《构建新型网络空间安全生态体系.docx》由会员分享,可在线阅读,更多相关《构建新型网络空间安全生态体系.docx(13页珍藏版)》请在优知文库上搜索。
1、一、引言随着我国网络空间应用的不断普及以及对网络空间依赖程度的不断增加,网络空间安全性问题益凸显,中国在网络空间内所面临的现实和潜在威胁也不断提升。网络空间安全问题已成为国家心腹大患,严重威胁到国家安全。正如习主席指出的:“没有网络安全,就没有国家安全。在网络空间安全领域,我国目前所面临的主要现实问题可概括为:欺诈多发,攻击猖獗,网络安全形势严峻;持续监控难以实现,被动封控效果有限;产业薄弱后门敞开,供应链受控于人;防御分散响应缓慢,攻防管控各自为战;溯源反制基础薄弱,网络空间威慑无从谈起。而世界一些发达国家在网络空间安全领域形成了巨大的技术优势,并将在网络空间的这种技术优势适时转换为产业优势
2、,通过技术出口、产品供给、市场垄断,获得种植后门和隐匿漏洞的卖方优势,进而在网络空间取得信息单向透明和行动绝对自由的战略优势。这种情况导致在相当长时期内我国的信息化建设不得不使用“有毒带菌的构件,并且在相当长时期内网络空间安全体系也不得不基于“有毒带菌环境来构建。面对复杂多变的网络空间安全形势,我们必须开拓创新、敢为人先,提出切实有效的网络空间安全应对策略,有力支撑建设“战略清晰、技术先进、产业领先、攻防兼备的网络强国战略目标的实现。二、分而治之的网络空间安全应对策略网络空间安全问题层次多样、错综复杂,应优先关注影响国家政权稳定、经济发展、军事安全的重大网络空间安全问题,即国家层面的网络空间安
3、全问题。另外,不同类型网络特点不尽相同,安全诉求也不相同,因此解决的重点和思路也不尽相同,必须采取分而治之的网络空间安全应对策略。(一)三大网络空间特点与安全需求分析公共互联网(C空间)、党政军保密网(S空间)和关键基础设施网(K空间)这三类网络功能不同,各有特点。如图1所示,公共互联网是指全球连通的网络,威胁来源广泛,具有开放、互联、技术体系国际通用等特点,是网络空间攻防博弈前沿阵地。党政军保密网是指对国家主权具有重要影响的军事、政治、外交等网络,它是行使国家独立主权、维护国家安全的核心系统,承载国家重要秘密信息,是网络空间信息安全固守阵地。关键基础设施网是指对国家利益具有重要影响、对外开放
4、的网络,与公共网络互联,并支持国家关键基础设施(电力、交通、金融、工控)运行,是网络空间防御主战场。Sspace三类网络的特点不同,安全需求也有区别,如表1所示。公共互联网主要要求保障关键服务安全可控,维护网络空间良好生态、保障公民网络空间合法利益、提高网络安全态势感知和预警处置能力及网络安全监管能力等。党政军保密网主要要求国家秘密信息万无一失,确保政治、外交、军事行动任务的成功开展。关键基础设施网主要要求国家关键基础设施正常运行,保障关键应用可信安全,确保我国能源、交通、金融等核心应用的正常运行。表1三类网络不同的安全需求SubspaccSecurityrequirementEflcctto
5、achieveCspace healthyandorderlyCybenipaCCsecurityecosystem CriticalservicesensuredandtrustedIllegalactsmustbecaughtSspace Absolutesafetyfoeimportantnationalsecrets SecureandmanageablecriticalinformationSensitiveinformationremainsunrevealedKspace Properoperationofcriticalinfrastmciurc Secureandreliab
6、lecriticalapplicationsCoreservicesarcimpregnable(二)安全应对策略根据我国的现实情况,我们提出网络空间”三分论的思想,即把网络空间分为公共互联网、党政军保密网、关键基础设施网共三大类。这三类网络的特点、安全需求差异明显、各有侧重,因此,应因地制宜,利用分而治之的应对策略,从易到难、彻底解决我国网络空间存在的问题。以三大网络空间划分为基础,本文给出网络空间安全研究框架如图2所示。对于公共互联网空间,其对应的安全策略是构建网络空间安全生态体系,确保互联网服务安全;对于党政军保密网,其对应的安全策略是构建自主安全网络,确保信息安全,严防信息泄露;对于关
7、键基础设施网,其对应的安全策略是构建固若金汤的主动安全防护体系,确保应用安全。同时,网络空间安全一体化战略还必须依托三大支撑平台,即全域(从互联网数据到安全威胁情报)的信息共享平台、统一的身份认证平台、综合的试验评估平台来加以实施。EcosystemServicesecurityCspaceSspaceHomemadenetworksInformationsecurityKspaceActiveprotectionApplicationsecuritySupport*Informationsharing,identityauthentication,andtesting&platformeva
8、luation图2网络空间安全研究框架综上所述,必须统筹区分公共互联网、党政军保密网络、关键基础设施网络三类网络的不同需求,有针对性地开展研究攻关。对于公共互联网,借鉴生态和免疫的思想,发展网络空间生态体系协同能力,加强网络治理、管控和防护,形成态势感知、持续监控、协同防御、快速恢复和溯源反制的联动协同处置能力。对于党政军保密网,采用本质安全的思想,通过研制新型安全网络和计算架构,实现产业链重要产品的自主、可控、安全、可信,杜绝隐患,捍卫国家核心利益,形成自主可控的安全防护能力。对于关键基础设施网,利用动态博弈的思想,实现网络主动防护体系,通过纵深、动态、弹性的网络安全防护手段,形成层层限制、
