現代網絡安全體系的使命目標與必備能力解析

謝軍

摘 要：本文通過對現代網絡安全體系內生安全理念的闡述，明確安防體系的價值主要體現在“提能力、能應變、保彈性”，解析現代網絡安全體系的必備能力。

關鍵詞：網絡安全體系;目標;能力

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-2064（2020）07-0036-02

網絡安全體系向信息體系的嵌入與影響越來越深刻，通過技術創新和業務融合對不同安全協議、安全機制和安全措施的聚合，實現對下一代網絡的全面安全治理;執行“自主以生”的技術路線，使得內生安全防護具備自主驅動力，能夠同步甚至前瞻地適應網絡變化，以衍生網絡內在穩定的防御能力。

1現代網絡安全體系內生安全理念

現代網絡安全體系建設的總體價值，是保障各級業務部門在任何時間、任何地點，以任何方式，使用信息資源、運用信息系統、展開業務活動的能力，簡稱為“使命確保”的總體目標。具體而言，“使命確保”是指：為應對即將（正在、已經）發生的不利環境（或情況），確保職責使命、業務活動、工作任務所依賴的網絡信息資源或信息系統，在設計、開發、生產、部署、運行、管理等全生命周期，實施預先準備、持續運行、頑強抵抗、恢復重建和適應演進的能力。

網絡安全體系的價值，不僅僅是保護網絡信息體系安全，這只是手段、途徑或中間態，而不是最終目標。安防系統的價值，不在于清除了多少惡意代碼，發現了多少個漏洞威脅，阻止了多少次攻擊滲透，部署了多少安全裝備，而在于有了安全，讓多個系統連接到網上，多少數據存在網上，多少用戶持續在線，多少網絡連接，多少業務上線。正是由于安全的存在，讓我們延伸了業務的邊界，讓我們增加了系統的存在，讓我們拓展了活動的空間。具體而言，安防體系的價值主要體現在“提能力、能應變、保彈性”。

1.1提能力：確保網絡信息系統的高效運用

在“一切皆由網絡控制”的信息時代，網絡安全“零日威脅”近在咫尺。網絡不僅消弭了線上線下和前方后方的邊界，也使得業務安全對網絡技術的依賴性越來越強，整個安全體系中任何一個信息化設備都有可能成為信息安全屏障的突破口，直接威脅業務安全，最終破壞總體安全。為此，網絡信息系統組織運用總是受到安全保密問題的掣肘，網絡信息化建設難以突破安全桎梏，導致各級業務部門實際運行受到較大影響。

大力推進安防體系建設，推動網絡與信息化同步規劃、同步建設、同步實施，讓安全設施真正成為信息基礎設施的一部分，不是就安全論安全，也不是一味強化安防本身，恰恰正是著眼于打破安全枷鎖、突破安全桎梏，通過全面展開安全建設促成“透明無感”的安全防護體驗，通過安全能力全面提升實現網絡信息系統的高效運用。換言之，只有真正投入資源建設安全，改變安全能力低弱的窘境現狀、進而實際提升安全能力，才能真正推動信息系統全面成體系運行使用，全面提升信息化建設效益，而不是陷入“不夠安全不敢用”“沒有運用不嘗試”“沒有成效不投入”的不利格局。

1.2能應變：確保網絡信息系統的動態防護

網絡空間攻防，總是在動態對抗的過程中不斷探尋彼此的漏洞和短板，盡可能地獲得階段性對抗的相對優勢。攻防雙方對抗邊界總是動態變化的，攻防技術能力在對抗過程中實現螺旋式上升;攻防雙方對抗主體也是動態變化的，新型網絡威脅行為體不斷顯現，新興網絡攻擊手段方法不斷翻新，持續深化的信息化建設不斷帶來新的安全暴露面。

傳統安防體系，是通過不同安全防御產品的部署、累積實現筑高墻式的安全防御，被動地應對攻擊者不斷變化的攻擊手段。新型安防體系，立足于更加積極的安全防御模式，通過建立覆蓋全網的態勢感知與自動響應系統，實施威脅感知主動發現、異常活動分析研判、攻擊跡象通告預警、安全事件響應處置、攻擊活動追蹤調查和復盤整改，構建形成自適應持續運行的安全閉環，并進一步針對網絡關鍵信息基礎設施實現更加主動有效的全方位體系化防護，能夠有效對抗目標意志堅定的高水平對手，在日益嚴峻、持續變化的網絡空間風險與威脅形勢中確保網絡信息系統安全可靠。

1.3保彈性：確保網絡信息系統的持續運轉

網絡空間平戰一體、隱蔽性強，無需實體空間調動和調整部署，就可在沒有明顯征兆的情況下，在極短時間內提高攻擊強度和加快攻擊節奏，易達成攻擊的突然性，新型的網絡閃擊戰將成為未來網絡戰爭的重要樣式。美軍133支網絡任務部隊已于2018年6月全面形成作戰能力，美網絡空間司令部升級為一級職能司令部，實際具備了戰略層面的指揮能力，同時與其他軍種進行跨域融合，嵌入基本戰術作戰單元，隨時保持高度戰備狀態，在戰術層面形成網絡作戰力量與常規作戰力量的整合使用。未來如果爆發戰爭，相信在網絡空間將會打響戰爭的“第一槍”，以奪取制網權為目標的網絡戰將成為作戰各方競爭的焦點。

