1. <progress id="vs7bj"></progress>
      1. <th id="vs7bj"></th>

        <dd id="vs7bj"><center id="vs7bj"></center></dd><dd id="vs7bj"><track id="vs7bj"></track></dd>

        <rp id="vs7bj"><ruby id="vs7bj"></ruby></rp>
        國家保密局網(wǎng)站>>保密科技

        網(wǎng)絡(luò )安全架構現狀及發(fā)展趨勢探討

        2023年06月07日    來(lái)源:國家保密科技測評中心【字體: 打印

        【摘 要】 網(wǎng)絡(luò )安全架構的規劃與部署直接影響網(wǎng)絡(luò )整體安全防護的效果。為了加強對其的掌握,本文從邊界防御架構、縱深防御架構、零信任架構、可信計算架構4個(gè)方面分析了國內外現有的網(wǎng)絡(luò )安全架構,介紹了每種架構的特點(diǎn)及局限性,在此基礎上,對網(wǎng)絡(luò )安全體系架構的主要發(fā)展趨勢進(jìn)行了總結和展望,以期為后續相關(guān)研究提供有益參考。

        【關(guān)鍵詞】 網(wǎng)絡(luò )安全架構 邊界防御 可信計算 主動(dòng)防御

        1 引言

        近年來(lái),隨著(zhù)信息技術(shù)的持續發(fā)展和廣泛應用,各種網(wǎng)絡(luò )攻擊方式和安全事件層出不窮,網(wǎng)絡(luò )安全面臨著(zhù)日益嚴峻的挑戰。

        眾所周知,軟硬件在開(kāi)發(fā)和設計過(guò)程中存在漏洞難以避免,而不同種類(lèi)的攻擊方式始終層出不窮。如果對存在的風(fēng)險缺乏統一的思考和防范,網(wǎng)絡(luò )系統沒(méi)有構建體系性的防御措施,網(wǎng)絡(luò )安全防護工作就會(huì )變成一種臨時(shí)性的應激操作,網(wǎng)絡(luò )運行管理人員需要不斷應對來(lái)自不同方向、不同種類(lèi)的難以預測的攻擊,而多數結果等同于亡羊補牢,在造成數據的失泄密后再行補救則為時(shí)已晚。為了對網(wǎng)絡(luò )內的重要信息和設施進(jìn)行保護,有必要建立一套體系性的防護框架,在攻擊發(fā)生之前使系統具有防御能力,防患于未然。

        世界范圍內大部分國家對網(wǎng)絡(luò )安全的重視程度越來(lái)越高,在理念、機制、舉措等方面積極制定網(wǎng)絡(luò )安全政策,構建自身的網(wǎng)絡(luò )安全體系,提升網(wǎng)絡(luò )安全防護能力。例如,拜登政府上臺后,把網(wǎng)絡(luò )安全作為重大的國家安全問(wèn)題和首要任務(wù),并迅速在網(wǎng)絡(luò )安全體系形成了包括網(wǎng)絡(luò )威脅戰略認知、網(wǎng)絡(luò )防御重點(diǎn)、統籌協(xié)調機制和網(wǎng)絡(luò )防御能力等內容的四大體系架構。

        為了清晰梳理網(wǎng)絡(luò )安全架構的發(fā)展情況,本文分析總結了國內外現有的網(wǎng)絡(luò )安全架構,從邊界防御架構、縱深防御架構、零信任架構、可信計算架構4個(gè)方面進(jìn)行了詳細分析,介紹了每種架構的特點(diǎn),并對其優(yōu)點(diǎn)及局限性進(jìn)行了探討。在此基礎上,對網(wǎng)絡(luò )安全架構的主要發(fā)展趨勢進(jìn)行了展望和總結。

        2 常見(jiàn)的網(wǎng)絡(luò )安全架構

        國內外普遍認為網(wǎng)絡(luò )安全架構應該是一個(gè)動(dòng)態(tài)的、不斷完善的過(guò)程,大量科研人員及學(xué)者進(jìn)行了長(cháng)期的研究工作,并設計了各類(lèi)動(dòng)態(tài)安全保障體系模型。其中,最具代表性的模型包括邊界防御架構、縱深防御架構、零信任架構、可信計算架構等。

