传统内网隔离网络架构受严重挑战？

----对等式分布协作结构的全新内网隔离解决办法剖析 

　　编者按：如何将企业内部网络与外界隔离？大家首先想到就是网闸等物理隔离系统，然而，在开放式网络保护系统中，物理隔离也有不及之处。在此，作者提出了一种新的内网隔离信息安全架构--对等式分布协作结构，以供大家参考。

     虽然网络的特性是开放，但在一些特殊环境中，仍然存在着大量的物理隔离网络，这些网络的信息安全该如何考虑是一个由来已久的问题，由于物理网络属于专有型网络，许多商业信息安全公司由于无法更充分地理解网络需求，导致采用与外网统一的安全思想，即所谓的开放式网络保护体系来构建物理隔离网络的安全，这就会出现很多问题。

　　而另一方面，信息化的需要使得越来越依赖计算机网络进行日常工作的企业和政府机构，都在信息化建设中安设了防火墙、IDS/IDP、VPN、身份认证、企业版反病毒等各种安全设备和软件，在初步缓解了安全隐患的同时，却引入了让安全管理人员头痛的新安全问题。

    问题：物理隔离也不能解决？

　　首先，众多结构和思路不同的安全设备，它们的运行效果无从量化，海量的安全事件充斥着大量不可靠的信息，从而变得毫无价值。其次，众多的设备都需要定时升级，不升，则有可能存在深层的错误，出现意想不到的问题，升，则需要考虑内网外联的风险。制定安全策略的高层管理人员无法获得对安全态势的全局观，安全措施与它所保障的实际业务没有有效的关联，安全预警、安全防护、应急响应各子系统没有形成高效的联动系统，导致安全体系的抗打击能力低下。

　　同时，病毒、木马后门等信息安全隐患越来越严重，企业网络信息安全面临着前所未有的巨大压力。目前被动式的、出现病毒感染才去升级杀毒软件对系统进行检测的方式已经起不到应用的作用。那种只注重防护，只是在现有的网络上不断加挂防火墙，网络入侵检测设备，防病毒产品做的做法已经行不通。事实证明，忽视了企业网络内部众多节点的防护，是使得病毒在企业网内横行的罪魁祸首。

　　企业内部数量巨大的台式机、移动设备、打印机等等，它们的自我防护能力参差不齐，如果不对这些隐患节点进行防护，它们将最容易受到具有破坏性的攻击的危害。黑客、病毒、不满的员工，甚至人为操作失误都会给它们带来巨大的威胁，并进一步危及到其所在的网络。

　　面对新的安全问题，一些重要的企业采取了物理隔离手段将重要的网络进行物理隔离，企图以此来提高整个网络的安全系数，然而，这种手段会使有非法目的人更加关注网络，从而使用一些特定的攻击手段，另外，这种物理隔离的方式并不能减少内部人员刻意的释放病毒，或者有目的发进行攻击。

传统开放式保护体系的问题

　　对于目前网络来讲，病毒是首要解决的问题，而反病毒产品的体系结构本身也存在着很大的问题，造成实际防护效果并不好。传统的反病毒体系都是基于开放式网络的非对等式网络分布体系架构。这种架构是一种逻辑的CS或BS模式。这种模式由逻辑的SSever、SClient组成，按职能划分为Server端和Client端，但是与物理的CS模式并不相同，SSever和SClient都可以安装在普通PC上或者服务器上来为整个网络提供安全管理。SSever是整个主机保护体系的管理模块，它负责接受网管员发出的各种指令，完成控制流和数据流的调度。SClient是整个主机保护体系执行模块，它被安装在各个需要保护的物理的SERVER机和PC机上，在监控病毒的同时，接受着来自SServer的调度指令。

图1：开放式结构 由于它是最早提早的一种体系结构，没有考虑到网络的负载均衡，在早期没有很多安全事件的低负载型网络中还可以发挥作用，但是随着安全事件越来越多，这种体系结构很明显已经不能胜任，这时需要一种新型的安全架构，才能解决新的网络安全问题。

全新的安全架构：对等式分布协作结构

　　很明显，在闭合的物理隔离网络，开放式的保护体系不再适用，而应该提出一种新的基于闭合网络的安全架构，笔者在对网络的安全事件的分析和研究中，提出了对等式分布协作结构，很能适合物理隔离网络的情况。

