【摘 要】 網(wǎng)絡安全架構(gòu)的規(guī)劃與部署直接影響網(wǎng)絡整體安全防護的效果。為了加強對其的掌握,本文從邊界防御架構(gòu)、縱深防御架構(gòu)、零信任架構(gòu)、可信計算架構(gòu)4個方面分析了國內(nèi)外現(xiàn)有的網(wǎng)絡安全架構(gòu),介紹了每種架構(gòu)的特點及局限性,在此基礎(chǔ)上,對網(wǎng)絡安全體系架構(gòu)的主要發(fā)展趨勢進行了總結(jié)和展望,以期為后續(xù)相關(guān)研究提供有益參考。
【關(guān)鍵詞】 網(wǎng)絡安全架構(gòu) 邊界防御 可信計算 主動防御
1 引言
近年來,隨著信息技術(shù)的持續(xù)發(fā)展和廣泛應用,各種網(wǎng)絡攻擊方式和安全事件層出不窮,網(wǎng)絡安全面臨著日益嚴峻的挑戰(zhàn)。
眾所周知,軟硬件在開發(fā)和設(shè)計過程中存在漏洞難以避免,而不同種類的攻擊方式始終層出不窮。如果對存在的風險缺乏統(tǒng)一的思考和防范,網(wǎng)絡系統(tǒng)沒有構(gòu)建體系性的防御措施,網(wǎng)絡安全防護工作就會變成一種臨時性的應激操作,網(wǎng)絡運行管理人員需要不斷應對來自不同方向、不同種類的難以預測的攻擊,而多數(shù)結(jié)果等同于亡羊補牢,在造成數(shù)據(jù)的失泄密后再行補救則為時已晚。為了對網(wǎng)絡內(nèi)的重要信息和設(shè)施進行保護,有必要建立一套體系性的防護框架,在攻擊發(fā)生之前使系統(tǒng)具有防御能力,防患于未然。
世界范圍內(nèi)大部分國家對網(wǎng)絡安全的重視程度越來越高,在理念、機制、舉措等方面積極制定網(wǎng)絡安全政策,構(gòu)建自身的網(wǎng)絡安全體系,提升網(wǎng)絡安全防護能力。例如,拜登政府上臺后,把網(wǎng)絡安全作為重大的國家安全問題和首要任務,并迅速在網(wǎng)絡安全體系形成了包括網(wǎng)絡威脅戰(zhàn)略認知、網(wǎng)絡防御重點、統(tǒng)籌協(xié)調(diào)機制和網(wǎng)絡防御能力等內(nèi)容的四大體系架構(gòu)。
為了清晰梳理網(wǎng)絡安全架構(gòu)的發(fā)展情況,本文分析總結(jié)了國內(nèi)外現(xiàn)有的網(wǎng)絡安全架構(gòu),從邊界防御架構(gòu)、縱深防御架構(gòu)、零信任架構(gòu)、可信計算架構(gòu)4個方面進行了詳細分析,介紹了每種架構(gòu)的特點,并對其優(yōu)點及局限性進行了探討。在此基礎(chǔ)上,對網(wǎng)絡安全架構(gòu)的主要發(fā)展趨勢進行了展望和總結(jié)。
2 常見的網(wǎng)絡安全架構(gòu)
國內(nèi)外普遍認為網(wǎng)絡安全架構(gòu)應該是一個動態(tài)的、不斷完善的過程,大量科研人員及學者進行了長期的研究工作,并設(shè)計了各類動態(tài)安全保障體系模型。其中,最具代表性的模型包括邊界防御架構(gòu)、縱深防御架構(gòu)、零信任架構(gòu)、可信計算架構(gòu)等。
2.1 邊界防御架構(gòu)
“邊界防御”架構(gòu)于2012年被國內(nèi)安全企業(yè)率先提出并應用,通過在網(wǎng)絡邊界處嚴密設(shè)防,如代理、網(wǎng)關(guān)、路由器、防火墻、加密隧道等,監(jiān)控進入終端的外界程序,在惡意代碼尚未運行時即對其安全性進行鑒定,從而最大限度地保障本地計算機的安全。其中,4類較為常見的邊界防御技術(shù)分別是防火墻技術(shù)、多重安全網(wǎng)關(guān)技術(shù)、網(wǎng)閘技術(shù),以及虛擬專用網(wǎng)(VPN)技術(shù)。
