上周寫的一篇文章《全域安全:一種運行時安全管理模型》,向大家介紹了全域安全管理模型,它是如何在Laxcus分布式作業系統的分布環境下,解決了分布式應用業務的全流程安全管理問題,其中順便提到,如果把全域安全管理模型放到西工大,也能防范美國國家安全域TAO針對西工大的網路攻擊,因為文章主要是講解全域安全管理模型的處理流程,并不是防范網路攻擊的介紹,這些天持續有人在后臺私信我,希望了解全域安全管理模型防范網路攻擊的具體細節,那么今天再寫一篇,詳細說說這方面的事情,
在介紹防范網路攻擊手段之前,希望各位對全域安全管理模型有點了解,不清楚的地方,可以看上面那篇文章,閑話不多說,咱們直奔主題,
全域安全管理模型是一個體系化的分布式監管模型,它從系統架構到應用操作行為,進行著全方位的安全管控,除了防范攻擊行為,更主要是給用戶提供了一個放心使用的安全運行環境,按照從上至下的順序,采用了下列管控措施,這些措施被Laxcus分布式作業系統強制執行,全部屬于必選項,
一、計算機集群網路分成內網和外網,中間用網關分隔,
二、使用虛擬化技術,把物理的計算機集群,分成多個獨立的虛擬計算機集群空間,一個用戶獨享一段虛擬空間,
三、可信網路的基礎,CA證書被密鑰令牌取代,
四、重新設計網路加密通信,
五、隔離管理員和用戶,并且不允許身份互換,
六、用戶使用計算機需要獲得授權,沒有獲得授權時,不能執行任何操作,
七、執行應用業務也要獲得授權,運行程序中的任何操作,都被嚴格監控,接受管制,
咱們先說第一項和第二項,
第一項是針對計算機集群的環境安全部署,邏輯上把計算機網路分成內外兩個網段,外網屬于注冊用戶所有,體系設計上定義為非安全環境,它提供人機互動能力和結果展示,具體的存盤和計算作業被投遞到內網執行,內網由集群管理員負責維護,用戶所有的存盤和計算作業都在內網處理,屬于高安全可靠運行環境,管理員有義務保證計算機集群內網安全,為了實作內外網的互聯互通互操作,且能夠隱藏內網拓撲,避免將內網暴露給外網,它們之間用網關進行了連接隔離,網關的作用是反向代理,來自外網的任何操作,都要接受網關的檢查,只有通過安全校驗確認后,網關才會把外網請求轉發給內網處理,這樣從物理環境布局上,一定程度限制了網路攻擊行為,
Laxcus內外網路環境,中間有網關分隔,
第二項屬于虛擬化技術的延伸創新,不同與傳統虛擬化針對一臺計算機,Laxcus分布式作業系統的虛擬化,針對計算機集群,它把硬體的計算機集群進行軟體切割,在一定范圍內分成N多個片段,即虛擬計算機集群,每個用戶登錄后獨享其中一段空間,用戶所做的作業,只能在自己的空間,與他人老死不相往來,在這種情況下,如果某位用戶虛擬空間遭到破壞,也只局限于自己的虛擬空間范圍內,其它用戶不受影響,這樣就進一步壓縮了破壞影響范圍,
虛擬化集群在用戶登錄時分配,退出后釋放,通過虛擬化+資源復用,大幅提高了計算機集群的使用效率,降低了用戶使用成本,保守估算,這個成本大概是原來的1/20 - 1/50之間,
第三項針對CA證書,目前互聯網上的電子安全證書,由第三方安全機構頒發,證書一般包含簽證機構名稱、數字簽名、有效期,以及非對稱加密的公鑰和私鑰,通常是公鑰用來加密,私鑰用來解密,由第三方安全機構頒發安全證書的本意,是希望體現公平、公正、安全保證、不作惡原則,
過去一段時間,安全證書曾經普遍被各界接受,但是隨著過去幾年各種力量對抗加劇,頻繁出現的各種顛覆性事件,放在這樣的背景下,作為頒發安全證書的機構,其本身已經受到質疑,現在誰也不能保證它們絕對的公平、公正,不會做出違背其宗旨原則的選擇,這個現實背景下的安全證書已經受到質疑,另外,獲得安全證書需要繳納一定費用,不可靠不可信+收費,安全證書的價值在減弱,
