关于信息安全保障模式变革浅析

1、关于信息安全保障模式变革浅析作者：韩立华韩立宁张亮徐强 论文关键词：信息安全漏洞挖掘漏洞利用病毒云安全保障模式变革论文摘要：互联网时代的来临给人们带来便利的同时也使信息安全与网络安全形势日益严峻。形形色色的漏洞层出 不穷，传统的安全保障模式已经无法有效地应对当前的威胁。 本文分析了信息安全形势和现状，阐述了由漏洞挖掘、漏洞 利用所构成的病毒产业链对现有安全技术和理念的冲击。根 据病毒产业链中各个环节的特点，提出了基于“云安全”思 想的新型的安全保障模式，使之能够快速感知和捕获新的威 胁，并从源头上予以监控。论文联盟编辑。1引言信息安全与网络安全的概念正在与时俱进，它从早期的通信保密发展到关注信

2、息的保密、完整、可用、可控和不可 否认的信息安全，再到如今的信息保障和信息保障体系。单 纯的保密和静态的保障模式都已经不能适应今天的需要。信 息安全保障依赖人、操作和技术实现组织的业务运作，稳健 的信息保障模式意味着信息保障和政策、步骤、技术与机制 在整个组织的信息基础设施的所有层面上均能得以实施。近年以来，我国的信息安全形势发生着影响深远的变化, 透过种种纷繁芜杂的现象，可以发现一些规律和趋势，一些 未来信息安全保障模式变革初现端倪。2信息安全形势及分析据英国简氏战略报告和其它网络组织对世界各国信 息防护能力的评估，我国被列入防护能力最低的国家之一， 排名大大低于美国、俄罗斯和以色列等信息安

3、全强国，排在 印度、韩国之后。我国已成为信息安全恶性事件的重灾区， 国内与网络有关的各类违法行为以每年高于30%的速度递 增。根据国家互联网应急响应中心的监测结果，目前我国95% 与互联网相联的网络管理中心都遭受过境内外黑客的攻击 或侵入，其中银行、金融和证券机构是黑客攻击的重点。在互联网的催化下，计算机病毒领域正发生着深刻变革， 病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正 悄然生成。传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病 毒、操控受害主机等环节都需要自己手工完成。然而，现在 由于整个链条通过互联网运作，从挖掘漏洞、漏洞利用、病 毒传播到受害主机的操控，已经形成了一个高效的

4、流水线， 不同的黑客可以选择自己擅长的环节运作并牟取利润，从而 使得整个病毒产业的运作效率更高。黑客产业化经营产生了 严重的负面影响：首先，病毒产业链的形成意味着更高的生产效率。一些 经验丰富的黑客甚至可以编写出自动化的处理程序对已有 的病毒进行变形，从而生产出大量新种类的病毒。面对井喷 式的病毒增长，当前的病毒防范技术存在以下三大局限： 新样本巨量增加、单个样本的生存期缩短，现有技术无法及 时截获新样本。即使能够截获，则每天高达数十万的新样 本数量，也在严重考验着对于样本的分析、处理能力。即 使能够分析处理，则如何能够让中断在最短时间内获取最新 的病毒样本库，成为重要的问题。其次，病毒产业链

5、的形成意味着更多的未知漏洞被发 现。在互联网的协作模式下，黑客间通过共享技术和成果， 漏洞挖掘能力大幅提升，速度远远超过了操作系统和软件生 产商的补丁发布速度。再次，黑客通过租用更好的服务器、更大的带宽，为漏 洞利用和病毒传播提供硬件上的便利；利用互联网论坛、博 客等，高级黑客雇佣“软件民工”来编写更强的驱动程序, 加入病毒中加强对抗功能。大量软件民工的加入，使得病毒 产业链条更趋“正规化、专业化”，效率也进一步提高。最后，黑客通过使用自动化的“肉鸡”管理工具，达到 控制海量的受害主机并且利用其作为继续牟取商业利润的 目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑 客的“良性循环”圈。3

