【摘 要】 从扬州电视台全台网主干平台原有安全防御体系、网络安全主动防御技术思路、网络安全主动防御技术体系、主干平台主动防御机制建立、主干平台主动防御系统应用等方面论述了主动防御技术在扬州电视台全台网主干平台安全防御体系的应用。
【关键词】 全台网主干平台 安全防御体系 主动防御 蜜罐系统
扬州电视台全台网主干平台(简称主干平台)作为所有业务网的中心枢纽,是节目生产的媒体资源交换中心和业务交互信息管理中心,实现各业务网的数据交换和业务交互流程管理,支持多种网络接入方式,支持多种交换形式和文件传输协议,完成对媒体数据内容的转码、迁移等,还负责对所有交换处理资源的集中调度、管理和监控等,主干平台的安全问题是全台网安全的重点。
一.主干平台原有安全防御体系
全台网主干平台包括基础和业务两类支撑平台,通过规范的接口,实现办公网、非编制作网、集中收录网、媒资网以及播出系统的互联互通。主干平台负责提供各个业务板块的接入方式、业务交互方式以及数据交换方式;实现视频素材、图片资料、音乐素材和成品节目跨业务子网资源共享;提供台内网多业务板块之间的业务整合功能,如:流程编排、执行与监控等。一个安全的网络环境是电视台开展多种业务应用的基础,扬州电视台全台网主干平台原有网络安全防御体系采用了访问控制和数据过滤技术,这些防御技术都属于基于特征库匹配检测的被动防御技术。
1.防火墙技术
采用防火墙,通过预设的访问控制规则,阻断来自其他网络的直接入。
2.网闸技术
采用网闸,通过切断所有的TCP/IP连接,实现网络隔离,防范网络攻击。
主干平台与台内办公网采用防火墙+网闸实现互联互通。
采用USB摆渡技术,基于私有协议(也是非TCP/IP传输协议),实现网络隔离,防范网络攻击。
主干平台与播出系统采用防火墙+USB摆渡技术实现互联互通,主干平台与播出系统的这种安全连接方式将送播节目MXF文件通过防火墙以FTP方式传输,杜绝其他端口的打开,并以播出系统拉取的方式导入。ESB消息和送播节目元数据则通过USB摆渡方式连接主干平台和播出系统,实现素材和消息分离传输。
3.防病毒软件
防病毒软件通过数据记录特征库,检测现有的病毒,查杀病毒,防止其他感染和蔓延。
4.原有安全防御体系的不足
主干平台原有的安全防御体系采用的是传统的被动型防御技术,对于未知的攻击行为不能够做出及时有效的响应,只在某种程度上起到安全防护和隔离作用,不能从根本上阻断网络入侵。
被动型防御技术大多都是基于特征库匹配检测的防御技术,这就使网络防御始终落后于网络攻击,难以从根本上解决网络安全问题,表现在:一是防护能力是静态的,二是防护是被动的,三是不能识别新的网络攻击。
图1 主干平台原有安全防御体系网络拓扑示意图
5.采用主动防御技术的必要性
目前主干平台面临的网络安全威胁呈现多元化,已经成为必须面对的安全问题。因此,在采用传统的被动防御技术的基础上,采用主动防御技术对主干平台建立主动防御机制,并将传统的被动防御系统同主动防御系统结合在一起构成多层和纵深的网络安全防御体系非常必要。
网络安全主动防御技术是在增强和保证本地网络安全性的同时,及时发现正在发生的网络攻击,预测和识别未知攻击,并采取各种措施使攻击者不能达到其目的所使用的各种方法和技术,是优化信息网络安全体系建设必要且行之有效的方法。
二.网络安全主动防御技术思路
主动防御技术是指在动态网络安全的基础上用预先检测技术等手段,通过多种路径,接收安全消息,并根据安全消息,分析出安全威胁信息,提前在系统中部署安全措施,抵御未知木马和病毒的攻击,做到主动防御。
