網絡空間安全技術體系研究

張林杰 賈 哲

（1.通信網信息傳輸與分發技術重點實驗室 河北 050000 2.中國電子科技集團公司第五十四研究所 河北 050081）

0 引言

網絡空間是軍事和社會的信息化、網絡化建設以及信息作戰概念和技術發展到一定階段形成的，是一個全新的作戰空間。雖然網絡空間是人創造的一個域，但仍是一個實實在在存在的空間。網絡空間在時域、空域上與海、陸、空、太空等領域是重疊的，橫跨物理域和信息域。

網絡空間是實現信息獲取、傳輸與處理、應用對抗和武器制導的主要渠道。隨著網絡的廣泛使用和網絡攻擊技術的發展，入侵事件日益頻繁，攻擊手段也越來越高明，攻擊目標不再僅僅局限于主機、應用系統，網絡基礎設施也開始成為攻擊目標。網絡基礎設施一旦遭到破壞，提供服務就變得無從談起。因此，迫切需要開展網絡空間安全技術研究，尤其是網絡基礎設施安全技術研究。

網絡空間安全從大的層面上可分為技術、管理和人員三個層面，即安全技術體系、安全管理體系和安全運維體系。安全技術體系是一個縱深防御體系，在物理、網絡、數據、應用等不同的層面上采用不同的安全技術，抵御各種威脅，降低系統的安全風險。安全管理體系是以人為本的管理體系，制定對信息安全進行管理的安全組織、安全策略、人員安全管理規范、安全意識培訓與教育以及安全政策與制度等，為網絡安全提供管理方面的指導和支持。安全運維體系是對網絡的日常安全運行進行綜合運維管理的體系，包括：安全策略管理、安全事件管理、資源資產管理、值班管理、安全風險管理等。本文將重點從安全技術體系層面，進行網絡空間安全的研究與分析。

1 網絡空間安全發展趨勢

美國政府認為網絡空間具有高度的戰略價值—無論從經濟上還是軍事上。因此，美國政府下定決心，分配了充足的人力物力，重塑全球網絡空間；并積極采取行動，制定網絡空間的“游戲規則”，獲取網絡空間的主動權。正如美國2010年《四年防務評估》中指出：“盡管網絡空間是一個人造領域，但它目前已和陸地、海洋、天空和太空等自然領域一樣，成為國防部的活動領域。”

美國網絡優先指導委員會認為[2]，國防部的網絡基礎設施在網絡安全方面還遠遠不夠，存在著嚴重的不確定性和不可控性。要確保完成網絡優先任務，還需要建立可信任的混合型可信系統，建立具備強大的自我修復能力的網絡基礎設施。具體需要發展五大關鍵能力：一是可信，通過可升級的逆向工程和分析技術、信任關系建立以及可信的傳播和維護技術、可信性的測量標準、可信的架構和可信的合成工具，建立基礎的可信機制。二是有活力的基礎設施，通過彈性的架構、彈性算法和協議、內嵌的彈性機制(例如，冗余性、多樣性、虛擬化、隨機性、不可預測性及動態刷新等)，打造具有自適應能力的彈性網絡系統，實現在網速不同的環境下，對網絡響應速度的自主控制能力，抵御網絡攻擊并實現對關鍵功能的維持或恢復。三是靈活操作能力，構建具備強大的自我修復能力的網絡基礎設施，能夠根據條件/目標的變化動態地重塑網絡系統，避免攻擊造成的傷害；同時，跟蹤基礎設施狀態和網絡攻擊，理解和預測它們如何影響任務功能。四是任務確保能力：通過網絡態勢的實時感知和實時的任務分析，根據歷史數據，利用網絡/動能作戰任務評估預測工具，進行網絡行動決策，實現網絡任務控制。五是網絡建模與仿真試驗能力，能夠開展各種專題試驗；能夠根據任務環境，檢驗網絡操作的各個方面；明確定義的指標；具備一定的規模；具備良好的綜合試驗能力，能夠進行網絡建模與仿真演練，定時評估網絡作戰能力。

此外，美國高度重視基礎通信設施安全，并將其提升到國家安全層面，不斷加大研發投入支持。2003年2月14日，美國公布的國家戰略—《The National Strategy to Secure Cyberspace》中，直接指出需要加強BGP和DNS協議的安全性與健壯性。國土安全部科技部門稱自2009年起在路由安全方面的研發投入每年增加至250萬。

美軍在GIG3.0中，在網絡體系設計上就充分考慮信息保障及賽博作戰的需求，提出采用統一的黑核網絡統一的提供涉密和非密信息的傳送。在終端采用多密級瘦客戶端技術、核心網利用虛擬化技術實現不同密級信息的隔離傳輸。通過受控的隔離交換，實現跨域互聯。建立安全運維中心，實現全網安全態勢的全面感知與分析。

2 我國網絡空間安全需求分析

網絡空間是未來信息化戰爭中一個新的作戰領域，各國紛紛出臺新軍事戰略，積極發展網絡攻防作戰能力，將網電空間控制權提升到重大國家戰略層面。網絡空間滲透與反滲透、控制與反控制、竊密與反竊密斗爭日趨激烈，Suter、Stuxnet、Flame等高強度、新概念未知攻擊手段層出不窮。網絡攻擊的方式日趨多樣化，以“震網”病毒為代表的網絡戰武器的出現，證明物理隔離網絡并不安全，依然有遭受攻擊的風險。網絡空間對抗形式的嚴峻需要網絡具備自主安全能力。