如圖1所示,邊界防御架構(gòu)可以控制外部網(wǎng)絡對內(nèi)部網(wǎng)絡的訪問,強化內(nèi)部網(wǎng)絡安全。邊界防御技術(shù)還可通過對進入內(nèi)部網(wǎng)絡的文件進行安全鑒定,防止內(nèi)部信息外泄,隱藏內(nèi)部網(wǎng)絡的敏感信息。由于內(nèi)外網(wǎng)之間數(shù)據(jù)的傳輸必須經(jīng)過邊界防御,一切未被允許的就是禁止的,只有被授權(quán)合法的數(shù)據(jù),即在邊界防御系統(tǒng)安全策略中允許的數(shù)據(jù)才能穿過網(wǎng)絡邊界,保障了內(nèi)部網(wǎng)絡的整體安全。此外,邊界防御架構(gòu)通過提供日志記錄,對網(wǎng)絡存取和訪問進行監(jiān)控審計。在邊界防御架構(gòu)中,部署的邊界防護機制是內(nèi)、外部網(wǎng)絡的唯一通信通道,它們可以詳細記錄所有針對內(nèi)部網(wǎng)絡的訪問,形成完整的日志文件,以此達到監(jiān)控審計的目的。
邊界防御架構(gòu)的優(yōu)勢主要集中在3個方面。首先,可以快速鑒別未知文件是否安全。未知文件一旦到達網(wǎng)絡邊界,將觸發(fā)邊界防御對其安全性迅速做出判斷,從而保證安全防護的效率。其次,無需安裝專門的殺毒軟件。避免傳統(tǒng)殺毒軟件對系統(tǒng)資源的不合理占用,解放了系統(tǒng)資源,同時人機界面良好,用戶配置方便。最后,低成本實現(xiàn)有效防御。由于傳統(tǒng)殺毒軟件重客戶端輕服務端,客戶端對抗病毒的成本高昂,而邊界防御架構(gòu)只需配置防火墻等防御機制,就能控制外部網(wǎng)絡對內(nèi)部網(wǎng)絡的訪問,保障內(nèi)部網(wǎng)絡的安全。
邊界防御架構(gòu)雖然在網(wǎng)絡邊界處部署了防護機制,但受限于其產(chǎn)生的時代背景,該架構(gòu)在當前來看存在一定的局限性。首先,無法防范來自網(wǎng)絡內(nèi)部的安全威脅。由于邊界防御架構(gòu)只在網(wǎng)絡邊界處設(shè)置防護措施,將不安全的外部威脅擋在邊界外,而內(nèi)部惡意用戶和缺乏安全意識的用戶的存在,都會給系統(tǒng)內(nèi)部帶來安全風險。其次,無法防范繞過邊界防御的攻擊。邊界防御是單一的、靜態(tài)的安全防護技術(shù),只要攜帶病毒的文件通過某種手段繞過邊界防御的檢測,便可以進入網(wǎng)絡內(nèi)部散播病毒,威脅整個系統(tǒng)的安全。最后,無法抵御數(shù)據(jù)驅(qū)動型攻擊。在邊界防御架構(gòu)中,它通常無法抵御數(shù)據(jù)投毒等數(shù)據(jù)驅(qū)動型網(wǎng)絡攻擊。這意味著,在當前以高隱蔽性復雜攻擊為新安全挑戰(zhàn)的網(wǎng)絡環(huán)境中,邊界防御正面臨著極大危機。
2.2 縱深防御架構(gòu)
由于攻擊方式的多樣性,任何單一防御機制都不足以對抗所有類型的攻擊,網(wǎng)絡存在被攻破的可能性,為此“縱深防御”架構(gòu)應運而生。“縱深防御”也被稱為深度防護策略(Defense in Depth,DiD),是一種采用多樣化、多層次的防御措施來保障信息系統(tǒng)安全的策略,其主要目標是在攻擊者成功破壞某種防御機制的情況下,仍能夠利用其他防御機制繼續(xù)為信息系統(tǒng)提供保護。
縱深防御架構(gòu)的基本思路是將各類網(wǎng)絡安全防護措施有機結(jié)合,針對保護對象,部署合適的安全措施,形成多道保護線,在各安全防護措施相互支持和補救下,盡可能地阻斷攻擊者的威脅。根據(jù)美國國防部提出的PDRR(Pro-tection,Detection,Reaction,Reco-very)模型,即防護、檢測、響應、恢復4道防線,縱深防御架構(gòu)通過在這些技術(shù)框架區(qū)域中實施保障機制,最大程度地降低風險,應對攻擊并保護信息系統(tǒng)的安全。
