天地一體化信息網絡安全動態賦能研究

李鳳華，郭云川，耿 魁，房 梁，李 暉

(1．中國科學院信息工程研究所，北京 100195；2.中國科學院大學 網絡空間安全學院，北京 100049；3.西安電子科技大學 網絡與信息安全學院，陜西 西安 710071)

0 引言

天地一體化信息網絡將為航空、海洋、地面交通、偏遠地區以及公眾市場等商業大眾應用提供通信和互聯網服務。其安全性尤為重要，表現在兩方面：① 攻擊者可將天地一體化信息網絡作為目標，癱瘓其提供服務的能力；2019年11月由美國Aerospace Corporation舉辦的全球衛星網絡安全峰會(CYBERSAT SUMMIT)上，有專家認為，網絡攻擊可劫持、摧毀或癱瘓衛星。② 未來天地一體化信息網絡以地面網絡為基礎、空間網絡為延伸，這種互聯使得攻擊者能將該網絡作為攻擊加速器和攻擊放大器；相應地，與天地一體化信息網絡融合的關鍵基礎設施將面臨更大安全威脅。因此保障天地一體化信息網絡的安全性尤為重要。

不同于傳統互聯網絡，天地一體化信息網絡具有如下特征。

① 技術體制不斷演進：天地一體化信息網絡作為衛星網絡，建設過程中邊出成果邊應用，通信技術體制不斷演進，相應的安全防護技術必須要隨之調整，因此星載安全防護單元等安全防護設備、組件或模塊必須支持滾動建設，在接口、流程、性能以及功能等方面必須具備動態重構能力，確保對未來功能和性能的支持。

② 安全需求不斷變化：隨著網絡規模和帶寬的不斷擴大，安全設備類型和數量不斷增加，現有安全設備或分系統的安全防護性能難以滿足日益增長的安全需求。因此，通過已有可重構軟件構件與可線性擴展硬件組件的靈活配置來達到性能線性增長的目的，實現性能迭代，確保網絡和安全服務的最佳提供，這意味著需要對安全服務能力按需動態編排。

③ 拓撲高度動態變化：天地一體化信息網絡中，新型設備不斷加入、安全設備部署位置不斷改變，加之衛星高速運轉、終端全球隨遇接入，使得天地一體化信息網絡的拓撲始終高度動態變化。需要根據安全需求、設備能力等特征對安全防護資源進行動態調配。

這些特征導致天地一體化信息網絡在測控、終端接入、無線信道通信、天基或地面網絡、業務系統以及運維管理等方面都將面臨前所未有的安全挑戰。相比傳統地面網絡，天地一體化信息網絡在網絡層更易遭受重放攻擊、跨網攻擊和DDoS攻擊等安全威脅；在無線鏈路層容易遭受數據竊聽、攔截或注入等安全威脅；在節點層容易遭受實體假冒等安全威脅；在應用層容易遭受數據失竊和虛假信息惡意傳播等安全威脅。

靜態化安全防護功能不能很好地處置未來可能出現的威脅，其安全防護能力低、建設成本高，不適用于處于高度動態變化的天地一體化信息網絡。因此亟需設計可擴展的安全動態賦能體系，實時準確調配安全服務保障能力，對安全設備或安全系統的安全功能進行編排；各個安全設備必須具備重構能力，并且依據編排指令重構系統。

雖然目前學術界和產業界在安全賦能方面展開了眾多研究，但由于天地一體化信息網絡中星載計算、存儲、傳輸或空間資源嚴重受限和設備高度移動等特征，現有安全賦能技術不適用于天地一體化信息網絡，亟需研究面向天地一體化信息網絡的安全動態賦能技術，確保安全防護功能具備自適應能力。

針對上述問題，本文的貢獻如下：

① 提出了面向天地一體化信息網絡的安全動態賦能架構。該架構由安全服務能力編排、安全態勢分析和安全威脅處置指揮構成，三者有機融合，支撐安全功能按需擴展與柔性重構。

② 分析了天地一體化信息網絡安全動態賦能在安全服務能力編排、安全態勢分析以及安全威脅處置指揮等方面所需要突破的關鍵技術，包括安全服務能力動態編排架構、聯動精準采集與安全需匯聚、安全態勢融合分析、威脅處置與反饋研判等，以支撐面向天地一體化信息網絡的安全動態賦能系統的建設。

