基于主動防御的網(wǎng)絡安全基礎設施可信技術(shù)保障體系

張大偉，沈昌祥，劉吉強，張飛飛，李論，程麗辰

（北京交通大學信息安全體系結(jié)構(gòu)研究中心，北京100044）

基于主動防御的網(wǎng)絡安全基礎設施可信技術(shù)保障體系

張大偉，沈昌祥，劉吉強，張飛飛，李論，程麗辰

（北京交通大學信息安全體系結(jié)構(gòu)研究中心，北京100044）

本文介紹了網(wǎng)絡安全基礎設施可信保障體系建設的現(xiàn)狀、問題及未來構(gòu)建策略。通過對現(xiàn)有安全保障體系建設現(xiàn)狀和存在問題的剖析，提出我國網(wǎng)絡安全基礎設施亟須構(gòu)建基于主動防御思想的可信技術(shù)保障體系。為此，提出可信技術(shù)保障體系建設策略建議，主要包括：以自主創(chuàng)新的主動防御計算體系結(jié)構(gòu)作為構(gòu)建可信技術(shù)保障體系的突破點；在落實信息安全系統(tǒng)國產(chǎn)化的戰(zhàn)略合作中一定要真正形成實質(zhì)的本土化；加大自主創(chuàng)新力度，推動主動防御的理論研究、產(chǎn)品研發(fā)和工程應用；積極推進可信計算標準的制定和推廣應用工作，以推動可信技術(shù)保障體系的規(guī)范化發(fā)展，開展試點示范。

主動防御；主動免疫；可信計算；可信技術(shù)保障體系；網(wǎng)絡安全基礎設施

DOI 10.15302/J-SSCAE-2016.06.012

一、前言

隨著網(wǎng)絡技術(shù)和“互聯(lián)網(wǎng)+”應用的迅猛發(fā)展，國民經(jīng)濟和社會發(fā)展越來越依賴于基礎信息網(wǎng)絡和重要信息系統(tǒng),互聯(lián)網(wǎng)已廣泛運用于從政府、社會到個人，從政治、金融到軍事的信息管理中，網(wǎng)絡空間的安全問題不可避免地成為當今各國國家安全領域的新命題。無論是發(fā)達國家還是發(fā)展中國家，都在加速構(gòu)建各自的網(wǎng)絡安全防御體系以保護關(guān)鍵的網(wǎng)絡空間基礎設施。

20 世紀 90 年代中后期至 21 世紀初，美國信息安全戰(zhàn)略成為國家安全戰(zhàn)略的正式組成部分。1998年，美國國家安全局制定了《信息保障技術(shù)框架》（Information Assurance Technical Framework），提出了“縱深防御戰(zhàn)略”（Defense-in-Depth） ，采用一個多層次的、縱深的安全措施來保障用戶信息及信息系統(tǒng)的安全。2005年，美國總統(tǒng)信息技術(shù)（IT）咨詢委員會的報告 《網(wǎng)絡空間安全：迫在眉睫的危機》指出網(wǎng)絡空間安全建設耗資巨大卻漏洞百出，短期修復不解決根本問題。2006年4月美國信息安全研究委員會發(fā)布了《聯(lián)邦網(wǎng)絡空間安全及信息保障研究與發(fā)展計劃》，改變了無窮無盡打補丁的被動封堵查殺策略。奧巴馬總統(tǒng)上任后，又先后發(fā)布了《網(wǎng)絡空間國際戰(zhàn)略》《國家網(wǎng)絡安全保護系統(tǒng)》《美國網(wǎng)絡行動政策》《增強關(guān)鍵基礎設施網(wǎng)絡安全》和《提高關(guān)鍵基礎設施的安全性和恢復力》等，進一步增強了網(wǎng)絡空間的主動防御能力。歐盟在網(wǎng)絡空間安全方面也制定了一系列的政策和標準。1992 年，歐盟制定了《信息安全框架決議》，此后陸續(xù)出臺了《關(guān)于網(wǎng)絡和信息安全領域通用方法和特殊行動的決議》《關(guān)于對信息系統(tǒng)攻擊的委員會框架協(xié)議》《歐洲信息社會安全戰(zhàn)略》等政策，有效地保證了歐盟的信息安全。