在網絡空間安全方面，目前國內研究和應用較多的主要在網絡防御上，具體有以下幾個方面。一是訪問控制技術，防止未授權用戶使用網絡資源，避免網絡入侵，目前通常采用的措施包括物理隔離、信號控制接入（采用直擴、跳頻、擴頻結合方式傳輸信號）、防火墻、身份認證（防止欺騙攻擊）等技術。二是加密技術，防御網絡監聽，保護信息的機密性，可用于身份驗證，防止欺騙。網絡傳輸中常采用鏈路層加密和網絡層加密技術。三是監控技術，監控包括惡意代碼掃描和入侵監測兩種，惡意代碼掃描主要掃描病毒和后門程序，入侵監測主要是通過搜集、分析網絡/主機的信息來識別異常。四是審計技術，審計是被攻擊后的事后措施，對入侵或攻擊進行分析、追蹤、記錄日志。

當前，我國網絡安全的根基還比較脆弱，我國在網絡對抗領域還存在很多不足。 我國現有信息安全防護系統的CPU、數據庫、操作系統、標準協議、骨干路由器等軟硬件平臺，主要依賴進口，且大多數是從我主要對手國家引進；建立在他人操作系統之上的網絡系統，安全性無從談起；構筑信息安全平臺的根基本身就存有嚴重的安全隱患，一旦發生網絡戰，后果難以想象。

綜上所述，目前已有的安全防護模式已經難以適應新一代信息系統的安全防護需求，網絡安全需要與網絡統一設計、同步建設，與網絡共同發展。

3 網絡空間安全技術體系設計

網絡空間安全技術體系的發展，要從基于特征“辨偽”發展到基于身份“識真”，以信任為基礎，打造安全可信的網絡空間。通過從網絡邊界防護發展到端到端防護，實現業務信息的全程保障；從粗放保護發展發展到精確控制，根據具體業務特點進行有針對性的安全防護和分級服務，實現細粒度的信息資源訪問控制；從外圍加固發展到強基固本，基于具有自主知識產權的軟硬件平臺，構建自主可控的網絡基礎設施，實現網絡空間安全從靜態防護到主動防御的發展。

網絡空間安全通過網絡與安全的一體化設計、基于具有自主知識產權的軟硬件平臺，打造安全可信的網絡連接環境、安全可信的計算處理環境和安全可信的信息服務環境，構建具有多方位感知、多層次分析、融合展現能力的監控預警系統，以及具備聯動響應體系的運維管理系統，提升網絡空間本身的安全可信性，提高網絡空間本身抵御攻擊的能力。

圖1給出了網絡空間安全技術體系的設計。網絡空間安全技術體系由網絡安全防護、安全管理和安全服務三個面組成，形成覆蓋主機-網絡-應用的縱深防護體系。

網絡安全防護包括由認證與身份管理系統構成的基礎支撐層；由終端安全、網絡安全可信和邊界安全防護構成的網絡基礎設施安全層；由安全服務、平臺軟件安全和服務安全構成的信息服務環境安全層；由數據存儲安全、傳輸安全、備份與恢復構成的數據安全層；由訪問控制、日志審計等構成的應用安全層；以及由終端監控、無線入侵檢測、骨干網絡監測、預警發布等構成的網絡空間監控預警系統。安全服務包括病毒庫、攻擊特征庫、漏洞庫、補丁庫等的維護、更新。安全管理主要實現安全設備的綜合管理、全網安全策略的統一管理。

圖1 網絡空間安全技術體系

其中網絡基礎設施安全與 信息服務環境安全又構成了基礎設施安全系統，完成網絡分層架構中網絡層及服務支撐層的安全。基礎設施安全的基本功能一是為各類信息傳輸、處理、共享和服務提供安全可信的環境；二是捍衛網絡空間，實時監視網絡安全態勢，組織應急響應行動，支持網絡的防御作戰。

4 結束語

信息技術快速發展和軍事理論不斷創新，推動了世界軍事領域的全面變革，戰爭形態正在從以武器平臺為核心轉向以信息網絡為中心，作戰空間由以“戰區”、“戰場”為特征的地理空間轉變為以“非線性”、“全縱深”為支撐的網絡空間。網絡中心戰理論的創新和實踐，推進了基于網絡的作戰指揮、基于網絡的信息獲取和基于網絡的信息分發與共享。網絡空間安全已成為實施聯合作戰和各種軍事行動的重要保障。網絡空間安全要走網絡與安全的融合發展路線。一是在網絡體系設計上，充分考慮安全需求，提升網絡的抗毀抗擾能力；二是在協議設計上，充分考慮協議的抗攻擊能力；三是在設備研制中，充分考慮設備自身安全性，提高設備自身抵御攻擊的能力。四是基于國產軟硬件平臺和可信計算技術，打造可信的網絡空間。

[1] 吳巍.賽博空間技術發展現狀與通信網絡安全問題[J].無線電通信技術 , 2012,(03)月.

[2] 未來美軍網絡安全技術發展路線圖.知遠戰略與防務，http://www.knowfar.org.cn/espec/c_2013-10.htm，2013年5月.

[3] 袁春陽，通信基礎設施安全研究及相關工作，中國計算機網絡安全年會，2011.

[4] CIESLAK Randy.GIG 3.0 Design Factors[EB/OL].[2011-06-11].

http：//info.publicintelligence.net/USPACOM-GIG.pdf.

[5] DAVID E SANGER，JOHN MARKOFF．Obama Outlines,Coordinated Cyber-Security Plan［N］．The New York Times，2009-5-29.