上周写的一篇文章《全域安全:一种运行时安全管理模型》,向大家介绍了全域安全管理模型,它是如何在Laxcus分布式操作系统的分布环境下,解决了分布式应用业务的全流程安全管理问题。其中顺便提到,如果把全域安全管理模型放到西工大,也能防范美国国家安全局TAO针对西工大的网络攻击。因为文章主要是讲解全域安全管理模型的处理流程,并不是防范网络攻击的介绍,这些天持续有人在后台私信我,希望了解全域安全管理模型防范网络攻击的具体细节。那么今天再写一篇,详细说说这方面的事情。
在介绍防范网络攻击手段之前,希望各位对全域安全管理模型有点了解,不清楚的地方,可以看上面那篇文章。闲话不多说,咱们直奔主题。
全域安全管理模型是一个体系化的分布式监管模型,它从系统架构到应用操作行为,进行着全方位的安全管控。除了防范攻击行为,更主要是给用户提供了一个放心使用的安全运行环境。按照从上至下的顺序,采用了下列管控措施,这些措施被Laxcus分布式操作系统强制执行,全部属于必选项。
一、计算机集群网络分成内网和外网,中间用网关分隔。
二、使用虚拟化技术,把物理的计算机集群,分成多个独立的虚拟计算机集群空间,一个用户独享一段虚拟空间。
三、可信网络的基础,CA证书被密钥令牌取代。
四、重新设计网络加密通信。
五、隔离管理员和用户,并且不允许身份互换。
六、用户使用计算机需要获得授权,没有获得授权时,不能执行任何操作。
七、执行应用业务也要获得授权。运行过程中的任何操作,都被严格监控,接受管制。
咱们先说第一项和第二项。
第一项是针对计算机集群的环境安全部署,逻辑上把计算机网络分成内外两个网段。外网属于注册用户所有,体系设计上定义为非安全环境,它提供人机交互能力和结果展示,具体的存储和计算工作被投递到内网执行。内网由集群管理员负责维护,用户所有的存储和计算工作都在内网处理,属于高安全可靠运行环境,管理员有义务保证计算机集群内网安全。为了实现内外网的互联互通互操作,且能够隐藏内网拓扑,避免将内网暴露给外网,它们之间用网关进行了连接隔离。网关的作用是反向代理,来自外网的任何操作,都要接受网关的检查,只有通过安全校验确认后,网关才会把外网请求转发给内网处理。这样从物理环境布局上,一定程度限制了网络攻击行为。
Laxcus内外网络环境,中间有网关分隔。
第二项属于虚拟化技术的延伸创新。不同与传统虚拟化针对一台计算机,Laxcus分布式操作系统的虚拟化,针对计算机集群。它把硬件的计算机集群进行软件切割,在一定范围内分成N多个片段,即虚拟计算机集群,每个用户登录后独享其中一段空间,用户所做的工作,只能在自己的空间,与他人老死不相往来。在这种情况下,如果某位用户虚拟空间遭到破坏,也只局限于自己的虚拟空间范围内,其它用户不受影响。这样就进一步压缩了破坏影响范围。
虚拟化集群在用户登录时分配,退出后释放,通过虚拟化+资源复用,大幅提高了计算机集群的使用效率,降低了用户使用成本。保守估算,这个成本大概是原来的1/20 - 1/50之间。
第三项针对CA证书。目前互联网上的电子安全证书,由第三方安全机构颁发。证书一般包含签证机构名称、数字签名、有效期,以及非对称加密的公钥和私钥。通常是公钥用来加密,私钥用来解密。由第三方安全机构颁发安全证书的本意,是希望体现公平、公正、安全保证、不作恶原则。
过去一段时间,安全证书曾经普遍被各界接受,但是随着过去几年各种力量对抗加剧,频繁出现的各种颠覆性事件,放在这样的背景下,作为颁发安全证书的机构,其本身已经受到质疑。现在谁也不能保证它们绝对的公平、公正,不会做出违背其宗旨原则的选择。这个现实背景下的安全证书已经受到质疑。另外,获得安全证书需要缴纳一定费用。不可靠不可信+收费,安全证书的价值在减弱。
