用全域安全防范美国NSA对西工大的网络攻击

上周写的一篇文章《全域安全：一种运行时安全管理模型》，向大家介绍了全域安全管理模型，它是如何在Laxcus分布式操作系统的分布环境下，解决了分布式应用业务的全流程安全管理问题。其中顺便提到，如果把全域安全管理模型放到西工大，也能防范美国国家安全局TAO针对西工大的网络攻击。因为文章主要是讲解全域安全管理模型的处理流程，并不是防范网络攻击的介绍，这些天持续有人在后台私信我，希望了解全域安全管理模型防范网络攻击的具体细节。那么今天再写一篇，详细说说这方面的事情。
在介绍防范网络攻击手段之前，希望各位对全域安全管理模型有点了解，不清楚的地方，可以看上面那篇文章。闲话不多说，咱们直奔主题。
全域安全管理模型是一个体系化的分布式监管模型，它从系统架构到应用操作行为，进行着全方位的安全管控。除了防范攻击行为，更主要是给用户提供了一个放心使用的安全运行环境。按照从上至下的顺序，采用了下列管控措施，这些措施被Laxcus分布式操作系统强制执行，全部属于必选项。
一、计算机集群网络分成内网和外网，中间用网关分隔。
二、使用虚拟化技术，把物理的计算机集群，分成多个独立的虚拟计算机集群空间，一个用户独享一段虚拟空间。
三、可信网络的基础，CA证书被密钥令牌取代。
四、重新设计网络加密通信。
五、隔离管理员和用户，并且不允许身份互换。
六、用户使用计算机需要获得授权，没有获得授权时，不能执行任何操作。
七、执行应用业务也要获得授权。运行过程中的任何操作，都被严格监控，接受管制。
咱们先说第一项和第二项。
第一项是针对计算机集群的环境安全部署，逻辑上把计算机网络分成内外两个网段。外网属于注册用户所有，体系设计上定义为非安全环境，它提供人机交互能力和结果展示，具体的存储和计算工作被投递到内网执行。内网由集群管理员负责维护，用户所有的存储和计算工作都在内网处理，属于高安全可靠运行环境，管理员有义务保证计算机集群内网安全。为了实现内外网的互联互通互操作，且能够隐藏内网拓扑，避免将内网暴露给外网，它们之间用网关进行了连接隔离。网关的作用是反向代理，来自外网的任何操作，都要接受网关的检查，只有通过安全校验确认后，网关才会把外网请求转发给内网处理。这样从物理环境布局上，一定程度限制了网络攻击行为。

Laxcus内外网络环境，中间有网关分隔。
 
第二项属于虚拟化技术的延伸创新。不同与传统虚拟化针对一台计算机，Laxcus分布式操作系统的虚拟化，针对计算机集群。它把硬件的计算机集群进行软件切割，在一定范围内分成N多个片段，即虚拟计算机集群，每个用户登录后独享其中一段空间，用户所做的工作，只能在自己的空间，与他人老死不相往来。在这种情况下，如果某位用户虚拟空间遭到破坏，也只局限于自己的虚拟空间范围内，其它用户不受影响。这样就进一步压缩了破坏影响范围。

虚拟化集群在用户登录时分配，退出后释放，通过虚拟化+资源复用，大幅提高了计算机集群的使用效率，降低了用户使用成本。保守估算，这个成本大概是原来的1/20 - 1/50之间。
 
第三项针对CA证书。目前互联网上的电子安全证书，由第三方安全机构颁发。证书一般包含签证机构名称、数字签名、有效期，以及非对称加密的公钥和私钥。通常是公钥用来加密，私钥用来解密。由第三方安全机构颁发安全证书的本意，是希望体现公平、公正、安全保证、不作恶原则。
过去一段时间，安全证书曾经普遍被各界接受，但是随着过去几年各种力量对抗加剧，频繁出现的各种颠覆性事件，放在这样的背景下，作为颁发安全证书的机构，其本身已经受到质疑。现在谁也不能保证它们绝对的公平、公正，不会做出违背其宗旨原则的选择。这个现实背景下的安全证书已经受到质疑。另外，获得安全证书需要缴纳一定费用。不可靠不可信+收费，安全证书的价值在减弱。
全域安全管理模型用“密钥令牌”取代了安全证书。相比安全证书，密钥令牌由管理员设置部署管控，有以下优点：
1.密钥产生来源多样性。
2.密钥具备足够的随机性。
3.零成本，不象CA证书一样需要收费。
4.自由定义安全性更强，有利强化管理计算机集群。
在全域安全管理模型中，密钥的来源多种多样，包括计算机根据运行参数生成，管理员通过管理界面手动定义设置、由经典密钥机产生，甚至可以从量子网络中取得。运行时随机生成，管理员自由定义，经典密钥机获得、从量子网络取得，这些强随机性的获得方式，CA证书不具备。
另外，在全域安全管理模型中，密钥令牌不象CA证书一样，只有一个，而是任意多个。它允许管理员为每个节点配置不同的密钥令牌，甚至在一个节点上，针对不同用户，也可以配置多个。比如为某组IP地址的用户，配置专属于他的密钥令牌，或者针对某个数字签名的用户，配置一个密钥令牌。
这些随机性和多样性，有利强化管理员安全管控计算机集群。