1 相關工作

天地一體化網絡安全服務動態賦能技術以網絡安全防護為目的，通過協調不同的安全防護資源，實現服務功能自動化安排和組織。

當前安全動態賦能相關研究主要聚焦在云計算[1]、軟件定義網絡(Software Defined Network,SDN)以及網絡功能虛擬化(Network Functions Virtualization,NFV)[2]等新型網絡架構中的服務功能鏈編排，其中面向云計算的服務功能編排是云環境中計算機、中間件以及服務的自動化部署過程，基于SDN/NFV的服務功能鏈編排是對網絡環境中資源進行調度，生成滿足用戶需求的服務并自動化部署的過程。產業界也研發了面向云的編排系統和基于SDN/NFV的編排系統，其中典型面向云的編排系統包括Vmware vCloud[3]，Microsoft Azure[4]，NASA，Rackspace合作發起的OpenStack[5]和Apache CloudStack[6]。基于SDN和NFV典型的編排系統包括Cisco ACI(Application Centric Infrastructure)策略引擎[7]、Huawei Netmatrix[8]、HP NFV Director[9]、Oracle NSO&AO[10]、OSM(Open Source Mano)[11]、Open-Baton[12]、Sonata[13]、ECOMP(Enhanced Control,Orchestration,Management and Policy)[14]、ONAP(Open Network Automation Platform)[15]等。

在面向云計算的服務編排方面，文獻[16]針對云計算應用中多種無服務器計算編排需求，提出了基于副本或基于連接器策略的編排服務方案——GlobalFlow，實現對分布于不同地理位置但邏輯相關的無服務器計算的協調工作。文獻[17]針對云服務編排中TOSCA標準與DevOps間僅能通過編碼方式進行臨時連接的問題，提出了模型驅動的云資源編排方法，該方法通過協助TOSCA和DevOps工具之間的無縫連接，增強了DevOps的生產力和可重用性。文獻[18]針對云應用中底層資源可擴展性描述需求，基于狀態機理論提出了云資源描述模型cRDM，該模型可動態調整資源以適應不斷變化的工作負載，同時保證服務質量。文獻[19]針對物聯網工作流程中所涉及的云資源和服務編排問題，提出了全面的體系結構來支持端到端的工作流管理流程，包括聲明性規范與組成、配置部署、業務流程、改編和質量確保等，該體系結構實現了云資源編排的動態監視和自動化分析，并能準確預測云資源利用率。文獻[20]針對現有云平臺中管理接口和管理機制的差異性問題，提出一種基于運行時模型的混合云編排管理方法。該方法在構建單一云平臺運行時模型和云平臺軟件系統結構的統一模型基礎上，通過模型轉換實現云平臺統一模型到運行時模型的映射，降低了混合云管理系統開發難度和復雜度。文獻[21]針對云計算資源利用率問題，以最小化用戶任務完成時間為云計算資源負載調度優化目標，通過構建相關約束條件并利用螢火蟲算法找到目標函數值的最優資源調度策略，減少了云計算任務完成時間，均衡了云計算資源負載。趙碩等在文獻[22]中研究了云計算環境下虛擬機動態遷移方法，針對虛擬機動態遷移過程中存在的時間長、開銷大問題，提出了一種基于安全等級的虛擬機動態遷移方法。該方法通過對虛擬機進行安全等級劃分和共享物理主機資源約束降低虛擬機遷移頻率，進而減少虛擬機遷移時間和遷移開銷。

