基于知識服務的網絡空間安全戰略風險管理研究*

陳劍鋒，楊例鋼，陳天瑩

（1.中國電子科技網絡信息安全有限公司，四川 成都 610041；2.網絡空間安全四川省重點實驗室，四川 成都 610041；3.陸軍邊海防學院昆明校區，云南 昆明 650000）

0 引言

隨著人類信息化技術的進步，網絡空間逐步形成并發展，同時與傳統的陸海空天等物理空間相互滲透，形成了虛擬與現實交織的人類生產生活的新空間。在網絡空間的賦能和媒介作用下，人與人、人與物、物與物的關聯越來越密切。虛擬的服務、個體甚至社會持續繁榮，對國家政治、經濟、文化、社會以及國防等領域的作用和影響不斷增強。但與此同時，世界范圍內網絡安全威脅和風險也日益突出，成為國家安全的全新挑戰[1]。

網絡空間的安全風險主要歸因于承載信息生成、交換、存儲、共享和使用的網絡底層設備、操作系統及高層應用自身固有的難以消除的脆弱性，促使攻擊者因利益、使命或其他動機發起了各類攻擊行為。對于網絡空間安全風險，就受害目標而言，包括網絡基礎設施、終端及計算平臺、系統及終端服務、數據及數字資產和認知及網絡社會等領域；就作用影響而言，它包括導致系統完整性、信息機密性、服務可用性，以及物理設施、社會系統、聲譽信用被破壞的諸多潛在能力；就利用方式而言，有的攻擊強度高，有的攻擊范圍大，有的隱密程度高，有的甚至集成了多個尚未披露的高價值漏洞，具備干擾國家政治、經濟和國防運行的效果。基于風險存在的客觀性與普遍性，開展安全防御、預警和防范工作應圍繞面臨的風險進行識別和分析，從而提升安全資源投入的效率和收益。

本文將探索網絡空間戰略風險的定義、特征、檢測和評估機制。第1 章將簡要介紹網絡空間風險要素和戰略性風險；第2 章討論網絡空間戰略風險評估與預警的數據來源及運行機制；第3 章設計了一個可實用的基于知識服務的層次化網絡空間安全戰略風險管理系統；第4 章總結全文。

1 網絡空間戰略風險

1.1 網絡空間風險要素

維護網絡安全首先要知道風險在哪里，是什么樣的風險，什么時候發生風險。沒有意識到風險才是最大的風險。網絡空間風險通常是指由人或自然因素導致的網絡安全系統的脆弱性、面臨的威脅以及脆弱性被威脅資源利用后所產生的實際負面影響，包括在物理環境、網絡結構、系統平臺、應用服務以及數據資源等層面存在的技術、管理脆弱性因素。如同物理空間通過雷達對空天目標、來襲武器進行監視和預警一樣，網絡空間也需要密切關注風險的產生、變化和發展。越早識別風險、檢測到風險，就能越早清除風險，從而把風險造成的危險降到最低。

網絡空間的物理域風險指環境、場地、周界和設備安全風險；邏輯域風險指網絡協議、計算平臺和軟件服務安全風險；認知域風險指數據隱私、機密信息和數字資產安全風險；社會域風險指意識形態、社會認知和網絡文化安全風險；跨域安全風險指在兩個或多個域之間因傳導、擴散導致的衍生式、級聯式安全風險，有可能對某一個域施加影響，而在另一個域顯現。網絡空間廣泛相聯的網絡、計算和應用基礎設施是一把雙刃劍，既便利了使用者，又便利了攻擊者。連接無處不在、數據無處不在、服務無處不在的便利性更容易為攻擊者所利用，因此“攻擊無處不在”成為網絡空間設計者必須面對的現實。

在風險成因中，動機是攻擊者發起的意愿，脆弱性是系統存在可被攻擊的入口，而連接是攻擊者訪問到這一入口的可能性，三個條件缺一不可。攻擊者依托既有的工具、能力和經驗，在一定的時空條件下針對網絡空間目標發起基于“發現—定位—跟蹤—瞄準—打擊—評估”殺傷鏈的敵對行動，從而獲取巨大的經濟、政治和軍事利益。

1.2 網絡空間戰略風險

網絡空間主流的攻擊對抗方式具備廣維度、多目標、高烈度、短猝發以及強隱蔽等特點，為安全防護帶來了極大的復雜性和不確定性。在攻擊事件和活動中，網絡空間既可能成為直接或間接的攻擊目標，也可能是攻擊的載體和媒介而使其他陸海空天空間成為攻擊目標。在不同的攻擊者能力大小、不同的攻擊發起時機、不同的防御者應對能力和不同的資產重要等級配比下，風險的規模、水平、發生概率和破壞能力具有顯著的差異化。

