主动安全网络架构
——基于社会控制原理的网络安全技术
2021-07-10刘建兵王振欣
刘建兵 王振欣
(北京北信源软件股份有限公司 北京 100195)
网络安全形势日益严峻,传统的网络安全基于被动防护的思路,外挂式、补丁式的安全技术和产品以及由此衍生的解决方案无法抵御不断演化的威胁和攻击;采用新的理念、研发新的网络安全技术和产品,实现网络内生安全和主动安全是解决网络安全问题的可能路径,几年来作者团队沿着这一途径作了有益的探索,形成了新的理念和技术成果,希望和网络安全界同行共同探讨.本系列文章基于社会控制原理,深入探索网络安全问题,从网络安全的角度重新审视网络架构的缺陷,提出了内生安全和主动安全的网络架构,力图使安全能力回归网络架构,从根本上弥补网络安全的先天不足,形成网络与安全一体化的解决方案,为摆脱网络安全困境开辟新途径.
1 网络安全问题的根源
网络安全问题的根源是一个值得深入思考的话题,只有真正认清网络安全问题产生的根源,才能从根本上解决网络安全问题,才能有的放矢、事半功倍.面对日趋严峻的形势,业界已对网络安全问题进行了长期多方面的研究和探讨,试图从认识、社会、技术、管理、法制、政治、军事、经济[1]等多方面寻找原因,形成了对网络安全问题的多角度认识,为网络安全问题的解决提供了多种认识和方法.遗憾的是这些认识和方法没有跳出外挂式、补丁的思维定式,仍然没有触及网络安全的根源.
1.1 网络安全问题的历史根源
回顾互联网的发展历史可以发现网络安全问题的历史根源.从安全的角度回望网络的发展历史,不难发现互联网的发展可以分为3个阶段:从1961—1978年是互联网的孕育阶段.美国ARPAnet(Advanced Research Project Agency)项目作为美国国防部军事研究项目起始,其关注的焦点是异构主机的互联.1973年9月国际网络工作组(INWG)会议提出了互联网的基本概念,至TCP/IP协议问世标志着互联网骨架基本形成.TCP/IP协议对于互联网的另一个重大意义在于,将ARPAnet从主机互联转变到局域网的广域互联上来.这段时间涌现的大量研究成果赋予了互联网未来扩展的无限潜在能力,但却没有一件事是关于网络安全的,可以说这一阶段安全概念还未出现在互联网先驱们的头脑里,互联网在孕育期就缺少网络安全的基因.
1978—1993年,ARPAnet全部转移到TCP/IP协议上,并且ARPAnet分拆为军用的MILnet(military network)和科研的ARPAnet,这一阶段以应用开发为主线,连接的节点和网络主要是大学,并在互联的基础上研发各种应用,在此期间产生了支撑互联网发展的大部分重要应用,包括:Email、聊天软件、以太网、Ftp、News、DNS、JAVA、游戏、社区、音频流技术和视频广播等,特别是WWW(world-wide web)技术的发展极大地推动了互联网的发展和广泛应用.开发这些应用的大学分布在西方的多个国家,处于松散的无组织状态.这些应用虽然依托互联网,但对互联网的基本架构已经没有什么影响力,如果说TCP/IP是互联网的骨架,这些应用就是互联网的血肉,互联网作为教育和科学研究在这一阶段枝繁叶茂,但其枝干已经定型.在此期间,1980年10月27日,一种状态信息病毒的自我繁殖致使ARPAnet完全停止运行.1988年11月2日,蠕虫在互联网上蔓延,大约6 000个节点受到影响,潜在的安全问题已经初露端倪,即将随着应用的广泛和深入浮出水面,但人们对互联网未来的安全问题仍未觉醒.
1993年以后互联网进入了爆发式的野蛮生长期,互联网刮起Mosaic旋风,WWW在互联网上通信量的年增长率达到341 634%.联合国等国际组织、欧美主要国家政府、教育科研机构纷纷在互联网上提供在线服务,全球主要国家的工业、商业、金融、媒体、政府迅速加入互联网的潮流,大规模的互联网时代到来了.随着应用的规模扩大和深化,互联网安全问题随之而来,并且愈演愈烈,直至今天网络安全成为困扰全球的大问题[2].