在基于SDN/NFV的編排方面，主要涉及服務功能鏈(Service Function Chaining,SFC)的編排。文獻[23]提出了基于SDN/NFV構建安全服務鏈的技術思想，通過編排部署在Open Flow 網絡中的軟件安全模塊，并利用 SDN 控制器，引導網絡流量流經安全防護模塊，以此進行安全檢測與威脅處置，滿足潛在的網絡安全業務需求，但該工作所提出的方法缺少具體的安全服務構建策略。Faizul Bari已經證明以最小資源消耗為目標的SFC編排數據NP難問題[24]。文獻[25]針對網絡虛擬化功能動態編排過程中過度部署導致網絡效率低的問題，采用整數線性規劃對問題進行建模，并通過基于貪心算法的啟發式方法進行求解。文獻[26]設計的SFC編排算法，綜合考慮了VNF開銷、服務器能耗開銷以及服務器間帶寬資源開銷，同時考慮了業務的服務等級需求。將滿足上述諸多限制的SFC編排問題轉化成整數線性規劃問題，并使用商用求解器進行求解。馬丁等[27]針對現有NFV映射方法僅考慮開銷和時延等單一目標優化的問題，提出一種綜合考慮多目標的服務功能鏈映射算法。該算法通過加權求和的方式將多個優化目標進行整合，并在優化粒子初始位置和更新策略的基礎上，采用粒子群算法對目標進行求解，有效地提高了服務功能鏈構建成功率和服務質量。魏亮等[28]針對動態場景下服務功能鏈資源智能調度問題，基于強化學習方法提出一種服務功能鏈映射算法。該算法采用Q-learning機制，依據系統狀態、部署后的獎懲反饋來優化服務功能鏈中各VNF的位置，有效降低了業務的平均傳輸時延，提升了系統負載均衡情況。劉光遠等[29]針對可生存虛擬網絡多層映射問題，建立了整數規劃求解數學模型，并針對大規模問題提出一種啟發式算法對模型進行求解。該算法首先為虛擬網絡中的每條鏈路尋找和分配最優保護帶寬，以確定不相交映射約束，然后按照約束進行多層網絡映射，實現映射過程開銷最小化。文獻[30]研究了SDN/NFV環境下服務功能鏈跨域映射問題，提出一種區域集中管理、全局協調調度的資源管控架構，并在此基礎上將跨域服務功能鏈映射問題建模為以最小開銷為目標的整數線性規劃問題，并基于Q-learnging機制構建請求分割算法對問題進行優化求解。

國內相關研究單位提出了可重構高性能密碼計算方案，突破了網絡中安全資源的虛擬化、安全服務能力動態組合、高并發密碼服務狀態管理、密碼資源動態重構、加解密吞吐率線性增長以及作業按需透明遷移等關鍵技術。

2 安全動態賦能架構

針對天地一體化信息網絡異構網絡多域互聯、安全防護能力差異、安全服務需求多樣、應用場景復雜以及分級管理分層部署等特點和應用需求，提出融合安全服務能力編排、安全態勢分析和安全威脅處置指揮等于一體的安全動態賦能架構，如圖1所示。在安全動態賦能需求驅動下，安全服務能力編排、安全威脅處置指揮、安全態勢分析相互合作，實現星上安全載荷、終端安全防護模塊、地基節點網安全防護等設備或系統中的安全服務柔性重構和服務資源的按需供給，支撐天地一體化信息網絡安全按需服務與透明管控。

圖1 安全動態賦能架構Fig.1 Dynamic security-empowered architecture

2.1 安全服務能力編排

安全服務能力編排主要包括安全功能多層次多維度統一描述、安全策略精化與安全服務能力編排等功能。其中，安全功能多層次多維度統一描述對天地一體化信息網絡中的網絡設備和安全設備的設備類型、設備狀態以及網絡負載等基礎設施進行統一資源描述；對安全設備的安全服務能力、安全策略配置和安全態勢狀態等進行安全需求與策略統一定義，從而構建統一的底層安全資源抽象層，實現安全資源的靈活接入、擴展和統一管理。

安全策略精化與安全服務能力編排將用戶安全需求、用戶服務、安全態勢等抽象安全需求，細化為安全服務能力編排可識別的中間層策略。同時，對細化后策略與全局策略間的形式沖突和語義沖突進行消解，將無沖突的策略交由安全服務能力編排執行服務鏈編排工作，由安全服務鏈編排將網絡中的各種安全服務單元在邏輯上按照安全需求組合在一起，完成對底層安全資源的統一接入、管理和調度，提供滿足用戶安全需求的安全服務。

