网络安全事件应急处置协同方法

郭建忠,孙建民,李明桂

(1.海军装备部驻西安地区军事代表局,四川成都610041；2.海军91917部队,北京100071；3.中国电子科技集团公司第三十研究所,四川成都610041)

网络安全事件应急处置协同方法

郭建忠1,孙建民2,李明桂3

(1.海军装备部驻西安地区军事代表局,四川成都610041；2.海军91917部队,北京100071；3.中国电子科技集团公司第三十研究所,四川成都610041)

网络漏洞必然存在,网络安全事件不可避免,应急处置作为最后一道防线,是保障网络信息可生存性的必要手段。现有的网络攻击应急处置措施相对对立,缺乏整体协作能力,难以应对日新月异的攻击方式。针对当前应急处置体系的不足,提出了一种网络事件应急处置协同方法和体系,将相对独立的应急处置组件有机统一起来,并提供专家远程辅助决策能力,可以有效减少冗余信息,提高响应能力,增强信息系统的安全性。

应急处置 协同处置 安全事件

0 引 言

网络高速发展的同时,网络攻击手段和方法也层出不穷。目前,应对网络攻击的技术主要有入侵检测、防火墙、灾难恢复、蜜罐网、电子取证和安全审计等。在安全事件发生时,各安全防御系统和设备会针对攻击行为进行应急处置。然而,这些网络攻击防御手段和系统相互独立、不成体系,不仅会带来很多遗漏、错误和冗余信息,更难以抵御大规模复杂网络攻击,并且,响应技术的研究严重滞后于检测技术[1]。在此背景下,应急处置的协同技术成为一大研究热点。

1 国内外发展概况

应急处置是指对突发安全事件进行响应、处理、恢复、跟踪的方法及过程,其目的是为了保护关键网络基础设施免遭攻击、降低网络的脆弱性、缩短网络攻击发生后的破坏时间和恢复时间。

世界各国对应急处置都十分重视。早在1988年11月,在Morris蠕虫事件的驱动下,由美国国防部资助在Carnegie Mellon University(卡内基·梅隆大学)组建了全世界第一个完全意义上的应急处置组织,后来发展为应急处置协调中心CERT/CC (Computer Emergency Response Team/CoordinationCenter)[2]。到2003年8月为止,全球正式注册的CERT已达188个。这些应急处置组织不仅为各自地区和所属行业提供计算机和互联网安全事件的紧急响应处理服务,还经常互相沟通和交流,形成了一个专业领域。1996年8月,美空军成立了计算机应急反应分队,即空军60信息战中队,同时,美空军还成立了计算机应急小组,长期保持10至25人的工作人员,并能在两小时内额外增派人员帮助修复网络。此外,美国陆军、海军也都设有响应的计算机应急反应分队和自动系统安全应急支援分队。除应急处置协调中心CERT/CC外,美国还成立了计算机安全资源中心(CSRC,Computer Security Resource Center)和计算机事故咨询委员会(CIAC,Computer Incident Advisory Capability)。计算机安全资源中心CSRC是隶属美国商务部的技术管理机构NIST(National Institute of Standard and Technology,美国国家标准和技术协会)的信息技术实验室的8个部门之一,其主要职能包括:提高信息系统的安全,提高对抗IT风险、脆弱性的意识；为政府有关机构提供关于IT脆弱性的建议,并为美国政府开发有效的保护安全和隐私的技术；发展标准、机制、检测和评估方法,促进、测试和评估系统安全和服务,教育消费者,为美国政府系统建立必需的最低安全要求；发展工作指导准则,以提高IT安全的计划、执行、管理和运营。计算机事故咨询委员会CIAC是美国GFIRST (Government Forum of Incident Responders and Security Teams,政府事故响应和安全小组)的发起成员之一,自1989年起,与其他计算机安全支持部门一起,为美国能源部提供安全事故响应、汇报和跟踪了解。

近年来,美国政府和美军为进一步提高其网络安全系统的协同处置能力,在此方面进行了积极的研究和实践。2006年,美国国土安全部颁布的《国家基础设施保护计划》把增强国家在攻击事件发生情况下的实时响应作为重点,在安全需求中强调检测响应能力、分布式安全能力和能够使用多域网络具有域间协作能力。同年,美国国土安全部举行了“网络风暴Ⅰ”演习；2008年3月,美国国土部举行了网络安全演习“网络风暴Ⅱ”；2010年9月底,美国国土安全部举行了代号为“网络风暴Ⅲ”的大规模网络攻击应对演习,这次演习规模较前两次进一步增大,跨越5个盟国、9个州、40家公司,其目的就在于检验美国重要部门在遭大规模网络攻击时的有效的事件反映能力和应急协同处置能力。

