原标题:周四 网安资讯
1、数据安铨及隐私保护在智能电网中的应用研究
随着信息技术在电力领域的深入应用智能电网深度融合了传统电网和云计算、人工智 能等技术,智能控制中心可以采集并分析海量用户的各种信息做出提高收益的决策。然而随着 智能电网开放性的增加用户的各种信息以及隐私性媔临着安全隐患。智能电网具有复杂、强耦合、 强相关等特性在这种背景下研究用户的数据安全及隐私保护有重要的现实意义。数据聚匼技术 在加密用户数据后再进行聚合比传统的聚合方法成本更低、效率更高;群签名可以验证用户身份, 保护用户隐私,并且最小化通信開销
关键词:数据安全;隐私保护;数据聚合;群签名;智能电网
1 智能电网的数据安全及隐私问题
2 基于数据聚合技术的隐私保护方案
3 基于群签名技术的保护方案
智能电网通常会实时监控智能电表的数据,并 远程采集后存放在云端;智能电表中含有用户的身 份信息、實时数据等隐私内容这些在云端的数据 如果不加以控制的话会造成智能电网用户隐私数据 的泄漏。
智能电网的数据安全及隐私问题
随着雲计算技术、人工智能技术、大数据技术 等在电力领域的不断深入应用智能电网也越来越 向智能化、自动化发展。然而这种智能电网嘚应 用需求使用户逐渐暴露于日益增长的数据安全及隐 私泄露威胁下。
作为一个复杂并且高度耦合的专业系统智 能电网的数据安全建设臸少需要满足以下要求:
(1)可用性。需要确保电力系统数据的正常使用 一旦出现可用性问题,会导致电力系统丧失智能性, 难以全面正確地感知电网的运行状态
(2)完整性。电网内部的数据如果未经授权不能被随意修改, 避免电力系统中的数据被恶意破坏、篡改否則的 话会因为无法及时检测到电网中潜在的安全风险。
(3)隐私性在智能电网各业务系统服务的全流 程中,要确保用户的隐私数据不会被泄露给未授权 用户;另外数据所有者可以任意支配其数据用户 的隐私信息一旦被恶意第三方获取,就可能会被用 来实施进一步的非法目的
和传统电网中各业务模块的独立性不同,智能 电网中发电、输电、配电以及用电各个环节的联系 更加紧密电力系统整体层面上,電力系统的安全 稳定运行以及数据隐私问题是智能电网的两大核心 问题虽然智能电表在实时传输用户端的用电情况、 发布供电侧的发电凊况等应用广泛,但硬件设备的 限制使其在进行高强度的加解密计算时受到一定的 限制因而面临很大的脆弱性,容易受到安全性攻 击叧外,电力系统内在传输数据时也会借助公用 网络这也给外界攻击者带来机会。
基于数据聚合技术的隐私保护方案
智能电网通常借助高級测量体系(Advanced Measurement Infrastructure, AMI )实现用户端智能 电表数据的釆集、监控以及上传等操作AMI主要 包括用户网关、智能电表等设备,如图1所示
图1高级测量体系(AMI)结构
智能电网中有众多的用户类型,而且涉及到多 种业务系统所以其信息网络很有可能面临安全威 胁。针对智能电网用户侧的攻擊类型:
(1) 内部攻击主要通过设备伪装、恶意中间实体等方 式,伪造或篡改用户数据从而产生安全威胁。
(2) 外部攻击针对包括智能电表在内的各种通信终端 进行主动的窃听、故障攻击,窃取用户数据
(3) 其他攻击。诸如拒绝服务攻击、重放攻击等在内的 攻击方式其目的不是获取数据,而且使智能电表 等设备不能正常使用
智能电表中的数据主要有:智能电表用户身份 信息、电表用电总量数据、用电实时数据等。用电 总量数据一般不会对用户隐私产生影响但实时用 的数据会导致个人隐私信息泄露,外部恶意人员一 旦掌握了电表的用户身份信息以及实时用电数据 就能够间接的推测用户的电器使用情况及实时活动 信息,从而危及用户的财产安全另外,如果攻擊 人员恶意地伪造或篡改大量用户的隐私数据就有 可能严重影响智能电网的安全稳定运行。
为了解决高级测量体系(AMI)中智能电表的 数據安全及用户隐私问题可以设计一种智能电表 的数据安全模型,以某智能电网用户小区作为基本 组成单元;此数据安全模型的主要组成蔀分包括明 通信信道、可信第三方(Trusted Third Party,TTP)、控制中心(Control Center, CC )、聚合器 以及智能电表如图2所示。其中的通信信道包括 无线信道以及有线信道两種由于需要保证数据的 安全性以及私密性,因此控制中心与聚合器以及可 信第三方之间进行通信时都是使用有线信道传输数 据
聚合器鉯及可信第三方必须通过控制中心连接 起来,控制中心充当了智能电网中采集信息、反馈 信息的作用可信第三方的作用是管理AMI安全数 据模型通信过程中的密钥。聚合器连接了控制中心 以及智能电表在收集到智能电表的数据后,将其 发送到控制中心同时也会执行控制中惢反馈的控 制信号,如果聚合器不能处理此控制信号则转发给 智能电表
智能电表会把用户的用电信息发送给聚合器, 在较短时间内的累積后得到一段时间内的实时用电 数据这一数据泄露的话有可能影响用户隐私,因 此需要进行重点保护为了保证用户数据在从智能 电表傳输给聚合器的过程中不存在安全问题,需要 在发送给聚合器前先进行用户数据的验证和加密聚合器每隔一段时间都会对接收到的聚合區域内的 所有智能电表的用户加密数据再次进行加密,然后 才会发送给供电公司供电公司接收到的聚合后数 据在经过身份认证后,需要進行用户数据的分析、 挖掘然后把对应的控制信号等信息反馈给用户处 的智能电表。
上述用于保护用户隐私的安全数据模型中虽 然控淛中心与聚合器以及可信第三方之间的有线通 信信道都是安全可靠的,但是涉及到无线通信的通 信信道都存在一定的安全隐患随时有可能被恶意 第三方攻击。在分析智能电表可能受到的攻击类型 后可以对上述模型进行改进,使其可以实现的安全目标满足:
(1)双向认证智能电表在加入 安全数据模型系统之前需要先进行身份认证,这样 做的目的是防止恶意第三方骗取隐私数据;如果认 证不通过则不允許接入到安全数据模型系统中。
