網(wǎng)絡(luò)信息安全動態(tài)防御體系研究 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2019-12-09 瀏覽次數(shù): |
信息來源:51cto 摘要:隨著新型信息技術(shù)的高速發(fā)展,基于網(wǎng)絡(luò)信息系統(tǒng)的各種網(wǎng)絡(luò)化應(yīng)用已經(jīng)深刻融入到人類生產(chǎn)生活的各種環(huán)節(jié),伴隨而來的網(wǎng)絡(luò)信息安全問題也更加突出。通過分析新時代背景下網(wǎng)絡(luò)信息系統(tǒng)面臨的主要安全風(fēng)險,提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系,從安全平臺、安全服務(wù)、安全管理等方面實現(xiàn)防御體系的閉環(huán)運行,為提升我國網(wǎng)絡(luò)信息系統(tǒng)安全保障能力提供參考。
1.引 言 習(xí)總書記在2018年全國網(wǎng)絡(luò)安全和信息化工作會議上強調(diào),沒有網(wǎng)絡(luò)安全就沒有國家安全,就沒有經(jīng)濟社會穩(wěn)定運行,廣大人民群眾利益也難以得到保障。當(dāng)前,國家政府、軍隊、企業(yè)的重要網(wǎng)絡(luò)信息系統(tǒng),已經(jīng)成為敵對國家、恐怖組織和各種惡意者的逐利目標,嚴重影響了國家政治、經(jīng)濟、社會的穩(wěn)定和發(fā)展。此外,大數(shù)據(jù)、云計算、人工智能等新興信息技術(shù)逐步應(yīng)用到網(wǎng)絡(luò)信息系統(tǒng)中,在提升通信效率和用戶服務(wù)體驗的同時,也給網(wǎng)絡(luò)信息系統(tǒng)安全帶來了新的挑戰(zhàn)[1]。網(wǎng)絡(luò)信息安全防御體系是網(wǎng)絡(luò)信息系統(tǒng)安全運行的重要保障,通過成體系的建設(shè),能夠從通信網(wǎng)絡(luò)、計算環(huán)境、數(shù)據(jù)與應(yīng)用等多個方面形成縱深防御能力,全面保護網(wǎng)絡(luò)信息系統(tǒng)安全。然而,隨著網(wǎng)絡(luò)攻擊日益高級化、復(fù)雜化和持續(xù)化,主要基于邊界防御、漏洞檢測、規(guī)則匹配等靜態(tài)安全防護手段的傳統(tǒng)安全防御體系,在面對當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)安全威脅時已經(jīng)“力不從心”[2]。本文在分析新時代背景下網(wǎng)絡(luò)信息安全威脅的基礎(chǔ)上,提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系,能夠為提升我國網(wǎng)絡(luò)信息系統(tǒng)安全防御能力提供參考。 組織結(jié)構(gòu)如下:第1部分分析網(wǎng)絡(luò)信息系統(tǒng)面臨的主要安全風(fēng)險;第2部分提出一種分層的網(wǎng)絡(luò)信息動態(tài)防御體系架構(gòu);第3部分對動態(tài)防御體系的組成及主要特征進行闡述;最后總結(jié)全文。 2.網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險分析 近年來,世界主要強國都高度重視網(wǎng)絡(luò)信息安全問題,積極采取行動,加緊提升網(wǎng)絡(luò)空間安全攻防能力。這主要表現(xiàn)在如下幾個方面。第一,發(fā)布各種頂層設(shè)計文件,積極升格網(wǎng)絡(luò)空間安全為國家戰(zhàn)略;第二,啟動各種網(wǎng)絡(luò)安全工程,加快實施自身網(wǎng)絡(luò)的全面防護;第三,建設(shè)專門網(wǎng)絡(luò)空間軍隊,全力謀求網(wǎng)絡(luò)空間霸權(quán);第四,加大網(wǎng)絡(luò)空間安全戰(zhàn)略投入,積極搶占網(wǎng)絡(luò)空間技術(shù)制高點;第五,全面研究網(wǎng)絡(luò)空間安全形勢和對策,積極主導(dǎo)國際游戲規(guī)則。 在這種背景下,國際網(wǎng)絡(luò)空間對抗態(tài)勢已經(jīng)日漸明朗,典型案例已陸續(xù)出現(xiàn),網(wǎng)絡(luò)空間斗爭愈演愈烈[3]。