论文部分内容阅读
从宏观的角度来看今后网络的发展,无论是微软公司的.Net、SUN公司的Sun One,还是Novell的OneNet平台战略,都是通过网络把所有的资源整合在一起,其核心思想就是“信息无边界”。这种大规模、高度分布的无边界网络系统的特点是没有全局管理控制,任何一个单独节点没有关于整个网络的拓扑结构和功能的全面信息。这种信息系统,通过对组织的进一步高层次集成,可以提高组织的工作效率和经济效益,但与此相伴的则是受到更严重的侵扰和损坏的威胁。因此,必须要有相应的策略,保证那些关键的部分可以幸免于难,维持最基本的服务,这实际上是一个系统的生存力问题。生存力的含义就是系统在面对攻击、失败及事故时,继续维持最基本的服务和保护最有用的资源,实现其工作任务和商业目标,并在攻击、失败及事故后及时恢复全部服务和资源的能力。这是一个新的思想,它将计算机安全与商业风险管理结合在一起,不仅着眼于在系统受到攻击等情况下抵抗计算机入侵者,而且保证商业目标的实现和有决定性的商业活动的持续。与传统的安全方法不同,生存力主要针对大规模、高分布的无边界网络环境。
一、改进系统结构的方法模型
系统的生存力要求系统结构对可能的攻击模式有充分的弹性,对可能威胁企业的攻击进行合理的评估,不是简单地集成一个流行的安全软件。软件领域公认的准则是结构决定性能。结构与性能的关系可由常规情景和常规组件来表示。常规情景用刺激和反应来实现性能要求。将组件作为实现性能的结构设计组元的思想正符合可生存系统要求。在系统结构中反复引入组件,权衡整体功能,以应对各种各样的攻击。这些满足系统生存力情景的组件,也正是生存力思想的特色所在。
图1显示了改进系统结构的方法模型 一个反复的风险驱动型的过程,采用螺旋模型的架构。这里讨论的并非整个开发过程,而是与结构改进有关的和系统生存力相关的部分。首先是问题定义阶段,随后的三个阶段分别代表对基于网络的、基于应用程序的和针对数据的不同攻击类型的分析。基于网络的攻击,即对通信的基础设施和支持服务的攻击,常见的抵抗组件有防火墙虚拟专用网络和网络入侵监测。基于应用程序的攻击,即对系统应用程序组件的攻击,这些组件多为商业现货软件,产品本身存在漏洞,同时用户操纵和管理上的失误也增加其脆弱性。针对数据的攻击,其攻击目标随系统设计和事件处理的不同而不同,受攻击点可能存在于基本的工作流、应用程序的设计、协同工作的拓扑结构或管理控制系统中。每个阶段的攻击都对应于不同的生存力情景,且每个阶段都涉及生存力风险的分析和认识,进而不断改进系统结构。
每个阶段都成一个环(或者说一个周期),包括4个子阶段。每个环都开始于象限I的入侵方式建模,经历象限Ⅱ生存力风险分析和象限Ⅲ生存力计划,最后结束于象限Ⅳ。我们主要的威胁来自于对这些最基本服务的破坏。在象限Ⅳ中,我们用工作流的方式描述最基本服务。每一次对于象限Ⅳ所确定的系统结构,象限I的攻击树又将详尽地列出可能威胁到系统生存力的攻击方式。风险分析就是确定那些最有可能造成重大损害的潜在的入侵方式。象限Ⅲ中将比较那些基于组件的解决方法。最后确定一个特定的可抵抗,识别攻击,并在攻击后恢复的方法。象限Ⅳ中将该基于组件的方法集成到系统结构中去。
在这个模型中,上一个环的结束并非一定紧接着下一个环的开始。一个环对结构的改变可能需要重复前一个环的工作。为了简化,这种类型的反复操作在下面的应用例子中将忽略。但是我们必须要认识到在实际的结构改进过程中,这些反复操作是会经常发生的。
二、在电子商务中的应用
在电子商务中,其工作流分成需求方和供应方丙部分。那么如何利用无边界网络系统结构,抵抗基于网络的攻击、基于应用程序的攻击以及针对数据的攻击?
