1 概述
隨著網(wǎng)絡(luò)的日益發(fā)展和應(yīng)用軟件的變化,網(wǎng)絡(luò)管理員不得不面對日益增長的網(wǎng)絡(luò)威脅。這些網(wǎng)絡(luò)攻擊的方式已經(jīng)從傳統(tǒng)的簡單網(wǎng)絡(luò)層數(shù)據(jù)攻擊升級到多層次的混合型攻擊。為了有效地防御混合型威脅, 統(tǒng)一威脅管理(United ThreatManagement, UTM)技術(shù)正引領(lǐng)安全行業(yè)的潮流,希望以網(wǎng)關(guān)處的一個硬件設(shè)備,一攬子解決所有的安全問題。
雖然目前UTM 得到了一定的應(yīng)用與推廣,但其存在不容忽視的缺陷,具體表現(xiàn)在:
(1)無法防御內(nèi)部攻擊,UTM 在防范外部威脅的時候非常有效,但是在面對內(nèi)部威脅的時候無法發(fā)揮作用。
(2)單點失效問題,將所有防御功能集成在UTM 設(shè)備當(dāng)中使得抗風(fēng)險能力有所降低。一旦該UTM 設(shè)備出現(xiàn)問題,將導(dǎo)致所有的安全防御措施失效。
(3)設(shè)備穩(wěn)定性問題,UTM 的穩(wěn)定性直接關(guān)系到網(wǎng)絡(luò)的可用性,盡管使用了很多專門的軟硬件技術(shù)用于提供足夠的性能,但UTM 安全設(shè)備的穩(wěn)定程度相比傳統(tǒng)安全設(shè)備仍有待提高。
為此,本文提出一種基于分布式技術(shù)和主動防御技術(shù)的分布式防御體系。
2 系統(tǒng)架構(gòu)
分布式信息安全防御系統(tǒng)采用樹形多級管理結(jié)構(gòu),由主動防御平臺、監(jiān)控節(jié)點、主機監(jiān)控模塊3 個部分組成。系統(tǒng)采用B/S 結(jié)構(gòu),網(wǎng)管可通過瀏覽器對該系統(tǒng)進行管理,如圖1 所示。主動防御平臺部署在網(wǎng)關(guān)位置,監(jiān)控節(jié)點部署在各子網(wǎng)的關(guān)鍵網(wǎng)絡(luò)設(shè)備上,而主機監(jiān)控模塊為駐留在網(wǎng)絡(luò)中主機上的軟件模塊。
圖1 分布式信息安全防御系統(tǒng)架構(gòu)
分布式信息安全防御系統(tǒng)實現(xiàn)現(xiàn)有UTM 的幾乎所有功能,包括集成于安全操作系統(tǒng)(安全的Linux 系統(tǒng)內(nèi)核)之上的防火墻、VPN 網(wǎng)關(guān)、防病毒、入侵防護、網(wǎng)頁內(nèi)容過濾、垃圾郵件過濾。
網(wǎng)頁內(nèi)容過濾、垃圾郵件過濾等應(yīng)用層數(shù)據(jù)的過濾由監(jiān)控節(jié)點實現(xiàn),防病毒功能由主機監(jiān)控模塊實現(xiàn),入侵防護由監(jiān)控節(jié)點及主機監(jiān)控模塊實現(xiàn),防火墻、VPN 等功能由主動防御平臺實現(xiàn)。此外,主動防御平臺還要實現(xiàn)統(tǒng)一管理及安全策略設(shè)置等功能。
3 主動防御平臺設(shè)計
主動防御平臺軟件結(jié)構(gòu)設(shè)計如圖2 所示。該軟件的核心層包含了安全的Linux 系統(tǒng)、TCP/IP 協(xié)議棧、協(xié)議分析模塊、防火墻功能模塊、VPN 功能模塊、統(tǒng)一管理模塊、安全策略模塊等部分。
圖2 主動防御平臺結(jié)構(gòu)
主動防御平臺需要一套專用的強化安全的定制操作系統(tǒng),這里采用經(jīng)過加固的安全的Linux 內(nèi)核。通過硬件加速,操作系統(tǒng)使各種類型流量的處理時間達(dá)到最小,從而帶來最好的實時性,才能有效地實現(xiàn)防火墻、VPN 等功能。TCP/IP協(xié)議棧提供對網(wǎng)絡(luò)協(xié)議的處理功能。