1.2 网络安全问题的文化根源
互联网是西方自由文化的产物,互联网安全问题带有显著的文化根源.从互联网的成长历史中不难看出,互联网发展的第2阶段已经脱离了ARPA的既定轨道,进入了欧美特别是美国大学和商业机构自由发挥的野蛮生长模式,以至于最终以TCP/IP协议颠覆并替代了ARPAnet的NCP(Network Control Protocol)协议.大量的互联网应用都是以匿名方式进行的,互联网上充斥了形形色色的自由言论和色情内容,伴随互联网成长起来的黑客肆意横行.具有讽刺意义的是,禁止在网络上扩散色情材料的美国正当通信法案CDA(Communications Regulation Act)在获得通过的几个月后遭到反对,并于1997年被最高法院以该法案违反宪法为由终止.在此期间,大量的病毒产生并肆虐互联网,出现了WWW蠕虫(W4),接着出现了蜘蛛、漫游者、爬虫和蛇等,互联网成为自人类进入文明社会以来最大规模的自由市场,在这里全无规则约束,各色人等为所欲为.自由化思想不仅是互联网诞生的土壤,也是互联网成长的文化环境,西方自由化思想深刻地融入了互联网的技术产品之中,这是互联网安全问题的文化根源.
1.3 网络安全问题的技术根源
前面2个根源投射到技术层面的结果就是TCP/IP协议设计缺陷,该协议的自由开放性决定了网络架构的自由互联,我们从协议的数据包结构、传输过程无验证、源地址目的地址无验证、网络设备互联无验证、主机接入网络无验证,特别是网络访问的唯一标识IP地址的松散随意性、没有任何现实因素关联、随意设置、随意修改、不记录难追踪等方面惊奇地发现,安全的最基本要素,如身份、验证、追溯、访问控制都不在协议内容中,为网络安全埋下了无穷的隐患[3].
互联网安全问题历史根源和文化根源的集中投射在TCP/IP协议中全部体现出来,归结为网络安全问题的技术根源.若要解决网络安全问题,必须从技术根源入手,对历史和文化造成的缺陷予以弥补才可能形成安全的网络架构.
2 社会控制原理的思考
社会控制是社会学重要原理之一,是维持文明社会正常秩序的重要工具,对于维护社会整体安全有重要作用.当今的互联网从规模和覆盖范围考量,与真实的人类社会堪比伯仲,我们不得不从社会学的角度思考网络安全问题.
2.1 社会控制发展历程
社会控制是社会组织运用社会规范对人们的行为实行制约和限制,使之与既定的社会规范保持一致,从而实现社会总体秩序目标的社会过程.社会控制是建立在既定的社会规范之上的,并主要表现为外在力量的施加,但它并不排除个人内在约束力的发挥.社会控制有广义和狭义之分:广义的社会控制泛指对一切社会行为的控制;狭义的社会控制特指对偏离行为或越轨行为的控制.
社会控制理论大体经过了社会学、控制论和社会哲学等发展阶段[4],形成了社会控制较为系统的理论认识[5],为社会控制作用的发挥起到了理论支撑作用.
从发展历程来看社会控制是随着社会的发展而产生,并随着社会的不断演化而进化,成为社会生态结构的重要组成部分.
原始社会时期限于活动范围和群体规模,无法形成广泛社会规范认同,社会组织形式原始自然,基本上是自然秩序[6](一定数量的个体为了解决自己的需要,在实践活动中相互影响相互作用自然而然形成的社会连接方式)左右个体自由活动,整个社会系统没有控制和协调各部分行动的机制,没有社会控制力,经常导致社会系统出现震荡,社会系统稳定性差.
进入古代文明人类社会得到了极大的发展,社会规模不断扩大,需要人们的活动符合整体的利益目标,以此保持社会稳定和成员的个体安全.特别是通过生存和生产、分配活动,基于族群安全、文化和利益的社会共识逐渐形成,古代文明国家的出现系统性地加强了社会共识的约束性,由此出现了初级意义的社会控制.