如圖2所示,縱深防御架構(gòu)不是安全設(shè)備或系統(tǒng)的簡單堆積,而是在各個層面有針對性且合理地部署各類防護或檢測系統(tǒng),形成系統(tǒng)間的優(yōu)勢互補,從而實現(xiàn)對安全態(tài)勢的全面感知。縱深防御架構(gòu)通過多點布防、以點帶面、多面成體,形成一個多層次、立體的全方位防御體系來維護網(wǎng)絡安全,其特點可概述為以下3點。
(1)多點防護
部署位置主要包括網(wǎng)絡和基礎(chǔ)設(shè)施、區(qū)域邊界、計算環(huán)境和支撐性基礎(chǔ)設(shè)施,通過在這4個重點方位布置全面的防御機制,將信息系統(tǒng)的安全風險降至最低。
(2)分層防御
在攻擊者和目標之間部署多層防御機制,每個機制都能對攻擊者形成一道屏障,且各防御機制在功能上相互協(xié)同和補充。根據(jù)網(wǎng)絡的層次化體系結(jié)構(gòu),分層部署防護和檢測措施形成了層次化的安全配置,增加攻擊被檢測到的概率,大大提高了攻擊成本。
(3)分級防護
根據(jù)信息系統(tǒng)各部分的重要性等級,在對應安全強度下配置防護措施,以平衡縱深防御架構(gòu)建設(shè)成本和安全需求之間的關(guān)系。
縱深防御架構(gòu)雖然搭建了多層防護屏障,避免了對單一安全機制的依賴,但其仍然存在3個方面的局限性。
首先,各區(qū)域安全措施相對獨立,缺乏統(tǒng)一的管理。由于縱深防御架構(gòu)模型將人作為核心要素,安全人員一旦發(fā)現(xiàn)潛在風險,需要對所有安全措施進行逐個配置,增加了管理復雜度。而且縱深防御體系的各層防御之間的協(xié)同機制薄弱,其中的檢測手段多是基于規(guī)則和黑白名單,對于抱有經(jīng)濟政治目的的專業(yè)黑客,攻克這種防御體系也只是時間問題。
其次,缺乏主動防御安全威脅的機制。盡管各重點區(qū)域都部署了安全檢查和防御措施,但并沒有主動進行安全威脅檢查和防御。隨著攻擊方式的不斷演進、病毒特征的不斷變化,如果不及時主動更新防御機制,就會有新的中毒風險。目前,一些專門用來對付縱深防御模式的高級網(wǎng)絡攻擊工具可被輕易獲取,導致網(wǎng)絡攻擊數(shù)量大幅增加,以至于縱深防御架構(gòu)面臨巨大的安全威脅。
最后,沒有考慮虛擬網(wǎng)絡的防御問題。縱深防御架構(gòu)模型主要針對傳統(tǒng)物理信息系統(tǒng)設(shè)計,沒有考慮云數(shù)據(jù)中心虛擬化帶來的虛擬網(wǎng)絡特點。虛擬網(wǎng)絡運行在現(xiàn)有物理網(wǎng)絡之上,具有網(wǎng)絡邊界彈性、生命周期短暫等動態(tài)特征,而傳統(tǒng)縱深防御模型尚未考慮虛擬網(wǎng)絡的安全防護問題。
2.3 零信任架構(gòu)
零信任架構(gòu)是一種端到端的網(wǎng)絡架構(gòu),重點關(guān)注身份、憑證、訪問管理、操作、終端、主機環(huán)境和互連基礎(chǔ)設(shè)施。美國技術(shù)委員會-工業(yè)咨詢委員會(ACT-IAC)于2019年發(fā)布了《零信任網(wǎng)絡安全當前趨勢》(Zero Trust Cybersecurity Current Trends),同年,美國國防部國防創(chuàng)新委員會發(fā)布了零信任架構(gòu)白皮書《零信任安全之路》(The Road to Zero Trust Security),強調(diào)了對零信任架構(gòu)的重視。
