盤善海，裴 華

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

網(wǎng)絡(luò)空間作為陸地、海洋、空氣空間、外層空間之外的“第五空域”（Fifth Domain），正成為各國特別是主要大國斗爭與合作的新疆域。網(wǎng)絡(luò)安全是關(guān)乎一個(gè)國家能否在“第五空域”維護(hù)自身權(quán)益和占據(jù)主動(dòng)的重要保證。網(wǎng)絡(luò)對抗也已成為國家和國家之間對抗的另一個(gè)戰(zhàn)場。網(wǎng)絡(luò)空間安全已經(jīng)是國家戰(zhàn)略安全不可或缺的一部分。

1 高安全等級網(wǎng)絡(luò)安全防護(hù)特點(diǎn)

軍事網(wǎng)絡(luò)、黨政內(nèi)網(wǎng)、軍工企業(yè)內(nèi)網(wǎng)、電力網(wǎng)以及銀行專網(wǎng)等關(guān)系到國家安全、經(jīng)濟(jì)發(fā)展的網(wǎng)絡(luò)都屬于高安全等級網(wǎng)絡(luò)，是國家網(wǎng)絡(luò)安全的重要防護(hù)對象，也是國與國之間網(wǎng)絡(luò)對抗的重要目標(biāo)。它們面臨的安全威脅比互聯(lián)網(wǎng)更大，一旦被攻擊，很有可能會(huì)影響到國家安全。鑒于高安全等級網(wǎng)絡(luò)的重要性和特殊性，它在安全防護(hù)上具有以下特點(diǎn)。

1.1 網(wǎng)絡(luò)特點(diǎn)

1.1.1 網(wǎng)絡(luò)隔離特性

軍事網(wǎng)絡(luò)、黨政內(nèi)網(wǎng)、軍工企業(yè)內(nèi)網(wǎng)、電力網(wǎng)以及銀行專網(wǎng)等高安全等級網(wǎng)絡(luò)通常都與互聯(lián)網(wǎng)以及其他網(wǎng)絡(luò)隔離。隔離有物理隔離和邏輯隔離兩種方式。軍事網(wǎng)絡(luò)、黨政內(nèi)網(wǎng)以及軍工企業(yè)內(nèi)網(wǎng)一般是物理隔離。電力網(wǎng)和銀行專網(wǎng)等一般為邏輯隔離。物理隔離的網(wǎng)絡(luò)其通信線路、路由交換設(shè)備以及信息系統(tǒng)與其他網(wǎng)絡(luò)沒有物理連接，無法通過其他網(wǎng)絡(luò)對其進(jìn)行訪問。邏輯隔離的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)之間存在物理連接，在網(wǎng)絡(luò)邊界通過密碼和安全裝備實(shí)現(xiàn)與其他網(wǎng)絡(luò)的隔離。

1.1.2 網(wǎng)絡(luò)規(guī)模特性

高安全等級網(wǎng)絡(luò)通常具有范圍廣、規(guī)模大以及承載業(yè)務(wù)多的特點(diǎn)，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。它既有自身獨(dú)有的專用傳輸線路，也有租用運(yùn)營商的共用傳輸線路。既有有線網(wǎng)絡(luò)，也有無線網(wǎng)絡(luò)。此外，網(wǎng)絡(luò)用戶數(shù)量大，終端類型多。

1.1.3 網(wǎng)絡(luò)業(yè)務(wù)特性

高安全等級網(wǎng)絡(luò)承載的業(yè)務(wù)都是非公開業(yè)務(wù)，具有一定的保密性，特別是軍事網(wǎng)絡(luò)和黨政內(nèi)網(wǎng)承載的業(yè)務(wù)密級非常高，需要防范的安全風(fēng)險(xiǎn)也更多。

1.2 安全威脅特點(diǎn)

1.2.1 攻擊者

高安全等級網(wǎng)絡(luò)面臨的攻擊者包括外部攻擊者和內(nèi)部攻擊者。外部攻擊者通常不是互聯(lián)網(wǎng)上的黑客或一般的黑客組織，更有可能是國家層面的網(wǎng)絡(luò)入侵者，甚至是網(wǎng)絡(luò)戰(zhàn)作戰(zhàn)力量。內(nèi)部攻擊者通常是被外部力量收買和控制的帶有特殊身份的人員，存在很強(qiáng)的隱蔽性?？梢姡甙踩燃壘W(wǎng)絡(luò)面臨的攻擊者具有身份特殊、技術(shù)水平高以及隱蔽性強(qiáng)等特點(diǎn)。

