国家计算机病毒应急处理中心和360分别发布了“关于西北工业大学遭受美国国家安全局网络攻击的调查报告”。这份报告证明,在网络空间的底层设备的操作系统、应用系统上,大量的安全漏洞或后门。利用这些漏洞或后门,可以构成一条可直达西工大这样国家最高安全等级的网络应用的核心服务器的通讯线路。传统的安全防御模式,无法防止这条通讯线路的构建。从调查报告披露的信息看,美国国家安全局就是利用这些安全漏洞和后门实施了本次攻击。本次攻击既不是美国国家安全局对我国具有高战略价值的网络系统实施的第一次网络攻击,也不会是最后一次。只要操作系统、应用系统上的漏洞或后门不被彻底封死,美国国家安全局或网络部队,就一定会利用美国在操作系统、应用系统上的绝对的技术优势,不断实施同样的攻击。
网络安全攻防的多年实践证明,操作系统、应用系统上的安全漏洞和后门是一个必然存在。在此态势下,是否就只能坐以待毙、任人宰割、被动防守?答案显然是否定的。等宝2.0安全框架将可以有效抵抗以操作系统、应用系统上的安全漏洞和后门为必备技术条件的网络攻击。
传统的安全模式下的主要需要加强安全防护的防护方向和需要实现的防护目标。
图1是传统的安全模式下,网络连接示意图。
图1
从“调查报告”可知,此次攻击攻陷的设备如下:
设备1:防火墙。
防火墙是传统安全模式下的标准安全部件。攻击成功就意味着西工大的防火墙被攻陷。
设备2:终端。
从“调查报告”可知,本次攻击中,有大量的终端被攻陷。这些终端,应该既有处于内网状态的内网终端,也有除外网状态的外网终端。在防火墙被攻陷的情形下,内网终端、外网终端的安全状态无本质区别。
设备3:服务器
设备4:外网设备
从“调查报告”可知,本次攻击中,被攻陷的外网设备包括但不限于周边国家的多个用于做跳板的服务器,西安本地网络运营商的局端设备。
从“调查报告”披露的信息看,本次攻击是一次标准的按照美国国防部国防创新委员2019年4月3日发布的《5G生态系统:对美国国防部的风险与机遇》中的安全建议(警告)实施的网络攻击。在这份报告中,发出如下安全建议(警告):
安全建议(警告)1:外围防御模型已经被证明是无效的。(意味着防火墙必然可被攻陷)
安全建议(警告)2:未来的网络攻击将主要来自网络空间和各种终端。(意味着外网设备必然可被攻陷)
安全建议(警告)3:攻击终端并以终端为跳板实施的攻击,将是一种全新的攻击方式。(意味着网络终端必然可被攻陷)
需要注意的是,按等宝2.0关于网络应用系统的安全等级划分办法,被攻陷的西工大的网络系统,其安全等级应该在4级或5级。也就是最高的安全等级或次高的安全等级。
西工大系统被攻陷,还说明对于所有安全等级为4级或以下的网络应用系统而言,被攻击方攻陷,不是攻击技术上的能不能的问题,而是攻击财政净收入的值不值的问题。这就是最近几年,勒索攻击的勒索金额屡创新高的根本原因。
通过以上分析,可以得出如下结论:
结论1:传统安全模式下的安全防御模型,无法有效抵抗基于操作系统、应用系统上必然存在的安全漏洞、后门的全方位网络攻击。
结论2:采用新型的安全防御模型,就成了可有效抵抗基于操作系统、应用系统上必然存在的安全漏洞、后门的全方位网络攻击的唯一选择。
汇集工信部发布的“网络安全产业高质量发展三年行动计划(2021-2023年)”、等保2.0、 “GB/T 35273-2020-个人信息安全规范”、 《移动金融客户端应用软件安全管理规范》等安全标准中的相关标准,全新的安全防御模型(等宝2.0安全框架)的基本框架如图2:
图2
等宝2.0安全框架可以分解为如下几个主要的安全部件:
安全部件1:防火墙
