【无标题】一种超级终端防火墙
图1是一个标准的服务器、网络、终端的接示意图。越来越多的日常活动无论是办公还是购物等都是在图1中的终端上完成。据报道,中国目前有9亿多的网民,全世界的网民保守估计超过30亿。手机、电脑、PAD是普通网民最常见的三种终端。
图1
在美国国防部国防创新委员会于2019年4月3日发布的《5G生态系统:对美国国防部的风险与机遇》的研究报告中,公布了两个重要的研究结论:
结论1:网络空间和终端是发生网络攻击的两个重要来源地。其中移动终端既是网络攻击的重要目标,又是发起网络攻击的重要设备。
结论2:外围防御模型已经被证明是无效的,也就是传统的网络安全方案中的必备部件防火墙,并们不能保证网络应用中内网的安全。
国防部必须采用“零信任”网络模式是报告中的众多建议中的最具广泛影响力一个,没有之一。“零信任”安全方案由此正式步入网络安全界的业务范畴。
我国于2019年5月10日正式发布,2019年12月1日开始实施的等宝2.0,将网络应用服务供应商安全防护的法定范围,从等宝1.0时的服务器端,扩展到其网络应用所涵盖的所有业务终端。在这一点上,中美两国有高度一致的相同认知。
以图1为例,等宝1.0时代,网络服务供应商的法定防护范围为服务器。等宝2.0时代,网络服务供应商的法定防护范围为服务器、终端。
一般而言,为保护终端的数据、应用的安全,常用的防护手段是:
手段1:打系统补丁。
手段2:在终端上安装商用安全软件。如360、卡巴斯基等。
手段3:高安全等级的网络应用,还会自带安全层或外加特别的保护措施。如网银必备的“银联可行服务安全组件”、加密键盘、Ukey等。
图2是简化的终端侧的业务模型。硬件为终端的基层,操作系统叠加在硬件之上,安全层叠在操作系统之上,各种网应用叠在安全层之上。
图2
图2模型之下的网络应用,始终面临着3种安全威胁:
安全威胁1:操作系统或应用系统上“后门”威胁。
安全威胁2:利用操作系统、应用系统上的安全漏洞,实施的安全攻击。
安全威胁3:不守规矩的网络应用或伪装成一个网络应用的病毒,实施的安全攻击。
三种安全威胁产生的直接后果就是攻击方可以从终端上获取用户的核心敏感数据,包括但不限于:1)个人隐私泄露;2)网络应用账号被盗;3)泄密。
基于图2业务模型的整个网络服务供应商生态的行业痛点是:
行业痛点1:操作系统供应商、应用系统供应商,需要投入相当一部分的资源,不断的对操作系统、应用系统进行安全扫描,以发现安全漏洞进行修补。
行业痛点2:网络应用的用户则要不断的更新操作系统、应用系统,打补丁。
然而略显尴尬的是,一方面不断发现安全漏洞、修补安全漏洞,另一方面,有些漏洞根本无法修补;在操作系统、应用系统的迭代进化过程中,又会产生新的、更多的安全漏洞。换而言之,安全漏洞本就是操作系统、应用系统的必然产物。
图3结构一种超级防火墙。这个防火墙可以永久的有效的遏制3种安全威胁。
图3
图3由主业务终端、加密业务终端的技术特性、操作特性构成了超级防火墙的安全特性:
第一:主业务终端、加密业务终端的操作特性
在办理业务的整个作业过程中,必须确保全部敏感数据的输入(如网络登录时输入的登录账号、密码;网银转账是输入的账号、密码等),分布到主业务终端和加密业务终端上完成;始终有部分敏感数据以密文状态出现在主业务终端上;部分密文的明文只能显示在加密业务终端上。
第二:加密业务终端的技术特性:
技术特性1:数据(明文或密文)进入加密业务终端的方式是以下三种方式中的一种或多种:方式1:键盘输入。方式2:短信输入。方式3:摄像头读取。
技术特性2:屏幕显示是数据(明文/密文)从加密业务终端输出的唯一方式。
