浅析网络空间战略预警体系的发展建议.docx
《浅析网络空间战略预警体系的发展建议.docx》由会员分享,可在线阅读,更多相关《浅析网络空间战略预警体系的发展建议.docx(7页珍藏版)》请在冰豆网上搜索。
浅析网络空间战略预警体系的发展建议
浅析网络空间战略预警体系的发展建议
一、前言
战略预警指国家为防御突然袭击,运用预警技术及早发现并监视敌对势力战略进攻性武器活动态势的综合性警戒手段,是国家安全的重要保障。
当前,网络空间已成为与陆、海、空、天并列的全球第五大空间,是经济社会发展的新支柱、国家安全的新领域。
强化网络空间态势感知,提升战略预警能力,确保信息网络疆域安全,是国家安全面临的新型重大课题。
目前,有关网络空间安全预警研究的学术成果主要有:
基于入侵事件统计规律的网络安全预警方法、基于决策需求的网络安全战略情报保障能力、基于数据融合的网络安全态势感知技术等。
这些研究成果从不同侧面就网络空间态势感知和安全预警建设进行了有益探索。
美国基于网络大数据建立了网络空间战略预警体系,通过监控全球网络通信数据、获取国内各大企业服务器数据、共享部门与各盟国间的数据等手段获取情报信息,实现网络安全预警与响应的全系统联动。
为应对日益复杂的网络空间安全形势,有效抵御国家级的大规模网络攻击,我国应高度重视网络空间战略预警体系能力建设,完善网络空间预警机制。
本文在理论分析、现状研判的基础上,针对网络资产掌握不全面、安全监测数据难共享、网络攻击取证难等问题,提出了网络空间战略预警体系应建设的重点内容和对策建议。
二、网络空间战略预警的概念、特点及运用价值
(一)网络空间战略预警的基本概念
按照传统定义,战略预警指为早期发现、跟踪、识别来袭的远程弹道导弹、战略轰炸机、巡航导弹等战略武器并及时发出警报所采取的措施。
其任务是:
尽早探明来袭目标及其各种参数,处理所获信息,对来袭目标进行跟踪、识别,为军事决策、战略武器运用、民防准备等提供实时信息。
网络空间是有别于陆、海、空、天等物理空间的虚拟空间,网络攻击瞬时生效、裂变性强,网络防御的重点是国家级黑客的重大网络攻击、烈性病毒传播破坏。
借鉴战略预警的传统定义,网络空间战略预警指一个国家或集团为早期发现、跟踪、识别、报知来袭的重大网络攻击或烈性病毒传播破坏而建立的监测告警体系,是国家防御体系的重要组成部分。
(二)网络空间战略预警的特点
相比物理空间对抗,网络空间攻防有其自身的独特机理,由此带来网络空间战略预警与传统物理空间在国家战略预警方面的显著区别。
惟有深刻认识网络空间对抗的机理特点,才能更有效地开展战略预警工作。
1.预警的职责主体为政府
物理空间的边界明确,对外防卫主要表现为陆防、海防、空防、天防,其中来自空、天的战略武器威胁较大,相应战略预警的职责主要由国防专业力量承担。
互联网、电信网是网络空间的主体,相应管理主要由政府部门负责。
按照“谁主管,谁负责”的原则,网络空间战略预警的职责主体应是政府。
2.预警防范对象更广
网络攻击既可以来自外部实施,也可以从内部发起;既可能是国家行为,也可能是非法组织或个人行为。
物理空间的防范对象主要为敌对国家军队,而网络空间防范的对象既包括国家级高级可持续威胁攻击(APT)组织和恐怖势力,也包括民间黑客组织和内部人员。
因此,网络空间战略预警防范的对象范围更广、更复杂。
3.预警时间更加短促
网络攻击会对目标直接发起攻击并瞬时生效,网络的互通性、病毒的裂变传播性不仅会使受攻击网络出现“一机中招、多机感染、区域瘫痪”的局面,还会跨网迅速扩散并影响其他网络。
与传统物理空间战略攻击通常因诱发因素出现战争动向相比,网络空间的攻击门槛低,攻击时间随机且短促,随时都有可能遭受敌对势力和黑客攻击,因此提前预警的迫切性凸显。
4.预警目标动态性强
网络信息技术不断发展,针对网络特性变化、技术设施更新,网络空间攻击手段不断调整升级,攻防手段在博弈中互相促进、竞争发展,呈现出此消彼长、互促互进的态势。
就某种具体的网络攻击手段而言,攻击效果也是动态变化的,对战略性评估构成了挑战。
