生存性

生存性

生存性是指系統在面臨攻擊、失效和偶發事件的情況下仍能按要求完成任務的能力。生存性研究強調以任務為本,而不是以系統為本。它與安全的區別在於如果某個系統的構件遭到攻擊而損壞但仍能保證所執行的任務按期完成,我們說它的安全策略是失敗了,而生存策略卻是成功的。研究表明,集成各種防禦手段、以實現深度防禦為目的的生存性技術成為安全研究的未來發展方向。

基本介紹

  • 中文名:生存性
  • 外文名:Survivability
定義,特徵,度量,分類,

定義

中科院高能所網路安全課題組進行的研究認為,信息系統可看做一個開放的複雜巨系統,其複雜性表現為網路架構的多樣性和系統用戶的不確定性,其開放性表現為系統在環境的影響下,通過一定的重配置等措施具有一定的自適應性,即系統是動態變化的。作為信息系統一個固有屬性的生存性來說,必然受到系統自身和系統運行環境的影響。因此,可以從系統和環境兩方面以及其之間的互動關係來定義生存性。定義應該包含以下幾個方面的內容:
(1)系統環境。對系統運行的環境進行分級定義,級別的劃分又是通過對系統將遭遇的各種事件不同來定義的,而且各種事件的發生在不同環境下有不同的機率。
(2)系統基本服務。定義系統在不同環境下應該提供的基本服務,根據系統需求給出基本服務的重要性值。
(3)系統狀態。根據系統服務狀態定義一組離散值表示系統狀態。
(4)狀態變遷。在各種事件的作用下,給出系統狀態變遷的機率和新狀態的保持時間,即系統在環境事件作用下的反應。

特徵

生存性技術具有如下五個方面的特徵:
(1)局部性。即攻擊模式對於攻擊對象的局限性。以作業系統為例,作業系統是網路安全的最後屏障,不同作業系統存在不同的漏洞,因此對漏洞敏感的攻擊模式會受到作業系統類型的局限,如針對UnixBuffer溢出的攻擊、針對Windows的Bo(Back office,後門)攻擊以及針對Linux Postfix多個漏洞的遠程拒絕服務攻擊等。研究表明,異構作業系統之間的漏洞往往不相關,即使是類似的漏洞在不同的作業系統中的表現形式也不會相同,因此面向漏洞的攻擊模式很難做到一專多能。這個結論對於作業系統以外的網路中的其他構件也是成立的。
(2)多樣性。即網路成分的多樣性。同構冗餘對於基於系統漏洞的信息攻擊來說毫無保護意義,因為它們的弱點是相同的。多樣性策略可以使對手無法了解目標的全部弱點,以儘可能多地提供系統在信息攻防中的“避風港”。考慮生存性問題是基於協定而不是基於拓撲,多樣化可以降低全局損失,因為遭受到信息攻擊時至少有一部分會存活下來作為重建的基地。
(3)對抗性。在面對智慧型對手攻擊的情況下,小機率事件可以同時發生,因為攻擊者們會尋找這些小機率事件精心研究以實現其攻擊意圖。雖然備份技術在RAS技術方面得到廣泛的套用,但以掩蓋系統故障提高系統可用性為目的的傳統的冗餘和備份技術,與面對敵方攻擊提高系統生存性的備份技術有很大的區別。
(4)階段性。攻擊模式的生命周期可以分為滲透、瀏覽和利用三個階段:在滲透階段,攻擊者利用各種攻擊手段企圖獲取對系統的訪問許可權,這些攻擊手段遍及業餘攻擊者的惡作劇和專業攻擊者精心設計的攻擊,其中較常見的手段之一就是通過掃描來發現系統的漏洞;在瀏覽階段,攻擊者在系統內部探索該系統的組織和功能以確定入侵目標;在利用階段,攻擊者在取得系統的相應許可權後,從事危害系統功能的實質性活動,如利用這些漏洞開發相應的攻擊軟體等等。這三個階段不斷地循環使破壞程度逐漸加深,用戶級的侵入會成為發現系統級漏洞的手段,進而可能構成對系統級的侵入。另外,選擇網路中最弱系統入侵可以使它成為入侵其他系統的跳板
(5)傳播性。即攻擊手段的廣泛傳播。這種傳播並非指RAS技術中通過器件傳播的故障,而是攻擊者通過網路傳播攻擊手段,“策反”薄弱的節點以及通過感染的病毒傳播等。就攻擊規律來看,攻擊模式在開發和調試階段危害相對小,一旦運行並傳播開來,往往會造成重大的災害。信息生存性研究開始於1997年,它與關鍵信息基礎設施保護。緊密相關,主要解決由於網路本身的先天不足所帶來的深層次安全問題,這些問題不能夠通過封堵的方法徹底解決,而必須通過全面的抵抗、識別和容忍策略來重點保證所執行的任務的按期完成。當今社會對大規模無邊界網路系統的不斷增強的依賴性的風險以及入侵技能的提高和攻擊事件的頻發等因素加強了人們對網路系統生存性的關注,目前投入的資金、研究的隊伍越來越大,研究的發展採取借力戰略,即吸收其他學科尤其是RAS技術的研究成果,結合生存性問題的具體情況開展研究。在技術上主要研究領域包括生存性的基本概念、生存性體系結構及系統模型、生存性系統分析與設計、生存性系統工程方法和工具、生存性風險評估、生存性系統評價與測試等。

度量

一種度量方式被稱為條件機率模型或者假定故障已發生(Given Occurrence ofFailure,GOF)模型。該模型將故障已經發生作為前提,在此基礎上對生存性做出一個評估。這類度量方式往往是以設計為導向的,體現了生存性設計在處理預設故障時的優勢。特別是在設計範圍已經確定但並沒有掌握故障發生頻率的相關記錄或預測條件不足的情況下,設計者必須考慮如果發生某種故障,網路服務能夠在何種程度上減少其影響。
另一類常見的網路生存性度量則旨在綜合考慮故障發生率、生存性反應和生存性能力,被稱為隨機故障(Random Occurrence of Failure,ROF)模型。與GOF模型的思維方式相反,ROF度量往往提出這樣的問題:在一年時間內節點之間的鏈路發生x分鐘中斷的可能性是多少?ROF模型通常假設故障可以通過己知機率分布函式的隨機變數來確定。

分類

(1)根據備用資源的分配在故障發生前後的不同,可分為保護和恢復兩種方案。
(2)按照處理層次來分,可分為單層和多層網路生存性問題。而多層網路的生存性是指在分層網路之間生存性方案的嵌套以及這些方案之間的相互作用。
(3)從保護的策略上來分,有基於鏈路通道的保護、共享和專用資源的保護等。其中,通道保護是指當發生故障時,光網路為受影響的故障通道分配一條完整的(通常是鏈路無關的)保護/恢復通道來恢復故障信道。
(4)從恢復的策略上來分,包括基於鏈路的和基於通道的故障恢復、預先規劃和動態計算的故障恢復等。
(5)從控制方式的角度來說,有基於集中式控制和分散式控制的故障恢復。
(6)依據適用的故障類型,有針對單鏈路故障、單節點故障和多點故障的生存性機制。

相關詞條

熱門詞條

聯絡我們