下载文档原格式
网络安全和防御机制概述网络安全是指维护计算机网络系统和数据的机密性、完整性和可用性的一系列措施。
随着互联网的快速发展,网络安全问题也日益突出。
为了保护网络免受黑客攻击、恶意软件和数据泄露的威胁,各种防御机制被广泛采用。
密码学密码学是网络安全的关键技术之一。
它包括使用密码算法对信息进行加密、解密和认证。
密码学能够有效保护敏感数据免受未经授权的访问。
常见的密码学技术包括对称加密、非对称加密和哈希算法。
防火墙防火墙是指一种位于网络边界的安全设备,用于监控和控制进出网络的数据流。
它可以根据设定的规则进行流量过滤,阻止潜在的攻击和恶意流量进入网络。
防火墙可以有效防止黑客入侵和网络攻击,并提高网络安全性。
入侵检测系统(IDS)入侵检测系统是一种网络安全设备,用于监测和报警网络中的异常行为。
它可以分析网络流量和系统日志,识别疑似入侵行为,并及时发出警报。
入侵检测系统能够帮助及早发现和应对网络攻击,提高网络的安全性和可靠性。
虚拟专用网络(VPN)虚拟专用网络是一种通过公共网络进行加密通信的安全通信通道。
通过使用 VPN,用户可以在互联网上建立一个安全的私人网络,保护数据传输过程中的安全性和隐私性。
VPN广泛用于远程访问、跨网络通信和保护敏感数据的传输。
数据备份和恢复数据备份和恢复是一项关键的网络安全措施。
定期备份数据可以防止因数据丢失、硬件故障或恶意攻击而导致的数据丢失。
恢复备份数据可以减少业务中断时间,并尽快恢复正常运营。
总结为了确保网络的安全性,采取适当的网络安全和防御机制至关重要。
密码学技术、防火墙、入侵检测系统、虚拟专用网络和数据备份和恢复是常见的网络安全措施。
通过综合应用这些机制,可以有效保护网络免受各种安全威胁的侵害,确保网络系统和数据的安全性和可靠性。
*注意:本文档内容旨在提供简要概述,不涉及具体技术细节和复杂的法律问题。
请在实施网络安全措施时,遵循相应的法律法规和最佳实践。
网络安全核心概念和防御技术网络安全是指保护计算机系统和网络免受未经授权或恶意攻击的能力。
随着技术的不断发展和信息的飞速传递,网络安全已经成为各个领域关注的焦点之一。
在这个信息化的时代,了解网络安全的核心概念和掌握一些防御技术是非常重要的。
首先,了解网络安全的核心概念是很重要的。
网络安全的核心概念包括身份验证、访问控制、数据保护、威胁检测和恢复能力。
身份验证是指通过识别和验证用户、设备或系统的身份来防止未经授权的访问。
常见的身份验证方法包括密码、指纹识别和双因素认证等。
访问控制是指限制用户或系统对资源的访问权限,可以通过访问控制列表、防火墙和虚拟专用网络等技术来实现。
数据保护是指保护数据的完整性、机密性和可用性,可以通过加密、备份和存储器访问控制等手段来实现。
威胁检测是指通过监测和分析网络流量来识别潜在的威胁和攻击。
恢复能力是指在网络受到攻击或遭受数据损失后,能够快速恢复系统和数据的能力。
其次,了解一些常用的网络安全防御技术是非常重要的。
网络安全防御技术包括网络防火墙、入侵检测系统、安全信息和事件管理系统等。
网络防火墙是一种位于网络与外部世界之间的边界设备,用于监控和控制网络流量。
它可以根据预先定义的策略对流量进行过滤和阻止,从而防止未经授权的访问和威胁。
入侵检测系统是一种监控和分析网络流量以识别潜在攻击的设备。
它可以根据已知的攻击特征或异常流量模式来检测并报警。
安全信息和事件管理系统是一种集中管理和分析安全事件和日志的系统。
它可以帮助管理员识别潜在的威胁,并提供报警和响应功能。
除了以上防御技术,还有一些其他的网络安全防御技术也值得关注。
其中一项重要技术是加密。
加密是将敏感信息转换为无法理解或解读的形式,以确保数据在传输或存储过程中的机密性。
常见的加密算法包括对称加密和非对称加密。
