田志宏 ，方濱興 ＊，廖清 ，孫彥斌 ，王曄 ，楊旭 ，馮紀元

（1. 廣州大學網(wǎng)絡空間安全學院，廣州 510006；2. 哈爾濱工業(yè)大學（深圳）計算機科學與技術學院，廣東深圳 518055）

一、前言

近年來，隨著網(wǎng)絡信息技術的不斷發(fā)展，網(wǎng)絡攻防對抗日趨頻繁，網(wǎng)絡安全領域面臨一系列新的挑戰(zhàn)。一是被保護目標更加多樣。社交網(wǎng)絡、政企內(nèi)網(wǎng)、重大活動網(wǎng)絡平臺、關鍵信息基礎設施等都是網(wǎng)絡安全保障體系的保護目標[1]，不同的網(wǎng)絡具有差異化的特點和網(wǎng)絡安全防護等級需求。二是網(wǎng)絡條件和場景環(huán)境不斷變化。當前網(wǎng)絡條件朝著更高速、更廣泛、更智能的方向發(fā)展，云計算平臺更是呈現(xiàn)出不確定的環(huán)境狀態(tài)，網(wǎng)絡場景環(huán)境呈現(xiàn)規(guī)?；?、協(xié)同化、動態(tài)化的發(fā)展態(tài)勢[2]。三是攻擊源頭和攻擊手段更加隱蔽，未知攻擊層出不窮[3]。隨著攻防技術的持續(xù)演化，黑客的攻擊手段也不斷進化，未知攻擊越來越多。高級可持續(xù)威脅攻擊（APT）因其具有攻擊持續(xù)性、技術專業(yè)性、目標針對性等特點，成為黑客組織廣泛使用的網(wǎng)絡攻擊手段。四是系統(tǒng)保護目標可能不能完全配合保護者提出的相關保護要求。以國際運動賽事為例，比賽用信息系統(tǒng)所有者與保護者通常不屬于一個國家，為保密起見，很難按照保護者的要求對其信息系統(tǒng)進行安全整改與加固，甚至可能不會去分享相應的安全信息，這為國際活動的安全保障帶來了較大挑戰(zhàn)。

目前，我國網(wǎng)絡安全保障體系側重于以“自衛(wèi)模式”為核心的安全防護理念，依靠強健系統(tǒng)自身的防護能力來解決安全問題，如等級保護[4]、漏洞掃描[5]、護網(wǎng)演練、合規(guī)性測評[6]等。然而，這種被動式防御體系存在較多不足之處：一是主動探查能力不足，即防御者處于被動位置，只能在攻擊行為發(fā)生之后采取措施；二是綜合研判能力缺失，即不同開發(fā)商的信息系統(tǒng)和網(wǎng)絡安全管理平臺之間沒有建立協(xié)同感知威脅情報研判中心，缺乏威脅情報數(shù)據(jù)的共享，不利于跨平臺、跨域進行關聯(lián)分析；三是協(xié)同處置能力偏弱，即隸屬于不同機構的網(wǎng)絡通常具有不同的安全等級，致使當前我國網(wǎng)絡環(huán)境沒有形成統(tǒng)一、跨設備、覆蓋從應用層到網(wǎng)絡層的協(xié)同處置體系。

以“自衛(wèi)模式”為核心的網(wǎng)絡安全保障體系在實際應用中稍顯被動，可通過改變已有的被動防御為主動防御。例如，在2022年北京冬奧會和2023年第31屆世界大學生夏季運動會的保障過程中，我國網(wǎng)絡安全保障體系需要保護來自不同國家的信息系統(tǒng)，而這些系統(tǒng)的安全防護能力水平不一且無法對其提出額外的安全能力建設要求，使得僅依靠系統(tǒng)自身防護能力的“自衛(wèi)模式”難以充分發(fā)揮作用。因此，在傳統(tǒng)“自衛(wèi)模式”的基礎上，探索出一種以“護衛(wèi)模式”為核心的新型主動安全防御體系，建立了一套集設陷探查、關聯(lián)研判和應對攔截為一體的聯(lián)動機制，實現(xiàn)了網(wǎng)絡安全“零事故”的記錄，提升了我國網(wǎng)絡的安全性和可用性。

本文總結當前以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系發(fā)展現(xiàn)狀，分析其面臨的風險和挑戰(zhàn)，在對比“護衛(wèi)模式”“自衛(wèi)模式”兩種網(wǎng)絡安全保障體系建設成本和保障層次的基礎上，研判構建基于“護衛(wèi)模式”的網(wǎng)絡安全保障體系的重點任務，提出保障網(wǎng)絡安全體系發(fā)展的對策建議，為新時期網(wǎng)絡安全建設研究提供參考。