技术特性3:加密业务终端的网络特性是无网络功能或受限的网络功能。所述的受限的网络功能是,在整个的业务过程中,操作者需关闭加密业务终端的所有的网络功能。加密业务终端在整个作业过程中,需全程检测加密业务终端的网络状态,发现有效的网络连接则发出警报并停止工作。
这种敏感数据的输入、显示方式,可以确保整个作业过程中,敏感数据的全部明文,不会全部出现在主业务终端上。
加密业务终端的网络特性、数据输入/输出特性,确保了在作业过程中,操作系统的远程控制功能对加密业务终端完全失效,由此产生的直接后果就是所有基于远程控制的攻击方案全部失效;病毒无法入侵加密业务终端;入侵的病毒,其一无法探测到整个作业过程,其二无法获得整个作业过程中的全部敏感数据的明文、密文;盗取到的碎片化的明文、密文也无法送出。
由此,基于操作特性、加密业务终端的技术特性的超级防火墙,具有了目前业内所有在役防火墙都不具备的如下安全特性:
安全特性1:作用于主业务终端的任何都攻击手段,都无法在主业务终端上获得整个业务过程的核心敏感数据的全部明文,也无法获得终端侧的全部技术细节。
安全特性2:利用操作系统、应用系统的远程控制功能实现的远程攻击,在加密业务终端上,全部失效。
安全特性3:入侵到加密业务终端上的病毒,既无法获知整个作业流程和作业环境,也无法实时送出盗取到的碎片化的数据。
安全特性4:整个作业过程,高度依赖操作人的操作,这使得整个作业过程生成的作业数据,具有高强度的数据抗抵赖性。
安全特性5:无法对加密业务终端实施网络跟踪。
安全特性6:以布设在公共场所上的终端(如网吧、公共图书馆出的电脑)为主业务终端,进行的作业,具有更高的安全特性。
安全特性7:加密业务终端可以对服务器进行反向验证,这导致所有基于钓鱼网站的攻击手段全部失效。
图3结构的扩展
图3这种一个加密终端对应一个主业终端的结构。
图4为二对一(两个加密终端,对应一个主业务终端)的结构,这种结构可确保入侵到加密终端的病毒,只能盗取到部分核心敏感数据的明文。
图5为二对二(两个加密终端,对应两个主业务终端)结构。这种结构可以确保入侵到主业务终端的病毒,只能盗取到碎片化的核心敏感数据的密文,入侵到加密业务终端的病毒只能获取碎片化的核心敏感数据明文。
图4
图5
更进一步,还可以按需要拓展出多对多的结构。从而构成一个打破时间、空间限制的多人参与的作业过程。
这种打破时间、空间限制、由多人参与的作业过程,可以提供一种更为安全的作业模式。
超级防火墙的出现,将对整个网络服务应用商的供应链带来的颠覆性的改变。
操作系统是驱动网络应用的基层硬件的必备条件,也是构建应用系统的基层。图1、图2架构下,操作系统始终面临着两个长期痛点。
操作系统痛点1:操作体系越来越大,修补的安全漏洞也越来越多。这个操作系统也未见更安全。令人尴尬的是,有研究表明,大约有20-30%的系统漏洞无法修复。
操作系统痛点2:有关操作系统的后门传言,既无法证真也无法证伪。
超级防火墙的出现,可以极大的降低操作系统供应商在安全层方面的资源投入。有关操作系统上的后门传言,也不攻自破。
图1、图2结构下,网络服务供应商面临的主要痛点是:
应用系统痛点1:应用系统对操作体系而言,核心敏感数据基本上都是透明的。
应用系统痛点2:操作系统必备的安全漏洞、可能存在的后门,对应用系统的安全构成长期、稳定的负面影响。
应用系统痛点3:应用系统之间相互信任成本极高,无形中阻碍了相互之间的合作。
应用系统痛点4:应用系统供应商必须长期投入相当的资源,用于发现、跟踪、修补操作体系、应用系统上的安全漏洞。
对于操作系统、应用系统而言,永远必须为“发现安全漏洞、打补丁、再发现安全漏洞……这样的业务循环”投入必要的资源。然而,有研究表明,大约有20%-30%的安全漏洞无法修复。
