◆楊元瑾

（中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司 北京 102209）

1 網(wǎng)絡(luò)攻防對抗平臺總體技術(shù)設(shè)計思路

高安全等級的網(wǎng)絡(luò)威脅，尤其是美國等網(wǎng)絡(luò)安全強國對其他國家的攻擊，往往是利用軟硬件后門，結(jié)合未公布（或預(yù)制）的系統(tǒng)漏洞，利用網(wǎng)絡(luò)戰(zhàn)工具實施攻擊。此類攻擊具有入侵后長期潛伏的特點，而且目前基于安全風(fēng)險識別的普通安全防護無力應(yīng)對。對抗這種高安全等級的網(wǎng)絡(luò)安全威脅，是基于未知系統(tǒng)安全風(fēng)險的安全防護，必須啟用主動發(fā)現(xiàn)識別系統(tǒng)漏洞和安全防護漏洞。

主動發(fā)現(xiàn)就需要引入網(wǎng)絡(luò)攻防對抗。通過專業(yè)攻防團隊使用網(wǎng)絡(luò)攻擊工具對目標系統(tǒng)進行持續(xù)模擬攻擊，安全防護團隊不斷對攻擊進行防御。從防御的角度來說，可以提高系統(tǒng)健壯性和防護策略有效性，提高安全防護服務(wù)團隊的實戰(zhàn)能力；從攻擊的角度來說，可以不斷提高網(wǎng)絡(luò)攻擊團隊對類似目標系統(tǒng)的攻擊能力，進而形成網(wǎng)絡(luò)威懾能力。網(wǎng)絡(luò)攻防對抗的成果，將會反饋到主動安全服務(wù)中，形成兩類服務(wù)的良性互動。

2 網(wǎng)絡(luò)攻防對抗平臺功能

網(wǎng)絡(luò)攻防對抗平臺（簡稱“平臺”）主要實現(xiàn)以下功能：

2.1 網(wǎng)絡(luò)攻防對抗

網(wǎng)絡(luò)攻防對抗是由安全攻防對抗團隊組織的對關(guān)鍵信息基礎(chǔ)設(shè)施的持續(xù)性的模擬攻防，目的在利用最新安全技術(shù)、工具和情報，尋找防護對象的安全弱點，演練攻防策略，鍛煉攻防隊伍，進而提高被保護對象的網(wǎng)絡(luò)防護能力。

2.2 主動安全服務(wù)

主動安全服務(wù)是持續(xù)性的日常安全服務(wù)，為關(guān)鍵信息基礎(chǔ)設(shè)施提供安全咨詢、安全監(jiān)測、保護防御、應(yīng)急響應(yīng)、安全運維、工控安全等服務(wù)。

2.3 安全威脅預(yù)警服務(wù)

安全威脅預(yù)警服務(wù)提供以下三類服務(wù)：

①基于威脅情報的預(yù)警服務(wù)

通過網(wǎng)絡(luò)情報搜索，預(yù)警通報，或國內(nèi)類似系統(tǒng)已經(jīng)受到的攻擊等威脅情報，判斷潛在的被攻擊對象，向其發(fā)出預(yù)警信息，為其提供預(yù)警時間，并對如何應(yīng)對威脅提供技術(shù)支持。

②基于技術(shù)情報的預(yù)警服務(wù)

通過對網(wǎng)絡(luò)安全技術(shù)情報進行分析，結(jié)合對各被保護對象的系統(tǒng)技術(shù)狀態(tài)和網(wǎng)絡(luò)安全技術(shù)狀態(tài)進行分析，判斷被保護對象可能面臨同類技術(shù)風(fēng)險，向其發(fā)出預(yù)警信息，并對如何應(yīng)對威脅提供技術(shù)支持。

③基于攻防對抗的預(yù)警服務(wù)

通過對各被保護對象進行攻防對抗演練，發(fā)現(xiàn)系統(tǒng)漏洞、防護策略和安全管理等方面的風(fēng)險，結(jié)合對各被保護對象的整體安全防護進行分析和匹配，判斷被保護對象可能面臨的潛在防護風(fēng)險，向其發(fā)出預(yù)警信息，并對如何應(yīng)對威脅提供各方面支持。