1.抵抗基于网络的攻击
基于网络的攻击是以网络本身或可直接访问的网络节点为攻击目标,也包括对公开的通讯端口的扫描。系统结构如没有对供应方和需求方之间通信连接的保护,和需求方交易合法性的确认,这种结构是很脆弱的。
抵抗这种攻击的主要目标是限制攻击者对系统的访问性和可见性。系统结构从外部的视角隐藏了供应方和需求方内部的工作流。所有在提交给内部网络处理前的输入信息都要被仔细检查。同时对公开组件执行合法的连接时,要用加密技术保护网络通信,监测网络流量。边界控制器用来过滤传入通信,使得外部信息只被特定的端口接受。网络入侵监测用来扫描对网络拓扑结构的攻击。通过权限认证保护供应方和需求方交易通道和用户权限。如图2所示,安全通道保护了供应方和需求方之间的网络通信和供应方系统的通信端口。边界控制器支持基于网络的入侵监测和端口过滤。通过增加额外的Web服务器,可以有足够的能力处理预期需求,应对攻击。
2.抵抗基于应用程序的攻击
基于应用程序的攻击是利用应用程序的公开漏洞。对于商业现货类应用程序,攻击者可以找到一些用支持技术开发的系统漏洞,也会利用用户输入处理中的失误。Web服务器也常是攻击的目标。在电子商务系统中,一个攻击者能够利用应用程序中的漏洞获取访问权限,也能够找到供应方内部系统的漏洞。当一个基于应用程序的攻击主要目标是威胁内部网络时,Web子系统的攻击成功意味着将导致对其它子系统的深入攻击。
抵抗这种攻击的主要目标就是使整个系统有良好的配置管理,最新的操作系统,最新的应用程序和系统组件的补丁。为应对已获取访问权限的攻击者,标准方法是在图3所示的Web服务器(包括其相关的应用程序)和供应方内部网络之间加第二道防火墙,这样形成了一个非军事区(DMZ)。非军事区的边界控制器照常进行基于端口的访问控制,不过现在主要是针对从Web服务器到内部网的访问。
3.抵抗针对数据的攻击
这类攻击主要针对交易中的数据流。目标是截取机密信息,或通过大量的请求与命令使系统过载,或破坏数据的完整性等。
造成的破坏程度取决于需求方合法交易的复杂程度。一般来说,复杂性越高,攻击对它造成的破坏也越大。同时,如果非军事区只是以端口和URL过滤为基础,那攻击者就可能较容易伪装成其它已知需求方。
应对这类攻击的结构改进要联系系统的应用逻辑。电子邮件可在邮件网关处被扫描,作为边界控制器的一部分,也可以发生在邮件服务器和客户端上。结构的改进还包括对数据访问的更严格控制,对数据库操作的定期分析,以及对工作流和恢复技术的重新设计,使得可自动取消经过多层系统的交易请求。图4的结构中添加了新的组件以实现对数据访问的控制。使用额外的后台数据库以支持文件备份和对信息的一致性检验。完善访问控制策略,限制和拒绝恶意的用户对数据的修改。在数据库中置入欺骗信息以误导攻击者。Web服务器可使用代理服务器,或者置于非军事区内,这样可以限制对Web服务器内容和脚本的攻击。在发现可疑的活动后,边界控制器的过滤原则相应作调整。▲
参考文献1 Robert J.Ellison, Andrew P.Moore.Architectural Re·finement fOr the Design Of Survivable Systems.http://WWW.cert.org/archive/pdf/01tn008.pdf2 Bass,L·,Klein,M·,Bachmann,F..Quality AttributeDesign Primitives(CMU/SEI—2000—TN—017, A-DA392284).Pittsburgh,PA:Software