可生存網(survivable network),當網路中出現故障時,具有一定隔離故障並維持通信能力的網路。
| 中文名稱 | 可生存網 |
| 英文名稱 | survivable network |
| 定 義 | 當網路中出現故障時,具有一定隔離故障並維持通信能力的網路。 |
| 套用學科 | 通信科技(一級學科),光纖傳輸與接入(二級學科) |
基本介紹
- 中文名:可生存網
- 外文名:survivable network
- 實質:隔斷故障並維持通信
定義,特性,抵禦,識別和恢復,適應性和進化,體系結構,基礎要素,設計方法,分析方法,設計方法,存在的問題,
定義
Neumann等人於1993年定義了網路系統可生存性:在任意的不利條件下,基於計算機通信系統的套用所具有的持續滿足用戶需求的能力。其中,用戶需求包括安全性、可靠性、實時回響和正確性等需求。與之相似,1997年Ellison等人更正式地定義了網路系統的可生存性:網路系統在遭受攻擊、故障和意外事故的情況下及時完成任務的能力。
2000年Knight和Sullivan提出了一種網路系統可生存性的定義 :網路系統的可生存需求以一個四元組{E, R, P, M}表示,符合此需求的網路系統是可生存的。四元組{E, R, P, M}解釋了網路系統所能提供的服務規格,以及不同的服務規格的實現機率。Knight和Sullivan依機率定義的網路系統的可生存性是對Neumann和Ellison等人的定義的細化,更精確地表示了對網路系統基本服務的保護和網路系統的可生存性,使得定量研究網路系統的可生存性成為可能。
特性
可生存網的特性如下:
抵禦
抵禦非法入侵是安全性研究的主要內容,也是可生存性研究的一部分。傳統的安全技術如認證、加密、多樣性、容侵和容錯等仍然是最主要的和最常用的方法。
識別和恢復
隨著網路系統的規模和複雜性不斷增加以及攻擊手段越來越多樣化,網路系統不可避免地會遭受攻擊破壞和發生故障,網路系統的可生存性也主要體現在對攻擊和故障等的識別和恢復上。對於可生存性而言,無論是否出現攻擊和故障,系統及其重要服務都要得到保護。對於攻擊和故障等,可生存性研究認為重要的是對其影響的評估和系統服務的恢復,而不是針對其起因的及時回響。如果所提供的服務不能滿足用戶需求,則網路系統可生存性被破壞。
適應性和進化
適應性和進化也是重要的可生存特性之一。適應性和進化是利用已經獲得的入侵的知識增強系統的抵禦、識別和恢復特性,因而從整體上增強系統的可生存性。
體系結構
現有的可生存網路系統大多是在安全網路系統的基礎上附加控制系統得到。控制系統主要包含三類組件:感覺組件、分析組件和執行組件。感覺組件負責從網路系統中提取信息,如網路系統異常的行為和性能變化等,再把這些信息傳遞給分析組件;分析組件根據感覺組件提取的信息確定其所監控的網路系統中是否存在攻擊和故障,一旦確定就向執行組件傳送重配置命令;執行組件接受並執行來自分析組件的命令,對網路系統進行重配置。控制系統的主要功能是實時監視和管理網路系統,使網路系統的安全性被破壞後網路系統仍然可以提供基本服務,網路系統的識別、恢復、適應性與進化等可生存特性主要由控制系統實現。
採用這種體系結構時,需要考慮保護控制系統組件。控制系統的分析組件可以從網路系統隔離出來,而感覺組件和執行組件都分布在網路系統中,可能成為攻擊者的目標,其安全性需要得到保護。
基礎要素
可生存網具有如下5個基礎要素:
1、研究對象——無邊界網路系統:所謂無邊界是指系統的拓撲結構是動態變化的,不存在集中式的中央控制節點,沒有任何節點擁有全部的全局信息。一般來說,網路可生存系統都是指類似於Internet的大規模無邊界分散式網路系統。