        2.1 邊界防御架構

        “邊界防御”架構于2012年被國內安全企業(yè)率先提出并應用,通過(guò)在網(wǎng)絡(luò )邊界處嚴密設防,如代理、網(wǎng)關(guān)、路由器、防火墻、加密隧道等,監控進(jìn)入終端的外界程序,在惡意代碼尚未運行時(shí)即對其安全性進(jìn)行鑒定,從而最大限度地保障本地計算機的安全。其中,4類(lèi)較為常見(jiàn)的邊界防御技術(shù)分別是防火墻技術(shù)、多重安全網(wǎng)關(guān)技術(shù)、網(wǎng)閘技術(shù),以及虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)。

        如圖1所示,邊界防御架構可以控制外部網(wǎng)絡(luò )對內部網(wǎng)絡(luò )的訪(fǎng)問(wèn),強化內部網(wǎng)絡(luò )安全。邊界防御技術(shù)還可通過(guò)對進(jìn)入內部網(wǎng)絡(luò )的文件進(jìn)行安全鑒定,防止內部信息外泄,隱藏內部網(wǎng)絡(luò )的敏感信息。由于內外網(wǎng)之間數據的傳輸必須經(jīng)過(guò)邊界防御,一切未被允許的就是禁止的,只有被授權合法的數據,即在邊界防御系統安全策略中允許的數據才能穿過(guò)網(wǎng)絡(luò )邊界,保障了內部網(wǎng)絡(luò )的整體安全。此外,邊界防御架構通過(guò)提供日志記錄,對網(wǎng)絡(luò )存取和訪(fǎng)問(wèn)進(jìn)行監控審計。在邊界防御架構中,部署的邊界防護機制是內、外部網(wǎng)絡(luò )的唯一通信通道,它們可以詳細記錄所有針對內部網(wǎng)絡(luò )的訪(fǎng)問(wèn),形成完整的日志文件,以此達到監控審計的目的。

        邊界防御架構的優(yōu)勢主要集中在3個(gè)方面。首先,可以快速鑒別未知文件是否安全。未知文件一旦到達網(wǎng)絡(luò )邊界,將觸發(fā)邊界防御對其安全性迅速做出判斷,從而保證安全防護的效率。其次,無(wú)需安裝專(zhuān)門(mén)的殺毒軟件。避免傳統殺毒軟件對系統資源的不合理占用,解放了系統資源,同時(shí)人機界面良好,用戶(hù)配置方便。最后,低成本實(shí)現有效防御。由于傳統殺毒軟件重客戶(hù)端輕服務(wù)端,客戶(hù)端對抗病毒的成本高昂,而邊界防御架構只需配置防火墻等防御機制,就能控制外部網(wǎng)絡(luò )對內部網(wǎng)絡(luò )的訪(fǎng)問(wèn),保障內部網(wǎng)絡(luò )的安全。

        邊界防御架構雖然在網(wǎng)絡(luò )邊界處部署了防護機制,但受限于其產(chǎn)生的時(shí)代背景,該架構在當前來(lái)看存在一定的局限性。首先,無(wú)法防范來(lái)自網(wǎng)絡(luò )內部的安全威脅。由于邊界防御架構只在網(wǎng)絡(luò )邊界處設置防護措施,將不安全的外部威脅擋在邊界外,而內部惡意用戶(hù)和缺乏安全意識的用戶(hù)的存在,都會(huì )給系統內部帶來(lái)安全風(fēng)險。其次,無(wú)法防范繞過(guò)邊界防御的攻擊。邊界防御是單一的、靜態(tài)的安全防護技術(shù),只要攜帶病毒的文件通過(guò)某種手段繞過(guò)邊界防御的檢測,便可以進(jìn)入網(wǎng)絡(luò )內部散播病毒,威脅整個(gè)系統的安全。最后,無(wú)法抵御數據驅動(dòng)型攻擊。在邊界防御架構中,它通常無(wú)法抵御數據投毒等數據驅動(dòng)型網(wǎng)絡(luò )攻擊。這意味著(zhù),在當前以高隱蔽性復雜攻擊為新安全挑戰的網(wǎng)絡(luò )環(huán)境中,邊界防御正面臨著(zhù)極大危機。

