面向關鍵基礎設施的網絡攻防對抗平臺總體技術設計

◆楊元瑾

（中電長城網際系統應用有限公司 北京 102209）

1 網絡攻防對抗平臺總體技術設計思路

高安全等級的網絡威脅，尤其是美國等網絡安全強國對其他國家的攻擊，往往是利用軟硬件后門，結合未公布（或預制）的系統漏洞，利用網絡戰工具實施攻擊。此類攻擊具有入侵后長期潛伏的特點，而且目前基于安全風險識別的普通安全防護無力應對。對抗這種高安全等級的網絡安全威脅，是基于未知系統安全風險的安全防護，必須啟用主動發現識別系統漏洞和安全防護漏洞。

主動發現就需要引入網絡攻防對抗。通過專業攻防團隊使用網絡攻擊工具對目標系統進行持續模擬攻擊，安全防護團隊不斷對攻擊進行防御。從防御的角度來說，可以提高系統健壯性和防護策略有效性，提高安全防護服務團隊的實戰能力；從攻擊的角度來說，可以不斷提高網絡攻擊團隊對類似目標系統的攻擊能力，進而形成網絡威懾能力。網絡攻防對抗的成果，將會反饋到主動安全服務中，形成兩類服務的良性互動。

2 網絡攻防對抗平臺功能

網絡攻防對抗平臺（簡稱“平臺”）主要實現以下功能：

2.1 網絡攻防對抗

網絡攻防對抗是由安全攻防對抗團隊組織的對關鍵信息基礎設施的持續性的模擬攻防，目的在利用最新安全技術、工具和情報，尋找防護對象的安全弱點，演練攻防策略，鍛煉攻防隊伍，進而提高被保護對象的網絡防護能力。

2.2 主動安全服務

主動安全服務是持續性的日常安全服務，為關鍵信息基礎設施提供安全咨詢、安全監測、保護防御、應急響應、安全運維、工控安全等服務。

2.3 安全威脅預警服務

安全威脅預警服務提供以下三類服務：

①基于威脅情報的預警服務

通過網絡情報搜索，預警通報，或國內類似系統已經受到的攻擊等威脅情報，判斷潛在的被攻擊對象，向其發出預警信息，為其提供預警時間，并對如何應對威脅提供技術支持。

②基于技術情報的預警服務

通過對網絡安全技術情報進行分析，結合對各被保護對象的系統技術狀態和網絡安全技術狀態進行分析，判斷被保護對象可能面臨同類技術風險，向其發出預警信息，并對如何應對威脅提供技術支持。

③基于攻防對抗的預警服務

通過對各被保護對象進行攻防對抗演練，發現系統漏洞、防護策略和安全管理等方面的風險，結合對各被保護對象的整體安全防護進行分析和匹配，判斷被保護對象可能面臨的潛在防護風險，向其發出預警信息，并對如何應對威脅提供各方面支持。

2.4 安全態勢感知服務

安全態勢感知服務是由服務團隊根據用戶的不同需求，對安全態勢數據進行融合和重構，以直觀的可視化方式向用戶呈現所需安全信息，并通過移動終端、固定終端、專用顯示系統等途徑向用戶推送。安全態勢感知[4]服務幫助用戶透過繁雜的安全數據和安全技術，簡單、直觀、高效地獲取所需安全信息為用戶提供多角度、多維度、可視化的安全態勢感知和決策支持。

3 網絡攻防對抗平臺總體架構

網絡攻防對抗平臺分為項目服務層、服務支持層、數據分析層、數據層、安全產品層和核心技術層。項目服務層對關鍵信息基礎設施提供各項安全服務，其它各層為其提供能力支撐，各層從下至上對上層提供支持。用戶通過項目服務層與平臺交互，與其余各層無交互。如圖1所示。

