近年來,大數(shù)據(jù)、人工智能等技術(shù)高速發(fā)展,為信息系統(tǒng)的賦能增效帶來極大的助力,并促進(jìn)了信息系統(tǒng)更好地服務(wù)于社會(huì)。但是,隨著信息系統(tǒng)越來越深入人們的工作、生活、學(xué)習(xí)等方面,人們對信息系統(tǒng)的依賴也越來越強(qiáng)。為了保障信息系統(tǒng)的持續(xù)可靠運(yùn)行,面向信息系統(tǒng)的安全防護(hù)設(shè)施也應(yīng)運(yùn)而生,然而,傳統(tǒng)的安全防護(hù)設(shè)備主要針對特定已知的威脅攻擊行為,且多獨(dú)立運(yùn)行,難以應(yīng)對當(dāng)前復(fù)雜的網(wǎng)絡(luò)威脅攻擊形勢。
本文針對核心信息系統(tǒng)的持續(xù)、高效、可靠運(yùn)行的需求,基于生物免疫機(jī)制,提出了一種信息系統(tǒng)免疫安全防護(hù)架構(gòu)。通過構(gòu)建面向系統(tǒng)、網(wǎng)絡(luò)、終端側(cè)的防御機(jī)制,綜合運(yùn)用系統(tǒng)、網(wǎng)絡(luò)、終端的各類安全數(shù)據(jù),實(shí)現(xiàn)信息系統(tǒng)安全威脅攻擊的高效感知和智能應(yīng)對,從而提升信息系統(tǒng)持續(xù)運(yùn)作能力。
1 相關(guān)工作
針對信息系統(tǒng)的安全防護(hù)需求,目前已有多種應(yīng)對方案,但通常只能被動(dòng)接受防護(hù)指令,存在嚴(yán)重的滯后性和局限性,而生物免疫機(jī)制由于其良好的自適應(yīng)、自學(xué)習(xí)能力,給信息系統(tǒng)安全防護(hù)帶來了巨大啟發(fā),因此受到越來越多的關(guān)注。
在美國新墨西哥大學(xué),Dr.Forrest 及其所在的研究中心首次將人工免疫理論應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行病毒檢測。美國諾貝爾獎(jiǎng)得主 Niels K. Jerne 博士提出了著名的免疫網(wǎng)絡(luò)理論,其主要觀點(diǎn)是將生物體的免疫系統(tǒng)看成是一個(gè)由免疫細(xì)胞組成的、能夠相互刺激和協(xié)調(diào)的網(wǎng)絡(luò)。美國 IBM 研究中心的研究人員 Kephart 等人建立了第一個(gè)投入商業(yè)應(yīng)用的計(jì)算機(jī)病毒免疫系統(tǒng)。該系統(tǒng)利用分布式網(wǎng)絡(luò)結(jié)構(gòu),對用戶提交的眾多任務(wù)進(jìn)行快速高效的分析處理。2010 年,受生物免疫系統(tǒng)的啟發(fā),美國國防部高級研究計(jì)劃局(Defense Advanced Research Projects Agency,DARPA)提出了實(shí)用化的免疫網(wǎng)絡(luò)安全系統(tǒng) CRASH,在該系統(tǒng)中引入了先天性免疫、適應(yīng)性免疫,以及多樣性策略機(jī)制。
目前,我國在基于人工免疫理論的網(wǎng)絡(luò)安全技術(shù)方面的研究還處于初級階段,相關(guān)的理論成果還不多。部分專家學(xué)者將免疫技術(shù)與可信計(jì)算結(jié)合在一起,提出了基于可信計(jì)算的網(wǎng)絡(luò)安全防御體系。還有人將免疫原理應(yīng)用到網(wǎng)絡(luò)安全防護(hù)中,提出了網(wǎng)絡(luò)自免疫內(nèi)生安全防護(hù)體系 ,實(shí)現(xiàn)自適應(yīng)、自學(xué)習(xí)、自組織及動(dòng)態(tài)的網(wǎng)絡(luò)安全防護(hù)能力。另外,免疫原理在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測 和惡意代碼檢測 中也有一些探索性應(yīng)用。