與危害較輕的“戰術級”風險相比，網絡空間安全“戰略性”風險一般在核心性、結構性以及系統性上具有鮮明的特點，可能對全球網絡空間及關聯空間的結構、功能、組織造成顯著破壞，給目標系統造成綜合或連鎖反應影響，甚至導致國家關鍵信息基礎設施癱瘓、重要數據資源泄露、經濟金融紊亂以及工業生產停擺等嚴重后果。

網絡空間安全戰略風險的顯著特點包括體現國家意志、蘊含重大破壞、跨越巨大時空以及持久負面影響4 個方面。

（1）體現國家意志。需要國家級平臺和資源作為實施條件，是有組織、有目的的長期對抗設計。風險背后操縱者的意圖、動機和意識形態較為明顯。

（2）蘊含重大破壞。融合網絡空間安全威脅的基礎性、長期性、全面性和強對抗性屬性特點及發展規律，可對重要網絡、關鍵基礎設施和高價值目標造成難以估量的損失。

（3）跨越巨大時空。在時間角度，風險的產生需要一定的預備時間和歷史、技術條件。在空間角度，不僅對網絡空間本身構成風險，也對關聯的其他空間帶來了危害。

（4）持久負面影響。風險的檢測、發現與處置抑制，通常需要在較高的技術積累、產業規模和資源投入水平上與多域力量協同聯動才能夠有效實施，且風險影響在很長一段時期內都難以消除。

戰術風險的識別和防范是網絡安全主動防御的一項具體任務，而戰略風險的檢測、控制和防范是一項體系工程，需要將傳統風險理論和方法向網絡空間拓展、延伸和有機融合，深化對戰略風險的定義、識別機制、方法研究和深入實踐。

管理網絡空間安全戰略風險的首要環節是評估與預警。網絡空間安全評估是確定防護對象及重要資產的安全威脅和脆弱性，并估計可能由此造成的損失或影響的過程。網絡空間安全預警是通過數據采集、關聯分析和研判決策，對潛在或正在發生的圍繞網絡空間的攻擊和威脅活動進行識別、分析、預測和告警的技術和活動集合。科學評估和有效預警通過把握安全風險發生的本質與規律，準確預測風險的性質、特點、動向和趨勢，從而盡可能為聯合處置力量組織防御和響應爭取時間。

2 網絡空間戰略風險評估與預警

2.1 數據化風險預警體系

在當今充分數字化和信息化的世界，特別是網絡空間環境中，任何行為與活動都不可避免地留下了痕跡，形成了可供追蹤的碎片化信息。盡管安全事件的發生具有一定的隨機性和不確定性，但事實上在不同的網絡空間場所存在大量的誘因和線索。各類與網絡空間安全風險相關的數據能夠以“拼圖”方式還原安全事件的歷史信息，為態勢感知、早期預警和應急響應提供支撐。網絡空間安全風險預警的數據化、情報化是在新的威脅形式和對抗環境下，提升風險辨識、認知和預警能力的必然選擇。

網絡空間風險預警體系的運行以大數據基礎設施為載體，以數據和信息的采集、匯聚、分析、運用為前提和條件。整個體系突出數據和證據在網絡空間戰略風險研判中的重要作用，以及組織、技術、人員、投資以及策略所產生的風險在全球尺度網絡空間格局中的反映，體現出在復雜時空條件下網絡與信息系統安全保障的能力需求[2]。從整體上看，基于數據資源的獲取、數據內涵的提煉、數據關聯的建立和數據價值的挖掘，分析主要戰略對手、合作伙伴和技術團體在網絡空間安全發展、利用、治理、保障和掌控等相關的活動，以此調整相應網絡空間戰略、技術、機構和力量關系，在人員、策略和技術3 大要素的作用下，以人員為核心，以策略為橋梁，以技術為保證，使安全目標成為安全現實。

2.2 風險數據的來源

網絡空間戰略風險數據的來源非常廣泛。從采集途徑看，它主要包括政府官方發布、研究型智庫發布、安全企業發布、網絡安全研究者、惡意團伙發布或系統設備主動上報的不同來源數據。從形式上分，它主要包括威脅情報、日志、協議類結構化信息和文本、視頻、音頻、網頁等非結構化和半結構化信息。從描述的內容看，它主要有動向型、技術型、事件型、漏洞型、資源型和綜合研究型[3]。