(2)数据的机密性和完整性实体间传输数据时 需要进行加密,防止未授权实体访问用户的用电数 据、控淛信号等隐私信息
(3)高效率的同时保 护隐私数据。加密数据所使用的秘密算法不仅要能 保证用户数据安全还应该具有较高的效率,茬加 密的同时不能增加智能电表的开销
为了达成上述目标,使用安全数据模型保护用 户隐私数据的方案是基于这样的假设:恶意攻击人 員只有在同时获取到智能电表的用户身份以及实时 数据才能进行攻击只获取到任一因素都难以对用 户隐私产生威胁。因此在使用上述咹全数据模型 包含用户隐私时是针对智能电表的实时数据,间接 实现了用户侧智能电表的隐私保护
每个新增加的智能电表在加入到安全模型之 前,需要先向控制中心注册注册过程实现了对智 能电表的身份认证。首先智能电表通过内置的算 法生成自身的具有唯一标识的紸册信息;然后加 密注册信息,并进行哈希计算得到消息的验证码 MAC;把加密消息以及验证码同时发送给聚合器聚合器接收到消息后,通過控制中心转发给可信第 三方第三方重新计算消息的校验码,如果此校验 码和MAC不一致则拒绝注册请求如果一致就通 知控制中心核验注冊。
基于对称加密算法及数据聚合技术的隐私保护 方案先把用户的隐私数据加密然后再进行聚合, 比传统的基于公钥算法的数据聚合方法成本开销更 低、效率更高
基于群签名技术的保护方案
通常情况下,基于椭圆曲线算法的群签名方 案的基本原理:
(1)初始化在一个囿限域 上定义椭圆曲线,并生成椭圆曲线的基点;然后定 义一个可以将椭圆曲线上的点进行变换的函数
(2 )加入成员。为请求加入的成員A产生公私钥 对并发送给群管理者;群管理者B给用户A发 送一个用于盲化身份的密钥,用户B使用此密钥签 名;然后群管理者B对群内成员唍成同样操作。
(3)产生群签名成员A在发送消息前,对消息 进行签名并把此签名发送给验证者。
(4)验证签名签名验证者首先验证簽名者(成员A )是否 是合法的签名者;如果是则确定其收到的签名确实 是成员A对消息的合法签名,否则签名验证不通过
(5 )签名者身份縋踪。在出现签名争执的情况下 需要追踪签名用户的身份;在必要的时候,还需要 撤销群成员资格
基于椭圆曲线的群签名方案在签名長度、签名 验证的计算量等方面效果很好,但是也存在一定的缺陷:
(1)成员撤销算法本身在安全性上有一 定的问题而且撤销过程也比較繁琐;在撤销成员 时,成员撤销前的所有签名都会成为非法状态也 就是说是前向不安全的。
(2)签名验证者的安全 性虽然签名验证鍺可以按照安全协议的要求进行 签名验证,但他可以把签名认证信息和签名中的公 钥联系起来从而能够打开之前的签名和新产生的 签名,也就是说基于椭圆算法的群签名机制具有弱 匿名性
结合智能电表用户隐私数据在应用时的特殊性,可以修改传统的基于椭圆算法的群簽名方案:
(1)可以把地域作为智能电表建立群体的要素 在对智能电表进行分组时,同一小组的用户使用一 个公共的******验证成功即可认为是合法的用 户;在进行签名验证时,需要借助此组内部所有用 户的公钥从而避免用户的签名被签名验证者打开 后进行签名身份的链接盗用。
(2)用数据加密标 准(Data Encryption Standard, DES )等对称加密算 法加密用户的隐私数据以及控制信号等信息这样 一来就只有控制中心在解密后获取到相关参数;然 后,控制中心把参数提交给高群管理者进行用户追 踪在这一过程内,群管理者对控制中心负责而 控制中心对用户负責。
使用改进后的群签名机制保护智能电表的基 本原理:
(1)初始化定义椭圆曲线,并构 造椭圆曲线的点变换函数;另外还需要生成群 管理者以及控制中心的公私钥对。
(2)加入新用 户在加入电网之前,新用户需要把自身的公私 钥对发送给群管理者在群管理者核验唍用户的身 份后会向用户颁发进群的***。控制中心根据用户 端电表所处的区域把新用户划分到相应的组中。
(3)群管理者对群中的所囿成员完成上述操作 然后从控制中心处获取分组信息,发送相应的密钥 给组内的所有用户
(4)采集实时用户数据。组 内的各智能电表都需要将自身的实时数据发送给控 制中心控制中心在收到用电量的签名后首先验证 ***的合法性,验证通过后再验证签名的正确性
(5)如果对用户身份信息存在争议,则需要追踪 签名者控制中心将追踪参数发送给群管理者,群 管理者经过相应计算后从保存的数据Φ恢复签名者 的身份并反馈给控制中心。
在用户加入阶段如果攻击者想要获取用户隐 私数据,则需要解决椭圆曲线离散对数问题和哈唏 算法同时还需要知道加密过程中使用的随机数, 这三个限制条件使得在短时间内破解用户的隐私数 据是不可能的所以可以认为用户簽名在被群管理 者打开之前是满足安全条件的。另外对于任意两 个签名,攻击者也不能确定是否是由同一个签名者生成的因而满足不鈳链接性的安全要求。
本文对智能电网中用户面临的数据安全问题 进行研究研究了数据安全方案在保护用户隐私等 方面的应用。首先說明智能电网中用户面临的数 据安全及隐私泄露问题;接下来,介绍了基于数据 聚合技术的保护方案以及基于群签名技术的保护方 案对數据安全及隐私保护技术在智能电网中的应 用研究有一定的帮助。
2、应对网络威胁 国家应提前为未来战争做规划而不是限于眼前
为了保持技术的领先地位并领先于新兴的对手美国网络司令部正试图加强与商业技术领域的伙伴关系。
Sulmeyer)认为各单位与政府合作不仅是成功维护網络空间安全的必要条件,而且对于双方来说是互惠互利的事情
“鉴于当下的情况——最具创新性的一些想法总是存在于在美国一些科技公司的办公室里,如果我们不寻求与他们建立合作关系那就是目光短浅。”这样的伙伴关系应该是自愿的——公司可以自己决定是否鉯及何时与网络司令部进行合作——与科技公司合作一直是网络司令部的首要任务之一”他们写道。“许多领先的美国公司处于网络空間竞争的前沿尽我们所能与他们进行协同工作,有利于我们改善集体防御能力并保持领先于对手。随着各种技术的不断进步这种合莋变得越来越重要。”
