網絡信息安全動態防御體系研究*

陳 捷

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

習總書記在2018年全國網絡安全和信息化工作會議上強調，沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。當前，國家政府、軍隊、企業的重要網絡信息系統，已經成為敵對國家、恐怖組織和各種惡意者的逐利目標，嚴重影響了國家政治、經濟、社會的穩定和發展。此外，大數據、云計算、人工智能等新興信息技術逐步應用到網絡信息系統中，在提升通信效率和用戶服務體驗的同時，也給網絡信息系統安全帶來了新的挑戰[1]。網絡信息安全防御體系是網絡信息系統安全運行的重要保障，通過成體系的建設，能夠從通信網絡、計算環境、數據與應用等多個方面形成縱深防御能力，全面保護網絡信息系統安全。然而，隨著網絡攻擊日益高級化、復雜化和持續化，主要基于邊界防御、漏洞檢測、規則匹配等靜態安全防護手段的傳統安全防御體系，在面對當前日益復雜的網絡安全威脅時已經“力不從心”[2]。本文在分析新時代背景下網絡信息安全威脅的基礎上，提出了一種以統一安全基底為基礎、以安全按需賦能為核心、以智能安全管理為保障的網絡信息安全動態防御體系，能夠為提升我國網絡信息系統安全防御能力提供參考。

組織結構如下：第1部分分析網絡信息系統面臨的主要安全風險；第2部分提出一種分層的網絡信息動態防御體系架構；第3部分對動態防御體系的組成及主要特征進行闡述；最后總結全文。

1 網絡信息系統安全風險分析

近年來，世界主要強國都高度重視網絡信息安全問題，積極采取行動，加緊提升網絡空間安全攻防能力。這主要表現在如下幾個方面。第一，發布各種頂層設計文件，積極升格網絡空間安全為國家戰略；第二，啟動各種網絡安全工程，加快實施自身網絡的全面防護；第三，建設專門網絡空間軍隊，全力謀求網絡空間霸權；第四，加大網絡空間安全戰略投入，積極搶占網絡空間技術制高點；第五，全面研究網絡空間安全形勢和對策，積極主導國際游戲規則。

在這種背景下，國際網絡空間對抗態勢已經日漸明朗，典型案例已陸續出現，網絡空間斗爭愈演愈烈[3]。從應對國際網絡空間對抗常態化、軍事化的角度來看，我國網絡信息系統安全防御在技術發展、防護模式以及基礎平臺等方面仍存在一定的差距，使得我國網絡信息系統安全面臨著巨大的安全風險。

1.1 技術發展不平衡引發的安全風險

我國網絡信息安全技術體系受國外技術體系影響非常大，盡管在技術體系上與國際接軌并保持相對完整，但在一些關鍵的基礎技術領域、短期內見不到成果的領域，如安全評估、網絡攻防、漏洞挖掘、高安全級信息系統安全一體化設計、軟件安全性測試與評估以及面向新型信息技術的信息安全防護等方面，布局和投入有些不足。正是這種技術發展的不平衡，導致我國網絡信息安全在態勢感知與融合、面向新型信息技術的安全防御、網絡安全效能評估、新型網絡攻擊手段等方面尚缺乏關鍵技術支撐，還不具備成體系的高持續性威脅攻擊發掘、網絡威懾反制等理論和技術。

1.2 防護模式不完善引發的安全風險

當前，我國主要網絡信息系統建設一般采用疊加式的后加模式，采用網絡信息安全產品的安全加固方法。盡管該方式在某種程度上提高了網絡信息系統的安全防護能力，但是網絡信息安全與通信網絡沒有形成統一的體系，且各安全產品之間也沒有形成聚合能力，不僅應對新的、未知的攻擊束手無策，而且增加了系統的復雜性，安全防護強度不高，防護粒度也不足。這種網絡信息安全防御模式的不完善，導致我國網絡信息系統安全機制的完備性、安全防護強度和動態適應能力無法滿足強對抗環境和高安全的運行需求，無法有效應對國與國之間持續、有預謀、高烈度的網絡對抗，安全風險事件頻頻發生。