另外,漏洞管理和补丁管理也是网络安全中不可或缺的一环。
漏洞管理是指定期对系统和软件进行漏洞扫描,并及时修补已知漏洞,以防止黑客利用这些漏洞进入系统。
内生安全赋能网络弹性工程读书感想一、网络安全的重要性在当今数字化时代,网络安全的重要性不言而喻。
随着网络技术的飞速发展,各种网络攻击手段层出不穷,从钓鱼攻击到勒索软件,这些攻击对个人和企业都构成了巨大的威胁。
保障网络安全成为了我们每个人的任务,确保我们的数据和信息不被窃取和滥用。
在内生安全赋能网络弹性工程的背景下,网络安全的重要性更加凸显。
网络弹性是指网络系统在面临各种威胁和攻击时,能够迅速恢复并维持正常运行的能力。
而网络安全则是网络弹性得以实现的基础,只有确保网络安全,网络弹性工程才能真正发挥作用。
网络安全还关系到国家安全和社会稳定,网络攻击可能导致关键基础设施的瘫痪,影响国家的正常运转。
保障网络安全,就是保障国家的安全和稳定。
网络安全的重要性不言而喻,在构建内生安全体系的过程中,我们必须将网络安全放在首位,采取有效的措施来保障网络安全,为网络弹性工程提供坚实的保障。
1. 网络安全现状及挑战在数字化浪潮推动下,网络技术飞速发展,为人类社会带来前所未有的便捷。
这种便捷性也伴随着网络安全风险的日益凸显,当前的网络安全形势呈现复杂多样性,传统的网络安全防护措施在面对新型攻击手段时显得力不从心。
网络攻击手段不断演变,从传统的病毒、蠕虫到更加隐蔽和高级的勒索软件、分布式拒绝服务攻击(DDoS),以及零日漏洞利用等,攻击者的攻击手段日益狡猾和隐蔽。
随着物联网、云计算、5G等新技术的广泛应用,网络安全的边界也在不断扩展,给网络安全防护带来了更大的挑战。
随着网络应用的普及,大量的个人隐私和敏感数据被存储在网络上,这使得数据泄露的风险越来越高。
一旦这些数据被泄露,不仅会对个人造成严重的损失,甚至可能引发社会性的恐慌和不稳定。
面对当前的网络安全挑战,我们需要采取更加积极和有效的措施来保障网络安全。
内生安全作为一种全新的网络安全理念,强调从源头上构建网络安全防线,通过技术、管理和人员等多方面的因素,确保网络系统的稳定性、可靠性和安全性。
网络自免疫内生安全防护体系设计作者:贾哲张林杰安海涛来源:《计算机与网络》2021年第12期摘要:随着网络规模的快速扩大及信息系统的日益复杂,现有安全防护体系以外挂、被动的边界安全防护体系为主,难以支持多样化、多等级的防护能力动态按需联动需求。
生物自免疫机理具有自适应性、自学习、自组织性及动态性等特点,为创新开展具有内生安全效应的主动安全防护体系设计提供了思路。
分析了国内外内生安全的技术理念,研究了生物免疫体系对网络安全体系的启示,并以此为基础提出了攻击自免疫的网络内生安全模型和技术体系,促进安全技术研发由外挂式向内生性转变,将安全属性作为一种网络基因,达到协同联动的内生安全的效能。
关键词:网络内生安全;生物免疫;安全模型;主动安全中图分类号:TN91文献标志码:A文章编号:1008-1739(2021)12-65-4Design of Endogenous Security Protection System for Network Self-immunityJIA Zhe1,ZHANG Linjie2,AN Haitao3(1. Science and Technology on Communication Networks Laboratory,Shijiazhuang 050081,China;2. The 54th Research Institute of CETC,Shijiazhuang 050081,China3. Information Center,Administration of Science,Technology and Industry for National