1.2.2 攻擊方式

高安全等級網(wǎng)絡(luò)自身的網(wǎng)絡(luò)特性和攻擊者的特殊性，決定了面臨的攻擊方式與互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)攻擊手段存在很大的差異。針對互聯(lián)網(wǎng)目標(biāo)的網(wǎng)絡(luò)攻擊，通常基于在線方式實(shí)施，即直接利用各種攻擊手段攻擊目標(biāo)，能夠及時(shí)確認(rèn)攻擊結(jié)果。高安全等級網(wǎng)絡(luò)由于與外部網(wǎng)絡(luò)隔離，外部攻擊者無法使用在線的攻擊方式實(shí)施攻擊，需要利用攻擊擺渡或臨近攻擊的方式實(shí)施攻擊。攻擊者需要有針對性地設(shè)計(jì)攻擊方法和攻擊程序（武器），突破網(wǎng)絡(luò)隔離的限制。

1.2.3 攻擊目的

互聯(lián)網(wǎng)上的網(wǎng)絡(luò)攻擊通常是以獲取經(jīng)濟(jì)利益為目標(biāo)，而針對高安全等級網(wǎng)絡(luò)的攻擊則以危害國家安全利益為目標(biāo)，屬于國家對抗的范疇。攻擊高安全等級網(wǎng)絡(luò)的目的包括信息竊取、系統(tǒng)破壞和控制系統(tǒng)。信息竊取是攻擊者通過各種攻擊手段突破網(wǎng)絡(luò)隔離限制入侵高安全等級網(wǎng)絡(luò)內(nèi)部，在各類終端、信息系統(tǒng)中搜集和獲取特定的內(nèi)部信息，并通過擺渡攻擊等方式把信息傳回攻擊者手中。系統(tǒng)破壞是攻擊者提前把攻擊程序（武器）植入到高安全等級網(wǎng)絡(luò)中，針對特定的目標(biāo)系統(tǒng)在達(dá)到預(yù)設(shè)條件時(shí)發(fā)動(dòng)攻擊，對系統(tǒng)實(shí)施破壞，如癱瘓系統(tǒng)、毀壞數(shù)據(jù)等?？刂葡到y(tǒng)是攻擊者利用攻擊程序（武器）事先突破高安全等級網(wǎng)絡(luò)中的特定目標(biāo)系統(tǒng)的控制權(quán)限，在達(dá)到預(yù)設(shè)條件時(shí)能夠?qū)δ繕?biāo)系統(tǒng)發(fā)送控制指令，使目標(biāo)系統(tǒng)按照攻擊者的意圖運(yùn)行，如發(fā)布關(guān)閉系統(tǒng)、停水以及停電等非法控制指令。

1.3 安全防護(hù)特點(diǎn)

1.3.1 防護(hù)方式

高安全等級網(wǎng)絡(luò)面臨的攻擊所具有的特殊性，決定了其防護(hù)方式與互聯(lián)網(wǎng)安全防護(hù)的方式不同。高安全等級網(wǎng)絡(luò)主要是防御長期潛伏和隱蔽的攻擊，以及內(nèi)部人員實(shí)施的安全違規(guī)行為，重點(diǎn)在于能夠提前發(fā)現(xiàn)和識別網(wǎng)絡(luò)中潛在的安全威脅，以及及時(shí)發(fā)現(xiàn)和阻止內(nèi)部人員實(shí)施的違規(guī)行為。

1.3.2 防護(hù)目的

高安全等級網(wǎng)絡(luò)來自外部的安全攻擊在未達(dá)到預(yù)設(shè)條件或未接收到控制指令時(shí)，攻擊活動(dòng)主要是以目標(biāo)滲透和目標(biāo)發(fā)掘?yàn)橹?。對于這類攻擊的防護(hù)以提前發(fā)現(xiàn)和處置威脅為主。對于內(nèi)部人員實(shí)施的攻擊，則主要以監(jiān)測和取證為主。高安全等級網(wǎng)絡(luò)安全防護(hù)的核心目的是要在網(wǎng)絡(luò)內(nèi)徹底消除威脅，對威脅進(jìn)行溯源，并采取措施進(jìn)行防范，防止威脅再次發(fā)生。

1.3.3 防護(hù)手段

高安全等級網(wǎng)絡(luò)安全威脅和防護(hù)目的的特殊性，要求其防護(hù)手段需要有很強(qiáng)的針對性，重點(diǎn)瞄準(zhǔn)威脅的發(fā)現(xiàn)和識別，能夠針對安全威脅高隱蔽性和持續(xù)性特點(diǎn)，具備廣度和深度工作的能力。

