面向關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻防對(duì)抗平臺(tái)總體技術(shù)設(shè)計(jì)

◆楊元瑾

（中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司 北京 102209）

1 網(wǎng)絡(luò)攻防對(duì)抗平臺(tái)總體技術(shù)設(shè)計(jì)思路

高安全等級(jí)的網(wǎng)絡(luò)威脅，尤其是美國(guó)等網(wǎng)絡(luò)安全強(qiáng)國(guó)對(duì)其他國(guó)家的攻擊，往往是利用軟硬件后門(mén)，結(jié)合未公布（或預(yù)制）的系統(tǒng)漏洞，利用網(wǎng)絡(luò)戰(zhàn)工具實(shí)施攻擊。此類攻擊具有入侵后長(zhǎng)期潛伏的特點(diǎn)，而且目前基于安全風(fēng)險(xiǎn)識(shí)別的普通安全防護(hù)無(wú)力應(yīng)對(duì)。對(duì)抗這種高安全等級(jí)的網(wǎng)絡(luò)安全威脅，是基于未知系統(tǒng)安全風(fēng)險(xiǎn)的安全防護(hù)，必須啟用主動(dòng)發(fā)現(xiàn)識(shí)別系統(tǒng)漏洞和安全防護(hù)漏洞。

主動(dòng)發(fā)現(xiàn)就需要引入網(wǎng)絡(luò)攻防對(duì)抗。通過(guò)專業(yè)攻防團(tuán)隊(duì)使用網(wǎng)絡(luò)攻擊工具對(duì)目標(biāo)系統(tǒng)進(jìn)行持續(xù)模擬攻擊，安全防護(hù)團(tuán)隊(duì)不斷對(duì)攻擊進(jìn)行防御。從防御的角度來(lái)說(shuō)，可以提高系統(tǒng)健壯性和防護(hù)策略有效性，提高安全防護(hù)服務(wù)團(tuán)隊(duì)的實(shí)戰(zhàn)能力；從攻擊的角度來(lái)說(shuō)，可以不斷提高網(wǎng)絡(luò)攻擊團(tuán)隊(duì)對(duì)類似目標(biāo)系統(tǒng)的攻擊能力，進(jìn)而形成網(wǎng)絡(luò)威懾能力。網(wǎng)絡(luò)攻防對(duì)抗的成果，將會(huì)反饋到主動(dòng)安全服務(wù)中，形成兩類服務(wù)的良性互動(dòng)。

2 網(wǎng)絡(luò)攻防對(duì)抗平臺(tái)功能

網(wǎng)絡(luò)攻防對(duì)抗平臺(tái)（簡(jiǎn)稱“平臺(tái)”）主要實(shí)現(xiàn)以下功能：

2.1 網(wǎng)絡(luò)攻防對(duì)抗

網(wǎng)絡(luò)攻防對(duì)抗是由安全攻防對(duì)抗團(tuán)隊(duì)組織的對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的持續(xù)性的模擬攻防，目的在利用最新安全技術(shù)、工具和情報(bào)，尋找防護(hù)對(duì)象的安全弱點(diǎn)，演練攻防策略，鍛煉攻防隊(duì)伍，進(jìn)而提高被保護(hù)對(duì)象的網(wǎng)絡(luò)防護(hù)能力。

2.2 主動(dòng)安全服務(wù)

主動(dòng)安全服務(wù)是持續(xù)性的日常安全服務(wù)，為關(guān)鍵信息基礎(chǔ)設(shè)施提供安全咨詢、安全監(jiān)測(cè)、保護(hù)防御、應(yīng)急響應(yīng)、安全運(yùn)維、工控安全等服務(wù)。

2.3 安全威脅預(yù)警服務(wù)

安全威脅預(yù)警服務(wù)提供以下三類服務(wù)：

①基于威脅情報(bào)的預(yù)警服務(wù)

