1.5 新形勢下的網絡空間安全
當前人工智能、大數據、云計算與物聯網發展迅猛,而這些領域都與網絡空間安全有緊密的聯系。
1.5.1 人工智能與網絡空間安全
隨著人工智能和網絡空間安全技術的飛速發展,這兩個領域逐步交織、融合。一方面,人工智能技術已經逐步成為解決網絡空間安全難題的重要手段,網絡安全領域的專家采用人工智能技術來應對越來越復雜的網絡攻擊;另一方面,人工智能技術本身具有一定的脆弱性,這帶來了樣本攻擊等新的漏洞,甚至由于缺乏必要的約束機制,引發了人工智能技術威脅人類的擔憂。“沒有網絡安全,就沒有國家安全。”近年來,人工智能也逐漸被提升到國家戰略的高度。2017年,人工智能首次被寫入政府工作報告,提出要加快人工智能等技術的研發和轉化。對這兩個領域的融合與發展進行梳理,有助于發現一些解決問題的新思路,更好地推動國家戰略的實施。
人工智能技術被網絡安全領域的專家用來應對越來越復雜的網絡攻擊手段。人工智能可以被用于用戶行為分析、網絡流量分析和入侵檢測、網絡終端反惡意軟件、Web應用防火墻或數據庫防火墻,以及商業流程反欺詐檢測等。人工智能成為網絡安全人員的輔助工具,基于人工智能技術的網絡安全自動化分析能夠在海量信息中篩選出有價值的信息,極大降低安全人員的工作壓力,提高其工作效率。基于人工智能的漏洞挖掘技術,同樣也可以被用于軟件的惡意攻擊過程,還可以實現漏洞修復與攻防對抗。
1.5.2 大數據與網絡空間安全
網絡空間已成為國家安全博弈的主渠道、主戰場、最前沿,不僅網絡控制、諸多病毒感染、網絡犯罪猖獗等威脅嚴重,而且“震網攻擊”“顏色革命”的接連登場,已經勾畫出新威脅的“猙獰”面孔,標志著網絡空間主體威脅完成了從“壞小子作惡”到“大玩家作戰”的升級變種,網絡戰爭悄然走來。面對多重威脅并存,當務之急是要研發與建設基于大數據的新型國家網絡空間安全態勢感知預警平臺,全面感知和掌控要害領域安全態勢,以此來支撐網絡治理、預防網絡戰爭、捍衛國家網絡主權、把握網上斗爭主動權。
基于大數據的國家網絡空間態勢感知預警平臺,可以實現的核心功能應是:大數據實時分析、大數據快速統計報表分析、網絡流量元數據存儲與原始流量還原分析、歷史數據的關聯分析和溯源、攻擊路徑分析、威脅情報管理與共享、海量數據的可視化展示等。這些核心功能,實現了網絡空間態勢流變的“知己知彼”,為掌控網絡主權、治權和發展權提供了客觀依據。
具體而言,感知預警平臺能充分運用大數據技術,通過對海量、多樣化的態勢信息數據深入挖掘和搜集,感知整個網絡空間的安全態勢變化,發現安全事件內在的關聯性,對未知安全威脅做到提前預警,降低安全風險,實現最佳安全防護,提升整體安全防御能力,并不斷拓展智能分析能力、自動化響應處置能力,形成集感知、溯源、分析、堵漏、控制、預警、防御、威懾等整體聯動功能于一身的系統利器,擔負起全面感知、全面監控、評估預警、釋放威懾、積極防御、應對戰爭等使命任務,提升國家對網絡空間安全的掌控能力。
盡早發現重大威脅,防患于未然。復雜的網絡空間隱蔽著軍事化、情報化、政治化暗流,陡增了有組織、有預謀的網絡攻擊,安全威脅的廣度、深度、強度和發現的難度前所未有。利用大數據新型感知預警平臺強大的數據挖掘和分析能力,可以使安全態勢及其成因了然于胸,大勢在握,偶中識危,及時發現諸如有國家背景的高持續性威脅(APT)及網絡戰爭苗頭,做到知己知彼、掌握主動、應對及時,防患于未然。
1.5.3 云計算與網絡空間安全
云計算是一種以互聯網為基礎的面向服務的計算,按需服務,計量收費,為用戶提供豐富的服務。
云計算的服務總體上可分為3層:基礎設施即服務(IaaS),用戶可以租用云計算的硬件服務器等基礎設施;平臺即服務(PaaS),用戶可以租用云計算的軟件開發平臺,開發自己的個性化定制軟件;軟件即服務(SaaS),用戶可以租用云計算的應用軟件。云計算旨在使計算像水、電和油一樣,成為公共基礎資源。用戶只需要向云計算管理機構購置服務,而不需要自己購置硬件基礎設施、軟件開發平臺和應用軟件,極為方便,極大地降低了用戶的成本。
但是,面向服務的計算在工作模式上必然是資源共享,而資源的共享將引發諸多信息安全問題。例如,基礎設施和平臺安全問題,云計算有幾乎無限的計算資源(基礎設施、平臺和軟件),但是用戶不知道這些資源是否可信;服務安全問題,云計算有幾乎無處不在的服務,但是用戶不知道這些服務是否可信;數據安全問題,云計算有幾乎無限的存儲空間,但是用戶不能感知自己數據的存在,不知道自己的數據存儲在哪里,更不能控制自己的數據。用戶對云計算不信任也就成了影響云計算廣泛應用的主要原因。
