信息來(lái)源：51cto

摘要：隨著新型信息技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)信息系統(tǒng)的各種網(wǎng)絡(luò)化應(yīng)用已經(jīng)深刻融入到人類生產(chǎn)生活的各種環(huán)節(jié)，伴隨而來(lái)的網(wǎng)絡(luò)信息安全問(wèn)題也更加突出。通過(guò)分析新時(shí)代背景下網(wǎng)絡(luò)信息系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)，提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御體系，從安全平臺(tái)、安全服務(wù)、安全管理等方面實(shí)現(xiàn)防御體系的閉環(huán)運(yùn)行，為提升我國(guó)網(wǎng)絡(luò)信息系統(tǒng)安全保障能力提供參考。

1.引 言

習(xí)總書(shū)記在2018年全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上強(qiáng)調(diào)，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，就沒(méi)有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾利益也難以得到保障。當(dāng)前，國(guó)家政府、軍隊(duì)、企業(yè)的重要網(wǎng)絡(luò)信息系統(tǒng)，已經(jīng)成為敵對(duì)國(guó)家、恐怖組織和各種惡意者的逐利目標(biāo)，嚴(yán)重影響了國(guó)家政治、經(jīng)濟(jì)、社會(huì)的穩(wěn)定和發(fā)展。此外，大數(shù)據(jù)、云計(jì)算、人工智能等新興信息技術(shù)逐步應(yīng)用到網(wǎng)絡(luò)信息系統(tǒng)中，在提升通信效率和用戶服務(wù)體驗(yàn)的同時(shí)，也給網(wǎng)絡(luò)信息系統(tǒng)安全帶來(lái)了新的挑戰(zhàn)[1]。網(wǎng)絡(luò)信息安全防御體系是網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)行的重要保障，通過(guò)成體系的建設(shè)，能夠從通信網(wǎng)絡(luò)、計(jì)算環(huán)境、數(shù)據(jù)與應(yīng)用等多個(gè)方面形成縱深防御能力，全面保護(hù)網(wǎng)絡(luò)信息系統(tǒng)安全。然而，隨著網(wǎng)絡(luò)攻擊日益高級(jí)化、復(fù)雜化和持續(xù)化，主要基于邊界防御、漏洞檢測(cè)、規(guī)則匹配等靜態(tài)安全防護(hù)手段的傳統(tǒng)安全防御體系，在面對(duì)當(dāng)前日益復(fù)雜的網(wǎng)絡(luò)安全威脅時(shí)已經(jīng)“力不從心”[2]。本文在分析新時(shí)代背景下網(wǎng)絡(luò)信息安全威脅的基礎(chǔ)上，提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御體系，能夠?yàn)樘嵘覈?guó)網(wǎng)絡(luò)信息系統(tǒng)安全防御能力提供參考。

組織結(jié)構(gòu)如下：第1部分分析網(wǎng)絡(luò)信息系統(tǒng)面臨的主要安全風(fēng)險(xiǎn);第2部分提出一種分層的網(wǎng)絡(luò)信息動(dòng)態(tài)防御體系架構(gòu);第3部分對(duì)動(dòng)態(tài)防御體系的組成及主要特征進(jìn)行闡述;最后總結(jié)全文。

2.網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險(xiǎn)分析

近年來(lái)，世界主要強(qiáng)國(guó)都高度重視網(wǎng)絡(luò)信息安全問(wèn)題，積極采取行動(dòng)，加緊提升網(wǎng)絡(luò)空間安全攻防能力。這主要表現(xiàn)在如下幾個(gè)方面。第一，發(fā)布各種頂層設(shè)計(jì)文件，積極升格網(wǎng)絡(luò)空間安全為國(guó)家戰(zhàn)略;第二，啟動(dòng)各種網(wǎng)絡(luò)安全工程，加快實(shí)施自身網(wǎng)絡(luò)的全面防護(hù);第三，建設(shè)專門(mén)網(wǎng)絡(luò)空間軍隊(duì)，全力謀求網(wǎng)絡(luò)空間霸權(quán);第四，加大網(wǎng)絡(luò)空間安全戰(zhàn)略投入，積極搶占網(wǎng)絡(luò)空間技術(shù)制高點(diǎn);第五，全面研究網(wǎng)絡(luò)空間安全形勢(shì)和對(duì)策，積極主導(dǎo)國(guó)際游戲規(guī)則。