主干平台的主动防御技术思路是基于对木马和病毒破坏计算机网络系统机理的分析,将其行为特征值作为判别的基础和出发点,自动模拟反病毒的分析判断过程,从而实现对木马和病毒的主动防御。以主干平台局域网主机为安全系统保护对象,在安全防御体系中部署安全检测、防护措施等安全技术,以策略和管理为核心,利用动态安全体系结构模型作为指导,在各安全系统中部署安全防线,同时在各系统之间利用统一的安全消息模式进行消息共享,从而形成各系统之间多层和纵深的防线,使主干平台整个网络在安全上形成交互的主动防御体系。
三.网络安全主动防御技术体系
网络安全主动防御技术除了包含传统的入侵防护技术和入侵检测技术,还包括入侵预测技术、入侵响应技术等。
1.入侵防护技术
入侵防护技术是主动防御体系的基础,与传统防御基本相同,包括边界控制、身份认证、病毒网关和漏洞扫描等,主要的防护措施包括防火墙、VPN等。
2.入侵检测技术
在主动防御技术体系中,入侵检测是预测的基础,入侵检测和入侵预测是入侵响应的前提条件,入侵检测是在系统防护基础上对网络攻击和入侵的后验感知,入侵检测技术起着承前启后的作用。
3.入侵预测技术
入侵预测技术有基于安全事件和基于流量检测两种预测方法,对网络入侵的预测功能是主动防御技术区别于传统防御技术的一个特征,在网络攻击发生前预测将要发生的入侵和安全趋势,为信息系统的主动防护和响应提供线索,赢得响应时间。
4.入侵响应技术
入侵响应技术是主动防御技术的主要体现,通过对安全事件主动地响应,对检测到的入侵事件进行处理,并将响应结果反馈给防护系统,实现整个主动防御体系防护能力的动态增强。
(1)入侵追踪技术
是确定攻击源精确位置或近似区域的技术,在受保护网络中重建攻击者的攻击路径,主要包括入口过滤技术、链路测试技术、路由器日志技术、ICMP回溯技术和包标记技术等。
(2)攻击吸收与转移技术
如果在检测到攻击发生时直接切断连接,就不能进一步观察攻击者的后续动作,也不利于收集攻击信息。攻击吸收与转移技术能在秒级时间将攻击包吸收到诱骗系统,既可以在不切断与攻击者连接的同时保护主机服务,又可以对入侵行为进行研究。
(3)蜜罐技术
蜜罐系统是一个设定好的陷阱和诱骗系统,是一种用于被攻击的网络防御资源,利用该资源能够捕获并分析入侵者及其攻击信息,并将结论应用到网络防御中,变被动防御为主动防御。应用蜜罐技术这一主动性的入侵响应技术,能够吸引入侵者的攻击,并捕获其在蜜罐系统上的活动数据,以更好地研究入侵者的行为和动机,做到主动防御,通过设置一个与应用系统类似的操作环境,诱骗攻击者,记录入侵过程,及时获取攻击信息,对攻击进行深入分析,提取入侵特征。蜜罐技术提供了一种动态识别未知攻击的方法,将捕获的未知攻击信息反馈给防护系统,实现防护能力的动态提升。
蜜罐系统的关键技术包括:网络伪装:蜜罐系统本身的价值在于被攻陷,如何将蜜罐系统伪装成正常的系统并吸引入侵者攻击是其关键。数据捕获:分为入侵者的前期扫描漏洞、中期尝试入侵、后期离开蜜罐等环节的数据捕获(数据采样)。数据分析:包括网络协议、网络行为和入侵特征分析。数据控制:目的是为了防止入侵者利用攻陷的蜜罐系统作跳板,进而入侵其他正常的系统。
(4)取证技术
取证技术是借助法律手段来解决网络安全问题的基础,通过对网络入侵行为进行记录和还原,借助法律的威慑力来对入侵者施加压力,使其不敢轻易进行入侵。
(5)自动反击技术