在爱德华?斯诺登(EdwardSnowden)披露了有关全球间谍活动的细节后为促使私营部门和硅谷恢复其良好风范,网络司令部(CyberCommand)和美国國家安全局(NSA)进行了为期一年的巡回活动领导人在主要的黑客会议上发表讲话,频繁的旅行去硅谷平息公众担忧和招募公司使其重新站箌自己身边,当时网络指挥官和美国国家安全局局长迈克尔·罗杰斯(Michael Rogers)提到:“理想的合作伙伴关系能为双方都创造价值形成互惠共贏的局面”。
为达成这种互惠关系网络司令部和美国国家安全局的行动之一,就是公开披露在行动中发现的敌人活动和恶意软件网络司令部在VirusTotal上发布恶意软件,美国国家安全局(NSA)通过其新的网络安全理事会发布公告试图使用各种力量将对手使用的这些工具进行销毁,并警示企业为客户修补系统
中曾根康弘在网络司令部任职期间就一直试图扩大合作伙伴关系。然而私营部门的伙伴关系不仅仅是让企业囲享信息和系统这么简单,而是涉及很多方面
大西洋理事会网络国家方略倡议主任Trey Herr告诉C4ISRNET媒体:“网络司令部正在寻求与一些供应商和实體建立良好的关系,以实际供应和维持其部门运营司令部还寻求一些伙伴来实现常规的防御功能。还有部分司令部的合作伙伴单位其基础设施很可能成为网络通信的运作场所,目标是在司令部的网络范围之外进行防御”Herr解释说,“网络司令部的工作部署遇到了一些困難要执行它既定的行动,它必须在许多国外公司的网络上运行而这些行动很多都没办法成立,这涉及了很多复杂的现实因素”政府確实需要这些公司的帮助来执行一些最重要的业务。
“如果没有私人和公共部门之间的密切合作很多攻击性和防御性的网络行动政府都無法进行,包括打击外国对内网的干涉安全和技术研究所正利用很多公司的技术保护控制系统,当下疫情的影响和扩散使得这种保护比鉯往任何时候都更重要”安全和技术研究所的首席执行官菲利普?莱纳(Philip Reiner)告诉媒体。该单位希望通过弥合企业和政府之间的分歧帮助解决国家安全问题。当然军方已经认识到,它需要私营企业来武装它的战士建立起指挥作战系统。
“军队的成功之处在于他们采鼡了提前为未来战争做规划的新技术,而不是囿于眼前或以往的战争网络司令部致力于与私营部门合作,利用他们的新兴技术
网络安铨领域最优秀、最聪明的人才往往存在于私营部门,正如一些观察人士所记录的那样美国国防部在过去几年里错失了很多良机,“错过叻商业太空革命”它错过了云计算,错过了现代软件开发的到来忽略了数据中心,它错过了人工智能和机器学习的崛起”参议院军倳委员会前主任克里斯蒂安·布罗斯(Christian Brose)在《杀戮链:在高科技战争的未来捍卫美国》(the
Herr补充说,企业安全团队与网络司令部之间应该有定期的通信与交流“公司和机构的安全架构是可能被军事或政府部门采用的,所以他们需要更好地了解国家安全问题” Herr也曾在国家安全委员会和國防部任职
Herr说,未来十年的攻击性网络安全威胁必须被公开讨论同样,像网络司令部这样的实体与私营公司之间应该存在什么关系怹们该担起什么责任,这些问题也值得我们共同探讨
3、针对工业控制系统的风险评估的典型流程
作为工控安全从业人员,需要先于攻击鍺发现工业控制系统中的脆弱点将脆弱信息上报给生产厂商,并在攻击者利用漏洞发起攻击前交付修补建议以及缓解措施提供安全解決方案,避免网络攻击风险
与传统Windows系统相比,评估工业控制系统的方法明显不同关键区别在于工业控制系统的异构性。换句话说有哆个协议,多个供应商和多个硬件配置这种异构性使得风险利用程序的开发在某些情况下容易得多,而在其他情况下则更具挑战性
在進行漏洞利用开发之前,必须先了解工业控制系统由于工业控制系统的介绍不是本文的重点,所以进行略过
在工业控制系统中,风险評估有6个基本的步骤:
与典型的PC系统和网络不同评估工业控制系统的攻击时,您必须首先确定目标拥有数十种协议和供应商,您首先需要确定目标是什么该目标可以是诸如MODBUS之类的协议、西门子S7-1200之类的特定PLC或诸如石油管道行业之类的特定行业等。
如果选择针对某个行业则需要对该行业使用的系统,协议和PLC进行更多研究因此,例如如果您瞄准的是石油管道行业,则需要进行研究才能知道使用PROFIBUS协议的Honeywell PLC茬该行业中最受欢迎
在大多数情况下,制造商以PDF格式在线发布其文档以向开发人员和客户提供必要的信息。这些文档可以帮助您了解系统应该执行的操作同时这些文档也可以作为风险评估信息获取的丰富资源。
例如风险评估的工控设备对象为西门子S7-1200,西门子在其网站上提供了大量文档 864页的手册提供了有关此广泛使用的PLC内部运行的详细信息。仔细研究它以获取有关此系统中可能存在的风险点尤其昰有关设备配置,基本和扩展指令通信和Web服务器的部分。几乎每个制造商都提供类似详细的在线操作手册
3列出可访问的接口并确定其優先级
在大多数情况下,目标将至少具有一个用于通信和管理系统的接口这些接口可以是TCP套接字,传感器USB端口或任何信息进入或离开系统的方式。在一些罕见的情况下目标可能完全离线,这会增加攻击利用的困难但并非不可能被攻击(记住,Stuxnet的目标是位于纳坦兹离線的伊朗铀浓缩设施)
大多数的工业控制系统都是采用TCP套接字进行通讯的,可以考虑将这个入口点作为风险引入因素之一
一旦有了接ロ的列表和优先级,现在就可以开始针对系统进行风险评估了此阶段为关键步骤,可能是最耗时的可以通过至少三种方法进行,其中鈳能需要一些高级技能这些方法包括:
模糊测试是在接口上发送大量随机数据并观察系统反应的过程。这通常是由模糊测试程序(如PowerfuzzerPeach,Aegis或Defensics)执行的自动化过程
通过发送随机数据,如果能找到一个破坏应用程序或系统的字符串则可能为系统存在的风险点。破坏系统的芓符串有可能被用作拒绝服务攻击并可能导致其他风险。终极目标是可以导致缓冲区溢出从而远程代码执行。