在這種背景下，國(guó)際網(wǎng)絡(luò)空間對(duì)抗態(tài)勢(shì)已經(jīng)日漸明朗，典型案例已陸續(xù)出現(xiàn)，網(wǎng)絡(luò)空間斗爭(zhēng)愈演愈烈[3]。從應(yīng)對(duì)國(guó)際網(wǎng)絡(luò)空間對(duì)抗常態(tài)化、軍事化的角度來(lái)看，我國(guó)網(wǎng)絡(luò)信息系統(tǒng)安全防御在技術(shù)發(fā)展、防護(hù)模式以及基礎(chǔ)平臺(tái)等方面仍存在一定的差距，使得我國(guó)網(wǎng)絡(luò)信息系統(tǒng)安全面臨著巨大的安全風(fēng)險(xiǎn)。

2.1 技術(shù)發(fā)展不平衡引發(fā)的安全風(fēng)險(xiǎn)

我國(guó)網(wǎng)絡(luò)信息安全技術(shù)體系受國(guó)外技術(shù)體系影響非常大，盡管在技術(shù)體系上與國(guó)際接軌并保持相對(duì)完整，但在一些關(guān)鍵的基礎(chǔ)技術(shù)領(lǐng)域、短期內(nèi)見(jiàn)不到成果的領(lǐng)域，如安全評(píng)估、網(wǎng)絡(luò)攻防、漏洞挖掘、高安全級(jí)信息系統(tǒng)安全一體化設(shè)計(jì)、軟件安全性測(cè)試與評(píng)估以及面向新型信息技術(shù)的信息安全防護(hù)等方面，布局和投入有些不足。正是這種技術(shù)發(fā)展的不平衡，導(dǎo)致我國(guó)網(wǎng)絡(luò)信息安全在態(tài)勢(shì)感知與融合、面向新型信息技術(shù)的安全防御、網(wǎng)絡(luò)安全效能評(píng)估、新型網(wǎng)絡(luò)攻擊手段等方面尚缺乏關(guān)鍵技術(shù)支撐，還不具備成體系的高持續(xù)性威脅攻擊發(fā)掘、網(wǎng)絡(luò)威懾反制等理論和技術(shù)。

2.2 防護(hù)模式不完善引發(fā)的安全風(fēng)險(xiǎn)

當(dāng)前，我國(guó)主要網(wǎng)絡(luò)信息系統(tǒng)建設(shè)一般采用疊加式的后加模式，采用網(wǎng)絡(luò)信息安全產(chǎn)品的安全加固方法。盡管該方式在某種程度上提高了網(wǎng)絡(luò)信息系統(tǒng)的安全防護(hù)能力，但是網(wǎng)絡(luò)信息安全與通信網(wǎng)絡(luò)沒(méi)有形成統(tǒng)一的體系，且各安全產(chǎn)品之間也沒(méi)有形成聚合能力，不僅應(yīng)對(duì)新的、未知的攻擊束手無(wú)策，而且增加了系統(tǒng)的復(fù)雜性，安全防護(hù)強(qiáng)度不高，防護(hù)粒度也不足。這種網(wǎng)絡(luò)信息安全防御模式的不完善，導(dǎo)致我國(guó)網(wǎng)絡(luò)信息系統(tǒng)安全機(jī)制的完備性、安全防護(hù)強(qiáng)度和動(dòng)態(tài)適應(yīng)能力無(wú)法滿足強(qiáng)對(duì)抗環(huán)境和高安全的運(yùn)行需求，無(wú)法有效應(yīng)對(duì)國(guó)與國(guó)之間持續(xù)、有預(yù)謀、高烈度的網(wǎng)絡(luò)對(duì)抗，安全風(fēng)險(xiǎn)事件頻頻發(fā)生。

2.3 基礎(chǔ)平臺(tái)不對(duì)稱引發(fā)的安全風(fēng)險(xiǎn)

