再談網(wǎng)絡(luò)安全的自動(dòng)化
作者:網(wǎng)站建設(shè)出處:學(xué)眾科技發(fā)布時(shí)間:2015年08月26日點(diǎn)擊數(shù):1502
“工欲善其事���,必先利其器?����!弊詣?dòng)化技術(shù)代表了INTERNET軟件的一種發(fā)展趨勢���,一種能夠改變因特網(wǎng)整體安全水平的趨勢��。未來的安全軟件將走向在線銷售����、更新�、甚至租賃,尤其是桌面級安全產(chǎn)品,因?yàn)槊鎸Φ拇蟛糠钟脩魧儆趯W(wǎng)絡(luò)安全技術(shù)知之甚少的網(wǎng)絡(luò)服務(wù)使用者��,這樣���,只有簡單易用的軟硬件和服務(wù)才有可能真正地提高因特網(wǎng)的整體安全水平���。
當(dāng)然,這種在線技術(shù)向計(jì)算機(jī)安全提出了新的挑戰(zhàn)�����,也同時(shí)引入了新的安全風(fēng)險(xiǎn)�����。例如��,網(wǎng)絡(luò)在線掃描存在的合法性�����、以及技術(shù)的可靠性都有值得懷疑之處���,而在線更新技術(shù)也在用戶參與交互的程度方面難于取舍���,自動(dòng)加固技術(shù)在操作系統(tǒng)平臺和生產(chǎn)運(yùn)行環(huán)境適應(yīng)性及智能性方面還有很長的路要走����?��!?
這是筆者在2000年撰寫一篇短文“安全的自動(dòng)化雜談”中的議論,15年春秋如白駒過隙�����,互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全已改天換地��,對更高自動(dòng)化水平的渴求更加迫切�����。
自動(dòng)化代替手工操作意味著成熟�、高效、低成本�����,對安全而言����,還意味著時(shí)間窗口�、以至于最終的“成敗”�����。記得有一篇嚴(yán)肅反思人工智能的文章�����,將人工智能分為三個(gè)階段 – ANI(基本人工智能)����、AGI(通用人工智能)、ASI(超級人工智能)���。模仿這個(gè)分段法���,筆者認(rèn)為安全的自動(dòng)化也可分為三個(gè)階段:
-
1 效率階段(對應(yīng)ANI),通過腳本和工具等將手工操作逐步自動(dòng)化�����,例如服務(wù)器打補(bǔ)丁����、安全設(shè)備巡檢等���;在該階段,機(jī)器執(zhí)行���、人工反饋�����,基本上所有安全決策活動(dòng)都由“專家”進(jìn)行����,真正的“人工“智能��,?
-
2 效果階段(對應(yīng)AGI)��,在較為普遍的工具和自動(dòng)化基礎(chǔ)上�,可以針對安全措施的成效�����,針對性的調(diào)整�,實(shí)現(xiàn)基于數(shù)據(jù)和安全情報(bào)的��、及時(shí)的安全決策���;該階段實(shí)現(xiàn)了決策、反饋����、行動(dòng)等的部分自動(dòng)化,但需要“專家”建立并訓(xùn)練模型�、設(shè)置和校正參數(shù)、觀察和評價(jià)效果等�。
-
3 智慧階段(對應(yīng)ASI), 安全“自動(dòng)化”系統(tǒng)可以觀察系統(tǒng)行為,學(xué)習(xí)并建立“安全”的目標(biāo)和基線��,根據(jù)“主人”設(shè)定的安全風(fēng)險(xiǎn)取向���,主動(dòng)判斷和呈現(xiàn)風(fēng)險(xiǎn)���,給出建設(shè)性的行動(dòng)提議。
從行業(yè)的實(shí)踐來看�,我們大致處于“效率階段”,并在向“效果階段”努力的過程中��。因?yàn)榘踩珜?shí)踐同時(shí)受限于成本和風(fēng)險(xiǎn)取向�,單個(gè)安全操作效率的提升���、成本的下降,就可以使在固定的成本下��,實(shí)施更多的安全控制措施��,從而降低安全風(fēng)險(xiǎn)�����。 量變的積累將帶來質(zhì)變��,讓我們共同為安全的“自動(dòng)化”而戰(zhàn)��!
以下轉(zhuǎn)貼一下2000年的小文�,懷懷舊.