超级防火墙的出现,打断了“发现安全漏洞、打补丁、再发现安全漏洞……这样的业务循环”,从而极大的降低操作系统、应用系统供应商在安全层方面的资源投入。各个应用系统供应商之间的信任成本也将大幅降低,相互之间的合作将会更为通畅和高效。
图1、图2结构下,网络应用的用户面临的长期痛点。
用户痛点1:“登录”是所有网络应用的必备业务环节。对于动辄就拥有最少2、30个网络应用的绝大多数的普通网民而言,用一个低强度的登录密码,覆盖多个应用是一个无奈的、不得不采取的“安全策略”。
用户痛点2:缺乏肉眼可见的安全策略,使得用户除了信任网络应用供应商之外,基本上没有其他选择。
用户痛点3:在网络应用无处不在的当下,用户很难防止其核心敏感数据、个人信息的泄露。而这些泄露,反过来又使用户的其他网络应用处于不安全之中。
对于绝大多数的普通网民而言,他们使用的网络应用是否安全,完全被掌控在网络应用供应商的手上。一旦他们的网络应用的核心敏感数据泄露,权利受损,比如账号被盗,账号中的资金、装备被盗,在认定责任归属的举证能力方面,普通网民同网络应用供应商相比,又处于绝对的弱势,很难获得相应的赔偿。
超级防火墙的出现,使得加密业务终端成为了用户可以信赖的高强度登录账号、登录密码的可信任的、高安全等级的存储器。
对于绝大多数的普通网民而言,在超级防火墙的加持下,1)不需要在记忆常常的登录密码。这就类似于当Windows出现后,除了极少数的专业人士外,使用电脑的人,就不在需要记住大量枯燥的DOS命令,也能玩转电脑。2)在图1、图2结构下的繁琐而复杂的安全策略,都变为一个简单除暴的安全策略:看好“加密业务终端”。这种安全策略,使得所有基于操作系统上的远程控制功能实现的所有攻击方案,全部失效。
在图1结构下,一旦发生安全事故,比如储户银行账户被盗,资金受损,从法院判案的角度看,很难区分这种被盗,到底是盗贼实施的盗窃行为,还是储户同第三人合伙实施的监守自盗、贼喊捉贼?即便是确定为盗窃案,储户也很难提供确保自己能免责的强力证据。从多年的法院判处储户同银行关于账号被盗资金受损的案件看,绝大多数的损失由储户承担。
在图3、图5结构下,整个业务过程的关键操作,都具备了高强度的数据抗抵赖性。特别是图5所述的多对多的操作结构,使得高安全等级要求的网络应用(如企业的对公账户)业务过程,处于多位操作人的控制之下,构成了一个无法抵赖的“操作控制链”。
典型的应用场景:
应用场景1:登录环节
登录环节是所有网络应用的必备的业务环节。
在各个各样的网络应用深入到百姓的生活、工作等方方面面的今天,没有几个人能具有超强的记忆力,记住最少2、30个强密码。一个中强度的登录密码,覆盖多个网络应用,是绝大多数的普通网民不得不采取的安全策略。
如何区分进行登录操作的操作人,是“自然人”还是“机器人”是当下所有网络应用服务服务器面临的首要问题。
采用图3结构的超级防火墙,用户就可以将一个超长位数的超强用户账号、登录密码,存储在加密业务终端上。进行登录操作时,将登录账号、登录密码的密文,以二维码的方式呈现在加密业务终端的显示屏上,并通过扫码完成登录操作。这种登录方式,也使得网络应用服务器彻底摆脱在登录环节如何判断进行登录操作的“人”是“机器人”还是“自然人”的烦恼。
应用场景2:OA办公。
在役的OA办公系统,都具有两个共同的问题,
OA问题1:无法进行文件内核销敏感数据的分级管理。也就是说,有权打开一份被密级管理的加密文件的人,一旦打开这个含密级的文件,则整篇文件中的核心敏感数据都对打开人开放。而这种以文件为最小单位的密级管理方式,显然无法实现一份密级文件内部的核心敏感数据的再分密级管理的这种更为严格的密级管理需求。