防火墙是传统安全模式下的安全防御模型中必备的一个安全部件。但无数的事实说明,现役的各种防火墙,因构建在操作系统、应用系统之上,固必然存在安全漏洞或后门。这一点,无论是在美国国防部国防创新委员2019年4月3日发布的《5G生态系统:对美国国防部的风险与机遇》(注1)还是工信部发布的“网络安全产业高质量发展三年行动计划(2021-2023年)”、等保2.0等官方文件(注2)都有明确的描述。换而言之,重新建构无安全漏洞和后门的防火墙,是构建等宝2.0安全框架的必要条件。表1是新防火墙的分类和主要的技术指标。
|
防火墙的名称 |
布防位置 |
主要功能 |
主要的技术指标 |
|
内网终端防火墙 |
内网终端同内网之间 |
为内网终端提供防护。确保即使内网终端感染病毒,病毒也无法在内网直接,快速有效的感染、传播。 |
要求1:不能包含操作系统、应用系统必然包含的安全漏洞 要求2:防火墙必须小型化、微型化,财物成本要足够低,使得新防火墙可以布设在图2中的各个节点。(注3) |
|
内外网间防火墙 |
内网、外网之间 |
在内网和外网之间分割出明确的防御边界。 | |
|
外网终端防火墙 |
外网终端同外网之间 |
物联网终端防火墙为物联网终端提供安全防护 | |
|
网络应用终端防火墙为网络应用的核心敏感数据提供防护。 |
注1:美国国防部国防创新委员于2019年4月3日发布的《5G生态系统:对美国国防部的风险与机遇》的“建议二”中明确写着:“(美国)国防部必须采用“零信任”网络模式,因为外围防御模型已经被证明是无效的。”
注2:在等保2.0中,明确规定网络应用的防护范围为图2中的服务器和外网、内网终端。在工信部发布的“网络安全产业高质量发展三年行动计划(2021-2023年)”中,防火墙安全性能的提升设定为重点任务之一。
注3:防火墙的小型化、微型化,使得以下安全防御目的在技术上、财物成本上成为可能:第一:可对处于外网的终端处特别是物联网终端提供高强度的安全防护。第二:对图2中的内网进行分割,防止入侵到内网终端的病毒,在内网扩散。
安全部件2:通过外网进行的点对点通讯。
入侵外网上的节点设备(如路由器、网络运营商的局端网络设备),拦截经过的通讯数据,是所有网络攻击的第一步。而这些节点设备,是攻击方最容易利用安全漏洞或后门攻陷的目标设备。
所以,构建可有效对抗通讯数据被拦截的通讯模式,就是构建等宝2.0安全框架的第二个必要条件。具体的安全指标见表2。
表2:点对点的数据传输的安全防护指标
|
点对点的数据传输 |
防止传输数据被拦截 |
|
防止传输数据被篡改 | |
|
防止传输数据被伪造 | |
|
防止传输通道成为攻击信道 |
设计案例。
如下的设计案例,用于说明如何低成本的构建等宝2.0安全框架的两个关键安全部件。
安全部件2,可有效规避外网数据拦截的点对点的通讯模型。
在传统安全模式下,所有网络应用的基础——通过外网进行的点对点通讯——都面临着表2中的四种威胁。
在《5G生态系统:对美国国防部的风险与机遇》中,给出的保护方案是,在两个通讯点之间,建立一个数据通道。在这个通道中,灌入大量的白噪声通讯数据,将有效的通讯数据淹没在海量的白噪声通讯数据之中。但这种方法一个非常明显的缺点,那就是适用面很窄。这种通讯方式,只适用于固定且公开的重要通讯节点之间的保密通讯。比如各国驻外机构同国内管理机构之间的数据通信。而这种通讯模式,有极容易暴露那些突发通讯的通讯节点。这种特性,使得这种通讯方式并不适用月绝大多数的网络应用。
在等宝2.0中,对物联网终端同服务器之间的通讯,给出安全要求。安全要求1:物联网终端必须关闭操作系统上,所有不用的通讯端口。安全要求2:物联网终端的在用的通讯端口,必须具备防止恶意代码注入的功能。