Engineering lnsti-tute,Carnegie Mellon University,20003 Boehm,B..A Spiral Model Of Software Development andEnhancement. IEEE Communications, 1988, 21(5):61—724 Elhson,R.J.,Fisher,D.A,Linger,R.C,Lipson,H.J,Longstaff,T.A,Mead,N.R..Survivable Network Sys·tems: An Emerging Discipline(CMU/SEI—97—TR—013,ADA341963).Pittsburgh,PA:Software Engineeringlnstitute,Carnegie Mellon University,1997,revised 1999
(作者单位: 同济大学管理信息学院 上海200092)
一、改进系统结构的方法模型
系统的生存力要求系统结构对可能的攻击模式有充分的弹性,对可能威胁企业的攻击进行合理的评估,不是简单地集成一个流行的安全软件。软件领域公认的准则是结构决定性能。结构与性能的关系可由常规情景和常规组件来表示。常规情景用刺激和反应来实现性能要求。将组件作为实现性能的结构设计组元的思想正符合可生存系统要求。在系统结构中反复引入组件,权衡整体功能,以应对各种各样的攻击。这些满足系统生存力情景的组件,也正是生存力思想的特色所在。
图1显示了改进系统结构的方法模型 一个反复的风险驱动型的过程,采用螺旋模型的架构。这里讨论的并非整个开发过程,而是与结构改进有关的和系统生存力相关的部分。首先是问题定义阶段,随后的三个阶段分别代表对基于网络的、基于应用程序的和针对数据的不同攻击类型的分析。基于网络的攻击,即对通信的基础设施和支持服务的攻击,常见的抵抗组件有防火墙虚拟专用网络和网络入侵监测。基于应用程序的攻击,即对系统应用程序组件的攻击,这些组件多为商业现货软件,产品本身存在漏洞,同时用户操纵和管理上的失误也增加其脆弱性。针对数据的攻击,其攻击目标随系统设计和事件处理的不同而不同,受攻击点可能存在于基本的工作流、应用程序的设计、协同工作的拓扑结构或管理控制系统中。每个阶段的攻击都对应于不同的生存力情景,且每个阶段都涉及生存力风险的分析和认识,进而不断改进系统结构。
每个阶段都成一个环(或者说一个周期),包括4个子阶段。每个环都开始于象限I的入侵方式建模,经历象限Ⅱ生存力风险分析和象限Ⅲ生存力计划,最后结束于象限Ⅳ。我们主要的威胁来自于对这些最基本服务的破坏。在象限Ⅳ中,我们用工作流的方式描述最基本服务。每一次对于象限Ⅳ所确定的系统结构,象限I的攻击树又将详尽地列出可能威胁到系统生存力的攻击方式。风险分析就是确定那些最有可能造成重大损害的潜在的入侵方式。象限Ⅲ中将比较那些基于组件的解决方法。最后确定一个特定的可抵抗,识别攻击,并在攻击后恢复的方法。象限Ⅳ中将该基于组件的方法集成到系统结构中去。
在这个模型中,上一个环的结束并非一定紧接着下一个环的开始。一个环对结构的改变可能需要重复前一个环的工作。为了简化,这种类型的反复操作在下面的应用例子中将忽略。但是我们必须要认识到在实际的结构改进过程中,这些反复操作是会经常发生的。
二、在电子商务中的应用
在电子商务中,其工作流分成需求方和供应方丙部分。那么如何利用无边界网络系统结构,抵抗基于网络的攻击、基于应用程序的攻击以及针对数据的攻击?