        2.2 縱深防御架構

        由于攻擊方式的多樣性,任何單一防御機制都不足以對抗所有類(lèi)型的攻擊,網(wǎng)絡(luò )存在被攻破的可能性,為此“縱深防御”架構應運而生!翱v深防御”也被稱(chēng)為深度防護策略(Defense in Depth,DiD),是一種采用多樣化、多層次的防御措施來(lái)保障信息系統安全的策略,其主要目標是在攻擊者成功破壞某種防御機制的情況下,仍能夠利用其他防御機制繼續為信息系統提供保護。

        縱深防御架構的基本思路是將各類(lèi)網(wǎng)絡(luò )安全防護措施有機結合,針對保護對象,部署合適的安全措施,形成多道保護線(xiàn),在各安全防護措施相互支持和補救下,盡可能地阻斷攻擊者的威脅。根據美國國防部提出的PDRR(Pro-tection,Detection,Reaction,Reco-very)模型,即防護、檢測、響應、恢復4道防線(xiàn),縱深防御架構通過(guò)在這些技術(shù)框架區域中實(shí)施保障機制,最大程度地降低風(fēng)險,應對攻擊并保護信息系統的安全。

        如圖2所示,縱深防御架構不是安全設備或系統的簡(jiǎn)單堆積,而是在各個(gè)層面有針對性且合理地部署各類(lèi)防護或檢測系統,形成系統間的優(yōu)勢互補,從而實(shí)現對安全態(tài)勢的全面感知?v深防御架構通過(guò)多點(diǎn)布防、以點(diǎn)帶面、多面成體,形成一個(gè)多層次、立體的全方位防御體系來(lái)維護網(wǎng)絡(luò )安全,其特點(diǎn)可概述為以下3點(diǎn)。

        (1)多點(diǎn)防護

        部署位置主要包括網(wǎng)絡(luò )和基礎設施、區域邊界、計算環(huán)境和支撐性基礎設施,通過(guò)在這4個(gè)重點(diǎn)方位布置全面的防御機制,將信息系統的安全風(fēng)險降至最低。

        (2)分層防御

        在攻擊者和目標之間部署多層防御機制,每個(gè)機制都能對攻擊者形成一道屏障,且各防御機制在功能上相互協(xié)同和補充。根據網(wǎng)絡(luò )的層次化體系結構,分層部署防護和檢測措施形成了層次化的安全配置,增加攻擊被檢測到的概率,大大提高了攻擊成本。

        (3)分級防護

        根據信息系統各部分的重要性等級,在對應安全強度下配置防護措施,以平衡縱深防御架構建設成本和安全需求之間的關(guān)系。

        縱深防御架構雖然搭建了多層防護屏障,避免了對單一安全機制的依賴(lài),但其仍然存在3個(gè)方面的局限性。

        首先,各區域安全措施相對獨立,缺乏統一的管理。由于縱深防御架構模型將人作為核心要素,安全人員一旦發(fā)現潛在風(fēng)險,需要對所有安全措施進(jìn)行逐個(gè)配置,增加了管理復雜度。而且縱深防御體系的各層防御之間的協(xié)同機制薄弱,其中的檢測手段多是基于規則和黑白名單,對于抱有經(jīng)濟政治目的的專(zhuān)業(yè)黑客,攻克這種防御體系也只是時(shí)間問(wèn)題。