现代文明社会,社会控制以多种形态融合于社会制度之中,包括意识形态、道德共识、行为规范、法律法规、制度规章、行业规则以及应急机制等.这些社会控制措施部分是软性的,部分是硬性的,其约束力和强制程度有很大的不同,但都是以现代社会组织形式为依托,国家、政府、行业组织是强制性社会控制的实施主体,以此保证社会控制的有效性和相应整体目标的实现[7].
在社会系统运行中,个体自由行为和社会控制措施充分融合,相互协调,个体在适度的自由空间保持适应性和创新性,社会控制通过中心化优势,克服个体自在越轨行为的缺陷,实现社会系统的基本稳定,以整体利益的实现保证个体利益和自由的实现.
运用社会控制原理解决在现代社会问题的成功实践比比皆是,从公共安全的角度选取一二以作注脚.航空领域以《民航法》为支撑的民航安检制度是民用航空领域的重要社会控制措施,该措施强制性要求并实现威胁航空安全的物品不得带上飞机,实现了中国民航长期的安全运行.
本文写在疫情期间,现实就是例证,新冠肺炎国内外疫情形势的强烈对比,正在证明合理实施社会控制对于防控疫情保证社会整体安全的重要性.中国及时采取了严格的大范围社会控制措施,武汉封城,全民隔离,很快遏制住了疫情的发展,从全球疫情中心和重灾区华丽转身成为全球防疫的最安全国家.反观国外,由于采取控制措施不及时,不严格,犹豫观望甚至放任不作为,造成西方主要国家疫情蔓延,深陷泥潭不能自拔,至今还看不到疫情的尽头.
2.2 社会控制原理要素分析
从理论和实践2个方面可以发现社会控制对于现代社会管理目标实现的重要作用,科学有效的社会控制目标的实现有赖于以下3个特征的有机结合:
1)基于广泛的社会共识,符合大多数社会成员的利益,以社会最大利益实现为目标,保证社会控制的方向正确性;
2)通过中心化的统一组织协调为保障,以科学有效的控制方法和策略为支撑,调动系统各个要素统一实施和持续优化;
3)以有效的基层执行能力为依托,保障中心化的控制方法和策略变成全体成员的行为和行动,从而约束少部分威胁整体目标实现的个体行为.
上述3个要素决定社会控制措施的效果,作为基础的社会共识必须得到绝大多数社会成员的认同,否则反对的力量会成为施行社会控制的阻力;中心化的组织体系是社会控制的组织者和具体措施的制定者,缺少这个核心社会控制措施都可能是软弱的、无力的,甚至是无效的;基层执行能力是社会控制措施的实践者,数量大,面积广,是决定控制措施社会效果的根本因素,缺少这个执行能力前面2个要素就会流于形式和空泛;三者的协同配合才能发挥社会控制的作用.
社会控制在推进社会发展方面起着重要作用,是人类现代文明的一个重要标志.正是有了社会控制,促进了社会结构进化,管理中心化的出现可以协调社会运行的各个系统之间的关系,修正它们的运行轨道,控制它们的运行方向和运行速率,使之功能耦合、结构协调、相互配套、尽量使各社会运行系统同步运行,促进了社会良性运行和协调发展.
2.3 网络安全之于社会安全
“网络虚拟社会”早已是人们的共识,网络虚拟社会作为现实社会在计算机网络上的映射和延伸,其展现给每个人的时空范围远大于其可接触的现实世界,网络扩展了人可操控的范围,是现实世界的扩展[8].作为新的社会形态,社会控制原理同样适用于网络虚拟社会.