2 典型的安全防護(hù)模型

2.1 PDRR模型

PDRR模型由美國國防部（United States Department of Defense，DoD）提出，由Protection（防護(hù)）、Detection（檢測）、Response（響應(yīng)）、Recovery（恢復(fù)）4部分組成一個(gè)持續(xù)的安全防護(hù)循環(huán)，如圖1所示[1]。

防護(hù)（Protection）是指利用各種安全防護(hù)手段對信息系統(tǒng)加以保護(hù)，防止外部入侵和阻止各類攻擊。

檢測（Detection）是指對信息系統(tǒng)的安全檢測，重點(diǎn)是檢測信息系統(tǒng)的脆弱性和網(wǎng)絡(luò)攻擊行為。

響應(yīng)（Response）是指當(dāng)檢測發(fā)現(xiàn)信息系統(tǒng)存在脆弱性或出現(xiàn)網(wǎng)絡(luò)攻擊行為時(shí)，采取相應(yīng)的安全防護(hù)措施針對脆弱性進(jìn)行安全加固或針對攻擊行為采取阻止行動(dòng)。

恢復(fù)（Recovery）是指攻擊阻止后，針對被破壞的系統(tǒng)進(jìn)行系統(tǒng)恢復(fù)，主要包括系統(tǒng)功能恢復(fù)和數(shù)據(jù)恢復(fù)。

2.2 P2DR/PPDR模型

P2DR模型由美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（American International Internet Security System，ISS）提出，是一個(gè)基于時(shí)間的自適應(yīng)網(wǎng)絡(luò)安全模型[1]。該模型是在安全策略的控制下，由Protection（防護(hù)）、Detection（檢測）、Response（響應(yīng)）3部分形成一個(gè)完整動(dòng)態(tài)的循環(huán)，如圖2所示。

P2DR模型基于時(shí)間的理論基礎(chǔ)是，網(wǎng)絡(luò)安全相關(guān)的所有活動(dòng)包括攻擊行為、防護(hù)行為、檢測行為和響應(yīng)行為都要消耗時(shí)間，因此可以用時(shí)間來衡量一個(gè)安全體系的安全性和安全能力。

假如攻擊花費(fèi)的時(shí)間為tP，威脅檢測發(fā)現(xiàn)時(shí)間為tD，響應(yīng)時(shí)間為tRest，系統(tǒng)恢復(fù)時(shí)間為tRect。當(dāng)tP＞(tD+tRest)+tRect時(shí)，說明系統(tǒng)能夠在攻擊成功之前檢測到威脅并采取響應(yīng)措施，則認(rèn)為系統(tǒng)是安全的。

3 高安全等級網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)

3.1 P2DAR安全防護(hù)模型設(shè)計(jì)

高安全等級網(wǎng)絡(luò)在安全防護(hù)模型的選擇上，需要充分考慮所面臨的安全威脅和防護(hù)目的的特殊性，不能純粹沿用互聯(lián)網(wǎng)安全防護(hù)模型。因此，這里在充分研究PDRR、P2DR等現(xiàn)有模型的基礎(chǔ)上，以“全域感知、精準(zhǔn)防御”作為高安全等級網(wǎng)絡(luò)安全防御思想，設(shè)計(jì)了P2DAR安全模型。P2DAR模型在P2DR模型基礎(chǔ)上增加了分析（Analyse）環(huán)節(jié)，通過全面感知和分析網(wǎng)絡(luò)中的安全狀態(tài)和安全行為，準(zhǔn)確識別潛在的安全威脅，并及時(shí)制定和調(diào)整安全策略，對威脅進(jìn)行響應(yīng)和處置，模型如圖3所示。

防護(hù)（Protection）是指利用各種安全防護(hù)手段對信息系統(tǒng)加以保護(hù)，防止外部入侵和阻止各類攻擊。

檢測（Detection）是指對信息系統(tǒng)的安全狀態(tài)和安全行為進(jìn)行檢測，全面感知信息系統(tǒng)的脆弱性和網(wǎng)絡(luò)中的各類安全行為。