Defence,Beijing 100039,China)Abstract: With the rapid expansion of network scale and the increasing complexity of information systems,the existing security protection system is mainly based on external and passive boundary security protection systems,and it is difficult to support the dynamic on-demand linkage requirements of diversified and multi-level protection capabilities. The biological self-immunity mechanism has the characteristics of self-adaptation,self-learning,self-organization,dynamics,etc.,which provides ideas for innovatively developing the design of active safety protection system with endogenous safety effects. The technical concepts of endogenous security at home and abroad are analyzed,and the enlightenment of biological immune systems to network security systems is studied,and on this basis,a network endogenous security model and technical system for self-immunity against attacks is proposed,and the development of security technologies is promoted. The plug-in type is transformed to endogenous type,and the security attribute is used as a network gene to achieve the endogenous security effect of collaborative linkage.Keywords:endogenous security;endogenous immunity;security model;initiative security0引言当前,网络空间的基本安全态势是攻易守难。
网络安全的基本概念与防护措施现代社会中,网络安全问题日益突出。
随着互联网的普及和快速发展,各种网络攻击和侵入事件层出不穷。
为了能够安全地使用互联网,了解网络安全的基本概念和采取相应的防护措施显得尤为重要。
一、网络安全的基本概念1.1 面临的威胁网络安全所面临的威胁主要有:病毒、蠕虫、木马、间谍软件、破解等。
这些威胁能够导致信息的泄露、篡改、破坏和服务的拒绝等问题。
1.2 信息安全信息安全是网络安全的核心内容,主要包括信息的保密性、完整性和可用性。
保密性要求信息只能被授权的人员访问,完整性要求信息在传输和存储中不被篡改,可用性要求信息能够正常地被合法用户所使用。
1.3 网络攻击类型网络攻击类型包括:黑客攻击、拒绝服务攻击、嗅探和监听、中间人攻击、雇员失职或犯罪等。
这些攻击形式不断地演变和发展,给网络安全带来了巨大的挑战。