在了解通讯协议的网络數据报文格式的情况下可以通过编写数据模板,有目标的进行风险评估并验证
不运行代码的情况下打开和分析二进制文件。通过这种方式可以深入了解代码的实际作用这通常需要反汇编程序,例如IDA Pro
有时运行代码才可以了解其功能。这就是动态二进制分析的用武之地在静态二进制分析中可以使用像IDA Pro这样强大的反汇编程序。在动态二进制分析中需要一个允许代码运行并使其能够在断点处停止的工具鉯分析正在执行的指令以及各个内存位置的指令。这些工具称为调试器诸如IDA Python和Immunity之类的工具就是出色的调试器。
调试工具可以让代码在其環境中跟踪运行在关键点处进行研究和分析汇编代码,然后检查关键内存位置中的内容在此过程中发现代码中的缺陷往往能够破坏系統。
风险脆弱点验证并进行结果评估
针对接口测试过程中的用例进行结果确认发现系统中至少一个安全风险,有些风险会导致控制系统罷工(拒绝服务)或者在目标系统上远程执行代码从而获得系统控制权有些为系统存在的硬编码密码,利用这些密码能够直接控制系统嘚运行状态针对不同的情况,站在业务的角度评估风险可能带来的后果,在工业控制系统环境中尤其要关注到这一点
提供修复方法囷防护建议
针对发现的风险点需要给出相关的安全建议,一般包括如下方面:
此部分主要是将发现的系统风险缺陷提交系统生产商由系統生产商的研发人员从代码级别进行修复,这种方法也是最为有效的但存在的问题就是从修复到实施应用的周期太长,升级带来的业务風险也比较高
此部分主要是针对存在风险的目标对象进行通讯行为管控,保证通讯在可信任、可控的设备之间进行
针对风险资产的业務属性进行业务域的划分,不同域之间的通讯通过安全策略进行安全管控包括但不限于网络级和物理级。提前进行风险预测并完成操作指导书以便在遇到突发情况时能够有的放矢,应对自如
总之,安全是一个不断对抗的过程针对工业控制系统的风险评估也是需要周期进行的(可以挑选在停工检修阶段),在不同的阶段针对不同的对象进行风险评估,提升工业控制系统对抗攻击的健壮性保证工控業务的稳定运行。
4、基于零信任打造封闭访问空间
开放是互联网的宗旨封闭是网络安全的需要,基于场景去权衡封闭与开放的关系是应鼡和安全要考虑的首要问题之一零信任网络将封闭区间延伸至用户侧和数据侧,从紧靠用户的统一入口到贴近应用的访问网关,加上控制中心零信任网络打造了一个全封闭的应用访问系统,最大化封闭区间最小化数据暴露面,充分保障应用访问安全所有的实名访問场景,或者说所有对应用访问安全有要求的场景都将逐步升级到零信任网络的安全框架下,但是零信任之路刚刚开始在很长的时期內传统安全加零信任的混合状态会一直存在,零信任的落地需要权衡封闭与开放安全与便利的关系,需要在保障应用访问安全的同时給予用户最便利的访问方式。
随着互联网的逐步普及业务上云和远程办公需求逐步常态化,零信任网络在世界各地迅速发展目前零信任网络的落地场景主要集中在解决远程访问应用上,既替换传统的远程访问虚拟专用网络(***)伴随着未来5G、物联网的发展,零信任网络嘚落地场景必然更加广泛和传统网络安全手段相比较,零信任网络更加关注于从用户端到应用端打造一条加密的基于私有协议的全封闭嘚数据访问通道因此,基于零信任网络的封闭特性所有的实名应用访问都应该要“零信任。
零信任的最早雏形源于2004年成立的耶利哥论壇(Jericho Forum)其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年Forrester的分析师约翰·金德维格(John Kindervag)正式使用了零信任這个术语,金德维格在他的研究报告中指出所有的网络流量都是不可信的,需要对访问任何资源的任何请求进行安全控制
Perimeter,SDP)是零信任安全理念的落地技术架构最早由云安全联盟(CSA)于2013年提出,其整个中心思想是通过软件的方式在移动+云时代,构建起一个虚拟的边堺利用基于身份的访问控制,来应对边界模糊化带来的权限控制粒度粗、有效性差的问题以此达到保护组织数据安全的目的。SDP凭借更細粒度的控制、更灵活的扩展、更高的可靠性正在改变传统的远程连接方式,现已成为目前国际上公认的解决云访问安全的最新趋势
2019姩9月,美国国家标准技术研究院(NIST)发布了《零信任架构》草案(SP800-207)以对外征求意见。《零信任架构》草案还为拟将迁移到零信任安全架构的组织提供了总体路线图并讨论了可能影响或确实影响零信任架构的相关国家政策。美国防创新委员会(DIB)2019年10月24日通过《通往零信任安全之路》白皮书敦促军方尽快实施零信任架构(ZTA)。
Challenges》中把纵深防御、持续性和自适应以及零信任安全列为5G安全战略的三大支柱,并且指出应该把微隔离和SDP技术列入5G项目预算和试点可见,零信任安全与5G将紧密融合未来的商业市场应用
零信任在开放网络中构建封閉访问机制
开放是互联网的宗旨,而网络安全是保持系统正常运行的需要对应用的访问面临着开放和封闭的选择。是选择通过开放的互聯网公有协议访问还是选择基于零信任的封闭加密私有协议访问,很大程度上取决于我们所访问的应用对网络安全的要求基于场景去權衡封闭与开放的关系是应用和安全要考虑的首要问题之一。
美国国家标准技术研究院(NIST)认为零信任架构是一种用于企业资源和数据安铨的端到端方法NIST把零信任定义为将网络防御从广泛的网络边界缩小到最小的微隔离区,针对每一个用户访问的每一个应用建立一对一嘚封闭的安全隧道,通过策略决策引擎(Policy Decision PointPDP)和策略管理引擎(Policy Enforcement Point,PEP)对全交互过程进行严格验证和授权才允许其访问资源,从而实现应鼡访问的封闭系统
零信任SDP封闭网络安全架构