安全的自動(dòng)化雜談 趙糧
前言
網(wǎng)絡(luò)安全技術(shù)是當(dāng)前最為活躍的研究領(lǐng)域之一���,充滿智慧和挑戰(zhàn)��,成千上萬的INTERNET專家�、學(xué)生都沉浸其中��。當(dāng)前的INTERNET已經(jīng)從原來的學(xué)院研究�、“美國人的高級玩具”徹底地轉(zhuǎn)變?yōu)槿蛐缘?��、有著億萬普通用戶(包括家庭主婦、幼童�、三教九流各種從業(yè)人員)的無所不包的“網(wǎng)上社會”。 今年年初分布式拒絕服務(wù)攻擊(DDOS)肆虐����,給網(wǎng)絡(luò)界、甚至全球經(jīng)濟(jì)帶來一場大地震�����。這場地震給業(yè)界的一個(gè)重要啟示就是:絕對不可以將網(wǎng)絡(luò)安全限制為某些關(guān)鍵網(wǎng)絡(luò)�����、關(guān)鍵主機(jī)的特殊照顧���,徹底消除DDOS攻擊的根本還在于每個(gè)連入因特網(wǎng)的計(jì)算機(jī)的安全水平都大幅度提高�����,以防止其被攻擊者利用來攻擊第三方受害網(wǎng)絡(luò)或主機(jī)�����。因特網(wǎng)需要“整體安全”�����。
網(wǎng)絡(luò)安全可以劃分為許多技術(shù)領(lǐng)域:系統(tǒng)主機(jī)安全��、防火墻���、風(fēng)險(xiǎn)評估��、入侵探測�����、反病毒��、加密等����。它們往往都要求很高的專業(yè)技術(shù)以及資金����、人力投入��。網(wǎng)絡(luò)安全和反病毒技術(shù)中的關(guān)鍵:攻擊特征碼、病毒特征庫都需要及時(shí)的更新�����,才能有效��。這些都妨礙了“整體安全”水平的提高����。 為降低網(wǎng)絡(luò)安全的成本、解決越來越快的安全技術(shù)更新帶來的實(shí)施過程中的難題�,當(dāng)前的網(wǎng)絡(luò)安全技術(shù)將表現(xiàn)出越來越多的自動(dòng)化趨勢,逐步減少對因特網(wǎng)用戶的安全方面的專業(yè)要求和在產(chǎn)品更新方面花費(fèi)的代價(jià)���。
本文下面嘗試著從系統(tǒng)自動(dòng)加固(hardening)技術(shù)和在線技術(shù)兩個(gè)方面來闡述因特網(wǎng)安全技術(shù)發(fā)展的這種趨勢���。
1 系統(tǒng)自動(dòng)加固技術(shù) 一個(gè)稱職的系統(tǒng)管理員一定應(yīng)該同時(shí)是一位安全專家。安裝一個(gè)操作系統(tǒng)�����,在將它連入網(wǎng)絡(luò)之前���,要安裝最新的補(bǔ)丁����,還要對它進(jìn)行安全加固,包括不需要服務(wù)的關(guān)閉��、不必需帳號的刪除��、內(nèi)核的網(wǎng)絡(luò)參數(shù)設(shè)置�����、訪問控制設(shè)置(tcpwrapper等)���、X系統(tǒng)安全�、系統(tǒng)日志的安全設(shè)置�、文件簽名(完整性檢測tripwire等)等等,這中間可能會碰到不少錯(cuò)誤和失敗�,排除錯(cuò)誤的過程是體現(xiàn)管理員水平的時(shí)候。 這樣的過程對于全世界的系統(tǒng)管理員來說�����,日復(fù)一日���,年復(fù)一年�,不知道每天在世界各地會重復(fù)多少遍���,高級的系統(tǒng)管理員也是在這樣的一遍一遍的實(shí)踐中成長起來的�。但是�,應(yīng)該看到,這其中有許許多多重復(fù)的步驟����。一方面,這些重復(fù)勞動(dòng)浪費(fèi)了許多優(yōu)秀系統(tǒng)管理員的寶貴時(shí)間�;另一方面,這些煩瑣��、復(fù)雜的配置過程也使一些系統(tǒng)管理員望而卻步���,阻礙了安全水平的普遍提高���。 為此,許多網(wǎng)絡(luò)安全專家開始開發(fā)自動(dòng)加固軟件��,將上面提到的系統(tǒng)加固過程自動(dòng)化�,以此來解放管理員的勞動(dòng)���,推廣系統(tǒng)安全技術(shù)。當(dāng)前較為成熟的軟件主要包括下面幾種�����,它們是工作于SOLARIS之上的TITAN��、YASSP�����,以及工作于LINUX之上的BASTILLE項(xiàng)目�����。注意���,這里提到的系統(tǒng)加固并不是指一些操作系統(tǒng)的安全版本(例如Trusted Solaris),或者將C級操作系統(tǒng)加固以提升安全等級的商業(yè)軟件(例如CA公司的SeOS)�,昂貴的價(jià)格以及美國政府的出口限制注定這些軟件不可能對因特網(wǎng)的整體安全水平產(chǎn)生幫助���。下面分別簡要介紹一下這幾種自動(dòng)加固軟件�����。
-
YASSP:http://yassp.parc.xerox.com�����,當(dāng)前的版本是5.0beta#5���,支持Solaris2.6、2.7平臺���,對Solaris8的支持正在開發(fā)中�����。其主要工作包括:關(guān)閉服務(wù)�����、改變所有者��、訪問權(quán)限等屬性���、打開日志、調(diào)節(jié)網(wǎng)絡(luò)堆棧參數(shù)�、改變系統(tǒng)參數(shù)等�����。在“主題”或“內(nèi)容”中添入“subscribe”向下面地址發(fā)送電子郵件可以申請加入其郵件列表�����,以獲得其最新的開發(fā)動(dòng)態(tài):[email protected].