威脅情報（Threat Intelligence）是戰略風險研判重要、規范的結構化數據來源，包括情境、機制、指標、暗示和可供操作的建議，通過描述正在發生或者即將出現的針對網絡空間資產的威脅或危險，能夠被用于通知相關主體對這些威脅或危險做出響應決策[4]。兩個比較流行的威脅情報格式包括結構化威脅信息描述語言（Structured Threat Information Expression，STIX）和ATT&CK（Adversarial Tactics，Techniques，and Common Knowledge）。其中，STIX 是為威脅情報采集、分析和交流而設計的一種語言，以結構化的方式來支持更有效的網絡威脅管理流程化和應用自動化。許多企業已經支持通過STIX 進行威脅情報和安全知識的共享。ATT&CK是由MITRE 公司提出的站在攻擊者的視角來描述攻擊中各階段用到的技術的模型，主要應用于評估攻防能力覆蓋、APT 情報分析、威脅溯源及攻擊模擬等領域[5]。

非結構化數據的來源相對更為廣泛，包括用各種語言文字存儲的互聯網網頁、文檔、電子書、出版物、智庫報告、博客、微博、論文、簡報、內參和各類數據庫等。機器學習、網絡爬蟲、智能圖像分析研究自然語言處理等人工智能技術在數據的獲取過程中廣泛應用，使得大規模、高質量、多樣化且極具戰略風險情報價值的信息能夠被及時發現和記錄。非結構化數據在使用中需統合多個來源和多種格式，將其轉化為統一的戰略風險知識表達形式，在保留原始信息的同時，便于知識檢索、管理、查找和推理。

2.3 風險數據的組織與管理

知識和情報的價值在于傳遞和共享。戰略風險信息內在結構復雜，內容豐富，用法多樣，受眾廣泛。為了最大限度地節約使用者的資源和精力，它的處理過程必須盡可能自動化，從而對機器與機器之間實現情報內容的可讀、可理解的規范化交換提出了迫切要求。目前，無論是威脅情報的共享交換還是文本、多媒體數據的自動化處理，都需要建立統一的風險描述框架和語言體系，核心是將關鍵數據和信息本體化。本體通過減少概念和術語上的歧義，為使用不同語言、具有不同背景和目的的個體提供一致性的框架和語義模型，從而使不同組件間的理解和交流成為可能。本體的這種特性使得它尤其適用于戰略風險情報這類概念眾多、關聯復雜、更新迅速以及信息共享需求迫切的場景。

2.4 風險數據的決策和應用

根據不同的風險管理與控制需求，戰略風險評估將包括3 類具有不同時效性的預警輸出。

（1）直前預警是最緊迫、最現實的預警樣式，針對的是已發生或很快發生并即將造成破壞的戰略風險。通過網絡入侵檢測、行為審計系統采集監測異常行為信息進行分析，對高價值基礎設施或重要系統等關鍵部位發出預警。

（2）近期預警是前瞻性、強證據的預警樣式，針對的是未發生但很快蔓延或有發起跡象的攻擊。基于監測全球僵尸網絡構建、蠕蟲病毒傳播、黑客組織活動等戰略風險的推理分析，需不斷修正以提升精確度。

（3）中長期預警是預防式、預見型的預警樣式，針對的是未發生但潛在重大影響或長期趨勢的戰略風險。它以人員參與的深度研判為主，包括識別系統、體系性的后門、風險和缺陷，同時需盡早布局封堵，防止未來被對手利用。

直前預警的響應手段包括關閉系統、終止服務、封堵端口、更新規則、修改配置、安裝補丁、啟動蜜罐、隔離網絡以及增添安全設備等，強調響應的快速、精準和有效。近期預警的響應手段包括安全機制調整、大范圍安全策略更新、惡意代碼溯源反制以及安全運維組織建設等；中長期預警的響應手段則需要調動更廣泛的安全力量和資源推動實施，包括轉移安全戰略、發布規章制度、推動技術研發以及促進產業發展等。如何響應不同層級的戰略風險取決于先前制訂的安全目標和防御策略。依據希望達成的安全能力水平，對風險進行篩選、評估和優先級劃分，以目標為導向，以數據為驅動，以情報為線索，以資產為中心，在實踐和運行中不斷改進[6]。

3 基于知識服務的風險管理系統

知識是人們在改造客觀世界的實踐中積累起來的認識和經驗，是一切智能行為的基礎。網絡空間由海量實體及其間的關系構成。不同的實體功能差異巨大，實體間聯系的方式也千變萬化。因此，建立網絡空間安全領域知識概念、術語、能力及事件描述，構建安全知識元數據的定義、分類、描述語言及規范，研究表征網絡空間安全風險、脆弱性、安全防護能力等的指標體系及計算模型，能夠提高安全知識管理、知識查詢以及知識共享方面的效率，進而為安全事件的快速分析與定位提供高效的數據支撐能力[7]。

