信息來源：51cto

摘要：隨著新型信息技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)信息系統(tǒng)的各種網(wǎng)絡(luò)化應(yīng)用已經(jīng)深刻融入到人類生產(chǎn)生活的各種環(huán)節(jié)，伴隨而來的網(wǎng)絡(luò)信息安全問題也更加突出。通過分析新時代背景下網(wǎng)絡(luò)信息系統(tǒng)面臨的主要安全風(fēng)險，提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系，從安全平臺、安全服務(wù)、安全管理等方面實(shí)現(xiàn)防御體系的閉環(huán)運(yùn)行，為提升我國網(wǎng)絡(luò)信息系統(tǒng)安全保障能力提供參考。

1.引 言

習(xí)總書記在2018年全國網(wǎng)絡(luò)安全和信息化工作會議上強(qiáng)調(diào)，沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟(jì)社會穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障。當(dāng)前，國家政府、軍隊(duì)、企業(yè)的重要網(wǎng)絡(luò)信息系統(tǒng)，已經(jīng)成為敵對國家、恐怖組織和各種惡意者的逐利目標(biāo)，嚴(yán)重影響了國家政治、經(jīng)濟(jì)、社會的穩(wěn)定和發(fā)展。此外，大數(shù)據(jù)、云計(jì)算、人工智能等新興信息技術(shù)逐步應(yīng)用到網(wǎng)絡(luò)信息系統(tǒng)中，在提升通信效率和用戶服務(wù)體驗(yàn)的同時，也給網(wǎng)絡(luò)信息系統(tǒng)安全帶來了新的挑戰(zhàn)[1]。網(wǎng)絡(luò)信息安全防御體系是網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)行的重要保障，通過成體系的建設(shè)，能夠從通信網(wǎng)絡(luò)、計(jì)算環(huán)境、數(shù)據(jù)與應(yīng)用等多個方面形成縱深防御能力，全面保護(hù)網(wǎng)絡(luò)信息系統(tǒng)安全。然而，隨著網(wǎng)絡(luò)攻擊日益高級化、復(fù)雜化和持續(xù)化，主要基于邊界防御、漏洞檢測、規(guī)則匹配等靜態(tài)安全防護(hù)手段的傳統(tǒng)安全防御體系，在面對當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)安全威脅時已經(jīng)“力不從心”[2]。本文在分析新時代背景下網(wǎng)絡(luò)信息安全威脅的基礎(chǔ)上，提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系，能夠?yàn)樘嵘覈W(wǎng)絡(luò)信息系統(tǒng)安全防御能力提供參考。

組織結(jié)構(gòu)如下：第1部分分析網(wǎng)絡(luò)信息系統(tǒng)面臨的主要安全風(fēng)險;第2部分提出一種分層的網(wǎng)絡(luò)信息動態(tài)防御體系架構(gòu);第3部分對動態(tài)防御體系的組成及主要特征進(jìn)行闡述;最后總結(jié)全文。

2.網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險分析

近年來，世界主要強(qiáng)國都高度重視網(wǎng)絡(luò)信息安全問題，積極采取行動，加緊提升網(wǎng)絡(luò)空間安全攻防能力。這主要表現(xiàn)在如下幾個方面。第一，發(fā)布各種頂層設(shè)計(jì)文件，積極升格網(wǎng)絡(luò)空間安全為國家戰(zhàn)略;第二，啟動各種網(wǎng)絡(luò)安全工程，加快實(shí)施自身網(wǎng)絡(luò)的全面防護(hù);第三，建設(shè)專門網(wǎng)絡(luò)空間軍隊(duì)，全力謀求網(wǎng)絡(luò)空間霸權(quán);第四，加大網(wǎng)絡(luò)空間安全戰(zhàn)略投入，積極搶占網(wǎng)絡(luò)空間技術(shù)制高點(diǎn);第五，全面研究網(wǎng)絡(luò)空間安全形勢和對策，積極主導(dǎo)國際游戲規(guī)則。