圖1 網絡攻防對抗平臺總體架構圖

3.1 項目服務層

項目服務層是用戶與平臺的結合點，用戶通過項目服務獲得平臺的保護。項目服務層將平臺其余各層的能力形成安全服務，提供給用戶。

3.2 服務支持層

服務支持層為項目服務層提供技術支持。服務團隊通過服務支持層獲取所需服務資源，為用戶提供服務。

3.3 數據分析層

數據分析層由安全分析團隊依據安全數據和分析系統執行安全分析，提供網絡攻擊分析和安全情報分析兩類服務。

3.4 數據層

數據層為分析層提供數據支持，包括：

①網絡與主機安全數據

網絡數據包括：網絡邊界元數據（五元組至十三元組），原始流數據（短期存儲），風險預識別數據，內網標識數據，網絡安全設備日志數據。

主機安全數據包括：云運維與安全數據，主機操作系統日志，安全防護軟件日志，業務軟件日志，系統運維數據，安全審計數據等。

②網絡對抗數據

網絡對抗數據包括：從戰略、戰術、技術等角度，描述網絡攻防對抗雙方的相關信息，包括對抗主體、對抗時間、戰略策略、對抗方式、工具及手段、持續時間、過程描述、對抗效果等。

③行業安全情報

行業安全數據包括：行業基礎設施及信息系統相關的用戶訪問日志、安全檢測日志、運行狀態日志、業務運行日志、運維管理記錄、操作記錄等。

④網絡威脅情報

網絡威脅情報包括：網絡威脅情報包括：黑白名單數據、安全攻擊事件、惡意代碼活動及其特征信息、僵尸網絡活動信息、漏洞信息、黑客及其組織信息等。

⑤安全產品層

安全產品層為平臺提供技術裝備支持，安全產品層在防護上強調防護底線（重點在數據保護和加密），以及產業生態圈聚合能力，實現開放，彈性，可擴展。主要包括以下產品：網絡及主機防護產品、網絡攻防工具軟件、網絡安全大數據分析系統、網絡威脅情報庫。

⑥核心技術層

核心技術層為平臺提供技術支撐包括：自主可控網絡及主機防護技術。網絡邊界控制，主機控制把控著網絡安全關鍵節點，一旦留有后門會造成嚴重網絡安全風險，應確保絕對可控。因此應采用自主可控軟硬件技術的國產化裝備。

網絡攻防對抗技術。網絡攻防對抗技術本質是一個體系工程。網絡攻防對抗技術不僅僅局限于傳統的網絡安全技術領域，大量社會科學進入了網絡攻防對抗的范疇，包括：社會網絡分析、媒體傳播、統計分析等。通過這些技術的融合，形成了一個全新的網絡攻防對抗技術體系。

網絡安全大數據分析技術。網絡安全大數據分析，核心技術包括網絡流元數據采集技術，雙向可擴展安全數據交換總線，多分析引擎效能融合技術，大流量分析結果智能判別技術，攻擊特征分析技術，攻擊過程追蹤溯源技術等。

網絡威脅情報分析技術。網絡威脅情報分析類技術包括：多源異構情報智能搜索技術，海量異構情報數據智能管理與檢索技術，多源異構情報深度挖掘技術，攻擊特征提取技術，攻擊對象智能預測技術等。

4 結語

網絡攻防對抗平臺的技術總體設計以“進攻就是最好的防御，主動安全防護與攻防對抗相結合”的原則，對接國家級威脅情報庫，聚合網絡防護專用和通用網絡安全技術和產品，在總體可控可信賴與技術先進和開放中尋求最佳平衡，匯聚國家各層面網絡安全產業能力，共享、共建、共御，共同構筑服務于關鍵基礎設施的網絡安全長城。

[1]沈雪石，吳集，鄧啟文.美軍網絡空間武器系統發展趨勢分析[J].裝備學院學報，2015.

[2]于明，周希元.信息網絡對抗機制的攻防分析.網絡安全技術與應用 , 2004.

[3]顧巧云，孫玉龍，高豐.基于博弈論的網絡攻防對抗模型及應用研究，2013.

[4]袁斌，鄒德清，金海.網絡安全可視化綜述.信息安全學報，2016.

[5]倪光南.信息安全“本質”是自主可控.中國經濟和信息化， 2013.

[6]管磊，胡光俊，王專.基于大數據的網絡安全態勢感知技術研究.信息網絡安全，2016.