再談網(wǎng)絡安全的自動化

“工欲善其事， 必先利其器。 ”自動化技術代表了INTERNET軟件的一種發(fā)展趨勢， 一種能夠改變因特網(wǎng)整體安全水平的趨勢。 未來的安全軟件將走向在線銷售、更新、甚至租賃， 尤其是桌面級安全產(chǎn)品， 因為面對的大部分用戶屬于對網(wǎng)絡安全技術知之甚少的網(wǎng)絡服務使用者， 這樣， 只有簡單易用的軟硬件和服務才有可能真正地提高因特網(wǎng)的整體安全水平。

　　當然， 這種在線技術向計算機安全提出了新的挑戰(zhàn)， 也同時引入了新的安全風險。 例如， 網(wǎng)絡在線掃描存在的合法性、以及技術的可靠性都有值得懷疑之處， 而在線更新技術也在用戶參與交互的程度方面難于取舍， 自動加固技術在操作系統(tǒng)平臺和生產(chǎn)運行環(huán)境適應性及智能性方面還有很長的路要走。 “

　　這是筆者在2000年撰寫一篇短文“安全的自動化雜談”中的議論， 15年春秋如白駒過隙， 互聯(lián)網(wǎng)和網(wǎng)絡安全已改天換地， 對更高自動化水平的渴求更加迫切。

　　自動化代替手工操作意味著成熟、高效、低成本， 對安全而言， 還意味著時間窗口、以至于最終的“成敗”。 記得有一篇嚴肅反思人工智能的文章， 將人工智能分為三個階段 – ANI(基本人工智能)、AGI(通用人工智能)、ASI(超級人工智能)。 模仿這個分段法， 筆者認為安全的自動化也可分為三個階段：

　　1 效率階段（對應ANI）， 通過腳本和工具等將手工操作逐步自動化， 例如服務器打補丁、安全設備巡檢等；在該階段， 機器執(zhí)行、人工反饋， 基本上所有安全決策活動都由“專家”進行， 真正的“人工“智能， ☺

　　2 效果階段（對應AGI）， 在較為普遍的工具和自動化基礎上， 可以針對安全措施的成效， 針對性的調(diào)整， 實現(xiàn)基于數(shù)據(jù)和安全情報的、及時的安全決策；該階段實現(xiàn)了決策、反饋、行動等的部分自動化， 但需要“專家”建立并訓練模型、設置和校正參數(shù)、觀察和評價效果等。

　　3 智慧階段（對應ASI）, 安全“自動化”系統(tǒng)可以觀察系統(tǒng)行為， 學習并建立“安全”的目標和基線， 根據(jù)“主人”設定的安全風險取向， 主動判斷和呈現(xiàn)風險， 給出建設性的行動提議。

　　從行業(yè)的實踐來看， 我們大致處于“效率階段”， 并在向“效果階段”努力的過程中。 因為安全實踐同時受限于成本和風險取向， 單個安全操作效率的提升、成本的下降， 就可以使在固定的成本下， 實施更多的安全控制措施， 從而降低安全風險。 量變的積累將帶來質(zhì)變， 讓我們共同為安全的“自動化”而戰(zhàn)！

　　以下轉貼一下2000年的小文， 懷懷舊.

　　安全的自動化雜談 趙糧

　　前言

　　網(wǎng)絡安全技術是當前最為活躍的研究領域之一， 充滿智慧和挑戰(zhàn)， 成千上萬的INTERNET專家、學生都沉浸其中。 當前的INTERNET已經(jīng)從原來的學院研究、“美國人的高級玩具”徹底地轉變?yōu)槿�球性的、有著億萬普通用戶（包括家庭主婦、幼童、三教九流各種從業(yè)人員）的無所不包的“網(wǎng)上社會”。 今年年初分布式拒絕服務攻擊（DDOS）肆虐， 給網(wǎng)絡界、甚至全球經(jīng)濟帶來一場大地震。 這場地震給業(yè)界的一個重要啟示就是：絕對不可以將網(wǎng)絡安全限制為某些關鍵網(wǎng)絡、關鍵主機的特殊照顧， 徹底消除DDOS攻擊的根本還在于每個連入因特網(wǎng)的計算機的安全水平都大幅度提高， 以防止其被攻擊者利用來攻擊第三方受害網(wǎng)絡或主機。 因特網(wǎng)需要“整體安全”。

　　網(wǎng)絡安全可以劃分為許多技術領域：系統(tǒng)主機安全、防火墻、風險評估、入侵探測、反病毒、加密等。 它們往往都要求很高的專業(yè)技術以及資金、人力投入。 網(wǎng)絡安全和反病毒技術中的關鍵：攻擊特征碼、病毒特征庫都需要及時的更新， 才能有效。 這些都妨礙了“整體安全”水平的提高。 為降低網(wǎng)絡安全的成本、解決越來越快的安全技術更新帶來的實施過程中的難題， 當前的網(wǎng)絡安全技術將表現(xiàn)出越來越多的自動化趨勢， 逐步減少對因特網(wǎng)用戶的安全方面的專業(yè)要求和在產(chǎn)品更新方面花費的代價。

