定義網絡空間安全

方濱興

?

定義網絡空間安全

方濱興

互聯網的蓬勃發展給人類生產和生活方式帶來了史無前例的變革，成為各國經濟發展的新引擎。然而，互聯網在帶來社會發展新機遇的同時，其安全問題也面臨巨大挑戰。各國都在積極推進網絡空間安全體系建設及關鍵技術研究，以期保障在這一新型空間中的可持續健康發展。因此，宏觀論述了網絡空間安全發展態勢，并系統性分析了其核心要素及層次化模型。

網絡空間；網絡空間安全；互聯網治理

1 引言

隨著計算機技術持續深入滲透到經濟、文化、科研、教育和社會生活等各個領域，網絡逐漸進入人們的日常生活和社會管理體系，極大地改變了人類生存和社會生產組織模式。

當前世界，全球網民覆蓋率已達50%，截至2017年6月，中國網民規模達到7.51億，占全球網民總數的五分之一，互聯網普及率為54.3%，超過全球平均水平[1]?；ヂ摼W的快速普及帶來了巨大的資源膨脹，僅中國的云計算市場總額就會以40%的年復合率增長，到2020年將會達到200億美元[2]。這就對傳統網絡架構和應用模式的安全保障體系建設提出更大挑戰。

隨著網絡技術的快速發展和網絡覆蓋的快速提高，軟件漏洞、黑客入侵、病毒木馬、惡意攻擊等問題頻頻爆發，對全球經濟發展和各國社會穩定帶來極大沖擊。卡巴斯基實驗室發布《2016年第三季度DDoS威脅報告》指出，在卡巴斯基監測到的所有DDoS攻擊活動中，中國以72.62%的占比位列首位最易受攻擊的國家。

網絡空間安全建設刻不容緩，本文從傳統信息系統入手，分析了網絡空間特征及其安全框架，旨在對網絡空間安全體系建設以及關鍵技術研究提供一定參考。

2 網絡空間安全定義

2.1 網絡空間

何為網絡空間？基于不同應用需求及研究領域，網絡空間被賦予不同的內涵和外延。抽象地看，網絡空間運行體系的組成要素可被分為4種類型：載體、資源、主體和操作。其中，網絡空間載體是網絡空間的軟硬件設施，是提供信息通信的系統層面的集合；網絡空間資源是在網絡空間中流轉的數據內容，包括人類用戶及機器用戶能夠理解、識別和處理的信號狀態；網絡空間主體是互聯網用戶，包括傳統互聯網中的人類用戶以及未來物聯網中的機器和設備用戶；網絡空間的操作是對網絡資源的創造、存儲、改變、使用、傳輸、展示等活動。

綜合以上要素，網絡空間可被定義為“構建在信息通信技術基礎設施之上的人造空間，用以支撐人們在該空間中開展各類與信息通信技術相關的活動。其中，信息通信技術基礎設施包括互聯網、各種通信系統與電信網、各種傳播系統與廣電網、各種計算機系統、各類關鍵工業設施中的嵌入式處理器和控制器。信息通信技術活動包括人們對信息的創造、保存、改變、傳輸、使用、展示等操作過程，及其所帶來的對政治、經濟、文化、社會、軍事等方面的影響”。其中，“載體”和“信息”在技術層面反映出“Cyber”的屬性，而“用戶”和“操作”是在社會層面反映出“Space”的屬性，從而形成網絡空間——Cyberspace。

2.2 網絡空間安全

廣義地講，傳統的信息系統安全意味著通過實現一組準確“控制”所獲得的特定能力。該“控制”可以是策略、慣例規程、組織結構和軟件功能。建立這些控制以確保機構的特定安全目標得以滿足。該特定目標表現在對信息系統、信息自身及信息利用中的機密性、可鑒別性、可控性、可用性4個核心安全屬性的保護上，即確保信息與信息系統不被非授權所掌握、其信息與操作是可鑒別的信息與系統是可控的、能隨時為授權者提供信息及系統服務，具體反映在信息系統的4個層面：物理安全、運行安全、數據安全、內容安全，也就是信息流轉的各個協議層環節。

網絡空間設備互聯互通旨在交換、傳輸、存儲和處理各類信息數據，是信息系統的超集。因此，除了共性的信息保密、網絡基礎設施等安全建設外，網絡空間安全在各種部署模式中具有特定的安全需求，如移動互聯網安全、電信網安全、可信計算、云計算安全、大數據安全、物聯網安全、廣電網安全等。同時也囊括在不同應用場景中衍生的特定安全保障，如在線社交網絡、工業控制安全、支付安全等，以及作為全球性泛在系統而涉及的互聯網治理問題，包括信息對抗、輿論安全和網絡攻防體系建設等。