中興通信禁運(yùn)事件又一次敲響了我國(guó)關(guān)鍵元器件自主可控的警鐘，也暴露出我國(guó)科技基礎(chǔ)薄弱的真實(shí)背景。在網(wǎng)絡(luò)信息安全領(lǐng)域，我國(guó)信息安全技術(shù)研發(fā)和裝備研制所依賴的部分基礎(chǔ)芯片、基礎(chǔ)軟件、基礎(chǔ)軟硬件工具仍然依賴國(guó)外的技術(shù)、產(chǎn)品(或開(kāi)源技術(shù)和產(chǎn)品)，難以擺脫在軟硬件初始設(shè)計(jì)階段即被植入后門(mén)、引入漏洞的安全風(fēng)險(xiǎn)。一旦這些技術(shù)和產(chǎn)品被預(yù)埋(或植入)后門(mén)，在國(guó)與國(guó)對(duì)抗的背景下，整個(gè)網(wǎng)絡(luò)信息系統(tǒng)將處于基本“不設(shè)防”的狀態(tài)?？v觀中興通信禁運(yùn)事件可以發(fā)現(xiàn)，在供應(yīng)鏈上我們?nèi)菀资苤朴谌恕＿@種網(wǎng)絡(luò)信息安全基礎(chǔ)平臺(tái)的不對(duì)稱性，致使我國(guó)重要的網(wǎng)絡(luò)信息系統(tǒng)面臨著許多無(wú)法避免的安全威脅，漏洞后門(mén)防不勝防，并陷入“圍追堵截”的防御怪圈。

3.網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御分層架構(gòu)

面對(duì)當(dāng)前我國(guó)網(wǎng)絡(luò)信息安全在技術(shù)發(fā)展、防護(hù)模式、基礎(chǔ)平臺(tái)等方面存在的問(wèn)題，提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御體系，變靜態(tài)為動(dòng)態(tài)，變被動(dòng)為主動(dòng)，確保網(wǎng)絡(luò)信息系統(tǒng)在“有毒帶菌”、攻防博弈日益激烈的背景下安全可靠運(yùn)行。網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御體系的分層架構(gòu)如圖1所示。

網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御體系以統(tǒng)一的安全基底為基礎(chǔ)，對(duì)構(gòu)成網(wǎng)絡(luò)信息系統(tǒng)的人、設(shè)備、數(shù)據(jù)等組成要素開(kāi)展統(tǒng)一安全防護(hù)設(shè)計(jì)，形成全網(wǎng)統(tǒng)一的安全防護(hù)基礎(chǔ)，并將安全作為一種基本屬性貫穿到整個(gè)網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行流程中。

安全平臺(tái)層為網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)傳輸、網(wǎng)絡(luò)承載、計(jì)算終端、信息服務(wù)等提供安全基礎(chǔ)服務(wù)。它的產(chǎn)品形態(tài)為各種軟硬件設(shè)備，采用軟件可定義架構(gòu)，并具有態(tài)勢(shì)感知功能。

安全服務(wù)層由安全服務(wù)云平臺(tái)、安全數(shù)據(jù)環(huán)境、安全原子服務(wù)以及安全聚合服務(wù)組成。安全服務(wù)云平臺(tái)為整個(gè)安全服務(wù)層提供基礎(chǔ)計(jì)算環(huán)境。安全數(shù)據(jù)環(huán)境采用大數(shù)據(jù)技術(shù)手段，整合公共域、專業(yè)域、管理域等各領(lǐng)域的安全數(shù)據(jù)資源，并提供數(shù)據(jù)挖掘、數(shù)據(jù)呈現(xiàn)、決策支持等數(shù)據(jù)服務(wù)。安全原子服務(wù)包括機(jī)密性保護(hù)、完整性保護(hù)、不可否認(rèn)性保護(hù)、身份認(rèn)證服務(wù)和訪問(wèn)控制服務(wù)等基礎(chǔ)安全服務(wù)。安全聚合服務(wù)將不同的安全原子服務(wù)和安全資源按需聚合為相應(yīng)的安全服務(wù)，從而為不同的安全應(yīng)用提供服務(wù)保障。

安全管理層為整個(gè)網(wǎng)絡(luò)信息動(dòng)態(tài)防御體系提供統(tǒng)一的身份認(rèn)證、訪問(wèn)控制、資源管理、策略配置和設(shè)備管控等安全管理基礎(chǔ)設(shè)施，支持智能化輔助決策、態(tài)勢(shì)全景呈現(xiàn)等功能。

安全監(jiān)測(cè)預(yù)警主要提供態(tài)勢(shì)融合分析處理、威脅識(shí)別、態(tài)勢(shì)評(píng)估與預(yù)測(cè)等功能，能夠?yàn)榫W(wǎng)絡(luò)信息系統(tǒng)動(dòng)態(tài)防御提供情報(bào)來(lái)源和決策支撐。