也就是說，戰爭情況下國家網絡信息體系是作戰對手發動攻擊的首要目標，網絡空間安全防御能力是我們的第一道防線。安防體系建成后，形成穩定可靠的安全能力輸出，能夠真正讓各級各類網絡信息系統運行起來，切實保障業務鏈路常時暢通、持續有效，確保業務指令、業務活動得以依托網絡快速展開，實現通信鏈路的全時貫通、業務信息的全時受控、業務系統的連續運行、業務體系的安全可靠。

2現代網絡安全體系的必備能力

現代網絡安全體系建設，按照全域覆蓋、自主決策、主動防御的設計理念，技術和管理并重、可靠和好用兼顧、安全防護和信息系統一體，全力打造態勢全網感知、設備協同聯動、結構動態捷變、技術高效融合的動態安全防御體系。體系必備能力如下。

2.1 無邊界縱深防御能力

能夠在多條安全防護戰線上使用不同的防御手段來構建多層安全防護體系，支持安全設施能力全平臺統一調配，確保在外層防御被滲透或被突破時內層能夠有效阻斷甚至反制攻擊行為。整個防御體系可以沒有明顯邊界，但每個重要資產之外都有邊界防護能力，提供整體安全保障能力，確保業務網絡無懼新型安全攻擊威脅。

未來網絡信息體系的網絡邊界、數據邊界、應用邊界非常模糊，安全防護措施不應該停留在邊界，而是進入網絡信息體系所有關鍵環節，在各個分系統設計之初就充分考慮安全要求，各個分系統的業務需求與安全需求相互融合，安全能力完全融入各個分系統的方方面面，形成技術先進、設施完備的多層次縱深防御陣地，對外能夠有效阻斷外來敵對勢力的攻擊，對內有效遏制內部人員的違規和惡意行為，真正做到“拿不走數據、打不癱網絡、阻不斷應用、隱不掉蹤跡”。

2.2無死角態勢掌握能力

能夠構建全網尺度范圍上的威脅“發現—檢測—防御—響應”安全運行閉環，全方位全流程掌握網絡運行安全態勢，支持大尺度、多維度、多層次安全態勢展現，小到單臺虛擬機安全狀態、大到平臺整體安全情況，都可以及時掌握并持續檢測安全威脅，結合歷史安全事故和威脅情報進行未知威脅分析檢測，做出安全威脅預判和防護措施預置，以及安全事件應急自動化響應。

網絡信息體系的資產類型多樣、業務活動豐富、信息交互頻繁，安全事件爆發從來不局限于一隅，其影響與危害程度也很難控制在較小范圍內，需要全方位監測通信網絡與業務系統產生的海量安全數據，研判掌握全局安全態勢，結合本地化威脅情報，實現安全威脅全程可知、可視、可防、可控，大幅提升安全事件的應急響應能力，避免惡性安全事故在業務網絡內擴散蔓延，推動網絡信息系統安全保障從技術系統向安全運行的迭代演進，推動網絡信息系統安全能力建設向更高層級躍升。

2.3無特權數據管制能力

采用零信任架構，能夠唯一使用人的身份來進行數據資源使用安全控制，不允許使用IP地址、主機標識之類的靜態上下文環境信息為作為訪問控制的依據，平臺不相信任何人，平臺所有的資源，包括硬件、軟件、模型、算法、應用、接口、協議、VPN等等，使用者在訪問之前都必須經過嚴格身份認證，認證通過后才能使用。

基于用戶行為和環境上下文進行動態權限管理，根據任務、身份、安全環境等多種因素進行可信關系計算，對數據使用情況進行全過程審計與行為分析，真正將數據分級分類管理和最小訪問權限原則貫徹落實，落實到系統設計和程序邏輯上，落實到工程實踐和業務運行上，權限控制粒度能夠細化到具體的業務功能接口方法、數據字段、數據行且支持控制粒度配置，能夠在線即時審核用戶訪問授權請求，支持按照事前預置的權限控制策略來審核請求，而不必按照行政結構層層審核，支持動態風險識別和報警預判。

2.4無間隙安全服務能力

網絡信息體系建設將匯聚各類業務、數據和應用資源，為業務活動的智能化升級提供了信息基礎，但同時也帶來了極大的安全隱患。如果沒有對信息安全的絕對保障，將重要業務活動、敏感數據、特殊信息進行匯集和分析計算的風險將會無限放大。未來網絡信息化建設將涉及到固定網絡環境、移動網絡環境、云計算環境和數據中心環境，新的基礎架構、新的數據資源、新的應用體系，以及數萬量級用戶群體都對網絡信息安全提出前所未有的挑戰。

現代網絡安全體系建設，使用先進的安全防護技術能力和管理保障制度，解決信息化建設的“阿喀琉斯之踵”（死穴），讓信息安全不再成為阻礙信息化建設深化推進的“攔路虎”“絆腳石”，讓安全建設服從服務于業務建設，讓安全系統能力全方位融入強化業務信息體系，為加快推進業務工作信息化進程、提高各級信息系統效能提供有力支撐。