2.2 安全威脅與態勢分析

安全威脅與態勢分析主要包括態勢要素提取、融合分析、逐級關聯和威脅預警等功能。其中，態勢要素提取從威脅匯集系統中獲取天地一體化網絡的威脅情報信息，利用正則表達式等過濾方法從中提取出漏洞、資產、惡意軟件及安全事件等態勢要素，對重復的事件進行合并，刪除誤報的事件，整理后供融合分析和逐級關聯使用。態勢關聯分析基于分布式流數據處理系統實現，從而支持多用戶并發和海量數據的在線計算。態勢關聯分析對數據集成采集的多源數據進行關聯分析，利用網絡安全知識圖譜識別網絡安全事件，并依據關聯規則對系統網絡安全態勢進行分析和預警。

2.3 安全威脅處置指揮

安全威脅處置指揮主要包括安全設備和拓撲畫像、設備統一配置、威脅聯動處置與處置效果研判等功能。其中，安全設備和拓撲畫像是對安全設備與安全系統進行統一管理的基礎，在設備入網時，需對設備的存活性、連接關系進行發現，對設備的基本信息(如：設備類型、生產廠商)、安全能力、所部署的物理位置以及邏輯位置等進行登記、提取或查詢，在此基礎上對網絡拓撲關系進行構建，從而支撐后續的安全管理。

設備統一配置是在安全策略統一描述基礎上實現對地基節點網的安全設備或安全系統、天基骨干節點星載綜合安全防護單元、天基接入節點星載綜合安全防護單元、用戶終端安全模塊的統一配置。

威脅聯動處置方面根據威脅報警信息對威脅聯動處置區域進行確定，通過對策略的安全收益、部署成本等多屬性信息進行評估確定威脅處置策略，并將其動態分解為處置指令，下發到相應安全設備執行，實現威脅的有效應對。處置效果研判在對處置指令執行結果進行驗證的基礎上，評估威脅處置效果，為威脅處置策略的優化調整提供基礎信息。

3 安全動態賦能關鍵技術

3.1 安全服務能力動態編排架構

安全服務能力動態編排系統的根本功能是根據安全需求，結合網絡拓撲、設備能力等要素對安全服務功能、安全策略等進行動態編排，實現對安全防護設備或系統的安全功能、安全性能和安全服務等要素的重構，提升安全防護收益，降低安全防護成本。

安全服務能力動態編排包括三層：編排服務需求獲取層、安全能力編排層以及安全編排策略執行層，如圖2所示。

圖2 安全服務能力動態編排架構Fig.2 Security service capability orchestration architecture

其中，編排服務需求獲取主要是獲取來自用戶的安全編排需求，包括系統安全需求、網絡安全需求和數據安全需求等。針對同一威脅，不同安全防護設備或系統的資源消耗不同、處置能力不同。安全能力編排層主要基于設備服務能力，選取適用于當前需求(如時間消耗需求、空間消耗需求)的編排算法，對安全防護資源進行調度和優化。安全編排策略執行層主要負責按照安全編排主體制定的安全編排策略進行功能、算法、硬件和服務系統重構等工作，并評估和反饋編排效果。

3.2 安全服務能力描述

為了實現安全服務能力動態編排，需對涉及的各類對象的靜態屬性、動態屬性和服務能力進行細粒度多層次描述。只有安全服務能力編排單元全局了解編排對象，才能對安全功能實現優化編排。

根據抽象程度和表現粒度的不同，從抽象層、方法層、模式層和具象層四個層面對各類對象進行描述。其中，抽象層將從宏觀上抽象天地一體化信息網絡的概念及關系，包括點和邊。對節點的描述包括節點標識、固定屬性和可擴展屬性等；對邊的描述包括邊標識、源頂點、目的頂點以及邊屬性等。方法層在抽象層描述的基礎上對抽象層中的節點和邊進一步細化，定義描述節點和邊類型。其中節點包括部件、設備、網絡、能力、原子能力、用戶服務、安全需求、安全態勢、編排策略、編排預案、配置指令、威脅報警、處置預案、處置策略、處置指令以及處置策略反饋等；邊是對這些頂點間關系的抽象，如具備、構成、執行、限制、出發、擁有、支持、分解以及實現等關系。模式層在方法層指導下，對各類型節點和邊的進一步細化描述。具體規定描述某一類型節點或邊時所需的屬性及方式，包括對屬性名稱、類型、單位以及屬性間依賴關系等的描述。具象層受到模式層的約束，即根據模式層中所定義的對某類節點的各屬性的約束，將屬性內容進一步實例化，從而得到某一具體節點的描述。圖3給出了具象層安全服務能力描述的示例。