传统安全模式下,利用VPN是业内广泛采用的保护数据通信的标准方法。只是无数的网络安全攻击事件证明,VPN并不能保证通讯数据的安全。(从理论上讲,西工大应该也采用了VPN进行组网)
既然无法有效避免攻击方在外网,对“点对点的通讯数据”进行拦截。让攻击方无法拦截到全部通讯数据,就成为了保护点对点通讯的数据安全的唯一选择。
将通信数据的碎片化,并通过多个数据通道进行传输,只要确保有一个数据通道上传输的数据不被攻击方拦截,就可以确保全部通讯数据的安全。
图3是一个双数据通道的物联网终端同服务器之间的点对点的连接示意图。其中,由“服务器-防火墙-外网-外网终端防火墙-物联网终端”构成的主数据通道,由“服务器-移动无线Modem1-移动无线Modem2-物联网终端”构成的副数据通道。
图3连接可适用于任何终端-服务器之间的保密通讯。
图3
图4是一个三数据通道的两个服务器之间连接示意图。其中,由“服务器1-防火墙1-外网1-防火墙3-服务器2”构成的数据通道1,由“服务器1-防火墙2-外网3-防火墙4-服务器2”构成的数据通道2,由“服务器1-移动无线Modem1-移动无线Modem2-服务器2”构成的数据通道3。
只要将数据通道1-3设定在不同的网络运营商——如数据通道1(既外网1)用电信网络,数据通道2(既外网2)用移动网络,数据通道3(既无线移动Modem1、无线移动Modem2)用联通网络——并将数据通道1-3进行有效的隐藏,就可以确保攻击方无法拦截到全部的通讯数据,进而确保所有在役的以拦截全部通讯数据为必要前置条件的攻击方案全部失效。图4连接,适用于所有固定且公开的重要通讯节点之间的保密通讯。比如,商业机构总公司同世界各地分分支机构之间、各国驻外机构同国内管理机构之间的数据通信。
图4
无论是图3还是图4,只要将“移动无线modem”更换为“北斗短信”,就可以确保所有的商用网络应用的通讯数据的绝对安全。
只要遵循如下原则,任何应用都可以以图3或图4为基础设计为可以确保任何两个通讯节点之间的网络通讯数据,不会被攻击方全部拦截的点对点的通讯连接。
原则1:将各个数据通道分布在不同的网络通信运营商上。尽量不将多个数据通道构建在同一个网络通信运营商的通讯网络之中,不构建跨通讯运营商的数据通道。
原则2:尽可能多的设定一些用于传输小数据量的通讯信道,并将这些传输小数据量的通讯信道,淹没在大量的普通民用通讯通道之中。比如一个商业机构的总公司和分公司的若干个低阶工作人员的电话之间的暗语通讯,用于传输当天或隔天的加密通讯的部分秘钥。通过微博等社交媒体发布的用隐写技术处理的照片、包含特定暗语的广告;通过电视、广播发布的含有暗语的特定广告等,都可以成为图3或图4通讯连接方式的一个隐秘的数据通道。
按以上两个原则构建的数据通道,可以确保攻击方必须具备如下工程技术条件,可能拦截全部碎片化的通讯数据:1)全网、全通讯状态下拦截数据的能力。2)海量数据的存储能力。3)具有极为庞大的算力可以从海量的数据中筛选、匹配出有效数据。而这三项工程条件,足以将所有想发起商业攻击的商业攻击团队清除出去。
当攻击方无法拦截全部的通讯数据时,攻击方自然无法篡改传输数据和伪造传输数据。表2中“防止传输通道成为攻击信道”就成了保证“点对点数据通信安全”需要补强的最后一块短板。这需要重新设计防火墙以确保防火墙上不具有任何的安全漏洞或后门。
安全部件1,新防火墙。
在图3、图4以及由此扩展而来的多数据通道的碎片化的数据传输方案中,只能确保攻击方无法在外网空间,拦截到全部的通讯数据。但如果攻击方利用在役防火墙上必然存在的操作系统、应用系统上的安全漏洞、后门,顺着众多的通讯信道中的一条,攻陷防火墙,攻入服务器则一样可以获得完整的通讯数据。