本文基于生物免疫原理,提出了一種信息系統(tǒng)免疫安全防護(hù)架構(gòu),能夠?qū)崿F(xiàn)信息系統(tǒng)自適應(yīng)、自進(jìn)化安全防護(hù)能力,有效保障信息系統(tǒng)業(yè)務(wù)的持續(xù)可靠運(yùn)行。
2 架構(gòu)設(shè)計(jì)
免疫(Immunity)的原意是機(jī)體對病原侵害做出的應(yīng)答反應(yīng)。免疫系統(tǒng)是維持生物體自身健康狀態(tài)必不可少的關(guān)鍵系統(tǒng),具有免疫防御、免疫監(jiān)視和免疫自身穩(wěn)定三大功能,通過發(fā)現(xiàn)、消滅外來病原體來防止感染,并監(jiān)控體內(nèi)異常病變細(xì)胞,對維持機(jī)體內(nèi)環(huán)境的穩(wěn)態(tài)發(fā)揮著重要作用。借鑒生物免疫能夠適應(yīng)環(huán)境變化,并且具有靈活多變保護(hù)措施的防護(hù)機(jī)理,參照免疫系統(tǒng)具有的記憶性、自限性、多樣性、耐受性、特異性等功能特性,本文提出,針對信息系統(tǒng)的免疫安全系統(tǒng)應(yīng)具備以下 5 個(gè)方面的能力:
(1)能夠從實(shí)體身份、行為特征等維度識(shí)別出“本體”和“異體”;
(2)能夠?qū)ψR(shí)別的“異體”包括實(shí)體和行為,采用不同策略實(shí)施“排異”;
(3)在遭受攻擊破壞時(shí),能夠在一定程度上對影響范圍進(jìn)行控制,具備“帶病運(yùn)行”的特點(diǎn);
(4)在遭受不可抗力的破壞時(shí),能夠通過數(shù)據(jù)重置,重新啟動(dòng)運(yùn)行;
(5)能夠針對外部刺激或基于外部信息,產(chǎn)生特征“疫苗”實(shí)現(xiàn)安全防護(hù)能力的持續(xù)提升。
基于信息系統(tǒng)免疫安全特征,提出集主動(dòng)識(shí)別、威脅抑制、入侵容忍、自適應(yīng)恢復(fù)、持續(xù)進(jìn)化于一體的信息系統(tǒng)免疫安全防護(hù)模型。信息系統(tǒng)免疫安全防護(hù)模型如圖 1 所示。
圖 1 信息系統(tǒng)免疫安全防護(hù)能力模型
另外,在對信息系統(tǒng)進(jìn)行安全防護(hù)設(shè)計(jì)之前,本文先對信息系統(tǒng)運(yùn)用模式進(jìn)行概要分析。信息系統(tǒng)應(yīng)用部署框架通常如圖 2 所示,各個(gè)信息系統(tǒng)采用單獨(dú)或云化方式部署在后臺(tái)高性能服務(wù)器上,不同位置的用戶終端經(jīng)由網(wǎng)絡(luò)采用客戶端 / 服務(wù)器(Client/Server,C/S)或?yàn)g覽器 / 服務(wù)器(Browser/Server,B/S)等方式訪問各信息系統(tǒng),滿足自身信息交互需求。結(jié)合信息系統(tǒng)的應(yīng)用模式可知,信息系統(tǒng)的使用主要與系統(tǒng)、網(wǎng)絡(luò)、終端 3 類實(shí)體相關(guān),因此,針對信息系統(tǒng)的免疫安全防護(hù)架構(gòu)設(shè)計(jì)也將圍繞這 3 方面進(jìn)行展開。