二、基于“自衛(wèi)模式”的網(wǎng)絡安全保障體系運行現(xiàn)狀

（一）網(wǎng)絡安全保障體系

國際上，為應對網(wǎng)絡安全領域的挑戰(zhàn)，美國等發(fā)達國家提出了基于動態(tài)保護的主動防御網(wǎng)絡安全保障體系。美國在2011年提出“移動目標防御”的概念，通過部署隨機動態(tài)變化的網(wǎng)絡和系統(tǒng)來主動欺騙攻擊者、擾亂攻擊者視線、誘騙攻擊者實施攻擊行為，從而使攻擊者觸發(fā)告警，形成網(wǎng)絡防御的主動態(tài)勢。此外，美國國土安全部主導的網(wǎng)絡空間安全自動監(jiān)測項目“愛因斯坦”計劃，通過對政府網(wǎng)絡的入侵行為進行監(jiān)測，保護政府網(wǎng)絡的安全[7]；經(jīng)過多年的迭代更新，實現(xiàn)了從被動防御到主動檢測、從單一威脅分析到綜合威脅分析、從情報分析到情報共享、從單方負責到多方協(xié)同配合的演進。該計劃在第一階段采用網(wǎng)絡流量檢測引擎和網(wǎng)絡流量分析技術，查找網(wǎng)絡中的可疑行為；在第二階段，采用入侵檢測系統(tǒng)、惡意代碼分析技術、安全信息與事件管理系統(tǒng)等構建網(wǎng)絡空間信息共享與協(xié)作平臺；在第三階段，采用主動入侵防御系統(tǒng)自動檢測網(wǎng)絡威脅，實現(xiàn)主動網(wǎng)絡安全防御。

近年來，美國積極開展對零信任架構的研究和應用。零信任架構假設網(wǎng)絡中所有實體和網(wǎng)絡流量均不可信，對網(wǎng)絡中所有的訪問請求都進行細粒度的身份認證；按照最小權限策略嚴格實施訪問控制，以確保訪問的安全性，同時訪問控制策略隨狀態(tài)變化而動態(tài)調(diào)整[8]。理想的零信任網(wǎng)絡架構核心邏輯組件通常包括策略執(zhí)行點、策略引擎和策略管理員。當訪問主體向策略執(zhí)行點發(fā)送訪問請求時，策略執(zhí)行點將請求轉發(fā)至策略引擎，策略引擎根據(jù)本地和外部的安全策略數(shù)據(jù)源對本次請求進行評估；策略管理員根據(jù)策略引擎的評估結果建立或者拒絕訪問主體與資源之間的會話；當會話建立后，訪問主體通過策略執(zhí)行點與資源進行通信，在此過程中策略引擎持續(xù)進行信任評估，并將訪問策略通過策略管理員轉發(fā)給策略執(zhí)行點進行更新；當發(fā)現(xiàn)存在風險時，策略執(zhí)行點可以及時斷開連接，起到快速保護資源安全的作用[9]。

在國內(nèi)，網(wǎng)絡空間擬態(tài)防御不再追求建立無漏洞、無后門、無缺陷的運行場景和防御環(huán)境，而是通過在軟硬件系統(tǒng)中采取可迭代收斂的廣義動態(tài)控制策略來防御網(wǎng)絡空間的各種安全威脅[10~12]。該策略對當前運行的執(zhí)行體集合進行不定期的變換，重構異構冗余體，通過虛擬化等技術改變運行環(huán)境配置，使系統(tǒng)對外呈現(xiàn)結構上的隨機性和不可預測性[13]，從而使攻擊者難以再次復現(xiàn)成功的攻擊場景。

主動免疫可信計算是一種加強網(wǎng)絡信息系統(tǒng)自身防護能力的網(wǎng)絡安全保障體系。主動免疫可信計算技術采用運算和防護并行的新計算模式，以密碼為基因進行身份識別、狀態(tài)度量、保密存儲，在統(tǒng)一管理策略支撐下對數(shù)據(jù)信息和系統(tǒng)服務資源進行可信檢驗判定，及時識別“自己”和“非己”成分，從而破壞和排斥進入機體的有害物質(zhì)，為網(wǎng)絡信息系統(tǒng)培育免疫免疫免疫能力，進而實現(xiàn)智能感知的主動防御。主動免疫可信計算技術適用于服務器、終端和嵌入式系統(tǒng)，可在行為源頭判斷異常并進行防范，實現(xiàn)已知病毒不查殺而自滅、未知病毒免疫抵御及利用未知漏洞的攻擊；在結構上，可采取在處理器內(nèi)部構建可信核模塊、外接可信插卡、在主板內(nèi)增加可信系統(tǒng)級芯片等方式安裝防護部件，保障網(wǎng)絡信息系統(tǒng)的安全。

（二）威脅探測

在網(wǎng)絡威脅感知方面，當前以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系通常采用基于蜜罐技術的欺騙防御策略。HoneyToken[14]是基于蜜罐技術的典型欺騙防御策略，其本質(zhì)是對攻擊者感興趣的目標進行去價值化偽造，如訪問鏈接、文檔、可執(zhí)行文件、數(shù)據(jù)庫入口等。Honeyfile[15]在Doc、PDF等格式的文檔中嵌入可追蹤和自動回溯的腳本代碼，當攻擊者打開文檔時即可發(fā)送報警信息給Honeyfile的所有者。HoneyDatabase[16]通過故意設置存在漏洞且包含大量偽造機密信息的數(shù)據(jù)庫來吸引攻擊者訪問。HoneyCredential[17]通過故意泄漏系統(tǒng)登錄憑據(jù)來誘惑攻擊者使用該憑據(jù)進行身份認證。HoneyAccount[18]通過故意泄漏類似管理員賬號的方式來吸引攻擊者登錄，—旦該賬號登錄即判定為入侵行為并采取安全應急響應措施。