通過(guò)網(wǎng)絡(luò)情報(bào)搜索，預(yù)警通報(bào)，或國(guó)內(nèi)類似系統(tǒng)已經(jīng)受到的攻擊等威脅情報(bào)，判斷潛在的被攻擊對(duì)象，向其發(fā)出預(yù)警信息，為其提供預(yù)警時(shí)間，并對(duì)如何應(yīng)對(duì)威脅提供技術(shù)支持。

②基于技術(shù)情報(bào)的預(yù)警服務(wù)

通過(guò)對(duì)網(wǎng)絡(luò)安全技術(shù)情報(bào)進(jìn)行分析，結(jié)合對(duì)各被保護(hù)對(duì)象的系統(tǒng)技術(shù)狀態(tài)和網(wǎng)絡(luò)安全技術(shù)狀態(tài)進(jìn)行分析，判斷被保護(hù)對(duì)象可能面臨同類技術(shù)風(fēng)險(xiǎn)，向其發(fā)出預(yù)警信息，并對(duì)如何應(yīng)對(duì)威脅提供技術(shù)支持。

③基于攻防對(duì)抗的預(yù)警服務(wù)

通過(guò)對(duì)各被保護(hù)對(duì)象進(jìn)行攻防對(duì)抗演練，發(fā)現(xiàn)系統(tǒng)漏洞、防護(hù)策略和安全管理等方面的風(fēng)險(xiǎn)，結(jié)合對(duì)各被保護(hù)對(duì)象的整體安全防護(hù)進(jìn)行分析和匹配，判斷被保護(hù)對(duì)象可能面臨的潛在防護(hù)風(fēng)險(xiǎn)，向其發(fā)出預(yù)警信息，并對(duì)如何應(yīng)對(duì)威脅提供各方面支持。

2.4 安全態(tài)勢(shì)感知服務(wù)

安全態(tài)勢(shì)感知服務(wù)是由服務(wù)團(tuán)隊(duì)根據(jù)用戶的不同需求，對(duì)安全態(tài)勢(shì)數(shù)據(jù)進(jìn)行融合和重構(gòu)，以直觀的可視化方式向用戶呈現(xiàn)所需安全信息，并通過(guò)移動(dòng)終端、固定終端、專用顯示系統(tǒng)等途徑向用戶推送。安全態(tài)勢(shì)感知[4]服務(wù)幫助用戶透過(guò)繁雜的安全數(shù)據(jù)和安全技術(shù)，簡(jiǎn)單、直觀、高效地獲取所需安全信息為用戶提供多角度、多維度、可視化的安全態(tài)勢(shì)感知和決策支持。

3 網(wǎng)絡(luò)攻防對(duì)抗平臺(tái)總體架構(gòu)

網(wǎng)絡(luò)攻防對(duì)抗平臺(tái)分為項(xiàng)目服務(wù)層、服務(wù)支持層、數(shù)據(jù)分析層、數(shù)據(jù)層、安全產(chǎn)品層和核心技術(shù)層。項(xiàng)目服務(wù)層對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施提供各項(xiàng)安全服務(wù)，其它各層為其提供能力支撐，各層從下至上對(duì)上層提供支持。用戶通過(guò)項(xiàng)目服務(wù)層與平臺(tái)交互，與其余各層無(wú)交互。如圖1所示。

圖1 網(wǎng)絡(luò)攻防對(duì)抗平臺(tái)總體架構(gòu)圖

3.1 項(xiàng)目服務(wù)層

項(xiàng)目服務(wù)層是用戶與平臺(tái)的結(jié)合點(diǎn)，用戶通過(guò)項(xiàng)目服務(wù)獲得平臺(tái)的保護(hù)。項(xiàng)目服務(wù)層將平臺(tái)其余各層的能力形成安全服務(wù)，提供給用戶。