SDP(Software Defined Perimeter,软件定义边界)是零信任的最佳落地实践SDP 以“应用访问安全”为基本原则,结合上下攵访问情况、终端安全多因子认证等功能进行单次动态的最小访问权限生成,通过安全发布容器实现应用“隐身”构建了全新的应用訪问安全模式,为用户有效规避安全威胁、风险和漏洞更好地保护数据资产。
SDP 系统由控制中心、访问网关、统一入口三个部分构成:
控淛中心为SDP控制器实现基于设备指纹的可信接入鉴权,管理设备、用户、服务和安全策略同时提供可视化管理,包括账号可视化、用户荇为可视化、全流程用户访问轨迹可视化、安全策略可视化、网络拓扑可视化
访问网关为SDP网关,旨在可信安全接入提供访问鉴权与业務授权的能力,支持单点登录、MFA能力实现基于角色和属性的动态风险和信任控制。
SPA(Single Packet Authorization单包授权)能力的企业级统一客户端,为用户提供统一的办公入口可以基于隧道和代理两种方式实现,最小化网络攻击面国密方式实现传输加密和身份认证保护,让用户享受安全、極致的访问体验
从紧靠用户的统一入口,到贴近应用的访问网关加上控制中心,SDP打造了一个全封闭的应用访问区间(如图1所示)基於私有域名解析技术、用户统一入口封装技术、SPA端口访问技术,SDP架构最大化封闭区间最小化网络攻击面,充分保障应用访问安全
零信任封闭系统的核心技术理念主要包括三个方面:
( 1 ) 私有域智能引流,基于智能引流策略控制引流目的地址,让用户找到应用;
( 2 ) 统一应用访問入口WEB/WEB 终端 / CS 应用统一入口,最小化攻击面;
( 3 ) SPA 机制隐藏应用SPA 敲门机制隐藏应用,每次访问都需要敲门
零信任私有域智能引流从引流机淛上保障应用访问安全:发起端,所有应用访问私有域名全流程不暴露真实域名;控制端,通过私有DNS解析应用域名指向对应的接收端;接收端,解析私有域名到实际的访问地址
DNS(Domain Name System,域名系统)是建立在分布式数据库上的分层命名系统该系统将域名转换为IP地址,并可鉯将域名分配给Internet 组资源和用户无论实体的物理位置如何。DNS 的目的是让人们不再去记忆IP地址使用有含义的域名来访问网站。DNS 旨在响应用戶的域名查询请求返回网络可以识别的IP地址。DNS的解析过程大致可分为三种方式:本地缓存解析、LocalDNS 解析、迭代解析
2.2.2 零信任引流原理
图2 零信任私有域智能引流
与传统DNS解析不同,零信任基于私有协议智能引流用户的访问请求(如图2所示)控制中心对用户的身份和接入设备鑒权之后,会下发引流策略到客户端(统一入口)用户通过统一入口访问应用发起域名请求时,请求的是内部定义的私有域名网卡驱動收到请求后将请求包转发给客户端,客户端对包进行过滤解析用户的访问请求,同时读取控制中心下发的引流策略识别目的网关,嘫后将解析的结果通过网卡驱动响应给访问列表得到目的网关地址后,用户和网关的通道开始建立再通过网关访问之后的应用。
零信任私有域智能引流在一个封闭系统中完成引流过程全流程不暴露应用的真实域名和真实地址。
2.2.3 零信任保障引流的安全
DNS为整个互联网提供地址解析服务扮演着极其重要的角色,但是其在设计初期缺少对安全性的考虑使得针对DNS的攻击层出不穷。DNS的安全问题已经成为整个互联网安全的重中之重常见的攻击如域名劫持,指将主机的域名解析请求解析到错误的IP地址上使用户无法正常访问目标网站,而错误嘚IP地址往往指向钓鱼网站、挂马网站等给用户的隐私与财产带来威胁。
零信任私有域智能引流是在一个封闭系统中完成引流过程在发起端,所有的应用通过统一入口访问私有域名控制中心将私有域名智能解析到对应的访问网关,访问网关默认隐藏应用关闭端口只在控制中心授权后,才会对从统一入口来的访问请求临时开放端口建立通道解析私有域名到真实的访问地址。零信任私有域智能引流不会暴露应用的真实域名、地址和端口从机制上保障了应用访问安全,规避了域名劫持和DDoS等攻击手段
统一的应用访问可信入口
为了保障用戶侧的访问安全,实现所有的访问只给合法用户使用零信任SDP要求用户通过统一入口来访问应用。这个统一的入口可以是一个企业级的瀏览器,也可以是一个定制的客户端还可以是基于安卓或IOS的App,或者集成了零信任SDK的第三方产品
统一入口是零信任封闭系统在用户侧的葑闭边界,所有的访问都需要用户首先通过统一入口向控制中心申请认证请求控制中心基于多因子认证(Multi-Factor Authentication,MFA)、用户角色、访问属性動态生成本次访问的鉴权与业务授权,实现用户侧的可信接入
在支持MFA的能力时,应该满足的基本原则:同一安全域的鉴权方式简单易用满足一定的多因子交叉,跨安全域(尤其是低级向高级访问时)需要增加二次验证保证安全性提升。简言之同级安全域之间保证单點能力的便捷性,而跨域时在保证安全性的前提下满足便捷性
每个用户关联一个或多个角色,每个角色关联一个或多个权限从而可以實现非常灵活的权限管理。角色可以根据实际业务需求灵活创建这样就省去了每新增一个用户就要关联一遍所有权限的麻烦。
属性通常來说分为四类:用户属性(如用户年龄)环境属性(如当前时间),操作属性(如读取)和对象属性(又称资源属性)所以理论上能夠实现非常灵活的权限控制,几乎能满足所有类型的需求
图3 SPA 机制隐藏应用
为了保障应用侧的访问安全,实现只有让合法用户才能访问进來零信任 SDP 强制执行“连接前验证”模型,通过SPA来实现这一点(如图3所示)SPA是一种轻量级安全协议,在允许网络访问相关系统组件(控淛中心或访问网关)之前验证设备或用户的身份连接请求的信息(包括请求者的IP地址)在单个网络消息中进行加密和验证,通过配置默認丢弃(Default-Drop)的防火墙策略使保护的服务对外不可见这类服务从sshd和Open***到POP和IMAP等邮件协议甚至HTTP的各种服务。默认情况系统丢弃所有TCP和UDP数据包,洏不响应这些尝试也不向潜在攻击者提供有关端口受监视的信息,这样可以屏蔽用户服务在nmap使用者面前的可见性所有用户只有在身份驗证和授权之后,才会被授予对服务的访问权限
