基于情景感知的信息安全体系建设.docVIP

基于情景感知的信息安全体系建设 摘要：为改变传统的事后防御的不利局面，企业信息安全防护体系建设思路已从被动防御逐步发展为主动防御，通过先验知识检测未知威胁，能够对未来的攻击趋势进行预测。针对更加定向、持久化和多样化的攻击模式以及更高的预测难度，文章基于情景感知理念建设了信息安全主动防御体系，结合内部和外部情报，通过攻击特征、异常业务行为匹配来感知和预测未知威胁，能够更精准地发现高级持续威胁，从而保证预警的前瞻性和准确性。 关键词：信息安全；情景感知；威胁情报；主动防御；安全事件管理 0引言 人们对信息安全的认识随着信息安全形势的发展、信息安全技术的革新而变化，在不同领域的不同时期，解决信息安全问题时的侧重也各有不同。以往人们对于安全防护体系的关注焦点是以防护技术为主的相对静态的安全体系，而技术的进步导致信息安全问题愈发严峻，信息安全防护要求不断提高，其动态性、过程性的发展要求凸显。P2DR（Policy，Protection，DetectionandResponse）安全模型和IATF信息保障技术框架是信息安全体系发展的重要里程碑，奠定了信息安全体系逐步动态化、过程化的基础。P2DR模型源于美国ISS公司提出的自适应网络安全模型（AdaptiveNetworkSecurityModel，ANSM），其在整体安全策略的控制和指导下，综合利用防护工具和检测工具了解、评估系统的安全状态，将系统调整到“最安全”和“风险最低”的状态。在此过程中，防护、检测和响应形成一个完整、动态的安全威胁响应闭环，在安全策略的整体指导下保证信息系统安全[1]。P2DR安全模型如图1所示。图1P2DR安全模型Fig.1P2DRsecuritymodelIATF是美国国家安全局（NSA）组织编写的一个全面描述信息安全保障体系的框架，它提出了信息保障时代信息基础设施的全套安全需求，其创造性在于：首次提出了信息保障依赖于人、操作和技术共同实现组织职能/业务运作的思想，人通过技术支持实施操作过程，最终实现信息保障目标；提出稳健的信息保障状态取决于信息保障的各项策略、过程、技术和机制，在整个组织信息基础设施的所有层面上都能得以实施[2]。IATF安全防护框架如图2所示。网络攻击技术的不断更新使得网络安全问题日益严峻，特别是高级持续威胁（AdvancedPersistentThreat，APT）的出现，对网络安全防护提出了新的挑战。相较于其他攻击形式，APT主要体现在攻击者实施攻击前需精确收集攻击对象的业务流程和目标系统信息。而在信息收集过程中，此攻击会主动挖掘攻击目标信息系统和应用的漏洞，并利用这些漏洞组建起攻击者所需的网络，进一步利用0day漏洞进行攻击，从而达到终极攻击目的。针对APT攻击的防护，Enterasys、Cisco等公司产品都体现了主动防御的理念。在安全防护体系方面，P2DR安全模型侧重技术层面，通过更改安全防护策略防护已发现的安全事件，虽具动态性，但仍局限于被动的事后响应；IATF安全模型侧重人、操作与技术一体，强调人的主动性和流程的主动过程。综上所述，如何在恶意攻击行为发生前主动检测网络中存在的脆弱点，研究并预测攻击者行为，建立起主动型防护体系是信息安全领域中的一个重要课题。本文基于以上2种思路，结合情景感知思想，构建了新一代主动安全防护体系，在事前进行威胁防御[3]。 1基于情景感知的新一代主动防御体系 主动防御是一种前瞻性防御，通过针对性地实施一系列安全防御措施，提前发现安全薄弱点或安全攻击行为，并实施安全防护措施。这种防御理念不同于以往滞后于攻击的防御，能够检测未知攻击，预测未来的安全形势。主动防御具有自学习能力，能自动对网络进行监控，对发现的攻击实时响应，通过分析攻击方法和技术，对网络入侵进行取证，对入侵者进行跟踪甚至进行反击等[4]。情景感知技术源于普适计算的研究，通过传感器获得关于用户所处环境的相关信息，从而进一步了解用户的行为动机等。该技术适用于信息安全主动防御体系，能在特定功能的网络应用中识别主体、客体以及主体对客体的动机。一方面，基于情景感知技术，能及时识别如地点、时间、漏洞状态等当前情景的信息，提升信息安全决策正确性；另一方面，通过构建特定的感知场景进行分析，可降低攻击的误报率，包括分辨传统安全防护机制无法防护的攻击以及确定有意义的偏离正常行为[5]。本文提出的主动防御模型是在P2DR安全模型的基础上进行延伸，包括情景感知（Aware）、动态防护（Protect）、深度监测（Detect）与研判处置（Response），即APDR模型。基于情景感知的主动防御模型如图3所示。 1.1事前情景感知 在攻击发生前，主动搜集外部威胁情景和内部情景信息，