從應(yīng)對國際網(wǎng)絡(luò)空間對抗常態(tài)化、軍事化的角度來看,我國網(wǎng)絡(luò)信息系統(tǒng)安全防御在技術(shù)發(fā)展、防護模式以及基礎(chǔ)平臺等方面仍存在一定的差距,使得我國網(wǎng)絡(luò)信息系統(tǒng)安全面臨著巨大的安全風(fēng)險。 2.1 技術(shù)發(fā)展不平衡引發(fā)的安全風(fēng)險 我國網(wǎng)絡(luò)信息安全技術(shù)體系受國外技術(shù)體系影響非常大,盡管在技術(shù)體系上與國際接軌并保持相對完整,但在一些關(guān)鍵的基礎(chǔ)技術(shù)領(lǐng)域、短期內(nèi)見不到成果的領(lǐng)域,如安全評估、網(wǎng)絡(luò)攻防、漏洞挖掘、高安全級信息系統(tǒng)安全一體化設(shè)計、軟件安全性測試與評估以及面向新型信息技術(shù)的信息安全防護等方面,布局和投入有些不足。正是這種技術(shù)發(fā)展的不平衡,導(dǎo)致我國網(wǎng)絡(luò)信息安全在態(tài)勢感知與融合、面向新型信息技術(shù)的安全防御、網(wǎng)絡(luò)安全效能評估、新型網(wǎng)絡(luò)攻擊手段等方面尚缺乏關(guān)鍵技術(shù)支撐,還不具備成體系的高持續(xù)性威脅攻擊發(fā)掘、網(wǎng)絡(luò)威懾反制等理論和技術(shù)。 2.2 防護模式不完善引發(fā)的安全風(fēng)險 當(dāng)前,我國主要網(wǎng)絡(luò)信息系統(tǒng)建設(shè)一般采用疊加式的后加模式,采用網(wǎng)絡(luò)信息安全產(chǎn)品的安全加固方法。盡管該方式在某種程度上提高了網(wǎng)絡(luò)信息系統(tǒng)的安全防護能力,但是網(wǎng)絡(luò)信息安全與通信網(wǎng)絡(luò)沒有形成統(tǒng)一的體系,且各安全產(chǎn)品之間也沒有形成聚合能力,不僅應(yīng)對新的、未知的攻擊束手無策,而且增加了系統(tǒng)的復(fù)雜性,安全防護強度不高,防護粒度也不足。這種網(wǎng)絡(luò)信息安全防御模式的不完善,導(dǎo)致我國網(wǎng)絡(luò)信息系統(tǒng)安全機制的完備性、安全防護強度和動態(tài)適應(yīng)能力無法滿足強對抗環(huán)境和高安全的運行需求,無法有效應(yīng)對國與國之間持續(xù)、有預(yù)謀、高烈度的網(wǎng)絡(luò)對抗,安全風(fēng)險事件頻頻發(fā)生。 2.3 基礎(chǔ)平臺不對稱引發(fā)的安全風(fēng)險 中興通信禁運事件又一次敲響了我國關(guān)鍵元器件自主可控的警鐘,也暴露出我國科技基礎(chǔ)薄弱的真實背景。在網(wǎng)絡(luò)信息安全領(lǐng)域,我國信息安全技術(shù)研發(fā)和裝備研制所依賴的部分基礎(chǔ)芯片、基礎(chǔ)軟件、基礎(chǔ)軟硬件工具仍然依賴國外的技術(shù)、產(chǎn)品(或開源技術(shù)和產(chǎn)品),難以擺脫在軟硬件初始設(shè)計階段即被植入后門、引入漏洞的安全風(fēng)險。一旦這些技術(shù)和產(chǎn)品被預(yù)埋(或植入)后門,在國與國對抗的背景下,整個網(wǎng)絡(luò)信息系統(tǒng)將處于基本“不設(shè)防”的狀態(tài)。縱觀中興通信禁運事件可以發(fā)現(xiàn),在供應(yīng)鏈上我們?nèi)菀资苤朴谌?。這種網(wǎng)絡(luò)信息安全基礎(chǔ)平臺的不對稱性,致使我國重要的網(wǎng)絡(luò)信息系統(tǒng)面臨著許多無法避免的安全威脅,漏洞后門防不勝防,并陷入“圍追堵截”的防御怪圈。 3.網(wǎng)絡(luò)信息安全動態(tài)防御分層架構(gòu) 面對當(dāng)前我國網(wǎng)絡(luò)信息安全在技術(shù)發(fā)展、防護模式、基礎(chǔ)平臺等方面存在的問題,提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系,變靜態(tài)為動態(tài),變被動為主動,確保網(wǎng)絡(luò)信息系統(tǒng)在“有毒帶菌”、攻防博弈日益激烈的背景下安全可靠運行。網(wǎng)絡(luò)信息安全動態(tài)防御體系的分層架構(gòu)如圖1所示。