自动反击技术是最具主动性的响应技术,通过建立入侵反击行为库来实现对网络入侵行为的自动反击。
5.主动防御技术的优势
与被动型防御技术相比,主动防御技术的优势主要有:
(1)能提供动态防护能力
主动防御具有自学习的功能,可以实现对网络安全防御系统进行动态的加固,而且无需网络管理人员对网络安全设备进行人工配置即可实现。
(2)能提前做好防护措施
采用主动防御技术,对入侵病毒或木马的每一次攻击,能够提前做出防御。
(3)能预测未来攻击形势
可以预测未来的攻击形势,检测未知的攻击,从根本上改变被动防御落后于攻击的不利局面,能识别未知的病毒或木马攻击,预先做好防御措施。
(4)能实时响应网络攻击
主动防御系统能够对网络进行监控,并对检测到的网络攻击进行实时的响应,包括:牵制和转移黑客的攻击,对黑客入侵方法进行技术分析,对网络入侵进行取证,对入侵者进行跟踪甚至反击。
四.主干平台主动防御机制建立
利用主动防御技术建立主干平台主动防御机制,从木马和病毒破坏计算机网络系统的机理出发,将其行为特征值作为判别的基础和出发点,用预先检测技术等手段,通过多种路径,接收安全消息,分析出安全威胁信息,提前在系统中部署安全措施,抵御未知木马和病毒的攻击,实现对木马和病毒的主动防御,主动防御机制包含以下多个层次的多重防护。
1.扫描对资源的访问
通过对一些资源的监控,比如对系统引导区、文件脚本的访问进行内容扫描,自动收集程序进程动作及特征信息,来处理和分析恶意代码,传统杀毒软件就属于此层。
2.控制资源访问规则
通过对系统资源(注册表、进程启动、API的调用、文件系统等)进行规则化控制,阻止恶意病毒程序、木马等对这些资源的使用。
3.程序活动行为分析引擎
该引擎采用程序行为分析技术、模式识别技术和智能修复处理技术,能自动提取特征、自动准确判定新病毒,其中最关键的是行为分析引擎技术,它采用主动防御智能恶意行为判定引擎,通过对病毒危险的行为进行提炼、分析,可以自动识别出并主动有效地防御具有有害动作的已知和未知病毒、木马等恶意程序对计算机的入侵和攻击,无需用户参与。
4.预测新威胁
通过预测新威胁,主动检测、预警、防御已知和未知病毒、木马、恶意代码、间谍程序、危险及破坏程序等对网络主机的入侵和攻击;通过系统安全加固、智能修复等功能增强系统抗攻击和反入侵能力;通过使用过滤检测技术,侦测网络中的新威胁,并对产生相关攻击的路径进行追踪,最大限度地避免病毒、木马入侵,保障网络信息的可靠与安全。
5.动态加固网络信息安全
网络安全主动防御系统凭借其数据监测系统,对网络文件的状态进行实时检测,一旦系统发现文件被攻击,防御系统就会迅速弹出警告窗口记录篡改路径,同时提出解决方案。
6.应用程序白名单策略
主动定制计算机终端能够运行的应用程序并生成白名单,通过安全管理平台根据安全要求制定策略,并对终端操作行为实施控制,使得终端能够防范计算机启动过程中操作系统相关部件的篡改和破坏,保证终端动态服务的真实可信,防范隐匿技术型攻击,根据策略对应用类型加以限制,对病毒、木马、恶意代码进行主动防御,对流氓软件的非法安装和运行进行控制。
7.提供应急处置功能
对网络安全事件进行安全评估,对威胁和攻击事件进行取证,并提供应急处置功能,以有效防止重大信息安全事件的发生。
五.主干平台主动防御系统应用
1.主干平台主动防御系统拓扑
以主干平台局域网主机为安全管理对象,将检测、防护等安全技术部署到安全系统中,并在安全系统采用统一的安全消息共享方式通信,从而形成各系统之间多层和纵深的防线,使整个网络形成交互的主动安全防御体系。