　　物理隔离网络首先是一个相对闭合的网络，无法再通过互联网连通方式进行升级，虽然避免了公网上的病毒直接侵害，有一定的安全性，但是，依然会面临着网络内部的病毒攻击，如果还采取目前基于开放式网络的非对等式分布网络保护体系，一旦出现大规模病毒爆发堵死SServer与SClient的网络通道的话，就会使全网操作如全网升级等操作中断，从而无法遏制病毒事态。 

图2：对等式分布协作结构 　　对等式分布协作结构是把网络保护系统中的所有元素都视为平等的元素，SServer不但是指令的发送者，还是指令的执行者，在服务器端管理客户端这种单通道的方法之上，又建立了一个多通道的机制，保证了整个系统不会因为突发的大流量病毒事件而异常。当SServer和SClient的通道被病毒堵死后，每一台SClient机都可以临时承担起指令传递与文件分发的工作，即用户只要保证网络中的任何两台SClient机之间有连通的可能，那么该计算机就会通过这种机制将数据或文件分发到相临的下一台计算机中去，在不用物理断网的情况下，就可以逐台恢复系统的控制权。

    这种结构充分考虑到了网络的负载均衡和网络病毒泛滥的特性，是一个行之有效的结构。

闭合网络的分发体制
　　
　　基于物理隔离网络的对等式分布主机保护体系构建了一个独有的分发体制，可以在病毒已经泛滥的情况迅速控制网络内部的病毒局势。

　　首先是病毒库的分发。基于特征码技术的反毒产品升级是维系全网安全的最重要的一种措施，当病毒泛滥时，可以通过病毒库分发机制，从任何一台AVClient机开始，辐射到整个网络，每个更新后的AVClient机即可成为安全源，将获得的最新的病毒库转发到下一台没有升级的计算机中。

　　其次是补丁的分发。恶性的网络蠕虫总是通过大的系统漏洞进行爆炸式传播，虽然网络病毒保护系统的升级，能控制病毒的进一步扩展，但是仍然无法防止病毒对有漏洞系统的攻击，因此必须给系统安装相应的补丁，如果采用人工的方式，会浪费大量的人力，也会贻误病毒防治的时机，这时就可以采用补丁分发的机制把补丁通过主机保护系统分发下去，由于采用了并行处理的方式，会在很短的时间内消除网络中所有计算机的漏洞。

　　再次是专用处理程序的分发，在一些危急时刻，利用这种机制还可以将专杀工具之类的文件通过这种机制投递到其它的计算机上进行病毒的清除，可以有效地保护系统的安全。

    介质导入安全

　　在一个物理隔离的网络，通过介质导入的方法来导入病毒库是最常用的方法，这些移动存储介质大部分有AUTORUN的属性，即插入计算机中就会按照配置自动执行程序，由于这一特性，出现了移动介质病毒，如果不小心中了这类病毒，则会在介质导入的过程中给物理隔离的网络带来不安全因素。

　　介质导入安全就是解决这一问题而引入的技术。它利用在移动存储介质中嵌入自行研制的驱动程序，这一驱动程序可以与操作系统结合，也可以放入移动存储介质的引导芯片中，在介质插入计算机中时对除了病毒库之外的其它所有程序进行屏蔽，这样就阻止了病毒不经授权的主动运行。

最小安全边界技术

    过去内外网是没有边界的安全，后来出现了边界安全，这种安全是利用防火墙等边界安全设备，对网络进行控制，然而控制了边界并不能防止病毒从边界入口进入到内网，也不能防止内部网络接入外网。在这种情况下，就应该尽量缩小安全的边界，真正实现网络的安全。

最小安全边界技术首先将最小安全边界缩小到了主机安全，通过在主机上布署AVClient模块来解决主机上的病毒安全问题。但是，基于主机的安全边界的控制粒度还是不够精细，因此引在本体系中又引入了最小安全边界到进程的安全技术。该技术是通过在AVClient中集成进程管理模块，它可以定期扫描进程，找到可疑进程，并对进程与端口的关系进行分析，找出一些隐藏的端口木马，从而将最小的安全边界缩小到了进程级别。

    未知防范技术

    凡是物理隔离的网络，基本上都是带有密级的网络，那么这种网络都是国家的重要网络，虽然这种网络与外界进行物理隔离，但是却对一些特殊人群更具吸引力，这类人会想法设法打入到网络内部，窃取网络中的重要数据。为了对这种网络进行很好的渗透，往往攻击者会编写大量的专用的病毒、木马或后门程序，这类程序不会被现有的任何一款杀毒软件所识别，因此更隐蔽，具有更长的潜伏特性。虽然这种物理隔离的网络无法从外界进行突破，但是却很难防止内部的非法人员利用网络的漏洞来编写一些未知的蠕虫来进行攻击，给内部网络带来安全危机。

