的攻击行为和病毒防范开始向各种各样新的联网应用业务拓展，开始向企业架构的全流程。因此，许多不同的安全厂商都在进行自身的安全产品、体系架构的整合，针对性地应用到个人客户的方方面面，表现出信息安全保障一体化的趋向。第三，安全分布结构的变化。在服务器端，不管是相关市场的投入还是企业的需要，乃至相关的企业对服务器市场的重视都在发生重大的变化。这样的变化对安全的分布结构产生了重大的影响，在这方面，各个安全厂商无论在服务器安全还是客户端安全都加入了许多新型功能，甚至都在从体系结构方面提出一些新模式。透过技术、架构、形态的新发展，我们看到了些规5/7律和趋势，吏看到了一些未来信息安伞保障模式变节的端倪。既然客在互联的催化下实现产业化，那么信息安全保障呢将互联网上的每个终端用户的力量调动起来，使整个互联网就将成为一个安全保障工具，这样的模式就是未来信息安全保障的模式，被一些机构和安全厂商命名为“云安全”。在“云安全”模式中，参与安全保障的不仅是安全机构和安全产品生产商，更有终端用户客户端的参与。“云安全”并不是一种安全技术，而是一种将安全互联网化的理念。“云安全”的客户端区别于通常意义的单机客户端，而是一个传统的客户端进行互联网化改造的客户端，它是感知、捕获、抵御互联网威胁的前端，除了具有传统单机客户端的检测功能以外还有基于互联网协作的行为特征检测和基于互联网协作的资源防护功能，因此它可以在感知到威胁的同时，迅速把威胁传递给“云安全”的威胁信息数据中心。威胁信息数据中心是收集威胁信息并提供给客户端协作信息的机构，它具有两个功能一是收集威胁信息；二是客户端协作信息的查询和反馈。首先，从“云安全”的客户端收集、截获的恶意威胁信息，及时传递给数据中心，然后传递给来源挖掘和挖掘服务集群，来源挖掘和挖掘服务集群会根据这些数据来挖掘恶意威胁的6/7来源，通过协作分析找到源头，进而对源头进行控制，如果不能控制，则至少可以对源头进行检测。然后，将所有收集到的信息集中到自动分析处理系统，由其形成一个解决方案，传递给服务器，服务器再回传客户端，或者是形成一个互联网的基础服务，传递给所有安全合作伙伴，形成一个互联网技术服务，使整个网络都享受该安全解决方案。概括而言，“云安全”模式具有以下特点第一，快速感知，快速捕获新的威胁。“云安全”的数据中心可以并行服务，通过互联网大大提高威胁捕获效率。第二，“云安全”的客户端具有专业的感知能力。通过威胁挖掘集群的及时检测，可以从源头监控互联网威胁。互联网已经进入WEB2O时代，WEB20的特点就是重在用户参与，而“云安全”模式已经让用户进入了安全的2O时代。在黑客产业化经营的新威胁的形势下，也只有互联网化的“云安全”保障模式才能与之对抗。结柬语信息安全领域认为，仅仅依靠政策、法规和保密技术是不够的，必须建立一个实体来操作，可见信息安全已经扩展成为技术保障、组织保证、法规管理的全方位的动态概念，它包括保护、检测、反应和恢复的有机结合。目前，世界信息安全策略已经发生重大调整从追求部件的绝7/7对保密，变为求得系统的相对安全。从保证纵向“管式”的信息安全，转变为保障“扁平式”纵横信息网络互联的安全。顶层设计、综合开发，统筹安排设计的安全框架、安全结构和安全协议，使开发信息系统高效运行、安全互通互操作。“三分技术，七分管理”，管用并举，重在管理。信息技术的发展和广泛应用，正在深刻改变着人们的生活方式、生产方式与管理模式，对推进国家现代化、推进社会文