1.2 技術發展
隨著人工智能、云計算、大數據和物聯網等技術的迅猛發展,網絡空間安全面臨著一系列新的威脅和挑戰。
1.2.1 國際視野看網絡空間安全發展
從全球范圍看,網絡安全威脅和風險日益突出,維護網絡安全,促進安全和發展并舉,已成為國際社會的共識。各國紛紛加強了戰略規劃,發布了新的網絡安全戰略。截至2015年年底,共有44個國家和地區發布或更新了網絡安全戰略,遍布美洲、歐洲、亞洲、大洋洲和非洲,其中,美洲4個國家、歐洲25個國家、大洋洲兩個國家、亞洲9個國家、非洲4個國家,共發布了69份網絡安全戰略級文件。另有許多國家正在準備出臺國家網絡安全戰略,網絡安全的戰略地位進一步提升。
2003年,美國頒布《保護網絡空間國家戰略》,明確要求“開展全國性的增強安全意識活動。由國土安全部負責領導國家網絡安全意識行動,以提高家庭用戶和中小企業、大型機構、高等教育機構、州和地方政府等關鍵用戶的網絡安全意識,其中包括制定高、中、小學生網絡安全意識計劃等”,依照上述戰略部署,自2004年起,美國國家網絡安全意識月等相關活動逐步開展起來。美國國家網絡安全意識月活動由美國國土安全部國家網絡安全局、國家網絡安全聯盟和跨州信息共享與分析中心共同舉辦。
歐盟委員會在《歐盟網絡安全戰略》(2013)中建議各成員國:“每年組織網絡安全宣傳月活動以提升用戶意識,由歐洲網絡與信息安全管理局負責協同,以及自2013年以來參與相關活動的私營部門予以共同支持,并從2014年開始舉辦歐盟和美國同步的網絡安全宣傳月。”歐洲網絡安全月是由ENISA與歐盟委員會組織、歐洲刑警組織、歐洲經濟和社會委員會等機構共同主辦。
日本在《保護國民信息安全戰略》(2010)中強調將“加強應對信息安全事件的能力,通過普及安全意識來加強國民針對個人計算機采取的信息安全措施”作為一項戰略目標,提出自2010年2月起,將每年2月設立為“信息安全月”。2011年7月,日本發布《信息安全普及與啟蒙計劃》,進一步明確要持續開展并加強“信息安全月”活動。2013年6月,日本首次采用“網絡空間安全”替代“信息安全”,并將“信息安全月”更名為“網絡安全意識月”。日本網絡安全意識月由國家警察廳、防務省、經濟產業省和內閣官房信息安全中心等部門共同主辦。
加拿大網絡安全意識月由加拿大公共安全部于每年10月舉辦。加拿大網絡安全意識月通過政府建立的Get Cyber Safe網站在線上為加拿大公民詳細介紹僵尸網絡、黑客攻擊、惡意軟件、域欺騙、網絡釣魚、木馬和病毒,以及無線竊聽等常見的網絡威脅,提升公眾對網絡威脅的認知,警示用戶注意防范網絡風險。Get Cyber Safe網站同時還揭示了電子郵件、網上金融、網絡社交、網上購物和網絡游戲等常見活動的網絡安全風險點,并為用戶提供基本的解決策略。此外,加拿大網絡安全意識教育活動特別注重加強與美國的合作,2012年,加拿大公共安全部與美國國土安全部宣布啟動《加拿大—美國網絡安全行動計劃》,從2013年加拿大舉辦首屆網絡安全意識月起,即加入由美國國土安全部指導開展的Stop.Think.Connect.活動,共享兩國網絡安全信息和資源。
新加坡于2011年4月13日舉辦了首屆網絡安全意識日活動,此次活動由新加坡通信和信息部主辦、新加坡網絡安全意識聯盟協辦,活動的目的在于提升網絡安全意識,明確網絡安全是一項共同的責任,強調必須將網絡安全作為新加坡經濟繁榮的供能器。通過首屆網絡安全意識日活動,新加坡有超過30萬用戶和部門承諾將采用更安全、更可靠的用戶密碼。
越來越多的國家與組織重視網絡空間安全對國家經濟、政治、軍事、文化等的影響。
1.2.2 網絡空間安全技術發展態勢
為了應對各種安全攻擊,網絡空間安全技術日新月異,總體來說,發展趨勢大致分為以下5種:態勢感知、持續監控、協同防御、快速恢復和溯源反制。
1.態勢感知——全球感知、精確測繪
態勢感知是一種基于環境、動態、整體地洞悉安全風險的能力;是以安全大數據為基礎,從全局視角提高發現、識別、理解、分析和應對安全威脅的能力;最終是為了決策與行動,是安全能力的落地。
在全球感知方面:研究網絡多點偵測、分布式數據獲取、海量數據融合分析、隧道協議深度分析、惡意行為識別、攻擊數據關聯與挖掘分析方法,通過多種手段獲取境內外網絡數據并進行融合分析,形成全球關鍵網絡設施、系統和節點的全方位感知能力,掌握整個網絡的運行狀態。
