|
摘 要: 通過對軍事網(wǎng)絡(luò)���、黨政內(nèi)網(wǎng)以及軍工企業(yè)內(nèi)網(wǎng)等高安全等級網(wǎng)絡(luò)面臨的安全威脅和防御需求進行深入分析���,結(jié)合對PDRR、P2DR現(xiàn)有安全模型的研究���,提出了適用于高安全等級網(wǎng)絡(luò)安全防御的P2DAR安全模型���,并設(shè)計了與P2DAR安全模型適配的安全防御體系。該體系聚焦高安全等級網(wǎng)絡(luò)安全威脅檢測���、安全威脅識別等關(guān)鍵問題���,設(shè)計了威脅感知���、威脅分析以及威脅處置等安全防御技術(shù)���,能夠為高安全等級網(wǎng)絡(luò)安全防御提供有效防御。 1 高安全等級網(wǎng)絡(luò)安全防護特點1.1 網(wǎng)絡(luò)特點 1.1.1 網(wǎng)絡(luò)隔離特性 1.1.2 網(wǎng)絡(luò)規(guī)模特性 1.1.3 網(wǎng)絡(luò)業(yè)務(wù)特性 1.2 安全威脅特點 1.2.1 攻擊者 1.2.2 攻擊方式 1.2.3 攻擊目的
1.3 安全防護特點 1.3.1 防護方式 1.3.2 防護目的 1.3.3 防護手段 3 高安全等級網(wǎng)絡(luò)安全防護體系設(shè)計 3.1 P2DAR安全防護模型設(shè)計 3.2 安全防護體系設(shè)計 3.2.1 安全防護體系架構(gòu) 3.2.2 威脅感知 3.2.3 威脅識別 3.2.4 威脅處置 3.2.5 安全策略 3.2.6 標準制度
3.3 安全防護體系關(guān)鍵技術(shù) 3.3.1 安全數(shù)據(jù)治理技術(shù) 3.3.2 安全威脅分析技術(shù) 網(wǎng)絡(luò)空間作為陸地���、海洋���、空氣空間���、外層空間之外的“第五空域”(Fifth Domain),正成為各國特別是主要大國斗爭與合作的新疆域���。網(wǎng)絡(luò)安全是關(guān)乎一個國家能否在“第五空域”維護自身權(quán)益和占據(jù)主動的重要保證���。網(wǎng)絡(luò)對抗也已成為國家和國家之間對抗的另一個戰(zhàn)場。網(wǎng)絡(luò)空間安全已經(jīng)是國家戰(zhàn)略安全不可或缺的一部分���。
軍事網(wǎng)絡(luò)���、黨政內(nèi)網(wǎng)、軍工企業(yè)內(nèi)網(wǎng)���、電力網(wǎng)以及銀行專網(wǎng)等關(guān)系到國家安全���、經(jīng)濟發(fā)展的網(wǎng)絡(luò)都屬于高安全等級網(wǎng)絡(luò),是國家網(wǎng)絡(luò)安全的重要防護對象���,也是國與國之間網(wǎng)絡(luò)對抗的重要目標���。它們面臨的安全威脅比互聯(lián)網(wǎng)更大���,一旦被攻擊,很有可能會影響到國家安全���。鑒于高安全等級網(wǎng)絡(luò)的重要性和特殊性���,它在安全防護上具有以下特點。
1.1 網(wǎng)絡(luò)特點 1.1.1 網(wǎng)絡(luò)隔離特性 軍事網(wǎng)絡(luò)���、黨政內(nèi)網(wǎng)���、軍工企業(yè)內(nèi)網(wǎng)、電力網(wǎng)以及銀行專網(wǎng)等高安全等級網(wǎng)絡(luò)通常都與互聯(lián)網(wǎng)以及其他網(wǎng)絡(luò)隔離���。隔離有物理隔離和邏輯隔離兩種方式���。軍事網(wǎng)絡(luò)���、黨政內(nèi)網(wǎng)以及軍工企業(yè)內(nèi)網(wǎng)一般是物理隔離���。電力網(wǎng)和銀行專網(wǎng)等一般為邏輯隔離���。