因此，基于傳統信息系統的經典安全架構以及網絡應用的多樣性模式，從網絡空間載體、資源、主體和操作出發，網絡空間安全包括網絡空間中電磁設備、信息通信系統、運行數據、系統應用中所存在的所有安全問題。既要保護包括互聯網、各種電信網與通信系統、各種傳播系統與廣電網、各種計算機系統、各類關鍵工業設施中的嵌入式處理器和控制器等在內的信息通信技術系統及其所承載的數據免受攻擊；也要防止、應對運用或濫用這些信息通信技術系統而波及政治安全、經濟安全、文化安全、社會安全、國防安全等情況的發生。針對上述風險，需要采取法律、管理、技術、自律、教育等綜合手段進行應對，確保信息通信技術系統及其所承載數據的機密性、可鑒別性（包括完整性、真實性、不可抵賴性）、可用性、可控性得到保障。

3 網絡空間安全態勢

近年來，全球網絡安全形勢愈來愈嚴峻，針對網絡空間四要素（載體、資源、主體和操作）的各類安全事件頻發，舉例如下。

1) 基礎設施頻受攻擊。網絡空間基礎設施遭受誤操作配置或惡意攻擊都可能致使局部甚至大面積網絡不可用。早在2009年，美國國土安全部的報告便稱，2005年就有4 095起針對美國政府和私營部門的網絡攻擊，但2008年這一數字已增長至72 000起，這些攻擊在近幾年更是成倍增加，使關鍵基礎設施和敏感信息保護面臨嚴峻威脅，造成巨大損失。2016年底，北美發生針對域名服務商DYN的DDoS攻擊，造成包括Aribnb、Amazon、BBC、CNN等大量知名網站短時無法訪問。2017年8月，由于Google不慎操作造成BGP路由前綴劫持，導致日本大范圍斷網約1 h。

2) 用戶隱私保護亟待加強。網絡空間存儲、傳輸大量用戶身份信息以及敏感數據，極易發生信息的泄露和濫用。據統計，2010年美國有810萬人遭受身份盜用或網絡欺詐，造成370億美元的損失。2011年12月21日，中國最大開發者技術社區CSDN的600萬用戶數據被泄露，其中包含極為敏感的用戶名和明文密碼；2011年12月22日，垂直游戲網站多玩網被傳泄露800萬用戶數據；2011年12月25日，號稱“最有影響力華人論壇”的天涯社區4 000萬用戶數據分組被暴露傳播；大量知名網站相繼被卷入用戶數據泄露風波，其中不乏主流大型互聯網公司。據統計，2016年我國網絡空間通過不同渠道泄露的個人信息達65億條次，即平均每個人的個人信息至少被泄露了5次。

3) 網絡數據易遭竊取及篡改?；ヂ摼W誕生于相對封閉可信的科研、軍事應用，對于數據傳輸和管理并沒有完整有效的安全保障，極易被監聽、竊取和篡改。用戶的通話數據、信息記錄、郵件信息都可被監聽和收集，且頻繁發生于每個網絡用戶。2013年斯諾登曝光美國棱鏡計劃的風波引發了全球性的數據安全恐慌，也將全球性的網絡空間治理推到風口浪尖。

4) 應用可信亟待加強。網絡應用是用戶進入網絡空間的入口，但當前層出不窮的網絡應用安全保障體系參差不齊，有些應用漏洞極易遭受惡意入侵及偽造攻擊。以網絡釣魚為例[3]，據Trusteer報告，美國金融機構每周會遭受16次網絡釣魚攻擊，每年造成240萬~940萬美元損失。中國反釣魚網站聯盟的報告也顯示，當前網絡釣魚情況愈演愈烈，2016年釣魚總量高達10萬例，且不斷向移動互聯網等新型網絡環境蔓延，造成巨大損失。

網絡空間安全形勢嚴峻，引發全球重視。早在2014年，奧巴馬就宣布啟動美國《網絡安全框架》，部署強化美國網絡安全。截至目前，美國共頒布了網絡安全相關文件達40多件。歐盟也通過了歐洲數據保護改革方案。作為中國亞洲鄰國，日本和印度也一直在積極行動。日本2013年6月出臺《網絡安全戰略》明確提出“網絡安全立國”。印度2013年5月出臺《國家網絡安全策略（草案）》。我國于2017年6月1日正式頒布了《中華人民共和國網絡安全法》，框架性地構建了許多法律制度和要求，重點包括網絡信息內容管理制度、網絡安全等級保護制度、關鍵信息基礎設施安全保護制度、網絡安全審查、個人信息和重要數據保護制度、數據出境安全評估、網絡關鍵設備和網絡安全專用產品安全管理制度、網絡安全事件應對制度等。