圖3 安全服務能力描述Fig.3 Description of security service capability

圖3中，虛線左側部分解釋如下：每個部件都具有原子能力，若干部件構成一個設備，若干設備連接可構成網絡，若干網絡的連接仍然構成網絡。若干原子能力的組合構成復合能力，每個設備具備若干能力。

3.3 編排策略全局沖突檢測

隨著天地一體化信息網絡大規模互聯和各類安全服務快速發展，各類安全設備和系統協同工作現象日益增加。安全服務能力動態編排系統根據不同安全意圖，對不同安全設備和系統的功能由不同編排主體執行安全編排。不同編排主體的編排意圖和編排方式均不同，這導致編排策略在符號和語義上可能存在沖突；此外，新生成的編排策略與歷史編排策略集合間也會存在規則沖突。

人工檢測這些沖突低效且錯誤率高，針對上述問題，需突破編排策略的統一描述、冗余策略快速合并以及編排策略查詢高效評估等關鍵技術，實現編排策略全局沖突快速準確檢測。編排策略沖突檢測路線如圖4所示。

圖4 編排策略沖突檢測路線圖Fig.4 Roadmap of orchestration strategy conflict

3.4 設備存活性快速探測與網絡拓撲動態構建

設備存活性快速探測與網絡拓撲準確構建是安全動態賦能的基礎，存活性探測與拓撲構建策略的優劣關乎是否能夠正確賦能。在天地一體化信息網絡環境下，設備高度動態移動、網絡通信時延大且間歇連通，這使得現有互聯網中的存活性探測與拓撲構建技術直接應用于天地一體化信息網絡時，存在探測時間長、設備發現準確性低及設備屬性提取準確性低等問題。

為了解決上述問題，提出融合設備存活性探測、網絡拓撲動態構建和拓撲管理于一體的技術路線圖，如圖5所示。在設備存活性探測方面，針對設備發現準確性低、探測時間長的問題，利用多個設備基于當前環境(如資源剩余量)判斷是否進行協作存活性探測，以優化探測過程。針對設備基本屬性提取困難的問題，利用開放數據集和兩種網絡協議進行設備基本信息的提取。在網絡拓撲構建方面，設計基于主動方式和協同方式進行設備間連接關系構建的解決方案，滿足不同網絡環境下的實際需求，并對主探測節點進行分布式選舉，保證系統的穩定運行。在拓撲管理方面，校驗拓撲數據的完整性，并對外提供路徑查詢服務。

圖5 設備存活性探測與網絡拓撲構建路線圖Fig.5 Roadmap of device survivability detection and network topology construction

3.5 威脅驅動的數據精準采集

天地一體化信息網絡安全動態賦能的必要條件之一是數據準確采集。當前的數據采集方案存在如下問題：① 內容方面，缺少對采集數據有效性的考慮，不能用于精準分析網絡威脅，且大多使用查找表的方式確定采集內容，缺乏動態調整的特性；② 頻率方面，大多采用等時間隔、周期性的采集方式，沒有考慮重復采集數據的相似度；③ 資源消耗方面，未充分考慮采集設備當前的資源水平，不適用于復雜網絡環境中設備計算和存儲資源受限的場景。由于星載資源和部分移動終端資源嚴重受限、威脅需及時發現等實際情況，使得現有的采集方式不適用于天地一體化信息網絡。

因此需要威脅驅動的數據精準采集，包括采集策略生成和數據采集兩部分，如圖6所示。采集策略生成階段生成以威脅監測為目標的高層監測需求，首先需要分析采集任務，解析采集任務參數、提取威脅特征；然后依據威脅特征，分析威脅源線索、計算風險指數；再依據威脅線索和風險指數，確定數據采集范圍(包括進程級與底層驅動級的威脅數據，操作系統層、網絡層與應用層的威脅數據)；最后依據采集成本和數據有效性，確定感知項、感知頻率等采集參數，生成采集策略。