協(xié)議分析模塊是主動防御平臺核心層的核心,對其他功能模塊,如防火墻模塊、VPN 模塊等起到基礎(chǔ)支撐功能。協(xié)議分析模塊處于數(shù)據(jù)鏈路層以上、IP 層以下,它作為一個數(shù)據(jù)鏈路層的服務(wù)使用者接收物理層傳來的所有報文。此時,報文尚未經(jīng)過IP 層和TCP 層的處理,還包含有IP 頭和TCP頭,可以從IP 頭獲得發(fā)送方和接收方的IP 地址。協(xié)議分析模塊在Linux 中作為一個流設(shè)備實現(xiàn)。數(shù)據(jù)鏈路層服務(wù)的使用者可以像打開一個普通的流設(shè)備一樣,使用訪問數(shù)據(jù)鏈路層的服務(wù)。
主動防御平臺核心層的功能模塊包含了防火墻、VPN 等模塊,這是出于提高數(shù)據(jù)處理效率考慮。核心層的功能實現(xiàn)以模塊化方式組織,提高了主動防御的可擴展性,便于用戶根據(jù)自己的需要選擇不同的功能模塊。核心層的統(tǒng)一管理模塊、安全策略模塊提供分布式防御系統(tǒng)的統(tǒng)一管理功能及安全策略配置功能。
應(yīng)用層的其他模塊如防火墻、VPN 等模塊是核心層對應(yīng)模塊功能的有效補充,可在應(yīng)用層加強此類補充模塊的訪問控制。通信接口提供主動防御平臺與監(jiān)控節(jié)點、主機監(jiān)控模塊的通信功能。
主動防御平臺采用經(jīng)過加固的安全Linux 操作系統(tǒng)。操作系統(tǒng)有效地分解和協(xié)調(diào)系統(tǒng)的處理任務(wù),利用優(yōu)化的算法,實行并行處理,將任務(wù)劃分和協(xié)調(diào)過程中的消耗減到最小程度。在任一特定時間,每個數(shù)據(jù)流都得到最佳的處理水平。操作系統(tǒng)的設(shè)計集成了智能排隊和管道管理,在數(shù)據(jù)包到達(dá)時和處理相關(guān)的事件時,系統(tǒng)中斷會得到立即的響應(yīng),使流量的處理時間達(dá)到最小,加上最短的排隊時間,從而使系統(tǒng)達(dá)到很高的實時性。
4 監(jiān)控節(jié)點設(shè)計
監(jiān)控節(jié)點軟件結(jié)構(gòu)設(shè)計如圖3 所示。該軟件核心層的功能模塊包括內(nèi)容過濾模塊、郵件過濾模塊、入侵防護模塊及安全策略設(shè)置模塊。監(jiān)控節(jié)點核心層的核心是內(nèi)容過濾、入侵防護。
內(nèi)容過濾是監(jiān)控節(jié)點設(shè)計的核心,調(diào)用內(nèi)容過濾模塊,根據(jù)匹配內(nèi)容過濾知識庫中的知識進行評價。由于綜合了各種內(nèi)容過濾知識對網(wǎng)絡(luò)內(nèi)容進行評測,因此可以增強其過濾效果,降低對過濾內(nèi)容的誤判。內(nèi)容過濾模塊的功能具體包括連接管理、分析檢測、過濾和響應(yīng)處理。連接管理用于接管內(nèi)容過濾請求;分析檢測的功能是根據(jù)從內(nèi)容過濾知識庫中獲取對應(yīng)的內(nèi)容過濾參數(shù)進行初始化,掃描網(wǎng)絡(luò)內(nèi)容,解析規(guī)則集合,根據(jù)匹配的規(guī)則進行綜合評價;根據(jù)評價結(jié)果和閾值判斷網(wǎng)絡(luò)內(nèi)容的是否過濾;過濾功能包含了一些常用的內(nèi)容過濾技術(shù),即黑名單、HTTP 驗證、SMTP 驗證、FROM地址合法性檢查、RCPT 地址合法性檢查、簡單內(nèi)容過濾。入侵防護模塊采用完全數(shù)據(jù)檢測技術(shù)(CDI),它能夠掃描和檢測整個OSI 堆棧模型中最新的安全威脅。