（三）攻擊觀測

以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系通常采用基于模式匹配的Web應用防火墻（WAF）等前置探測技術來為Web應用提供安全保障?；谀Ｊ狡ヅ涞腤AF是一種典型的應用系統(tǒng)防護產(chǎn)品，其本質(zhì)是通過檢測訪問服務器的數(shù)據(jù)流量來保護應用系統(tǒng)的安全。例如，通過基于簽名的WAF來檢測超文本傳輸協(xié)議（HTTP）請求中的異常流量，防止Web應用層遭受攻擊[19]；或是采用多層緩存系統(tǒng)保證白名單的動態(tài)適用性，提高WAF的檢測能力[20]?；谧詫W習的WAF，將Web應用的頁面參數(shù)分為固定參數(shù)、列舉參數(shù)和用戶輸入?yún)?shù)，對頁面參數(shù)進行學習形成初始規(guī)則庫，再通過持續(xù)學習擴大用戶的正常行為模式，以適應用戶的需求變化[21]；此外，還可以通過采用主動安全加固算法，提高WAF產(chǎn)品對會話劫持、HTTP隱藏按鈕篡改、Cookie篡改等攻擊的防御能力[22]。

（四）安全聯(lián)動

以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系通常采用基于聯(lián)動的網(wǎng)絡安全管理策略?；诼?lián)動策略的網(wǎng)絡安全運營中心是當前網(wǎng)絡安全聯(lián)動管理策略的一種主流形式。例如，天融信科技集團的安全管理系統(tǒng)可以對整個網(wǎng)絡中的設備進行集中統(tǒng)一管理，監(jiān)控網(wǎng)絡狀態(tài)，收集、過濾、分析各種安全產(chǎn)品的事件信息，并根據(jù)安全風險調(diào)整安全策略，作出快速響應。啟明星辰信息技術集團股份有限公司的泰合信息安全運營中心為網(wǎng)絡安全運營管理人員提供統(tǒng)一的安全策略配置方案，解決口令、認證、訪問控制等方面的安全風險問題。美國思科公司推出基于IETF策略管理框架的服務質(zhì)量（QoS）策略管理產(chǎn)品[23]，通過集中的QoS監(jiān)測，實現(xiàn)策略控制盒轉換過程的自動化，保障企業(yè)網(wǎng)絡的服務質(zhì)量。美國3Com公司提出的Transcend系統(tǒng)軟件增加了虛擬局域網(wǎng)策略服務功能，管理人員可以集中設置虛擬局域網(wǎng)策略，并強制各個網(wǎng)絡交換機執(zhí)行。

（五）追蹤溯源

以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系通常采用基于攻擊行為感知的探測技術。采集攻擊行為并進行感知分析是對攻擊者進行追蹤溯源的主要方式。蜜標技術[24]是一種追蹤溯源的探測技術，可以在數(shù)據(jù)或文件中嵌入特定的標識信息，如腳本、統(tǒng)一資源定位符等。攻擊者一旦訪問標識信息，其操作行為會被記錄并傳回至遠程服務器，管理員接收服務器告警并利用標識信息獲取攻擊者的網(wǎng)絡地址、瀏覽器指紋等信息，從而溯源定位攻擊者身份。此外，受害者通過路由調(diào)試技術[25]向上游路由器發(fā)送帶有簽名的攻擊數(shù)據(jù)包，遞歸地調(diào)查上游鏈路，直到發(fā)現(xiàn)攻擊者?；诨ヂ?lián)網(wǎng)控制消息協(xié)議（ICMP）的追蹤技術[26]要求每個路由器生成包含溯源信息的ICMP數(shù)據(jù)包，內(nèi)有下一跳和上一跳的IP地址、時間戳、MAC地址等參數(shù)，通過分析該數(shù)據(jù)包即可溯源攻擊者。

三、基于“自衛(wèi)模式”的網(wǎng)絡安全保障體系存在的問題

（一）“捕不全”問題

在網(wǎng)絡威脅感知方面，當前我國網(wǎng)絡安全保障體系是一種被動防御體系，只能在攻擊者作出行動后才能被動地采集數(shù)據(jù)并分析攻擊行為，這種方式往往難以提前、準確地感知攻擊者的意圖。因此，當前以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系對攻擊行為存在“捕不全”的問題。一是蜜罐技術的設計初衷就是不拒絕任何人對其訪問，因此訪問者身份是不確定的，只能通過攻擊者的行為來進行判斷。如果攻擊者采取的是未知攻擊，不貿(mào)然地獲取相關信息，那么即使攻擊者進入了蜜罐，蜜罐也無法識別其身份，從而解決不了針對未知APT類攻擊的捕捉。二是攻擊探測面窄，傳統(tǒng)蜜罐技術僅能就針對蜜罐實施攻擊的行為作出反應，而對沒有踩中蜜罐的攻擊行為視而不見，易出現(xiàn)系統(tǒng)漏防的情況。三是易被攻擊者識別，如果攻擊者辨別出用戶的系統(tǒng)為蜜罐，就會避免與該系統(tǒng)進行交互，并在蜜罐沒有發(fā)覺的情況下潛入用戶所在組織。