在這種背景下，國際網(wǎng)絡(luò)空間對抗態(tài)勢已經(jīng)日漸明朗，典型案例已陸續(xù)出現(xiàn)，網(wǎng)絡(luò)空間斗爭愈演愈烈[3]。從應(yīng)對國際網(wǎng)絡(luò)空間對抗常態(tài)化、軍事化的角度來看，我國網(wǎng)絡(luò)信息系統(tǒng)安全防御在技術(shù)發(fā)展、防護(hù)模式以及基礎(chǔ)平臺等方面仍存在一定的差距，使得我國網(wǎng)絡(luò)信息系統(tǒng)安全面臨著巨大的安全風(fēng)險。

2.1 技術(shù)發(fā)展不平衡引發(fā)的安全風(fēng)險

我國網(wǎng)絡(luò)信息安全技術(shù)體系受國外技術(shù)體系影響非常大，盡管在技術(shù)體系上與國際接軌并保持相對完整，但在一些關(guān)鍵的基礎(chǔ)技術(shù)領(lǐng)域、短期內(nèi)見不到成果的領(lǐng)域，如安全評估、網(wǎng)絡(luò)攻防、漏洞挖掘、高安全級信息系統(tǒng)安全一體化設(shè)計(jì)、軟件安全性測試與評估以及面向新型信息技術(shù)的信息安全防護(hù)等方面，布局和投入有些不足。正是這種技術(shù)發(fā)展的不平衡，導(dǎo)致我國網(wǎng)絡(luò)信息安全在態(tài)勢感知與融合、面向新型信息技術(shù)的安全防御、網(wǎng)絡(luò)安全效能評估、新型網(wǎng)絡(luò)攻擊手段等方面尚缺乏關(guān)鍵技術(shù)支撐，還不具備成體系的高持續(xù)性威脅攻擊發(fā)掘、網(wǎng)絡(luò)威懾反制等理論和技術(shù)。

2.2 防護(hù)模式不完善引發(fā)的安全風(fēng)險

當(dāng)前，我國主要網(wǎng)絡(luò)信息系統(tǒng)建設(shè)一般采用疊加式的后加模式，采用網(wǎng)絡(luò)信息安全產(chǎn)品的安全加固方法。盡管該方式在某種程度上提高了網(wǎng)絡(luò)信息系統(tǒng)的安全防護(hù)能力，但是網(wǎng)絡(luò)信息安全與通信網(wǎng)絡(luò)沒有形成統(tǒng)一的體系，且各安全產(chǎn)品之間也沒有形成聚合能力，不僅應(yīng)對新的、未知的攻擊束手無策，而且增加了系統(tǒng)的復(fù)雜性，安全防護(hù)強(qiáng)度不高，防護(hù)粒度也不足。這種網(wǎng)絡(luò)信息安全防御模式的不完善，導(dǎo)致我國網(wǎng)絡(luò)信息系統(tǒng)安全機(jī)制的完備性、安全防護(hù)強(qiáng)度和動態(tài)適應(yīng)能力無法滿足強(qiáng)對抗環(huán)境和高安全的運(yùn)行需求，無法有效應(yīng)對國與國之間持續(xù)、有預(yù)謀、高烈度的網(wǎng)絡(luò)對抗，安全風(fēng)險事件頻頻發(fā)生。

