隨著新型信息技術(shù)的高速發(fā)展,基于網(wǎng)絡(luò)信息系統(tǒng)的各種網(wǎng)絡(luò)化應(yīng)用已經(jīng)深刻融入到人類生產(chǎn)生活的各種環(huán)節(jié),伴隨而來的網(wǎng)絡(luò)信息安全問題也更加突出。通過分析新時(shí)代背景下網(wǎng)絡(luò)信息系統(tǒng)面臨的主要安全風(fēng)險(xiǎn),提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系,從安全平臺、安全服務(wù)、安全管理等方面實(shí)現(xiàn)防御體系的閉環(huán)運(yùn)行,為提升我國網(wǎng)絡(luò)信息系統(tǒng)安全保障能力提供參考。
1.引 言
習(xí)***在2018年全國網(wǎng)絡(luò)安全和信息化工作會議上強(qiáng)調(diào),沒有網(wǎng)絡(luò)安全就沒有國家安全,就沒有經(jīng)濟(jì)社會穩(wěn)定運(yùn)行,廣大人民群眾利益也難以得到保障。當(dāng)前,國家政府、軍隊(duì)、企業(yè)的重要網(wǎng)絡(luò)信息系統(tǒng),已經(jīng)成為敵對國家、恐怖組織和各種惡意者的逐利目標(biāo),嚴(yán)重影響了國家政治、經(jīng)濟(jì)、社會的穩(wěn)定和發(fā)展。此外,大數(shù)據(jù)、云計(jì)算、人工智能等新興信息技術(shù)逐步應(yīng)用到網(wǎng)絡(luò)信息系統(tǒng)中,在提升通信效率和用戶服務(wù)體驗(yàn)的同時(shí),也給網(wǎng)絡(luò)信息系統(tǒng)安全帶來了新的挑戰(zhàn)[1]。網(wǎng)絡(luò)信息安全防御體系是網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)行的重要保障,通過成體系的建設(shè),能夠從通信網(wǎng)絡(luò)、計(jì)算環(huán)境、數(shù)據(jù)與應(yīng)用等多個(gè)方面形成縱深防御能力,全面保護(hù)網(wǎng)絡(luò)信息系統(tǒng)安全。然而,隨著網(wǎng)絡(luò)攻擊日益高級化、復(fù)雜化和持續(xù)化,主要基于邊界防御、漏洞檢測、規(guī)則匹配等靜態(tài)安全防護(hù)手段的傳統(tǒng)安全防御體系,在面對當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)安全威脅時(shí)已經(jīng)“力不從心”[2]。本文在分析新時(shí)代背景下網(wǎng)絡(luò)信息安全威脅的基礎(chǔ)上,提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系,能夠?yàn)樘嵘覈W(wǎng)絡(luò)信息系統(tǒng)安全防御能力提供參考。
組織結(jié)構(gòu)如下:第1部分分析網(wǎng)絡(luò)信息系統(tǒng)面臨的主要安全風(fēng)險(xiǎn);第2部分提出一種分層的網(wǎng)絡(luò)信息動態(tài)防御體系架構(gòu);第3部分對動態(tài)防御體系的組成及主要特征進(jìn)行闡述;最后總結(jié)全文。
2.網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險(xiǎn)分析
近年來,世界主要強(qiáng)國都高度重視網(wǎng)絡(luò)信息安全問題,積極采取行動,加緊提升網(wǎng)絡(luò)空間安全攻防能力。這主要表現(xiàn)在如下幾個(gè)方面。第一,發(fā)布各種頂層設(shè)計(jì)文件,積極升格網(wǎng)絡(luò)空間安全為國家戰(zhàn)略;第二,啟動各種網(wǎng)絡(luò)安全工程,加快實(shí)施自身網(wǎng)絡(luò)的全面防護(hù);第三,建設(shè)專門網(wǎng)絡(luò)空間軍隊(duì),全力謀求網(wǎng)絡(luò)空間霸權(quán);第四,加大網(wǎng)絡(luò)空間安全戰(zhàn)略投入,積極搶占網(wǎng)絡(luò)空間技術(shù)制高點(diǎn);第五,全面研究網(wǎng)絡(luò)空間安全形勢和對策,積極主導(dǎo)國際游戲規(guī)則。