5.战略性判定与防御对象属性相关
远程弹道导弹、战略轰炸机、巡航导弹等实体空间武器的战略性很容易界定,国际上也有一致认可。
网络攻击武器针对性强,攻击效果与受攻击方的网络结构、属性以及所采用的软硬件系统、防范机制等密切相关,不易判定。
因此,衡量一种网络攻击手段是否具有战略性,需结合被攻击对象的网络属性特征;只有匹配并可达成战略性威胁的网络攻击手段,才应列为重点预警对象。
(三)网络空间战略预警的运用价值
网络空间对抗具有技术性强、目标多元、要素复杂、时间敏感、地域模糊、数据量大等特点,建设具有全面掌握网络软硬件资产情况、深度挖掘信息系统安全漏洞、广泛获取网络攻击手段与行为特征、实时感知网络攻击威胁、有效监测并汇聚各种异常行为、分析发现安全事件内在关系、综合研判网络安全发展态势等核心能力的网络空间战略预警体系,对于网络防御行动的科学决策、赢得主动,推进网络治理能力现代化具有重要的战略意义。
第一,网络空间战略预警是快速、高效处置重大网络安全事件的重要基础。
构建网络资产基础信息库、挖掘掌握信息系统安全漏洞是网络空间战略预警的基础环节。
地图是人们认知理解环境的重要工具,虚拟的网络空间同样需要由详实信息构成、完整描述各要素状态关系的“网络地图”,即网络资产基础信息库;对于重要大型网络,加强网络软硬件资产的安全管理至关重要。
部署网络空间资产探测系统,掌握网络体系架构、重要节点、关键设备、重点保护对象,发现“风险资产”,是实施网络防御行动的基础。
网络攻防在很大程度上表现为漏洞利用与修补在时间窗口上的博弈,基于已构建的网络资产基础信息库,可在发现新漏洞的第一时间从信息库中快速搜寻出受漏洞影响的网络设备及地址,从而为开展积极防御行动、及时进行漏洞修复提供精准的目标指向。
第二,网络空间战略预警是掌握网络空间防御战略主动的重要保障。
掌握网络威胁行为特征,构建威胁情报支持平台,可为实施安全预警提供可靠的情报保障。
目前,世界上约有数十万名黑客,对于国家层级的黑客群体,防御方需要时刻感知其攻击的技术手段、行为特征和所威胁的系统,掌握其攻击代码并监测发展变化,评估已方网络面临的潜在危害,从而实施有效应对。
即使是发生在其他地方的网络攻击,掌握其攻击代码和行为特征,对于监测和预警针对已方网络的威胁、掌握网络空间防御战略主动,同样具有重要意义。
第三,网络空间战略预警是综合把握网络空间安全态势的重要手段。
传统的单一入侵检测系统已经过时,单机杀毒软件容易失效。
构建以大数据、云技术为支撑,注重多源数据融合和情报共享,通过各类系统的综合集成,形成全域覆盖、上下贯通的完整体系,构建一体化、分布式结构的安全监控综合预警系统,有助于提高对异常行为的获知能力,发现潜在未知威胁,精确定位攻击源头,预判安全事件演变趋势。
三、网络空间战略预警的基本要求和应用样式
(一)网络空间战略预警的基本要求
网络空间战略预警应具有发现、跟踪、识别网络空间战略破坏的能力以及分析判断和网络反制的溯源能力。
为此,网络空间战略预警体系需要具备以下基本能力:
①全面性,在难以判断危害严重程度的情况下,按照“不漏情”的原则对危害网络空间安全的行为进行预警;
②预控性,鉴于网络空间预警时间短促,有必要将网络空间战略预警关口前移,平时常态化开展网络空间安全或战略危机的分析预测,实施早期控制;
③诊断性,在网络系统建设和管理过程中,对可能存在的网络安全问题进行强化测试和诊断,记录网络软硬件及其状态,据此分析判断各类网络攻击手段的潜在危害;
④动态性,密切跟踪网络新技术发展、新问题发现、环境因素的新变化,及时调整我国网络建设的发展思路、应对全球网络攻击手段变化,同时持续加强分析判断模型、应对措施方法的更新升级;
⑤规范性,运用系统性的计划策略和理性分析方法,开展针对网络危害战略性判断、应对措施与方法的程序化决策。
(二)网络空间战略预警的应用样式
1.安全漏洞预警
安全漏洞预警属于早期预警,主要是通过主动挖掘和分析重要网络设备、操作系统、应用软件、应用服务系统(如域名服务系统、电子邮件系统)等存在的安全漏洞缺陷,及时发现系统中存在的后门、设计缺陷以及设备与系统管理漏洞,尽早开展封堵处理,防止被恶意利用;主要针对国际上尚未公布的安全漏洞进行预警。