全域安全管理模型用“密钥令牌”取代了安全证书。相比安全证书,密钥令牌由管理员设置部署管控,有以下优点:
1.密钥产生来源多样性。
2.密钥具备足够的随机性。
3.零成本,不象CA证书一样需要收费。
4.*定义安全性更强,有利强化管理计算机集群。
在全域安全管理模型中,密钥的来源多种多样,包括计算机根据运行参数生成,管理员通过管理界面手动定义设置、由经典密钥机产生,甚至可以从量子网络中取得。运行时随机生成,管理员*定义,经典密钥机获得、从量子网络取得,这些强随机性的获得方式,CA证书不具备。
另外,在全域安全管理模型中,密钥令牌不象CA证书一样,只有一个,而是任意多个。它允许管理员为每个节点配置不同的密钥令牌,甚至在一个节点上,针对不同用户,也可以配置多个。比如为某组IP地址的用户,配置专属于他的密钥令牌,或者针对某个数字签名的用户,配置一个密钥令牌。
这些随机性和多样性,有利强化管理员安全管控计算机集群。
为“192.168.100”网段用户配属密钥令牌,实现与其它网段一致但有区别的加密通信
第四项属于Laxcus分布式操作系统FIXP网络的一部分,这个时候已经进入到个体业务处理阶段。目前的FIXP网络,强制全流程执行加密通信。如果截获这些加密通信,打开它们,你会看到的只是一堆无意义的二进制数字。FIXP网络的加密通信处理流程,类似SSL/TLS,但是在部分实现细节上,加入了新的元素。比如通信采用了短报文通信技术,即每一次RPC调用,按照需求,被系统分成N个步骤来处理。每一次通信IO,都是一次一密的执行,对称密钥、数字签名、非对称密钥都可以随机动态更换。并且非对称密钥、数字签名、对称密钥,它们不允许接触任何物理存储设备,被严格限制在网络、内存、CPU之间的传递。因为一次一密的机制,保证了上次通信的密钥和本次不同,即使数据明文是完全一样的信息,也会呈现不同的传输内容。这样的网络通信有相当的迷惑性,它降低密钥被截获后破解的概率,强化了个体业务的安全强度。再加上多密钥令牌机制,即使用上Laxcus这样超级强大的分布式处理系统来逆向计算,也难以破解这些加密密码。
FIXP网络管理非对称加密、数字签名、对称加密,是个人安全服务的入口。
第五项涉及的是权限管理问题。在全域安全管理模型中,系统将管理员的管理权限和用户的使用权限,进行了严格限制分割,不允许身份互换。这样的结果就是,如果一个人以管理员身份登录进入Laxcus分布式操作系统,那么他只能执行计算机集群方面的工作,用户能够执行的操作被禁止。同样的,如果一个人以用户身份登录进入Laxcus分布式操作系统,管理员能够执行的操作被严格禁止,所有工作都被限制在用户权责范围内。这是从计算机程序层面进行的限制,除非有能力修改全部源代码,否则整体无解。
这一点和Unix、Linux等操作系统的设计完全不同。在Unix/Linux上,每个人的身份可以随时切换,比如一个登录者以普通用户身份登录,如果他需要执行更高权限的工作,切换到root用户状态,使用“su”命令就可以完成。但是在Laxcus分布式操作系统上,不允许这样操作,用户的身份,在他登录成功那一刻即被确认,没有切换的机会。
拒绝身份切换,也除了减少密码泄漏的机会,更主要为Laxcus分布式操作系统提供更高级的安全管控能力。
管理员非法执行用户指令,被系统拒绝!