-
BASTILLE:工作于LINUX平臺之上�??梢詮膆ttp://sourceforge.net/download.php/bastille-linux/Bastille-1.0.4.tar.gz。并且�,在安全焦點(diǎn)網(wǎng)頁http://focus.silversand.net/可以找到其簡單的中文說明。
-
TITAN:其主頁位于http://www.fish.com/security/titan.html����。當(dāng)前的最新版本號為3.7。
2 在線技術(shù)
由于當(dāng)前各種安全漏洞層出不窮����,而反病毒軟件、入侵探測����、風(fēng)險(xiǎn)評估軟件的根本是對病毒特征碼、入侵攻擊特征��、漏洞的表現(xiàn)特征庫等。所以�,傳統(tǒng)的更新手段,例如到專賣店更新軟盤����、郵寄更新庫、甚至INTERNET下載更新的方式都已經(jīng)不能很好的為客戶服務(wù)�����。因?yàn)?�,從管理的角度講��,沒有辦法能夠確保企業(yè)網(wǎng)用戶都有足夠的警覺來自覺地�����、及時(shí)地去相應(yīng)的網(wǎng)址去下載��。這種需求環(huán)境促使安全廠家紛紛推出了更為易于使用�����、更加快捷的在線更新方式����,簡單列舉一下:
λ X-Press(業(yè)界領(lǐng)先的入侵探測和風(fēng)險(xiǎn)評估廠商ISS) λ LiveUpdate(安全反病毒廠家Symentec) λ BackWeb(加密和反病毒廠家F-Secure安防訊基) λ 等 另外,越來越多的網(wǎng)站開始推出在線殺毒�����、在線安全掃描等服務(wù)����。
例如ATT為用戶提供免費(fèi)的垃圾郵件和病毒防火墻服務(wù)、國內(nèi)天網(wǎng)安全公司推出在線安全評估服務(wù)�、263首都在線推出在線郵件殺毒服務(wù)等等。
結(jié)束語
有關(guān)自動(dòng)和在線的安全技術(shù)不能一一列出���,應(yīng)該看到����,這些技術(shù)代表了INTERNET軟件的一種發(fā)展趨勢�����,一種能夠改變因特網(wǎng)“整體安全”水平的趨勢�����。未來的安全軟件將走向在線銷售、更新���、甚至租賃��,尤其是桌面級安全產(chǎn)品��,因?yàn)槊鎸Φ拇蟛糠钟脩魧儆趯W(wǎng)絡(luò)安全技術(shù)知之甚少的網(wǎng)絡(luò)服務(wù)使用者�����,這樣�����,只有簡單易用的軟硬件和服務(wù)才有可能真正地提高因特網(wǎng)的“整體安全”水平。
當(dāng)然��,這種在線技術(shù)向計(jì)算機(jī)安全提出了新的挑戰(zhàn)��,也同時(shí)引入了新的安全風(fēng)險(xiǎn)��。例如�,網(wǎng)絡(luò)在線掃描存在的合法性、以及技術(shù)的可靠性都有值得懷疑之處,而在線更新技術(shù)也在用戶參與交互的程度方面難于取舍�,自動(dòng)加固技術(shù)在操作系統(tǒng)平臺和生產(chǎn)運(yùn)行環(huán)境適應(yīng)性及智能性方面還有很長的路要走。 總之�����,網(wǎng)絡(luò)安全技術(shù)在整個(gè)互聯(lián)網(wǎng)的發(fā)展中已經(jīng)成為越來越重要的影響因素�,脆弱的網(wǎng)絡(luò)安全水平是整個(gè)互聯(lián)網(wǎng)走向商業(yè)化、社會化的制約瓶頸����。
互聯(lián)網(wǎng)中不存在“安全孤島”,只有聚集整個(gè)社會的智慧和力量�,在法律、教育��、社會意識��、安全技術(shù)等領(lǐng)域進(jìn)行大量的艱苦的努力后�����,才有可能看到一個(gè)安全的����、值得信賴的互聯(lián)網(wǎng)。
豫公網(wǎng)安備41018402000614號