在我國，重要基礎設施網(wǎng)絡主要是指電信、廣播電視、鐵路、銀行、海關(guān)、稅務、民航、電力、證券、保險等國內(nèi)重要行業(yè)所使用的網(wǎng)絡信息系統(tǒng)。目前，這些重要基礎設施網(wǎng)絡的安全防護多依據(jù)信息系統(tǒng)等級保護國家標準，其中，《信息系統(tǒng)安全等級保護定級指南》(GB/T22240)規(guī)定當前我國信息安全等級保護從低到高分為五級。《信息系統(tǒng)安全等級保護基本要求》(GB/T22239)明確了網(wǎng)絡安全的技術(shù)和管理要求，《信息系統(tǒng)等級保護安全設計要求》(GB/T25070)明確了網(wǎng)絡信息系統(tǒng)的安全設計要求，是構(gòu)建我國網(wǎng)絡安全防護體系技術(shù)框架的基礎[1～3]。但隨著網(wǎng)絡攻擊手段的日益復雜化與網(wǎng)絡攻擊工具的日趨多樣化，單純的基于封堵查殺的被動防護手段已無法滿足重要基礎設施網(wǎng)絡的安全需求[4～6]。從更深層面來看，這實際上是由于我國網(wǎng)絡安全防護體系在安全方案設計、安全產(chǎn)品聯(lián)動、安全機制設計等方面存在方向性問題，導致我國網(wǎng)絡安全防護技術(shù)體系存在先天缺陷，同時影響了我國網(wǎng)絡安全產(chǎn)業(yè)生態(tài)環(huán)境的改善[7,8]。

因此，構(gòu)建主動防御的網(wǎng)絡空間安全保障體系已成為世界各國的共識。在此背景下，研究基于新的理論方法和技術(shù)手段構(gòu)建網(wǎng)絡安全基礎設施保障體系具有重要的現(xiàn)實意義。

二、主動免疫的可信計算技術(shù)

網(wǎng)絡空間的安全防御與人類社會類似。在人類社會中，信任是人們合作、交流的基礎。網(wǎng)絡空間具有開放互聯(lián)的特點，允許兩個網(wǎng)絡實體未經(jīng)實際認證、審查就可以進行交互，這就為惡意攻擊提供了便利。如果我們在缺乏信任的情況下貿(mào)然交互，會帶來損失。為解決這一問題，我們需要找到一種方法，讓用戶可判斷與自己交互的實體是否可信，這就是可信計算的基本思想。可以說，網(wǎng)絡空間中的可信計算思想來源于人類社會的成功管理經(jīng)驗[9]。

傳統(tǒng)的防火墻、防病毒、 入侵檢測系統(tǒng)（IDS），都是基于被動防御的思想，不能主動防御、積極防御。必須從體系結(jié)構(gòu)入手解決信息安全的基本問題，基于主動免疫的主動防御可信計算技術(shù)可有效提高系統(tǒng)整體的防護效果[9]。可信計算是指計算的同時進行安全防護，使計算結(jié)果總是與預期一樣，計算全程可測可控，不被干擾。可以說，可信計算就是一種運算和防護并存的主動免疫的新計算模式，具有身份識別、狀態(tài)度量、保密存儲等功能，能及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質(zhì)。可信計算通過在硬件上引入可信芯片，從結(jié)構(gòu)上解決了個人計算機體系結(jié)構(gòu)簡化帶來的脆弱性問題。基于硬件芯片從平臺啟動開始，到應用程序的執(zhí)行，構(gòu)建完整的信任鏈。一級認證一級，一級信任一級，未獲得認證的程序不能執(zhí)行，從而使信息系統(tǒng)實現(xiàn)自身免疫，構(gòu)建高安全等級的信息系統(tǒng)[10]。主動免疫的雙體系結(jié)構(gòu)如圖1所示。

