1.2 技术发展
随着人工智能、云计算、大数据和物联网等技术的迅猛发展,网络空间安全面临着一系列新的威胁和挑战。
1.2.1 国际视野看网络空间安全发展
从全球范围看,网络安全威胁和风险日益突出,维护网络安全,促进安全和发展并举,已成为国际社会的共识。各国纷纷加强了战略规划,发布了新的网络安全战略。截至2015年年底,共有44个国家和地区发布或更新了网络安全战略,遍布美洲、欧洲、亚洲、大洋洲和非洲,其中,美洲4个国家、欧洲25个国家、大洋洲两个国家、亚洲9个国家、非洲4个国家,共发布了69份网络安全战略级文件。另有许多国家正在准备出台国家网络安全战略,网络安全的战略地位进一步提升。
2003年,美国颁布《保护网络空间国家战略》,明确要求“开展全国性的增强安全意识活动。由国土安全部负责领导国家网络安全意识行动,以提高家庭用户和中小企业、大型机构、高等教育机构、州和地方政府等关键用户的网络安全意识,其中包括制定高、中、小学生网络安全意识计划等”,依照上述战略部署,自2004年起,美国国家网络安全意识月等相关活动逐步开展起来。美国国家网络安全意识月活动由美国国土安全部国家网络安全局、国家网络安全联盟和跨州信息共享与分析中心共同举办。
欧盟委员会在《欧盟网络安全战略》(2013)中建议各成员国:“每年组织网络安全宣传月活动以提升用户意识,由欧洲网络与信息安全管理局负责协同,以及自2013年以来参与相关活动的私营部门予以共同支持,并从2014年开始举办欧盟和美国同步的网络安全宣传月。”欧洲网络安全月是由ENISA与欧盟委员会组织、欧洲刑警组织、欧洲经济和社会委员会等机构共同主办。
日本在《保护国民信息安全战略》(2010)中强调将“加强应对信息安全事件的能力,通过普及安全意识来加强国民针对个人计算机采取的信息安全措施”作为一项战略目标,提出自2010年2月起,将每年2月设立为“信息安全月”。2011年7月,日本发布《信息安全普及与启蒙计划》,进一步明确要持续开展并加强“信息安全月”活动。2013年6月,日本首次采用“网络空间安全”替代“信息安全”,并将“信息安全月”更名为“网络安全意识月”。日本网络安全意识月由国家警察厅、防务省、经济产业省和内阁官房信息安全中心等部门共同主办。
加拿大网络安全意识月由加拿大公共安全部于每年10月举办。加拿大网络安全意识月通过政府建立的Get Cyber Safe网站在线上为加拿大公民详细介绍僵尸网络、黑客攻击、恶意软件、域欺骗、网络钓鱼、木马和病毒,以及无线窃听等常见的网络威胁,提升公众对网络威胁的认知,警示用户注意防范网络风险。Get Cyber Safe网站同时还揭示了电子邮件、网上金融、网络社交、网上购物和网络游戏等常见活动的网络安全风险点,并为用户提供基本的解决策略。此外,加拿大网络安全意识教育活动特别注重加强与美国的合作,2012年,加拿大公共安全部与美国国土安全部宣布启动《加拿大—美国网络安全行动计划》,从2013年加拿大举办首届网络安全意识月起,即加入由美国国土安全部指导开展的Stop.Think.Connect.活动,共享两国网络安全信息和资源。
新加坡于2011年4月13日举办了首届网络安全意识日活动,此次活动由新加坡通信和信息部主办、新加坡网络安全意识联盟协办,活动的目的在于提升网络安全意识,明确网络安全是一项共同的责任,强调必须将网络安全作为新加坡经济繁荣的供能器。通过首届网络安全意识日活动,新加坡有超过30万用户和部门承诺将采用更安全、更可靠的用户密码。
越来越多的国家与组织重视网络空间安全对国家经济、政治、军事、文化等的影响。
1.2.2 网络空间安全技术发展态势
为了应对各种安全攻击,网络空间安全技术日新月异,总体来说,发展趋势大致分为以下5种:态势感知、持续监控、协同防御、快速恢复和溯源反制。
1.态势感知——全球感知、精确测绘
态势感知是一种基于环境、动态、整体地洞悉安全风险的能力;是以安全大数据为基础,从全局视角提高发现、识别、理解、分析和应对安全威胁的能力;最终是为了决策与行动,是安全能力的落地。
在全球感知方面:研究网络多点侦测、分布式数据获取、海量数据融合分析、隧道协议深度分析、恶意行为识别、攻击数据关联与挖掘分析方法,通过多种手段获取境内外网络数据并进行融合分析,形成全球关键网络设施、系统和节点的全方位感知能力,掌握整个网络的运行状态。