        其次,缺乏主動(dòng)防御安全威脅的機制。盡管各重點(diǎn)區域都部署了安全檢查和防御措施,但并沒(méi)有主動(dòng)進(jìn)行安全威脅檢查和防御。隨著(zhù)攻擊方式的不斷演進(jìn)、病毒特征的不斷變化,如果不及時(shí)主動(dòng)更新防御機制,就會(huì )有新的中毒風(fēng)險。目前,一些專(zhuān)門(mén)用來(lái)對付縱深防御模式的高級網(wǎng)絡(luò )攻擊工具可被輕易獲取,導致網(wǎng)絡(luò )攻擊數量大幅增加,以至于縱深防御架構面臨巨大的安全威脅。

        最后,沒(méi)有考慮虛擬網(wǎng)絡(luò )的防御問(wèn)題?v深防御架構模型主要針對傳統物理信息系統設計,沒(méi)有考慮云數據中心虛擬化帶來(lái)的虛擬網(wǎng)絡(luò )特點(diǎn)。虛擬網(wǎng)絡(luò )運行在現有物理網(wǎng)絡(luò )之上,具有網(wǎng)絡(luò )邊界彈性、生命周期短暫等動(dòng)態(tài)特征,而傳統縱深防御模型尚未考慮虛擬網(wǎng)絡(luò )的安全防護問(wèn)題。

        2.3 零信任架構

        零信任架構是一種端到端的網(wǎng)絡(luò )架構,重點(diǎn)關(guān)注身份、憑證、訪(fǎng)問(wèn)管理、操作、終端、主機環(huán)境和互連基礎設施。美國技術(shù)委員會(huì )-工業(yè)咨詢(xún)委員會(huì )(ACT-IAC)于2019年發(fā)布了《零信任網(wǎng)絡(luò )安全當前趨勢》(Zero Trust Cybersecurity Current Trends),同年,美國國防部國防創(chuàng )新委員會(huì )發(fā)布了零信任架構白皮書(shū)《零信任安全之路》(The Road to Zero Trust Security),強調了對零信任架構的重視。

        傳統的安全方案只注重邊界保護,對授權用戶(hù)開(kāi)放過(guò)多的訪(fǎng)問(wèn)權限,而零信任的主要目標是基于身份的細粒度訪(fǎng)問(wèn)控制,以應對日益嚴重未經(jīng)授權的水平移動(dòng)風(fēng)險。零信任的本質(zhì)是在新互聯(lián)網(wǎng)環(huán)境下零信任安全架構的主體和客體之間構建一個(gè)基于身份的動(dòng)態(tài)可信訪(fǎng)問(wèn)控制系統。該架構的主要特點(diǎn)可以概括為:以身份作為訪(fǎng)問(wèn)控制的基礎,業(yè)務(wù)安全訪(fǎng)問(wèn)、持續的信任評估,以及動(dòng)態(tài)訪(fǎng)問(wèn)控制。

        圖3是零信任網(wǎng)絡(luò )架構示意圖。如圖中所示,在零信任網(wǎng)絡(luò )架構中,身份是零信任的基石。為了構建基于身份而不是基于網(wǎng)絡(luò )位置的訪(fǎng)問(wèn)控制系統,首先需要給網(wǎng)絡(luò )中的人和設備賦予相應的身份,在運行時(shí)結合識別的人和設備來(lái)構建訪(fǎng)問(wèn)主體,并設置最小訪(fǎng)問(wèn)權限。零信任架構還具有以下3個(gè)特點(diǎn)。

        (1)業(yè)務(wù)的安全訪(fǎng)問(wèn)。零信任架構側重于業(yè)務(wù)防護面的構建,通過(guò)業(yè)務(wù)防護面來(lái)實(shí)現對資源的保護。在零信任架構中,應用、服務(wù)、接口和數據被認為是業(yè)務(wù)資源。通過(guò)對業(yè)務(wù)保護的操作,要求對所有服務(wù)默認隱藏,根據授權結果最小權限開(kāi)啟。所有服務(wù)訪(fǎng)問(wèn)請求都應進(jìn)行加密和強制授權。

        (2)持續的信任評估。持續的信任評估是零信任體系中從無(wú)到有建立信任的關(guān)鍵手段。通過(guò)信任評估模型和算法,可以實(shí)現基于身份的信任評估能力。同時(shí)需要判斷訪(fǎng)問(wèn)上下文環(huán)境的風(fēng)險,識別訪(fǎng)問(wèn)請求的異常行為,以調整信任評估結果。

