《新时期网络安全保障体系构建与发展建议.docx》由会员分享,可在线阅读,更多相关《新时期网络安全保障体系构建与发展建议.docx(18页珍藏版)》请在优知文库上搜索。
1、一、前言近年来,随着网络信息技术的不断发展,网络攻防对抗日趋频繁,网络安全领域面临一系列新的挑战。一是被保护目标更加多样。社交网络、政企内网、重大活动网络平台、关键信息基础设施等都是网络安全保障体系的保护目标,不同的网络具有差异化的特点和网络安全防护等级需求。二是网络条件和场景环境不断变化。当前网络条件朝着更高速、更广泛、更智能的方向发展,云计算平台更是呈现出不确定的环境状态,网络场景环境呈现规模化、协同化、动态化的发展态势。三是攻击源头和攻击手段更加隐蔽,未知攻击层出不穷。随着攻防技术的持续演化,黑客的攻击手段也不断进化,未知攻击越来越多。高级可持续威胁攻击(APT)因其具有攻击持续性、技术
2、专业性、目标针对性等特点,成为黑客组织广泛使用的网络攻击手段。四是系统保护目标可能不能完全配合保护者提出的相关保护要求。以国际运动赛事为例,比赛用信息系统所有者与保护者通常不属于一个国家,为保密起见,很难按照保护者的要求对其信息系统进行安全整改与加固,甚至可能不会去分享相应的安全信息,这为国际活动的安全保障带来了较大挑战。目前,我国网络安全保障体系侧重于以“自卫模式为核心的安全防护理念,依靠强健系统自身的防护能力来解决安全问题,如等级保护、漏洞扫描、护网演练、合规性测评等。然而,这种被动式防御体系存在较多不足之处:一是主动探查能力不足,即防御者处于被动位置,只能在攻击行为发生之后采取措施;二是
3、综合研判能力缺失,即不同开发商的信息系统和网络安全管理平台之间没有建立协同感知威胁情报研判中心,缺乏威胁情报数据的共享,不利于跨平台、跨域进行关联分析;三是协同处置能力偏弱,即隶属于不同机构的网络通常具有不同的安全等级,致使当前我国网络环境没有形成统一、跨设备、覆盖从应用层到网络层的协同处置体系。以“自卫模式为核心的网络安全保障体系在实际应用中稍显被动,可通过改变已有的被动防御为主动防御。例如,在2022年北京冬奥会和2023年第31届世界大学生夏季运动会的保障过程中,我国网络安全保障体系需要保护来自不同国家的信息系统,而这些系统的安全防护能力水平不一且无法对其提出额外的安全能力建设要求,使得
4、仅依靠系统自身防护能力的自卫模式难以充分发挥作用。因此,在传统自卫模式的基础上,探索出一种以护卫模式为核心的新型主动安全防御体系,建立了一套集设陷探查、关联研判和应对拦截为一体的联动机制,实现了网络安全零事故的记录,提升了我国网络的安全性和可用性。文章总结当前以“自卫模式为主的网络安全保障体系发展现状,分析其面临的风险和挑战,在对比护卫模式自卫模式两种网络安全保障体系建设成本和保障层次的基础上,研判构建基于护卫模式的网络安全保障体系的重点任务,提出保障网络安全体系发展的对策建议,为新时期网络安全建设研究提供参考。二、基于“自卫模式的网络安全保障体系运行现状(一)网络安全保障体系国际上,为应对网
5、络安全领域的挑战,美国等发达国家提出了基于动态保护的主动防御网络安全保障体系。美国在2011年提出移动目标防御的概念,通过部署随机动态变化的网络和系统来主动欺骗攻击者、扰乱攻击者视线、诱骗攻击者实施攻击行为,从而使攻击者触发告警,形成网络防御的主动态势。此外,美国国土安全部主导的网络空间安全自动监测项目“爱因斯坦计划,通过对政府网络的入侵行为进行监测,保护政府网络的安全;经过多年的迭代更新,实现了从被动防御到主动检测、从单一威胁分析到综合威胁分析、从情报分析到情报共享、从单方负责到多方协同配合的演进。该计划在第一阶段采用网络流量检测引擎和网络流量分析技术,查找网络中的可疑行为;在第二阶段,采用