1.抵抗基于网络的攻击
基于网络的攻击是以网络本身或可直接访问的网络节点为攻击目标,也包括对公开的通讯端口的扫描。系统结构如没有对供应方和需求方之间通信连接的保护,和需求方交易合法性的确认,这种结构是很脆弱的。
抵抗这种攻击的主要目标是限制攻击者对系统的访问性和可见性。系统结构从外部的视角隐藏了供应方和需求方内部的工作流。所有在提交给内部网络处理前的输入信息都要被仔细检查。同时对公开组件执行合法的连接时,要用加密技术保护网络通信,监测网络流量。边界控制器用来过滤传入通信,使得外部信息只被特定的端口接受。网络入侵监测用来扫描对网络拓扑结构的攻击。通过权限认证保护供应方和需求方交易通道和用户权限。如图2所示,安全通道保护了供应方和需求方之间的网络通信和供应方系统的通信端口。边界控制器支持基于网络的入侵监测和端口过滤。通过增加额外的Web服务器,可以有足够的能力处理预期需求,应对攻击。
2.抵抗基于应用程序的攻击
基于应用程序的攻击是利用应用程序的公开漏洞。对于商业现货类应用程序,攻击者可以找到一些用支持技术开发的系统漏洞,也会利用用户输入处理中的失误。Web服务器也常是攻击的目标。在电子商务系统中,一个攻击者能够利用应用程序中的漏洞获取访问权限,也能够找到供应方内部系统的漏洞。当一个基于应用程序的攻击主要目标是威胁内部网络时,Web子系统的攻击成功意味着将导致对其它子系统的深入攻击。
抵抗这种攻击的主要目标就是使整个系统有良好的配置管理,最新的操作系统,最新的应用程序和系统组件的补丁。为应对已获取访问权限的攻击者,标准方法是在图3所示的Web服务器(包括其相关的应用程序)和供应方内部网络之间加第二道防火墙,这样形成了一个非军事区(DMZ)。非军事区的边界控制器照常进行基于端口的访问控制,不过现在主要是针对从Web服务器到内部网的访问。
3.抵抗针对数据的攻击
这类攻击主要针对交易中的数据流。目标是截取机密信息,或通过大量的请求与命令使系统过载,或破坏数据的完整性等。
造成的破坏程度取决于需求方合法交易的复杂程度。一般来说,复杂性越高,攻击对它造成的破坏也越大。同时,如果非军事区只是以端口和URL过滤为基础,那攻击者就可能较容易伪装成其它已知需求方。
应对这类攻击的结构改进要联系系统的应用逻辑。电子邮件可在邮件网关处被扫描,作为边界控制器的一部分,也可以发生在邮件服务器和客户端上。结构的改进还包括对数据访问的更严格控制,对数据库操作的定期分析,以及对工作流和恢复技术的重新设计,使得可自动取消经过多层系统的交易请求。图4的结构中添加了新的组件以实现对数据访问的控制。使用额外的后台数据库以支持文件备份和对信息的一致性检验。完善访问控制策略,限制和拒绝恶意的用户对数据的修改。在数据库中置入欺骗信息以误导攻击者。Web服务器可使用代理服务器,或者置于非军事区内,这样可以限制对Web服务器内容和脚本的攻击。在发现可疑的活动后,边界控制器的过滤原则相应作调整。▲
参考文献1 Robert J.Ellison, Andrew P.Moore.Architectural Re·finement fOr the Design Of Survivable Systems.http://WWW.cert.org/archive/pdf/01tn008.pdf2 Bass,L·,Klein,M·,Bachmann,F..Quality AttributeDesign Primitives(CMU/SEI—2000—TN—017, A-DA392284).Pittsburgh,PA:Software Engineering lnsti-tute,Carnegie Mellon University,20003 Boehm,B..A Spiral Model Of Software Development andEnhancement. IEEE Communications, 1988, 21(5):61—724 Elhson,R.J.,Fisher,D.A,Linger,R.C,Lipson,H.J,Longstaff,T.A,Mead,N.R..Survivable Network Sys·tems: An Emerging Discipline(CMU/SEI—97—TR—013,ADA341963).Pittsburgh,PA:Software Engineeringlnstitute,Carnegie Mellon University,1997,revised 1999
(作者单位: 同济大学管理信息学院 上海200092)