3.2 服務(wù)支持層

服務(wù)支持層為項(xiàng)目服務(wù)層提供技術(shù)支持。服務(wù)團(tuán)隊(duì)通過(guò)服務(wù)支持層獲取所需服務(wù)資源，為用戶提供服務(wù)。

3.3 數(shù)據(jù)分析層

數(shù)據(jù)分析層由安全分析團(tuán)隊(duì)依據(jù)安全數(shù)據(jù)和分析系統(tǒng)執(zhí)行安全分析，提供網(wǎng)絡(luò)攻擊分析和安全情報(bào)分析兩類服務(wù)。

3.4 數(shù)據(jù)層

數(shù)據(jù)層為分析層提供數(shù)據(jù)支持，包括：

①網(wǎng)絡(luò)與主機(jī)安全數(shù)據(jù)

網(wǎng)絡(luò)數(shù)據(jù)包括：網(wǎng)絡(luò)邊界元數(shù)據(jù)（五元組至十三元組），原始流數(shù)據(jù)（短期存儲(chǔ)），風(fēng)險(xiǎn)預(yù)識(shí)別數(shù)據(jù)，內(nèi)網(wǎng)標(biāo)識(shí)數(shù)據(jù)，網(wǎng)絡(luò)安全設(shè)備日志數(shù)據(jù)。

主機(jī)安全數(shù)據(jù)包括：云運(yùn)維與安全數(shù)據(jù)，主機(jī)操作系統(tǒng)日志，安全防護(hù)軟件日志，業(yè)務(wù)軟件日志，系統(tǒng)運(yùn)維數(shù)據(jù)，安全審計(jì)數(shù)據(jù)等。

②網(wǎng)絡(luò)對(duì)抗數(shù)據(jù)

網(wǎng)絡(luò)對(duì)抗數(shù)據(jù)包括：從戰(zhàn)略、戰(zhàn)術(shù)、技術(shù)等角度，描述網(wǎng)絡(luò)攻防對(duì)抗雙方的相關(guān)信息，包括對(duì)抗主體、對(duì)抗時(shí)間、戰(zhàn)略策略、對(duì)抗方式、工具及手段、持續(xù)時(shí)間、過(guò)程描述、對(duì)抗效果等。

③行業(yè)安全情報(bào)

行業(yè)安全數(shù)據(jù)包括：行業(yè)基礎(chǔ)設(shè)施及信息系統(tǒng)相關(guān)的用戶訪問(wèn)日志、安全檢測(cè)日志、運(yùn)行狀態(tài)日志、業(yè)務(wù)運(yùn)行日志、運(yùn)維管理記錄、操作記錄等。

④網(wǎng)絡(luò)威脅情報(bào)

網(wǎng)絡(luò)威脅情報(bào)包括：網(wǎng)絡(luò)威脅情報(bào)包括：黑白名單數(shù)據(jù)、安全攻擊事件、惡意代碼活動(dòng)及其特征信息、僵尸網(wǎng)絡(luò)活動(dòng)信息、漏洞信息、黑客及其組織信息等。

⑤安全產(chǎn)品層

安全產(chǎn)品層為平臺(tái)提供技術(shù)裝備支持，安全產(chǎn)品層在防護(hù)上強(qiáng)調(diào)防護(hù)底線（重點(diǎn)在數(shù)據(jù)保護(hù)和加密），以及產(chǎn)業(yè)生態(tài)圈聚合能力，實(shí)現(xiàn)開(kāi)放，彈性，可擴(kuò)展。主要包括以下產(chǎn)品：網(wǎng)絡(luò)及主機(jī)防護(hù)產(chǎn)品、網(wǎng)絡(luò)攻防工具軟件、網(wǎng)絡(luò)安全大數(shù)據(jù)分析系統(tǒng)、網(wǎng)絡(luò)威脅情報(bào)庫(kù)。