圖6 數據精準采集路線圖Fig.6 Roadmap of accurate data collection

在采集方面，將采集器或采集代理有機融合到被采集對象內部，其依據策略對進程級或底層驅動級等數據進行采集。當發現新的威脅線索時，能依據新線索動態調整采集范圍。

3.6 數據按需匯聚

天地一體化信息網絡產生了海量數據。為了有效使用這些數據，需要將分布于各個設備的數據匯聚到數據中心。這些數據具有如下特征：① 安全性需求差異，如有些數據的完整性重于機密性，有些數據的機密性重于完整性；② 實時性需求差異，如應急通信的數據實時性較遙感衛星影像數據的實時性高；③ 能耗需求差異，如通過衛星匯聚數據的能耗需求高。此外，這些網絡中數據匯聚所需要的計算資源、存儲資源和帶寬資源受限。現有數據匯聚方式采用固定傳輸路徑，按照先來先發的方式匯聚數據，并在數據匯聚前對數據執行無差異化的操作(如要么不壓縮，要么采用同一算法壓縮)，這種靜態無差異化匯聚不滿足大規模網絡中各類資源受限條件下差異化匯聚的需求，可能導致對數據安全性的保護過度或欠缺，難以保障時間敏感數據的實時性，還會消耗過多資源。綜上可知，現有的數據匯聚方式不具有普適性，不滿足天地一體化信息網絡中數據的匯聚需求。

為此，需要依據安全性、實時性和能耗需求來選擇傳輸數據、時機和路徑。在滿足安全約束下，降低資源消耗量，為低軌衛星互聯網的內生安全奠定基礎。依據匯聚需求、數據源特征、數據特征、網絡拓撲結構、網絡傳輸特征以及數據匯聚目的節點，具體地選擇匯聚節點的部署位置；根據匯聚需求、數據特征、中繼傳輸節點傳輸能力等，確定目標數據的傳輸路徑與時機；根據匯聚需求、數據特征、傳輸路徑、傳輸時機評估總時延、預期資源消耗(包括能耗資源、計算資源、存儲資源、帶寬資源等)，利用多目標優化方法，判斷是否對待匯聚數據進行去冗余、壓縮、加密、簽名以及完整性校驗碼生成等操作；將待傳輸數據執行的執行操作后放入發送緩沖區；對發送緩沖區中的數據依據傳輸路徑進行封裝，在確定的傳輸時機內進行數據發送。

其中，傳輸路徑和傳輸時機確定方式如下：① 根據中繼節點傳輸能力、可用傳輸帶寬和安全保障能力，待匯聚數據的實時性需求、安全性需求、字節數及網絡可達性等因素，確定傳輸路徑；② 根據傳輸路徑的歷史狀態與當前狀態，預測傳輸路徑空閑時間；③ 根據傳輸路徑空閑時間、可用傳輸帶寬，上級匯聚節點的實時性要求，待匯聚數據的實時性需求、字節數，確定傳輸時機。

3.7 安全態勢融合分析

為了確保各個安全設備各司其職、安全準確地賦能，需從全局把握系統存在的威脅，獲取天地一體化信息網絡的安全宏觀態勢和未來安全趨勢。只有對天地一體化網絡面臨的威脅進行宏觀了解，才能發現安全威脅的根源，從而在根本上阻斷威脅，避免“頭痛醫頭，腳痛醫腳”的現象。天地一體化網絡因其異構網絡和數據傳輸方式的獨特性，會產生大量與傳統網絡攻擊不完全相同的未知威脅，現有的知識表示方法不足以支撐天地一體化網絡威脅的分析、研判及預警。

為此，需考慮天地一體化信息網絡具有安全防護資源受限、防護能力差異化、脆弱點分布廣、威脅類型多樣、安全事件時間關聯/空間關聯等特點，設計融合基于知識圖譜的安全態勢感知技術路線，如圖7所示。首先提出支持大規模天地一體化網絡安全知識表示和管理的超知識圖譜模型，形成天地一體化網絡特有的知識表示。針對威脅的多樣性，提出基于規則的知識推理方法。針對數據進行實時的在線智能分析，提出流數據多維分析與網安知識圖譜相結合的重要網絡安全事件發現技術；針對難以預測網絡安全事件發展趨勢的問題，提出基于自適應預測模型的多模式、多粒度的網絡安全態勢預測技術；針對影響網絡安全態勢演化的因素多，只采用單一的預測技術難以預測的問題，提出多種預測方法相結合的網絡安全態勢預測系統架構，解決針對天地一體化網絡威脅的智能預測問題。