總體來看，當前已有約38%的國家發布了國家安全戰略，43%的國家具有執法和司法系統的能力構建計劃，網絡空間安全已經成為一個國家安全穩定的重要部分[4]。正所謂“沒有網絡安全就沒有國家安全”，網絡安全是一個關系國家安全和主權、社會的穩定、民族文化的繼承和發揚的重要問題。其重要性正隨著全球信息化步伐的加快而變得越來越顯著。

4 網絡空間安全框架及關鍵領域

基于網絡空間安全內涵，網絡空間安全框架如圖1所示。

圖1 網絡空間安全框架

1) 設備層的安全主要包括網絡空間中信息系統設備所需要獲得的物理安全、環境安全、設備安全等與物理設備相關的安全保障。

2) 系統層的安全主要包括網絡空間中信息系統自身所需要獲得的網絡安全、計算機安全、軟件安全、操作系統安全、數據庫安全等與系統運行相關的安全保障。

3) 數據層的安全主要包括網絡空間中在數據處理的同時所涉及的數據安全、身份安全、隱私保護等與信息自身相關的安全保障。

4) 應用層的安全主要包括在信息應用過程中所涉及的內容安全、支付安全、控制安全、物聯網安全等與信息系統應用相關聯的安全保障。

網絡空間的核心要素是數據與信息（即資源）。網絡空間的四要素都是通過各類型的數據直接或間接發揮作用，因此，網絡空間的四要素對于網絡空間安全體系是網狀映射，如資源的安全可能涉及設備層面的配置信息管理、系統層面的運行參數管理、數據層面的數據完整性驗證以及應用層面的簽名加密。操作安全也涉及各個層面的安全問題，包括對硬件設備的安全運行操作、對網絡設施系統的安全配置管理、對數據資源的安全存儲處理及對應用系統的安全開發維護。主體安全同樣也涉及各個層面的安全問題，包括對硬件設備的使用權利、對信息系統的操作權利、對數據的共享權利、對應用的操控權利。

進一步，從網絡空間的各應用領域及相關的各要素角度來考慮問題，其安全領域更加廣泛，如在云計算環境中存在云環境的可控、安全、可信及可靠保障等問題；在社交網絡中存在輿論安全、隱私保護以及平臺安全保障等問題[5]。

以基礎資源安全為例，傳統互聯網首先是服務于應用，在設計之初就以“好人假定”的模式將重點都放在應用之上，并假定人們都會遵守規則，沒有人會試圖破壞互聯網，因此，傳統互聯網對安全可信的需求較弱，基礎資源管理以及對應的基礎協議也較少采用安全防護體系，從而使其成為當前網絡安全的軟肋。目前，互聯網社群正在積極推進各協議的安全機制擴展及部署推廣，從命名、尋址、路由3個層面可見一斑。

DNS是全球互聯網的重要基礎設施，用于實現域名到主機IP地址的映射解析。作為用戶連接各種互聯網應用的必經環節，對DNS的劫持相當于改變了互聯網的運行規則。但是，DNS在創建之初并未考慮這類潛在的安全問題，如數據來源驗證、數據完整性驗證以及數據隱私保護[6]。為此，互聯網工程任務組（IETF, Internet engineering task force）先后啟動了DNS安全擴展協議（DNSSEC, DNS security extensions）[7]、DNS隱私保護協議（DPRIVE, DNS PRIVate exchange）等擴展協議來彌補傳統DNS的安全缺陷[8]。

當前互聯網所廣泛使用的IPv4地址體系，由于缺失安全保障機制，使尋址過程面臨嚴峻的安全風險，因此，在下一代IP地址——IPv6設計之初，就為其嵌入了IP安全（IPsec, Internet protocol security）體系[9]，旨在為IPv6環境下的網絡層數據傳輸提供訪問控制、數據源的身份驗證、數據完整性檢查、機密性保證及抗重播攻擊等安全防護，以解決網絡層端到端數據傳輸的安全問題。

