论封闭网络的安全

这两天Heart bleed漏洞在互联网上掀起了轩然巨波，作为基础安全软件的重大漏洞，影响深远，各大互联网公司、甲方、乙方、白帽子甚至央视等媒体全都行动起来，同仇敌忾，竞相测试、打补丁、升级、报道宣传......，大家忙得不亦乐乎，给广大网民很好地科普了一把信息安全。

与沸沸扬扬的互联网安全相比，物理隔绝的企业、政府等封闭网络似乎显得静悄悄，关心和了解该漏洞的人估计屈指可数，采取的行动也一定没有互联网来得热烈。因为封闭，表面上没有乱七八糟的威胁，也没有技艺高超的黑帽子和白帽子测试带来的压力，封闭网络的网管们一定没有动力加班熬夜在第一时间补上漏洞。而这种情况，也绝不是第一次出现。

不同于开放的互联网，物理隔绝的封闭网络没有那么多的用户、没有那么多的应用、没有讨厌的黑帽子和白帽子。然而，这并不代表封闭网络高枕无忧，Openssl作为基础的安全库，很可能在操作系统、web应用、设备远程配置、甚至应用安全网关中广泛涉及。由于缺乏在光天化日之下的考验，缺乏与***者的共同进化，封闭网络存在的安全漏洞与开放网络相比一定过之而无不及。

因此，对于封闭网络的安全，首先需要有可控的“邪恶”力量对其内部进行***性测试，就像猫和老鼠的共同进化一样，封闭网络的防护也不能没有“天敌”。至少，封闭网络应该对照已公开的漏洞，对其进行弥补，这是封闭网络安全的底线。遗憾的是，现实中，有的封闭网络可能连这条底线都无法满足，却要追求所谓的“自主可控”，殊不知，缺乏审查和考验的私有设计更不值得信任。

除了在威胁发作第一时间打补丁、堵漏洞、升级特征库以外，封闭网络的安全还应该注重基于白名单的控制方式，如对用户进行认证授权、对终端进行准入控制、对应用进行分发管理......，非白即黑，没被允许的即默认禁止。这也是许多封闭网络通常所采用的。然而，这里面仍然存在着两大难题。首先是白名单的管理问题，终端和用户的白名单尚可解决，难得的是应用，现代操作系统之上的应用可谓汗牛充栋，一旦封闭网络的规模和用户大到一定程度，几乎无法对应用实施白名单，这也不是技术上的难题，难得是安全与业务可用的平衡。更难的还是白名单的判断问题，何为白？合法用户、合法终端、合法应用真的就值得信任吗？一次判断以后是否就可以高枕无忧，这里的关键还在与对其异常的持续检测，内部人员作恶、合法终端和应用带有的0day，特别是在APT的大背景下，高价值的封闭网络几乎难以幸免***，这更需要对在封闭网络中获取各种信息进行精准分析。DARPA的主动认证项目根据用户内部网络中的行为如敲键方式、软件操作习惯、甚至在面对异常时的反映来对用户进行持续的认证，甚至有望取代CAC认证卡和口令，这应该是封闭网络安全的发展方向。

最后，由于漏洞总是客观存在，封闭网络作为高价值目标，难以做到防护的万无一失，转而应该借鉴可靠性的一些设计思想，瞄准在遭受***后关键业务仍然可用为目标，Mitre将这方面的设计思想称之为网络空间弹性Cyber Resiliency。冗余、跳变、关键系统的分割、沙盒、对***的重定向、非持续的提供服务，都是具体的弹性机制。这方面的研究且听下回分解。