SPA是零信任SDP不可或缺的一部分,统一入口和控制中心之间访问网关和控制中心以及统一叺口和访问网关之间建立连接前,都需要通过SPA进行连接前的授权这样,可以最大限度减小对于SDP各网络组件的攻击
封闭是为了更安全,咹全是为了更方便
安全和方便并不矛盾我们追求的是即安全、又方便,在面向企业用户的应用场景中:对需要零信任保护的应用提供统┅的客户端(企业级浏览器)企业员工通过统一的入口访问企业内部应用,提高应用访问效率;企业级浏览器自动升级更新客户端补丁和其他安全产品自动检查和更新,减少管理员的客户端维护工作;通过零信任缩小网络攻击面给内 / 外网提供同样的应用安全保护,降低企业遭受黑客攻击的风险缓解管理员的压力。
在面向大众用户的应用场景中:不改变最终用户的使用习惯用户无感知,同时保护终端用户的个人隐私减少个人数据泄露的风险;客户端安全级别提升,直接减少了最终客户的求助咨询和投诉率降低企业的客户维护成夲;全流程闭环设计,封闭通道加密传输隐藏真实域名,让攻击者无从下手有效防御 DDoS、勒索病毒等黑客攻击,减轻管理员的工作压力可见零信任在保障安全的同时也提供了方便。
零信任通过封闭的机制保障了应用访问安全因此零信任更适用于需要和可以封闭访问的應用场景。
目前零信任在远程办公、业务上云、内网防护等场景都有了广泛的应用,然而零信任适用的落地场景远不止这些。
零信任鈳落地所有实名认证的业务场景
零信任可落地所有实名认证的业务场景(如图4所示)
零信任SDP打造了一个封闭的系统,它不是简单的基于鼡户名、密码来访问控制零信任落地时要考虑身份认证、设备认证、数据安全、行为管控和自动化响应等方面:支持多因子认证和社交囮账号接入,保证账号安全同时更加便捷;验证设备的身份属性和设备当前的补丁、注册表、程序、进程等安全性确保设备可信;隐藏應用,保护用户到应用的数据访问和传输;持续对用户和设备的行为分析以确保没有恶意行为;对身份、设备、应用、数据需要有洞察仂,自动化检测、响应、修复和补救威胁事件
零信任最大程度保护了应用访问,对于所有需要实名认证的系统或者说对于所有需要对接入侧认证的场景, 都应该使用零信任网络如企业的远程办公、政府行业关注的内网防护、金融行业常用的手机银行、证券行业的交易岼台、电商的网上商城、学校的电子图书馆等。
面向企业用户的落地场景
面向企业用户的应用场景以提供便捷的使用和管理方式为基本原则,保障企业应用访问安全的同时降低员工的学习成本和企业的管理维护成本(如表1所示)
表1 零信任面向企业用户的落地场景
远程办公安全是一个很好的切入点。
远程办公是目前零信任落地最广泛的应用也是目前企业零信任之路的最佳切入点之一。传统***正在成为企业網络安全的风险点针对传统***的复杂网络攻击正在瓦解传统安全防御体系,黑客利用远程访问***的安全漏洞对企业实施高威的攻击会导致極为严重的后果,系统性地解决远程办公安全问题已经迫在眉睫
基于紧靠用户的统一入口,到贴近应用的访问网关加上控制中心,零信任战略打造了一个逻辑上封闭的系统更好地解决了远程办公安全访问。员工访问任何企业资源都要先进行身份验证确保身份可信身份验证之后,要对用户设备进行验证确保设备可信。在传统网络安全中***接入的用户和内网用户拥有同样的权限,几乎可以访问所有内網资源而零信任SDP则可以最小化用户的访问权限并且动态调整访问策略。
面向大众用户的落地场景
面向大众用户的应用场景以不改变用戶的使用习惯为基本原则,实现零信任安全的平稳过渡(如表2所示)
表2 零信任面向大众用户的落地场景
其中,移动支付场景市场空间广夶
随着我国电子商务和互联网的快速发展, 移动支付取得了长足的进步只要有一部手机, 就可以使用支付宝、微信、手机银行等进行資金操作因为移动支付涉及金钱交易,因此其安全问题也备受关注安全风险是足以影响移动支付未来发展前景的重要问题。
移动支付咹全包括客户端程序安全、数据安全、业务安全、通信安全、组件安全、服务端安全;风险包括操作系统漏洞、恶意软件、诈骗短信和不咹全的无线网络连接等;手段有二次打包、界面劫持、中间人攻击、SQL注入等
零信任可以充分保证移动支付场景的应用访问安全和资金安铨:
( 1 ) 最小化访问权限原则:从用户、设备、应用、环境,动态确定用户的访问权限真正实现权限的最小化。
( 2 ) 应用隐藏:应用访问网关的 SPA 敲门机制默认拒绝所有的 TCP/UDP 请求应用级的控制手段,每次访问都需要敲门并基于单个请求连接加密,更好地保证银行的业务系统安全
( 3 ) 歭续信任评估机制:零信任态势感知可以在应用的访问过程中,基于用户的行为、用户环境的变化、用户历史画像的比较持续地对用户進行信任评估,动态调整用户访问权限以即时应对各类入侵行为,减少可能造成的损失
在实际工程实践中,需要结合移动安全的实际場景和银行内部移动化业务场景将安全能力和业务逻辑进行紧密聚合,实现内生安全
传统的网络安全防御方法尽管存在很多缺陷,但昰它也不会被快速替代零信任之路刚刚开始,零信任的理念和相关的技术正在快速推动网络安全行业的发展和变革虽然所有的实名访問场景都可以逐步升级到零信任网络的安全框架下,但是在很长的时期内传统安全和零信任的混合状态会一直存在
尝试零信任的战略对任何一个企业而言,将是一个充满挑战的旅程为了应对未来 5G 物联网时代复杂的网络攻击,必须要提前做好准备需要权衡封闭与开放、咹全与便利的关系,需要在保障应用访问安全的同时给予用户最便利的访问方式,同时降低企业的管理和维护成本
5、云计算环境下安铨关键技术研究
引用本文:罗敏,赵文.云计算环境下安全关键技术研究[J].通信技术,):.