BGP是互聯網中唯一的域間路由協議，對全球互聯網互聯互通起著至關重要的作用。然而，BGP本身存在諸多安全問題，其中最為嚴重的便是路由劫持攻擊，輕會導致互聯網中流量的重定向，重則會導致整個互聯網的癱瘓。面對近年來不斷發生的路由劫持攻擊及由其導致的網絡故障，IETF啟動了互聯網碼號資源公鑰基礎設施（RPKI, resource public key infrastructure）[10]和邊界網關協議安全擴展（BGPsec, BGP security）[11]的相關協議制定。該協議體系通過構建一個公鑰證書體系完成對互聯網碼號資源（包括IP地址前綴和自治域號碼）所有權和使用權的驗證，路由器以此檢驗BGP報文的真實性，從而實現BGP路由源認證和路徑驗證功能，以此防范其路由劫持風險。

由此可見，網絡空間基礎資源的安全保障體系建設已經成為網絡空間安全防護的基石，以此保障互聯網基礎架構的安全穩定。

5 結束語

網絡空間是所有電磁設施與信息系統的集合，是人類生存的泛在信息環境，用戶在其中通過各類載體實現信息處理、交互、存儲、傳遞和展示，構造出各種新型的社會形態。而網絡空間對人類社會的影響又使其安全屬性成為所有屬性的核心。

為此，如何保障我國及全球網絡空間安全成為進一步廣泛普及互聯網應用的一個首要前提。網絡空間安全需要從法律保障、行政監管、行業自律、技術支撐、輿論監督、人才培養、普適教育、國防守護、國際共治等維度多管齊下，才能保障我國網絡空間健康有序發展，使我國從網絡大國向網絡強國邁進。

[1] 中國互聯網絡發展狀況統計報告[EB/OL]. http://cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/201708/P020170807351923262153.pdf.

Statistical report on the development of China's Internet Network[EB/OL].http://cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/201708/P020170807351923262153.pdf.

[2] BAIN B. Finding the silver lining in China's cloud market[EB/OL]. http://bain.com/publications/articles/finding-the-silver-lining-in-chinas-cloud-market.aspx.

[3] 張茜, 延志偉, 李洪濤, 等. 網絡釣魚欺詐檢測技術研究[J]. 網絡與信息安全學報, 2017, 3(7): 7-24.

ZHANG X, YAN Z W, LI H T, et al. Research of phishing detection technology[J]. Chinese Journal of Network and Information Security, 2017, 3(7): 7-24.

[4] 李欲曉, 謝永江. 世界各國網絡安全戰略分析與啟示[J]. 網絡與信息安全學報, 2016, 2(1): 1-5.

LI Y X, XIE Y J. Analysis and enlightenment on the cybersecurity strategy of various countries in the world[J]. Chinese Journal of Network and Information Security, 2016, 2(1): 1-5.

[5] SANTOS E E. Modeling insider threat types in cyber organizations[C]//IEEE International Symposium on Technologies for Homeland Security (HST). 2017.

[6] HUSTOON G, DAMA J. DNS privacy[J]. The Internet Protocol Journal, 2017, 1(20): 20-30.

[7] ARENDS R, AUSTEIN R, LARSON M, et al. DNS Security Introduction and Requirements[S]. IETF RFC 4033, 2005.

[8] BORTZMEYER S. DNS privacy considerations[S]. IETF RFC 7626, 2015.

[9] KENT S, SEO K. Security architecture for the Internet protocol[S]. IETF RFC 4301, 2005.

[10] LEPINSKI M, KENT S. An infrastructure to support secure Internet routing[S]. IETF RFC 6480, 2012.

[11] LEPINSKI M, SRIRAM K. BGPsec protocol specification[S]. draft-ietf-sidr-bgpsec-protocol-23. 2017.

Define cyberspace security

FANG Binxing

The booming development of the Internet brought unparalleled revolution to production and social life style, and the Internet itself has become the new driving force of economy in almost every country. However, It is embraced that not only development opportunities, but also enormous security challenges in the cyberspace. So as to enhance the healthiness of cyberspace and social form, every state and nation is actively promoting the construction of cyberspace security system and in-depth research of key technologies. A comprehensive view of cyberspace security development status was provided in the globe and in major areas, with systematic analysis on its core elements as well as the hierarchical model.

cyberspace, network security, Internet governance

TP391

A

10.11959/j.issn.2096-109x.2018002

方濱興（1960-），男，江西萬年人，博士，中國工程院院士，主要研究方向為網絡安全、信息安全、并行處理、互聯網技術等。

2017-11-21；

2017-12-27