傳統(tǒng)的安全方案只注重邊界保護,對授權(quán)用戶開放過多的訪問權(quán)限,而零信任的主要目標是基于身份的細粒度訪問控制,以應對日益嚴重未經(jīng)授權(quán)的水平移動風險。零信任的本質(zhì)是在新互聯(lián)網(wǎng)環(huán)境下零信任安全架構(gòu)的主體和客體之間構(gòu)建一個基于身份的動態(tài)可信訪問控制系統(tǒng)。該架構(gòu)的主要特點可以概括為:以身份作為訪問控制的基礎(chǔ),業(yè)務安全訪問、持續(xù)的信任評估,以及動態(tài)訪問控制。
圖3是零信任網(wǎng)絡架構(gòu)示意圖。如圖中所示,在零信任網(wǎng)絡架構(gòu)中,身份是零信任的基石。為了構(gòu)建基于身份而不是基于網(wǎng)絡位置的訪問控制系統(tǒng),首先需要給網(wǎng)絡中的人和設(shè)備賦予相應的身份,在運行時結(jié)合識別的人和設(shè)備來構(gòu)建訪問主體,并設(shè)置最小訪問權(quán)限。零信任架構(gòu)還具有以下3個特點。
(1)業(yè)務的安全訪問。零信任架構(gòu)側(cè)重于業(yè)務防護面的構(gòu)建,通過業(yè)務防護面來實現(xiàn)對資源的保護。在零信任架構(gòu)中,應用、服務、接口和數(shù)據(jù)被認為是業(yè)務資源。通過對業(yè)務保護的操作,要求對所有服務默認隱藏,根據(jù)授權(quán)結(jié)果最小權(quán)限開啟。所有服務訪問請求都應進行加密和強制授權(quán)。
(2)持續(xù)的信任評估。持續(xù)的信任評估是零信任體系中從無到有建立信任的關(guān)鍵手段。通過信任評估模型和算法,可以實現(xiàn)基于身份的信任評估能力。同時需要判斷訪問上下文環(huán)境的風險,識別訪問請求的異常行為,以調(diào)整信任評估結(jié)果。
(3)動態(tài)訪問控制。動態(tài)訪問控制是零信任架構(gòu)安全閉環(huán)能力的重要體現(xiàn)。通常采用基于角色的權(quán)限控制(RBAC)和基于屬性的權(quán)限控制(ABAC)相結(jié)合來實現(xiàn)靈活的訪問控制基線,基于信任級別來實現(xiàn)分層業(yè)務訪問。同時,當訪問上下文和環(huán)境存在風險時,應進行訪問權(quán)限的實時干預,評估訪問主體的信任度。
零信任架構(gòu)關(guān)鍵能力的實現(xiàn)需要通過特定的邏輯架構(gòu)組件來實現(xiàn)。零信任的核心理念是沒有人的參與。網(wǎng)絡內(nèi)外的設(shè)備/系統(tǒng)默認不信任,需要基于認證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。單個IP地址、主機、地理位置、網(wǎng)絡等不能作為可信憑證。零信任顛覆了訪問控制范式,引領(lǐng)安全系統(tǒng)架構(gòu)從“網(wǎng)絡中心化”走向“身份中心化”。它的本質(zhì)要求是基于身份和環(huán)境來控制訪問,在多個場景方面具有極大的優(yōu)勢。
零信任架構(gòu)的局限性主要表現(xiàn)在權(quán)限集中、實時性與控制精度之間的矛盾、數(shù)據(jù)處理難度等方面。
在零信任架構(gòu)中,策略引擎需要解決對所有資源訪問的授權(quán)工作,一旦策略引擎出現(xiàn)問題,對業(yè)務連續(xù)性和數(shù)據(jù)安全性都會產(chǎn)生較大的影響,因此設(shè)計開發(fā)高可用性的策略引擎,是零信任領(lǐng)域下一步研究的重點方向。其次,零信任架構(gòu)需要對對象進行實時校驗,通過實時監(jiān)督認證用戶的行為,動態(tài)調(diào)整授權(quán)的范圍,對應策略執(zhí)行點與策略引擎,既要做到實時控制,又要做到最小化權(quán)限的精準度,無論是算法、性能還是認證邏輯方面都面臨比較大的挑戰(zhàn)。