張林杰 賈 哲

（1.通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點實驗室 河北 050000 2.中國電子科技集團公司第五十四研究所 河北 050081）

0 引言

網(wǎng)絡(luò)空間是軍事和社會的信息化、網(wǎng)絡(luò)化建設(shè)以及信息作戰(zhàn)概念和技術(shù)發(fā)展到一定階段形成的，是一個全新的作戰(zhàn)空間。雖然網(wǎng)絡(luò)空間是人創(chuàng)造的一個域，但仍是一個實實在在存在的空間。網(wǎng)絡(luò)空間在時域、空域上與海、陸、空、太空等領(lǐng)域是重疊的，橫跨物理域和信息域。

網(wǎng)絡(luò)空間是實現(xiàn)信息獲取、傳輸與處理、應(yīng)用對抗和武器制導(dǎo)的主要渠道。隨著網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，入侵事件日益頻繁，攻擊手段也越來越高明，攻擊目標(biāo)不再僅僅局限于主機、應(yīng)用系統(tǒng)，網(wǎng)絡(luò)基礎(chǔ)設(shè)施也開始成為攻擊目標(biāo)。網(wǎng)絡(luò)基礎(chǔ)設(shè)施一旦遭到破壞，提供服務(wù)就變得無從談起。因此，迫切需要開展網(wǎng)絡(luò)空間安全技術(shù)研究，尤其是網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全技術(shù)研究。

網(wǎng)絡(luò)空間安全從大的層面上可分為技術(shù)、管理和人員三個層面，即安全技術(shù)體系、安全管理體系和安全運維體系。安全技術(shù)體系是一個縱深防御體系，在物理、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等不同的層面上采用不同的安全技術(shù)，抵御各種威脅，降低系統(tǒng)的安全風(fēng)險。安全管理體系是以人為本的管理體系，制定對信息安全進行管理的安全組織、安全策略、人員安全管理規(guī)范、安全意識培訓(xùn)與教育以及安全政策與制度等，為網(wǎng)絡(luò)安全提供管理方面的指導(dǎo)和支持。安全運維體系是對網(wǎng)絡(luò)的日常安全運行進行綜合運維管理的體系，包括：安全策略管理、安全事件管理、資源資產(chǎn)管理、值班管理、安全風(fēng)險管理等。本文將重點從安全技術(shù)體系層面，進行網(wǎng)絡(luò)空間安全的研究與分析。

1 網(wǎng)絡(luò)空間安全發(fā)展趨勢

美國政府認為網(wǎng)絡(luò)空間具有高度的戰(zhàn)略價值—無論從經(jīng)濟上還是軍事上。因此，美國政府下定決心，分配了充足的人力物力，重塑全球網(wǎng)絡(luò)空間；并積極采取行動，制定網(wǎng)絡(luò)空間的“游戲規(guī)則”，獲取網(wǎng)絡(luò)空間的主動權(quán)。正如美國2010年《四年防務(wù)評估》中指出：“盡管網(wǎng)絡(luò)空間是一個人造領(lǐng)域，但它目前已和陸地、海洋、天空和太空等自然領(lǐng)域一樣，成為國防部的活動領(lǐng)域。”