⑥核心技術(shù)層

核心技術(shù)層為平臺(tái)提供技術(shù)支撐包括：自主可控網(wǎng)絡(luò)及主機(jī)防護(hù)技術(shù)。網(wǎng)絡(luò)邊界控制，主機(jī)控制把控著網(wǎng)絡(luò)安全關(guān)鍵節(jié)點(diǎn)，一旦留有后門(mén)會(huì)造成嚴(yán)重網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，應(yīng)確保絕對(duì)可控。因此應(yīng)采用自主可控軟硬件技術(shù)的國(guó)產(chǎn)化裝備。

網(wǎng)絡(luò)攻防對(duì)抗技術(shù)。網(wǎng)絡(luò)攻防對(duì)抗技術(shù)本質(zhì)是一個(gè)體系工程。網(wǎng)絡(luò)攻防對(duì)抗技術(shù)不僅僅局限于傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，大量社會(huì)科學(xué)進(jìn)入了網(wǎng)絡(luò)攻防對(duì)抗的范疇，包括：社會(huì)網(wǎng)絡(luò)分析、媒體傳播、統(tǒng)計(jì)分析等。通過(guò)這些技術(shù)的融合，形成了一個(gè)全新的網(wǎng)絡(luò)攻防對(duì)抗技術(shù)體系。

網(wǎng)絡(luò)安全大數(shù)據(jù)分析技術(shù)。網(wǎng)絡(luò)安全大數(shù)據(jù)分析，核心技術(shù)包括網(wǎng)絡(luò)流元數(shù)據(jù)采集技術(shù)，雙向可擴(kuò)展安全數(shù)據(jù)交換總線，多分析引擎效能融合技術(shù)，大流量分析結(jié)果智能判別技術(shù)，攻擊特征分析技術(shù)，攻擊過(guò)程追蹤溯源技術(shù)等。

網(wǎng)絡(luò)威脅情報(bào)分析技術(shù)。網(wǎng)絡(luò)威脅情報(bào)分析類技術(shù)包括：多源異構(gòu)情報(bào)智能搜索技術(shù)，海量異構(gòu)情報(bào)數(shù)據(jù)智能管理與檢索技術(shù)，多源異構(gòu)情報(bào)深度挖掘技術(shù)，攻擊特征提取技術(shù)，攻擊對(duì)象智能預(yù)測(cè)技術(shù)等。

4 結(jié)語(yǔ)

網(wǎng)絡(luò)攻防對(duì)抗平臺(tái)的技術(shù)總體設(shè)計(jì)以“進(jìn)攻就是最好的防御，主動(dòng)安全防護(hù)與攻防對(duì)抗相結(jié)合”的原則，對(duì)接國(guó)家級(jí)威脅情報(bào)庫(kù)，聚合網(wǎng)絡(luò)防護(hù)專用和通用網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品，在總體可控可信賴與技術(shù)先進(jìn)和開(kāi)放中尋求最佳平衡，匯聚國(guó)家各層面網(wǎng)絡(luò)安全產(chǎn)業(yè)能力，共享、共建、共御，共同構(gòu)筑服務(wù)于關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全長(zhǎng)城。

[1]沈雪石，吳集，鄧啟文.美軍網(wǎng)絡(luò)空間武器系統(tǒng)發(fā)展趨勢(shì)分析[J].裝備學(xué)院學(xué)報(bào)，2015.

[2]于明，周希元.信息網(wǎng)絡(luò)對(duì)抗機(jī)制的攻防分析.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 , 2004.

[3]顧巧云，孫玉龍，高豐.基于博弈論的網(wǎng)絡(luò)攻防對(duì)抗模型及應(yīng)用研究，2013.

[4]袁斌，鄒德清，金海.網(wǎng)絡(luò)安全可視化綜述.信息安全學(xué)報(bào)，2016.

[5]倪光南.信息安全“本質(zhì)”是自主可控.中國(guó)經(jīng)濟(jì)和信息化， 2013.

[6]管磊，胡光俊，王專.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究.信息網(wǎng)絡(luò)安全，2016.