此外,零信任的成熟度很大程度取決于對相關(guān)數(shù)據(jù)的收集、分析與處理能力。首先需要對設(shè)備、用戶、應用、歷史行為的各類數(shù)據(jù)進行收集。分散的數(shù)據(jù)來源會導致數(shù)據(jù)的準確性、完整度、格式化等方面存在問題。在解決數(shù)據(jù)收集、過濾、歸并、存儲等問題后,需要高效地對這些數(shù)據(jù)進行處理,該過程對策略引擎的算法和性能要求非常高。因此,設(shè)計實現(xiàn)高效的數(shù)據(jù)處理算法,也是零信任架構(gòu)需要重點關(guān)注的問題。
2.4 可信計算架構(gòu)
可信計算架構(gòu)的核心是基于可信且可靠設(shè)備,為設(shè)備提供給定系統(tǒng)狀態(tài)的證據(jù)。信任被定義為對系統(tǒng)狀態(tài)的期望,被認為是安全的,它需要可信平臺模塊(TPM)中可信且可靠的實體來提供有關(guān)系統(tǒng)狀態(tài)的可信證據(jù)。TPM規(guī)范由稱為可信計算組織(TCG)的國際標準組織維護和開發(fā),TCG不僅發(fā)布了TPM規(guī)范,還發(fā)布了移動可信模塊(MTM)、可信多租戶基礎(chǔ)設(shè)施和可信網(wǎng)絡連接。
可信平臺的基本框架是有一個信任根,其作用是衡量一個系統(tǒng)的可信度。TCG規(guī)范中的信任根結(jié)合了測量信任根(RTM)、存儲信任根(RTS)和報告信任根(RTR)。RTM是一個獨立的計算平臺,具有最少的指令集,這些指令被認為是可信任的,用于測量系統(tǒng)的完整性矩陣。在典型的臺式計算機上,RTM是基本輸入輸出系統(tǒng)(BIOS)的一部分,在這種情況下,它被稱為測量信任的核心根(CRTM)。RTS和RTR基于獨立、自給自足且可靠的計算設(shè)備,該計算設(shè)備具有預定義的指令集以提供身份認證和證明功能,這種設(shè)備稱為可信平臺模塊(TPM)。傳遞信任背后的基本原理是,如果實體信任平臺的TPM,它也會信任其測量?尚牌脚_架構(gòu)如圖4所示。
可信平臺TPM最大的優(yōu)勢在于安全啟動和報告操作,F(xiàn)階段的可信計算熱潮是從可信電腦客戶端平臺起步,但是它涉及了廣泛的研究和應用領(lǐng)域,主要包含關(guān)鍵技術(shù)、理論基礎(chǔ)和應用等3個方面。關(guān)鍵技術(shù)指可信計算的系統(tǒng)結(jié)構(gòu)、TPM的系統(tǒng)結(jié)構(gòu)、可信計算中的密碼技術(shù)、信任鏈技術(shù)信任的度量、可信軟件和可信網(wǎng)絡。理論基礎(chǔ)包括可信計算模型、可信性的度量理論、信任鏈理論和可信軟件理論?尚庞嬎慵夹g(shù)的應用是可信計算發(fā)展的根本目的?尚庞嬎慵夹g(shù)與產(chǎn)品主要用于電子商務、電子政務、安全風險管理、數(shù)字版權(quán)管理、安全檢測與應急響應等領(lǐng)域。
基于TPM設(shè)計目標,它可以為潛在的“安全且不可破解”的數(shù)字版權(quán)管理(DRM)框架提供一個平臺,然而同時會引發(fā)計算機控制權(quán)的問題,從而掩蓋了TPM潛在的有益特性,如安全啟動、安全存儲和加密密鑰的安全管理。目前,越來越多的電腦客戶端具有內(nèi)置的TPM,但這些模塊中的大部分并未由其各自的用戶啟用,此外,使用TPM功能為用戶提供附加安全和隱私服務的應用程序并不多。因此,最終用戶似乎沒有充分的理由積極使用TPM來滿足其安全和隱私要求。
隨著對計算平臺的依賴日益增加,TPM將在提供安全計算平臺方面發(fā)揮越來越重要的作用。此外,普通用戶也開始意識到可能導致他們激活TPM的潛在安全問題。然而,雖然TPM的采用可能會增加,但該規(guī)范并未隨著計算技術(shù)的變化而改變。