與其他單純檢查包頭或“深度包檢測”的安全技術(shù)不同,CDI 技術(shù)重組文件和會話信息,以提供強大的掃描和檢測能力。只有通過重組,一些最復(fù)雜的混合型威脅才能被發(fā)現(xiàn)。入侵防護模塊將分散的“威脅索引”信息關(guān)聯(lián)起來分析判斷,以識別可疑的惡意流量,甚至可以在這些流量可能還未被提取攻擊特征之前就予以識別出來。通過跟蹤每一個安全組件的檢測活動,系統(tǒng)還能做到降低誤報率,以提高整個系統(tǒng)的檢測精確度。該方法為檢測未知的新型攻擊提供了有力工具。入侵防護模塊也支持傳統(tǒng)的數(shù)據(jù)流特征與入侵防護知識庫進行匹配。
圖3 監(jiān)控節(jié)點結(jié)構(gòu)
為了補償內(nèi)容過濾、入侵防護技術(shù)帶來的性能延遲,使用硬件芯片為系統(tǒng)提供硬件加速。
5 主機監(jiān)控模塊設(shè)計
主機監(jiān)控模塊實現(xiàn)的功能包括主機入侵檢測、防病毒。主機入侵檢測功能監(jiān)視分析系統(tǒng)、事件和安全記錄。當(dāng)有文件發(fā)生變化時,將新的記錄條目與攻擊標(biāo)記相比較,如果匹配系統(tǒng)就報警。主機入侵檢測對關(guān)鍵的系統(tǒng)文件和可執(zhí)行文件通常進行定期檢查校驗和,以便發(fā)現(xiàn)異常變化。
病毒、蠕蟲、以及其他“危害程序”可以通過電子郵件、或直接通過那些從瀏覽器下載郵件與文件的用戶,進入內(nèi)部網(wǎng)絡(luò)并進行破壞。本文系統(tǒng)采用成熟的技術(shù)合作伙伴卡巴斯基(Kaspersky Labs)。
6 系統(tǒng)評價
在100 Mb/s 局域網(wǎng)內(nèi),分布式信息安全防御系統(tǒng)與性能相當(dāng)?shù)哪硰S商100 Mb/sUTM 進行了相應(yīng)的性能測試。測試工具為Fluke 網(wǎng)絡(luò)測試儀,型號ES2-LAN-SX/I-LRD。本次測試采用網(wǎng)絡(luò)延遲指標(biāo)評價設(shè)備性能的有效性。測試實驗安排10 組,在一定網(wǎng)絡(luò)流量下比較2 組設(shè)備的網(wǎng)絡(luò)延遲,每組實驗取8 次延遲測量的平均值,測試結(jié)果如圖4 所示。從延遲曲線中可看出,當(dāng)網(wǎng)絡(luò)流量不大的情況下(如流量小于40 Mb/s),2 組設(shè)備的網(wǎng)絡(luò)延遲相差不大;當(dāng)網(wǎng)絡(luò)流量增大到一定程度,2 組設(shè)備的網(wǎng)絡(luò)延遲差距增大,且流量越大網(wǎng)絡(luò)延遲差距越大。從延遲曲線中也可以看出,分布式信息安全防御系統(tǒng)的網(wǎng)絡(luò)延遲相對較小,性能較性能相當(dāng)?shù)腢TM要高。
圖4網(wǎng)絡(luò)延遲比較曲線
7 結(jié)束語
分布式信息安全防御系統(tǒng)將安全任務(wù)分到各個不同的節(jié)點上,使得每個節(jié)點所在的位置不同,防御任務(wù)也不同,有效地解決了uTM單點失效的問題,也提高了整個防御系統(tǒng)的性能,較同類型uTM的性能及穩(wěn)定性有了明顯提高。
系統(tǒng)的不足在于如果網(wǎng)絡(luò)管理員對安全策略的部署不當(dāng),可能會造成重疊防御,增加網(wǎng)絡(luò)的額外負(fù)擔(dān)。下一步工作將研究有關(guān)分布式信息安全防御系統(tǒng)的安全策略配置問題。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:分布式信息安全防御系統(tǒng)的設(shè)計與實現(xiàn)
本文網(wǎng)址:http://www.ezxoed.cn/html/solutions/1401932034.html