三、主動防御的可信技術(shù)保障體系

為解決我國重要信息系統(tǒng)面臨的安全威脅，我們應當回歸等級保護的技術(shù)思路，以訪問關(guān)系為核心實現(xiàn)安全能力，通過主動防御保障安全強度，通過統(tǒng)一安全策略管理安全功能，通過縱深防御體系控制安全風險，構(gòu)建網(wǎng)絡安全防護技術(shù)框架。

我國網(wǎng)絡安全防護技術(shù)框架設計的核心思想包括以下幾方面。

圖1 主動免疫雙體系結(jié)構(gòu)圖

1.在安全機制層面，應圍繞訪問關(guān)系，實現(xiàn)實體可信、關(guān)系可控

在信息系統(tǒng)中，實體表現(xiàn)為代表用戶執(zhí)行操作的主體（如執(zhí)行程序）以及作為信息容器的客體（如文件，設備，存儲數(shù)據(jù)等），實體間關(guān)系則通過主體對客體的讀寫等訪問行為來建立。理清信息系統(tǒng)中與業(yè)務流程相關(guān)的主體、客體和訪問關(guān)系，通過可信度量和可信驗證機制確保主體和客體的可信，通過訪問控制機制確保訪問關(guān)系可控，可以在確保業(yè)務流程正常運作的情況下排除異常操作，讓信息系統(tǒng)免疫于已知和未知的安全威脅，是一種從根本上加強信息系統(tǒng)安全保護能力的方法。

2.在安全保障層面，應基于主動免疫，實現(xiàn)安全機制的結(jié)構(gòu)化保障

安全保障確保安全機制的可靠運行，它決定安全機制自身的強度，是我國等級保護四級以上安全系統(tǒng)的主要考核指標。在我國信息安全產(chǎn)業(yè)受制于人的現(xiàn)狀下，通過主動免疫的可信計算技術(shù)支撐安全機制，實現(xiàn)安全機制的執(zhí)行部件可信、安全配置可信、連接可信，以實現(xiàn)結(jié)構(gòu)化的安全保障，是唯一現(xiàn)實可行的選擇。

3.在安全策略層面，應在統(tǒng)一管理下，實現(xiàn)安全機制間的策略聯(lián)動

安全機制提供了對實體進行安全控制的能力，安全控制的具體過程還是通過部署在安全機制之上的安全策略來實現(xiàn)。各安全機制上的安全策略應統(tǒng)一服務于業(yè)務流程的安全需求，并根據(jù)安全需求和威脅的變化而變化。為了有效管理安全功能，各安全機制的策略不能孤立地部署，而應通過安全機制間的策略聯(lián)動形成一個有機整體，并由安全管理員通過信息系統(tǒng)的安全管理中心統(tǒng)一進行管理，以主動的方式應對安全需求和安全威脅的變化。

4.在安全體系層面，應基于業(yè)務流程，構(gòu)建縱深防御體系。

當前以高級持續(xù)性威脅（APT） 為代表的立體化、組合式的攻擊手段，要求信息安全防護機制也應根據(jù)業(yè)務流程的特點，構(gòu)建多層次、多位置的縱深防御體系作為對抗。縱深防御體系不是憑空產(chǎn)生，而是在對業(yè)務流程進行歸類、流程分析和風險評估的基礎上，劃分系統(tǒng)安全區(qū)域，并對各安全區(qū)域的計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡分別部署不同功能的安全機制而實現(xiàn)的。縱深防御體系能夠集中資源重點保護核心區(qū)域，有效防止安全攻擊的擴散，對重要信息系統(tǒng)安全風險的可控性有重大意義。