3 安全體系架構(gòu)的發(fā)展趨勢
隨著云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)的飛速發(fā)展,傳統(tǒng)的安全體系架構(gòu)已經(jīng)難以滿足日新月異的網(wǎng)絡安全需求。同時,網(wǎng)絡面臨著層出不窮的新型攻擊方式。針對以上挑戰(zhàn),近年來國內(nèi)外出現(xiàn)了多種新型網(wǎng)絡安全防護技術(shù)作為對傳統(tǒng)安全體系架構(gòu)的補充,其中具有代表性的有主動防御技術(shù)、安全態(tài)勢感知技術(shù)等。
3.1 主動防御技術(shù)
多年來,傳統(tǒng)安全防護構(gòu)建了以系統(tǒng)為核心,以網(wǎng)絡邊界為防護重點的“硬殼軟心”邊界防御體系。傳統(tǒng)的、靜態(tài)的各類安全機制無法適應動態(tài)變化的網(wǎng)絡安全環(huán)境,其本質(zhì)上發(fā)揮的是“傳感器”“探測器”作用,一旦攻擊威脅突破邊界進入內(nèi)部網(wǎng)絡,其被動防御機制將形同虛設(shè)。此外,被動防御缺少對網(wǎng)內(nèi)未知的橫向移動威脅的應對策略和封控辦法,更不具備對攻擊威脅的主動清除和溯源反制能力,無法應對高級持續(xù)的未知網(wǎng)絡攻擊。
與被動防御相比,網(wǎng)絡主動防御(Proactive Defense)具有預測性和主動性,其理念和技術(shù)已經(jīng)引起國內(nèi)外政府界、學術(shù)界等廣泛關(guān)注,成為網(wǎng)絡安全領(lǐng)域的研究熱點。主動防御手段主要是防御者針對攻擊者攻擊行為主動采取規(guī)避性、欺騙性的防御技術(shù),比如獵殺、拒絕、欺騙等,綜合運用網(wǎng)絡動態(tài)變化和網(wǎng)絡欺騙等方法,在攻擊行為對信息系統(tǒng)發(fā)生影響之前,干擾攻擊者認知、捕獲早期攻擊偵察特征、動態(tài)調(diào)整防御策略,改變傳統(tǒng)防御體系“被動應對”的不利局面。
目前網(wǎng)絡主動防御仍處于研究探索階段,其概念內(nèi)涵還沒有標準化的定義,業(yè)界普遍接受的是美國國土安全部下屬研究中心在2016年提出的主動防御定義:主動防御是處于傳統(tǒng)的被動防御和進攻之間的一系列主動防御手段。對比美國,我國主動防御技術(shù)理論研究起步較晚。隨著主動防御技術(shù)的演進發(fā)展,我國相關(guān)研究機構(gòu)相繼提出了主動防御技術(shù)理論,產(chǎn)業(yè)界的原型系統(tǒng)和商業(yè)產(chǎn)品不斷被研發(fā)應用,具有代表性的有擬態(tài)防御技術(shù)、中國科學院信息工程研究所的“網(wǎng)絡空間內(nèi)置式主動防御”技術(shù)等。隨著主動防御技術(shù)產(chǎn)業(yè)化逐漸成熟,國內(nèi)主動防御技術(shù)的規(guī)模應用日趨廣泛,主動防御技術(shù)手段也在國家級網(wǎng)絡防護任務中發(fā)揮了關(guān)鍵作用,防御效能顯著。
3.2 安全態(tài)勢感知技術(shù)
網(wǎng)絡安全體系架構(gòu)中的網(wǎng)絡安全產(chǎn)品從設(shè)備、網(wǎng)絡、數(shù)據(jù)等不同維度提供了網(wǎng)絡的縱深防御手段,但目前的現(xiàn)狀是不同網(wǎng)絡安全產(chǎn)品相互孤立,產(chǎn)品間缺乏有效協(xié)同,所采集的運行數(shù)據(jù)以及生成的大量網(wǎng)絡告警事件無法關(guān)聯(lián),用戶面對海量的告警事件難以處理,也無法掌握安全態(tài)勢的全局。安全態(tài)勢感知技術(shù)就是為了呈現(xiàn)網(wǎng)絡安全體系的整體情況,包括對外部惡意攻擊的抵御能力、對網(wǎng)絡脆弱性的防護能力及面對內(nèi)部攻擊時的防失泄密能力。