美國網(wǎng)絡(luò)優(yōu)先指導(dǎo)委員會認為[2]，國防部的網(wǎng)絡(luò)基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全方面還遠遠不夠，存在著嚴重的不確定性和不可控性。要確保完成網(wǎng)絡(luò)優(yōu)先任務(wù)，還需要建立可信任的混合型可信系統(tǒng)，建立具備強大的自我修復(fù)能力的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。具體需要發(fā)展五大關(guān)鍵能力：一是可信，通過可升級的逆向工程和分析技術(shù)、信任關(guān)系建立以及可信的傳播和維護技術(shù)、可信性的測量標(biāo)準(zhǔn)、可信的架構(gòu)和可信的合成工具，建立基礎(chǔ)的可信機制。二是有活力的基礎(chǔ)設(shè)施，通過彈性的架構(gòu)、彈性算法和協(xié)議、內(nèi)嵌的彈性機制(例如，冗余性、多樣性、虛擬化、隨機性、不可預(yù)測性及動態(tài)刷新等)，打造具有自適應(yīng)能力的彈性網(wǎng)絡(luò)系統(tǒng)，實現(xiàn)在網(wǎng)速不同的環(huán)境下，對網(wǎng)絡(luò)響應(yīng)速度的自主控制能力，抵御網(wǎng)絡(luò)攻擊并實現(xiàn)對關(guān)鍵功能的維持或恢復(fù)。三是靈活操作能力，構(gòu)建具備強大的自我修復(fù)能力的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，能夠根據(jù)條件/目標(biāo)的變化動態(tài)地重塑網(wǎng)絡(luò)系統(tǒng)，避免攻擊造成的傷害；同時，跟蹤基礎(chǔ)設(shè)施狀態(tài)和網(wǎng)絡(luò)攻擊，理解和預(yù)測它們?nèi)绾斡绊懭蝿?wù)功能。四是任務(wù)確保能力：通過網(wǎng)絡(luò)態(tài)勢的實時感知和實時的任務(wù)分析，根據(jù)歷史數(shù)據(jù)，利用網(wǎng)絡(luò)/動能作戰(zhàn)任務(wù)評估預(yù)測工具，進行網(wǎng)絡(luò)行動決策，實現(xiàn)網(wǎng)絡(luò)任務(wù)控制。五是網(wǎng)絡(luò)建模與仿真試驗?zāi)芰?，能夠開展各種專題試驗；能夠根據(jù)任務(wù)環(huán)境，檢驗網(wǎng)絡(luò)操作的各個方面；明確定義的指標(biāo)；具備一定的規(guī)模；具備良好的綜合試驗?zāi)芰?，能夠進行網(wǎng)絡(luò)建模與仿真演練，定時評估網(wǎng)絡(luò)作戰(zhàn)能力。

此外，美國高度重視基礎(chǔ)通信設(shè)施安全，并將其提升到國家安全層面，不斷加大研發(fā)投入支持。2003年2月14日，美國公布的國家戰(zhàn)略—《The National Strategy to Secure Cyberspace》中，直接指出需要加強BGP和DNS協(xié)議的安全性與健壯性。國土安全部科技部門稱自2009年起在路由安全方面的研發(fā)投入每年增加至250萬。

美軍在GIG3.0中，在網(wǎng)絡(luò)體系設(shè)計上就充分考慮信息保障及賽博作戰(zhàn)的需求，提出采用統(tǒng)一的黑核網(wǎng)絡(luò)統(tǒng)一的提供涉密和非密信息的傳送。在終端采用多密級瘦客戶端技術(shù)、核心網(wǎng)利用虛擬化技術(shù)實現(xiàn)不同密級信息的隔離傳輸。通過受控的隔離交換，實現(xiàn)跨域互聯(lián)。建立安全運維中心，實現(xiàn)全網(wǎng)安全態(tài)勢的全面感知與分析。

2 我國網(wǎng)絡(luò)空間安全需求分析

網(wǎng)絡(luò)空間是未來信息化戰(zhàn)爭中一個新的作戰(zhàn)領(lǐng)域，各國紛紛出臺新軍事戰(zhàn)略，積極發(fā)展網(wǎng)絡(luò)攻防作戰(zhàn)能力，將網(wǎng)電空間控制權(quán)提升到重大國家戰(zhàn)略層面。網(wǎng)絡(luò)空間滲透與反滲透、控制與反控制、竊密與反竊密斗爭日趨激烈，Suter、Stuxnet、Flame等高強度、新概念未知攻擊手段層出不窮。網(wǎng)絡(luò)攻擊的方式日趨多樣化，以“震網(wǎng)”病毒為代表的網(wǎng)絡(luò)戰(zhàn)武器的出現(xiàn)，證明物理隔離網(wǎng)絡(luò)并不安全，依然有遭受攻擊的風(fēng)險。網(wǎng)絡(luò)空間對抗形式的嚴峻需要網(wǎng)絡(luò)具備自主安全能力。