2.4 安全態(tài)勢感知服務(wù)

安全態(tài)勢感知服務(wù)是由服務(wù)團隊根據(jù)用戶的不同需求，對安全態(tài)勢數(shù)據(jù)進行融合和重構(gòu)，以直觀的可視化方式向用戶呈現(xiàn)所需安全信息，并通過移動終端、固定終端、專用顯示系統(tǒng)等途徑向用戶推送。安全態(tài)勢感知[4]服務(wù)幫助用戶透過繁雜的安全數(shù)據(jù)和安全技術(shù)，簡單、直觀、高效地獲取所需安全信息為用戶提供多角度、多維度、可視化的安全態(tài)勢感知和決策支持。

3 網(wǎng)絡(luò)攻防對抗平臺總體架構(gòu)

網(wǎng)絡(luò)攻防對抗平臺分為項目服務(wù)層、服務(wù)支持層、數(shù)據(jù)分析層、數(shù)據(jù)層、安全產(chǎn)品層和核心技術(shù)層。項目服務(wù)層對關(guān)鍵信息基礎(chǔ)設(shè)施提供各項安全服務(wù)，其它各層為其提供能力支撐，各層從下至上對上層提供支持。用戶通過項目服務(wù)層與平臺交互，與其余各層無交互。如圖1所示。

圖1 網(wǎng)絡(luò)攻防對抗平臺總體架構(gòu)圖

3.1 項目服務(wù)層

項目服務(wù)層是用戶與平臺的結(jié)合點，用戶通過項目服務(wù)獲得平臺的保護。項目服務(wù)層將平臺其余各層的能力形成安全服務(wù)，提供給用戶。

3.2 服務(wù)支持層

服務(wù)支持層為項目服務(wù)層提供技術(shù)支持。服務(wù)團隊通過服務(wù)支持層獲取所需服務(wù)資源，為用戶提供服務(wù)。

3.3 數(shù)據(jù)分析層

數(shù)據(jù)分析層由安全分析團隊依據(jù)安全數(shù)據(jù)和分析系統(tǒng)執(zhí)行安全分析，提供網(wǎng)絡(luò)攻擊分析和安全情報分析兩類服務(wù)。

3.4 數(shù)據(jù)層

數(shù)據(jù)層為分析層提供數(shù)據(jù)支持，包括：

①網(wǎng)絡(luò)與主機安全數(shù)據(jù)

網(wǎng)絡(luò)數(shù)據(jù)包括：網(wǎng)絡(luò)邊界元數(shù)據(jù)（五元組至十三元組），原始流數(shù)據(jù)（短期存儲），風(fēng)險預(yù)識別數(shù)據(jù)，內(nèi)網(wǎng)標識數(shù)據(jù)，網(wǎng)絡(luò)安全設(shè)備日志數(shù)據(jù)。

主機安全數(shù)據(jù)包括：云運維與安全數(shù)據(jù)，主機操作系統(tǒng)日志，安全防護軟件日志，業(yè)務(wù)軟件日志，系統(tǒng)運維數(shù)據(jù)，安全審計數(shù)據(jù)等。

②網(wǎng)絡(luò)對抗數(shù)據(jù)

網(wǎng)絡(luò)對抗數(shù)據(jù)包括：從戰(zhàn)略、戰(zhàn)術(shù)、技術(shù)等角度，描述網(wǎng)絡(luò)攻防對抗雙方的相關(guān)信息，包括對抗主體、對抗時間、戰(zhàn)略策略、對抗方式、工具及手段、持續(xù)時間、過程描述、對抗效果等。

③行業(yè)安全情報

行業(yè)安全數(shù)據(jù)包括：行業(yè)基礎(chǔ)設(shè)施及信息系統(tǒng)相關(guān)的用戶訪問日志、安全檢測日志、運行狀態(tài)日志、業(yè)務(wù)運行日志、運維管理記錄、操作記錄等。

④網(wǎng)絡(luò)威脅情報

網(wǎng)絡(luò)威脅情報包括：網(wǎng)絡(luò)威脅情報包括：黑白名單數(shù)據(jù)、安全攻擊事件、惡意代碼活動及其特征信息、僵尸網(wǎng)絡(luò)活動信息、漏洞信息、黑客及其組織信息等。