    针对这一情况，本体系引入了未知防范技术。未知防范技术的核心是未知病毒的识别，主要有两个识别层次，一个是基于行为判断的主机未知病毒识别，另一个是基于事件统计的网络病毒行为识别。基于行为判断的主机未知病毒识别技术是对以往的所有病毒程序和正常的程序的行为进行分析，提取出典型的病毒行为，然后利用这种行为对所有程序进行匹配，由于这一匹配方法并不是基于特征码比对，而是基于对整个程序行为的一种判别，是利用算法实现的，因此在不用升级病毒库的情况下，也能检查出大部分还未发现的未知病毒。

    基于事件统计的网络病毒行为识别技术是利用AVClient的安全事件采集模块做为事件采集探头，对网络中的所有客户机上发生的网络事件进行采集，这种采集的数据被定时传递到AVServer的安全事件集中分析模块进行统计分析，产生一个宏观的网络事件视图，对这一视图加以分析，就能得出网络的安全状况。判断规则是，如果每台客户机接受和发送的数据包是相同的，这种网络传输是正常的网络传输；如果多个网络地址同时收到来自一个网络地址的数据发送包，这说明正在发生网络扫描；如果一个地址频繁收到另一个地址的数据包，这说明有一个网络蠕虫正在感染网络。通过这种统计的方法，就可以发现许多未知的网络攻击和未知的病毒事件。

彻底查杀、完全恢复技术

    就目前的主机保护体系来说，都存在有病毒查、杀过程进行不下去的情况。这是由于目前的操作系统是处于保护模式下，一些正在运行的文件，或者运行权限较高的文件是被操作系统保护的，如果病毒恰好利用操作系统的这一特性，就存在病毒无法清除的情况。对于一些利用系统环境而导致清除失败的病毒，本体系利用环境预处理的方法来清除，对于那些隐藏在进程、服务中的病毒，本系统会结合WINDOWS底层驱动，取得病毒文件的操作权，从而在应用层上对病毒进行完全清除。

    由于目前的一些反病毒产品由于都是基于病毒防护体系的，只针对病毒本身进行查杀，没有将病毒对系统产生的影响进行完全，这样就会给系统留下许多的垃圾，这种垃圾有时候却是一个后门，如果不清除，会带来更大的安全影响。比如说有的网络蠕虫会在传播时，建立一个Guest用户，然后加入到ADMINISTRATER组中，这样，该Guest用户就有了超级管理员的权限，很容易被黑客利用。该体系建立了一个后处理机制，在对病毒分析时，就已经将病毒的特性进行了充分的分析，对病毒产生的垃圾进行关联处理，在清除病毒的同时，对病毒产生的垃圾也进行一并清除。

实施：全新架构下的新流程

    基于这种闭合的安全架构，我们的安全管理体系应该如何设计就成了一个新的问题，首先SServer与SClient是连通可以互相通讯的。网络中应该存在一个流动的SServer模块，承担起整个网络管理体系的组织者角色，之所之形成一个流动的SServer模块，就是为了防止病毒将网络中的服务器堵塞，导致整个网络的安全情况失控。

图3：管理流程     每一个SClient模块在运行时，都要去主动寻找周围的计算机中是否存在一个SServer模块，如果存在，就要注册上去，然后接受该模块的调度，在连接到SServer模块上时，还要寻找周围是否存在比自己版本更新的SClient模块，如果存在就将该模块的更新数据来为自己更新。这种结构能够很好解决如红色代码、尼姆达等网络病毒的泛滥，只要网络中存在一台最新的安全节点，就可以通过该体系，将安全阵地逐台收回。

新模块体系，有待商业化

    当然，以上只是提出了一个有效的模型，如果要想把它变成一个商用的系统，就要再为这个体系构建一些新的安全模块，从而能够使之有运转。

图4：模块组织     从上图可以看到，在新的架构下的新的系统，SClient模块至少应该做安全事件采集、病毒查杀、进程管理、病毒库分发、病毒库导入等工作，而SServer模块至少应该做安全事件集中分析、指令控制、模块病毒库导入、模块病毒库分发等工作，从图中还可以看到，这种结构的一个特点是引入了冗余机制还保障整个网络的负载均衡，对内网隔离网络，具有很好的效果。