2.3 基礎(chǔ)平臺不對稱引發(fā)的安全風(fēng)險

中興通信禁運(yùn)事件又一次敲響了我國關(guān)鍵元器件自主可控的警鐘，也暴露出我國科技基礎(chǔ)薄弱的真實(shí)背景。在網(wǎng)絡(luò)信息安全領(lǐng)域，我國信息安全技術(shù)研發(fā)和裝備研制所依賴的部分基礎(chǔ)芯片、基礎(chǔ)軟件、基礎(chǔ)軟硬件工具仍然依賴國外的技術(shù)、產(chǎn)品(或開源技術(shù)和產(chǎn)品)，難以擺脫在軟硬件初始設(shè)計(jì)階段即被植入后門、引入漏洞的安全風(fēng)險。一旦這些技術(shù)和產(chǎn)品被預(yù)埋(或植入)后門，在國與國對抗的背景下，整個網(wǎng)絡(luò)信息系統(tǒng)將處于基本“不設(shè)防”的狀態(tài)?？v觀中興通信禁運(yùn)事件可以發(fā)現(xiàn)，在供應(yīng)鏈上我們?nèi)菀资苤朴谌恕＿@種網(wǎng)絡(luò)信息安全基礎(chǔ)平臺的不對稱性，致使我國重要的網(wǎng)絡(luò)信息系統(tǒng)面臨著許多無法避免的安全威脅，漏洞后門防不勝防，并陷入“圍追堵截”的防御怪圈。

3.網(wǎng)絡(luò)信息安全動態(tài)防御分層架構(gòu)

面對當(dāng)前我國網(wǎng)絡(luò)信息安全在技術(shù)發(fā)展、防護(hù)模式、基礎(chǔ)平臺等方面存在的問題，提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系，變靜態(tài)為動態(tài)，變被動為主動，確保網(wǎng)絡(luò)信息系統(tǒng)在“有毒帶菌”、攻防博弈日益激烈的背景下安全可靠運(yùn)行。網(wǎng)絡(luò)信息安全動態(tài)防御體系的分層架構(gòu)如圖1所示。

網(wǎng)絡(luò)信息安全動態(tài)防御體系以統(tǒng)一的安全基底為基礎(chǔ)，對構(gòu)成網(wǎng)絡(luò)信息系統(tǒng)的人、設(shè)備、數(shù)據(jù)等組成要素開展統(tǒng)一安全防護(hù)設(shè)計(jì)，形成全網(wǎng)統(tǒng)一的安全防護(hù)基礎(chǔ)，并將安全作為一種基本屬性貫穿到整個網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行流程中。

安全平臺層為網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)傳輸、網(wǎng)絡(luò)承載、計(jì)算終端、信息服務(wù)等提供安全基礎(chǔ)服務(wù)。它的產(chǎn)品形態(tài)為各種軟硬件設(shè)備，采用軟件可定義架構(gòu)，并具有態(tài)勢感知功能。

安全服務(wù)層由安全服務(wù)云平臺、安全數(shù)據(jù)環(huán)境、安全原子服務(wù)以及安全聚合服務(wù)組成。安全服務(wù)云平臺為整個安全服務(wù)層提供基礎(chǔ)計(jì)算環(huán)境。安全數(shù)據(jù)環(huán)境采用大數(shù)據(jù)技術(shù)手段，整合公共域、專業(yè)域、管理域等各領(lǐng)域的安全數(shù)據(jù)資源，并提供數(shù)據(jù)挖掘、數(shù)據(jù)呈現(xiàn)、決策支持等數(shù)據(jù)服務(wù)。安全原子服務(wù)包括機(jī)密性保護(hù)、完整性保護(hù)、不可否認(rèn)性保護(hù)、身份認(rèn)證服務(wù)和訪問控制服務(wù)等基礎(chǔ)安全服務(wù)。安全聚合服務(wù)將不同的安全原子服務(wù)和安全資源按需聚合為相應(yīng)的安全服務(wù)，從而為不同的安全應(yīng)用提供服務(wù)保障。

安全管理層為整個網(wǎng)絡(luò)信息動態(tài)防御體系提供統(tǒng)一的身份認(rèn)證、訪問控制、資源管理、策略配置和設(shè)備管控等安全管理基礎(chǔ)設(shè)施，支持智能化輔助決策、態(tài)勢全景呈現(xiàn)等功能。

安全監(jiān)測預(yù)警主要提供態(tài)勢融合分析處理、威脅識別、態(tài)勢評估與預(yù)測等功能，能夠?yàn)榫W(wǎng)絡(luò)信息系統(tǒng)動態(tài)防御提供情報來源和決策支撐。