在這種背景下,國際網(wǎng)絡(luò)空間對抗態(tài)勢已經(jīng)日漸明朗,典型案例已陸續(xù)出現(xiàn),網(wǎng)絡(luò)空間斗爭愈演愈烈[3]。從應(yīng)對國際網(wǎng)絡(luò)空間對抗常態(tài)化、軍事化的角度來看,我國網(wǎng)絡(luò)信息系統(tǒng)安全防御在技術(shù)發(fā)展、防護(hù)模式以及基礎(chǔ)平臺等方面仍存在一定的差距,使得我國網(wǎng)絡(luò)信息系統(tǒng)安全面臨著巨大的安全風(fēng)險(xiǎn)。
2.1 技術(shù)發(fā)展不平衡引發(fā)的安全風(fēng)險(xiǎn)
我國網(wǎng)絡(luò)信息安全技術(shù)體系受國外技術(shù)體系影響非常大,盡管在技術(shù)體系上與國際接軌并保持相對完整,但在一些關(guān)鍵的基礎(chǔ)技術(shù)領(lǐng)域、短期內(nèi)見不到成果的領(lǐng)域,如安全評估、網(wǎng)絡(luò)攻防、漏洞挖掘、高安全級信息系統(tǒng)安全一體化設(shè)計(jì)、軟件安全性測試與評估以及面向新型信息技術(shù)的信息安全防護(hù)等方面,布局和投入有些不足。正是這種技術(shù)發(fā)展的不平衡,導(dǎo)致我國網(wǎng)絡(luò)信息安全在態(tài)勢感知與融合、面向新型信息技術(shù)的安全防御、網(wǎng)絡(luò)安全效能評估、新型網(wǎng)絡(luò)攻擊手段等方面尚缺乏關(guān)鍵技術(shù)支撐,還不具備成體系的高持續(xù)性威脅攻擊發(fā)掘、網(wǎng)絡(luò)威懾反制等理論和技術(shù)。
2.2 防護(hù)模式不完善引發(fā)的安全風(fēng)險(xiǎn)
當(dāng)前,我國主要網(wǎng)絡(luò)信息系統(tǒng)建設(shè)一般采用疊加式的后加模式,采用網(wǎng)絡(luò)信息安全產(chǎn)品的安全加固方法。盡管該方式在某種程度上提高了網(wǎng)絡(luò)信息系統(tǒng)的安全防護(hù)能力,但是網(wǎng)絡(luò)信息安全與通信網(wǎng)絡(luò)沒有形成統(tǒng)一的體系,且各安全產(chǎn)品之間也沒有形成聚合能力,不僅應(yīng)對新的、未知的攻擊束手無策,而且增加了系統(tǒng)的復(fù)雜性,安全防護(hù)強(qiáng)度不高,防護(hù)粒度也不足。這種網(wǎng)絡(luò)信息安全防御模式的不完善,導(dǎo)致我國網(wǎng)絡(luò)信息系統(tǒng)安全機(jī)制的完備性、安全防護(hù)強(qiáng)度和動態(tài)適應(yīng)能力無法滿足強(qiáng)對抗環(huán)境和高安全的運(yùn)行需求,無法有效應(yīng)對國與國之間持續(xù)、有預(yù)謀、高烈度的網(wǎng)絡(luò)對抗,安全風(fēng)險(xiǎn)事件頻頻發(fā)生。
2.3 基礎(chǔ)平臺不對稱引發(fā)的安全風(fēng)險(xiǎn)