对比现实社会和网络虚拟世界,以及回顾互联网发展的历史、社会控制发展的历史,如果我们把网络类比为人类社会,可以发现网络虚拟社会的发展大大滞后于现实社会.笔者认为,1993年以前的互联网类似于原始社会,不论是互联网本身的能力还是网络虚拟社会的共识都未形成,网络安全概念处于萌芽状态,网络安全能力几乎为零.1993年以后,互联网进入了文明社会的初期,发展阶段大致处于封建社会前期的春秋时代,从安全的角度考量,思想大爆发,规则远未形成.社会控制的3个要素从互联网内生性来说都未出现,这是笔者的一个基本判断.互联网相对现实社会发展的完善过程还相当漫长.
如果我们把网络类比现实社会,网络安全之于网络,社会安全之于社会,就存在众多相通之处.参照现实社会的社会控制原理,治理网络安全就有了新的思路,补充完善网络虚拟世界的社会控制3要素,应该成为我们探索的方向.社会控制的思想、理念以及实践所取得的良好效果对网络控制具有直接明确的指导意义.社会结构类比网络架构,个人类比终端,个人的行为类比终端的行为,社会控制中心类比网络控制中心,社会规则类比网络访问规则.社会控制对个体行为采用社会规则进行规范,通过强制控制个人越轨行为从而实现社会整体安全稳定;网络安全对终端访问行为零信任,采用网络安全策略统一规范终端行为,通过统一访问规则强制控制终端违规行为,从而实现网络整体安全.
网络安全控制可通过引入社会控制理论和实践经验,从根本上关注和管理并规定IT资产的网络行为,以社会控制原理的最佳实践为范例,摆脱传统的信息安全逻辑,从治理终端资产安全转到治理网络安全,以零信任为出发点,以规则规范行为,不追求个体的安全完美,容忍个体瑕疵,追求以网络访问规则规范个体对资源的访问行为,实现以网络规则保护个体安全,实现网络全局安全.
3 安全视角的网络架构
基于社会控制原理的网络控制给网络安全根本问题的解决提供了新的思路.网络安全根本问题的解决之道需要从安全的角度重新审视一下网络结构,需要建立网络结构的内生免疫组成部分——管控中心,梳理网络中个体的行为和统一安全策略的关系,强调统一控制规则的控制主动性,并在融合各种安全模型精华的基础上,重新形成网络架构的安全结构和安全能力,促进网络安全防护新的理念思路的落地和防护能力的实质提升.
3.1 网络安全模型框架
国际化标准组织提出的OSI安全体系结构定义了网络7层参考模型、5种安全服务和8种安全机制,如图1所示.
图1 OSI安全体系结构
OSI安全体系结构体现出分层的思想,不同的层面部署不同的安全服务与机制,具有适应灵活性.但在网络、互联网设计之初,TCP/IP协议族中并没有涉及上述安全服务和机制,各种安全服务和机制都是根据后续的应用安全需求逐步后补产生.正是由于各种安全技术后天产生而非先天融合产生,才导致该结构的网络静态安全防护方式对于持续变化的内外部安全威胁缺乏动态的威胁监测和应对能力.
PDR模型[9]:从技术上考虑信息安全问题,包括保护、检测和响应,是体现主动防御思想的一种网络安全模型,强调应急响应的重要地位,明确具有快速安全响应的能力对网络和系统而言至关重要.
P2DR模型[10]:除保护、检测和响应外,加入了安全策略.策略是模型的核心,所有的防护、检测和响应都是依据总体和具体安全策略实施.防护、检测和响应组成了一个完整的、动态安全循环,在安全策略指导下保证信息系统安全.
PDR和P2DR模型虽然给出了安全防护的大致思路,但没有给出实现的具体路径,是偏理论的思想.
信息安全保障技术框架[11](IATF)强调人、技术、操作这3个核心原则,指出信息安全保障体系实质上是一个安全管理的体系,包括策略管理、组织管理、技术管理和操作管理等;技术是防护、检测、响应、恢复并重的动态技术体系;操作或者叫运行,构成了安全保障主动防御体系,包括安全监测、响应恢复等.IATF相对于PDR和P2DR有了长足的进步,几乎是一个包罗万象的理想架构,但在技术上仍未走出补丁式外挂式的技术路线,在此模型指导下仍未出现符合其期望的成功技术和产品.
