淺談網(wǎng)絡生態(tài)系統(tǒng)健康的基礎

賈瑋娜（內蒙古電子信息職業(yè)技術學院,呼和浩特 010010）

?

淺談網(wǎng)絡生態(tài)系統(tǒng)健康的基礎

賈瑋娜
（內蒙古電子信息職業(yè)技術學院,呼和浩特 010010）

摘 要：本文深入討論了更健康、易恢復、本質上更為安全的未來網(wǎng)絡生態(tài)系統(tǒng)理念。在這樣的網(wǎng)絡生態(tài)系統(tǒng)中，各種參與者能夠盡快實時的協(xié)作起來，共同預測、組織網(wǎng)絡攻擊，限制其傳播速度，減少危害，盡快將網(wǎng)絡生態(tài)系統(tǒng)恢復至可信狀態(tài)。

關鍵詞：網(wǎng)絡生態(tài)系統(tǒng)；健康；基礎

1 安全網(wǎng)絡生態(tài)系統(tǒng)概述

我們當前的網(wǎng)絡空間安全能力是自然分布的，私營部門和各級政府存在各種大量的專長。諸如漏洞掃描器、入侵檢測系統(tǒng)和殺毒軟件等安全產(chǎn)品并不交換數(shù)據(jù)，安全政策不一致。相互競爭的制造商開發(fā)這一技術，沒有共享信息或確保協(xié)調性反應的動力。結果產(chǎn)生的環(huán)境就是安全產(chǎn)品保護的是單一團體、單一用戶或者甚至單一用戶的一個方面。相互防御幾乎就是碰巧。

網(wǎng)絡生態(tài)系統(tǒng)是全球性的，包括政府和私營部門的信息基礎設施；各種互動的人、程序、信息和通信技術；影響網(wǎng)絡安全的條件。根據(jù)這一設想，各種參與者能夠盡快實時的協(xié)作起來，共同預測、阻止網(wǎng)絡攻擊，限制其傳播速度，減少危害，盡快將網(wǎng)絡生態(tài)系統(tǒng)恢復至可信狀態(tài)。為實現(xiàn)這一未來，安全能力必須被嵌入在網(wǎng)絡中的各種設備內部，它允許在設備內或設備間采取一些預防性和防御性行為，防御能力分布在所有網(wǎng)絡生態(tài)系統(tǒng)的參與者之中；而近似實時的協(xié)作防御能夠實現(xiàn)，得益于設備的內嵌互操作安全能力，以及可信信息交換、配置策略共享等因素的組合。

對于健康的網(wǎng)路生態(tài)系統(tǒng)，各類參與者能夠在遭受攻擊后廣泛、有效合作，反應敏捷，快速恢復。如果有了安全協(xié)作機制、通用策略、預定義的措施、標準的信息交換機制，以及健康的網(wǎng)路參與者，健康的網(wǎng)絡生態(tài)系統(tǒng)就可以抵御所有已知的和新興的網(wǎng)絡攻擊，改善關鍵信息基礎設施的可靠性和適應性，更好地保護隱私、商務及政務活動。

2 網(wǎng)絡生態(tài)系統(tǒng)健康的三大基礎

2.1 基礎一：自主化行動

自主化行動是針對網(wǎng)絡攻擊所需要采取的策略，包括了決策和行動。自動化將人類解放出來去做他們做得更好的事情——思考、提問和對復雜情況做出判斷。自動化使得網(wǎng)絡防御響應速度接近網(wǎng)絡攻擊的速度，有了這種快速響應能力，網(wǎng)絡安全技術人員就能更好地適應入侵者的攻擊行動周期，從容應對網(wǎng)絡攻擊。此外，自動化可以使采用和適應新的或經(jīng)過驗證的安全解決方案更加容易。

一個健康的網(wǎng)絡生態(tài)系統(tǒng)可能采用固定的局部防御自動化策略，并被活動的和全局性多層級的防御所支持。這樣的一個策略可以使網(wǎng)絡生態(tài)系統(tǒng)在應對網(wǎng)絡攻擊的同時，維持自身運行，支持正常業(yè)務開展；此外它可以使網(wǎng)絡生態(tài)系統(tǒng)不斷強化自己以預防網(wǎng)絡本身的“免疫性疾病”。

除了跨級別設備間通告和反應同步之外，每個級別的設備還應具有同步分析能力。例如，所有用戶級設備可以共享安全策略和資源分析結果匯集，所有機構網(wǎng)絡級設備也可以如此。因為，一個機構網(wǎng)絡可以與商業(yè)企業(yè)網(wǎng)絡、政治團體網(wǎng)絡或某地區(qū)網(wǎng)絡、甚至全世界互聯(lián)網(wǎng)絡環(huán)境共享信息、協(xié)調活動和同步ACOA。