OA问题2:一份含密级的文件,一旦在一台终端上打开,则这篇文章上的核心敏感数据,都“暴露”在这台终端的操作系统之上。如果打开终端被获得高权限的病毒入侵,这这份含密级的文件,从在这台终端上打开那一刻起,就已经没有什么秘密可言了。
举个例子,用WORD或PDF打开一份文件,在图1结构中,这份文件中的所有核心敏感数据,就都会呈现在WORD或PDF这个应用系统之上,当然也就呈现在打开这份文件终端的操作系统之上。终端上有病毒,则文件被盗就是一个必然结果。
采用图3结构的防火墙,就可以确保:1)在主业务终端上打开的任何一份文件的核心敏感,都还是以密文方式呈现。2)在这份打开的文件中,文件内的核销敏感数据处于分级管理的状态,从而轻松实现在OA办公过程中,数据最少泄露的安全原则。
场景3:网银系统。
网银系统是普通网民在日常生活中,经常使用的具有最高安全等级网络应用。
自从银行推出网络系统以来,对公、对私的网银账号就始终是盗贼们的攻击目标。
为抵御盗贼对网银系统的攻击,保护储户资金的安全,国家、银行监管机构陆续出台了各种管理规范。公安等相关机构又通过电视、网络媒体等多种渠道推广、宣传各种反诈骗、反网络攻击的相关知识。但这些资源长时间、持续的投入,并未显现出太多的安全效果。被骗、被盗的对公、对私银行账号越来越多,损失的净额也来越多。从事攻击银行账号犯罪活动及相关活动的从业人员也越来越多。尤其是被Ukey、公章保护的对公银行账号,依然无法摆脱银行内部人员、企业内部相关人员的监守自盗或内外勾结的攻击,也无法抵御外部人员实施的诈骗攻击。
用图3结构改造后的网银系统,可以确保网银攻击方:1)无法盗取网银的核销敏感数据。2)所有以终端操作系统上的远程控制为基本技术要素的盗取、控制终端的攻击手段,全部失效。
用图5结构改造后的网银系统,可以确保银行账号突破时间、空间的限制,被置于多位账号相关人的控制之下。这种打破了时间、空间的限制的对公银行账户,可以有效的抵御银行内部人员的盗取;企业相关人员的监守自盗、内外勾结、或被第三方实施的诈骗攻击。
用图3、图5结构改造的网银系统,可以在一个技术方案上,完全满足《移动金融客户端应用软件安全管理规范》(JR/T 0092-2019)中的多项安全要求条款:
“5.1.2.1安全输入”中的基本要求a、b、c、d和增强要求;
“5.1.2.2个人进入信息显示”中的基本要求a、b、c;
“5.2.2软件权限控制”的基本要求;
“5.2.3风险控制”的基本要求;
“5.2.5异常处理”的基本要求;
“5.3.1组件安全”的基本要求;
“5.3.2接口安全”的基本要求;
“5.3.3抗攻击能力”的基本要求和增强要求;
“5.3.4客户端应用软件环境监测”的基本要求;
“5.4.1密码算法”的基本要求;
“5.4.2秘钥管理”的基本要求;
“5.5数据安全”中的“5.5.1数据获取”、“5.5.2数据访问控制”、“5.5.3数据传输”、“5.5.4数据存储”、“5.5.5数据展示”、“5.5.6数据销毁”的基本要求。
如上林林总总的多项安全需求,可汇总为两个核心安全需求:
安全需求1:核心敏感数据输入时,要能防偷窥。
安全需求2:要构成一个安全环境,保证数据的安全。数据的安全包括:1)存储的安全。2)展示的安全。3)通讯的安全。4)数据抗抵赖。
而超级防火墙则是一个完全符合如上安全需求的最简方案。
场景4:家用堡垒管理机。
堡垒机是指在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
堡垒机多见于银行、证券等高价值网络应用。用于对外包服务商的设备接入服务器,进行管理、审查,以确保服务器的数据安全。