1.3 基礎平臺不對稱引發的安全風險

中興通信禁運事件又一次敲響了我國關鍵元器件自主可控的警鐘，也暴露出我國科技基礎薄弱的真實背景。在網絡信息安全領域，我國信息安全技術研發和裝備研制所依賴的部分基礎芯片、基礎軟件、基礎軟硬件工具仍然依賴國外的技術、產品（或開源技術和產品），難以擺脫在軟硬件初始設計階段即被植入后門、引入漏洞的安全風險。一旦這些技術和產品被預埋（或植入）后門，在國與國對抗的背景下，整個網絡信息系統將處于基本“不設防”的狀態。縱觀中興通信禁運事件可以發現，在供應鏈上我們容易受制于人。這種網絡信息安全基礎平臺的不對稱性，致使我國重要的網絡信息系統面臨著許多無法避免的安全威脅，漏洞后門防不勝防，并陷入“圍追堵截”的防御怪圈。

2 網絡信息安全動態防御分層架構

面對當前我國網絡信息安全在技術發展、防護模式、基礎平臺等方面存在的問題，提出了一種以統一安全基底為基礎、以安全按需賦能為核心、以智能安全管理為保障的網絡信息安全動態防御體系，變靜態為動態，變被動為主動，確保網絡信息系統在“有毒帶菌”、攻防博弈日益激烈的背景下安全可靠運行。網絡信息安全動態防御體系的分層架構如圖1所示。

網絡信息安全動態防御體系以統一的安全基底為基礎，對構成網絡信息系統的人、設備、數據等組成要素開展統一安全防護設計，形成全網統一的安全防護基礎，并將安全作為一種基本屬性貫穿到整個網絡信息系統的運行流程中。

安全平臺層為網絡信息系統的基礎傳輸、網絡承載、計算終端、信息服務等提供安全基礎服務。它的產品形態為各種軟硬件設備，采用軟件可定義架構，并具有態勢感知功能。

圖1 網絡信息安全動態防御體系

安全服務層由安全服務云平臺、安全數據環境、安全原子服務以及安全聚合服務組成。安全服務云平臺為整個安全服務層提供基礎計算環境。安全數據環境采用大數據技術手段，整合公共域、專業域、管理域等各領域的安全數據資源，并提供數據挖掘、數據呈現、決策支持等數據服務。安全原子服務包括機密性保護、完整性保護、不可否認性保護、身份認證服務和訪問控制服務等基礎安全服務。安全聚合服務將不同的安全原子服務和安全資源按需聚合為相應的安全服務，從而為不同的安全應用提供服務保障。

安全管理層為整個網絡信息動態防御體系提供統一的身份認證、訪問控制、資源管理、策略配置和設備管控等安全管理基礎設施，支持智能化輔助決策、態勢全景呈現等功能。

安全監測預警主要提供態勢融合分析處理、威脅識別、態勢評估與預測等功能，能夠為網絡信息系統動態防御提供情報來源和決策支撐。

3 體系組成及特征闡述

網絡信息安全動態防御體系以統一安全基底為基礎，以安全按需賦能為核心，以智能安全管理為保障，在安全檢測預警的支撐下，能夠形成“監測—決策—響應—防御”的動態防御體系，實現基于態勢變化和安全需求的網絡信息系統安全防御。

3.1 統一安全基底

作為網絡信息系統的基礎組成要素，人、設備、數據是網絡信息安全防護的基礎對象。在全網統一的身份認證與訪問控制基礎設施支撐下，對網絡信息系統中的人、設備、數據進行標準化安全設計，以期形成全網統一的安全防護基礎。

對標識人本身的自然屬性（如職位、角色、權限等）進行抽取并進行數字化描述，融合相應的訪問權限，采用其私鑰進行加密，形成全網可識別的身份證書標識；對各種計算設施、通信平臺、服務器等網絡信息系統基礎設施，除了采用與用戶類似的身份標識外，還采用可信計算、軟件合法性控制等手段，確保“物”自身的安全可信；數據的保護工作隨著智能技術和物聯網的普及愈發重要，為此采用統一的元數據格式，對全網信息數據編碼實施標準化，并根據數據自身的價值屬性，增加數據安全屬性字段，以標定該數據的安全等級。