物理隔離的網(wǎng)絡(luò)其通信線路、路由交換設(shè)備以及信息系統(tǒng)與其他網(wǎng)絡(luò)沒有物理連接���,無法通過其他網(wǎng)絡(luò)對其進行訪問���。邏輯隔離的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間存在物理連接,在網(wǎng)絡(luò)邊界通過密碼和安全裝備實現(xiàn)與其他網(wǎng)絡(luò)的隔離���。 1.1.2 網(wǎng)絡(luò)規(guī)模特性 高安全等級網(wǎng)絡(luò)通常具有范圍廣���、規(guī)模大以及承載業(yè)務(wù)多的特點,網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜���。它既有自身獨有的專用傳輸線路���,也有租用運營商的共用傳輸線路。既有有線網(wǎng)絡(luò)���,也有無線網(wǎng)絡(luò)���。此外���,網(wǎng)絡(luò)用戶數(shù)量大,終端類型多���。 1.1.3 網(wǎng)絡(luò)業(yè)務(wù)特性 高安全等級網(wǎng)絡(luò)承載的業(yè)務(wù)都是非公開業(yè)務(wù)���,具有一定的保密性,特別是軍事網(wǎng)絡(luò)和黨政內(nèi)網(wǎng)承載的業(yè)務(wù)密級非常高���,需要防范的安全風險也更多���。 1.2 安全威脅特點 1.2.1 攻擊者 高安全等級網(wǎng)絡(luò)面臨的攻擊者包括外部攻擊者和內(nèi)部攻擊者。外部攻擊者通常不是互聯(lián)網(wǎng)上的黑客或一般的黑客組織���,更有可能是國家層面的網(wǎng)絡(luò)入侵者���,甚至是網(wǎng)絡(luò)戰(zhàn)作戰(zhàn)力量。內(nèi)部攻擊者通常是被外部力量收買和控制的帶有特殊身份的人員���,存在很強的隱蔽性���。可見���,高安全等級網(wǎng)絡(luò)面臨的攻擊者具有身份特殊���、技術(shù)水平高以及隱蔽性強等特點。 1.2.2 攻擊方式 高安全等級網(wǎng)絡(luò)自身的網(wǎng)絡(luò)特性和攻擊者的特殊性���,決定了面臨的攻擊方式與互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)攻擊手段存在很大的差異���。針對互聯(lián)網(wǎng)目標的網(wǎng)絡(luò)攻擊,通?��;谠诰€方式實施���,即直接利用各種攻擊手段攻擊目標,能夠及時確認攻擊結(jié)果���。高安全等級網(wǎng)絡(luò)由于與外部網(wǎng)絡(luò)隔離���,外部攻擊者無法使用在線的攻擊方式實施攻擊���,需要利用攻擊擺渡或臨近攻擊的方式實施攻擊。攻擊者需要有針對性地設(shè)計攻擊方法和攻擊程序(武器)���,突破網(wǎng)絡(luò)隔離的限制���。 1.2.3 攻擊目的 互聯(lián)網(wǎng)上的網(wǎng)絡(luò)攻擊通常是以獲取經(jīng)濟利益為目標,而針對高安全等級網(wǎng)絡(luò)的攻擊則以危害國家安全利益為目標���,屬于國家對抗的范疇���。攻擊高安全等級網(wǎng)絡(luò)的目的包括信息竊取、系統(tǒng)破壞和控制系統(tǒng)���。信息竊取是攻擊者通過各種攻擊手段突破網(wǎng)絡(luò)隔離限制入侵高安全等級網(wǎng)絡(luò)內(nèi)部���,在各類終端、信息系統(tǒng)中搜集和獲取特定的內(nèi)部信息���,并通過擺渡攻擊等方式把信息傳回攻擊者手中���。系統(tǒng)破壞是攻擊者提前把攻擊程序(武器)植入到高安全等級網(wǎng)絡(luò)中���,針對特定的目標系統(tǒng)在達到預(yù)設(shè)條件時發(fā)動攻擊���,對系統(tǒng)實施破壞���,如癱瘓系統(tǒng)、毀壞數(shù)據(jù)等���?