一、前言
近年来,随着网络信息技术的不断发展,网络攻防对抗日趋频繁,网络安全领域面临一系列新的挑战。一是被保护目标更加多样。社交网络、政企内网、重大活动网络平台、关键信息基础设施等都是网络安全保障体系的保护目标,不同的网络具有差异化的特点和网络安全防护等级需求。二是网络条件和场景环境不断变化。当前网络条件朝着更高速、更广泛、更智能的方向发展,云计算平台更是呈现出不确定的环境状态,网络场景环境呈现规模化、协同化、动态化的发展态势。三是攻击源头和攻击手段更加隐蔽,未知攻击层出不穷。随着攻防技术的持续演化,黑客的攻击手段也不断进化,未知攻击越来越多。高级可持续威胁攻击(APT)因其具有攻击持续性、技术专业性、目标针对性等特点,成为黑客组织广泛使用的网络攻击手段。四是系统保护目标可能不能完全配合保护者提出的相关保护要求。以国际运动赛事为例,比赛用信息系统所有者与保护者通常不属于一个国家,为保密起见,很难按照保护者的要求对其信息系统进行安全整改与加固,甚至可能不会去分享相应的安全信息,这为国际活动的安全保障带来了较大挑战。
目前,我国网络安全保障体系侧重于以“自卫模式”为核心的安全防护理念,依靠强健系统自身的防护能力来解决安全问题,如等级保护、漏洞扫描、护网演练、合规性测评等。然而,这种被动式防御体系存在较多不足之处:一是主动探查能力不足,即防御者处于被动位置,只能在攻击行为发生之后采取措施;二是综合研判能力缺失,即不同开发商的信息系统和网络安全管理平台之间没有建立协同感知威胁情报研判中心,缺乏威胁情报数据的共享,不利于跨平台、跨域进行关联分析;三是协同处置能力偏弱,即隶属于不同机构的网络通常具有不同的安全等级,致使当前我国网络环境没有形成统一、跨设备、覆盖从应用层到网络层的协同处置体系。
以“自卫模式”为核心的网络安全保障体系在实际应用中稍显被动,可通过改变已有的被动防御为主动防御。例如,在2022年北京冬奥会和2023年第31届世界大学生夏季运动会的保障过程中,我国网络安全保障体系需要保护来自不同国家的信息系统,而这些系统的安全防护能力水平不一且无法对其提出额外的安全能力建设要求,使得仅依靠系统自身防护能力的“自卫模式”难以充分发挥作用。因此,在传统“自卫模式”的基础上,探索出一种以“护卫模式”为核心的新型主动安全防御体系,建立了一套集设陷探查、关联研判和应对拦截为一体的联动机制,实现了网络安全“零事故”的记录,提升了我国网络的安全性和可用性。
文章总结当前以“自卫模式”为主的网络安全保障体系发展现状,分析其面临的风险和挑战,在对比“护卫模式”“自卫模式”两种网络安全保障体系建设成本和保障层次的基础上,研判构建基于“护卫模式”的网络安全保障体系的重点任务,提出保障网络安全体系发展的对策建议,为新时期网络安全建设研究提供参考。
二、基于“自卫模式”的网络安全保障体系运行现状
(一)网络安全保障体系
国际上,为应对网络安全领域的挑战,美国等发达国家提出了基于动态保护的主动防御网络安全保障体系。美国在2011年提出“移动目标防御”的概念,通过部署随机动态变化的网络和系统来主动欺骗攻击者、扰乱攻击者视线、诱骗攻击者实施攻击行为,从而使攻击者触发告警,形成网络防御的主动态势。此外,美国国土安全部主导的网络空间安全自动监测项目“爱因斯坦”计划,通过对政府网络的入侵行为进行监测,保护政府网络的安全;经过多年的迭代更新,实现了从被动防御到主动检测、从单一威胁分析到综合威胁分析、从情报分析到情报
共享、从单方负责到多方协同配合的演进。该计划在第一阶段采用网络流量检测引擎和网络流量分析技术,查网络中的可疑行为;在第二阶段,采用入侵检测系统、恶意代码分析技术、安全信息与事件管理系统等构建网络空间信息共享与协作平台;在第三阶段,采用主动入侵防御系统自动检测网络威胁,实现主动网络安全防御。
近年来,美国积极开展对零信任架构的研究和应用。零信任架构假设网络中所有实体和网络流量均不可信,对网络中所有的访问请求都进行细粒度的身份认证;按照最小权限策略严格实施访问控制,以确保访问的安全性,同时访问控制策略随状态变化而动态调整。理想的零信任网络架构核心逻辑组件通常包括策略执行点、策略引擎和策略管理员。当访问主体向策略执行点发送访问请求时,策略执行点将请求转发至策略引擎,策略引擎根据本地和外部的安全策略数据源对本次请求进行评估;策略管理员根据策略引擎的评估结果建立或者拒绝访问主体与资源之间的会话;当会话建立后,访问主体通过策略执行点与资源进行通信,在此过程中策略引擎持续进行信任评估,并将访问策略通过策略管理员转发给策略执行点进行更新;当发现存在风险时,策略执行点可以及时断开连接,起到快速保护资源安全的作用。
在国内,网络空间拟态防御不再追求建立无漏洞、无后门、无缺陷的运行场景和防御环境,
而是通过在软硬件系统中采取可迭代收敛的广义动态控制策略来防御网络空间的各种安全威胁。该策略对当前运行的执行体集合进行不定期的变换,重构异构冗余体,通过虚拟化等技术改变运行环境配置,使系统对外呈现结构上的随机性和不可预测性,从而使攻击者难以再次复现成功的攻击场景。
主动免疫可信计算是一种加强网络信息系统自身防护能力的网络安全保障体系。主动免疫可信计算技术采用运算和防护并行的新计算模式,以密码为基因进行身份识别、状态度量、保密存储,在统一管理策略支撑下对数据信息和系统服务资源进行可信检验判定,及时识别“自己”和“非己”成分,从而破坏和排斥进入机体的有害物质,为网络信息系统培育免疫能力,进而实现智能感知的主动防御。主动免疫可信计算技术适用于服务器、终端和嵌入式系统,可在行为源头判断异常并进行防范,实现已知病毒不查杀而自灭、未知病毒免疫抵御及利用未知漏洞的攻击;在结构上,可采取在处理器内部构建可信核模块、外接可信插卡、在主板内增加可信系统级芯片等方式安装防护部件,保障网络信息系统的安全。
(二)威胁探测
在网络威胁感知方面,当前以“自卫模式”为主的网络安全保障体系通常采用基于蜜罐技术的
欺骗防御策略。HoneyToken是基于蜜罐技术的典型欺骗防御策略,其本质是对攻击者感兴趣的目标进行去价值化伪造,如访问链接、文档、可执行文件、数据库入口等。Honeyfile在Doc、PDF等格式的文档中嵌入可追踪和自动回溯的脚本代码,当攻击者打开文档时即可发送报警信息给Honeyfile的所有者。HoneyDatabase通过故意设置存在漏洞且包含大量伪造机密信息的数据库来吸引攻击者访问。HoneyCredential通过故意泄漏系统登录凭据来诱惑攻击者使用该凭据进行身份认证。HoneyAccount通过故意泄漏类似管理员账号的方式来吸引攻击者登录,—旦该账号登录即判定为入侵行为并采取安全应急响应措施。
发表评论