中興通信禁運(yùn)事件又一次敲響了我國關(guān)鍵元器件自主可控的警鐘,也暴露出我國科技基礎(chǔ)薄弱的真實(shí)背景。在網(wǎng)絡(luò)信息安全領(lǐng)域,我國信息安全技術(shù)研發(fā)和裝備研制所依賴的部分基礎(chǔ)芯片、基礎(chǔ)軟件、基礎(chǔ)軟硬件工具仍然依賴國外的技術(shù)、產(chǎn)品(或開源技術(shù)和產(chǎn)品),難以擺脫在軟硬件初始設(shè)計(jì)階段即被植入后門、引入漏洞的安全風(fēng)險(xiǎn)。一旦這些技術(shù)和產(chǎn)品被預(yù)埋(或植入)后門,在國與國對抗的背景下,整個(gè)網(wǎng)絡(luò)信息系統(tǒng)將處于基本“不設(shè)防”的狀態(tài)。縱觀中興通信禁運(yùn)事件可以發(fā)現(xiàn),在供應(yīng)鏈上我們?nèi)菀资苤朴谌恕_@種網(wǎng)絡(luò)信息安全基礎(chǔ)平臺的不對稱性,致使我國重要的網(wǎng)絡(luò)信息系統(tǒng)面臨著許多無法避免的安全威脅,漏洞后門防不勝防,并陷入“圍追堵截”的防御怪圈。
3.網(wǎng)絡(luò)信息安全動態(tài)防御分層架構(gòu)
面對當(dāng)前我國網(wǎng)絡(luò)信息安全在技術(shù)發(fā)展、防護(hù)模式、基礎(chǔ)平臺等方面存在的問題,提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系,變靜態(tài)為動態(tài),變被動為主動,確保網(wǎng)絡(luò)信息系統(tǒng)在“有毒帶菌”、攻防博弈日益激烈的背景下安全可靠運(yùn)行。
網(wǎng)絡(luò)信息安全動態(tài)防御體系以統(tǒng)一的安全基底為基礎(chǔ),對構(gòu)成網(wǎng)絡(luò)信息系統(tǒng)的人、設(shè)備、數(shù)據(jù)等組成要素開展統(tǒng)一安全防護(hù)設(shè)計(jì),形成全網(wǎng)統(tǒng)一的安全防護(hù)基礎(chǔ),并將安全作為一種基本屬性貫穿到整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行流程中。
安全平臺層為網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)傳輸、網(wǎng)絡(luò)承載、計(jì)算終端、信息服務(wù)等提供安全基礎(chǔ)服務(wù)。它的產(chǎn)品形態(tài)為各種軟硬件設(shè)備,采用軟件可定義架構(gòu),并具有態(tài)勢感知功能。
安全服務(wù)層由安全服務(wù)云平臺、安全數(shù)據(jù)環(huán)境、安全原子服務(wù)以及安全聚合服務(wù)組成。安全服務(wù)云平臺為整個(gè)安全服務(wù)層提供基礎(chǔ)計(jì)算環(huán)境。安全數(shù)據(jù)環(huán)境采用大數(shù)據(jù)技術(shù)手段,整合公共域、專業(yè)域、管理域等各領(lǐng)域的安全數(shù)據(jù)資源,并提供數(shù)據(jù)挖掘、數(shù)據(jù)呈現(xiàn)、決策支持等數(shù)據(jù)服務(wù)。安全原子服務(wù)包括機(jī)密性保護(hù)、完整性保護(hù)、不可否認(rèn)性保護(hù)、身份認(rèn)證服務(wù)和訪問控制服務(wù)等基礎(chǔ)安全服務(wù)。安全聚合服務(wù)將不同的安全原子服務(wù)和安全資源按需聚合為相應(yīng)的安全服務(wù),從而為不同的安全應(yīng)用提供服務(wù)保障。
安全管理層為整個(gè)網(wǎng)絡(luò)信息動態(tài)防御體系提供統(tǒng)一的身份認(rèn)證、訪問控制、資源管理、策略配置和設(shè)備管控等安全管理基礎(chǔ)設(shè)施,支持智能化輔助決策、態(tài)勢全景呈現(xiàn)等功能。
安全監(jiān)測預(yù)警主要提供態(tài)勢融合分析處理、威脅識別、態(tài)勢評估與預(yù)測等功能,能夠?yàn)榫W(wǎng)絡(luò)信息系統(tǒng)動態(tài)防御提供情報(bào)來源和決策支撐。
4.體系組成及特征闡述