二、网络安全的防护措施2.1 基本的防护措施(1)密码安全:设置强密码,定期更换密码,不可将密码泄露给他人。
(2)系统和应用程序的安全更新:及时安装补丁和更新,防止已知漏洞被利用。
(3)防病毒和防恶意软件:安装正规的杀毒软件,并及时更新病毒库。
(4)防火墙:设置有效的防火墙规则,限制非法访问。
(5)网络访问控制:限制对敏感信息的访问权限,控制内外网的访问权限。
2.2 高级的防护措施(1)入侵检测系统:及时发现和阻止非法的网络入侵,并采取相应的应对措施。
(2)安全日志监控:对系统和网络进行全面的安全日志监控,及时发现异常情况。
(3)数据备份与恢复:定期备份重要数据,防止数据丢失,并能够及时恢复数据。
(4)加密技术:对敏感信息进行加密处理,确保信息的安全传输和存储。
(5)安全培训与意识:加强员工的安全意识,提供网络安全培训,使其能够正确使用互联网。
三、网络安全面临的挑战和未来发展网络安全面临的挑战主要包括人员教育、技术防护和法律监管等方面。
随着技术的不断发展,网络攻击手段也会越来越复杂。
一、引言大量的网络安全事件表明,网络空间绝大部分安全威胁都是由人为攻击这个外因,通过目标对象自身存在的漏洞后门这个“内生安全问题”之内因的相互作用而形成的。
遗憾的是,迄今为止,传统的网络安全思维模式和技术路线很少能跳出“尽力而为、问题归零”的惯性思维,挖漏洞、打补丁、封门补漏、查毒杀马乃至设蜜罐、布沙箱,层层叠叠的附加式防护措施,包括内置层次化的检测构造方式(借鉴生物学的内共生思想),在引入安全功能的同时不可避免地会引入新的内生安全隐患。
怎样才能破解基于内生安全问题的不确定威胁影响,是既需要重大理论创新又需要重大技术发明才能解决的科学技术难题。
文章从“一切事物都是自在的矛盾、任何事物有利必有弊”的哲学原理出发,分析了信息系统“内生安全问题”存在的必然性,给出了网络空间内生安全问题的概念、特征,指出内生安全问题作为自在矛盾的一方,在理论和工程层面都不可能彻底消除,需要开发或利用系统元构造(算法)自身的“内源性安全效应”,或者形成“内生的安全体制机制”才能有效规避或化解由自在矛盾引发的安全风险。
文章给出了期望的内生安全的体制机制定义和技术特征,并在可靠性理论与方法的启示下,通过“相对正确公理”的再发现,在香农信道编码纠错理论基础上创立了编码信道理论,发明了动态异构冗余架构(DHR),阐述了DHR架构能够归一化地处理传统可靠性问题与非传统网络安全问题的原理。
二、网络空间“内生安全问题”(一)内生安全问题的定义和内涵信息世界网络空间与现实世界物理空间一样有着相同的哲学本质,如同德国哲学大师黑格尔所说的那样“一切事物都是自在(内生)的矛盾,矛盾是一切运动和生命力的根源”。
矛盾的同一性是事物存在和发展的前提,且互为发展条件。
矛盾的斗争性则会促进矛盾双方此消彼长,造成双方力量的发展不平衡,为对立面的转化和事物质变创造条件。
以信息技术为例:大数据技术能够根据算法和数据样本发现未知的规律或特征,而蓄意污染数据样本、恶意触发算法缺陷也能使人们误入歧途;区块链技术开辟了无中心记账方式的新纪元,51%的共识机制却不能避免市场占有率大于51%的COTS级软硬件产品中的漏洞后门问题。
网络安全的技术体系及保障措施一、引言随着信息社会的不断发展,网络安全问题愈加突出,已成为全球性的挑战。
为了保障网络安全,建立一个完整的安全体系并采取相应的保障措施显得尤为重要。
本文将从网络安全技术体系的概念和理念入手,系统地介绍其应用于实现网络安全的具体措施。
二、网络安全技术体系的概念网络安全技术体系,也称网络安全体系、网络安全架构,是指由多种技术手段、产品和管理机制组成、实现保护网络安全、保障网络信息安全的一整套体系。
可以从以下三个方面来理解网络安全技术体系:1.理念层面网络安全技术体系应该是一个“全链条、全要素、全人员”参与的体系。