分析（Analyse）是指對檢測的安全狀態(tài)和安全行為進(jìn)行深度分析研判，準(zhǔn)確定位威脅。

響應(yīng)（Response）是針對已定位的威脅實(shí)施安全防護(hù)和處置措施，阻止和消除威脅。

策略（Policy）是整個(gè)模型運(yùn)轉(zhuǎn)的核心，作用于防護(hù)、檢測、分析和響應(yīng)的全過程。

P2DAR安全模型依然遵循時(shí)間理論。假如攻擊花費(fèi)的時(shí)間為tP，威脅檢測發(fā)現(xiàn)時(shí)間為tD，分析時(shí)間為tA，響應(yīng)時(shí)間為tRest，系統(tǒng)恢復(fù)時(shí)間為tRect。當(dāng)tP＞(tD+tA+tRest)+tRect時(shí)，說明系統(tǒng)能夠在攻擊成功之前檢測到威脅，進(jìn)而通過分析定位確定并采取適當(dāng)?shù)奶幹么胧?，認(rèn)為系統(tǒng)是安全的。高安全等級網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵是能夠及時(shí)發(fā)現(xiàn)和識別威脅，因此分析時(shí)間tA是決定tP＞(tD+tA+tRest)+tRect成立的重要因素。

3.2 安全防護(hù)體系設(shè)計(jì)

3.2.1 安全防護(hù)體系架構(gòu)

高安全等級網(wǎng)絡(luò)安全防護(hù)體系基于P2DAR安全模型設(shè)計(jì)，如圖4所示[2]。

高安全等級網(wǎng)絡(luò)安全防護(hù)體系在提供計(jì)算環(huán)境安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)以及應(yīng)用安全防護(hù)等傳統(tǒng)安全防護(hù)能力基礎(chǔ)上，以消除外部和內(nèi)部高級威脅為目標(biāo)，能夠?qū)Ω黝愥槍ξ锢砀綦x網(wǎng)絡(luò)的高隱蔽威脅在觸發(fā)前對其進(jìn)行識別和清除[3-4]。安全防護(hù)體系以威脅感知為基礎(chǔ)，威脅識別為重點(diǎn)，依據(jù)標(biāo)準(zhǔn)制度進(jìn)行威脅處置。安全策略通過人工或自適應(yīng)動(dòng)態(tài)調(diào)整，作用于感知、識別、處置以及安全防護(hù)的全過程。

3.2.2 威脅感知

威脅感知基于各種安全防護(hù)技術(shù)手段，根據(jù)檢測策略對網(wǎng)絡(luò)中的終端、流量、用戶、應(yīng)用等網(wǎng)絡(luò)行為和安全系統(tǒng)、應(yīng)用系統(tǒng)等系統(tǒng)狀態(tài)進(jìn)行檢測，第一時(shí)間感知網(wǎng)絡(luò)中發(fā)生的攻擊、違規(guī)和可疑行為，并對所有感知的行為進(jìn)行記錄或告警。

高安全等級網(wǎng)絡(luò)除了對傳統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行感知之外，還需要對用戶行為進(jìn)行全方位感知，包括用戶的入網(wǎng)行為、網(wǎng)絡(luò)訪問行為，特別是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的數(shù)據(jù)交換行為、信息的輸入輸出行為等。在網(wǎng)絡(luò)行為感知方面，需要重點(diǎn)對非法外聯(lián)、存儲(chǔ)介質(zhì)內(nèi)外網(wǎng)交叉使用等行為進(jìn)行感知。

3.2.3 威脅識別

威脅識別在威脅感知基礎(chǔ)上采集匯聚各種安全防護(hù)手段檢測記錄的所有網(wǎng)絡(luò)告警、行為數(shù)據(jù)和系統(tǒng)狀態(tài)數(shù)據(jù)，根據(jù)安全數(shù)據(jù)標(biāo)準(zhǔn)和威脅識別策略處理采集的元數(shù)據(jù)，完成數(shù)據(jù)的清洗、融合和匯總，以保障數(shù)據(jù)質(zhì)量和建立數(shù)據(jù)之間的關(guān)聯(lián)性。威脅識別的關(guān)鍵在于安全分析。通過不同的分析方式和分析模型，對各類數(shù)據(jù)進(jìn)行綜合關(guān)聯(lián)分析。通過數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系和不同網(wǎng)絡(luò)行為之間的映射關(guān)系，分析出現(xiàn)有安全防護(hù)手段無法識別的安全威脅，如APT攻擊。通過數(shù)據(jù)的關(guān)聯(lián)分析能夠?qū)Π踩{進(jìn)行溯源，生成攻擊行為軌跡，實(shí)現(xiàn)對威脅的精準(zhǔn)定位。必要時(shí)，需通過人工研判對識別出來的安全威脅進(jìn)行進(jìn)一步的人工驗(yàn)證和確認(rèn)。安全威脅分析流程設(shè)計(jì)如圖5所示[5-7]。