網(wǎng)絡態(tài)勢感知(Cyberspace Situational Awareness,CSA)的概念于1999年由Tim Bass首次提出,定義為在大規(guī)模網(wǎng)絡環(huán)境中對引起網(wǎng)絡態(tài)勢發(fā)生變化的要素進行獲取、理解、展示以及對發(fā)展趨勢進行預測,從而幫助決策和行動。美國自2003年開始研制網(wǎng)絡空間態(tài)勢感知系統(tǒng)“愛因斯坦”,至2013年,已完成3次迭代!皭垡蛩固1”基于流量的分析技術(shù)來進行異常分析檢測和總體趨勢分析,“愛因斯坦2”基于深度包解析(DPI)技術(shù)實現(xiàn)惡意行為分析,“愛因斯坦3”基于之前的技術(shù),結(jié)合網(wǎng)絡攻防經(jīng)驗積累下來的特殊攻擊特征,可實時地感知網(wǎng)絡基礎(chǔ)設(shè)施面臨的威脅,并更迅速地采取恰當?shù)膶Σ。截?019年9月,已有76個聯(lián)邦民事機構(gòu)完全實現(xiàn)了“愛因斯坦3”計劃的基本能力。
在國內(nèi),安全態(tài)勢感知技術(shù)的發(fā)展也受到高度重視。2021年我國網(wǎng)絡安全重要法規(guī)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》中明確提到,“掌握關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況、安全態(tài)勢,預警通報網(wǎng)絡安全威脅和隱患,指導做好安全防范工作”。近幾年,國內(nèi)在網(wǎng)絡安全態(tài)勢感知方面具有代表性的研究性工作包括,大數(shù)據(jù)環(huán)境下的網(wǎng)絡安全態(tài)勢感知評估方法的提出,基于深度學習的網(wǎng)絡流量分類及異常檢測方法的提出,以及對網(wǎng)絡安全威脅感知關(guān)鍵技術(shù)的研究。但是,目前已有的網(wǎng)絡態(tài)勢感知系統(tǒng)依然存在著數(shù)據(jù)源單一、難以落地實現(xiàn)的問題。但是越來越多的企業(yè)單位開始意識到網(wǎng)絡安全態(tài)勢感知技術(shù)對于網(wǎng)絡風險發(fā)現(xiàn)、預測、響應的重要性,國內(nèi)的安全廠商近些年紛紛推出包含分析和情報、響應、安全編排的態(tài)勢感知系統(tǒng),并廣泛應用于政府、金融、電力、教育等多個行業(yè)。隨著網(wǎng)絡安全態(tài)勢感知技術(shù)的發(fā)展,其將在網(wǎng)絡安全防護中起到越來越重要的作用。
4 結(jié)語
隨著網(wǎng)絡安全防護技術(shù)的復雜化,網(wǎng)絡安全體系的構(gòu)建仍是國內(nèi)外的研究熱點。歸納來講,網(wǎng)絡安全防護體系的建設(shè)不能簡單依靠各種安全產(chǎn)品的疊加,而是需要結(jié)合不同網(wǎng)絡架構(gòu)及業(yè)務應用固有的特性,對多種安全機制進行有機融合,形成一套動態(tài)、有效、全面的整體防御體系。網(wǎng)絡安全防護建設(shè)是一個長期、循序漸進的過程,隨著網(wǎng)絡技術(shù)的不斷發(fā)展,必然會出現(xiàn)各種新的威脅。因此,信息安全防護建設(shè)也應隨之不斷完善和調(diào)整,才能構(gòu)建一道保護網(wǎng)絡信息安全的銅墻鐵壁。
(原載于《保密科學技術(shù)》雜志2022年8月刊)