傳統(tǒng)信息系統(tǒng)安全防護(hù)主要根據(jù)攻擊特征進(jìn)行安全配置或安全策略臨時(shí)下發(fā),屬于被動(dòng)滯后的防御手段,導(dǎo)致防御一方在網(wǎng)絡(luò)空間安全對抗中長期處于劣勢地位。為扭轉(zhuǎn)網(wǎng)絡(luò)攻防地位的不對稱性,本文按照“內(nèi)生安全、主動(dòng)塑造、體系防御”的總體思路,結(jié)合生物免疫防護(hù)機(jī)制,構(gòu)建信息系統(tǒng)免疫安全防護(hù)架構(gòu),圍繞信息系統(tǒng)、網(wǎng)絡(luò)、終端進(jìn)行防護(hù)體系設(shè)計(jì),以動(dòng)態(tài)調(diào)整系統(tǒng)攻擊面、增強(qiáng)自我非我識(shí)別、主動(dòng)塑造信息系統(tǒng)安全可靠運(yùn)行環(huán)境為手段,有效限制系統(tǒng)漏洞暴露及被利用機(jī)會(huì),并在應(yīng)對各類威脅攻擊時(shí),有效保障信息系統(tǒng)持續(xù)、可靠運(yùn)行,實(shí)現(xiàn)信息服務(wù)不中斷。
圖 2 信息系統(tǒng)應(yīng)用部署框架
本文所提信息系統(tǒng)免疫安全防護(hù)總體架構(gòu)如圖3 所示,主要包括系統(tǒng)側(cè)、網(wǎng)絡(luò)側(cè)、終端側(cè)安全防護(hù) 3 個(gè)方面。其中,系統(tǒng)側(cè)安全防護(hù)綜合 3 類實(shí)體的安全數(shù)據(jù),進(jìn)行威脅攻擊的分析識(shí)別和智能應(yīng)對,并為信息系統(tǒng)運(yùn)行提供可靠的運(yùn)行環(huán)境;網(wǎng)絡(luò)側(cè)安全防護(hù)對信息系統(tǒng)訪問網(wǎng)絡(luò)進(jìn)行偽裝和攻擊誘捕;終端側(cè)安全防護(hù)對信息系統(tǒng)訪問用戶行為及終端安全狀態(tài)等進(jìn)行實(shí)時(shí)監(jiān)測,確保信息系統(tǒng)訪問用戶及終端的安全可靠。
圖 3 信息系統(tǒng)免疫保護(hù)總體架構(gòu)
3 防御機(jī)制設(shè)計(jì)
3.1 系統(tǒng)側(cè)安全防護(hù)
3.1.1 免疫安全防護(hù)控制
免疫安全防護(hù)控制是整個(gè)信息系統(tǒng)免疫安全防護(hù)架構(gòu)的核心,與威脅監(jiān)測識(shí)別、安全協(xié)同防護(hù)、威脅攻擊誘捕、終端檢測響應(yīng)等模塊進(jìn)行協(xié)同聯(lián)動(dòng),并提供各類技術(shù)支持。
免疫安全防護(hù)控制包括免疫學(xué)習(xí)、免疫記憶和疫苗生成等部分,其中,免疫學(xué)習(xí)主要基于信息系統(tǒng)自身、網(wǎng)絡(luò)、終端中的各類安全數(shù)據(jù),結(jié)合外部威脅情報(bào)進(jìn)行信息系統(tǒng)威脅的學(xué)習(xí)和挖掘,為信息系統(tǒng)潛在威脅的檢測識(shí)別提供支撐。
免疫記憶主要針對信息系統(tǒng)各類應(yīng)用服務(wù)以及典型威脅攻擊進(jìn)行行為建模和應(yīng)用畫像。通過將應(yīng)用行為中主要涉及的應(yīng)用進(jìn)程名稱、線程名稱、加載的模塊名稱及其中的調(diào)用關(guān)系,網(wǎng)絡(luò)訪問中主要涉及的網(wǎng)絡(luò)地址(源地址、目的地址等)、通信端口、通信協(xié)議、進(jìn)程流量監(jiān)控,文件訪問行為中主要涉及的文件名稱、文件類型、文件路徑、操作類型(文件讀寫、新建、刪除等),以及威脅攻擊行為中主要涉及的攻擊手段、攻擊流程、攻擊對象等進(jìn)行研究分析,實(shí)現(xiàn)應(yīng)用行為和威脅攻擊的快速識(shí)別,從而為信息系統(tǒng)“本體”和“異體”識(shí)別提供支撐。
