中科院高能所网络安全课题组进行的研究认为,信息系统可看做一个开放的复杂巨系统,其复杂性表现为网络架构的多样性和系统用户的不确定性,其开放性表现为系统在环境的影响下,通过一定的重配置等措施具有一定的自适应性,即系统是动态变化的。作为信息系统一个固有属性的生存性来说,必然受到系统自身和系统运行环境的影响。因此,可以从系统和环境两方面以及其之间的交互关系来定义生存性。定义应该包含以下几个方面的内容:
(1)系统环境。对系统运行的环境进行分级定义,级别的划分又是通过对系统将遭遇的各种事件不同来定义的,而且各种事件的发生在不同环境下有不同的概率。
(2)系统基本服务。定义系统在不同环境下应该提供的基本服务,根据系统需求给出基本服务的重要性值。
(3)系统状态。根据系统服务状态定义一组离散值表示系统状态。
(4)状态变迁。在各种事件的作用下,给出系统状态变迁的概率和新状态的保持时间,即系统在环境事件作用下的反应。[2]
生存性技术具有如下五个方面的特征:
(1)局部性。即攻击模式对于攻击对象的局限性。以操作系统为例,操作系统是网络安全的最后屏障,不同操作系统存在不同的漏洞,因此对漏洞敏感的攻击模式会受到操作系统类型的局限,如针对UnixBuffer溢出的攻击、针对Windows的Bo(Back office,后门)攻击以及针对Linux Postfix多个漏洞的远程拒绝服务攻击等。研究表明,异构操作系统之间的漏洞往往不相关,即使是类似的漏洞在不同的操作系统中的表现形式也不会相同,因此面向漏洞的攻击模式很难做到一专多能。这个结论对于操作系统以外的网络中的其他构件也是成立的。
(2)多样性。即网络成分的多样性。同构冗余对于基于系统漏洞的信息攻击来说毫无保护意义,因为它们的弱点是相同的。多样性策略可以使对手无法了解目标的全部弱点,以尽可能多地提供系统在信息攻防中的“避风港”。考虑生存性问题是基于协议而不是基于拓扑,多样化可以降低全局损失,因为遭受到信息攻击时至少有一部分会存活下来作为重建的基地。
(3)对抗性。在面对智能对手攻击的情况下,小概率事件可以同时发生,因为攻击者们会寻找这些小概率事件精心研究以实现其攻击意图。虽然备份技术在RAS技术方面得到广泛的应用,但以掩盖系统故障提高系统可用性为目的的传统的冗余和备份技术,与面对敌方攻击提高系统生存性的备份技术有很大的区别。
(4)阶段性。攻击模式的生命周期可以分为渗透、浏览和利用三个阶段:在渗透阶段,攻击者利用各种攻击手段企图获取对系统的访问权限,这些攻击手段遍及业余攻击者的恶作剧和专业攻击者精心设计的攻击,其中较常见的手段之一就是通过扫描来发现系统的漏洞;在浏览阶段,攻击者在系统内部探索该系统的组织和功能以确定入侵目标;在利用阶段,攻击者在取得系统的相应权限后,从事危害系统功能的实质性活动,如利用这些漏洞开发相应的攻击软件等等。这三个阶段不断地循环使破坏程度逐渐加深,用户级的侵入会成为发现系统级漏洞的手段,进而可能构成对系统级的侵入。另外,选择网络中最弱系统入侵可以使它成为入侵其他系统的跳板。