網(wǎng)絡(luò)信息安全動態(tài)防御體系以統(tǒng)一安全基底為基礎(chǔ),以安全按需賦能為核心,以智能安全管理為保障,在安全檢測預(yù)警的支撐下,能夠形成“監(jiān)測—決策—響應(yīng)—防御”的動態(tài)防御體系,實(shí)現(xiàn)基于態(tài)勢變化和安全需求的網(wǎng)絡(luò)信息系統(tǒng)安全防御。
4.1 統(tǒng)一安全基底
作為網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)組成要素,人、設(shè)備、數(shù)據(jù)是網(wǎng)絡(luò)信息安全防護(hù)的基礎(chǔ)對象。在全網(wǎng)統(tǒng)一的身份認(rèn)證與訪問控制基礎(chǔ)設(shè)施支撐下,對網(wǎng)絡(luò)信息系統(tǒng)中的人、設(shè)備、數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化安全設(shè)計(jì),以期形成全網(wǎng)統(tǒng)一的安全防護(hù)基礎(chǔ)。
對標(biāo)識人本身的自然屬性(如職位、角色、權(quán)限等)進(jìn)行抽取并進(jìn)行數(shù)字化描述,融合相應(yīng)的訪問權(quán)限,采用其私鑰進(jìn)行加密,形成全網(wǎng)可識別的身份證書標(biāo)識;對各種計(jì)算設(shè)施、通信平臺、服務(wù)器等網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)設(shè)施,除了采用與用戶類似的身份標(biāo)識外,還采用可信計(jì)算、軟件合法性控制等手段,確保“物”自身的安全可信;數(shù)據(jù)的保護(hù)工作隨著智能技術(shù)和物聯(lián)網(wǎng)的普及愈發(fā)重要,為此采用統(tǒng)一的元數(shù)據(jù)格式,對全網(wǎng)信息數(shù)據(jù)編碼實(shí)施標(biāo)準(zhǔn)化,并根據(jù)數(shù)據(jù)自身的價(jià)值屬性,增加數(shù)據(jù)安全屬性字段,以標(biāo)定該數(shù)據(jù)的安全等級。
通過上述安全性設(shè)計(jì),網(wǎng)絡(luò)信息系統(tǒng)在整個(gè)運(yùn)行過程中都可以根據(jù)安全需求對網(wǎng)絡(luò)上的“人”“物”“數(shù)據(jù)”進(jìn)行安全性檢查和認(rèn)證,確保全網(wǎng)中各種實(shí)體的身份可鑒別、權(quán)限可控制、行為可審計(jì)、風(fēng)險(xiǎn)可評估、責(zé)任可認(rèn)定。
4.2 安全按需賦能
安全按需賦能是指網(wǎng)絡(luò)信息安全防御體系能夠根據(jù)安全保障需求和安全態(tài)勢動態(tài)變化,動態(tài)調(diào)整系統(tǒng)安全服務(wù)能力,實(shí)現(xiàn)安全功能按需加載。
首先,安全服務(wù)層將各種安全服務(wù)抽象為一組安全原子服務(wù)。對于不同的安全服務(wù)需求,網(wǎng)絡(luò)信息安全動態(tài)防御體系能夠基于安全服務(wù)云平臺采用服務(wù)聚合模式,將不同的安全原子服務(wù)和所需的安全資源進(jìn)行按需聚合,形成定制化的安全服務(wù)功能。
其次,安全平臺層的基礎(chǔ)傳輸、網(wǎng)絡(luò)承載、計(jì)算終端、信息服務(wù)等安全防護(hù)裝備,采用硬件與軟件解耦的軟件定義設(shè)計(jì)思路,能夠根據(jù)業(yè)務(wù)應(yīng)用類型、業(yè)務(wù)通聯(lián)關(guān)系以及網(wǎng)絡(luò)安全態(tài)勢等多樣化需求,按需加載定制后的安全服務(wù)功能插件,從根本上改變現(xiàn)有安全防護(hù)產(chǎn)品功能固化、單一的現(xiàn)狀,實(shí)現(xiàn)通過軟件插件來定義和賦予所需的安全服務(wù)功能。它的模式如同智能手機(jī)下載、安裝、卸載各種“App”應(yīng)用。