⑤安全產(chǎn)品層

安全產(chǎn)品層為平臺提供技術(shù)裝備支持，安全產(chǎn)品層在防護上強調(diào)防護底線（重點在數(shù)據(jù)保護和加密），以及產(chǎn)業(yè)生態(tài)圈聚合能力，實現(xiàn)開放，彈性，可擴展。主要包括以下產(chǎn)品：網(wǎng)絡(luò)及主機防護產(chǎn)品、網(wǎng)絡(luò)攻防工具軟件、網(wǎng)絡(luò)安全大數(shù)據(jù)分析系統(tǒng)、網(wǎng)絡(luò)威脅情報庫。

⑥核心技術(shù)層

核心技術(shù)層為平臺提供技術(shù)支撐包括：自主可控網(wǎng)絡(luò)及主機防護技術(shù)。網(wǎng)絡(luò)邊界控制，主機控制把控著網(wǎng)絡(luò)安全關(guān)鍵節(jié)點，一旦留有后門會造成嚴重網(wǎng)絡(luò)安全風(fēng)險，應(yīng)確保絕對可控。因此應(yīng)采用自主可控軟硬件技術(shù)的國產(chǎn)化裝備。

網(wǎng)絡(luò)攻防對抗技術(shù)。網(wǎng)絡(luò)攻防對抗技術(shù)本質(zhì)是一個體系工程。網(wǎng)絡(luò)攻防對抗技術(shù)不僅僅局限于傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，大量社會科學(xué)進入了網(wǎng)絡(luò)攻防對抗的范疇，包括：社會網(wǎng)絡(luò)分析、媒體傳播、統(tǒng)計分析等。通過這些技術(shù)的融合，形成了一個全新的網(wǎng)絡(luò)攻防對抗技術(shù)體系。

網(wǎng)絡(luò)安全大數(shù)據(jù)分析技術(shù)。網(wǎng)絡(luò)安全大數(shù)據(jù)分析，核心技術(shù)包括網(wǎng)絡(luò)流元數(shù)據(jù)采集技術(shù)，雙向可擴展安全數(shù)據(jù)交換總線，多分析引擎效能融合技術(shù)，大流量分析結(jié)果智能判別技術(shù)，攻擊特征分析技術(shù)，攻擊過程追蹤溯源技術(shù)等。

網(wǎng)絡(luò)威脅情報分析技術(shù)。網(wǎng)絡(luò)威脅情報分析類技術(shù)包括：多源異構(gòu)情報智能搜索技術(shù)，海量異構(gòu)情報數(shù)據(jù)智能管理與檢索技術(shù)，多源異構(gòu)情報深度挖掘技術(shù)，攻擊特征提取技術(shù)，攻擊對象智能預(yù)測技術(shù)等。

4 結(jié)語

網(wǎng)絡(luò)攻防對抗平臺的技術(shù)總體設(shè)計以“進攻就是最好的防御，主動安全防護與攻防對抗相結(jié)合”的原則，對接國家級威脅情報庫，聚合網(wǎng)絡(luò)防護專用和通用網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品，在總體可控可信賴與技術(shù)先進和開放中尋求最佳平衡，匯聚國家各層面網(wǎng)絡(luò)安全產(chǎn)業(yè)能力，共享、共建、共御，共同構(gòu)筑服務(wù)于關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全長城。

[1]沈雪石，吳集，鄧啟文.美軍網(wǎng)絡(luò)空間武器系統(tǒng)發(fā)展趨勢分析[J].裝備學(xué)院學(xué)報，2015.

[2]于明，周希元.信息網(wǎng)絡(luò)對抗機制的攻防分析.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 , 2004.

[3]顧巧云，孫玉龍，高豐.基于博弈論的網(wǎng)絡(luò)攻防對抗模型及應(yīng)用研究，2013.

[4]袁斌，鄒德清，金海.網(wǎng)絡(luò)安全可視化綜述.信息安全學(xué)報，2016.

[5]倪光南.信息安全“本質(zhì)”是自主可控.中國經(jīng)濟和信息化， 2013.

[6]管磊，胡光俊，王專.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究.信息網(wǎng)絡(luò)安全，2016.