由此可见,设计新防火墙,以确保攻击方无法通过任何一条数据通道,攻入服务器,才能确保通过碎片化多数据通道传输的通讯数据和服务器的安全。
下面几个设计案例,可以满足图2和表1中,设定的新防火墙的基本需求。
设计方案1:物联网终端的防火墙
图5为一种适用于物联网终端的防火墙的结构示意图。
其中:
移动网通讯模块1采用一个网络通讯运营商(如移动)的数据流量的通讯信道作为主通信信道。移动网通讯模块2采用另外一个网络通讯运营商(如联通)的短信信道作为副通信信道。
CPU为物联网终端上的CPU。
CPU1为物联网终端的防火墙。关键的技术特征是不能采用运行于操作环境下的CPU,以确保CPU1上的程序一旦设定,就无法通过远程方式修改或下载。物联网终端同服务器之间的通讯数据的验证、加/解密或部分加/解密,都在CPU1上进行。这样的技术特性、功能安排,可以确保:1)CPU1永远都不会被病毒入侵。2)入侵到CPU、移动网通讯模块1/2的病毒,都只能面对CPU1这样一个数据黑洞而无所作为。
物联网终端的业主,可以通过将移动网通讯模块1/2的短信、数据流量同服务器端的开始短信、结束短信、数据流量进行对比的方式(示意图见图6),监控是否有人对物联网终端发起攻击。如果发现攻击行为,则可通过更换移动通讯模块1(既更换其网络地址的MAC码,同时清除了入侵病毒)或更换SIM2(既更换电话号码)的方式,清除入侵病毒并将主、副通信信道再次隐藏起来。
图5
图6
设计方案2:三合一手机SIM卡
三合一手机SIM卡就是“手机卡、存储卡、加密卡”合在一起的新手机SIM卡。
新手机SIM卡的技术特性如下:
封装特性:双面封装。A面同现在的手机SIM卡管脚完全相同。B面为新增加的数据口线。
存储卡特性:存储卡被分为若干个存储区。每一个存储区用于存储一个网络应用的核心敏感数据,如识别ID、加、解密的秘钥等。
数据口特性:两个数据口。一个主数据口,一个副数据口。主数据口在B面,副数据口在A面,副数据口的技术特性同现在的手机SIM卡的数据口特性完全相同。
密码特性:两密码,一个主密码、若干个副密码,主密码作用域为存储卡的所有存储区。一个副密码对应一个存储卡上的存储区。向一个存储区写入数据,需要主密码和对应的副密码同时有效。
操作特性:主密码从主数据口输入,才能使得新SIM卡的储蓄卡进入数据写入状态。在写入状态下,副密码从副数据口或主数据口输入后,核心敏感数据才能写入副密码对应的存储区。写入的核心敏感数据,不可读出。从副数据口送入新SIM卡的数据进行的加解密运算,全部都在新SIM卡内完成。
这一个操作特性,可以确保:1)一个应用的核心敏感数据的写入,必然是在一个特定的设置环境下进行。这个特定的设置环境,同搭载新SIM卡的移动终端的日常工作环境,严格分离。这解决了业内长期无解的被欺骗安装问题和钓鱼网站攻击问题。2)写入一个网络应用的核心敏感数据,必须是由新手机SIM卡的所有人和网络应用共同完成。这解决了核心敏感数据下载中的不可抵赖性问题。3)在正常的移动终端的工作环境下,一个应用的核心敏感数据,既不能写入,也不能读出。这解决了盗取识别ID的问题。4)搭载了新SIM卡的移动终端上,不在存在任何网络应用的核心敏感数据或加解密的过程数据。这解决了移动终端上的核心敏感数据的泄露问题。
设计方案3:网络应用终端的超级防火墙。
传统安全模式下的安全防御模型,对网络应用终端的安全防护,标准的防御方法是1)及时打安全补丁。2)安装商用的安全系统。而多年的实践证明,这一做法的安全效果作用有限。且这两个标准的防御方法,无法解决操作系统、应用系统上的安全漏洞问题和后门问题。对于一些不良应用而言,甚至就是开门揖盗。