        (3)動(dòng)態(tài)訪(fǎng)問(wèn)控制。動(dòng)態(tài)訪(fǎng)問(wèn)控制是零信任架構安全閉環(huán)能力的重要體現。通常采用基于角色的權限控制(RBAC)和基于屬性的權限控制(ABAC)相結合來(lái)實(shí)現靈活的訪(fǎng)問(wèn)控制基線(xiàn),基于信任級別來(lái)實(shí)現分層業(yè)務(wù)訪(fǎng)問(wèn)。同時(shí),當訪(fǎng)問(wèn)上下文和環(huán)境存在風(fēng)險時(shí),應進(jìn)行訪(fǎng)問(wèn)權限的實(shí)時(shí)干預,評估訪(fǎng)問(wèn)主體的信任度。

        零信任架構關(guān)鍵能力的實(shí)現需要通過(guò)特定的邏輯架構組件來(lái)實(shí)現。零信任的核心理念是沒(méi)有人的參與。網(wǎng)絡(luò )內外的設備/系統默認不信任,需要基于認證和授權重構訪(fǎng)問(wèn)控制的信任基礎。單個(gè)IP地址、主機、地理位置、網(wǎng)絡(luò )等不能作為可信憑證。零信任顛覆了訪(fǎng)問(wèn)控制范式,引領(lǐng)安全系統架構從“網(wǎng)絡(luò )中心化”走向“身份中心化”。它的本質(zhì)要求是基于身份和環(huán)境來(lái)控制訪(fǎng)問(wèn),在多個(gè)場(chǎng)景方面具有極大的優(yōu)勢。

        零信任架構的局限性主要表現在權限集中、實(shí)時(shí)性與控制精度之間的矛盾、數據處理難度等方面。

        在零信任架構中,策略引擎需要解決對所有資源訪(fǎng)問(wèn)的授權工作,一旦策略引擎出現問(wèn)題,對業(yè)務(wù)連續性和數據安全性都會(huì )產(chǎn)生較大的影響,因此設計開(kāi)發(fā)高可用性的策略引擎,是零信任領(lǐng)域下一步研究的重點(diǎn)方向。其次,零信任架構需要對對象進(jìn)行實(shí)時(shí)校驗,通過(guò)實(shí)時(shí)監督認證用戶(hù)的行為,動(dòng)態(tài)調整授權的范圍,對應策略執行點(diǎn)與策略引擎,既要做到實(shí)時(shí)控制,又要做到最小化權限的精準度,無(wú)論是算法、性能還是認證邏輯方面都面臨比較大的挑戰。此外,零信任的成熟度很大程度取決于對相關(guān)數據的收集、分析與處理能力。首先需要對設備、用戶(hù)、應用、歷史行為的各類(lèi)數據進(jìn)行收集。分散的數據來(lái)源會(huì )導致數據的準確性、完整度、格式化等方面存在問(wèn)題。在解決數據收集、過(guò)濾、歸并、存儲等問(wèn)題后,需要高效地對這些數據進(jìn)行處理,該過(guò)程對策略引擎的算法和性能要求非常高。因此,設計實(shí)現高效的數據處理算法,也是零信任架構需要重點(diǎn)關(guān)注的問(wèn)題。

        2.4 可信計算架構

        可信計算架構的核心是基于可信且可靠設備,為設備提供給定系統狀態(tài)的證據。信任被定義為對系統狀態(tài)的期望,被認為是安全的,它需要可信平臺模塊(TPM)中可信且可靠的實(shí)體來(lái)提供有關(guān)系統狀態(tài)的可信證據。TPM規范由稱(chēng)為可信計算組織(TCG)的國際標準組織維護和開(kāi)發(fā),TCG不僅發(fā)布了TPM規范,還發(fā)布了移動(dòng)可信模塊(MTM)、可信多租戶(hù)基礎設施和可信網(wǎng)絡(luò )連接。

