淺談網絡生態系統健康的基礎

賈瑋娜（內蒙古電子信息職業技術學院,呼和浩特 010010）

?

淺談網絡生態系統健康的基礎

賈瑋娜
（內蒙古電子信息職業技術學院,呼和浩特 010010）

摘 要：本文深入討論了更健康、易恢復、本質上更為安全的未來網絡生態系統理念。在這樣的網絡生態系統中，各種參與者能夠盡快實時的協作起來，共同預測、組織網絡攻擊，限制其傳播速度，減少危害，盡快將網絡生態系統恢復至可信狀態。

關鍵詞：網絡生態系統；健康；基礎

1 安全網絡生態系統概述

我們當前的網絡空間安全能力是自然分布的，私營部門和各級政府存在各種大量的專長。諸如漏洞掃描器、入侵檢測系統和殺毒軟件等安全產品并不交換數據，安全政策不一致。相互競爭的制造商開發這一技術，沒有共享信息或確保協調性反應的動力。結果產生的環境就是安全產品保護的是單一團體、單一用戶或者甚至單一用戶的一個方面。相互防御幾乎就是碰巧。

網絡生態系統是全球性的，包括政府和私營部門的信息基礎設施；各種互動的人、程序、信息和通信技術；影響網絡安全的條件。根據這一設想，各種參與者能夠盡快實時的協作起來，共同預測、阻止網絡攻擊，限制其傳播速度，減少危害，盡快將網絡生態系統恢復至可信狀態。為實現這一未來，安全能力必須被嵌入在網絡中的各種設備內部，它允許在設備內或設備間采取一些預防性和防御性行為，防御能力分布在所有網絡生態系統的參與者之中；而近似實時的協作防御能夠實現，得益于設備的內嵌互操作安全能力，以及可信信息交換、配置策略共享等因素的組合。

對于健康的網路生態系統，各類參與者能夠在遭受攻擊后廣泛、有效合作，反應敏捷，快速恢復。如果有了安全協作機制、通用策略、預定義的措施、標準的信息交換機制，以及健康的網路參與者，健康的網絡生態系統就可以抵御所有已知的和新興的網絡攻擊，改善關鍵信息基礎設施的可靠性和適應性，更好地保護隱私、商務及政務活動。

2 網絡生態系統健康的三大基礎

2.1 基礎一：自主化行動

自主化行動是針對網絡攻擊所需要采取的策略，包括了決策和行動。自動化將人類解放出來去做他們做得更好的事情——思考、提問和對復雜情況做出判斷。自動化使得網絡防御響應速度接近網絡攻擊的速度，有了這種快速響應能力，網絡安全技術人員就能更好地適應入侵者的攻擊行動周期，從容應對網絡攻擊。此外，自動化可以使采用和適應新的或經過驗證的安全解決方案更加容易。

一個健康的網絡生態系統可能采用固定的局部防御自動化策略，并被活動的和全局性多層級的防御所支持。這樣的一個策略可以使網絡生態系統在應對網絡攻擊的同時，維持自身運行，支持正常業務開展；此外它可以使網絡生態系統不斷強化自己以預防網絡本身的“免疫性疾病”。

除了跨級別設備間通告和反應同步之外，每個級別的設備還應具有同步分析能力。例如，所有用戶級設備可以共享安全策略和資源分析結果匯集，所有機構網絡級設備也可以如此。因為，一個機構網絡可以與商業企業網絡、政治團體網絡或某地區網絡、甚至全世界互聯網絡環境共享信息、協調活動和同步ACOA。

2.2 基礎二：互操作

互操作性允許由策略定義網絡區域而不是由技術來約束，并允許網絡成員在自主化的社區防護上進行無縫和動態協作。互操作促使了一般作戰圖片與形式警覺共享的出現和迅速傳播。新型情報技術的創造（比如融合傳感器輸入），加上同時在人機兩個層次的快速學習，可以從根本上改變網絡生態系統。

遺憾的是，目前在的網絡安全方面，許多可用的設備（例如防火墻、文件完整性檢查、病毒掃描、入侵檢測系統、惡意程序防范軟件等）都獨立運行，并使用既不交換數據也沒有一致性的安全策略。在這些設備中，可能每一個都是由不同的甚至是互為競爭對手的廠商開發，沒有遵守國際公認的開放標準。另一方面，相關標準尚未成熟。因而，在今天的網絡生態系統中，協作是可以做到的，但是難度很大。我們必須到達成共識，對于橫跨設備、人員和組織的協作來說唯一的障礙是選擇實施的政策。

2.3 基礎三：身份認證

身份認證應確保網絡在線事務處理是可信的、安全的。幾乎每一個在線事務都涉及網絡上的各種資源和參與者。身份認證應以一種不泄露個人隱私的方式，確保參與者的身份是可信的。對于健康的網絡生態系統，身份認證不僅限于網絡用戶，還包括網絡中的各種設備和參與者（例如計算機、軟件、信息）。由于通信和內容屬性是安全決策的關鍵要素，身份認證對網絡防御至關重要，同時也是網絡防御其他許多功能的基礎。

在健康的網絡生態系統中，信息發送方和接收方應相互知曉并為自己的行為負責，但在必要的時候要執行可信的匿名交易。消費者可以判斷服務者及其服務的可信度，服務者可以確認消費者是否有權訪問相關信息。身份認證機制能有效防止身份盜竊和欺騙，同時成本合理，易于使用和管理，可擴展，易互操作。

常用的身份驗證技術依靠（1）你所知道的東西（如密碼），（2）你所擁有的東西（如數字憑證），（3）你自身的東西（如生物識別）。這些技術在影響安全強度、成本可接受的程度、易于使用和管理性、可擴展性、以及互操作性方面都各有特色，重要的考慮因素包括易于集成到新出現的和已部署的設備及應用軟件中，以及便于進行跨網絡和組織的交換與聯合。

遺憾的是，在當今的市場上，系統開發商和業主找不到幾個技術能實現所有五個業務目標。通常的辦法是劃分企業功能和用戶人群以控制和改變目標從而得到優化。這就形成了多種認證技術的復雜景觀：有限的互操作性，脆弱的安全接縫以及企業或組織系統變革的障礙。

一個健康的網絡生態系統可具有基于標準的身份驗證技術，更加全面地實現所有五個業務目標。近期將發布用戶指南，評價相關技術，幫助系統開發商及用戶做出技術選擇。對于自動化網絡防御，一個健康的網絡生態系統應具有強大的基于標準的設備驗證，包括小型的和通常由無線設備組成的大規模可伸縮的網格。

最后，一個健康的生態系統應具有廣泛的方法來表達和管理信任，將關于人、業務、技術和信息的信任屬性結合到新的決策框架和指標中。這種框架承認，根據不斷變化的業務和環境因素，信任不是二進制或靜態的，而是流動的和有條件的。

作者簡介：賈瑋娜（1981-），女，河北辛集人，本科，高校講師，研究方向：信息管理與信息系統。

DOI:10.16640/j.cnki.37-1222/t.2016.02.189