为“192.168.100”网段用户配属密钥令牌，实现与其它网段一致但有区别的加密通信
第四项属于Laxcus分布式操作系统FIXP网络的一部分，这个时候已经进入到个体业务处理阶段。目前的FIXP网络，强制全流程执行加密通信。如果截获这些加密通信，打开它们，你会看到的只是一堆无意义的二进制数字。FIXP网络的加密通信处理流程，类似SSL/TLS，但是在部分实现细节上，加入了新的元素。比如通信采用了短报文通信技术，即每一次RPC调用，按照需求，被系统分成N个步骤来处理。每一次通信IO，都是一次一密的执行，对称密钥、数字签名、非对称密钥都可以随机动态更换。并且非对称密钥、数字签名、对称密钥，它们不允许接触任何物理存储设备，被严格限制在网络、内存、CPU之间的传递。因为一次一密的机制，保证了上次通信的密钥和本次不同，即使数据明文是完全一样的信息，也会呈现不同的传输内容。这样的网络通信有相当的迷惑性，它降低密钥被截获后破解的概率，强化了个体业务的安全强度。再加上多密钥令牌机制，即使用上Laxcus这样超级强大的分布式处理系统来逆向计算，也难以破解这些加密密码。

FIXP网络管理非对称加密、数字签名、对称加密，是个人安全服务的入口
第五项涉及的是权限管理问题。在全域安全管理模型中，系统将管理员的管理权限和用户的使用权限，进行了严格限制分割，不允许身份互换。这样的结果就是，如果一个人以管理员身份登录进入Laxcus分布式操作系统，那么他只能执行计算机集群方面的工作，用户能够执行的操作被禁止。同样的，如果一个人以用户身份登录进入Laxcus分布式操作系统，管理员能够执行的操作被严格禁止，所有工作都被限制在用户权责范围内。这是从计算机程序层面进行的限制，除非有能力修改全部源代码，否则整体无解。
这一点和Unix、Linux等操作系统的设计完全不同。在Unix/Linux上，每个人的身份可以随时切换，比如一个登录者以普通用户身份登录，如果他需要执行更高权限的工作，切换到root用户状态，使用“su”命令就可以完成。但是在Laxcus分布式操作系统上，不允许这样操作，用户的身份，在他登录成功那一刻即被确认，没有切换的机会。
拒绝身份切换，也除了减少密码泄漏的机会，更主要为Laxcus分布式操作系统提供更高级的安全管控能力。

管理员非法执行用户指令，被系统拒绝！
 
第六项可以看作第五项管理员权限的延伸。在Laxcus分布式操作系统上，一个用户账号注册成功后，尚不具有处理任何工作的能力。要想得到这样的能力，必须获得管理员的授权。目前用户能够使用的权限有几十种，比如操作大数据的权限，针对分布式应用软件的权限，针对用户虚拟空间的权限。这些权限还可以进一步细分，比如细化到执行原子级别IO的操作。