網絡空間戰略風險管理中知識的服務化體現在兩個層面。一方面，從原始數據到安全信息再到安全戰略風險預警，知識的表達、聯系、共享和推理作用對于有效預警的形成至關重要。需要通過一致的、無歧義的知識表示和組織方式提升數據的質量和指向性，并在研判和印證過程中借助安全專家的知識和歷史經驗進行輔助判定，以提升準確率。另一方面，系統內的風險知識能夠以服務化的方式對外提供。這種高質量、內容一致、實時性強的知識可以以用戶選擇的方式按需調用，或是無縫集成至用戶的系統流程中。多個戰略風險評估系統節點間可以加強信息共享和系統聯動，形成全方位、大縱深、多層次的網絡空間的持續、全面戰略風險觀測與預警能力。

基于知識服務的風險管理體系結構如圖1所示。

圖1 基于知識服務的風險評估體系

基于知識服務的風險評估體系給出了與戰略風險相關的安全信息采集、融合、分析、檢測、管理、運維等相關技術的層次化支撐依賴關系。網絡空間戰略風險評估由位于網絡空間各個位置、以不同方式運作、完成不同任務的組件、模塊、代理等構成。這些組件承擔信息采集、傳播、路由、計算、存儲或分析等功能。在一致的協同交互協議的聯系下，各組件自身的任務和活動能夠從整體上得到有效調度、協調和并發控制，且對外展現出安全信息采集、存儲、管理、維護、加工和利用一體化，體現模塊間的無縫集成，從而在戰略風險預警的有效支撐下，推動信息安全體系主動防御、快速反應、妥善處理以及聯動服務等進階能力的形成。

數據平臺及處理模塊對多個不同來源的數據進行整編、映射和均一化處理，可支持多個來源和多種格式數據，并將其轉化為統一戰略風險知識框架表達。數據的具體組織形式為網狀關聯數據、規則數據、模型數據等，為戰略風險預警體系提供知識檢索、知識推理計算、知識存儲及管理能力。數據平臺及處理模塊在運行中，按照戰略風險數據處理的應用類別不同，將計算任務分為離線計算類、機器學習類、實時計算與推理類，同時利用多種分布式計算引擎，結合知識模型對數據的約束和合并規則，對各類結構化及非結構化的信息資源進行相應處理，將分析處理后的中間結果數據提供給知識服務或業務系統中進行復用[8]。

數據服務子系統以使用者的業務目標和習慣為驅動，在風險數據的時效周期內實現情報按需、順暢、安全共享。知識服務提供的情報內容、類型、及時性、數據來源、可信度、適用范圍、服務方式、增值業務、使用難易度、價格、服務質量以及響應速度等能夠進行相應調整，從而幫助需求方制訂安全戰略、更新安全策略、調整安全規則或配置安全資源等。

網絡空間安全戰略風險服務方式包括主動情報分發方法和被動情報分發方法兩類。

（1）主動情報分發方法。基于安全戰略風險內容與用戶需求屬性的關系，向用戶分發相關數據。在產生新信息后，情報生產者根據安全威脅信息的匹配度，將風險數據推送到相應的使用者。主動分發方式能夠確保時效性，使得最緊急、最關鍵的情報能在第一時間到達接收者，以指導響應工作的進行。

（2）被動情報分發方法。它是需求驅動的情報分發方法。戰略風險情報提供者將可供選擇的情報種類以服務方式在門戶公開發布，用戶根據自己的需求查找相應的內容，隨后用系統提供的指定接口進行訪問。

以知識化本體結構表達的戰略風險情報采用易于被計算機分析和處理的知識表達及信息組織模式，有利于使用者在接收后使用面向本體結構的查詢語言如SPARQL 等，完成在傳統關系型數據組織方式中難以實現的復雜推理，迅速獲取在當前場景中最適合自己使用的知識，完成后續響應動作。

4 結語

基于知識服務的網絡空間安全戰略風險管理將知識工程、戰略風險研究與網絡空間安全具體技術結合，能夠為解決網絡空間風險控制和防御實踐中新涌現的難點性問題提供有力支撐，是IT 信息技術過渡到DT 數據科學的典型應用領域。在戰略風險信息的獲取和共享，以及更高層次的分析、展現和決策輔助中，情報生態環境的建立和維系十分重要。在支撐平臺及服務建設的基礎上，應完善圍繞平臺應用的戰略情報業務流程，常態化保障原始數據的來源、質量和實時性，提升知識利用的層次和效率，實現網絡空間安全戰略信息優勢的建立和保持。