（二）“攔不住”問題

在網(wǎng)絡入口防御方面，當前我國網(wǎng)絡安全保障體系的保護對象多為用于日常管理的網(wǎng)絡信息系統(tǒng)。經(jīng)過多年的技術積累，這些系統(tǒng)依賴的軟硬件環(huán)境各不相同，部分系統(tǒng)存在大量難以補救的安全漏洞、安全能力難以升級、易被各種攻擊手段攻破。以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系對網(wǎng)絡攻擊行為存在“攔不住”的問題。一是網(wǎng)關防御僅對外部威脅有效，對內(nèi)部威脅無法發(fā)揮作用；二是不支持加密HTTPS請求的分析和處理，對于加密流量的攻擊行為無法探測；三是現(xiàn)有系統(tǒng)對基于源IP地址訪問者的訪問頻次關注不夠，而在實際攻防對抗過程中，首次訪問和多次訪問是需要給予不同關注度的；四是依靠規(guī)則進行防御的本質(zhì)是防御已知威脅，攻擊者了解WAF的防御機理，所采取的未知攻擊手段能夠規(guī)避WAF網(wǎng)關的檢測，從而可以輕易地穿越WAF網(wǎng)關進行攻擊；五是HTTP協(xié)議和業(yè)務場景的復雜性導致難以形成統(tǒng)一的策略規(guī)范，且WAF抽離于業(yè)務代碼邏輯以外，攻擊者應用這些耦合上的瑕疵可以繞過WAF防護系統(tǒng)，從而攔不住攻擊者的網(wǎng)絡攻擊行為。

（三）“看不清”問題

在安全聯(lián)動方面，當前我國網(wǎng)絡安全保障體系僅依靠單個節(jié)點和事件很難判定APT行為。再加上，我國現(xiàn)有的信息系統(tǒng)具有不同的安全等級且相互隔離，沒有建立協(xié)同感知的威脅情報研判中心。因此，以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系對網(wǎng)絡攻擊行為存在“看不清”的問題。一是聯(lián)動體系缺乏統(tǒng)一標準，各研究機構及安全設備廠商都有各自的描述語言、實現(xiàn)模型、協(xié)議和應用程序接口（API）函數(shù)，導致不同的安全策略管理系統(tǒng) / 安全產(chǎn)品之間缺乏兼容性和互操作接口；二是仍需突破有關安全策略制定、存儲、驗證、查詢和執(zhí)行等方面的關鍵技術，特別是缺少對安全策略進行統(tǒng)一描述和對實際攻防環(huán)境進行定制的策略；三是現(xiàn)有的設備聯(lián)動方法不能給出系統(tǒng)全面的全網(wǎng)解決方案，存在安全日志只報告不聚合、僅展示統(tǒng)計結果、不具備協(xié)同探測能力等不足。

（四）“抓不住”問題

在追蹤溯源方面，當前我國網(wǎng)絡安全保障體系主要關注如何防止各類攻擊行為和有效檢測未知網(wǎng)絡威脅，易忽略攻擊事件發(fā)生后的復盤分析，如對攻擊者進行用戶畫像和對攻擊行為進行溯源取證。因此，以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系對網(wǎng)絡攻擊行為存在“抓不住”的問題。一是探測手段相對單一，缺乏多輪次交互的粘隨效果，對抗能力不強，如攻擊者可以使用偽造的IP地址、代理服務等對抗網(wǎng)絡溯源探測技術。二是網(wǎng)絡追蹤溯源技術多部署在攻擊路徑的靠后位置，雖然可以在一定程度上保護系統(tǒng)安全，卻不能減少系統(tǒng)所遭受的攻擊次數(shù)，更不能對系統(tǒng)所面臨的未知網(wǎng)絡威脅進行有效防御。三是已有的防御手段主要防范攻擊行為而非攻擊者，致使攻擊者的攻擊成本和代價較低，缺乏有效手段來甄別攻擊者身份，無法有效震懾攻擊者。

研究新型網(wǎng)絡安全防御體系，提供更為健全的網(wǎng)絡安全保障服務，成為推進我國信息化發(fā)展的迫切需要，對進一步加強和提升我國網(wǎng)絡的安全性、可用性具有重要意義。

四、基于“護衛(wèi)模式”的網(wǎng)絡安全保障體系構建

（一）保障體系構建模式

1. “自衛(wèi)模式”與“護衛(wèi)模式”的對比

從防御模式來看，“自衛(wèi)模式”是一種被動防御方式，以被保護目標為核心，具有“視野”較為狹窄、僅關注針對自身的攻擊行為、需要不斷跟蹤最新攻擊技術、需要根據(jù)新發(fā)現(xiàn)的攻擊手段來被動發(fā)展針對性防護技術等特點?！白o衛(wèi)模式”則是一種主動防御方式，以護衛(wèi)者為核心，支持護衛(wèi)者可以從全局出發(fā)綜合分析被保護系統(tǒng)的所有信息，更容易從更高的層面通過碰撞、關聯(lián)等手段發(fā)現(xiàn)攻擊者痕跡；可以根據(jù)資產(chǎn)狀況進行針對性攻擊探測，通過誘捕的方式主動發(fā)現(xiàn)攻擊者，并研判其威脅等級。從防御視角來看，以“自衛(wèi)模式”為代表的網(wǎng)絡安全保障體系側重于從局部視角發(fā)現(xiàn)攻擊，在對特定目標進行攻擊時，由于每個安全系統(tǒng)都是相互獨立的，信息獲取存在一定的不對稱性和不確定性，極易產(chǎn)生誤報或者難以研判的情況；以“護衛(wèi)模式”為代表的網(wǎng)絡安全保障體系則側重于從全局視角發(fā)現(xiàn)攻擊，通過全局聯(lián)動將所有信息匯聚起來，并進行有序化安排，從而發(fā)現(xiàn)更多的攻擊。

