1、關于信息安全保障模式變革淺析作者：韓立華韓立寧張亮徐強 論文關鍵詞：信息安全漏洞挖掘漏洞利用病毒云安全保障模式變革論文摘要：互聯(lián)網(wǎng)時代的來臨給人們帶來便利的同時也使信息安全與網(wǎng)絡安全形勢日益嚴峻。形形色色的漏洞層出 不窮，傳統(tǒng)的安全保障模式已經無法有效地應對當前的威脅。 本文分析了信息安全形勢和現(xiàn)狀，闡述了由漏洞挖掘、漏洞 利用所構成的病毒產業(yè)鏈對現(xiàn)有安全技術和理念的沖擊。根 據(jù)病毒產業(yè)鏈中各個環(huán)節(jié)的特點，提出了基于“云安全”思 想的新型的安全保障模式，使之能夠快速感知和捕獲新的威 脅，并從源頭上予以監(jiān)控。論文聯(lián)盟編輯。1引言信息安全與網(wǎng)絡安全的概念正在與時俱進，它從早期的通信保密發(fā)展到關注信

2、息的保密、完整、可用、可控和不可 否認的信息安全，再到如今的信息保障和信息保障體系。單 純的保密和靜態(tài)的保障模式都已經不能適應今天的需要。信 息安全保障依賴人、操作和技術實現(xiàn)組織的業(yè)務運作，穩(wěn)健 的信息保障模式意味著信息保障和政策、步驟、技術與機制 在整個組織的信息基礎設施的所有層面上均能得以實施。近年以來，我國的信息安全形勢發(fā)生著影響深遠的變化, 透過種種紛繁蕪雜的現(xiàn)象，可以發(fā)現(xiàn)一些規(guī)律和趨勢，一些 未來信息安全保障模式變革初現(xiàn)端倪。2信息安全形勢及分析據(jù)英國簡氏戰(zhàn)略報告和其它網(wǎng)絡組織對世界各國信 息防護能力的評估，我國被列入防護能力最低的國家之一， 排名大大低于美國、俄羅斯和以色列等信息安

3、全強國，排在 印度、韓國之后。我國已成為信息安全惡性事件的重災區(qū)， 國內與網(wǎng)絡有關的各類違法行為以每年高于30%的速度遞 增。根據(jù)國家互聯(lián)網(wǎng)應急響應中心的監(jiān)測結果，目前我國95% 與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡管理中心都遭受過境內外黑客的攻擊 或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。在互聯(lián)網(wǎng)的催化下，計算機病毒領域正發(fā)生著深刻變革， 病毒產業(yè)化經營的趨勢日益顯現(xiàn)。一條可怕的病毒產業(yè)鏈正 悄然生成。傳統(tǒng)的黑客尋找安全漏洞、編寫漏洞利用工具、傳播病 毒、操控受害主機等環(huán)節(jié)都需要自己手工完成。然而，現(xiàn)在 由于整個鏈條通過互聯(lián)網(wǎng)運作，從挖掘漏洞、漏洞利用、病 毒傳播到受害主機的操控，已經形成了一個高效的

4、流水線， 不同的黑客可以選擇自己擅長的環(huán)節(jié)運作并牟取利潤，從而 使得整個病毒產業(yè)的運作效率更高。黑客產業(yè)化經營產生了 嚴重的負面影響：首先，病毒產業(yè)鏈的形成意味著更高的生產效率。一些 經驗豐富的黑客甚至可以編寫出自動化的處理程序對已有 的病毒進行變形，從而生產出大量新種類的病毒。面對井噴 式的病毒增長，當前的病毒防范技術存在以下三大局限： 新樣本巨量增加、單個樣本的生存期縮短，現(xiàn)有技術無法及 時截獲新樣本。即使能夠截獲，則每天高達數(shù)十萬的新樣 本數(shù)量，也在嚴重考驗著對于樣本的分析、處理能力。即 使能夠分析處理，則如何能夠讓中斷在最短時間內獲取最新 的病毒樣本庫，成為重要的問題。其次，病毒產業(yè)鏈