4.體系組成及特征闡述

網(wǎng)絡(luò)信息安全動態(tài)防御體系以統(tǒng)一安全基底為基礎(chǔ)，以安全按需賦能為核心，以智能安全管理為保障，在安全檢測預(yù)警的支撐下，能夠形成“監(jiān)測—決策—響應(yīng)—防御”的動態(tài)防御體系，實(shí)現(xiàn)基于態(tài)勢變化和安全需求的網(wǎng)絡(luò)信息系統(tǒng)安全防御。

4.1 統(tǒng)一安全基底

作為網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)組成要素，人、設(shè)備、數(shù)據(jù)是網(wǎng)絡(luò)信息安全防護(hù)的基礎(chǔ)對象。在全網(wǎng)統(tǒng)一的身份認(rèn)證與訪問控制基礎(chǔ)設(shè)施支撐下，對網(wǎng)絡(luò)信息系統(tǒng)中的人、設(shè)備、數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化安全設(shè)計(jì)，以期形成全網(wǎng)統(tǒng)一的安全防護(hù)基礎(chǔ)。

對標(biāo)識人本身的自然屬性(如職位、角色、權(quán)限等)進(jìn)行抽取并進(jìn)行數(shù)字化描述，融合相應(yīng)的訪問權(quán)限，采用其私鑰進(jìn)行加密，形成全網(wǎng)可識別的身份證書標(biāo)識;對各種計(jì)算設(shè)施、通信平臺、服務(wù)器等網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)設(shè)施，除了采用與用戶類似的身份標(biāo)識外，還采用可信計(jì)算、軟件合法性控制等手段，確?！拔铩弊陨淼陌踩尚?數(shù)據(jù)的保護(hù)工作隨著智能技術(shù)和物聯(lián)網(wǎng)的普及愈發(fā)重要，為此采用統(tǒng)一的元數(shù)據(jù)格式，對全網(wǎng)信息數(shù)據(jù)編碼實(shí)施標(biāo)準(zhǔn)化，并根據(jù)數(shù)據(jù)自身的價值屬性，增加數(shù)據(jù)安全屬性字段，以標(biāo)定該數(shù)據(jù)的安全等級。

通過上述安全性設(shè)計(jì)，網(wǎng)絡(luò)信息系統(tǒng)在整個運(yùn)行過程中都可以根據(jù)安全需求對網(wǎng)絡(luò)上的“人”“物”“數(shù)據(jù)”進(jìn)行安全性檢查和認(rèn)證，確保全網(wǎng)中各種實(shí)體的身份可鑒別、權(quán)限可控制、行為可審計(jì)、風(fēng)險可評估、責(zé)任可認(rèn)定。

4.2 安全按需賦能

安全按需賦能是指網(wǎng)絡(luò)信息安全防御體系能夠根據(jù)安全保障需求和安全態(tài)勢動態(tài)變化，動態(tài)調(diào)整系統(tǒng)安全服務(wù)能力，實(shí)現(xiàn)安全功能按需加載。

首先，安全服務(wù)層將各種安全服務(wù)抽象為一組安全原子服務(wù)。對于不同的安全服務(wù)需求，網(wǎng)絡(luò)信息安全動態(tài)防御體系能夠基于安全服務(wù)云平臺采用服務(wù)聚合模式，將不同的安全原子服務(wù)和所需的安全資源進(jìn)行按需聚合，形成定制化的安全服務(wù)功能。

其次，安全平臺層的基礎(chǔ)傳輸、網(wǎng)絡(luò)承載、計(jì)算終端、信息服務(wù)等安全防護(hù)裝備，采用硬件與軟件解耦的軟件定義設(shè)計(jì)思路，能夠根據(jù)業(yè)務(wù)應(yīng)用類型、業(yè)務(wù)通聯(lián)關(guān)系以及網(wǎng)絡(luò)安全態(tài)勢等多樣化需求，按需加載定制后的安全服務(wù)功能插件，從根本上改變現(xiàn)有安全防護(hù)產(chǎn)品功能固化、單一的現(xiàn)狀，實(shí)現(xiàn)通過軟件插件來定義和賦予所需的安全服務(wù)功能。它的模式如同智能手機(jī)下載、安裝、卸載各種“App”應(yīng)用。