        可信平臺的基本框架是有一個(gè)信任根,其作用是衡量一個(gè)系統的可信度。TCG規范中的信任根結合了測量信任根(RTM)、存儲信任根(RTS)和報告信任根(RTR)。RTM是一個(gè)獨立的計算平臺,具有最少的指令集,這些指令被認為是可信任的,用于測量系統的完整性矩陣。在典型的臺式計算機上,RTM是基本輸入輸出系統(BIOS)的一部分,在這種情況下,它被稱(chēng)為測量信任的核心根(CRTM)。RTS和RTR基于獨立、自給自足且可靠的計算設備,該計算設備具有預定義的指令集以提供身份認證和證明功能,這種設備稱(chēng)為可信平臺模塊(TPM)。傳遞信任背后的基本原理是,如果實(shí)體信任平臺的TPM,它也會(huì )信任其測量?尚牌脚_架構如圖4所示。

        可信平臺TPM最大的優(yōu)勢在于安全啟動(dòng)和報告操作,F階段的可信計算熱潮是從可信電腦客戶(hù)端平臺起步,但是它涉及了廣泛的研究和應用領(lǐng)域,主要包含關(guān)鍵技術(shù)、理論基礎和應用等3個(gè)方面。關(guān)鍵技術(shù)指可信計算的系統結構、TPM的系統結構、可信計算中的密碼技術(shù)、信任鏈技術(shù)信任的度量、可信軟件和可信網(wǎng)絡(luò )。理論基礎包括可信計算模型、可信性的度量理論、信任鏈理論和可信軟件理論?尚庞嬎慵夹g(shù)的應用是可信計算發(fā)展的根本目的?尚庞嬎慵夹g(shù)與產(chǎn)品主要用于電子商務(wù)、電子政務(wù)、安全風(fēng)險管理、數字版權管理、安全檢測與應急響應等領(lǐng)域。

        基于TPM設計目標,它可以為潛在的“安全且不可破解”的數字版權管理(DRM)框架提供一個(gè)平臺,然而同時(shí)會(huì )引發(fā)計算機控制權的問(wèn)題,從而掩蓋了TPM潛在的有益特性,如安全啟動(dòng)、安全存儲和加密密鑰的安全管理。目前,越來(lái)越多的電腦客戶(hù)端具有內置的TPM,但這些模塊中的大部分并未由其各自的用戶(hù)啟用,此外,使用TPM功能為用戶(hù)提供附加安全和隱私服務(wù)的應用程序并不多。因此,最終用戶(hù)似乎沒(méi)有充分的理由積極使用TPM來(lái)滿(mǎn)足其安全和隱私要求。

        隨著(zhù)對計算平臺的依賴(lài)日益增加,TPM將在提供安全計算平臺方面發(fā)揮越來(lái)越重要的作用。此外,普通用戶(hù)也開(kāi)始意識到可能導致他們激活TPM的潛在安全問(wèn)題。然而,雖然TPM的采用可能會(huì )增加,但該規范并未隨著(zhù)計算技術(shù)的變化而改變。

        3 安全體系架構的發(fā)展趨勢

        隨著(zhù)云計算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、人工智能、大數據、區塊鏈等技術(shù)的飛速發(fā)展,傳統的安全體系架構已經(jīng)難以滿(mǎn)足日新月異的網(wǎng)絡(luò )安全需求。同時(shí),網(wǎng)絡(luò )面臨著(zhù)層出不窮的新型攻擊方式。針對以上挑戰,近年來(lái)國內外出現了多種新型網(wǎng)絡(luò )安全防護技術(shù)作為對傳統安全體系架構的補充,其中具有代表性的有主動(dòng)防御技術(shù)、安全態(tài)勢感知技術(shù)等。

        3.1 主動(dòng)防御技術(shù)