4.體系組成及特征闡述

網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御體系以統(tǒng)一安全基底為基礎(chǔ)，以安全按需賦能為核心，以智能安全管理為保障，在安全檢測(cè)預(yù)警的支撐下，能夠形成“監(jiān)測(cè)—決策—響應(yīng)—防御”的動(dòng)態(tài)防御體系，實(shí)現(xiàn)基于態(tài)勢(shì)變化和安全需求的網(wǎng)絡(luò)信息系統(tǒng)安全防御。

4.1 統(tǒng)一安全基底

作為網(wǎng)絡(luò)信息系統(tǒng)的基礎(chǔ)組成要素，人、設(shè)備、數(shù)據(jù)是網(wǎng)絡(luò)信息安全防護(hù)的基礎(chǔ)對(duì)象。在全網(wǎng)統(tǒng)一的身份認(rèn)證與訪問(wèn)控制基礎(chǔ)設(shè)施支撐下，對(duì)網(wǎng)絡(luò)信息系統(tǒng)中的人、設(shè)備、數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化安全設(shè)計(jì)，以期形成全網(wǎng)統(tǒng)一的安全防護(hù)基礎(chǔ)。

對(duì)標(biāo)識(shí)人本身的自然屬性(如職位、角色、權(quán)限等)進(jìn)行抽取并進(jìn)行數(shù)字化描述，融合相應(yīng)的訪問(wèn)權(quán)限，采用其私鑰進(jìn)行加密，形成全網(wǎng)可識(shí)別的身份證書(shū)標(biāo)識(shí);對(duì)各種計(jì)算設(shè)施、通信平臺(tái)、服務(wù)器等網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)設(shè)施，除了采用與用戶類似的身份標(biāo)識(shí)外，還采用可信計(jì)算、軟件合法性控制等手段，確保“物”自身的安全可信;數(shù)據(jù)的保護(hù)工作隨著智能技術(shù)和物聯(lián)網(wǎng)的普及愈發(fā)重要，為此采用統(tǒng)一的元數(shù)據(jù)格式，對(duì)全網(wǎng)信息數(shù)據(jù)編碼實(shí)施標(biāo)準(zhǔn)化，并根據(jù)數(shù)據(jù)自身的價(jià)值屬性，增加數(shù)據(jù)安全屬性字段，以標(biāo)定該數(shù)據(jù)的安全等級(jí)。

通過(guò)上述安全性設(shè)計(jì)，網(wǎng)絡(luò)信息系統(tǒng)在整個(gè)運(yùn)行過(guò)程中都可以根據(jù)安全需求對(duì)網(wǎng)絡(luò)上的“人”“物”“數(shù)據(jù)”進(jìn)行安全性檢查和認(rèn)證，確保全網(wǎng)中各種實(shí)體的身份可鑒別、權(quán)限可控制、行為可審計(jì)、風(fēng)險(xiǎn)可評(píng)估、責(zé)任可認(rèn)定。

4.2 安全按需賦能

安全按需賦能是指網(wǎng)絡(luò)信息安全防御體系能夠根據(jù)安全保障需求和安全態(tài)勢(shì)動(dòng)態(tài)變化，動(dòng)態(tài)調(diào)整系統(tǒng)安全服務(wù)能力，實(shí)現(xiàn)安全功能按需加載。

首先，安全服務(wù)層將各種安全服務(wù)抽象為一組安全原子服務(wù)。對(duì)于不同的安全服務(wù)需求，網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御體系能夠基于安全服務(wù)云平臺(tái)采用服務(wù)聚合模式，將不同的安全原子服務(wù)和所需的安全資源進(jìn)行按需聚合，形成定制化的安全服務(wù)功能。

其次，安全平臺(tái)層的基礎(chǔ)傳輸、網(wǎng)絡(luò)承載、計(jì)算終端、信息服務(wù)等安全防護(hù)裝備，采用硬件與軟件解耦的軟件定義設(shè)計(jì)思路，能夠根據(jù)業(yè)務(wù)應(yīng)用類型、業(yè)務(wù)通聯(lián)關(guān)系以及網(wǎng)絡(luò)安全態(tài)勢(shì)等多樣化需求，按需加載定制后的安全服務(wù)功能插件，從根本上改變現(xiàn)有安全防護(hù)產(chǎn)品功能固化、單一的現(xiàn)狀，實(shí)現(xiàn)通過(guò)軟件插件來(lái)定義和賦予所需的安全服務(wù)功能。它的模式如同智能手機(jī)下載、安裝、卸載各種“App”應(yīng)用。