即它应该可以将从物理模型到应用数据的每一环节全部涵盖,每个环节都应该具有相应的安全性关注点和相应的技术应用。
2.技术层面网络安全技术体系主要由四个关键要素组成:防火墙、入侵检测系统、安全监控系统和加密传输。
这四个要素构成了网络安全体系的支柱,实现了网络安全关键环节的覆盖。
3.管理层面网络安全技术实现的管理工作有两个核心方向:资源管理和事件管理。
通过资源管理,可以对网络的安全技术资源进行统一掌控和资源归纳。
通过事件管理,可以进行安全事件的管理,最大限度地减少安全事件带来的负面影响。
三、网络安全技术体系的保障措施1.技术保障技术层面的保障措施主要是基于漏洞修补、主机安全状态监测、身份认证、密码策略等漏洞防护和攻击检测手段而展开的。
主要包括以下几方面的技术保障:(1)架构安全保障构建网络安全架构体系,以安全分区、屏障等技术手段为主,在保证业务的可用性和性能的同时,增强了网络防护的能力。
(2)信息安全加密网络上的数据往往被不法者利用,以破坏数据的完整性和可用性,因此,信息安全加密就显得异常重要。
它可以有效防止网络信息泄露和盗用。
(3)身份认证身份认证技术是网络安全保障的关键措施,只有确认用户的真实身份,才能为确定用户的行为提供依据。
身份认证技术主要包括口令认证、数字证书认证、智能证卡认证等方式。
网络安全中的态势感知与防御机制随着信息技术的日益发展,人们对于网络安全的意识也越来越强烈。
在互联网的世界里,网络攻击事件时有发生。
而对于企业机构和个人用户而言,网络安全问题尤为重要,因为它关乎到我们的财产安全和信息隐私。
那么,如何保障网络的安全呢?其中一个重要的方法就是实施网络安全态势感知和防御机制。
网络安全态势感知是指对网络信息环境进行实时、全面、准确的监测、分析和预测,以发现网络威胁和风险,从而提前采取必要防御措施,以确保网络安全。
下面,我们来看看网络安全态势感知和防御机制的相关内容。
一、网络安全态势感知的重要性网络环境的变化非常快速,这就对网络安全防御提出了更高的要求。
实现网络安全态势感知,可以从根本上提高网络安全防御的实效性和有效性。
通过网络安全态势感知,我们可以获取大量的网络安全情报,从中分析出网络攻击手段、攻击者的目标和策略等信息,有助于我们进行更加针对性的反制。
网络攻击的形式也越来越多样化、复杂化。
从传统的病毒、恶意代码,到目前最常见的网络钓鱼、木马、黑客攻击等,攻击方式层出不穷。
如果我们不能及时获取、分析和掌握这些攻击手段和攻击技巧,就很难在攻击发生时做出及时的反应,从而降低网络安全风险。
二、网络安全态势感知的实施1.建立网络安全态势感知平台要实现网络安全态势感知的工作,首先要搭建网络安全态势感知平台。
网络安全态势感知平台应当能够快速获取并分析全网的安全情报信息,包括外部的攻击数据、黑客攻击数据、网络威胁情报等等。
当然,这些数据必须经过严格的筛选和分析,判断其真实性、客观性和准确性。
2.采用多维信息监测手段网络安全态势感知的工作需要采用多种多样的监测手段。
既可以采用被动的监测和识别,也可以采用主动监测和引导。
例如,可以通过网络入侵检测设备、防火墙、ip地址黑白名单机制等技术手段,对外部威胁进行有效的监测和预警,并对重大事件进行快速反应。
此外,还可以利用日志管理、网站管理、权限管理等工具,对内部安全问题进行采集和分析,在保证企业内部网络安全的同时,还能够及时发现潜在的安全风险。
内生安全概念内生安全的介绍:内生安全是利用系统架构、机制、场景、法律等内在因素获得的安全功能或属性。
学术界关于内生安全的观点很多。
有人认为内生安全是指网络自身结构因素产生的安全效应;还有一种观点认为,内生安全通过增强计算机系统和网络设备的安全能力,使攻击不可能发生。