虽然如此,但PDR,P2DR模型和IATF框架的方向是正确的,网络安全需要构建整体安全结构体系,建立网络安全管控体系,在统一策略指导控制下实施安全措施,主动动态的安全响应能力是网络安全防护的重要保障,这些思想极富指导意义,需要寻找更接近其主旨的实现路径.
3.2 网络架构安全能力
当今的互联网是众多局域网络通过广域互联形成的复杂体系,局域网分布在全球不同地区和国家,局域网可以说是互联网的细胞,而网络安全很大程度上是在这些局域网意义上的安全,因此,我们从局域网安全架构入手来研究网络架构的安全问题,其实今天的局域网规模已经十分庞大,大型机构的局域网甚至大过中等国家的互联网.
前述分析类比了网络和社会、网络安全和社会安全,从中受到的启示就是把社会控制原理的3要素引入网络架构中来.社会控制的3要素对应到网络中,就是共识一致的安全策略、全域集中统一的策略控制、网络内生有效可靠的边缘执行能力,这3个方面正是局域网缺乏的.将这3个要素回归网络本身,以网络内生能力践行统一的安全策略,实现基于内生能力的主动安全、动态安全意义下的弹性安全能力,是我们追求的目标.实现这个目标基本的技术路径主要在以下3个方面:
1)共识一致的安全策略.对于局域网来说基础是坚实的,局域网都是有管理的网络,安全策略共识本身就是网络管理组织的内在需求,甚至已有成熟的策略,需要解决的问题是如何形成与网络架构内生安全能力一致的表达方式.
2)全域集中统一的策略控制.当前的局域网尚未形成这个能力,需要构建新的网络策略控制中心,提供相应的技术平台,并将安全策略表达转变为可管理控制的安全策略内容.
3)网络内生有效可靠的边缘执行能力.从传统局域网结构来看,网络边缘对应架构的接入层、局域网接入层是网络功能最简单的层级,显然是没有内生安全能力的,强化接入层的内生安全执行能力是需要重点解决的问题.
在网络架构上解决了以上3个问题就可以完成和社会控制机制相类似的网络安全控制能力,从而形成包含新要素的网络架构,具备上述安全特征的网络架构,相比传统的网络架构具有明显的安全防护优势,其安全防护能力也更胜一筹.社会控制原理、先进安全防护模型框架精华、安全合规要求等,都可以在新的网络架构下落实体现,真正形成主动动态安全网络架构、安全结构协调、安全能力内生、安全结构和能力随着网络演进同时进化,安全防护统一管控,安全措施严肃执行,安全防护主动性、适应性强,安全防护效率和效果好.
4 主动安全网络架构的价值
基于社会控制原理的主动安全网络架构将网络安全转到主动和动态的思维上来,其核心在于网络内生安全能力,以及基于网络内生安全能力所带来的网络安全结构的完善,让网络安全回归网络,网络安全的主路径防护、网络安全的统一管控、网络安全的主动防护等安全防护新优势和能力,最终将显著提高网络安全防护的效率和效果,提高网络安全投资回报.
4.1 网络安全主路防护
网络安全能力依赖于网络安全结构.传统网络安全结构是基于被动防护思路,安全功能各个构件如入侵检测、流量审计、认证访问等[12]多以外挂式安全应用为主,如图2所示.外挂安全应用独立或者旁路部署,网络主路安全防护门户大开;旁路安全应用安全检测滞后于攻击,且以检测为前提的事后补救自动化程度低,响应能力不足;旁路外挂安全应用离散分布,安全功能不耦合、结构不协调、相互不配套,导致安全应用各自为战、安全防护体系化程度低、安全防护效率低、安全防护联动能力差等问题普遍存在.
图2 传统外挂安全应用示意图
网络安全攻防与实际军事攻防原理一致,“以正合、以奇胜”是不变的胜利法则.奇胜的前提是正合,在正面、主路、主干道上能够顶得住攻击,才能给奇胜争取时间、空间和机会,如果主路径直接被攻破,等同于正面被彻底攻陷,奇胜便失去了意义.因此,网络安全要在网络的主路径上多投入资源,将网络安全能力内化到网络主路径上,形成网络内在结构的安全内功,而非旁路的外挂结构.网络安全能力内化到网络内在结构,形成网络内生安全能力[13],是提高网络安全防护能力的根本办法,也是应对日益进化的安全威胁攻击的科学路径.