高安全等級網(wǎng)絡(luò)防護(hù)除了能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中傳統(tǒng)的網(wǎng)絡(luò)攻擊外，如病毒傳播、網(wǎng)絡(luò)掃描、分布式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）攻擊等，更重要的是能夠及時(shí)發(fā)現(xiàn)通過供應(yīng)鏈或網(wǎng)絡(luò)擺渡攻擊潛入內(nèi)部網(wǎng)絡(luò)的對特定目標(biāo)、非傳統(tǒng)攻擊手段的安全威脅。這類安全威脅利用傳統(tǒng)的防病毒、入侵檢測系統(tǒng)（Intrusion Detection System，IDS）以及防火墻等技術(shù)手段無法識別，需要有針對性地建立相應(yīng)的分析模型，包括供應(yīng)鏈攻擊分析模型、網(wǎng)絡(luò)擺渡攻擊分析模型等，并利用大數(shù)據(jù)分析、數(shù)據(jù)挖掘和人工智能技術(shù)進(jìn)行綜合分析和識別。

3.2.4 威脅處置

根據(jù)應(yīng)急響應(yīng)處置流程和處置預(yù)案，對已確認(rèn)的安全威脅進(jìn)行處置，主要工作包括取證分析、策略調(diào)整、系統(tǒng)加固和系統(tǒng)恢復(fù)。處置的目的是消除威脅，并防止威脅再次發(fā)生。其中，取證分析是高安全等級網(wǎng)絡(luò)防護(hù)威脅處置的重要一環(huán)。通過取證分析不僅要對威脅進(jìn)行定位和取證，更重要的是需要對威脅進(jìn)行溯源，準(zhǔn)確查清威脅的來源，進(jìn)入內(nèi)部網(wǎng)絡(luò)的方式和途徑，涉及的終端、系統(tǒng)與人員，以及威脅在內(nèi)網(wǎng)中的蔓延情況等，以便制定及時(shí)準(zhǔn)確處置來徹底消除威脅，阻斷威脅再次進(jìn)入的途徑。

3.2.5 安全策略

安全策略貫穿安全防御全過程，可根據(jù)安全防御需求和安全狀態(tài)變化適時(shí)調(diào)整策略。需要注意，策略調(diào)整之前應(yīng)進(jìn)行策略的評估和驗(yàn)證，確保策略的正確性和有效性。

3.2.6 標(biāo)準(zhǔn)制度

標(biāo)準(zhǔn)制度是安全防御的技術(shù)規(guī)范和行動(dòng)指南，保障安全防御能夠有序、高效運(yùn)轉(zhuǎn)，主要包括安全保密標(biāo)準(zhǔn)、資產(chǎn)管理制度、人員管理制度和應(yīng)急響應(yīng)制度等。

3.3 安全防護(hù)體系關(guān)鍵技術(shù)

安全防御體系涉及的關(guān)鍵技術(shù)主要是安全數(shù)據(jù)治理技術(shù)和安全威脅分析技術(shù)。

3.3.1 安全數(shù)據(jù)治理技術(shù)

高安全等級網(wǎng)絡(luò)采用的安全技術(shù)手段種類多、部署規(guī)模大，產(chǎn)生的安全數(shù)據(jù)語義不規(guī)范、格式不統(tǒng)一，數(shù)據(jù)量大、質(zhì)量低，嚴(yán)重制約數(shù)據(jù)的有效利用。運(yùn)用數(shù)據(jù)治理技術(shù)對數(shù)據(jù)進(jìn)行清洗、校正、轉(zhuǎn)換以及補(bǔ)缺等處理，可形成統(tǒng)一的、規(guī)范的網(wǎng)絡(luò)行為數(shù)據(jù)描述，使數(shù)據(jù)可理解、可融合、可關(guān)聯(lián)，提升數(shù)據(jù)質(zhì)量。

3.3.2 安全威脅分析技術(shù)

安全威脅分析是高安全等級網(wǎng)絡(luò)在攻防博弈中能否占據(jù)主動(dòng)、先人一步的關(guān)鍵。通過設(shè)計(jì)有針對性的分析算法和分析模型，并利用行為模式、專家知識以及機(jī)器學(xué)習(xí)等人工智能技術(shù)，可有效提升安全分析的準(zhǔn)確性和效率。

4 結(jié) 語

網(wǎng)絡(luò)攻防是一個(gè)動(dòng)態(tài)的博弈過程，特別是高安全等級網(wǎng)絡(luò)安全防御面對的是國家級網(wǎng)絡(luò)攻擊力量，網(wǎng)絡(luò)防御難度更大，需要采用針對性更強(qiáng)、更有效的安全防御機(jī)制和技術(shù)，并能夠持續(xù)跟蹤攻防技術(shù)的發(fā)展，研究對手新的攻擊手段和戰(zhàn)法，才能擁有應(yīng)對各類新型安全威脅的能力。