6、入侵检测系统、恶意代码分析技术、安全信息与事件管理系统等构建网络空间信息共享与协作平台;在第三阶段,采用主动入侵防御系统自动检测网络威胁、,实现主动网络安全防御。近年来,美国积极开展对零信任架构的研究和应用。零信任架构假设网络中所有实体和网络流量均不可信,对网络中所有的访问请求都进行细粒度的身份认证;按照最小权限策略严格实施访问控制,以确保访问的安全性,同时访问控制策略随状态变化而动态调整。理想的零信任网络架构核心逻辑组件通常包括策略执行点、策略引擎和策略管理员。当访问主体向策略执行点发送访问请求时,策略执行点将请求转发至策略引擎,策略引擎根据本地和外部的安全策略数据源对本次请求进行评估;策略
7、管理员根据策略引擎的评估结果建立或者拒绝访问主体与资源之间的会话;当会话建立后,访问主体通过策略执行点与资源进行通信,在此过程中策略引擎持续进行信任评估,并将访问策略通过策略管理员转发给策略执行点进行更新;当发现存在风险时,策略执行点可以及时断开连接,起到快速保护资源安全的作用。在国内,网络空间拟态防御不再追求建立无漏洞、无后门、无缺陷的运行场景和防御环境,而是通过在软硬件系统中采取可迭代收敛的广义动态控制策略来防御网络空间的各种安全威胁。该策略对当前运行的执行体集合进行不定期的变换,重构异构冗余体,通过虚拟化等技术改变运行环境配置,使系统对外呈现结构上的随机性和不可预测性,从而使攻击者难以再
8、次复现成功的攻击场景。主动免疫可信计算是一种加强网络信息系统自身防护能力的网络安全保障体系。主动免疫可信计算技术采用运算和防护并行的新计算模式,以密码为基因进行身份识别、状态度量、保密存储,在统一管理策略支撑下对数据信息和系统服务资源进行可信检验判定,及时识别自己和“非己成分,从而破坏和排斥进入机体的有害物质,为网络信息系统培育免疫能力,进而实现智能感知的主动防御。主动免疫可信计算技术适用于服务器、终端和嵌入式系统,可在行为源头判断异常并进行防范,实现已知病毒不查杀而自灭、未知病毒免疫抵御及利用未知漏洞的攻击;在结构上,可采取在处理器内部构建可信核模块、外接可信插卡、在主板内增加可信系统级芯片
9、等方式安装防护部件,保障网络信息系统的安全。(二)威胁探测在网络威胁感知方面,当前以自卫模式为主的网络安全保障体系通常采用基于蜜罐技术的欺骗防御策略。HoneyToken是基于蜜罐技术的典型欺骗防御策略,其本质是对攻击者感兴趣的目标进行去价值化伪造,如访问链接、文档、可执行文件、数据库入口等。HOneyfiIe在Doc、PDF等格式的文档中嵌入可追踪和自动回溯的脚本代码,当攻击者打开文档时即可发送报警信息给Honeyfile的所有者。HoneyDatabase通过故意设置存在漏洞且包含大量伪造机密信息的数据库来吸引攻击者访问。HoneyCredential通过故意泄漏系统登录凭据来诱惑攻击者使
10、用该凭据进行身份认证。HoneyAccount通过故意泄漏类似管理员账号的方式来吸引攻击者登录,一旦该账号登录即判定为入侵行为并采取安全应急响应措施。(三)攻击观测以自卫模式为主的网络安全保障体系通常采用基于模式匹配的Web应用防火墙(WAF)等前置探测技术来为Web应用提供安全保障。基于模式匹配的WAF是一种典型的应用系统防护产品,其本质是通过检测访问服务器的数据流量来保护应用系统的安全。例如,通过基于签名的WAF来检测超文本传输协议(HTTP)请求中的异常流量,防止Web应用层遭受攻击;或是采用多层缓存系统保证白名单的动态适用性,提高WAF的检测能力。基于自学习的WAF,将Web应用的页面
11、参数分为固定参数、列举参数和用户输入参数,对页面参数进行学习形成初始规则库,再通过持续学习扩大用户的正常行为模式,以适应用户的需求变化;此外,还可以通过采用主动安全加固算法,提高WAF产品对会话劫持、HTTP隐藏按钮篡改、Cookie篡改等攻击的防御能力。(四)安全联动以自卫模式为主的网络安全保障体系通常采用基于联动的网络安全管理策略。基于联动策略的网络安全运营中心是当前网络安全联动管理策略的一种主流形式。例如,天融信科技集团的安全管理系统可以对整个网络中的设备进行集中统一管理,监控网络状态,收集、过滤、分析各种安全产品的事件信息,并根据安全风险调整安全策略,作出快速响应。启明星辰信息技术集团