2. 保障體系框架

針對當前以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系僅能對既有行為進行異常分析、主動探查能力不足等問題，本研究構建了“護衛(wèi)模式”網(wǎng)絡安全保障體系研究框架（見圖1）。“護衛(wèi)模式”網(wǎng)絡安全保障體系采用以“護衛(wèi)模式”為主的主動式防御理念，以“欺騙誘捕、設陷探測”為思想指導，圍繞設陷探測、攻擊探查、安全聯(lián)動和威懾溯源4個方面，發(fā)展近身蜜點、前置蜜庭、網(wǎng)關蜜陣、外溢蜜洞的“四蜜”威脅感知體系，涵蓋支持縱深威脅感知的蜜點技術、支持攻擊觀測和判別的蜜庭技術、支持協(xié)同聯(lián)動的蜜陣技術和支持網(wǎng)絡威懾與攻擊繪制的蜜洞技術。該網(wǎng)絡安全保障體系提升了對高隱蔽攻擊行為的感知和威懾能力，將現(xiàn)有的網(wǎng)絡安全保障體系的防御重心從關注保護對象自身安全轉變?yōu)榘l(fā)現(xiàn)和阻斷攻擊者，可為統(tǒng)籌構建國家級整體防御體系提供研究參考，有助于從根本上解決現(xiàn)有體系存在的四大安全問題。

圖1 “護衛(wèi)模式”網(wǎng)絡安全保障體系研究框架

（二）重點發(fā)展的技術任務

1. 支持縱深威脅感知的蜜點技術

在設陷探測方面，針對以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系面臨的“捕不全”問題，“護衛(wèi)模式”安全保障體系策略從被動防御變?yōu)橹鲃犹讲?。因此，新型的網(wǎng)絡安全保障體系面向攻擊者進入真實系統(tǒng)之前和之后兩個階段，通過在被保護系統(tǒng)周圍部署大量多種蜜點等陷阱 / 絆線方式，全方位、多層次地主動感知系統(tǒng)面臨的安全威脅。與蜜罐不同，蜜點并不主動散布自己的存在，而是放在常規(guī)用戶不會訪問的路徑上，一旦蜜點被訪問，則可確認該行為為非正常訪問。在網(wǎng)絡中，研究基于位置蜜點的網(wǎng)絡絆線和系統(tǒng)絆線技術，即通過設置大量“自動觸發(fā)器”，如地址圍欄蜜點、域名變換蜜點、域控賬號蜜點等，來防御系統(tǒng)外部面臨的橫向移動、域名爆破、域控制器等攻擊，實現(xiàn)對網(wǎng)絡攻擊的主動防御。在系統(tǒng)內(nèi)，研究基于寄生蜜點的系統(tǒng)絆線實現(xiàn)技術，即通過在系統(tǒng)服務中部署不會被正常用戶使用的“暗功能”，或復現(xiàn)系統(tǒng)已有業(yè)務，部署功能誘餌蜜點、面包屑文件蜜點、特定賬號密碼蜜點和路徑陷阱等寄生蜜點，隱藏真實功能和系統(tǒng)業(yè)務，防御攻擊者對系統(tǒng)內(nèi)部資源的獲取，使攻擊者即便突破了系統(tǒng)外圍的防御，仍會在系統(tǒng)內(nèi)部盜取資源時被發(fā)現(xiàn)，最終形成縱深安全威脅探測能力。

縱深威脅感知技術通過設置系統(tǒng)外部蜜點可快速感知外部威脅，一旦外部蜜點被觸發(fā)，即可判斷系統(tǒng)當前正在遭受攻擊，使系統(tǒng)在網(wǎng)絡攻擊的起始階段就有機會發(fā)現(xiàn)攻擊者的動向。設置系統(tǒng)內(nèi)部蜜點可更精準捕獲攻擊者行為，由于陷阱不會被用戶的正常行為觸發(fā)，因此內(nèi)部蜜點一旦被觸發(fā)即可以較高的置信度認定系統(tǒng)正在遭受入侵，從而定位入侵位置，實現(xiàn)對內(nèi)部威脅的精準感知?？偟膩碚f，縱深威脅感知技術可以更全面地感知系統(tǒng)內(nèi)外的安全態(tài)勢，更早地發(fā)現(xiàn)針對系統(tǒng)的網(wǎng)絡攻擊，實現(xiàn)對攻擊的快速響應。此外，在部署大量蜜點的系統(tǒng)中，攻擊者需要花費更多的時間去甄別攻擊目標，區(qū)分蜜點和真正的系統(tǒng)資源、系統(tǒng)漏洞，從而消耗攻擊者的精力、增加攻擊成本、降低攻擊成功率。