疫苗生成則主要結(jié)合信息系統(tǒng)各類安全事件,利用信息系統(tǒng)自身各類安全防護(hù)資源,生成相應(yīng)的安全防護(hù)預(yù)案,為威脅事件的快速響應(yīng)處置提供支撐。
3.1.2 威脅監(jiān)測識(shí)別
威脅監(jiān)測識(shí)別主要滿足信息系統(tǒng)的“異體識(shí)別”需求,為盡早發(fā)現(xiàn)信息系統(tǒng)存在的安全隱患,及時(shí)對威脅攻擊進(jìn)行響應(yīng)處置提供支撐。威脅監(jiān)測識(shí)別應(yīng)具備系統(tǒng)行為監(jiān)測、網(wǎng)絡(luò)行為監(jiān)測、終端行為監(jiān)測、威脅特征提取、威脅攻擊識(shí)別以及威脅事件整編等能力。
信息系統(tǒng)具有組成元素多樣的特點(diǎn),其既包含服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端等多種物理設(shè)備實(shí)體,也包含信息服務(wù)軟件、服務(wù)協(xié)議、服務(wù)資源數(shù)據(jù)等虛擬要素。目前,主要采用虛擬機(jī)隔離防護(hù)技術(shù)、云平臺(tái)安全檢測技術(shù)、應(yīng)用服務(wù)防護(hù)技術(shù)等進(jìn)行信息系統(tǒng)威脅攻擊的檢測挖掘,但各技術(shù)運(yùn)用都比較孤立單一,只能滿足信息系統(tǒng)安全監(jiān)控部分需求,無法對信息系統(tǒng)形成全面體系化的安全監(jiān)控。針對威脅監(jiān)測識(shí)別模塊,本文提出一種信息系統(tǒng)狀態(tài)多維感知監(jiān)測機(jī)制,通過在信息系統(tǒng)云平臺(tái)、網(wǎng)絡(luò)交換設(shè)施、用戶終端等上部署軟探針或輕代理,在后臺(tái)服務(wù)器上部署威脅監(jiān)測分析系統(tǒng),從信息系統(tǒng)計(jì)算環(huán)境基礎(chǔ)設(shè)施、信息服務(wù)平臺(tái)、信息系統(tǒng)應(yīng)用服務(wù)、網(wǎng)絡(luò)流量、終端行為等方面開展全面監(jiān)測分析,進(jìn)行威脅攻擊的融合關(guān)聯(lián)識(shí)別,實(shí)現(xiàn)信息系統(tǒng)軟件、硬件、用戶等方面安全威脅的全面監(jiān)測感知,增強(qiáng)信息系統(tǒng)威脅檢測的準(zhǔn)確性。信息系統(tǒng)多維監(jiān)測感知機(jī)制如圖 4 所示。
圖 4 信息系統(tǒng)多維監(jiān)測感知機(jī)制
3.1.3 安全協(xié)同防護(hù)
安全協(xié)同防護(hù)主要滿足信息系統(tǒng)威脅攻擊的快速智能響應(yīng)應(yīng)對,為及時(shí)對威脅攻擊進(jìn)行封堵滅殺提供支撐,降低威脅攻擊對信息系統(tǒng)的損傷。安全協(xié)同防護(hù)應(yīng)具備威脅事件響應(yīng)、安全資源編排等能力。
目前,各安全防護(hù)設(shè)備通常獨(dú)立運(yùn)行,數(shù)據(jù)難以共享,防護(hù)行動(dòng)也難以進(jìn)行協(xié)同。在軟件定義安全的驅(qū)動(dòng)下,部分安全廠商提出了基于安全編排的安全防護(hù)資源協(xié)同聯(lián)動(dòng)機(jī)制,并且受到越來越多的關(guān)注。