可信計算是一種旨在增強計算機系統可信性的綜合性信息安全技術。而且,可信計算特別適用于提高信息系統的基礎設施和平臺的可信性。因此,采用可信計算技術增強云計算和大數據系統的可信性成為一種必然的選擇。
為了確保云計算的安全可信,人們提出了可信云計算的概念。所謂可信云計算,是指將可信計算技術融入云計算環境中,構建可信云安全架構,向用戶提供可信的云服務。
1.5.4 物聯網與網絡空間安全
物聯網(Internet of Things,IoT)是新一代信息技術的重要組成部分,也是“信息化”時代的重要發展階段。物聯網就是物物相連的互聯網。這有兩層意思:其一,物聯網的核心和基礎仍然是互聯網,是在互聯網基礎上延伸和擴展的網絡;其二,其用戶端延伸和擴展到了任何物品與物品之間,進行信息交換和通信,也就是物物相息。物聯網通過智能感知、識別技術與普適計算等通信感知技術,廣泛應用于網絡的融合中,也因此被稱為繼計算機、互聯網之后世界信息產業發展的第三次浪潮。
隨著網絡的高速發展,互聯網安全的弊端也逐日呈現。而物聯網是以互聯網為基礎延伸的產物,網絡安全也成為物聯網安全風口。
拓展閱讀:
目前,物聯網安全主要表現在以下8個方面。
(1)隱私安全
物聯網核心技術采用射頻識別(RFID),RFID標簽被嵌入智能硬件中,硬件設備的擁有者就會被掃描、定位和追蹤。智能產品一旦被黑客攻擊成功,這些隱私信息就會被窺視、竊取。
(2)智能感知節點自身的安全問題
由于物聯網的應用可以取代人來完成一些復雜、危險和機械的工作,所以物聯網機器/感知節點多數部署在無人監控的場景中,攻擊者可以輕易地接觸到這些設備,從而對它們造成破壞,甚至通過本地操作更換機器的軟硬件。
(3)假冒攻擊
由于智能傳感終端、RFID電子標簽相對于傳統TCP/IP網絡而言是“裸露”的,再加上傳輸平臺是在一定范圍內“暴露”在空中的,“竄擾”在傳感網絡領域非常頻繁,并且容易。傳感器網絡中的假冒攻擊是一種主動攻擊形式,它極大地威脅著傳感器節點間的協同工作。
(4)數據驅動攻擊
數據驅動攻擊是通過向某個程序或應用發送數據,以產生非預期結果的攻擊,通常為攻擊者提供訪問目標系統的權限。數據驅動攻擊分為緩沖區溢出攻擊、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊等。通常向傳感網絡中的匯聚節點實施緩沖區溢出攻擊是非常容易的。
(5)惡意代碼攻擊
惡意程序在無線網絡環境和傳感網絡環境中有無窮多的入口。一旦入侵成功,再通過網絡傳播就變得非常容易。它的傳播性、隱蔽性、破壞性等相比TCP/IP網絡而言更加難以防范,如類似于蠕蟲等的惡意代碼,本身不需要寄生文件,在無線網絡和傳感網絡環境中檢測和清除這樣的惡意代碼將很困難。
(6)分布式拒絕攻擊(DDoS攻擊)
DDoS攻擊多數會發生在感知層安全與核心網絡的銜接處。由于物聯網中節點數量龐大,且以集群方式存在,因此在數據傳播時,大量節點的數據傳輸需求會導致網絡擁塞,產生拒絕服務攻擊。
(7)物聯網的業務安全
由于物聯網節點無人值守,并且有可能是動態的,所以如何對物聯網設備的遠程簽約信息和業務信息進行配置就成了難題。另外,現有通信網絡的安全架構都是從人與人之間的通信需求出發的,不一定適合以機器與機器之間的通信為需求的物聯網絡。使用現有的網絡安全機制會割裂物聯網機器間的邏輯關系。
(8)傳輸層和應用層的安全隱患
在物聯網絡的傳輸層和應用層將面臨現有TCP/IP網絡的所有安全問題,同時還因為物聯網在感知層所采集的數據格式多樣,來自各種各樣感知節點的海量多源異構數據帶來的網絡安全問題將更加復雜。
面對物聯網安全現狀,可以從以下幾個方面進行安全防護。
(1)保障數據存儲的安全
相連設備的增多會引起生成數據的成倍增加,包括文件和文件夾中的實時數據、配置和設定及各種元數據等。為處理各種數據,必須要有更大的存儲容量。如果使用基于云計算的儲存方式,應避免不必要的數據大量占據寶貴的存儲區域、占用數據傳輸帶寬。
(2)對資源進行優先配置
智能設備在起步階段對資源的需求有限,但在升級過程中會逐漸尋找更多的網絡資源。當許多設備同時訪問網絡資源時,就會造成網絡堵塞和資源危機。例如,當大量智能設備同時在有限渠道內進行更新,就會對網絡性能產生消極影響。為了更好地控制這一現象,必須采取一些機制來進行監測和限制,為每臺設備設定優先級別和使用時間。
(3)加密傳輸保護數據安全性
目前互聯網是物聯網傳輸層的核心載體,多數信息要經過互聯網傳輸。安全傳輸層協議(Transport Layer Security,TLS)兼容多種編程語言和操作系統,具有跨平臺、跨系統和跨網絡的特點,可對多種網絡連接數據進行加密,保護物聯網數據安全性。TLS驗證機制可實現客戶端和服務器端雙向認證,確保信息傳輸到正確的節點上。