網(wǎng)絡(luò)信息安全動態(tài)防御體系以統(tǒng)一的安全基底為基礎(chǔ),對構(gòu)成網(wǎng)絡(luò)信息系統(tǒng)的人、設(shè)備、數(shù)據(jù)等組成要素開展統(tǒng)一安全防護設(shè)計,形成全網(wǎng)統(tǒng)一的安全防護基礎(chǔ),并將安全作為一種基本屬性貫穿到整個網(wǎng)絡(luò)信息系統(tǒng)的運行流程中。 安全平臺層為網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)傳輸、網(wǎng)絡(luò)承載、計算終端、信息服務(wù)等提供安全基礎(chǔ)服務(wù)。它的產(chǎn)品形態(tài)為各種軟硬件設(shè)備,采用軟件可定義架構(gòu),并具有態(tài)勢感知功能。 安全服務(wù)層由安全服務(wù)云平臺、安全數(shù)據(jù)環(huán)境、安全原子服務(wù)以及安全聚合服務(wù)組成。安全服務(wù)云平臺為整個安全服務(wù)層提供基礎(chǔ)計算環(huán)境。安全數(shù)據(jù)環(huán)境采用大數(shù)據(jù)技術(shù)手段,整合公共域、專業(yè)域、管理域等各領(lǐng)域的安全數(shù)據(jù)資源,并提供數(shù)據(jù)挖掘、數(shù)據(jù)呈現(xiàn)、決策支持等數(shù)據(jù)服務(wù)。安全原子服務(wù)包括機密性保護、完整性保護、不可否認性保護、身份認證服務(wù)和訪問控制服務(wù)等基礎(chǔ)安全服務(wù)。安全聚合服務(wù)將不同的安全原子服務(wù)和安全資源按需聚合為相應(yīng)的安全服務(wù),從而為不同的安全應(yīng)用提供服務(wù)保障。 安全管理層為整個網(wǎng)絡(luò)信息動態(tài)防御體系提供統(tǒng)一的身份認證、訪問控制、資源管理、策略配置和設(shè)備管控等安全管理基礎(chǔ)設(shè)施,支持智能化輔助決策、態(tài)勢全景呈現(xiàn)等功能。 安全監(jiān)測預(yù)警主要提供態(tài)勢融合分析處理、威脅識別、態(tài)勢評估與預(yù)測等功能,能夠為網(wǎng)絡(luò)信息系統(tǒng)動態(tài)防御提供情報來源和決策支撐。 4.體系組成及特征闡述 網(wǎng)絡(luò)信息安全動態(tài)防御體系以統(tǒng)一安全基底為基礎(chǔ),以安全按需賦能為核心,以智能安全管理為保障,在安全檢測預(yù)警的支撐下,能夠形成“監(jiān)測—決策—響應(yīng)—防御”的動態(tài)防御體系,實現(xiàn)基于態(tài)勢變化和安全需求的網(wǎng)絡(luò)信息系統(tǒng)安全防御。 4.1 統(tǒng)一安全基底 作為網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)組成要素,人、設(shè)備、數(shù)據(jù)是網(wǎng)絡(luò)信息安全防護的基礎(chǔ)對象。在全網(wǎng)統(tǒng)一的身份認證與訪問控制基礎(chǔ)設(shè)施支撐下,對網(wǎng)絡(luò)信息系統(tǒng)中的人、設(shè)備、數(shù)據(jù)進行標準化安全設(shè)計,以期形成全網(wǎng)統(tǒng)一的安全防護基礎(chǔ)。 對標識人本身的自然屬性(如職位、角色、權(quán)限等)進行抽取并進行數(shù)字化描述,融合相應(yīng)的訪問權(quán)限,采用其私鑰進行加密,形成全網(wǎng)可識別的身份證書標識;對各種計算設(shè)施、通信平臺、服務(wù)器等網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)設(shè)施,除了采用與用戶類似的身份標識外,還采用可信計算、軟件合法性控制等手段,確保“物”自身的安全可信;數(shù)據(jù)的保護工作隨著智能技術(shù)和物聯(lián)網(wǎng)的普及愈發(fā)重要,為此采用統(tǒng)一的元數(shù)據(jù)格式,對全網(wǎng)信息數(shù)據(jù)編碼實施標準化,并根據(jù)數(shù)據(jù)自身的價值屬性,增加數(shù)據(jù)安全屬性字段,以標定該數(shù)據(jù)的安全等級。 通過上述安全性設(shè)計,網(wǎng)絡(luò)信息系統(tǒng)在整個運行過程中都可以根據(jù)安全需求對網(wǎng)絡(luò)上的“人”“物”“數(shù)據(jù)”進行安全性檢查和認證,確保全網(wǎng)中各種實體的身份可鑒別、權(quán)限可控制、行為可審計、風(fēng)險可評估、責(zé)任可認定。 4.2 安全按需賦能 安全按需賦能是指網(wǎng)絡(luò)信息安全防御體系能夠根據(jù)安全保障需求和安全態(tài)勢動態(tài)變化,動態(tài)調(diào)整系統(tǒng)安全服務(wù)能力,實現(xiàn)安全功能按需加載。 