目前主流的内生安全技术有:由齐安信董事长齐向东提出的攻防过程内生安全、沈昌祥院士提出的基于可信计算的主动防御内生安全、吴江兴院士提出的基于构建技术的内生安全。
内生安全的演化:2013年,邬院士提出并创建了基于内生性安全机制的网络空间拟态防御概念,研究团队开始进行原理验证系统的攻研;2016年,基于内生安全原理的拟态原理验证系统通过了国家科技部组织的测试评估;2017年12月首次发布了相关理论成果《网络空间拟态防御导论》;2018年1月,世界首台拟态构造的域名服务器在中国联通洛阳公司上线应用;2018年4月,在国际上首次将拟态构造的路由器/交换机、防火墙、web服务器、文件管理系统、基于web的云服务等产品系列化上线使用;2018年5月,首届“强网”拟态防御国际精英挑战赛在南京举行,参赛的有22支中外顶级的白帽黑客战队,除了传统的黑盒比赛环境外,增加了部分“白盒”比赛环境,初步检验了基于拟态构造信息通信产品内生安全机制的有效性与可靠性;2018年11月内生安全的理论架构进一步得到完善,发布了《网络空间拟态防御原理—广义鲁棒控制与内生安全》;2019年5月,第二届“强网”拟态防御国际精英挑战如期在南京举行,参赛的中外顶级战队有29支,在充分开放的环境内,历时20多个小时,经受了近300万次的攻击,5700多次高危漏洞攻击,无一人一队得手;5月22日上午,基于我国科学家原创理论和技术研发的全球首个网络内生安全试验场开通仪式在南京紫金山实验室举行。
该试验场从即日起,接受来自全球任何个人和组织的实名攻击挑战。
2019年9月国家工信部对试点任务做了验收性的测试评估,专家委员会认为“试点任务设备和使用性能与效能与理论预期完全一致”;2019年12月相关理论成果《网络空间拟态防御—内生安全&广义鲁棒控制》英文版在全球发行;2020年6月,最新理论成果《网络空间内生安全——拟态防御与广义鲁棒控制》正式发行。
现代网络安全体系内生安全理念与动态防御能力解析
专家观察网络空间安全军民融合创新中心2020-04-24
网络安全体系向信息体系的嵌入与影响越来越深刻,现代网络安全体系需要具备怎样的使命目标与必备能力?
在信息技术行业发展早期,Sun Microsystems代表着计算机领域的远见卓识。
S un公司率先提出了“网络就是电脑”(The network is the computer)的独特理念。
什么意思呢?IT基础设施在松耦合架构中通过以太网线和TCP/IP之类的联网技术连接在一起,必须要正确设计和配置网络才能够最大化网络可用性、性能和业务效益。
当然,从上世纪九十年代早期到现在,全球互联网已经发生天翻地覆的变化。
如今很多网络根植云端,有些是虚拟的,还有些依赖应用系统间的连接,但IT系统依然通过各种方式靠网络连接在一起。
网络安全体系向信息体系的嵌入与影响越来越深刻,在2019年8月举办的首届北京网络安全大会上,奇安信集团董事长齐向东先生首次公开提出“内生安全”理念,运用“内聚而治”的技术机理,通过技术创新和业务融合对不同安全协议、安全机制和安全措施的聚合,实现对下一代网络的全面安全治理;执行“自主以生”
的技术路线,使得内生安全防护具备自主驱动力,能够同步甚至前瞻地适应网络变化,以衍生网络内在稳定的防御能力。
一、现代网络安全体系内生安全理念
现代网络安全体系建设的总体价值,是保障各级业务部门在任何时间、任何地点,以任何方式,使用信息资源、运用信息系统、展开业务活动的能力,简称为“使命确保”的总体目标。
具体而言,“使命确保”是指:为应对即将(正在、已经)
发生的不利环境(或情况),确保职责使命、业务活动、工作任务所依赖的网络信息资源或信息系统,在设计、开发、生产、部署、运行、管理等全生命周期,实施预先准备、持续运行、顽强抵抗、恢复重建和适应演进的能力。
网络安全体系的价值,不仅仅是保护网络信息体系安全,这只是手段、途径或中间态,而不是最终目标。