12、股份有限公司的泰合信息安全运营中心为网络安全运营管理人员提供统一的安全策略配置方案,解决口令、认证、访问控制等方面的安全风险问题。美国思科公司推出基于IETF策略管理框架的服务质量(QOS)策略管理产品,通过集中的QOS监测,实现策略控制盒转换过程的自动化,保障企业网络的服务质量。美国3Com公司提出的TranSCend系统软件增加了虚拟局域网策略服务功能,管理人员可以集中设置虚拟局域网策略,并强制各个网络交换机执行。(五)追踪溯源以自卫模式为主的网络安全保障体系通常采用基于攻击行为感知的探测技术。采集攻击行为并进行感知分析是对攻击者进行追踪溯源的主要方式。蜜标技术是一种追踪溯源的探测技术,可
13、以在数据或文件中嵌入特定的标识信息,如脚本、统一资源定位符等。攻击者一旦访问标识信息,其操作行为会被记录并传回至远程服务器,管理员接收服务器告警并利用标识信息获取攻击者的网络地址、浏览器指纹等信息,从而溯源定位攻击者身份。此外,受害者通过路由调试技术向上游路由器发送带有签名的攻击数据包,递归地调查上游链路,直到发现攻击者。基于互联网控制消息协议(ICMP)的追踪技术要求每个路由器生成包含溯源信息的ICMP数据包,内有下一跳和上一跳的IP地址、时间戳、MAC地址等参数,通过分析该数据包即可溯源攻击者。三、基于自卫模式的网络安全保障体系存在的问题(一)“捕不全”问题在网络威胁感知方面,当前我国网络
14、安全保障体系是一种被动防御体系,只能在攻击者作出行动后才能被动地采集数据并分析攻击行为,这种方式往往难以提前、准确地感知攻击者的意图。因此,当前以自卫模式为主的网络安全保障体系对攻击行为存在捕不全的问题。一是蜜罐技术的设计初衷就是不拒绝任何人对其访问,因此访问者身份是不确定的,只能通过攻击者的行为来进行判断。如果攻击者采取的是未知攻击,不贸然地获取相关信息,那么即使攻击者进入了蜜罐,蜜罐也无法识别其身份,从而解决不了针对未知APT类攻击的捕捉。二是攻击探测面窄,传统蜜罐技术仅能就针对蜜罐实施攻击的行为作出反应,而对没有踩中蜜罐的攻击行为视而不见,易出现系统漏防的情况。三是易被攻击者识别,如果攻
15、击者辨别出用户的系统为蜜罐,就会避免与该系统进行交互,并在蜜罐没有发觉的情况下潜入用户所在组织。(二)“拦不住问题在网络入口防御方面,当前我国网络安全保障体系的保护对象多为用于日常管理的网络信息系统。经过多年的技术积累,这些系统依赖的软硬件环境各不相同,部分系统存在大量难以补救的安全漏洞、安全能力难以升级、易被各种攻击手段攻破。以自卫模式为主的网络安全保障体系对网络攻击行为存在拦不住的问题。一是网关防御仅对外部威胁有效,对内部威胁无法发挥作用;二是不支持加密HTTPS请求的分析和处理,对于加密流量的攻击行为无法探测;三是现有系统对基于源IP地址访问者的访问频次关注不够,而在实际攻防对抗过程中,
16、首次访问和多次访问是需要给予不同关注度的;四是依靠规则进行防御的本质是防御已知威胁,攻击者了解WAF的防御机理,所采取的未知攻击手段能够规避WAF网关的检测,从而可以轻易地穿越WAF网关进行攻击;五是HTTP协议和业务场景的复杂性导致难以形成统一的策略规范,且WAF抽离于业务代码逻辑以外,攻击者应用这些耦合上的瑕疵可以绕过WAF防护系统,从而拦不住攻击者的网络攻击行为。(三)“看不清问题在安全联动方面,当前我国网络安全保障体系仅依靠单个节点和事件很难判定APT行为。再加上,我国现有的信息系统具有不同的安全等级且相互隔离,没有建立协同感知的威胁情报研判中心。因此,以自卫模式为主的网络安全保障体系对网络攻击行为存在看不清的问题。一是联动体系缺乏统一标准,各研究机构及安全设备厂商都有各自的描述语言、实现模型、协议和应用程序接口(API)函数,导致不同的安全策略管理系统/安全产品之间缺乏兼容性和互
免费区 