(1)入侵检测系统
如前文所述,在主动防御系统体系中,入侵检测系统(IDS)是一个非常重要的组成部分。具有主动防御功能的人侵检测系统不仅具有较好的防病毒功能,同时还可以抑制攻击源点的通信。外界的流量用IDS做检测,及时发现危险进程并做出报警提示。
(2)蜜罐系统
如前文所述,蜜罐系统是一个伪装的WEB平台,用来诱骗入侵,并记录下入侵者的攻击行为。
(3)安全扫描系统
安全扫描系统负责提取蜜罐系统上的攻击行为记录日志。
(4)漏洞修复系统
漏洞修复系统通过对采集的攻击行为特征进行分析,利用分析结果自动修复IDS入侵特征库的漏洞。
图2 主干平台主动防御系统拓扑示意图
2.主干平台主动防御流程
主动防御技术是通过对程序行为特征进行分析判断,采取实时监测和防护技术,不同于传统的用病毒特征库中的特征码来作为判断程序是否是病毒的依据。
当检测到外界的非法攻击时,IDS的入侵响应模块会依据病毒知识库的系统分析,看能否匹配自己的入侵特征库中的数据,如果IDS找到了匹配的数据,则直接拒绝外部数据的请求服务。如果IDS在入侵特征库中没有找到与之相匹配的数据,则把数据包发送给安全扫描系统。该系统对数据进行分析后判断,如果是可疑代码,则发送给蜜罐系统,如果不是可疑代码,则直接转发数据包到WEB服务器。
图3 主干平台主动防御流程示意图
应尽可能地提供一个有效的伪装环境,蜜罐系统只是一个伪装的WEB平台,没有任何防护措施,安全扫描系统对蜜罐系统进行实时监控,不断地扫描蜜罐系统的系统日志。一旦安全扫描系统发现蜜罐系统被攻击,则立即终止连接,同时修改IDS的入侵特征库,并构造出有针对性的主动响应,包括攻击的防御代码,同时还会通过节点安全策略库,有针对性地动态实时调整本地安全策略。
3.主干平台主动防御系统对各业务网的安全防护
主干平台主动防御系统作为一种动态的网络安全防护手段,通过对网络信息进行分析维护,能够对威胁进行预先估计,同时检测外部数据包并做出及时响应,最终通过设置伪装环境诱骗来对网络敏感信息进行保护。
(1)超前防御攻击
主干平台是各业务网实现数据交换的枢纽,主动防御机制是一种超前性防御,通过实施超前防御措施,使攻击者无法完成对目标的攻击,使系统在无需人为响应情况下预防安全事件,从而完成对各业务网的防护。
(2)动态跟踪全程监视
主动防御系统对程序运行进行动态跟踪、全程监视,在发现程序有破坏动机和攻击时,即时提醒用户,随即采取措施,进行判断或直接终止危险进程的执行。
(3)主动判断安全情况
主动防御系统通过风险评估、态势感知、安全检测等手段对当前安全情况进行主动判断,依据判断结果来实施网络安全主动防御,有效降低各业务网的安全风险。
六.结语
扬州电视台全台网主干平台通过将主动防御系统与被动防御系统结合使用,构成了多层和纵深的网络安全防御体系,该防御体系不仅大大提升了全台网主干平台整个网络运行的安全性,而且也使全台网主干平台防范、应对新的未知病毒、木马等恶意程序攻击的能力得到了明显提高。
参考文献:
[1]许波勇.网络攻击的成因及防范剖析[J].办公自动化,2012,(02):19-21
[2]卢文杰.网络安全主动防御技术[J].网络安全技术与应用,2015,(04):35-37
[3]扬州广电集团(总台).主干平台系统高清化升级改造项目技术报告[R].2014年版.江苏:扬州广电集团(总台),2014年.