最后，在安全管理層的統(tǒng)一管理控制決策下，安全服務(wù)層將聚合的安全服務(wù)功能遠(yuǎn)程在線下發(fā)到可軟件定義的安全平臺上，從而實(shí)現(xiàn)安全功能的按需加載。

4.3 智能安全管理

安全管理層采用智能輔助決策技術(shù)，能夠在網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行過程中，根據(jù)安全服務(wù)需求變化和安全態(tài)勢的動態(tài)變化，結(jié)合當(dāng)前管理保障力量部署、安全策略配置等情況，通過行為深度學(xué)習(xí)、智能推理決策等手段，快速生成安全服務(wù)需求規(guī)劃和策略配置方案，從而大幅提升安全管控的自動化、智能化水平，提高安全管理保障的靈活性、有效性和實(shí)時性。在交互接口上，安全監(jiān)測預(yù)警為安全管理層提供威脅情報和預(yù)警信息。安全服務(wù)層接受安全管理層的控制指令，聚合相應(yīng)的安全服務(wù)，下發(fā)到安全平臺層進(jìn)行執(zhí)行。

4.4 防御體系聯(lián)動

網(wǎng)絡(luò)信息安全動態(tài)防御體系通過對網(wǎng)絡(luò)信息系統(tǒng)中的人、設(shè)備、數(shù)據(jù)進(jìn)行統(tǒng)一安全設(shè)計(jì)，能夠?qū)踩鳛橐环N基本屬性貫穿到整個通信網(wǎng)絡(luò)及其運(yùn)行流程中。同時，通過安全管理層、安全服務(wù)層、安全平臺層以及安全監(jiān)測預(yù)警的聯(lián)動，構(gòu)建形成“監(jiān)測—決策—響應(yīng)—防御”的動態(tài)防御體系，可實(shí)現(xiàn)基于網(wǎng)絡(luò)空間態(tài)勢的動態(tài)防御。“監(jiān)測”即實(shí)時采集系統(tǒng)安全態(tài)勢數(shù)據(jù)并進(jìn)行融合分析處理，對發(fā)現(xiàn)的系統(tǒng)漏洞、違規(guī)操作以及網(wǎng)絡(luò)攻擊行為等安全風(fēng)險進(jìn)行告警?！皼Q策”即安全管理層在安全防御輔助決策技術(shù)的支撐下開展安全服務(wù)規(guī)劃與決策，確定安全服務(wù)、安全資源等安全防御調(diào)整方案?！绊憫?yīng)”即安全服務(wù)層根據(jù)安全防御調(diào)整方案向安全平臺下發(fā)對應(yīng)的安全服務(wù)功能，使得安全平臺具備應(yīng)對安全風(fēng)險的能力。“防御”即各類支持安全服務(wù)功能軟件定義的安全平臺實(shí)施安全防御，并上報網(wǎng)絡(luò)空間安全態(tài)勢，抵抗各種安全風(fēng)險事件。

5.結(jié)語

在網(wǎng)絡(luò)空間安全日益嚴(yán)峻的背景下，全面提升我國網(wǎng)絡(luò)信息系統(tǒng)的安全防御能力已經(jīng)迫在眉睫。本文結(jié)合新形勢下我國網(wǎng)絡(luò)信息系統(tǒng)面臨的安全風(fēng)險，提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動態(tài)防御體系，能夠轉(zhuǎn)變當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)安全防御靜態(tài)、僵化、被動的局面，提升網(wǎng)絡(luò)信息系統(tǒng)在多樣化安全需求和強(qiáng)網(wǎng)絡(luò)空間對抗下的體系防御能力，從而為重要網(wǎng)絡(luò)信息系統(tǒng)安全防御設(shè)計(jì)提供技術(shù)參考。