1 概述

    隨著網(wǎng)絡的日益發(fā)展和應用軟件的變化，網(wǎng)絡管理員不得不面對日益增長的網(wǎng)絡威脅。這些網(wǎng)絡攻擊的方式已經(jīng)從傳統(tǒng)的簡單網(wǎng)絡層數(shù)據(jù)攻擊升級到多層次的混合型攻擊。為了有效地防御混合型威脅， 統(tǒng)一威脅管理(United ThreatManagement, UTM)技術正引領安全行業(yè)的潮流，希望以網(wǎng)關處的一個硬件設備，一攬子解決所有的安全問題。

    雖然目前UTM 得到了一定的應用與推廣，但其存在不容忽視的缺陷，具體表現(xiàn)在：

    (1)無法防御內部攻擊，UTM 在防范外部威脅的時候非常有效，但是在面對內部威脅的時候無法發(fā)揮作用。

    (2)單點失效問題，將所有防御功能集成在UTM 設備當中使得抗風險能力有所降低。一旦該UTM 設備出現(xiàn)問題，將導致所有的安全防御措施失效。

    (3)設備穩(wěn)定性問題，UTM 的穩(wěn)定性直接關系到網(wǎng)絡的可用性，盡管使用了很多專門的軟硬件技術用于提供足夠的性能，但UTM 安全設備的穩(wěn)定程度相比傳統(tǒng)安全設備仍有待提高。

    為此，本文提出一種基于分布式技術和主動防御技術的分布式防御體系。

2 系統(tǒng)架構

    分布式信息安全防御系統(tǒng)采用樹形多級管理結構，由主動防御平臺、監(jiān)控節(jié)點、主機監(jiān)控模塊3 個部分組成。系統(tǒng)采用B/S 結構，網(wǎng)管可通過瀏覽器對該系統(tǒng)進行管理，如圖1 所示。主動防御平臺部署在網(wǎng)關位置，監(jiān)控節(jié)點部署在各子網(wǎng)的關鍵網(wǎng)絡設備上，而主機監(jiān)控模塊為駐留在網(wǎng)絡中主機上的軟件模塊。

    圖1 分布式信息安全防御系統(tǒng)架構

    分布式信息安全防御系統(tǒng)實現(xiàn)現(xiàn)有UTM 的幾乎所有功能，包括集成于安全操作系統(tǒng)(安全的Linux 系統(tǒng)內核)之上的防火墻、VPN 網(wǎng)關、防病毒、入侵防護、網(wǎng)頁內容過濾、垃圾郵件過濾。

    網(wǎng)頁內容過濾、垃圾郵件過濾等應用層數(shù)據(jù)的過濾由監(jiān)控節(jié)點實現(xiàn)，防病毒功能由主機監(jiān)控模塊實現(xiàn)，入侵防護由監(jiān)控節(jié)點及主機監(jiān)控模塊實現(xiàn)，防火墻、VPN 等功能由主動防御平臺實現(xiàn)。此外，主動防御平臺還要實現(xiàn)統(tǒng)一管理及安全策略設置等功能。

3 主動防御平臺設計

    主動防御平臺軟件結構設計如圖2 所示。該軟件的核心層包含了安全的Linux 系統(tǒng)、TCP/IP 協(xié)議棧、協(xié)議分析模塊、防火墻功能模塊、VPN 功能模塊、統(tǒng)一管理模塊、安全策略模塊等部分。

    圖2 主動防御平臺結構

    主動防御平臺需要一套專用的強化安全的定制操作系統(tǒng)，這里采用經(jīng)過加固的安全的Linux 內核。通過硬件加速，操作系統(tǒng)使各種類型流量的處理時間達到最小，從而帶來最好的實時性，才能有效地實現(xiàn)防火墻、VPN 等功能。TCP/IP協(xié)議棧提供對網(wǎng)絡協(xié)議的處理功能。

    協(xié)議分析模塊是主動防御平臺核心層的核心，對其他功能模塊，如防火墻模塊、VPN 模塊等起到基礎支撐功能。協(xié)議分析模塊處于數(shù)據(jù)鏈路層以上、IP 層以下，它作為一個數(shù)據(jù)鏈路層的服務使用者接收物理層傳來的所有報文。此時，報文尚未經(jīng)過IP 層和TCP 層的處理，還包含有IP 頭和TCP頭，可以從IP 頭獲得發(fā)送方和接收方的IP 地址。協(xié)議分析模塊在Linux 中作為一個流設備實現(xiàn)。數(shù)據(jù)鏈路層服務的使用者可以像打開一個普通的流設備一樣，使用訪問數(shù)據(jù)鏈路層的服務。

    主動防御平臺核心層的功能模塊包含了防火墻、VPN 等模塊，這是出于提高數(shù)據(jù)處理效率考慮。核心層的功能實現(xiàn)以模塊化方式組織，提高了主動防御的可擴展性，便于用戶根據(jù)自己的需要選擇不同的功能模塊。核心層的統(tǒng)一管理模塊、安全策略模塊提供分布式防御系統(tǒng)的統(tǒng)一管理功能及安全策略配置功能。

    應用層的其他模塊如防火墻、VPN 等模塊是核心層對應模塊功能的有效補充，可在應用層加強此類補充模塊的訪問控制。通信接口提供主動防御平臺與監(jiān)控節(jié)點、主機監(jiān)控模塊的通信功能。