針對安全協(xié)同防護(hù)模塊,本文提出基于事件干預(yù)和安全編排的安全防護(hù)資源協(xié)同聯(lián)動(dòng)方法。通過將各類已部署的安全工具與既有安全人力及安全流程連接起來,基于安全工作流最佳實(shí)踐及獨(dú)有工作流梳理進(jìn)行自動(dòng)化安全運(yùn)營。根據(jù)信息系統(tǒng)威脅監(jiān)測數(shù)據(jù)和威脅事件研判結(jié)果,結(jié)合信息系統(tǒng)實(shí)際運(yùn)行環(huán)境和安全標(biāo)準(zhǔn)、規(guī)范和策略的要求,采用安全資源自動(dòng)化采集、策略自動(dòng)生成與沖突檢測、任務(wù)流程自動(dòng)編排等自動(dòng)化輔助手段實(shí)現(xiàn)對安全信息和事件處置的智能化決策,降低對人員的技能要求和時(shí)間消耗,實(shí)現(xiàn)信息系統(tǒng)各種防御策略的靈活、快速調(diào)整,確保對威脅攻擊的及時(shí)封堵。
3.1.4 自免疫保護(hù)環(huán)境
自免疫保護(hù)環(huán)境構(gòu)建主要從信息系統(tǒng)可信運(yùn)行環(huán)境構(gòu)建和信息系統(tǒng)自適應(yīng)恢復(fù)兩方面進(jìn)行考量。其中,信息系統(tǒng)可信運(yùn)行環(huán)境構(gòu)建主要滿足信息系統(tǒng)運(yùn)行環(huán)境的安全可靠性需求,支持信息系統(tǒng)“本體”識(shí)別。信息系統(tǒng)自適應(yīng)恢復(fù)則主要滿足信息系統(tǒng)容災(zāi)恢復(fù)需求。
(1)信息系統(tǒng)可信運(yùn)行環(huán)境構(gòu)建
信息系統(tǒng)可信運(yùn)行環(huán)境應(yīng)具備信息系統(tǒng)運(yùn)行時(shí)保護(hù)、行為管控、資源微隔離和漏洞抑制等能力。目前,可信計(jì)算技術(shù)基于可信根通過對系統(tǒng)組件的度量確保系統(tǒng)的完整性和有效性,防止系統(tǒng)自身被篡改和替換,具有較好的“識(shí)真”能力,能夠識(shí)別和阻止“異體”的運(yùn)行,可以較好地滿足安全免疫的“排異”特性。可信識(shí)別和度量技術(shù)已經(jīng)比較成熟,也有多種產(chǎn)品在各類信息系統(tǒng)環(huán)境中應(yīng)用,但是傳統(tǒng)的可信計(jì)算相關(guān)裝備應(yīng)用環(huán)境缺乏靈活性和可操作性。
本文所提免疫保護(hù)架構(gòu)采用構(gòu)建信任鏈進(jìn)行智能化增強(qiáng),提升信息系統(tǒng)安全可信運(yùn)行環(huán)境建立的可用性和可擴(kuò)展性。通過免疫學(xué)習(xí)自主建立可信度量的信任鏈,對信息系統(tǒng)環(huán)境進(jìn)行自適應(yīng)學(xué)習(xí)來確定合法組件的特征,并在系統(tǒng)運(yùn)行中強(qiáng)化免疫記憶,持續(xù)采集特征信息,對免疫記憶進(jìn)行強(qiáng)化或修正,實(shí)現(xiàn)系統(tǒng)運(yùn)行環(huán)境自適應(yīng)的免疫識(shí)別能力。同時(shí),通過構(gòu)建“安全容器”,整合已有的軟件可信機(jī)制,對運(yùn)行信息系統(tǒng)“白名單”管控實(shí)現(xiàn)信任鏈向業(yè)務(wù)層延伸;通過在運(yùn)行環(huán)境底層對交互的數(shù)據(jù)進(jìn)行攔截、重構(gòu)和安全性檢測,實(shí)現(xiàn)多層次的攻擊防護(hù),并建立可信連接和訪問控制機(jī)制。信息系統(tǒng)可信運(yùn)行環(huán)境構(gòu)建如圖 5 所示。
圖 5 信息系統(tǒng)可信運(yùn)行環(huán)境構(gòu)建
(2)信息系統(tǒng)自適應(yīng)恢復(fù)
信息系統(tǒng)自適應(yīng)恢復(fù)應(yīng)具備在信息系統(tǒng)崩潰和設(shè)備故障等場景下,進(jìn)行快速遷移或恢復(fù)的能力,保障信息系統(tǒng)高效可用。