6、漏洞挖捆与利用病毒产业能有今天的局面，与其突破了漏洞挖掘的瓶颈 息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利 工具，这是一柄双刃剑。3. 1漏洞存在的必然性首先，由于internet中存在着大量早期的系统，包括 低级设备、旧的系统等，拥有这些早期系统的组织没有足够 的资源去维护、升级，从而保留了大量己知的未被修补的漏 洞。其次，不断升级中的系统和各种应用软件，由于要尽快 推向市场，往往没有足够的时间进行严格的测试，不可避免 地存在大量安全隐患。再次，在软件开发中，由于开发成本、 开发周期、系统规模过分庞大等等原因，bug的存在有其固 有性，这些bug往往是安全隐患的源头。另外，过分庞大

7、的 网络在连接、组织、管理等方面涉及到很多因素，不同的硬 件平台、不同的系统平台、不同的应用服务交织在一起，在 某种特定限制下安全的网络，由于限制条件改变，也会漏洞 百出。3. 2漏洞挖掘技术漏洞挖掘技术并不单纯的只使用一种方法，根据不同的 应用有选择地使用自下而上或者自上而下技术，发挥每种技 术的优势，才能达到更好的效果。下面是常用的漏洞挖掘方 法：(1) 安全扫描技术。安全扫描也称为脆弱性评估，其基 本原理是采用模拟攻击的方式对目标系统可能存在的已知 安全漏洞进行逐项检测。借助于安全扫描技术，人们可以发 现主机和网络系统存在的对外开放的端口、提供的服务、某 些系统信息、错误的配置等，从而检

8、测出已知的安全漏洞， 探查主机和网络系统的入侵点。(2) 手工分析。针对开源软件，手工分析一般是通过源 码阅读工具，例如sourcei nsight等，来提高源码检索和查 询的速度。简单的分析一般都是先在系统中寻找strcpy0之 类不安全的库函数调用进行审查，进一步地审核安全库函数 和循环之类的使用。非开源软件与开源软件相比又有些不同, 非开源软件的主要局限性是由于只能在反汇编获得的汇编 代码基础上进行分析。在针对非开源软件的漏洞分析中，反 编引擎和调试器扮演了最蘑要的角色，如idapro是目前性能 较好的反汇编工具。(3) 静态检查。静态检查根据软件类型分为两类，针对 开源软件的静态检查和

9、针对非开源软件的静态检查。前者主 要使用编译技术在代码扫描或者编译期间确定相关的判断 信息，然后根据这些信息对特定的漏洞模型进行检查。而后 者主要是基于反汇编平台idapro,使用自下而上的分析方法, 对二进制文件中的库函数调用，循环操作等做检查，其侧重 点主要在于静态的数据流回溯和对软件的逆向工程。(4) 动态检查。动态检查也称为运行时检查，基本的原理 就是通过操作系统提供的资源监视接口和调试接口获取运 行时目标程序的运行状态和运行数据。目前常用的动态检查 方法主要有环境错误注入法和数据流分析法。以上介绍的各 种漏洞挖掘技术之间并不是完全独立的，各种技术往往通过 融合来互相弥补缺陷，从而构造

10、功能强大的漏洞挖掘工具。 3. 3漏洞利用漏洞的价值体现在利用，如果一个漏洞没有得到广泛的 利用便失去了意义。通常，从技术层面上讲，黑客可以通过 远程/本地溢出、脚本注入等手段，利用漏洞对目标主机进 行渗透，包括对主机信息和敏感文件的获取、获得主机控制 权、监视主机活动、破坏系统、暗藏后门等，而当前漏洞利 用的主要趋势是更趋向于web攻击，其最终日标是要在日标 主机（主要针对服务器）上植入可以综合利用上面的几种挖 掘技术的复合型病毒，达到其各种目的。论文联盟编辑。4新型信息安全模式分析最近的两三年间，在与病毒产业此消彼涨的较量中，信 息安全保障体系的格局，包括相关技术、架构、形态发生了 一些深