��?刂葡到y(tǒng)是攻擊者利用攻擊程序(武器)事先突破高安全等級網(wǎng)絡(luò)中的特定目標系統(tǒng)的控制權(quán)限,在達到預(yù)設(shè)條件時能夠?qū)δ繕讼到y(tǒng)發(fā)送控制指令���,使目標系統(tǒng)按照攻擊者的意圖運行���,如發(fā)布關(guān)閉系統(tǒng)、停水以及停電等非法控制指令���。 1.3 安全防護特點 1.3.1 防護方式 高安全等級網(wǎng)絡(luò)面臨的攻擊所具有的特殊性���,決定了其防護方式與互聯(lián)網(wǎng)安全防護的方式不同���。高安全等級網(wǎng)絡(luò)主要是防御長期潛伏和隱蔽的攻擊,以及內(nèi)部人員實施的安全違規(guī)行為���,重點在于能夠提前發(fā)現(xiàn)和識別網(wǎng)絡(luò)中潛在的安全威脅���,以及及時發(fā)現(xiàn)和阻止內(nèi)部人員實施的違規(guī)行為。 1.3.2 防護目的 高安全等級網(wǎng)絡(luò)來自外部的安全攻擊在未達到預(yù)設(shè)條件或未接收到控制指令時���,攻擊活動主要是以目標滲透和目標發(fā)掘為主���。對于這類攻擊的防護以提前發(fā)現(xiàn)和處置威脅為主。對于內(nèi)部人員實施的攻擊���,則主要以監(jiān)測和取證為主���。高安全等級網(wǎng)絡(luò)安全防護的核心目的是要在網(wǎng)絡(luò)內(nèi)徹底消除威脅,對威脅進行溯源���,并采取措施進行防范���,防止威脅再次發(fā)生���。 1.3.3 防護手段 高安全等級網(wǎng)絡(luò)安全威脅和防護目的的特殊性,要求其防護手段需要有很強的針對性���,重點瞄準威脅的發(fā)現(xiàn)和識別���,能夠針對安全威脅高隱蔽性和持續(xù)性特點���,具備廣度和深度工作的能力���。 2.1 PDRR模型
PDRR模型由美國國防部(United States Department of Defense,DoD)提出���,由Protection(防護)���、Detection(檢測)、Response(響應(yīng))���、Recovery(恢復(fù))4部分組成一個持續(xù)的安全防護循環(huán)���,如圖1所示���。 
圖1 PDRR安全模型 防護(Protection)是指利用各種安全防護手段對信息系統(tǒng)加以保護,防止外部入侵和阻止各類攻擊���。 檢測(Detection)是指對信息系統(tǒng)的安全檢測���,重點是檢測信息系統(tǒng)的脆弱性和網(wǎng)絡(luò)攻擊行為。 響應(yīng)(Response)是指當檢測發(fā)現(xiàn)信息系統(tǒng)存在脆弱性或出現(xiàn)網(wǎng)絡(luò)攻擊行為時���,采取相應(yīng)的安全防護措施針對脆弱性進行安全加固或針對攻擊行為采取阻止行動���。 恢復(fù)(Recovery)是指攻擊阻止后,針對被破壞的系統(tǒng)進行系統(tǒng)恢復(fù)���,主要包括系統(tǒng)功能恢復(fù)和數(shù)據(jù)恢復(fù)���。 2.2 P2DR/PPDR模型 P2DR模型由美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司(American International Internet Security System,ISS)提出���,是一個基于時間的自適應(yīng)網(wǎng)絡(luò)安全模型���。該模型是在安全策略的控制下���,由Protection(防護)、Detection(檢測)���、Response(響應(yīng))3部分形成一個完整動態(tài)的循環(huán)���,如圖2所示。 