四、對策建議

以自主創(chuàng)新的主動防御可信計算體系結(jié)構(gòu)作為構(gòu)建可信網(wǎng)絡空間安全技術(shù)保障體系的突破點，需要創(chuàng)新體制機制，協(xié)同國家安全和企業(yè)利益，創(chuàng)新技術(shù)研發(fā)和產(chǎn)業(yè)化資源組織模式，發(fā)揮產(chǎn)業(yè)聯(lián)盟在標準制定、聯(lián)合攻關(guān)和產(chǎn)業(yè)化應用推廣方面的作用，積極推進試點、示范應用。

1. 推進創(chuàng)新體制機制，協(xié)同國家安全和企業(yè)利益，逐步形成產(chǎn)業(yè)發(fā)展的內(nèi)生動力

國家出臺政策為自主可控可信產(chǎn)品提供市場應用空間，使技術(shù)創(chuàng)新、性能提升與產(chǎn)業(yè)應用協(xié)同發(fā)展。例如，黨、政、軍和核心要害系統(tǒng)國產(chǎn)化替代工程全部由國家出資支持，在替代工程實施中預留出專用資金對所應用可信產(chǎn)品的集成適配和優(yōu)化進行提升完善，彌補直接研發(fā)資金缺口。不斷推動可信計算產(chǎn)品的產(chǎn)業(yè)鏈發(fā)展，積極優(yōu)化產(chǎn)業(yè)生態(tài)環(huán)境，從而有效提高企業(yè)在可信技術(shù)保障產(chǎn)品研發(fā)方面的內(nèi)生動力。

2. 實現(xiàn)開放互利共贏，信息安全系統(tǒng)國產(chǎn)化戰(zhàn)略要實現(xiàn)實質(zhì)本土化

在關(guān)鍵信息系統(tǒng)與國外企業(yè)的合作中，不能簡單地用企業(yè)利益進行衡量，而是應從國家信息安全角度出發(fā)，開發(fā)自主的安全策略和架構(gòu)，并據(jù)此實施嚴格的可信度量和檢查，用主動免疫機制保障信息的真實可控。實現(xiàn)關(guān)鍵安全技術(shù)的本土化落地，實現(xiàn)開放互利共贏，從技術(shù)、商業(yè)、法律上真實可行。

3. 加大自主創(chuàng)新力度，重大科研項目立項加入主動防御課題

主動防御的可信計算技術(shù)的重要性已經(jīng)毋庸置疑，我國的可信計算技術(shù)在體系結(jié)構(gòu)、運作模式和服務模式方面都有所創(chuàng)新，政府應加強對主動防御可信計算技術(shù)的支持力度，在國家重大、重點科技立項中對有自主知識產(chǎn)權(quán)的可信計算技術(shù)研究給予持續(xù)支持，以推動主動防御的理論研究、產(chǎn)品研發(fā)和工程應用。

4. 積極推進可信計算標準制定、推廣，開展試點示范

目前，相關(guān)標準的缺乏已經(jīng)嚴重制約了可信計算的創(chuàng)新發(fā)展和產(chǎn)業(yè)化，在國際談判中失去了國際話語權(quán)，處于被動的局面。加快推進可信計算相關(guān)標準的制定和推廣勢在必行。同時應在重點行業(yè)開展試點示范應用，發(fā)現(xiàn)問題，總結(jié)經(jīng)驗，優(yōu)化完善，逐步擴大規(guī)模，形成全產(chǎn)業(yè)鏈生態(tài)環(huán)境。同時，針對基礎軟件和重點產(chǎn)品，如桌面操作系統(tǒng)、嵌入式操作系統(tǒng)、云計算系統(tǒng)，積極推薦主動防御體系的示范應用，更好地完善可信技術(shù)保障體系，提高網(wǎng)絡空間安全保障能力。

[1]張偉麗.信息安全等級保護現(xiàn)狀淺析[J].信息安全與技術(shù), 2014, 9(1): 9-13. Zhang W L. Discussion on the status of information security base on multi-level protection[J].Information Security and Technology, 2014,9(1): 9-13.