所有面对普通网民的网络应用,都有一个特别的认证机制,用于完成在特定条件下的登录行为、登录设备的认证。
特定条件1:用户“声称”忘记登录密码。完成认证后,允许用户重置登录密码。
特定条件2:服务器发现正确的登录账号、密码从一台新终端上发出。完成认证后,准许这台新终端进行登录。
这个特别的认证机制,主要就是对账号所有人的个人信息进行问答式的认证。回答正确,则操作人就被服务器认定为账号所有人。而这种特别的认证机制,恰恰为账号劫持人提供了便利条件。从理论上讲,账号劫持人只要掌握了被劫持人的个人信息,就可以劫持被劫持人的账号。换而言之,账号劫持人只要能够采集到账号被劫持人的个人信息,就可以劫持被劫持人的账号。
在“GB/T 35273-2020-个人信息安全规范”中,一方面定义了在网络世界中,用于识别个人的个人信息,另一方面则赋予了网络应用服务供应商采集个人信息的权利。而这恰恰为账号劫持人盗取个人信息留下了伏笔。用于保护个人信息的“GB/T 35273-2020-个人信息安全规范”一方面成为了所有网络应用识别用户的指导性文件,另一方面又成了账号劫持人盗取个人信息的行动指南。随着智能手机的快速普及,智能手机则成为各种网络应用的主要搭载设备,手机也就成为了个人信息的主要泄露地。另外,各种APP在设计时,又将各种设置功能,安排在手机APP中。比如最长用户、用户量最大的各个银行的手机网银的APP、微信、支付宝,就是将设置功能,安排在手机APP中。而这种安排又为账号劫持人,劫持账号后,通过设置功能,扩大被劫持账号的使用金额,打开了方便之门。
整个洗劫被劫持账号的作业流程是:
第一步:线上、线下盗取个人信息。
第二步:用盗取到的个人信息,骗过特别的认证机制,完成手机端的账号劫持。
第三步:通过手机端的设置功能,将劫持账号的可劫持金额设置为最大。
第四步:将被劫持账号的可劫持金额洗劫一空。
对于这种攻击流程,至今也内也没有找到有效的应对办法。网络应用账号特别是高值账号被劫持的威胁始终存在。
借用堡垒机的技术概念,构建一种“家用堡垒机”,对用户的对登录账号的有效性设备进行认证,就可以阻断整个劫持账号作业流程的第二步。将被认证的设备上的网络应用的设置功能,剥离到“家用堡垒机上”构成一个“家用堡垒管理机”,就可以阻止整个劫持账号作业流程的第三步。
换而言之,将设备认证、设置功能赋予“家用堡垒管理机”,就可以达到如下安全特性:
安全特性1:线下、线上个人信息的泄露,都无法达成劫持账号的攻击目的。
安全特性2:有价账户的登录设备的失控、克隆而产生的财务损失为有限损失,不会无限制的扩大。
如何构建“家用堡垒管理机”?
电脑、网络电视、广电的机顶盒+电视,这三类设备都可以成为“家用堡垒管理机”的主业务终端。而一部手机则可以成为“家用堡垒管理机”的加密业务终端。
广电的机顶盒+电视具有如下优点,使得“广电机顶盒+电视”成为了“家用堡垒管理机”主业务终端的首选设备。
优点1:广电公司的国家地位,决定了广电网络是同电信、移动、联通相比具有更高的安全性。
优点2:广电机顶盒的点播模式,完全适用于图3模式下,设备认证和设置的作业过程。
优点3:广电机顶盒的安装是实名制且同一个固定的地址相关。“GB/T 35273-2020-个人信息安全规范”将“个人位置信息、家庭关系、住址”都纳入个人信息的范畴。这就在技术上确保了以“广电机顶盒+电视”为“主业务终端”的“家用堡垒管理机”具有极强的安全度和抗复制性。由此完成的设备认证和设置的工作参数,具有极强的数据抗抵赖性。
优点4:用一个外接的USB摄像头,即可将“广电机顶盒+电视”升级为“主业务终端”,升级费用低。