2.2 基礎二：互操作

互操作性允許由策略定義網(wǎng)絡區(qū)域而不是由技術來約束，并允許網(wǎng)絡成員在自主化的社區(qū)防護上進行無縫和動態(tài)協(xié)作?；ゲ僮鞔偈沽艘话阕鲬?zhàn)圖片與形式警覺共享的出現(xiàn)和迅速傳播。新型情報技術的創(chuàng)造（比如融合傳感器輸入），加上同時在人機兩個層次的快速學習，可以從根本上改變網(wǎng)絡生態(tài)系統(tǒng)。

遺憾的是，目前在的網(wǎng)絡安全方面，許多可用的設備（例如防火墻、文件完整性檢查、病毒掃描、入侵檢測系統(tǒng)、惡意程序防范軟件等）都獨立運行，并使用既不交換數(shù)據(jù)也沒有一致性的安全策略。在這些設備中，可能每一個都是由不同的甚至是互為競爭對手的廠商開發(fā)，沒有遵守國際公認的開放標準。另一方面，相關標準尚未成熟。因而，在今天的網(wǎng)絡生態(tài)系統(tǒng)中，協(xié)作是可以做到的，但是難度很大。我們必須到達成共識，對于橫跨設備、人員和組織的協(xié)作來說唯一的障礙是選擇實施的政策。

2.3 基礎三：身份認證

身份認證應確保網(wǎng)絡在線事務處理是可信的、安全的。幾乎每一個在線事務都涉及網(wǎng)絡上的各種資源和參與者。身份認證應以一種不泄露個人隱私的方式，確保參與者的身份是可信的。對于健康的網(wǎng)絡生態(tài)系統(tǒng)，身份認證不僅限于網(wǎng)絡用戶，還包括網(wǎng)絡中的各種設備和參與者（例如計算機、軟件、信息）。由于通信和內容屬性是安全決策的關鍵要素，身份認證對網(wǎng)絡防御至關重要，同時也是網(wǎng)絡防御其他許多功能的基礎。

在健康的網(wǎng)絡生態(tài)系統(tǒng)中，信息發(fā)送方和接收方應相互知曉并為自己的行為負責，但在必要的時候要執(zhí)行可信的匿名交易。消費者可以判斷服務者及其服務的可信度，服務者可以確認消費者是否有權訪問相關信息。身份認證機制能有效防止身份盜竊和欺騙，同時成本合理，易于使用和管理，可擴展，易互操作。

常用的身份驗證技術依靠（1）你所知道的東西（如密碼），（2）你所擁有的東西（如數(shù)字憑證），（3）你自身的東西（如生物識別）。這些技術在影響安全強度、成本可接受的程度、易于使用和管理性、可擴展性、以及互操作性方面都各有特色，重要的考慮因素包括易于集成到新出現(xiàn)的和已部署的設備及應用軟件中，以及便于進行跨網(wǎng)絡和組織的交換與聯(lián)合。

遺憾的是，在當今的市場上，系統(tǒng)開發(fā)商和業(yè)主找不到幾個技術能實現(xiàn)所有五個業(yè)務目標。通常的辦法是劃分企業(yè)功能和用戶人群以控制和改變目標從而得到優(yōu)化。這就形成了多種認證技術的復雜景觀：有限的互操作性，脆弱的安全接縫以及企業(yè)或組織系統(tǒng)變革的障礙。

一個健康的網(wǎng)絡生態(tài)系統(tǒng)可具有基于標準的身份驗證技術，更加全面地實現(xiàn)所有五個業(yè)務目標。近期將發(fā)布用戶指南，評價相關技術，幫助系統(tǒng)開發(fā)商及用戶做出技術選擇。對于自動化網(wǎng)絡防御，一個健康的網(wǎng)絡生態(tài)系統(tǒng)應具有強大的基于標準的設備驗證，包括小型的和通常由無線設備組成的大規(guī)?？缮炜s的網(wǎng)格。

最后，一個健康的生態(tài)系統(tǒng)應具有廣泛的方法來表達和管理信任，將關于人、業(yè)務、技術和信息的信任屬性結合到新的決策框架和指標中。這種框架承認，根據(jù)不斷變化的業(yè)務和環(huán)境因素，信任不是二進制或靜態(tài)的，而是流動的和有條件的。

作者簡介：賈瑋娜（1981-），女，河北辛集人，本科，高校講師，研究方向：信息管理與信息系統(tǒng)。

DOI:10.16640/j.cnki.37-1222/t.2016.02.189