王熙博 翟立东
摘 要:随着数字经济快速发展和成熟,网络安全重要性凸显,国家相继出台一系列法律法规、政策标准和具体举措,以期加强网络安全防护。但安全事件仍时有发生,对国家安全、公共安全和社会稳定造成了持续的高强度挑战。如何应对高强度的网络攻击,有效提升网络安全防护能力, 已成为当前迫切需要解决的问题。
关键词:网络安全;安全防护;关基;云服务
当前,全球百年变局和世纪疫情交织叠加, 国际环境日趋复杂。网络霸权主义不断对世界和平与发展构成威胁,网络空间对抗趋势更加突出,针对关键网络基础设施的大规模攻击行为频繁发生,安全漏洞、数据泄露、网络欺骗、断网断供等风险大幅上升。网络攻击所造成的损失不断创下新的历史记录。根据GoUpSec 的统计分析,2022 年全球网络攻击以政府、银行、航空、汽车、医疗等行业为主。Cybersecurity Ventures 在最新发布的“网络犯罪报告”中预计,2023 年网络犯罪将给全世界造成约8 万亿美元的损失。
我国是面临网络攻击威胁最严重的国家之一,尤其针对关键信息基础设施(简称“关基”) 的攻击行为日益加剧。2022 年5 月,澳门健康码连续两天遭受境外网络攻击300 多万次,珠澳出入境大受影响,关口一度人流拥挤。2022 年9 月,国家计算机病毒应急处理中心和360 公司发布了关于西北工业大学遭受境外网络攻击的调查报告,在调查中发现A 国下属特定入侵行动办公室(TAO)对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,包括网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等, 窃取了超过140GB 的高价值数据。
根据已有数据显示,近年来网络安全投入的持续加大并未有效改善安全形势,恶性攻击事件更趋多元化和复杂化。特别是在我国,已有不少组织反映,安全措施存在“平时用不上、出事不管用”的情况,安全体系在高强度攻击中不堪一击,安全防护仅以被动的“合规”方式应对,用户对网络环境的不信任感强烈。这种情况下,如何有效提升关基网络安全防护能力,提升用户对安全防护措施的信任度,成为当前迫切需要解决的难题。
一、当前存在的网络安全问题分析
( 一)“适度安全”给产业界造成了认知上的误区
信息安全保障理论认为,应基于成本考虑安全问题,强调“适度安全”,允许接受一部分风险。美国某著名黑客也曾说,“没有攻不破的网络”。这些言论在我国产业界影响很大, 认为如果具有压倒性技术与资源优势的机构或者国家对当前任意信息系统实施攻击,就能获得“碾压式”效果,网络攻击已经成为对信息系统进行有效打击的“最低成本”手段。不少用户甚至连业界和专业安全厂商都默认了这种现象的合理性。他们有理由认为,防御的价值是尽量给攻击者制造障碍,因为没有攻不破的系统,所以只能尽力保障安全,无法承诺也不能衡量安全的效果。这就造成在国内谁也不相信安全问题能够得以真正解决,大家只是尽量达到“合规”的怪现象。
( 二) 基于威胁驱动的“反向查”防御理论, 是造成“系统必定会被攻破”的原因
当前一种主流观点认为,安全是威胁(或风险)驱动的。之所以有安全问题,就是因为有威胁存在。安全的目标就是尽量去查找并消除威胁风险,这就是“反向查”思想,即通过人、技术、操作,逐层提高威胁及其破坏性后果的检测与防护概率,从而尽量消除威胁风险。依据这种思想构建的就是以风险为中心的安全保障体系,然而如果仅依据该体系进行安全防护,会存在以下问题:
1. 系统的复杂度决定着难以识别所有风险。当前的防御策略以能了解风险为前提,但实际上,随着系统复杂性的提高,未知风险越来越多,攻击者只要找到其中任何一个节点就能攻击成功,而防御者必须修补所有风险才能确保安全。在此过程中,有效的资产识别、风险定位是保证安全的前提。但实际上,这一前提随着网络复杂度的增加越来越难以达到,而用户面临大量难以识别的“不确定”风险。
2. 传统防御手段进一步提升了网络复杂度。传统防御技术通过不断增加安全防御产品或服务来提升防护能力,这反过来又进一步增加了系统的复杂性与“不确定”风险,造成安全成本提高,且形成安全悖论。因此,传统防御手段只能是“尽力而为”。
3. 有限成本无法应对无穷威胁。现在,用户已经习惯使用技术和产品的组合来建设安全方案,但事实上,用户必定无法以有限成本对抗无穷威胁,这致使系统必定会被高强度的攻击所攻破。
国内目前主流的安全体系,正是基于威胁驱动的“反向查”思维而构建的。因此,当前国内热门的安全技术方向是威胁情报、漏洞挖掘、大数据分析、安全态势感知、零信任实时风险评估,等等。而这些以“威胁可视化”为基础的技术必定存在识别率的问题,因此只能做到“尽力而为”的防御。想依靠上述技术来识别、感知、定位、消除系统内所有的风险是不现实的,这就是国内业界认为“系统一定会被攻破”的原因,并且视之为理所应当的安全公理。