在精确测绘方面:研究暗网探测分析、网络动态资源探测、网络资产相关性分析、分级网络地图绘制和多粒度态势表示等方法,从多角度综合分析各种网络资产的时间、空间和网络特征,实现对网络资源、交互关系、安全事件和威胁等级等网络特征的分级和深度映射,为不同领域部门提供细粒度、多层次的网络资产蓝图。
发现高级持续性威胁(Advanced Persistent Threat,APT),态势感知技术应从数据全域获取、网络深度探测这两方面入手,重点关注全球感知和精确测绘。
2.持续监控——持续监测、主动管控
持续监控(Continuous Monitoring)是内部审计或管理层在一个固定时段内,经常或持续用来监控信息技术系统、交易和控制措施的自动反馈机制。
在持续监测方面:研究分级式网络数据无损监测、海量网络数据分布式处理和融合分析、深度全域网络数据快速处理等方法。通过构建多级网络数据监测系统,在保护用户隐私的前提下实现对网络数据的全方位、深层次、高持续,以及近实时监测分析,为国家提供有效的网络治理手段。
在主动管控方面:研究面向用户的实时网络数据推送、网络用户行为预测、网络群体行为引导与干预、多源多语种多媒体舆情快速分类、涉恐网络信息深度关联分析,以及非法网络数据清洗等。通过构建网络行为正向引导系统,及时制止和处理影响政权稳定、社会安定和经济发展的违法犯罪、恐怖活动和颠覆行动,引导大众形成健康、有序、合法和文明的网络行为习惯。
3.协同防御——跨域协作、体系防御
面向国内网络职能部门协调时效慢、多种网络防御系统各自为战、无法形成体系化网络防护能力的问题,协同防御技术应从情报共享、入侵行为跨域引导阻断、安全策略协同等层面出发,实现跨域协作、体系防御。
在跨域协作方面:研究网络空间协同防御任务设计、跨域网络安全策略协作、面向任务的多系统分级协作等方法。通过任务多领域协同、策略一致性协同、处置行动分级协同,实现侦察、预警、防御、反控制、指挥和管理等力量在行动层面的跨域协作与融合,解决部门和跨领域的深度协作问题。
在体系防御方面:研究一体化网络空间安全协同防护体系架构、基于网络威胁情报的协同防御、网络资源智能调度、网络动态防御,以及网络入侵行为引导阻断欺骗协作处置等方法。从系统体系的角度,形成一体化网络安全架构,达到合理规划、协同行动和合力攻坚的效果,极大提升网络空间威胁识别、定位、响应和处置等行动的能力和效率。
4.快速恢复——自动响应、快速处置
针对网络被攻击后防御分散、响应迟缓的问题,我国应大力发展网络快速恢复技术,从网络事件处理动作自动化、网络可重构设计、网络系统重建、网络服务和数据恢复等方面着力提高自动响应和快速处置的能力。
在自动响应方面:研究网络行动过程自动处理、网络事件处置标准化设计等方法。
在快速处置方面:研究网络系统快速重建、网络服务重构自愈、网络数据可信恢复和基于虚拟化的网络自修复等方法。
通过可重构、模块化、虚拟化的系统、网络、服务和数据架构设计,实现自动化、标准化和快速化的网络事件响应处置,以最快速度达到阻止入侵事件、限制破坏范围、减小攻击影响、恢复关键服务等网络安全目标,保障核心网络业务的正常安全运行,从而减轻网络攻击危害,降低网络安全事件对社会、政治和经济活动的影响。
5.溯源反制——精确溯源、反制威慑
美国网络威慑与溯源反制能力建设阶段主要是2011—2018年,在这个阶段美国的国家战略逐渐从“积极防御”转变为“攻击威慑”。在这个阶段,美国政府不但发布了多个网络威慑相关战略政策,同时也开展了一系列相关的具体行动项目。
针对我国目前非合作网络的溯源分析能力,以及反制过程智能化和自动化能力欠缺的现状,当前溯源反制关键技术应重点强调精确溯源与反制威慑。
精确溯源:实现对敌攻击路径分析、行为特征提取和攻击方式取证能力,针对网络实体在不同层面的特点,结合生成的网络行为画像,研究自适应选择网络流量水印载体的追踪攻击溯源技术,较大可能地实现对使用跳板节点主机、匿名通信系统和僵尸网络等手段隐藏真实身份的网络攻击的溯源,结合黑客指纹库,进一步准确定位非合作攻击者的具体位置,为精确溯源提供技术支撑。
反制威慑:实现反制手段的隐蔽化,从通信、系统、存储、进程、抗查杀和防检测等方面对反制行为进行隐匿;研究网络空间威慑机理,从原理上探索在网络空间中与重要对手实现战略平衡的可能性;在掌握目标网络漏洞分布的基础上,研究针对目标区域内具有同类漏洞的网络节点、应用系统实施批量化自动反制的方法,实施大规模反制,达到对目标区域内的大量节点、应用的控制和瘫痪等效果,达到吓止的威慑效果。