5、的形成意味著更多的未知漏洞被發(fā) 現(xiàn)。在互聯(lián)網(wǎng)的協(xié)作模式下，黑客間通過共享技術和成果， 漏洞挖掘能力大幅提升，速度遠遠超過了操作系統(tǒng)和軟件生 產商的補丁發(fā)布速度。再次，黑客通過租用更好的服務器、更大的帶寬，為漏 洞利用和病毒傳播提供硬件上的便利；利用互聯(lián)網(wǎng)論壇、博 客等，高級黑客雇傭“軟件民工”來編寫更強的驅動程序, 加入病毒中加強對抗功能。大量軟件民工的加入，使得病毒 產業(yè)鏈條更趨“正規(guī)化、專業(yè)化”，效率也進一步提高。最后，黑客通過使用自動化的“肉雞”管理工具，達到 控制海量的受害主機并且利用其作為繼續(xù)牟取商業(yè)利潤的 目的。至此整個黑客產業(yè)內部形成了一個封閉的以黑客養(yǎng)黑 客的“良性循環(huán)”圈。3

6、漏洞挖捆與利用病毒產業(yè)能有今天的局面，與其突破了漏洞挖掘的瓶頸 息息相關。而漏洞挖掘也是我們尋找漏洞、彌補漏洞的有利 工具，這是一柄雙刃劍。3. 1漏洞存在的必然性首先，由于internet中存在著大量早期的系統(tǒng)，包括 低級設備、舊的系統(tǒng)等，擁有這些早期系統(tǒng)的組織沒有足夠 的資源去維護、升級，從而保留了大量己知的未被修補的漏 洞。其次，不斷升級中的系統(tǒng)和各種應用軟件，由于要盡快 推向市場，往往沒有足夠的時間進行嚴格的測試，不可避免 地存在大量安全隱患。再次，在軟件開發(fā)中，由于開發(fā)成本、 開發(fā)周期、系統(tǒng)規(guī)模過分龐大等等原因，bug的存在有其固 有性，這些bug往往是安全隱患的源頭。另外，過分龐大

7、的 網(wǎng)絡在連接、組織、管理等方面涉及到很多因素，不同的硬 件平臺、不同的系統(tǒng)平臺、不同的應用服務交織在一起，在 某種特定限制下安全的網(wǎng)絡，由于限制條件改變，也會漏洞 百出。3. 2漏洞挖掘技術漏洞挖掘技術并不單純的只使用一種方法，根據(jù)不同的 應用有選擇地使用自下而上或者自上而下技術，發(fā)揮每種技 術的優(yōu)勢，才能達到更好的效果。下面是常用的漏洞挖掘方 法：(1) 安全掃描技術。安全掃描也稱為脆弱性評估，其基 本原理是采用模擬攻擊的方式對目標系統(tǒng)可能存在的已知 安全漏洞進行逐項檢測。借助于安全掃描技術，人們可以發(fā) 現(xiàn)主機和網(wǎng)絡系統(tǒng)存在的對外開放的端口、提供的服務、某 些系統(tǒng)信息、錯誤的配置等，從而檢

8、測出已知的安全漏洞， 探查主機和網(wǎng)絡系統(tǒng)的入侵點。(2) 手工分析。針對開源軟件，手工分析一般是通過源 碼閱讀工具，例如sourcei nsight等，來提高源碼檢索和查 詢的速度。簡單的分析一般都是先在系統(tǒng)中尋找strcpy0之 類不安全的庫函數(shù)調用進行審查，進一步地審核安全庫函數(shù) 和循環(huán)之類的使用。非開源軟件與開源軟件相比又有些不同, 非開源軟件的主要局限性是由于只能在反匯編獲得的匯編 代碼基礎上進行分析。在針對非開源軟件的漏洞分析中，反 編引擎和調試器扮演了最蘑要的角色，如idapro是目前性能 較好的反匯編工具。(3) 靜態(tài)檢查。靜態(tài)檢查根據(jù)軟件類型分為兩類，針對 開源軟件的靜態(tài)檢查和