2.安全威胁预警
安全威胁预警属于中期预警,主要是通过部署的网络空间资产探测系统、网络空间威胁情报感知系统,发现“风险资产”,实时跟踪监测重要网络被控、全球僵尸网络构建、蠕虫病毒传播、黑客组织攻击活动、已公开的安全漏洞、网络攻击最新技术手段等情况,预测潜在的网络破坏性攻击行为对网络系统安全带来的影响范围、危害程度、持续时间等;按照规定和程序,及时通报相关威胁,尽快采取应对措施;主要针对已经在其他地方出现,但尚未涉及到所防护网络的威胁源。
3.入侵攻击预警
入侵攻击预警属于临近预警,主要是通过在网络信道出入口、重要服务器、重要应用系统等关键部位布设网络入侵检测系统、行为审计系统,实时监测网络攻击者对网络的渗透、重要数据访问等异常行为;发现后实时报警、响应,通过其他防护系统自动进行行为中止或由安全防护人员迅速处置,阻止大规模入侵、破坏行为的发生,防止事态扩大;主要针对已经接触到所防护网络的攻击行为。
4.异常行为预警
异常行为预警属于对内预警,主要是通过监测、审计重要内部网络的用户操作和网络行为,及时发现违规操作、蓄意破坏、病毒传播等直接危害网络安全的异常情况,准确追踪定位威胁源头;主要对发生在内部网络中的异常行为或攻击企图进行预警。
四、网络空间战略预警监测体系的发展现状
(一)国外网络空间预警监测建设情况
信息基础设施发达的国家和地区高度重视网络空间安全战略预警能力建设。
以美国为例,代表性做法如下。
一是打造全球网络通信数据监控能力。
一方面,美国依托其全球信息枢纽的优势地位,在重要数据交换节点上大规模搜集基础性数据;另一方面,采取改造监控海底光缆等手段,将网络监测范围覆盖至美国境外地区;已将互联网骨干网中50%以上的流量纳入到监测范围。
二是政府相关部门加大对大型网络运营商、互联网服务商监测数据的利用力度。
斯普林特公司、电话电报公司、威瑞森通信公司等顶级骨干网运营商,微软公司、谷歌公司、脸谱公司、苹果公司等互联网服务提供商,都是情报机构的合作对象;对相应的流量数据、网络行为数据等进行大数据关联分析,找出潜在威胁。
三是广泛开展深度的信息合作与数据共享。
国土安全部、国防部、司法部强调对各自掌握的情报信息实施互联互通,建立行动性、预警性情报的“一知皆知”通报制度,实现网络安全预警及响应的全系统联动。
同时,美国与英国、法国、德国等设立了基础性的互联网数据信息共享机制。
网络空间预警监测系统,如“爱因斯坦计划”入侵防御项目,旨在支持政府机构应对网络空间安全威胁,提供入侵检测、入侵防御、取证分析、信息共享等能力。
“爱因斯坦计划”由国家统筹规划、统一部署,监视政府各部门的网络出入口流量;一旦遭受网络攻击,监测系统将自动向国土安全部下属的美国计算机应急响应小组(US-CERT)报警,安全专家将实时纵览跨机构的安全事件并采取应急处置措施。
(二)我国网络空间战略预警监测体系建设情况
1.法律法规层面
在网络监测预警与应急处置方面,《中华人民共和国网络安全法》明确了国家和省级相关政府职能部门的职责,为国家网络空间安全预警、安全事件处置提供了法律保障。
该法规主要强调,国家网络安全和信息化部门应注重统筹协调,加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息;建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,定期组织演练。
负责关键信息基础设施安全保护工作的部门,应建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定报送网络安全监测预警信息;制定本行业、本领域的网络安全事件应急预案,定期组织演练。
在网络安全事件发生风险可能增大时,省级以上人民政府有关部门应按照规定的权限和程序,根据网络安全风险的特点和可能造成的危害采取措施。
2.技术层面
许多网络安全公司已建有较为成熟的网
升级会员 