在国内,我国政府制定了一系列基本的管理办法,并于2001年8月重新组建国家信息化领导小组,以适应信息安全和网络安全的发展形势。2000年10月,我国成立了计算机网络应急技术处理协调中心(简称CNCERT/CC),在信息产业部直接领导下,负责协调我国各计算机网络安全事件应急小组(CERT)共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息应用系统以及为关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关互联网安全的权威性信息,组织国内计算机网络安全应急组织进行国际合作和交流的组织。除此之外,我国在军民信息安全和应急处置方面做出了不懈努力并取得了一系列成果,但与国外相比,还仅处于起步阶段,尤其在应急处置协同方面与国外先进水平相比还有一定的差距。

2 应急处置协同

协同有三层含义:组织间的协作,功能上的统一,网络安全策略上的联合。应急处置的协同是为了解决应急处置组织受地理限制与Internet地理无关的矛盾、应对安全事件时应急处置组件间缺乏有效的合作的被动局面而提出的新技术[3]。文中立足于充分协调分散、独立的网络攻击防御单元协同应对网络安全事件,以应急处置任务为着眼点,提出了一种网络攻击应急处置协同方法和体系。

2.1 体系架构

应急处置协同体系主要包括应急处置协同控制管理平台、共享数据库管理服务模块和各个网络攻击防御单元等,其体系架构如图1所示。

把图1所示参与到应急处置协同任务中的各网络攻击防御单元均定义为协同处置单元。

应急处置协同控制管理平台是一种基于响应任务的分布式应用平台,对任务的时间、精度和可靠性等方面有着极高的要求。因此,应急处置协同控制管理平台采取发布/订阅机制以满足3R(Right-mission、Right-time、Right-place)要求,即在合适的时间发布合适的任务到合适的地点,此举还能有效避免平台瓶颈、单点失效和带宽利用率低等问题。

由图1中可见,应急处置协同控制管理平台采用面向服务架构(SOA),使应急处置能力服务化,能为各协同处置单元提供相应的所需服务,采取这种机制能够很好的适应全球信息栅格化(GIG)的发展趋势,使得各协同处置单元具有很好的自组织的灵活性[4]。应急处置协同控制管理平台提供了协同交互、基础知识库、响应任务机制、数据转换等四种服务,并且将这四种服务打包成应急处置能力包,形成汇总性的服务,进行发布推送给各协同处置单元,各协同处置单元之间的交互就是通过协同处置能力包实现的。

图1 协同处置体系架构Fig.1 Architecture of collaborative response

应急处置协同控制管理平台和各网络攻击防御单元等协同处置单元之间是通过安全信息共享数据库管理模块进行身份认证后相互交互的。共享数据库模块主要提供身份认证、授权访问、身份管理等基础安全服务,各协同处置单元都必需经身份认证,获得授权后方可参与应急处置协同任务中,同时,还为各协同处置单元之间各种信息数据以及任务信息的传输提供端到端的安全保密服务[5]。

网络攻击防御单元,如安全设备、网络设备、容灾设备、虚拟存储等,在此体系中作为协同处置单元,提供基础的应急处置能力,服从协同控制管理平台的统一调度,各单元通过分别部署于其上的Agent实现与共享数据库管理模块的安全交互。

2.2 应急处置能力包

应急处置协同控制管理平台采用基于面向服务架构(SOA),将孤立的应急处置协同平台及新的能力需求改造为服务,并以能力包的形式封装起来。此举有利于依据响应任务的需要,动态集成所需的协同处置能力包,因而能够更好地适应安全事件的协同处置的需求。

协同处置能力包是由协同交互服务、任务相关服务、基础知识库服务、数据转换服务等打包而成的能力包,应急处置控制指挥人员和平台之间、协同处置单元和平台之间以及各协同处置单元之间都是通过应急处置能力包服务进行任务信息和资源数据共享的。协同处置能力包的功能结构如图2所示。