圖2 P2DR安全模型 P2DR模型基于時間的理論基礎(chǔ)是���,網(wǎng)絡(luò)安全相關(guān)的所有活動包括攻擊行為、防護行為���、檢測行為和響應(yīng)行為都要消耗時間���,因此可以用時間來衡量一個安全體系的安全性和安全能力。 假如攻擊花費的時間為Pt���,威脅檢測發(fā)現(xiàn)時間為Dt���,響應(yīng)時間為Rest���,系統(tǒng)恢復(fù)時間為Rect。當Pt>(Dt+Rest)+Rect時���,說明系統(tǒng)能夠在攻擊成功之前檢測到威脅并采取響應(yīng)措施���,則認為系統(tǒng)是安全的。 高安全等級網(wǎng)絡(luò)安全防護體系設(shè)計 3.1 P2DAR安全防護模型設(shè)計
高安全等級網(wǎng)絡(luò)在安全防護模型的選擇上���,需要充分考慮所面臨的安全威脅和防護目的的特殊性���,不能純粹沿用互聯(lián)網(wǎng)安全防護模型。因此���,這里在充分研究PDRR���、P2DR等現(xiàn)有模型的基礎(chǔ)上,以“全域感知���、精準防御”作為高安全等級網(wǎng)絡(luò)安全防御思想���,設(shè)計了P2DAR安全模型���。P2DAR模型在P2DR模型基礎(chǔ)上增加了分析(Analyse)環(huán)節(jié),通過全面感知和分析網(wǎng)絡(luò)中的安全狀態(tài)和安全行為���,準確識別潛在的安全威脅���,并及時制定和調(diào)整安全策略,對威脅進行響應(yīng)和處置���,模型如圖3所示���。 
圖3 P2DAR安全模型 防護(Protection)是指利用各種安全防護手段對信息系統(tǒng)加以保護,防止外部入侵和阻止各類攻擊���。 檢測(Detection)是指對信息系統(tǒng)的安全狀態(tài)和安全行為進行檢測,全面感知信息系統(tǒng)的脆弱性和網(wǎng)絡(luò)中的各類安全行為���。 分析(Analyse)是指對檢測的安全狀態(tài)和安全行為進行深度分析研判���,準確定位威脅���。 響應(yīng)(Response)是針對已定位的威脅實施安全防護和處置措施,阻止和消除威脅���。 策略(Policy)是整個模型運轉(zhuǎn)的核心���,作用于防護、檢測���、分析和響應(yīng)的全過程���。 P2DAR安全模型依然遵循時間理論。假如攻擊花費的時間為Pt���,威脅檢測發(fā)現(xiàn)時間為Dt���,分析時間為At,響應(yīng)時間為Rest���,系統(tǒng)恢復(fù)時間為Rect���。當Pt>(Dt+At+Rest)+Rect時���,說明系統(tǒng)能夠在攻擊成功之前檢測到威脅,進而通過分析定位確定并采取適當?shù)奶幹么胧?��,認為系統(tǒng)是安全的���。高安全等級網(wǎng)絡(luò)安全防護的關(guān)鍵是能夠及時發(fā)現(xiàn)和識別威脅,因此分析時間At是決定Pt>(Dt+At+Rest)+Rect成立的重要因素���。 3.2 安全防護體系設(shè)計 3.2.1 安全防護體系架構(gòu) 高安全等級網(wǎng)絡(luò)安全防護體系基于P2DAR安全模型設(shè)計���,如圖4所示。 