        多年來(lái),傳統安全防護構建了以系統為核心,以網(wǎng)絡(luò )邊界為防護重點(diǎn)的“硬殼軟心”邊界防御體系。傳統的、靜態(tài)的各類(lèi)安全機制無(wú)法適應動(dòng)態(tài)變化的網(wǎng)絡(luò )安全環(huán)境,其本質(zhì)上發(fā)揮的是“傳感器”“探測器”作用,一旦攻擊威脅突破邊界進(jìn)入內部網(wǎng)絡(luò ),其被動(dòng)防御機制將形同虛設。此外,被動(dòng)防御缺少對網(wǎng)內未知的橫向移動(dòng)威脅的應對策略和封控辦法,更不具備對攻擊威脅的主動(dòng)清除和溯源反制能力,無(wú)法應對高級持續的未知網(wǎng)絡(luò )攻擊。

        與被動(dòng)防御相比,網(wǎng)絡(luò )主動(dòng)防御(Proactive Defense)具有預測性和主動(dòng)性,其理念和技術(shù)已經(jīng)引起國內外政府界、學(xué)術(shù)界等廣泛關(guān)注,成為網(wǎng)絡(luò )安全領(lǐng)域的研究熱點(diǎn)。主動(dòng)防御手段主要是防御者針對攻擊者攻擊行為主動(dòng)采取規避性、欺騙性的防御技術(shù),比如獵殺、拒絕、欺騙等,綜合運用網(wǎng)絡(luò )動(dòng)態(tài)變化和網(wǎng)絡(luò )欺騙等方法,在攻擊行為對信息系統發(fā)生影響之前,干擾攻擊者認知、捕獲早期攻擊偵察特征、動(dòng)態(tài)調整防御策略,改變傳統防御體系“被動(dòng)應對”的不利局面。

        目前網(wǎng)絡(luò )主動(dòng)防御仍處于研究探索階段,其概念內涵還沒(méi)有標準化的定義,業(yè)界普遍接受的是美國國土安全部下屬研究中心在2016年提出的主動(dòng)防御定義:主動(dòng)防御是處于傳統的被動(dòng)防御和進(jìn)攻之間的一系列主動(dòng)防御手段。對比美國,我國主動(dòng)防御技術(shù)理論研究起步較晚。隨著(zhù)主動(dòng)防御技術(shù)的演進(jìn)發(fā)展,我國相關(guān)研究機構相繼提出了主動(dòng)防御技術(shù)理論,產(chǎn)業(yè)界的原型系統和商業(yè)產(chǎn)品不斷被研發(fā)應用,具有代表性的有擬態(tài)防御技術(shù)、中國科學(xué)院信息工程研究所的“網(wǎng)絡(luò )空間內置式主動(dòng)防御”技術(shù)等。隨著(zhù)主動(dòng)防御技術(shù)產(chǎn)業(yè)化逐漸成熟,國內主動(dòng)防御技術(shù)的規模應用日趨廣泛,主動(dòng)防御技術(shù)手段也在國家級網(wǎng)絡(luò )防護任務(wù)中發(fā)揮了關(guān)鍵作用,防御效能顯著(zhù)。

        3.2 安全態(tài)勢感知技術(shù)

        網(wǎng)絡(luò )安全體系架構中的網(wǎng)絡(luò )安全產(chǎn)品從設備、網(wǎng)絡(luò )、數據等不同維度提供了網(wǎng)絡(luò )的縱深防御手段,但目前的現狀是不同網(wǎng)絡(luò )安全產(chǎn)品相互孤立,產(chǎn)品間缺乏有效協(xié)同,所采集的運行數據以及生成的大量網(wǎng)絡(luò )告警事件無(wú)法關(guān)聯(lián),用戶(hù)面對海量的告警事件難以處理,也無(wú)法掌握安全態(tài)勢的全局。安全態(tài)勢感知技術(shù)就是為了呈現網(wǎng)絡(luò )安全體系的整體情況,包括對外部惡意攻擊的抵御能力、對網(wǎng)絡(luò )脆弱性的防護能力及面對內部攻擊時(shí)的防失泄密能力。