在網(wǎng)絡(luò)空間安全方面，目前國內(nèi)研究和應(yīng)用較多的主要在網(wǎng)絡(luò)防御上，具體有以下幾個方面。一是訪問控制技術(shù)，防止未授權(quán)用戶使用網(wǎng)絡(luò)資源，避免網(wǎng)絡(luò)入侵，目前通常采用的措施包括物理隔離、信號控制接入（采用直擴、跳頻、擴頻結(jié)合方式傳輸信號）、防火墻、身份認證（防止欺騙攻擊）等技術(shù)。二是加密技術(shù)，防御網(wǎng)絡(luò)監(jiān)聽，保護信息的機密性，可用于身份驗證，防止欺騙。網(wǎng)絡(luò)傳輸中常采用鏈路層加密和網(wǎng)絡(luò)層加密技術(shù)。三是監(jiān)控技術(shù)，監(jiān)控包括惡意代碼掃描和入侵監(jiān)測兩種，惡意代碼掃描主要掃描病毒和后門程序，入侵監(jiān)測主要是通過搜集、分析網(wǎng)絡(luò)/主機的信息來識別異常。四是審計技術(shù)，審計是被攻擊后的事后措施，對入侵或攻擊進行分析、追蹤、記錄日志。

當(dāng)前，我國網(wǎng)絡(luò)安全的根基還比較脆弱，我國在網(wǎng)絡(luò)對抗領(lǐng)域還存在很多不足。 我國現(xiàn)有信息安全防護系統(tǒng)的CPU、數(shù)據(jù)庫、操作系統(tǒng)、標(biāo)準(zhǔn)協(xié)議、骨干路由器等軟硬件平臺，主要依賴進口，且大多數(shù)是從我主要對手國家引進；建立在他人操作系統(tǒng)之上的網(wǎng)絡(luò)系統(tǒng)，安全性無從談起；構(gòu)筑信息安全平臺的根基本身就存有嚴重的安全隱患，一旦發(fā)生網(wǎng)絡(luò)戰(zhàn)，后果難以想象。

綜上所述，目前已有的安全防護模式已經(jīng)難以適應(yīng)新一代信息系統(tǒng)的安全防護需求，網(wǎng)絡(luò)安全需要與網(wǎng)絡(luò)統(tǒng)一設(shè)計、同步建設(shè)，與網(wǎng)絡(luò)共同發(fā)展。

3 網(wǎng)絡(luò)空間安全技術(shù)體系設(shè)計

網(wǎng)絡(luò)空間安全技術(shù)體系的發(fā)展，要從基于特征“辨?zhèn)巍卑l(fā)展到基于身份“識真”，以信任為基礎(chǔ)，打造安全可信的網(wǎng)絡(luò)空間。通過從網(wǎng)絡(luò)邊界防護發(fā)展到端到端防護，實現(xiàn)業(yè)務(wù)信息的全程保障；從粗放保護發(fā)展發(fā)展到精確控制，根據(jù)具體業(yè)務(wù)特點進行有針對性的安全防護和分級服務(wù)，實現(xiàn)細粒度的信息資源訪問控制；從外圍加固發(fā)展到強基固本，基于具有自主知識產(chǎn)權(quán)的軟硬件平臺，構(gòu)建自主可控的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，實現(xiàn)網(wǎng)絡(luò)空間安全從靜態(tài)防護到主動防御的發(fā)展。

網(wǎng)絡(luò)空間安全通過網(wǎng)絡(luò)與安全的一體化設(shè)計、基于具有自主知識產(chǎn)權(quán)的軟硬件平臺，打造安全可信的網(wǎng)絡(luò)連接環(huán)境、安全可信的計算處理環(huán)境和安全可信的信息服務(wù)環(huán)境，構(gòu)建具有多方位感知、多層次分析、融合展現(xiàn)能力的監(jiān)控預(yù)警系統(tǒng)，以及具備聯(lián)動響應(yīng)體系的運維管理系統(tǒng)，提升網(wǎng)絡(luò)空間本身的安全可信性，提高網(wǎng)絡(luò)空間本身抵御攻擊的能力。

圖1給出了網(wǎng)絡(luò)空間安全技術(shù)體系的設(shè)計。網(wǎng)絡(luò)空間安全技術(shù)體系由網(wǎng)絡(luò)安全防護、安全管理和安全服務(wù)三個面組成，形成覆蓋主機-網(wǎng)絡(luò)-應(yīng)用的縱深防護體系。