　　本文下面嘗試著從系統(tǒng)自動加固（hardening）技術和在線技術兩個方面來闡述因特網(wǎng)安全技術發(fā)展的這種趨勢。

　　1 系統(tǒng)自動加固技術 一個稱職的系統(tǒng)管理員一定應該同時是一位安全專家。 安裝一個操作系統(tǒng)， 在將它連入網(wǎng)絡之前， 要安裝最新的補丁， 還要對它進行安全加固， 包括不需要服務的關閉、不必需帳號的刪除、內(nèi)核的網(wǎng)絡參數(shù)設置、訪問控制設置（tcpwrapper等）、X系統(tǒng)安全、系統(tǒng)日志的安全設置、文件簽名（完整性檢測tripwire等）等等， 這中間可能會碰到不少錯誤和失敗， 排除錯誤的過程是體現(xiàn)管理員水平的時候。 這樣的過程對于全世界的系統(tǒng)管理員來說， 日復一日， 年復一年， 不知道每天在世界各地會重復多少遍， 高級的系統(tǒng)管理員也是在這樣的一遍一遍的實踐中成長起來的。 但是， 應該看到， 這其中有許許多多重復的步驟。 一方面， 這些重復勞動浪費了許多優(yōu)秀系統(tǒng)管理員的寶貴時間；另一方面， 這些煩瑣、復雜的配置過程也使一些系統(tǒng)管理員望而卻步， 阻礙了安全水平的普遍提高。 為此， 許多網(wǎng)絡安全專家開始開發(fā)自動加固軟件， 將上面提到的系統(tǒng)加固過程自動化， 以此來解放管理員的勞動， 推廣系統(tǒng)安全技術。 當前較為成熟的軟件主要包括下面幾種， 它們是工作于SOLARIS之上的TITAN、YASSP， 以及工作于LINUX之上的BASTILLE項目。 注意， 這里提到的系統(tǒng)加固并不是指一些操作系統(tǒng)的安全版本（例如Trusted Solaris）,或者將C級操作系統(tǒng)加固以提升安全等級的商業(yè)軟件（例如CA公司的SeOS）， 昂貴的價格以及美國政府的出口限制注定這些軟件不可能對因特網(wǎng)的整體安全水平產(chǎn)生幫助。 下面分別簡要介紹一下這幾種自動加固軟件。

　　YASSP：http://yassp.parc.xerox.com， 當前的版本是5.0beta#5， 支持Solaris2.6、2.7平臺， 對Solaris8的支持正在開發(fā)中。 其主要工作包括：關閉服務、改變所有者、訪問權限等屬性、打開日志、調(diào)節(jié)網(wǎng)絡堆棧參數(shù)、改變系統(tǒng)參數(shù)等。 在“主題”或“內(nèi)容”中添入“subscribe”向下面地址發(fā)送電子郵件可以申請加入其郵件列表， 以獲得其最新的開發(fā)動態(tài)：secure-sol-request@parc.xerox.com.

BASTILLE：工作于LINUX平臺之上。 可以從http://sourceforge.net/download.php/bastille-linux/Bastille-1.0.4.tar.gz。 并且， 在安全焦點網(wǎng)頁http://focus.silversand.net/可以找到其簡單的中文說明。

　　TITAN：其主頁位于http://www.fish.com/security/titan.html。 當前的最新版本號為3.7。

　　2 在線技術

　　由于當前各種安全漏洞層出不窮， 而反病毒軟件、入侵探測、風險評估軟件的根本是對病毒特征碼、入侵攻擊特征、漏洞的表現(xiàn)特征庫等。 所以， 傳統(tǒng)的更新手段， 例如到專賣店更新軟盤、郵寄更新庫、甚至INTERNET下載更新的方式都已經(jīng)不能很好的為客戶服務。 因為， 從管理的角度講， 沒有辦法能夠確保企業(yè)網(wǎng)用戶都有足夠的警覺來自覺地、及時地去相應的網(wǎng)址去下載。 這種需求環(huán)境促使安全廠家紛紛推出了更為易于使用、更加快捷的在線更新方式， 簡單列舉一下：

　　λ X-Press（業(yè)界領先的入侵探測和風險評估廠商ISS） λ LiveUpdate（安全反病毒廠家Symentec） λ BackWeb（加密和反病毒廠家F-Secure安防訊基） λ 等 另外， 越來越多的網(wǎng)站開始推出在線殺毒、在線安全掃描等服務。

　　例如ATT為用戶提供免費的垃圾郵件和病毒防火墻服務、國內(nèi)天網(wǎng)安全公司推出在線安全評估服務、263首都在線推出在線郵件殺毒服務等等。

　　結束語

　　有關自動和在線的安全技術不能一一列出， 應該看到， 這些技術代表了INTERNET軟件的一種發(fā)展趨勢， 一種能夠改變因特網(wǎng)“整體安全”水平的趨勢。 未來的安全軟件將走向在線銷售、更新、甚至租賃， 尤其是桌面級安全產(chǎn)品， 因為面對的大部分用戶屬于對網(wǎng)絡安全技術知之甚少的網(wǎng)絡服務使用者， 這樣， 只有簡單易用的軟硬件和服務才有可能真正地提高因特網(wǎng)的“整體安全”水平。

　　當然， 這種在線技術向計算機安全提出了新的挑戰(zhàn)， 也同時引入了新的安全風險。 例如， 網(wǎng)絡在線掃描存在的合法性、以及技術的可靠性都有值得懷疑之處， 而在線更新技術也在用戶參與交互的程度方面難于取舍， 自動加固技術在操作系統(tǒng)平臺和生產(chǎn)運行環(huán)境適應性及智能性方面還有很長的路要走。 總之， 網(wǎng)絡安全技術在整個互聯(lián)網(wǎng)的發(fā)展中已經(jīng)成為越來越重要的影響因素， 脆弱的網(wǎng)絡安全水平是整個互聯(lián)網(wǎng)走向商業(yè)化、社會化的制約瓶頸。

　　互聯(lián)網(wǎng)中不存在“安全孤島”， 只有聚集整個社會的智慧和力量， 在法律、教育、社會意識、安全技術等領域進行大量的艱苦的努力后， 才有可能看到一個安全的、值得信賴的互聯(lián)網(wǎng)。

　　來源：投稿， 作者系綠盟科技研究院趙糧