二、基于“正向建、反向查”,构建安全可靠的韧性网络
(一)“正向建、反向查”理念的来源
根据美国国家标准与技术研究院(NIST) 在其“ 系统安全工程指南 SP 800-160”中的定 义,信息安全目标在“本质上,应提供必要的可信性,能够承受和抵御对支持关键使命和业务运营的系统实施的资源充足、水平高超的网络攻击”。在该目标中,没有认为网络安全保障是不可能完成的任务。
2019 年,欧盟发布《关于欧洲网络与信息安全局信息和通信技术的网络安全》法案,通过关键信息和通信领域的安全认证计划,为ICT 产品、服务或流程设置多个安全级别:“基本”“可靠”或“高”,要求安全级别应与预期用途风险级别相匹配。
国际上的信息安全体系,已经从针对威胁的“纵深防御”(2003 年美国国家安全局NSA 制定的信息保障技术框架IATF),发展到面向业务的“韧性”保障(2007 年美国国土安全部与2017 年美国国家标准与技术研究所NIST 制定的网络安全框架 CSF 1.1 IPDRR)和安全认证计划(2019 年欧洲议会和欧盟理事会第2019/881 号条例)。
安全体系的目标不是为了能检测和对抗尽可能多的威胁,安全的价值在于即使系统面对“国家级高强度的安全威胁、漏洞开放、防御失效”时,通过对业务的“确定性”保障,也能保证业务不受影响。
(二)基于“正向建、反向查”理念构建安全可靠的韧性网络
威胁检测与防护不是安全保障的关键,降低安全“不确定性”,才能真正保障安全。
“正向建、反向查”网络架构是“威胁防御体系”(“反向查”)的扩展,增加了“正向建”体系,即在信息系统建设期,就构建“内生信任体系”,该体系定义了系统内行为合法模型,也构建了系统内安全确定性。在继续增强的“威胁防御”体系中,增加基于业务行为白名单的主动防御技术,消减外部威胁引入的安全不确定性,使威胁限定在可控的范围内。与此同时,在两个体系之上构建“运营管理体系”,一旦发现攻击或业务异常,及时纠偏,收敛系统的不确定性。通过三个体系共同作用,保障业务系统在有限成本内, 可动态处于安全状态。
1.“正向建”体系架构。这一体系由三部分构建,一是设备可信部分,保证设备自身的实现,具备符合业务要求的安全机制、内部实现尽量没有漏洞、开发流程可靠;二是身份和连接可信部分,即系统内的所有实体均可被可靠标识,所有系统行为,包括谁、操作、对象、允许/ 禁止等,均可基于标识形式化描述,且对于行为和权限的要求应符合安全设计,比如使用IPv6 中的SRv6 技术实现确定性路由;三是行为可验证部分,在系统内各实体部件保证自身安全、系统内行为可基于身份可靠建模之后,要对系统内关键实体的行为进行安全性验证,以确保实体行为符合安全定义,一旦检测到实体发生不符合预期的行为,需要通过预先制定的安全策略进行相应处置。
2.“反向查”体系架构。设立防御体系的目的是尽量减少系统因威胁所造成的安全不确定性,实现“尽力而为”的防护。当前“反向查”防御体系的主要方法论,依然是“纵深防御”理论,这一思路在威胁防御体系内依然是有效的。
3.“运营管理”体系架构。这一体系包括安全保障流程驱动的系统全生命周期风险评估与确定性保障流程,以及相对应的技术工具, 如检测算法、脚本等。安全运营管理体系基于IPDRR 进行组织,其目标是随时发现系统的异常状态并纠正到正常状态,实现系统安全风险的快速收敛,使系统免受攻击损失。该体系会通过算法和脚本使用“正向建”体系、“反向查” 体系中的各项数据、功能,完成动态的安全保障活动。
“正向建、反向查”网络架构能够提供对业务无感知的动态安全保障,即该架构不是所有的威胁都可被成功检测和防御,其价值在于防御失效后,具备持续动态的业务恢复机制, 只要修复足够快,就可让系统一直处于动态安全状态而业务无感知。
三、相关政策建议
(一)推动“正向建、反向查”网络安全政策出台。针对当前关基安全防御盲点,在政策中应突出强调以下方面:一是强化关基网络基础设施国产化要求,提高芯片、服务器、操作系统、数据库、AI 框架、通用开发工具链、AI 开发工具链、大数据分析产品、人工智能技术等国产化使用率,保障产业链、供应链安全稳定;二是强化关基网络基础设施自身安全能力建设,包括鼓励采用安全可靠产品,通过供应链可信、硬件和软件可信技术,保证网络和安全基础设施安全可靠; 三是鼓励构建IPv6+ 确定性网络,通过SRv6、APN6 等IPv6+ 技术和路由协议安全技术,实现网络连接的确定性,避免路由被劫持和不符合预期的网络转发;四是通过数字身份和动态的信任评估技术,构建持续信任评估环境,实现随时随地设备和人员入网及访问安全;五是通过基于AI 的威胁关联检测、云地联邦学习等技术,搭建全域风险感知、监测和响应的云网边端防御自动化平台,突出构筑勒索、挖矿等高发病毒检测及全网并发处置能力,同时充分运用自有和第三方情报资源,加强未知漏洞及高级持续性威胁检测发现能力,以网络安全数字地图方式,实现安全态势一网可视,安全策略一键下达。