安防系统的价值,不在于清除了多少恶意代码,发现了多少个漏洞威胁,阻止了多少次攻击渗透,部署了多少安全装备,而在于有了安全,让多个系统连接到网上,多少数据存在网上,多少用户持续在线,多少网络连接,多少业务上线。
正是由于安全的存在,让我们延伸了业务的边界,让我们增加了系统的存在,让我们拓展了活动的空间。
具体而言,安防体系的价值主要体现在“提能力、能应变、保弹性”。
(一)提能力:确保网络信息系统的高效运用
在“一切皆由网络控制”的信息时代,网络安全“零日威胁”近在咫尺。
网络不仅消弭了线上线下和前方后方的边界,也使得业务安全对网络技术的依赖性越来越强,整个安全体系中任何一个信息化设备都有可能成为信息安全屏障的突破口,直接威胁业务安全,最终破坏总体安全。
为此,网络信息系统组织运用总是受到安全保密问题的掣肘,网络信息化建设难以突破安全桎梏,导致各级业务部门实际运行受到较大影响。
大力推进安防体系建设,推动网络与信息化同步规划、同步建设、同步实施,让安全设施真正成为信息基础设施的一部分,不是就安全论安全,也不是一味强化安防本身,恰恰正是着眼于打破安全枷锁、突破安全桎梏,通过全面展开安全建设促成“透明无感”的安全防护体验,通过安全能力全面提升实现网络信息系统的高效运用。
换言之,只有真正投入资源建设安全,改变安全能力低弱的窘境现状、进而实际提升安全能力,才能真正推动信息系统全面成体系运行使用,全面提升信息化建设效益,而不是陷入“不够安全不敢用”“没有运用不尝试”“没有成效不投入”的不利建设格局。
(二)能应变:确保网络信息系统的动态防护
网络空间攻防,总是在动态对抗的过程中不断探寻彼此的漏洞和短板,尽可能地获得阶段性对抗的相对优势。
攻防双方对抗边界总是动态变化的,攻防技术能力在对抗过程中实现螺旋式上升;攻防双方对抗主体也是动态变化的,新型网络威胁行为体不断显现,新兴网络攻击手段方法不断翻新,持续深化的信息化建设不断带来新的安全暴露面。
传统安防体系,是通过不同安全防御产品的部署、累积实现筑高墙式的安全防御,被动地应对攻击者不断变化的攻击手段。
新型安防体系,立足于更加积极的安全防御模式,通过建立覆盖全网的态势感知与自动响应系统,实施威胁感知主动发现、异常活动分析研判、攻击迹象通告预警、安全事件响应处置、攻击活动追踪调查和复盘整改,构建形成自适应持续运行的安全闭环,并进一步针对网络关键信息基础设施实现更加主动有效的全方位体系化防护,能够有效对抗目标意志坚定的高水平对手,在日益严峻、持续变化的网络空间风险与威胁形势中确保网络信息系统安全可靠。
(三)保弹性:确保网络信息系统的持续运转
网络空间平战一体、隐蔽性强,无需实体空间调动和调整部署,就可在没有明显征兆的情况下,在极短时间内提高攻击强度和加快攻击节奏,易达成攻击的突然性,新型的网络闪击战将成为未来网络战争的重要样式。
美军133支网络任务部队已于2018年6月全面形成作战能力,美网络空间司令部升级为一级职能司令部,实际具备了战略层面的指挥能力,同时与其他军种进行跨域融合,嵌入基本战术作战单元,随时保持高度战备状态,在战术层面形成网络作战力量与常规作战力量的整合使用。
未来如果爆发战争,相信在网络空间将会打响战争的“第一枪”,以夺取制网权为目标的网络战将成为作战各方竞争的焦点。
也就是说,战争情况下国家网络信息体系是作战对手发动攻击的首要目标,网络空间安全防御能力是我们的第一道防线。
安防体系建成后,形成稳定可靠的安全能力输出,能够真正让各级各类网络信息系统运行起来,切实保障业务链路常时畅通、持续有效,确保业务指令、业务活动得以依托网络快速展开,实现通信链路的全时贯通、业务信息的全时受控、业务系统的连续运行、业务体系的安全可靠。
二、现代网络安全体系的必备能力