9、抵御攻击,增加攻击代价,保障核心业务,快速状态重置的主动防护和应急恢复能力。下面,我们主要针对公共互联网的安全需求讨论网络空间安全生态体系构建设想。三、网络空间安全生态体系由于我国公共互联网空间面临多种多样的安全威胁,所以不能依靠单一的网络安全防御技术确保网络空间的安全性,而应该能够根据外界环境自我调节、协调安全能力,保证网络系统正常运行。即通过跨域协同共享建立全域监测、主动防护、快速反应、精准溯源的大协作机制,构建新型的网络空间安全生态体系应对安全威胁,将安全威胁消灭在初期状态。在这一网络空间安全生态体系中,各种安全手段将成为内置网络属性,网络节点之间通过协同方式交换可信信息、共享安全策略,
10、调配不同的安全手段,形成针对不同事件的安全处置能力,达成期望的网络空间安全服务,如近实时阻止网络攻击、限制攻击传播范围、最小化攻击危害程度、快速恢复网络状态等。因此,本文提出了一种基于SMCRC(SitUatiOnaWareness,monitoring,cooperativedefence9recovery,COUmermeaSUre)环的网络空间安全生态体系,如图3所示。该体系中,通过身份认证、信息共享、试验评估三大基础支撑平台将态势感知、持续监控、协同防御、快速恢复、溯源反制等多项网络安全功能进行有机整合,形成网络安全动态生态体系,确保网络舆情有序管控、用户隐私安全可控、网络设施可信受控
11、、安全事件溯源能控。CyberspasecurityecosystemInfonnationGlobalsensingandprecisemappingAccuratetracebackandCountermeasurdeterrenceCyberspacejFIdentityauthenticateCooperativedefenseTesting&evaluationContinuousdetectionandactivemanagementAutonomousresponseandrapidprocessingCross-domainoperationandsystematicdefen
12、se图3基于SMCRC环的网络空间安全生态体系(一)网络空间安全生态体系的功能特点SMCRC环是个有机的整体,数据在环中流动起来,可将整网安全资源配置合而为一,形成彼此互相支撑的统一安全生态环境。在SMCRC环中,五个核心功能和三大基础支撑平台缺一不可。(1)从环的角度来说:S(态势感知)为M(持续监控)提供感知数据支撑;M为C(协同防御)提供预警信息;C是R(快速恢复)的前提,为自动响应与快速处置提供保障;R为C提供攻击样本数据库,使其可以做到精确溯源,从而实施反制威慑;C返回来又为S(态势感知)提供获取网络入侵方的情报内容及反制结果信息,从而丰富全球感知与精确测绘的内涵。(2)从平台支撑角
13、度来说:要使环流动起来,需要建设信息共享、身份认证、试验评估三类基础平台进行支撑。三大平台可为SMCRC环系统构建提供如下支撑能力:提供数据实时采集能力,为不同部门、领域、机构提供统一的网络数据服务和威胁情报共享服务;确保网络各参与方身份可信,支持网络空间安全身份统一管理,提升取证、溯源、归因、防御、定向威慑能力;提供统一的试验、测试、评估、认证环境和攻防演练等相关服务,确保网络安全技术、产品的有效性和实用性。(二)安全生态体系内在信息交互对于安全生态环境来说,各组成部分之间的相互作用是无时不在、无处不在的。因此,SMeRC环中各部分数据流没有严格的流向限制。例如,态势感知的数据可直接发送到溯
14、源反制使用;持续监控的结果可为快速恢复提供参考。SMCRC环诸要素之间的信息交互矩阵如表2所示。表2SMCRC环诸要素之间的信息交互矩阵SituationawarenessMonitoringandmanagementCooperativedefenseResponseandrecoveryCountenneasurcsandIraccbackSituationawarenessSituation-awarenessdataThreatdataThreatdataReconnaissancedataMonitoringandMonitoringresultEarlywarninginforma
15、tionDamageinformationMonitoringdatamanagementCooperativedefenseDefensemultManagementandcontrolResponsetimeDatasupporttimeResponseandrecoveryResponseresultResponseresultResponseresultAnaCksampleCountcmKasurcsandAttributionresultCountcnncasurcresultDCfbnSCsupportResponsetothreatIraccback四、SMCRC环关键技术体系围绕公共互联网的具体安全需求,建设网络空间安全生态体系SMCRC环需要解决以下关键技术。(一)态势感知一一全球感知、精确测绘针对我国网络态势掌控能力囿于国内、无法及时发现高级持续性威胁(advancedpersistentthreat,APT)类攻击以及网络资源测绘能力限于公网的问题,我们认为态势感知技术应从数据全域获取、网络深度探测这两方面入手,重点关注全球感知和精确测绘