圖4 高安全等級網(wǎng)絡(luò)安全防護體系架構(gòu) 高安全等級網(wǎng)絡(luò)安全防護體系在提供計算環(huán)境安全防護���、網(wǎng)絡(luò)安全防護以及應(yīng)用安全防護等傳統(tǒng)安全防護能力基礎(chǔ)上���,以消除外部和內(nèi)部高級威脅為目標,能夠?qū)Ω黝愥槍ξ锢砀綦x網(wǎng)絡(luò)的高隱蔽威脅在觸發(fā)前對其進行識別和清除���。安全防護體系以威脅感知為基礎(chǔ),威脅識別為重點���,依據(jù)標準制度進行威脅處置���。安全策略通過人工或自適應(yīng)動態(tài)調(diào)整���,作用于感知、識別���、處置以及安全防護的全過程���。 3.2.2 威脅感知 威脅感知基于各種安全防護技術(shù)手段,根據(jù)檢測策略對網(wǎng)絡(luò)中的終端���、流量���、用戶、應(yīng)用等網(wǎng)絡(luò)行為和安全系統(tǒng)���、應(yīng)用系統(tǒng)等系統(tǒng)狀態(tài)進行檢測���,第一時間感知網(wǎng)絡(luò)中發(fā)生的攻擊、違規(guī)和可疑行為���,并對所有感知的行為進行記錄或告警���。 高安全等級網(wǎng)絡(luò)除了對傳統(tǒng)的網(wǎng)絡(luò)行為進行感知之外���,還需要對用戶行為進行全方位感知,包括用戶的入網(wǎng)行為���、網(wǎng)絡(luò)訪問行為���,特別是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的數(shù)據(jù)交換行為、信息的輸入輸出行為等���。在網(wǎng)絡(luò)行為感知方面���,需要重點對非法外聯(lián)、存儲介質(zhì)內(nèi)外網(wǎng)交叉使用等行為進行感知���。 3.2.3 威脅識別 威脅識別在威脅感知基礎(chǔ)上采集匯聚各種安全防護手段檢測記錄的所有網(wǎng)絡(luò)告警���、行為數(shù)據(jù)和系統(tǒng)狀態(tài)數(shù)據(jù),根據(jù)安全數(shù)據(jù)標準和威脅識別策略處理采集的元數(shù)據(jù),完成數(shù)據(jù)的清洗���、融合和匯總,以保障數(shù)據(jù)質(zhì)量和建立數(shù)據(jù)之間的關(guān)聯(lián)性���。威脅識別的關(guān)鍵在于安全分析���。通過不同的分析方式和分析模型,對各類數(shù)據(jù)進行綜合關(guān)聯(lián)分析���。通過數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系和不同網(wǎng)絡(luò)行為之間的映射關(guān)系���,分析出現(xiàn)有安全防護手段無法識別的安全威脅,如APT攻擊���。通過數(shù)據(jù)的關(guān)聯(lián)分析能夠?qū)Π踩{進行溯源���,生成攻擊行為軌跡,實現(xiàn)對威脅的精準定位���。必要時���,需通過人工研判對識別出來的安全威脅進行進一步的人工驗證和確認���。安全威脅分析流程設(shè)計如圖5所示。 
圖5 安全威脅分析流程設(shè)計 高安全等級網(wǎng)絡(luò)防護除了能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中傳統(tǒng)的網(wǎng)絡(luò)攻擊外���,如病毒傳播���、網(wǎng)絡(luò)掃描、分布式拒絕服務(wù)攻擊(Distributed Denial of Service���,DDoS)攻擊等���,更重要的是能夠及時發(fā)現(xiàn)通過供應(yīng)鏈或網(wǎng)絡(luò)擺渡攻擊潛入內(nèi)部網(wǎng)絡(luò)的對特定目標、非傳統(tǒng)攻擊手段的安全威脅���。