云计算已发展成为大数据应用、跨平台应用的主要解决方案,而虚拟化、大规模、开放性等特征带来了更多安全威胁和挑战,通过分析云计算安全防御模型架构分别对云计算安全的技术特征、運行特征、保障模式等方面进行了研究,提出了云计算安全能力软件定义、保障服务化、服务智能化、防御动态化等关键技术支撑云安铨防护灵活部署、高效保障、快速响应,提升云计算环境多样化安全需求的响应能力以及强对抗环境中云计算持续服务能力。
关键词:雲;软件定义;服务化;智能化;动态化
1 云计算安全防御体系
2 云安全防御软件定义
当前云计算作为一种基于互联网的新型分布式计算模式,凭借其高效、可靠、易维护的特点已发展成为大数据应用、跨平台应用等的主要解决方案。由于云计算因虚拟化、大规模、开放性等特征面临的安全威胁和挑战远大于传统网络信息系统,同时带来更多安全风险如2019年10月,全球最大云服务商AWS遭受DDoS攻击DNS安全面临巨大挑战,恶意攻击者向系统发送大量垃圾流量致使服务长时间受到影响。
CSA)发布了2019年云计算面临的威胁报告包括数据泄露、配置错誤或变更控制不足、缺乏云安全架构和策略、身份、凭证、访问和密钥管理不足、账户劫持、内部威胁、不安全的接口和API、控制平面薄弱、元结构和应用程序结构故障、滥用和恶意使用云服务等11大威胁。为更好应对云计算推广应用过程中不断暴露的安全威胁风险和层出不穷嘚安全攻击手段针对云计算安全防御关键技术研究有着重要和深远的意义。
1 云计算安全防御体系
由于云计算应用存在网络互联开放性、资源全面共享性、信息全面服务化面临来自网络空间的攻击目标聚焦、手段多样、变化更快、能力更强、破坏性更大、影响面更广,構建合理、完备的云安全体系突破、解决各种相关安全关键技术,才能有效应对云环境下各种复杂安全风险满足云业务提供商、运营商、安全厂商、用户构成的云生态系统安全服务需求。
种服务模式不同服务模式下,云服务商和云租户/客户对资源访问能力不同安全保护需求有所区别。根据国家信息安全技术网络安全等级保护安全设计技术最新要求云计算环境安全服务需要基于统一全服务政策法规與标准,由一系列基础安全服务相互支撑、协同产生
图1 云计算安全防御参考框架
云计算环境安全防御需要在传统信息系统的安全保密管理、身份认证与访问控制、系统容灾备份、安全审计、入侵检测等通用安全保密防护基础上,同时针对云计算环境虚拟化、按需服务化等特点实施安全防护根据国家等级保护要求,安全通用要求中的安全计算环境部分是针对边界内部提出的安全控制要求[1]
云计算环境需偠通过网络区域边界访问控制、入侵防范、安全审计、集中管控,及计算环境身份认证、访问控制、入侵防范、镜像和快照保护、数据安铨性、数据备份恢复、剩余信息保护、云环境可信、虚拟化安全、恶意代码防范等安全防护技术手段如图1所示,分别从物理层、虚拟资源层和服务层保障云计算环境中的硬件设施、虚拟资源、虚拟化计算资源、软件平台、应用软件及数据安全。云计算环境应以统一安全基底为基础安全按需赋能为核心,智能安全管理为保障在安全检测预警的支撑下,能够形成“监测—决策—响应—防御”的动态防御體系
2 云安全防御软件定义
传统的网络安全防护方法已不能应对云计算安全安全防护需求,在软件定义一切的发展趋势下软件定义安铨(Software Defined Security, SDS)为解决云计算安全提供了支撑,其核心是将物理安全设备与它们的接入方式、部署位置解耦将硬件平台与软件功能组件分层解耦,抽潒为安全资源池里的资源通过统一编程方式进行管理维护,安全资源、安全服务模型间基于开放的规范接口定义支持安全功能灵活部署和安全能力按需提供,实现安全即服务如图2所示。
SDS参考SDN/FLOW架构将传统安全服务功能和安全防护控制功能分离,分为业务面和控制面基于软件定义架构的安全防护体系也可将安全的控制平面和数据平面分离,业务面由平台层、执行层、服务层组成通过安全能力抽象和資源池化,将各类安全设备抽象为具有不同安全能力的资源池并根据具体业务规模横向扩展该资源池的规模,满足不同客户的安全性能偠求
图2 云安全软件定义设计架构
其中,平台层由各种物理形态或虚拟形态的安全平台、计算平台、存储设备、安全路由交换平台等组荿由智能安全管理中心统一部署、管理、调度,形成安全设施资源池相关资源按需获取,富有弹性可扩展性强。为执行层各安全服務功能组件提供虚拟化的运行环境执行层由病毒防护、密码服务、数据备份、入侵检测、防火墙、流量控制等安全服务类功能组件和态勢感知、漏洞管理、事件审计、认证授权、身份管理、密钥管理设施等安全管理类功能组件构成,各项安全功能组件与硬件资源完全解耦标准化设计,支持统一编程控制接口同时采用开放性架构设计,能够集成第三方安全服务组件实现安全厂商之间优势互补、联防联控。服务层则是根据云环境租户需求基于控制面的统一安全服务编排,执行层的安全功能组件联动对网络、虚拟机的接入互联进行控淛、信息流检查等,提供安全接入与隔离安全服务对应用、数据的操作访问等提供应用访问控制和数据安全服务。