最后,在安全管理層的統(tǒng)一管理控制決策下,安全服務(wù)層將聚合的安全服務(wù)功能遠(yuǎn)程在線下發(fā)到可軟件定義的安全平臺上,從而實(shí)現(xiàn)安全功能的按需加載。
4.3 智能安全管理
安全管理層采用智能輔助決策技術(shù),能夠在網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行過程中,根據(jù)安全服務(wù)需求變化和安全態(tài)勢的動態(tài)變化,結(jié)合當(dāng)前管理保障力量部署、安全策略配置等情況,通過行為深度學(xué)習(xí)、智能推理決策等手段,快速生成安全服務(wù)需求規(guī)劃和策略配置方案,從而大幅提升安全管控的自動化、智能化水平,提高安全管理保障的靈活性、有效性和實(shí)時(shí)性。在交互接口上,安全監(jiān)測預(yù)警為安全管理層提供威脅情報(bào)和預(yù)警信息。安全服務(wù)層接受安全管理層的控制指令,聚合相應(yīng)的安全服務(wù),下發(fā)到安全平臺層進(jìn)行執(zhí)行。
4.4 防御體系聯(lián)動
網(wǎng)絡(luò)信息安全動態(tài)防御體系通過對網(wǎng)絡(luò)信息系統(tǒng)中的人、設(shè)備、數(shù)據(jù)進(jìn)行統(tǒng)一安全設(shè)計(jì),能夠?qū)踩鳛橐环N基本屬性貫穿到整個(gè)通信網(wǎng)絡(luò)及其運(yùn)行流程中。同時(shí),通過安全管理層、安全服務(wù)層、安全平臺層以及安全監(jiān)測預(yù)警的聯(lián)動,構(gòu)建形成“監(jiān)測—決策—響應(yīng)—防御”的動態(tài)防御體系,可實(shí)現(xiàn)基于網(wǎng)絡(luò)空間態(tài)勢的動態(tài)防御。“監(jiān)測”即實(shí)時(shí)采集系統(tǒng)安全態(tài)勢數(shù)據(jù)并進(jìn)行融合分析處理,對發(fā)現(xiàn)的系統(tǒng)漏洞、違規(guī)操作以及網(wǎng)絡(luò)攻擊行為等安全風(fēng)險(xiǎn)進(jìn)行告警。“決策”即安全管理層在安全防御輔助決策技術(shù)的支撐下開展安全服務(wù)規(guī)劃與決策,確定安全服務(wù)、安全資源等安全防御調(diào)整方案。“響應(yīng)”即安全服務(wù)層根據(jù)安全防御調(diào)整方案向安全平臺下發(fā)對應(yīng)的安全服務(wù)功能,使得安全平臺具備應(yīng)對安全風(fēng)險(xiǎn)的能力。“防御”即各類支持安全服務(wù)功能軟件定義的安全平臺實(shí)施安全防御,并上報(bào)網(wǎng)絡(luò)空間安全態(tài)勢,抵抗各種安全風(fēng)險(xiǎn)事件。
5.結(jié)語
在網(wǎng)絡(luò)空間安全日益嚴(yán)峻的背景下,全面提升我國網(wǎng)絡(luò)信息系統(tǒng)的安全防御能力已經(jīng)迫在眉睫。本文結(jié)合新形勢下我國網(wǎng)絡(luò)信息系統(tǒng)面臨的安全風(fēng)險(xiǎn),提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系,能夠轉(zhuǎn)變當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)安全防御靜態(tài)、僵化、被動的局面,提升網(wǎng)絡(luò)信息系統(tǒng)在多樣化安全需求和強(qiáng)網(wǎng)絡(luò)空間對抗下的體系防御能力,從而為重要網(wǎng)絡(luò)信息系統(tǒng)安全防御設(shè)計(jì)提供技術(shù)參考。
責(zé)任編輯:ct
評論
查看更多