在精確測繪方面:研究暗網探測分析、網絡動態資源探測、網絡資產相關性分析、分級網絡地圖繪制和多粒度態勢表示等方法,從多角度綜合分析各種網絡資產的時間、空間和網絡特征,實現對網絡資源、交互關系、安全事件和威脅等級等網絡特征的分級和深度映射,為不同領域部門提供細粒度、多層次的網絡資產藍圖。
發現高級持續性威脅(Advanced Persistent Threat,APT),態勢感知技術應從數據全域獲取、網絡深度探測這兩方面入手,重點關注全球感知和精確測繪。
2.持續監控——持續監測、主動管控
持續監控(Continuous Monitoring)是內部審計或管理層在一個固定時段內,經常或持續用來監控信息技術系統、交易和控制措施的自動反饋機制。
在持續監測方面:研究分級式網絡數據無損監測、海量網絡數據分布式處理和融合分析、深度全域網絡數據快速處理等方法。通過構建多級網絡數據監測系統,在保護用戶隱私的前提下實現對網絡數據的全方位、深層次、高持續,以及近實時監測分析,為國家提供有效的網絡治理手段。
在主動管控方面:研究面向用戶的實時網絡數據推送、網絡用戶行為預測、網絡群體行為引導與干預、多源多語種多媒體輿情快速分類、涉恐網絡信息深度關聯分析,以及非法網絡數據清洗等。通過構建網絡行為正向引導系統,及時制止和處理影響政權穩定、社會安定和經濟發展的違法犯罪、恐怖活動和顛覆行動,引導大眾形成健康、有序、合法和文明的網絡行為習慣。
3.協同防御——跨域協作、體系防御
面向國內網絡職能部門協調時效慢、多種網絡防御系統各自為戰、無法形成體系化網絡防護能力的問題,協同防御技術應從情報共享、入侵行為跨域引導阻斷、安全策略協同等層面出發,實現跨域協作、體系防御。
在跨域協作方面:研究網絡空間協同防御任務設計、跨域網絡安全策略協作、面向任務的多系統分級協作等方法。通過任務多領域協同、策略一致性協同、處置行動分級協同,實現偵察、預警、防御、反控制、指揮和管理等力量在行動層面的跨域協作與融合,解決部門和跨領域的深度協作問題。
在體系防御方面:研究一體化網絡空間安全協同防護體系架構、基于網絡威脅情報的協同防御、網絡資源智能調度、網絡動態防御,以及網絡入侵行為引導阻斷欺騙協作處置等方法。從系統體系的角度,形成一體化網絡安全架構,達到合理規劃、協同行動和合力攻堅的效果,極大提升網絡空間威脅識別、定位、響應和處置等行動的能力和效率。
4.快速恢復——自動響應、快速處置
針對網絡被攻擊后防御分散、響應遲緩的問題,我國應大力發展網絡快速恢復技術,從網絡事件處理動作自動化、網絡可重構設計、網絡系統重建、網絡服務和數據恢復等方面著力提高自動響應和快速處置的能力。
在自動響應方面:研究網絡行動過程自動處理、網絡事件處置標準化設計等方法。
在快速處置方面:研究網絡系統快速重建、網絡服務重構自愈、網絡數據可信恢復和基于虛擬化的網絡自修復等方法。
通過可重構、模塊化、虛擬化的系統、網絡、服務和數據架構設計,實現自動化、標準化和快速化的網絡事件響應處置,以最快速度達到阻止入侵事件、限制破壞范圍、減小攻擊影響、恢復關鍵服務等網絡安全目標,保障核心網絡業務的正常安全運行,從而減輕網絡攻擊危害,降低網絡安全事件對社會、政治和經濟活動的影響。
5.溯源反制——精確溯源、反制威懾
美國網絡威懾與溯源反制能力建設階段主要是2011—2018年,在這個階段美國的國家戰略逐漸從“積極防御”轉變為“攻擊威懾”。在這個階段,美國政府不但發布了多個網絡威懾相關戰略政策,同時也開展了一系列相關的具體行動項目。
針對我國目前非合作網絡的溯源分析能力,以及反制過程智能化和自動化能力欠缺的現狀,當前溯源反制關鍵技術應重點強調精確溯源與反制威懾。
精確溯源:實現對敵攻擊路徑分析、行為特征提取和攻擊方式取證能力,針對網絡實體在不同層面的特點,結合生成的網絡行為畫像,研究自適應選擇網絡流量水印載體的追蹤攻擊溯源技術,較大可能地實現對使用跳板節點主機、匿名通信系統和僵尸網絡等手段隱藏真實身份的網絡攻擊的溯源,結合黑客指紋庫,進一步準確定位非合作攻擊者的具體位置,為精確溯源提供技術支撐。
反制威懾:實現反制手段的隱蔽化,從通信、系統、存儲、進程、抗查殺和防檢測等方面對反制行為進行隱匿;研究網絡空間威懾機理,從原理上探索在網絡空間中與重要對手實現戰略平衡的可能性;在掌握目標網絡漏洞分布的基礎上,研究針對目標區域內具有同類漏洞的網絡節點、應用系統實施批量化自動反制的方法,實施大規模反制,達到對目標區域內的大量節點、應用的控制和癱瘓等效果,達到嚇止的威懾效果。