9、針對非開源軟件的靜態(tài)檢查。前者主 要使用編譯技術在代碼掃描或者編譯期間確定相關的判斷 信息，然后根據(jù)這些信息對特定的漏洞模型進行檢查。而后 者主要是基于反匯編平臺idapro,使用自下而上的分析方法, 對二進制文件中的庫函數(shù)調用，循環(huán)操作等做檢查，其側重 點主要在于靜態(tài)的數(shù)據(jù)流回溯和對軟件的逆向工程。(4) 動態(tài)檢查。動態(tài)檢查也稱為運行時檢查，基本的原理 就是通過操作系統(tǒng)提供的資源監(jiān)視接口和調試接口獲取運 行時目標程序的運行狀態(tài)和運行數(shù)據(jù)。目前常用的動態(tài)檢查 方法主要有環(huán)境錯誤注入法和數(shù)據(jù)流分析法。以上介紹的各 種漏洞挖掘技術之間并不是完全獨立的，各種技術往往通過 融合來互相彌補缺陷，從而構造

10、功能強大的漏洞挖掘工具。 3. 3漏洞利用漏洞的價值體現(xiàn)在利用，如果一個漏洞沒有得到廣泛的 利用便失去了意義。通常，從技術層面上講，黑客可以通過 遠程/本地溢出、腳本注入等手段，利用漏洞對目標主機進 行滲透，包括對主機信息和敏感文件的獲取、獲得主機控制 權、監(jiān)視主機活動、破壞系統(tǒng)、暗藏后門等，而當前漏洞利 用的主要趨勢是更趨向于web攻擊，其最終日標是要在日標 主機（主要針對服務器）上植入可以綜合利用上面的幾種挖 掘技術的復合型病毒，達到其各種目的。論文聯(lián)盟編輯。4新型信息安全模式分析最近的兩三年間，在與病毒產業(yè)此消彼漲的較量中，信 息安全保障體系的格局，包括相關技術、架構、形態(tài)發(fā)生了 一些深

11、遠、重大的變化，大致歸納為以下三個方面：第一， 細分和拓展。信息安全的功能和應用正在從過去簡單的攻擊 行為和病毒防范開始向各種各樣新的聯(lián)網(wǎng)應用業(yè)務拓展，開 始向網(wǎng)絡周邊拓展。如現(xiàn)在常見的對于帳號的安全保護、密 碼的安全保護、游戲的安全保護、電子商務支付過程的安全 保護等，都是信息安全功能和應用的細分與拓展。第二，信息安全保障一體化的趨向。從終端用戶來說, 他們希望信息安全保障除了能夠專業(yè)化地解決他們具體應 用環(huán)節(jié)里面臨的各種各樣的具體問題之外，更希望整體的、 一體化的信息安全解決方案貫穿業(yè)務的全過程，貫穿it企 業(yè)架構的全流程。因此，許多不同的安全廠商都在進行自身 的安全產品、體系架構的整合，

12、針對性地應用到個人客戶的 方方面面，表現(xiàn)出信息安全保障一體化的趨向。第三，安全分布結構的變化。在服務器端，不管是相關 市場的投入還是企業(yè)的需要，乃至相關的企業(yè)對服務器市場 的重視都在發(fā)生重大的變化。這樣的變化對安全的分布結構 產生了重大的影響，在這方面，各個安全廠商無論在服務器 安全還是客戶端安全都加入了許多新型功能，甚至都在從體 系結構方面提出一些新模式。透過技術、架構、形態(tài)的新發(fā)展，我們看到了 些規(guī)律 和趨勢，吏看到了一些未來信息安傘保障模式變節(jié)的端倪。 既然客在互聯(lián)的催化下實現(xiàn)產業(yè)化，那么信息安全保障呢? 將互聯(lián)網(wǎng)上的每個終端用戶的力量調動起來，使整個互聯(lián)網(wǎng) 就將成為一個安全保障工具，這