管理员向一个名为“TINY”的用户授权，使他获得删表、加载索引，SQL SELECT检索的能力
 
第七项已经进入到具体的用户执行层面。在这个层面，全域安全管理模型会严格监督用户发出的任何操作行为。用户运行的分布式应用软件，执行大数据处理工作，判断提取系统信息的操作，都会受到严格监控。这些监控基于第六项的管理员授权，如果用户没有获得某个应用软件的运行授权，那么他不能运行这个应用软件，即使在前端的图形桌面执行，这项工作投递到云端内网环境中，也会被系统拒绝执行，大数据存取处理、操作数据库的SQL语句也是同样的道理。
以上就是全域安全管理模型针对网络攻击的具体处理措施。这些安全手段对于初学者，可能仍然比较抽象。那么咱们换个角度，结合实际案例，谈谈如果使用全域安全管理模型，如何防范网络攻击获取西工大机密信息，这样应该更容易让各位理解。
根据披露的信息，西工大机密数据被窃，是嗅探程序和木马程序组团作恶的结果。流程大致是这样：美国国家安全局TAO为了掩人耳目，派出大批跳马侵入世界各国的计算机系统，从这些地方发起攻击，集中扫描西工大的计算机系统，寻找系统漏洞。比如某个可以利用的端口，或者发送诱饵邮件，由此值入木马程序。在缺少必要安全保护的情况下，有些木马程序被激活运行，取得某台计算机最高级别的root权限，然后这些木马程序继续依此循环往复，获得更多计算机的root权限，植入更多木马程序。利用root权限加上木马程序，TAO大规模持续检索计算机上的信息，寻找窃取机密数据，然后通过网络，传输保存到它们预设的某个位置。最后“抹脚印”，将计算机系统上的行动轨迹销毁，删除作案证据，撤出被攻击的计算机系统,好象什么事情都没有发生一样。在国际社会继续利用手中的媒体，把自己装扮成一朵白莲花。
针对这些情况，结合全域安全管理模型，我们可以这样防御处理：
1.内外网络分离，网关连接通信双方，对外只保留一个通信端口。这个端口的后端节点使用密钥令牌通信。必要时候，依据IP地址来源或者启用数字签名，严格识别和控制外来通信，杜绝非法访问。
2.在计算机集群虚拟化层面，因为每个空间都是独立的，一个空间出现问题，并不影响同处一个物理计算机集群其它空间用户使用。这样就将问题波及影响限制在个体层面。
3.在个体层面，用户如果想使用计算机集群，需要获得授权。因为授权只能由管理员执行，而管理员是某个具体的人来操作，他的操作只在内网环境中执行，执行信息不会出现在外网环境，加上管理员空间和用户空间分开，所以授权过程具备相当的安全保证，进一步降低安全风险。
4.个体用户使用，运行分布式应用软件，存取数据、执行命令都建立在授权基础上。因为每个分布式应用软件都有数字签名，这个签名由软件开发者签发，具备唯一性。如果发布到应用软件商店，还将接受应用商店的安全检查才能发布。软件的安装部署过程只能由用户手工处理，拒绝自动执行，这个环节还可以增加自定义的安全检查，比如手机校验或者其它什么可以识别的方式，由此拒绝木马植入。软件部署到内网的云端环境，会继续接受系统的安全检查识别。这些检查信息都被记录下来，保存到一个安全的注册表里。在软件运行前，它们一起分发到各个计算机节点上。一旦运行时发现不符，比如被植入木马，或者携带了病毒，可以立即检测出来，这个时候系统会拒绝运行，同时通知用户。这个道理也同样适用Laxcus分布式操作系统的各种命令，包括很多类似Linux/Unix的高危命令。
同样基于授权机制，即使用户的应用软件本身没有问题，但是软件在运行过程中，出现了超越权限的行为，比如在没有获得写权限情况下，执行了一个针对磁盘的写操作。或者在没有读取权限的情况，读取系统信息，这些情况都会被系统识别，做出拒绝执行操作。
以上就是全域安全管理模型的处理流程。这些安全管控措施跟随业务需求被一层层分解，然后一层层分阶段判断执行，细密到每一个处理环节，十分繁琐。系统实际运行过程中，也确实因为各种安全措施的深度介入，降低了计算机系统运行效率。但是如果考虑现在的计算机系统越来越需要安全的运行环境，而全域安全管理模型能够保护计算机系统安全运行，杜绝各种安全隐患，降低计算机被网络攻击的概率，和数据泄漏的可能。它从另一个维度，保护着我们的数字资产，提高了安全保障能力，所以这一切的成本付出和代价都是值得的。

附说明：全域安全管理模型目前应用于Laxcus分布式操作系统。Laxcus是一个开源、容错、高扩展、多人共享、多机协同分布运行的操作系统，支持百万级节点规模的计算机集群、亿级用户在线。通过分布式应用软件，处理大规模、超大规模的存储和计算工作。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！