全域安全管理模型用“密鑰令牌”取代了安全證書,相比安全證書,密鑰令牌由管理員設定部署管控,有以下優點:
1.密鑰產生來源多樣性,
2.密鑰具備足夠的隨機性,
3.零成本,不象CA證書一樣需要收費,
4.自由定義安全性更強,有利強化管理計算機集群,
在全域安全管理模型中,密鑰的來源多種多樣,包括計算機根據運行引數生成,管理員通過管理界面手動定義設定、由經典密鑰機產生,甚至可以從量子網路中取得,運行時隨機生成,管理員自由定義,經典密鑰機獲得、從量子網路取得,這些強隨機性的獲得方式,CA證書不具備,
另外,在全域安全管理模型中,密鑰令牌不象CA證書一樣,只有一個,而是任意多個,它允許管理員為每個節點配置不同的密鑰令牌,甚至在一個節點上,針對不同用戶,也可以配置多個,比如為某組IP地址的用戶,配置專屬于他的密鑰令牌,或者針對某個數字簽名的用戶,配置一個密鑰令牌,
這些隨機性和多樣性,有利強化管理員安全管控計算機集群,
為“192.168.100”網段用戶配屬密鑰令牌,實作與其它網段一致但有區別的加密通信
第四項屬于Laxcus分布式作業系統FIXP網路的一部分,這個時候已經進入到個體業務處理階段,目前的FIXP網路,強制全流程執行加密通信,如果截獲這些加密通信,打開它們,你會看到的只是一堆無意義的二進制數字,FIXP網路的加密通信處理流程,類似SSL/TLS,但是在部分實作細節上,加入了新的元素,比如通信采用了短報文通信技術,即每一次RPC呼叫,按照需求,被系統分成N個步驟來處理,每一次通信IO,都是一次一密的執行,對稱密鑰、數字簽名、非對稱密鑰都可以隨機動態更換,并且非對稱密鑰、數字簽名、對稱密鑰,它們不允許接觸任何物理存盤設備,被嚴格限制在網路、記憶體、CPU之間的傳遞,因為一次一密的機制,保證了上次通信的密鑰和本次不同,即使資料明文是完全一樣的資訊,也會呈現不同的傳輸內容,這樣的網路通信有相當的迷惑性,它降低密鑰被截獲后破解的概率,強化了個體業務的安全強度,再加上多密鑰令牌機制,即使用上Laxcus這樣超級強大的分布式處理系統來逆向計算,也難以破解這些加密密碼,
FIXP網路管理非對稱加密、數字簽名、對稱加密,是個人安全服務的入口
第五項涉及的是權限管理問題,在全域安全管理模型中,系統將管理員的管理權限和用戶的使用權限,進行了嚴格限制分割,不允許身份互換,這樣的結果就是,如果一個人以管理員身份登錄進入Laxcus分布式作業系統,那么他只能執行計算機集群方面的作業,用戶能夠執行的操作被禁止,同樣的,如果一個人以用戶身份登錄進入Laxcus分布式作業系統,管理員能夠執行的操作被嚴格禁止,所有作業都被限制在用戶權責范圍內,這是從計算機程式層面進行的限制,除非有能力修改全部源代碼,否則整體無解,
這一點和Unix、Linux等作業系統的設計完全不同,在Unix/Linux上,每個人的身份可以隨時切換,比如一個登錄者以普通用戶身份登錄,如果他需要執行更高權限的作業,切換到root用戶狀態,使用“su”命令就可以完成,但是在Laxcus分布式作業系統上,不允許這樣操作,用戶的身份,在他登錄成功那一刻即被確認,沒有切換的機會,
拒絕身份切換,也除了減少密碼泄漏的機會,更主要為Laxcus分布式作業系統提供更高級的安全管控能力,
管理員非法執行用戶指令,被系統拒絕!