當(dāng)前,信息系統(tǒng)容災(zāi)恢復(fù)方面主要采用容災(zāi)備份、數(shù)據(jù)鏡像、快照等技術(shù)實(shí)現(xiàn)系統(tǒng)數(shù)據(jù)的安全防護(hù)。其中,備份技術(shù)又分為離線備份和在線備份,離線備份通常是把數(shù)據(jù)備份到磁帶庫,在線備份是周期性地將數(shù)據(jù)復(fù)制到其他地點(diǎn)。鏡像技術(shù)是在兩個(gè)或多個(gè)磁盤或磁盤子系統(tǒng)上生成同一個(gè)數(shù)據(jù)的鏡像視圖的信息存儲(chǔ)技術(shù),存在數(shù)據(jù)誤刪或損壞導(dǎo)致的數(shù)據(jù)丟失問題??煺占夹g(shù)是在存儲(chǔ)技術(shù)上實(shí)現(xiàn)的一種記錄某一時(shí)間系統(tǒng)狀態(tài)的技術(shù),是指定數(shù)據(jù)集合在某個(gè)時(shí)間點(diǎn)的映像。上述技術(shù)通常基于運(yùn)維管理角度進(jìn)行系統(tǒng)數(shù)據(jù)的容災(zāi)恢復(fù),但缺乏安全視角下的數(shù)據(jù)恢復(fù)措施。
本文從安全角度出發(fā),通過分析信息系統(tǒng)業(yè)務(wù)運(yùn)行環(huán)境的安全狀態(tài),結(jié)合信息系統(tǒng)威脅攻擊研判結(jié)果,對信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行綜合分析評估,提出安全驅(qū)動(dòng)的信息系統(tǒng)容災(zāi)恢復(fù)機(jī)制,即如果系統(tǒng)安全風(fēng)險(xiǎn)超過閾值,則在系統(tǒng)未崩潰時(shí),從安全角度考慮,依然進(jìn)行系統(tǒng)運(yùn)行環(huán)境的快速重構(gòu),避免威脅攻擊的擴(kuò)大化。安全驅(qū)動(dòng)的信息系統(tǒng)數(shù)據(jù)恢復(fù)技術(shù),能夠解決傳統(tǒng)信息系統(tǒng)未崩潰,但威脅攻擊已無法抵御情況下的系統(tǒng)防護(hù),同時(shí),將安全考量融入系統(tǒng)災(zāi)備恢復(fù)中,能夠避免傳統(tǒng)災(zāi)備技術(shù)響應(yīng)遲緩所引起的數(shù)據(jù)丟失問題。
3.2 網(wǎng)絡(luò)側(cè)安全防護(hù)
3.2.1 網(wǎng)絡(luò)偽裝欺騙
網(wǎng)絡(luò)偽裝欺騙主要滿足信息系統(tǒng)威脅攻擊遲滯和阻斷需求,應(yīng)具備仿真網(wǎng)絡(luò)構(gòu)建、網(wǎng)絡(luò)動(dòng)態(tài)調(diào)整、策略自適應(yīng)跳變等能力。
目前,部分安全廠商已開發(fā)了蜜網(wǎng)等相關(guān)的網(wǎng)絡(luò)偽裝欺騙工具。本文所提免疫安全防護(hù)架構(gòu)可集成現(xiàn)有網(wǎng)絡(luò)偽裝欺騙工具,結(jié)合威脅事件響應(yīng)處置流程,通過對重點(diǎn)防御目標(biāo)網(wǎng)絡(luò)提升網(wǎng)絡(luò)和系統(tǒng)的動(dòng)態(tài)彈性等方式,不斷轉(zhuǎn)移攻擊面,增加攻擊方的入侵成本和身份暴露的可能性,以此挫敗攻擊者的攻擊。
3.2.2 威脅攻擊誘捕
威脅攻擊誘捕主要滿足信息系統(tǒng)提前預(yù)防威脅攻擊的需求,應(yīng)具備誘捕文件生成、誘捕文件標(biāo)識(shí)嵌入以及誘捕環(huán)境構(gòu)建等能力。