2、適用場景——系統面臨威脅:影響系統提供服務的威脅因素,可以分為意外、惡意或災難.意外威脅包括軟體錯誤、硬體錯誤或人為錯誤.惡意威脅包括破壞、入侵,或恐怖攻擊。災難威脅一般都使得系統無法向用戶提供要求的服務,主要包括自然行為、戰爭行為和電力故障等。
3、衡量標準——能力:對於給定的具有網路可生存性系統,需要有一定的衡量標準來衡量其是否滿足可生存性。
4、可生存需求——可生存性系統關鍵屬性:可生存系統的核心就是維持關鍵服務,比如完整性、機密性、性能和其他屬性等.維持關鍵服務不能夠以系統中特定信息源、節點計算能力或通信鏈路的可生存為前提。
5、時間要求——及時性:服務應該在系統要求或者用戶期望的時間內可用。系統對調整所需時間有嚴格要求,只有時間合理可生存性策略才是有效的。
設計方法
分析方法
網路系統的故障既包括系統組件自然發生的組件故障,又包括人為惡意破壞造成的組件故障。如果故障是局部的,可以通過同步、虛擬同步、軟體和硬體複製等容侵和容錯技術加以禁止;如果故障是非局部的,必須通過增強系統的可生存性解決。
Ellison等人在綜合了以前的研究之後,提出了一種可以全面地提高網路系統可生存性的方法,稱為可生存網路分析方法(SNA)。這種方法是在規劃網路系統和網路系統的體系結構動態變化的過程中,用系統化的方法得到並提高網路系統的可生存性。SNA方法包括四個步驟:
1、系統定義:包括系統的目標和需求定義、系統體系結構和特性的定義和說明;
2、基本性能定義:根據系統的目標和故障造成的後果定義網路系統的基本性能,包括確定基本服務和基本組件;
3、破壞能力定義:包括攻擊事件或故障的選擇和弱組件的確定。攻擊事件的選擇根據系統所處的計算環境以及對風險和攻擊者能力的評估,而弱組件的選擇要考慮到 COTS組件的特性以及已知的安全性和可靠性缺陷;
4、可生存性分析:根據步驟2和3分析的結果生成可生存圖。可生存圖是一張二維表,包含步驟3中確定的每個攻擊事件和相應對策以及抵抗、識別和恢復的體系結構級上的策略,可生存圖可以為系統及其體系結構設計提供反饋信息。
設計方法
在 SNA 的基礎上,Mead 等人提出了用於可生存網路系統開發的螺旋模型。模型中螺旋線始於問題定義階段,隨後是三個循環表示需要考慮的三種攻擊。每個循環始於入侵模型,經過可生存性風險分析和規劃以後,止於套用模型,螺旋線依次經過四個區域:入侵模型,可生存性風險分析,可生存性規劃和套用模型。螺旋線可能針對同一類攻擊循環多次,然後再考慮其他的攻擊類型。可以看出,螺旋線經過的四個區域與 SNA 四個步驟相對應,整個模型的螺旋結構與SNA方法的反饋環節相對應。
存在的問題
國際上對網路系統可生存性的研究始於上世紀末,主要的研究機構有 Virginia 大學、Arizona 大學、CarnegieMellon 大學和 CERT 組織等,其研究各有側重點 :Virginia大學和Arizona大學的研究側重於系統可生存性的量化和體系結構,而Carnegie Mellon大學和CERT組織的研究主要是從方法學的角度討論可生存系統的建立方法和步驟,並開發了兩個建立可生存網路系統的模型。但是這些研究都處於建立理論模型階段,還沒有形成完整的理論體系結構和實用技術。國內在網路系統可生存性方面的研究較少,目前只有信息安全國家重點實驗室和國防科技大學等少數幾個單位進行了一些研究。可生存性是一個新的研究課題,尤其是在網路系統方面的研究歷史更短,還需要在形式化表示、定量評估和系統設計方法等問題上進一步研究。