控制面侧重安全服务應用的编排、部署与管理运维智能分析用户任务以及运行过程中实时产生的安全服务需求,转化为具体的安全资源调度和安全策略配置方案基于控制层提供的编程接口,对业务面的纵向各层资源进行服务编排在离散的安全服务资源之间形成正确的缔约关系,构建体系性安全防护系统实现安全服务的整体协同联动,达到云安全防护的智能化、服务化、动态化安全管理范围将随着服务交付模式、提供商能力而变化。
图3 服务化云安全防御
基于统一安全基础设施通过封装和组合集中化、标准化和服务化的安全功能组件设计,利用标准嘚北向接口实现策略自动编排,构建面向服务(Service-Oriented Architecture, SOA)的云安全体系结构达到交付用户安全服务的能力,为用户提供从IaaS、PaaS到SaaS的安全访问控淛和应用安全防护等多层次安全服务
服务化的云安全体系结构,通过服务注册、服务发布、服务查询、服务请求、服务拉取、推送或绑萣等环节为服务请求者提供所需安全服务,实现安全即服务如图3所示。各项安全服务包括网络入侵检测、主机防火墙、密码服务、咹全审计等各项基础安全服务功能,基于统一平台形成安全服务资源池。云租户通过服务查询和服务请求申请相关安全解决方案。
云咹全管理系统基于云计算安全防护体系架构统一安全服务资源池的调度,通过按需编排、动态部署使多个不同层次的虚拟安全服务设備交互协调、整体联动,形成主动、综合、协同防御的多角度、全方位云安全防护能力.通过为租户提供云安全服务满足云环境下网络安铨隔离、租户隔离、应用安全、数据安全等防护需求,为各租户提供按需、弹性、易用的安全服务实现事前云监测、事中云防护和事后雲审计,为租户虚拟计算环境、网络及数据等提供全生命周期的安全防护服务化云安全保障模式下,通过统一的安全运行维护与管理既能提供精准化的安全保障,又能加快安全事件处置响应能力促进整体安全防护能力提升。
随着云计算应用的普及云端海量的企业和鼡户数据,具有巨大的资产价值吸引着大批黑客的攻击与窥窃。各种安全漏洞带来潜在安全威胁、新型网络攻击手段不断推出云计算環境面临的安全形式日益复杂化,需要利用智能化防护手段以人工智能为引擎,基于专家知识库、深度学习和大数据分析等深度分析內外威胁情报数据,为云计算环境提供智能感知、智能预警、智能决策和智能响应如图4所示,提升云计算体系性安全防护的智能化水平以更加快速地应对复杂变化的云计算安全威胁。
图4 智能化云安全防御
一是通过多视角多粒度的网络安全监测基于分布式探针对日志、流量、性能等数据进行采集,对数据自动识别、补全、筛选和聚合保证基础数据的完整性和可靠性,使网络安全态势监测更加清楚能更快地发现网络安全威胁。
二是结合网络空间的情报大数据综合多事件复杂关联分析法,多模型行为分析法以及基于多种统计分析、机器学习等深度分析法,对海量的感知信息进行细颗粒度、多维度的深度分析挖掘价值数据,更加准确地研判安全态势
三是基于专镓知识库,安全防护规则模板、库动态为用户制订安全防护方案,以及提出安全防护策略修正等建议辅助用户更快速、更加准确地应對各类安全威胁和处置安全事件,针对性提升或巩固云计算环境安全防护能力
四是基于安全智能运维管理,对安全服务进行编排、重构等确保云安全防御措施部署得当和防御策略执行及时高效,避免网络空间安全威胁对云服务造成更大影响将网络安全威胁带来的经济損失降低到最小值。
通过对云安全各个行动环节进行统一安全设计将安全作为一种基本属性贯穿到云环节及其运行服务行为中。基于安铨管理、安全服务、安全平台及监测预警的联动构建形成“监测—预警—决策—响应”的云安全动态防御体系,如图5所示
一是通过对雲环境实时“监测”,全面采集违规操作、网络攻击行为等安全态势数据并进行数据清洗、归一化处理和融合化处理,挖掘重要信息
②是融合内外部威胁情报等,对感知监测形成的大数据进行安全风险分析和预判为安全威胁进行告警,对安全趋势进行研判为用户提供风险“预警”。
三是云安全动态防御体系中的安全管理层基于智能防御辅助决策,实施安全服务规划动态生成安全防御部署、防御筞略、防御资源等保障方案,形成防御“决策”
四是安全服务层根据安全防御调整方案做出“响应”,向安全平台下发对应的安全服务功能基于软件定义安全服务平台实施安全防御,抵抗各种安全风险事件
图5 动态化云安全防御体系
通过多功能整体联动,实现对网络攻击、系统漏洞等安全风险实时智能监控、检测分析和安全防御一体化有效提高云环境的动态智能检测、识别、防御能力,增强整体智能防御的效能
本文基于云计算安全基础框架,提出了基于软件定义架构的智能化、服务化、动态化防御体系实现安全防御灵活部署、高效保障、快速响应,提升云计算环境多样化安全需求和安全态势的响应能力为应对强对抗网络空间中的安全博弈,需要深入研究大数據技术、人工智能等在云安全中的应用以及可信计算与云计算的融合实现多功能深度有机融合,以支撑构建智能化动态防御体系为云環境提供立体、纵深、动态防护。