2. 支持攻擊觀測和判別的蜜庭技術

在攻擊探查方面，針對以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系所面臨的“攔不住”問題，新型的網(wǎng)絡安全保障體系通過部署可控的蜜庭等代理方式，既可以正常提供部分系統(tǒng)服務，讓攻擊者感覺不到并沒有進入到真實的服務系統(tǒng)，又可以對攻擊者進行訪問軌跡研判，形成隱匿攻擊判別能力。在攻擊觀測階段，研究基于服務代理的前置蜜庭技術，即在蜜庭中構建外顯相同的服務代理來建立與真實系統(tǒng)之間的安全隔離通道，以便消除惡意負載，提高代理響應速度，觀察用戶行為并進行數(shù)據(jù)收集。在攻擊判別階段，研究基于研判決策的信任判別方法，構建信任模型和用戶IP信譽度判別規(guī)則，即對代理服務中的流量、命令、數(shù)據(jù)、網(wǎng)絡連接等行為數(shù)據(jù)進行監(jiān)測和收集并上報研判中心。一旦攻擊者試圖通過不斷變化來源IP地址來規(guī)避對其訪問軌跡的觀察時，研判中心就會對不斷出現(xiàn)的新地址進行歸并研判，從而發(fā)現(xiàn)潛在攻擊者，實現(xiàn)對目標系統(tǒng)的前置防護。

攻擊觀測和判別技術將真實系統(tǒng)與外部網(wǎng)絡環(huán)境進行安全隔離，降低了網(wǎng)絡攻擊直達系統(tǒng)所帶來的安全風險。在攻擊觀測階段，蜜庭可以觀測攻擊者的每一步行為，發(fā)現(xiàn)攻擊者的攻擊方式和攻擊策略，為安全團隊提供攻擊數(shù)據(jù)的新視角，獲取攻擊者使用的工具和方法等信息。在攻擊判別階段，蜜庭可以對監(jiān)測數(shù)據(jù)進行分析，全面判斷用戶行為所帶來的影響，準確捕獲由攻擊行為所引起的系統(tǒng)數(shù)據(jù)異常，從而發(fā)現(xiàn)更隱蔽的網(wǎng)絡攻擊。此外，蜜庭收集到的監(jiān)測數(shù)據(jù)也可以反映系統(tǒng)當前存在的安全漏洞和威脅，幫助安全人員提高系統(tǒng)的安全性，制定相應的安全策略。

3. 支持協(xié)同聯(lián)動的蜜陣技術

在安全聯(lián)動方面，針對以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系所面臨的“看不清”問題，新型的網(wǎng)絡安全保障體系對蜜點、蜜庭及傳統(tǒng)防御設備進行統(tǒng)一調(diào)度，構建基于蜜陣的探測感知部署策略，形成全網(wǎng)聯(lián)動的探測能力。首先，蜜陣整合蜜點、蜜庭等防御點，對其進行統(tǒng)一命名和管理，使防御點名字唯一且數(shù)據(jù)可區(qū)分。其次，蜜陣統(tǒng)一通信協(xié)議標準，定義數(shù)據(jù)規(guī)范和配置接口，實現(xiàn)蜜點、蜜庭、蜜陣的互聯(lián)互通；同時，蜜陣為各防御點的管理、部署提供策略支持，根據(jù)系統(tǒng)安全態(tài)勢實時調(diào)整防御點的類型和位置，建立主動防御措施的動態(tài)變化機制。最后，蜜陣根據(jù)專家知識庫和歷史攻擊數(shù)據(jù)評價防御效果，分析防御點效用，迭代優(yōu)化部署策略，降低防御成本，提高防御能力。

協(xié)同聯(lián)動的蜜陣技術充分利用各安全系統(tǒng)和設備的優(yōu)勢，使其能夠?qū)崟r共享安全情報和攻擊信息，增強系統(tǒng)應對安全威脅的能力；也有助于分析系統(tǒng)整體的網(wǎng)絡安全狀況并作出更加明智的決策，幫助整個安全系統(tǒng)迅速、全面地應對威脅，使網(wǎng)絡安全保障體系更加全面高效。

4. 支持網(wǎng)絡威懾與攻擊繪制的蜜洞技術

在威懾溯源方面，針對以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系所面臨的“抓不住”問題，新型的網(wǎng)絡安全保障體系基于蜜洞對網(wǎng)絡攻擊者進行威懾并記錄其身份信息，鎖定攻擊者，對攻擊者進行畫像繪制，形成“事前威懾、事中粘隨、事后繪制”的跨越式攻擊溯源能力。首先，蜜洞對所有訪問用戶的硬件設備編號、軟件應用信息等唯一標識進行強制認證，構建指紋，跟蹤用戶行為。在攻擊者獲取關鍵資源時強制要求提供唯一標識，讓攻擊者意識到其行為已被發(fā)現(xiàn)，形成事前網(wǎng)絡威懾，從而停止進一步攻擊。其次，由于蜜洞向攻擊者投遞浮動程序，用以探查攻擊者的資源和信息。對于原本要向攻擊目標投遞攻擊程序的攻擊者來說，需要接收對方投遞過來的浮動程序，而攻擊者通常會拒絕接受，從而暴露了其身份。因此，蜜洞技術可以實現(xiàn)對可疑行為的快速精準響應，并對非法訪問進行阻斷和粘隨遠控，使攻擊者付出更高的成本和代價，達到持續(xù)性的粘隨威懾效果。最后，蜜洞結合攻擊者身份信息，繪制攻擊者畫像，將其鎮(zhèn)定并溯源。

支持網(wǎng)絡威懾與攻擊繪制的蜜洞技術，可以有效震懾攻擊者，增加攻擊者的攻擊成本和代價，降低系統(tǒng)被攻擊的風險，減少系統(tǒng)受到的攻擊次數(shù)和規(guī)模，保護系統(tǒng)和數(shù)據(jù)的安全。此外，還可以為攻擊研判提供全面、詳實的攻擊者數(shù)據(jù)和情報，有效識別和溯源攻擊者，輔助安全人員快速、有針對性地調(diào)整系統(tǒng)安全策略。