13、樣的模式就是未來信息安全 保障的模式，被一些機構和安全廠商命名為"云安全"。在''云安全”模式中，參與安全保障的不僅是安全機構 和安全產品生產商，更有終端用戶一一客戶端的參與。'云 安全”并不是一種安全技術，而是一種將安全互聯(lián)網(wǎng)化的理 念。“云安全”的客戶端區(qū)別于通常意義的單機客戶端，而 是一個傳統(tǒng)的客戶端進行互聯(lián)網(wǎng)化改造的客戶端，它是感知、 捕獲、抵御互聯(lián)網(wǎng)威脅的前端，除了具有傳統(tǒng)單機客戶端的 檢測功能以外還有基于互聯(lián)網(wǎng)協(xié)作的行為特征檢測和基于 互聯(lián)網(wǎng)協(xié)作的資源防護功能，因此它可以在感知到威脅的同 時，迅速把威脅傳遞給''云安全”的

14、威脅信息數(shù)據(jù)中心。威 脅信息數(shù)據(jù)中心是收集威脅信息并提供給客戶端協(xié)作信息 的機構，它具有兩個功能：一是收集威脅信息；二是客戶端 協(xié)作信息的查詢和反饋。首先，從“云安全”的客戶端收集、 截獲的惡意威脅信息，及時傳遞給數(shù)據(jù)中心，然后傳遞給來 源挖掘和挖掘服務集群，來源挖掘和挖掘服務集群會根據(jù)這 些數(shù)據(jù)來挖掘惡意威脅的來源，通過協(xié)作分析找到源頭，進 而對源頭進行控制，如果不能控制，則至少可以對源頭進行 檢測。然后，將所有收集到的信息集中到自動分析處理系統(tǒng)， 由其形成一個解決方案，傳遞給服務器，服務器再回傳客戶 端，或者是形成一個互聯(lián)網(wǎng)的基礎服務，傳遞給所有安全合 作伙伴，形成一個互聯(lián)網(wǎng)技術服務，使整

15、個網(wǎng)絡都享受該安 全解決方案。概括而言，“云安全”模式具有以下特點：第一，快速 感知，快速捕獲新的威脅。'云安全”的數(shù)據(jù)中心可以并行服 務，通過互聯(lián)網(wǎng)大大提高威脅捕獲效率。第二，“云安全” 的客戶端具有專業(yè)的感知能力。通過威脅挖掘集群的及時檢 測，可以從源頭監(jiān)控互聯(lián)網(wǎng)威脅。互聯(lián)網(wǎng)已經進入web2. 0時代，web2. 0的特點就是重 在用戶參與，而''云安全”模式已經讓用戶進入了安全的2. 0 時代。在黑客產業(yè)化經營的新威脅的形勢下，也只有互聯(lián)網(wǎng) 化的“云安全”保障模式才能與之對抗。4結柬語信息安全領域認為，僅僅依靠政策、法規(guī)和保密技術是 不夠的，必須建立一個實體來操作，可見信息安全已經擴展 成為技術保障、組織保證、法規(guī)管理的全方位的動態(tài)概念, 它包括保護、檢測、反應和恢復的有機結合。目前，世界信 息安全策略已經發(fā)生重大調整：從追求部件的絕對保密， 變?yōu)榍蟮孟到y(tǒng)的相對安全。從保證縱向"管式”的信息安 全，轉變?yōu)楸Ｕ稀氨馄绞健笨v橫信息網(wǎng)絡互聯(lián)的安全。頂 層設計、綜合開發(fā)，統(tǒng)籌安排設計的安全框架、安全結構和 安全協(xié)議，使開發(fā)信息系統(tǒng)高效運行、安全互通互操作。