第六项可以看作第五项管理员权限的延伸。在Laxcus分布式操作系统上,一个用户账号注册成功后,尚不具有处理任何工作的能力。要想得到这样的能力,必须获得管理员的授权。目前用户能够使用的权限有几十种,比如操作大数据的权限,针对分布式应用软件的权限,针对用户虚拟空间的权限。这些权限还可以进一步细分,比如细化到执行原子级别IO的操作。
管理员向一个名为“TINY”的用户授权,使他获得删表、加载索引,SQL SELECT检索的能力
第七项已经进入到具体的用户执行层面。在这个层面,全域安全管理模型会严格监督用户发出的任何操作行为。用户运行的分布式应用软件,执行大数据处理工作,判断提取系统信息的操作,都会受到严格监控。这些监控基于第六项的管理员授权,如果用户没有获得某个应用软件的运行授权,那么他不能运行这个应用软件,即使在前端的图形桌面执行,这项工作投递到云端内网环境中,也会被系统拒绝执行,大数据存取处理、操作数据库的SQL语句也是同样的道理。
以上就是全域安全管理模型针对网络攻击的具体处理措施。这些安全手段对于初学者,可能仍然比较抽象。那么咱们换个角度,结合实际案例,谈谈如果使用全域安全管理模型,如何防范网络攻击获取西工大机密信息,这样应该更容易让各位理解。
根据披露的信息,西工大机密数据被窃,是嗅探程序和木马程序组团作恶的结果。流程大致是这样:美国国家安全局TAO为了掩人耳目,派出大批跳马侵入世界各国的计算机系统,从这些地方发起攻击,集中扫描西工大的计算机系统,寻找系统漏洞。比如某个可以利用的端口,或者发送诱饵邮件,由此值入木马程序。在缺少必要安全保护的情况下,有些木马程序被激活运行,取得某台计算机*别的root权限,然后这些木马程序继续依此循环往复,获得更多计算机的root权限,植入更多木马程序。利用root权限加上木马程序,TAO大规模持续检索计算机上的信息,寻找窃取机密数据,然后通过网络,传输保存到它们预设的某个位置。最后“抹脚印”,将计算机系统上的行动轨迹销毁,删除作案证据,撤出被攻击的计算机系统,好象什么事情都没有发生一样。在国际社会继续利用手中的媒体,把自己装扮成一朵白莲花。
针对这些情况,结合全域安全管理模型,我们可以这样防御处理:
1.内外网络分离,网关连接通信双方,对外只保留一个通信端口。这个端口的后端节点使用密钥令牌通信。必要时候,依据IP地址来源或者启用数字签名,严格识别和控制外来通信,杜绝非法访问。
2.在计算机集群虚拟化层面,因为每个空间都是独立的,一个空间出现问题,并不影响同处一个物理计算机集群其它空间用户使用。这样就将问题波及影响限制在个体层面。
3.在个体层面,用户如果想使用计算机集群,需要获得授权。因为授权只能由管理员执行,而管理员是某个具体的人来操作,他的操作只在内网环境中执行,执行信息不会出现在外网环境,加上管理员空间和用户空间分开,所以授权过程具备相当的安全保证,进一步降低安全风险。
4.个体用户使用,运行分布式应用软件,存取数据、执行命令都建立在授权基础上。因为每个分布式应用软件都有数字签名,这个签名由软件开发者签发,具备唯一性。如果发布到应用软件商店,还将接受应用商店的安全检查才能发布。软件的安装部署过程只能由用户手工处理,拒绝自动执行,这个环节还可以增加自定义的安全检查,比如手机校验或者其它什么可以识别的方式,由此拒绝木马植入。软件部署到内网的云端环境,会继续接受系统的安全检查识别。这些检查信息都被记录下来,保存到一个安全的注册表里。在软件运行前,它们一起分发到各个计算机节点上。一旦运行时发现不符,比如被植入木马,或者携带了病毒,可以立即检测出来,这个时候系统会拒绝运行,同时通知用户。这个道理也同样适用Laxcus分布式操作系统的各种命令,包括很多类似Linux/Unix的高危命令。
同样基于授权机制,即使用户的应用软件本身没有问题,但是软件在运行过程中,出现了超越权限的行为,比如在没有获得写权限情况下,执行了一个针对磁盘的写操作。或者在没有读取权限的情况,读取系统信息,这些情况都会被系统识别,做出拒绝执行操作。
以上就是全域安全管理模型的处理流程。这些安全管控措施跟随业务需求被一层层分解,然后一层层分阶段判断执行,细密到每一个处理环节,十分繁琐。系统实际运行过程中,也确实因为各种安全措施的深度介入,降低了计算机系统运行效率。但是如果考虑现在的计算机系统越来越需要安全的运行环境,而全域安全管理模型能够保护计算机系统安全运行,杜绝各种安全隐患,降低计算机被网络攻击的概率,和数据泄漏的可能。它从另一个维度,保护着我们的数字资产,提高了安全保障能力,所以这一切的成本付出和代价都是值得的。
附说明:目前全域安全管理模型应用于Laxcus分布式操作系统。Laxcus是一个开源、容错、高扩展、多人共享、多机协同分布运行的操作系统,支持百万级节点规模的计算机集群、亿级用户在线。通过分布式应用软件,处理大规模、超大规模的存储和计算工作。