網(wǎng)絡(luò)安全防護包括由認證與身份管理系統(tǒng)構(gòu)成的基礎(chǔ)支撐層；由終端安全、網(wǎng)絡(luò)安全可信和邊界安全防護構(gòu)成的網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全層；由安全服務(wù)、平臺軟件安全和服務(wù)安全構(gòu)成的信息服務(wù)環(huán)境安全層；由數(shù)據(jù)存儲安全、傳輸安全、備份與恢復(fù)構(gòu)成的數(shù)據(jù)安全層；由訪問控制、日志審計等構(gòu)成的應(yīng)用安全層；以及由終端監(jiān)控、無線入侵檢測、骨干網(wǎng)絡(luò)監(jiān)測、預(yù)警發(fā)布等構(gòu)成的網(wǎng)絡(luò)空間監(jiān)控預(yù)警系統(tǒng)。安全服務(wù)包括病毒庫、攻擊特征庫、漏洞庫、補丁庫等的維護、更新。安全管理主要實現(xiàn)安全設(shè)備的綜合管理、全網(wǎng)安全策略的統(tǒng)一管理。

圖1 網(wǎng)絡(luò)空間安全技術(shù)體系

其中網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全與 信息服務(wù)環(huán)境安全又構(gòu)成了基礎(chǔ)設(shè)施安全系統(tǒng)，完成網(wǎng)絡(luò)分層架構(gòu)中網(wǎng)絡(luò)層及服務(wù)支撐層的安全?；A(chǔ)設(shè)施安全的基本功能一是為各類信息傳輸、處理、共享和服務(wù)提供安全可信的環(huán)境；二是捍衛(wèi)網(wǎng)絡(luò)空間，實時監(jiān)視網(wǎng)絡(luò)安全態(tài)勢，組織應(yīng)急響應(yīng)行動，支持網(wǎng)絡(luò)的防御作戰(zhàn)。

4 結(jié)束語

信息技術(shù)快速發(fā)展和軍事理論不斷創(chuàng)新，推動了世界軍事領(lǐng)域的全面變革，戰(zhàn)爭形態(tài)正在從以武器平臺為核心轉(zhuǎn)向以信息網(wǎng)絡(luò)為中心，作戰(zhàn)空間由以“戰(zhàn)區(qū)”、“戰(zhàn)場”為特征的地理空間轉(zhuǎn)變?yōu)橐浴胺蔷€性”、“全縱深”為支撐的網(wǎng)絡(luò)空間。網(wǎng)絡(luò)中心戰(zhàn)理論的創(chuàng)新和實踐，推進了基于網(wǎng)絡(luò)的作戰(zhàn)指揮、基于網(wǎng)絡(luò)的信息獲取和基于網(wǎng)絡(luò)的信息分發(fā)與共享。網(wǎng)絡(luò)空間安全已成為實施聯(lián)合作戰(zhàn)和各種軍事行動的重要保障。網(wǎng)絡(luò)空間安全要走網(wǎng)絡(luò)與安全的融合發(fā)展路線。一是在網(wǎng)絡(luò)體系設(shè)計上，充分考慮安全需求，提升網(wǎng)絡(luò)的抗毀抗擾能力；二是在協(xié)議設(shè)計上，充分考慮協(xié)議的抗攻擊能力；三是在設(shè)備研制中，充分考慮設(shè)備自身安全性，提高設(shè)備自身抵御攻擊的能力。四是基于國產(chǎn)軟硬件平臺和可信計算技術(shù)，打造可信的網(wǎng)絡(luò)空間。

[1] 吳巍.賽博空間技術(shù)發(fā)展現(xiàn)狀與通信網(wǎng)絡(luò)安全問題[J].無線電通信技術(shù) , 2012,(03)月.

[2] 未來美軍網(wǎng)絡(luò)安全技術(shù)發(fā)展路線圖.知遠戰(zhàn)略與防務(wù)，http://www.knowfar.org.cn/espec/c_2013-10.htm，2013年5月.

[3] 袁春陽，通信基礎(chǔ)設(shè)施安全研究及相關(guān)工作，中國計算機網(wǎng)絡(luò)安全年會，2011.

[4] CIESLAK Randy.GIG 3.0 Design Factors[EB/OL].[2011-06-11].

http：//info.publicintelligence.net/USPACOM-GIG.pdf.

[5] DAVID E SANGER，JOHN MARKOFF．Obama Outlines,Coordinated Cyber-Security Plan［N］．The New York Times，2009-5-29.