第六項可以看作第五項管理員權限的延伸,在Laxcus分布式作業系統上,一個用戶賬號注冊成功后,尚不具有處理任何作業的能力,要想得到這樣的能力,必須獲得管理員的授權,目前用戶能夠使用的權限有幾十種,比如操作大資料的權限,針對分布式應用軟體的權限,針對用戶虛擬空間的權限,這些權限還可以進一步細分,比如細化到執行原子級別IO的操作,
管理員向一個名為“TINY”的用戶授權,使他獲得刪表、加載索引,SQL SELECT檢索的能力
第七項已經進入到具體的用戶執行層面,在這個層面,全域安全管理模型會嚴格監督用戶發出的任何操作行為,用戶運行的分布式應用軟體,執行大資料處理作業,判斷提取系統資訊的操作,都會受到嚴格監控,這些監控基于第六項的管理員授權,如果用戶沒有獲得某個應用軟體的運行授權,那么他不能運行這個應用軟體,即使在前端的圖形桌面執行,這項作業投遞到云端內網環境中,也會被系統拒絕執行,大資料存取處理、操作資料庫的SQL陳述句也是同樣的道理,
以上就是全域安全管理模型針對網路攻擊的具體處理措施,這些安全手段對于初學者,可能仍然比較抽象,那么咱們換個角度,結合實際案例,談談如果使用全域安全管理模型,如何防范網路攻擊獲取西工大機密資訊,這樣應該更容易讓各位理解,
根據披露的資訊,西工大機密資料被竊,是嗅探程式和木馬程式組團作惡的結果,流程大致是這樣:美國國家安全域TAO為了掩人耳目,派出大批跳馬侵入世界各國的計算機系統,從這些地方發起攻擊,集中掃描西工大的計算機系統,尋找系統漏洞,比如某個可以利用的埠,或者發送誘餌郵件,由此值入木馬程式,在缺少必要安全保護的情況下,有些木馬程式被激活運行,取得某臺計算機最高級別的root權限,然后這些木馬程式繼續依此回圈往復,獲得更多計算機的root權限,植入更多木馬程式,利用root權限加上木馬程式,TAO大規模持續檢索計算機上的資訊,尋找竊取機密資料,然后通過網路,傳輸保存到它們預設的某個位置,最后“抹腳印”,將計算機系統上的行動軌跡銷毀,洗掉作案證據,撤出被攻擊的計算機系統,好象什么事情都沒有發生一樣,在國際社會繼續利用手中的媒體,把自己裝扮成一朵白蓮花,
針對這些情況,結合全域安全管理模型,我們可以這樣防御處理:
1.內外網路分離,網關連接通信雙方,對外只保留一個通信埠,這個埠的后端節點使用密鑰令牌通信,必要時候,依據IP地址來源或者啟用數字簽名,嚴格識別和控制外來通信,杜絕非法訪問,
2.在計算機集群虛擬化層面,因為每個空間都是獨立的,一個空間出現問題,并不影響同處一個物理計算機集群其它空間用戶使用,這樣就將問題波及影響限制在個體層面,
3.在個體層面,用戶如果想使用計算機集群,需要獲得授權,因為授權只能由管理員執行,而管理員是某個具體的人來操作,他的操作只在內網環境中執行,執行資訊不會出現在外網環境,加上管理員空間和用戶空間分開,所以授權程序具備相當的安全保證,進一步降低安全風險,
4.個體用戶使用,運行分布式應用軟體,存取資料、執行命令都建立在授權基礎上,因為每個分布式應用軟體都有數字簽名,這個簽名由軟體開發者簽發,具備唯一性,如果發布到應用軟體商店,還將接受應用商店的安全檢查才能發布,軟體的安裝部署程序只能由用戶手工處理,拒絕自動執行,這個環節還可以增加自定義的安全檢查,比如手機校驗或者其它什么可以識別的方式,由此拒絕木馬植入,軟體部署到內網的云端環境,會繼續接受系統的安全檢查識別,這些檢查資訊都被記錄下來,保存到一個安全的注冊表里,在軟體運行前,它們一起分發到各個計算機節點上,一旦運行時發現不符,比如被植入木馬,或者攜帶了病毒,可以立即檢測出來,這個時候系統會拒絕運行,同時通知用戶,這個道理也同樣適用Laxcus分布式作業系統的各種命令,包括很多類似Linux/Unix的高危命令,
同樣基于授權機制,即使用戶的應用軟體本身沒有問題,但是軟體在運行程序中,出現了超越權限的行為,比如在沒有獲得寫權限情況下,執行了一個針對磁盤的寫操作,或者在沒有讀取權限的情況,讀取系統資訊,這些情況都會被系統識別,做出拒絕執行操作,
以上就是全域安全管理模型的處理流程,這些安全管控措施跟隨業務需求被一層層分解,然后一層層分階段判斷執行,細密到每一個處理環節,十分繁瑣,系統實際運行程序中,也確實因為各種安全措施的深度介入,降低了計算機系統運行效率,但是如果考慮現在的計算機系統越來越需要安全的運行環境,而全域安全管理模型能夠保護計算機系統安全運行,杜絕各種安全隱患,降低計算機被網路攻擊的概率,和資料泄漏的可能,它從另一個維度,保護著我們的數字資產,提高了安全保障能力,所以這一切的成本付出和代價都是值得的,
附說明:全域安全管理模型目前應用于Laxcus分布式作業系統,Laxcus是一個開源、容錯、高擴展、多人共享、多機協同分布運行的作業系統,支持百萬級節點規模的計算機集群、億級用戶在線,通過分布式應用軟體,處理大規模、超大規模的存盤和計算作業,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/509688.html
標籤:其他