目前,部分安全廠商已開發(fā)了蜜罐等相關(guān)的威脅攻擊誘捕工具,但缺乏與信息系統(tǒng)的結(jié)合。本文所提免疫安全防護(hù)架構(gòu)可集成現(xiàn)有威脅攻擊誘捕工具,結(jié)合免疫學(xué)習(xí)過程所掌握的信息系統(tǒng)服務(wù)模型,構(gòu)建仿真服務(wù)、仿真數(shù)據(jù)等誘餌,誘導(dǎo)攻擊者進(jìn)入誘餌,獲取偽裝數(shù)據(jù),從而感知捕捉攻擊行為,了解攻擊者的入侵方法,分析其攻擊思路,做到知己知彼,并產(chǎn)生免疫記憶提升系統(tǒng)安全防護(hù)能力,使攻擊者遠(yuǎn)離核心資產(chǎn),并延緩或遲滯其攻擊進(jìn)程。
3.3 終端側(cè)安全防護(hù)
3.3.1 終端安全防護(hù)
終端安全防護(hù)主要滿足信息系統(tǒng)用戶訪問終端的安全管控需求,應(yīng)具備外設(shè)管控、外聯(lián)控制、終端策略管理、用戶行為審計(jì)等能力。
目前,各終端安全防護(hù)廠商已具備相應(yīng)的終端防護(hù)能力,但難以進(jìn)行信息共享。本文所提免疫安全防護(hù)架構(gòu)可集成現(xiàn)有終端安全防護(hù)工具,并融合終端安全防護(hù)數(shù)據(jù)進(jìn)行威脅關(guān)聯(lián)檢測和系統(tǒng)訪問控制。
3.3.2 終端檢測響應(yīng)
終端檢測響應(yīng)主要滿足信息系統(tǒng)用戶訪問終端的威脅感知和響應(yīng)需求,應(yīng)具備持續(xù)性的終端行為監(jiān)測和記錄等能力。
目前,相關(guān)安全廠商已開發(fā)相應(yīng)產(chǎn)品。本文所提免疫安全防護(hù)架構(gòu)可集成現(xiàn)有終端監(jiān)測響應(yīng)工具,并融合終端行為監(jiān)測數(shù)據(jù)和分析結(jié)果進(jìn)行威脅關(guān)聯(lián)挖掘和封堵。
3.3.3 防病毒
防病毒主要滿足信息系統(tǒng)用戶訪問終端運(yùn)行環(huán)境安全可靠需求,應(yīng)具備惡意代碼查殺、系統(tǒng)漏洞修復(fù)、病毒知識(shí)庫維護(hù)、黑白名單管理等能力。
目前,各防病毒廠商已具備相應(yīng)的終端病毒查殺能力。本文所提免疫安全防護(hù)架構(gòu)可集成現(xiàn)有防病毒工具,并融合終端病毒防護(hù)數(shù)據(jù)進(jìn)行威脅關(guān)聯(lián)檢測。
4 結(jié)? 語
本文提出了一種基于生物免疫機(jī)制的信息系統(tǒng)免疫安全防護(hù)架構(gòu)。本文利用生物免疫自適應(yīng)、自學(xué)習(xí)的特點(diǎn),結(jié)合信息系統(tǒng)部署應(yīng)用模式,從系統(tǒng)、網(wǎng)絡(luò)、終端側(cè)分別進(jìn)行安全防護(hù)設(shè)計(jì),并進(jìn)行各類安全防護(hù)資源的體系化管理運(yùn)用,實(shí)現(xiàn)信息系統(tǒng)安全威脅的深度挖掘和協(xié)同處置,支持信息系統(tǒng)安全防護(hù)能力的持續(xù)提升,為信息系統(tǒng)持續(xù)安全可靠運(yùn)行提供保障。
近期, Imperva 發(fā)布的《2024 年 API 安全狀…
近年來,大數(shù)據(jù)、人工智能等技術(shù)高速發(fā)展,為信息系統(tǒng)的賦能增效
由于傳統(tǒng)的郵件傳輸協(xié)議(SMTP)并沒有內(nèi)置安全防護(hù)元素,因
隨著《中華人民共和國密碼法》《中華人民共和國數(shù)據(jù)安全法》等法
5月4日,代碼托管平臺(tái)GitHub 宣布了一項(xiàng)新的賬戶保護(hù)機(jī)
029-63648670
zoyink@zoyink.com
關(guān)注
官方微信