（三）重點發(fā)展的產(chǎn)業(yè)任務

在產(chǎn)業(yè)支撐方面，以“自衛(wèi)模式”為主的網(wǎng)絡安全保障體系側重于被動抗打擊和不被攻垮，難以有效支撐各領域的網(wǎng)絡系統(tǒng)、適應日益突出的網(wǎng)絡空間安全威脅和風險。以“護衛(wèi)模式”為代表的網(wǎng)絡安全保障體系側重于預防攻擊和發(fā)現(xiàn)攻擊者，與網(wǎng)絡安全保險產(chǎn)業(yè)相結合，有助于從整體上提高網(wǎng)絡安全風險的治理水平，推動網(wǎng)絡安全產(chǎn)業(yè)發(fā)展，為數(shù)字經(jīng)濟發(fā)展和網(wǎng)絡強國建設提供重要支撐。

首先，在網(wǎng)絡安全保險投保前的風險評估階段，研判被保企業(yè)或單位的攻擊感知能力，通過在被保企業(yè)設置蜜點的方式來提升企業(yè)對網(wǎng)絡攻擊的感知能力。其次，在網(wǎng)絡安全保險的承保過程中，保險企業(yè)可以委托相應的安全支撐企業(yè)以低成本的方式在被保企業(yè)中廣泛布設蜜點，并將其匯總到統(tǒng)一的針對被保企業(yè)所構建的安全監(jiān)測中心。該中心對所保護企業(yè)之間的攻擊情況進行統(tǒng)籌，及時發(fā)現(xiàn)大范圍的關聯(lián)攻擊，以最小的代價在最大的程度上及時發(fā)現(xiàn)攻擊者的存在，降低網(wǎng)絡安全事故的發(fā)生概率。一旦發(fā)現(xiàn)“踩蜜”行為，則意味著攻擊者的身份暴露，被保企業(yè)可以立即進行整改并清理被訪問的系統(tǒng)；安全支撐企業(yè)也可以通過日志溯源攻擊者。最后，在出險后的響應和理賠階段，如果造成損失的攻擊者是已經(jīng)被發(fā)現(xiàn)的“踩蜜者”，則需深入研究系統(tǒng)遭受攻擊的原因，并依據(jù)保險合同中所明確的蜜點作用、蜜點處置規(guī)范和基于蜜點的免責條款等判斷是否需要理賠及計算理賠額度。

發(fā)展由蜜點加持的網(wǎng)絡安全保險產(chǎn)業(yè)，有助于被保企業(yè)構建并完善網(wǎng)絡安全風險管理體系，強化網(wǎng)絡安全風險應對能力，降低企業(yè)面臨的網(wǎng)絡安全壓力，對構建新型的網(wǎng)絡安全生態(tài)，促進數(shù)字經(jīng)濟的健康有序發(fā)展具有重要價值。

五、我國網(wǎng)絡安全保障體系的發(fā)展建議

（一）探索“護衛(wèi)模式”網(wǎng)絡安全保障機制，全面提升國家網(wǎng)絡安全防護水平

在現(xiàn)有基于“自衛(wèi)模式”的網(wǎng)絡安全保障體系的基礎上，從國家層面制定相關政策法規(guī)引導和推動“護衛(wèi)模式”網(wǎng)絡安全保障體系的發(fā)展，將兩種模式相結合，優(yōu)勢互補，全面提升國家網(wǎng)絡安全防護水平。① 在政策引導方面，倡導構建以“四蜜”為代表的“護衛(wèi)模式”網(wǎng)絡安全保障體系，前期可通過意見、建議等形式對“護衛(wèi)模式”安全防護技術及方案進行推廣，后期可結合“網(wǎng)絡安全等級保護2.0制度”等國家安全防護要求，將“護衛(wèi)模式”相關要素融入國家標準。② 在資金支持方面，設立專項資金支持“護衛(wèi)模式”網(wǎng)絡安全保障體系的建設和應用推廣，以科技攻關項目推動技術研發(fā)，突破核心關鍵技術，形成體系化技術方案，開展應用示范項目和試點工程以驗證技術的有效性，并通過成功案例向企事業(yè)單位展示技術優(yōu)勢和應用前景。③ 在宣傳教育方面，結合國家網(wǎng)絡安全宣傳周、重要網(wǎng)絡安全學術會議等開展網(wǎng)絡安全宣傳、教育和學術活動，向研究人員、企業(yè)和公眾介紹“護衛(wèi)模式”網(wǎng)絡安全保障體系的理念、技術、優(yōu)勢及應用效果，提高公眾對“護衛(wèi)模式”的認知，推動更多研究人員和企業(yè)的參與，促進“護衛(wèi)模式”方案的推廣和應用。