4.2 网络安全统一管控
目前多种外挂安全应用安全能力分散,安全管控智慧和能力不集中,应用之间协调联动性差,是众多组织安全投入大、安全防护效果不佳的主要原因.
主动安全网络架构通过统一管控中心进行网络安全策略管控,以零信任为前提强制控制所有个体越轨行为,通过优化网络结构形成安全管控中心,进行入网资源全面严格认证、安全策略集中管理、安全访问统一控制,可大幅提高网络系统安全性和稳定性.
传统的安全认证是在设备认证前已经可以穿透网络访问认证服务器,实质是不严格的、半信任的认证,设备未认证、网络通路已经打开,原因就在于安全认证方是游离于网络之外的,是外挂旁路式的;而网络内生的认证能力才能保证先认证再入网,可把住网络安全的第一道关口,为后续的一切安全能力提供基于身份的管控基础.
安全策略是网络安全防护的中央指挥大脑,安全访问控制的快速执行是网络安全防护的战术实现.没有大脑指挥统一作战结果可想而知;有了指挥大脑,战术执行不畅,安全防护效果差强人意.目前网络没有统一策略管控中心,策略文件纸质化、离散化、形式化,执行自动化程度低,无法实质作用于网络安全防护,导致组织安全防护是多盘散棋分盘慢下,而非一盘整棋通盘快下的难管难控局面普遍存在.这类问题在主动安全网络架构下将会迎刃而解.
借鉴社会控制原理形成的主动安全网络架构,在内生安全能力支撑下,形成统一严格的认证中心和策略管控中心,接入层内生认证准入和策略执行能力,保证策略制定全面管理、策略执行统一控制、设备入网严格认证,从根本上解决外挂安全应用安全能力分散、安全管控智慧和能力不集中、应用之间协调联动性差等问题,切实提高网络安全防护水平.
4.3 网络安全主动防御
网络内生安全能力使得网络安全结构协调、功能配套,像人体内在免疫系统一样,可随敌而动、随变而应,主动动态地进行安全防护.
传统的安全防护模式是针对各种安全应用监控检测的安全威胁告警或事件,形成有针对性的安全策略并尽快在网内部署执行,以期有效阻止或削弱威胁攻击带来的影响或后果,理论上似乎天衣无缝,实际情况却是,响应式的安全防御工作基本上断档或者零星的处于手工部署执行状态[14].没有一个统一智能的安全结构支撑,分散的安全智能无法迅速集成,并形成落地策略快速执行实现主动动态防御.大量安全投资形成的分散安全智能和能力,实质上无法真正发挥出合力作用,安全投资回报远远低于预期.
作为智慧大脑的网络安全管控中心,统一集成联动各种外挂安全应用的安全能力,根据安全威胁动态检测态势并有针对性的形成安全策略,主动快速下发执行,形成主动动态防御机制,达到协同防御目的.通过网络结构内生安全能力,形成整个组织安全防御一盘整棋,安全攻防动态联动、威胁攻击主动抵御的良性网络安全运行机制[15],使所有安全应用形成合力,有效提高安全投资的能力价值.
5 总 结
网络安全问题根源深植,积重难返,面对持续增加的网络安全威胁,外挂式的安全解决方案愈加难以持续,堆砌式的安全设备和产品让用户不堪重负.传统的网络安全技术和产品不足以应对日益加剧的网络安全威胁,基于社会控制原理、融合网络安全框架思想精华的主动安全网络架构是解决安全防护问题的出路所在.
本文主要介绍了主动安全网络架构产生的背景思路和设计理念,篇幅所限,难以展开技术细节讨论.主动安全网络架构的全部内容将通过大约6篇文章介绍,下一篇介绍的是主动安全网络架构设计,敬请期待.