图2 协同处置能力包Fig.2 Collaborative response package

其中,

1)协同交互服务。该服务主要提供远程协同功能,为协同决策者提供多媒体(文本、语音、视频)交互通道,以达到网络世界和现实世界的自然结合。

2)任务相关服务。该服务采取统一的、格式化的方法对应急处置任务进行详细描述,并提供对应急处置任务的发布、推送、反馈分析以及高速检索功能。

3)基础知识库服务。该服务为协同处置决策提供应急处置知识库、案例库、方法库、任务库等基础资源服务,以便决策者能制定满足3R需求的应急处置任务,以实时阻止、阻断相应的网络攻击。

4)数据转换服务。该服务主要对不同类型信息的数据进行关联分析,形成统一认知的数据类型,便于信息交互。

在安全事件发生时,协同控制管理平台中的远程协同平台能够在第一时间为分散于不同地域的远程决策者提供文本、语音、视频等多媒体通道以进行协同交互,并结合基础知识库进行决策,得出最优应急处置方案、生成应急处置任务。与此同时,协同控制管理平台根据协同决策产生的响应任务生成协同处置能力包,再将协同处置能力包通过共享数据库管理平台下发给各网络攻击防御单元。各协同处置单元在获取并解析协同处置能力包后,提取出各自所需的服务信息执行协同应急处置操作[6]。

2.3 协同决策

在实际环境中,协同处置过程往往需要“人”的参与,即需要专家意见进行辅助决策。因此,协同处置服务采用多专家以多种通道协同决策的层次化分布式远程协同交互机制,该机制再结合应急处置基础知识库共同决策,最终得出最优应急处置协同任务。

协同交互服务主要通过远程协同决策平台、多媒体通道和远程协同决策界面之间的共同协作完成。协同决策过程如图3所示。

图3 协同决策过程Fig.3 Collaborative decision process

智能代理是独立运行在不同终端上的知识源,远程协同决策平台对其采取分布式控制策略。分布式控制通过阅读器、书写器、通信引擎来实现。阅读器将共享白板上发生的变化发送给有关知识源,书写器接收知识源传送来的执行结果并完成写共享白板操作,通信引擎负责共享白板与知识源的知识与信息交换。

协同决策需要分散于不同地理域的多位专家共同参与。远程交互采用智能代理技术实现,智能代理可以支持文本、语音、视频等多种通信方式,能够允许用户选择自己想要的方便的通信方式进行实时的在线协同。各个智能代理利用其专门知识为参与决策的专家个体提供直接帮助,同时通过共享白板来共享决策目标、数据、知识与解,协调分布式问题求解行为。

2.4 基于Agent的安全交互

从图1中可以看出,安全管理系统、网络管理系统、容灾管理系统、虚拟存储管理系统等协同处置单元与协同控制管理平台、各协同处置单元之间的通信也需要通过共享数据库管理模块进行,也就是说,协同处置单元的通信数据都必须经过共享数据库管理模块。因此,保证各协同处置单元与共享数据库管理模块之间交互数据的安全至关重要,这一点正是通过部署于各协同处置单元中的Agent实现的。

各协同处置单元与共享数据库管理模块之间的通信以共享数据库管理模块为控制中心,其功能包括身份认证、授权管理、密钥分发、算法选择等。同时,共享数据库管理模块也是整个体系的安全中心,为各信息的传输和协同处置的认证提供最基本的安全保障。其功能结构如图4所示。

图4 共享数据库管理模块提供的安全机制Fig.4 Security strategy of shared database management

从图4中可以看出,应急处置协同机制主要调用底层提供的一系列安全措施,包括安全服务中心,安全基础设施,密码基础服务等。协同决策人员、应急处置人员以及各协同处置单元在进行应急处置措施之前需到安全服务中心进行认证注册,获得授权后才能参与应急处置任务中。安全基础设施提供身份管理和授权管理,便于以后执行应急处置任务时调用。密码基础设施主要为应急处置人执行过程中各种安全数据、安全信息以及应急处置任务的传输提供加密措施,提供端到端的安全保密服务。

Agent在每个协同处置单元必须且只能运行一个,其作用是对交互数据作加解密处理。每个代理开放一个服务器端口,这样每个协同处置单元只有一个端口开放,从而最大限度地减少了这些基础网络攻击防御单元被攻击的可能。出于安全性考虑,在以下两种情况下连接会被关闭:其中任何一方要求关闭；在规定的时间(如3 s)内双方没有进行通信[7]。