通過上述安全性設計，網絡信息系統在整個運行過程中都可以根據安全需求對網絡上的“人”“物”“數據”進行安全性檢查和認證，確保全網中各種實體的身份可鑒別、權限可控制、行為可審計、風險可評估、責任可認定。

3.2 安全按需賦能

安全按需賦能是指網絡信息安全防御體系能夠根據安全保障需求和安全態勢動態變化，動態調整系統安全服務能力，實現安全功能按需加載。

首先，安全服務層將各種安全服務抽象為一組安全原子服務。對于不同的安全服務需求，網絡信息安全動態防御體系能夠基于安全服務云平臺采用服務聚合模式，將不同的安全原子服務和所需的安全資源進行按需聚合，形成定制化的安全服務功能。

其次，安全平臺層的基礎傳輸、網絡承載、計算終端、信息服務等安全防護裝備，采用硬件與軟件解耦的軟件定義設計思路，能夠根據業務應用類型、業務通聯關系以及網絡安全態勢等多樣化需求，按需加載定制后的安全服務功能插件，從根本上改變現有安全防護產品功能固化、單一的現狀，實現通過軟件插件來定義和賦予所需的安全服務功能。它的模式如同智能手機下載、安裝、卸載各種“App”應用。

最后，在安全管理層的統一管理控制決策下，安全服務層將聚合的安全服務功能遠程在線下發到可軟件定義的安全平臺上，從而實現安全功能的按需加載。

3.3 智能安全管理

安全管理層采用智能輔助決策技術，能夠在網絡信息系統運行過程中，根據安全服務需求變化和安全態勢的動態變化，結合當前管理保障力量部署、安全策略配置等情況，通過行為深度學習、智能推理決策等手段，快速生成安全服務需求規劃和策略配置方案，從而大幅提升安全管控的自動化、智能化水平，提高安全管理保障的靈活性、有效性和實時性。在交互接口上，安全監測預警為安全管理層提供威脅情報和預警信息。安全服務層接受安全管理層的控制指令，聚合相應的安全服務，下發到安全平臺層進行執行。

3.4 防御體系聯動

網絡信息安全動態防御體系通過對網絡信息系統中的人、設備、數據進行統一安全設計，能夠將安全作為一種基本屬性貫穿到整個通信網絡及其運行流程中。同時，通過安全管理層、安全服務層、安全平臺層以及安全監測預警的聯動，構建形成“監測—決策—響應—防御”的動態防御體系，可實現基于網絡空間態勢的動態防御。“監測”即實時采集系統安全態勢數據并進行融合分析處理，對發現的系統漏洞、違規操作以及網絡攻擊行為等安全風險進行告警。“決策”即安全管理層在安全防御輔助決策技術的支撐下開展安全服務規劃與決策，確定安全服務、安全資源等安全防御調整方案。“響應”即安全服務層根據安全防御調整方案向安全平臺下發對應的安全服務功能，使得安全平臺具備應對安全風險的能力。“防御”即各類支持安全服務功能軟件定義的安全平臺實施安全防御，并上報網絡空間安全態勢，抵抗各種安全風險事件。

4 結 語

在網絡空間安全日益嚴峻的背景下，全面提升我國網絡信息系統的安全防御能力已經迫在眉睫。本文結合新形勢下我國網絡信息系統面臨的安全風險，提出了一種以統一安全基底為基礎、以安全按需賦能為核心、以智能安全管理為保障的網絡信息安全動態防御體系，能夠轉變當前網絡信息系統安全防御靜態、僵化、被動的局面，提升網絡信息系統在多樣化安全需求和強網絡空間對抗下的體系防御能力，從而為重要網絡信息系統安全防御設計提供技術參考。