這類安全威脅利用傳統(tǒng)的防病毒���、入侵檢測系統(tǒng)(Intrusion Detection System,IDS)以及防火墻等技術(shù)手段無法識別���,需要有針對性地建立相應(yīng)的分析模型���,包括供應(yīng)鏈攻擊分析模型���、網(wǎng)絡(luò)擺渡攻擊分析模型等,并利用大數(shù)據(jù)分析���、數(shù)據(jù)挖掘和人工智能技術(shù)進行綜合分析和識別。 3.2.4 威脅處置 根據(jù)應(yīng)急響應(yīng)處置流程和處置預(yù)案���,對已確認的安全威脅進行處置���,主要工作包括取證分析、策略調(diào)整���、系統(tǒng)加固和系統(tǒng)恢復(fù)���。處置的目的是消除威脅,并防止威脅再次發(fā)生���。其中���,取證分析是高安全等級網(wǎng)絡(luò)防護威脅處置的重要一環(huán)。通過取證分析不僅要對威脅進行定位和取證,更重要的是需要對威脅進行溯源���,準確查清威脅的來源���,進入內(nèi)部網(wǎng)絡(luò)的方式和途徑,涉及的終端���、系統(tǒng)與人員���,以及威脅在內(nèi)網(wǎng)中的蔓延情況等,以便制定及時準確處置來徹底消除威脅���,阻斷威脅再次進入的途徑���。 3.2.5 安全策略 安全策略貫穿安全防御全過程,可根據(jù)安全防御需求和安全狀態(tài)變化適時調(diào)整策略���。需要注意���,策略調(diào)整之前應(yīng)進行策略的評估和驗證,確保策略的正確性和有效性���。 3.2.6 標準制度 標準制度是安全防御的技術(shù)規(guī)范和行動指南���,保障安全防御能夠有序���、高效運轉(zhuǎn),主要包括安全保密標準���、資產(chǎn)管理制度���、人員管理制度和應(yīng)急響應(yīng)制度等���。 3.3 安全防護體系關(guān)鍵技術(shù) 安全防御體系涉及的關(guān)鍵技術(shù)主要是安全數(shù)據(jù)治理技術(shù)和安全威脅分析技術(shù)���。 3.3.1 安全數(shù)據(jù)治理技術(shù) 高安全等級網(wǎng)絡(luò)采用的安全技術(shù)手段種類多、部署規(guī)模大���,產(chǎn)生的安全數(shù)據(jù)語義不規(guī)范���、格式不統(tǒng)一,數(shù)據(jù)量大���、質(zhì)量低���,嚴重制約數(shù)據(jù)的有效利用���。運用數(shù)據(jù)治理技術(shù)對數(shù)據(jù)進行清洗、校正���、轉(zhuǎn)換以及補缺等處理���,可形成統(tǒng)一的、規(guī)范的網(wǎng)絡(luò)行為數(shù)據(jù)描述���,使數(shù)據(jù)可理解���、可融合、可關(guān)聯(lián)���,提升數(shù)據(jù)質(zhì)量���。 3.3.2 安全威脅分析技術(shù) 安全威脅分析是高安全等級網(wǎng)絡(luò)在攻防博弈中能否占據(jù)主動、先人一步的關(guān)鍵���。通過設(shè)計有針對性的分析算法和分析模型���,并利用行為模式���、專家知識以及機器學習等人工智能技術(shù),可有效提升安全分析的準確性和效率���。 網(wǎng)絡(luò)攻防是一個動態(tài)的博弈過程���,特別是高安全等級網(wǎng)絡(luò)安全防御面對的是國家級網(wǎng)絡(luò)攻擊力量,網(wǎng)絡(luò)防御難度更大���,需要采用針對性更強、更有效的安全防御機制和技術(shù)���,并能夠持續(xù)跟蹤攻防技術(shù)的發(fā)展���,研究對手新的攻擊手段和戰(zhàn)法,才能擁有應(yīng)對各類新型安全威脅的能力���。 引用本文:盤善海���,裴華.高安全等級網(wǎng)絡(luò)安全防護體系研究與設(shè)計[J].通信技術(shù)���,2021,54(7):1715-1720.
|