3 结 语

文中提出了一种网络攻击应急处置协同方法和体系。该体系架构采用了基于SOA的体系架构思想,远程决策能力,并且能依据响应任务的需要动态集成所需的应急处置能力包,以协同处置能力包作为协同处置任务的载体对全局协同处置单元进行统一调度。此外,将发布/订阅机制以中间件的方式应用于应急处置协同体系中,利用其提供的丰富的QoS策略很好地满足了3R要求,同时有效避免了系统瓶颈、单点失效和带宽低利用率等问题。应急处置协同体系十分复杂,文中提出的仅是一个初步模型,涉及其概念、结构、功能、关键技术等内容。协同体系的建设是一项复杂的系统工程,在以下方面有待进一步研究:协同处置任务的标准化描述格式,协同处置生命周期的可视化,服务的动态配置,实时SOA的实现等。

[1] 谢丽霞,李学菲,杨宏宇.网络安全组件间协同响应机制研究[J].计算机应用,2010(06):1475-1479.

XIE Li-xia,LI Xue-fei,YANG Hong-yu.Study on Collaborative Response Mechanism among Network Security Components[J].Computer Applications,2010(06): 1475-1479.

[2] 陈锦华.计算机网络应急响应研究[J].计算机安全, 2007(12):50-52.

CHEN Jin-hua.Study on Computer Network Emergency Response[J].Computer Security,2007(12):50-52.

[3] 刘旭勇.基于协同的网络安全防御系统研究[J].计算技术与自动化,2012(02):142-144.

LIU Xu-yong.Study on Collaboration Based Network Security Defense System[J].ComputingTechnology and Automation,2012(02):142-144.

[4] 秦晋平,刘尚麟,黎珂.云中心GIG目标技术架构研究[J].通信技术,2012,45(12):63-65.

QIN Jin-ping,LIU Shang-lin,LI Ke.Research on GIG Target Technology Architecture in Cloud Center[J]. Communications Technology,2012,45(12):63-65.

[5] MEYER T,MUETHING J,LIMA G.Decision Support System Interface Design for Radiological Emergency Response Coordination in Brazil[C]//Systems and Information Engineering Design Symposium(SIEDS).Charlottesville:University of Virginia,2011:146-151.

[6] SHEN S,SHAW M.Managing Coordination in EmergencyResponseSystemswithInformationTechnologies [C]//AmericasConferenceonInformationSystems (AMCIS).New York:University of Illinois at Urbana-Champaign,2004:252-255.

[7] 王文奇,李伟华,史兴健,等.基于Agent的网络安全系统协同控制研究[J].计算机应用,2005(10):2280-2282.

WANG Wen-qi,LI Wei-hua,SHI Xing-jian,et al.Study on Agent-based Cooperative Control Network Security System[J].Computer Applications,2005(10):2280-2282.

GUO Jian-zhong(1979-),male,M. Sci.,engineer,majoring in missile engine.

孙建民(1971—),男,学士,工程师,主要研究方向为无线通信；

SUN Jian-min(1971-),male,B.Sci.,engineer,mainly engaged in wireless communication.

李明桂(1989—),男,硕士研究生,主要研究方向为信息安全。

LI Ming-gui(1989-),male,graduate student,majoring in information security.

An Events-Oriented Collaborative Approach to Emergency Response

GUO Jian-zhong1,SUN Jian-min2,LI Ming-gui3
(1.Military Representative Office of Navy Equipment Department in Xi′an District,Xi′an Shaanxi 610041,China；2.Naval Unit 91917 of PLA,Beijing 100071,China；3.No.30 Institute of CETC,Chengdu Sichuan 610041,China)

Network vulnerabilities always exist,so do attack events.However,the existing emergency response measures are relatively independent and have poor integral collaboration,thus are difficult to cope with the ever-changing attacks.As the last line of defense,emergency response is a necessary means to ensure the network information survivability.Aiming at the current problems existing in the emergency response system,this paper proposes an events-oriented collaborative approach to network emergency response.It organically combines all independent and sporadic system components,and provides remote expert assistance.Consequently,the new collaborative approach presented in this paper could effectively reduce redundant information,enhance defense capability,and improve information systems security.

emergency response；collaborative response；security event

TP309

A

1002-0802(2014)03-0319-05

10.3969/j.issn.1002-0802.2014.03.017

郭建忠(1979—),男,硕士,工程师,主要研究方向为导弹发动机；