现代网络安全体系建设,按照全域覆盖、自主决策、主动防御的设计理念,技术和管理并重、可靠和好用兼顾、安全防护和信息系统一体,全力打造态势全网感知、设备协同联动、结构动态捷变、技术高效融合的动态安全防御体系。
体系必备能力如下:
(一)无边界纵深防御能力
能够在多条安全防护战线上使用不同的防御手段来构建多层安全防护体系,支持安全设施能力全平台统一调配,确保在外层防御被渗透或被突破时内层能够有效阻断甚至反制攻击行为。
整个防御体系可以没有明显边界,但每个重要资产之外都有边界防护能力,提供整体安全保障能力,确保业务网络无惧新型安全攻击威胁。
未来网络信息体系的网络边界、数据边界、应用边界非常模糊,安全防护措施不应该停留在边界,而是进入网络信息体系所有关键环节,在各个分系统设计之初就充分考虑安全要求,各个分系统的业务需求与安全需求相互融合,安全能力完全融入各个分系统的方方面面,形成技术先进、设施完备的多层次纵深防御阵地,对外能够有效阻断外来敌对势力的攻击,对内有效遏制内部人员的违规和恶意行为,真正做到“拿不走数据、打不瘫网络、阻不断应用、隐不掉踪迹”。
(二)无死角态势掌握能力
能够构建全网尺度范围上的威胁“发现—检测—防御—响应”安全运行闭环,全方位全流程掌握网络运行安全态势,支持大尺度、多维度、多层次安全态势展现,小到单台虚拟机安全状态、大到平台整体安全情况,都可以及时掌握并持续检测安全威胁,结合历史安全事故和威胁情报进行未知威胁分析检测,做出安全威胁预判和防护措施预置,以及安全事件应急自动化响应。
网络信息体系的资产类型多样、业务活动丰富、信息交互频繁,安全事件爆发从来不局限于一隅,其影响与危害程度也很难控制在较小范围内,需要全方位监测通信网络与业务系统产生的海量安全数据,研判掌握全局安全态势,结合本地化威胁情报,实现安全威胁全程可知、可视、可防、可控,大幅提升安全事件的应急响应能力,避免恶性安全事故在业务网络内扩散蔓延,推动网络信息系统安全
保障从技术系统向安全运行的迭代演进,推动网络信息系统安全能力建设向更高层级跃升。
(三)无特权数据管制能力
采用零信任架构,能够唯一使用人的身份来进行数据资源使用安全控制,不允许使用IP地址、主机标识之类的静态上下文环境信息为作为访问控制的依据,平台不相信任何人,平台所有的资源,包括硬件、软件、模型、算法、应用、接口、协议、VPN等等,使用者在访问之前都必须经过严格身份认证,认证通过后才能使用。
能够基于用户行为和环境上下文进行动态权限管理,根据任务、身份、安全环境等多种因素进行可信关系计算,对数据使用情况进行全过程审计与行为分析,真正将数据分级分类管理和最小访问权限原则贯彻落实,落实到系统设计和程序逻辑上,落实到工程实践和业务运行上,权限控制粒度能够细化到具体的业务功能接口方法、数据字段、数据行且支持控制粒度配置,能够在线即时审核用户访问授权请求,支持按照事前预置的权限控制策略来审核请求,而不必按照行政结构层层审核,支持动态风险识别和报警预判。
(四)无间隙安全服务能力
网络信息体系建设将汇聚各类业务、数据和应用资源,为业务活动的智能化升级提供了信息基础,但同时也带来了极大的安全隐患。
如果没有对信息安全的绝对保障,将重要业务活动、敏感数据、特殊信息进行汇集和分析计算的风险将会无限放大。
未来网络信息化建设将涉及到固定网络环境、移动网络环境、云计算环境和数据中心环境,新的基础架构、新的数据资源、新的应用体系,以及数万量级用户群体都对网络信息安全提出前所未有的挑战。
现代网络安全体系建设,使用先进的安全防护技术能力和管理保障制度,解决信息化建设的“阿喀琉斯之踵”,让信息安全不再成为阻碍信息化建设深化推进的“拦路虎”“绊脚石”,让安全建设服从服务于业务建设,让安全系统能力全方位融入强化业务信息体系,为加快推进业务工作信息化进程、提高各级信息系统效能提供有力支撑。
(贺小川)。