[2]王大川, 王永書, 林紅. 淺議計算機信息系統(tǒng)安全等級保護[J].中國公共安全:學術(shù)版, 2009(3):4-10. Wang D C, Wang Y S, Lin H. Analysis of computer information system multi-level protection[J]. China Public Security: Academic Edition, 2009(3): 4-10.

[3]朱建平, 李明. 信息安全等級保護標準體系研究[J]. 信息技術(shù)與標準化, 2005(5): 21-24. Zhu J P, Li M. The standard research of Information Security multi-level protection[J]. Information Technology & Standardization, 2005(5): 21-24.

[4]羅玲. 淺析信息安全與等級保護技術(shù)[J]. 黑龍江科技信息, 2015(12): 35-40. Luo L. Analysis of information security and multi-level protection technology[J]. Heilongjiang Technology Information, 2015(12): 35-40.

[5]沈昌祥. 等級保護整改的技術(shù)路線[J]. 信息網(wǎng)絡安全, 2008(11): 14-15. Shen C X. The rectification routes of multi-level protection[J]. Information Network Security, 2008(11): 14-15.

[6]沈昌祥, 左曉棟. 信息安全等級保護的焦點[J]. 信息安全與通信保密, 2004(4): 16-18. Shen C X, Zuo X D. THE focus of information security multi-level protection[J]. Information Security and Communications Privacy, 2004(4): 16-18.

[7]沈昌祥. 加快推進信息安全等級保護工作[J]. 信息網(wǎng)絡安全, 2008(5): 4-7. Shen C X. Accelerate the work of information security multi-level protection[J]. Information Network Security, 2008 (5): 4-7.

[8]馬力, 畢馬寧, 任衛(wèi)紅. 安全保護模型與等級保護安全要求關(guān)系的研究[J]. 信息網(wǎng)絡安全, 2011(6): 1-4. Ma L, Bi M N, Ren W H. Analysis of relationship between security models and multi-level security protection requirements[J]. Information Network Security, 2011(6): 1-4.

[9]沈昌祥, 張煥國, 王懷民,等. 可信計算的研究與發(fā)展[J]. 中國科學:信息科學, 2010(2): 139-166. Shen C X, Zhang H G, Wang H M. Research and development of trusted computing[J]. China Science: Information Technology, 2010(2): 139-166.

[10]沈昌祥. 大力發(fā)展我國可信計算技術(shù)和產(chǎn)業(yè)[J]. 信息安全與通信保密, 2007(9): 19-21. Shen C X. Developing the trusted computing technology and industry[J]. Information Security and Communications Privacy, 2007(9): 19-21.

TC Assurance Architecture for Cybersecurity Infrastructure Based on Active Defense

Zhang Dawei, Shen Changxiang, Liu Jiqiang, Zhang Feifei, Li Lun, Cheng Lichen
(Center of Information Security Architecture in Beijing Jiaotong University, Beijing 100044, China)

This paper introduces the status, problems, and future strategies of the cyberspace security infrastructure system, and proposes that cyberspace security infrastructure must be based on active defense. Therefore, this paper proposes several suggestions for a trusted technology insurance system, which include the following: In order to build a trusted technology insurance system, independent innovation in active defense must be the breaking point; key information security systems must be developed by local institutions; independent innovation must be increased; research, product development, and active defense applications must be promoted; the development of trusted computing standards must be promoted; and experimental demonstrations must be carried out.

active defense; active immunity; trusted computing; trusted technology insurance system; cybersecurity infrastructure

TP309

A

2016-10-12；

2016-10-18

張大偉，北京交通大學，副教授，主要研究方向為信息安全；E-mail: dwzhang@bjtu.edu.cn

中國工程院重大咨詢項目“網(wǎng)絡空間安全戰(zhàn)略研究”(2015-ZD-10)

本刊網(wǎng)址：www.enginsci.cn