图7是一种等宝2.0安全框架下,为网络应用终端提供最高安全等级的安全防护的系统框架示意图。按照如下的操作规范,就可以有屏蔽掉所有基于操作系统、应用系统上的安全漏洞、后门对网络应用终端的攻击。
图7
图7结构下,网络应用操作规范
操作规范1:在整个业务过程中需要显示的敏感数据的明文,不能全部都显示在主业务终端上。
操作规范2:加密业务终端的网络特性是,无任何网络或受限制的网络功能。所谓的受限制的网络功能就是在进行业务处理的过程中,需关闭所有的网络功能。
操作规范3:加密数据或明文数据进入加密业务终端的方式只有键盘、摄像头、短信这三种方式中的一种或多种。
操作规范4:加密数据或明文数据从加密业务终端输出的方式只有通过屏幕显示这唯一一种方式。数据输出的形态是字符、条码、二维码、图形这四中方式中的一种或多种。
按照操作规范1-4,可以确保:1)入侵到主业务终端上的病毒,永远都无法获取这个业务过程中的全部敏感数据的明文,也无法获取加密业务终端上的加/解密的算法、秘钥等工作参数。2)入侵到加密业务终端的病毒,无法实施远程控制,无法传输出盗取到的敏感数据的明文和加密算法、秘钥等工作参数,也无法获取主业终端上的任何工作参数。3)攻击方永远都无法对加密业务终端在网络空间实施网络实时跟踪。
从图7结构,还可以扩展出如下业务模型:
一对二(多):一个加密终端,对应个两个(或多个)主业务终端。这种模型可以确保入侵到任何一个终端的病毒,都无法获取全部的业务过程操作信息和工作参数。
二(多)对一:两个(或多个)加密业务终端,对应一个主业务终端。这种模型可以确保入侵到任何一个终端的病毒,都无法获取全部的业务过程操作信息和工作参数。同时可以将进行加密业务终端的操作,分配到二个(或多个)操作员手上完成。
二(多)对二(多):两个(或多个)加密业务终端,对应两个(或多个)主业务终端。这种模型可以确保入侵到任何一个终端的病毒,都无法获取全部的业务过程操作信息和工作参数。同时整个业务操作过程,打破时间空间的限制,分配到二个(或多个)操作员手上完成。
设计方案4:内网终端防火墙
设计方案5:内外间防火墙
无论是内网终端防火墙还是内外间防火墙,只要按如下设计规则进行设计,就可以确保新防火墙是不具有在役防火墙永远无法封堵的安全漏洞或后门,同时将被保护的内网终端、内网设备必然具有的安全漏洞或后门,同内网、外网进行有效的隔离。
设计规则1:将在役防火墙上由在操作系统下的CPU完成的通讯、验证、审计等功能,进行分割,并分布到不同的CPU上完成。这些CPU被分为两类,一类是运行在操作系统之下的CPU,一类是运行在非操作系统之下。这两类CPU的连接方式是,运行在非操作系统下的CPU,将运行在操作系统之下的CPU全方位无死角的包围起来。
设计规则2:由非操作系统下的CPU构成的接触面,同外网或内网或内网终端,最少有两个数据通道。
图8是内、外网间的新防火墙结构示意图。其中CPU1-4为运行在非操作系统下的CPU。CPU5为运行在操作系统之下的CPU。这个防火墙的运行参数,分别安装在CPU1-CPU5上。CPU1同内网连接,CPU2-4构成了同外网连接的接触面。
这个新防火墙可以确保:1)CPU1-4永远都不会被病毒入侵。2)即使病毒入侵到CPU5,也无法盗取到整个新防火墙的所有工作参数。3)CPU5操作系统上的安全漏洞或后门、内网设备上的安全了漏洞或后门,同外网完全隔离。4)操作体系上的远程操控功能被彻底关闭。
图8
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