首先,安全服務(wù)層將各種安全服務(wù)抽象為一組安全原子服務(wù)。對于不同的安全服務(wù)需求,網(wǎng)絡(luò)信息安全動態(tài)防御體系能夠基于安全服務(wù)云平臺采用服務(wù)聚合模式,將不同的安全原子服務(wù)和所需的安全資源進行按需聚合,形成定制化的安全服務(wù)功能。 其次,安全平臺層的基礎(chǔ)傳輸、網(wǎng)絡(luò)承載、計算終端、信息服務(wù)等安全防護裝備,采用硬件與軟件解耦的軟件定義設(shè)計思路,能夠根據(jù)業(yè)務(wù)應(yīng)用類型、業(yè)務(wù)通聯(lián)關(guān)系以及網(wǎng)絡(luò)安全態(tài)勢等多樣化需求,按需加載定制后的安全服務(wù)功能插件,從根本上改變現(xiàn)有安全防護產(chǎn)品功能固化、單一的現(xiàn)狀,實現(xiàn)通過軟件插件來定義和賦予所需的安全服務(wù)功能。它的模式如同智能手機下載、安裝、卸載各種“App”應(yīng)用。 最后,在安全管理層的統(tǒng)一管理控制決策下,安全服務(wù)層將聚合的安全服務(wù)功能遠程在線下發(fā)到可軟件定義的安全平臺上,從而實現(xiàn)安全功能的按需加載。 4.3 智能安全管理 安全管理層采用智能輔助決策技術(shù),能夠在網(wǎng)絡(luò)信息系統(tǒng)運行過程中,根據(jù)安全服務(wù)需求變化和安全態(tài)勢的動態(tài)變化,結(jié)合當(dāng)前管理保障力量部署、安全策略配置等情況,通過行為深度學(xué)習(xí)、智能推理決策等手段,快速生成安全服務(wù)需求規(guī)劃和策略配置方案,從而大幅提升安全管控的自動化、智能化水平,提高安全管理保障的靈活性、有效性和實時性。在交互接口上,安全監(jiān)測預(yù)警為安全管理層提供威脅情報和預(yù)警信息。安全服務(wù)層接受安全管理層的控制指令,聚合相應(yīng)的安全服務(wù),下發(fā)到安全平臺層進行執(zhí)行。 4.4 防御體系聯(lián)動 網(wǎng)絡(luò)信息安全動態(tài)防御體系通過對網(wǎng)絡(luò)信息系統(tǒng)中的人、設(shè)備、數(shù)據(jù)進行統(tǒng)一安全設(shè)計,能夠?qū)踩鳛橐环N基本屬性貫穿到整個通信網(wǎng)絡(luò)及其運行流程中。同時,通過安全管理層、安全服務(wù)層、安全平臺層以及安全監(jiān)測預(yù)警的聯(lián)動,構(gòu)建形成“監(jiān)測—決策—響應(yīng)—防御”的動態(tài)防御體系,可實現(xiàn)基于網(wǎng)絡(luò)空間態(tài)勢的動態(tài)防御?!氨O(jiān)測”即實時采集系統(tǒng)安全態(tài)勢數(shù)據(jù)并進行融合分析處理,對發(fā)現(xiàn)的系統(tǒng)漏洞、違規(guī)操作以及網(wǎng)絡(luò)攻擊行為等安全風(fēng)險進行告警?!皼Q策”即安全管理層在安全防御輔助決策技術(shù)的支撐下開展安全服務(wù)規(guī)劃與決策,確定安全服務(wù)、安全資源等安全防御調(diào)整方案?!绊憫?yīng)”即安全服務(wù)層根據(jù)安全防御調(diào)整方案向安全平臺下發(fā)對應(yīng)的安全服務(wù)功能,使得安全平臺具備應(yīng)對安全風(fēng)險的能力?!胺烙奔锤黝愔С职踩?wù)功能軟件定義的安全平臺實施安全防御,并上報網(wǎng)絡(luò)空間安全態(tài)勢,抵抗各種安全風(fēng)險事件。 5.結(jié)語 在網(wǎng)絡(luò)空間安全日益嚴峻的背景下,全面提升我國網(wǎng)絡(luò)信息系統(tǒng)的安全防御能力已經(jīng)迫在眉睫。本文結(jié)合新形勢下我國網(wǎng)絡(luò)信息系統(tǒng)面臨的安全風(fēng)險,提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系,能夠轉(zhuǎn)變當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)安全防御靜態(tài)、僵化、被動的局面,提升網(wǎng)絡(luò)信息系統(tǒng)在多樣化安全需求和強網(wǎng)絡(luò)空間對抗下的體系防御能力,從而為重要網(wǎng)絡(luò)信息系統(tǒng)安全防御設(shè)計提供技術(shù)參考。 |