(二)推动ICT 产品安全能力分级分类评价体系建设。一是构建通用的网络安全认证框架、多种形式组合的认证方法、评定机构的资格认可标准等,以期实现保护通过或接入这些ICT 产品、服务或者流程的全生命周期内进行存储、传输或者处理的数据、相关功能或服务的可用性、真实性、完整性和保密性。该评价体系应实现以下安全目标:(1)在ICT 产品、服务或流程的整个生命周期内确保存储、传输或以其他方式进行处理的数据安全,防止意外或未经授权的存储、处理、访问或披露;(2)在ICT 产品、服务或流程的整个生命周期内确保存储、传输或以其他方式处理的数据安全,防止意外或未经授权的破坏、丢失、改变或缺失可用性;(3)授权人员、程序或机器只能依权限访问相应数据、服务或功能;(4)识别并记录已知的依赖信息和漏洞; (5)记录在何时何地以及由谁访问、 使用或以其他方式处理数据、服务或功能; (6)能够检查在何时以及由谁访问、使用或以其他方式处理了哪些数据、服务或功能; (7) 核实ICT 产品、服务或流程不包含已知漏洞; (8)在发生物理或技术事件时及时恢复数据, 确保服务和功能可用、可访问;(9)ICT 产品、服务或流程在默认情况下和设计上都是安全的;(10)向ICT 产品、服务或流程提供不包含公开漏洞的最新软件和硬件,并提供安全升级机制。
二是建立ICT 产品多个安全级别能力。包括“基本”“可靠”或“高”,安全级别应与ICT 产品、服务或流程的预期用途风险级别相匹配,包括事故的概率和影响,帮助关基用户可以基于自身需求选择不同安全级别的产品。
三是建立ICT 产品安全评价及监督机制。包括建立用户反馈通道,并与产品提供商进行对接,提升产品安全问题修复的及时性, 同时帮助用户选择更优质的产品。
(三)建设关基“韧性”防御单位试点。挑选几个关基保护的典型企业作为标杆,让其他行业/ 企业参考。建议要注意不同层次的搭配,不能都选择资金投入大、防护全面的, 也需要考虑较小的关基系统如何有效保住“底线”。
(四)建立关基“韧性”防御能力评估机制。通过静态、动态评估方法相结合的方式,开展评估工作。包括三方面的评估活动: 一是安全基线评估,以关基保护标准要求为主开展基线评估;二是自动化防御响应能力评估,评估数据格式标准化能力、系统互联互通互操作能力,通过常规攻击仿真检测其自动化防御响应能力,包括响应时间、并行处置时间等;三是防御效果及响应能力评估, 通过自收集针对关基的漏洞、恶意代码、APT 攻击模式等,对关基进行攻击检测模拟,检测出各类关基系统防护效果及响应能力。在对业务连续性要求极高的场景,如金融行业, 应推动各关基行业构建系统仿真环境,并在该仿真环境中开展防御效果及响应能力检测的工作。
(五)在行业内推动构建网络安全“正向建、反向查”产业生态。通过成立网络安全“正向建、反向查”专项工作组,引导政产学研用各方面运用各类宣传、引导手段,培育网络安全“正向建、反向查”产业生态。
参考文献
[1] 张振峰, 张志文, 王睿超. 网络安全等级保护 2.0 云计算安全合规能力模型[J]. 信息网络安全, 2019(11).
[2] 黄雪锋, 李延兵, 孙华锐. 云平台网络安全等级保护 2.0 三级建设方案[C]. 2019 中国网络安全等级保护和关键信息基础设施保护大会论文集, 2019.
[3] GBT22239-2019. 信息安全技术 – 网络安全等级保护基本要求 [S]. 北京:标准出版社, 2019.
[4] 张媛媛 . 云计算环境下的数据安全问题探讨 [J]. 电脑与电信,2017(12):64-66.
[5] 门红,姚顺利 . 安全监控虚拟云安全网络架构研究 [J]. 信息网络安全,2017,17(3): 14-20.
[6] 黄利军 . 软件定义数据中心技术与实践 [M]. 北京:人民邮电出版社,2017.
[7] 徐书欣,赵景. ARP 欺骗攻击与防御策略探究[J]. 现代电子技术,2018,41(8): 78-82.
[8] 邹承明,刘攀文,唐星 . 动态主机配置协议泛洪攻击在软件定义网络中的实时防御 [J]. 计算机应用,2019,39(4):1066-1072.
[9] 文伟平,郭荣华,孟正,等. 信息安全风险评估关键技术研究与实现 [J]. 信息网络安全,2015,15(2):7-14.
[10] 蒋凡,魏弋翔,庄严,等. 安全私有云有效应对勒索病毒的原理分析 [J]. 信息网络安全,2017,17(8):83-88.
(作者王熙博系中国科学院软件研究所高级工程师,翟立东系中国科学院大学教授)