11、远、重大的变化，大致归纳为以下三个方面：第一， 细分和拓展。信息安全的功能和应用正在从过去简单的攻击 行为和病毒防范开始向各种各样新的联网应用业务拓展，开 始向网络周边拓展。如现在常见的对于帐号的安全保护、密 码的安全保护、游戏的安全保护、电子商务支付过程的安全 保护等，都是信息安全功能和应用的细分与拓展。第二，信息安全保障一体化的趋向。从终端用户来说, 他们希望信息安全保障除了能够专业化地解决他们具体应 用环节里面临的各种各样的具体问题之外，更希望整体的、 一体化的信息安全解决方案贯穿业务的全过程，贯穿it企 业架构的全流程。因此，许多不同的安全厂商都在进行自身 的安全产品、体系架构的整合，

12、针对性地应用到个人客户的 方方面面，表现出信息安全保障一体化的趋向。第三，安全分布结构的变化。在服务器端，不管是相关 市场的投入还是企业的需要，乃至相关的企业对服务器市场 的重视都在发生重大的变化。这样的变化对安全的分布结构 产生了重大的影响，在这方面，各个安全厂商无论在服务器 安全还是客户端安全都加入了许多新型功能，甚至都在从体 系结构方面提出一些新模式。透过技术、架构、形态的新发展，我们看到了 些规律 和趋势，吏看到了一些未来信息安伞保障模式变节的端倪。 既然客在互联的催化下实现产业化，那么信息安全保障呢? 将互联网上的每个终端用户的力量调动起来，使整个互联网 就将成为一个安全保障工具，这

13、样的模式就是未来信息安全 保障的模式，被一些机构和安全厂商命名为"云安全"。在''云安全”模式中，参与安全保障的不仅是安全机构 和安全产品生产商，更有终端用户一一客户端的参与。'云 安全”并不是一种安全技术，而是一种将安全互联网化的理 念。“云安全”的客户端区别于通常意义的单机客户端，而 是一个传统的客户端进行互联网化改造的客户端，它是感知、 捕获、抵御互联网威胁的前端，除了具有传统单机客户端的 检测功能以外还有基于互联网协作的行为特征检测和基于 互联网协作的资源防护功能，因此它可以在感知到威胁的同 时，迅速把威胁传递给''云安全”的

14、威胁信息数据中心。威 胁信息数据中心是收集威胁信息并提供给客户端协作信息 的机构，它具有两个功能：一是收集威胁信息；二是客户端 协作信息的查询和反馈。首先，从“云安全”的客户端收集、 截获的恶意威胁信息，及时传递给数据中心，然后传递给来 源挖掘和挖掘服务集群，来源挖掘和挖掘服务集群会根据这 些数据来挖掘恶意威胁的来源，通过协作分析找到源头，进 而对源头进行控制，如果不能控制，则至少可以对源头进行 检测。然后，将所有收集到的信息集中到自动分析处理系统， 由其形成一个解决方案，传递给服务器，服务器再回传客户 端，或者是形成一个互联网的基础服务，传递给所有安全合 作伙伴，形成一个互联网技术服务，使整

15、个网络都享受该安 全解决方案。概括而言，“云安全”模式具有以下特点：第一，快速 感知，快速捕获新的威胁。'云安全”的数据中心可以并行服 务，通过互联网大大提高威胁捕获效率。第二，“云安全” 的客户端具有专业的感知能力。通过威胁挖掘集群的及时检 测，可以从源头监控互联网威胁。互联网已经进入web2. 0时代，web2. 0的特点就是重 在用户参与，而''云安全”模式已经让用户进入了安全的2. 0 时代。在黑客产业化经营的新威胁的形势下，也只有互联网 化的“云安全”保障模式才能与之对抗。4结柬语信息安全领域认为，仅仅依靠政策、法规和保密技术是 不够的，必须建立一个实体来操作，可见信息安全已经扩展 成为技术保障、组织保证、法规管理的全方位的动态概念, 它包括保护、检测、反应和恢复的有机结合。目前，世界信 息安全策略已经发生重大调整：从追求部件的绝对保密， 变为求得系统的相对安全。从保证纵向"管式”的信息安 全，转变为保障“扁平式”纵横信息网络互联的安全。顶 层设计、综合开发，统筹安排设计的安全框架、安全结构和 安全协议，使开发信息系统高效运行、安全互通互操作。