    主動防御平臺采用經(jīng)過加固的安全Linux 操作系統(tǒng)。操作系統(tǒng)有效地分解和協(xié)調系統(tǒng)的處理任務，利用優(yōu)化的算法，實行并行處理，將任務劃分和協(xié)調過程中的消耗減到最小程度。在任一特定時間，每個數(shù)據(jù)流都得到最佳的處理水平。操作系統(tǒng)的設計集成了智能排隊和管道管理，在數(shù)據(jù)包到達時和處理相關的事件時，系統(tǒng)中斷會得到立即的響應，使流量的處理時間達到最小，加上最短的排隊時間，從而使系統(tǒng)達到很高的實時性。

4 監(jiān)控節(jié)點設計

    監(jiān)控節(jié)點軟件結構設計如圖3 所示。該軟件核心層的功能模塊包括內容過濾模塊、郵件過濾模塊、入侵防護模塊及安全策略設置模塊。監(jiān)控節(jié)點核心層的核心是內容過濾、入侵防護。

    內容過濾是監(jiān)控節(jié)點設計的核心，調用內容過濾模塊，根據(jù)匹配內容過濾知識庫中的知識進行評價。由于綜合了各種內容過濾知識對網(wǎng)絡內容進行評測，因此可以增強其過濾效果，降低對過濾內容的誤判。內容過濾模塊的功能具體包括連接管理、分析檢測、過濾和響應處理。連接管理用于接管內容過濾請求；分析檢測的功能是根據(jù)從內容過濾知識庫中獲取對應的內容過濾參數(shù)進行初始化，掃描網(wǎng)絡內容，解析規(guī)則集合，根據(jù)匹配的規(guī)則進行綜合評價；根據(jù)評價結果和閾值判斷網(wǎng)絡內容的是否過濾；過濾功能包含了一些常用的內容過濾技術，即黑名單、HTTP 驗證、SMTP 驗證、FROM地址合法性檢查、RCPT 地址合法性檢查、簡單內容過濾。入侵防護模塊采用完全數(shù)據(jù)檢測技術(CDI)，它能夠掃描和檢測整個OSI 堆棧模型中最新的安全威脅。與其他單純檢查包頭或“深度包檢測”的安全技術不同，CDI 技術重組文件和會話信息，以提供強大的掃描和檢測能力。只有通過重組，一些最復雜的混合型威脅才能被發(fā)現(xiàn)。入侵防護模塊將分散的“威脅索引”信息關聯(lián)起來分析判斷，以識別可疑的惡意流量，甚至可以在這些流量可能還未被提取攻擊特征之前就予以識別出來。通過跟蹤每一個安全組件的檢測活動，系統(tǒng)還能做到降低誤報率，以提高整個系統(tǒng)的檢測精確度。該方法為檢測未知的新型攻擊提供了有力工具。入侵防護模塊也支持傳統(tǒng)的數(shù)據(jù)流特征與入侵防護知識庫進行匹配。

    圖3 監(jiān)控節(jié)點結構

    為了補償內容過濾、入侵防護技術帶來的性能延遲，使用硬件芯片為系統(tǒng)提供硬件加速。

5 主機監(jiān)控模塊設計

    主機監(jiān)控模塊實現(xiàn)的功能包括主機入侵檢測、防病毒。主機入侵檢測功能監(jiān)視分析系統(tǒng)、事件和安全記錄。當有文件發(fā)生變化時，將新的記錄條目與攻擊標記相比較，如果匹配系統(tǒng)就報警。主機入侵檢測對關鍵的系統(tǒng)文件和可執(zhí)行文件通常進行定期檢查校驗和，以便發(fā)現(xiàn)異常變化。

    病毒、蠕蟲、以及其他“危害程序”可以通過電子郵件、或直接通過那些從瀏覽器下載郵件與文件的用戶，進入內部網(wǎng)絡并進行破壞。本文系統(tǒng)采用成熟的技術合作伙伴卡巴斯基(Kaspersky Labs)。

6 系統(tǒng)評價

    在100 Mb/s 局域網(wǎng)內，分布式信息安全防御系統(tǒng)與性能相當?shù)哪硰S商100 Mb/sUTM 進行了相應的性能測試。測試工具為Fluke 網(wǎng)絡測試儀，型號ES2-LAN-SX/I-LRD。本次測試采用網(wǎng)絡延遲指標評價設備性能的有效性。測試實驗安排10 組，在一定網(wǎng)絡流量下比較2 組設備的網(wǎng)絡延遲，每組實驗取8 次延遲測量的平均值，測試結果如圖4 所示。從延遲曲線中可看出，當網(wǎng)絡流量不大的情況下(如流量小于40 Mb/s)，2 組設備的網(wǎng)絡延遲相差不大；當網(wǎng)絡流量增大到一定程度，2 組設備的網(wǎng)絡延遲差距增大，且流量越大網(wǎng)絡延遲差距越大。從延遲曲線中也可以看出，分布式信息安全防御系統(tǒng)的網(wǎng)絡延遲相對較小，性能較性能相當?shù)腢TM要高。

    圖4網(wǎng)絡延遲比較曲線

7 結束語

    分布式信息安全防御系統(tǒng)將安全任務分到各個不同的節(jié)點上，使得每個節(jié)點所在的位置不同，防御任務也不同，有效地解決了uTM單點失效的問題，也提高了整個防御系統(tǒng)的性能，較同類型uTM的性能及穩(wěn)定性有了明顯提高。

    系統(tǒng)的不足在于如果網(wǎng)絡管理員對安全策略的部署不當，可能會造成重疊防御，增加網(wǎng)絡的額外負擔。下一步工作將研究有關分布式信息安全防御系統(tǒng)的安全策略配置問題。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：分布式信息安全防御系統(tǒng)的設計與實現(xiàn)

本文網(wǎng)址：http://www.oesoe.com/html/solutions/1401932034.html