最后，在安全管理層的統(tǒng)一管理控制決策下，安全服務(wù)層將聚合的安全服務(wù)功能遠(yuǎn)程在線下發(fā)到可軟件定義的安全平臺(tái)上，從而實(shí)現(xiàn)安全功能的按需加載。

4.3 智能安全管理

安全管理層采用智能輔助決策技術(shù)，能夠在網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行過(guò)程中，根據(jù)安全服務(wù)需求變化和安全態(tài)勢(shì)的動(dòng)態(tài)變化，結(jié)合當(dāng)前管理保障力量部署、安全策略配置等情況，通過(guò)行為深度學(xué)習(xí)、智能推理決策等手段，快速生成安全服務(wù)需求規(guī)劃和策略配置方案，從而大幅提升安全管控的自動(dòng)化、智能化水平，提高安全管理保障的靈活性、有效性和實(shí)時(shí)性。在交互接口上，安全監(jiān)測(cè)預(yù)警為安全管理層提供威脅情報(bào)和預(yù)警信息。安全服務(wù)層接受安全管理層的控制指令，聚合相應(yīng)的安全服務(wù)，下發(fā)到安全平臺(tái)層進(jìn)行執(zhí)行。

4.4 防御體系聯(lián)動(dòng)

網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御體系通過(guò)對(duì)網(wǎng)絡(luò)信息系統(tǒng)中的人、設(shè)備、數(shù)據(jù)進(jìn)行統(tǒng)一安全設(shè)計(jì)，能夠?qū)踩鳛橐环N基本屬性貫穿到整個(gè)通信網(wǎng)絡(luò)及其運(yùn)行流程中。同時(shí)，通過(guò)安全管理層、安全服務(wù)層、安全平臺(tái)層以及安全監(jiān)測(cè)預(yù)警的聯(lián)動(dòng)，構(gòu)建形成“監(jiān)測(cè)—決策—響應(yīng)—防御”的動(dòng)態(tài)防御體系，可實(shí)現(xiàn)基于網(wǎng)絡(luò)空間態(tài)勢(shì)的動(dòng)態(tài)防御。“監(jiān)測(cè)”即實(shí)時(shí)采集系統(tǒng)安全態(tài)勢(shì)數(shù)據(jù)并進(jìn)行融合分析處理，對(duì)發(fā)現(xiàn)的系統(tǒng)漏洞、違規(guī)操作以及網(wǎng)絡(luò)攻擊行為等安全風(fēng)險(xiǎn)進(jìn)行告警?！皼Q策”即安全管理層在安全防御輔助決策技術(shù)的支撐下開(kāi)展安全服務(wù)規(guī)劃與決策，確定安全服務(wù)、安全資源等安全防御調(diào)整方案?！绊憫?yīng)”即安全服務(wù)層根據(jù)安全防御調(diào)整方案向安全平臺(tái)下發(fā)對(duì)應(yīng)的安全服務(wù)功能，使得安全平臺(tái)具備應(yīng)對(duì)安全風(fēng)險(xiǎn)的能力?！胺烙奔锤黝愔С职踩?wù)功能軟件定義的安全平臺(tái)實(shí)施安全防御，并上報(bào)網(wǎng)絡(luò)空間安全態(tài)勢(shì)，抵抗各種安全風(fēng)險(xiǎn)事件。

5.結(jié)語(yǔ)

在網(wǎng)絡(luò)空間安全日益嚴(yán)峻的背景下，全面提升我國(guó)網(wǎng)絡(luò)信息系統(tǒng)的安全防御能力已經(jīng)迫在眉睫。本文結(jié)合新形勢(shì)下我國(guó)網(wǎng)絡(luò)信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，提出了一種以統(tǒng)一安全基底為基礎(chǔ)、以安全按需賦能為核心、以智能安全管理為保障的網(wǎng)絡(luò)信息安全動(dòng)態(tài)防御體系，能夠轉(zhuǎn)變當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)安全防御靜態(tài)、僵化、被動(dòng)的局面，提升網(wǎng)絡(luò)信息系統(tǒng)在多樣化安全需求和強(qiáng)網(wǎng)絡(luò)空間對(duì)抗下的體系防御能力，從而為重要網(wǎng)絡(luò)信息系統(tǒng)安全防御設(shè)計(jì)提供技術(shù)參考。