        網(wǎng)絡(luò )態(tài)勢感知(Cyberspace Situational Awareness,CSA)的概念于1999年由Tim Bass首次提出,定義為在大規模網(wǎng)絡(luò )環(huán)境中對引起網(wǎng)絡(luò )態(tài)勢發(fā)生變化的要素進(jìn)行獲取、理解、展示以及對發(fā)展趨勢進(jìn)行預測,從而幫助決策和行動(dòng)。美國自2003年開(kāi)始研制網(wǎng)絡(luò )空間態(tài)勢感知系統“愛(ài)因斯坦”,至2013年,已完成3次迭代!皭(ài)因斯坦1”基于流量的分析技術(shù)來(lái)進(jìn)行異常分析檢測和總體趨勢分析,“愛(ài)因斯坦2”基于深度包解析(DPI)技術(shù)實(shí)現惡意行為分析,“愛(ài)因斯坦3”基于之前的技術(shù),結合網(wǎng)絡(luò )攻防經(jīng)驗積累下來(lái)的特殊攻擊特征,可實(shí)時(shí)地感知網(wǎng)絡(luò )基礎設施面臨的威脅,并更迅速地采取恰當的對策。截至2019年9月,已有76個(gè)聯(lián)邦民事機構完全實(shí)現了“愛(ài)因斯坦3”計劃的基本能力。

        在國內,安全態(tài)勢感知技術(shù)的發(fā)展也受到高度重視。2021年我國網(wǎng)絡(luò )安全重要法規《關(guān)鍵信息基礎設施安全保護條例》中明確提到,“掌握關(guān)鍵信息基礎設施運行狀況、安全態(tài)勢,預警通報網(wǎng)絡(luò )安全威脅和隱患,指導做好安全防范工作”。近幾年,國內在網(wǎng)絡(luò )安全態(tài)勢感知方面具有代表性的研究性工作包括,大數據環(huán)境下的網(wǎng)絡(luò )安全態(tài)勢感知評估方法的提出,基于深度學(xué)習的網(wǎng)絡(luò )流量分類(lèi)及異常檢測方法的提出,以及對網(wǎng)絡(luò )安全威脅感知關(guān)鍵技術(shù)的研究。但是,目前已有的網(wǎng)絡(luò )態(tài)勢感知系統依然存在著(zhù)數據源單一、難以落地實(shí)現的問(wèn)題。但是越來(lái)越多的企業(yè)單位開(kāi)始意識到網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)對于網(wǎng)絡(luò )風(fēng)險發(fā)現、預測、響應的重要性,國內的安全廠(chǎng)商近些年紛紛推出包含分析和情報、響應、安全編排的態(tài)勢感知系統,并廣泛應用于政府、金融、電力、教育等多個(gè)行業(yè)。隨著(zhù)網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)的發(fā)展,其將在網(wǎng)絡(luò )安全防護中起到越來(lái)越重要的作用。

        4 結語(yǔ)

        隨著(zhù)網(wǎng)絡(luò )安全防護技術(shù)的復雜化,網(wǎng)絡(luò )安全體系的構建仍是國內外的研究熱點(diǎn)。歸納來(lái)講,網(wǎng)絡(luò )安全防護體系的建設不能簡(jiǎn)單依靠各種安全產(chǎn)品的疊加,而是需要結合不同網(wǎng)絡(luò )架構及業(yè)務(wù)應用固有的特性,對多種安全機制進(jìn)行有機融合,形成一套動(dòng)態(tài)、有效、全面的整體防御體系。網(wǎng)絡(luò )安全防護建設是一個(gè)長(cháng)期、循序漸進(jìn)的過(guò)程,隨著(zhù)網(wǎng)絡(luò )技術(shù)的不斷發(fā)展,必然會(huì )出現各種新的威脅。因此,信息安全防護建設也應隨之不斷完善和調整,才能構建一道保護網(wǎng)絡(luò )信息安全的銅墻鐵壁。

        (原載于《保密科學(xué)技術(shù)》雜志2022年8月刊)


        中文字幕乱码一区久久麻豆樱花,中文字幕亚洲乱码熟女一区二区,中文成人无码精品久久久不卡_电影