圖7 安全態勢感知技術路線Fig.7 Technology roadmap of security situation analysis

3.8 威脅處置與反饋研判

天地一體化網絡是典型的多域互聯網絡，單點防護難以抵御無處不在、種類繁多的安全威脅，若不及時處理局部威脅，可能導致攻擊“躍出局部，延至全網”的嚴重后果。為保證天地一體化網絡的安全性，對發現的安全威脅及時處置，避免威脅全網蔓延，需要生成威脅處置策略，并依據策略進行處置，判研威脅處置效果，技術路線如圖8所示。

圖8 威脅處置與反饋研判技術路線Fig.8 Technology roadmap of collaborative threat response and effectiveness evaluation

在威脅處置策略生成與選取方面，綜合考慮威脅特征、管控策略的安全保障效果、管控策略內各指令之間時序關系等要素，結合報警中指示的受攻擊對象信息及網絡拓撲、服務依賴關系、可訪問關系確定受威脅對象。然后，利用優先匹配方式，根據安全保障目標庫中被保護對象的安全保障目標確定安全保障目標，采用優化算法，得到處置策略。針對威脅的擴散性、攻擊的關聯性等問題，基于分析系統給出的當前特定區域內或多個相關區域的風險評估結果，根據攻擊特征、網絡拓撲、資產特征、服務依賴關系以及攻擊路徑等動態確定攻擊區域、被攻擊區域和聯動區域，完成處置范圍最小最優選取，實現聯動處置范圍優化確定，為具體的處置命令制定與下發提供基礎。利用安全保障目標分解映射關系、目標優先級、目標達成度、目標實現成本以及可用資源，對安全保障目標進行進一步分解，得到威脅處置區域的安全保障子目標。在此基礎上，利用成本敏感模型對威脅處置策略進行分解，得到多條處置指令，同時確定指令執行對象，在指令執行后實現對安全威脅的實時阻斷。

在威脅處置效果研判方面，威脅處置效果研判的目的是對管控策略的執行效果進行量化，這是判斷管控策略對特定威脅的響應效果和處置能力的重要依據，也是設計和及時調整處置指令參數的重要指標。在處置策略執行完畢后，首先根據網絡拓撲連接關系、被攻擊對象、攻擊路徑、處置指令執行對象確定處置結果驗證對象；然后根據用戶安全目標、處置指令類型等確定處置結果驗證方式并進行驗證；若前述處置結果驗證對象中至少存在一個對象的處置驗證結果為成功，則基于所述被攻擊對象特征、攻擊特征、攻擊對網絡系統的影響、處置指令類型等確定處置效果評估指標和被評估對象；進一步根據不同計算方法的時間復雜度、空間復雜度、有效性等指標確定處置效果評估方法；獲取相關評估指標數據，若數據存在缺失情況，則利用機器學習方法對缺失數據進行補全，并對各被評估對象進行相應效果的評估；在此基礎上，綜合考慮不同被評估對象的資產重要性等對前述處置效果進行綜合處理，得到最終的威脅處置效果，用于威脅處置手段的迭代更新與升級。

4 結束語

天地一體化信息網絡分階段滾動建設，其通信系統的技術體制不斷演化，安全防護需求不斷變化，安全防護技術也需要不斷迭代，為了提高安全防護效能，需要可擴展的安全動態賦能保障模式。因此不能獨立設計單臺安全防護設備和系統的重構，而需要在體系化關聯的柔性重構思想指導下，單臺設備或系統按照體系化約定、標準規范、協議，進行設計和聯動測試，通過軟件重新加載、動態更新的方式實現軟件升級和擴展演進，確保安全防護設備、組件和模塊必須支持安全動態賦能以及在接口、流程、性能和功能等方面的重構。

針對該需求，本文提出了面向天地一體化信息網絡的安全動態賦能架構，該架構將安全服務能力編排、安全態勢分析、安全威脅處置等有機融合，分析了安全動態賦能所需突破關鍵技術和技術實現途徑。該架構能有效支撐安全功能按需賦能，提升天地一體化信息網絡的安全防護能力，降低安全防護成本。