（二）探索“護衛(wèi)模式”安全防護技術研究和應用，實現(xiàn)新舊安全防護技術的融合統(tǒng)一

建立“護衛(wèi)模式”安全防護技術研發(fā)路線圖，組織科研院所、網(wǎng)絡安全企業(yè)等參與關鍵技術研究和平臺開發(fā)，突破布陷感知、前置觀測、協(xié)同聯(lián)動以及粘隨威懾等關鍵技術，構建“護衛(wèi)模式”縱深威脅感知技術體系。同時，與現(xiàn)有的“自衛(wèi)模式”安全防護技術（如可信防護、態(tài)勢感知）結合，建立威脅共享和聯(lián)動機制，實現(xiàn)新技術與原有技術的融合統(tǒng)一，有效支撐“護衛(wèi)模式”技術的推廣和應用。推動以“四蜜”為代表的“護衛(wèi)模式”安全防護技術和應用的標準化，從架構體系、技術標準、部署標準、管理標準、網(wǎng)絡安全等級保護要求等方面細化“護衛(wèi)模式”技術及應用要求，增加新技術的可信度和推廣力度，支撐開發(fā)者和用戶進行技術開放共享與平臺應用。推動“護衛(wèi)模式”“殺手級”應用探索，面向工業(yè)、金融、通信等領域的關鍵信息基礎設施，梳理“護衛(wèi)模式”的應用需求；組織企業(yè)用戶從實際應用和場景特點出發(fā)，提出符合企業(yè)需求的安全防護應用模式，以應用需求為導向?qū)Α白o衛(wèi)模式”相關技術和平臺進行迭代更新，從而建立符合實際需求的技術體系和應用平臺，并通過在關鍵信息基礎設施上的應用，進一步驗證“護衛(wèi)模式”的有效性，形成良好的示范應用效果。

（三）探索面向“護衛(wèi)模式”的網(wǎng)絡安全人才培養(yǎng)新模式，培育創(chuàng)新實踐型網(wǎng)絡人才

面向“護衛(wèi)模式”網(wǎng)絡安全保障體系研發(fā)及應用需求，依托國家戰(zhàn)略型人才和創(chuàng)新實踐型人才培養(yǎng)目標，培養(yǎng)和挖掘一批具有戰(zhàn)略視野、跨領域、創(chuàng)新思維、技能過硬的網(wǎng)絡安全人才，形成人才培養(yǎng)戰(zhàn)略規(guī)劃。借鑒廣州大學方濱興院士班的“654321”網(wǎng)絡安全人才培養(yǎng)模式，從人才培養(yǎng)具體實施角度，探索將“護衛(wèi)模式”體系與網(wǎng)絡安全人才培養(yǎng)相結合，將思辨能力和實踐能力納入人才培養(yǎng)目標，培育具有獨立思考和技能過硬的創(chuàng)新實踐型網(wǎng)絡人才，推動“護衛(wèi)模式”網(wǎng)絡安全保障體系的不斷進步。例如，“方班研討廳”機制通過知名專家和專業(yè)老師研討點評的教學模式使學生快速掌握“求源、熵減、思辨”方法，從而培養(yǎng)創(chuàng)新和實踐能力。探索人才培養(yǎng)與業(yè)務需求深度結合機制，將人才培養(yǎng)真正服務于安全防護需求，做好人才與需求對接，建立需求單位和人才之間的供需協(xié)調(diào)機制。例如，“方班演武堂”機制通過組織學生參與2022年北京冬季奧運會、2023年杭州第19屆亞運會以及護網(wǎng)演練等大型活動網(wǎng)絡安全保障任務，培養(yǎng)學生快速掌握“分析 - 驗證 - 工程”方法，鍛煉實戰(zhàn)實踐能力。積極鼓勵民間團體組織各類網(wǎng)絡攻防安全大賽，培養(yǎng)和挖掘“護衛(wèi)模式”安全防護技術及運維人員，通過積極推進網(wǎng)絡安全對抗，提升“護衛(wèi)模式”的安全防護能力。

六、結語

本文針對當前“自衛(wèi)模式”安全保障體系在應對APT攻擊時所面臨的“捕不全”“攔不住”“看不清”和“抓不住”等問題，提出了以“四蜜”為代表的“護衛(wèi)模式”網(wǎng)絡安全保障體系?！八拿邸蓖{感知體系遵循“欺騙誘捕、設陷探測”的指導思想，使護衛(wèi)者可以在暗處觀察攻擊者行為，發(fā)現(xiàn)其未知攻擊的真相，從而更有效地鎖定APT攻擊者，顯著降低發(fā)現(xiàn)APT攻擊的時間。多次重大活動的網(wǎng)絡安全保障案例均表明“四蜜”威脅感知體系在主動發(fā)現(xiàn)安全威脅、提高系統(tǒng)安全性方面發(fā)揮了重要作用。建議從政策引導、資金支撐、宣傳教育、技術研發(fā)、標準規(guī)劃、應用探索以及人才培養(yǎng)等多方面發(fā)展以“四蜜”為代表的“護衛(wèi)模式”網(wǎng)絡安全保障體系，提升對高隱蔽安全威脅的感知和威懾能力，以期能夠開啟統(tǒng)籌構建國家級整體防御體系的新階段。

利益沖突聲明

本文作者在此聲明彼此之間不存在任何利益沖突或財務沖突。

Received date:August 22, 2023;Revised date:October 30, 2023

Corresponding author:Fang Binxing is a professor of the Cyberspace Institute of Advanced Technology, Guangzhou University, and a member of the Chinese Academy of Engineering. His major research field is cyberspace security. E-mail: fangbx@cae.cn

Funding project:Chinese Academy of Engineering project “Strategic Research of Cybersecurity Assurance System” (2022-JB-04)